Onderzoekers hebben weer malware ontdekt die Java downloadt om een computer verder te infecteren. Standaard gaan de aanvallers ervan uit dat Java al op het systeem aanwezig is. De aanval waar anti-virusbedrijf McAfee over bericht begint met een e-mail die als bijlage een Java-bestand (.jar) heeft.

Jar-bestanden kunnen alleen worden geopend wanneer Java op het systeem staat. Het meegestuurde Jar-bestand bevat weer een visual basic script (VBS) dat een remote administration tool (RAT) installeert waarmee aanvallers het systeem op afstand kunnen besturen. In het geval Java niet geïnstalleerd is zal de aanval mislukken. Het kan echter voorkomen dat het visual basic script los op een systeem wordt uitgevoerd, zo laat McAfee aan Security.NL weten. In dit geval downloadt en installeert het script eerst Java en voert daarna het Jar-bestand uit.

Deze werkwijze heeft overeenkomsten met een aanval die afgelopen oktober werd waargenomen. Bij deze aanval ontvingen slachtoffers een ZIP-bestand met daarin een Jar- en een VBS-bestand. Het VBS-bestand downloadde Java als het nog niet op het systeem geïnstalleerd stond. Vervolgens werd er een RAT geïnstalleerd.

Image