Söz konusu ortam oynatıcısının aslında kullanıcıların bilgisayarlarını bir dizi posta sunucusuna komutlar göndermekte aracı olarak kullanan Backdoor.Edunet.A kötücül yazılımı olduğu ve spam yaymaya en uygun posta sunucularının çoğunlukla “edu” ve “mil” domainleri içinde bulunduğu aktarıldı.
Açıklamada, sunucu listesinin, Truva atı tarafından saldırganın kendi ağı ile kendisini bu ağa kaptırmış sunucular arasından oluşturuluğu ve sunucuların listesinin sürekli değiştiği ancak ana hedefte olanların sabit kaldığı anlatıldı.
Truva atı komutlarının, gönderilen sunucu üzerinde herkesin posta göndermesine izin verecek şekilde hatalı yapılandırmaya sahip bir bağlantı noktası yakalamak amacıyla yollandığı, bunun da temel olarak, aslen Truva atı tarafından gönderilen e-postaların, bu açık bağlantıya sahip sunucu tarafından gönderildiği izlenimi yarattığı ifade edildi.
