Trojan.HTML.Fraud.ag

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая мошеннические действия. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 19226 байт.

Деструктивная активность

После открытия в браузере мошеннической страницы, троянец отображает сообщение:

Для своего корректного выполнения, троянец импортирует дополнительные Java скрипты, которые размещаются в файле с именем:

http://www.ne***sam.com/js/jquery.js - имеет размер 72174 байта

Далее фиктивный сканер в произвольном порядке сопоставляет строки в следующем порядке:

• Имя вредоноса выбирается из следующего массива строк:

  Trojan.Fakealert.5115
  Trojan.MulDrop.40896
  Win32.HLLM.MyDoom.44
  Trojan.DownLoad.47256
  Trojan.DownLoad.37236
  Backdoor.Win32.Agent.abgg
  Backdoor.Win32.Clampi.a
  Trojan-Dropper.Win32.Agent.albv
  Email-Worm.Win32.Merond.a
  Trojan-Downloader.Win32.Agent.ahoe
  Worm.Win32.Lovesan.a
  I-Worm.Klez.e
  Adware.GloboSearch.01
  Adware.GloboSearch.02
  Adware.NavHelper
  AdWare.Win32.Aureate.a
  AdWare.Win32.Aureate.a2
  AdWare.Win32.Cydoor
  AdWare.Win32.Cydoor2
  AdWare.Win32.Gator.1011
  AdWare.Win32.HotBar.an
  AdWare.Win32.HotBar.an2
  AdWare.Win32.HotBar.ap
  AdWare.Win32.NewDotNet
  AdWare.Win32.NewDotNet
  AdWare.Win32.Quick.a
  AdWare.Win32.SaveNow.aj
  AdWare.Win32.Shopper.c
  AdWare.Win32.TimeSinc
  BackDoor.Bifrost.526
  BackDoor.Bifrost.526.2
  BackDoor.Bulknet.158
  BackDoor.Bulknet.239
  BackDoor.Generic.1451
  BackDoor.Generic.438
  BackDoor.IRC.Siggen.1
  Backdoor.Netbus.21.a
  BackDoor.Nunaks
  BAT.Bomgen
  BDS.SubSeven.22.A
  Constructor.Win32.Bom.63
  DoS.JS.Dframe.n
  Email-Worm.Win32.Bagle.at
  Email-Worm.Win32.Bagle.ay
  Email-Worm.Win32.Bagle.ba
  Email-Worm.Win32.Bagle.bq
  Email-Worm.Win32.Bagle.br
  Email-Worm.Win32.Bagle.ct
  

• Тип вредоноса – Троян, Вирус, Червь.
• Уровень угрозы - Высокий, Средний, Критический.
• Имена файлов выбираются из массива строк:

  explorer.exe
  user.dll
  Win32.dll
  _viminfo
  saper.exe
  aIPH.dll
  ANIWZCSUSERNAME
  amstream.dll
  dwintl.dll
  autoconv.exe
  cmmgr32.hlp
  cnetcfg.dll
  d3dx9_27.dll
  dplaysvr.exe
  dumprep.exe
  dxdiag.exe
  gdi32.dll
  mozilla.dll
  winCmw.exe
  icrav03.rat
  joy.cpl
  kbdnec.dll
  msexcl40.dll
  mshearts.exe
  mspatcha.dll
  netware.drv
  odbccp32.dll
  ping6.exe
  rasdlg.dll
  Reg2Inf.exe
  sc.exe
  

В окне браузера данный процесс выглядит следующим образом:

Далее вредонос предлагает пользователю выполнить лечение компьютера. После нажатия на кнопку "Включить защиту" – вредонос предлагает пользователю осуществить оплату услуги путем отправки смс на платные номера "1171", "4460" с текстом

20***03

После введенного кода пользователю предлагается загрузить файл:

http://www.net***sam.com/download/setup.exe

В лицензионном соглашении данного сервиса указано, что данный исполняемый файл является бесплатной версией антивирусной программы Avira. На момент создания описания ссылка не работала.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?):

   %Temporary Internet Files%

3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).