Технические детали
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в MS Internet Explorer. Представляет собой специально сформированный HTML документ, который содержит в себе сценарии языка Java Script и файл-сценарий "what.jpg", который хранит в себе обфусцированные переменные. Файлы имеют соответственно размеры 2223 и 3646 байт.
Деструктивная активность
Для своего выполнения вредонос открывает файл-библиотеку "what.jpg" и затем импортирует переменные из этого файла для последующей расшифровки и формирования шелкода. Эксплоит использует уязвимость, которая существует в Internet Explorer и возникает при некорректном обращении к объекту в памяти " HTML Object Memory Corruption Vulnerability" (CVE-2010-0249, MS10-002). Вредонос пытается выполнить загрузку файла, который размещается по ссылке:
http://teepsnp.3322.org:8277/log.css
и сохранить с именем:
%Documents and Settings%/%Current User%/Application Data/f.exe
На момент создания описания ссылка не работала. В завершении вредонос закрывает окно браузера.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
%Documents and Settings%/%Current User%/Application Data/f.exe
- Очистить каталог Temporary Internet Files.
- Установить обновления:
http://www.microsoft.com/technet/security/Bulletin/MS10-002.mspx
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
