Методы обнаружения вирусов

Exploit.JS.CVE-2010-4452.t

Detected Jul 01 2011 01:50 GMT
Released Jul 01 2011 03:55 GMT
Published Sep 19 2011 07:13 GMT

Technical Details
Payload
Removal instructions

Technical Details

The trojan contains a function that allows it to launch certain malicious scripts, as well as Java-applets, using the vulnerability CVE-2010-4452 to download other malware to the infected computer. It is a HTML-document, containing Java Script. Depending on the version, it may be between 922 and 1648 bytes.


Payload

After launching the malicious HTML-document, using Java Script tools, it is decoded and a code is recorded in its body which carries out the following actions:

  • it launches a script, the location of which depends on the version of the trojan:
    http://www.anr***ezrs.net/placeholder-4211928?target=_top&mouseover=Y
    http://www.anr***ezrs.net/placeholder-4211915?target=_top&mouseover=Y
    http://www.anr***ezrs.net/placeholder-4211938?target=_top&mouseover=Y
    http://www.k***yfj.com/placeholder-4211931?target=_top&mouseover=Y
    
  • Using the "<APPLET>" tag, it launches the Java-applet. Depending on the trojan version, the name of the JAR-archive containing the applet may be changed:
    track2.xar
    voke.xar 
    
    The class implementing the applet code may be named as follows:
    vmain
    main
    
  • It launches the applet, the class-file for which is located at the following address:
    http://142***19175/j
The launched Java-applets use the vulnerability CVE-2010-4452 in the "Deployment" component in the Java Runtime Environment (JRE) in Oracle Java SE (up to version 6, update 23) to download the file to the infected computer.


Removal instructions

If your computer has not been protected with anti-virus software and has been infected with malware, you will need to take the following actions to delete this:

  1. Delete the original trojan file (its location on the infected computer will depend on how the program got onto the computer).
  2. Update the JRE to the latest version.
  3. Clear the Temporary Internet Files directory which may contain infected files (How to delete infected files in the Temporary Internet Files folder?).
  4. Run a full Kaspersky Antivirus scan of the computer with updated antivirus databases (download trial version).


НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web