Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Представляет собой HTML документ, содержащий сценарии Java Script. Имеет размер 16506 байт.

Деструктивная активность

После открытия зараженной страницы, троянец, при помощи сценариев Java Script, выполняет расшифровку своего обфусцированного кода и затем запускает вредоносный сценарий на выполнение. Если вредонос был запущен в браузере MS Internet Explorer – используя ActiveX объект "Microsoft.XMLHTTP", пытается выполнить загрузку файла со следующего URL:

http://neiro***09.com/check/vers155.php

%WinDir%\Fonts\iedr.exe

Также троянец, используя уязвимость в MDAC (Microsoft Data Access Components) в ActiveX объекте "RDS.DataSpace" (MS06-014), при этом также используя ActiveX объект "Microsoft.XMLHTTP", пытается выполнить загрузку файла со следующего URL:

http://neiro***09.com/check/vers155.php?q=2

При помощи ActiveX объекта "ADODB.Stream", сохраняет файл с именем:

%Temp%\ieur2.exe

После успешной загрузки файлы запускаются на выполнение. На момент создания описания ссылки не работали. После этого вредонос отображает в браузере следующие строки:

please check url
Error: fzf

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

   %WinDir%\Fonts\iedr.exe
   %Temp%\ieur2.exe
   

3. Отключить уязвимые ActiveX объекты (Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer).
4. Установить обновления:

   http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

MD5: b3c642e6858ee72f6a21530a5d3566ab

SHA1: a5f905a7e0fe8f50916a888bd1b526e2125b51a2

23 апреля 2024 года

Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.

В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web

Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]

The post 25-26.05.24г. 10.00-15.00. III Всероссийский форум «БИЗН... Новости Безопастности

17 апреля 2024 года