Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Представляет собой сценарий языка Java Script (JS), который располагается в HTML документе. Имеет размер 73010 байт.
Деструктивная активность
После запуска троянец пытается запустить в браузере пользователя вредоносный Java-апплет, который располагается по ссылке:
http://доменное_имя_зараженного_сервера/games/plugins.jar
На момент создания описания ссылка не работала.
Для данного апплета, в качестве главного класса, задается класс с именем:
powerColor.p3.class
В качестве аргумента апплету передается параметр с именем "blift" и со значением:
rOOSqtt_MfEkMEkkt_ESrSIWAf&U-An
Данный параметр является зашифрованной ссылкой, по которой вредоносный апплет производит загрузку вредоносного ПО.
Затем троянец, при помощи сценариев Java Script, выполняет расшифровку своего вредоносного кода.
Используя уязвимость в Java Deployment Toolkit (JDT), которая возникает из-за некорректной обработки URL, что позволяет злоумышленнику передавать произвольные параметры в Java Web Start (JWS) (CVE-2010-0886).
Злоумышленник специальным образом формирует ссылку и передает ее в качестве параметра уязвимой функции "launch()". Таким образом, троянец, под видом файла который располагается на сетевом ресурсе:
//46.***.129.152/smb/news.avi
загружает и запускает на выполнение вредоносный файл, который располагается по ссылке:
http://dz***z.cc/d.php?f=21&e=1
Для выполнения вредоносного сценария в MS Internet Explorer, троянец использует ActiveX объекты с уникальными идентификаторами:
{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}
{8AD9C840-044E-11D1-B3E9-00805F499D93}
{CA8A9780-280D-11CF-A24D-444553540000}
Для выполнения в Mozilla Firefox и в других NPAPI браузерах, троянец определяет следующие MIME типы:
application/npruntime-scriptable-plugin;deploymenttoolkit
application/java-deployment-toolkit
application/vnd.adobe.pdfxml
application/vnd.adobe.x-mars
Затем троянец проверяет наличие в браузере плагина с именем "Media Player" и если такой присутствует – пытается открыть в скрытом фрейме эксплоит, который будет использовать уязвимость в Microsoft Windows Help и Support Center (helpctr.exe) (MS10-042, CVE-2010-1885).
Открытие ресурса производиться по следующей ссылке:
http://dz***z.cc/games/hcp_asx.php?f=21
На момент создания описания ссылка не работала.
Далее вредонос определяет установленные в браузере плагины и ActiveX объекты Adobe Reader и Adobe Acrobat. После чего, в зависимости от версии установленного "PDF Reader" – открывает вредоносные PDF документы по одной из ссылок:
http://доменное_имя_зараженного_сервера/games/pdf.php?f=21
http://доменное_имя_зараженного_сервера/games/pdf2.php?f=21
Уязвимые версии Adobe Reader – версия 8.0.0 и более ранние, а также все версии Adobe Reader до 9.3.1.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files.
- Обновить Sun Java JRE и JDK до последних версий.
- Установить последнюю версию Adobe Reader и Adobe Acrobat.
- Очистить каталог хранения временных файлов текущего пользователя:
%Temp%
- Отключить уязвимые ActiveX объекты (Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|