Serverul localizat în Bucureşti a fost identificat şi dezafectat de Inspectoratul General al Poliţiei Române, iar informaţiile extrase au fost incluse într-un program de colaborare tehnică la care au participat echipe din Poliţie şi Bitdefender.
Rezultatele investigaţiei arată că virusul ICEPOL, distribuit de centrul de control din România, a fost instalat pe 267.786 de calculatoare, dintre care 8.881 erau localizate în România.
Suma totală obţinută de escroci în perioada studiată se ridică la 158.376 de unităţi monetare – cel mai probabil dolari americani.
Cei mai mulţi bani au provenit din Statele Unite ale Americii – 32.176 de dolari, iar din România câştigurile s-au ridicat la aproximativ 2.500 de dolari.
Banii erau generaţi prin două mecanisme: prin livrarea soft-ului periculos pe calculatoarele utilizatorilor şi solicitarea unei recompense în schimbul deblocării sistemelor și prin campanii de tipul pay per click prin care hackerii generau în mod automat trafic pentru anumite site-uri.
Odată descărcat, virusul era postat pentru download pe un site pornografic fals, pe o pagină falsă de actualizare a Flash Player sau pe o pagină de antivirus falsă. Aceasta din urmă afişa un mesaj care pretindea că pe calculatorul victimei s-ar fi găsit un număr mare de fişiere infectate, toate găzduite pe domeniile vizitate anterior de utilizator.
Imediat ce computerul porneşte ecranul este blocat. Dacă sistemul este localizat într-una dintre ţările în care se vorbeşte una dintre cele 25 de limbi predefinite, virusul afişează un mesaj în limba utilizatorului. Mesajul îl informează că sistemul a fost blocat în urma detectării unei activităţi suspecte precum descărcarea de material fără plata drepturilor de autor sau pornografie. Mesajul mai precizează că sistemul ar putea fi deblocat prin plata unei răscumpărări denumite eufemistic amendă.
Modulul de tip pay per click, denumit tds, direcţionează traficul către o listă de domenii – cel mai probabil cumpărători de reclame plătite – sau către alte site-uri de distribuţie a virusului. Traficul este redirectat în conformitate cu o listă definită de administrator şi în funcţie de un set de reguli de filtrare, printre care ţara de origine, sistemul de operare, tipul de browser sau numărul maxim de click-uri permis.
