По оценкам F-Secure, за четыре дня число зараженных машин выросло с 2,4 млн до 8,9 млн. За всю прошлую пятницу компанией было зафиксировано 979499 уникальных IP (за каждым из них могут скрываться тысячи ПК), а только за первые 12 часов следующего дня — 849967 адресов.
Творение украинских программистов, Downadup, использует несколько методов распространения. Среди них недавно зарытая патчем брешь MS08-067 в Windows Server Service, угадывание сетевых паролей и инфицирование USB-флэшек. Типичной проблемой для владельца зараженного ПК является отключение его от сети. Это происходит из-за того, что программа пытается взламывать пароли методом грубой силы, что вызывает срабатывание автоматического блокирования после определенного числа неудачных вводов.
В компьютере вирус защищает себя очень агрессивно. Он закрывает брешь в Windows, размещает себя в начале списка открываемых при загрузке системы программ, вносит изменения в реестр и в права доступа, предотвращающие его удаление. Обновленные версии Downadup загружаются с вебсайтов, выбираемых из длинного списка по алгоритму, использующему текущие время и дату.