Trojan.HTML. Fraud.av

Троянская программа, выполняющая мошеннические действия. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 8068 байт.

name="doc3">

Деструктивная активность

Для своего корректного выполнения, троянец импортирует дополнительные Java скрипты, которые размещаются в файлах с именами "vaq1k90d2j.fff" и "wzx2j98d2j.fff". Данные файлы размещаются в корневом каталоге на сервере злоумышленника. Далее троянец прорисовывает в браузере окно "Проводника" и затем имитирует полное сканирование компьютера на наличие вредоносных файлов:

Троянец импортирует список строк, которые представляют собой полные пути к системным файлам и произвольные детекты вредоносных объектов, из стороннего файла-скрипта, который размещается на сервере злоумышленника.

Далее лжеантивирус предлагает пользователю выполнить лечение зараженных объектов:

После нажатия на кнопки "Лечить все", "Включить защиту" – вредонос предлагает пользователю осуществить оплату услуги путем отправки смс на платный номер "1350" с текстом

0217<rnd>

где rnd – два случайных целых числа

Если введенный код – меньше 6 символов, троянец выдает сообщение:

Если введенный код удовлетворяет всем условиям – вредонос осуществляет HTTP запрос по следующей ссылке:

http://<X>/enter.php?code=<введенный_код>&checkcode=1&rand=<rnd2>

где X – доменное имя сервера злоумышленника, rnd2 – случайное число. На момент создания описания ссылка не работала.

При закрытии окна браузера, троянец выводит сообщение: