Cyberprzestępcy korzystają z zamieszek w Tybecie, by znaleźć kolejne ofiary. W Sieci pojawiły się e-maile z apelem poparcia dla Tybetańczyków. Dołączony jest do nich plik .pdf, w którym po otwarciu znajdziemy taki sam tekst apelu, jak w treści samego maila.

Jednak podczas otwierania załącznika na komputer ofiary wgrywany jest plik winkey.exe, który zostaje umieszczony w katalogu C:Program FilesUpdate. To keylogger, który zapisuje wszelkie wprowadzane przez użytkownika dane i wysyła je na jeden z chińskich serwerów.

Dochodzi też do licznych ataków z wykorzystaniem plików .doc, .xls, .ppt, .pdf i .chm. Wszystkie szkodliwe listy wyglądają tak, jakby pochodziły od znanych organizacji, witryn czy grup dyskusyjnych.