Trojan-Downloader.JS.Agent.ful

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Представляет собой сценарий языка Java Script (JS), который располагается в HTML документе. Имеет размер 73032 байта.

Деструктивная активность

После запуска троянец пытается запустить в браузере пользователя вредоносный Java-апплет, который располагается по ссылке:

http://<доменное_имя_зараженного_сервера>/games/plugins.jar

На момент создания описания ссылка не работала.

Для данного апплета, в качестве главного класса, задается класс с именем:

powerColor.p3.class

В качестве аргумента апплету передается параметр с именем "blift" и со значением:

rOOSqttzS1eEk-E3zt?ESrSIWA&nU-An

Данный параметр является зашифрованной ссылкой, по которой вредоносный апплет производит загрузку вредоносного ПО.

Затем троянец, при помощи сценариев Java Script, выполняет расшифровку своего вредоносного кода.

Используя уязвимость в Java Deployment Toolkit (JDT), которая возникает из-за некорректной обработки URL, что позволяет злоумышленнику передавать произвольные параметры в Java Web Start (JWS) (CVE-2010-0886). Злоумышленник специальным образом формирует ссылку и передает ее в качестве параметра уязвимой функции "launch()". Таким образом, троянец, под видом файла который располагается на сетевом ресурсе:

\\195.***.151.211\pub\new.avi

загружает и запускает на выполнение вредоносный файл, который располагается по ссылке:

http://sp***e.ms/k.php?f=16&e=1

Для выполнения вредоносного сценария в MS Internet Explorer, троянец использует ActiveX объекты с уникальными идентификаторами:

{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}
{8AD9C840-044E-11D1-B3E9-00805F499D93}
{CA8A9780-280D-11CF-A24D-444553540000}

Для выполнения в Mozilla Firefox и в других NPAPI браузерах, троянец определяет следующие MIME типы:

application/npruntime-scriptable-plugin;deploymenttoolkit
application/java-deployment-toolkit
application/vnd.adobe.pdfxml
application/vnd.adobe.x-mars

Затем троянец проверяет наличие в браузере плагина с именем "Media Player" и если такой присутствует – пытается открыть в скрытом фрейме эксплоит, который будет использовать уязвимость в Microsoft Windows Help и Support Center (helpctr.exe) (MS10-042, CVE-2010-1885). Открытие ресурса производиться по следующей ссылке:

http://sp***e.ms/games/hcp_asx.php?f=16

На момент создания описания ссылка не работала.

Далее вредонос определяет установленные в браузере плагины и ActiveX объекты Adobe Reader и Adobe Acrobat. После чего, в зависимости от версии установленного "PDF Reader" – открывает вредоносные PDF документы по одной из ссылок:

http://<доменное_имя_зараженного_сервера>/games/pdf.php?f=16
http://<доменное_имя_зараженного_сервера>/games/pdf2.php?f=16

Уязвимые версии Adobe Reader – версия 8.0.0 и более ранние, а также все версии Adobe Reader до 9.3.1.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):

   %Temporary Internet Files%

3. Обновить Sun Java JRE и JDK до последних версий.
4. Установить последнюю версию Adobe Reader и Adobe Acrobat.
5. Очистить каталог хранения временных файлов текущего пользователя:

   %Temp %\

6. Отключить уязвимые ActiveX объекты (Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer).
7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).