Trojan.HTML. Agent.di

Троянская программа, открывающая в браузере различные веб-страницы без ведома пользователя. Является HTML-страницей, содержащей сценарии языка JavaScript. Имеет размер 2045 байт.

name="doc3">

Деструктивная активность

После открытия зараженного веб-ресурса в браузере пользователя отображается следующий HTML документ:

После отправки платного смс, изменений на странице не происходит. Также вредонос пытается выполнить скрипт с именем "tov.js", который располагается на сервере злоумышленника. В результате выполнения скрипта троянец расшифровывает ссылку по которой осуществляет HTTP запрос:

http://<домен_злоумышленника>/tov/juhwhuiu.php

После открытия данного ресурса, происходит загрузка файла, который сохраняется во временный каталог текущего пользователя с именем:

%Temp%\pdfupd.exe

Файл имеет размер 49152 байта и детектируется антивирусом Касперского как Trojan-Ransom.Win32.HomoBlocker.bc. Затем загруженный файл запускается на выполнение.

После запуска копирует свое тело под следующим именем:

%Documents and Settings%\%Current User%\wlock\wlock.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe, %Documents 
and Settings%\%Current User%\wlock\wlock.exe"

Запущенный вредонос блокирует систему пользователя и вымогает отправить смс на платный номер для получения кода снятия блокировки. При этом вредонос отображает следующее окно: