Технические детали

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в "Java Runtime Environment" (JRE) (CVE-2010-4452.h). Представляет собой HTML документ. Имеет размер 214 байт.

Деструктивная активность

После открытия зараженной HTML страницы вредонос начинает эксплуатировать уязвимость, которая существует в "Deployment" компоненте в "Java Runtime Environment" (JRE) (CVE-2010-4452.h). Уязвимыми являются "Java Runtime Environment" (JRE) и "Java for Business" версии 6.0 до 23-го обновления. Данная уязвимость позволяет обойти атакующему настройки безопасности "песочницы" Java (Java Sandbox) и выполнить код на уязвимой системе. Для выполнения данного эксплоита в HTML документе указаны следующие параметры Java апплета:

Параметр базовый адрес ("codebase") указывает на доверенный каталог:

C:\Program Files\java\jre6\lib\ext

В качестве имени файла задается специально сформированная ссылка, которая указывает на исполняемый Java-апплет:

http://158****269/AppletX

По данной ссылке осуществляется обращение к URL:



http://94.**.***.53/AppletX

Данному апплету в качестве параметра с именем "aaa" передается ссылка в зашифрованном виде. Затем вредонос осуществляет по ссылке загрузку исполняемого файла, который сохраняется в каталоге временного хранения файлов текущего пользователя с именем:

%Temp%\<rnd>.exe

где rnd – случайное дробное число от 0 до 1. Затем Вредонос запускает загруженный файл на выполнение. На момент создания описания ссылки не работали.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:


1. Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

2. Обновить Oracle Java JRE и JDK до последних версий.

3. Очистить каталог:

%Temp%\

4. Произвести полную проверку компьютера Антивирусным ПО с обновленными базами.

Источник: http://www.securelist.com/ru/descrip...VE-2010-4452.q