Exploit.JS.Agent.bcc
19.05.2013
Технічні деталі
Програма-експлоїт, що використовує уразливості системи для виконання завантаження і запуску іншого шкідливого ПЗ. Являє собою HTML документ, який містить в собі сценарії Java Script. Має розмір 34172 байта.
Деструктивна активність
Після відкриття зараженої сторінки в браузері, за допомогою сценаріїв Java Script, шкідливий розшифровує і запускає свій код на виконання.
Потім, використовує уразливість в Java Deployment Toolkit (JDT), яка виникає через некоректну обробки URL, що дозволяє зловмисникові передавати довільні параметри в Java Web Start (Дж.). Зловмисник спеціальним чином формує посилання і передає її в якості параметра вразливою функції «Launch ()". Таким чином, шкідливий використовуючи Java аплет, який розташовується на мережевому ресурсі з ім'ям: \ \ 85 *** .190.10 \ Public \ photo1.jpg завантажує і запускає на виконання шкідливий файл, який розташовується за посиланням:. Http :/ / sd * ** sdas.co.cc / X / l.php? S = samba1 &
Також використовуючи уразливість в Java Deployment Toolkit і в NPAPI Java (CVE-2010-1423) в модулі "javaws.exe", яка існує за некоректної обробці параметрів "launchjnlp" і "docbase", експлоїт намагається за допомогою Java-аплета, який розміщується за посиланням: \ \ 85 *** .190.10 \ Public \ photo1.jpg намагається завантажити і виконати файл, який знаходиться за наступним URL-адресою.:
http://s *** sdas.co.cc / X / l.php? S = samba2 &
Для виконання шкідливого сценарію в MS Internet Explorer, експлоїт використовує ActiveX об'єкти з унікальними ідентифікаторами:
{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}
{8AD9C840-044E-11D1-B3E9-00805F499D93}
Для виконання в Mozilla Firefox і в інших браузерах NPAPI, експлоїт визначає наступні MIME типи:
Додаток / NPRuntime-сценаріїв-плагіна; deploymenttoolkit
Додаток / Java-розгортання-інструментарій
застосування / х-Java-аплет
Далі шкідливий намагається запустити в браузері користувача шкідливий Java-аплет, який розташовується за посиланням:
http:// <доменное_имя_зараженного_сервера> / 1.zip
На момент створення опису посилання не працювала.
Для даного аплету, в якості головного класу, задається клас з ім'ям:
JavaUpdateManager
Як аргумент аплету передається параметр з ім'ям "ID" і зі значенням:
DHL & L & L5a8bZbZLaD & LaLaD & DVLablDaDZblDaDabZLHbZDcblL5DHL5aZLaa7LaDZL? Міжміського і BDDV
Експлоїт, використовуючи ActiveX об'єкти з наступними унікальними ідентифікаторами:
{BD96C556-65A3-11D0-983A-00C04FC29E30}
{BD96C556-65A3-11D0-983A-00C04FC29E36}
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}
{0006F033-0000-0000-C000-000000000046}
{0006F03A-0000-0000-C000-000000000046}
{6E32070A-766D-4EE6-879C-DC1FA91D2FC3}
{6414512B-B978-451d-A0D8-FCFDF33E833C}
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
{06723E09-F4C2-43C8-8358-09FCD1DB0766}
{639F725F-1B2D-4831-A9FD-874847682010}
{BA018599-1DB3-44F9-83B4-461454C84BF8}
{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}
{E8CCCDDF-CA28-496B-B050-6C07C962476B}
а також використовуючи уразливості в ActiveX компонентах "MSXML2.XMLHTTP", "Microsoft.XMLHTTP" і "MSXML2.ServerXMLHTTP" (CVE-2006-0003), намагається завантажити файл, розташований за наступним посиланням:
http://s *** sdas.co.cc / X / l.php? S = m7NEW
і за допомогою ActiveX об'єкта "ADODB.Stream" зберегти отриманий файл під ім'ям:
% Temp% \ Updates.exe
Після цього завантажений файл запускається на виконання.
Після цього, шкідливий, в прихованому фреймі виконує сценарій, який експлуатує уразливість в центрі довідки та підтримки MS Windows. Шкідливий використовує уразливість, яка виникає при некоректній обробці функцією "MPC :: HexToNum" втечу-послідовностей в URL додатків Microsoft Windows Допомога та Підтримка Центр (helpctr.exe) (MS10-042, CVE-2010-1885). Успішне використання уразливості дозволяє зловмисникові виконати команди, які передаються в спеціально сформованому "ГПУ :/ /" URL. Вразливими є продукти Microsoft - MS Internet Explorer 8 і Windows Media Player 9. Шкідливий, за допомогою спеціально сформованого запиту, створює Java-скрипт "exe.js", який запускає на виконання.
Після запуску Java-скрипта, шкідливий, використовуючи ActiveX об'єкт "MSXML2.XMLHTTP", виконує завантаження файлу, який розташовується за наступним URL:
http://s *** sdas.co.cc / X / l.php? S = newhcp
і зберігає його в каталозі зберігання тимчасових файлів поточного користувача під ім'ям:
% Temp% \ exe.exe
Також, за допомогою командного рядка, експлоїт завершує процес з довідки та підтримки Microsoft Windows:
helpctr.exe
і видаляє файл скрипта "exe.js". Після успішного завантаження файл запускається на виконання.
Далі шкідливий визначає встановлені в браузері плагіни і ActiveX об'єкти Adobe Reader і Adobe Acrobat. Для виконання шкідливого сценарію в MS Internet Explorer, троянець використовує ActiveX об'єкт з унікальним ідентифікатором:
{CA8A9780-280D-11CF-A24D-444553540000}
Для виконання в Mozilla Firefox і в інших браузерах NPAPI, троянець визначає наступні MIME типи:
Додаток / vnd.adobe.pdfxml
Додаток / vnd.adobe.x-Марс
Після чого, залежно від версії встановленого "PDF Reader" - відкриває шкідливі PDF документи по одній з посилань:
http:// <доменное_имя_зараженного_сервера> / img1.php? S = I <версія_ PDFReader>
Якщо версія встановленого "PDF Reader" вище 9,0 - відкриває в прихованому фреймі наступний ресурс:
http:// <доменное_имя_зараженного_сервера> / zzimg.php
Уразливі версії Adobe Reader - версія 8.0.0 і більш ранні, а також всі версії Adobe Reader до 9.3.1.
Також шкідливий використовує уразливість, яка існує в Microsoft Internet Explorer через помилку "використання після звільнення" (використання після звільнення) у компоненті "Peer об'єкти" в "iepeers.dll" при некоректній обробці методу PersistUserData :: SetAttribute () ( CVE-2010-0806). В результаті експлоїт намагається виконати завантаження файлу, який розміщується за посиланням:
http://s *** sdas.co.cc / X / l.php? S = ie6_PR
і зберегти його в каталозі зберігання тимчасових файлів браузера з ім'ям:
% Temp% \ e.exe
Потім завантажений файл запускається на виконання. На момент створення опису посилання не працювали.
Рекомендації з видалення
Якщо ваш комп'ютер не був захищений антивірусом і виявився заражений даної шкідливою програмою, то для її видалення необхідно виконати наступні дії:
Видалити оригінальний файл експлоїта (його розташування на зараженому комп'ютері залежить від способу, яким програма потрапила на комп'ютер).
Видалити файли:
% Temp% \ Updates.exe
% Temp% \ exe.exe
% Temp% \ e.exe
Встановити оновлення:
http://www.microsoft.com/technet/security/bulletin/ms10-042.mspx
http://www.microsoft.com/technet/security/bulletin/ms06-014.mspx
http://www.microsoft.com/technet/security/bulletin/ms10-018.mspx
Очистити каталог Temporary Internet Files, що містить інфіковані файли:
% Temporary Internet Files% \
Оновити Sun Java JRE і JDK до останніх версій.
Встановити останню версію Adobe Reader і Adobe Acrobat.
Вимкнути вразливі ActiveX об'єкти.
Провести повну перевірку комп'ютера антивірусом з оновленими антивірусними базами.