Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение.
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Представляет собой HTML документ, содержащий сценарии Java Script. Имеет размер 15509 байт.
name="doc3">
Деструктивная активность
После открытия зараженной страницы, троянец, при помощи сценариев Java Script, выполняет расшифровку своего обфусцированного кода и затем запускает вредоносный сценарий на выполнение. Затем используя уязвимость в MDAC (Microsoft Data Access Components) в ActiveX объекте "RDS.DataSpace" (MS06-014), при этом также используя ActiveX объект "MSXML2.XMLHTTP ", пытается выполнить загрузку файла со следующего URL:
http://br***us2sz.com/ww/l.php?i=1а затем, при помощи ActiveX объекта "ADODB.Stream", сохраняет файл на один уровень выше от рабочего каталога с именем "file.exe" и затем запускает файл на выполнение.
При наличии установленного в браузере плагина Adobe Acrobat, троянец, в скрытом фрейме, пытается загрузить и выполнить с сервера злоумышленника вредоносные сценарии. В зависимости от версии Adobe Acrobat троянец загружает один из документов, который содержит в себе эксплоит:
%RootDir%/tmp/geticon.pdfВредонос создает на странице объект Shockwave Flash, с именем "BridgeMovie" и с уникальным идентификатором:
%RootDir%/tmp/printf.pdf
%RootDir%/tmp/collab.pdf
%RootDir%/tmp/newplayer.pdf
%RootDir%/tmp/libtiff.pdf
D27CDB6E-AE6D-11cf-96B8-444553540000при помощи которого, пытается загрузить и выполнить с сервера злоумышленника вредоносный сценарий:
%RootDir%/ tmp/flash.swfВ зависимости от версии установленного в системе Flash плеера, вредонос создает и запускает "swf" файл, который содержит в своем коде эксплоит для данного флэш плеера.
В результате выполнения кода эксплоита происходит загрузка файла, который размещается по следующему URL:
http://br***us2sz.com/ww/l.php?i=7Уязвимые версии продукта - 9.0.115.0, 9,0.16.0, 9.0.28.0, 9.0.45.0, 9.0.47.0, 9.0.64.0, 10.0.12.36, 10.0.22.87, 9.0.124.0, 9.0.151.0, 9.0.159.0. Далее троянец использует уязвимость, которая существует из-за "использование после освобождения" ошибки в компоненте "Peer Objects" в iepeers.dll при некорректной обработке метода setAttribute() (CVE-2010-0806). В результате эксплоит пытается выполнить загрузку файлов, которые размещаются по ссылкам:
http://br***us2sz.com/ww/l.php?i=18и сохранить под именем:
http://br***us2sz.com/ww/l.php?i=12
%Temp%\pdfupd.exeЗатем троянец запускает загруженный файл на выполнение.
На момент создания описания ссылки не работали.