Специалисты из Лаборатории Касперского наткнулись на подозрительный PDF- файл и решили его исследовать. После распаковки был получен xml–файл с TIFF-изображением. Однако как выяснилось, выглядел он очень странно. Выяснилось, что xml–файл содержит в своей структуре эксплойт, который эксплуатирует уязвимость CVE-2010-0188 (переполнение  буфера обмена). Экспертам это  показалось странным, так как раньше подобного рода файлы почти не встречались, и они запросить статистику по срабатыванию данной уязвимости.  Как видно из приведённого графика, активное распространение зловредов, эксплуатирующих CVE-2010-0188, началось в конце июня. До этого времени они практически не обнаруживались на компьютерах пользователей. Можно сделать предположение, что у вирусописателей ушло несколько месяцев на подгонку эксплойтов для новой дыры в продукте Adobe.

В ходе дальнейшего анализа выяснилось, что основным функционалом PDF файла является скачивание и запуск другого файла. Им оказался дроппер Trojan-Dropper.Win32.Zbot.cm, основное назначение которого – скрытая установка в системе основного бота Zbot (ZeuS) и противодействие антивирусам. Специалистам удалось получить конечный экземпляр Zbot, но он оказался зашифрованным и обфусцированным. Далее был получен его дамп и расшифрованные строки. Среди них присутствует явная ссылка на целевой банковский сайт, http-запросы бота и некоторые команды, используемые C&C ботнета Zbot. Их можно увидеть на скриншоте ниже.