Investigadores de Kaspersky Lab analizaron recientemente una pieza de malware dirigido a los tres sistemas operativos más utilizados, Windows, Mac y Linux. Para que una computadora sea comprometida, sólo se necesita que tenga instalada una versión vulnerable de Java.

El troyano está programado totalmente en Java y explota una vulnerabilidad no especificada (CVE-2013-2465) en el componente JRE de Oracle Java SE 7 Update 21 y anteriores, 6 Update 45 y anteriores, además de 5.0 Update 45 y anteriores.

Una vez que el malware se ejecuta, se copia a sí mismo en el directorio principal del usuario y realiza las configuraciones necesarias para asegurarse de ejecutarse cada vez que el sistema es iniciado, se comunica al servidor IRC del botmaster (es quien controla la botnet) por medio del protocolo IRC (Internet Relay Chat), se autentica mediante un identificador único generado por sí mismo.     

La razón principal de la existencia del malware es hacer que las computadoras infectadas realicen ataques de denegación de servicio por inundación a direcciones IP específicas cuando se le es ordenado por medio del canal IRC. El botmaster simplemente tiene que definir la dirección IP de la computadora que va hacer atacada, el número de puerto, la duración del ataque y el número de subprocesos que se utilizarán en el ataque.

Durante el análisis, la botnet se dirige a un servicio de correo electrónico masivo.