Вирусология от Apollon

[Apollon]

В этой теме буду постить различную информацию о вирусах.
Если интересно подписываемся на тему

 

[Apollon]

TROJAN-DOWNLOADER.JAVA.AGENT.LC
Java-класс "sob" входит в состав JAR архива и является частью единого вредоноса.

Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.

Деструктивная активность
Java-класс "sob" входит в состав JAR архива и является частью единого вредоноса. В архиве также хранятся следующие составляющие троянца:

asdfgh4.class – 212 байт qwertyu45.class – 259 байт sob$1.class – 457 байт v567345.class – 330 байт

Активация вредоносного Java апплета происходит после открытия зараженной HTML страницы в браузере пользователя. Запуск осуществляется при помощи HTML-тэга "<applet>", для которого, в качестве одного из параметров, указывается главный класс апплета.

Апплету, с HTML страницы, передается параметр - "url". Значением параметра "url" является массив ссылок, которые разделены символом "@". Далее полученные ссылки используются для загрузки другого вредоносного ПО.

Троянец использует уязвимость, которая позволяет вредоносному апплету вызывать привилегированные методы без надлежащей проверки безопасности (CVE-2010-0840). Таким образом, вредонос может выполнять произвольный код на уязвимой системе. Уязвимыми являются Oracle Java SE и Java for Business:

• Java Development Kit (JDK) и Java Runtime Environment (JRE) 6.0 версии 18 обновления и более ранние для Windows, Solaris и Linux;
• Java Development Kit (JDK) и Java Runtime Environment (JRE) 5.0 версии 23 обновления и более ранние для Solaris;
• Software Development Kit (SDK) 1.4.2 версии 25 обновления и более ранние для Solaris.

После успешной эксплуатации уязвимости, вредонос выполняет загрузку файлов по полученным ссылкам. Файлы сохраняются в каталоге хранения временных файлов текущего пользователя с именами:
%Temp%\ms<rnd>cfg32.exe
где rnd – порядковый номер загружаемого файла. Затем при помощи командной строки троянец запускает загруженные файлы на выполнение.

Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Обновить Java Runtime Environment и Java Development Kit до последних версий.
2. Очистить каталог:
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами

 

[Apollon]

HOAX.HTML.FRAUD.FR
Веб страница, предлагающая установить обновления для ряда продуктов.

Технические детали
Веб страница, предлагающая установить обновления для ряда продуктов. Является HTML страницей. Имеет размер 6927 байт. Написана на HTML.


Деструктивная активность
Веб страница представляет собой интерфейс к платному онлайн сервису по загрузке обновления для следующих продуктов:

Internet Explorer Opera Firefox Adobe Flash Player

Рекомендации по удалению
Веб страница представляет собой интерфейс к платному онлайн сервису по загрузке обновления для следующих продуктов:

Internet Explorer Opera Firefox Adobe Flash Player

 

[Apollon]

TROJAN-DOWNLOADER.WIN32.SMALL.BSUJ
После запуска троянец устанавливает соединение со следующим IP адресом: 69.***.192.250

Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.


Деструктивная активность
После запуска троянец устанавливает соединение со следующим IP адресом:

69.***.192.250
И получает данные в зашифрованном виде. Затем выполняет расшифровку полученных данных и сохраняет файлы во временном каталоге текущего пользователя под именами вида:
%Temp%\_<rnd>.tmp
Где <rnd> - произвольная последовательность из цифр и букв латинского алфавита.
Далее троянец запускает скачанные файлы и завершает свою работу.


Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами

 

[Apollon]

TROJAN-DOWNLOADER.WIN32.SMALL.BSUJ
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их.

Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.


Деструктивная активность
После запуска троянец устанавливает соединение со следующим IP адресом:

69.***.192.250
И получает данные в зашифрованном виде. Затем выполняет расшифровку полученных данных и сохраняет файлы во временном каталоге текущего пользователя под именами вида:
%Temp%\_<rnd>.tmp
Где <rnd> - произвольная последовательность из цифр и букв латинского алфавита.
Далее троянец запускает скачанные файлы и завершает свою работу.


Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами

 

[Apollon]

TROJAN.WIN32.SASFIS.UAJ
После запуска троянец расшифровывает и извлекает из своего тела во временный каталог текущего пользователя файл: %Temp%\.tmp

Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 19456 байт. Написана на C++.

Деструктивная активность
После запуска троянец расшифровывает и извлекает из своего тела во временный каталог текущего пользователя файл:

%Temp%\<rnd1>.tmp
Где <rnd1> - случайный набор цифр и букв латинского алфавита.
Данный файл имеет размер 27136 байт и детектируется Антивирусом Касперского как Backdoor.Win32.Bredavi.asq.

Затем троянец подгружает в свое адресное пространство извлеченный файл и производит запуск содержащегося в нем вредоносного кода.

Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:где <rnd1> - случайный набор цифр и букв латинского алфавита.
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами

 

[Apollon]

TROJAN-DOWNLOADER.WIN32.GENOME.CPIS
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение.

Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является приложением Windows (PE-EXE файл). Имеет размер 35356 байт. Написан на C++.


Деструктивная активность
После запуска, троянец расшифровывает свое тело и затем выполняет загрузку файлов со следующих URL адресов:

http://91.***.240.35/test_severyan_sdhkjwg.exe http://109.***.143.134/flash.exe http://91.***.240.35/test_severyan_sdhkjwg.exe http://109.***.143.134/flash.exe

На момент создания описания ссылки не работали.

Троянец сохраняет загруженные файлы под следующими именами:

%WinDir%\Temp\_ex-68.exe %WinDir%\Temp\_ex-08.exe %WinDir%\Temp\_ex-89.exe %WinDir%\Temp\_ex-44.exe

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

%WinDir%\Temp\_ex-68.exe %WinDir%\Temp\_ex-08.exe %WinDir%\Temp\_ex-89.exe %WinDir%\Temp\_ex-44.exe

3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами

 

[Apollon]

TROJAN-DOWNLOADER.JS.IFRAME.CIM
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение.

Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является HTML-страницей, содержащей сценарий языка Java Script. Имеет размер 46318 байт.

Деструктивная активность
После открытия зараженной страницы в браузере, троянец, используя инструментарий языка JavaScript, выполняет дешифровку своего кода и запускает его на выполнение.

При этом создает скрытый фрейм, в котором открывает следующие URL:

You must be registered for see links

На момент создания описания ссылка не работала.

Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (
   You must be registered for see links
   ).
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (
   You must be registered for see links
   ).