Security Lab

Exploit.JS.Agent.bcc

Exploit.JS.Agent.bcc

После открытия зараженной страницы в браузере, при помощи сценариев Java Script, вредонос расшифровывает и запускает свой код.

Технические детали

Программа-эксплоит, использующая уязвимости системы для выполнения загрузки и запуска другого вредоносного ПО. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 34172 байта.


Деструктивная активность

После открытия зараженной страницы в браузере, при помощи сценариев Java Script, вредонос расшифровывает и запускает свой код на выполнение.

Затем, использует уязвимость в Java Deployment Toolkit (JDT), которая возникает из-за некорректной обработки URL, что позволяет злоумышленнику передавать произвольные параметры в Java Web Start (JWS). Злоумышленник специальным образом формирует ссылку и передает ее в качестве параметра уязвимой функции "launch()". Таким образом, вредонос используя Java апплет, который располагается на сетевом ресурсе с именем:

\\85.***.190.10\public\photo1.jpg
загружает и запускает на выполнение вредоносный файл, который располагается по ссылке:
http://sd***sdas.co.cc/x/l.php?s=samba1&
Также используя уязвимость в Java Deployment Toolkit и в Java NPAPI (CVE-2010-1423) в модуле "javaws.exe", которая существует из-за некорректной обработке параметров "launchjnlp" и "docbase", эксплоит пытается при помощи Java апплета, который размещается по ссылке:
\\85.***.190.10\public\photo1.jpg 
пытается загрузить и выполнить файл, который находится по следующему URL:
http://s***sdas.co.cc/x/l.php?s=samba2&
Для выполнения вредоносного сценария в MS Internet Explorer, эксплоит использует ActiveX объекты с уникальными идентификаторами:
{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA} {8AD9C840-044E-11D1-B3E9-00805F499D93} 
Для выполнения в Mozilla Firefox и в других NPAPI браузерах, эксплоит определяет следующие MIME типы:
application/npruntime-scriptable-plugin;deploymenttoolkit application/java-deployment-toolkit application/x-java-applet 
Далее вредонос пытается запустить в браузере пользователя вредоносный Java-апплет, который располагается по ссылке:
http://<доменное_имя_зараженного_сервера>/1.zip
На момент создания описания ссылка не работала.

Для данного апплета, в качестве главного класса, задается класс с именем:

JavaUpdateManager
В качестве аргумента апплету передается параметр с именем "id" и со значением:
DHL&L&L5a8bZbZLaD&LaLaD&DVLablDaDZblDaDabZLHbZDcblL5DHL5aZLaa7LaDZL?DlD&bDDV 
Эксплоит, используя ActiveX объекты со следующими уникальными идентификаторами:
{BD96C556-65A3-11D0-983A-00C04FC29E30} {BD96C556-65A3-11D0-983A-00C04FC29E36} {AB9BCEDD-EC7E-47E1-9322-D4A210617116} {0006F033-0000-0000-C000-000000000046} {0006F03A-0000-0000-C000-000000000046} {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} {6414512B-B978-451D-A0D8-FCFDF33E833C} {7F5B7F63-F06F-4331-8A26-339E03C0AE3D} {06723E09-F4C2-43C8-8358-09FCD1DB0766} {639F725F-1B2D-4831-A9FD-874847682010} {BA018599-1DB3-44F9-83B4-461454C84BF8} {D0C07D56-7C69-43F1-B4A0-25F5A11FAB19} {E8CCCDDF-CA28-496B-B050-6C07C962476B} 
а также используя уязвимости в ActiveX компонентах "MSXML2.XMLHTTP", "Microsoft.XMLHTTP" и "MSXML2.ServerXMLHTTP" (CVE-2006-0003), пытается загрузить файл, расположенный по следующей ссылке:
http://s***sdas.co.cc/x/l.php?s=m7NEW
и при помощи ActiveX объекта "ADODB.Stream" сохранить полученный файл под именем:
%Temp%\updates.exe
После этого загруженный файл запускается на выполнение.

После этого, вредонос, в скрытом фрейме выполняет сценарий, эксплуатирующий уязвимость в центре справки и поддержки MS Windows. Вредонос использует уязвимость, которая возникает при некорректной обработке функцией "MPC::HexToNum" escape-последовательностей в URL приложений Microsoft Windows Help и Support Center (helpctr.exe) (MS10-042, CVE-2010-1885). Успешное использование уязвимости позволяет злоумышленнику выполнить команды, которые передаются в специально сформированном "hcp://" URL. Уязвимыми являются продукты Microsoft – MS Internet Explorer 8 и Windows Media Player 9. Вредонос, при помощи специально сформированного запроса, создает Java-скрипт "exe.js", который запускает на выполнение.

После запуска Java-скрипта, вредонос, используя ActiveX объект "MSXML2.XMLHTTP", выполняет загрузку файла, который располагается по следующему URL:

http://s***sdas.co.cc/x/l.php?s=newhcp
и сохраняет его в каталоге хранения временных файлов текущего пользователя под именем:
%Temp%\exe.exe
Также, при помощи командной строки, эксплоит завершает процесс центра справки и поддержки Microsoft Windows:
helpctr.exe
и удаляет файл скрипта "exe.js". После успешной загрузки файл запускается на выполнение.

Далее вредонос определяет установленные в браузере плагины и ActiveX объекты Adobe Reader и Adobe Acrobat. Для выполнения вредоносного сценария в MS Internet Explorer, троянец использует ActiveX объект с уникальным идентификатором:

{CA8A9780-280D-11CF-A24D-444553540000}
Для выполнения в Mozilla Firefox и в других NPAPI браузерах, троянец определяет следующие MIME типы:
application/vnd.adobe.pdfxml application/vnd.adobe.x-mars 
После чего, в зависимости от версии установленного "PDF Reader" – открывает вредоносные PDF документы по одной из ссылок:
http://<доменное_имя_зараженного_сервера>/img1.php?s=i<версия_ PDFReader>
Если версия установленного "PDF Reader" выше 9.0 - открывает в скрытом фрейме следующий ресурс:
http://<доменное_имя_зараженного_сервера>/zzimg.php
Уязвимые версии Adobe Reader – версия 8.0.0 и более ранние, а также все версии Adobe Reader до 9.3.1.

Также вредонос использует уязвимость, которая существует в Microsoft Internet Explorer из-за ошибки "использование после освобождения" (use-after-free) в компоненте "Peer Objects" в "iepeers.dll" при некорректной обработке метода PersistUserData::setAttribute() (CVE-2010-0806). В результате эксплоит пытается выполнить загрузку файла, который размещается по ссылке:

http://s***sdas.co.cc/x/l.php?s=ie6_PR
и сохранить его в каталоге хранения временных файлов браузера с именем:
%Temp%\e.exe
Затем загруженный файл запускается на выполнение. На момент создания описания ссылки не работали.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файлы:
    %Temp%\updates.exe %Temp%\exe.exe %Temp%\e.exe 
  3. Установить обновления:
    http://www.microsoft.com/technet/security/bulletin/ms10-042.mspx
    http://www.microsoft.com/technet/security/bulletin/ms06-014.mspx
    http://www.microsoft.com/technet/security/bulletin/ms10-018.mspx
  4. Очистить каталог Temporary Internet Files, содержащий инфицированные файлы ( Как удалить инфицированные файлы в папке Temporary Internet Files? ):
    %Temporary Internet Files%\
  5. Обновить Sun Java JRE и JDK до последних версий.
  6. Установить последнюю версию Adobe Reader и Adobe Acrobat.
  7. Отключить уязвимые ActiveX объекты ( Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer ).
  8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами ( скачать пробную версию ).

[MD5: 7502e00dc1017a0530c4c19cd69287c7]
[SHA1: 64e3002a84d99b6cc94be8cfbb2443e8f11ddf2a] 

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь