Resumen
Trojan: JS / Redirector.H es la detección de JavaScript específicas contenidas en las páginas Web. Este troyano puede inyectar JavaScript en una página HTML a través de un ataque de inyección SQL, o pueden estar presentes en un sitio Web malintencionado, y puede redireccionar a los usuarios a otros sitios web que se esperaba. También es posible que un atacante elaborar electrónico basado en HTML mensajes de correo electrónico que contiene la secuencia de comandos.

Superior

Síntomas
No hay síntomas comunes asociados con esta amenaza - enlaces se activan en IFrames mientras se visualiza el contenido Web en las páginas modificado de forma maliciosa. Notificaciones de alerta de software antivirus instalado puede ser el único síntoma (s).

Superior

Información técnica (Análisis)
Trojan: JS / Redirector.H es la detección de JavaScript específicas contenidas en las páginas Web. Este troyano puede inyectar JavaScript en una página HTML a través de un ataque de inyección SQL, o pueden estar presentes en un sitio Web malintencionado, y puede redireccionar a los usuarios a otros sitios web que se esperaba. También es posible que un atacante elaborar electrónico basado en HTML mensajes de correo electrónico que contiene la secuencia de comandos.

La página Web de destino de la redirección puede contener etiquetas IFRAME especialmente formada que apuntan a sitios Web remotos con contenido malicioso, por ejemplo, JavaScript malicioso que contiene un exploit para una vulnerabilidad específica.
Instalación
Este troyano ha sido encontrado inserta en numerosas páginas Web a través de una manta de ataque de inyección SQL, usando una herramienta automatizada.
De carga útil
IFrame la ejecución de código
Trojan: JS / Redirector.H puede ejecutar otro script en un IFRAME llamado "am6.htm" o "am7.htm". La secuencia de referencia (detectado como "Exploit: JS / Repl.B") Puede contener cinco o más hazañas ejecutadas en IFrames:

[Exploit: JS / Repl.B explotar script]

El IFrames detallada sobre el uso de los métodos de ejecución:

1.
Esta IFrame ejecuta en Microsoft Data Access Components (MDAC) ADO control ActiveX conocido como "RDS.Dataspace". Este control contiene una vulnerabilidad que podría permitir la ejecución de código arbitrario en los sistemas que no han actualizado con Microsoft Security Bulletin MS06-014. Las referencias IFrame el código HTML llamado "ax14.htm" (ActiveX MS06-014) que se identifica como "TrojanDownloader: JS / Psyme.BA" o "TrojanDownloader: VBS / Psyme.gen! E".
2.
Esta IFrame ejecuta un control ActiveX para "RealPlayer", conocido como "IERPCtl". Este control contiene una vulnerabilidad de desbordamiento de búfer que podría permitir la ejecución de código arbitrario en los sistemas que no han actualizado con una actualización de la revisión de seguridad de RealNetworks. Hay dos IFrames que se hace referencia, la ejecución de "re10.htm" (RealPlayer 10 exploit) y "re11.htm" (RealPlayer 11 exploit) - ambos son identificados como "Exploit: JS / Repl.C" o "Exploit: HTML / Repl.D"
3.
Esta IFrame ejecuta un control ActiveX para "Ourgame GLWorld", conocido como "GLAvatar". Este control incluye una no divulgada (0 día) la vulnerabilidad que podría permitir la ejecución de código arbitrario. Esto hace referencia a IFrame el código HTML llamado "axlz.htm" (ActiveX plataforma de juego Lianzong) identificados como "Exploit: JS / Gdow.A". Véase "GLAvatar Control"En"Información adicional"Para más información sobre esta vulnerabilidad.

Una variante de este IFrame ejecuta un control ActiveX para "Ourgame GLWorld", conocido como "GLIEDown". Este control contiene una vulnerabilidad que podría permitir la ejecución de código arbitrario. Esta variante también hace referencia a una secuencia de comandos HTML llamado "axlz.htm".
4.
Esta IFrame ejecuta un control ActiveX para "Tormenta StormPlayer Baofeng", conocido como "MPS.StormPlayer". Este control ActiveX contiene múltiples vulnerabilidades de desbordamiento remoto de búfer que podría permitir la ejecución de código arbitrario en los sistemas que ejecutan versiones anteriores a la tormenta 2.7.9.10, Como se menciona en los foros de seguridad y varios sitios Web. Esto hace referencia a IFrame el código HTML llamado "bb.htm", que se identifica como "Exploit: Win32/Senglot.J".
5.
Esta IFrame ejecuta un control ActiveX para "Xunlei Tormenta DapPlayer", conocido como "DPClient.vod". Esto Control ActiveX contiene una vulnerabilidad de desbordamiento de búfer(CVE-2007-5064) que podría permitir la ejecución de código arbitrario. Según FrSIRT, no hay ninguna actualización conocida para mitigar esta vulnerabilidad,. Esto hace referencia a un archivo IFrame "xl.gif" (Xunlei), sin embargo el archivo no estaba disponible en el momento de escribir este artículo.