Trojan.JS.Redirector.qb

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является HTML-страницей, содержащей сценарии языка Java Script. Имеет размер 91687 байт.

Деструктивная активность

Троянец, используя сценарии Java Script, выполняет расшифровку своего тела и собирает системную информацию, а именно:

• Тип ОС:

  Win
  Mac
  Linux
  FreeBSD
  iPhone
  iPod
  iPad
  Win.*CE
  Win.*Mobile
  Pocket PC
  

• Установленный браузер:

  MS Internet Explorer
  Mozilla Firefox
  Safari
  Chrome
  Opera
  

• Установленные в браузер плагины, а также ActiveX объекты.
• Поддерживаемые браузером MIME типы.
• Версии установленных Java и AdobeReader.

  Собранную информацию троянец отправляет на следующий URL адрес:

  http://huoy***365.ce.ms/showthread.php?s=<собранная информация>

  Далее вредонос пытается эксплуатировать уязвимости, которые существуют в Java, запуская в браузере пользователя Java-апплеты, которые располагаются по следующим ссылкам:

  http://95.***.*3.149/loading

  Апплет запускается со следующими параметрами:

  name="aston"
  value="SaaPZ33Sep&egk/G:omFoHB3BSpjaSDFgtoPSPLa#qTT8R1"

  И

  http://huoy***365.ce.ms/showthread.php?t=989196357

  Апплет запускается с параметрами:

  name="kdwidth"
  value="SaaPZ33Sep&egk/G:omFoHB3BSpjaSDFgtoPSPLa#/RTcT1"
  

  Используя уязвимость в библиотеке "jp2iexp.dll", отвечающую за работу Java плагина в Internet Explorer, при обработке специальным образом сформированного значения параметра "docbase" (CVE-2010-3552), троянец выполняет загрузку файла на зараженный компьютер пользователя по следующему URL адресу:

  http://huoy***365.ce.ms/showthread.php?t=451314

  На момент создания описания ссылка не работала.

  Сохраняет загруженный файл во временный каталог текущего пользователя под следующим именем:

  %Temp%\9b88.exe

  После чего запускает загруженный файл на выполнение.

  Для выполнения дополнительных вредоносных сценариев, вредонос активирует следующие ActiveX объекты:

  Msxml2.XMLHTTP
  ADODB.Stream
  Microsoft.XMLHTTP
  MSXML2.ServerXMLHTTP
  RDS.DataControl
  RDS.DataSpace
  Business Object Factory
  Outlook Data Object
  Outlook.Application
  SoftwareDistribution.MicrosoftUpdateWebControl.1
  SoftwareDistribution.WebControl.1
  WMIScriptUtils.WMIObjectBroker2.1
  VsmIDE.DTE
  DExplore.AppObj.8.0
  VisualStudio.DTE.8.0
  Microsoft.DbgClr.DTE.8.0
  VsaIDE.DTE
  

  Затем вредонос, используя ActiveX объект "MSXML2.XMLHTTP", выполняет загрузку файла, который располагается по следующему URL:

  http://huoy***365.ce.ms/showthread.php?t=241069

  На момент создания описания ссылка не работала.

  Используя ActiveX объект "Adodb.Stream" сохраняет файл под именем:

  %Temp%\kb489243.exe

  и запускает его на выполнение.

  Для выполнения Java в Mozilla Firefox и в других NPAPI браузерах, троянец определяет следующие MIME типы:

  application/npruntime-scriptable-plugin;deploymenttoolkit
  application/java-deployment-toolkit
  

  Используя уязвимость в Java Deployment Toolkit (JDT), которая возникает из-за некорректной обработки URL, что позволяет злоумышленнику передавать произвольные параметры в Java Web Start (JWS) (CVE-2010-0886). Злоумышленник специальным образом формирует ссылку и передает ее в качестве параметра уязвимой функции "launch()".

  Таким образом, вредонос, под видом графического файла, запускает вредоносный Java-апплет:

  \\huoy***365.ce.ms\public\thumb.jpg

  выполняющий загрузку, по передаваемой в виде параметра зашифрованой ссылке, файла:

  SaaPZ33Sep&egk/G:omFoHB3BSpjaSDFgtoPSPLa#RxTTGc 

  Для выполнения вредоносного сценария в MS Internet Explorer, троянец использует ActiveX объекты с уникальными идентификаторами:

  {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}
  {8AD9C840-044E-11D1-B3E9-00805F499D93}
  

  Также троянец выполняет перенаправление через 30 секунд на следующий URL адрес:

  http://ce***pt.com/download.php?go=aHR0cDovL3d3dy5nb29nbGUuY29tL3JvYm90cy50eHQ=

  
  

  Рекомендации по удалению

  Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Очистить каталог Temporary Internet Files, содержащий инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?):

     %Temporary Internet Files%

  3. Очистить каталог хранения временных файлов:

     %Temp%\

  4. Обновить JRE и JDK до последних версий.
  5. Установить последнюю версию Adobe Reader и Adobe Acrobat.
  6. Установить обновления:

     http://www.microsoft.com/technet/security/bulletin/ms10-042.mspx

  7. Отключить уязвимые ActiveX объекты (Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer).
  8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

  MD5: 2DBFEBA2F1763DCA7A7FA299684DDF25

  SHA1: A6C3EA9905900647645AE44EA6B6F7727917B163