Trojan-Dropper.Win32.Agent.albv

Ngày phát hiện: 29/03/2009

Chi tiết kĩ thuật

Đây là loại trojan độc hại. Nó là một file Windows PE EXE, kích cỡ của nó là 23552 bytes.

Cài đặt

Trojan này tự động copy file thực thi của nó như sau:

%Windir%\system\svhost.exe

Để chắc chắn rằng trojan này được khởi động một cách tự động khi hệ thống khởi động lại, nó thêm một liên kết đến file thực thi của nó trong hệ thống registry như sau:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“WSVCHO” = “%WinDir%\system\svhost.exe”

Hoạt động

Nó thêm file thực thi của nó vào danh sách các ứng dụng đáng tin cậy trong Windows firewall. Sau đó nó khởi động tiến trình “iexplore.exe” và tiêm nhiễm đoạn code của nó vào trong tiến trình này.

Nó cũng cố gắng để kết thúc các tiến trình sau:

avesvc.exe
ashdisp.exe
avgrsx.exe
bdss.exe
spider.exe
avp.exe
nod32krn.exe
cclaw.exe
dvpapi.exe
ewidoctrl.exe
mcshield.exe
pavfires.exe
almon.exe
ccapp.exe
pccntmon.exe
fssm32.exe
issvc.exe
vsmon.exe
cpf.exe
ca.exe
tnbutil.exe
avp.exe
mpfservice.exe
npfmsg.exe
outpost.exe
tpsrv.exe
pavfires.exe
kpf4ss.exe
persfw.exe
vsserv.exe
smc.exe

Nó cũng nỗ lực để vô hiệu hoá các dịch vụ sau kết hợp với các chương trình antivirus và firewall:

AntiVir
Avast Antivirus
AVG Antivirus
BitDefender
Dr.Web
Kaspersky Antivirus
Nod32
Norman
Authentium Antivirus
Ewido Security Suite
McAfee VirusScan
Panda Antivirus/Firewall
Sophos
Symantec/Norton
PC-cillin Antivirus
F-Secure
Norton Personal Firewall
ZoneAlarm
Comodo Firewall
eTrust EZ Firewall
F-Secure Internet Security
Kaspersky Antihacker
McAfee Personal Firewall
Norman Personal Firewall
Outpost Personal Firewall
Panda Internet Seciruty Suite
Panda Anti-Virus/Firewall
Kerio Personal Firewall
Tiny Personal Firewall
BitDefender / Bull Guard Antivirus
Sygate Personal Firewall

Trojan này cũng thu thập password đến các website được lưu trữ trong bộ nhớ cache của các trình duyệt sau:

Mozilla Firefox
Internet Explorer

Nó cũng thu thập dữ liệu về tài khoản và pasword của các chương trình chat sau:

Trillian
Miranda
Yahoo Messenger
MySpace IM
Gaim

Trojan này có các tính năng của một keylogger và có thể tạo ra các screenshot của màn hình desktop của người dùng. Các screenshot này được lưu vào trong thư mục Temporary như <N> với <N> là một số thập phân.

Các dữ liệu thu thập được sẽ được gửi đến máy chủ của người điều khiển:

212.158.160.***

Lây lan thông qua các thiết bị lưu trữ di động

Trojan này sao chép file thực thi của nó đến thư mục gốc của mỗi ổ đĩa di động dưới cái tên sau:

<X>:\wlan.exe với X là một ổ đĩa

Đi kèm với file thực thi, nó cũng thay thế file dưới đây trong thư mục gốc của mỗi ổ đĩa:

<X>:\autorun.inf

File này sẽ khởi động file thực thi của trojan mỗi khi người dùng mở một ổ đĩa bị nhiễm độc bằng cách nhấp kép vào ổ đĩa đó.

Hướng dẫn xoá

Nếu máy tính của bạn không có một trình antivirus được cập nhật thường xuyên, hoặc không có một giải pháp chống virus hiệu quả, hãy làm theo các hướng dẫn sau để xoá chương trình nguy hiểm này:

1. Dùng Task Manager để xác định tiến trình của chương trình độc hại này và tắt nó đi.

2. Xoá file trojan gốc (đường dẫn sẽ phụ thuộc vào việc chương trình gốc tiêm nhiễm vào hệ thống của nạn nhân như thế nào)

3. Xoá các khoá sau trong hệ thống registry:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“WSVCHO” = “%WinDir%\system\svhost.exe”

4. Xoá các file sau:

%WinDir%\system\svhost.exe

5. Xoá sạch thư mục tạm (%Temp%)

6. Xoá các file sau trong tất cả ổ đĩa:

<X>:\autorun.inf
<X>:\wlan.exe,  với X là một ổ đĩa

7. Cập nhật cơ sở dữ liệu của trình antivirus và thực hiện quét “full scan” cho máy tính của bạn.

Ngọc Quang (Theo Viruslist)

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

%d bloggers like this: