Ngày phát hiện: 10 – 11 -2007
Hiểm họa: Backdoor
Chi tiết kỹ thuật
Trojan này cho phép kẻ cài đặt có thể truy cập vào máy tính nạn nhân. Nó là một file chạy EXE của Windows với dung lượng 12787 byte.
Cài đặt
Một khi đã khởi chạy, backdoor sẽ sao chép file thực thi của nó vào thư mục hệ thống Windows:
%System%\mssrv32.exe
Backdoor sau đó sẽ tạo một dịch vụ với tên gọi "Microsoft security update service" nhằm tự động khởi chạy các file thực thi của backdoor mỗi khi hệ thống được khởi động. Khóa registry sau sẽ được tạo
[HKLM\SYSTEM\CurrentControlSet\Services\msupdate]
Hoạt động
Khi được chạy, backdoor sẽ tiêm nhiễm mã của nó vào trong quá trình "svchost.exe". Điều này sẽ đưa backdoor đăng ký chính bản thân nó vào máy tính người dùng nguy hiểm từ xa bằng cách mở URL:
http://84.252.***.***/_rus/stat.php
Backdoor sau đó sẽ lấy địa chỉ từ một host trên Internet và tiến hành tấn công DdoS vào host này. Các kiểu tấn công bao gồm:
-
SYN Flood
-
ICMP Flood
-
UDP Flood
Hướng dẫn gỡ bỏ
Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:
1. Sử dụng Task Manager để dừng quá trình hoạt động của chương trình mã độc
2. Xóa file backdoor gốc (vị trí file tùy thuộc vào cách nó xâm nhập ban đầu vào máy tính nạn nhân).
3. Xóa khóa registry hệ thống sau:
[HKLM\SYSTEM\CurrentControlSet\Services\msupdate]
4. Xóa các file sau:
%System%\mssrv32.exe
5. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.
TIN HÔM NAY