Backdoor.Win32.Kbot.al

Ngày phát hiện: 10 – 11 -2007
Hiểm họa: Backdoor

Chi tiết kỹ thuật

Trojan này cho phép kẻ cài đặt có thể truy cập vào máy tính nạn nhân. Nó là một file chạy EXE của Windows với dung lượng 12787 byte.

Cài đặt

Một khi đã khởi chạy, backdoor sẽ sao chép file thực thi của nó vào thư mục hệ thống Windows:

%System%\mssrv32.exe

Backdoor sau đó sẽ tạo một dịch vụ với tên gọi “Microsoft security update service” nhằm tự động khởi chạy các file thực thi của backdoor mỗi khi hệ thống được khởi động. Khóa registry sau sẽ được tạo

[HKLM\SYSTEM\CurrentControlSet\Services\msupdate]

Hoạt động

Khi được chạy, backdoor sẽ tiêm nhiễm mã của nó vào trong quá trình “svchost.exe”. Điều này sẽ đưa backdoor đăng ký chính bản thân nó vào máy tính người dùng nguy hiểm từ xa bằng cách mở URL:

http://84.252.***.***/_rus/stat.php

Backdoor sau đó sẽ lấy địa chỉ từ một host trên Internet và tiến hành tấn công DdoS vào host này. Các kiểu tấn công bao gồm:

  1. SYN Flood

  2. ICMP Flood

  3. UDP Flood

Hướng dẫn gỡ bỏ

Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:

1. Sử dụng Task Manager để dừng quá trình hoạt động của chương trình mã độc

2. Xóa file backdoor gốc (vị trí file tùy thuộc vào cách nó xâm nhập ban đầu vào máy tính nạn nhân).

3. Xóa khóa registry hệ thống sau:

[HKLM\SYSTEM\CurrentControlSet\Services\msupdate]

4. Xóa các file sau:

%System%\mssrv32.exe

5. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.

Advertisements

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Đăng xuất / Thay đổi )

Connecting to %s

%d bloggers like this: