Security Lab

Trojan-Downloader.Java.Agent.lc

Trojan-Downloader.Java.Agent.lc

Java-класс "sob" входит в состав JAR архива и является частью единого вредоноса.

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.


Деструктивная активность

Java-класс "sob" входит в состав JAR архива и является частью единого вредоноса. В архиве также хранятся следующие составляющие троянца:

asdfgh4.class – 212 байт qwertyu45.class – 259 байт sob$1.class – 457 байт v567345.class – 330 байт 
Активация вредоносного Java апплета происходит после открытия зараженной HTML страницы в браузере пользователя. Запуск осуществляется при помощи HTML-тэга "<applet>", для которого, в качестве одного из параметров, указывается главный класс апплета.

Апплету, с HTML страницы, передается параметр - "url". Значением параметра "url" является массив ссылок, которые разделены символом "@". Далее полученные ссылки используются для загрузки другого вредоносного ПО.

Троянец использует уязвимость, которая позволяет вредоносному апплету вызывать привилегированные методы без надлежащей проверки безопасности (CVE-2010-0840). Таким образом, вредонос может выполнять произвольный код на уязвимой системе. Уязвимыми являются Oracle Java SE и Java for Business:

  • Java Development Kit (JDK) и Java Runtime Environment (JRE) 6.0 версии 18 обновления и более ранние для Windows, Solaris и Linux;
  • Java Development Kit (JDK) и Java Runtime Environment (JRE) 5.0 версии 23 обновления и более ранние для Solaris;
  • Software Development Kit (SDK) 1.4.2 версии 25 обновления и более ранние для Solaris.
После успешной эксплуатации уязвимости, вредонос выполняет загрузку файлов по полученным ссылкам. Файлы сохраняются в каталоге хранения временных файлов текущего пользователя с именами:
%Temp%\ms<rnd>cfg32.exe
где rnd – порядковый номер загружаемого файла. Затем при помощи командной строки троянец запускает загруженные файлы на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Обновить Java Runtime Environment и Java Development Kit до последних версий.
  2. Очистить каталог:
    %Temp%\
  3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами ( скачать пробную версию ).

[MD5: 2fa37346356b591a492cf509a97e6f7e]
[SHA1: f06a5b9320ac0066d151d4cfa933b7ff6f2af6e2]

Ваши данные уже украдены. Вопрос лишь в том, когда их используют против вас.

Узнайте, как защититься!