Trojan.Java.ClassLoader.h

Trojan.Java.ClassLoader.h («Лаборатория Касперского») также известен как: Exploit-ByteVerify (McAfee), Trojan.ByteVerify (Symantec), Troj/Femad-E (Sophos), Trojan:Java/ClassLoader (RAV), JAVA_BYTEVER.C (Trend Micro), JS/OpenConnect.J.1 (H+BEDV), JS:Classloader-6 (ALWIL), Java/ByteVerify (Grisoft), Java.Trojan.Exploit.Bytverify (SOFTWIN), Java.ClassLoader.24564 (ClamAV), Exploit/ByteVerify (Panda), Java/ClassLoader.H (Eset)

Троянская программа, написанная на языке Java. Типичное название — counter.class, размер 6658 байт. Поставляется в JAR-архиве в вместе с набором class-файлов:

  
      * dummy.class, размер 240 байт
      * matrix.class, размер 2940 байт
      * parser.class, размер 886 байт 
  

(Имена файлов могут варьироваться).

Вредоносные действия

Запускает class-файл из JAR-архива (в данном случае — matrix.class) с правами текущего пользователя, используя для этого брешь в системе безопасности виртуальной Java-машины. Matrix.class обычно содержит код, загружающий из интернета вредоносные программы.

Также для запущенного файла доступны расширенные функции работы с файлами и системным реестром:

  
      * модификация файлов на локальном диске;
      * изменение настроек системного реестра;
      * скачивание файлов из интернета;
      * выброс из себя EXE-файлов;
      * запуск файлов на локальном компьютере.