M
may tinh 116
Guest
Chi tiáşżt káťš thuáşt
Trojan nĂ y download máťt chĆ°ĆĄng trĂŹnh khĂĄc thĂ´ng qua Internet vĂ kháťi
chấy nĂł trĂŞn mĂĄy tĂnh nấn nhân mĂ ngĆ°áťi dĂšng mĂĄy khĂ´ng háť biáşżt hay cho
phĂŠp. NĂł mĂŁ hĂła Java Script trong máťt tĂ i liáťu HTML. Dung lưᝣng cᝧa nĂł
lĂ 14147 byte.
Hoất Äáťng
Khi trang báť nhiáť m Äáťc Äưᝣc máť ra báşąng trĂŹnh duyáťt web, ngĆ°áťi dĂšng sáş˝
nháşn Äưᝣc máťt thĂ´ng bĂĄo:
Not Found
The requested URL / was not found on this server.
Trojan sau ÄĂł giải mĂŁ chĂnh bản thân nĂł vĂ kháťi chấy káťch bản mĂŁ Äáťc
Äáť tháťąc thi. NĂł sáş˝ sáť d᝼ng cĂĄc láť háťng Äưᝣc liáťt kĂŞ sau Äây:
1. láťi trĂ n báť Äáťm trong Äiáťu khiáťn ActiveX Live Picture Corporation
DXSurface.LivePicture.FlashPix.1 trong DXTLIPI.DLL khi xáť lĂ˝ "SourceUrl
()" (CVE-2007-4336)
2. trong plug-in cᝧa Windows Media Player khi xáť lĂ˝ máťt tham sáť âsrcâ
quĂĄ dĂ i trong tháşť "embed" (MS06-006). Láť háťng nĂ y hiáťn diáťn khi plug-
in Äưᝣc kháťi chấy trong cĂĄc trĂŹnh duyáťt khĂ´ng phải IE.
3. Trong Äáťi tưᝣng QuickTime.QuickTime" ActiveX (CVE-2004-0431);
Äáť download máťt file cĂł tĂŞn "ldr.exe" tᝍ URL sau:
http://java62.com/load.php****
File download váť nĂ y cĂł dung lưᝣng 48640 byte. NĂł sáş˝ Äưᝣc phĂĄt hiáťn
báťi Kaspersky Anti-Virus nhĆ° virus Backdoor.Win32.Agent.ich. File nĂ y
sáş˝ Äưᝣc lĆ°u vĂ o thĆ° m᝼c háť tháťng Windows dĆ°áťi tĂŞn:
%System%\~.exe
File nĂ y sau ÄĂł kháťi chấy quĂĄ trĂŹnh tháťąc thi. Trojan sáş˝ sáť d᝼ng Äáťi
tưᝣng ActiveX "Msxml2.XMLHTTP" vĂ cĂĄc Äáťi tưᝣng cĂł Äáťnh danh duy nhẼt
trong háť tháťng:
{BD96C556-65A3-11D0-983A-00C04FC29E30}
{BD96C556-65A3-11D0-983A-00C04FC29E36}
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}
{0006F033-0000-0000-C000-000000000046}
{0006F03A-0000-0000-C000-000000000046}
{6E32070A-766D-4EE6-879C-DC1FA91D2FC3}
{6414512B-B978-451D-A0D8-FCFDF33E833C}
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
{06723E09-F4C2-43C8-8358-09FCD1DB0766}
{639F725F-1B2D-4831-A9FD-874847682010}
{BA018599-1DB3-44F9-83B4-461454C84BF8}
{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}
{E8CCCDDF-CA28-496B-B050-6C07C962476B}
Äáť download máťt file cĂł tĂŞn gáťi "ldr.exe" tᝍ ÄĆ°áťng dẍn sau:
http://java62.com/load.php?MSIE
NĂł sáť d᝼ng Äáťi tưᝣng ActiveX "ADODB.Stream" Äáť lĆ°u file nĂ y dĆ°áťi tĂŞn:
c:\sys.exe
vĂ báťn kĂ˝ táťą Äáşąng sau nhĆ° vĂ d᝼ sau:
syskmtz.exe
syskqoq.exe
File Äưᝣc download váť sau ÄĂł sáş˝ kháťi chấy quĂĄ trĂŹnh tháťąc thi.
HĆ°áťng dẍn gᝥ báť
Náşżu mĂĄy tĂnh cᝧa bấn khĂ´ng cĂł máťt chĆ°ĆĄng trĂŹnh diáťt virus táťą Äáťng cáşp
nháşt, hoạc khĂ´ng cĂł máťt giải phĂĄp diáťt virus toĂ n váşšn, hĂŁy tháťąc hiáťn
theo cĂĄc hĆ°áťng dẍn sau Äáť xĂła báť mĂŁ Äáťc kháťi mĂĄy tĂnh:
1. XĂła file gáťc cᝧa Trojan (váť trĂ file tĂšy thuáťc vĂ o cĂĄch nĂł xâm nháşp
ban Äầu vĂ o mĂĄy tĂnh nấn nhân).
2. XĂła cĂĄc file sau:
%System%\~.exe
c:\sys.exe
3. VĂ´ hiáťu hĂła cĂĄc Äáťi tưᝣng ActiveX báť láť háťng
4. CĂ i Äạt cĂĄc bản vĂĄ bảo máşt sau:
http://www.microsoft.com/technet/security/Bulletin/MS06-006.mspx
5. CĂ i Äạt phiĂŞn bản máťi nhẼt cᝧa QuickTime.
6. Cáşp nháşt cĆĄ sáť dᝯ liáťu virus vĂ tháťąc hiáťn quĂŠt toĂ n báť mĂĄy tĂnh.
www.maytinh116.com
Trojan nĂ y download máťt chĆ°ĆĄng trĂŹnh khĂĄc thĂ´ng qua Internet vĂ kháťi
chấy nĂł trĂŞn mĂĄy tĂnh nấn nhân mĂ ngĆ°áťi dĂšng mĂĄy khĂ´ng háť biáşżt hay cho
phĂŠp. NĂł mĂŁ hĂła Java Script trong máťt tĂ i liáťu HTML. Dung lưᝣng cᝧa nĂł
lĂ 14147 byte.
Hoất Äáťng
Khi trang báť nhiáť m Äáťc Äưᝣc máť ra báşąng trĂŹnh duyáťt web, ngĆ°áťi dĂšng sáş˝
nháşn Äưᝣc máťt thĂ´ng bĂĄo:
Not Found
The requested URL / was not found on this server.
Trojan sau ÄĂł giải mĂŁ chĂnh bản thân nĂł vĂ kháťi chấy káťch bản mĂŁ Äáťc
Äáť tháťąc thi. NĂł sáş˝ sáť d᝼ng cĂĄc láť háťng Äưᝣc liáťt kĂŞ sau Äây:
1. láťi trĂ n báť Äáťm trong Äiáťu khiáťn ActiveX Live Picture Corporation
DXSurface.LivePicture.FlashPix.1 trong DXTLIPI.DLL khi xáť lĂ˝ "SourceUrl
()" (CVE-2007-4336)
2. trong plug-in cᝧa Windows Media Player khi xáť lĂ˝ máťt tham sáť âsrcâ
quĂĄ dĂ i trong tháşť "embed" (MS06-006). Láť háťng nĂ y hiáťn diáťn khi plug-
in Äưᝣc kháťi chấy trong cĂĄc trĂŹnh duyáťt khĂ´ng phải IE.
3. Trong Äáťi tưᝣng QuickTime.QuickTime" ActiveX (CVE-2004-0431);
Äáť download máťt file cĂł tĂŞn "ldr.exe" tᝍ URL sau:
http://java62.com/load.php****
File download váť nĂ y cĂł dung lưᝣng 48640 byte. NĂł sáş˝ Äưᝣc phĂĄt hiáťn
báťi Kaspersky Anti-Virus nhĆ° virus Backdoor.Win32.Agent.ich. File nĂ y
sáş˝ Äưᝣc lĆ°u vĂ o thĆ° m᝼c háť tháťng Windows dĆ°áťi tĂŞn:
%System%\~.exe
File nĂ y sau ÄĂł kháťi chấy quĂĄ trĂŹnh tháťąc thi. Trojan sáş˝ sáť d᝼ng Äáťi
tưᝣng ActiveX "Msxml2.XMLHTTP" vĂ cĂĄc Äáťi tưᝣng cĂł Äáťnh danh duy nhẼt
trong háť tháťng:
{BD96C556-65A3-11D0-983A-00C04FC29E30}
{BD96C556-65A3-11D0-983A-00C04FC29E36}
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}
{0006F033-0000-0000-C000-000000000046}
{0006F03A-0000-0000-C000-000000000046}
{6E32070A-766D-4EE6-879C-DC1FA91D2FC3}
{6414512B-B978-451D-A0D8-FCFDF33E833C}
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
{06723E09-F4C2-43C8-8358-09FCD1DB0766}
{639F725F-1B2D-4831-A9FD-874847682010}
{BA018599-1DB3-44F9-83B4-461454C84BF8}
{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}
{E8CCCDDF-CA28-496B-B050-6C07C962476B}
Äáť download máťt file cĂł tĂŞn gáťi "ldr.exe" tᝍ ÄĆ°áťng dẍn sau:
http://java62.com/load.php?MSIE
NĂł sáť d᝼ng Äáťi tưᝣng ActiveX "ADODB.Stream" Äáť lĆ°u file nĂ y dĆ°áťi tĂŞn:
c:\sys.exe
vĂ báťn kĂ˝ táťą Äáşąng sau nhĆ° vĂ d᝼ sau:
syskmtz.exe
syskqoq.exe
File Äưᝣc download váť sau ÄĂł sáş˝ kháťi chấy quĂĄ trĂŹnh tháťąc thi.
HĆ°áťng dẍn gᝥ báť
Náşżu mĂĄy tĂnh cᝧa bấn khĂ´ng cĂł máťt chĆ°ĆĄng trĂŹnh diáťt virus táťą Äáťng cáşp
nháşt, hoạc khĂ´ng cĂł máťt giải phĂĄp diáťt virus toĂ n váşšn, hĂŁy tháťąc hiáťn
theo cĂĄc hĆ°áťng dẍn sau Äáť xĂła báť mĂŁ Äáťc kháťi mĂĄy tĂnh:
1. XĂła file gáťc cᝧa Trojan (váť trĂ file tĂšy thuáťc vĂ o cĂĄch nĂł xâm nháşp
ban Äầu vĂ o mĂĄy tĂnh nấn nhân).
2. XĂła cĂĄc file sau:
%System%\~.exe
c:\sys.exe
3. VĂ´ hiáťu hĂła cĂĄc Äáťi tưᝣng ActiveX báť láť háťng
4. CĂ i Äạt cĂĄc bản vĂĄ bảo máşt sau:
http://www.microsoft.com/technet/security/Bulletin/MS06-006.mspx
5. CĂ i Äạt phiĂŞn bản máťi nhẼt cᝧa QuickTime.
6. Cáşp nháşt cĆĄ sáť dᝯ liáťu virus vĂ tháťąc hiáťn quĂŠt toĂ n báť mĂĄy tĂnh.
www.maytinh116.com