Das schon vor einiger Zeit entwendete Zertifikat stamme vom malaysischen lnstitut für Landwirtschaftliche Forschung und Entwicklung, berichtet der Hersteller von IT-Sicherheitssoftware. Der Schädling Trojan-Downloader:W32/Agent.DTIW verbreitet sich über manipulierte PDF-Dateien, die eine Schwachstelle in Adobe Reader 8 ausnutzen.

Ist ein System befallen, werden weitere Schadprogramme von einem Server namens worldnewsmagazines.org geladen, erklärt Mikko Hypponen im F-Secure-Blog. Einige dieser Komponenten seien ebenfalls signiert, jedoch von einer Seite namens www.esupplychain.com.tw. „Es ist nicht üblich, signierte Malware zu finden. Noch seltener ist es, dass sie mit einem offiziellen Schlüssel einer Regierung signiert ist.