...würde ich sagen dass es um irgendeine Art von "binary planting" geht. Der JRE-Installer entpackt sich (das MSI) in ein temporäres Verzeichnis (i.d.R. %userprofile%\appdata\locallow\sun\java\). Evtl. wird eine bereits dort irgendwo liegende Datei mit dem richtigen Namen anstatt des echten Installers gestartet oder dieser lädt Dateien von dort nach (MST?). Dadurch kann der Angreifer eigene Dateien ins System kopieren lassen, die später mit höheren Rechten ausgeführt werden.
Tja, der Java-Installer war schon immer Rotz. Z.B. funktioniert der immer noch nicht wenn er unter SYSTEM ausgeführt wird, weil dann das %appdata% unter %systemroot%\system32\ liegt und damit dem WoW64-FilesystemRedirector unterworfen ist, woraufhin msiexec.exe das Paket natürlich nicht finden kann.
Aber das muss wohl so sein, ist ja Qualitätssoftware vom Weltmarktführer. </rant>