Ngày phát hiện: 13 – 05 – 2008
Hiểm họa: Backdoor
Nền tảng: Win32
Chi tiết kỹ thuật
Đây là loại Trojan được cung cấp từ một kẻ xâm nhập từ xa truy cập vào máy tính nhiễm độc. Nó là một file Windows PE EXE với dung lượng 48.640 byte. Nó được đóng gói bằng UPX. Gói sau bung nén sẽ có dung lượng khoảng 360KB.
Cài đặt
Trojan sẽ extract file sau từ chính bản thân nó:
%System%\aspimgr.exe
File này có dung lượng 73728 byte. Kaspersky Anti-Virus không phát hiện ra đây là một file mã độc. File gốc sau đó sẽ được xóa đi.
Backdoor sẽ tạo một dịch vụ có tên gọi "Microsoft ASPI Manager" và điều này đảm bảo cho file thực thi backdoor sẽ được khởi chạy mỗi khi máy tính nạn nhân khởi động.
Hoạt động
Trojan này sẽ khởi chạy một máy chủ proxy HTTP trên máy của nạn nhân thông qua cổng TCP 80. Nó sau đó sẽ gửi thông báo rằng máy tính nạn nhân đã bị nhiễm độc tới các địa chỉ sau:
66.199.241.98
82.103.140.75
203.117.175.124
72.21.63.114
66.232.102.169
66.96.196.53
Nó thực hiện việc này bằng cách gửi các request HTTP. Khi bị nhiễm độc, máy tính nạn nhân sẽ trở thành một phần trong mạng zombie và có thể bị sử dụng để gửi spam hoặc thực hiện các cuộc tấn công DoS
Backdoor này sẽ tạo các file bản ghi sau:
%WinDir%\ws386.ini
%WinDir%\db32.txt
%WinDir%\s32.txt
%WinDir%\f32.txt
Nó tạo khóa registry sau:
[HKLM\SOFTWARE\Microsoft\Sft]
Và lưu cấu hình của nó vào khóa này.
Hướng dẫn gỡ bỏ
Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:
1. Sử dụng Task Manager để ngắt quá trình hoạt động của mã độc
2. Xóa khóa registry sau:
[HKLM\SOFTWARE\Microsoft\Sft]
3. Xóa bỏ dịch vụ "Microsoft ASPI Manager"
4. Xóa bỏ các file sau:
%WinDir%\ws386.ini
%WinDir%\db32.txt
%WinDir%\s32.txt
%WinDir%\f32.txt
%System%\aspimgr.exe
5. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.