Kaspersky Labs araştırmacıları, "Yükünü, internet üzerinden doğrudan RAM'deki javaw.exe işlemine şifreli dll'leri enjekte etmek için kullanıyor" diyor. Yani hem
Windows hem de MacOS
sistemler tehdit altında. Ayrıca bu tarz güvenilir işlemlerin altında çalışan zararlıların
antivirüs programları tarafından da tespit edilmesi zor.
Sisteme yüklendikten sonra, zararlı Windows Kullanıcı Hesap Kontrolüne saldırıyor ve Lurk Trojan'ı yükleyerek bilgisayarı ilgili botnet'e bağlıyor. Zaten zararlının ana hedefi
trojanı yüklemek, RAM'e yerleştiği için de sistem yeniden başlatılsa dahi kaybolmuyor.
Zararlı sisteme girmek için CVE-2011-3544 kodlu Java açığını kullanıyor. Sun Oracle bu açığı kapatalı uzun bir süre oldu ancak herkesin güncellemeyi yüklememesi tehlikenin devam etmesini sağlıyor. Kaspersky'ye göre bu zararlıyı barındıran reklamlar sadece Rus sitelerinde görülmüş durumda. Ayrıca bahsi geçen reklamı yapan şirketten bu zararlı kodların silindiği de verilen bilgiler arasında.
Fakat araştırmacı Sergey Golavanov uyarıyor: "Aynı açığın ya da aynı dosyasız zararlının dünyanın başka yerindeki insanlara karşı kullanılamayacağını garanti edemeyiz, benzeri bannerlar yada reklamlar başka ülkelerdeki ağlarda da olabilir. Sadece Trojan-Spy.Win32.Lurk değil, diğer zararlılar da kullanılabilir."
CHIP