Trojan-Downloader.JS.Agent.fig

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Представляет собой HTML документ, содержащий сценарии Java Script. Имеет размер 15509 байт.

Деструктивная активность

После открытия зараженной страницы, троянец, при помощи сценариев Java Script, выполняет расшифровку своего обфусцированного кода и затем запускает вредоносный сценарий на выполнение. Затем используя уязвимость в MDAC (Microsoft Data Access Components) в ActiveX объекте "RDS.DataSpace" (MS06-014), при этом также используя ActiveX объект "MSXML2.XMLHTTP ", пытается выполнить загрузку файла со следующего URL:

http://br***us2sz.com/ww/l.php?i=1 

а затем, при помощи ActiveX объекта "ADODB.Stream", сохраняет файл на один уровень выше от рабочего каталога с именем "file.exe" и затем запускает файл на выполнение.

При наличии установленного в браузере плагина Adobe Acrobat, троянец, в скрытом фрейме, пытается загрузить и выполнить с сервера злоумышленника вредоносные сценарии. В зависимости от версии Adobe Acrobat троянец загружает один из документов, который содержит в себе эксплоит:

%RootDir%/tmp/geticon.pdf
%RootDir%/tmp/printf.pdf
%RootDir%/tmp/collab.pdf
%RootDir%/tmp/newplayer.pdf
%RootDir%/tmp/libtiff.pdf

Вредонос создает на странице объект Shockwave Flash, с именем "BridgeMovie" и с уникальным идентификатором:

D27CDB6E-AE6D-11cf-96B8-444553540000

при помощи которого, пытается загрузить и выполнить с сервера злоумышленника вредоносный сценарий:

%RootDir%/ tmp/flash.swf

В зависимости от версии установленного в системе Flash плеера, вредонос создает и запускает "swf" файл, который содержит в своем коде эксплоит для данного флэш плеера.

В результате выполнения кода эксплоита происходит загрузка файла, который размещается по следующему URL:

http://br***us2sz.com/ww/l.php?i=7

Уязвимые версии продукта - 9.0.115.0, 9,0.16.0, 9.0.28.0, 9.0.45.0, 9.0.47.0, 9.0.64.0, 10.0.12.36, 10.0.22.87, 9.0.124.0, 9.0.151.0, 9.0.159.0. Далее троянец использует уязвимость, которая существует из-за "использование после освобождения" ошибки в компоненте "Peer Objects" в iepeers.dll при некорректной обработке метода setAttribute() (CVE-2010-0806). В результате эксплоит пытается выполнить загрузку файлов, которые размещаются по ссылкам:

http://br***us2sz.com/ww/l.php?i=18
http://br***us2sz.com/ww/l.php?i=12

и сохранить под именем:

%Temp%\pdfupd.exe

Затем троянец запускает загруженный файл на выполнение.

На момент создания описания ссылки не работали.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?):

   %Temporary Internet Files%

3. Установить обновления: http://www.microsoft.com/technet/security/bulletin/ms10-018.mspx
4. Очистить каталог:

   %Temp%\

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).