Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие программы и запускает их на выполнение. Программа является HTML-страницей, содержащей сценарии языка Java Script.
Деструктивная активность
Используя один из ActiveX компонентов "Microsoft.XMLHTTP", "Msxml2.XMLHTTP" или "MSXML2.ServerXMLHTTP", троянец загружает файл со следующего URL:
http://pornov*****.ru/modules/books/load.php
На момент создания описания ссылка не работала.
Используя ActiveX компонент "ADODB.Stream", троянец сохраняет скачанный файл во временный каталог текущего пользователя Windows под именем "785.exe":
%Temp%/785.exe
После успешного сохранения файл запускается на выполение.
Также для загрузки файла троянец использует уязвимость в библиотеки Internet Explorer "Msdds.dll" (CLSID = EC444CB6-3E7E-4865-B1C3-0DE72EF39B3F), "Microsoft Access Snapshot Viewer" ActiveX компоненте (CLSID =F0E42D50-368C-11D0-AD81-00A0C90DC8D9), ActiveX компоненте плагина Macromedia Flash Player (CLSID = D27CDB6E-AE6D-11cf-96B8-444553540000), Adobe Reader и Acrobat в ActiveX компоненте"AcroPDF.PDF" (библиотеки AcroPDF.dll).
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Отключить уязвимый ActiveX объект.
- Удалить файл:
%Temp%/785.exe
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
