Trojan-Dropper.Win32.Kido.a pot
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (116.74 KB, 6 trang )
Trojan-Dropper.Win32.Kido.a
Chi tiết kĩ thuật
Trojan này được thiết kế để cài đặt và khởi động các chương trình khác trên
hệ thống của nạn nhân mà không có sự cho phép hay hiểu biết của người
dùng. Nó là một file Windows PE EXE. Kích cỡ của nó là 78848 bytes và
được viết bằng ngôn ngữ C++
Hoạt động
Khi đã khởi động, trojan này kiểm tra ngày tháng của hệ thống. Nếu sau ngày
09.03.2009, nó sẽ ngừng chạy và xoá chỉnh bản thân nó. Nó cũng kiểm tra
xem Net-worm.Win32.Kido có mặt trên hệ thống bị nhiễm độc không.
Khi đã hoàn tất việc kiểm tra này, nó trích ra một chương trình độc hại từ
chính bản thân, chương trình này được biết đến với cái tên Trojan-
Downloader.Win32.Kido.a và thay thế file này trong thư mục tạm của người
dùng hiện tại:
%Temp%\<:rnd>.tmp, với rnd là một chuỗi kí hiệu ngẫu nhiên.
File này có kích cỡ là 81408 bytes. File này sau đó sẽ được khởi động để thực
thi.
Trojan này cũng trích ra một file batch từ chính bản thân nó và thay thế file
này trong thư mục tạm của người dùng hiện tại:
%Temp%\<rnd>.cmd, với <rnd> là một chuỗi kí hiệu ngẫu nhiên.
File này có kích cỡ 53 bytes và được dùng bởi Trojan để xoá chính bản thân
nó.
Khi đã được trích ra, nó được khởi động để thực thi và xoá file Trojan gốc.
Hướng dẫn xoá
Nếu máy tính của bạn không có một trình antivirus được cập nhật thường
xuyên, hoặc không có một giải pháp antivirus hiệu quả, hãy làm theo hướng
dẫn sau để xoá chương trình độc hại này:
1. Xoá file trojan gốc (đường dẫn phụ thuộc vào việc chương trình gốc tiêm
nhiễm vào hệ thống nạn nhân như thế nào) nếu nó không xoá chính bản thân
nó.
2. Xoá tất cả các file được tạo bởi Trojan:
%Temp%\<rnd>.tmp
%Temp%\<rnd>,cmd
3. Cập nhật cơ sở dữ liệu của trình antivirus và thực hiện quét "full scan" với
máy tính của bạn.
