Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является HTML-страницей, содержащей сценарии языка JavaScript. Вредоносный сценарий имеет размер 3415 байт.
Деструктивная активность
После запуска вредонос, используя сценарии Java Script, выполняет дешифровку своего кода, а также получает информацию о параметрах браузера и установленной в системе Java. Далее троянец в скрытых фреймах открывает веб-ресурсы, который располагаются по следующим URL:
http://co***ments-plastered-renews.co.cc
http://se***n.com/65/tt/rcounter.php?ref=адрес_текущей_страницы_на _сервере
Также вредонос формирует ссылку, в которой, в качестве параметров, передает полученную системную информацию и обращается по ней:
http://clit4.se***cker.com/clit?CID=385043&jv=версия_Java_Script&av=номер_версии_ браузера&an=название_браузера&ss=разрешение_экрана&cd=качество_цветопередачи&r=адрес_текущей_страницы_на _сервере
В результате открытий данных ссылок в браузере, происходят перенаправления на такие веб-ресурсы:
http://co***ments-plastered-renews.co.cc/criziuevcpfrflh.asx
http://co***ments-plastered-renews.co.cc/kmxqildtbnangvd.php - имеет размер 3437 байт и детектируется антивирусом Касперского
как Trojan-Downloader.JS.Agent.fqy
http://co***ments-plastered-renews.co.cc/bohqbrytxofnh.jar - имеет размер 3605 байт и детектируется антивирусом Касперского
как Trojan-Downloader.Java.OpenConnection.ay
После снятия первоначальной обфускации с веб-документа "kmxqildtbnangvd.php" получается эксплоит, который детектируется антивирусом Касперского как Exploit.HTML.CVE-2010-1885.a. Эксплоит, использует уязвимость, которая возникает при некорректной обработке функцией MPC::HexToNum escape-последовательностей в URL приложений Microsoft Windows Help и Support Center (helpctr.exe) (MS10-042, CVE-2010-1885) . Успешное использование уязвимости позволяет злоумышленнику выполнить команды, которые передаются в специально сформированном "hcp://" URL. Вредонос, используя ActiveX объект "MSXML2.XMLHTTP" выполняет загрузку файла, который располагается по следующему URL:
http://69.***.78/iwjvbqjwxvcoyokm5.vbs
и сохраняет его в каталоге хранения временных файлов текущего пользователя под именем:
%Temp%/l.vbs
Файл имеет размер 987 байт и детектируется антивирусом Касперского как Trojan-Downloader.VBS.Small.jz.
Используя командную строку, эксплоит запускает на выполнение загруженный файл, а также завершает процесс центра справки и поддержки Microsoft Windows:
helpctr.exe
При помощи скрипт-файла "l.vbs" вредонос выполняет загрузку файла, который находится по ссылке:
http://69.***.78/foj.php?i=3
На момент создания описания ссылка не работала.
Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя с именем:
%Temp%/exe.exe
Затем загруженный файл запускается на выполнение. После этого вредонос завершает процессы:
wmplayer.exe
realplay.exe
и удаляет файлы:
%Temp%/l.vbs
%Temp%/exe.exe
При помощи загружаемого Java-апплета, который хранится в архиве "bohqbrytxofnh.jar", троянец пытается, эксплуатируя уязвимость в Java Runtime Environment (CVE-2010-0840), выполнить загрузку вредоносного ПО с сервера злоумышленника.
Если выполнение Java Script отключено в браузере – троянец отправляет HTTP запрос по ссылке:
http://clit4.sex***er.com/clit?CID=380835&jv=00
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
