Технические детали
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в центре справки и поддержки Microsoft Windows. Представляет собой HTML документ, который содержит в себе сценарии языка Java Script. В зависимости от модификации размер файла варьируется от 544 байт до 24110 байт.
Деструктивная активность
Вредонос использует уязвимость, которая возникает при некорректной обработке функцией MPC:
:HexToNum escape-последовательностей в URL приложений Microsoft Windows Help и Support Center (helpctr.exe) (MS10-042, CVE-2010-1885). Успешное использование уязвимости позволяет злоумышленнику выполнить команды, которые передаются в специально сформированном "hcp://" URL. Уязвимыми являются продукты Microsoft – MS Internet Explorer 8 и Windows Media Player 9. Вредронос, используя ActiveX объект "MSXML2.XMLHTTP" выполняет загрузку файла, который располагается по следующему URL:
http://www.go***guys.com/zan/hcp.php?type=3&b=ff&o=xp
и сохраняет его в каталоге хранения временных файлов текущего пользователя под именем:
%Temp%/N.vbs
Файл имеет размер 2919 байт.
Используя командную строку, эксплоит запускает на выполнение загруженный файл, а также завершает процесс центра справки и поддержки Microsoft Windows и процесс Windows Media Player:
helpctr.exe
wmplayer.exe
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог хранения временных файлов текущего пользователя:
%Temp%
- Установить обновления:
http://www.microsoft.com/technet/security/Bulletin/MS10-042.mspx
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|