TROJAN-DOWNLOADER.JAVA.AGENT.LC Java-класс sob входит в состав JAR архива и является частью единого вредоноса. Технические детали Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт. Деструктивная активность Java-класс sob входит в состав JAR архива и является частью единого вредоноса. В архиве также хранятся следующие составляющие троянца: Код: asdfgh4.class – 212 байт qwertyu45.class – 259 байт sob$1.class – 457 байт v567345.class – 330 байт Активация вредоносного Java апплета происходит после открытия зараженной HTML страницы в браузере пользователя. Запуск осуществляется при помощи HTML-тэга <applet>, для которого, в качестве одного из параметров, указывается главный класс апплета. Апплету, с HTML страницы, передается параметр - url. Значением параметра url является массив ссылок, которые разделены символом @. Далее полученные ссылки используются для загрузки другого вредоносного ПО. Троянец использует уязвимость, которая позволяет вредоносному апплету вызывать привилегированные методы без надлежащей проверки безопасности (CVE-2010-0840). Таким образом, вредонос может выполнять произвольный код на уязвимой системе. Уязвимыми являются Oracle Java SE и Java for Business: Java Development Kit (JDK) и Java Runtime Environment (JRE) 6.0 версии 18 обновления и более ранние для Windows, Solaris и Linux; Java Development Kit (JDK) и Java Runtime Environment (JRE) 5.0 версии 23 обновления и более ранние для Solaris; Software Development Kit (SDK) 1.4.2 версии 25 обновления и более ранние для Solaris. После успешной эксплуатации уязвимости, вредонос выполняет загрузку файлов по полученным ссылкам. Файлы сохраняются в каталоге хранения временных файлов текущего пользователя с именами: %Temp%ms<rnd>cfg32.exe где rnd – порядковый номер загружаемого файла. Затем при помощи командной строки троянец запускает загруженные файлы на выполнение. Рекомендации по удалению Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: Обновить Java Runtime Environment и Java Development Kit до последних версий. Очистить каталог: Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
HOAX.HTML.FRAUD.FR Веб страница, предлагающая установить обновления для ряда продуктов. Технические детали Веб страница, предлагающая установить обновления для ряда продуктов. Является HTML страницей. Имеет размер 6927 байт. Написана на HTML. Деструктивная активность Веб страница представляет собой интерфейс к платному онлайн сервису по загрузке обновления для следующих продуктов: Internet Explorer Opera Firefox Adobe Flash Player Рекомендации по удалению Веб страница представляет собой интерфейс к платному онлайн сервису по загрузке обновления для следующих продуктов: Internet Explorer Opera Firefox Adobe Flash Player
TROJAN-DOWNLOADER.WIN32.SMALL.BSUJ После запуска троянец устанавливает соединение со следующим IP адресом: 69.***.192.250 Технические детали Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++. Деструктивная активность После запуска троянец устанавливает соединение со следующим IP адресом: 69.***.192.250 И получает данные в зашифрованном виде. Затем выполняет расшифровку полученных данных и сохраняет файлы во временном каталоге текущего пользователя под именами вида: %Temp%\_rnd>.tmp Где rnd> - произвольная последовательность из цифр и букв латинского алфавита. Далее троянец запускает скачанные файлы и завершает свою работу. Рекомендации по удалению Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить файлы: Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
TROJAN-DOWNLOADER.WIN32.SMALL.BSUJ Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их. Технические детали Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++. Деструктивная активность После запуска троянец устанавливает соединение со следующим IP адресом: 69.***.192.250 И получает данные в зашифрованном виде. Затем выполняет расшифровку полученных данных и сохраняет файлы во временном каталоге текущего пользователя под именами вида: %Temp%\_rnd>.tmp Где rnd> - произвольная последовательность из цифр и букв латинского алфавита. Далее троянец запускает скачанные файлы и завершает свою работу. Рекомендации по удалению Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить файлы: Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
TROJAN.WIN32.SASFIS.UAJ После запуска троянец расшифровывает и извлекает из своего тела во временный каталог текущего пользователя файл: %Temp%.tmp Технические детали Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 19456 байт. Написана на C++. Деструктивная активность После запуска троянец расшифровывает и извлекает из своего тела во временный каталог текущего пользователя файл: %Temp%rnd1>.tmp Где rnd1> - случайный набор цифр и букв латинского алфавита. Данный файл имеет размер 27136 байт и детектируется Антивирусом Касперского как Backdoor.Win32.Bredavi.asq. Затем троянец подгружает в свое адресное пространство извлеченный файл и производит запуск содержащегося в нем вредоносного кода. Рекомендации по удалению Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить файлы:где rnd1> - случайный набор цифр и букв латинского алфавита. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
TROJAN-DOWNLOADER.WIN32.GENOME.CPIS Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Технические детали Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является приложением Windows (PE-EXE файл). Имеет размер 35356 байт. Написан на C++. Деструктивная активность После запуска, троянец расшифровывает свое тело и затем выполняет загрузку файлов со следующих URL адресов: Код: http://91.***.240.35/test_severyan_sdhkjwg.exe http://109.***.143.134/flash.exe http://91.***.240.35/test_severyan_sdhkjwg.exe http://109.***.143.134/flash.exe На момент создания описания ссылки не работали. Троянец сохраняет загруженные файлы под следующими именами: Код: %WinDir%Temp\_ex-68.exe %WinDir%Temp\_ex-08.exe %WinDir%Temp\_ex-89.exe %WinDir%Temp\_ex-44.exe Рекомендации по удалению Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить файлы: Код: %WinDir%Temp\_ex-68.exe %WinDir%Temp\_ex-08.exe %WinDir%Temp\_ex-89.exe %WinDir%Temp\_ex-44.exe 3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
TROJAN-DOWNLOADER.JS.IFRAME.CIM Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Технические детали Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является HTML-страницей, содержащей сценарий языка Java Script. Имеет размер 46318 байт. Деструктивная активность После открытия зараженной страницы в браузере, троянец, используя инструментарий языка JavaScript, выполняет дешифровку своего кода и запускает его на выполнение. При этом создает скрытый фрейм, в котором открывает следующие URL: Ссылка доступна только зарегистрированным пользователям На момент создания описания ссылка не работала. Рекомендации по удалению Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы ( Ссылка доступна только зарегистрированным пользователям). Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами ( Ссылка доступна только зарегистрированным пользователям).
