Показано с 1 по 14 из 14.

JAVA/Dldr.Treams (CVE-2012-0507 Exploit)

  1. #1
    Junior Member Репутация
    Регистрация
    22.08.2012
    Сообщений
    10
    Вес репутации
    21

    JAVA/Dldr.Treams (CVE-2012-0507 Exploit)

    Добрый день!
    Недавно кто-то подписал меня на платные СМС (возможно человек а не вирус), поэтому решил сменить антивирус (был Nod32, поставил Avira Free) и просканил компьютер.
    Всё подряд не запускаю, так что не рассчитывал, что антивирус что-то найдёт. Но он всё таки нашёл в папке %TEMP%:
    [0] Archive type: ZIP
    --> expl3it/Aee.class
    [DETECTION] Contains recognition pattern of the EXP/12-0507.BL.2 exploit
    --> expl3it/AmicArray.class
    [DETECTION] Contains recognition pattern of the EXP/12-0507.BA.2 exploit
    --> expl3it/Btos.class
    [DETECTION] Contains recognition pattern of the JAVA/Dldr.Treams.W Java virus
    --> expl3it/ddjd.class
    [DETECTION] Contains recognition pattern of the EXP/CVE-2012-0507.A.2 exploit
    --> expl3it/ffos.class
    [DETECTION] Contains recognition pattern of the EXP/2012-0507.BS exploit
    --> expl3it/gvars.class
    [DETECTION] Contains recognition pattern of the EXP/12-0507.BM.1 exploit
    --> expl3it/hpss.class
    [DETECTION] Contains recognition pattern of the EXP/CVE-2012-0507.A.4 exploit
    --> expl3it/iiis.class
    [DETECTION] Contains recognition pattern of the EXP/2012-0507.BT exploit
    --> expl3it/Is.class
    [DETECTION] Contains recognition pattern of the JAVA/Dldr.Treams.Y Java virus
    --> expl3it/MCallXX.class
    [DETECTION] Contains recognition pattern of the JAVA/Dldr.Treams.Z Java virus
    --> expl3it/MyStart.class
    [DETECTION] Contains recognition pattern of the EXP/11-3544.FF exploit
    --> expl3it/o0mloader.class
    [DETECTION] Contains recognition pattern of the EXP/12-0507.BG.1.B exploit
    --> expl3it/Perm.class
    [DETECTION] Contains recognition pattern of the EXP/2012-0507.BU exploit
    --> expl3it/Ull.class
    [DETECTION] Contains recognition pattern of the EXP/CVE-2012-0507.A.6 exploit
    Помимо этого 1 скрытый драйвер (видимо Daemon Tools) и 200 сообщений "The registry entry is invisible." (MRU листы и несколько ключей HKCU\Software\Classes\Wow6432Node\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}).
    Файл во вложении (пароль virus).
    Как я понял этот вирус использует уязвимость в Java и может выполнить произвольный код на компьютере. На момент сканирования стояла Java 6 Update 31, которая вроде не уязвима, но вот на момент заражения могла стоять более старая версия...
    Никто не знает, что он может сделать в худшем случае? Может, к примеру передать какой-нибудь файл с компьютера, пароли и прочее (номер телефона из настроек автозаполенения форм в браузере)? Паниковать стоит?

    Сам ничего страшного не вижу, просто за зловредами не слежу, а учитывая случай с смс, задаю вопрос тут для подстраховки, вдруг недооцениваю угрозу.
    Последний раз редактировалось Никита Соловьев; 23.08.2012 в 11:37.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,146
    Вес репутации
    930
    Файл в архиве является Java-эксплойтом Exploit.Java.CVE-2012-0507.en.

    Что означает exploit Вы можете уточнить здесь.

  4. #3
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,248
    Вес репутации
    179
    Никто не знает, что он может сделать в худшем случае? Может, к примеру передать какой-нибудь файл с компьютера, пароли и прочее (номер телефона из настроек автозаполенения форм в браузере)? Паниковать стоит?
    Стоит, увы. Раз ваш компьютер уже оказался скомпрометирован, т.е. заражен другими словами, то у вас нет гарантии, что нет другого заражения. Часто жертвам сажают целый букет заразы на все случаи жизни.

    Чтобы удостоверится точно, я рекомендую вам провериться нормальными антивирусами, в которых есть антируткит и которые реально умеют лечить систему http://virusinfo.info/showthread.php?t=122463 - там смотрите Kaspersky Virus Removal Tool и Dr.Web CureIt!

    Скорее всего они обнаружат что-то еще. Далее рекомендую воспользоваться правилами и продиагностировать свою систему еще раз. Только тогда можно будет говорить, что система чистая.

    Далее обязательно надо сменить ВСЕ пароли, включая учетки на разных сайтах, сервисах и т.п. Следуйте рекомендациям, опубликованным здесь http://virusinfo.info/showthread.php?t=121902 Иначе почти на 100% будет рецидив.
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    22.08.2012
    Сообщений
    10
    Вес репутации
    21
    Цитата Сообщение от Ilya Shabanov Посмотреть сообщение
    Стоит, увы. Раз ваш компьютер уже оказался скомпрометирован, т.е. заражен другими словами, то у вас нет гарантии, что нет другого заражения.
    Спасибо! Печально... А эти рекомендации я все соблюдаю.
    А в папку %TEMP% это файл мог попасть только если система была скомпрометирована?

    PS. Вчера узнал, что у 64-х битной версии Java нет программы автоматического обновления (есть только у 32-х битной).

  7. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,248
    Вес репутации
    179
    А в папку %TEMP% это файл мог попасть только если система была скомпрометирована?
    Раз что-то вредоносное незаметно попало на машину, то это уже само по себе говорит о ее компрометации. Ведь как далеко зашла атака неизвестно. Именно поэтому я и рекомендовал сделать полные логи системы по правилам, чтобы хелперы посмотрели и подтвердили, что все ОК (или же завершили лечение).

    PS. Вчера узнал, что у 64-х битной версии Java нет программы автоматического обновления (есть только у 32-х битной).
    У меня версия Java х64, прекрасно обновляется сама на Windows 7, сейчас актуальная версия 6 update 33. Secunia PSI показывает, что все обновлено. Кстати, очень рекомендую эту штуку, это бесплатная Vulnerability Assessment Tool для персонального использования http://secunia.com/vulnerability_scanning/personal/
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  8. #6
    Junior Member Репутация
    Регистрация
    22.08.2012
    Сообщений
    10
    Вес репутации
    21
    Цитата Сообщение от Ilya Shabanov Посмотреть сообщение
    У меня версия Java х64, прекрасно обновляется сама на Windows 7, сейчас актуальная версия 6 update 33. Secunia PSI показывает, что все обновлено.
    Актуальная версия 7 Update 6. 6ая версия последняя Update 34 (вышли 10 дней назад).
    У меня когда стояла 6 Update 31 в панели управления не было вкладки Update. Когда запустил javacpl.exe 32-битный, то обновилась только 32-х битная версия, далее уже при нажатии обновить, выдавалось, что версия актуальная, хотя 64-х битная не была обновлена. 64-х битную обновил вручную. В 7ой сейчас посмотрел тоже самое: C:\Program Files\Java\jre7\bin\javacpl.exe не имеет вкладки Update.

    Цитата Сообщение от Ilya Shabanov Посмотреть сообщение
    Кстати, очень рекомендую эту штуку, это бесплатная Vulnerability Assessment Tool для персонального использования http://secunia.com/vulnerability_scanning/personal/
    Что-то не запускается она у меня. Висит на сплеш скрине с надписью Loading...

  9. #7
    Junior Member Репутация
    Регистрация
    22.08.2012
    Сообщений
    10
    Вес репутации
    21
    Цитата Сообщение от Ilya Shabanov Посмотреть сообщение
    там смотрите Kaspersky Virus Removal Tool
    Просканировать Kaspersky Virus Removal Tool не получилось:
    Source
    Kaspersky Virus Removal Tool

    Summary
    Stopped working

    Date
    ‎25.‎08.‎2012 22:34

    Status
    Report sent

    Problem signature
    Problem Event Name: APPCRASH
    Application Name: 9974536.exe
    Application Version: 11.0.0.1245
    Application Timestamp: 4d936e61
    Fault Module Name: avs.ppl
    Fault Module Version: 11.0.0.1245
    Fault Module Timestamp: 4d937058
    Exception Code: c0000005
    Exception Offset: 00027969
    OS Version: 6.1.7601.2.1.0.256.1
    Locale ID: 1049
    Additional Information 1: 0a9e
    Additional Information 2: 0a9e372d3b4ad19135b953a78882e789
    Additional Information 3: 0a9e
    Additional Information 4: 0a9e372d3b4ad19135b953a78882e789

    Extra information about the problem
    Bucket ID: 3127416230
    А вот Kaspersky Security Scan закончил сканированию. Три ложных срабатывания. Например: HEUR:Trojan.Win32.Generic Правда, 8 уязвимостей, в 8 разных приложениях, автообновления у них нету :-( Плюс ложные предупреждения о том, что включён autorun и неверные ассоциации reg файлов.

    По поводу компроментации системы - просто восстановлю систему из резервной копии.
    Но проблема с настройками безопасности всё-таки останется. Вирус спокойно может попасть на компьютер, используя уязвимости в одном из приложений, а обновлять их до актуальных версий очень проблематично. Даже у Вас Java не обновлена. :-)

    Ilya Shabanov, а на сколько будет эффективно установить Avast и включить в Windows AppLocker? Даже если вирус воспользуется уязвимостью в ПО и Avast его не заметит, то AppLocker должен заблокировать? Или я что-то не учитываю? Может быть что-то ещё можно включить?

  10. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,248
    Вес репутации
    179
    Вирус спокойно может попасть на компьютер, используя уязвимости в одном из приложений, а обновлять их до актуальных версий очень проблематично. Даже у Вас Java не обновлена. :-)
    Согласен, может конечно. Но на практике подавляющая часть малвары сейчас собиратся при помощи специальных конструкторов, используются одни и те же уязвимости, которые у многих не закрыты годами. В топе по эксплуатации висит далеко не суперсвежак http://www.securelist.com/ru/analysi...e_2012_goda#16 Обратите внимание кстати, что там в топе нет Microsoft, т.е. вектор атак примерно год назад сместился с системного ПО на вспомогательное, его проще ломать и оно хуже администруется (как вы правильно заметили, даже при помощи родного апдейтера почему-то не получается получить новейшую версию Java).


    Ilya Shabanov, а на сколько будет эффективно установить Avast и включить в Windows AppLocker? Даже если вирус воспользуется уязвимостью в ПО и Avast его не заметит, то AppLocker должен заблокировать? Или я что-то не учитываю? Может быть что-то ещё можно включить?
    Windows AppLocker очень хорошая штука, к сожалению не во всех версиях Windows она есть. У меня на домашнем ноуте ее нет. В большинстве случаем вредонос просто не запустится, для этого эта штука и придумана, чтобы нельзя было запускать неавторизованные приложения

    Рекомендую еще присмотреться к SRP http://www.anti-malware.ru/reviews/S...ction_Policies

    Ну и банальные вещи типа работы под ограниченной учеткой и использование UAC никто не отменял
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  11. Это понравилось:


  12. #9
    Junior Member Репутация
    Регистрация
    07.09.2012
    Сообщений
    15
    Вес репутации
    20

    Уже 3 дня на компьютере бушуют вирусы

    Добрый день! Прочитала внимательно всю ветку форума. Нашла ее при помощи поиска - только здесь пишут о вирусе, который нашел у меня Майкрософтовский антивирус. Перепишу все вирусы, выявленные за последние 3 дня (до этого за год не было ни одного):
    1. Троян Вундо QA
    2. Троян Загрузчик
    3. Троян Рансом
    4. Троян Фейк-аллерт
    5. Бэкдур
    6. Java СМУ 2012 - 5 штук с разными расширениями.

    Сегодня прочитала про Java и поняла, что, наверное, вся нечисть попала в компьютер именно из-за этой программы. Программу Java удалила, но чудеса не прекратились - Мозилла сама по себе закрывается (переустановила ее вчера - не помогло), постоянно выдает сообщение о крахе плагина Адоб (установила новый вчера - не помогло).

    Др.Веб Куриет проблем не видит, Майкрософтовский антивирус выдает сообщения о вирусах 1 раз в день (сначала трояны, потом эксплоит). Стоит еще вот эта программа - Malwarebytes Anti-Malware - тоже 1 раз в день ей удается кого-то поймать.

    На следующих выходных хочу отформатировать диск С (сейчас нет такой возможности, так как работаю копирайтером и не могу "уходить из сети" больше, чем на 3-4 часа).

    Вопрос: у меня установлен Веб-мани кипер, есть много сайтов, где я зарегистрирована и работаю. Стоит ли сейчас менять пароли, или ждать формата С? Настолько это опасно с финансовой точки зрения?

    Заранее благодарю за помощь!

  13. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269
    Добрый день!
    Юлия Воронова, как Вам такой вариант - Вы лечите свой компьютер у нас, а потом меняете все пароли?

  14. #11
    Junior Member Репутация
    Регистрация
    07.09.2012
    Сообщений
    15
    Вес репутации
    20
    Илья, забыла написать, а наверное это важно. Единственные признаки присутствия вируса - именно самопроизвольное закрытие Мозиллы с сообщением об ошибке и постоянные сообщения о крахе плагина Адоб. Ну, еще, возможно, медленнее стал работать Интернет - но я наставила столько всяких защитных программ, что дело может быть и в этом. Работаю сейчас с 3G.

    - - - Добавлено - - -

    Добрый день! Я читала уже правила, сначала хотела так и поступить, но дело в том, что АVZ не видит вирусов, поэтому смутно представляю, что даст очередная проверка этой программой. ((( Периодически их ловит Майкрософт (не знаю, как с него скачать журнал проверок), др. Веб Куриет (аналогично) и мэлваровская утилита (там, в принципе, есть отчеты в текстовом формате).

    Сейчас попробую еще раз проверить АVZ, если что-то поймает - обязательно создам тему.

  15. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,467
    Вес репутации
    1269
    Логи АВЗ должны смотреть консультанты, в этом и смысл. Сама АВЗ не является антивирусом, чтобы все находить, это программа для анализа, а вот люди, специально обученные, найдут.

  16. #13
    Junior Member Репутация
    Регистрация
    07.09.2012
    Сообщений
    15
    Вес репутации
    20
    Цитата Сообщение от Olejah Посмотреть сообщение
    Логи АВЗ должны смотреть консультанты, в этом и смысл. Сама АВЗ не является антивирусом, чтобы все находить, это программа для анализа, а вот люди, специально обученные, найдут.

    Вот: все сделала, как Вы и сказали. http://www.virusinfo.info/showthread...016#post924016

    надеюсь, дала правильную ссылку на свою новую тему, так как Интернет почти не работает - ни на одну страницу не могу зайти. (((

  17. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,248
    Вес репутации
    179
    Юлия, может быть у вас вируса уже не нет, но остались хвосты от него. Так что не паникуйте пока и не форматируйте ничего. Дождитесь ответа специалистов после анализа логов.

    В будущем же настоятельно рекомендую делать резервное копирование, в Windows оно есть, его лишь нужно настроить правильно. Сейчас бы откатились до нужно точки восстановления и проблем бы никаких не было
    VirusInfo.info & Anti-Malware.ru | Мой блог |

Похожие темы

  1. Ответов: 22
    Последнее сообщение: 06.12.2011, 20:15
  2. Is the TR/Dldr.PurityScan.AF.10 Trojan
    От TOsha в разделе Вредоносные программы
    Ответов: 7
    Последнее сообщение: 23.09.2008, 13:01
  3. Is the TR/Dldr.PurityScan.AF.10 Trojan
    От TOsha в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 21.09.2008, 09:24
  4. Ответов: 2
    Последнее сообщение: 10.02.2006, 08:58

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01458 seconds with 16 queries