Технические детали

Вредоносная программа, выполняющая деструктивные действия на компьютере пользователя. Представляет собой HTML документ, который содержит сценарии языка Java Script. Имеет размер 43256 байт.

Деструктивная активность

После запуска троянец использует дополнительные сценарии JS для снятия обфускации со своего основного вредоносного кода. Затем троянец определяет версию ОС, текущий браузер, а также наличие установленных в браузер плагинов. Используя уязвимость в Java Deployment Toolkit (JDT), которая возникает из-за некорректной обработки URL, что позволяет злоумышленнику передавать произвольные параметры в Java Web Start (JWS) (CVE-2010-0886).

Злоумышленник специальным образом формирует ссылку и передает ее в качестве параметра уязвимой функции "launch()". Таким образом, троянец загружает и запускает на выполнение вредоносный файл, который располагается по ссылке:

//76.***.98/pub/new.avi

Также передает ссылку для загрузки:

http://shr***sht.co.cc/d.php?f=95&e=1

Для выполнения вредоносного сценария в MS Internet Explorer, троянец использует ActiveX объекты с уникальными идентификаторами:

{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}
{8AD9C840-044E-11D1-B3E9-00805F499D93}
{CA8A9780-280D-11CF-A24D-444553540000}

Для выполнения в Mozilla Firefox и в других NPAPI браузерах, троянец определяет следующие MIME типы:

application/npruntime-scriptable-plugin;deploymenttoolkit
application/java-deployment-toolkit
application/vnd.adobe.pdfxml
application/vnd.adobe.x-mars

Далее вредонос определяет установленные в браузере плагины и ActiveX объекты Adobe Reader и Adobe Acrobat. После чего, в зависимости от версии установленного "PDF Reader" – в скрытом фрейме загружает PDF эксплоит по одной из ссылок:

http://доменное_имя_зараженного_сервера/games/pdf.php?f=95
http://доменное_имя_зараженного_сервера/games/pdf2.php?f=95

На момент создания описания ссылки не работали.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Очистить каталог Temporary Internet Files.
3. Обновить Sun Java JRE и JDK до последних версий.
4. Очистить каталог хранения временных файлов текущего пользователя: %Temp %
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: securelist.com.

перейти в архив