Программа-шутка, имитирующая работу антивирусного приложения. Представляет собой HTML документ, который содержит в себе сценарии Java Script.
Программа-шутка, имитирующая работу антивирусного приложения. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 186181 байт.
После открытия в браузере зараженной страницы, троянец, используя дополнительные сценарии Java Script, выполняет расшифровку и запуск вредоносного функционала на выполнение. Сразу после загрузки троянец выводит в браузере пользователя следующее сообщение:
Затем вредонос отображает в браузере фиктивный антивирусный файловый сканнер.
Данный сканер в произвольном порядке сопоставляет строки, которые хранятся в теле троянца, в следующем порядке:
Adware.Win32.Winad
W32.Yaha.B@mm
Magic DVD Ripper
Trojan-PSW.Win32.LdPinch.abm
Trojan virtumonde
Trojan.Fakealert.355
Trojan.Qoologic - Key Logger
Adware.Win32.Look2me.ab
Trojan Horse IRC/Backdoor.SdBot4.FRV
Win32/Hoax.Renos.HX
MSFDC.INFПри выборе любого элемента навигации на зараженной HTML странице, а также после нажатия на кнопку "Start Protection" – вредонос открывает в скрытом фрейме ресурс, который располагается по ссылке:
MSFS.CNT
MSFS.HLP
MSFS32.DLL
MSFVW32.DLL
MSG711.ACM
MSGM32.ACM
MSGSRV32.EXE
MSHDC.INF
MSHEARTS.CNT
MSHEARTS.EXE
MSHEARTS.HLP
MSJSTICK.DRV
MSMAIL.INF
MSMIXMGR.DLL
MSMOUSE.INF
MSMOUSE.VXD
MSMPU401.DRV
MSMPU401.VXD
MSN.CNT
MSN.HLP
MSN.MSN
MSN.TXT
MSNBBS.HLP
MSNCHAT.HLP
MSNDUI.DLL
MSNET.DRV
MSNET32.DLL
MSNEXCH.EXE
MSNFIND.EXE
MSNFULL.HLP
MSNINT.HLP
MSNMAIL.HLP
MSNP32.DLL
MSNPSS.CNT
MSNPSS.HLP
MSNVER.TXT
MSODISUP.VXD
MSOPL.DRV
MSOPL.VXD
MSPAINT.CNT
MSPAINT.EXE
MSPAINT.HLP
MSPCIC.DLL
MSPORTS.INF
MSPP32.DLL
MSPST32.DLL
MSPWL32.DLL
MSRLE32.DLL
MSSBLST.DRV
MSSBLST.VXD
MSSHRUI.DLL
MSSNDSYS.DRV
MSSNDSYS.VXD
MSSOUND.WAV
MSSP.VXD
MSTCP.DLL
MSUCIARE.WAV
MSVCRT20.DLL
MSVID32.DLL
MSVIDEO.DLL
MSVIEWUT.DLL
MSWD6_32.WPC
MT_T1101.SPD
MTD.INF
MTLITE.DRV
MTMMINIP.MPD
MULTILNG.INF
MV1401.DRV
MV1514MX.DRV
MVCL14N.DLL
MVIFM.DRV
MVIFM.PAT
MVIWAVE.DRV
MVMIXER.DRV
MVPAS.VXD
MVPR14N.DLL
MVPROAUD.DRV
MVTTL14C..DLL
MVUT14N.DLL
N15210.DOS
N18510.DOS
N2090522.SPD
N2290520.SPD
N890_470.SPD
N890X505.SPD
NAL.DLL
NBSTAT.EXE
NCC16.DOS
NDDEAPI.DLL
NDDENB.DLL
NDIS.VXD
NDIS2SUP.VXD
NDIS30.DLL
NDIS39XR.DOS
NDIS89XR.DOS
NDISHLP.SYS
NE1000.DOS
NE1000.SYS
NE2000.DOS
NE2000.SYS
NE3200.BIN
NE3200.DOS
NE3200.SYS
NEC24PIN.DRV
NECATAPI.VXD
NET.EXE
NET.INF
NET.MSG
NET3COM.INF
NETAMD.INF
NETAPI.DLL
NETAPI32.DLL
NETAUXT.INF
NETBEUI.VXD
NETBIOS.DLL
NETBW.INF
NETCABLE.INF
NETCD.INF
NETCDA.INF
NETCEM.INF
NETCLI.INF
NETCLI.INF
NETCPL.CPL
NETCPQ.INF
NETDDE.EXE
NETDEC.INF
NETDEF.INF
NETDET.INI
NETDI.DLL
NETEE16.INF
NETEVX.INF
NETFLEX.INF
NETFLX.BIN
NETFLX.DOS
NETFLX.SYS
NETGEN.INF
NETH.MSG
NETHP.INF
NETIBM.INF
NETIBMCC.INF
NETMADGE.INF
NETMON.386
NETMON.INF
NETNCR.INF
NETNICE.INF
NETNOVEL.INF
NETOLI.INF
NETOS.INF
NETOSI.INF
NETPPP.INF
NETPROT.INF
NETRACAL.INF
NETSERVR.INF
NETSETUP.ADM
NETSETUP.DLL
NETSETUP.EXE
NETSETUP.INF
NETSETUP.LAY
NETSILC.INF
NETSMC.INF
NETSMC32.INF
NETSMCTR.INF
NETSNIP.INF
NETSOCK.INF
NETSTAT.EXE
NETSUSSRC.INF
NETTCC..INF
NETTDKP.INF
NETTRANS.INF
NETTULIP.INF
NETUB.INF
NetWare.MS
NETWATCH.CNT
NETWATCH.EXE
NETWATCH.HLP
NETWORK.HLP
NETWORK.TXT
NETXIR.INF
NETZNOTE.INF
NICE.VXD
NLSFUNC.EXE
NM95SETP.DLL
NMAGENT.EXE
NMAGENT.INF
NMSUPP4.386
NMTHUNK.DLL
NO_1.CUR
NO_2.CUR
NO_3.CUR
NO_4.CUR
NO_5.CUR
NO_L.CUR
NO_M.CUR
NODRIVER.INF
NOTEPAD.CNT
NOTEPAD.EXE
NOTEPAD.HLP
NSCL.VXD
NTDLL.DLL
NW16.DLL
NWAB32.DLL
NWLINK.VXD
NWLSCON.EXE
NWLSPROC.EXE
NWNBLINK.VXD
NWNET32.DLL
NWNP32.DLL
NWPP32.DLL
NWREDIR.VXD
NWRPLTRM.COM
NWSERVER.VXD
NWSP.VXD
OAK.VXD
OCTK16.SYS
OCTK32.VXD
ODIHLP.EXE
OK124.DRV
OK1830US.SPD
OK1840US.SPD
OK1850US.SPD
OK19.DRV
OK19IBM.DRV
OKOL8701.SPD
OL830525.SPD
OL840518.SPD
OL850525.SPD
OLE2.DLL
OLE2.INF
OLE2CONV.DLL
OLE2DISP.DLL
OLE2NLS.DLL
OLE32.DLL
OLEAUT32.DLL
OLECLI.DLL
OLECLI32.DLL
OLECNV32.DLL
OLEDLG.DLL
OLESRV.DLL
OLESRV32.DLL
OLETHK32.DLL
OLIDM24.DRV
OLIDM9.DRV
OLITOK.DOS
OLITOK16.DOS
ONLSTMT.EXE
ONLSTMT.HLP
P351SX2.DRV
P4455514.SPD
PA3DMXD.DRV
PACKAGER.EXE
PACKAGER.CNT
PACKAGER.HLP
PAGESWAP.VXD
PAINTJET.DRV
PANMAP.DLL
PANSON24.DRV
PANSON9.DRV
PAP54001.SPD
PAP54101.SPD
PARALINK.VXD
PARITY.VXD
PASSPORT.MID
PASSWORD.CPL
PBRUSH.EXE
PC2X.MPD
PCCARD.VXD
PCI.VXD
PCMCIA.INF
PCNTN3.VXD
PCNTND.DOS
PCSA.EXE
PE2NDIS.DOS
PE3NDIS.EXE
PE3NDIS.VXD
PEN_1.CUR
PEN_2.CUR
PEN_3.CUR
PEN_4.CUR
PEN_5.CUR
PEN_L.CUR
PEN_M.CUR
PENDIS.DOS
PERF.VXD
PHIIPX.SPD
PHONE.PBK
PIANO.ANI
PIFCONV.EXE
PIFMGR.DLL
PING.EXE
PJLMON.DLL
PKPD.DLL
PKPD32.DLL
PMSPL.DLL
POINTER.DLL
POINTER.EXE
POLEDIT.CNT
POLEDIT.EXE
POLEDIT.HLP
POLEDIT.INF
POWER.DRV
POWERCFG.DLL
POWRPNT.PPT
PPM.VXD
PPPMAC.VXD
PRECOPY.INF
PRESENTA.SHW
PRINT.EXE
PRINTER.TXT
PRO4.DOS
PRO4AT.DOS
PRODINV.DLL
PROGMAN.CNT
PROGMAN.EXE
PROGMAN.HLP
PROPRINT.DRV
PROPRN24.DRV
PRORAPM.DWN
PROTEON.VXD
PROTMAN.DOS
PROTMAN.EXE
PRTUPD.INF
PS1.DRV
PS4079.ICM
PSCRIPT.DRV
PSCRIPT.HLP
PSCRIPT.INI
PSMON.DLL
PSTRIPE.BMP
PYRAMID2.BMP
Q1C117.VXD
QBASIC.EXE
QBASIC.HLP
QCS1000.SPD
QCS10503.SPD
QCS30503.SPD
QM1700_1.SPD
QM200C_1.SPD
QM823MR1.SPD
QMPS4101.SPD
QMS10030.ICM
QMS1725.SPD
QMS3225.SPD
QMS420.SPD
QMS45252.SPD
QMS860.SPD
QMS8P461.SPD
QMSCS210.SPD
QMSCS230.SPD
QUATTRO.WB2
QUICKVIEW.EXE
QUIETJET.DRV
QWIII.DRV
QWMMFIX.VXD
RAINBOW.ANI
RAMDRIVE.SYS
RASAPI16.DLL
RASAPI32.DLL
RCV0000.EFX
README.TXT
REBOOT.VXD
REDBRICK.BMP
REDIR32.EXE
REDIRECT.MOD
REDTILE.BMP
REGEDIT.CNT
REGEDIT.EXE
REGEDIT.HLP
REGSERV.EXE
REGSRV.INF
REGWIZ.EXE
RESTORE.EXE
RICHED.DLL
RICHED32.DLL
RINGIN.WAV
RINGOUT.WAV
RIVETS.BMP
RIVETS2.BMP
RMM.PDR
RNA.INF
RNAAPP.EXE
RNAL.DLL
RNANP.DLL
RNAPLUS.INF
RNASERV.DLL
RNASETUP.DLL
RNATHUNK.DLL
RNAUI.DLL
RNDSRV32.DLL
ROMAN.FON
ROUTE.EXE
RPCLTC1.DLL
RPCTLC3.DLL
RPCTLC5.DLL
RPCTLC6.DLL
RPCTLS3.DLL
RPCTLS5.DLL
RPCTLS6.DLL
RPCNS4.DLL
RPCPP.DLL
RPCRT4.DLL
RPCSS.EXE
RPLBOOT.SYS
RPLIMAGE.DLL
RPLIMAGE.EXE
RSRC16.DLL
RSRC32.DLL
RSRCMTR.EXE
RSRCMTR.INF
RUMOR.EXE
RUNDLL.EXE
RUNDLL32.EXE
RUNONCE.EXE
S3.DRV
S3.VXD
SACLIENT.DLL
SAMPLE VIDEOS
SAND.BMP
SAPNSP.DLL
SAVE32.COM
SB16.VXD
SB16SND.DRV
SBAWE.VXD
SBAWE32.DRV
SBFM.DRV
SCANDISK.BAT
SCANDISK.EXE
SCANDISK.EXE
SCANDISK.INI
SCANDISK.PIF
SCANPROG.EXE
SCANPST.EXE
SCAPST.HLP
SCCVIEW.DLL
SCRNSAVE.SCR
SCSI.INF
SCSI1HLP.VXD
SCSIPORT.PDR
SECUR32.DLL
SECURCL.DLL
SEIKO24E.DRV
SEIKOSM9.DRV
SELECT.EXE
SERENUM.VXD
SERIAL.VXD
SERIALUI.DLL
SERIFE.FON
SERIFF.FON
SERMDIR.EXE
SERVER.HLP
SETUP.BIN
SETUP.BMP
SETUP.EXE
SETUP.INF
SETUP.TXT
SETUP4.DLL
SETUPPP.INF
SETUPX.DLL
SETUPX.DLL
SETVER.EXE
SF4029.EXE
SHARE.EXE
SHELL.DLL
SHELL.INF
SHELL.NEW
SHELL.VXD
SHELL2.INF
SHELL3.INF
SHELL32.DLL
SHSCRAP.DLL
SIGNUP.EXE
SIZENESW.ANI
SIZENS.ANI
SIZENWSE.ANI
SIZEWE.ANI
SKPSFA_1.SPD
SLAN.DOS
SLCD.MPD
SLENH.DLL
SMALLE.FON
SMALLF.FON
SMARTDRV.EXE
SMARTND.DOS
SMC_ARC.DOS
SMC3000.DOS
SMC8000.DOS
SMC8000W.VXD
SMC80PC.VXD
SMC8100.DOS
SMC8100W.VXD
SMC8232.DOS
SMC8232W.VXD
SMC9000.DOS
SMC9000.VXD
SNAPSHOT.EXE
SNAPSHOT.VXD
SNDREC32.EXE
SNDVOL32.CNT
SNDVOL32.EXE
SNDVOL32.HLP
SNIP.VXD
SNMP.EXE
http://<доменное_имя_сервера_злоумышленника>/download.phpПри закрытии зараженной страницы троянец отображает сообщение:
Спойлер: она начинается с подписки на наш канал