Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл).
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 8940 байт.
Вредоносный класс "stomp" реализует функционал, позволяющий производить загрузку из сети Интернет файла по определенной ссылке и запускать его на выполнение. Вредонос является Java-апплетом. Его запуск осуществляется с зараженной HTML-страницы при помощи тега "<APPLET>", для которого в параметре с именем "volna" передается в зашифрованном виде ссылка на загружаемый файл. Расшифровка ссылки осуществляется при помощи функции "bgrlie" вредоносного класса. При расшифровке используются следующие соответствия для входных и выходных символов.
Входные символы:
1&feLdn=baGFk_-WDr#Q?/ 3JlSCXzOwui.5MB8oHv2cPYgRx90hyZ47%V:sNm6tEqKjIUATp
Выходные символы:
0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ/.:_-?&=%#
Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как
%Temp%\<rndgt;.exe
где <rndgt; – случайное дробное десятичное число от 0 до 1 (например: 0.48451780023042745). Перед загрузкой проверяется имя ОС, установленной на зараженной системе. Если ОС отлична от Windows, загрузка не выполняется.
Кроме рассмотренного класса троянец включает в себя класс с именем "bingo", содержащий код, предназначенный для эксплуатации уязвимости CVE-2010-0840 . Уязвимость проявляется вследствие ненадлежащей проверки при выполнении привилегированных методов в Java Runtime Environment, что позволяет злоумышленнику выполнить произвольный код при помощи определенным образом модифицированного объекта, являющегося подклассом доверенного класса.
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
%Temp%\<rndgt;.exe
Собираем и анализируем опыт профессионалов ИБ