Trojan-Downloader.JS. Small.os

Вредоносная программа, выполняющая деструктивные действия на компьютере пользователя. Представляет собой HTML документ, который содержит сценарии языка Java Script. Имеет размер 10888 байт.

name="doc3">

Деструктивная активность

После запуска троянец пытается запустить вредоносный Java-апплет, который располагается по ссылке:

http://ss***ce.in/wiki/j.php

Для апплета, в качестве главного класса, задается класс с именем:

SiteError.class

При запуске апплета в виде параметров передаются следующие значения:

ARCHIVE = http://ss***ce.in/wiki/j.php
Type = application/x-java-applet; version=1.6
Scriptable = false
url = http://ss***ce.in/wiki/exe.php?x=jjar

Затем троянец выполняет сценарий Java Script, который располагается на странице в кодировке Base64. Троянец определяет версию ОС, а также версии установленных браузеров MS Internet Explorer. Основной вредоносный функционал троянца выполняется в ОС Windows XP и ОС Windows Vista при открытии вредоносного документа в MS Internet Explorer версий 6,7 и 8. Используя уязвимость в Java Deployment Toolkit (JDT), которая возникает из-за некорректной обработки URL, что позволяет злоумышленнику передавать произвольные параметры в Java Web Start (JWS). Злоумышленник специальным образом формирует ссылку и передает ее в качестве параметра уязвимой функции "launch()". Таким образом, троянец загружает и запускает на выполнение вредоносный JAR архив, файл которого располагается по ссылке:

http://ss***ce.in/public/photo.jpg 

Также передает ссылку для загрузки:

http://ss***ce.in/wiki/exe.php?x=jdt0

Для выполнения вредоносного сценария в MS Internet Explorer, троянец использует ActiveX объекты с уникальными идентификаторами:

{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}
{8AD9C840-044E-11D1-B3E9-00805F499D93}

Для выполнения в Mozilla Firefox и в других NPAPI браузерах, троянец определяет следующие MIME типы:

application/npruntime-scriptable-plugin;deploymenttoolkit
application/java-deployment-toolkit

Далее вредонос пытается эксплуатировать уязвимости в Sun Microsystems Java (CVE-2009-3867) и (CVE-2008-5353). Для этого вредонос выполняет загрузку эксплоитов с зараженного сервера, а также при помощи загружаемого Java-класса выполняет вредоносный шелл-код непосредственно на зараженной странице. Вредонос загружает и запускает апплет, JAR-файл которого находится по ссылке:

http://ss***ce.in/wiki/nc.php

в качестве главного класса, задается класс с именем:

KAK.NED.sexxxy.class

Данный класс имеет размер 5226 байт, детектируется антивирусом Касперского как Exploit.Java.Agent.cu.

При запуске апплета в виде параметров передаются следующие значения:

crimepack = http://ss***ce.in/wiki/exe.php?x=jas
count = 1

При помощи данного апплета троянец загружает по ссылке, указанной в качестве параметра, вредоносное ПО и запускает на его выполнение.

Также вредонос загружает и запускает апплет, JAR-файл которого располагается по ссылке:

http://ss***ce.in/wiki/midi.php

в качестве главного класса, выступает класс с именем:

AppleT.class

Данный класс имеет размер 4643 байта, детектируется антивирусом Касперского как Exploit.Java.Agent.de. В параметре с именем "sc" апплету передается заранее сформированный злоумышленником шелл-код. Таким образом вредонос использует уязвимость, которая возникает при некорректной обработке параметра функции getSoundBank() (CVE-2009-3867) в Sun Java SE. При этом троянец пытается выполнить загрузку файла, который располагается по ссылке:

http://ss***ce.in/wiki/exe.php?x=midi

сохранить его в каталог хранения временных файлов текущего пользователя под именем:

%Temp%\e.exe

и запустить его на выполнение.

Затем, если вредоносный код выполняется в браузере MS Internet Explorer 7 и под ОС Windows XP – троянец использует уязвимость, которая возникает при некорректной обработке функцией "MPC::HexToNum" escape-последовательностей в URL приложений Microsoft Windows Help и Support Center (helpctr.exe) (MS10-042, CVE-2010-1885). Успешное использование уязвимости позволяет злоумышленнику выполнить команды, которые передаются в специально сформированном "hcp://" URL. Вредонос, используя ActiveX объект "Microsoft.XMLHTTP" выполняет загрузку файла, который располагается по следующему URL:

http://ss***ce.in/wiki/help.php?s=newhcp

и затем, используя ActiveX объект "ADODB.Stream", сохраняет его в каталоге хранения временных файлов текущего пользователя под именем:

%Temp%\exe.exe

Используя командную строку, троянец запускает на выполнение загруженный файл, а также завершает процесс центра справки и поддержки Microsoft Windows:

HelpCtr.exe 

Если же вредоносный сценарий выполняется в MS Internet Explorer 6 – троянец, используя ActiveX объекты со следующими уникальными идентификаторами:

{BD96C556-65A3-11D0-983A-00C04FC29E30}
{BD96C556-65A3-11D0-983A-00C04FC29E36}
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}
{0006F033-0000-0000-C000-000000000046}
{0006F03A-0000-0000-C000-000000000046}
{6E32070A-766D-4EE6-879C-DC1FA91D2FC3}
{6414512B-B978-451D-A0D8-FCFDF33E833C}
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
{06723E09-F4C2-43C8-8358-09FCD1DB0766}
{639F725F-1B2D-4831-A9FD-874847682010}
{BA018599-1DB3-44F9-83B4-461454C84BF8}
{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}
{E8CCCDDF-CA28-496B-B050-6C07C962476B}

а также используя уязвимости в ActiveX компонентах "MSXML2.XMLHTTP", "Microsoft.XMLHTTP" и "MSXML2.ServerXMLHTTP" (CVE-2006-0003), пытается загрузить файл, расположенный по следующей ссылке:

http://ss***ce.in/wiki/exe.php?x=mdac

и при помощи ActiveX объекта "ADODB.Stream" сохранить полученный файл под именем:

%Temp%\knockout.exe

После этого загруженный файл запускается на выполнение. Затем троянец пытается выполнить скрипт, который располагается по следующей ссылке:

http://ss***ce.in/wiki/js.php

На момент создания описания ссылки не работали.

В завершении троянец открывает HTML страницу "Not Found":

http://www.google.com/404/