středa 9. května 2012

Trojan-Downloader.JS.Agent.ftu


Technické detaily

Tento program je nebezpečný náklad. To je HTML dokument, který obsahuje Java Script. To je 43 256 bytů.

Užitečná

Jakmile trh, Trojan používá další JS skripty, aby se svlékli obfuscations ze svého hlavního škodlivého kódu. Trojan pak určuje verzi operačního systému, aktuální prohlížeč a pluginy nainstalovány v prohlížeči. Využívá chybu zabezpečení v systému Java Deployment Toolkit (JDT), které vzniklo v důsledku nesprávného zpracování URL. To umožňuje uživateli se zlými úmysly posílat náhodné parametry Java Web Start odst. JWS) (CVE-2010-0886). Uživatel se zlými úmysly vytváří speciálně vytvořený odkaz a odešle ji jako parametr zranitelné "odpalovací ()" funkce. Tímto způsobem Trojan stáhne a spustí škodlivý soubor pro spuštění z následujícího odkazu:
\ \ 76. *** 0.98 \ hospoda \ new.avi
To také pošle odkaz pro stažení:
http://shr *** sht.co.cc / d.php? f = 95 & e = 1
Trojan používá ActiveX objekty s unikátními identifikátory spustit svůj škodlivý skript v MS Internet Explorer:
{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}
{8AD9C840-044E-11D1-B3E9-00805F499D93}
{CA8A9780-280d-11CF-A24D-444553540000}
Chcete-li spustit svůj skript v prohlížeči Mozilla Firefox a další prohlížeče NPAPI, Trojan určuje následující MIME typy:
application / NPRuntime-skriptovatelný-plugin, deploymenttoolkit
application / java-nasazení-toolkit
application / vnd.adobe.pdfxml
application / vnd.adobe.x-Mars
Malware pak určuje nainstalované pluginy v prohlížeči a Adobe Reader a Adobe Acrobat ActiveX objekty.Pak, v závislosti na verzi PDF Reader, ve skrytém rámu stáhne ve formátu PDF exploit z jedné z následujících odkazů:
http:// <domain_name_of_infected_server> / hry / pdf.php? f = 95
http:// <domain_name_of_infected_server> / games/pdf2.php? f = 95
V době psaní tohoto textu, tyto odkazy jsou neaktivní.

Odstranění návod

Pokud váš počítač není vybaven antivirovou ochranu a byl napaden tímto škodlivým programem, postupujte podle pokynů jej odstranit:
  1. Odstranění původní Trojan soubory jeho umístění bude záviset na tom, jak program původně pronikl infikovaný počítač).
  2. Vyprázdněte Temporary Internet Files, který obsahuje infikované soubory (viz Jak odstranit infikované soubory ze složky Temporary Internet Files? ):
    % Temporary Internet Files%
  3. Aktualizace Sun Java JRE a JDK na nejnovější verze.
  4. Vyprázdnit aktuálního uživatele dočasných souborů adresář:
    % TEMP% \

Žádné komentáře:

Okomentovat