Технические детали
Программа-шутка, требующая отправки SMS-сообщения на один из премиум номеров. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 14935 байт.
Деструктивная активность
Ресурс представляет собой фишинг страницу мошеннического сервиса "ПорноВконтакте".
После открытия в браузере данного ресурса, пользователю предлагается получить доступ к заблокированному ресурсу, отправив SMS-сообщение на премиум номер:
На фоне окна троянец воспроизводит следующий видео файл с порнографическим содержимым:
http://ws***.com/static/upload/3050_05_120sec_00.flv&autostart=true
Если скрипт выполняется в браузере MS Internet Explorer под ОС Windows XP SP2 – использует объект Windows Media Player с уникальным идентификатором:
{6BF52A52-394A-11D3-B153-00C04F79FAA6}
для проигрывания видеоконтента данного ресурса. При закрытии или обновлении текущей HTML страницы – выводит на экран следующее сообщение:
После нажатия на кнопку "ОК" или при выборе любого активного элемента страницы, происходит перенаправление на ресурс:
http://ws***.com/join/
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл программы (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
