Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в "Java Runtime Environment" (JRE) (CVE-2010-4452.h). Технические деталиПрограмма-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в "Java Runtime Environment" (JRE) (CVE-2010-4452.h). Представляет собой HTML документ. Имеет размер 203 байта. Деструктивная активностьПосле открытия зараженной HTML страницы вредонос начинает эксплуатировать уязвимость, которая существует в "Deployment" компоненте в "Java Runtime Environment" (JRE) (CVE-2010-4452.h). Уязвимыми являются "Java Runtime Environment" (JRE) и "Java for Business" версии 6.0 до 23-го обновления. Данная уязвимость позволяет обойти атакующему настройки безопасности "песочницы" Java (Java Sandbox) и выполнить код на уязвимой системе. Для выполнения данного эксплоита в HTML документе указаны следующие параметры Java апплета: - Параметр базовый адрес ("codebase") указывает на доверенный каталог:
C:\Program Files\java\jre6\lib\ext - В качестве имени файла задается специально сформированная ссылка, которая указывает на исполняемый Java-апплет:
http://327****719/AppletX
По данной ссылке осуществляется обращение к URL: http://195.**.**.31/AppletX Данному апплету в качестве параметра с именем "aaa" передается ссылка в зашифрованном виде. Затем вредонос осуществляет по ссылке загрузку исполняемого файла, который сохраняется в каталоге временного хранения файлов текущего пользователя с именем: %Temp%\<rnd>.exe где rnd – случайное дробное число от 0 до 1. Затем Вредонос запускает загруженный файл на выполнение. На момент создания описания ссылки не работали. Рекомендации по удалениюЕсли ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: - Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Обновить Oracle Java JRE и JDK до последних версий.
- Очистить каталог:
%Temp%\
|