ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Exploit.Java.CVE-2010-0840

Data de detecção 06/16/2011
Classe Exploit
Plataforma Java
Descrição

O malware é um componente de um Trojan Downloader e inclui um arquivo de classe chamado "tradutor", que faz o download de um arquivo da Internet, de um link enviado para ele e lança o arquivo baixado para execução. O arquivo baixado é salvo no diretório de arquivos temporários do usuário atual como% Temp% <rnd> .exe, em que <rnd> é um número decimal fracionário aleatório entre 0 e 1. Antes de fazer o download, o malware verifica o nome do SO instalado no sistema infectado. Se o sistema operacional não for o Windows, o download não será feito.

O cavalo de Tróia constitui um applet Java. É lançado a partir de uma página HTML infectada usando a tag "<APPLET>", para a qual um link criptografado para um arquivo para download é enviado no parâmetro chamado "hint".

Assim como o arquivo de classe mencionado acima, o Trojan contém arquivos de classe chamados "ISO" e "UTF". O arquivo de classe "ISO" inclui a função "sikilda", que é usada para descriptografar o link para um arquivo que pode ser baixado. O arquivo de classe "UTF" contém um código projetado para explorar uma vulnerabilidade ( CVE-2010-0840 ). JDK e JRE até a versão 6, 18ª atualização, são vulneráveis. Esta vulnerabilidade aparece devido à verificação incorreta ao executar métodos privilegiados no Java Runtime Environment; isso permite que o usuário mal-intencionado execute um código aleatório com um objeto especialmente modificado, que é um arquivo de subclasse do arquivo de classe confiável.


Link para o original