Az ESET szakemberei figyeltek fel arra a furcsa megemelkedett aktivitásra az említett vízumigénylő űrlapok esetében - amelyeket meghatározott időszakonként lehet csak benyújtani.

Az alapos vizsgálat kiderítette, hogy a "MSIL/Agent.PYO" nevű malwarenek - amelyet C# és C++ nyelven készítettek, volt egy klasszikus letöltő modulja, valamint egy külön frissítő és egy távoli kliens komponense is.

A .NET program fő feladata az volt, hogy a tömegesen töltsön ki ilyen vízumigénylő űrlapokat. A .NET program szerkezeti sajátosságának köszönhetően a védelmet nem tartalmazó programokat könnyen vissza lehet alakítani különféle segédprogramok segítségével forrásszintre, így a JustDecompile, dotpeek vagy ILSpy alkalmazásával a programozási osztályok is egyszerűen olvashatóvá válnak.

A Nuclear Exploit Kit segítségével terjesztett és bit.ly átirányítás alatt lévő kártékony linket az adatok tanúsága szerint 6 nap leforgása alatt több, mint 200 ezer gépről kattintották le már négy nappal a vízumbeadási határidő előtt. Maga a botnet egy 300 tagból álló zombihálózat volt, amelynek tagjai szinte kivétel nélkül Fehéroroszországban található fertőzött számítógépek voltak.

Az elemzés azt is kimutatta, hogy az utazás szempontjából csúcsidőszaknak számító Karácsonyi ünnepeket megelőző napokban komoly aktivitás volt tapasztalható, így a folyamatos távoli frissítéseknek köszönhetően háromszor is verziószámot váltott a kártevő.

Öt hét alatt összesen 925 gép vált ennek a zombihálózatnak a részévé. A vizsgálat után az ESET kutatói átadták a begyűjtött részletes információkat mind a lengyel, mind pedig a fehéroroszországi GOV Certeknek, hogy fel tudjanak lépni botnet ellen.