Ngày phát hiện: 11/01/2009

Chi tiết kĩ thuật

Trojan này cung cấp cho một người dùng  ở xa khả năng truy cập  vào hệthống của nạn nhân. Nó là một file Windows  PE EXE. Kích cỡ của nó là22528 bytes.

Cài đặt

Khi đã khởi động, nó sao chép chính bản thân  nó vào trong thư mục hệ thống  Windows  với cái tên "digeste.dll":

%System%\digeste.dll

Để chắc chắn rằng trojan  sẽ được khởi động một cáchtự động mỗi khi hệ thống  được khởi động lại, nó đăng kí file thực thicủa nó trong hệ thống  registry:

[HKLM\System\CurrentControlSet\Control\SecurityProviders]
"SecurityProviders" = "digeste.dll"

Để đánh dấu sự có mặt của nó trong hệ thống, nó tạo ra một định danh đơn:

"_SYSTEM_F2A5DE7_”.

Hoạt động

Trojan khởi động một bản sao của tiến trình svchost.exe và tiêm nhiễmphầm mã độc của nó vào tiến trình này. Đoạn code  này gửi một httprequest bao gồm thông tin  sau đến máy chủ  của người dùng  điều khiển ởxa:

http://213.155.6.*****e/controller.php?action=bot&entity_list=&uid=1&first=1&guid=1886890347&rnd=758689

"uid" là "1"; "guid" là một số seri của ổ đĩa; "rnd"là một số ngẫu nhiên; "first" chỉ đến lần khởi động đầu tiên của chươngtrình độc hại này (nếu là lần đầu tiên khởi động, giá trị  của nó là"1", ngược lại là "0").

Backdoor này sau đó nhận các câu lệnh để thực hiện hoạt động  nào đó. Nó lưu file log của nó vào trong thư mục Windows  như sau:

%WinDir%\wiaserviv.log

Hướng dẫn xoá

Nếu máy tính  của bạn không có một trình antivirus được cập nhật thườngxuyên, hoặc không có một giải pháp antivirus hiệu quả, hãy làm theohướng dẫn sau để xoá chương trình  độc hại này:

1. Xoá file trojan  gốc (đường dẫn phụ thuộc vào việc chương trình  gốc tiễm nhiễm vào hệ thống  nạn nhân  như thế nào).

2. Xoá bản sao của trojan

%System%\digeste.dll

3. Xoá file được tạo bởi trojan:

%WinDir%\wiaserviv.log

4. Xoá các khoá registry sau:

[HKLM\System\CurrentControlSet\Control\SecurityProviders]
"SecurityProviders" = "digeste.dll"

5. Cập nhật cơ sở dữ liệu  cho trình antivirus và thực hiện quét "full scan" cho máy tính.

Bạn có ý kiến gì về bài viết Backdoor.Win32.Agent.abgg này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết Backdoor.Win32.Agent.abgg bạn tại đây.