Часть 1: Java Exploit
Как указано выше, я сосредотачиваюсь на вредоносные программе, которая эксплуатирует уязвимость последних JRE: CVE-2010-0840 для выполнения вредоносных кодов в системе жертвы. Этот вредоносный код выполняется внутри JAR-файла, который имеет два класса: Crimepack.class и KAVS.class.
Часть 1.1: Crimepack.class
Этот класс является лидером вредоносных программ, запутанный-ядрённый, вы можете быстро переобфусикацировать кад(питон как инструмент велик ...), как только вы избавиться от обфускации можно увидеть исходник:
Как всегда, у нас есть аплет, доступ к параметру данных, генерирущий случайное имя EXE зарузки, которая будет сброшена в временный каталог системы, а затем удалена. Так что, как вы видите,ничего нового, в Java-загрузчике ... но давайте посмотрим дальше:
Выше, мы видим, что вредоносная программа создает новый экземпляр класса KAVS (описание ниже), для того, чтобы вызвать JRE уязвимости с помощью вызова GetValue () метода.
Часть 1.2: KAVS.class
Вот пример класса, почему пример, потому что такого класса не может быть. Он некомпилируется с помощью стандартного компилятора, так что нужно отредактировать класс, используя байт-код:
Часть 2: PDF-генератор
Комплект содержит хороший сценарий PHP, генерирующий пользовательские PDF по запросу, что означает, несколько мутаций одного и того же фрагмента вредоносной программы, просто подключеных по линку.
(tr) by WiNnRr13 как полезная информация.
П.С. В архиве не обфусифицированные исходники, при желании хороший кодер всё может поправить. Так что пожалуйста.