Exploit.Java.CVE-2010-0840

El malware es un componente de un descargador de troyanos e incluye un archivo de clase llamado "traductor", que descarga un archivo de Internet, desde un enlace enviado a él, y ejecuta el archivo descargado para su ejecución. El archivo descargado se guarda en el directorio de archivos temporales del usuario actual como% Temp% <rnd> .exe donde <rnd> es un número decimal fraccionario aleatorio entre 0 y 1. Antes de la descarga, el malware verifica el nombre del SO instalado en el sistema infectado. Si el sistema operativo no es Windows, la descarga no se realiza.

El troyano constituye un applet de Java. Se inicia desde una página HTML infectada utilizando la etiqueta "<APPLET>", para la cual se envía un enlace cifrado a un archivo descargable en el parámetro denominado "sugerencia".

Además del archivo de clase mencionado anteriormente, el troyano contiene archivos de clase llamados "ISO" y "UTF". El archivo de clase "ISO" incluye la función "sikilda", que se utiliza para descifrar el enlace a un archivo descargable. El archivo de clase "UTF" contiene un código diseñado para explotar una vulnerabilidad ( CVE-2010-0840 ). JDK y JRE hasta la versión 6, 18ª actualización, son vulnerables. Esta vulnerabilidad aparece debido a una verificación incorrecta al ejecutar métodos privilegiados en Java Runtime Environment; esto permite que el usuario malintencionado ejecute un código aleatorio con un objeto especialmente modificado, que es un archivo de subclase del archivo de clase confiable.