«Лаборатория Касперского» обнаружила образец вредоносного программного кода, написанного с использованием кроссплатформенной среды для запуска приложений Adobe AIR. В одном из выявленных случаев зловред Airtube был выложен на файлообменном ресурсе под видом программы для взлома аккаунтов популярной социальной сети «ВКонтакте». Кроме того, Airtube может маскироваться под различные приложения: очередное обновление для браузера, бесплатную компьютерную игру и т. д.

В случае загрузки и запуска установочного модуля Airtube создаёт в директории Program Files папку «Взлом ВКонтакте», содержащую файлы Uninstall.exe и Uninstall.ini. Однако они не несут никакой полезной нагрузки и нужны только для усыпления бдительности жертвы. Если запустить файл Uninstall.exe, папка «Взлом ВКонтакте» будет удалена вместе со всем содержимым, однако зловред останется на ПК.

В то же время в системной директории Windows создаётся рабочий каталог вредоноса с необходимыми для функционирования файлами. После этого запускается скрытый процесс, скачивающий с командного сервера набор дополнительных компонентов, предназначенных для проведения DDoS-атак и увеличения количества просмотров видео на хостинге YouTube. В результате компьютер жертвы становится частью ботнета злоумышленников.

На данный момент удалось зарегистрировать появление модификации Airtube только для операционных систем Windows. Однако приложения, написанные с использованием AIR, могут быть запущены на нескольких платформах, для которых Adobe или её партнёры поставляют среду выполнения, включая Mac OS X, Linux и Android. Таким образом, теоретически Airtube может быть задействован для формирования кроссплатформенного ботнета.