Trojan-Downloader.Win32.Braidupdate.c (Kaspersky Lab) còn được biết đến với các tên: TrojanDownloader.Win32.Braidupdate.c (Kaspersky Lab), Trojan.Braid (Doctor Web), TROJ_BRAIDUPDT.C (Trend Micro), TR/Dldr.Braidupda.C (H+BEDV), Win32:Trojano-363 (ALWIL), Downloader.Braidupdate.C (Grisoft), Worm.WinUpToDate (ClamAV), Trj/Downloader.PO (Panda), Win32/TrojanDownloader.Braidupdate.C (Eset)Bí danh Hiểm họa TrojanDownloader
Chi tiết kỹ thuật
Trojan này sẽ download chương trình khác thông qua Internet và khởi chạy nó trên máy tính nạn nhân mà người dùng không hề biết hay cho phép. Nó là một file Windows EXE, có dung lượng 79360 byte và được viết bằng ngôn ngữ C++.
Cài đặt
Để đảm bảo Trojan tự động chạy mỗi khi hệ thống khởi động, Trojan đăng ký file thực thi của nó vào registry hệ thống:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RunWindowsUpdate" = "<path to executable Trojan file> "
Hoạt động
Một khi đã hoạt động, Trojan sẽ tạo khóa sau trong registry hệ thống:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunWindowsUpdate]
"Gid" = "026133246127060045718030656336"
Nó sau đó sẽ gửi request sau:
http://www.uptodate.browse*****.com/perl/uptodate.pl?action=any&gid=026133246127060045718030656336&clientversion=1.0.7
_ST&county=&cls=&isof=00
Trong quá trình liên hệ với địa chỉ URL trên, một tham biến được bổ sung để truyền tải phiên bản mới nhất của Trojan. Nếu Trojan không có phiên bản mới, máy chủ sẽ gửi về một thông số là “OK”, còn ngược lại, nó sẽ gửi về một liên kết tới file có chứa nội dung phiên bản mới. Trojan sau đó sẽ download về phiên bản này và lưu nó vào thư mục Temp của máy tính dưới dạng tên:
%Temp%\_ps_inst.exe
File này sau đó sẽ tự động thực thi.
Hướng dẫn gỡ bỏ
Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:
1. Xóa file Trojan gốc (vị trí file tùy thuộc vào cách nó xâm nhập ban đầu vào máy tính nạn nhân).
2. Xóa các khóa registry hệ thống sau:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunWindowsUpdate]
"Gid" = "026133246127060045718030656336"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RunWindowsUpdate" = "<path to executable Trojan file> "
3. Xóa các file trong thư mục Temp trên máy tính (%Temp%).
4. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.