Перейти к содержанию

Java-уязвимость повлекла за собой возникновения троянца Rodricter

java Организация Oracle произвела аналогичное восстановление безопасности лишь 30 сентября, и, значит, слабость оставалась незащищенной на протяжении по меньшей мере 4-х дней, чем не замедлили пользоваться мошенники. Эксперты компании «Доктор Веб» определили, что с применением данного эксплойта распространялось несколько вредных программ, в числе которых был замечен троянец Trojan.Rodricter. 

В целях распространения вредных программ мошенники применяли развороченные сайты, на которых, например, видоизменялось содержание документа .htaccess. В момент послания к сайту, находящемуся засланный злодеями вредный script, производится вереница перенаправлений, адрес конечного участка в которой находится в зависимости от поставленной на ПК клиента ОС. Клиенты ОС Виндоус перенаправлялись на интернет-страницу, имеющую вызовы разных эксплойтов. Интересно, что адреса компьютеров, на которые перекидывались клиенты, производятся динамически и обмениваются ежечасно. 

Загружаемые в интернет-браузер клиента интернет-страницы использовали 2 уязвимости: CVE-2012-1723 и CVE-2012-4681. Применяемый злодеями эксплойт находится в зависимости от версии Java Runtime: для модификаций 7.05 и 7.06 осмотр безопасности происходил с применением уязвимости CVE-2012-4681. Если применение уязвимости закончилось триумфом, Java-апплет расшифровывает документ class, главное назначение которого — закачка и старт выполняемых документов. 

Троянец Trojan.Rodricter.21 применяет руткит-технологии и состоит из нескольких элементов. Так, запустившись на инфицированном ПК, дроппер данной вредной платформы рассматривает содержание в системе противовирусного ПО и отладчиков, затем старается увеличить собственные льготы: для этого, например, могут применяться уязвимости ОС. На ПК, применяющих контроль учетных записей клиентов, троянец выключает UAC. Предстоящий метод действий Trojan.Rodricter.21 находится в зависимости от того, какие права он имеет в инфицированной системе. Троянец сохраняет на диск основной элемент и, если у него довольно для этого льгот, заражает один из нормальных драйверов Виндоус в целях скрытия главного модуля в инфицированной системе. 

Так что, Trojan.Rodricter.21 можно отнести к группе троянцев-руткитов. Кроме остального, данная вредная платформа может менять опции интернет-браузеров Майкрософт Mozilla firefox и Mozillа Firefox, к примеру, в последнем троянец ставит в папку searchplugins особый плагин-поисковик, и заменяет User-Agent и опции поисковой машины изначально. В итоге направляемые клиентом запросы в поисковике имеют тип http://findgala.com/?&uid=%d&&q={поисковый запрос}, где %d — эксклюзивный личный номер троянца. Также Trojan.Rodricter.21 трансформирует содержание документа hosts, прописывая туда адреса принадлежащих мошенникам сайтов. 

Основной модуль Trojan.Rodricter.21 сохраняется в качестве выполняемого документа во временной папке, он назначен для замены пользовательского трафика и внедрения в него случайного содержимого.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *