Trojan-Downloader.Win32.Agent.mee

Trojan-Downloader.Win32.Agent.mee.Chi tiết kỹ thuậtChương trình nguy hiểm này là một trojan. Nó là một file Windows PE. Kích cỡ của file tiêm nhiễm có thể vào khoảng từ 70KB đến 260KB. Nó không được nén và được viết bằng Delphi.Cài đặtKhi khởi động, trojan này copy bản thân nó vào thư mục con "intetsrv" của thư mục Windows với cài tên "lsass.exe" %System%inetsrvlsass.exe Hai thuộc tính "Hidden" và "read only" được gán cho file này.Để đảm bảo cho Trojan này được khởi động tự động mỗi khi hệ thống khởi động lại, nó sẽ đăng kí file thực thi của...
Nội dung trích xuất từ tài liệu:
Trojan-Downloader.Win32.Agent.meeTrojan-Downloader.Win32.Agent.meeChi tiết kỹ thuậtChương trình nguy hiểm này là một trojan. Nó là một file Windows PE. Kíchcỡ của file tiêm nhiễm có thể vào khoảng từ 70KB đến 260KB. Nó khôngđược nén và được viết bằng Delphi.Cài đặtKhi khởi động, trojan này copy bản thân nó vào thư mục con intetsrv củathư mục Windows với cài tên lsass.exe%System%inetsrvlsass.exeHai thuộc tính Hidden và read only được gán cho file này.Để đảm bảo cho Trojan này được khởi động tự động mỗi khi hệ thống khởiđộng lại, nó sẽ đăng kí file thực thi của nó vào trong registry như sau:[HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]load = %System%inetsrvlsass.exeKhoá này để đảm rằng Trojan sẽ được khởi động trước khi user truy cập vàoWindowsTrojan cũng tạo một giá trị đơn nhất, izokraSizokras để làm tín hiệu nhậnbiết cho sự có mặt của nó trong hệ thốngNó tạo ra khoá registry sau:[HKLMSoftwareMicrosoftInternet Explorerinet.]Day = Hoạt độngTrojan copy bản thân nó vào tất cả các ổ đĩa logic, ổ đĩa di động, ổ đĩa mạng(có khả năng ghi) như dưới đây::MSOCache90000804-6000-11D3-8CFE-0150048383C9lsass.exe chỉ đến ổ đĩaĐồng thời nó cũng thêm vào file sau trên mỗi thư mục gốc của mỗi ổ đĩa::autorun.infFile này sẽ khởi động file thực thi của trojan mỗi khi user mở ổ đĩa bị tiêmnhiễm bằng cách nhấp trực tiếp vào ổ đĩa đó.Thuộc tính Hidden và Read only được gán cho tất cả các file được tạobởi Trojan.Hướng dẫn gỡ bỏNếu máy tính của bạn không có một trình antivirus được cập nhật thườngxuyên, hoặc không có một giải pháp antivirus hiệu quả, hướng dẫn sau sẽgiúp bạn xoá nó:1. Dùng Task Manager để xác định tiến trình của Trojan2. Xoá các khoá registry sau:[HKLMSoftwareMicrosoftInternet Explorerinet.]Day = 3. Xoá các giá trị tham số registry sau:[HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]load = %System%inetsrvlsass.exe4. Xoá file Trojan gốc (đường dẫn phụ thuộc vào việc chương trình gốc tiêmnhiễm vào hệ thống như thế nào)5. Xoá các file sau:%System%inetsrvlsass.exe:MSOCache90000804-6000-11D3-8CFE-0150048383C9lsass.exe:autorun.inf6. Cập nhật cơ sở dữ liệu của trình antivirus và thực hiện quét full scan.