Trojan-Downloader.Win32.Small.ydh

Ngày phát hiện: 12/07/2008

Chi tiết kĩ thuật

Trojan này tải về các file khác thông qua Internet và khởi động các file này trên hệ thống của nạn nhân mà nạn nhân không hề hay biết hay cho phép nó. Đây là một file Windows PE. Kích cỡ của nó là 34816 bytes. Nó không được nén và được viết bằng ngôn ngữ C++

Cài đặt

Khi khởi động, Trojan này sẽ sao chép chính bản thân nó vào thư mục tạm của Windows như dưới đây:

%Temp%\hbhdown.exe
%Temp%\msdtc.exe

Để chắc chắn rằng Trojan sẽ được khởi động trong lần tiếp theo khi hệ thống được khởi động, nó sẽ tạo ra một service được gọi là "HTTP SSH":

[HKLM\SYSTEM\CurrentControlSet\Services\HTTP SSH]
"DisplayName" = "HTTP SSH"
"ErrorControl" = "0"
"ImagePath" = "%Temp%\msdtc.exe"
"ObjectName" = "LocalSystem"
"Start" = "2"
"Type" = "10"

Hoạt động

Trojan này tải về một file từ đường dẫn sau:

http://*****gcdon.com.cn/v.exe

File này sẽ được lưu lại trong thư mục tạm của Windows như dưới đây:

%Temp%\gbn.exe

File này sau đó sẽ được khởi động để thực thi.

Hướng dẫn xóa

Nếu máy tính của bạn không có một trình antivirus được cập nhật thường xuyên, hoặc không có một giải pháp antivirus hiệu quả, hãy làm theo các hướng dẫn sau để xóa chương trình nguy hiểm này:

1. Dùng Task Manager để xác định tiến trình của Trojan.

2. Xóa các khóa registry sau:

[HKLM\SYSTEM\CurrentControlSet\Services\HTTP SSH]

3. Xóa file gốc của trojan (đường dẫn phụ thuộc vào việc chương trình này tiêm nhiễm vào hệ thống như thế nào)

4. Xóa các file sau:

%Temp%\hbgdown.exe
%Temp%\msdtc.exe
%Temp%\gbn.exe

5. Xóa tất cả các file trong thư mục %Temporary Internet Files%

6. Cập nhật cơ sở dữ liệu của trình antivirus của bạn và thực hiện quét "full scan" cho máy tính của bạn.

Thứ Ba, 24/03/2009 09:03
31 👨 1.642