Hướng dẫn diệt Trojan-Downloader.JS.Multi.ca

M

may tinh 116

Guest
Chi tiáşżt káťš thuáş­t

Trojan này download một chương trình khác thông qua Internet và khởi
chạy nó trên máy tính nạn nhân mà người dùng máy không hề biết hay cho
phép. Nó mã hóa Java Script trong một tài liệu HTML. Dung lượng của nó
lĂ  14147 byte.

Hoạt động

Khi trang bị nhiễm độc được mở ra bằng trình duyệt web, người dùng sẽ
nhận được một thông báo:

Not Found
The requested URL / was not found on this server.

Trojan sau đó giải mã chính bản thân nó và khởi chạy kịch bản mã độc
để thực thi. Nó sẽ sử dụng các lỗ hổng được liệt kê sau đây:
1. lỗi tràn bộ đệm trong điều khiển ActiveX Live Picture Corporation
DXSurface.LivePicture.FlashPix.1 trong DXTLIPI.DLL khi xáť­ lĂ˝ "SourceUrl
()" (CVE-2007-4336)

2. trong plug-in của Windows Media Player khi xử lý một tham số “src”
quá dài trong thẻ "embed" (MS06-006). Lỗ hổng này hiện diện khi plug-
in được khởi chạy trong các trình duyệt không phải IE.

3. Trong đối tượng QuickTime.QuickTime" ActiveX (CVE-2004-0431);
để download một file có tên "ldr.exe" từ URL sau:

http://java62.com/load.php****

File download về này có dung lượng 48640 byte. Nó sẽ được phát hiện
bởi Kaspersky Anti-Virus như virus Backdoor.Win32.Agent.ich. File này
sẽ được lưu vào thư mục hệ thống Windows dưới tên:

%System%\~.exe

File này sau đó khởi chạy quá trình thực thi. Trojan sẽ sử dụng đối
tượng ActiveX "Msxml2.XMLHTTP" và các đối tượng có định danh duy nhất
trong hệ thống:

{BD96C556-65A3-11D0-983A-00C04FC29E30}
{BD96C556-65A3-11D0-983A-00C04FC29E36}
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}
{0006F033-0000-0000-C000-000000000046}
{0006F03A-0000-0000-C000-000000000046}
{6E32070A-766D-4EE6-879C-DC1FA91D2FC3}
{6414512B-B978-451D-A0D8-FCFDF33E833C}
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
{06723E09-F4C2-43C8-8358-09FCD1DB0766}
{639F725F-1B2D-4831-A9FD-874847682010}
{BA018599-1DB3-44F9-83B4-461454C84BF8}
{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}
{E8CCCDDF-CA28-496B-B050-6C07C962476B}

để download một file có tên gọi "ldr.exe" từ đường dẫn sau:

http://java62.com/load.php?MSIE

Nó sử dụng đối tượng ActiveX "ADODB.Stream" để lưu file này dưới tên:

c:\sys.exe

và bốn ký tự đằng sau như ví dụ sau:

syskmtz.exe
syskqoq.exe

File được download về sau đó sẽ khởi chạy quá trình thực thi.

Hướng dẫn gỡ bỏ

Nếu máy tính của bạn không có một chương trình diệt virus tự động cập
nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện
theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:

1. Xóa file gốc của Trojan (vị trí file tùy thuộc vào cách nó xâm nhập
ban đầu vào máy tính nạn nhân).

2. XĂła cĂĄc file sau:

%System%\~.exe
c:\sys.exe

3. Vô hiệu hóa các đối tượng ActiveX bị lỗ hổng

4. Cài đặt các bản vá bảo mật sau:

http://www.microsoft.com/technet/security/Bulletin/MS06-006.mspx

5. Cài đặt phiên bản mới nhất của QuickTime.

6. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.

www.maytinh116.com
 

Welcome to EDABoard.com

Sponsor

Back
Top