Trojan-Downloader.JS. Twetti.a

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение.

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Представляет собой HTML документ, содержащий сценарии языка Java Script. Имеет размер 6340 байт.


Деструктивная активность

После запуска троянец осуществляет HTTP запрос к API социального сервиса Twitter:

http://search.twitter.com/trends/daily.json?callback=callback
При этом функции обратного вызова в качестве параметра передается вредоносная функция троянца. В результате, Twitter возвращает список наиболее популярных тем за день. Полученная информация будет использована троянцем для генерации псевдослучайного доменного имени. Обработав полученные данные, троянец определяет текущую дату и по ней вычисляет новую дату - 2 дня до текущей. После этого, формирует очередной запрос:
http://search.twitter.com/trends/daily.json?date=
<yyyy-mm-dd>&callback=callback2
где:

yyyy – год

mm – месяц

dd - число

Дата и названия наиболее популярных тем используются троянцем при генерации доменного имени. Затем производит внедрение в текущую страницу скрытого фрейма, в котором выполняется обращение к ресурсу, расположенном по следующей ссылке:

http://<доменное _имя>.com/ld/avorp1/
Где доменное имя – набор латинских букв, сгенерированных троянцем. Злоумышленник заранее генерирует имя домена по аналогичному алгоритму и регистрирует его. После чего размещает на нем вредоносные объекты для загрузки пользователями. На момент создания описания ссылка не работала. Также вредонос устанавливает на неделю в браузере пользователя cookie с именем "rf5f6ds".