Trojan-Downloader.SWF.Agent.ec
15 сентября, 2011
Технические детали
Троянская программа, использующая для загрузки файлов на компьютер пользователя уязвимость в Macromedia Flash Player. Представляет собой файл флэш-анимации SWF (Shockwave Flash). Имеет размер 1667 байт.
Деструктивная активность
Запуск на выполнение вредоноса происходит после открытия пользователем в браузере специально сформированной злоумышленником HTML страницы. Используя ActiveX объект "Shockwave Flash Object", который имеет уникальный идентификатор:
{D27CDB6E-AE6D-11CF-96B8-444553540000}троянец проигрывает в браузере вредоносный файл флэш-анимации. При этом файлу флэш-анимации передаются с HTML страницы значения параметров "FlashVars". Данные значения представляют собой модифицированный шелл-код. Далее вредонос выполняет "распыление" (heap spray) шелл-кода по динамической памяти процесса. После успешной эксплуатации уязвимости в Adobe Flash Player – выполняется вредоносный шелл-код. В результате выполнения данного кода происходит загрузка файлов, которые размещаются по следующим URL:
http://2***cf.com:808/server.exe - на момент создания описания ссылка не работала. http://121.***.108.100:808/yfqn/qn.exe - имеет размер 32768 байт и детектируется антивирусом Касперского как Trojan-GameThief.Win32.OnLineGames.xwdb.Файлы сохраняются соответственно под следующими именами:
%Documents and Settings%\%Current User%a.exe C: .scrЗатем сохраненные файлы запускаются на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Documents and Settings%\%Current User%a.exe C: .scr
- Очистить каталог Temporary Internet Files, содержащий инфицированные файлы
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года
1 апреля 2024 года
1 апреля 2024 года