Технические детали
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в Sun Microsystems Java (CVE-2008-5353) и (CVE-2009-3867). Является Java-классом (class-файл). Имеет размер 9005 байт.
Деструктивная активность
В ходе своего выполнения эксплоит использует уязвимость в виртуальной машине Java (Java Virtual Machine), которая проявляется при десериализации объектов "Calendar" в Sun Java VM (CVE-2008-5353), и позволяет атакующему выполнять апплет с повышенными привилегиями. Уязвимыми являются Java Runtime Environment (JRE) для Sun Java Development Kit (JDK) и JRE6 10-е Обновление и более ранние версии; JDK и JRE 5.0 16-е Обновление и более ранние версии; Software Development Kit и JRE 1.4.2_18 и более ранние.
Кроме того, эксплоит использует уязвимость, которая возникает при некорректной обработке параметра функции getSoundBank() в Sun Java SE в JDK и JRE 5.0 до 22 обновления; в JDK и JRE 6 до 17 обновления, SDK и JRE 1.3.x до 1.3.1_27 версии; SDK и JRE 1.4.x до 1.4.2_24 версии.
Данная уязвимость предоставляет вредоносу возможность загружать из сети Интернет файл по некоторой ссылке. Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя "%Temp%" как
%Temp%/pdfupd.exe
и в случае успешной загрузки запускается на выполнение. Запуск вредоноса осуществляется с зараженной HTML-страницы при помощи тега "APPLET", для которого в качестве одного из параметров указывается ссылка на загружаемый файл.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Обновить Sun Java JRE и JDK до последних версий.
- Удалить файл:
%Temp%/pdfupd.exe
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
