Авторы вредоносных программ атакуют не только простых обывателей, но и птиц высокого полёта: сотрудников научных и государственных учреждений США. Такой вывод можно сделать из совместного отчёта Zscaler и Seculert (PDF). Эти две компании независимо друг от друга зафиксировали ряд инцидентов с попытками распространения программы, которую назвали MSUpdater.

MSUpdater представляет собой инструмент класса RAT — средство удалённого администрирования, которое пытались установить злоумышленники. Подобные инциденты начали регистрировать в 2009 году, и они продолжаются до сих пор.

Чтобы установить MSUpdater на компьютер жертвы, злоумышленники рассылают по электронной почте PDF-файл. В документе содержится приглашение посетить научную конференцию. Тематика конференции отличается, в зависимости от специализации жертвы: инженерная конференция IEEE, форум по мирному развитию Ирака, конференция по умным сенсорам, сенсорным сетям и информационной обработке (ISSNIP) и так далее.

При открытии PDF-файла активируется эксплоит, который использует уязвимость в программах Adobe (например, уязвимость нулевого дня CVE-2010-2883), после чего запускается процесс GoogleTray.exe и с удалённого сервера mail.hfmforum.com/microsoftupdate/getupdate/default.aspx на компьютер устанавливается ряд программ, поддерживающих связь с командным центром (C&C) по HTTP в зашифрованном виде.

Для маскировки программы под Microsoft Windows Update файл называется msupdate.exe, а также используются соответствующие пути HTTP для командного сервера (например, /microsoftupdate/getupdate/default.aspx). Например, команды могли передаваться в виде запроса HTTP GET такого вида:

/microsoftupdate/getupdate/default.aspx?ID=[num1]para1=[num2]para2=[num3]para3=[num4]

Здесь параметры передаются в полях [num].

Запросы HTTP GET и POST могли иметь и такой вид:

/microsoft/errorpost/default/connect.aspx?ID=[num1]


/microsoft/errorpost/default.aspx?ID=[num1]

При коммуникации по HTTP с командным сервером используются заголовки юзер-агента браузеров Internet Explorer 6, 7 и 8. Исходя из всех этих причин, троянская программа и получила название MSUpdater.