Exploit.Win32.MS05-013.h

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость MS05-013.

Технические детали

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость MS05-013. Данный скрипт использует кросс-доменную уязвимость в Microsoft IE DHTML Editing ActiveX control (оболочка для MSHTML редактора в виде компонента ActiveX, предоставляющая функции редактирования текста и HTML). Эта уязвимость позволяет злоумышленнику запускать скрипт в Local Machine Zone, который может использоваться для загрузки и исполнения какого-либо вредоносного кода, а также читать и модифицировать данные в других доменах. Является HTML-страницей, содержащей сценарии языка JavaScript. Имеет размер 34776 байт.

MD5: 67e330ffb5ff0c7c7a02e934cc7a930e
SHA1: 1d6d8670814590f20ef2f896e3f4d49a4623ab55


Деструктивная активность

Эксплоит открывает следующий сайт:

http://part***.***088.ru/out.php?id=14
DHTML Editing Control получает его контекст безопасности, но в то же время находится под полным управлением запустившей его страницы. Таким образом, загружаемый данным компонентом сайт может косвенно, через DHTML Editing Control, получить доступ к информации в другой зоне безопасности или домене.

На момент создания описания ссылка не работала.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл программы (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы:
    %Temporary Internet Files%
  3. Загрузить и установить обновление.