Szkodliwe oprogramowanie ma rozszerzenie „pdf.exe”, a zachęca do kliknięcia za pomocą ikonki pdf. Po ściągnięciu, plik generuje dokument pdf, po czym powoduje jego otwarcie. W tym samym czasie następuje pobieranie komponentu Trojan-Downloader:OSX/Revir.A., który ściąga i uruchamia backdoor, który jest gotowy do wykonywania poleceń wysyłanych ze zdalnego serwera. Od tej pory napastnik może kopiować pliki z naszego komputera.
Z obecnych wiadomości wynika, że lokalizacja centrum dowodzenia wspomnianego trojana zawiera jedynie nagą instalację Apache i nie jest w stanie komunikować się z backdoorem. Domena została zarejestrowana 21 marca 2011 r., a ostatniej aktualizacji dokonano 21 maja 2011 roku. Czy przewidywany atak nastąpi z dniem 21 października 2011?
Nie wiadomo jeszcze, a jaki sposób trojan się rozprzestrzeniania. Najbardziej prawdopodobnym sposobem jest wysłanie pliku za pośrednictwem poczty e-mail.
Źródło: F-Secure