Trojan-Downloader.JS. Twetti.a

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Представляет собой HTML документ, содержащий сценарии языка Java Script. Имеет размер 6340 байт.

name="doc3">

Деструктивная активность

После запуска троянец осуществляет HTTP запрос к API социального сервиса Twitter:

http://search.twitter.com/trends/daily.json?callback=callback

При этом функции обратного вызова в качестве параметра передается вредоносная функция троянца. В результате, Twitter возвращает список наиболее популярных тем за день. Полученная информация будет использована троянцем для генерации псевдослучайного доменного имени. Обработав полученные данные, троянец определяет текущую дату и по ней вычисляет новую дату - 2 дня до текущей. После этого, формирует очередной запрос: где:

yyyy – год

mm – месяц

dd - число

Дата и названия наиболее популярных тем используются троянцем при генерации доменного имени. Затем производит внедрение в текущую страницу скрытого фрейма, в котором выполняется обращение к ресурсу, расположенном по следующей ссылке:

http://<доменное _имя>.com/ld/avorp1/

Где доменное имя – набор латинских букв, сгенерированных троянцем. Злоумышленник заранее генерирует имя домена по аналогичному алгоритму и регистрирует его. После чего размещает на нем вредоносные объекты для загрузки пользователями. На момент создания описания ссылка не работала. Также вредонос устанавливает на неделю в браузере пользователя cookie с именем "rf5f6ds".