Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 4588 байт.
Деструктивная активность
Вредонос является компонентом троянской программы-загрузчика из семейства "Trojan-Downloader.Java.OpenConnection", и содержит класс с именем "bear", реализующий загрузку файла из сети Интернет по переданной ссылке, а также запуск загруженного файла на выполнение.
Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как
%Temp%/rnd.exe
где rnd – случайное дробное десятичное число от 0 до 1. Перед загрузкой проверяется имя ОС, установленной на зараженной системе. Если ОС отлична от Windows, загрузка не выполняется.
Троянец представляет собой Java-апплет. Его запуск осуществляется с зараженной HTML-страницы при помощи тега "APPLET", для которого в параметре "pid" передается в зашифрованном виде ссылка на загружаемый файл.
Кроме рассмотренного класса троянец включает в себя классы с именами "Unicode" и "UTF". Класс "Unicode" содержит функцию "lopiyo", которая используется для расшифровки ссылки на загружаемый файл. Класс "UTF" содержит код, предназначенный для эксплуатации уязвимости (CVE-2010-0840).
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Обновить Sun Java JRE и JDK до последних версий.
- Удалить файл:
%Temp%/rnd.exe
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
