Программа-эксплоит, использующая уязвимости системы для выполнения загрузки и запуска другого вредоносного ПО. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 34172 байта.
Деструктивная активность
После открытия зараженной страницы в браузере, при помощи сценариев Java Script, вредонос расшифровывает и запускает свой код на выполнение.
Затем, использует уязвимость в Java Deployment Toolkit (JDT), которая возникает из-за некорректной обработки URL, что позволяет злоумышленнику передавать произвольные параметры в Java Web Start (JWS). Злоумышленник специальным образом формирует ссылку и передает ее в качестве параметра уязвимой функции "launch()". Таким образом, вредонос используя Java апплет, который располагается на сетевом ресурсе с именем:
\\85.***.190.10\public\photo1.jpg
загружает и запускает на выполнение вредоносный файл, который располагается по ссылке:
http://sd***sdas.co.cc/x/l.php?s=samba1&
Также используя уязвимость в Java Deployment Toolkit и в Java NPAPI (CVE-2010-1423) в модуле "javaws.exe", которая существует из-за некорректной обработке параметров "launchjnlp" и "docbase", эксплоит пытается при помощи Java апплета, который размещается по ссылке:
\\85.***.190.10\public\photo1.jpg
пытается загрузить и выполнить файл, который находится по следующему URL:
http://s***sdas.co.cc/x/l.php?s=samba2&
Для выполнения вредоносного сценария в MS Internet Explorer, эксплоит использует ActiveX объекты с уникальными идентификаторами:
а также используя уязвимости в ActiveX компонентах "MSXML2.XMLHTTP", "Microsoft.XMLHTTP" и "MSXML2.ServerXMLHTTP" (CVE-2006-0003), пытается загрузить файл, расположенный по следующей ссылке:
http://s***sdas.co.cc/x/l.php?s=m7NEW
и при помощи ActiveX объекта "ADODB.Stream" сохранить полученный файл под именем:
%Temp%\updates.exe
После этого загруженный файл запускается на выполнение.
После этого, вредонос, в скрытом фрейме выполняет сценарий, эксплуатирующий уязвимость в центре справки и поддержки MS Windows. Вредонос использует уязвимость, которая возникает при некорректной обработке функцией "MPC::HexToNum" escape-последовательностей в URL приложений Microsoft Windows Help и Support Center (helpctr.exe) (MS10-042, CVE-2010-1885). Успешное использование уязвимости позволяет злоумышленнику выполнить команды, которые передаются в специально сформированном "hcp://" URL. Уязвимыми являются продукты Microsoft – MS Internet Explorer 8 и Windows Media Player 9. Вредонос, при помощи специально сформированного запроса, создает Java-скрипт "exe.js", который запускает на выполнение.
После запуска Java-скрипта, вредонос, используя ActiveX объект "MSXML2.XMLHTTP", выполняет загрузку файла, который располагается по следующему URL:
http://s***sdas.co.cc/x/l.php?s=newhcp
и сохраняет его в каталоге хранения временных файлов текущего пользователя под именем:
%Temp%\exe.exe
Также, при помощи командной строки, эксплоит завершает процесс центра справки и поддержки Microsoft Windows:
helpctr.exe
и удаляет файл скрипта "exe.js". После успешной загрузки файл запускается на выполнение.
Далее вредонос определяет установленные в браузере плагины и ActiveX объекты Adobe Reader и Adobe Acrobat. Для выполнения вредоносного сценария в MS Internet Explorer, троянец использует ActiveX объект с уникальным идентификатором:
{CA8A9780-280D-11CF-A24D-444553540000}
Для выполнения в Mozilla Firefox и в других NPAPI браузерах, троянец определяет следующие MIME типы:
Уязвимые версии Adobe Reader – версия 8.0.0 и более ранние, а также все версии Adobe Reader до 9.3.1.
Также вредонос использует уязвимость, которая существует в Microsoft Internet Explorer из-за ошибки "использование после освобождения" (use-after-free) в компоненте "Peer Objects" в "iepeers.dll" при некорректной обработке метода PersistUserData::setAttribute() (CVE-2010-0806). В результате эксплоит пытается выполнить загрузку файла, который размещается по ссылке:
http://s***sdas.co.cc/x/l.php?s=ie6_PR
и сохранить его в каталоге хранения временных файлов браузера с именем:
%Temp%\e.exe
Затем загруженный файл запускается на выполнение. На момент создания описания ссылки не работали.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web