I. ការអធិប្បាយ
មេរោគ
Win32/Agent.NPD ជាប្រភេទដែលឆ្លងពីចំងាយ
II.
វិធីសម្លាប់
និងលប់
នៅពេលដែលឆ្លងតាមការ
Download បណ្តា file បានរត់ចូលក្នុង
%system%
lamhost.dll (14336 B)
nvpc32.exe (6656 B)
បណ្តាមេរោគ Trojan បានឆ្លងចូលដោយប្រែជាឈ្មោះ
nVidia Program Config
lamhost.dll (14336 B)
nvpc32.exe (6656 B)
បណ្តាមេរោគ Trojan បានឆ្លងចូលដោយប្រែជាឈ្មោះ
nVidia Program Config
មេរោគ
Trojan ឆ្លងតាម
Download ចូលដល់ %system%\lamhost.dll និង
ក្នុង file
ខាងក្រោម
iexplore.exe
explorer.exe
services.exe
iexplore.exe
explorer.exe
services.exe
បណ្តាតម្លៃបានចូលក្នុង
Registry
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NVPC]
"Type" = 16
"Start" = 2
"ErrorControl" = 0
"ImagePath" = "%system%\nvpc32.exe"
"DisplayName" = "nVidia Program Config"
"ObjectName" = "LocalSystem"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NVPC]
"Type" = 16
"Start" = 2
"ErrorControl" = 0
"ImagePath" = "%system%\nvpc32.exe"
"DisplayName" = "nVidia Program Config"
"ObjectName" = "LocalSystem"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NVPC\
Enum]
"0" = "Root\LEGACY_NVPC\0000"
"Count" = 1
"NextInstance" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_NVPC]
"NextInstance" = 1
Enum]
"0" = "Root\LEGACY_NVPC\0000"
"Count" = 1
"NextInstance" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_NVPC]
"NextInstance" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_NVPC\0000\Control]
"*NewlyCreated*" = 0
"ActiveService" = "NVPC"
LEGACY_NVPC\0000\Control]
"*NewlyCreated*" = 0
"ActiveService" = "NVPC"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_NVPC\0000]
"Service" = "NVPC"
"Legacy" = 1
"ConfigFlags" = 0
"Class" = "LegacyDriver"
"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc" = "nVidia Program Config"
LEGACY_NVPC\0000]
"Service" = "NVPC"
"Legacy" = 1
"ConfigFlags" = 0
"Class" = "LegacyDriver"
"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc" = "nVidia Program Config"
15.
វិធីសម្លាប់មេរោគ Win32/AutoRun
Agent GO
ឈ្មោះមេរោគ:
Trojan.Win32.Buzus.aaup ( ចាប់ដោយ Kaspersky),
Backdoor.IRC.Bot (ចាប់ដោយ Symantec),
W32/Spybot.worm.gen (ចាប់ដោយ McAfee)។
ជាប្រភេទ : ដង្កូវ (Worm)
ទំហំ: 27648 B
វាបំផ្លាញប្រព័ន្ធ: Microsoft Windows
ជាប្រភេទ : ដង្កូវ (Worm)
ទំហំ: 27648 B
វាបំផ្លាញប្រព័ន្ធ: Microsoft Windows
i.
ការអធិប្បាយ មេរោគ Win32/AutoRun.Agent.GO គឺជាប្រភេទដង្កូវ
(Worm) ដែលឆ្លងតាមឧបករណ៍
USB។
II. របៀបលប់
II. របៀបលប់
នៅពេលដែលវាឆ្លងវានឹងចូលទៅក្នុង
%drive%\RECYCLER\S %variable%\windowsupdate.com
%drive%\RECYCLER\S %variable%\windowsupdate.com
បណ្តាដង្កូវ
worm បានបង្កើតជា
string
ដែលមានកូដដោយឡែកពីគ្នាដូចជា
explorer.exe
firefox.exe
mozilla.exe
msnmsgr.exe
explorer.exe
firefox.exe
mozilla.exe
msnmsgr.exe
III.
ឆ្លងតាម USB តាម External Hard disk
បណ្តាដង្កូវ
worm បានបង្កើតនិងនៅជាប់ក្នុង
hard disk
ដែលមានឈ្មោះ file
ប្រើប្រាស់ដូចជា
%drive%\RECYCLER\S-%variable%\windowsupdate.com
មាន String មួយដែលមានកូដបានប្រើជំនួសដោយ %variable%
បណ្តាដង្កូវ worm បានបង្កើតជា file
%drive%\autorun.inf
%drive%\RECYCLER\S-%variable%\windowsupdate.com
មាន String មួយដែលមានកូដបានប្រើជំនួសដោយ %variable%
បណ្តាដង្កូវ worm បានបង្កើតជា file
%drive%\autorun.inf
ផ្តាច់សេវា:
wscsvc
SharedAccess
បង្កើតចេញជាបណ្តាតម្លៃ ក្នុង Registry ខាងក្រោម:
wscsvc
SharedAccess
បង្កើតចេញជាបណ្តាតម្លៃ ក្នុង Registry ខាងក្រោម:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List]"%filepath%" = "%filepath%:*:Enabled:Microsoft Windows Update Platform"
AuthorizedApplications\List]"%filepath%" = "%filepath%:*:Enabled:Microsoft Windows Update Platform"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]"Start"
= 4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]"Start"
= 4
Post a Comment