Уязвимость Java стала причиной появления нового вируса

Компания FireEye в конце августа 2012 года обнародовала данные об имеющей место уязвимости Java Runtime Environment, которая получила название CVE-2012-4681. Разработчики организации Oracle выпустили необходимое обновление только через четыре дня, чем сумели воспользоваться компьютерные злоумышленники.

Компания «Доктор Веб» благодаря использованию своих инструментов смогла выяснить, что новой версией Java воспользовались в неблаговидных целях, создав на ее основе несколько вирусов, в том числе и троян Trojan.Rodricter. Для распространения вредоносных компьютерных программ были использованы некоторые веб-сайты, которые были заранее взломаны. Схема была такова, что при попытке обращения на веб-сайт, который содержал в себе видоизмененный скрипт, происходила целая цепочка перенаправлений, а конечная цель данной цепочки зависела от того, какая операционная система установлена на компьютере пользователя. Интересным было то, что адреса серверов, используемых для перебрасывания пользователей, генерировались автоматически и динамически, сменяя друг друга каждый час. Страницами, которые обычные пользователи загружали в свои браузеры, были использованы одновременно 2 уязвимости: CVE-2012-4681 и CVE-2012-1723. Выбор эксплойта полностью зависел от того, какую именно версию Java Runtime использовал тот или иной компьютер. Если же защита системы была успешно обманута, запускался файл class, основным предназначением которого было скачивание и запуск инфицированных исполняемых файлов.

Троянец под названием Trojan.Rodricter.21 в основе своей технологии имеет использование руткита и делится на несколько составляющих. После запуска на зараженном компьютере агент вредоносного программного обеспечения проверял в файлах системы наличие антивирусных программ, после чего использовал имеющиеся уязвимости для укрепления своих позиций. Алгоритм дальнейших действий вредоносной программы полностью зависит от того, какие позиции она успела завоевать и какие права имеет. Если прав достаточно, то происходит инфицирование одного из основных драйверов операционной системы, что позволяет скрыть основной модуль вируса. Все это дает основания для того, чтобы называть Trojan.Rodricter.21 вирусом – руткитом. Кроме того, данное вредоносное программное обеспечение может изменять настройки Mozilla Firefox и Microsoft Internet Explorer для направленного посылания пользователей на сайты с нежелательными программами. Основной модуль данного трояна хранится во временной папке и имеет вид исполняемого файла, что затрудняет его поиск.



Опубликовал admin
20 Сен, Четверг 2012г.



Программирование для чайников.