但是，當他在為Pushdo木馬下載工具進行反向編譯時，他發現，一個現代的惡意軟件傳播系統中都包含了復雜的追蹤手段和藏匿技術――這也是反病毒事業將面臨更加狡猾和經驗老道的敵人的又一個標志。

Pushdo木馬在2007年中一度進入十大惡意軟件名單

    一名資深反向工程師Stewart花費了他一生的大量時間來破解惡意軟件的樣本，他說，為Pushdo提供動力的控制服務器大約預載入了421個不同的可執行惡意軟件――它們都在等著通過交付感染到Windows機器。

    惡意軟件本身通過垃圾郵件形式，發送電子賀卡式的東西或圖片到他人郵箱，偽裝成好萊塢女影星Angelina Jolie或Holly Berry的裸體圖片，而這些偽裝的內容實際攜帶著黑客設計的旨在控制受染主機的惡意木馬程序。

    一旦木馬被執行，Pushdo就會立即反饋嵌入這個代碼的IP地址，并連接到一個謊稱是Apache Web的服務器，并監聽TCP端口80。

    Stewart在一次采訪中說：“我們曾經見過一些精密的木馬下載程序，但這是第一次在代碼最后測試控制階段看到這樣的追蹤方式。這種惡意軟件完成的是一種級別要高得多的偵察，能夠確保它攻擊中了正確的目標?！?/P>

    對于新手來說，Pushdo控制器還會使用GeoIP地理定位數據庫來關聯國家代碼的白名單和黑名單，能夠讓惡意軟件分發工具將一個惡意軟件限制在一個特定的國家中進行感染傳播。Stewart說，這也就使得定位某個或者某些國家作為攻擊目標時能夠用上特定的彈藥。

    每位受害者都會被仔細地追蹤。Stewart發現，Pushdo會記錄受感染機器的IP地址，無論是否在這臺計算機上的管理員帳戶中。

    它還會進一步，記錄下受害者主硬盤的序列號，無論文件系統是否NTFS格式，它都會進行追蹤，還有受害者打開不同的Pushdo的版本數，以及執行了惡意軟件的Windows操作系統版本。

    Stewart有些困惑于追蹤硬盤序列號的需要，但提出，這樣的一種方式能夠為受感染的系統提供獨一無二的ID，計算出是否有一臺虛擬機被用來分析惡意軟件。Stewart說，這是意義非常重大的，因為反病毒公司都會使用VM來在一個受控的環境下將惡意軟件文件剔除出來。

    “他們已經能夠在VM中對惡意軟件文件進行偵測，但現在是在下載文件中，惡意軟件作者能夠進行預先的探測，完全避免被反病毒工具發現到。對于惡意軟件作者來說，這將會是一個非常好的手段，能夠用來探測反病毒公司所使用的用來監視惡意軟件下載點的自動化工具?！彼趯ushdo控制器進行詳細分析時解釋道。

    Stewart還發現了Pushdo中被他稱為一種“反反惡意軟件功能”的東西。木馬下載文件會關注所有運行進程，并比照反病毒軟件個人防火墻程序中預載入的名單。他補充說道：“我感覺，他們只是追蹤那些較容易攻擊的防火墻，再去計算出哪些是需要他們做更多工作去攻破的。”

    不同于其它的病毒，它們是想要摧毀反病毒軟件的進程，Pushdo僅僅是要回饋出控制器所運行的位置。這種“預先偵測的類型”能夠幫助判斷哪些反病毒引擎或者防火墻能夠防止惡意軟件運行或者向主機進行回饋。他補充說道：“Pushdo作者所采用的這種方式就使得，他們無須為每個反病毒工具或者防火墻產品去維護一個測試環境。”

    Stewart在最后一次對這個控制器的研究中發現，不止存在一個惡意軟件樣本――其中所有的樣本都具有“rootkit”的特征，能夠在受感染的計算機上維持隱匿的身份。他還發現垃圾郵件的僵尸網絡能夠用來交付大量你不想要的電子郵件廣告，或者是觸發一些削弱你系統的Dos攻擊。