В отличие от уже известных элементов ботнета, он модифицирует DNS-сервис роутеров таким образом, что скомпрометированный роутер перенаправляет пользователей на поддельную страницу загрузки браузера Google Chrome. Фальшивый установщик представляет собой один из вредоносных файлов самого Sality.

Ботнет Sality может выступать в роли вируса или загрузчика других вредоносных программ. Он обладает модульной архитектурой, его компоненты отвечают за рассылку спама, организацию DDoS, генерацию рекламного трафика и взлом VoIP аккаунтов. Долговечность и постоянное совершенствование ботнета свидетельствуют о высокой квалификации авторов вредоносного кода, считают в Eset.

Когда пользователи обращаются к сайтам, содержащим в названии домена «facebook» или «google», поддельный DNS-сервис направляет их на «страницу установки Google Chrome». Вместо браузера на компьютеры загружается вредоносный файл самого Win32/Sality. Так злоумышленники обеспечивают дальнейшее расширение ботнета.

Существует еще один модуль вредоносной программы – Win32/RBrute.B. Он устанавливается Sality на скомпрометированных компьютерах и может выступать в качестве DNS или НТТР прокси-сервера для доставки поддельного установщика Google Chrome.