Trojan-Downloader.SWF.Agent.ec

15 сентября, 2011

Технические детали

Троянская программа, использующая для загрузки файлов на компьютер пользователя уязвимость в Macromedia Flash Player. Представляет собой файл флэш-анимации SWF (Shockwave Flash). Имеет размер 1667 байт.

Деструктивная активность

Запуск на выполнение вредоноса происходит после открытия пользователем в браузере специально сформированной злоумышленником HTML страницы. Используя ActiveX объект "Shockwave Flash Object", который имеет уникальный идентификатор:

{D27CDB6E-AE6D-11CF-96B8-444553540000}

троянец проигрывает в браузере вредоносный файл флэш-анимации. При этом файлу флэш-анимации передаются с HTML страницы значения параметров "FlashVars". Данные значения представляют собой модифицированный шелл-код. Далее вредонос выполняет "распыление" (heap spray) шелл-кода по динамической памяти процесса. После успешной эксплуатации уязвимости в Adobe Flash Player – выполняется вредоносный шелл-код. В результате выполнения данного кода происходит загрузка файлов, которые размещаются по следующим URL:

http://2***cf.com:808/server.exe -   на момент создания описания ссылка не работала.  http://121.***.108.100:808/yfqn/qn.exe -   имеет размер 32768 байт и детектируется антивирусом Касперского   как Trojan-GameThief.Win32.OnLineGames.xwdb.  

Файлы сохраняются соответственно под следующими именами:

%Documents and Settings%\%Current User%a.exe  C:
.scr

Затем сохраненные файлы запускаются на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

   %Documents and Settings%\%Current User%a.exe  C:
   .scr

3. Очистить каталог Temporary Internet Files, содержащий инфицированные файлы

НОВОЕ НА САЙТЕ

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web

1 апреля 2024 года

Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Android.HiddenAdsВирусные новости

1 апреля 2024 года

Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости