Exploit.JS.DirektShow.a

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа-эксплоит, которая без ведома пользователя загружает из сети Интернет другие программы и запускает их на выполнение. Является HTML-страницей содержащей сценарии языка Java Script. Размер зараженных страниц варьируется.

Деструктивная активность

Используя уязвимость в ActiveX компоненте "BDATuner.MPEG2TuneRequest.1" (msVidCtl.dll) в Microsoft DirectShow, который имеет уникальный идентификатор в системном реестре:

{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}

в зависимости от конкретного экземпляра, эксплоит может выполнять следующие действия:

1. Выполнять запуск "Калькулятора" вызывая команду:

   calc

2. Загружать файл со следующего URL:

   http://*****adad.cn/love.exe

   На момент создания описания ссылка не работала.
   
   Сохранять скачанный файл в кэш Internet Explorer. И выполнять запуск скачанного файла.
3. Загружать файл со следующего URL:

   http://*****317799:888/f.gif

   На момент создания описания ссылка не работала.
   
   Сохранять скачанный файл под следующим именем:

   %AppData%\a.exe

   И выполнять запуск скачанного файла.
   
   

   Рекомендации по удалению

   Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

   1. Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
   2. Очистить каталог Temporary Internet Files:
   3. Удалить файл:

      %AppData%\a.exe

   4. Отключить уязвимый ActiveX объект (Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer).
   5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).