Trojan-Downloader.Java.Agent.mq

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 6422 байта.

Деструктивная активность

Троянец реализован в виде класса с именем "GoogleSearch", и представляет собой Java-апплет. Его запуск производится с зараженной HTML-страницы при помощи тега "<APPLET>", для которого в параметре "aaa" передается строка, содержащая в зашифрованном виде ссылки на загружаемые файлы. Ссылки в данной строке отделяются друг от друга символами "::". После запуска троянец расшифровывает полученные ссылки при помощи функции "replaceAll". В ходе расшифровки используются следующие соответствия для входных и выходных символов:
Входные символы:

/UyuMaYRsL:WSKPv32tmcqdVEHik4bBr91=hGwOAF?#%-60Df5ZIzNxCT&pnQgo7XeJj.8_l

Выходные символы:

0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ/.:_-?&=%#

Далее в цикле по расшифрованным ссылкам производится загрузка файлов. По каждой ссылке может быть загружен исполняемый файл (.exe) либо же динамическая библиотека (.dll). Загруженные файлы сохраняются в каталоге хранения временных файлов текущего пользователя как

%Temp%\<rnd>.exe

или

%Temp%\<rnd>.dll

где <rnd> – случайные дробные десятичные числа от 0 до 1.

После успешной загрузки исполняемый файл будет запущен. В случае загрузки динамической библиотеки ее запуск осуществляется при помощи системной утилиты "regsvr32.exe":

regsvr32 -s %Temp%\<rnd>.dll

В ходе своего выполнения троянец использует уязвимость CVE-2010-0840 в JRE (Java Runtime Environment). Уязвимость проявляется вследствие ненадлежащей проверки при выполнении привилегированных методов в JRE, что позволяет злоумышленнику выполнить произвольный код при помощи определенным образом модифицированного объекта, являющегося подклассом доверенного класса. Данная уязвимость позволяет троянцу наследовать и использовать методы, недоступные для класса Java-апплета, который является подклассом непривилегированного класса "Applet".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

   %Temp%\<rnd>.exe
   %Temp%\<rnd>.dll
   

3. Обновить Sun Java JRE и JDK до последних версий.
4. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

   MD5: 1ADF969912F790375C1EF13AB5C730B0

   SHA1: 8FB0922188D1CE0F02A54E895BDC377EE2AB3350