Phát hiện 28/5/ 2010

Cập nhật 3/6/2010 2:06:59 AM

Loại: Trojan

Kích thước: 75,264 bytes
Phát tán: Thấp

Hệ thống ảnh hưởng: Windows XP, Windows Vista, Windows Server 2003, Windows 2000

II - Chi tiết kỹ thuật:
Khi phát tán vào máy nó các file đường dẫn như sau

• %System%\[EIGHT RANDOM CHARACTERS].exe

• %System%\spool\prtprocs\w32x86\[SIX RANDOM CHARACTERS].dll
• %Temp%\[SIX RANDOM CHARACTERS].tmp
• %Temp%\[SIX RANDOM CHARACTERS].tmp

Và tấn công vào hệ thống tạo ra Autorun hoặc vào registry

III - Cách diệt
Trước khi thao tác tắt chức năng System Restore (Windows Me/XP).
1/  Tìm và tắt chức năng trong tác vụ ( service)

1. Vào Start > Run.
2. Gõ services.msc, và sau đó click OK.
3. Xác định vị trí chọn các dịch vụ hiện thị như sau.
4. Vào Action > Properties.
5. Click Stop.
6. Chuyển Startup Type tới Manual.
7. Click OK sau đó đóng cửa sổ  Services window.
8. Khởi động lại máy.

2/

1. Vào Start > Run.
2. Gõ regedit
3. Click OK.
4. Tìm và xóa file cài đặt sau trong Registry

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWU-[EIGHT RANDOM CHARACTERS]\"DisplayName" = "MSWU-[EIGHT RANDOM CHARACTERS]"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWU-[EIGHT RANDOM CHARACTERS]\"ErrorControl" = "0"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWU-[EIGHT RANDOM CHARACTERS]\"ImagePath" = "%System%\[EIGHT RANDOM CHARACTERS].exe"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWU-[EIGHT RANDOM CHARACTERS]\"ObjectName" = "LocalSystem"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWU-[EIGHT RANDOM CHARACTERS]\"Start" = "2"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWU-[EIGHT RANDOM CHARACTERS]\"Type" = "16"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWU-[EIGHT RANDOM CHARACTERS]\Security\"Security" = "[BINARY DATA]"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWU-[EIGHT RANDOM CHARACTERS]\"NextInstance" = "1"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWU-[EIGHT RANDOM CHARACTERS]\0000\"Class" = "LegacyDriver"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWU-[EIGHT RANDOM CHARACTERS]\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWU-[EIGHT RANDOM CHARACTERS]\0000\"ConfigFlags" = "0"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWU-[EIGHT RANDOM CHARACTERS]\0000\"DeviceDesc" = "MSWU-[EIGHT RANDOM CHARACTERS]"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWU-[EIGHT RANDOM CHARACTERS]\0000\"Legacy" = "1"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWU-[EIGHT RANDOM CHARACTERS]\0000\"Service" = "MSWU-[EIGHT RANDOM CHARACTERS]"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%System%\spoolsv.exe" = "%System%\spoolsv.exe:*:Enabled:spoolsv.exe"

   5. Phục hồi lại các file bị Trojan tác động

• HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyEnable" = "0"
• HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\"DefaultConnectionSettings" = "[BINARY DATA]"
• HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\"SavedLegacySettings" = "[BINARY DATA]"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"NameServer" = "93.188.163.49,93.188.161.197"

    6. Thoát khỏi Registry