RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Java.Agent.ak
| Время детектирования | 11 янв 2010 13:49 MSK |
| Время выпуска обновления | 11 янв 2010 18:11 MSK |
| Описание опубликовано | 06 апр 2011 14:11 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая использует уязвимость в Sun Microsystems Java (CVE-2008-5353) для выполнения загрузки и запуска на выполнение другого программного обеспечения без ведома пользователя. Является Java-классом (class-файл). Имеет размер 3306 байт.
Деструктивная активность
Запуск вредоносного Java апплета производится с зараженной HTML страницы и осуществляется при помощи HTML тэга "<applet>". В качестве параметров апплету передаются следующие:
• data • lhost • lportгде data – шелл-код; lhost – хост злоумышленника; lport - удаленный порт на сервере злоумышленника. По умолчанию устанавливается порт 4444.
Троянец использует уязвимость, которая существует при десериализации объектов "Calendar" в Sun Java VM (CVE-2008-5353). Данная уязвимость позволяет атакующему выполнять код апплета с повышенными привилегиями. Уязвимыми являются Java Runtime Environment (JRE) для Sun Java Development Kit (JDK) и JRE 6.0 версии 10-го обновления и более ранние версии; JDK и JRE 5.0 версии 16-е обновление и более ранние версии; Software Development Kit и JRE 1.4.2 18-го обновления и более ранние. После успешной эксплуатации уязвимости вредонос пытается выполнить загрузку другого вредоносного ПО на уязвимую систему. Ссылку для загрузки троянец получает из параметров, которые располагаются на зараженной HTML странице. Загруженный файл сохраняется троянцем в каталоге хранения временных файлов текущего пользователя под именем:
%Temp%\<rnd>.exeгде rnd – случайная цифровая последовательность. Затем троянец определяет ОС и при помощи командных строк:
/bin/sh (для Linux) cmd.exe (для Windows)запускает сохраненный файл на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог хранения временных файлов:
%Temp%\
- Обновить Sun Java JRE и JDK до последних версий.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Troj/CLsLdr-Y (Sophos)
- Exploit:
Java/CVE-2008-5353. AZ (MS(OneCare)) - Java:
Agent-C [Trj] (AVAST) - Trojan-Downloader.
Java. Agent (Ikarus) - Java/Downloader.
C (AVG) - Trojan-Downloader.
Java. Agent. ak [AVP] (FSecure)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей