Технические детали

Троянская программа, использующая уязвимости в продуктах Oracle Java и Adobe Reader/Acrobat для выполнения загрузки и запуска другого вредоносного ПО. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 88200 байт.

Деструктивная активность

Троянец, используя сценарии Java Script, выполняет расшифровку своего тела и собирает системную информацию, а именно:

• Тип ОС:

  Win
  Mac
  Linux
  FreeBSD
  iPhone
  iPod
  iPad
  Win.*CE
  Win.*Mobile
  Pocket *PC
  

• Установленный браузер:

  MS Internet Explorer
  Mozilla Firefox
  Safari
  Chrome
  Opera
  

• Установленные в браузер плагины, а также ActiveX объекты.
• Поддерживаемые браузером MIME типы.
• Версии установленных Java и AdobeReader.

  Далее вредонос пытается эксплуатировать уязвимости, которые существуют в Java, запуская в браузере пользователя Java-апплеты, которые располагаются по ссылкам:

  http://<доменное_имя_зараженного_сервера>/games/getJavaInfo.jar
  http://<доменное_имя_зараженного_сервера>/games/worms.jar
  

  Апплет "worms.jar" запускается со следующими параметрами:

  name='prm'
  value='<зашифрованная_ссылка>'
  где для апплета, в качестве главного класса, задается класс с именем:
  
  tools.Commander.class
  Также, в зависимости от версии, установленной в системе Java, троянец пытается открыть в скрытых фреймах следующие вэб-ресурсы:
  http://<доменное_имя_зараженного_сервера>/games/java_trust.php?f=16
  http://<доменное_имя_зараженного_сервера>/games/java_skyline.php?f=16
  
  Для выполнения дополнительных вредоносных сценариев, вредонос активирует следующие ActiveX объекты:
  Msxml2.XMLHTTP
  Msxml2.DOMDocument
  Microsoft.XMLDOM
  ShockwaveFlash.ShockwaveFlash
  TDCCtl.TDCCtl
  Shell.UIHelper
  Scripting.Dictionary
  wmplayer.ocx
  
  Затем вредонос, используя ActiveX объект "MSXML2.XMLHTTP", выполняет загрузку файла, который располагается по следующему URL:
  http://qeu***sdfg.cz.cc/k.php?f=16&e=4
  используя ActiveX объект "Adodb.Stream" сохраняет файл под именем:
  %Temporary Internet Files%\adobeupdate.exe
  и запускает его на выполнение.
  
  На момент создания описания ссылка не работала.
  Для выполнения Java приложений в браузере вредонос определяет следующие MIME типы:
  application/x-java-applet
  application/x-java-vm
  application/x-java-bean
  application/x-java-applet
  application/npruntime-scriptable-plugin;deploymenttoolkit
  application/java-deployment-toolkit
  
  Используя уязвимость в Java Deployment Toolkit (JDT), которая возникает из-за некорректной обработки URL, что позволяет злоумышленнику передавать произвольные параметры в Java Web Start (JWS) (CVE-2010-0886). Злоумышленник специальным образом формирует ссылку и передает ее в качестве параметра уязвимой функции "launch()". Таким образом, троянец, под видом видеофайла, запускает Java-апплет:
  \\89.***.149.214\pub\new.avi
  выполняющий загрузку, по передаваемой в виде параметра ссылке, файла:
  http://qeu***sdfg.cz.cc/k.php?f=16&e=2
  
  Для выполнения вредоносного сценария в MS Internet Explorer, троянец использует ActiveX объекты с уникальными идентификаторами:
  {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}
  {8AD9C840-044E-11D1-B3E9-00805F499D93}
  
  Далее вредонос определяет установленные в браузере плагины и ActiveX объекты Adobe Reader и Adobe Acrobat. Для выполнения вредоносного сценария в MS Internet Explorer, троянец использует ActiveX объект с уникальным идентификатором:
  {CA8A9780-280D-11CF-A24D-444553540000}
  Для выполнения в Mozilla Firefox и в других NPAPI браузерах, троянец определяет следующие MIME типы:
  application/vnd.adobe.pdfxml
  application/vnd.adobe.x-mars
  
  Уязвимые версии Adobe Reader – версия 8.0.0 и более ранние, а также все версии Adobe Reader до 9.3.1. В зависимости от версии установленного "PDF Reader" – открывает вредоносные PDF документы по одной из ссылок:
  http://<доменное_имя_зараженного_сервера>/games/2fdp.php?f=16
  http://<доменное_имя_зараженного_сервера>/games/1fdp.php?f=16
  
  На момент создания описания ссылки не работали.
  Затем вредонос проверяет наличие расширения Windows Media Player и если обнаруживает его, то пытается открыть в скрытом фрейме следующий вэб-ресурс:
  http://<доменное_имя_зараженного_сервера>/games/pch.php?f=16
  
  
  
  Рекомендации по удалению
  	
  Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
  
  Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?): 
  %Temporary Internet Files%
  Очистить каталог хранения временных файлов:
  %Temp%\
  Обновить JRE и JDK до последних версий.
  Установить последнюю версию Adobe Reader и Adobe Acrobat.
  Отключить уязвимые ActiveX объекты (Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer).
  Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
  
  
  
  
  MD5: E5F37EE7AFC96AFB837712ABCD5EFF08
  SHA1: 75ADEB0165C0E6A8C251755E79E275B045B13834
  
  
   
   
  
   
  
    НОВОЕ НА САЙТЕ 
  
  
  
  17 апреля 2024 года
  
  
  В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости 
  11 апреля 2024 года
  Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
  Обновление ориентировано н... Антивирус Dr.Web 
  4 апреля 2024 года
  Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web 
  
  
  
  1 апреля 2024 года
  
  
  
  Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Android.HiddenAdsВирусные новости 
  
  
  1 апреля 2024 года
  
  
  Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости