Trojan-Downloader.Java.Agent.ft

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 8688 байт.

Деструктивная активность

Вредонос представляет собой Java-апплет. Его запуск осуществляется с зараженной HTML-страницы при помощи тега "<APPLET>". В ходе своего выполнения троянец использует уязвимости CVE-2009-3867 (CVE-2009-3867) и CVE-2008-5353 (CVE-2008-5353) в JRE (Java Runtime Environment) для загрузки других вредоносных программ на зараженный компьютер. Ссылка для загрузки файла содержится в передаваемом апплету параметре "data".

Описываемый вредоносный функционал реализован в классе "AdgredY". Кроме данного класса троянец включает классы с именами "DyesyasZ", "LoaderX".

После запуска троянец считывает параметр "data", переданный в теге "<APPLET>", и расшифровывает подстроку от нулевого символа до символа '?' в полученных данных. Если полученная из параметра строка данных содержит подстроку

deserialize=<расшифрованные данные>

то вредоносный апплет завершает свою работу.

Далее вредонос проверяет версию JRE, установленного на зараженном компьютере. Если установлена одна из перечисленных ниже версий:

1.5.0_17
1.5.0_18
1.5.0_19
1.5.0_20
1.5.0_21
1.6.0_11
1.6.0_12
1.6.0_13
1.6.0_14
1.6.0_15
1.6.0_16

и в считанном параметре "data" отсутствует подстрока "i=1", то вредонос выполняет следующие действия:

• проверяет имя ОС зараженного компьютера. Если в имени отсутствует подстрока "win", завершает свою работу.
• Эксплуатирует уязвимость CVE-2009-3867 для загрузки из сети интернет файла по ссылке, переданной в параметре "data". Для этого вредонос формирует шелкод и вызывает уязвимую функцию "MidiSystem.getSoundbank" с определенным строковым параметром, что приводит к переполнению буфера и запуску шелкода. Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как

  %Temp%\pdfupd.exe

• Запускает на выполнение загруженный файл. Если версия JRE, установленного на зараженном компьютере, равна:

  1.5.0
  1.5.0_01
  1.5.0_02
  1.5.0_03
  1.5.0_04
  1.5.0_05
  1.5.0_06
  1.5.0_07
  1.5.0_08
  1.5.0_09
  1.5.0_10
  1.5.0_11
  1.5.0_12
  1.5.0_13
  1.5.0_14
  1.5.0_15
  1.5.0_16
  1.6.0_01
  1.6.0_02
  1.6.0_03
  1.6.0_04
  1.6.0_05
  1.6.0_06
  1.6.0_07
  1.6.0_10
  

  то вредонос использует функционал, реализованный в классах с именами:

  DyesyasZ
  LoaderX
  

  для эксплуатации уязвимости CVE-2008-5353. Данная уязвимость позволяет атакующему выполнять код апплета с повышенными привилегиями. В ходе использования уязвимости шелкод формируется из данных, получаемых апплетом в параметрах "cc", "data" тега "<APPLET>".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Обновить JRE до последней версии.
2. Удалить файл:

   %Temp%\pdfupd.exe

3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

MD5: FCD9C7930423509590F9F3B3A1C6E2F6

SHA1: 04F0159655AAE48DB14351C759744E5BDFA841CC