Trojan-Downloader.Win32.Braidupdate.c

Trojan-Downloader.Win32.Braidupdate.c.Trojan-Downloader.Win32.Braidupdate.c (Kaspersky Lab) còn được biết đến với các tên: TrojanDownloader.Win32.Braidupdate.c (Kaspersky Lab), Trojan.Braid (Doctor Web), TROJ_BRAIDUPDT.C (Trend Micro), TR/Dldr.Braidupda.C (H+BEDV), Win32:Trojano363 (ALWIL), Downloader.Braidupdate.C (Grisoft), Worm.WinUpToDate (ClamAV), Trj/Downloader.PO (Panda), Win32/TrojanDownloader.Braidupdate.C (Eset) Hiểm họa TrojanDownloaderChi tiết kỹ thuậtTrojan này sẽ download chương trình khác thông qua Internet và khởi chạy nó trên máy tính nạn nhân mà người dùng không hề biết hay cho phép. Nó là một file Windows EXE, có dung lượng 79360 byte và được viết bằng ngôn ngữ C++....
Nội dung trích xuất từ tài liệu:
Trojan-Downloader.Win32.Braidupdate.cTrojan-Downloader.Win32.Braidupdate.cTrojan-Downloader.Win32.Braidupdate.c(Kaspersky Lab) còn được biết đến với các tên:TrojanDownloader.Win32.Braidupdate.c (KasperskyLab), Trojan.Braid (Doctor Web),TROJ_BRAIDUPDT.C (Trend Micro),TR/Dldr.Braidupda.C (H+BEDV), Win32:Trojano-363 (ALWIL), Downloader.Braidupdate.C (Grisoft),Worm.WinUpToDate (ClamAV),Trj/Downloader.PO (Panda),Win32/TrojanDownloader.Braidupdate.C (Eset) TrojanDownloaderHiểm họaChi tiết kỹ thuậtTrojan này sẽ download chương trình khác thông qua Internet và khởi chạynó trên máy tính nạn nhân mà người dùng không hề biết hay cho phép. Nó làmột file Windows EXE, có dung lượng 79360 byte và được viết bằng ngônngữ C++.Cài đặtĐể đảm bảo Trojan tự động chạy mỗi khi hệ thống khởi động, Trojan đăng kýfile thực thi của nó vào registry hệ thống:[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]RunWindowsUpdate = Hoạt độngMột khi đã hoạt động, Trojan sẽ tạo khóa sau trong registry hệ thống:[HKLMSoftwareMicrosoftWindowsCurrentVersionRunWindowsUpdate]Gid = 026133246127060045718030656336Nó sau đó sẽ gửi request sau:http://www.uptodate.browse*****.com/perl/uptodate.pl?action=any&gid=026133246127060045718030656336&clientversion=1.0.7_ST&county=&cls=&isof=00Trong quá trình liên hệ với địa chỉ URL trên, một tham biến được bổ sung đểtruyền tải phiên bản mới nhất của Trojan. Nếu Trojan không có phiên bảnmới, máy chủ sẽ gửi về một thông số là “OK”, còn ngược lại, nó sẽ gửi vềmột liên kết tới file có chứa nội dung phiên bản mới. Trojan sau đó sẽdownload về phiên bản này và lưu nó vào thư mục Temp của máy tính dướidạng tên:%Temp%\_ps_inst.exeFile này sau đó sẽ tự động thực thi.Hướng dẫn gỡ bỏNếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật,hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo cáchướng dẫn sau để xóa bỏ mã độc khỏi máy tính:1. Xóa file Trojan gốc (vị trí file tùy thuộc vào cách nó xâm nhập ban đầuvào máy tính nạn nhân).2. Xóa các khóa registry hệ thống sau:[HKLMSoftwareMicrosoftWindowsCurrentVersionRunWindowsUpdate]Gid = 026133246127060045718030656336[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]RunWindowsUpdate = 3. Xóa các file trong thư mục Temp trên máy tính (%Temp%).4. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.