Exploit.Java.CVE-2010-0840

O malware é um componente de um Trojan Downloader e inclui um arquivo de classe chamado "tradutor", que faz o download de um arquivo da Internet, de um link enviado para ele e lança o arquivo baixado para execução. O arquivo baixado é salvo no diretório de arquivos temporários do usuário atual como% Temp% <rnd> .exe, em que <rnd> é um número decimal fracionário aleatório entre 0 e 1. Antes de fazer o download, o malware verifica o nome do SO instalado no sistema infectado. Se o sistema operacional não for o Windows, o download não será feito.

O cavalo de Tróia constitui um applet Java. É lançado a partir de uma página HTML infectada usando a tag "<APPLET>", para a qual um link criptografado para um arquivo para download é enviado no parâmetro chamado "hint".

Assim como o arquivo de classe mencionado acima, o Trojan contém arquivos de classe chamados "ISO" e "UTF". O arquivo de classe "ISO" inclui a função "sikilda", que é usada para descriptografar o link para um arquivo que pode ser baixado. O arquivo de classe "UTF" contém um código projetado para explorar uma vulnerabilidade ( CVE-2010-0840 ). JDK e JRE até a versão 6, 18ª atualização, são vulneráveis. Esta vulnerabilidade aparece devido à verificação incorreta ao executar métodos privilegiados no Java Runtime Environment; isso permite que o usuário mal-intencionado execute um código aleatório com um objeto especialmente modificado, que é um arquivo de subclasse do arquivo de classe confiável.