В “Лаборатории Касперского” говорят об обнаружении вредоносного Java-приложения, которое оказалось мультиплатформенным ботом, работающим на платформах Windows, Mac Os, Linux. Данный бот полностью написан на Java. Злоумышленники используют уязвимость CVE-2013-2465 для заражения пользователей этим вредоносным ПО.
Для того чтобы усложнить анализ и детектирование вредоносной программы, ее разработчики использовали обфускатор Zelix Klassmaster. Помимо обфускации байткода, Zelix шифрует строковые константы. Для каждого класса Zelix генерирует разные ключи, следовательно, чтобы расшифровать все строки в приложении, надо исследовать все классы и найти ключи для расшифровки.
Данный бот управляется по протоколу IRC. Здесь всплывает ещё одна интересная особенность этого зловреда – для реализации общения по протоколу IRC он использует открытый фреймворк PircBot. Все необходимые классы зловред использует с собой. После удачной установки соединения бот заходит на заранее определенный канал, где ожидает команд злоумышленников. (Касперский/NovostIT)