Xem mẫu
- Trojan-Downloader.Win32.Braidupdate.c
- Trojan-Downloader.Win32.Braidupdate.c
(Kaspersky Lab) còn được biết đến với các tên:
TrojanDownloader.Win32.Braidupdate.c (Kaspersky
Lab), Trojan.Braid (Doctor Web),
TROJ_BRAIDUPDT.C (Trend Micro),
TR/Dldr.Braidupda.C (H+BEDV), Win32:Trojano-
363 (ALWIL), Downloader.Braidupdate.C (Grisoft),
Worm.WinUpToDate (ClamAV),
Trj/Downloader.PO (Panda),
Win32/TrojanDownloader.Braidupdate.C (Eset)
TrojanDownloader
Hiểm họa
Chi tiết kỹ thuật
Trojan này sẽ download chương trình khác thông qua Internet và khởi chạy
nó trên máy tính nạn nhân mà người dùng không hề biết hay cho phép. Nó là
một file Windows EXE, có dung lượng 79360 byte và được viết bằng ngôn
ngữ C++.
- Cài đặt
Để đảm bảo Trojan tự động chạy mỗi khi hệ thống khởi động, Trojan đăng ký
file thực thi của nó vào registry hệ thống:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RunWindowsUpdate" = " "
Hoạt động
Một khi đã hoạt động, Trojan sẽ tạo khóa sau trong registry hệ thống:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunWindowsUp
date]
"Gid" = "026133246127060045718030656336"
Nó sau đó sẽ gửi request sau:
http://www.uptodate.browse*****.com/perl/uptodate.pl?action=any&gi
d=026133246127060045718030656336&clientversion=1.0.7
_ST&county=&cls=&isof=00
- Trong quá trình liên hệ với địa chỉ URL trên, một tham biến được bổ sung để
truyền tải phiên bản mới nhất của Trojan. Nếu Trojan không có phiên bản
mới, máy chủ sẽ gửi về một thông số là “OK”, còn ngược lại, nó sẽ gửi về
một liên kết tới file có chứa nội dung phiên bản mới. Trojan sau đó sẽ
download về phiên bản này và lưu nó vào thư mục Temp của máy tính dưới
dạng tên:
%Temp%\_ps_inst.exe
File này sau đó sẽ tự động thực thi.
Hướng dẫn gỡ bỏ
Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật,
hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các
hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:
1. Xóa file Trojan gốc (vị trí file tùy thuộc vào cách nó xâm nhập ban đầu
vào máy tính nạn nhân).
- 2. Xóa các khóa registry hệ thống sau:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunWindowsUp
date]
"Gid" = "026133246127060045718030656336"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RunWindowsUpdate" = " "
3. Xóa các file trong thư mục Temp trên máy tính (%Temp%).
4. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.
nguon tai.lieu . vn