Троянская программа. Написана на языке JavаScript. Является документом
HTML. Имеет размер 312 байт.
При загрузке страницы, браузер автоматически начинает открывать
бесконечное количество окон, пытающихся загрузить локальный ресурс
die.htm, что приводит к нарушению работы компьютера.
Троянская программа. Является приложением Windows (PE EXE-файл). Имеет
размер 20480 байт. Написана на Visual Basic.
После запуска троянец посылает следующий HTTP-запрос: http://wwww.ne***.com/rankboost.php?0
Результатом этого запроса является страница, содержащая текст следующего
скрипта JavаScript, который будет выполнен сразу же после выполнения
запроса:
В этом скрипте происходит получение содержимого веб-страницы,
генерируемой скриптом cs.php по адресу
http://www.ne***.com/deliver/cs.php через 99 секунд после выполнения
предыдущего скрипта. На этой странице размещено два других скрипта. В
первом происходит анализ размера окна браузера, и если оно больше или
равно 300 пикселям, то происходит перенаправление на сайт
http://www.ne***.com. В противном случае выполняется скрипт,
посылающий поисковый запрос на один из следующих поисковиков: http://www.bit***.com
http://www.xit***.com
При каждом вызове скрипта cs.php для поискового запроса генерируется
новое слово. Новый вызов повторяется через определенный промежуток
времени для следующего слова поиска.
Trojan-Downloader
Win32.Nurech.l
Троянская программа, которая осуществляет загрузку из интернета и запуск
на компьютере пользователя других вредоносных программ. Программа
является приложением Windows (PE EXE-файл). Имеет размер 5554 байта.
Упакована при помощи FSG. Распакованный размер — около 32 КБ. Написана
на C++.
Первоначально данный троянец был разослан при помощи спам рассылки.
После запуска троянец производит чтение последних 255 байт своего тела.
В них в зашифрованном виде расположены ссылки на файлы для скачивания
(%URL%). После расшифровки проверяется правильность строки со ссылкой
(первый символ должен быть «H» или «h»). В случае анализируемого объекта
это следующие ссылки: http://marina.users.*************.com/1/1.exe — детектируется
Антивирусом Касперского как Trojan-Spy.Win32.BZub.gd, 96984 байта; http://marina.users.*************.com/1/zupacha.exe —
детектируется Антивирусом Касперского как Trojan-Proxy.Win32.Cimuz.ci,
17920 байт; http://marina.users.*************.com/1/chii.exe —
детектируется Антивирусом Касперского как Trojan-Proxy.Win32.Cimuz.bw,
48128 байт.
Загруженные файлы сохраняются в корневом каталоге Windows
(%WinDir%).
После загрузки каждого из файлов происходит их последующий запуск на
исполнение.