Trojan-PSW.Win32.OnLineGames.rlh

Trojan-PSW.Win32.OnLineGames.rlh.Chi tiết kỹ thuậtChương trình mã độc này là một Trojan. Nó là một file EXE có kích thước 112736 byte.Cài đặtTrojan sẽ copy file thực thi của chính nó vào thư mục hệ thống của Windows: %System%kavo.exe Để đảm bảo Trojan tự động chạy mỗi khi hệ thống khởi động lại, Trojan ghi chính file thực thi của nó vào registry hệ thống: [HKCUSoftwareMicrosoftWindowsCurrentVersionRun] "kava" = "%System%kavo.exe" Trojan cũng trích xuất ra file sau từ bản thân file thực thi: %System%kavo0.dll.File này có dung lượng 96768 byte. Nó sẽ bị Kaspersky Anti-Virus phát hiện là Trojan-GameThief.Win32.OnLineGames.rlb.Trojan cũng trích xuất...
Nội dung trích xuất từ tài liệu:
Trojan-PSW.Win32.OnLineGames.rlhTrojan-PSW.Win32.OnLineGames.rlhChi tiết kỹ thuậtChương trình mã độc này là một Trojan. Nó là một file EXE có kích thước112736 byte.Cài đặtTrojan sẽ copy file thực thi của chính nó vào thư mục hệ thống của Windows:%System%kavo.exeĐể đảm bảo Trojan tự động chạy mỗi khi hệ thống khởi động lại, Trojan ghichính file thực thi của nó vào registry hệ thống:[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]kava = %System%kavo.exeTrojan cũng trích xuất ra file sau từ bản thân file thực thi:%System%kavo0.dllFile này có dung lượng 96768 byte. Nó sẽ bị Kaspersky Anti-Virus phát hiệnlà Trojan-GameThief.Win32.OnLineGames.rlb.Trojan cũng trích xuất ra file sau từ bản thân file thực thi:%Temp%.dllFile này có dung lượng 29994 byte. Nó sẽ bị Kaspersky Anti-Virus phát hiệnlà Trojan-GameThief.Win32.OnLineGames.yyq.Hoạt độngTrojan sẽ tải file .dll vào tất cả các tiến trình được khởi chạy trong hệ thống.Ngoài ra Trojan còn chặn đứng các sự kiện chuột và bàn phím nếu bất kỳ tiếntrình nào sau đây được chạy:maplestory.exedekaron.exegc.exeRagFree.exeRagexe.exeybclient.exewsm.exesro_client.exeso3d.exege.exeelementclient.exeNó phát hiện lưu lượng gửi tới các địa chỉ sau:61.220.60.***61.220.60.***61.220.62.***61.220.56.***61.220.56.***61.220.62.***61.220.62.***203.69.46.***203.69.46.***220.130.113.***Nó sẽ thu thập dữ liệu tài khoản các game sau:ZhengTuWanmi Shijie or Perfect WorldDekaron Siwan MojieHuangYi OnlineRexue JianghuROHANSeal OnlineMaple StoryR2 (Reign of Revolution)Talesweavervà một số game khác. Trojan cũng phân tích file cấu hình của các game trênvà thử thu thập thông tin các tài khoản của gamer khác trên server.Dữ liệu thu thập sẽ được gửi tới site của kẻ hiểm ác từ xa.Trojan cũng thay đổi các giá trị tham số registry hệ thống sau:[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL] CheckedValue = 0[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]Hidden = 2ShowSuperHidden = 0[HKCUSOFTWAREMicrosoftWindowsCurrentVersionPociliesExplorer]NoDriveTypeAutoRun = 0x91Trojan còn thử ngăn chặn các quá trình sau:KAVRAVAVPKAVSVC/Trojan này còn có thuộc tính như sâu máy tính, nó có thể được phát tán thôngqua thiết bị lưu trữ di động. Nó tự sao chép chính bản thân file thực thi vàothư mục gốc của từng thiết bị như::h2.comVới là tên ổ có liên quan.Ngoài ra, Trojan còn đặt file thực thi vào thư mục gốc của mọi ổ thiết bị::autorun.infFile này sẽ khởi chạy file thực thi Trojan mỗi khi người dùng mở thiết bịnhiễm độc bằng Explorer.Hướng dẫn gỡ bỏNếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật,hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo cáchướng dẫn sau để xóa bỏ mã độc khỏi máy tính:1. Xóa file sau:%System%kavo.exe2. Khởi động lại máy tính.3. Xóa file Trojan gốc (vị trí file tùy thuộc vào cách nó xâm nhập ban đầuvào máy tính nạn nhân).4. Xóa tham số khóa registy hệ thống sau:[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]kava = %System%kavo.exe5. Khôi phục lại các giá trị khóa registry hệ thống gốc:[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]CheckedValue = 0[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]Hidden = 2 ShowSuperHidden = 0[HKCUSOFTWAREMicrosoftWindowsCurrentVersionPociliesExplorer]NoDriveTypeAutoRun = 0x916. Xóa file sau:%System%kavo0.dll7. Xóa sạch thư mục chứa file tạm thời (%Temp%).8. Xóa file sau trên tất cả các thiết bị di động::h2.com:autorun.infvới là tên ổ thiết bị di động9. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.