Exploit.HTML.CVE-2010-4452.q
12 августа, 2011
Технические детали
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в "Java Runtime Environment" (JRE) (CVE-2010-4452.h). Представляет собой HTML документ. Имеет размер 214 байт.
Деструктивная активность
После открытия зараженной HTML страницы вредонос начинает эксплуатировать уязвимость, которая существует в "Deployment" компоненте в "Java Runtime Environment" (JRE) (CVE-2010-4452.h). Уязвимыми являются "Java Runtime Environment" (JRE) и "Java for Business" версии 6.0 до 23-го обновления. Данная уязвимость позволяет обойти атакующему настройки безопасности "песочницы" Java (Java Sandbox) и выполнить код на уязвимой системе. Для выполнения данного эксплоита в HTML документе указаны следующие параметры Java апплета:
- Параметр базовый адрес ("codebase") указывает на доверенный каталог:
C:Program Filesjavajre6libext
- В качестве имени файла задается специально сформированная ссылка, которая указывает на исполняемый Java-апплет:
http://158****269/AppletX
По данной ссылке осуществляется обращение к URL:http://94.**.***.53/AppletX
Данному апплету в качестве параметра с именем "aaa" передается ссылка в зашифрованном виде. Затем вредонос осуществляет по ссылке загрузку исполняемого файла, который сохраняется в каталоге временного хранения файлов текущего пользователя с именем:%Temp%<rnd>.exe
где rnd – случайное дробное число от 0 до 1. Затем Вредонос запускает загруженный файл на выполнение. На момент создания описания ссылки не работали.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Обновить Oracle Java JRE и JDK до последних версий.
- Очистить каталог:
%Temp%
25 марта 2024 годы
Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web
22 марта 2024 года
Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.
С мо... Антивирус Dr.Web
6 марта 2024 года