Très variés, les e-mails analysés ont un point commun : ils tentent de faire cliquer la cible potentielle sur le lien communiqué. E-mail de banque ou d’institutions officielles sont généralement utilisés dans cette campagne. Dans le cas où un utilisateur clique sur le lien, une page web s’ouvre et essaie de convaincre le visiteur de télécharger une mise à jour pour Adobe Flash Player. Évidemment, cette mise à jour est fausse. Les analyses montrent qu’il contient un code identifié sous le nom Gen : Variant.Kazy.44360.
L’attaque n’est pas pour autant terminée. Même si l’utilisateur prudent ne réalise pas la mise à jour demandée, le site lui-même est dangereux : il intègre un fichier php qui cache un Javascript masqué. Ce Javascript lance une applet qui fonctionne comme un drive-by-Downloader. Il essaie d’exploiter l’ordinateur de l’utilisateur en attaquant une vulnérabilité décrite en tant que CVE-2010-0840. Cette ancienne vulnérabilité, pourtant déjà corrigée, est encore utilisée par les attaquants.

Si l’exploit fonctionne, l’applet télécharge des données supplémentaires sur l’ordinateur cible, qui devient alors un ordinateur infecté. Le fichier téléchargé, une dll. dans ce cas, est le code réel : Zeus est sur l’ordinateur !