Sicherheitslücken in Anwendungsprogrammen
Diese Analysestufe stellt zunächst fest, welche Browser-Version und welches Betriebssystem auf dem PC des potenziellen Opfers läuft. Auch die installierten Browser-Erweiterungen und Plug-ins werden analysiert. Findet das Script zum Beispiel eine alte Version des Flash Player oder des Adobe Reader, lädt es den dazu passenden Exploit.
Das beliebteste Angriffsziel sind Windows-Rechner, deren Benutzer mit dem Internet Explorer ins Web gehen. Zusammen mit vielen veralteten und anfälligen ActiveX-Steuerelementen bietet diese Kombination die besten Erfolgsaussichten. Die Angreifer benutzen präparierte Videos, Flash-Animationen, PDF-Dokumente und andere aktive Inhalte, die vom Browser automatisch geladen und zur Anzeige an das anfällige Plug-in weiter gereicht werden.
Die präparierten Multimedia-Dateien enthalten Code, der das Plug-in und oft auch den Browser zum Absturz bringen kann. Dabei wird zuvor in den Arbeitsspeicher des Rechners eingeschleuster Code ausgeführt. Dieser so genannte Shell-Code legt dann eine Programmdatei auf dem Rechner ab, die ein Trojanisches Pferd enthält. Dieses lädt weitere Malware aus dem Internet nach oder richtet selbst Schaden an.
In den meisten Fällen bekommen die Opfer solcher Angriffe nichts davon mit. Führt ein Angriff zum Absturz des Browsers, wird dies selten mit einem Malware-Angriff in Verbindung gebracht. Malware arbeitet heute möglichst unauffällig.