Xem mẫu
- Trojan-Downloader.Win32.Small.ydh
- Chi tiết kĩ thuật
Trojan này tải về các file khác thông qua Internet và khởi động các file này
trên hệ thống của nạn nhân mà nạn nhân không hề hay biết hay cho phép nó.
Đây là một file Windows PE. Kích cỡ của nó là 34816 bytes. Nó không được
nén và được viết bằng ngôn ngữ C++
Cài đặt
Khi khởi động, Trojan này sẽ sao chép chính bản thân nó vào thư mục tạm
của Windows như dưới đây:
%Temp%\hbhdown.exe
%Temp%\msdtc.exe
Để chắc chắn rằng Trojan sẽ được khởi động trong lần tiếp theo khi hệ thống
được khởi động, nó sẽ tạo ra một service được gọi là "HTTP SSH":
[HKLM\SYSTEM\CurrentControlSet\Services\HTTP SSH]
"DisplayName" = "HTTP SSH"
"ErrorControl" = "0"
- "ImagePath" = "%Temp%\msdtc.exe"
"ObjectName" = "LocalSystem"
"Start" = "2"
"Type" = "10"
Hoạt động
Trojan này tải về một file từ đường dẫn sau:
http://*****gcdon.com.cn/v.exe
File này sẽ được lưu lại trong thư mục tạm của Windows như dưới đây:
%Temp%\gbn.exe
File này sau đó sẽ được khởi động để thực thi.
Hướng dẫn xóa
Nếu máy tính của bạn không có một trình antivirus được cập nhật thường
xuyên, hoặc không có một giải pháp antivirus hiệu quả, hãy làm theo các
hướng dẫn sau để xóa chương trình nguy hiểm này:
- 1. Dùng Task Manager để xác định tiến trình của Trojan.
2. Xóa các khóa registry sau:
[HKLM\SYSTEM\CurrentControlSet\Services\HTTP SSH]
3. Xóa file gốc của trojan (đường dẫn phụ thuộc vào việc chương trình này
tiêm nhiễm vào hệ thống như thế nào)
4. Xóa các file sau:
%Temp%\hbgdown.exe
%Temp%\msdtc.exe
%Temp%\gbn.exe
5. Xóa tất cả các file trong thư mục %Temporary Internet Files%
6. Cập nhật cơ sở dữ liệu của trình antivirus của bạn và thực hiện quét "full
scan" cho máy tính của bạn.
nguon tai.lieu . vn