Программа-эксплоит, которая использует уязвимость в Oracle Java SE (CVE-2010-0840) для выполнения произвольного кода на уязвимой системе. Является Java-классом (class-файл). Имеет размер 2907 байт.
Деструктивная активность
Java-класс "sob" входит в состав JAR архива и является частью единого вредоноса. В архиве также хранятся следующие составляющие троянца:
Активация вредоносного Java апплета происходит после открытия зараженной HTML страницы в браузере пользователя. Запуск осуществляется при помощи HTML-тэга "<applet>", для которого, в качестве одного из параметров указывается главный класс апплета.
Апплету, с HTML страницы, передается параметр - "url". Значением параметра "url" является ссылка, по которой вредонос, в дальнейшем, производит загрузку другого вредоносного ПО.
Эксплоит использует уязвимость, которая позволяет вредоносному апплету вызывать привилегированные методы без надлежащей проверки безопасности (CVE-2010-0840). Таким образом, вредонос может выполнять произвольный код на уязвимой системе. Уязвимыми являются Oracle Java SE и Java for Business:
Java Development Kit (JDK) и Java Runtime Environment (JRE) 6.0 версии 18 обновления и более ранние для Windows, Solaris и Linux;
Java Development Kit (JDK) и Java Runtime Environment (JRE) 5.0 версии 23 обновления и более ранние для Solaris;
Software Development Kit (SDK) 1.4.2 версии 25 обновления и более ранние для Solaris.
После успешной эксплуатации уязвимости, вредонос выполняет загрузку файла по полученной ссылке. Файл сохраняется в каталоге хранения временных файлов текущего пользователя с именем:
%Temp%\mscfg32.exe
Затем при помощи командной строки троянец запускает загруженные файлы на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Обновить Java Runtime Environment и Java Development Kit до последних версий.
Очистить каталог:
%Temp%\
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web