RSS-каналы
Уровень опасности: 1
Trojan-Downloader.JS.Twetti.c
| Время детектирования | 24 мар 2010 10:20 MSK |
| Время выпуска обновления | 24 мар 2010 17:23 MSK |
| Описание опубликовано | 21 июн 2010 15:32 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является файлом сценария языка Java Script, добавляемым к различным html-страницам. Имеет размер 6438 байт.
Деструктивная активность
Если на компьютере пользователя присутствовали cookie с именем "rf5f6ds", тогда троянец завершает свое выполнение. В противном случае, троянец устанавливает cookie с именем "rf5f6ds" на 7 дней.
После этого троянец неявным образом вызывает вредоносную функцию, таким образом противодействуя обнаружению вредоносного кода. Для этого троянец осуществляет HTTP запрос к API социального сервиса Twitter, предавая функции обратного вызова в качестве параметра имя вредоносной функции:
http://search.twitter.com/trends/daily.json?date=где: yyyy – текущий год&callback=callback2
mm – месяц
dd - число
В результате, Twitter возвращает скрипт, вызывающий вредоносную функцию и список наиболее популярных тем за день. Вредоносная функция производит внедрение в текущую страницу скрытого фрейма, в котором выполняется обращение к ресурсу со случайным именем, зависящим от текущей даты, а также наиболее популярной темы:
http://<доменное имя>.com/nte/goldmn.pyГде доменное имя – набор латинских букв, генерируемых троянцем.
Злоумышленник заранее получает имена генерируемых доменов и регистрирует их. После чего размещает на них вредоносные объекты для загрузки пользователями. На момент создания описания троянец выполнял обращение к ресурсу, который содержал вредоносный файл, детектирующийся антивирусом Касперского как HEUR:Trojan-Downloader.Script.Generic и предназначенный для загрузки других вредоносных файлов.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files:
%Temporary Internet Files%
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Trojan.
JS. Agent. biq («Лаборатория Касперского») - Trojan-Downloader.
JS. Agent. fdl («Лаборатория Касперского») - JS/Sinowal-Gen (Sophos)
- JS.
Twetty (ClamAV) - JS/Twetty.
A (Panda) - VirTool:
JS/Obfuscator. M (MS(OneCare)) - JS.
Siggen. 83 (DrWeb) - JS/TrojanDownloader.
Twetti. C trojan (Nod32) - Trojan.
Script. 395782 (BitDef7) - JS.
Redirector. Gen. 17 (VirusBuster) - HTML:
IFrame-MT [Trj] (AVAST) - Trojan-Downloader.
JS. Twetti (Ikarus) - JS/Tweet (AVG)
- NseCheckFile2() returned 0x00010018 (Norman)
- Trojan.
DL. Script. JS. Obfuscator. b (Rising) - JS_DLDR.
SMA (TrendMicro) - JS.
Redirector. Gen. 17 (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей