BKDR_JAVAWAR.JG или новый Java-бэкдор


BKDR_JAVAWAR.JG (по Trend Micro) - вредоносное программное обеспечение класса бэкдор, направленное на инфицирование HTTP-серверов, реализованных для работы с Java. Код позволяет атакующим выполнять вредоносные команды, направленные на системы, в которых работает сервер. Угроза реализована в виде JSP (Java Server Page), что изначально позволяет запускать вредоносный код на Java-сервере, а также напрямую обращаться к контейнерам Java-сервлетов, таким как Apache Tomcat.

После запуска атакующего кода, злоумышленник может:

  • удаленно получать доступ к серверу;
  • просматривать и редактировать файлы на сервере;
  • скачивать или уничтожать файлы через обыкновенную веб-консоль.


Нечто похожее ранее появлялось для PHP, однако PHP-бэкдоры не могли работать с чем-либо кроме PHP интерпретатора.

Помимо того, что атакующий может получить доступ к закрытой информации, он также может инфицировать сервер другими вредоносными кодами и получать несанкционированный доступ к другим данным.

JSP-бэкдор может быть установлен через иное вредоносное ПО, уже присутствующее на сервере, причем в ряде случаев через другое вредоносное ПО можно будет установить и сам Java-сервер, на котором разместится бэкдор. Вредоносный код работает под системы:

  • Windows 2000;
  • Windows Server 2003;
  • Windows XP;
  • Windows Vista;
  • Windows 7.


Другим возможным сценарием атаки является поиск серверов с установленным Apache Tomcat и последующие попытки получения доступа к Tomcat Application Manager. При помощи программ для взлома паролей можно войти на сервер со слабым административным паролем и развернуть вредоносный код через WAR (Web application archive).