Методы обнаружения вирусов

Exploit.HTML.CVE-2010-4452.q

12 августа, 2011

Технические детали

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в "Java Runtime Environment" (JRE) (CVE-2010-4452.h). Представляет собой HTML документ. Имеет размер 214 байт.


Деструктивная активность

После открытия зараженной HTML страницы вредонос начинает эксплуатировать уязвимость, которая существует в "Deployment" компоненте в "Java Runtime Environment" (JRE) (CVE-2010-4452.h). Уязвимыми являются "Java Runtime Environment" (JRE) и "Java for Business" версии 6.0 до 23-го обновления. Данная уязвимость позволяет обойти атакующему настройки безопасности "песочницы" Java (Java Sandbox) и выполнить код на уязвимой системе. Для выполнения данного эксплоита в HTML документе указаны следующие параметры Java апплета:

  • Параметр базовый адрес ("codebase") указывает на доверенный каталог:
    C:Program Filesjavajre6libext
  • В качестве имени файла задается специально сформированная ссылка, которая указывает на исполняемый Java-апплет:
    http://158****269/AppletX
    По данной ссылке осуществляется обращение к URL:
    http://94.**.***.53/AppletX
    Данному апплету в качестве параметра с именем "aaa" передается ссылка в зашифрованном виде. Затем вредонос осуществляет по ссылке загрузку исполняемого файла, который сохраняется в каталоге временного хранения файлов текущего пользователя с именем:
    %Temp%<rnd>.exe
    где rnd – случайное дробное число от 0 до 1. Затем Вредонос запускает загруженный файл на выполнение. На момент создания описания ссылки не работали.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Обновить Oracle Java JRE и JDK до последних версий.
  3. Очистить каталог:
    %Temp%
НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web