«Доктор Веб»: троян Rodricter использует уязвимость 0-дня в JRE

«Доктор Веб»: троян Rodricter использует уязвимость 0-дня в JRE

При компрометации системы вирус Trojan.Rodricter эксплуатирует уязвимость CVE-2012-4681.

Компания «Доктор Веб» сообщает о распространении вредоносной программы Trojan.Rodricter, которая при взломе системы эксплуатирует уязвимость CVE-2012-4681 в JRE. Напомним, что 26 августа сотрудник компании FireEye Атиф Муштак (Atif Mushtaq) заявил об активной эксплуатации этой уязвимости. Эксперт также отметил, что в скором времени эксплоит к уязвимости в Java станет широко доступным, и злоумышленники будут очень активно его использовать. Всего в течение суток компания Rapid 7 представила модуль эксплоита для платформы Metasploit. Этот модуль эксплуатирует уязвимость в JRE для последних версий браузеров Mozilla Firefox, Internet Explorer, а также Safari на платформах Linux, Windows и Macintosh. Владельцу JRE компании Oracle потребовалось 4 дня для того, чтобы выпустить обновление, которое устранило эту уязвимость.

Обнаруженная экспертами антивирусной компании вредоносная программа распространяется через web-сайты, на которых вносились изменения в файл .htaccess. В случае обращения к скомпрометированному сайту специально сформированный сценарий перенаправляет пользователя на сторонний узел, на котором происходит попытка эксплуатации двух уязвимостей – CVE-2012-1723 и CVE-2012-4681, в зависимости от того, какая версия JRE установлена на системе.

При успешной эксплуатации Java-апплет расшифровывает файл class, после чего происходит загрузка выполняемых файлов программы, получившей в компании «Доктор Веб» название Trojan.Rodricter.21.

После запуска дроппер программы Rodricter выполняет поиск на наличие антивирусов и отладчиков. Программа также пытается повысить свои привилегии, для чего эксплуатирует уязвимости операционной системы.

Далее, в зависимости от наличия достаточного уровня привилегий, троян сохраняет в памяти свой основной компонент, а также инфицирует один из стандартных драйверов Windows для того, чтобы скрыть основной модуль на зараженной системе, получая, таким образом, руткит функционал.

Вирус может успешно вносить изменения в настройки браузеров Microsoft Internet Explorer и Mozilla Firefox. Так, он добавляет в обозреватель дополнительный плагин поисковой программы, а также подменяет User-Agent и настройки поисковой системы по умолчанию.

Основной модуль Trojan.Rodricter.21 сохраняется во временной папке и он предназначен для подмены трафика пользователя. Таким образом, злоумышленники могут перехватывать сетевые пакеты и раскрывать конфиденциальные данные пользователей, которые передаются при незашифрованной передаче данных.

С уведомлением «Доктор Веб» можно ознакомиться здесь.

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену