Trojan-Clicker.HTML. IFrame.bk

Троянская программа, выполняющая несанкционированное обращение к интернет-ресурсам без ведома пользователя.

Троянская программа, выполняющая несанкционированное обращение к интернет-ресурсам без ведома пользователя. Представляет собой HTML документ, содержащий в себе вредоносные сценарии Java Script (JS). Размер зараженных файлов может существенно различаться.

Деструктивная активность

После открытия зараженной страницы троянец расшифровывает и запускает на выполнение вредоносные JS скрипты. В результате троянец производит внедрение в текущую HTML страницу два скрытых фрейма, при загрузке которых происходит обращение к интернет ресурсам расположенным по следующим ссылкам:

http://ru***.info/forum/index.php
http://***termediagroup.com/ts/in.cgi?reyden
При открытии первого URL, осуществляется перенаправление на ресурс:
http://ru***.info/forum/load.php?spl=mdac

с которого, во временный каталог текущего пользователя Windows загружается файл с именем:

%Temp%\winZSRyU7CpTw6D.exe

Данный файл имеет размер 20128 байт и детектируется Антивирусом Касперского как Trojan.Win32.SubSys.dr.

После выполнения скрытого обращения к интернет ресурсу:

http://***termediagroup.com/ts/in.cgi?reyden

происходит перенаправление и открытие в браузере пользователя файла скрипта "robo.php", который находится по ссылке:

http://***sm-movies.info/robo.php

Данный файл скрипт имеет размер 3121 байт и детектируется Антивирусом Касперского как Trojan-Clicker.HTML.IFrame.ql.