Trojan.Rodricter распространяется с помощью критической уязвимости Java

Trojan.Rodricter распространяется с помощью критической уязвимости Java

26 августа компания FireEye сообщила об обнаружении критической уязвимости в Java Runtime Environment версий 1.7x, получившей обозначение CVE-2012-4681. Компания Oracle выпустила соответствующее обновление безопасности только 30 августа, и, следовательно, уязвимость оставалась незакрытой в течение как минимум четырех суток, чем не замедлили воспользоваться злоумышленники. Специалисты компании «Доктор Веб» установили, что с использованием этого эксплойта распространялось несколько вредоносных программ, среди которых был обнаружен троянец Trojan.Rodricter.

С целью распространения вредоносных программ злоумышленники использовали взломанные веб-сайты, на которых, в частности, модифицировалось содержимое файла .htaccess. В момент обращения к веб-сайту, содержащему внедренный злоумышленниками вредоносный скрипт, выполняется цепочка перенаправлений, адрес конечного узла в которой зависит от установленной на компьютере пользователя операционной системы. Пользователи ОС Windows перенаправлялись на веб-страницу, содержащую вызовы различных эксплойтов. Примечательно, что адреса серверов, на которые перебрасывались пользователи, генерируются динамически и меняются каждый час.

Загружаемые в браузер пользователя веб-страницы эксплуатировали сразу две уязвимости: CVE-2012-1723 и CVE-2012-4681. Используемый злоумышленниками эксплойт зависит от версии Java Runtime: для версий 7.05 и 7.06 обход безопасности происходил с использованием уязвимости CVE-2012-4681.

 

 

 

В случае если применение уязвимости завершилось успехом, Java-апплет расшифровывает файл class, основное предназначение которого — загрузка и запуск исполняемых файлов. Таким образом злоумышленники распространяли троянскую программу Trojan.Rodricter.21.

 

 

 

Троянец Trojan.Rodricter.21 использует руткит-технологии и состоит из нескольких компонентов. Так, запустившись на инфицированном компьютере, дроппер этой вредоносной программы проверяет наличие в системе антивирусного ПО и отладчиков, после чего пытается повысить свои привилегии: для этого, в частности, могут использоваться уязвимости ОС. На компьютерах, использующих контроль учетных записей пользователей, троянец отключает UAC. Дальнейший алгоритм действий Trojan.Rodricter.21 зависит от того, какие права он имеет в зараженной системе. Троянец сохраняет на диск основной компонент и, если у него достаточно для этого привилегий, инфицирует один из стандартных драйверов Windows с целью скрытия основного модуля в зараженной системе. Таким образом, Trojan.Rodricter.21 вполне можно отнести к категории троянцев-руткитов. Помимо прочего, эта вредоносная программа умеет изменять настройки браузеров Microsoft Internet Explorer и Mozilla Firefox, например, в последнем троянец устанавливает в папку \searchplugins\ дополнительный плагин-поисковик, а также подменяет User-Agent и настройки поисковой системы по умолчанию. В результате отправляемые пользователем поисковые запросы имеют вид http://findgala.com/?&uid=%d&&q={поисковый запрос}, где %d — уникальный идентификатор троянца. Также Trojan.Rodricter.21 модифицирует содержимое файла hosts, прописывая туда адреса принадлежащих злоумышленникам веб-сайтов.

Основной модуль Trojan.Rodricter.21 сохраняется в виде исполняемого файла во временной папке, он предназначен для подмены пользовательского трафика и внедрения в него произвольного содержимого.

Ремейк Assassin’s Creed Black Flag утёк до релиза, Denuvo снова не спасла

У Ubisoft неприятный абордаж до старта продаж: в Сети, по данным профильных СМИ, появилась взломанная версия Assassin’s Creed Black Flag Resynced ещё до официального релиза. Ирония в том, что PC-версия игры должна выйти с Denuvo Anti-Tamper — той самой DRM-защитой, которую годами ставят как щит от пиратов.

Assassin’s Creed Black Flag Resynced — ремейк игры 2013 года с обновлённой графикой, переработанными механиками и новым контентом.

Официальный релиз назначен на 9 июля 2026 года. Ubisoft ранее подтвердила, что на десктопах игра будет использовать Denuvo, что уже вызвало привычную волну раздражения среди игроков.

Причина понятна: Denuvo давно не любят за возможное влияние на производительность, онлайн-проверки и ощущение, что даже купленная одиночная игра всё равно держит пользователя на коротком поводке.

Защиту обычно оправдывают борьбой с пиратством, но когда взломанные версии начинают гулять по Сети ещё до релиза, аргумент звучит уже не так бодро.

Ситуация с Black Flag Resynced стала не единственным подобным эпизодом за год. Ранее до старта продаж или раннего доступа в сеть попадали и другие крупные игры, включая Forza Horizon 6, LEGO Batman: Legacy of the Dark Knight и Subnautica 2.

При этом часть проектов вообще не использовала Denuvo, а часть — как раз использовала, что делает разговор о пользе DRM ещё более спорным.

Проблема для издателей очевидна: они хотят защитить свои игры и вложенные деньги. Проблема для игроков тоже очевидна: если защита не мешает пиратам, но мешает легальным покупателям, вопросы к ней становятся всё громче.

Пока непонятно, как именно Assassin’s Creed Black Flag Resynced утекла до релиза. Но сама история уже выглядит болезненно для Denuvo: защита, которую многие терпят сквозь зубы, снова оказалась в центре скандала.

RSS: Новости на портале Anti-Malware.ru