Другие модификации: .a, .ap, .ci, .cr, .cu, .cv, .dr, .f, .fc, .gr, .gz, .hb, .hp, .hq, .hx, .ii, .ij, .ik, .io, .ip, .iq, .ir
Поведение
Trojan-Downloader, троянский загрузчик.
Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие файлы и запускает их на исполнение. Является сценарием языка Visual Basic Script. Имеет размер 3751 байт.
Деструктивная активность
После активации троянец производит расшифровку и, используя уязвимость в ActiveX-компоненте «XMLHTTP», загружает файл со следующего URL:
http://*****pp.sohu.com/images/2007/8/11/23/6/114ef509c8a.jpg
На момент создания описания по данной ссылке скачивался файл размером 20011 байт, детектирующийся Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.ahz .
Если первые два байта загружаемого файла соответствуют «MZ», троянская программа, используя уязвимость в ActiveX-компоненте «ADODB.Stream», сохраняет файл во временный каталог текущего пользователя Windows под именем «webpnt.exe»:
%Temp%/webpnt.exe
Затем скачанный файл запускается на исполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
%Temp%/webpnt.exe
- Очистить каталог «%Temporary Internet Files%».
- Отключить уязвимый ActiveX-объект.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
|
