Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в "Java Runtime Environment" (-JRE)- (-CVE-2010-4452. h)-.
Технические детали
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в "Java Runtime Environment" (JRE) (CVE-2010-4452.h). Представляет собой HTML документ. Имеет размер 214 байт.
Деструктивная активность
После открытия зараженной HTML страницы вредонос начинает эксплуатировать уязвимость, которая существует в "Deployment" компоненте в "Java Runtime Environment" (JRE) (CVE-2010-4452.h). Уязвимыми являются "Java Runtime Environment" (JRE) и "Java for Business" версии 6.0 до 23-го обновления. Данная уязвимость позволяет обойти атакующему настройки безопасности "песочницы" Java (Java Sandbox) и выполнить код на уязвимой системе. Для выполнения данного эксплоита в HTML документе указаны следующие параметры Java апплета:
- Параметр базовый адрес ("codebase") указывает на доверенный каталог:
C:\Program Files\java\jre6\lib\ext
- В качестве имени файла задается специально сформированная ссылка, которая указывает на исполняемый Java-апплет:
http://158****269/AppletX
По данной ссылке осуществляется обращение к URL:http://94.**.***.53/AppletX
Данному апплету в качестве параметра с именем "aaa" передается ссылка в зашифрованном виде. Затем вредонос осуществляет по ссылке загрузку исполняемого файла, который сохраняется в каталоге временного хранения файлов текущего пользователя с именем:%Temp%\
где rnd - случайное дробное число от 0 до 1. Затем Вредонос запускает загруженный файл на выполнение. На момент создания описания ссылки не работали..exe
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Обновить Oracle Java JRE и JDK до последних версий.
- Очистить каталог:
%Temp%\