Не так давно нам стало известно , об интересном инциденте с использованием Java/Exploit.CVE-2011-3544 . Собственно основной интерес скрывался в том, что помимо стандартной активности по HTTP протоколу, была замечена загрузка полезной нагрузки через FTP. Причем эксплойт CVE-2011-3544 использовавшийся для этой атаки не подходил не под один шаблон, который был известен в составе распространенных эксплойт паков.
Сразу после посещения вредоносной веб-страницы начиналась атака с использованием Java/Exploit.CVE-2011-3544:
Проанализировав сетевую активность сразу бросается в глаза загрузка /1/s.hmlпо протоколу FTP, а в дальнейшем и загрузка /1/exp.jarтем же способом.