Kaspersky Labovi programi so omenjene izkoriščevalske aplikacije zaznali pod imeni »Downloader.Java.OpenConnection.dn« in »Downloader.Java.OpenConnection.do. JAVA izkoriščevalska orodja gostujejo na domeni, ki je tudi sicer znana po distribuciji lažnih antivirusnih izdelkov. Za prenos in namestitev zlonamernih aplikacij je uporabljena datoteka A VBS (zaznana pod imenom Trojan-Downloader.VBS.Small.iz). Ko je računalnik enkrat okužen, začne prikazovati lokalizirane spletne oglase. Na eno uspešno okužbo se zgodi do pet zagonov zlonamernih datotek, registracija ene storitve DLL in veliko na novo ustvarjenih zaznamkov opravil.

Lažne donacije

Poleg tega se je pojavila tudi neželena elektronska pošta, ki poziva k donacijam za Japonsko. V Kaspersky Labu so si pobližje ogledali enega o takih sporočil in odkrili sledeče podrobnosti. Neželena elektronska pošta je bila poslana iz IP naslova v Kanadi preko strežnika v Španiji. Polji »Od« in »Za« kažeta japonski email naslov in sta najverjetneje ponarejeni, medtem ko osrednje sporočilo kot prejemnika donacij poslanih preko Western Union, omenja »Sasiki Nakatawo«, zelo nenavadno, če ne celo izmišljeno ime. Nadalje sporočilo prejemnike, potencialne žrtve, prosi, da naj svoje podatke in kontrolno številko za nakazilo denarja posredujejo na email naslov v Hong Kongu. Pisava v sporočilu je nastavljena v »Windows-1251« (cirilica).

Zlonamerne spletne strani - Incognito

V analizi neželene elektronske pošte so Kaspersky Labovi strokovnjaki ugotovili, da zlonamerne povezave vodijo do spletne strani Incognito. Kampanja pa se je pojavila tudi na Twitterju. Omenjena elektronska sporočila prekrivajo svojo pravo obliko s preobleko Twitterjevega podpornega sporočila, ki sporoča, da imate 6 neprebranih sporočil iz Twitterja. Poleg tega sporočilo oglašuje video »Inside the Fukushima’s exclusion zone«. Ob kliku na povezavo slednja preusmeri uporabnike na okuženo spletno stran Incognito, na kateri so nameščeni zlonamerni programi – različice trojanca »Trojan-Downloader.Win32.Codecpack«.

Kaspersky Labovi strokovnjaki aktivno spremljajo tako omenjeno kot tudi ostale podobne zlonamerne spletne strani. V preteklih dneh so se zlonamerne domene, ki gostijo izkoriščevalske programe spremenile kar osemkrat, ob tem pa še vedno poskušajo okužiti uporabnike. Ob dekriptiranju okuženih spletnih strani so Kaspersky Labovi strokovnjaki našli naslednje izkoriščevalske programe namenjene za okužbo uporabnikov:
• Java Deployment Toolkit: »CVE-2010-0886 - April 2010«, ki izvaja nezadostno validacijo parametrov, ki vodi do izvršbe oddaljene kode.
• Help Center URL Validation Vulnerability: »CVE-2010-1885 – June 2010« ustvari VBS datoteko, ki na uporabnikov računalnik prenese zlonamerni program, ta pa s pomočjo »taskkill« ukaza uniči center za pomoč.
• Java Parse Midi vulnerability : CVE-2010-0842 - April 2010«
• Navigation Method Cross-Domain Vulnerability - CAN-2004-0549 (ms04-25), ki napade Internet Explorer ter dovoli izvršitev oddaljene kode.

Okužene PDF datoteke

Zlonamerni programi pogosto vsebujejo tudi okužene PDF datoteke; tako je tudi v primeru Incognita. Okuženi PDF-ji preko jezika JavaScript izkoriščajo štiri ranljivosti programa Adobe Reader. Glede na verzijo Adobe Readerja, ki jo imajo namečšeno uporabniki, se pojavijo naslednje zlonamerne datoteke: Adobe Reader Collab GetIcon CVE-2009-0927; Adobe Reader util.printf CVE-2008-2992; Adobe Reader newPlayer CVE-2009-4324; Adobe Reader CollectEmailInfo CVE-2007-5659.

Zlonamerne spletne strani – Brazilija

Kaspersky Labovi strokovnjaki so preiskali tudi zlonamerno spletno stran, na kateri je v portugalščini napisano: »Novo tsunami atinge a região de Sendai e Japão declara estado de emegência em usina nuclear,« kar v prevodu pomeni »Nov tsunami je dosegel območje Sendai, Japonska je razglasila urgentno stanje v nuklearni elektrarni«.

Ob kliku na vsebino spletne strani se začne prenos izvršljive datoteke, ki so jo v Kaspersky Labu zaznali kot »Trojan-Downloader.Win32.AutoIt.po«. Ko se datoteka naloži, se iz okužene spletne strani v Braziliji poleg nje prenesejo še tri binarne datoteke. Po uspešni namestitvi, računalnik poskuša povezati z lokacijami kot sta »wab.php« in »contador.php«, ter dostopati do spletne strani »www.visa.com.br'« in druge lokacije, ki pa je bila očitno že očiščena okužbe, saj vrača obvestilo »404 errors«.

Kaspersky Labova ekipa »Incident Research and Response Team« je poskusila kontaktirati lastnike/ISPje okužene spletne stran, da bi jih opozorila na incident, vendar pa so do sedaj kot odgovor prejeli zgolj elektonsko pošto abuse@, ki pa ni v veliko pomoč internetni skupnosti. Videti je, da ima spletna stran tudi druge probleme, zato ni jasno ali je njihovo opozorilo sploh doseglo koga. Kakorkoli že, uporabniki Kaspersky Labovih rešitev so že zaščiteni pred opisano grožnjo, saj Kaspersky Labove rešitve že zaznavajo vse dele napada.