Trojan-Downloader.Win32.Small.bah
Các tên gọi theo các hãng khác nhau:
Trojan-Downloader.Win32.Small.bah (Kaspersky Lab) is also known as: ProcKill-CT (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Qqrobber.16 (Doctor Web), TROJ_QQROB.R (Trend Micro), TR/Gamect.A (H+BEDV), Trojan.Downloader.Agent.PD (SOFTWIN), Trojan.Downloader.Small-582 (ClamAV), Trj/QQRob.Z (Panda), Win32/TrojanDownloader.Agent.PD (Eset)
Ngày phát hiện: 22/05/2005
Ngày update vào cơ sở dữ liệu: 22/01/2008
Thuộc loại: TrojanDownloader
A.Thông tin kĩ thuật:
Trojan này hiển thị như một file của Window đó là PE EXE. File có kích thước 27KB.
B.Cách thức xâm nhập hệ thống:
Bước thứ nhất Trojan sao chép một file sau vào hệ thống của Window.
%System%\NTdhcp.exe
Kế tiếp Trojan tự động chạy tập tin EXE này và thực thi chức năng của tập tin đó mỗi khi hệ thống khởi động lại. Trojan thêm vào trong Registry nhằm đang ký sự tồn của nó như một chương trình ứng dụng hợp pháp trong hệ thống khoá có đường dẫn như sau:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NTdhcp" = "%System%\NTdhcp.exe"
Sau mỗi lần chạy như trên Trojan sẽ tiến hành xoá các tập tin gốc của nó đi và tạo một số tập tin khác.
C.Cách thức hoạt động của Trojan:
Trojan vô hiệu hoá chức năng của các chương trình diệt virus có trong hệ thống.
Đồng thời vô hiệu hoá các dịch vụ đang chạy trong hệ thống có tên sau:
RsRavMon
RsCCenter
Kavsvc
KVSrvXP
Wscsvc
KPfwSvc
KwatchSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
Navapsvc
NPFMntor
MskService
FireSvc
McShield
McTaskManager
McAfeeFramework
Trojan xoá key sau trong registry hệ thống:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Trojan xoá những tham số với những cái tên được liệt kê dưới đây:
KAVPersonal50
RavMon
RavTimer
KvMonXP
iDuba Personal FireWall
KAVRun
KpopMon
Kulansyn
KavPFW
ccApp
SSC_UserPrompt
NAV CfgWiz
MCAgentExe
McRegWiz
MCUpdateExe
MSKAGENTEXE
MSKDetectorExe
VirusScan Online
VSOCheckTask
McAfeeUpdaterUI
ShStatEXE
VSOCheckTask
KavStart
Services
KWatch9x
Csoftok
explor.exe
windos
Đồng thời Trojan chạy tất cả các file dưới đây:
FireTray.exe
UpdaterUI.exe
TBMon.exe
SHSTAT.EXE
RAV.EXE
RAVMON.EXE
RAVTIMER.EXE
KVXP.KXP
KVCENTER.KXP
Iparmor.exe
MAILMON.EXE
KAVPFW.EXE
KmailMon.EXE
KAVStart.exe
KATMain.EXE
TrojanDetector.EXE
KVFW.EXE
KVMonXP.KXP
KAVPLUS.EXE
KWATCHUI.EXE
KPOPMON.EXE
KAV32.EXE
CCAPP.EXE
MCAGENT.EXE
MCVSESCN.EXE
MSKAGENT.EXE
EGHOST.EXE
KRegEx.exe
TrojDie.kxp
KVOL.exe
kvolself.exe
KWatch9x.exe
SOFTOK.EXE
explor.exe
windox.exe
Trojan thu thập dữ liệu từ tài khoản QQmessenger. Nó quét tất cả những gì có trong hệ thống, những gì có liên quan tới chương trình này nó đều thu thập. Nếu nó tìm thấy trong hệ thống những thứ nó cần nó sẽ lưu vào một Log file của nó file có đương dẫn sau:
%WinDir%\Media\chord.waz
Log file này được cất dữ và sẽ được gởi tới nơi mà Trojan này xuất phát qua một địa chỉ mail đã được lập trình sẵn.
D.Cách xoá Trojan này:
-Sử dụng Task Manager (Nhấn tổ hợp phím Ctrl+Alt+Delete) tắt process của Trojan đi.
-Xoá đường dẫn sau trong registry: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NTdhcp" = "%System%\NTdhcp.exe"
-Xoá các file source của Trojan có đường dẫn sau:
%System%\NTdhcp.exe
%WinDir%\Media\chord.waz
-Cài một chương trình quét virus, update cơ sở dữ liệu tắt chức năng System restore, quét trong Safe mode với chế độ full.
chơi trò gì cũng CPU 100% nản quá, 1 võ lâm còn bị cpu 100%
