Odkryta 26 sierpnia, a załatana już 30 sierpnia luka w Javie 1.7x jest nadal niebezpieczna i wykorzystywana przez szkodniki.

Pomimo wydania aktualizacji dla luki CVE-2012-4681 ta nadal jest wykorzystywana przez szkodniki, między innymi przez Trojan.Rodricter.

Do rozprzestrzeniania się szkodnika wykorzystywane są shackowane strony internetowe, które w szczególności mają zmodyfikowane pliki .htaccess. W momencie odwiedzenia strony uruchamiany jest łańcuch przekierowań zależnych od używanego systemu operacyjnego atakowanego komputera. To powoduje uruchamianie różnych exploitów.

Same serwery, na które przenoszeni są użytkownicy też są bardzo szybko zmieniane i to praktycznie co godzinę.

W momencie znalezienia luki w komputerze aplet Javy odszyfrowuje klasę plików w celu pobrania i uruchomienia pliku wykonywalnego zawierającego szkodnika Trojan.Rodricter.21.

Sam trojan jest rootkitem i posiada w sobie kilka elementów. Uruchamia na komputerze droppera oraz debuggera oprogramowania antywirusowego. Później stara się zwiększać swoje przywileje. Szkodnik ten wyłącza także kontrolę konta użytkownika UAC. Infekuje jeden z głównych sterowników systemu aby siebie ukryć i zmienia ustawienia przeglądarek np instalując dodatkowy plugin w Firedoxie: SearchPlugins. Na koniec modyfikuje plik HOSTS.

źródło: anti-malware.ru