Trojan-Downloader.Java.Agent.ak


Описание
Троянская программа, использующая уязвимость в Sun Microsystems Java (CVE-2008-5353) для выполнения загрузки и запуска на выполнение другого программного обеспечения без ведома пользователя. Является Java-классом (class-файл). Размер - 3306 байт.


Деструктивная активность
Запускается вредоносный Java-апплет с зараженной HTML страницы и осуществляется при помощи HTML тэга "<applet>". В качестве параметров апплету передаются следующие:

  • data - шелл-код;
  • lhost - хост злоумышленника;
  • lport - удаленный порт на сервере злоумышленника. По умолчанию устанавливается порт 4444.


Троян использует уязвимость, существующую при десериализации объектов "Calendar" в Sun Java VM (CVE-2008-5353). Данная уязвимость позволяет атакующему выполнять код апплета с повышенными привилегиями. Уязвимыми являются:

  • Java Runtime Environment (JRE) для Sun Java Development Kit (JDK) и JRE 6.0 версии 10-го обновления и более ранние версии;
  • JDK и JRE 5.0 версии 16-е обновление и более ранние версии;
  • Software Development Kit и JRE 1.4.2 18-го обновления и более ранние.


После успешной эксплуатации уязвимости вредонос пытается выполнить загрузку другого вредоносного ПО на уязвимую систему. Ссылку для загрузки троян получает из параметров, располаженным на зараженной HTML странице. Загруженный файл сохраняется трояномм в каталоге хранения временных файлов текущего пользователя под именем:

  • %Temp%\<rnd>.exe

где rnd – случайная цифровая последовательность.

Затем троян определяет ОС и при помощи командных строк:

  • /bin/sh (для Linux)
  • cmd.exe (для Windows)

запускает сохраненный файл на выполнение.


Методы борьбы
Для удаления вредоносной программы необходимо:

  1. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Очистить каталог хранения временных файлов:
    • %Temp%\

  3. Обновить Sun Java JRE и JDK до последних версий.
    4. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt! или Антивирусом Касперского с обновленными антивирусными базами.