Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение.
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Представляет собой HTML документ, содержащий сценарии Java Script. Имеет размер 15509 байт.
После открытия зараженной страницы, троянец, при помощи сценариев Java Script, выполняет расшифровку своего обфусцированного кода и затем запускает вредоносный сценарий на выполнение. Затем используя уязвимость в MDAC (Microsoft Data Access Components) в ActiveX объекте "RDS.DataSpace" (MS06-014), при этом также используя ActiveX объект "MSXML2.XMLHTTP ", пытается выполнить загрузку файла со следующего URL:
http://br***us2sz.com/ww/l.php?i=1а затем, при помощи ActiveX объекта "ADODB.Stream", сохраняет файл на один уровень выше от рабочего каталога с именем "file.exe" и затем запускает файл на выполнение.
При наличии установленного в браузере плагина Adobe Acrobat, троянец, в скрытом фрейме, пытается загрузить и выполнить с сервера злоумышленника вредоносные сценарии. В зависимости от версии Adobe Acrobat троянец загружает один из документов, который содержит в себе эксплоит:
%RootDir%/tmp/geticon.pdfВредонос создает на странице объект Shockwave Flash, с именем "BridgeMovie" и с уникальным идентификатором:
%RootDir%/tmp/printf.pdf
%RootDir%/tmp/collab.pdf
%RootDir%/tmp/newplayer.pdf
%RootDir%/tmp/libtiff.pdf
D27CDB6E-AE6D-11cf-96B8-444553540000при помощи которого, пытается загрузить и выполнить с сервера злоумышленника вредоносный сценарий:
%RootDir%/ tmp/flash.swfВ зависимости от версии установленного в системе Flash плеера, вредонос создает и запускает "swf" файл, который содержит в своем коде эксплоит для данного флэш плеера.
В результате выполнения кода эксплоита происходит загрузка файла, который размещается по следующему URL:
http://br***us2sz.com/ww/l.php?i=7Уязвимые версии продукта - 9.0.115.0, 9,0.16.0, 9.0.28.0, 9.0.45.0, 9.0.47.0, 9.0.64.0, 10.0.12.36, 10.0.22.87, 9.0.124.0, 9.0.151.0, 9.0.159.0. Далее троянец использует уязвимость, которая существует из-за "использование после освобождения" ошибки в компоненте "Peer Objects" в iepeers.dll при некорректной обработке метода setAttribute() (CVE-2010-0806). В результате эксплоит пытается выполнить загрузку файлов, которые размещаются по ссылкам:
http://br***us2sz.com/ww/l.php?i=18и сохранить под именем:
http://br***us2sz.com/ww/l.php?i=12
%Temp%\pdfupd.exeЗатем троянец запускает загруженный файл на выполнение.
На момент создания описания ссылки не работали.
Но доступ к знаниям открыт для всех