Pandemic es una herramienta que se dirige a los ordenadores con las carpetas compartidas, desde donde los usuarios descargar archivos a través de SMB.
De acuerdo con un manual de la CIA que se filtró, pandemic está instalado en los equipos de destino como un "controlador de filtro de sistema de archivos." La función de este controlador es escuchar el tráfico SMB y detectar los intentos de otros usuarios descargar archivos compartidos desde el ordenador infectado.Pandemic interceptará esta solicitud SMB y contestar en nombre del ordenador infectado. En lugar del archivo legítimo, pandemia entregará un archivo infectado con el malware en su lugar. De acuerdo con el manual de la CIA, pandémic puede reemplazar hasta 20 archivos legítimos a la vez, con un tamaño máximo de 800 MB por archivo, y sólo tarda 15 segundos para instalar. El apoyo para la sustitución incluyen tanto los archivos de 32 bits y de 64 bits. La herramienta fue desarrollada específicamente para reemplazar los archivos ejecutables, en especial las que se alojan en las redes empresariales a través de carpetas compartidas.
El papel de esta cyberweapon es infectar los servidores de intercambio de archivos corporativos y entregar un ejecutable malicioso a otras personas en la red, de ahí el nombre de la pandemia de la herramienta.
Una vez que pandemic se ha infiltrado en una red, es muy difícil de detectar el origen de la infección original y limpiar el "paciente cero" de acogida.
Esto se debe a que el controlador de sistema de archivos de pandemic sabrá cuándo un usuario local está accediendo manualmente uno de los archivos compartidos y ejecutará la versión limpia del archivo, y no la versión de software malicioso-atado que ofrece a través de SMB. Con el fin de detectar los PCs infectados a una pandemic, los administradores de sistemas deben descargar y analizar los archivos de otros ordenadores a través de SMB (carpetas compartidas).
Pandemic registra un conductor minifiltro utilizando Flt * funciones de Windows'. Como resultado, FltMgr requiere que todos los conductores de registrarse como minifiltros contienen ciertas claves del registro. Pandemia utiliza la tecla 'nulo' servicio (en todos los sistemas Windows) como su propia clave de servicio del conductor. Pandemia creará 2 llaves y sub 3 valores bajo la clave de servicio 'nulo' en el registro. Estos valores y subclaves se eliminan cuando se desinstala pandemia al final de su temporizador de funcionamiento configurado, o cuando se desinstala a través de una DLL especial F & F (v2). Estas claves // NO NO pueden eliminar si se reinicia el sistema antes de que ocurran los escenarios antes mencionados.
Los equipos de respuesta a incidentes que temen o sospechan que podrían ser propensos a la vigilancia de la CIA pueden buscar claves del registro de Windows para los conductores minifiltro anteriores que utilizan Windows * Flt funciones, como un signo de infección.
