Технические детали
Троянская программа, использующая для загрузки файлов на компьютер пользователя уязвимость в Macromedia Flash Player. Представляет собой файл флэш-анимации SWF (Shockwave Flash). Имеет размер 1667 байт.
Деструктивная активность
Запуск на выполнение вредоноса происходит после открытия пользователем в браузере специально сформированной злоумышленником HTML страницы. Используя ActiveX объект "Shockwave Flash Object", который имеет уникальный идентификатор:
{D27CDB6E-AE6D-11CF-96B8-444553540000}
троянец проигрывает в браузере вредоносный файл флэш-анимации. При этом файлу флэш-анимации передаются с HTML страницы значения параметров "FlashVars". Данные значения представляют собой модифицированный шелл-код. Далее вредонос выполняет "распыление" (heap spray) шелл-кода по динамической памяти процесса. После успешной эксплуатации уязвимости в Adobe Flash Player – выполняется вредоносный шелл-код. В результате выполнения данного кода происходит загрузка файлов, которые размещаются по следующим URL:
http://2***cf.com:808/server.exe
на момент создания описания ссылка не работала.
http://121.***.108.100:808/yfqn/qn.exe
имеет размер 32768 байт и детектируется антивирусом Касперского как Trojan-GameThief.Win32.OnLineGames.xwdb.
Файлы сохраняются соответственно под следующими именами:
%Documents and Settings%/%Current User%/a.exe
C:/n.scr
Затем сохраненные файлы запускаются на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Documents and Settings%/%Current User%/a.exe
C:/n.scr
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
