(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

"Доктор Веб": Trojan.Rodricter распространяется с помощью критической уязвимости Java

Источник: DrWeb

26 августа компания FireEye сообщила об обнаружении критической уязвимости в Java Runtime Environment версий 1.7x, получившей обозначение CVE-2012-4681. Компания Oracle выпустила соответствующее обновление безопасности только 30 августа, и, следовательно, уязвимость оставалась незакрытой в течение как минимум четырех суток, чем не замедлили воспользоваться злоумышленники. Специалисты компании "Доктор Веб" - российского разработчика средств информационной безопасности - установили, что с использованием этого эксплойта распространялось несколько вредоносных программ, среди которых был обнаружен троянец Trojan.Rodricter.

С целью распространения вредоносных программ злоумышленники использовали взломанные веб-сайты, на которых, в частности, модифицировалось содержимое файла .htaccess. В момент обращения к веб-сайту, содержащему внедренный злоумышленниками вредоносный скрипт, выполняется цепочка перенаправлений, адрес конечного узла в которой зависит от установленной на компьютере пользователя операционной системы. Пользователи ОС Windows перенаправлялись на веб-страницу, содержащую вызовы различных эксплойтов. Примечательно, что адреса серверов, на которые перебрасывались пользователи, генерируются динамически и меняются каждый час.

Загружаемые в браузер пользователя веб-страницы эксплуатировали сразу две уязвимости: CVE-2012-1723 и CVE-2012-4681. Используемый злоумышленниками эксплойт зависит от версии Java Runtime: для версий 7.05 и 7.06 обход безопасности происходил с использованием уязвимости CVE-2012-4681.

screen

В случае если применение уязвимости завершилось успехом, Java-апплет расшифровывает файл class, основное предназначение которого - загрузка и запуск исполняемых файлов. Таким образом злоумышленники распространяли троянскую программу Trojan.Rodricter.21.

screen

Троянец Trojan.Rodricter.21 использует руткит-технологии и состоит из нескольких компонентов. Так, запустившись на инфицированном компьютере, дроппер этой вредоносной программы проверяет наличие в системе антивирусного ПО и отладчиков, после чего пытается повысить свои привилегии: для этого, в частности, могут использоваться уязвимости ОС. На компьютерах, использующих контроль учетных записей пользователей, троянец отключает UAC. Дальнейший алгоритм действий Trojan.Rodricter.21 зависит от того, какие права он имеет в зараженной системе. Троянец сохраняет на диск основной компонент и, если у него достаточно для этого привилегий, инфицирует один из стандартных драйверов Windows с целью скрытия основного модуля в зараженной системе. Таким образом, Trojan.Rodricter.21 вполне можно отнести к категории троянцев-руткитов. Помимо прочего, эта вредоносная программа умеет изменять настройки браузеров Microsoft Internet Explorer и Mozilla Firefox, например, в последнем троянец устанавливает в папку \searchplugins\ дополнительный плагин-поисковик, а также подменяет User-Agent и настройки поисковой системы по умолчанию. В результате отправляемые пользователем поисковые запросы имеют вид http://findgala.com/?&uid=%d&&q={поисковый запрос} , где %d - уникальный идентификатор троянца. Также Trojan.Rodricter.21 модифицирует содержимое файла hosts, прописывая туда адреса принадлежащих злоумышленникам веб-сайтов.

Основной модуль Trojan.Rodricter.21 сохраняется в виде исполняемого файла во временной папке, он предназначен для подмены пользовательского трафика и внедрения в него произвольного содержимого.

Сигнатура данной угрозы добавлена в базы антивирусного ПО Dr.Web, а механизм лечения заражения - в состав лечащей утилиты Dr.Web CureIt! Специалисты компании "Доктор Веб" настоятельно рекомендуют пользователям установить актуальные обновления безопасности, и в первую очередь - обновления Java Runtime Environment.



 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 05.09.2012 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Dr.Web Security Space, продление лицензии на 1 год, 1 ПК
Купить, скачать Dr.Web Security Space, 1 год, 1 ПК
Комплект Dr.Web «Универсальный», 1 год, 5 ПК
Купить Антивирус Dr.Web Server Security Suite для сервера
Stimulsoft Reports Server Team 10 users
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Новости ITShop.ru - ПО, книги, документация, курсы обучения
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
Один день системного администратора
Все о PHP и даже больше
Краткие описания программ и ссылки на них
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
 



    
rambler's top100 Rambler's Top100