此次攻擊波及了全球范圍內(nèi)的各種行業(yè)，截至6月27日下午四點(diǎn)，已經(jīng)檢測(cè)并成功攔截了60,000多個(gè)實(shí)例。下圖為電子郵件截圖：

被攔截的電子郵件中包含新聞快訊，而且都是針對(duì)移民改革政策、反恐戰(zhàn)爭(zhēng)和向敘利亞派遣駐軍等當(dāng)前最受歡迎和極具爭(zhēng)議的話題，很有說服力，因此會(huì)引起收件人的興趣。這些檢測(cè)到的電子郵件主題主要有：“美國(guó)在敘利亞的軍事活動(dòng)——這是第三次大戰(zhàn)的開端嗎？”、“美國(guó)在敘利亞駐軍19,000人”、“奧巴馬向敘利亞派遣駐軍”等。
惡意電子郵件分析
這些電子郵件中往往包含一系列可以重定向的鏈接，將用戶引至提供惡意PDF文件的BlackHole漏洞利用工具包。一旦此惡意PDF文件被打開，就會(huì)執(zhí)行可以提供“CVE-2010-0188”漏洞的嵌入混淆JavaScript代碼。在被成功入侵的電腦上，shellcode會(huì)從以下網(wǎng)址下載一個(gè)惡意組件：
下圖則是這些電子郵件中包含的可以實(shí)現(xiàn)重定向的鏈接：

所下載的惡意組件是一個(gè)木馬病毒，它可以將惡意文件下載至被入侵的電腦上，并且可以通過映射驅(qū)動(dòng)器與可移動(dòng)驅(qū)動(dòng)器進(jìn)行傳播。
惡意PDF文件分析
攻擊者將Java腳本語(yǔ)言嵌入到惡意PDF文件中，此類文件成功入侵受害者的電腦后，就會(huì)生成Windows注冊(cè)表項(xiàng)HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\，可以在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行，來保持自身的持久性。當(dāng)惡意PDF文件開始執(zhí)行時(shí)，就會(huì)打開8080端口上的許多HTTP鏈接，以下載更多的惡意載荷。端口信息如下圖所示：

相關(guān)域名
上述的PDF漏洞可以下載托管在域名(hxxp://sartorilaw.net)上的惡意軟件，該域名于2013年6月25日首次注冊(cè)，利用三個(gè)不同的IP地址(119.147.137.31、203.80.17.155、174.140.166.239)，用來大量托管惡意軟件。以下是所檢測(cè)的域名注冊(cè)信息：
惡意網(wǎng)域
聯(lián)系郵箱：
域名注冊(cè)人：Cabrieto，
此外，對(duì)聯(lián)系郵箱和注冊(cè)人的WhoIS查找顯示，就在同一天，同一注冊(cè)人同一郵箱注冊(cè)了第二個(gè)域名(hxxp://enterxcasino.net)。這個(gè)域名并沒有用于此次攻擊中，但是極有可能被攻擊者用于以后的某些惡意攻擊中。