Данное программное обеспечение распространено в странах, где власти практикуют интернет-блокировки, так как позволяет маршрутизировать трафик через независимые сетевые серверы и передавать пользователям информацию с тех ресурсов, прямой доступ к которым для жителей той или иной страны закрыт.
По словам Честера Висниевски, технического консультанта Sophos, поддельная версия Green Simurgh содержит в себе шпионские модули, перехватывающие данные об интернет-активности пользователям, а также снимающей данные о клавиатурных нажатиях. По своей архитектуре Green Simurgh не требует инсталляции и может запускаться прямо с UBS-носителя или оптического диска, чтобы программу можно было применять в интернет-кафе и публичных местах.
Данный софт стал популярен в Иране с 2009 года, тогда как в Сирии его начали использовать одновременно с началом беспорядков в стране и попытками властей подавить их силовыми методами. "В Сирии несколько групп активистов пропагандировали использование Green Simurgh среди местных пользователей, чтобы иметь возможность пользоваться соцсетями", - говорит Морган Маркис-Бойре, технический консультант канадской Citizen Lab.
Сейчас значительная часть вредоносных копий Green Simurgh распространяется с сайта 4shared.com в виде архива Simurgh-setup.zip. Архив содержит в себе исполняемый файл, маскирующийся под инсталлятор Green Simurgh. При запуске в Windows, инсталлятор ставит настоящий Green Simurgh, но подсаживает с ним и троянца, работающего в фоновом режиме.
Троянец пытается перехватить логины и пароли пользователя, имя машины, данные об интернет-сессиях и информацию о рабочих программах. Висниевски говорит, что собранные логи троянец отправляет на сервер, работающий на площадке американского провайдера, но зарегистрированного на пользователя в Саудовской Аравии. "С учетом того, что в режимных странах Green Simurgh нашел серьезное распространение, появление вредоносной версии этого прокси-сервера, может вызвать серьезные негативные последствия", - предупредил Висниевски.
Чтобы снизить вероятность использования вредоносной версии сервера, Sophos предлагает скачивать Green Simurgh только с официального сервера и проверять контрольную сумму загруженного архива.