Redirector.Paco — вредоносная программа, лежащая в основе этого ботнета. Для её распространения злоумышленники используют заражённые версии таких популярных приложений, как WinRAR, YouTube Downloader, Connectify, KMSPico и Stardock Start8. Попав на компьютер жертвы, она добавляет себя в список автозапуска в реестре под видом программ Adobe Flash Scheduler и Adobe Flash Update. Одновременно Redirector.Paco меняет адрес прокси в настройках Internet Explorer. После этого все обращения к интернету проходят через локальный прокси на порте 9090. Локальный прокси нужен трояну для того, чтобы перехватывать запросы, отправляемые жертвой на поисковые системы.
Когда вредронос замечает, что пользователь направился на Google, Yahoo или Bing, он подменяет страницу поисковика поддельной копией. Результаты поиска, которые выдаёт программа, взяты из системы пользовательского поиска Google — сервиса, который позволяет пользователям создавать специализированные поисковики. Создатели таких поисковиков могут менять их оформление и настройки. Кроме того, Google делится с ними доходом, который приносит показанная на этих страницах реклама. Именно в рекламных доходах и заключается смысл всей затеи. Redirector.Paco помогает злоумышленникам зарабатывать деньги на каждом рекламном объявлении Google, по которому кликают его жертвы.
.jpg)
