Технические детали
Троянская программа, выполняющая мошеннические действия. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 8068 байт.
Деструктивная активность
Для своего корректного выполнения, троянец импортирует дополнительные Java скрипты, которые размещаются в файлах с именами "vaq1k90d2j.fff" и "wzx2j98d2j.fff". Данные файлы размещаются в корневом каталоге на сервере злоумышленника. Далее троянец прорисовывает в браузере окно "Проводника" и затем имитирует полное сканирование компьютера на наличие вредоносных файлов:
Троянец импортирует список строк, которые представляют собой полные пути к системным файлам и произвольные детекты вредоносных объектов, из стороннего файла-скрипта, который размещается на сервере злоумышленника.
Далее лжеантивирус предлагает пользователю выполнить лечение зараженных объектов:
После нажатия на кнопки "Лечить все", "Включить защиту" – вредонос предлагает пользователю осуществить оплату услуги путем отправки смс на платный номер "1350" с текстом 0217rnd, где rnd – два случайных целых числа.
Если введенный код – меньше 6 символов, троянец выдает сообщение:
Если введенный код удовлетворяет всем условиям – вредонос осуществляет HTTP запрос по следующей ссылке:
http://X/enter.php?code=введенный_код&checkcode=1&rand=rnd2
где X – доменное имя сервера злоумышленника, rnd2 – случайное число.
На момент создания описания ссылка не работала.
При закрытии окна браузера, троянец выводит сообщение:
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
