Trojan-Downloader.Java.Agent.gr


Описание
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в Sun Microsystems Java (CVE-2008-5353) и (CVE-2009-3867). Является Java-классом (class-файл). Размер - 9005 байт.


Инсталляция
Эксплоит использует уязвимость в виртуальной машине Java (Java Virtual Machine), которая проявляется при десериализации объектов "Calendar" в Sun Java VM (CVE-2008-5353), и позволяет атакующему выполнять апплет с повышенными привилегиями. Уязвимыми являются Java Runtime Environment (JRE) для Sun Java Development Kit (JDK) и JRE6 10-е Обновление и более ранние версии; JDK и JRE 5.0 16-е Обновление и более ранние версии; Software Development Kit и JRE 1.4.2_18 и более ранние.

Эксплоит использует уязвимость, которая возникает при некорректной обработке параметра функции getSoundBank() в Sun Java SE в JDK и JRE 5.0 до 22 обновления; в JDK и JRE 6 до 17 обновления, SDK и JRE 1.3.x до 1.3.1_27 версии; SDK и JRE 1.4.x до 1.4.2_24 версии. Данная уязвимость предоставляет вредоносу возможность загружать из сети Интернет файл по некоторой ссылке.
Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя "%Temp%" как

  • %Temp%\pdfupd.exe

и в случае успешной загрузки запускается на выполнение. Запуск вредоноса осуществляется с зараженной HTML-страницы при помощи тега "<APPLET>", для которого в качестве одного из параметров указывается ссылка на загружаемый файл.


Методы борьбы
Необходимо выполнить следующие действия:

  1. Обновить Sun Java JRE и JDK до последних версий.
  2. Удалить файл:
    • %Temp%\pdfupd.exe
  3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.
  4. Произвести полную проверку компьютера бесплатной антивирусной утилитой Dr.Web CureIt! или Антивирусом Касперского с обновленными антивирусными базами.