Trelp
03.10.2011, 13:48
Технические детали
Троянская программа, использующая для загрузки файлов на компьютер пользователя уязвимость в Macromedia Flash Player. Представляет собой файл флэш-анимации SWF (Shockwave Flash). Имеет размер 1667 байт.
Деструктивная активность
Запуск на выполнение вредоноса происходит после открытия пользователем в браузере специально сформированной злоумышленником HTML страницы. Используя ActiveX объект "Shockwave Flash Object", который имеет уникальный идентификатор:
{D27CDB6E-AE6D-11CF-96B8-444553540000}
троянец проигрывает в браузере вредоносный файл флэш-анимации. При этом файлу флэш-анимации передаются с HTML страницы значения параметров "FlashVars". Данные значения представляют собой модифицированный шелл-код. Далее вредонос выполняет "распыление" (heap spray) шелл-кода по динамической памяти процесса. После успешной эксплуатации уязвимости в Adobe Flash Player – выполняется вредоносный шелл-код. В результате выполнения данного кода происходит загрузка файлов,одним из которых является Trojan-GameThief.Win32.OnLineGames.xwdb
Файлы сохраняются соответственно под следующими именами:
%Documents and Settings%\%Current User%\a.exe C:\n.scr
Затем сохраненные файлы запускаются на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файлы: %Documents and Settings%\%Current User%\a.exe C:\n.scr
Очистить каталог Temporary Internet Files, содержащий инфицированные файлы
Троянская программа, использующая для загрузки файлов на компьютер пользователя уязвимость в Macromedia Flash Player. Представляет собой файл флэш-анимации SWF (Shockwave Flash). Имеет размер 1667 байт.
Деструктивная активность
Запуск на выполнение вредоноса происходит после открытия пользователем в браузере специально сформированной злоумышленником HTML страницы. Используя ActiveX объект "Shockwave Flash Object", который имеет уникальный идентификатор:
{D27CDB6E-AE6D-11CF-96B8-444553540000}
троянец проигрывает в браузере вредоносный файл флэш-анимации. При этом файлу флэш-анимации передаются с HTML страницы значения параметров "FlashVars". Данные значения представляют собой модифицированный шелл-код. Далее вредонос выполняет "распыление" (heap spray) шелл-кода по динамической памяти процесса. После успешной эксплуатации уязвимости в Adobe Flash Player – выполняется вредоносный шелл-код. В результате выполнения данного кода происходит загрузка файлов,одним из которых является Trojan-GameThief.Win32.OnLineGames.xwdb
Файлы сохраняются соответственно под следующими именами:
%Documents and Settings%\%Current User%\a.exe C:\n.scr
Затем сохраненные файлы запускаются на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файлы: %Documents and Settings%\%Current User%\a.exe C:\n.scr
Очистить каталог Temporary Internet Files, содержащий инфицированные файлы