Đăng Nhập
Tìm kiếm
Top posting users this month
No user |
Thống Kê
Hiện có 4 người đang truy cập Diễn Đàn, gồm: 0 Thành viên, 0 Thành viên ẩn danh và 4 Khách viếng thăm Không
Số người truy cập cùng lúc nhiều nhất là 58 người, vào ngày Wed Aug 02, 2017 7:50 pm
W32.Mytob.KC
SeHTF :: Câu lạc bộ An ninh mạng for Security 2TVN :: Góc nhìn hệ thống by Security 2TVN :: An ninh máy tính by Security 2TVN :: Thông tin cập nhật Top Virus by Security 2TVN :: Top 100 Virus
Trang 1 trong tổng số 1 trang
15062011
W32.Mytob.KC
W32.Mytob.KC
11:05 | 27.05.2011
Mô tả
Khi W32.Mytob.KC hoạt động nó thực hiện các công việc sau:
- Copy chính nó thành một tệp: %System%\Phantom.exe; %Windir%\Phantom.exe
Chú ý:
%System% là chỉ thư mục system32 của win2000, winxp, win2003 hoặc chỉ thư mục system của win95, win98, winMe
%Windir là chỉ thư mục cài đặt windows thường là C:\Windows, C:\WinNT
%Temp% là thư mục temp của windows C:\Windows\Temp hoặc C:\WinNT\Temp
Thêm các giá trị
"Shell" = "Explorer.exe Phantom.exe"
"userinit" = "userinit.exe Phantom.exe"
- Vào Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Tạo ra mutex để cho phép chỉ một phiên bản virus hoạt động trên máy tính nạn nhân.
[Phantom]
Lấy thông tin về địa chỉ email từ những tệp có đuôi sau: wab, .adb , .tbb, .dbx,.asp, .php, .sht, .htm, .xml, .cgi, .jsp, .txt
Tránh việc gửi chính nó tới các địa chỉ email có chứa các xâu ký tự sau:
.gov .mil abuse accoun acketst admin anyone arin. avp berkeley borlan bsd bugs certific contact example feste fido foo. fsf. gnu gold-certs gov. help tanford.e the.bat | nodomai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho spam spm submit | iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux listserv master math mit.e mozilla mydomai no nobody unix usenet utgers.ed webmaster www you your support |
Kiểm tra các địa chỉ máy chủ email có phần đầu như sau:
mx smtp mx1 mxs | mail1 relay ns gate |
- Dùng các địa chỉ email thu thập được để phát tán chính nó.
- Mở backdoor và kết nối tới máy chủ IRC và URL SmallPhantom.3322.org và đợi lệnh tấn công từ xa của hacker.
Khoá không cho máy tính kết nối tới các trang web bảo mật bằng cách thay đổi thông số trong file
- Ghi lại tất cả các thao tác trên bàn phím vào tệp C:\Shell.sys 7. Dùng các địa chỉ email
- Thu thập được để phát tán chính nó.
CÁCH DIỆT
-
Tắt chế độ System Restore của hệ thống bởi vì chương trình diệt virus
không quét được thông tin trên phần Restore của Windows.
-
Xoá các khoá trong registry. Các giá trị cần xoá đã liệt kê ở trên
(Trước khi xóa registry bước quan trọng cần thiết là sao lưu trước khi
xóa)
Admin- Chủ Tịch Se S2T
- Con Giáp :
Tuổi giáp Trung Hoa :
Tổng số bài gửi : 1481
Điểm Se S2T : 88055
Sinh Nhật : 03/11/1990
Tham gia ngày : 27/08/2009
Tuổi : 33
Đến từ : Äồng Há»›i City
Sở thích : Máy tÃnh, Soft, AV....
Tính hài hước : Bình thÆ°á»ng
Huy chương
Sức mạnh:
(100/100)
Điểm SeS2T:
(50/50)
Permissions in this forum:
Bạn không có quyền trả lời bài viết