Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Представляет собой HTML документ, который содержит в себе сценарии языка Java Script (JS). Имеет размер 3426 байта.
Деструктивная активность
После открытия в браузере зараженной страницы троянец выполняет расшифровку своего вредоносного сценария и выполняет его. В результате троянец пытается выполнить на текущей странице вредоносный Java апплет. Вредонос пытается эксплуатировать уязвимость, которая существует в "Deployment" компоненте в "Java Runtime Environment" (JRE) (CVE-2010-4452).
Данная уязвимость позволяет обойти атакующему настройки безопасности "песочницы" Java (Java Sandbox) и выполнить код на уязвимой системе. Для выполнения данного эксплоита в HTML документе указаны следующие параметры Java апплета:
Параметр базовый адрес ("codebase") указывает на доверенный каталог:
C:/Program Files/java/jre6/lib/ext
В качестве имени файла задается специально сформированная ссылка, которая указывает на исполняемый Java-апплет:
http://3252329558/GoogleSearch.class
По данной ссылке осуществляется обращение к URL:
http://193.218.156.86/GoogleSearch.class
Апплету в качестве параметра с именем "aaa" передается ссылка в зашифрованном виде, по которой в дальнейшем производится загрузку другого вредоносного ПО.
На момент создания описания ссылка не работала.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files.
- Обновить Oracle Java JRE и JDK до последних версий.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
