Trojan-Downloader.JS.Psyme.ih

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Downloader.JS.Psyme.ih Троянская программа, которая без ведома пользователя скачивает и запускает на компьютере пользователя другие программы. Представляет собой HTML страницу, на которой размещен зашифрованный сценарий языка Visual Basic Script. Имеет размер 1887 байт.

Деструктивная активность

После открытия зараженной страницы, используя сценарий Java Script, троянец выполняет расшифровку вредоносной части тела скрипта. После чего запускает расшифрованный скрипт на выполнение в браузере пользователя. Используя уязвимость в ActiveX компоненте "RDS.DataSpace" (MS06-014), который имеет следующий уникальный идентификатор в системном реестре: 

{BD96C556-65A3-11D0-983A-00C04FC29E36}

а также используя уязвимость в ActiveX компоненте "Microsoft.XMLHTTP" троянец выполняет загрузку файла, расположенного по следующей ссылке: 

http://cool******.com/wangma/xiazaize.exe

После этого, при помощи ActiveX компонента "ADODB.Stream", троянец сохраняет загруженный файл во временный каталог текущего пользователя под следующим именем: 

%Temp%\svchost.exe

Затем троянец запускает данный файл на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файл:
    3. %Temp%\svchost.exe
  3. Отключить уязвимый ActiveX объект (Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer).
  4. Установить обновления:
    5. http://www.m*******t.com/technet/security/Bulletin/MS06-014.mspx
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Downloader.JS.Psyme.ih»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.