Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияExploit.JS.Agent.avl

Exploit.JS.Agent.avl

Время детектирования 20 дек 2009 18:32 MSK
Время выпуска обновления 20 дек 2009 22:37 MSK
Описание опубликовано 10 мар 2010 18:31 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в компонентах Microsoft Data Access (MDAC). Представляет собой HTML документ, который содержит в себе сценарии языка Java Script. Имеет размер 14507 байт.


Деструктивная активность

После запуска вредонос, используя ActiveX объекты со следующими уникальными идентификаторами:

{BD96C556-65A3-11D0-983A-00C04FC29E30}
{BD96C556-65A3-11D0-983A-00C04FC29E36}
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}
{0006F033-0000-0000-C000-000000000046}
{0006F03A-0000-0000-C000-000000000046}
{6E32070A-766D-4EE6-879C-DC1FA91D2FC3}
{6414512B-B978-451D-A0D8-FCFDF33E833C}
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
{06723E09-F4C2-43C8-8358-09FCD1DB0766}
{639F725F-1B2D-4831-A9FD-874847682010}
{BA018599-1DB3-44F9-83B4-461454C84BF8}
{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}
{E8CCCDDF-CA28-496B-B050-6C07C962476B}

а также используя уязвимости в ActiveX компонентах "MSXML2.XMLHTTP", "Microsoft.XMLHTTP" и "MSXML2.ServerXMLHTTP" (CVE-2006-0003), пытается загрузить файл, расположенный по следующей ссылке:

http://www.cs***sb.edu/~marco/jsan/zcv.gif

и при помощи ActiveX объекта "ADODB.Stream" сохраняет полученный файл под именем:

c:\sys<rnd>.exe

Где <rnd>- 4 случайные буквы латинского алфавита, например "sysgmde" или "sysipns". Затем данный файл запускается на выполнение. Также, для загрузки и запуска данного файла, вредонос использует уязвимость в ActiveX объекте "OWC10.Spreadsheet", которая возникает при обработке метода "msDataSourceObject()" (CVE-2009-1136). Загруженный файл сохраняется в каталог хранения временных файлов текущего пользователя под случайным именем:

%Temp%\<rnd2>.exe

Где <rnd2>- случайная цифробуквенная последовательность. В случае успешной загрузки, файл запускается на выполнение. На момент создания описания ссылка на работала.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файл: 
    c:\sys<rnd>.exe
  3. Очистить каталог хранения временных файлов текущего пользователя: 
    %Temp % \
  4. Установить обновления: 
    http://www.microsoft.com/technet/security/bulletin/ms06-057.mspx
  5. Отключить уязвимые ActiveX объекты (Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer).
  6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Печать
Bookmark and Share
Закладки
Троянские программы
Exploit

Программы, в которых содержатся данные или исполняемый код, позволяющие использовать одну или несколько уязвимостей в программном обеспечении на локальном или удаленном компьютере с заведомо вредоносной целью.

Обычно эксплойты используются злоумышленниками для проникновения на компьютер-жертву с целью последующего внедрения туда вредоносного кода (например, заражение всех посетителей взломанного веб-сайта вредоносной программой). Также эксплойты интенсивно используются программами типа Net-Worm для проникновения на компьютер-жертву без участия пользователя.

Широко известны также так называемые программы-Nuker'ы, которые отправляют на локальный или удаленный компьютер специальным образом сформированные запросы, в результате чего система прекращает свою работу.


Другие модификации
Exploit.JS.Agent.aku
Exploit.JS.Agent.awx
Exploit.JS.Agent.axr
Exploit.JS.Agent.bab
Exploit.JS.Agent.bl
Exploit.JS.Agent.sc

Другие названия

Exploit.JS.Agent.avl («Лаборатория Касперского») также известен как:

  • Trojan: JS/Psyme (McAfee)
  • JS/Agent-NGW (Sophos)
  • JS.Agent-55 (ClamAV)
  • JS/Psyme.GU (FPROT)
  • Exploit:JS/AdoStream (MS(OneCare))
  • Exploit.Siggen.6 (DrWeb)
  • JS/TrojanDownloader.Psyme.HX trojan (Nod32)
  • Trojan.Script.248486 (BitDef7)
  • JS.Psyme.GT (VirusBuster)
  • JS:Downloader-LQ [Trj] (AVAST)
  • Exploit.JS.Agent (Ikarus)
  • HTML/Crypted.Gen (AVIRA)
  • JS/Exploit.DO (Norman)
  • Trojan.Clicker.Script.JS.Agent.i (Rising)
  • Exploit.JS.Agent.avl [AVP] (FSecure)
  • Trojan.JS.ExploitKit.a (v) (Sunbelt)
  • JS.Psyme.GT (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск