Технические детали
Вредоносная программа, выполняющая деструктивные действия на компьютере пользователя. Представляет собой HTML документ, который содержит сценарии языка Java Script. Имеет размер 66821 байт.
Деструктивная активность
После запуска троянец пытается запустить вредоносный Java-апплет, который располагается по ссылке:
http://доменное_имя_зараженного_сервера/games/javaobe.jar
Данный апплет имеет размер 7171 байт и детектируется антивирусом Касперского как Trojan-Downloader.Java.OpenConnection.dc.
Для апплета, в качестве главного класса, задается класс с именем:
kilo.perev.class
При запуске апплета в параметрах передаются следующие значения:
archive=`./games/javaobe.jar`
value=`зашифрованная_ссылка`
name="dskvnds"
Затем троянец снимает обфускацию со своего вредоносного сценария Java Script. Троянец определяет версию ОС, установленные браузеры, а также наличие установленных в браузер плагинов. Используя уязвимость в Java Deployment Toolkit (JDT), которая возникает из-за некорректной обработки URL, что позволяет злоумышленнику передавать произвольные параметры в Java Web Start (JWS) (CVE-2010-0886). Злоумышленник специальным образом формирует ссылку и передает ее в качестве параметра уязвимой функции "launch()".
Таким образом, троянец загружает и запускает на выполнение вредоносный файл, который располагается по ссылке:
//76.***.101/pub/new.avi
Также передает ссылку для загрузки:
http://45h***o.cc/d.php?f=65&e=1
Для выполнения вредоносного сценария в MS Internet Explorer, троянец использует ActiveX объекты с уникальными идентификаторами:
{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}
{8AD9C840-044E-11D1-B3E9-00805F499D93}
{CA8A9780-280D-11CF-A24D-444553540000}
Для выполнения в Mozilla Firefox и в других NPAPI браузерах, троянец определяет следующие MIME типы:
application/npruntime-scriptable-plugin;deploymenttoolkit
application/java-deployment-toolkit
application/vnd.adobe.pdfxml
application/vnd.adobe.x-mars
Далее вредонос определяет установленные в браузере плагины и ActiveX объекты Adobe Reader и Adobe Acrobat. После чего, в зависимости от версии установленного "PDF Reader" – в скрытом фрейме открывает вредоносные PDF документы по одной из ссылок:
http://доменное_имя_зараженного_сервера/games/pdf.php?f=65
http://доменное_имя_зараженного_сервера/games/pdf2.php?f=65
Также вредонос использует уязвимость, которая существует из-за "использование после освобождения" ошибки в компоненте "Peer Objects" в iepeers.dll при некорректной обработке метода setAttribute() (CVE-2010-0806). В результате троянец пытается выполнить загрузку файла, который размещается по ссылке:
http://45***o.cc/d.php?f=65&e=5
и сохранить под именем:
%Temporary Internet Files%/tmp
где tmp – имя временного файла.
Затем загруженный файл запускается на выполнение. На момент создания описания ссылки не работали.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files.
- Обновить Sun Java JRE и JDK до последних версий.
- Очистить каталог хранения временных файлов текущего пользователя:
%Temp%
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|