Trojan.JS. Fraud.al

Троянская программа, выполняющая мошеннические действия. Представляет собой HTML страницей, содержащий сценарии языка Java Script. Имеет размер 77919 байт.

name="doc3">

Деструктивная активность

Злоумышленник регистрирует множество доменов и размещает на них данный троянец.

Для своего корректного выполнения, троянец импортирует дополнительные файлы, которые размещаются в корневом каталоге на сервере злоумышленника.

После открытия мошеннического сайта пользователь увидит следующее сообщение:

После этого троянец отображает в браузере пользователя окно, аналогичное окну "проводника Windows", затем выполняет имитацию сканирования каталогов и файлов. Имена найденных вредоносных файлов выбирает случайным образом из списка:

Adware.Win32.Winad
Adware.Win32.Look2me.ab
AdvWare.Hotbar
Backdoor.Win32.Haxdoor.gu
Trojan-Downloader.Win32.Small.dge
Trojan-PSW.Win32.LdPinch.abm
Trojan.Qoologic - Key Logger
Trojan Horse IRC/Backdoor.SdBot4.FRV
SHeur.ZSQ
W32.Benjamin.Worm
W95/Elkern F-Secure
W32.Mypics.Worm.36352
W32.Nimda.J@mm
W32.Yaha.B@mm
Trojan Horse Generic11.OQJ
Trojan Horse IRC/Backdoor.SdBot4.FRV
Magic DVD Ripper
Trojan virtumonde
Win32/Hoax.Renos.HX
Trojan-Downloader.Win32.Small.fxf
Trojan-Downloader.Win32.Tibs.tc
Trojan.Fakealert.355

В окне также указаны версии браузера и операционной системы пользователя:

Для выполнения лечения якобы найденных вредоносных файлов троянец предлагает загрузить программу:

http://<имя домена>/down.php?c=917

Как правило, загружаемый файл является другой вредоносной программой, имитирующей функционал антивирусов.