ads slot

Latest Posts:

Срочно нужен инженер схемотехник! Опыт проектирования схем в Altium Designer; ТК; Подробнее здесь

Trojan.Java.Agent.am

Trojan.Java.Agent.am:

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их.

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является JAR-архивом, содержащим набор Java-классов (class-файлы). Имеет размер 4548 байт.

Деструктивная активность

Вредоносный JAR-архив содержит следующие файлы:
bpac\b.class (1422 байта; детектируется Антивирусом Касперского
как "Trojan.Java.Agent.am")
bpac\KAVS.class (672 байта; детектируется Антивирусом Касперского
как "Trojan-Downloader.Java.OpenConnection.cg")
bpac\purok$1.class (481 байт)
bpac\purok.class (3777 байт; детектируется Антивирусом Касперского
как "Trojan-Downloader.Java.Agent.ji")
Meta-inf\Manifest.mf (71 байт)
После запуска троянец проверяет версию Java Runtime Environment, установленного на зараженном компьютере. Деструктивные действия выполняются, если версия JRE лежит в диапазоне от 1.5.0 до 1.6.0_18.
Вредоносный класс "purok" реализует функционал, позволяющий производить загрузку из сети Интернет файла по определенной ссылке и запускать его на выполнение. Вредонос является Java-апплетом. Его запуск осуществляется с зараженной HTML-страницы при помощи тега "<APPLET>", для которого в параметре с именем "a" передается в зашифрованном виде ссылка на загружаемый файл.
Расшифровка ссылки осуществляется при помощи функции "b" класса "b". При расшифровке используются следующие соответствия для входных и выходных символов.
Входные символы:
F#VD@YCR;LKU^ZBQ=&MGS!W%HP?TIK(,AN*J)O$X+E
Выходные символы:
abcdefghij-klmnopqrstuvwxyz/.-_:1234567890
Кроме того, к расшифрованной ссылке присоединяется подстрока:
?i=1
Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как
%Temp%\<rnd>.exe
где <rnd> – случайное дробное десятичное число от 0 до 1 (например: 0.48451780023042745). Перед загрузкой проверяется имя ОС, установленной на зараженной системе. Если ОС отлична от Windows, загрузка не выполняется.
Класс с именем "KAVS" содержит код, предназначенный для эксплуатации уязвимости CVE-2010-0840. Уязвимость проявляется вследствие ненадлежащей проверки при выполнении привилегированных методов в Java Runtime Environment, что позволяет злоумышленнику выполнить произвольный код при помощи определенным образом модифицированного объекта, являющегося подклассом доверенного класса.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
  • Обновить Sun Java JRE и JDK до последних версий.
  • Удалить файл:
    %Temp%\<rnd>.exe
  • Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы .
  • Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.


Share on Google Plus

Автор Мaкс Маб

Я простой житель планеты земля.

Комментарии

comments powered by HyperComments

Алексей Навальный

Мухамеду Али было 74 года

ali from Mab on Vimeo . Он говорил, что хотел бы дожить до ста лет. Мохаммед Али – один из самых известных боксеров в истории мировог...

Получайте обновления на Email

Проблемы на работе?