Security Lab

Trojan.Java.Agent.am

Trojan.Java.Agent.am

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их.

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является JAR-архивом, содержащим набор Java-классов (class-файлы). Имеет размер 4548 байт.

Деструктивная активность

Вредоносный JAR-архив содержит следующие файлы:

bpac\b.class (1422 байта; детектируется Антивирусом Касперского
как "Trojan.Java.Agent.am")

bpac\KAVS.class (672 байта; детектируется Антивирусом Касперского
как "Trojan-Downloader.Java.OpenConnection.cg")

bpac\purok$1.class (481 байт)

bpac\purok.class (3777 байт; детектируется Антивирусом Касперского
как "Trojan-Downloader.Java.Agent.ji")

Meta-inf\Manifest.mf (71 байт)

После запуска троянец проверяет версию Java Runtime Environment, установленного на зараженном компьютере. Деструктивные действия выполняются, если версия JRE лежит в диапазоне от 1.5.0 до 1.6.0_18.

Вредоносный класс "purok" реализует функционал, позволяющий производить загрузку из сети Интернет файла по определенной ссылке и запускать его на выполнение. Вредонос является Java-апплетом. Его запуск осуществляется с зараженной HTML-страницы при помощи тега "<APPLET>", для которого в параметре с именем "a" передается в зашифрованном виде ссылка на загружаемый файл.

Расшифровка ссылки осуществляется при помощи функции "b" класса "b". При расшифровке используются следующие соответствия для входных и выходных символов.

Входные символы:

F#VD@YCR;LKU^ZBQ=&MGS!W%HP?TIK(,AN*J)O$X+E

Выходные символы:

abcdefghij-klmnopqrstuvwxyz/.-_:1234567890

Кроме того, к расшифрованной ссылке присоединяется подстрока:

?i=1

Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как

%Temp%\<rnd>.exe

где <rnd> – случайное дробное десятичное число от 0 до 1 (например: 0.48451780023042745). Перед загрузкой проверяется имя ОС, установленной на зараженной системе. Если ОС отлична от Windows, загрузка не выполняется.

Класс с именем "KAVS" содержит код, предназначенный для эксплуатации уязвимости CVE-2010-0840. Уязвимость проявляется вследствие ненадлежащей проверки при выполнении привилегированных методов в Java Runtime Environment, что позволяет злоумышленнику выполнить произвольный код при помощи определенным образом модифицированного объекта, являющегося подклассом доверенного класса.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  • Обновить Sun Java JRE и JDK до последних версий.
  • Удалить файл:
    %Temp%\<rnd>.exe
  • Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы .
  • Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться