Russian
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

Trojan-Downloader.JS.Twetti.c

Время детектирования 24 мар 2010 10:20 MSK
Время выпуска обновления 24 мар 2010 17:23 MSK
Описание опубликовано 21 июн 2010 15:32 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является файлом сценария языка Java Script, добавляемым к различным html-страницам. Имеет размер 6438 байт.


Деструктивная активность

Если на компьютере пользователя присутствовали cookie с именем "rf5f6ds", тогда троянец завершает свое выполнение. В противном случае, троянец устанавливает cookie с именем "rf5f6ds" на 7 дней.

После этого троянец неявным образом вызывает вредоносную функцию, таким образом противодействуя обнаружению вредоносного кода. Для этого троянец осуществляет HTTP запрос к API социального сервиса Twitter, предавая функции обратного вызова в качестве параметра имя вредоносной функции:

http://search.twitter.com/trends/daily.json?date=&callback=callback2
где: yyyy – текущий год
mm – месяц
dd - число

В результате, Twitter возвращает скрипт, вызывающий вредоносную функцию и список наиболее популярных тем за день. Вредоносная функция производит внедрение в текущую страницу скрытого фрейма, в котором выполняется обращение к ресурсу со случайным именем, зависящим от текущей даты, а также наиболее популярной темы:

http://<доменное имя>.com/nte/goldmn.py
Где доменное имя – набор латинских букв, генерируемых троянцем.

Злоумышленник заранее получает имена генерируемых доменов и регистрирует их. После чего размещает на них вредоносные объекты для загрузки пользователями. На момент создания описания троянец выполнял обращение к ресурсу, который содержал вредоносный файл, детектирующийся антивирусом Касперского как HEUR:Trojan-Downloader.Script.Generic и предназначенный для загрузки других вредоносных файлов.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Очистить каталог Temporary Internet Files:
    %Temporary Internet Files%
  3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Bookmark and Share
Закладки
Trojan-Downloader

Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).

Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.


Другие модификации

Другие названия

Trojan-Downloader.JS.Twetti.c («Лаборатория Касперского») также известен как:

  • Trojan.JS.Agent.biq («Лаборатория Касперского»)
  • Trojan-Downloader.JS.Agent.fdl («Лаборатория Касперского»)
  • JS/Sinowal-Gen (Sophos)
  • JS.Twetty (ClamAV)
  • JS/Twetty.A (Panda)
  • VirTool:JS/Obfuscator.M (MS(OneCare))
  • JS.Siggen.83 (DrWeb)
  • JS/TrojanDownloader.Twetti.C trojan (Nod32)
  • Trojan.Script.395782 (BitDef7)
  • JS.Redirector.Gen.17 (VirusBuster)
  • HTML:IFrame-MT [Trj] (AVAST)
  • Trojan-Downloader.JS.Twetti (Ikarus)
  • JS/Tweet (AVG)
  • NseCheckFile2() returned 0x00010018 (Norman)
  • Trojan.DL.Script.JS.Obfuscator.b (Rising)
  • JS_DLDR.SMA (TrendMicro)
  • JS.Redirector.Gen.17 (VirusBusterBeta)