Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является JAR-архивом, содержащим в себе набор Java-классов (class-файлы). Имеет размер 18043 байта.
Указанный набор классов представляет собой реализацию Java-апплета (главный класс апплета – "efir"), использующего уязвимость CVE-2010-0840 для загрузки из сети Интернет файлов на зараженный компьютер. Данная уязвимость проявляется вследствие ненадлежащей проверки при выполнении привилегированных методов в JRE (Java Runtime Environment), что позволяет злоумышленнику выполнить произвольный код при помощи определенным образом модифицированного объекта, являющегося подклассом доверенного класса. В данном случае осуществляется наследование метода "getValue()" доверенного класса "Expression". Подобное наследование не может быть осуществлено непосредственно из класса вредоносного Java-апплета, который является подклассом непривилегированного класса "Applet".
Запуск апплета производится с зараженной HTML-страницы при помощи тега "<APPLET>", для которого в параметре с именем "kdwidth" передается в зашифрованном виде ссылка для загрузки файла. Расшифровка ссылки производится при помощи функции "fipoluty", реализованной в классе "efir". В ходе расшифровки используются следующие соответствия для входных и выходных символов:
Входные символы:
После запуска троянец проверяет имя установленной на зараженном компьютере ОС. Если ОС отлична от Windows, то вредонос завершает свою работу. В противном случае по полученной ссылке загружается файл, и сохраняется как
%USERPROFILE%\<rnd>.exe
где <rnd> – случайное дробное десятичное число от 0 до 1.
После успешной загрузки файл запускается на выполнение.
Также в ходе своей работы троянец устанавливает значение параметра "java.net.useSystemProxies" равным "true".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
MD5: B128448CE2DEC747EC806A47800F7100
SHA1: 82961301732E8AF889BDB1B7E50197C8B433BC5B
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web