RSS-каналы
Уровень опасности: 1
Trojan-Downloader.JS.Twetti.g
| Время детектирования | 22 дек 2010 06:22 MSK |
| Время выпуска обновления | 22 дек 2010 12:43 MSK |
| Описание опубликовано | 21 апр 2011 13:54 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Представляет собой HTML документ, содержащий сценарии языка Java Script (JS). Имеет размер 22371 байт.
Деструктивная активность
После запуска троянец при помощи дополнительных JS скриптов выполняет дешифровку и запуск на выполнение основного функционала вредоноса. Затем устанавливает в браузере пользователя на 7 дней cookie с именем "rf5f6ds" и значением "2".
Троянец использует API социального сервиса Twitter, для получения текущей даты и времени, выполняя HTTP запрос:
http://search.twitter.com/trends/daily.json?callback=callbackВыделив из полученных данных текущую дату, а также вычислив необходимую дату, используя функцию "callback()", вредонос осуществляет следующий HTTP запрос:
http://search.twitter.com/trends/daily.json?date= <yyyy-mm-dd>&callback=callback2где:
yyyy – год;
mm – месяц;
dd – число.
В результате Twitter возвращает список тем, которые были наиболее популярны за указанную в запросе дату. Полученные данные вредонос использует для генерации псевдослучайного имени домена, который заранее регистрируется злоумышленником и используется для распространения другого вредоносного ПО. При генерации псевдослучайного имени домена, в зависимости от месяца года, используется следующая подстановка:
dbs – январь; ytn – февраль; vmt – март; vmr - апрель; mlc - май; oxk – июнь; fds - июль; bvf- август; yus - сентябрь; mcp - октябрь; ncz - ноябрь; gdw – декабрь.Комбинация данных 3-х латинских букв располагаются в конце имени домена и зависит от месяца года. В результате генерируются псевдослучайные имена доменов, например:
cfgf***mt.com pfgj***xk.com ifgf***thr.comДалее вредонос пытается открыть в скрытом фрейме ресурс:
http://ibc***ivmt.com/ld/goldmn/На момент создания описания ссылка не работала.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files:
%Temporary Internet Files%
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Mal/ObfJS-AG (Sophos)
- JS/Twetty.
A (Panda) - JS/TrojanDownloader.
Twetti. NAC trojan (Nod32) - Trojan.
JS. Downloader. BJF (BitDef7) - JS:
Twetti-A [Trj] (AVAST) - Trojan-Downloader.
JS. Twetti (Ikarus) - NseCheckFile2() returned 0x00010018 (Norman)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей