Trojan-Downloader.Java.Agent.kb

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является JAR-архивом, содержащим набор Java-классов (class-файлы). Имеет размер 9408 байт.

Деструктивная активность

Вредоносный JAR-архив содержит следующий набор файлов:

gret\crims.class (863 байт)
gret\htor.class (3326 байт)
gret\nregh.class (4591 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Java.Agent.kb")

gret\swen.class (2299 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Java.Agent.kb")

Meta-inf\Manifest.mf (71 байт)

roompel\arel.class (726 байт)
roompel\arena.class (500 байт)
roompel\arep.class (348 байт)
roompel\rinos.class (2701 байт)

Вредонос представляет собой Java-апплет (главный класс апплета – "nregh"), предназначенный для загрузки из сети Интернет файлов по переданным ссылкам. Запуск апплета производится с зараженной HTML-станицы при помощи тега "<APPLET>", для которого в параметре с именем "ploh" передается в зашифрованном виде ссылка на загружаемый файл. Далее полученная ссылка расшифровывается при помощи функции "kride" класса "rinos". При расшифровке используются следующие соответствия для входных и выходных символов:

Входные символы:

/UyuMaYRsL:WSKPv32tmcqdVEHik4bBr91=hGwOAF?#%-60Df5ZIzNxCT&pnQgo7XeJj.8_l

Выходные символы:

#%=&?-_:./ZYXWVUTSRQPONMLKJIHGFEDCBAzyxwvutsrqponmlkjihgfedcba9876543210

Затем вредонос проверяет имя установленной на зараженном компьютере ОС. Если ОС отлична от Windows, то вредонос завершает свою работу. В противном случае выполняется загрузка файла. Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как

%Temp%\<rnd>.exe

После успешной загрузки файл запускается на выполнение. В ходе своего выполнения троянец использует уязвимость CVE-2010-0840 в JRE (Java Runtime Environment). Уязвимость проявляется вследствие ненадлежащей проверки при выполнении привилегированных методов в JRE, что позволяет злоумышленнику выполнить произвольный код при помощи определенным образом модифицированного объекта, являющегося подклассом доверенного класса. Данная уязвимость позволяет троянцу наследовать и использовать методы, недоступные для класса Java-апплета, который является подклассом непривилегированного класса "Applet".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

   %Temp%\<rnd>.exe

3. Обновить Sun Java JRE и JDK до последних версий.
4. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

MD5: EF3D567D7C3341A7DB7E64B58D39A46E

SHA1: 66228F3B0FB5938BB04F9EC3870ECCA2CB8E43EB