Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие программы и запускает их на выполнение. Программа является HTML-страницей, содержащей сценарии языка Java Script. Размер зараженных файлов варьируется в пределах от 5 до 20 КБ.
Деструктивная активность
Используя один из ActiveX компонентов "Microsoft.XMLHTTP", "Msxml2.XMLHTTP" или "MSXML2.ServerXMLHTTP" троянец загружает файл со следующего URL:
http://porno*****r.ru/Q/load.php
На момент создания описания ссылка не работала.
Используя ActiveX компонент "ADODB.Stream", троянец сохраняет скачанный файл во временный каталог текущего пользователя Windows под именем "785.exe":
%Temp%/785.exe
Также троянец использует уязвимость существующую из-за ошибки проверки границ данных при обработке потокового видео в ActiveX компоненте "BDATuner.MPEG2TuneRequest.1" (msVidCtl.dll) в Microsoft DirectShow производит загрузку файла по вышеуказанному URL.
Загруженный файл сохраняется в системный каталог Windows под именем "y.exe":
%System%/y.exe
После успешного сохранения файл запускается на выполнение.
Также для загрузки файла троянец использует уязвимость в библиотеки Internet Explorer "Msdds.dll" (CLSID = EC444CB6-3E7E-4865-B1C3-0DE72EF39B3F).
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Отключить уязвимый ActiveX объект.
- Удалить файлы:
%Temp%/785.exe
%System%/y.exe
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
