Trojan.Win32.Agent.dcc

Chia sẻ: Dg Dgd | Ngày: | Loại File: PDF | Số trang:5

Thêm vào BST

Báo xấu

93
lượt xem 16
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Trojan.Win32.Agent.dcc .Chi tiết kỹ thuật Cài đặt Khi được khởi chạy, Trojan sẽ sao chép chính bản thân file thực thi của nó vào vị trí sau: %System%\drivers\runtime.sys Để đảm bảo rằng Trojan sẽ khởi chạy mỗi khi hệ thống được bật, nó tạo một dịch vụ hệ thống với tên gọi “Runtime”, dịch vụ này sẽ chạy file thực thi của Trojan mỗi khi Windows được tải. Khóa registry sau sẽ được tạo: [HKLM\System\CurrentControlSet\Services\runtime] Sau khi cài đặt thành công, Trojan sẽ xóa file gốc của chính nó. Trojan này có tải mã độc. Nó là một file Windows EXE có dung...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Trojan.Win32.Agent.dcc

Trojan.Win32.Agent.dcc
Chi tiết kỹ thuật Cài đặt Khi được khởi chạy, Trojan sẽ sao chép chính bản thân file thực thi của nó vào vị trí sau: %System%\drivers\runtime.sys Để đảm bảo rằng Trojan sẽ khởi chạy mỗi khi hệ thống được bật, nó tạo một dịch vụ hệ thống với tên gọi “Runtime”, dịch vụ này sẽ chạy file thực thi của Trojan mỗi khi Windows được tải. Khóa registry sau sẽ được tạo: [HKLM\System\CurrentControlSet\Services\runtime] Sau khi cài đặt thành công, Trojan sẽ xóa file gốc của chính nó. Trojan này có tải mã độc. Nó là một file Windows EXE có dung lượng 20480 byte. Hoạt động
Trojan có chứa một driver rootkit, nó sẽ che giấu sự hiện diện của các file Trojan trong ổ cứng và cũng che dấu cả các file sau: %System%\ntoskrnl.exe %System%\ntkrnlpa.exe %System%\ntkrnlmp.exe %System%\ntkrpamp.exe Đồng thời, có chũng che giấu cả các hoạt động diễn ra của các file. Trojan khởi chạy một quá trình ẩn dưới tên "iexplore.exe". Nó tiêm nhiễm mã đọc của nó vào trong quá trình này và sau đó download các file từ những địa chỉ sau: 208.66.194.*** 66.246.252.*** 208.66.195.*** 74.53.42.*** 74.53.42.*** Các file được download về được lưu tại: %TEMP%\.exe
Với là một chuỗi số ngẫu nhiên. Sau khi download thành công, các file này sẽ bắt đầu quá trình hoạt động. Hướng dẫn gỡ bỏ Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính: 1. Sử dụng Task Manager để dừng quá trình hoạt động của chương trình mã độc 2. Xóa khóa registry hệ thống sau: [HKLM\System\CurrentControlSet\Services\runtime] 3. Xóa file sau: %System%\drivers\runtime.sys
4. Xóa các file có trong thư mục %Temp% 5. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.