Virus Backdoor.Win32.Agent.ich

Chia sẻ: Dg Dgd | Ngày: | Loại File: PDF | Số trang:6

Thêm vào BST

Báo xấu

124
lượt xem 7
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Virus Backdoor.Win32.Agent.ich .Chi tiết kỹ thuật Đây là loại Trojan được cung cấp từ một kẻ xâm nhập từ xa truy cập vào máy tính nhiễm độc. Nó là một file Windows PE EXE với dung lượng 48.640 byte. Nó được đóng gói bằng UPX. Gói sau bung nén sẽ có dung lượng khoảng 360KB. Cài đặt Trojan sẽ extract file sau từ chính bản thân nó: %System%\aspimgr.exe File này có dung lượng 73728 byte. Kaspersky Anti-Virus không phát hiện ra đây là một file mã độc. File gốc sau đó sẽ được xóa đi. Backdoor sẽ tạo một dịch vụ có tên gọi "Microsoft...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Virus Backdoor.Win32.Agent.ich

Virus Backdoor.Win32.Agent.ich
Chi tiết kỹ thuật Đây là loại Trojan được cung cấp từ một kẻ xâm nhập từ xa truy cập vào máy tính nhiễm độc. Nó là một file Windows PE EXE với dung lượng 48.640 byte. Nó được đóng gói bằng UPX. Gói sau bung nén sẽ có dung lượng khoảng 360KB. Cài đặt Trojan sẽ extract file sau từ chính bản thân nó: %System%\aspimgr.exe File này có dung lượng 73728 byte. Kaspersky Anti-Virus không phát hiện ra đây là một file mã độc. File gốc sau đó sẽ được xóa đi. Backdoor sẽ tạo một dịch vụ có tên gọi "Microsoft ASPI Manager" và điều này đảm bảo cho file thực thi backdoor sẽ được khởi chạy mỗi khi máy tính nạn nhân khởi động.
Hoạt động Trojan này sẽ khởi chạy một máy chủ proxy HTTP trên máy của nạn nhân thông qua cổng TCP 80. Nó sau đó sẽ gửi thông báo rằng máy tính nạn nhân đã bị nhiễm độc tới các địa chỉ sau: 66.199.241.98 82.103.140.75 203.117.175.124 72.21.63.114 66.232.102.169 66.96.196.53 Nó thực hiện việc này bằng cách gửi các request HTTP. Khi bị nhiễm độc, máy tính nạn nhân sẽ trở thành một phần trong mạng zombie và có thể bị sử dụng để gửi spam hoặc thực hiện các cuộc tấn công DoS Backdoor này sẽ tạo các file bản ghi sau: %WinDir%\ws386.ini %WinDir%\db32.txt
%WinDir%\s32.txt %WinDir%\f32.txt Nó tạo khóa registry sau: [HKLM\SOFTWARE\Microsoft\Sft] Và lưu cấu hình của nó vào khóa này. Hướng dẫn gỡ bỏ Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính: 1. Sử dụng Task Manager để ngắt quá trình hoạt động của mã độc 2. Xóa khóa registry sau: [HKLM\SOFTWARE\Microsoft\Sft]
3. Xóa bỏ dịch vụ "Microsoft ASPI Manager" 4. Xóa bỏ các file sau: %WinDir%\ws386.ini %WinDir%\db32.txt %WinDir%\s32.txt %WinDir%\f32.txt %System%\aspimgr.exe 5. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.