Поймал на lenta.ru / 3dnews.ru сегодня некое смешное содержимое которое сливает с avididea . info : 80 / content / field . jar файл и потом его исполняет. Ловил аттачась к процессу java.exe windbg'ом.
VirusTotal говорит что увидел впервые и только Sophos кричит на него. Sophos 4.70.0 2011.10.24 Mal/JavaJar-A
если заглянуть бегло в java decompiler'е по содержимому . то там стандартный обфусцированный код:
protected static String a = implode("22s2e2t2S2e2c2u2r2i2t22y2M2".split("2")); protected JList r; private String jsonData = implode(new String[] { "os.", "na" }) + "me"; protected HashSet d = new HashSet(); protected static String dc = "xncsxWindowss89vxo".substring(5, 12); public static String v = "n3v".concat("0maDLXq-_.mjn".concat("WN6fwcsKB?xbIT".concat("S=CykGvd91Z:%ElR5".concat("po0rzA8/JYP72#ue".concat("&t4iQFhVU3OMgH"))))).substring(5); protected static String pt = "QOn7cZAV".concat("mK/G4WuBqfLxj".concat("1_tlE8PTrpN2Y3:MU".concat("a=&5oRi%y".concat("?9DHv-Cgw".concat("kh60b.FdeSI#zJXs"))))); protected static String prfx = "odre".concat("gsvr32 -s \"45e".concat("noaw;a[qo-j92q")).substring(2, 15);
-------
Exception in thread "AWT-EventQueue-2" java.security.AccessControlException: access denied (java.lang.RuntimePermission setSecurityManager) Exception: java.lang.reflect.InvocationTargetException
java.security.AccessControlException: access denied (java.io.FilePermission 0.7917794126755922.exe write) at java.security.AccessControlContext.checkPermission(Unknown Source) at java.security.AccessController.checkPermission(Unknown Source) at java.lang.SecurityManager.checkPermission(Unknown Source) at java.lang.SecurityManager.checkWrite(Unknown Source) at java.io.FileOutputStream.<init>(Unknown Source) at java.io.FileOutputStream.<init>(Unknown Source) at json.Parser.encodeFromJSON(Parser.java:52) at json.Parser.start(Parser.java:60) at sun.plugin2.applet.Plugin2Manager$AppletExecutionRunnable.run(Unknown Source) at java.lang.Thread.run(Unknown Source) Exception: java.security.AccessControlException: access denied (java.io.FilePermission 0.7917794126755922.exe write) Dump thread list ... Group main,ac=19,agc=2,pri=10 main,5,alive traceMsgQueueThread,5,alive,daemon Timer-0,5,alive Java Plug-In Pipe Worker Thread (Client-Side),5,alive,daemon AWT-Shutdown,5,alive AWT-Windows,6,alive,daemon AWT-EventQueue-0,6,alive SysExecutionTheadCreator,5,alive,daemon CacheMemoryCleanUpThread,5,alive,daemon CacheCleanUpThread,5,alive,daemon Windows Tray Icon Thread,5,alive Browser Side Object Cleanup Thread,5,alive JVM[id=0]-Heartbeat,5,alive,daemon Group Plugin Thread Group,ac=3,agc=0,pri=10 AWT-EventQueue-1,6,alive ConsoleWriterThread,6,alive,daemon TimerQueue,5,alive,daemon Group http: avididea . info -threadGroup,ac=3,agc=0,pri=4 Applet 1 LiveConnect Worker Thread,4,alive thread applet-json.Parser.class-1,4,alive AWT-EventQueue-2,4,alive Done. Dumping class loader cache... Live entry: key=http:avididea . info,./ content / field . jar, refCount=1, threadGroup=sun.plugin2.applet.Applet2ThreadGroup[name=http: avididea . info -threadGroup,maxpri=4] Done.
--- интересно через сколько антивирусники будут его жевать. И жаль что grepнув по временным файлам я не нашел уже исходной странички откуда была ссылка на скачку самого тела :(
UPD: по состоянию на 25.10.2011 Вирусню детектили 4ро: Kaspersky (Exploit.Java.CVE-2010-0840.dx), AntiVir, Sophos, Symantec по состоянию на 30.10.2011 Вирусню уже видели 15 антивирусов. Среди них Microsoft даже отметился. Но Avast по-прежнему игнорирует его. по состоянию на 02.11.2011 Аваст 6й версии игнорирует это даже если руками ему "давать на блюдечке".
|