RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Java.Agent.lv
| Время детектирования | 20 май 2011 19:04 MSK |
| Время выпуска обновления | 20 май 2011 23:43 MSK |
| Описание опубликовано | 06 сен 2011 16:54 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является JAR-архивом, содержащим набор Java-классов (class-файлы). Имеет размер 3856 байт.
Деструктивная активность
Вредоносный JAR-архив содержит следующие файлы:
v567345.class (330 байт) qwertyu45.class (259 байт) asdfgh4.class (212 байт) roc.class (654 байта) sob$1.class (457 байт) sob.class (3061 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Java.Agent.lv")
Представленный набор классов используется для загрузки из сети Интернет файлов по некоторым ссылкам. Троянец представляет собой Java-апплет, и запускается с зараженной HTML-станицы при помощи тега "<APPLET>", для которого в параметре "url" передается строка, содержащая список ссылок для загрузки файлов. Ссылки в строке разделяются символом "@". Загруженные файлы сохраняются в каталоге хранения временных фалов текущего пользователя как
%Temp%\msгдеcfg32.exe
cmd.exe /c start %Temp%\msВ ходе своего выполнения троянец использует уязвимость CVE-2010-0840 в JRE (Java Runtime Environment). Уязвимость проявляется вследствие ненадлежащей проверки при выполнении привилегированных методов в JRE, что позволяет злоумышленнику выполнить произвольный код при помощи определенным образом модифицированного объекта, являющегося подклассом доверенного класса. Данная уязвимость позволяет троянцу наследовать и использовать методы, недоступные для класса Java-апплета, который является подклассом непривилегированного класса "Applet".cfg32.exe
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Temp%\ms
cfg32.exe - Обновить Sun Java JRE и JDK до последних версий.
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
MD5: 7AFE89E87C3C5CB67E934CB824222E8B
SHA1: E98C2C22336B434AEE9CAD727A448DAF3BB78D63
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей