RSS-каналы
Уровень опасности: 1
Trojan-Downloader.JS.Agent.eon
| Время детектирования | 02 окт 2009 13:09 MSK |
| Время выпуска обновления | 03 окт 2009 01:12 MSK |
| Описание опубликовано | 11 ноя 2009 13:36 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие программы и запускает их на выполнение. Программа является HTML-страницей, содержащей сценарии языка Java Script. Размер зараженных файлов варьируется в пределах от 5 до 20 КБ.
Деструктивная активность
Используя один из ActiveX компонентов "Microsoft.XMLHTTP", "Msxml2.XMLHTTP" или "MSXML2.ServerXMLHTTP" троянец загружает файл со следующего URL:
http://porno*****r.ru/Q/load.phpНа момент создания описания ссылка не работала.
Используя ActiveX компонент "ADODB.Stream", троянец сохраняет скачанный файл во временный каталог текущего пользователя Windows под именем "785.exe":
%Temp%\785.exeТакже троянец использует уязвимость существующую из-за ошибки проверки границ данных при обработке потокового видео в ActiveX компоненте "BDATuner.MPEG2TuneRequest.1" (msVidCtl.dll) в Microsoft DirectShow производит загрузку файла по вышеуказанному URL.
Загруженный файл сохраняется в системный каталог Windows под именем "y.exe":
%System%\y.exeПосле успешного сохранения файл запускается на выполнение.
Также для загрузки файла троянец использует уязвимость в библиотеки Internet Explorer "Msdds.dll" (CLSID = EC444CB6-3E7E-4865-B1C3-0DE72EF39B3F).
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Отключить уязвимый ActiveX объект (Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer)
- Удалить файлы:
%Temp%\785.exe %System%\y.exe
- Очистить каталог Temporary Internet Files:
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Troj/Iframe-DC (Sophos)
- Trojan:
JS/Redirector. BY (MS(OneCare)) - JS.
Crypt. CRZ (VirusBuster) - JS:
Downloader-EL [Trj] (AVAST) - Trojan-Downloader.
JS. Major (Ikarus) - HTML/Crypted.
Gen (AVIRA) - Trojan-Downloader.
JS. Agent. eon [AVP] (FSecure) - JS.
Crypt. CRZ (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».