Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Троянская программа написана на языке Java. Позволяет модифицировать системный реестр и изменять файлы на локальном диске.

Программа состоит из четырех файлов:

Count.class
Dummy.class
nocheat.class
ok.class

Count.class, размер 20686 байт. Загружает и вызывает функцию Init для файла «nocheat.class». При загрузке файла компонента использует уязвимость в виртуальной машине Java. Загруженный файл получает доступ к файлам на диске и системному реестру.

Dummy.class, размер 235 байт. Содержит пустую функцию инициализации и переменную с именем URLClassLoader.

nocheat.class, размер 6518 байт. Основная компонента троянской программы. Позволяет выполнять такие действия на компьютере пользователя:

Команда: «HP»
Заменяет стартовую страницу Internet Explorer на другое значение.

Команда: «SS»
Добавляет строку для ключа системного реестра:

"\Internet Settings\SafeSites"

Команда: «HST»
Добавляет строку к файлу «hosts» из каталога

system32driversetc

Команда: «FV»
Создает файлы «.url» в каталоге «Favorites» для текущего пользователя.

Команда: «DT»
Создает файлы «.url» в каталоге «Desktop» для текущего пользователя.

Команда: «SP»
Модифицирует ветки системного реестра:

"Internet Explorer", "SearchURL"
"Internet Explorer\Main", "Use Custom Search URL"
"Internet Explorer\Main", "Search Page"
"Internet Explorer\Main", "Search Bar"
"Internet Explorer\Search", "SearchAssistant"
"Internet Explorer\Search", "CustomizeSearch"
"Internet Explorer\Main", "Default_Search_URL"
"Internet Explorer\Main", "Search Page"
"Internet Explorer\Search", "SearchAssistant"

ok.class, размер 996 байт. Содержит функции myDefineClass и loadClass.

Класс	Trojan
Платформа	Java
Описание	Technical Details Троянская программа написана на языке Java. Позволяет модифицировать системный реестр и изменять файлы на локальном диске. Программа состоит из четырех файлов: Count.class Dummy.class nocheat.class ok.class Count.class, размер 20686 байт. Загружает и вызывает функцию Init для файла «nocheat.class». При загрузке файла компонента использует уязвимость в виртуальной машине Java. Загруженный файл получает доступ к файлам на диске и системному реестру. Dummy.class, размер 235 байт. Содержит пустую функцию инициализации и переменную с именем URLClassLoader. nocheat.class, размер 6518 байт. Основная компонента троянской программы. Позволяет выполнять такие действия на компьютере пользователя: Команда: «HP» Заменяет стартовую страницу Internet Explorer на другое значение. Команда: «SS» Добавляет строку для ключа системного реестра: "\Internet Settings\SafeSites" Команда: «HST» Добавляет строку к файлу «hosts» из каталога system32driversetc Команда: «FV» Создает файлы «.url» в каталоге «Favorites» для текущего пользователя. Команда: «DT» Создает файлы «.url» в каталоге «Desktop» для текущего пользователя. Команда: «SP» Модифицирует ветки системного реестра: "Internet Explorer", "SearchURL" "Internet Explorer\Main", "Use Custom Search URL" "Internet Explorer\Main", "Search Page" "Internet Explorer\Main", "Search Bar" "Internet Explorer\Search", "SearchAssistant" "Internet Explorer\Search", "CustomizeSearch" "Internet Explorer\Main", "Default_Search_URL" "Internet Explorer\Main", "Search Page" "Internet Explorer\Search", "SearchAssistant" ok.class, размер 996 байт. Содержит функции myDefineClass и loadClass.

Trojan.Java.Nocheat

Technical Details