Trojan.JS.Agent.brh

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, выполняющая деструктивные действия на компьютере пользователя. Представляет собой HTML документ, который содержит сценарии языка Java Script. Имеет размер 8213 байт.

Деструктивная активность

После запуска троянец пытается запустить вредоносные Java-апплеты, которые располагаются по ссылкам:

http://hi***ug.co.cc/user/jar5.php
http://hi***ug.co.cc/user/j.php

Для данных апплетов в качестве главного класса задаются соответственно следующие классы:

cpak.Crimepack.class
Exploit.class

При запуске апплетов в качестве аргументов передаются ссылки:

http://hi***ug.co.cc/user/exe.php?x=jar5
http://hi***ug.co.cc/user/exe.php?x=jjar

На момент создания ссылки не работали. Затем троянец выполняет сценарий Java Script, который располагается на странице в кодировке Base64. Троянец определяет версию ОС, а также версии установленных браузеров MS Internet Explorer. Основной вредоносный функционал троянца выполняется в ОС Windows XP при открытии вредоносного документа в MS Internet Explorer версий 6 и 7. Используя уязвимость в Java Deployment Toolkit (JDT), которая возникает из-за некорректной обработки URL, что позволяет злоумышленнику передавать произвольные параметры в Java Web Start (JWS). Злоумышленник специальным образом формирует ссылку и передает ее в качестве параметра уязвимой функции "launch()". Таким образом, троянец загружает и запускает на выполнение вредоносное приложение, файл которого располагается по ссылке:

http://hi***ug.co.cc/user/exe.php?x=jdt0 

Для выполнения вредоносного сценария в MS Internet Explorer, троянец использует ActiveX объекты с уникальными идентификаторами:

{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}
{8AD9C840-044E-11D1-B3E9-00805F499D93}

Для выполнения в Mozilla Firefox и в других NPAPI браузерах, троянец определяет следующие MIME типы:

application/npruntime-scriptable-plugin;deploymenttoolkit
application/java-deployment-toolkit

Затем, если вредоносный код выполняется в браузере MS Internet Explorer 7 и под ОС Windows XP – троянец использует уязвимость, которая возникает при некорректной обработке функцией "MPC::HexToNum" escape-последовательностей в URL приложений Microsoft Windows Help и Support Center (helpctr.exe) (MS10-042, CVE-2010-1885). Успешное использование уязвимости позволяет злоумышленнику выполнить команды, которые передаются в специально сформированном "hcp://" URL. Вредонос, используя ActiveX объект "Microsoft.XMLHTTP" выполняет загрузку файла, который располагается по следующему URL:

http://hi***ug.co.cc/user/help.php?s=newhcp

и затем, используя ActiveX объект "ADODB.Stream", сохраняет его в каталоге хранения временных файлов текущего пользователя под именем:

%Temp%\exe.exe

Используя командную строку, эксплоит запускает на выполнение загруженный файл, а также завершает процесс центра справки и поддержки Microsoft Windows:

HelpCtr.exe

На момент создания описания ссылка не работала.

Если же вредоносный сценарий выполняется в MS Internet Explorer 6 – троянец, используя ActiveX объекты со следующими уникальными идентификаторами:

{BD96C556-65A3-11D0-983A-00C04FC29E30}
{BD96C556-65A3-11D0-983A-00C04FC29E36}
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}
{0006F033-0000-0000-C000-000000000046}
{0006F03A-0000-0000-C000-000000000046}
{6E32070A-766D-4EE6-879C-DC1FA91D2FC3}
{6414512B-B978-451D-A0D8-FCFDF33E833C}
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
{06723E09-F4C2-43C8-8358-09FCD1DB0766}
{639F725F-1B2D-4831-A9FD-874847682010}
{BA018599-1DB3-44F9-83B4-461454C84BF8}
{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}
{E8CCCDDF-CA28-496B-B050-6C07C962476B}

а также используя уязвимости в ActiveX компонентах "MSXML2.XMLHTTP", "Microsoft.XMLHTTP" и "MSXML2.ServerXMLHTTP" (CVE-2006-0003), пытается загрузить файл, расположенный по следующей ссылке:

http://hi***ug.co.cc/user/exe.php?x=mdac

и при помощи ActiveX объекта "ADODB.Stream" сохранить полученный файл под именем:

%Temp%\knockout.exe

После этого загруженный файл запускается на выполнение. На момент создания описания ссылка не работала. В завершении троянец открывает HTML страницу "Not Found":

http://www.google.com/404/

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):

   %Temporary Internet Files%

3. Очистить каталог хранения временных файлов текущего пользователя:

   %Temp %\

4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).