Security Lab

Trojan-Downloader.Java.OpenConnection.eg

Trojan-Downloader.Java.OpenConnection.eg

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл).

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 8940 байт.


Деструктивная активность

Вредоносный класс "stomp" реализует функционал, позволяющий производить загрузку из сети Интернет файла по определенной ссылке и запускать его на выполнение. Вредонос является Java-апплетом. Его запуск осуществляется с зараженной HTML-страницы при помощи тега "<APPLET>", для которого в параметре с именем "volna" передается в зашифрованном виде ссылка на загружаемый файл. Расшифровка ссылки осуществляется при помощи функции "bgrlie" вредоносного класса. При расшифровке используются следующие соответствия для входных и выходных символов.

Входные символы:

1&feLdn=baGFk_-WDr#Q?/ 3JlSCXzOwui.5MB8oHv2cPYgRx90hyZ47%V:sNm6tEqKjIUATp

Выходные символы:

0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ/.:_-?&=%#

Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как

%Temp%\<rndgt;.exe

где <rndgt; – случайное дробное десятичное число от 0 до 1 (например: 0.48451780023042745). Перед загрузкой проверяется имя ОС, установленной на зараженной системе. Если ОС отлична от Windows, загрузка не выполняется.

Кроме рассмотренного класса троянец включает в себя класс с именем "bingo", содержащий код, предназначенный для эксплуатации уязвимости CVE-2010-0840 . Уязвимость проявляется вследствие ненадлежащей проверки при выполнении привилегированных методов в Java Runtime Environment, что позволяет злоумышленнику выполнить произвольный код при помощи определенным образом модифицированного объекта, являющегося подклассом доверенного класса.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Обновить Sun Java JRE и JDK до последних версий.
  2. Удалить файл: 
    %Temp%\<rndgt;.exe
  3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Новости по теме

Ждете, когда Google наконец уберет сторонние куки в Chrome? Придется потерпеть еще год

ЦБ РФ и Росфинмониторинг тестируют платформу для контроля криптовалютных операций

Австралийские спецслужбы тонко намекают техсектору на необходимость внедрения скрытых бэкдоров

Пакистанские RAT-атаки на оборонный сектор Индии усиливаются в преддверии выборов

С тюремной шконки прямиком в веб-дизайн: HTML и CSS дарят заключённым билет в светлое будущее

20% энергии солнца в кармане: дроны с бесконечным полетом спешат на помощь

Свиньи спасли еще одну жизнь: женщине пересадили не только почку, но и насос для сердца

Свет, который не гаснет: спутники Reflect Orbital решают главную проблему зеленой энергетики

Больше никаких бесплатных игр: Steam закрывает лазейку для хитрых геймеров