04. 02. 2014

Bezpečnostní laboratoře Kaspersky Lab objevily nový druh multiplatformního java-botu. Mezi ohrožené systémy patří Windows, Mac OS a Linux. Malware je napsaný v Javě a je navržen tak, že umožňuje provádět pomocí infikovaných PC, které pracují jako součást botnetu, DDoS útoky.

Charakteristika zranitelnosti

Malware Backdoor.Java.Agent.a vyžívá chybu zabezpečení v Java Runtime Environment (JRE) komponent v Oracle Java SE 7 aktualizace 21 a starší k infikování uživatele. Spuštěním bota dojde k infikování domovského adresáře uživatele a na základě platformy operačního systému k nastavení automatického startu při spouštění systému. Malware generuje jedinečný identifikátor a informuje o tom útočníka, který komunikuje s botem pomocí protokolu IRC. Bot je ovládán Java IRC API PircBot, díky kterému je schopen útočník předat zombie strojům definice útoku. Adresu počítače, který má být napaden, číslo portu, doba trvání útoku a počet vláken které mají být použity k útoku. Z důvodu složitější detekce malware, program používá Zelix Klassmaster Obfuscator. Zelix generuje specifický kód pro každou třídu – což znamená, že aby bylo možné dešifrovat všechny řetězce, je nutné analyzovat všechny třídy, aby bylo možné nalézt dešifrovací klíče.

Postižené systémy

  • Windows
  • MAC OS
  • Linux

Dopad zranitelnosti

Bot je využíván k provádění Distributed-denial-of-service útoků (DDOS).

Řešení

Upgrade na verzi vyšší než Java 7 Update21

CVE

CVE-2013-2465

Odkazy

http://www.securelist.com/en/blog/8174/A_cross_platform_java_bot?utm_source=twitterfeed&utm_medium=twitter
http://www.techweekeurope.co.uk/news/java-malware-ddos-attacks-137550
http://www.enigmasoftware.com/heurbackdoorjavaagenta-removal/
http://www.ehackingnews.com/2014/01/java-bot-cross-platform-malware.html
http://www.jibble.org/pircbot.php