Aparentemente, este malware é um pequeno programa de apenas 22 KB, que está escrito em assembly. O conteúdo malicioso foi ofuscado usando um compilador polimórfico, que poderia produzir uma nova variante do malware a cada poucos minutos. Como todas as amostras de trojan que foram encontradas são diferentes, um componente de detecção de assinatura não terá nenhuma possibilidade de identificar o malware. No entanto, os PDFs que contêm o malware podem ser identificados porque incluem uma sequência de caracteres: "@ 34fZ7E* p \".
Os criadores do ataque permanecem desconhecidos. Segundo o relatório da Kaspersky, há indícios de que o trojan foi desenvolvido por membros do grupo de autores de vírus 29A, cuja dissolução ocorreu em 2008: o nome de código do malware continha a sequência de número "666" - uma numeração decimal bastante infame.
Saiba Mais:
[1] Heise On-line http://www.h-online.com/security/new...s-1813304.html