RSS-каналы
Уровень опасности: 1
Trojan-Downloader.JS.Agent.mp
| Время детектирования | 12 окт 2007 13:26 MSK |
| Время выпуска обновления | 12 окт 2007 13:26 MSK |
| Описание опубликовано | 22 окт 2007 16:51 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянец, который без ведома пользователя загружает на зараженный компьютер из сети Интернет другие вредоносные программы и запускает их на исполнение. Является сценарием языка Java Script. Имеет размер 9656 байт.Деструктивная активность
После запуска троянец производит внедрение своего кода в память процессов, имеющих следующие уникальные идентификаторы в системном реестре:
{BD96C556-65A3-11D0-983A-00C04FC29E30}
{BD96C556-65A3-11D0-983A-00C04FC29E36}
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}
{0006F033-0000-0000-C000-000000000046}
{0006F03A-0000-0000-C000-000000000046}
{6e32070a-766d-4ee6-879c-dc1fa91d2fc3}
{6414512B-B978-451D-A0D8-FCFDF33E833C}
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
{06723E09-F4C2-43c8-8358-09FCD1DB0766}
{639F725F-1B2D-4831-A9FD-874847682010}
{BA018599-1DB3-44f9-83B4-461454C84BF8}
{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}
{E8CCCDDF-CA28-496b-B050-6C07C962476B}
Для выполнения произвольного кода в зараженной системе троянец использует уязвимости в ActiveX-компонентах «WinZIP FileView», «QuickTime», «WebViewFolderIcon», а также уязвимость в библиотеке MS Internet Explorer — «Msdds.dll».
Уязвимость в ActiveX-компоненте «XMLHTTP» троянская программа использует для загрузки файла со следующего URL:
http://69.228.192.***/file.php
(На момент создания описания данная ссылка не работала.)
Используя уязвимость компонента «ADODB.Stream», троянец сохраняет скачанный файл в корень диска С: под именем «sys<rnd>.exe» (где <rnd> — буквы английского алфавита, отобранные случайным образом):
С:\sys.exe
Также загруженный файл сохраняется в системном каталоге Windows под именами «~.exe»:
%System%\~.exe
и «cpu.exe»:
%System%\cpu.exe
Также файл сохраняется в каталоге, находящемся на уровень выше каталога, содержащего оригинальный файл троянца, — под именем «tm.exe».
Далее сохраненные файлы запускаются на исполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
С:\sys<rnd>.exe %System%\~.exe %System%\cpu.exe <...>/tm.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».