Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является JAR-архивом, содержащим в себе набор Java-классов (class-файлы). Имеет размер 18043 байта.

Деструктивная активность

Вредоносный JAR-архив содержит следующие файлы:

bingo\chugun.class (365 байт)
bingo\dipler.class (1394 байта)

bingo\efir.class (17766 байт; 
детектируется Антивирусом Касперского как "Trojan-Downloader.Java.OpenConnection.er ")

bingo\haskalu.class (2532 байта)
bingo\kipoltyrew.class (856 байт)
Meta-inf\Manifest.mf (71 байт)

Указанный набор классов представляет собой реализацию Java-апплета (главный класс апплета – "efir"), использующего уязвимость CVE-2010-0840 для загрузки из сети Интернет файлов на зараженный компьютер. Данная уязвимость проявляется вследствие ненадлежащей проверки при выполнении привилегированных методов в JRE (Java Runtime Environment), что позволяет злоумышленнику выполнить произвольный код при помощи определенным образом модифицированного объекта, являющегося подклассом доверенного класса. В данном случае осуществляется наследование метода "getValue()" доверенного класса "Expression". Подобное наследование не может быть осуществлено непосредственно из класса вредоносного Java-апплета, который является подклассом непривилегированного класса "Applet". Запуск апплета производится с зараженной HTML-страницы при помощи тега "<APPLET>", для которого в параметре с именем "kdwidth" передается в зашифрованном виде ссылка для загрузки файла. Расшифровка ссылки производится при помощи функции "fipoluty", реализованной в классе "efir". В ходе расшифровки используются следующие соответствия для входных и выходных символов:
Входные символы:

xTc/8:G1RqgymtFz_S?nuJHkpP=DBaeOj2&7Q%Mh5bXdK0vf4E-YCisAwV9rI.3oZl6LN#UW

0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ/.:_-?&=%#

После запуска троянец проверяет имя установленной на зараженном компьютере ОС. Если ОС отлична от Windows, то вредонос завершает свою работу. В противном случае по полученной ссылке загружается файл, и сохраняется как

%USERPROFILE%\<rnd>.exe

После успешной загрузки файл запускается на выполнение.

Также в ходе своей работы троянец устанавливает значение параметра "java.net.useSystemProxies" равным "true".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл:

   %USERPROFILE%\<rnd>.exe

3. Обновить Sun Java JRE и JDK до последних версий.
4. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

MD5: B128448CE2DEC747EC806A47800F7100

SHA1: 82961301732E8AF889BDB1B7E50197C8B433BC5B

23 апреля 2024 года

Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.

В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web

Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]

The post 25-26.05.24г. 10.00-15.00. III Всероссийский форум «БИЗН... Новости Безопастности

17 апреля 2024 года