Программа- загрузчик вредоносной программы известной как TDSS, о которой мы неодногратно писали, обзавелся «ногами» — или иными словами говоря, механизмом самораспространения. TDSS сама по себе  программа очень сложная, и метод распространения его загрузчика злоумышленники сделали весьма оригинальным. Net-Worm.Win32. Rorpian – именно такое имя получила вредоносная программа, обеспечивающая установку TDSS на компьютеры — имеет два способа распространения. Первый- это через сменные носители, а второй- через локальную сеть.  В первом случае распространения, червь создает на сменных носителях помимо файла autorun.inf файлы setup.lnk, myporno.avi.lnk, pornmovs.lnk, ссылающиеся на файл rundll32.exe, в параметрах к которому указана динамическая библиотека червя. Данная техника является стандартной и используется во многих вредоносных программах.  Что же касается второго способа, то при работе с локальной сетью червь использует следующую методику. При заражении компьютера пользователя червь проверяет, используется ли DHCP-сервер в сети. Если компьютер находится в сети, где используется протокол DHCP, червь начинает сканировать сеть на наличие в ней свободных IP-адресов. После этого червь запускает собственный DHCP-сервер и начинает слушать сеть. В случае обнаружения DHCP-запроса от компьютера из локальной сети, червь пытается первым ответить на него, указав при этом:

1. IP-адрес из сводного пула адресов
2. Основной шлюз, указанный на зараженном компьютере
3. Адрес DNS сервера злоумышленников

После такой манипуляции пользователь при попытке посещения любого сайта будет перенаправляться на сервер злоумышленников, где ему будет предложено обновить свой браузер.

До тех пор, пока пользователь не согласится установить «обновление», возможности посещения сайтов у него не будет. Если пользователь согласится запустить «обновление», он скачает на свой компьютер одну из модификаций червя Net-Worm.Win32.Rorpian. После заражения компьютера червь изменит настройки DNS на адрес сервера Google и выпустит пользователя в интернет.

Таким образом, червь Net-Worm.Win32.Rorpian, устанавливающий одну из самых сложных и развитых вредоносных программ TDSS, для самораспространения через сеть использует самую опасную уязвимость при работе компьютера – пользователя.