A trojan program that uses the vulnerabilities in Oracle Java and Adobe Reader/Acrobat products to download and launch other malware. It is a HTML document containing Java Script. 88518 bytes.
Payload
The trojan uses Java Script to decipher its body and collect system information, in particular:
Type of OS:
Win
Mac
Linux
FreeBSD
iPhone
iPod
iPad
Win.*CE
Win.*Mobile
Pocket *PC
Installed browser:
MS Internet Explorer
Mozilla Firefox
Safari
Chrome
Opera
Plugins installed on the browser and ActiveX objects.
MIME types supported by the browser.
Versions of Java and AdobeReader installed.
The trojan then tries to exploit the vulnerabilities in Java, launching Java-applets located at the following links in the user's browser:
http://<domain_name_of the infected_server>/games/getJavaInfo.jar
http://<domain_name_of the infected_server>/games/mario.jar
The "mario.jar" applet is launched with the following parameters:
name='prm'
value='<encrypted_link>'
where the following class name is issued for the applet, as the main class:
tools.Commander.class
Furthermore, depending on the version installed in the Java system, the trojan tries to open the following web-resources in the hidden frames:
http://<domain_name_of the infected_server>/games/java_trust.php?f=32
http://<domain_name_of the infected_server>/games/java_skyline.php?f=32
To implement additional malicious scripts, the trojan activates the following ActiveX objects:
Using the vulnerability in the Java Deployment Toolkit (JDT), on account of the incorrect processing of the URL, the attacker is able to transfer arbitrary parameters in Java Web Start (JWS) (CVE-2010-0886). The attacker forms a special link and transfers this as a parameter of the vulnerable "launch()" function. This means that the trojan, disguised as a video file, launches the Java-applet:
\\216.***.203.202\pub\new.avi
downloading the file from the link transferred as a parameter:
http://winresyn***nization.info/d.php?f=32&e=2
To implement the malicious script in MS Internet Explorer, the trojan uses ActiveX objects with the following unique identifiers:
The trojan then determines the plugins and ActiveX objects Adobe Reader and Adobe Acrobat installed in the browser. To run the malicious scripts in MS Internet Explorer, the trojan uses an ActiveX object with the following unique identifier:
{CA8A9780-280D-11CF-A24D-444553540000}
For implementation in Mozilla and in other NPAPI browsers, the trojan determines the following MIME types:
Vulnerable versions of Adobe Reader include version 8.0.0 and earlier and all versions of Adobe Reader up to 9.3.1. Depending on the version of "PDF Reader" installed, it opens the malicious PDF document from one of the following links:
http://<domain_name_of the infected_server>/games/2fdp.php?f=32
http://<domain_name_of the infected_server>/games/1fdp.php?f=32
These links did not work when creating the description.
The trojan then checks for the Windows Media Player extension and, if it finds it, it tries to open the following web resource in the hidden frame:
http://<domain_name_of the infected_server>/games/pch.php?f=32
Removal instructions
If your computer has not been protected with anti-virus software and has been infected with malware, you will need to take the following actions to delete this:
Delete the original trojan file (its location on the infected computer will depend on how the program got onto the computer).
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Android.HiddenAdsВирусные новости
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости