Security Lab

Trojan-Downloader.JS. Agent.fig

Trojan-Downloader.JS. Agent.fig

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение.

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Представляет собой HTML документ, содержащий сценарии Java Script. Имеет размер 15509 байт.


name="doc3">

Деструктивная активность

После открытия зараженной страницы, троянец, при помощи сценариев Java Script, выполняет расшифровку своего обфусцированного кода и затем запускает вредоносный сценарий на выполнение. Затем используя уязвимость в MDAC (Microsoft Data Access Components) в ActiveX объекте "RDS.DataSpace" (MS06-014), при этом также используя ActiveX объект "MSXML2.XMLHTTP ", пытается выполнить загрузку файла со следующего URL:

http://br***us2sz.com/ww/l.php?i=1 
а затем, при помощи ActiveX объекта "ADODB.Stream", сохраняет файл на один уровень выше от рабочего каталога с именем "file.exe" и затем запускает файл на выполнение.

При наличии установленного в браузере плагина Adobe Acrobat, троянец, в скрытом фрейме, пытается загрузить и выполнить с сервера злоумышленника вредоносные сценарии. В зависимости от версии Adobe Acrobat троянец загружает один из документов, который содержит в себе эксплоит:

%RootDir%/tmp/geticon.pdf
%RootDir%/tmp/printf.pdf
%RootDir%/tmp/collab.pdf
%RootDir%/tmp/newplayer.pdf
%RootDir%/tmp/libtiff.pdf
Вредонос создает на странице объект Shockwave Flash, с именем "BridgeMovie" и с уникальным идентификатором:
D27CDB6E-AE6D-11cf-96B8-444553540000
при помощи которого, пытается загрузить и выполнить с сервера злоумышленника вредоносный сценарий:
%RootDir%/ tmp/flash.swf
В зависимости от версии установленного в системе Flash плеера, вредонос создает и запускает "swf" файл, который содержит в своем коде эксплоит для данного флэш плеера.

В результате выполнения кода эксплоита происходит загрузка файла, который размещается по следующему URL:

http://br***us2sz.com/ww/l.php?i=7
Уязвимые версии продукта - 9.0.115.0, 9,0.16.0, 9.0.28.0, 9.0.45.0, 9.0.47.0, 9.0.64.0, 10.0.12.36, 10.0.22.87, 9.0.124.0, 9.0.151.0, 9.0.159.0. Далее троянец использует уязвимость, которая существует из-за "использование после освобождения" ошибки в компоненте "Peer Objects" в iepeers.dll при некорректной обработке метода setAttribute() (CVE-2010-0806). В результате эксплоит пытается выполнить загрузку файлов, которые размещаются по ссылкам:
http://br***us2sz.com/ww/l.php?i=18
http://br***us2sz.com/ww/l.php?i=12
и сохранить под именем:
%Temp%\pdfupd.exe
Затем троянец запускает загруженный файл на выполнение.

На момент создания описания ссылки не работали.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь