RSS-каналы
Уровень опасности: 1
Trojan-Downloader.JS.Agent.egv
| Время детектирования | 01 июл 2009 14:59 MSK |
| Время выпуска обновления | 22 июл 2009 18:51 MSK |
| Описание опубликовано | 26 сен 2011 16:40 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Представляет собой HTML документ, содержащий сценарии Java Script. Имеет размер 16506 байт.
Деструктивная активность
После открытия зараженной страницы, троянец, при помощи сценариев Java Script, выполняет расшифровку своего обфусцированного кода и затем запускает вредоносный сценарий на выполнение. Если вредонос был запущен в браузере MS Internet Explorer – используя ActiveX объект "Microsoft.XMLHTTP", пытается выполнить загрузку файла со следующего URL:
http://neiro***09.com/check/vers155.phpа затем, при помощи ActiveX объекта "ADODB.Stream", сохраняет файл под именем:
%WinDir%\Fonts\iedr.exe
Также троянец, используя уязвимость в MDAC (Microsoft Data Access Components) в ActiveX объекте "RDS.DataSpace" (MS06-014), при этом также используя ActiveX объект "Microsoft.XMLHTTP", пытается выполнить загрузку файла со следующего URL:
http://neiro***09.com/check/vers155.php?q=2
При помощи ActiveX объекта "ADODB.Stream", сохраняет файл с именем:
%Temp%\ieur2.exe
После успешной загрузки файлы запускаются на выполнение. На момент создания описания ссылки не работали. После этого вредонос отображает в браузере следующие строки:
please check url Error: fzf
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%WinDir%\Fonts\iedr.exe %Temp%\ieur2.exe
- Отключить уязвимые ActiveX объекты (Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer).
- Установить обновления:
http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
MD5: b3c642e6858ee72f6a21530a5d3566ab
SHA1: a5f905a7e0fe8f50916a888bd1b526e2125b51a2
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Hoax.
JS. Agent. egv («Лаборатория Касперского») - Trojan-Proxy.
JS. Agent. egv («Лаборатория Касперского») - VBS:
Psyme-AF [Trj] (AVAST) - Trojan-Downloader.
JS. Agent (Ikarus) - JS/Downloader.
Agent (AVG) - HTML/Crypted.
Gen (AVIRA) - JS_AGENT.
AUWM (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».