Trojan-Downloader.JS.Twetti.c

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является файлом сценария языка Java Script, добавляемым к различным html-страницам. Имеет размер 6438 байт.

Нагрузка

Если на компьютере пользователя присутствовали cookie с именем "rf5f6ds", тогда троянец завершает свое выполнение. В противном случае, троянец устанавливает cookie с именем "rf5f6ds" на 7 дней.


После этого троянец неявным образом вызывает вредоносную функцию, таким образом противодействуя обнаружению вредоносного кода. Для этого троянец осуществляет HTTP запрос к API социального сервиса Twitter, предавая функции обратного вызова в качестве параметра имя вредоносной функции:

http://search.twitter.com/trends/daily.json?date=&callback=callback2
где: yyyy – текущий год
mm – месяц
dd - число


В результате, Twitter возвращает скрипт, вызывающий вредоносную функцию и список наиболее популярных тем за день. Вредоносная функция производит внедрение в текущую страницу скрытого фрейма, в котором выполняется обращение к ресурсу со случайным именем, зависящим от текущей даты, а также наиболее популярной темы:

http://<доменное имя>.com/nte/goldmn.py

Где доменное имя – набор латинских букв, генерируемых троянцем.


Злоумышленник заранее получает имена генерируемых доменов и регистрирует их. После чего размещает на них вредоносные объекты для загрузки пользователями. На момент создания описания троянец выполнял обращение к ресурсу, который содержал вредоносный файл, детектирующийся антивирусом Касперского как HEUR:Trojan-Downloader.Script.Generic и предназначенный для загрузки других вредоносных файлов.

Инструкции по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Очистить каталог Temporary Internet Files:
    %Temporary Internet Files%
  3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).