Exploit.VBS.Phel.do

Материал из Total Malware Info

Перейти к: навигация, поиск

Exploit.VBS.Phel.do Программа-эксплоит, использующая незакрытую уязвимость в Internet Explorer, для выполнения произвольного кода на WinXP. Является HTML-страницей содержащей сценарии языка Java Script и Visual Basic Script. Имеет размер 10904 байта.

Деструктивная активность

Тело эксплоита находится в зашифрованном виде в специально сформированной Web-странице. После активации эксплоит производит расшифровку и внедрение своего кода в память процессов, имеющих следующие уникальные идентификаторы в системном реестре: 

{BD96C556-65A3-11D0-983A-00C04FC29E36}
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}
{0006F033-0000-0000-C000-000000000046}
{0006F03A-0000-0000-C000-000000000046}
{6e32070a-766d-4ee6-879c-dc1fa91d2fc3}
{6414512B-B978-451D-A0D8-FCFDF33E833C}
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
{06723E09-F4C2-43c8-8358-09FCD1DB0766}
{639F725F-1B2D-4831-A9FD-874847682010}
{BA018599-1DB3-44f9-83B4-461454C84BF8}
{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}
{E8CCCDDF-CA28-496b-B050-6C07C962476B}

Используя уязвимость в ActiveX компоненте "Microsoft.XMLHTTP " или "MSXML2.ServerXMLHTTP", эксплоит загружает файл со следующего URL: 

http://ulef*****.net/adw_files/1/install.exe?adv=1

На момент создания описания ссылка не работала. Используя уязвимость в ActiveXкомпоненте "ADODB.Stream" эксплоит сохраняет скачанный файл во временный каталог под именем "mbroit.exe": 

%Temp%\mbroit.exe

После успешного сохранения файл запускается на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Очистить каталог:
    3. %Temporary Internet Files%
  3. Отключить объект ADODB.Stream в Internet Explorer
    4. http://support*******oft.com/kb/870669
  4. Установить обновления:
    5. http://support*******oft.com/kb/928088/
  5. Отключить уязвимый ActiveX объект (Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer).
Источник — «http://www.totalmalwareinfo.com/rus/Exploit.VBS.Phel.do»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.