Chi tiết kỹ thuật Chương trình nguy hiểm này là một trojan.. Kích cỡ của file tiêm nhiễm có thể vào khoảng từ 70KB đến 260KB.. Cài đặt Khi khởi động, trojan này copy bản thân nó vào thư
Trang 1Trojan-Downloader.Win32.Agent.mee
Trang 2Chi tiết kỹ thuật
Chương trình nguy hiểm này là một trojan Nó là một file Windows PE Kích
cỡ của file tiêm nhiễm có thể vào khoảng từ 70KB đến 260KB Nó không
được nén và được viết bằng Delphi
Cài đặt
Khi khởi động, trojan này copy bản thân nó vào thư mục con "intetsrv" của
thư mục Windows với cài tên "lsass.exe"
%System%\inetsrv\lsass.exe
Hai thuộc tính "Hidden" và "read only" được gán cho file này
Để đảm bảo cho Trojan này được khởi động tự động mỗi khi hệ thống khởi động lại, nó sẽ đăng kí file thực thi của nó vào trong registry như sau:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "%System%\inetsrv\lsass.exe"
Trang 3Khoá này để đảm rằng Trojan sẽ được khởi động trước khi user truy cập vào Windows
Trojan cũng tạo một giá trị đơn nhất, "izokraSizokras" để làm tín hiệu nhận
biết cho sự có mặt của nó trong hệ thống
Nó tạo ra khoá registry sau:
[HKLM\Software\Microsoft\Internet Explorer\inet.]
"Day" = "<date Trojan launched>"
Hoạt động
Trojan copy bản thân nó vào tất cả các ổ đĩa logic, ổ đĩa di động, ổ đĩa mạng
(có khả năng ghi) như dưới đây:
<X>:\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\lsass.exe
<x> chỉ đến ổ đĩa
Đồng thời nó cũng thêm vào file sau trên mỗi thư mục gốc của mỗi ổ đĩa:
Trang 4<X>:\autorun.inf
File này sẽ khởi động file thực thi của trojan mỗi khi user mở ổ đĩa bị tiêm
nhiễm bằng cách nhấp trực tiếp vào ổ đĩa đó
Thuộc tính "Hidden" và "Read only" được gán cho tất cả các file được tạo
bởi Trojan
Hướng dẫn gỡ bỏ
Nếu máy tính của bạn không có một trình antivirus được cập nhật thường
xuyên, hoặc không có một giải pháp antivirus hiệu quả, hướng dẫn sau sẽ
giúp bạn xoá nó:
1 Dùng Task Manager để xác định tiến trình của Trojan
2 Xoá các khoá registry sau:
[HKLM\Software\Microsoft\Internet Explorer\inet.]
"Day" = "<date Trojan launched>"
Trang 53 Xoá các giá trị tham số registry sau:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "%System%\inetsrv\lsass.exe"
4 Xoá file Trojan gốc (đường dẫn phụ thuộc vào việc chương trình gốc tiêm
nhiễm vào hệ thống như thế nào)
5 Xoá các file sau:
%System%\inetsrv\lsass.exe
<X>:\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\lsass.exe
<X>:\autorun.inf
6 Cập nhật cơ sở dữ liệu của trình antivirus và thực hiện quét "full scan"