Технические детали
Троянская программа, предназначенная для загрузки других вредоносных программ. Программа является html страницей, содержащей сценарии языка Java Script. Имеет размер 44473 байта.
Деструктивная активность
Злоумышленник регистрирует множество доменов, ниже приведен список некоторых из них:
http://ap***ip.ru
http://ap***ik.ru
http://ap***no.ru
http://ap***mov.ru
http://ap***deo.ru
http://ap***peg.ru
http://ap****avi.ru
На зарегистрированных доменах размещает вредоносную страницу, стилизованную под сервис для просмотра порнографических видеороликов, о чем свидетельствуют подписи с количеством просмотров и отображение картинок на фоне плеера стандартного вида:
При попытке просмотра видео троянец отображает окно с предложением загрузить обновление для Adobe Flash Player, якобы необходимого для просмотра:
Перейдя по ссылке, можно ознакомиться с "условиями", в которых описана работа загружаемой троянцем программы. В числе прочего, там написано, что для удаления загружаемой программы необходимо отправить 2 платных SMS:
Если выбрать "Отмена", тогда троянец отображает другое окно, закрытие или выбор отмены в котором приводит к повторному его появлению:
При нажатии "ОК" или "Загрузить обновление" загружает файл с именем "fusion_player.msi", находящийся на том же домене, что и вредоносная страница:
http://имя домена/fusion_player.msi
На момент создания описания троянец загружал файл, который имеет размер 707584 байта и детектируется антивирусом Касперского как Trojan.Win32.Qhost.oyk.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Покинуть сайт злоумышленника.
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|