RSS-каналы
Уровень опасности: 1
Trojan-Downloader.JS.Small.os
| Время детектирования | 18 авг 2010 20:53 MSK |
| Время выпуска обновления | 19 авг 2010 07:57 MSK |
| Описание опубликовано | 11 ноя 2010 16:28 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Вредоносная программа, выполняющая деструктивные действия на компьютере пользователя. Представляет собой HTML документ, который содержит сценарии языка Java Script. Имеет размер 10888 байт.
Деструктивная активность
После запуска троянец пытается запустить вредоносный Java-апплет, который располагается по ссылке:
http://ss***ce.in/wiki/j.phpДля апплета, в качестве главного класса, задается класс с именем:
SiteError.classПри запуске апплета в виде параметров передаются следующие значения:
ARCHIVE = http://ss***ce.in/wiki/j.php Type = application/x-java-applet; version=1.6 Scriptable = false url = http://ss***ce.in/wiki/exe.php?x=jjarЗатем троянец выполняет сценарий Java Script, который располагается на странице в кодировке Base64. Троянец определяет версию ОС, а также версии установленных браузеров MS Internet Explorer. Основной вредоносный функционал троянца выполняется в ОС Windows XP и ОС Windows Vista при открытии вредоносного документа в MS Internet Explorer версий 6,7 и 8. Используя уязвимость в Java Deployment Toolkit (JDT), которая возникает из-за некорректной обработки URL, что позволяет злоумышленнику передавать произвольные параметры в Java Web Start (JWS). Злоумышленник специальным образом формирует ссылку и передает ее в качестве параметра уязвимой функции "launch()". Таким образом, троянец загружает и запускает на выполнение вредоносный JAR архив, файл которого располагается по ссылке:
http://ss***ce.in/public/photo.jpgТакже передает ссылку для загрузки:
http://ss***ce.in/wiki/exe.php?x=jdt0Для выполнения вредоносного сценария в MS Internet Explorer, троянец использует ActiveX объекты с уникальными идентификаторами:
{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}
{8AD9C840-044E-11D1-B3E9-00805F499D93}
Для выполнения в Mozilla Firefox и в других NPAPI браузерах, троянец определяет следующие MIME типы:
application/npruntime-scriptable-plugin;deploymenttoolkit application/java-deployment-toolkitДалее вредонос пытается эксплуатировать уязвимости в Sun Microsystems Java (CVE-2009-3867) и (CVE-2008-5353). Для этого вредонос выполняет загрузку эксплоитов с зараженного сервера, а также при помощи загружаемого Java-класса выполняет вредоносный шелл-код непосредственно на зараженной странице. Вредонос загружает и запускает апплет, JAR-файл которого находится по ссылке:
http://ss***ce.in/wiki/nc.phpв качестве главного класса, задается класс с именем:
KAK.NED.sexxxy.classДанный класс имеет размер 5226 байт, детектируется антивирусом Касперского как Exploit.Java.Agent.cu.
При запуске апплета в виде параметров передаются следующие значения:
crimepack = http://ss***ce.in/wiki/exe.php?x=jas count = 1При помощи данного апплета троянец загружает по ссылке, указанной в качестве параметра, вредоносное ПО и запускает на его выполнение.
Также вредонос загружает и запускает апплет, JAR-файл которого располагается по ссылке:
http://ss***ce.in/wiki/midi.phpв качестве главного класса, выступает класс с именем:
AppleT.classДанный класс имеет размер 4643 байта, детектируется антивирусом Касперского как Exploit.Java.Agent.de. В параметре с именем "sc" апплету передается заранее сформированный злоумышленником шелл-код. Таким образом вредонос использует уязвимость, которая возникает при некорректной обработке параметра функции getSoundBank() (CVE-2009-3867) в Sun Java SE. При этом троянец пытается выполнить загрузку файла, который располагается по ссылке:
http://ss***ce.in/wiki/exe.php?x=midiсохранить его в каталог хранения временных файлов текущего пользователя под именем:
%Temp%\e.exeи запустить его на выполнение.
Затем, если вредоносный код выполняется в браузере MS Internet Explorer 7 и под ОС Windows XP – троянец использует уязвимость, которая возникает при некорректной обработке функцией "MPC::HexToNum" escape-последовательностей в URL приложений Microsoft Windows Help и Support Center (helpctr.exe) (MS10-042, CVE-2010-1885). Успешное использование уязвимости позволяет злоумышленнику выполнить команды, которые передаются в специально сформированном "hcp://" URL. Вредонос, используя ActiveX объект "Microsoft.XMLHTTP" выполняет загрузку файла, который располагается по следующему URL:
http://ss***ce.in/wiki/help.php?s=newhcpи затем, используя ActiveX объект "ADODB.Stream", сохраняет его в каталоге хранения временных файлов текущего пользователя под именем:
%Temp%\exe.exeИспользуя командную строку, троянец запускает на выполнение загруженный файл, а также завершает процесс центра справки и поддержки Microsoft Windows:
HelpCtr.exeЕсли же вредоносный сценарий выполняется в MS Internet Explorer 6 – троянец, используя ActiveX объекты со следующими уникальными идентификаторами:
{BD96C556-65A3-11D0-983A-00C04FC29E30}
{BD96C556-65A3-11D0-983A-00C04FC29E36}
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}
{0006F033-0000-0000-C000-000000000046}
{0006F03A-0000-0000-C000-000000000046}
{6E32070A-766D-4EE6-879C-DC1FA91D2FC3}
{6414512B-B978-451D-A0D8-FCFDF33E833C}
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
{06723E09-F4C2-43C8-8358-09FCD1DB0766}
{639F725F-1B2D-4831-A9FD-874847682010}
{BA018599-1DB3-44F9-83B4-461454C84BF8}
{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}
{E8CCCDDF-CA28-496B-B050-6C07C962476B}
а также используя уязвимости в ActiveX компонентах "MSXML2.XMLHTTP", "Microsoft.XMLHTTP" и "MSXML2.ServerXMLHTTP" (CVE-2006-0003), пытается загрузить файл, расположенный по следующей ссылке:
http://ss***ce.in/wiki/exe.php?x=mdacи при помощи ActiveX объекта "ADODB.Stream" сохранить полученный файл под именем:
%Temp%\knockout.exeПосле этого загруженный файл запускается на выполнение. Затем троянец пытается выполнить скрипт, который располагается по следующей ссылке:
http://ss***ce.in/wiki/js.phpНа момент создания описания ссылки не работали.
В завершении троянец открывает HTML страницу "Not Found":
http://www.google.com/404/
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Обновить Sun Java JRE и JDK до последних версий.
- Очистить каталог хранения временных файлов текущего пользователя:
%Temp %\
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- HTML:
Script-inf (AVAST) - Trojan-Downloader.
JS. Small (Ikarus) - ShellCode.
B (Norman) - Trojan-Downloader.
JS. Small. os [AVP] (FSecure)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей