ចាប់ផ្តើមឆ្លងនៅ:
ថ្ងៃទី ០1 ខែមករា
ឆ្នាំ 2009
ឈ្មោះកូដមេរោគ:
0x70046ADC41516160B648D27E2899937C
លំដាប់គ្រោះមធ្យម
លំដាប់គ្រោះមធ្យម
ទំហំ:
48.896 bytes
ទំរង់របស់
file
មានរាងដូចខាងក្រោមនេះ:
Trojan-Downloader.Win32
Vundo.gen.m Vundo.gen.m
Vundo.gen.m Vundo.gen.m
Trojan:Win32/AgentBypass.gen!I
Trojan:
Win32/AgentBypass.gen
Trojan.Win32.Vundo.HX Trojan.Win32.Vundo.HX
លក្ខណ:ពិសេសរបស់ Vundo (aka VirtuMonde/VirtuMundo) គឺជាប្រភេទ
Trojan.Win32.Vundo.HX Trojan.Win32.Vundo.HX
លក្ខណ:ពិសេសរបស់ Vundo (aka VirtuMonde/VirtuMundo) គឺជាប្រភេទ
trojan ដែលឆ្លងតាមការផ្សព្វផ្សាយព័ត៌មានលើអីនធឺណែតដែលមានលទ្ធភាព
ឆ្លងចូល Spam ក្នុងប្រអប់សំបុត្ររបស់លោកអ្នក។
វាបង្កើត file dll រត់ចូលក្នុង
system32 នៅក្នុង windows ហើយវាចេញមកក្រៅប្រព័ន្ធវិញជា winlogon.exe និង explorer.exe។
ការអធិប្បាយពីបច្ចេកទេស
ខាងក្រោមនេះគឺជាបណ្តា Files ដែលបង្កើតនៅជាប់ជាមួយប្រព័ន្ធ:
ការអធិប្បាយពីបច្ចេកទេស
ខាងក្រោមនេះគឺជាបណ្តា Files ដែលបង្កើតនៅជាប់ជាមួយប្រព័ន្ធ:
|
ឈ្មោះ
File
|
កូដ
file
|
ទំហំ
|
|
%Temp%\removalfile.bat
|
0x9A7EF09167A6F4433681B94351509043
|
43bytes
|
|
%System%\pmnkJdDu.dll
|
0x1B5D017A9849E25204384CA07F6360FB
|
34,176Bytes
|
|
%System%\rqRlkHBs.dll
|
|
|
លោកអ្នកស្គាល់ឈ្មោះខាងក្រោមនេះគឺជាកម្មវិធីដាក់ឈ្មោះ
Win32.SuspectCrc [កម្មវិធីIkarus]
Vundo.gen.m [កម្មវិធីMcAfee]
Troj/Virtum-Gen [កម្មវិធីSophos]
Trojan:Win32/Vundo.gen!C [កម្មវិធី Microsoft]
Virus.Win32.AdWare [កម្មវិធី Ikarus]
សំគាល់ : ចំពោះ
%Temp%
ដែលមាននៅក្នុងថត
C:\Documents and Settings\[UserName]\Local
Settings\Temp\ (Windows NT/2000/XP)។
ក្រោយពេលមេរោគចូលវាយឡុក វាបង្កើតនិងប្រតិបត្តិការណ៍ក្នុង
ក្រោយពេលមេរោគចូលវាយឡុក វាបង្កើតនិងប្រតិបត្តិការណ៍ក្នុង
|
ឈ្មោះ Modules
|
ឈ្មោះ
file
|
|
pmnkJdDu.dll
|
%System%\pmnkJdDu.dll
|
|
explorer.exe
|
|
|
%Windir%\explorer.exe
|
|
|
pmnkJdDu.dll
|
%System%\pmnkJdDu.dll
|
|
filename: %System%\dllhost.exe
|
|
|
|
|
|
|
|
ខាងក្រោមនេះគឺជាគន្លឹះដែលលោកអ្នកអាចចូលក្នុង Registry
ដើម្បីលប់
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E491027D-3417-4FA7-859D-AE0884121B81}\InprocServer32]
(Default) = "%System%\pmnkJdDu.dll"
ThreadingModel = "Both"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Settings]
Time = 70 CA C8 59 55 32 C9 01 00 00 00 00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{E491027D-3417-4FA7-859D-AE0884121B81} = ""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pmnkJdDu]
Asynchronous = 0x00000001
DllName = "pmnkJdDu.dll"
Impersonate = 0x00000000
Logon = "o"
Logoff = "f"
so that pmnkJdDu.dll is installed as a Winlogon notification package
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\00cd0861]
(Default) = "61D0CAF787274D6CBD179DF9BDD342E9&"
[HKEY_CURRENT_USER\Software\Microsoft\Installer]
(Default) = E0 6E 6D 5A 55 32 C9 01
គន្លឹះនៃការបង្កើតតម្លៃថ្មីក្នុង Regisry
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
1A10 = 0x00000000
{AEBA21FA-782A-4A90-978D-B72164C80120} = 1A 37 61 59 23 52 35 0C 7A 5F 20 17 2F 1E 1A 19 0E 2B 01 73 13 37 13 12 14 1A 15 2A
{A8A88C49-5EB2-4990-A1A2-0876022C854F} = 1A 37 61 59 23 52 35 0C 7A 5F 20 17 2F 1E 1A 19 0E 2B 01 73 13 37 13 12 14 1A 15 2A
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E491027D-3417-4FA7-859D-AE0884121B81}\InprocServer32]
(Default) = "%System%\pmnkJdDu.dll"
ThreadingModel = "Both"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Settings]
Time = 70 CA C8 59 55 32 C9 01 00 00 00 00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{E491027D-3417-4FA7-859D-AE0884121B81} = ""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pmnkJdDu]
Asynchronous = 0x00000001
DllName = "pmnkJdDu.dll"
Impersonate = 0x00000000
Logon = "o"
Logoff = "f"
so that pmnkJdDu.dll is installed as a Winlogon notification package
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\00cd0861]
(Default) = "61D0CAF787274D6CBD179DF9BDD342E9&"
[HKEY_CURRENT_USER\Software\Microsoft\Installer]
(Default) = E0 6E 6D 5A 55 32 C9 01
គន្លឹះនៃការបង្កើតតម្លៃថ្មីក្នុង Regisry
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
1A10 = 0x00000000
{AEBA21FA-782A-4A90-978D-B72164C80120} = 1A 37 61 59 23 52 35 0C 7A 5F 20 17 2F 1E 1A 19 0E 2B 01 73 13 37 13 12 14 1A 15 2A
{A8A88C49-5EB2-4990-A1A2-0876022C854F} = 1A 37 61 59 23 52 35 0C 7A 5F 20 17 2F 1E 1A 19 0E 2B 01 73 13 37 13 12 14 1A 15 2A
Post a Comment