Trojan.HTML.IFrame.dl


Описание
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является HTML-страницей, содержащей сценарии языка JavaScript. Размер вредоносного сценария - 3415 байт.


Деструктивная активность
После запуска, троянская программа, используя сценарии Java Script, выполняет дешифровку своего кода, и получает информацию о параметрах браузера и установленной в системе Java. В скрытых фреймах троян открывает веб-ресурсы, которые располагаются по следующим URL:

  • http://co***ments-plastered-renews.co.cc
  • http://se***n.com/65/tt/rcounter.php?ref=адрес_текущей_страницы_на _сервере

Также троян формирует ссылку, в которой, в качестве параметров, передает полученную системную информацию и обращается по ней:

  • http://clit4.se***cker.com/clit?CID=385043&jv=версия_Java_Script&av=номер_версии_ браузера&an=название_браузера&ss=разрешение_экрана&cd=качество_цветопередачи&r=адрес_текущей_страницы_на _сервере

В результате открытий данных ссылок в браузере, происходят перенаправления на такие веб-ресурсы:

  • http://co***ments-plastered-renews.co.cc/criziuevcpfrflh.asx
  • http://co***ments-plastered-renews.co.cc/kmxqildtbnangvd.php
  • http://co***ments-plastered-renews.co.cc/bohqbrytxofnh.jar

После снятия первоначальной обфускации с веб-документа "kmxqildtbnangvd.php" получается эксплоит, использующий уязвимость, которая возникает при некорректной обработке функцией MPC::HexToNum escape-последовательностей в URL приложений Microsoft Windows Help и Support Center (helpctr.exe) (MS10-042, CVE-2010-1885). Успешное использование уязвимости позволяет злоумышленнику выполнить команды, передающиеся в специально сформированном "hcp://" URL. Троян, используя ActiveX объект "MSXML2.XMLHTTP" выполняет загрузку файла, располагаемый по следующему URL:

  • http://69.***.78/iwjvbqjwxvcoyokm5.vbs

  • и сохраняет его в каталоге хранения временных файлов текущего пользователя под именем:

  • %Temp%/l.vbs

Используя командную строку, эксплоит запускает на выполнение загруженный файл, а также завершает процесс центра справки и поддержки Microsoft Windows:

  • helpctr.exe

При помощи скрипт-файла "l.vbs" троян выполняет загрузку файла, находящегося по ссылке:

  • http://69.***.78/foj.php?i=3

Ссылка может не работать.

Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя с именем:

  • %Temp%/exe.exe

Затем загруженный файл запускается на выполнение. После этого троян завершает процессы:

  • wmplayer.exe
  • realplay.exe

  • и удаляет файлы:

  • %Temp%/l.vbs
  • %Temp%/exe.exe

При помощи загружаемого Java-апплета, хранящегося в архиве "bohqbrytxofnh.jar", троянец пытается, эксплуатируя уязвимость в Java Runtime Environment (CVE-2010-0840), выполнить загрузку вредоносного ПО с сервера злоумышленника.

Если выполнение Java Script отключено в браузере – троянец отправляет HTTP запрос по ссылке:

  • http://clit4.sex***er.com/clit?CID=380835&jv=00


Методы борьбы

  1. Удалить оригинальный файл троянца (расположение зависит от способа попадания программы на компьютер).
  2. Очистить каталог Temporary Internet Files.
  3. Произвести полную проверку компьютера бесплатной лечащей утилитой Dr.Web CureIt! или Антивирусом Касперского с обновленными антивирусными базами.