Dr Web og�osi� odkrycie programu peer to peer z trojanem Trojan.PWS.Panda.2395, kt�ry cechuje si� niezwyk�ym mechanizmie zaka�enia. Zaka�one komputery mog� pos�u�y� do atak�w DDoS lub rozsy�ania spamu.

Pierwszym krokiem trojana jest pobieranie przy pomocy sieci P2P pliku wykonywalnego, kt�ry jest zaszyfrowanym modu�em szkodnika. Po odszyfrowaniu modu� uruchamia kolejny modu�, kt�ry uruchamia z pami�ci komputera inn� z�o�liw� aplikacj� zidentyfikowan� przez Dr Web jako Trojan.DownLoader. Ten z kolei zapisuje na koncie u�ytkownika pod losow� nazw� plik wykonywalny, a nast�pnie modyfikuje rejestr systemu Windows, aby z�o�liwy program m�g� automatycznie si� uruchamia� podczas uruchamiania systemu.

Ko� troja�ski wykorzystuje bardzo ciekawy algorytm pobrania na zainfekowany komputer innych szkodnik�w. W module Trojan.DownLoader jest zaszyfrowana lista nazw domen, do kt�rych szkodnik wysy�a ��dania po HTTPS. W odpowiedzi szkodnik otwiera stron� internetow� analizuj�c jej struktur� w celu znalezienia linijki "img src="data:image/jpeg;base64…"

To tam znajduje si� odno�nik do pobieranego szkodnika, kt�ry jest jeszcze zaszyfrowany. Pobiera te� list� adres�w do prowadzenia atak�w DDoS. Po pobraniu modu�u DDoS tworzy osiem niezale�nych w�tk�w i rozpoczyna atak na 200 wybranych cel�w.

Co do samego pliku z "img src="data:image/jpeg;base64…". Szkodnik pobiera plik z atrybutu src i dekoduje go przez base-64. Plik ten przebiera si� za JPEG ale w rzeczywisto�ci jest to archiwum GZIP a w nim szkodnik BackDoor.Bulknet.739 przygotowany do prowadzenia masowego spamu.

�r�d�o: anti-malware.ru