Xem mẫu
- Trojan-PSW.Win32.OnLineGames.rlh
- Chi tiết kỹ thuật
Chương trình mã độc này là một Trojan. Nó là một file EXE có kích thước
112736 byte.
Cài đặt
Trojan sẽ copy file thực thi của chính nó vào thư mục hệ thống của Windows:
%System%\kavo.exe
Để đảm bảo Trojan tự động chạy mỗi khi hệ thống khởi động lại, Trojan ghi
chính file thực thi của nó vào registry hệ thống:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"kava" = "%System%\kavo.exe"
Trojan cũng trích xuất ra file sau từ bản thân file thực thi:
%System%\kavo0.dll
- File này có dung lượng 96768 byte. Nó sẽ bị Kaspersky Anti-Virus phát hiện
là Trojan-GameThief.Win32.OnLineGames.rlb.
Trojan cũng trích xuất ra file sau từ bản thân file thực thi:
%Temp%\.dll
File này có dung lượng 29994 byte. Nó sẽ bị Kaspersky Anti-Virus phát hiện
là Trojan-GameThief.Win32.OnLineGames.yyq.
Hoạt động
Trojan sẽ tải file .dll vào tất cả các tiến trình được khởi chạy trong hệ thống.
Ngoài ra Trojan còn chặn đứng các sự kiện chuột và bàn phím nếu bất kỳ tiến
trình nào sau đây được chạy:
maplestory.exe
dekaron.exe
gc.exe
RagFree.exe
Ragexe.exe
- ybclient.exe
wsm.exe
sro_client.exe
so3d.exe
ge.exe
elementclient.exe
Nó phát hiện lưu lượng gửi tới các địa chỉ sau:
61.220.60.***
61.220.60.***
61.220.62.***
61.220.56.***
61.220.56.***
61.220.62.***
61.220.62.***
203.69.46.***
203.69.46.***
220.130.113.***
Nó sẽ thu thập dữ liệu tài khoản các game sau:
- ZhengTu
Wanmi Shijie or Perfect World
Dekaron Siwan Mojie
HuangYi Online
Rexue Jianghu
ROHAN
Seal Online
Maple Story
R2 (Reign of Revolution)
Talesweaver
và một số game khác. Trojan cũng phân tích file cấu hình của các game trên
và thử thu thập thông tin các tài khoản của gamer khác trên server.
Dữ liệu thu thập sẽ được gửi tới site của kẻ hiểm ác từ xa.
Trojan cũng thay đổi các giá trị tham số registry hệ thống sau:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Ad
vanced\Fol
- der\Hidden\SHOWALL] "CheckedValue" = "0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanc
ed]
"Hidden" = "2"
"ShowSuperHidden" = "0"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Expl
orer]
"NoDriveTypeAutoRun" = "0x91"
Trojan còn thử ngăn chặn các quá trình sau:
KAV
RAV
AVP
KAVSVC/
Trojan này còn có thuộc tính như sâu máy tính, nó có thể được phát tán thông
qua thiết bị lưu trữ di động. Nó tự sao chép chính bản thân file thực thi vào
thư mục gốc của từng thiết bị như:
- :\h2.com
Với là tên ổ có liên quan.
Ngoài ra, Trojan còn đặt file thực thi vào thư mục gốc của mọi ổ thiết bị:
:\autorun.inf
File này sẽ khởi chạy file thực thi Trojan mỗi khi người dùng mở thiết bị
nhiễm độc bằng Explorer.
Hướng dẫn gỡ bỏ
Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật,
hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các
hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:
1. Xóa file sau:
%System%\kavo.exe
- 2. Khởi động lại máy tính.
3. Xóa file Trojan gốc (vị trí file tùy thuộc vào cách nó xâm nhập ban đầu
vào máy tính nạn nhân).
4. Xóa tham số khóa registy hệ thống sau:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"kava" = "%System%\kavo.exe"
5. Khôi phục lại các giá trị khóa registry hệ thống gốc:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Ad
vanced\Fol
der\Hidden\SHOWALL]
"CheckedValue" = "0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanc
ed]
"Hidden" = "2" "ShowSuperHidden" = "0"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Expl
- orer]
"NoDriveTypeAutoRun" = "0x91"
6. Xóa file sau:
%System%\kavo0.dll
7. Xóa sạch thư mục chứa file tạm thời (%Temp%).
8. Xóa file sau trên tất cả các thiết bị di động:
:\h2.com
:\autorun.inf
với là tên ổ thiết bị di động
9. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.
nguon tai.lieu . vn
