Dr Web ogłosił odkrycie programu peer to peer z trojanem Trojan.PWS.Panda.2395, który cechuje się niezwykłym mechanizmie zakażenia. Zakażone komputery mogą posłużyć do ataków DDoS lub rozsyłania spamu.

Pierwszym krokiem trojana jest pobieranie przy pomocy sieci P2P pliku wykonywalnego, który jest zaszyfrowanym modułem szkodnika. Po odszyfrowaniu moduł uruchamia kolejny moduł, który uruchamia z pamięci komputera inną złośliwą aplikację zidentyfikowaną przez Dr Web jako Trojan.DownLoader. Ten z kolei zapisuje na koncie użytkownika pod losową nazwą plik wykonywalny, a następnie modyfikuje rejestr systemu Windows, aby złośliwy program mógł automatycznie się uruchamiać podczas uruchamiania systemu.

Koń trojański wykorzystuje bardzo ciekawy algorytm pobrania na zainfekowany komputer innych szkodników. W module Trojan.DownLoader jest zaszyfrowana lista nazw domen, do których szkodnik wysyła żądania po HTTPS. W odpowiedzi szkodnik otwiera stronę internetową analizując jej strukturę w celu znalezienia linijki "img src="data:image/jpeg;base64…"

To tam znajduje się odnośnik do pobieranego szkodnika, który jest jeszcze zaszyfrowany. Pobiera też listę adresów do prowadzenia ataków DDoS. Po pobraniu modułu DDoS tworzy osiem niezależnych wątków i rozpoczyna atak na 200 wybranych celów.

Co do samego pliku z "img src="data:image/jpeg;base64…". Szkodnik pobiera plik z atrybutu src i dekoduje go przez base-64. Plik ten przebiera się za JPEG ale w rzeczywistości jest to archiwum GZIP a w nim szkodnik BackDoor.Bulknet.739 przygotowany do prowadzenia masowego spamu.

źródło: anti-malware.ru