Exploit.JS.Agent.bcc
| Время детектирования | 29 авг 2010 17:57 MSK |
| Время выпуска обновления | 30 авг 2010 01:57 MSK |
| Описание опубликовано | 12 июл 2012 19:12 MSK |
Технические детали
Программа-эксплоит, использующая уязвимости системы для выполнения загрузки и запуска другого вредоносного ПО. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 34172 байта.
Деструктивная активность
После открытия зараженной страницы в браузере, при помощи сценариев Java Script, вредонос расшифровывает и запускает свой код на выполнение.
Затем, использует уязвимость в Java Deployment Toolkit (JDT), которая возникает из-за некорректной обработки URL, что позволяет злоумышленнику передавать произвольные параметры в Java Web Start (JWS). Злоумышленник специальным образом формирует ссылку и передает ее в качестве параметра уязвимой функции "launch()". Таким образом, вредонос используя Java апплет, который располагается на сетевом ресурсе с именем:
\\85.***.190.10\public\photo1.jpgзагружает и запускает на выполнение вредоносный файл, который располагается по ссылке:
http://sd***sdas.co.cc/x/l.php?s=samba1&Также используя уязвимость в Java Deployment Toolkit и в Java NPAPI (CVE-2010-1423) в модуле "javaws.exe", которая существует из-за некорректной обработке параметров "launchjnlp" и "docbase", эксплоит пытается при помощи Java апплета, который размещается по ссылке:
\\85.***.190.10\public\photo1.jpgпытается загрузить и выполнить файл, который находится по следующему URL:
http://s***sdas.co.cc/x/l.php?s=samba2&Для выполнения вредоносного сценария в MS Internet Explorer, эксплоит использует ActiveX объекты с уникальными идентификаторами:
{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}
{8AD9C840-044E-11D1-B3E9-00805F499D93}
Для выполнения в Mozilla Firefox и в других NPAPI браузерах, эксплоит определяет следующие MIME типы:
application/npruntime-scriptable-plugin;deploymenttoolkit application/java-deployment-toolkit application/x-java-appletДалее вредонос пытается запустить в браузере пользователя вредоносный Java-апплет, который располагается по ссылке:
http://<доменное_имя_зараженного_сервера>/1.zipНа момент создания описания ссылка не работала.
Для данного апплета, в качестве главного класса, задается класс с именем:
JavaUpdateManagerВ качестве аргумента апплету передается параметр с именем "id" и со значением:
DHL&L&L5a8bZbZLaD&LaLaD&DVLablDaDZblDaDabZLHbZDcblL5DHL5aZLaa7LaDZL?DlD&bDDVЭксплоит, используя ActiveX объекты со следующими уникальными идентификаторами:
{BD96C556-65A3-11D0-983A-00C04FC29E30}
{BD96C556-65A3-11D0-983A-00C04FC29E36}
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}
{0006F033-0000-0000-C000-000000000046}
{0006F03A-0000-0000-C000-000000000046}
{6E32070A-766D-4EE6-879C-DC1FA91D2FC3}
{6414512B-B978-451D-A0D8-FCFDF33E833C}
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
{06723E09-F4C2-43C8-8358-09FCD1DB0766}
{639F725F-1B2D-4831-A9FD-874847682010}
{BA018599-1DB3-44F9-83B4-461454C84BF8}
{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}
{E8CCCDDF-CA28-496B-B050-6C07C962476B}
а также используя уязвимости в ActiveX компонентах "MSXML2.XMLHTTP", "Microsoft.XMLHTTP" и "MSXML2.ServerXMLHTTP" (CVE-2006-0003), пытается загрузить файл, расположенный по следующей ссылке:
http://s***sdas.co.cc/x/l.php?s=m7NEWи при помощи ActiveX объекта "ADODB.Stream" сохранить полученный файл под именем:
%Temp%\updates.exeПосле этого загруженный файл запускается на выполнение.
После этого, вредонос, в скрытом фрейме выполняет сценарий, эксплуатирующий уязвимость в центре справки и поддержки MS Windows. Вредонос использует уязвимость, которая возникает при некорректной обработке функцией "MPC::HexToNum" escape-последовательностей в URL приложений Microsoft Windows Help и Support Center (helpctr.exe) (MS10-042, CVE-2010-1885). Успешное использование уязвимости позволяет злоумышленнику выполнить команды, которые передаются в специально сформированном "hcp://" URL. Уязвимыми являются продукты Microsoft – MS Internet Explorer 8 и Windows Media Player 9. Вредонос, при помощи специально сформированного запроса, создает Java-скрипт "exe.js", который запускает на выполнение.
После запуска Java-скрипта, вредонос, используя ActiveX объект "MSXML2.XMLHTTP", выполняет загрузку файла, который располагается по следующему URL:
http://s***sdas.co.cc/x/l.php?s=newhcpи сохраняет его в каталоге хранения временных файлов текущего пользователя под именем:
%Temp%\exe.exeТакже, при помощи командной строки, эксплоит завершает процесс центра справки и поддержки Microsoft Windows:
helpctr.exeи удаляет файл скрипта "exe.js". После успешной загрузки файл запускается на выполнение.
Далее вредонос определяет установленные в браузере плагины и ActiveX объекты Adobe Reader и Adobe Acrobat. Для выполнения вредоносного сценария в MS Internet Explorer, троянец использует ActiveX объект с уникальным идентификатором:
{CA8A9780-280D-11CF-A24D-444553540000}
Для выполнения в Mozilla Firefox и в других NPAPI браузерах, троянец определяет следующие MIME типы:
application/vnd.adobe.pdfxml application/vnd.adobe.x-marsПосле чего, в зависимости от версии установленного "PDF Reader" – открывает вредоносные PDF документы по одной из ссылок:
http://<доменное_имя_зараженного_сервера>/img1.php?s=i<версия_ PDFReader>Если версия установленного "PDF Reader" выше 9.0 - открывает в скрытом фрейме следующий ресурс:
http://<доменное_имя_зараженного_сервера>/zzimg.phpУязвимые версии Adobe Reader – версия 8.0.0 и более ранние, а также все версии Adobe Reader до 9.3.1.
Также вредонос использует уязвимость, которая существует в Microsoft Internet Explorer из-за ошибки "использование после освобождения" (use-after-free) в компоненте "Peer Objects" в "iepeers.dll" при некорректной обработке метода PersistUserData::setAttribute() (CVE-2010-0806). В результате эксплоит пытается выполнить загрузку файла, который размещается по ссылке:
http://s***sdas.co.cc/x/l.php?s=ie6_PRи сохранить его в каталоге хранения временных файлов браузера с именем:
%Temp%\e.exeЗатем загруженный файл запускается на выполнение. На момент создания описания ссылки не работали.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Temp%\updates.exe %Temp%\exe.exe %Temp%\e.exe
- Установить обновления:
- Очистить каталог Temporary Internet Files, содержащий инфицированные файлы (
): %Temporary Internet Files%\
- Обновить Sun Java JRE и JDK до последних версий.
- Установить последнюю версию Adobe Reader и Adobe Acrobat.
- Отключить уязвимые ActiveX объекты (
). - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (
).
[MD5: 7502e00dc1017a0530c4c19cd69287c7]
[SHA1: 64e3002a84d99b6cc94be8cfbb2443e8f11ddf2a]
НОВОЕ НА САЙТЕ
23 апреля 2024 года
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года