Trojan-Downloader.JS.Agent.ewh - Обфусцированный вариант трояна типа Gumblar.

Все начинается с того что - троян ворует фтп пароли на комне жертвы, делает конект на сервер, далее следует инъекция в web страницу либо *.js - хотя возможны и некоторые вариации в зависимости от версии трояна.

Точное описание найти трудно.

Троянец (Вариант из того же подсимейства: Trojan-Downloader.JS. Agent.mp), который без ведома пользователя загружает на зараженный компьютер из сети Интернет другие вредоносные программы и запускает их на исполнение. Является сценарием языка Java Script. Имеет размер 9656 байт.

Деструктивная активность

После запуска троянец производит внедрение своего кода в память процессов, имеющих следующие уникальные идентификаторы в системном реестре:

{BD96C556-65A3-11D0-983A-00C04FC29E30}
{BD96C556-65A3-11D0-983A-00C04FC29E36}
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}
{0006F033-0000-0000-C000-000000000046}
{0006F03A-0000-0000-C000-000000000046}
{6e32070a-766d-4ee6-879c-dc1fa91d2fc3}
{6414512B-B978-451D-A0D8-FCFDF33E833C}
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
{06723E09-F4C2-43c8-8358-09FCD1DB0766}
{639F725F-1B2D-4831-A9FD-874847682010}
{BA018599-1DB3-44f9-83B4-461454C84BF8}
{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}
{E8CCCDDF-CA28-496b-B050-6C07C962476B}

Для выполнения произвольного кода в зараженной системе троянец использует уязвимости в ActiveX-компонентах «WinZIP FileView», «QuickTime», «WebViewFolderIcon», а также уязвимость в библиотеке MS Internet Explorer — «Msdds.dll».

Уязвимость в ActiveX-компоненте «XMLHTTP» троянская программа использует для загрузки файла со следующего URL:

http://69.228.192.***/file.php

(На момент создания описания данная ссылка не работала.)

Используя уязвимость компонента «ADODB.Stream», троянец сохраняет скачанный файл в корень диска С: под именем «sys.exe» (где — буквы английского алфавита, отобранные случайным образом):

С:\sys.exe

Также загруженный файл сохраняется в системном каталоге Windows под именами «~.exe»:



%System%\~.exe

и «cpu.exe»:

%System%\cpu.exe

Также файл сохраняется в каталоге, находящемся на уровень выше каталога, содержащего оригинальный файл троянца, — под именем «tm.exe».

## Solution ##

1. Сканим комп с которого заходим по фтп
2. Меняем пароли
3. Закрываем дыры на сайте

Лечилка

_http://www.mczone.ru/relations/num/379/1