Security Lab

Trojan-Downloader.Java.OpenConnection.eg

Trojan-Downloader.Java.OpenConnection.eg

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл).

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 8940 байт.


Деструктивная активность

Вредоносный класс "stomp" реализует функционал, позволяющий производить загрузку из сети Интернет файла по определенной ссылке и запускать его на выполнение. Вредонос является Java-апплетом. Его запуск осуществляется с зараженной HTML-страницы при помощи тега "<APPLET>", для которого в параметре с именем "volna" передается в зашифрованном виде ссылка на загружаемый файл. Расшифровка ссылки осуществляется при помощи функции "bgrlie" вредоносного класса. При расшифровке используются следующие соответствия для входных и выходных символов.

Входные символы:

1&feLdn=baGFk_-WDr#Q?/ 3JlSCXzOwui.5MB8oHv2cPYgRx90hyZ47%V:sNm6tEqKjIUATp

Выходные символы:

0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ/.:_-?&=%#

Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как

%Temp%\<rndgt;.exe

где <rndgt; – случайное дробное десятичное число от 0 до 1 (например: 0.48451780023042745). Перед загрузкой проверяется имя ОС, установленной на зараженной системе. Если ОС отлична от Windows, загрузка не выполняется.

Кроме рассмотренного класса троянец включает в себя класс с именем "bingo", содержащий код, предназначенный для эксплуатации уязвимости CVE-2010-0840 . Уязвимость проявляется вследствие ненадлежащей проверки при выполнении привилегированных методов в Java Runtime Environment, что позволяет злоумышленнику выполнить произвольный код при помощи определенным образом модифицированного объекта, являющегося подклассом доверенного класса.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Обновить Sun Java JRE и JDK до последних версий.
  2. Удалить файл:
    %Temp%\<rndgt;.exe
  3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!