Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Exploit.JS.Agent.bgz

Exploit.JS.Agent.bgz

Время детектирования	28 апр 2011 23:52 MSK
Время выпуска обновления	29 апр 2011 06:02 MSK
Описание опубликовано	08 сен 2011 12:44 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в Web-браузере. Является HTML-страницей, содержащей сценарии языка JavaScript. Имеет несколько модификаций размером около 3-4 Кб.

Деструктивная активность

При запуске экплоит загружает файл по ссылке. В зависимости от модификации эксплоит может загружать файл по различным ссылкам, например:

http://98.***.14.171:321/cc.exe
http://121.***.170.179:54321/h.exe
http://121.***.168.129:987/ss.exe
http://x.***ririni.info:6789/down/my/103.exe
http://x.***ririni.info:6789/down/my/108.exe
http://58.***.36.199:8832/xx/xm05.css

На момент создания описания по некоторым из указанных ссылок загружались два файла. Один файл имеет размер 16372 байта и детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Agent.ssax. Второй файл имеет размер 25088 байт и детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Geral.vnk.

Скачанный файл сохраняется под следующим именем:

%AppData%\f.exe

Далее скачанный файл запускается и эксплоит завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить оригинальный файл программы (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?):
```
%Temporary Internet Files%
```
Удалить файл:
```
%AppData%\f.exe
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Exploit

Программы, в которых содержатся данные или исполняемый код, позволяющие использовать одну или несколько уязвимостей в программном обеспечении на локальном или удаленном компьютере с заведомо вредоносной целью.

Обычно эксплойты используются злоумышленниками для проникновения на компьютер-жертву с целью последующего внедрения туда вредоносного кода (например, заражение всех посетителей взломанного веб-сайта вредоносной программой). Также эксплойты интенсивно используются программами типа Net-Worm для проникновения на компьютер-жертву без участия пользователя.

Широко известны также так называемые программы-Nuker'ы, которые отправляют на локальный или удаленный компьютер специальным образом сформированные запросы, в результате чего система прекращает свою работу.

Другие модификации

Другие названия

Exploit.JS.Agent.bgz («Лаборатория Касперского») также известен как:

Troj/ExpJS-R (Sophos)
JS.Agent-90 (ClamAV)
Exploit:JS/CVE-2010-0806.gen!A (MS(OneCare))
JS:CVE-2010-0806-CV [Expl] (AVAST)
Exploit (AVG)
JS/ShellCode.B (Norman)
Hack.Exploit.Script.JS.Agent.ju (Rising)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com