Trojan-Downloader.JS.Psyme.ct
Материал из Total Malware Info
Trojan-Downloader.JS.Psyme.ct Троянская программа-загрузчик, которая без ведома пользователя загружает из сети Интернет программное обеспечение и запускает его. Программа является HTML страницей, содержащей Java-скрипты (HTML файл). Имеет размер 105 081 байт. Написана на Java Script.
Деструктивная активность
После запуска троянец путем использования средств языка JavaScript производит декодирование двух рабочих скриптов, находящихся в его теле. В первом скрипте производится попытка загрузки файла, расположенного по ссылке:
http://www.co*******r.info/sp_pack/counter/loader.jpg (3 471 байт, детектируется Антивирусом Касперского, как Rootkit.Win32.Agent.cj,)
скачанный файл сохраняется в каталог, находящийся уровнем выше от файла троянца, под именем ~tmp0374.exe:
.\..\~tmp0374.exe
после чего запускается на выполнение. Для выполнения загрузки производятся попытки использования ряда COM-объектов, среди которых:
Remote Data Services Data Control Windows Update Web Control WMIScriptUtils Module Visual Studio Macros Microsoft Document Explorer Microsoft Visual Studio
Во втором скрипте производится выполнение действий, использующих уязвимость в Internet Explorer. Через 5 секунд после запуска скрипта производится внедрение кода, выполняющего загрузку файла, расположенного по ссылке:
http://www.co*******r.info/sp_pack/counter/loader.exe (3 471 байт, детектируется Антивирусом Касперского, как Rootkit.Win32.Agent.cj)
и сохранение его в корневой каталог диска C: под именем U.exe:
C:\U.exe
Рекомендации по удалению
- Произвести завершение работы процессов с именами:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Произвести поиск и удаление файла ~tmp0374.exe, а также удалить файл U.exe из корневого каталога диска C:
~tmp0374.exe U.exe
~tmp0374.exe C:\U.exe
