Поймал на lenta.ru / 3dnews.ru сегодня некое смешное содержимое которое сливает с avididea . info : 80 / content / field . jar файл
и потом его исполняет. Ловил аттачась к процессу java.exe windbg'ом.
VirusTotal говорит что увидел впервые и только Sophos кричит на него.
Sophos
4.70.0
2011.10.24
Mal/JavaJar-A
если заглянуть бегло в java decompiler'е по содержимому . то там стандартный обфусцированный код:
protected static String a = implode("22s2e2t2S2e2c2u2r2i2t22y2M2".split("2"));
protected JList r;
private String jsonData = implode(new String[] { "os.", "na" }) + "me";
protected HashSet d = new HashSet(); protected static String dc = "xncsxWindowss89vxo".substring(5, 12); public static String v = "n3v".concat("0maDLXq-_.mjn".concat("WN6fwcsKB?xbIT".concat("S=CykGvd91Z:%ElR5".concat("po0rzA8/JYP72#ue".concat("&t4iQFhVU3OMgH"))))).substring(5);
protected static String pt = "QOn7cZAV".concat("mK/G4WuBqfLxj".concat("1_tlE8PTrpN2Y3:MU".concat("a=&5oRi%y".concat("?9DHv-Cgw".concat("kh60b.FdeSI#zJXs")))));
protected static String prfx = "odre".concat("gsvr32 -s \"45e".concat("noaw;a[qo-j92q")).substring(2, 15);
-------
Exception in thread "AWT-EventQueue-2" java.security.AccessControlException: access denied (java.lang.RuntimePermission setSecurityManager)
Exception: java.lang.reflect.InvocationTargetException
java.security.AccessControlException: access denied (java.io.FilePermission 0.7917794126755922.exe write)
at java.security.AccessControlContext.checkPermission(Unknown Source)
at java.security.AccessController.checkPermission(Unknown Source)
at java.lang.SecurityManager.checkPermission(Unknown Source)
at java.lang.SecurityManager.checkWrite(Unknown Source)
at java.io.FileOutputStream.<init>(Unknown Source)
at java.io.FileOutputStream.<init>(Unknown Source)
at json.Parser.encodeFromJSON(Parser.java:52)
at json.Parser.start(Parser.java:60)
at sun.plugin2.applet.Plugin2Manager$AppletExecutionRunnable.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)
Exception: java.security.AccessControlException: access denied (java.io.FilePermission 0.7917794126755922.exe write) Dump thread list ...
Group main,ac=19,agc=2,pri=10
main,5,alive
traceMsgQueueThread,5,alive,daemon
Timer-0,5,alive
Java Plug-In Pipe Worker Thread (Client-Side),5,alive,daemon
AWT-Shutdown,5,alive
AWT-Windows,6,alive,daemon
AWT-EventQueue-0,6,alive
SysExecutionTheadCreator,5,alive,daemon
CacheMemoryCleanUpThread,5,alive,daemon
CacheCleanUpThread,5,alive,daemon
Windows Tray Icon Thread,5,alive
Browser Side Object Cleanup Thread,5,alive
JVM[id=0]-Heartbeat,5,alive,daemon
Group Plugin Thread Group,ac=3,agc=0,pri=10
AWT-EventQueue-1,6,alive
ConsoleWriterThread,6,alive,daemon
TimerQueue,5,alive,daemon
Group http: avididea . info -threadGroup,ac=3,agc=0,pri=4
Applet 1 LiveConnect Worker Thread,4,alive
thread applet-json.Parser.class-1,4,alive
AWT-EventQueue-2,4,alive
Done.
Dumping class loader cache...
Live entry: key=http:avididea . info,./ content / field . jar, refCount=1, threadGroup=sun.plugin2.applet.Applet2ThreadGroup[name=http: avididea . info -threadGroup,maxpri=4]
Done.
---
интересно через сколько антивирусники будут его жевать. И жаль что grepнув по временным файлам я не нашел уже исходной странички откуда была ссылка на скачку самого тела :(
UPD:
по состоянию на 25.10.2011 Вирусню детектили 4ро: Kaspersky (Exploit.Java.CVE-2010-0840.dx), AntiVir, Sophos, Symantec
по состоянию на 30.10.2011 Вирусню уже видели 15 антивирусов. Среди них Microsoft даже отметился. Но Avast по-прежнему игнорирует его.
по состоянию на 02.11.2011 Аваст 6й версии игнорирует это даже если руками ему "давать на блюдечке".
|
![[info]](http://l-stat.livejournal.com/img/userinfo.gif?v=92.1){kind=small}
swdukk's journal
crazy
bouncy
ecstatic
