Поведение
Exploit, реализация уязвимости.
Технические детали
Вредоносная программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в браузере Internet Explorer (CVE-2006-3227). Является html-страницей (html-файл). Имеет размер 3616 байт. Ничем не упакована.
Деструктивная активность
Вредоносная программа использует уязвимость, позволяющую злоумышленнику удаленно изменять визуальное представление страниц в Internet Explorer и обходить контентную фильтрацию благодаря неправильной интерпретации 8-битовых ASCII-символов.
Скрытый таким образом скрипт загружает другой скрипт по следующей ссылке:
http://count*****.com/click.aspx?id=234594407&logo=11
Также скрипт загружает файл, используя уязвимость в MDAC (Microsoft Data Access Component) при использовании объекта «ADODB.Stream» (MS06-014):
http://www.dvd*****.com/css/hy.exe
И сохраняет его во временный каталог Windows («%Temp%») под именем «svchost.exe». Скачанный файл запускается на исполнение.
(На момент создания описания ссылка не работала.)
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить загруженный файл:
%Temp%/svchost.exe
- Установить обновления для Internet Explorer.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
|