Trojan-Downloader.JS.Agent.bnc
| Время детектирования | 21 мар 2008 19:42 MSK |
| Время выпуска обновления | 21 мар 2008 23:28 MSK |
| Описание опубликовано | 02 сен 2008 17:45 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является html-страницей, содержащей сценарий языка Java Script. Имеет размер 1527 байт.
Деструктивная активность
После запуска троянец производит расшифровку и внедрение своего кода в память процесса, имеющего следующий уникальный идентификатор в системном реестре:
Используя уязвимость в ActiveX объекте "Microsoft.XMLHTTP", троянец загружает файл со следующего URL:
Данный файл имеет размер 45717 байт и детектируется антивирусом Касперского как Trojan-Downloader.Win32.Delf.jfj.
Используя ActiveX компонент "ADODB.Stream", троянец сохраняет скачанный файл в каталоге Windows под именем "~Temp
После успешного сохранения данный файл запускается на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи ( "Диспетчера задач") завершить процесс:
~Temp
.tmp - Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
%WinDir%\~Temp
.tmp - Очистить каталог %Temporary Internet Files%.
- Отключить уязвимый ActiveX объект (Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Trojan:
Exploit-MS06-014 (McAfee) - Mal/Psyme-A (Sophos)
- JS.
Downloader-35 (ClamAV) - JS/Psyme.
EP (FPROT) - TrojanDownloader:
HTML/Adodb. gen!A (MS(OneCare)) - Trojan.
DownLoader. 38327 (DrWeb) - JS/TrojanDownloader.
Psyme. KF trojan (Nod32) - Exploit.
HTML. Agent. AA (BitDef7) - HTML.
Psyme. Gen (VirusBuster) - JS:
Downloader-AP [Trj] (AVAST) - Trojan-Downloader.
JS. Psyme. kf (Ikarus) - JS/Psyme.
NQ (AVG) - JS/Dldr.
Agent. ZY (AVIRA) - Downloader (NAV)
- HTML/Agent.
F (Norman) - Exploit-MS06-014 (NAI)
- JS_DLOADER.
MQD (PCCIL) - Trojan.
DL. JS. Agent. lio (Rising) - Trojan-Downloader.
JS. Agent. bnc [AVP] (FSecure) - JS_DLOADER.
MQD (TrendMicro) - Trojan-Downloader.
JS. Psyme. kf (v) (Sunbelt) - HTML.
Psyme. Gen (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей
