Заражение компьютера жертвы осуществляется с помощью широко распространенного вредоносного кода Trojan.PWS.Panda.2395. На самом первом этапе заражения на персональный компьютер жертвы при помощи пиринговой сети происходит скачивание исполняемого файла, в котором прячется код троянской программы. После благополучной расшифровки вирусный код запускает следующий модуль, который считывает в память ПК образ другого троянца, которого антивирус компании Dr.Web определяет как одного из представителей известного семейства Trojan.DownLoader.

Далее происходит сохранение данной программы в папку, где находится учетная запись пользователя в виде файла который имеет случайное имя, после чего вирус модифицирует реестр операционной системы, тем самым обеспечивая себе возможность автоматически запускаться вместе с загрузкой Windows.

Очень интересен алгоритм, который использует троянец для загрузки на зараженный компьютер других вредоносных кодов. В теле данной модификации вируса присутствует небольшой список зашифрованных доменных имен, к которым Trojan.DownLoader ведет обращение с запросом по известному протоколу HTTPS. В ответ вирус получает главную интернет страницу которая располагается по данному адресу веб — сайта и начинает разбирает структуру ее HTML кода находя тег вставки изображения. В качестве аргумента этого тега такие интернет-страницы имеют зашифрованный вредоносный код, который автоматически извлекается из html-документа, далее расшифровывается и в зависимости от команды полученной удаленным сервером либо пытается слиться с предварительно запущенным троянцем процесс svchost.exe, либо имеет сохранение во временную папку. Помимо этого, непосредственно из тела троянца- загрузчика расшифровываются вредоносный DDoS-модуль и список адресов веб-сайтов для последующей атаки, далее образ троянца настраивается непосредственно в его процессе.

После благополучной загрузки DDoS-модуль начинает создавать до восьми независимых друг от друга потоков, в которых начинает без пауз отправлять POST-запросы к серверам список которых хранится в Trojan.DownLoader, а также ведет попытку установления соединения с некоторыми серверами используя протокол SMTP, после чего ведет отсылку на них случайных данных. Всего весь список содержит двести выбранных сайтов для DDoS-атак, среди которых присутствуют очень популярные ресурсы такие, как портал love.com, несколько сайтов сайты крупных университетов в Америке, а также известные порталы netscape.com, msn.com и другие.

Но на этом функциональность опасного троянца не ограничивается. Из списка доступных доменов для DDoS-атак вирус используя специальный алгоритм один, и отправляет на него запрос — HTTP получая веб-страницу в качестве ответа. Среди содержимого этой интернет-страницы вирус точно также делает попытку отыскивания тега вставки изображения, в качестве аргумента которого имеется записанный массив данных, который зашифрован с помощью алгоритма base-64.

После удачной расшифровки данные извлеченные из веб-страницы автоматически превращаются в файл, который маскируется под изображение в известном формате JPEG. Этот вредоносный файл хранит в себе контейнер который сжат архиватором gzip. Наконец, из этого архива извлекается опасный вирус под названием BackDoor.Bulknet.739, который представляет собой троянеца-бэкдоа, обладающего функциональностью служащей для массовой рассылки спама.