Technické detaily
Tento program používá zneužití chyby zabezpečení v systému Microsoft Windows Help and Support Center provést sám na počítači uživatele. To je HTML stránka obsahující Java Script. V závislosti na variantě, velikost souboru se pohybuje od 544 do 24 110 bajtů.
Užitečná
Škodlivý program využívá chybu zabezpečení, která vzniká v důsledku nesprávné manipulace sekvencí URL únikových ve funkci MPC Soukromé HexToNum v systému Microsoft Windows Nápověda a odborná pomoc aplikace v Helpctr.exe) (MS10-042, CVE-2010-1885). Po zneužití této chyby, může uživatel se zlými úmysly spouštět příkazy zasílané ze zvláštní protokol "hcp :/ /". Produkty společnosti Microsoft MS Internet Explorer 8 a Windows Media Player 9 jsou zranitelné. Malware používá ActiveX objekt "MSXML2.XMLHTTP" stáhnout soubor umístěný na následující adrese URL:
http://www.go *** guys.com / Zan / hcp.php? type = 3 & b = ff & o = xp
a uloží jej do aktuálního uživatele dočasného adresáře pod názvem:% TEMP% \ N.vbs
Soubor je 2919 bytů.
Pomocí příkazového řádku, exploit spustí stažený soubor a ukončí Microsoft Windows Nápověda a odborná pomoc a Windows Media Player procesy:
Helpctr.exe
wmplayer.exe
Odstranění návod
Pokud váš počítač není vybaven antivirovou ochranu a byl napaden tímto škodlivým programem, postupujte podle pokynů jej odstranit:
- Odstranění původní exploitu soubory jeho umístění bude záviset na tom, jak program původně pronikl infikovaný počítač).
- Vyprázdnit aktuálního uživatele dočasné složky:
% TEMP% \
Žádné komentáře:
Okomentovat