Технические детали
Троянская программа, которая использует уязвимость в MS Internet Explorer для установки и запуска другого вредоносного ПО. Является HTML документом, который содержит в себе сценарии языка Java Script. Имеет размер 53324 байта.
[MD5: 71ab77bf1a9a49ecdbedaef86610491e]
[SHA1: 5b39f935d5c7874bd381fae88bda4018ab33520a]
Деструктивная активность
После открытия зараженной страницы, троянец, при помощи сценариев Java Script, выполняет расшифровку и запуск на выполнение своего вредоносного кода. Затем вредонос использует уязвимость, которая существует в Microsoft Internet Explorer из-за ошибки "использование после освобождения" (use-after-free) в компоненте "Peer Objects" в "iepeers.dll" при некорректной обработке метода PersistUserData::setAttribute() (CVE-2010-0806). В результате эксплоит выполняет загрузку файла, который размещается по ссылке:
http://co***k136.com:123/images/js/js.js
и сохраняет его под именем:
%Documents and Settings%/%Current User%/Application Data/f.exe
Затем сохраненный файл запускается на выполнение. На момент создания описания ссылка не работала.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
%Documents and Settings%/%Current User%/Application Data/f.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
