Exploit.Java.CVE-2010-0840

Malware je součást aplikace pro stažení trojských koní a obsahuje soubor třídy s názvem "překladatel", který stáhne soubor z Internetu z odeslaného odkazu a spouští stažený soubor. Stažený soubor je ukládán do adresáře dočasných souborů aktuálního uživatele jako% Temp% <rnd> .exe, kde <rnd> je náhodným zlomkovým desítkovým číslem mezi 0 a 1. Před stahováním zkontroluje malware název OS instalovaného na infikovaného systému. Není-li operační systém Windows, stahování se neuskuteční.

Trojan představuje Java applet. Spouští se z infikované stránky HTML pomocí značky "<APPLET>", u které je v parametru "hint" zaslán šifrovaný odkaz na soubor ke stažení.

Stejně jako výše uvedený soubor třídy, Trojan obsahuje soubory tříd s názvem "ISO" a "UTF". Soubor třídy "ISO" obsahuje funkci "sikilda", která slouží k dešifrování odkazu na soubor ke stažení. Soubor třídy UTF obsahuje kód určený k zneužití zranitelnosti ( CVE-2010-0840 ). JDK a JRE až do verze 6, 18. aktualizace, jsou zranitelné. Tato chyba zabezpečení se objevuje z důvodu nesprávného ověření při provádění privilegovaných metod v prostředí Java Runtime Environment; to umožňuje uživateli se zlými úmysly provést náhodný kód se speciálně upraveným objektem, což je podtřída souboru důvěryhodné třídy.