Ngày phát hiện: 28/03/2008
Chi tiết kỹ thuật
Chương trình nguy hiểm này là một trojan. Nó là một file Windows PE. Kích cỡ của file tiêm nhiễm có thể vào khoảng từ 70KB đến 260KB. Nó không được nén và được viết bằng Delphi.
Cài đặt
Khi khởi động, trojan này copy bản thân nó vào thư mục con "intetsrv" của thư mục Windows với cài tên "lsass.exe"
%System%\inetsrv\lsass.exe
Hai thuộc tính "Hidden" và "read only" được gán cho file này.
Để đảm bảo cho Trojan này được khởi động tự động mỗi khi hệ thống khởi động lại, nó sẽ đăng kí file thực thi của nó vào trong registry như sau:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "%System%\inetsrv\lsass.exe"
Khoá này để đảm rằng Trojan sẽ được khởi động trước khi user truy cập vào Windows
Trojan cũng tạo một giá trị đơn nhất, "izokraSizokras" để làm tín hiệu nhận biết cho sự có mặt của nó trong hệ thống
Nó tạo ra khoá registry sau:
[HKLM\Software\Microsoft\Internet Explorer\inet.]
"Day" = "<date Trojan launched>"
Hoạt động
Trojan copy bản thân nó vào tất cả các ổ đĩa logic, ổ đĩa di động, ổ đĩa mạng (có khả năng ghi) như dưới đây:
<X>:\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\lsass.exe
<x> chỉ đến ổ đĩa
Đồng thời nó cũng thêm vào file sau trên mỗi thư mục gốc của mỗi ổ đĩa:
<X>:\autorun.inf
File này sẽ khởi động file thực thi của trojan mỗi khi user mở ổ đĩa bị tiêm nhiễm bằng cách nhấp trực tiếp vào ổ đĩa đó.
Thuộc tính "Hidden" và "Read only" được gán cho tất cả các file được tạo bởi Trojan.
Hướng dẫn gỡ bỏ
Nếu máy tính của bạn không có một trình antivirus được cập nhật thường xuyên, hoặc không có một giải pháp antivirus hiệu quả, hướng dẫn sau sẽ giúp bạn xoá nó:
1. Dùng Task Manager để xác định tiến trình của Trojan
2. Xoá các khoá registry sau:
[HKLM\Software\Microsoft\Internet Explorer\inet.]
"Day" = "<date Trojan launched>"
3. Xoá các giá trị tham số registry sau:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "%System%\inetsrv\lsass.exe"
4. Xoá file Trojan gốc (đường dẫn phụ thuộc vào việc chương trình gốc tiêm nhiễm vào hệ thống như thế nào)
5. Xoá các file sau:
%System%\inetsrv\lsass.exe
<X>:\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\lsass.exe
<X>:\autorun.inf
6. Cập nhật cơ sở dữ liệu của trình antivirus và thực hiện quét "full scan".