Een Trojaans paard dat 30MB in omvang is en niet werkt verbaast onderzoekers. De malware werd ontdekt door Snorre Fagerland van het Noorse anti-virusbedrijf Norman. Het gaat om een variant van de DarkComet, een bekend Trojaans paard dat bij verschillende gerichte aanvallen is gebruikt. De ontwikkelaar besloot in juli met de ontwikkeling van de Trojan te stoppen, onder andere omdat zijn creatie tegen Syrische activisten werd ingezet.

De nu ontdekte variant viel op vanwege een foto. In totaal bevat het bestand tien privéfoto's van een gezin en verschillende kinderen. Tevens toont de malware een PDF-document met een interne e-mail van AREVA. Een Frans industrieconcern dat zich vooral met de opwekking van kernenergie bezighoudt.

Scenario
Het Trojaanse paard wordt echter nooit uitgevoerd, maar alleen geïnstalleerd. Verder blijkt dat de malware niet goed is geconfigureerd, waardoor die de demo-instellingen gebruikt en naar 127.0.0.1 (localhost) verbinding maakt. Naast de foto's plaatst de Trojan-installer ook een ongerelateerd iTunes bestand. Een ander opmerkelijke eigenschap is de omvang, die vanwege de foto's 30MB bedraagt.

Fagerland houdt verschillende scenario's open, zoals een echte aanval, een test of iemand die onderzoekers wil verwarren, maar in alle gevallen slaagt de aanvaller daar niet in. Vanwege de interne AREVA e-mail werd ook het energiebedrijf gewaarschuwd, maar ook daar weten ze niet wat ze van de aanval moeten maken.