Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияTrojan-Clicker.HTML.IFrame.bk

Trojan-Clicker.HTML.IFrame.bk

Время детектирования 27 сен 2007 18:42 MSK
Время выпуска обновления 27 сен 2007 18:42 MSK
Описание опубликовано 05 июн 2008 17:48 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая несанкционированное обращение к интернет-ресурсам без ведома пользователя. Представляет собой HTML документ, содержащий в себе вредоносные сценарии Java Script (JS). Размер зараженных файлов может существенно различаться.


Деструктивная активность

После открытия зараженной страницы троянец расшифровывает и запускает на выполнение вредоносные JS скрипты. В результате троянец производит внедрение в текущую HTML страницу два скрытых фрейма, при загрузке которых происходит обращение к интернет ресурсам расположенным по следующим ссылкам:

http://ru***.info/forum/index.php
http://***termediagroup.com/ts/in.cgi?reyden

При открытии первого URL, осуществляется перенаправление на ресурс:

http://ru***.info/forum/load.php?spl=mdac

с которого, во временный каталог текущего пользователя Windows загружается файл с именем:

%Temp%\winZSRyU7CpTw6D.exe

Данный файл имеет размер 20128 байт и детектируется Антивирусом Касперского как Trojan.Win32.SubSys.dr.

После выполнения скрытого обращения к интернет ресурсу:

http://***termediagroup.com/ts/in.cgi?reyden

происходит перенаправление и открытие в браузере пользователя файла скрипта "robo.php", который находится по ссылке:

http://***sm-movies.info/robo.php

Данный файл скрипт имеет размер 3121 байт и детектируется Антивирусом Касперского как Trojan-Clicker.HTML.IFrame.ql.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файл:
    %Temp%\winZSRyU7CpTw6D.exe
  3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Печать
Bookmark and Share
Закладки
Троянские программы
Trojan-Clicker

Вредоносная программа, предназначенная для несанкционированного пользователем обращения к интернет-ресурсам (обычно, к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).

У злоумышленника могут быть следующие цели для подобных действий:

  • увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;
  • организация DoS-атаки (Denial of Service) на какой-либо сервер;
  • привлечение потенциальных жертв для заражения вирусами или троянскими программами.

Другие модификации
Trojan-Clicker.HTML.IFrame.ajn
Trojan-Clicker.HTML.IFrame.fh
Trojan-Clicker.HTML.IFrame.g
Trojan-Clicker.HTML.IFrame.mq

Другие названия

Trojan-Clicker.HTML.IFrame.bk («Лаборатория Касперского») также известен как:

  • Mal/ObfJS-AE (Sophos)
  • JS.Agent-6 (ClamAV)
  • Trojan.Script.52628 (BitDef7)
  • JS.Iframe.E (VirusBuster)
  • Trojan-Clicker.HTML.IFrame (Ikarus)
  • HTML/Infected.WebPage.Gen (AVIRA)
  • Trojan-Clicker.HTML.IFrame.bk [AVP] (FSecure)
  • JS.Iframe.E (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск