Технические детали
Троянская программа, которая использует уязвимость в Oracle Java SE (CVE-2010-0840) для выполнения произвольного кода на уязвимой системе. Является Java-классом (class-файл). Имеет размер 6592 байта.
Деструктивная активность
Активация вредоносного Java апплета происходит после открытия зараженной HTML страницы в браузере пользователя. Запуск апплета осуществляется при помощи HTML тэга "applet" для которого, в качестве одного из параметров, указывается главный класс приложения:
code=`setup.lang.class`
JAR архив содержащий данный вредоносный класс:
archive=`tetris.jar`
а также параметр "pid", значением которого является зашифрованная ссылка. Эксплоит использует уязвимость, которая позволяет вредоносному апплету вызывать привилегированные методы без надлежащей проверки безопасности (CVE-2010-0840).Таким образом, эксплоит может выполнять произвольный код на уязвимой системе.
Уязвимыми являются Oracle Java SE и Java for Business:
- Java Development Kit (JDK) и Java Runtime Environment (JRE) 6.0 версии 18 обновления и более ранние для Windows, Solaris и Linux;
- Java Development Kit (JDK) и Java Runtime Environment (JRE) 5.0 версии 23 обновления и более ранние для Solaris;
- Software Development Kit (SDK) 1.4.2 версии 25 обновления и более ранние для Solaris.
После успешной эксплуатации уязвимости, вредонос расшифровывает полученную ссылку и выполняет по ней загрузку файла. Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя под именем:
%Temp%/rnd.exe
где rnd – случайное дробное число, например, "0.8608151138918041" или "0.6955395946128761". Затем исполняемый файл запускается на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Обновить Oracle Java JRE и JDK до последних версий.
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|