این بدافزار کارکر راه نفوذ مخفی داشته و به عنوان یک فایل JSP اجرا می‌گردد.

محققان امنیتی شرکت Trend Micro یک بدافزار از نوع راه نفوذ مخفی (backdoor) را کشف کرده‌اند که سرورهای HTTP مبتنی بر جاوا را آلوده کرده و به مهاجمان اجازه می‌دهد که دستورات خرابکار را بر روی سیستم‌ها اجرا نمایند.


به گزارش  مرکز ماهر، این تهدید که با عنوان BKDR_JAVAWAR.JG شناخته می‌شود، به‌صورت یک صفحه جاوا سرور (JSP) است.
JSP یک نوع صفحه وب است که می‌تواند فقط از طریق یک سرور وب خاص با یک Java servlet مانند Apache Tomcat به کار گرفته شود.

زمانی که این صفحه مورد استفاده قرار می‌گیرد، مهاجم می‎‌تواند از راه دور به آن دسترسی پیدا کرده و با استفاده از یک کنسول وب، از توابع آن برای مرور کردن، بارگذاری، ویرایش، حذف، دانلود یا کپی کردن فایل‌ها از سیستم آلوده، استفاده نماید.
این کار مشابه عملکرد راه‌های نفوذ مخفی مبتنی بر PHP است که عمدتا با نام PHP Web shell شناخته می‌شوند.

به گفته محققان Trend Micro، علاوه بر دسترسی به اطلاعات حساس، یک مهاجم کنترل سیستم آلوده را از طریق راه نفوذ مخفی به دست آورده و می‌تواند دستورات خرابکار بیشتری را بر روی سرور آسیب‌پذیر اجرا نماید.

راه نفوذ مخفی JSP می‌تواند توسط سایر بدافزارهایی که بر روی سیستم میزبان سرور HTTP مبتنی بر جاوا وجود دارند نصب گردد یا اینکه در هنگام مرور وب‌سایت‎‌های خرابکار، دانلود شود.

بنا بر یادداشت‌های فنی Trend Micro، این بدافزار سیستم‌های ویندوز 2000، ویندوز سرور 2003، ویندوز XP، ویندوز ویستا و ویندوز 7 را هدف قرار می‌دهد.

به گفته محققان Trend Micro، یک سناریوی محتمل دیگر برای حمله، زمانی است که مهاجم وب سایت‌های نیرو گرفته از Apache Tomcat را چک کرده و سعی می‌کند به Tomcat Web Application Manager دسترسی پیدا نماید.
با استفاده از یک ابزار شکستن کلمه عبور، مجرمان سایبری قادر هستند لاگین کرده و حقوق مدیریتی را برای به کار گیری فایل‌های WAR به دست آورند.

برای محافظت از این سرورها در برابر این تهدید، مدیران سیستم باید از کلمات عبور قوی استفاده کنند که به راحتی با استفاده از ابزارهای معمول شکسته نشود.
همچنین باید تمامی به روز رسانی‎‌های امنیتی موجود را برای سیستم‌ها و نرم‌افزارهای خود اعمال نمایند و از مشاهده وب‌‎سایت‌های ناشناخنه و غیرقابل اعتماد خودداری کنند.