Trojan-Downloader.JS.Multi.ca

Ngày phát hiện: 13 – 05 – 2008
Hiểm họa: TrojanDownloader
Nền tảng: JS

Chi tiết kỹ thuật

Trojan này download một chương trình khác thông qua Internet và khởi chạy nó trên máy tính nạn nhân mà người dùng máy không hề biết hay cho phép. Nó mã hóa Java Script trong một tài liệu HTML. Dung lượng của nó là 14147 byte.

Hoạt động

Khi trang bị nhiễm độc được mở ra bằng trình duyệt web, người dùng sẽ nhận được một thông báo:

Not Found
The requested URL / was not found on this server.

Trojan sau đó giải mã chính bản thân nó và khởi chạy kịch bản mã độc để thực thi. Nó sẽ sử dụng các lỗ hổng được liệt kê sau đây:

1. lỗi tràn bộ đệm trong điều khiển ActiveX Live Picture Corporation DXSurface.LivePicture.FlashPix.1 trong DXTLIPI.DLL khi xử lý "SourceUrl()" (CVE-2007-4336)

2. trong plug-in của Windows Media Player khi xử lý một tham số “src” quá dài trong thẻ "embed" (MS06-006). Lỗ hổng này hiện diện khi plug-in được khởi chạy trong các trình duyệt không phải IE.

3. Trong đối tượng QuickTime.QuickTime" ActiveX (CVE-2004-0431);

để download một file có tên "ldr.exe" từ URL sau:

http://java62.com/load.php****

File download về này có dung lượng 48640 byte. Nó sẽ được phát hiện bởi Kaspersky Anti-Virus như virus Backdoor.Win32.Agent.ich. File này sẽ được lưu vào thư mục hệ thống Windows dưới tên:

%System%\~.exe

File này sau đó khởi chạy quá trình thực thi. Trojan sẽ sử dụng đối tượng ActiveX "Msxml2.XMLHTTP" và các đối tượng có định danh duy nhất trong hệ thống:

{BD96C556-65A3-11D0-983A-00C04FC29E30}
{BD96C556-65A3-11D0-983A-00C04FC29E36}
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}
{0006F033-0000-0000-C000-000000000046}
{0006F03A-0000-0000-C000-000000000046}
{6E32070A-766D-4EE6-879C-DC1FA91D2FC3}
{6414512B-B978-451D-A0D8-FCFDF33E833C}
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
{06723E09-F4C2-43C8-8358-09FCD1DB0766}
{639F725F-1B2D-4831-A9FD-874847682010}
{BA018599-1DB3-44F9-83B4-461454C84BF8}
{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}
{E8CCCDDF-CA28-496B-B050-6C07C962476B}

để download một file có tên gọi "ldr.exe" từ đường dẫn sau:

http://java62.com/load.php?MSIE

Nó sử dụng đối tượng ActiveX "ADODB.Stream" để lưu file này dưới tên:

c:\sys.exe

và bốn ký tự đằng sau như ví dụ sau:

syskmtz.exe
syskqoq.exe

File được download về sau đó sẽ khởi chạy quá trình thực thi.

Hướng dẫn gỡ bỏ

Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:

1. Xóa file gốc của Trojan (vị trí file tùy thuộc vào cách nó xâm nhập ban đầu vào máy tính nạn nhân).

2. Xóa các file sau:

%System%\~.exe
c:\sys.exe

3. Vô hiệu hóa các đối tượng ActiveX bị lỗ hổng

4. Cài đặt các bản vá bảo mật sau:

http://www.microsoft.com/technet/security/Bulletin/MS06-006.mspx

5. Cài đặt phiên bản mới nhất của QuickTime.

6. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.

Thứ Tư, 30/07/2008 10:55
31 👨 884
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp