Ngày phát hiện: 25/09/2007
Hiểm họa: TrojanDownloader
Chi tiết kỹ thuật
Trojan này download chương trình mã độc khác thông qua Internet và khởi chạy nó trên máy tính nạn nhân mà người dùng không hề biết hay cho phép. Nó là một file EXE và có dung lượng 133120 byte.
Cài đặt
Khi khởi chạy, Trojan sẽ copy file thực thi của nó vào thư mục gốc của Windows:
%WinDir%\iexplorer.exe
Để đảm bảo rằng Trojan sẽ tự động chạy mỗi khi hệ thống được khởi động, Trojan sẽ thêm một đường dẫn để file thực thi trong registry hệ thống:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IE" = "%WinDir%\iexplorer.exe"
Ngoài ra, Trojan còn thêm một rule vào Windows Firewall để cho phép nó có thể thực hiện bất kỳ hoạt động bất hợp pháp nào đối với mạng.
Hoạt động
Trojan sẽ download các file từ những URL sau:
http://www.site*****.com/top7_1.gif
http://www.site*****.com/top7_2.gif
http://www.sugo*****.kr/bbs/icon/private_name/top7_1.gif
http://www.sugo*****.kr/bbs/icon/private_name/top7_2.gif
Tại thời điểm viết bài viết này thì những link này không còn hoạt động
Các file được download về sẽ lưu tại:
C:\Documents and Settings\All Users\winsql.dat
C:\Documents and Settings\All Users\DirectX.aud
C:\Documents and Settings\All Users\services.exe
C:\Documents and Settings\All Users\comctl64.dll
Một khi đã download thành công, các file sẽ bắt đầu các hoạt động thực thi.
Trojan cũng mở một đường link mà người dùng không hề biết hay đồng ý:
http://pag*****.terra.com.br/arte/sonhosepoemas/paixao/cartao059.htm
Hướng dẫn gỡ bỏ
Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:
1. Sử dụng Task Manager để dừng quá trình hoạt động của chương trình mã độc
2. Xóa file backdoor gốc (vị trí file tùy thuộc vào cách nó xâm nhập ban đầu vào máy tính nạn nhân).
3. Xóa tham số khóa registry hệ thống sau:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IE" = "%WinDir%\iexplorer.exe"
4. Xóa các file sau:
%WinDir%\iexplorer.exe
C:\Documents and Settings\All Users\winsql.dat
C:\Documents and Settings\All Users\DirectX.aud
C:\Documents and Settings\All Users\services.exe
C:\Documents and Settings\All Users\comctl64.dll
5. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.