RSS-каналы
Уровень опасности: 1
Trojan-Downloader.JS.Twetti.a
| Время детектирования | 03 дек 2009 18:20 MSK |
| Время выпуска обновления | 03 дек 2009 23:48 MSK |
| Описание опубликовано | 26 фев 2010 11:43 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Представляет собой HTML документ, содержащий сценарии языка Java Script. Имеет размер 6340 байт.
Деструктивная активность
После запуска троянец осуществляет HTTP запрос к API социального сервиса Twitter:
http://search.twitter.com/trends/daily.json?callback=callbackПри этом функции обратного вызова в качестве параметра передается вредоносная функция троянца. В результате, Twitter возвращает список наиболее популярных тем за день. Полученная информация будет использована троянцем для генерации псевдослучайного доменного имени. Обработав полученные данные, троянец определяет текущую дату и по ней вычисляет новую дату - 2 дня до текущей. После этого, формирует очередной запрос:
<yyyy-mm-dd>&callback=callback2
yyyy – год
mm – месяц
dd - число
Дата и названия наиболее популярных тем используются троянцем при генерации доменного имени. Затем производит внедрение в текущую страницу скрытого фрейма, в котором выполняется обращение к ресурсу, расположенном по следующей ссылке:
http://<доменное _имя>.com/ld/avorp1/Где доменное имя – набор латинских букв, сгенерированных троянцем. Злоумышленник заранее генерирует имя домена по аналогичному алгоритму и регистрирует его. После чего размещает на нем вредоносные объекты для загрузки пользователями. На момент создания описания ссылка не работала. Также вредонос устанавливает на неделю в браузере пользователя cookie с именем "rf5f6ds".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- JS/Sinowal-Gen (Sophos)
- Trojan.
Downloader. JS. Twetti (ClamAV) - VirTool:
JS/Obfuscator. M (MS(OneCare)) - Trojan.
Downloader. JS. Twetti. A (BitDef7) - JS.
Twetty. A (VirusBuster) - HTML:
IFrame-KU [Trj] (AVAST) - Trojan-Downloader.
JS. Twetti (Ikarus) - JS/Obfuscated (AVG)
- NseCheckFile2() returned 0x00010018 (Norman)
- JS_DLDR.
SMA (TrendMicro) - processing error (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей