Trojan-Downloader.Win32.Agent.mee

Chia sẻ: Dg Dgd | Ngày: | Loại File: PDF | Số trang:5

Thêm vào BST

Báo xấu

57
lượt xem 3
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Trojan-Downloader.Win32.Agent.mee .Chi tiết kỹ thuật Chương trình nguy hiểm này là một trojan. Nó là một file Windows PE. Kích cỡ của file tiêm nhiễm có thể vào khoảng từ 70KB đến 260KB. Nó không được nén và được viết bằng Delphi. Cài đặt Khi khởi động, trojan này copy bản thân nó vào thư mục con "intetsrv" của thư mục Windows với cài tên "lsass.exe" %System%\inetsrv\lsass.exe Hai thuộc tính "Hidden" và "read only" được gán cho file này. Để đảm bảo cho Trojan này được khởi động tự động mỗi khi hệ thống khởi động lại, nó sẽ đăng kí file thực thi của...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Trojan-Downloader.Win32.Agent.mee

Trojan-Downloader.Win32.Agent.mee
Chi tiết kỹ thuật Chương trình nguy hiểm này là một trojan. Nó là một file Windows PE. Kích cỡ của file tiêm nhiễm có thể vào khoảng từ 70KB đến 260KB. Nó không được nén và được viết bằng Delphi. Cài đặt Khi khởi động, trojan này copy bản thân nó vào thư mục con "intetsrv" của thư mục Windows với cài tên "lsass.exe" %System%\inetsrv\lsass.exe Hai thuộc tính "Hidden" và "read only" được gán cho file này. Để đảm bảo cho Trojan này được khởi động tự động mỗi khi hệ thống khởi động lại, nó sẽ đăng kí file thực thi của nó vào trong registry như sau: [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load" = "%System%\inetsrv\lsass.exe"
Khoá này để đảm rằng Trojan sẽ được khởi động trước khi user truy cập vào Windows Trojan cũng tạo một giá trị đơn nhất, "izokraSizokras" để làm tín hiệu nhận biết cho sự có mặt của nó trong hệ thống Nó tạo ra khoá registry sau: [HKLM\Software\Microsoft\Internet Explorer\inet.] "Day" = "" Hoạt động Trojan copy bản thân nó vào tất cả các ổ đĩa logic, ổ đĩa di động, ổ đĩa mạng (có khả năng ghi) như dưới đây: :\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\lsass.exe chỉ đến ổ đĩa Đồng thời nó cũng thêm vào file sau trên mỗi thư mục gốc của mỗi ổ đĩa:
:\autorun.inf File này sẽ khởi động file thực thi của trojan mỗi khi user mở ổ đĩa bị tiêm nhiễm bằng cách nhấp trực tiếp vào ổ đĩa đó. Thuộc tính "Hidden" và "Read only" được gán cho tất cả các file được tạo bởi Trojan. Hướng dẫn gỡ bỏ Nếu máy tính của bạn không có một trình antivirus được cập nhật thường xuyên, hoặc không có một giải pháp antivirus hiệu quả, hướng dẫn sau sẽ giúp bạn xoá nó: 1. Dùng Task Manager để xác định tiến trình của Trojan 2. Xoá các khoá registry sau: [HKLM\Software\Microsoft\Internet Explorer\inet.] "Day" = ""
3. Xoá các giá trị tham số registry sau: [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load" = "%System%\inetsrv\lsass.exe" 4. Xoá file Trojan gốc (đường dẫn phụ thuộc vào việc chương trình gốc tiêm nhiễm vào hệ thống như thế nào) 5. Xoá các file sau: %System%\inetsrv\lsass.exe :\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\lsass.exe :\autorun.inf 6. Cập nhật cơ sở dữ liệu của trình antivirus và thực hiện quét "full scan".