Trojan-Downloader.JS.Agent.gdd

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Представляет собой HTML документ, который содержит в себе сценарии языка Java Script (JS). Имеет размер 3426 байта.

Деструктивная активность

После открытия в браузере зараженной страницы троянец выполняет расшифровку своего вредоносного сценария и выполняет его. В результате троянец пытается выполнить на текущей странице вредоносный Java апплет. Вредонос пытается эксплуатировать уязвимость, которая существует в "Deployment" компоненте в "Java Runtime Environment" (JRE) (CVE-2010-4452). Данная уязвимость позволяет обойти атакующему настройки безопасности "песочницы" Java (Java Sandbox) и выполнить код на уязвимой системе. Для выполнения данного эксплоита в HTML документе указаны следующие параметры Java апплета:

• Параметр базовый адрес ("codebase") указывает на доверенный каталог:

  C:\Program Files\java\jre6\lib\ext

• В качестве имени файла задается специально сформированная ссылка, которая указывает на исполняемый Java-апплет:

  http://3252329558/GoogleSearch.class

  По данной ссылке осуществляется обращение к URL:

  http://193.218.156.86/GoogleSearch.class

  Апплету в качестве параметра с именем "aaa" передается ссылка в зашифрованном виде, по которой в дальнейшем производится загрузку другого вредоносного ПО.

На момент создания описания ссылка не работала.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Очистить каталог Temporary Internet Files, содержащий инфицированные файлы:

   %Temporary Internet Files%\ 

3. Обновить Oracle Java JRE и JDK до последних версий.