Trojan-Downloader. VBS.Agent.fe

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие файлы и запускает их на исполнение.

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие файлы и запускает их на исполнение. Является html-страницей, содержащей сценарии языков Visual Basic Script и Java Script. Имеет размер 6881 байт.

Деструктивная активность

После активации троянец производит расшифровку и внедрение своего кода в память процесса, имеющего следующий уникальный идентификатор в системном реестре:

{BD96C556-65A3-11D0-983A-00C04FC29E36}

Используя уязвимость в ActiveX-компоненте «XMLHTTP», троянец загружает файлы со следующего URL:

http://shengyang.tacocity.com.tw/*****/b14.jpg

Данный файл имеет размер 87040 байт и детектируется Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.ixi.

Используя уязвимость в ActiveX-компоненте «ADODB.Stream», троянец сохраняет скачанный файл во временный каталог текущего пользователя Window под именем «svchovt.com»:

%Temp%\svchovt.com

Скачанный файл сохраняется в корневом каталоге диска С: под следующим именем:

C:\boot.com

Далее троянец, используя уязвимость, существующую из-за ошибки при проверке входных данных в «EDraw.OfficeViewer» («officeviewer.ocx») ActiveX-компоненте при обработке аргументов в методе «HttpDownloadFile()», производит загрузку файла с вышеуказанного URL и сохраняет его как:

C:\test.exe

Затем троянец, используя уязвимость в ActiveX-компоненте «WebViewFolderIcon», в методе «setSlice()», производит переполнение буфера обмена (MS06-057) и загружает файл со следующего URL:

http://www.livehome.com.tw/*****/a.jpg

Данный файл имеет размер 88044 байта и детектируется Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.ixi.

Данный файл сохраняется в системном каталоге Windows под именем «a.exe»:

%System%\a.exe

Далее скачанные файлы запускаются на исполнение.