Home / Aktualności / HEUR Backdoor Java Agent Malware atakujący za pośrednictwem Java SE 7

HEUR Backdoor Java Agent Malware atakujący za pośrednictwem Java SE 7

HEUR Backdoor Java Agent Malware to najnowsze zagrożenie odkryte niedawno, które atakuje zarówno systemy Windows, Mac oraz Linux. Jak się okazuje blokowanie skryptów Java czasami ma większy sens niż nam się wydaje. Nie należy tego jednak brać zbyt poważnie gdyż ograniczamy tym samym funkcjonalność naszej strony internetowej lub odbioru treści w przypadku użytkownika.

HEUR Backdoor Java Agent Malware

HEUR Backdoor Java Agent MalwareTe specyficzny malware jest obecnie używany do ataków typu DDoS (Distributed Denial of Service) za pomocą sieci botnet.

Sieć botmet to sieć komputerów nad którą hacker ma kontrolę i używa do przerwania serwowania danej strony / stron internetowych.

Atakowana strona przestaje być dostępna dla typowych użytkowników z powody zbyt dużej liczby zapytań do niej kierowanych.

Dostępność HEUR Backdoor Java Agent Malware na wspomniane platformy oznacza, że kod został napisany tylko raz oszczędzając czas hackerowi. Ten malware wykorzystuje podatność komponentu Java Runtime Environment (JRE) pakietu Oracle Java SE 7 Update 21 lub wcześniejszego.

Sposób w jaki te złośliwe oprogramowanie działa wygląda następująco. Malware kopiuje swój złośliwy kod do pamięci operacyjnej komputera użytkownika oraz ustawia opcję uruchamiania podczas startu systemu. Wyrafinowane szyfrowanie własnego kodu zapobiega wykryciu HEUR Backdoor Java Agent przez system antywirusowy użytkownika.

Zelix Klassmaster Java botnet

Aby jeszcze bardziej utrudnić swoje wykrycie, malware używa algorytmu Zelix Klassmaster zmodyfikowanego tak iż szyfruje on również zmienne uniemożliwiając potencjalną dekompilację swojego kodu.

Taka informacja została potwierdzona przez Antona Ivanova, z laboratorium Kasperskiego.



Na swoim blogu Ivanov pisze dodatkowo „Zelix generuje różny kod dla każdej klasy w swoim kodzie, w efekcie czego aby odszyfrować go w jakiejkolwiek aplikacji potrzebna jest analiza wszystkich klas tego malware. W przeciwnym razie nie będzie możliwe znalezienie klucza odszyfrowującego.”.

Stworzone przez hackera boty mogą być wspólnie użyte do ataków DDoS zarówno dla protokołu HPPT jak i innych korzystających z UDP. Malware HEUR Backdoor Java Agent jest kontrolowany przez zarządzającego nim poprzez protokół IRC, podczas gdy za pomocą szkieletu Java framework (PircBot) hacker jest w stanie pisać złośliwy kod swoich botów.

Atakujący nieświadomego użytkownika może zarówno wybrać specyficzny adres IP maszyny, port, czas ataku DDoS oraz numer wątków do swojego ataku. Co więcej unikalny kod każdej maszyny wysyłany jest z powrotem do hackera dzięki czemu otrzymuje on kontrolę nad swoją armią przez cały czas.