ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Exploit.HTML.ObjData

Classe Exploit
Plataforma HTML
Descrição

Detalhes técnicos

ObjData é um exploit frequentemente visto em mailings de spam.

ObjData tenta usar as vulnerabilidades de tipo de objeto e duas vulnerabilidades que podem permitir que um invasor faça com que um código arbitrário seja executado no sistema do usuário no MS Windows descrito nos seguintes boletins de segurança:

Essas vulnerabilidades são críticas, pois permitem a execução de códigos maliciosos aleatórios quando os usuários visitam páginas HTML especialmente construídas.

Uma amostra de código do final do arquivo:

Descriptografia acima:

 http://www.fatbonuscasino.com/page.php 

Quando os usuários se conectam a este site, uma cadeia de cavalos de Tróia atinge:

  • Trojandropper.VBS.Zerolin que extrai o TrojanDropper.Win32.Small.ei de si mesmo e o executa.
  • O Small.ei, por sua vez, extrai mais dois Trojans de si mesmo: TrojanNotifier.Win32.Small.d e TrojanProxy.Win32.Daemonize.j.

De outros

Se um produto antivírus da Kaspersky identificou esse código malicioso no seu sistema entre as 18:00 e as 22:00, horário de Moscou [GMT + 3], em 1º de novembro de 2004, é possível que este tenha sido um alarme falso. Recomendamos que você atualize seu produto e verifique novamente para garantir.


Link para o original