Chi tiết kỹ thuật Trojan này cho phép kẻ cài đặt có thể truy cập vào máy tính nạn nhân.. Nó là một file chạy EXE của Windows với dung lượng 12787 byte.. Cài đặt Một khi đã khởi chạy, ba
Trang 1Backdoor.Win32.Kbot.al
Trang 2Chi tiết kỹ thuật
Trojan này cho phép kẻ cài đặt có thể truy cập vào máy tính nạn nhân Nó là một file chạy EXE của Windows với dung lượng 12787 byte
Cài đặt
Một khi đã khởi chạy, backdoor sẽ sao chép file thực thi của nó vào thư mục
hệ thống Windows:
%System%\mssrv32.exe
Backdoor sau đó sẽ tạo một dịch vụ với tên gọi "Microsoft security update service" nhằm tự động khởi chạy các file thực thi của backdoor mỗi khi hệ thống được khởi động Khóa registry sau sẽ được tạo
[HKLM\SYSTEM\CurrentControlSet\Services\msupdate]
Hoạt động
Khi được chạy, backdoor sẽ tiêm nhiễm mã của nó vào trong quá trình
Trang 3"svchost.exe" Điều này sẽ đưa backdoor đăng ký chính bản thân nó vào máy tính người dùng nguy hiểm từ xa bằng cách mở URL:
http://84.252.***.***/_rus/stat.php
Backdoor sau đó sẽ lấy địa chỉ từ một host trên Internet và tiến hành tấn công DdoS vào host này Các kiểu tấn công bao gồm:
1 SYN Flood
2 ICMP Flood
3 UDP Flood
Hướng dẫn gỡ bỏ
Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các
hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:
1 Sử dụng Task Manager để dừng quá trình hoạt động của chương trình mã độc
Trang 42 Xóa file backdoor gốc (vị trí file tùy thuộc vào cách nó xâm nhập ban đầu vào máy tính nạn nhân)
3 Xóa khóa registry hệ thống sau:
[HKLM\SYSTEM\CurrentControlSet\Services\msupdate]
4 Xóa các file sau:
%System%\mssrv32.exe
5 Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính