Trojan-Downloader.JS.Psyme.im
Материал из Total Malware Info
Trojan-Downloader.JS.Psyme.im Троянская программа, которая без ведома пользователя скачивает и запускает на компьютере пользователя другие программы. Представляет собой HTML страницу, на которой размещен зашифрованный сценарий языка Visual Basic Script. Имеет размер 3388 байт.
Деструктивная активность
После активации, при помощи сценариев Java Script, выполняется расшифровка и запуск вредоносного скрипта на выполнение. Далее троянец выполняет проверку на совместимость с браузером. Выполнение вредоносного кода происходит только в браузере MS Internet Explorer. Используя уязвимость в ActiveX объекте "RDS.DataSpace" (MS06-014), который имеет следующий уникальный идентификатор в системном реестре:
{BD96C556-65A3-11D0-983A-00C04FC29E36}
а также используя уязвимость в ActiveX компоненте "Microsoft.XMLHTTP2" троянец выполняет загрузку файла по следующей ссылке:
http://traff******r.org/exp/svc.exe
(На момент создания описания ссылка не работала.) Затем, при помощи ActiveX компонента "ADODB.Stream", троянец сохраняет загруженный файл во временной каталог текущего пользователя под следующим именем:
%Temp%\kvakasb.exe
В завершении троянец запускает сохраненный файл на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
- Отключить уязвимый ActiveX объект (Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer).
- Установить обновления:
%Temp%\kvakasb.exe
http://www.m*******t.com/technet/security/Bulletin/MS06-014.mspx
