Exploit.Java. CVE-2010-0840.k

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их.

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 4525 байт.


Деструктивная активность

Вредонос является компонентом троянской программы-загрузчика, и содержит класс с именем "boji", реализующий загрузку файла из сети Интернет по переданной ссылке, а также запуск загруженного файла на выполнение. Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как

%Temp%\<rnd>.exe
где <rnd> – случайное дробное десятичное число от 0 до 1. Перед загрузкой проверяется имя ОС, установленной на зараженной системе. Если ОС отлична от Windows, загрузка не выполняется.

Троянец представляет собой Java-апплет. Его запуск осуществляется с зараженной HTML-страницы при помощи тега "<APPLET>", для которого в параметре "saff" передается в зашифрованном виде ссылка на загружаемый файл.

Кроме рассмотренного класса троянец включает в себя классы с именами "aret" и "arel". Класс "aret" содержит функцию "kler", которая используется для расшифровки ссылки на загружаемый файл. Класс "arel" содержит код, предназначенный для эксплуатации уязвимости (CVE-2010-0840). Уязвимыми являются JDK и JRE до 6-ой версии , 18-го обновления. Данная уязвимость проявляется вследствие ненадлежащей проверки при выполнении привилегированных методов в Java Runtime Environment, что позволяет злоумышленнику выполнить произвольный код при помощи определенным образом модифицированного объекта, являющегося подклассом доверенного класса.