22 ответов в этой теме

[Leshiu]

И ставьте обновления на систему. Это через уязвимости запихали.

Включено и регулярно ставятся.

[pig]

Тогда, видимо, план Б - усиливать пароли администратора.

Понятно, что не Тень, но механизм внедрения чем-то схож.

[mrbelyash]

9. Trojan-Downloader.LittleTroy.js-397

Примитивный, но пакостный троянский скрипт размером 397 байт, написанный на языке Java Script. В машину попадает тем же образом, что и троянская программа TrojanScript.StartPage.
Троянец Trojan-Downloader.LittleTroy.js-397 является программой одноразового действия, т.е. при обращении к нему выполняет свои вредоносные процедуры, после чего завершает свою работу. Никаких ключей в системном реестре троянец не создает.
Троянский скрипт автоматически срабатывает под всеми ОС Windows до 2K/XP с установленными пакетами обновлений SP?, где его (скрипта) запуск будет заблокирован системой безопасности (Брэндмауэром). Вредоносные действия троянца заключаются в следующем: он пытается скрытно загрузить в машину троянскую программу одного из семейств "PdPinch" или "LdPinch", аналогичные Trojan-Spy.Mlogr.9584, Trojan-PSW.InvisibleThief.23019 или Trojan-PSW.InvisibleThief.32768 по ссылке

http://www.my-rostov.%.ru/files/services.exe

Далее Trojan-Downloader.LittleTroy.js-397 записывает скаченный файл в каталог с установленным Windows Media Player'ом (если в данный момент данная программа неактивна):

C:\Program Files\Windows Media Player\wmplayer.exe

На машинах с установленным Windows Media Player'ом версии 8.0 (???) или выше оригинальный файл wmplayer.exe будет перезаписан вышеуказанной троянской программой, которая будет автоматически запущена на выполнение при обращении системы к проигрывателю Windows Media Player. В данном случае, запуск троянца wmplayer.exe будет возможен только при том условии, что на машине пользователя установлен Windows Media Player версии 8.0 или выше, работающий в системе как проигрыватель "по умолчанию". На машинах с установленным Windows Media Player'ом версии ниже 8.0 (например, в Windows 98, 98 SE или ME без установленных обновлений) троянец также будет записан как wmplayer.exe, но никогда не будет автоматически запущен на выполнение при обращении системы к проигрывателю, поскольку аналогичный компонент последнего называется mplayer2.exe и, естественно, не будет перезаписан троянской программой.
Троянский скрипт Trojan-Downloader.LittleTroy.js-397 антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.VBS.Psyme.a
Антивирус DrWeb: VBS.Psyme.126
Антивирус BitDefender Professional: Generic.XPL.ADODB.BC499C27