Trojan.Rodricter распространяется с помощью критической уязвимости Java

26 августа специалисты компании FireEye сообщили о выявлении критической уязвимости в платформе Java Runtime Environment, получившей название CVE-2012-4681. Корпорация Oracle выпустила соответствующий пакет обновлений только 30 августа, следовательно, уязвимость была открытой как минимум четыре дня, чем оперативно воспользовались злоумышленники. Эксперты уже выявили несколько вредоносных утилит, среди которых троянское приложение Trojan.Rodricter, использующих уязвимость.

Для распространения вирусов злоумышленники использовали взломанные сайты, на которых, в частности, редактировался файл .htaccess. При открытии ресурса, который содержал вредоносный скрипт, происходила серия перенаправлений, при этом адрес конечной страницы зависит от операционной системы пользователя. Пользователям платформы Windows открывалась страница с различными эксплойтами. Стоит отметить, что адреса серверов, на которые отсылались пользователи, формируются динамически и каждый час меняются. Загружаемые в обозреватель страницы использовали сразу две серьезные уязвимости: CVE-2012-4681 и CVE-2012-1723. Используемый мошенниками эксплойт зависит от установленной версии Java: для версий 7.06 и 7.05 обход безопасности осуществлялся путем использования уязвимости CVE-2012-4681.

Virus

Если эксплуатация уязвимости была успешной, Java-апплет распаковывает файл class, главное предназначение которого – скачивание и активация исполняемых файлов. Именно таким образом хакеры распространяли троянское приложение Trojan.Rodricter.21. Троянское приложение Trojan.Rodricter.21 состоит из нескольких модулей и использует руткит-технологии. Так, запустившись на зараженном компьютере, дроппер данного вируса проверяет присутствие в системе отладчиков и антивирусных пакетов, после чего делает попытки повысить свои привилегии. На компьютерах, использующих функцию контроля учетных записей, троянская утилита отключает UAC. Дальнейшая схема работы Trojan.Rodricter.21 зависит от того, какие привилегии он имеет в инфицированной системе. Троянская утилита копирует на жесткий диск основной модуль и, если ему хватает прав, заражает один из системных драйверов операционной системы с целью маскировки основного компонента в инфицированной системе. Именно поэтому, Trojan.Rodricter.21 вполне можно классифицировать как троянец-руткит.

Также вредоносная утилита способна редактировать параметры обозревателей Mozilla Firefox и Microsoft Internet Explorer, например, в первом троянец устанавливает в каталог searchplugins дополнительный поисковый плагин, а также изменяет User-Agent и параметры поисковой системы по умолчанию. После этого пользовательские запросы имеют формат http://findgala.com/?&uid=%d&&q={поисковый запрос}, где параметр %d является идентификатором троянского приложения. Также Trojan.Rodricter.21 изменяет содержимое файла hosts, добавляя туда адреса сайтов, принадлежащих мошенникам.

Посмотрите видео как обезвредить Trojan: