1. Trang chủ
  2. » Công Nghệ Thông Tin

Mô tả về mẫu Trojan.Win32.Oficla.w pptx

3 321 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 3
Dung lượng 95,3 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Phân tích chi tiết về mặt kỹ thuật Tương tự như các chương trình Trojan khác, chúng có cơ chế tự động tải và kích hoạt các loại malware khác khi đã xâm nhập thành công vào máy tính của n

Trang 1

Mô tả về mẫu Trojan.Win32.Oficla.w

Loại Trojan.Win32.Oficla.w – được Kaspersky phân loại và đặt tên, còn được biết đến với những tên sau:

- Trojan.Win32.Agent.duxv (được phát hiện bởi Kaspersky Lab)

- Trojan.Win32.Sasfis.a (v) (Sunbelt)

Dấu hiệu đầu tiên của Trojan.Win32.Oficla.w được phát hiện vào ngày 26/04/2010 lúc 21:24 GMT, chúng bắt đầu hoạt động sau đó 1 ngày – 27/04/2010 lúc 03:50 GMT, và các thông tin phân tích được công bố vào 07/07/2010 - 11:08 GMT

Trang 2

Phân tích chi tiết về mặt kỹ thuật

Tương tự như các chương trình Trojan khác, chúng có cơ chế tự động tải và kích hoạt các loại malware khác khi đã xâm nhập thành công vào máy tính của nạn nhân Và khi được kích hoạt, những chương trình Trojan này sẽ giải nén và tạo ra những file của hệ thống Windows (*.dll) trong thư mục hệ thống có dạng:

%system%\thxr.wgo Đồng thời, để được kích hoạt cùng Windows khi khởi động, chúng sẽ tạo ra các khóa key trong Registry như sau:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe rundll32.exe thxr.wgo nwfdtx"

Khi cài đặt thành công, chương trình sẽ liên lạc với server chính:

http://hu*********.ru /images/bb.php

tại đây chúng sẽ nhận lại những tín hiệu chỉ thị với cú pháp lệnh và những tham số

- Tải các file khác nhau về thư mục tạm %temp% từ những đường dẫn chỉ định

- Chỉ định số các tác vụ cố định: "delay"

- Chỉ định các server đã từng liên lạc: "backurls"

- 1 danh sách địa chỉ các server hỗ trợ mà những chương trình độc hại này sẽ kết nối tới sau đó Và tất cả những địa chỉ này được lưu trữ tại khóa:

Trang 3

[HKL\SOFTWARE\Classes\idid]

"reporturls"

- Sau khi câu lệnh này thực hiện chức năng kết nối tới server, chúng sẽ tiếp tục

- Do vậy, chúng có thể liên tục tải và cài đặt các loại malware khác nhau trên máy tính của nạn nhân Tại thời điểm của bài viết này, tất cả các lệnh chúng nhận được đều hướng tới file duy nhất sau đây:

http://russ**nmomds.ru/dogma.exe

- Mặt khác, tin tặc còn có thể sử dụng những chương trình này để thay đổi và cấu hình lại những chương trình độc hại sẽ được sử dụng tiếp theo trên các server khác

Ngày đăng: 29/03/2014, 09:20

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w