JAVA/Dldr.Treams (CVE-2012-0507 Exploit)

Добрый день!
Недавно кто-то подписал меня на платные СМС (возможно человек а не вирус), поэтому решил сменить антивирус (был Nod32, поставил Avira Free) и просканил компьютер.
Всё подряд не запускаю, так что не рассчитывал, что антивирус что-то найдёт. Но он всё таки нашёл в папке %TEMP%:
[QUOTE][0] Archive type: ZIP
--> expl3it/Aee.class
[DETECTION] Contains recognition pattern of the EXP/12-0507.BL.2 exploit
--> expl3it/AmicArray.class
[DETECTION] Contains recognition pattern of the EXP/12-0507.BA.2 exploit
--> expl3it/Btos.class
[DETECTION] Contains recognition pattern of the JAVA/Dldr.Treams.W Java virus
--> expl3it/ddjd.class
[DETECTION] Contains recognition pattern of the EXP/CVE-2012-0507.A.2 exploit
--> expl3it/ffos.class
[DETECTION] Contains recognition pattern of the EXP/2012-0507.BS exploit
--> expl3it/gvars.class
[DETECTION] Contains recognition pattern of the EXP/12-0507.BM.1 exploit
--> expl3it/hpss.class
[DETECTION] Contains recognition pattern of the EXP/CVE-2012-0507.A.4 exploit
--> expl3it/iiis.class
[DETECTION] Contains recognition pattern of the EXP/2012-0507.BT exploit
--> expl3it/Is.class
[DETECTION] Contains recognition pattern of the JAVA/Dldr.Treams.Y Java virus
--> expl3it/MCallXX.class
[DETECTION] Contains recognition pattern of the JAVA/Dldr.Treams.Z Java virus
--> expl3it/MyStart.class
[DETECTION] Contains recognition pattern of the EXP/11-3544.FF exploit
--> expl3it/o0mloader.class
[DETECTION] Contains recognition pattern of the EXP/12-0507.BG.1.B exploit
--> expl3it/Perm.class
[DETECTION] Contains recognition pattern of the EXP/2012-0507.BU exploit
--> expl3it/Ull.class
[DETECTION] Contains recognition pattern of the EXP/CVE-2012-0507.A.6 exploit[/QUOTE]
Помимо этого 1 скрытый драйвер (видимо Daemon Tools) и 200 сообщений "The registry entry is invisible." (MRU листы и несколько ключей HKCU\Software\Classes\Wow6432Node\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}).
Файл во вложении (пароль virus).
Как я понял этот вирус использует уязвимость в Java и может выполнить произвольный код на компьютере. На момент сканирования стояла Java 6 Update 31, которая вроде не уязвима, но вот на момент заражения могла стоять более старая версия...
Никто не знает, что он может сделать в худшем случае? Может, к примеру передать какой-нибудь файл с компьютера, пароли и прочее (номер телефона из настроек автозаполенения форм в браузере)? Паниковать стоит? :)

Сам ничего страшного не вижу, просто за зловредами не слежу, а учитывая случай с смс, задаю вопрос тут для подстраховки, вдруг недооцениваю угрозу. :)

Файл в архиве является Java-эксплойтом [B]Exploit.Java.CVE-2012-0507.en[/B].

Что означает exploit Вы можете уточнить [URL="http://www.securelist.com/ru/threats/detect/trojan-programs/exploit#list"]здесь[/URL].

[QUOTE]Никто не знает, что он может сделать в худшем случае? Может, к примеру передать какой-нибудь файл с компьютера, пароли и прочее (номер телефона из настроек автозаполенения форм в браузере)? Паниковать стоит? [/QUOTE]

Стоит, увы. Раз ваш компьютер уже оказался скомпрометирован, т.е. заражен другими словами, то у вас нет гарантии, что нет другого заражения. Часто жертвам сажают целый букет заразы на все случаи жизни.

Чтобы удостоверится точно, я рекомендую вам провериться нормальными антивирусами, в которых есть антируткит и которые реально умеют лечить систему [url]http://virusinfo.info/showthread.php?t=122463[/url] - там смотрите Kaspersky Virus Removal Tool и Dr.Web CureIt!

Скорее всего они обнаружат что-то еще. Далее рекомендую воспользоваться [URL="http://virusinfo.info/pravila.html"]правилами[/URL] и продиагностировать свою систему еще раз. Только тогда можно будет говорить, что система чистая.

Далее обязательно надо сменить ВСЕ пароли, включая учетки на разных сайтах, сервисах и т.п. Следуйте рекомендациям, опубликованным здесь [url]http://virusinfo.info/showthread.php?t=121902[/url] Иначе почти на 100% будет рецидив.

[QUOTE=Ilya Shabanov;919772]Стоит, увы. Раз ваш компьютер уже оказался скомпрометирован, т.е. заражен другими словами, то у вас нет гарантии, что нет другого заражения.[/QUOTE]

Спасибо! Печально... А эти рекомендации я все соблюдаю.
А в папку %TEMP% это файл мог попасть только если система была скомпрометирована?

PS. Вчера узнал, что у 64-х битной версии Java нет программы автоматического обновления (есть только у 32-х битной).

[QUOTE]А в папку %TEMP% это файл мог попасть только если система была скомпрометирована? [/QUOTE]

Раз что-то вредоносное незаметно попало на машину, то это уже само по себе говорит о ее компрометации. Ведь как далеко зашла атака неизвестно. Именно поэтому я и рекомендовал сделать полные логи системы по правилам, чтобы хелперы посмотрели и подтвердили, что все ОК (или же завершили лечение).

[QUOTE]PS. Вчера узнал, что у 64-х битной версии Java нет программы автоматического обновления (есть только у 32-х битной).[/QUOTE]

У меня версия Java х64, прекрасно обновляется сама на Windows 7, сейчас актуальная версия 6 update 33. Secunia PSI показывает, что все обновлено. Кстати, очень рекомендую эту штуку, это бесплатная Vulnerability Assessment Tool для персонального использования [url]http://secunia.com/vulnerability_scanning/personal/[/url]

[QUOTE=Ilya Shabanov;919934]У меня версия Java х64, прекрасно обновляется сама на Windows 7, сейчас актуальная версия 6 update 33. Secunia PSI показывает, что все обновлено. [/QUOTE]
Актуальная версия 7 Update 6. 6ая версия последняя Update 34 (вышли 10 дней назад).
У меня когда стояла 6 Update 31 в панели управления не было вкладки Update. Когда запустил javacpl.exe 32-битный, то обновилась только 32-х битная версия, далее уже при нажатии обновить, выдавалось, что версия актуальная, хотя 64-х битная не была обновлена. 64-х битную обновил вручную. В 7ой сейчас посмотрел тоже самое: C:\Program Files\Java\jre7\bin\javacpl.exe не имеет вкладки Update.

[QUOTE=Ilya Shabanov;919934]Кстати, очень рекомендую эту штуку, это бесплатная Vulnerability Assessment Tool для персонального использования [url]http://secunia.com/vulnerability_scanning/personal/[/url][/QUOTE]
Что-то не запускается она у меня. Висит на сплеш скрине с надписью Loading...

[QUOTE=Ilya Shabanov;919772]там смотрите Kaspersky Virus Removal Tool[/QUOTE]
Просканировать Kaspersky Virus Removal Tool не получилось:
[QUOTE]Source
Kaspersky Virus Removal Tool

Summary
Stopped working

Date
‎25.‎08.‎2012 22:34

Status
Report sent

Problem signature
Problem Event Name: APPCRASH
Application Name: 9974536.exe
Application Version: 11.0.0.1245
Application Timestamp: 4d936e61
Fault Module Name: avs.ppl
Fault Module Version: 11.0.0.1245
Fault Module Timestamp: 4d937058
Exception Code: c0000005
Exception Offset: 00027969
OS Version: 6.1.7601.2.1.0.256.1
Locale ID: 1049
Additional Information 1: 0a9e
Additional Information 2: 0a9e372d3b4ad19135b953a78882e789
Additional Information 3: 0a9e
Additional Information 4: 0a9e372d3b4ad19135b953a78882e789

Extra information about the problem
Bucket ID: 3127416230
[/QUOTE]

А вот Kaspersky Security Scan закончил сканированию. Три ложных срабатывания. Например: [URL=https://www.virustotal.com/file/95a66c2e88777431c4d0c25a5c7d5dd5b7607d74a8a2dd07839f1bca0e7c60b2/analysis/]HEUR:Trojan.Win32.Generic[/URL] Правда, 8 уязвимостей, в 8 разных приложениях, автообновления у них нету :-( Плюс ложные предупреждения о том, что включён autorun и неверные ассоциации reg файлов.

По поводу компроментации системы - просто восстановлю систему из резервной копии.
Но проблема с настройками безопасности всё-таки останется. Вирус спокойно может попасть на компьютер, используя уязвимости в одном из приложений, а обновлять их до актуальных версий очень проблематично. Даже у Вас Java не обновлена. :-)

[B]Ilya Shabanov[/B], а на сколько будет эффективно установить Avast и включить в Windows AppLocker? Даже если вирус воспользуется уязвимостью в ПО и Avast его не заметит, то AppLocker должен заблокировать? Или я что-то не учитываю? Может быть что-то ещё можно включить?

[QUOTE]Вирус спокойно может попасть на компьютер, используя уязвимости в одном из приложений, а обновлять их до актуальных версий очень проблематично. Даже у Вас Java не обновлена. :-) [/QUOTE]

Согласен, может конечно. Но на практике подавляющая часть малвары сейчас собиратся при помощи специальных конструкторов, используются одни и те же уязвимости, которые у многих не закрыты годами. В топе по эксплуатации висит далеко не суперсвежак [url]http://www.securelist.com/ru/analysis/208050763/Razvitie_informatsionnykh_ugroz_vo_vtorom_kvartale_2012_goda#16[/url] Обратите внимание кстати, что там в топе нет Microsoft, т.е. вектор атак примерно год назад сместился с системного ПО на вспомогательное, его проще ломать и оно хуже администруется (как вы правильно заметили, даже при помощи родного апдейтера почему-то не получается получить новейшую версию Java).


[QUOTE]Ilya Shabanov, а на сколько будет эффективно установить Avast и включить в Windows AppLocker? Даже если вирус воспользуется уязвимостью в ПО и Avast его не заметит, то AppLocker должен заблокировать? Или я что-то не учитываю? Может быть что-то ещё можно включить?[/QUOTE]

Windows AppLocker очень хорошая штука, к сожалению не во всех версиях Windows она есть. У меня на домашнем ноуте ее нет. В большинстве случаем вредонос просто не запустится, для этого эта штука и придумана, чтобы нельзя было запускать неавторизованные приложения

Рекомендую еще присмотреться к SRP [url]http://www.anti-malware.ru/reviews/Software_Restriction_Policies[/url]

Ну и банальные вещи типа работы под ограниченной учеткой и использование UAC никто не отменял ;)

Добрый день! Прочитала внимательно всю ветку форума. Нашла ее при помощи поиска - только здесь пишут о вирусе, который нашел у меня Майкрософтовский антивирус. Перепишу все вирусы, выявленные за последние 3 дня (до этого за год не было ни одного):
1. Троян Вундо QA
2. Троян Загрузчик
3. Троян Рансом
4. Троян Фейк-аллерт
5. Бэкдур
6. Java СМУ 2012 - 5 штук с разными расширениями.

Сегодня прочитала про Java и поняла, что, наверное, вся нечисть попала в компьютер именно из-за этой программы. Программу Java удалила, но чудеса не прекратились - Мозилла сама по себе закрывается (переустановила ее вчера - не помогло), постоянно выдает сообщение о крахе плагина Адоб (установила новый вчера - не помогло).

Др.Веб Куриет проблем не видит, Майкрософтовский антивирус выдает сообщения о вирусах 1 раз в день (сначала трояны, потом эксплоит). Стоит еще вот эта программа - Malwarebytes Anti-Malware - тоже 1 раз в день ей удается кого-то поймать.

На следующих выходных хочу отформатировать диск С (сейчас нет такой возможности, так как работаю копирайтером и не могу "уходить из сети" больше, чем на 3-4 часа).

Вопрос: у меня установлен Веб-мани кипер, есть много сайтов, где я зарегистрирована и работаю. Стоит ли сейчас менять пароли, или ждать формата С? Настолько это опасно с финансовой точки зрения?:(

Заранее благодарю за помощь!

Добрый день!
[b]Юлия Воронова[/b], как Вам такой вариант - Вы [URL="http://virusinfo.info/content.php?r=136-pravila"]лечите свой компьютер у нас[/URL], а потом меняете все пароли?

Илья, забыла написать, а наверное это важно. Единственные признаки присутствия вируса - именно самопроизвольное закрытие Мозиллы с сообщением об ошибке и постоянные сообщения о крахе плагина Адоб. Ну, еще, возможно, медленнее стал работать Интернет - но я наставила столько всяких защитных программ, что дело может быть и в этом.:D Работаю сейчас с 3G.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Добрый день! Я читала уже правила, сначала хотела так и поступить, но дело в том, что АVZ не видит вирусов, поэтому смутно представляю, что даст очередная проверка этой программой. ((( Периодически их ловит Майкрософт (не знаю, как с него скачать журнал проверок), др. Веб Куриет (аналогично) и мэлваровская утилита (там, в принципе, есть отчеты в текстовом формате).

Сейчас попробую еще раз проверить АVZ, если что-то поймает - обязательно создам тему.

Логи АВЗ должны смотреть консультанты, в этом и смысл. :) Сама АВЗ не является антивирусом, чтобы все находить, это программа для анализа, а вот люди, специально обученные, найдут.

[QUOTE=Olejah;924009]Логи АВЗ должны смотреть консультанты, в этом и смысл. :) Сама АВЗ не является антивирусом, чтобы все находить, это программа для анализа, а вот люди, специально обученные, найдут.[/QUOTE]


Вот: все сделала, как Вы и сказали. [url]http://www.virusinfo.info/showthread.php?t=124484&p=924016#post924016[/url]

надеюсь, дала правильную ссылку на свою новую тему, так как Интернет почти не работает - ни на одну страницу не могу зайти. (((

Юлия, может быть у вас вируса уже не нет, но остались хвосты от него. Так что не паникуйте пока и не форматируйте ничего. Дождитесь ответа специалистов после анализа логов.

В будущем же настоятельно рекомендую делать резервное копирование, в Windows оно есть, его лишь нужно настроить правильно. Сейчас бы откатились до нужно точки восстановления и проблем бы никаких не было ;)