Het zero-day lek dat hackers actief misbruiken voor het overnemen van systemen, was ooit een onschuldig bestand, zo blijkt uit analyse. Aanvallers veranderden slechts één byte aan het oorspronkelijk onschuldige SWF-bestand, waardoor Adobe vandaag met een noodpatch zal komen. Door de tekst in het bestand te 'Googlen', ontdekte beveiligingsbedrijf Websense dat de exploit van een goedaardig bestand afkomstig was. "Dit betekent mogelijk dat de aanvaller het SWF-bestand voor dummy fuzzing gebruikte", zegt analist Matt Oh.

Via een SWF decoder ontdekte hij dat het verschil met het originele bestand slechts één byte is. Uit analyse van Oh blijkt dat de aanvallers heap spray toepasten. "Heap-spray zorgt ervoor dat veel beveiligingslekken zijn te misbruiken, waarvan eerst werd gedacht dat ze nutteloos waren. Code auditors moeten beter opletten bij het zoeken van dit soort lekken."

Inmiddels heeft ook Zynamics een zeer uitgebreide analyse van de exploitcode online gezet, inclusief het kwaadaardige PDF-bestand! "Het kwaadaardige PDF-bestand zit in het ZIP pakket. Let dus op en backdoor jezelf niet per ongeluk", merkt Sebastian Porst op.