关注恶意软件: 创建文件: 无 创建注册表: 无 主要行为: 此木马是一个恶意JavaScript脚本,会利用Java组件中的漏洞CVE-2012-4681向用户计算机中下载运行后门木马。此脚本木马使用Dadong's JSXX 0.44 VIP做了加密,解密后可看到脚本将下载地址等信息传递给一个名为applet.jar的Java小程序中的Java类cve2012xxxx.Gondvv.class。applet.jar是一个CVE-2012-4681漏洞利用程序,被卡巴斯基检测为Exploit.Java.CVE-2012-4681.a。它包含有两个Java类:cve2012xxxx.Gondvv.class和cve2012xxxx.Gondzz.class。Java中的某些类本来不应该能被不受信任的代码访问,但由于漏洞CVE-2012-4681,导致其可以被恶意代码访问。这样cve2012xxxx.Gondvv.class中的代码就利用此漏洞禁用了Java安全管理器使得所有代码都可以运行,甚至可以绕过沙盒的保护。之后Gondvv.class利用从脚本木马接收到的下载地址等信息调用Gondzz.class中的xrun方法从http://ok.**24.net/meeting/hi.exe下载木马到用户的计算机中运行。被下载的文件被卡巴斯基检测为Trojan.Win32.Agent.tkql,是一个后门木马。由于Java的跨平台特性,多种操作系统上的多种浏览器都会受此漏洞影响,威胁甚大。Oracle目前已经发布了CVE-2012-4681的补丁,请用户尽快安装。 专家预防建议: 建立良好的安全习惯,不打开可疑邮件和可疑网站。
不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
安装专业的防毒软件升级到最新版本,并开启实时监控功能。
为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
|