Trojan-Downloader.Java.Agent.lc
30.04.2013
Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.
Деструктивная активность
Java-класс "sob" входит в состав JAR архива и является частью единого вредоноса. В архиве также хранятся следующие составляющие троянца:
- asdfgh4.class – 212 байт
- qwertyu45.class – 259 байт
- sob$1.class – 457 байт
- v567345.class – 330 байт
Активация вредоносного Java апплета происходит после открытия зараженной HTML страницы в браузере пользователя. Запуск осуществляется при помощи HTML-тэга "<applet>", для которого, в качестве одного из параметров, указывается главный класс апплета.
Апплету, с HTML страницы, передается параметр - "url". Значением параметра "url" является массив ссылок, которые разделены символом "@". Далее полученные ссылки используются для загрузки другого вредоносного ПО.
Троянец использует уязвимость, которая позволяет вредоносному апплету вызывать привилегированные методы без надлежащей проверки безопасности (CVE-2010-0840). Таким образом, вредонос может выполнять произвольный код на уязвимой системе. Уязвимыми являются Oracle Java SE и Java for Business:
- Java Development Kit (JDK) и Java Runtime Environment (JRE) 6.0 версии 18 обновления и более ранние для Windows, Solaris и Linux;
- Java Development Kit (JDK) и Java Runtime Environment (JRE) 5.0 версии 23 обновления и более ранние для Solaris;
- Software Development Kit (SDK) 1.4.2 версии 25 обновления и более ранние для Solaris.
После успешной эксплуатации уязвимости, вредонос выполняет загрузку файлов по полученным ссылкам. Файлы сохраняются в каталоге хранения временных файлов текущего пользователя с именами:
%Temp%\ms<rnd>cfg32.exe
где rnd – порядковый номер загружаемого файла. Затем при помощи командной строки троянец запускает загруженные файлы на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Обновить Java Runtime Environment и Java Development Kit до последних версий.
- Очистить каталог: %Temp%\
- Произвести полную проверку компьютера антивирусом, с обновленными антивирусными базами.