Троян Rodricter использует уязвимость 0-дня в JRE
🕛 06.09.2012, 12:14
При компрометации системы вирус Trojan.Rodricter эксплуатирует уязвимость CVE-2012-4681. Компания «Доктор Веб» сообщает о распространении вредоносной программы Trojan.Rodricter, которая при взломе системы эксплуатирует уязвимость CVE-2012-4681 в JRE. Напомним, что 26 августа сотрудник компании FireEye Атиф Муштак (Atif Mushtaq) заявил об активной эксплуатации этой уязвимости. Эксперт также отметил, что в скором времени эксплоит к уязвимости в Java станет широко доступным, и злоумышленники будут очень активно его использовать. Всего в течение суток компания Rapid 7 представила модуль эксплоита для платформы Metasploit. Этот модуль эксплуатирует уязвимость в JRE для последних версий браузеров Mozilla Firefox, Internet Explorer, а также Safari на платформах Linux, Windows и Macintosh. Владельцу JRE компании Oracle потребовалось 4 дня для того, чтобы выпустить обновление, которое устранило эту уязвимость.
Обнаруженная экспертами антивирусной компании вредоносная программа распространяется через web-сайты, на которых вносились изменения в файл .htaccess. В случае обращения к скомпрометированному сайту специально сформированный сценарий перенаправляет пользователя на сторонний узел, на котором происходит попытка эксплуатации двух уязвимостей – CVE-2012-1723 и CVE-2012-4681, в зависимости от того, какая версия JRE установлена на системе.
При успешной эксплуатации Java-апплет расшифровывает файл class, после чего происходит загрузка выполняемых файлов программы, получившей в компании «Доктор Веб» название Trojan.Rodricter.21.
После запуска дроппер программы Rodricter выполняет поиск на наличие антивирусов и отладчиков. Программа также пытается повысить свои привилегии, для чего эксплуатирует уязвимости операционной системы.
Далее, в зависимости от наличия достаточного уровня привилегий, троян сохраняет в памяти свой основной компонент, а также инфицирует один из стандартных драйверов Windows для того, чтобы скрыть основной модуль на зараженной системе, получая, таким образом, руткит функционал.
Вирус может успешно вносить изменения в настройки браузеров Microsoft Internet Explorer и Mozilla Firefox. Так, он добавляет в обозреватель дополнительный плагин поисковой программы, а также подменяет User-Agent и настройки поисковой системы по умолчанию.
Основной модуль Trojan.Rodricter.21 сохраняется во временной папке и он предназначен для подмены трафика пользователя. Таким образом, злоумышленники могут перехватывать сетевые пакеты и раскрывать конфиденциальные данные пользователей, которые передаются при незашифрованной передаче данных.