Після двотижневого мовчання портал WikiLeaks опублікував черговий хакерський інструмент з арсеналу ЦРУ. Шкідливе ПО Pandemic призначене для злому комп'ютерів з загальними папками, звідки користувачі завантажують файли за допомогою протоколу SMB. Pandemic відрізняється незвичайним, оригінальним принципом роботи і не схожий ні на один інший шкідливий.

Згідно з опублікованою WikiLeaks інструкції, програма встановлюється на атакується систему як «фільтр-драйвера файлової системи». Його завданням є прослуховування SMB-трафіку і визначення спроб користувачів завантажити загальні файли з зараженого комп'ютера. Pandemic перехоплює запити на завантаження і відповідає від імені інфікованої системи, але замість легітимних файлів відправляє користувачу заражені.

Якщо вірити інструкції, за один захід програма здатна замінити до 20 файлів (як 32-бітових, так і 64-бітових) з максимальним розміром одного файлу 800 МБ. Установка Pandemic займає всього 15 секунд. Інструмент був спеціально розроблений для заміни виконуваних файлів, особливо тих, що зберігаються в загальних папках в корпоративних мережах.

Призначенням Pandemic є зараження корпоративних файлообмінних серверів і встановлено зловмисне програмне забезпечення на комп'ютери співробітників.

Коли шкідливий потрапляє в мережу, визначити джерело зараження і першу інфіковану систему досить важко. Це пов'язано з тим, що драйвер файлової системи Pandemic визначає, коли локальний користувач вручну отримує доступ до одного із загальних файлів, і виконує чисту версію файлу, а не шкідливу, яку передає по SMB. Таким чином, для виявлення заражених пристроїв системні адміністратори повинні завантажувати і сканувати файли з інших комп'ютерів по SMB.