RSS-каналы
Уровень опасности: 1
Trojan-Downloader.JS.Agent.gdk
| Время детектирования | 14 июл 2011 16:12 MSK |
| Время выпуска обновления | 14 июл 2011 22:17 MSK |
| Описание опубликовано | 13 сен 2011 19:35 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, использующая уязвимости в продуктах Oracle Java и Adobe Reader/Acrobat для выполнения загрузки и запуска другого вредоносного ПО. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 44848 байт.
Деструктивная активность
После открытия в браузере вредоносной HTML страницы, отображается следующее сообщение:
Затем используя сценарии Java Script вредонос собирает системную информацию, а именно:
- Тип ОС:
Win Mac Linux FreeBSD iPhone iPod iPad Win.*CE Win.*Mobile Pocket PC
- Установленный браузер:
MS Internet Explorer Mozilla Firefox Safari Chrome Opera
- Установленные в браузер плагины, а также ActiveX объекты.
- Поддерживаемые браузером MIME типы.
- Версии установленных Java и AdobeReader.
Далее вредонос пытается запустить в браузере пользователя Java-апплет, который располагается по ссылке:
http://<доменное_имя_зараженного_сервера>/games/getJavaInfo.jar
Если в системе установлена Java 5-ой версии до 23-го обновления или 6-ой версии до 18-го – троянец пытается запустить в браузере пользователя апплет, который располагается по ссылке:
http://<доменное_имя_зараженного_сервера>/games/worms.jarстартуя его со следующими параметрами:
name='p' value='<зашифрованная_ссылка>'
Для апплета, в качестве главного класса, задается класс с именем:
FactoryService.DefClass.class
Для выполнения дополнительных вредоносных сценариев, вредонос активирует следующие ActiveX объекты:
Msxml2.XMLHTTP Msxml2.DOMDocument Microsoft.XMLDOM ShockwaveFlash.ShockwaveFlash TDCCtl.TDCCtl Shell.UIHelper Scripting.Dictionary wmplayer.ocx
Для выполнения Java приложений в браузере вредонос определяет следующие MIME типы:
application/x-java-applet application/x-java-vm application/x-java-bean application/x-java-applet application/npruntime-scriptable-plugin;deploymenttoolkit application/java-deployment-toolkit
Используя уязвимость в Java Deployment Toolkit (JDT), которая возникает из-за некорректной обработки URL, что позволяет злоумышленнику передавать произвольные параметры в Java Web Start (JWS) (CVE-2010-0886), злоумышленник специальным образом формирует ссылку и передает ее в качестве параметра уязвимой функции "launch()". Таким образом, троянец, под видом медиа файла, запускает вредоносный Java-апплет:
\\85.***.231.112\pub\new.aviкоторый загружает и запускает на выполнение вредоносный файл, располагающийся по ссылке:
http://hhjk***dg.cx.cc/d.php?f=36&e=2
Для выполнения вредоносного сценария в MS Internet Explorer, троянец использует ActiveX объекты с уникальными идентификаторами:
{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}
{8AD9C840-044E-11D1-B3E9-00805F499D93}
Если установлена Java 6-ой версии 23 обновления - троянец пытается открыть в скрытом фрейме вэб-ресурс:
http://<доменное_имя_зараженного_сервера>/games/java_trust.php?f=36
Далее вредонос определяет установленные в браузере плагины и ActiveX объекты Adobe Reader и Adobe Acrobat. Для выполнения вредоносного сценария в MS Internet Explorer, троянец использует ActiveX объект с уникальным идентификатором:
{CA8A9780-280D-11CF-A24D-444553540000}
Для выполнения в Mozilla Firefox и в других NPAPI браузерах, троянец определяет следующие MIME типы:
application/vnd.adobe.pdfxml application/vnd.adobe.x-mars
Уязвимые версии Adobe Reader – версия 8.0.0 и более ранние, а также все версии Adobe Reader до 9.3.1. В зависимости от версии установленного "PDF Reader" – открывает вредоносные PDF документы по одной из ссылок:
http://<доменное_имя_зараженного_сервера>/games/1fdp.php?f=36 http://<доменное_имя_зараженного_сервера>/games/2fdp.php?f=36
На момент создания описания ссылки не работали.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Обновить JRE и JDK до последних версий.
- Установить последнюю версию Adobe Reader и Adobe Acrobat.
- Отключить уязвимые ActiveX объекты (Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
[MD5: a114e20c9122d5efbcde4bb36ac38a1d]
[SHA1: 78fcaed8d7ecd4d8225c5adf9f60e70acbceb612 ]
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».