Abstract
Only two Java viruses are known and have been published as a proof-of-concept: StrangeBrew and BeanHive. Since then the Java programming language has matured and greatly evolved to include a large number of new, sophisticated functionalities. At the same time, no serious study has been conducted to assess the potential viral risk attached to the new Java language. The potential threats have not really been explored yet. This article presents the state-of-the-art of Java viral capabilities and identifies some new techniques specific to the Java features that could be efficiently used by an attacker to spread malicious codes by means of Java classes. While this paper primarily focuses on targeting Java applications and not applets, the latter case will nonetheless be addressed among the different ways an actual attack could be launched by means of Java malicious codes. The protection and cure against such codes are also considered, dealing with the analysis of these programs at the bytecode level
Abstract
Jsou známy a byly publikovány jako důkaz koncepce pouze dva Java viry: StrangeBrew and BeanHive. Programovací jazyk Java od té doby dozrál a značně se rozvinul včetně vysokého počtu nových sofistikovaných funkcionalit. V téže době nebyla provedena vážná studie za účelem odhadu možného virového rizika spojeného s novým jazykem Java. Možná ohrožení nebyla dosud doopravdy zkoumána.
Tento článek představuje současný stav vývoje virových schopností Javy a rozpoznává některé nové techniky specifické pro vlastnosti Javy, které by mohly být účinně použity útočníkem k rozšíření škodlivého kódu pomocí tříd Javy. Zatímco tato práce se primárně soustřed’uje ne na aplety, ale na cílové javovské aplikace, přesto se druhý zmíněný případ bude zaměřovat na různé způsoby aktuálních útoků, které by mohly být odstartovány pomocí javovského škodlivého kódu.
Je také uvažována ochrana proti takovému kódu a léčba. Je také uvažována ochrana proti takovému kódu a léčba zabývající se analýzou těchto programů na úrovni bytecodu.
Abstrakti
Toistaiseksi tunnetaan vain kaksi Java-virusta, jotka on julkaistu osoittamaan uhkien todellisuuden: StrangeBrew ja BeanHive. Tämän jälkeen Java-ohjelmointikieli on kehittynyt sisältämään suuren määrän uusia ja kehittyneitä toimintoja. Samalla vakavasti otettavia tutkimuksia ei ole tehty, joissa arvioidaan mahdollisia Java-virusten aiheuttamia ongelmia. Mahdollisia uhkia ei ole tosissaan vielä tutkittu.
Tässä artikkelissa esitetään Javan viruksille alttiita ominaisuuksia ja tunnistetaan joitakin uusia tekniikoita, joilla hyökkääjä voisi levittää haitallista koodia Java-luokkien avulla. Vaikka artikkelissa keskitytään Java-sovelluksiin eikä sovelteisiin, myös sovelteisiin kohdistuvia hyökkäyksiä osoitetaan. Myös suojautumista ja parantumista hyökkäyksistä käsitellään erityisesti analysoimalla Javan tavukoodia.
Zusammenfassung
Stand heute sind nur zwei Java Viren bekannt: Strange Brew und BeanHive. Beide Viren wurden als “proof-of-concept” Code veröffentlicht. Seit der Veröffentlichung dieser maliziösen Codes hat sich die JAVA Programmiersprache deutlich weiterentwickelt und enthält eineVielzahl neuer, mächtiger Funktionalitäten.
In derselben Zeit wurde keine abschliessende Studie durchgeführt, um die Risiken hinsichtlich viraler Codes im Kontext der Java Programmiersprache zu bewerten. Die möglichen Bedrohungen sind noch nicht erforscht worden. Dieser Artikel beschreibt einige “state-of-the-art” Java Fähigkeiten hinsichtlich viraler Codes und identifiziert einige neue Techniken, welche effizient von Angreifern genutzt werden könnten, um malizösen Codes durch Java Klassen zu verteilen.
Obwohl sich dieser Artikel primär auf Angriffe hinsichtlich Java Applikationen fokussiert, werden Java Applets auch im Rahmen der Betrachtung der verschiedenen Vektoren, wie einaktueller Angriff auf Basis von maliziösen Java Codes gestartet/durchgeführt werden kann, angesprochen.
Letztlich wird auch im Rahmen des Artikels der Schutz und die Entfernung entsprechender Codes berücksichtigt.
Astratto
Solo due virus per Java sono stati pubblicati come proof-of-concept: StrangeBrew e BeanHive. Da allora, il linguaggio Java e’ maturato e si e’ evoluto grandemente, fino ad includere un gran numero di nuove, sofisticate funzionalita’. Allo stesso tempo, nessuno studio serio e’ stato condotto per stabilire il potenziale rischio di infezione da virus connesso al nuovo linguaggio Java. Le potenziali minacce non sono ancora state esplorate. Questo articolo presenta lo stato dell’arte delle possibilita’ di scrivere codice virale per Java, e identifica nuove tecniche specificamente studiate per Java che potrebbero essere usate efficientemente da un aggressore per distribuire codice maligno tramite classi Java. Anche se l’articolo e’ focalizzato sulle applicazioni, e non sulle applet, anche questo caso verra’ trattato assieme a tutti gli altri modi con cui un attacco potrebbe essere lanciato per mezzo di codice maligno scritto in Java. Meccanismi di cura e protezione sono parimenti considerati, focalizzandosi sull’analisi di questi programmi a livello di bytecode.
This is a preview of subscription content, log in via an institution to check access.
Similar content being viewed by others
References
Mark LaDue’s Hostile Applets Home Page, http://www.cigital.com/hostile-applets/
Lindholm T, Yellin F, The Java virtual machine specification 2nd edn. http://java.sun.com/docs/books/1/index.html
Reynaud-Plantey D (2005) Reverse engineering and Java viral analysis –virus bulletin conference, Dublin, http://www.virusbtn.com/conference/vb2005/index.xml
Nolan G, Decompiling Java, APress, USA, ISBN 1-59-059265-4
Collberg C, A taxonomy of obfuscating transformations. http://www.cs.arizona.edu/∼collberg/ Research/Publications/CollbergThombor- sonLow97a/
Filiol E (2005) Strong cryptography armoured computer viruses forbidding code analysis: the BRADLEY virus. In: EICAR 2005 Conference Proceedings, Malta, http://papers.weburb.dk/archive/ 00000136/, pp 216–227
Microsoft Security Bulletin MS03-011, http:// www.microsoft.com/technet/security/ bulletin/MS03-011.mspx
http://jola.clover.com.au/pipermail/polonet-l/2004-April/000049.html
AUSCERT ALERT – Bogus banking email allows trojan infection for outlook users, http://www.auscert.org.au/3981
CERT Advisory CA-2000-15 netscape allows Java applets to read protected resources,http://www.cert.org/advisories/CA-2000-15.html
The Apache Jakarta Project, http://jakarta.apache.org/tomcat/
Java 2 Micro Edition (J2ME) Security Vulnerabilities,http://conference.hackinthebox.org/hitbsecconf2004/speakers.php#adam
Zalewski, Writing internet worms for fun and profit,http://reactor-core.org/worms-for-fun- and-profit.html
Author information
Authors and Affiliations
Corresponding author
Rights and permissions
About this article
Cite this article
Reynaud-Plantey, D. New threats of Java viruses. J Comput Virol 1, 32–43 (2005). https://doi.org/10.1007/s11416-005-0005-6
Received:
Revised:
Accepted:
Published:
Issue Date:
DOI: https://doi.org/10.1007/s11416-005-0005-6