После двухнедельного молчания портал WikiLeaks опубликовал очередной хакерский инструмент из арсенала ЦРУ. Вредоносное ПО Pandemic предназначено для взлома компьютеров с общими папками, откуда пользователи загружают файлы с помощью протокола SMB. Pandemic отличается необычным, оригинальным принципом работы и не похож ни на один другой вредонос.

Согласно опубликованной WikiLeaks инструкции, программа устанавливается на атакуемую систему в качестве «фильтра-драйвера файловой системы». Его задачей является прослушивание SMB-трафика и определение попыток пользователей загрузить общие файлы с зараженного компьютера. Pandemic перехватывает запросы на загрузку и отвечает от имени инфицированной системы, но вместо легитимных файлов отправляет пользователю зараженные.

Если верить инструкции, за один заход программа способна заменить до 20 файлов (как 32-битных, так и 64-битных) с максимальным размером одного файла 800 МБ. Установка Pandemic занимает всего 15 секунд. Инструмент был специально разработан для замены исполняемых файлов, в особенности тех, что хранятся в общих папках в корпоративных сетях. Предназначением Pandemic является заражение корпоративных файлообменных серверов и установка вредоносного ПО на компьютеры сотрудников.

Когда вредонос попадает в сеть, определить источник заражения и первую инфицированную систему весьма затруднительно. Это связано с тем, что драйвер файловой системы Pandemic определяет, когда локальный пользователь вручную получает доступ к одному из общих файлов, и выполняет чистую версию файла, а не вредоносную, которую передает по SMB. Таким образом, для обнаружения зараженных устройств системные администраторы должны загружать и сканировать файлы с других компьютеров по SMB.