Trojan.Win32.Agent.azsy

Ngày phát hiện: 25/12/2008

Chi tiết kĩ thuật

Chương trình nguy hiểm này là một trojan, nó là một file Windows PE. Kích cỡ của nó là 417792 bytes. Nó được nén lại bằng cách dùng UPX. File giải nén của nó xấp xỉ 439 KB. Nó được viết bằng ngôn ngữ C++.

Cài đặt:

Khi được khởi động, nó sẽ tự động sao chép chính bản thân nó vào thư mục Startup trên Windows của người dùng hiện tại.

%Documents and Setting%\<user_name>\Main Menu\Programs\Startup\uninstall.exe

Hoạt động

Khi máy bị nhiễm trojan này được khởi động lại, Trojan sẽ tạo ra một file từ chính bản thân nó. FIle này sẽ có một trong các tên như dưới đây:

%Documents and Settings%\<user_name>\Application Data\svchosts.exe
%Documents and Settings%\<user_name>\Application Data\taskmon.exe
%Documents and Settings%\<user_name>\Application Data\rundll.exe
%Documents and Settings%\<user_name>\Application Data\service.exe
%Documents and Settings%\<user_name>\Application Data\sound.exe
%Documents and Settings%\<user_name>\Application Data\upnpsvc.exe
%Documents and Settings%\<user_name>\Application Data\lsas.exe
%Documents and Settings%\<user_name>\Application Data\logon.exe
%Documents and Settings%\<user_name>\Application Data\helper.exe
%Documents and Settings%\<user_name>\Application Data\event.exe
%Documents and Settings%\<user_name>\Application Data\dumpreport.exe
%Documents and Settings%\<user_name>\Application Data\msiexeca.exe

Kích thước của file này là 404992 bytes. Nó sẽ bị phát hiện bởi Kaspersky với cái tên Downloader.win32.Agent.aoth.

Để đảm bảo rằng trojan này sẽ khởi động một cách tự động mỗi khi hệ thống được khởi động lại, trojan này sẽ đặt một liên kết đến file mà nó đã tạo ra từ chính bản thân nó trong hệ thống registry:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<rnd1>" = "<rnd2>"

<rnd1> là một tên được chọn từ danh sách dưới đây:

CrashDump
EventLog
Init
lsass
Regscan
RunDll
Setup
Sound
svchosts
System
TaskMon
UPNP
Windows

<rnd> là đường dẫn đến file được tạo ra bởi trojan như đã chỉ ra trong danh sách ở trên.

Trojan này không chạy trên các bản Windows tiếng Nga.

Hướng dẫn xóa

Nếu máy tính của bạn không có một trình antivirus được cập nhật thường xuyên, hoặc không có mọt giải pháp chống virus hiệu quả, hãy làm theo hướng dẫn sau để xóa chương trình nguy hiểm này:

1. Dùng Task Manager để xác định tiến trình của Trojan.

2. Xóa các khóa registry sau:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<rnd1>" = "<rnd2>"

3. Xóa file gốc của trojan (đường dẫn phụ thuộc vào cách chương trình lây nhiễm vào hệ thống như thế nào)

4. Xóa các file sau:

%Documents and Settings%\<user_name>\Application Data\svchosts.exe
%Documents and Settings%\<user_name>\Application Data\taskmon.exe
%Documents and Settings%\<user_name>\Application Data\rundll.exe
%Documents and Settings%\<user_name>\Application Data\service.exe
%Documents and Settings%\<user_name>\Application Data\sound.exe
%Documents and Settings%\<user_name>\Application Data\upnpsvc.exe
%Documents and Settings%\<user_name>\Application Data\lsas.exe
%Documents and Settings%\<user_name>\Application Data\logon.exe
%Documents and Settings%\<user_name>\Application Data\helper.exe
%Documents and Settings%\<user_name>\Application Data\event.exe
%Documents and Settings%\<user_name>\Application Data\dumpreport.exe
%Documents and Settings%\<user_name>\Application Data\msiexeca.exe

5. Xóa tất cả các file trong thư mục %Temporary Internet Files%

6. Cập nhật cơ sở dữ liệu của trình antivirus và thực hiện quét "full scan" cho máy tính của bạn.

Thứ Năm, 19/03/2009 08:25
31 👨 3.501