Ngày phát hiện: 29/03/2009

Chi tiết kĩ thuật

Đây là loại trojan  độc hại. Nó là một file Windows  PE EXE, kích cỡ của nó là 23552 bytes.

Cài đặt

Trojan này tự động copy  file thực thi của nó như sau:

%Windir%\system\svhost.exe

Để chắc chắn rằng trojan  này được khởi động một cách tự động khi hệ thống  khởi động lại, nó thêm một liên kết đến file thực thi của nó trong hệ thống  registry như sau:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WSVCHO" = "%WinDir%\system\svhost.exe"

Hoạt động

Nó thêm file thực thi của nó vào danh sách các ứng dụng đáng tin cậy trong Windows  firewall. Sau đó nó khởi động tiến trình "iexplore.exe" và tiêm nhiễm đoạn code  của nó vào trong tiến trình này.

Nó cũng cố gắng  để kết thúc các tiến trình sau:

avesvc.exe
ashdisp.exe
avgrsx.exe
bdss.exe
spider.exe
avp.exe
nod32krn.exe
cclaw.exe
dvpapi.exe
ewidoctrl.exe
mcshield.exe
pavfires.exe
almon.exe
ccapp.exe
pccntmon.exe
fssm32.exe
issvc.exe
vsmon.exe
cpf.exe
ca.exe
tnbutil.exe
avp.exe
mpfservice.exe
npfmsg.exe
outpost.exe
tpsrv.exe
pavfires.exe
kpf4ss.exe
persfw.exe
vsserv.exe
smc.exe

Nó cũng nỗ lực để vô hiệu hoá các dịch vụ  sau kết hợp với các chương trình  antivirus và firewall:

AntiVir
Avast Antivirus
AVG Antivirus
BitDefender
Dr.Web
Kaspersky Antivirus
Nod32
Norman
Authentium Antivirus
Ewido Security Suite
McAfee VirusScan
Panda Antivirus/Firewall
Sophos
Symantec/Norton
PC-cillin Antivirus
F-Secure
Norton Personal Firewall
ZoneAlarm
Comodo Firewall
eTrust EZ Firewall
F-Secure Internet  Security
Kaspersky Antihacker
McAfee Personal Firewall
Norman Personal Firewall
Outpost Personal Firewall
Panda Internet  Seciruty Suite
Panda Anti-Virus/Firewall
Kerio Personal Firewall
Tiny Personal Firewall
BitDefender / Bull Guard Antivirus
Sygate Personal Firewall

Trojan này cũng thu thập password đến các website  được lưu trữ  trong bộ nhớ cache  của các trình duyệt  sau:

Mozilla Firefox
Internet Explorer

Nó cũng thu thập dữ liệu  về tài khoản và pasword của các chương trình  chat  sau:

Trillian
Miranda
Yahoo Messenger
MySpace IM
Gaim

Trojan này có các tính năng của một keylogger và cóthể tạo ra các screenshot của màn hình  desktop của người dùng. Cácscreenshot này được lưu vào trong thư mục Temporary như <N> với <N> là một số thập phân.

Các dữ liệu  thu thập được sẽ được gửi đến máy chủ  của người điều khiển:

212.158.160.***

Lây lan  thông qua các thiết bị lưu trữ  di động

Trojan này sao chép file thực thi của nó đến thư mục gốc của mỗi ổ đĩa di động dưới cái tên sau:

<X>:\wlan.exe với X là một ổ đĩa

Đi kèm với file thực thi, nó cũng thay thế file dưới đây trong thư mục gốc của mỗi ổ đĩa:

<X>:\autorun.inf

File này sẽ khởi động file thực thi của trojan  mỗi khi người dùng  mở một ổ đĩa bị nhiễm độc bằng cách nhấp kép vào ổ đĩa đó.

Hướng dẫn xoá

Nếu máy tính  của bạn không có một trình antivirus được cập nhật thườngxuyên, hoặc không có một giải pháp chống virus  hiệu quả, hãy làm theocác hướng dẫn  sau để xoá chương trình  nguy hiểm này:

1. Dùng Task Manager  để xác định tiến trình của chương trình  độc hại này và tắt nó đi.

2. Xoá file trojan  gốc (đường dẫn sẽ phụ thuộc vào việc chương trình  gốc tiêm nhiễm vào hệ thống  của nạn nhân  như thế nào)

3. Xoá các khoá sau trong hệ thống  registry:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WSVCHO" = "%WinDir%\system\svhost.exe"

4. Xoá các file sau:

%WinDir%\system\svhost.exe

5. Xoá sạch thư mục tạm (%Temp%)

6. Xoá các file sau trong tất cả ổ đĩa:

<X>:\autorun.inf
<X>:\wlan.exe,  với X là một ổ đĩa

7. Cập nhật cơ sở dữ liệu  của trình antivirus và thực hiện quét "full scan" cho máy tính  của bạn.

Bạn có ý kiến gì về bài viết Trojan-Dropper.Win32.Agent.albv này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết Trojan-Dropper.Win32.Agent.albv bạn tại đây.