Zeer waarschijnlijk zijn naast Google, Juniper en Adobe nog veel meer bedrijven door Chinese hackers gehackt, maar hoe kunnen bedrijven zien of ze ook besmet zijn? Beveiligingsbedrijf McAfee heeft een document online gezet met de door de aanvallers gebruikte domeinnamen en bestanden. Daaruit blijkt dat men legitieme bestandsnamen gebruikte. De beveiliger adviseert daarom om goed naar de md5-hashes te kijken. Verder is het verstandig om ook het uitgaande verkeer tussen 10 december 2009 en 6 januari 2010 op de genoemde domeinen te controleren. In het geval er een bestand of domein wordt gevonden, krijgen bedrijven het advies om direct met McAfee contact op te nemen. Om dit soort zero-day aanvallen te voorkomen, kunnen bedrijven whitelisting toepassen.

Concurrent Symantec heeft inmiddels een uitgebreide analyse van het gebruikte Trojaanse paard online gezet. In de malware vonden de onderzoekers onder andere de servernaam , poortnummer en wachttijd. Zodra de Trojan de Command & Controle server kent, probeert het via een specifieke poort verbinding te maken. Lukt dit niet, dan gaat de malware twee minuten "slapen", om het zenden vervolgens weer te proberen. Verder lijkt het erop dat er een cloud-gebaseerd systeem is gebruikt voor het automatisch updaten van de malware.

Schakel
Reuven Cohen vindt dat iedereen de hack in het juiste perspectief moet zien. "Wat deze hack werkelijk bewijst, is dat mensen eenvoudiger te hacken zijn dan netwerken. De zwakste schakel zijn altijd de mensen die stom genoeg zijn om een onbekende bijlage te openen, ook al lijkt die van iemand te komen die ze kennen." Volgens Cohen is dat het mooie van social engineering aanvallen. "De e-mail lijkt van je moeder, vader, vriend of collega te komen."

De les die we hieruit moeten trekken is dat gebruikers geen bijlagen moeten openen die ze niet kennen en ten tweede, dat Trojaanse paarden nog steeds een dreiging zijn. Toch lijkt het advies van Cohen in een bedrijfsomgeving niet altijd haalbaar. Werknemers ontvangen dagelijks talloze e-mails met bijlagen en hebben vaak niet de tijd of zin om bij elke afzender te verifiëren of het wel om een legitiem bestand gaat.

Praetorian Prefect maakte de volgende video die de werking van de exploit demonstreert.