RSS-каналы
Уровень опасности: 1
Trojan-Downloader.JS.Agent.ftu
| Время детектирования | 20 фев 2011 07:35 MSK |
| Время выпуска обновления | 22 фев 2011 12:34 MSK |
| Описание опубликовано | 25 мар 2011 15:33 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Вредоносная программа, выполняющая деструктивные действия на компьютере пользователя. Представляет собой HTML документ, который содержит сценарии языка Java Script. Имеет размер 43256 байт.
Деструктивная активность
После запуска троянец использует дополнительные сценарии JS для снятия обфускации со своего основного вредоносного кода. Затем троянец определяет версию ОС, текущий браузер, а также наличие установленных в браузер плагинов. Используя уязвимость в Java Deployment Toolkit (JDT), которая возникает из-за некорректной обработки URL, что позволяет злоумышленнику передавать произвольные параметры в Java Web Start (JWS) (CVE-2010-0886). Злоумышленник специальным образом формирует ссылку и передает ее в качестве параметра уязвимой функции "launch()". Таким образом, троянец загружает и запускает на выполнение вредоносный файл, который располагается по ссылке:
\\76.***.98\pub\new.aviТакже передает ссылку для загрузки:
http://shr***sht.co.cc/d.php?f=95&e=1Для выполнения вредоносного сценария в MS Internet Explorer, троянец использует ActiveX объекты с уникальными идентификаторами:
{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}
{8AD9C840-044E-11D1-B3E9-00805F499D93}
{CA8A9780-280D-11CF-A24D-444553540000}
Для выполнения в Mozilla Firefox и в других NPAPI браузерах, троянец определяет следующие MIME типы:
application/npruntime-scriptable-plugin;deploymenttoolkit application/java-deployment-toolkit application/vnd.adobe.pdfxml application/vnd.adobe.x-marsДалее вредонос определяет установленные в браузере плагины и ActiveX объекты Adobe Reader и Adobe Acrobat. После чего, в зависимости от версии установленного "PDF Reader" – в скрытом фрейме загружает PDF эксплоит по одной из ссылок:
http://<доменное_имя_зараженного_сервера>/games/pdf.php?f=95 http://<доменное_имя_зараженного_сервера>/games/pdf2.php?f=95На момент создания описания ссылки не работали.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Обновить Sun Java JRE и JDK до последних версий.
- Очистить каталог хранения временных файлов текущего пользователя: %Temp %\
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».