Trojan-Downloader.JS.Agent.tt
Материал из Total Malware Info
Trojan-Downloader.JS.Agent.tt Троянская программа, которая без ведома пользователя скачивает и запускает на компьютере пользователя другие программы. Представляет собой файл сценарий языка Visual Basic Script(VBS). Имеет размер 1372 байт.
Деструктивная активность
После активации, при помощи методов Java Script, троянец начинает выполнение вредоносного скрипта. Если данный скрипт был запущен в браузере пользователя, тогда троянец загружает web-ресурс по ссылка, которая содержится в скрытом фрейме:
http://www.****.com/web/com/xiamig/tongji.html (На момент создания описания ссылка не работала.)
Затем вредонос , используя уязвимость в ActiveX объекте "RDS.DataSpace" (MS06-014), который имеет следующий уникальный идентификатор в системном реестре:
{BD96C556-65A3-11D0-983A-00C04FC29E36}
а также, используя уязвимость в ActiveX компоненте "Microsoft.XMLHTTP", выполняет загрузку файла по следующей ссылке:
http://ip1.a*******re.cn/downloader.exe
(На момент создания описания ссылка не работала.) Затем, при помощи ActiveX компонента "ADODB.Stream", троянец сохраняет загруженный файл в каталог Windows. Имя файла генерируется случайным образом и состоит из последовательности латинских символов.
%Tempr%\downloader.exe
В завершении троянец запускает сохраненный файл на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
- Отключить уязвимый ActiveX объект (Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer).
- Установить обновления:
%Tempr%\downloader.exe
http://www.m*******t.com/technet/security/Bulletin/MS06-014.mspx
