Троянская программа, выполняющая мошеннические действия. Представляет собой HTML страницей, содержащий сценарии языка Java Script.
Троянская программа, выполняющая мошеннические действия. Представляет собой HTML страницей, содержащий сценарии языка Java Script. Имеет размер 77919 байт.
Злоумышленник регистрирует множество доменов и размещает на них данный троянец.
Для своего корректного выполнения, троянец импортирует дополнительные файлы, которые размещаются в корневом каталоге на сервере злоумышленника.
После открытия мошеннического сайта пользователь увидит следующее сообщение:
После этого троянец отображает в браузере пользователя окно, аналогичное окну "проводника Windows", затем выполняет имитацию сканирования каталогов и файлов. Имена найденных вредоносных файлов выбирает случайным образом из списка:
Adware.Win32.WinadВ окне также указаны версии браузера и операционной системы пользователя:
Adware.Win32.Look2me.ab
AdvWare.Hotbar
Backdoor.Win32.Haxdoor.gu
Trojan-Downloader.Win32.Small.dge
Trojan-PSW.Win32.LdPinch.abm
Trojan.Qoologic - Key Logger
Trojan Horse IRC/Backdoor.SdBot4.FRV
SHeur.ZSQ
W32.Benjamin.Worm
W95/Elkern F-Secure
W32.Mypics.Worm.36352
W32.Nimda.J@mm
W32.Yaha.B@mm
Trojan Horse Generic11.OQJ
Trojan Horse IRC/Backdoor.SdBot4.FRV
Magic DVD Ripper
Trojan virtumonde
Win32/Hoax.Renos.HX
Trojan-Downloader.Win32.Small.fxf
Trojan-Downloader.Win32.Tibs.tc
Trojan.Fakealert.355
Для выполнения лечения якобы найденных вредоносных файлов троянец предлагает загрузить программу:
http://<имя домена>/down.php?c=917Как правило, загружаемый файл является другой вредоносной программой, имитирующей функционал антивирусов.
Собираем и анализируем опыт профессионалов ИБ