Другие модификации: .ah, .au, .cl, .cm, .cn, .df, .dh, .dl, .dp, .dr, .du, .et, .fc, .fd, .fd, .fe, .ff, .fi
Поведение
Trojan-Downloader, троянский загрузчик.
Технические детали
Троянская программа. Является HTML-страницей содержащей сценарий языка Visual Basic Script. Имеет размер 1111 байта.
Деструктивная активность
После активации троянец производит расшифровку и внедрение своего кода в память процесса, имеющего следующий уникальный идентификатор в системном реестре:
{d4fe6227-1288-11d0-9097-00aa004254a0}
Используя уязвимость в ActiveX компоненте "Windows Media Server" в методе SaveAs(), реализованном в динамической библиотеке mdsauth.dll, троянская программа перезаписывает следующий файл на зараженном компьютере, внедряя в него произвольный код, без выдачи запроса на подтверждение:
C:/boot.ini
Уязвимости подвержены следующие системы: Microsoft W2K SP4, XP SP 2, XP Pro x64, XP Pro x64 SP 2, Server 2003 SP 1, Server 2003 SP2, Server 2003 SP1 Itanium-based, Server 2003 SP2 Itanium-based, Server 2003 x64 SP 1, Server 2003 x64 SP 2, Vista, Vista x64.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Отключить уязвимый ActiveX объект (Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer).
- Восстановить оригинальный файл "C:/boot.ini".
- Загрузить обновление для системы безопасности обозревателя Internet Explorer.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
|
