Backdoor.Win32.Agent.abgg

Số trang: 5 Loại file: pdf Dung lượng: 155.55 KB Lượt xem: 11 Lượt tải: 0

10.10.2023

Phí lưu trữ: miễn phí

Xem trước 2 trang đầu tiên của tài liệu này:

Thông tin tài liệu:

Backdoor.Win32.Agent.abgg.Chi tiết kĩ thuậtTrojan này cung cấp cho một người dùng ở xa khả năng truy cập vào hệ thống của nạn nhân. Nó là một file Windows PE EXE. Kích cỡ của nó là 22528 bytes.Cài đặtKhi đã khởi động, nó sao chép chính bản thân nó vào trong thư mục hệ thống Windows với cái tên "digeste.dll": %System%digeste.dll Để chắc chắn rằng trojan sẽ được khởi động một cách tự động mỗi khi hệ thống được khởi động lại, nó đăng kí file thực thi của nó trong hệ thống registry: [HKLMSystemCurrentControlSetControlSecurityProviders] "SecurityProviders" = "digeste.dll" Để đánh dấu...
Nội dung trích xuất từ tài liệu:
Backdoor.Win32.Agent.abggBackdoor.Win32.Agent.abggChi tiết kĩ thuậtTrojan này cung cấp cho một người dùng ở xa khả năng truy cập vào hệthống của nạn nhân. Nó là một file Windows PE EXE. Kích cỡ của nó là22528 bytes.Cài đặtKhi đã khởi động, nó sao chép chính bản thân nó vào trong thư mục hệ thốngWindows với cái tên digeste.dll:%System%digeste.dllĐể chắc chắn rằng trojan sẽ được khởi động một cách tự động mỗi khi hệthống được khởi động lại, nó đăng kí file thực thi của nó trong hệ thốngregistry:[HKLMSystemCurrentControlSetControlSecurityProviders]SecurityProviders = digeste.dllĐể đánh dấu sự có mặt của nó trong hệ thống, nó tạo ra một định danh đơn:_SYSTEM_F2A5DE7_”.Hoạt độngTrojan khởi động một bản sao của tiến trình svchost.exe và tiêm nhiễm phầmmã độc của nó vào tiến trình này. Đoạn code này gửi một http request baogồm thông tin sau đến máy chủ của người dùng điều khiển ở xa:http://213.155.6.*****e/controller.php?action=bot&entity_list=&uid=1&first=1&guid=1886890347&rnd=758689uid là 1; guid là một số seri của ổ đĩa; rnd là một số ngẫu nhiên;first chỉ đến lần khởi động đầu tiên của chương trình độc hại này (nếu là lầnđầu tiên khởi động, giá trị của nó là 1, ngược lại là 0).Backdoor này sau đó nhận các câu lệnh để thực hiện hoạt động nào đó. Nólưu file log của nó vào trong thư mục Windows như sau:%WinDir%wiaserviv.logHướng dẫn xoáNếu máy tính của bạn không có một trình antivirus được cập nhật thườngxuyên, hoặc không có một giải pháp antivirus hiệu quả, hãy làm theo hướngdẫn sau để xoá chương trình độc hại này:1. Xoá file trojan gốc (đường dẫn phụ thuộc vào việc chương trình gốc tiễmnhiễm vào hệ thống nạn nhân như thế nào).2. Xoá bản sao của trojan%System%digeste.dll3. Xoá file được tạo bởi trojan:%WinDir%wiaserviv.log4. Xoá các khoá registry sau:[HKLMSystemCurrentControlSetControlSecurityProviders]SecurityProviders = digeste.dll5. Cập nhật cơ sở dữ liệu cho trình antivirus và thực hiện quét full scan chomáy tính.