Функционал загрузчика H1N1 расширен его разработчиками. Как утверждают исследователи из Cisco, в новые версии троянской программы добавлен ряд возможностей, включая сбор данных на зараженных системах и их отправка в зашифрованном виде на сервер, находящийся под контролем хакеров.
H1N1 похищает учетную информацию, сохраненную в Firefox, Internet Explorer и Microsoft Outlook. Эксперты утверждают, что на данный момент возможности вредоносной программы, в сравнении с ее аналогами, не являются широкими, но в перспективе функционал может быть усложнен.
Также вредоносная программа может осуществлять удаление теневых копий, отключение функции восстановления системы и обход функции Контроля учетных записей в Windows. Для этого используется техника, которая позволяет подключать вредоносную DLL-библиотеку и запускать ее на системе с повышенными привилегиями.
С помощью предыдущих версий H1N1 осуществлялось распространение троянских программ Pony и Vawtrack. Но не так давно киберпреступники начали пользоваться только новой версией H1N1. Специалисты Cisco обнаружили спам-кампанию, в рамках которой хакеры рассылают письма с вложенным вредоносным текстовым документом. В нем находится VBA-скрипт, который производит загрузку и установку на компьютер троянской программы H1N1. Как утверждают исследователи, целью киберкампании являются банки, энергетические и телекоммуникационные компании, а также военные и правительственные учреждения.