Backdoor.Win32.Agent.abgg

Ngày phát hiện: 11/01/2009

Chi tiết kĩ thuật

Trojan này cung cấp cho một người dùng ở xa khả năng truy cập vào hệ thống của nạn nhân. Nó là một file Windows PE EXE. Kích cỡ của nó là 22528 bytes.

Cài đặt

Khi đã khởi động, nó sao chép chính bản thân nó vào trong thư mục hệ thống Windows với cái tên “digeste.dll”:

%System%\digeste.dll

Để chắc chắn rằng trojan sẽ được khởi động một cách tự động mỗi khi hệ thống được khởi động lại, nó đăng kí file thực thi của nó trong hệ thống registry:

[HKLM\System\CurrentControlSet\Control\SecurityProviders]
“SecurityProviders” = “digeste.dll”

Để đánh dấu sự có mặt của nó trong hệ thống, nó tạo ra một định danh đơn:

“_SYSTEM_F2A5DE7_”.

Hoạt động

Trojan khởi động một bản sao của tiến trình svchost.exe và tiêm nhiễm phầm mã độc của nó vào tiến trình này. Đoạn code này gửi một http request bao gồm thông tin sau đến máy chủ của người dùng điều khiển ở xa:

http://213.155.6.*****e/controller.php?action=bot&entity_list=&uid=1&first=1&guid=1886890347&rnd=758689

“uid” là “1”; “guid” là một số seri của ổ đĩa; “rnd” là một số ngẫu nhiên; “first” chỉ đến lần khởi động đầu tiên của chương trình độc hại này (nếu là lần đầu tiên khởi động, giá trị của nó là “1”, ngược lại là “0”).

Backdoor này sau đó nhận các câu lệnh để thực hiện hoạt động nào đó. Nó lưu file log của nó vào trong thư mục Windows như sau:

%WinDir%\wiaserviv.log

Hướng dẫn xoá

Nếu máy tính của bạn không có một trình antivirus được cập nhật thường xuyên, hoặc không có một giải pháp antivirus hiệu quả, hãy làm theo hướng dẫn sau để xoá chương trình độc hại này:

1. Xoá file trojan gốc (đường dẫn phụ thuộc vào việc chương trình gốc tiễm nhiễm vào hệ thống nạn nhân như thế nào).

2. Xoá bản sao của trojan

%System%\digeste.dll

3. Xoá file được tạo bởi trojan:

%WinDir%\wiaserviv.log

4. Xoá các khoá registry sau:

[HKLM\System\CurrentControlSet\Control\SecurityProviders]
“SecurityProviders” = “digeste.dll”

5. Cập nhật cơ sở dữ liệu cho trình antivirus và thực hiện quét “full scan” cho máy tính.

Ngọc Quang (Theo Viruslist)

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

%d bloggers like this: