Trojan.Java.Agent.am
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их.
Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является JAR-архивом, содержащим набор Java-классов (class-файлы). Имеет размер 4548 байт.
Деструктивная активность
Вредоносный JAR-архив содержит следующие файлы:
bpac\b.class (1422 байта; детектируется Антивирусом Касперского
как "Trojan.Java.Agent.am")
bpac\KAVS.class (672 байта; детектируется Антивирусом Касперского
как "Trojan-Downloader.Java.OpenConnection.cg")
bpac\purok$1.class (481 байт)
bpac\purok.class (3777 байт; детектируется Антивирусом Касперского
как "Trojan-Downloader.Java.Agent.ji")
Meta-inf\Manifest.mf (71 байт)
После запуска троянец проверяет версию Java Runtime Environment, установленного на зараженном компьютере. Деструктивные действия выполняются, если версия JRE лежит в диапазоне от 1.5.0 до 1.6.0_18.
Вредоносный класс "purok" реализует функционал, позволяющий производить загрузку из сети Интернет файла по определенной ссылке и запускать его на выполнение. Вредонос является Java-апплетом. Его запуск осуществляется с зараженной HTML-страницы при помощи тега "<APPLET>", для которого в параметре с именем "a" передается в зашифрованном виде ссылка на загружаемый файл.
Расшифровка ссылки осуществляется при помощи функции "b" класса "b". При расшифровке используются следующие соответствия для входных и выходных символов.
Входные символы:
F#VD@YCR;LKU^ZBQ=&MGS!W%HP?TIK(,AN*J)O$X+E
Выходные символы:
abcdefghij-klmnopqrstuvwxyz/.-_:1234567890
Кроме того, к расшифрованной ссылке присоединяется подстрока:
?i=1
Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как
%Temp%\<rnd>.exe
где <rnd> – случайное дробное десятичное число от 0 до 1 (например: 0.48451780023042745). Перед загрузкой проверяется имя ОС, установленной на зараженной системе. Если ОС отлична от Windows, загрузка не выполняется.
Класс с именем "KAVS" содержит код, предназначенный для эксплуатации уязвимости CVE-2010-0840. Уязвимость проявляется вследствие ненадлежащей проверки при выполнении привилегированных методов в Java Runtime Environment, что позволяет злоумышленнику выполнить произвольный код при помощи определенным образом модифицированного объекта, являющегося подклассом доверенного класса.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Обновить Sun Java JRE и JDK до последних версий.
- Удалить файл:
%Temp%\<rnd>.exe - Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы .
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.
Наш канал защищен лучше, чем ваш компьютер!
Но доступ к знаниям открыт для всех