Een nieuwe variant van de gevaarlijke Windows TDSS-rootkit is in staat om zichzelf via USB-sticks en netwerken te verspreiden, waarbij de verspreiding via lokale netwerken opvallend is. Voor de verspreiding via draagbare media maakt de malware de bestanden setup.lnk, myporno.avi.lnk, pornmovs.lnk en autorun.inf aan. Deze bestanden zijn snelkoppelingen naar het bestand rundll32.exe, die weer naar het DLL-bestand van de worm wijst. Volgens Sergey Golovanov van het Russische anti-virusbedrijf Kaspersky Lab is deze methode niet zo bijzonder.

Voor de verspreiding via lokale netwerken is dat een ander verhaal. Tijdens de infectie controleert de worm of het netwerk een DHCP-server gebruikt. Is dit het geval, dan zoekt de malware naar beschikbare IP-adressen. Vervolgens start de malware een eigen DHCP-server en luistert naar het netwerk. Als het een DHCP request van een lokale computer ontvangt, probeert de worm als eerste te antwoorden. Het antwoord bevat de geinfecteerde computer als gateway en het IP-adres van een kwaadaardige DNS-server.

Gebruiker
Computers die via deze DNS-server een website bezoeken, krijgen als eerste een melding dat ze hun browser moeten updaten. De update is een aangepaste versie van de Rorpian-worm. Eenmaal geïnstalleerd wijzigt de worm de DNS-instellingen, waarna de gebruiker weer kan surfen.

"In andere woorden, Rorpian, de lader van TDSS, é?0n van de meest geavanceerde en geraffineerde kwaadaardige programma's, misbruikt het het gevaarlijkste computerlek dat er bestaat, namelijk de gebruiker", besluit Golovanov.