Обнаружен новый мультиплатформенный Java-бот


KasperskyLabsСпециалисты Лаборатории Касперского обнаружили вредоносное Java-приложение, которое впоследствии оказалось мультиплатформенным ботом, работающим на платформах:

  • Windows;
  • Mac Os;
  • Linux.


Известно, что данный бот полностью написан на Java, при этом злоумышленники используют уязвимость CVE-2013-2465 для заражения пользователей данным вредоносным ПО.

Для усложнения анализа и детектирования вредоносной программы, ее разработчики использовали обфускатор Zelix Klassmaster, который к тому же, может шифровать строковые константы. Для каждого класса Zelix генерирует разные ключи, поэтому, чтобы расшифровать все строки в приложении, необходимо исследовать все классы и найти ключи для расшифровки.

Данный бот управляется по протоколу IRC. Вот здесь и всплывает  еще одна интересная особенность этого зловреда, а именно то, что для реализации общения по протоколу IRC он использует открытый фреймворк PircBot. Все необходимые классы зловред использует с собой. После удачной установки соединения бот заходит на заранее определенный канал, где ожидает команд злоумышленников.


Обновлено (30.01.2014 08:30)