Trojan-Downloader.HTML.Cursor.b
Материал из Total Malware Info
Trojan-Downloader.HTML.Cursor.b Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Представляет собой зашифрованный файл-скрипт, встроенный в HTML страницу. Написан на Visual Basic Script(VBS). Имеет размер 7092 байт.
Деструктивная активность
После активации, троянец, используя сценарии Java Script, расшифровывает свое исполняемое тело и запускает его на выполнение. При запуске троянец регистрирует в системе пользователя "Microsoft.XMLHTTP" Active X объект с уникальным идентификатором:
{BD96C556-65A3-11D0-983A-00C04FC29E36}
Затем, используя уязвимость в браузере Microsoft Internet Explorer, троянец загружает файл, расположенный по следующей ссылке:
http://laji******.com/data.gif
Данный файл имеет размер 69632 байт и детектируется антивирусом Касперского как Trojan.Win32.Pakes.c. После загрузки, данный файл сохраняется во временном каталоге текущего пользователя Windows с именем "nettool.exe":
%Temp%\nettool.exe
Затем троянец создает в том же каталоге файл командного интерпретатора (BAT-файл):
%Temp%\~net.bat
в который сохраняет команду запуска файла "nettool.exe".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Temp%\nettool.exe %Temp%\~net.bat
