Технические детали
Троянская программа, выполняющая мошеннические действия. Представляет собой HTML страницей, содержащий сценарии языка Java Script. Имеет размер 77919 байт.
Деструктивная активность
Злоумышленник регистрирует множество доменов и размещает на них данный троянец.
Для своего корректного выполнения, троянец импортирует дополнительные файлы, которые размещаются в корневом каталоге на сервере злоумышленника.
После открытия мошеннического сайта пользователь увидит следующее сообщение:
После этого троянец отображает в браузере пользователя окно, аналогичное окну "проводника Windows", затем выполняет имитацию сканирования каталогов и файлов. Имена найденных вредоносных файлов выбирает случайным образом из списка:
Adware.Win32.Winad
Adware.Win32.Look2me.ab
AdvWare.Hotbar
Backdoor.Win32.Haxdoor.gu
Trojan-Downloader.Win32.Small.dge
Trojan-PSW.Win32.LdPinch.abm
Trojan.Qoologic - Key Logger
Trojan Horse IRC/Backdoor.SdBot4.FRV
SHeur.ZSQ
W32.Benjamin.Worm
W95/Elkern F-Secure
W32.Mypics.Worm.36352
W32.Nimda.J@mm
W32.Yaha.B@mm
Trojan Horse Generic11.OQJ
Trojan Horse IRC/Backdoor.SdBot4.FRV
Magic DVD Ripper
Trojan virtumonde
Win32/Hoax.Renos.HX
Trojan-Downloader.Win32.Small.fxf
Trojan-Downloader.Win32.Tibs.tc
Trojan.Fakealert.355
В окне также указаны версии браузера и операционной системы пользователя:
Для выполнения лечения якобы найденных вредоносных файлов троянец предлагает загрузить программу:
http://имя домена/down.php?c=917
Как правило, загружаемый файл является другой вредоносной программой, имитирующей функционал антивирусов.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Покинуть мошеннический сайт.
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|