RSS-каналы
Уровень опасности: 1
Trojan.JS.Agent.btv
| Время детектирования | 02 мар 2011 13:58 MSK |
| Время выпуска обновления | 02 мар 2011 20:04 MSK |
| Описание опубликовано | 04 апр 2011 21:27 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, выполняющая мошеннические действия. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 98198 байт.
Деструктивная активность
После открытия в браузере зараженной страницы, троянец, используя дополнительные сценарии Java Script, выполняет расшифровку и запуск вредоносного функционала на выполнение. Далее троянец отображает следующее сообщение:
Затем вредонос отображает в браузере фиктивный антивирусный файловый сканнер. Данный сканер в произвольном порядке сопоставляет строки, которые хранятся в теле троянца, в следующем порядке:
- Отображаемые сканируемые пути и файлы:
C:\windows\ c:\users\ c:\windows\temp\ C:\Documents and Settings\All Users c:\windows\Active Setup Log.txt c:\windows\mcd32.dll c:\windows\temp\forcedos.exe c:\windows\temp\edit.hlp c:\windows\system32\defrag.exe c:\windows\system32\actmovie.exe c:\windows\system\icfgnt5.dll c:\windows\system\KGyGaAvL.sys c:\windows\mcd32.dll c:\windows\temp\forcedos.exe c:\windows\temp\edit.hlp c:\windows\system32\defrag.exe c:\windows\system32\actmovie.exe c:\windows\system\icfgnt5.dll c:\windows\system\KGyGaAvL.sys c:\..\LocalService\Local Settings\Temporary Internet Files\advpack.dll c:\..\LocalService\Local Settings\Temporary Internet Files\msacm32.dll c:\..\Local Settings\Temporary Internet Files\Content.IE5\hotplug.dll c:\..\Default User\Application Data\d3drm.dll c:\..\Default User\Application Data\mpr.dll c:\..\Default User\Application Data\Microsoft\Arj.pif c:\..\Default User\Application Data\Microsoft\mfc70fra.dll c:\..\NTUSER.DAT c:\..\Default User\Local Settings\Temporary Internet Files\ Content.IE5\index.dat c:\..\Admin\Local Settings\Temporary Internet Files\ Content.IE5\G1DAX1FU\explorer.exe c:\..\Admin\Local Settings\Temporary Internet Files\ Content.IE5\IIB5GURM\atmadm.exe c:\..\Admin\Local Settings\Temporary Internet Files\ Content.IE5\JI0DTJNL\d3dx10_37.dll c:\..\Admin\Local Settings\Temporary Internet Files\ Content.IE5\JV0YX9HC\ALCMTR.EXE c:\..\Admin\Local Settings\Temporary Internet Files\ Content.IE5\JZXJ3EK1\d3drm.dll c:\..\Admin\Local Settings\Temporary Internet Files\ Content.IE5\LQQEDB6F\FSSETUP.log c:\downloads\control.ini c:\downloads\mfc70fra.dll c:\RECYCLER\mmcfxcommon.dll c:\RECYCLER\bootcfg.exe c:\RECYCLER\c_28592.nls c:\System Volume Information\appmgr.dll c:\System Volume Information\dsound3d.dll
- Имя вредоноса выбирается из следующего массива строк:
Adware.Win32.Winad Adware.Win32.Look2me.ab AdvWare.Hotbar Backdoor.Win32.Haxdoor.gu Trojan-Downloader.Win32.Small.dge Trojan-PSW.Win32.LdPinch.abm Trojan.Qoologic - Key Logger Trojan Horse IRC/Backdoor.SdBot4.FRV SHeur.ZSQ W32.Benjamin.Worm W95/Elkern F-Secure W32.Mypics.Worm.36352 W32.Nimda.J@mm W32.Yaha.B@mm Trojan Horse Generic11.OQJ Trojan Horse IRC/Backdoor.SdBot4.FRV Magic DVD Ripper Trojan virtumonde Win32/Hoax.Renos.HX Trojan-Downloader.Win32.Small.fxf Trojan-Downloader.Win32.Tibs.tc Trojan.Fakealert.355
- Тип вредоноса – Virus.
- Уровень угрозы – Medium, High, Critical..
- Имена зараженных файлов выбираются из следующего массива строк:
0.log _default.pif Active Setup Log.txt ALCMTR.EXE ALCWZRD.EXE always.bat bootstat.dat cdplayer.ini clock.avi cmsetacl.log comsetup.log control.ini corelpf.lrs desktop.ini DirectX.log DtcInstall.log erg_dial.ini erg_film.ini explorer.exe explorer.scf FaxSetup.log FinishDrv.log FontData.fdb SDEPH.log FSISU.log FSPROD.log FSSFM.log FSSGUI.log Giza Setup Log.txt activeds.tlb ahui.exe apphelp.dll appmgmts.dll appmgr.dll atmadm.exe atmlib.dll bootcfg.exe bthprops.cpl c_949.nls c_28592.nls catsrvps.dll cidaemon.exe cmmgr32.hlp commdlg.dll cryptdll.dll d3drm.dll d3dx10_37.dll defrag.exe dhcpcsvc.dll dmadmin.exe docprop2.dll dpvacm.dll dsound3d.dll edit.hlp extrac32.exe forcedos.exe gpupdate.exe hotplug.dll icfgnt5.dll igfxrell.lrc kbdhe220.dll kbdpl1.dll KGyGaAvL.sys loadperf.dll mcd32.dll mfc70fra.dll mpr.dll msacm32.dll alg.exe arp.exe atmfd.dll avicap.dll avicap32.dll calc.exe camocx.dll explorer.exe hh.exe HideWin.exe IsUninst.exe meta4.exe MicCal.exe NOTEPAD.EXE regedit.exe TASKMAN.EXE twunk_16.exe twunk_32.exe winhelp.exe winhlp32.exe x2.64.exe twain.dll twain_32.dll vmmreg32.dll bootstat.dat d3dx.dat nsreg.dat popcinfo.dat SET3.tmp SET4.tmp SET8.tmp accwiz.exe actmovie.exe ahui.exe winspool.exe winver.exe WISPTIS.EXE wowdeb.exe wowexec.exe wpabaln.exe wpnpinst.exe write.exe wscntfy.exe wscript.exe wuauclt.exe wuauclt1.exe wupdmgr.exe cic.dll ciodm.dll clb.dll clbcatex.dll clbcatq.dll cliconfg.dll cygwin1.dll cygz.dll d3d8.dll d3d8thk.dll d3d9.dll drmclien.dll drmstor.dll drmv2clt.dll drprov.dll ds16gt.dLL ds32gt.dll dsauth.dll dsdmo.dll ieakeng.dll ieaksie.dll ieakui.dll ieapfltr.dll iedkcs32.dll ieencode.dll ieframe.dll iepeers.dll iernonce.dll iertutil.dll iesetup.dll ieui.dll kerberos.dll kernel32.dll keymgr.dll ksuser.dll kwutil2k.dll sti_ci.dll stobject.dll storage.dll storprop.dll streamci.dll strmdll.dll strmfilt.dll svcpack.dll swprv.dll sxs.dll untfs.dll upnp.dll upnphost.dll upnpui.dll ureg.dll url.dll urlmon.dll usbmon.dll usbui.dll user32.dll dssec.dat emptyregdb.dat ezsidmv.dat FNTCACHE.DAT ieapfltr.dat imon1.dat mlang.dat noise.dat oembios.dat perfc009.dat perfc019.dat perfd009.dat perfd019.dat perfh009.dat perfh019.dat perfi009.dat perfi019.dat secupd.dat ansi.sys country.sys himem.sys key01.sys keyboard.sys ntdos.sys ntdos404.sys ntdos411.sys ntdos412.sys ntdos804.sys ntio.sys ntio404.sys ntio411.sys ntio412.sys ntio804.sys watchdog.sys win32k.sys
При выборе любого элемента навигации на зараженной HTML странице, а также после нажатия на кнопку "Start Protection" – вредонос предлагает выполнить загрузку файла который располагается на сервере злоумышленника по ссылке:http://<доменное_имя_сервера_злоумышленника>/?do=getexe&id=lee_01
например:http://fjr***rp.co.cc/?do=getexe&id=lee_01 http://sca***endors.com/?do=getexe&id=lee_01 http://pr***py.com/?do=getexe&id=lee_01
В окне браузера данный процесс выглядит следующим образом:
При закрытии зараженной страницы троянец отображает сообщение:
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.
К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.
Trojan.
- Troj/FakeAV-CLJ (Sophos)
- JS/Agent.
NCU trojan (Nod32) - JS:
FakeAV-GP [Trj] (AVAST) - JS/Obfuscated (AVG)
- NseCheckFile2() returned 0x00010018 (Norman)
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».