Троян Trojan.Rodricter использует уязвимости в Java


26 августа компанией FireEye была обнаружена критическая уязвимость в Java Runtime Environment версий 1.7x, получившей обозначение CVE-2012-4681. С использованием этого эксплойта распространялось несколько вредоносных программ, среди которых был обнаружен троян Trojan.Rodricter.

С целью распространения вредоносных программ злоумышленники использовали взломанные веб-сайты, на которых, в частности, модифицировалось содержимое файла

  • .htaccess

В момент обращения к веб-сайту, содержащему внедренный злоумышленниками вредоносный скрипт, выполняется цепочка перенаправлений, адрес конечного узла в которой зависит от установленной на компьютере пользователя операционной системы. Пользователи ОС Windows перенаправлялись на веб-страницу, содержащую вызовы различных эксплойтов. Адреса серверов, на которые перебрасывались пользователи, генерируются динамически и меняются каждый час.

Загружаемые в браузер пользователя веб-страницы эксплуатировали сразу две уязвимости:

  • CVE-2012-1723
  • CVE-2012-4681


Используемый злоумышленниками эксплойт зависит от версии Java Runtime. Для версий 7.05 и 7.06 обход безопасности происходил с использованием уязвимости CVE-2012-4681.

Package java beans

В случае успешного применения уязвимости, Java-апплет расшифровывает файл

  • class

основное предназначение которого — загрузка и запуск исполняемых файлов. Таким образом злоумышленники распространяли троянскую программу Trojan.Rodricter.21.

Return Integer

Trojan.Rodricter.21 использует руткит-технологии и состоит из нескольких компонентов. Запустившись на инфицированном компьютере, дроппер этой вредоносной программы проверяет наличие в системе антивирусного ПО и отладчиков, после чего пытается повысить свои привилегии. Для этого могут использоваться уязвимости ОС. На компьютерах, использующих контроль учетных записей пользователей, троян отключает UAC. Дальнейший алгоритм действий Trojan.Rodricter.21 зависит от того, какие права он имеет в зараженной системе. Троян сохраняет на диск основной компонент и, если у него достаточно для этого привилегий, инфицирует один из стандартных драйверов Windows с целью скрытия основного модуля в зараженной системе. Таким образом, Trojan.Rodricter.21 вполне можно отнести к категории троянов-руткитов. Помимо прочего, эта вредоносная программа умеет изменять настройки браузеров Microsoft Internet Explorer и Mozilla Firefox. Например, в последнем троян устанавливает в папку

  • \searchplugins\

дополнительный плагин-поисковик, а также подменяет

  • User-Agent

и настройки поисковой системы по умолчанию. В результате отправляемые пользователем поисковые запросы имеют вид

  • http://findgala.com/?&uid=%d&&q={поисковый запрос}

где %d — уникальный идентификатор трояна.


Также Trojan.Rodricter.21 модифицирует содержимое файла

  • hosts

прописывая туда адреса принадлежащих злоумышленникам веб-сайтов.

Основной модуль Trojan.Rodricter.21 сохраняется в виде исполняемого файла во временной папке, и предназначен для подмены пользовательского трафика и внедрения в него произвольного содержимого.