Trojan-Downloader.Java.Agent.lc
30.04.2013
Технічні деталі
Троянська програма, яка без відома користувача завантажує на комп'ютер інше програмне забезпечення і запускає його на виконання. Є Java-класом (class-файл). Має розмір 3458 байт.
Деструктивна активність
Java-клас "sob" входить до складу JAR архіву і є частиною єдиного шкідливий. В архіві також зберігаються такі складові троянця:
- asdfgh4.class - 212 байт
- qwertyu45.class - 259 байт
- sob $ 1.class - 457 байт
- v567345.class - 330 байт
Активація зловмисних Java аплету відбувається після відкриття зараженої HTML сторінки в браузері користувача. Запуск здійснюється за допомогою HTML-тега "<applet>", для якого, в якості одного з параметрів, вказується головний клас аплета.
Аплету, з HTML сторінки, передається параметр - "url". Значенням параметра "url" є масив посилань, які розділені символом "@". Далі отримані посилання використовуються для завантаження іншого шкідливого ПЗ.
Троянець використовує уразливість, яка дозволяє шкідливому аплету викликати привілейовані методи без належної перевірки безпеки (CVE-2010-0840). Таким чином, шкідливий може виконувати довільний код на вразливою системі. Вразливими є Oracle Java SE і Java for Business:
- Java Development Kit (JDK) і Java Runtime Environment (JRE) 6.0 версії 18 поновлення і більш ранні для Windows, Solaris і Linux;
- Java Development Kit (JDK) і Java Runtime Environment (JRE) 5.0 версії 23 поновлення і більш ранні для Solaris;
- Software Development Kit (SDK) 1.4.2 версії 25 поновлення і більш ранні для Solaris.
Після успішної експлуатації уразливості, шкідливий виконує завантаження файлів за отриманими посиланнях. Файли зберігаються в каталозі зберігання тимчасових файлів поточного користувача з іменами:
% Temp% \ ms <rnd> cfg32.exe
де rnd - порядковий номер файла, що завантажується. Потім за допомогою командного рядка троянець запускає завантажені файли на виконання.
Рекомендації з видалення
Якщо ваш комп'ютер не був захищений антивірусом і виявився заражений даної шкідливою програмою, то для її видалення необхідно виконати наступні дії:
- Оновити Java Runtime Environment і Java Development Kit до останніх версій.
- Очистити каталог: % Temp% \
- Провести повну перевірку комп'ютера антивірусом, з оновленими антивірусними базами.