Ngày phát hiện: 21/08/2008
Chi tiết kỹ thuật
Trojan này sẽ download chương trình khác thông qua Internet và khởi chạy nó trên máy tính nạn nhân mà người dùng không hề biết hay cho phép. Nó là một file EXE có kích thước trong khoảng từ 18KB tới 47KB.
Hoạt động
Trojan sẽ liên hệ tới website sau:
http://xanjan.cn/*****update.txt
Đây là một danh sách các file sẽ được download về máy. File danh sách này sẽ được download về vào thư mục:
%Application Data%\update.dat
Các link trong file đã được mã hóa. Trojan sau đó sẽ download các file từ link trong file và lưu chúng tại:
%Application Data%\<rnd>.exe
<rnd> là từ viết tắt cho chuỗi ngẫu nhiên các số và chữ, ví dụ: m2zpp.exe, 43m66m.exe.
Sau khi các file đã được download về máy, chúng sẽ khởi chạy thực thi và sau đó tự xóa chính mình. Nếu các file download về là file dll, chúng sẽ tự đăng ký vào registry hệ thống và được khởi động mỗi khi hệ thống hoạt động.
Sau khi đã phát tán xong hoạt động của mình, Trojan gốc sẽ xóa chính nó khỏi máy tính nạn nhân.
Hướng dẫn gỡ bỏ
một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:
1. Xóa file Trojan gốc (vị trí file tùy thuộc vào cách nó xâm nhập ban đầu vào máy tính nạn nhân).
2. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.