Hider.I Trojan ( tên gọi theo ESET NOD32)
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (51.39 KB, 2 trang )
Hider.I Trojan ( tên gọi theo ESET NOD32)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
A. PHÂN TÍCH
1. Trojan được viết bằng ngôn ngữ Borland C++, pack bằng ASPack2.0
2. Tên gọi: Hide.I Trojan hay còn được gọi là "Phim nguoi lon.exe"
3. Đặc điểm: Khóa các thuộc tính trong Folder Option, làm ẩn tòan bộ các folder trong máy và USB.
B. CÁCH THỨC HỌAT ĐỘNG
1. Sao chép bản thân và tạo giá trị trong registry để khởi động cùng windows
Khi trojan họat động, nó copy chính nó và đổi tên bản sao của nó thành tên "isass.exe" nằm trong thư mục
%systemroot%\system32\ (thường là C:\WINDOWS\system32\isass.exe). Mọi nguồn gốc, mọi việc lây lan cũng
đều bắt đầu từ file "isass.exe" này.
Kế đến, trojan tạo thêm 1 valua "isass.exe" của KEY phía dưới để lúc nào máy khởi động lên thì "isass.exe" cũng
chạy và sẵn sàng tác chiến:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"isass.exe"="C:\\WINDOWS\\system32\\isass.exe"
Mặc định là con trojan "isass.exe" này chạy ngầm định (bạn có thể ấn CTRL + ALT + DEL mở taskbar lên xem,
nhưng không thể kill được nó) ngòai nhiệm vụ duy trì các giá trị valua trong REGISTRY, nó còn có nhiệm vụ "dò
xét" xem máy bạn có cắm USB không, nếu có thì nó sẽ lây nhiễm và biến đổi thuộc tính các folder thành Hidden
+ System + Readonly (bởi vậy, bạn vẫn thường thấy câu hỏi đại lọai thế này "USB của em không có chứa gì, sao
tự nhiên dung lượng còn rất ít ..." xuất hiện không chỉ trên các diễn đàn mà còn là câu cửa miệng của nhiều em).
Hơn thế nữa, nó lại copy bản thân nó (file "isass.exe") tạo ra 1 file có tên "y chang" cái tên thư mục bị ẩn - chỉ
khác là file này có thêm phần mở rộng .exe (ví dụ: "New folder.exe").
2. Kế đến, nó thực hiện lệnh để đổi giá trị các nhánh trong Regedit:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ClassicViewSta
te]
"UncheckedValue"=dword:00000000
Nó đổi thành dword:00000001 để đánh dấu vào mục [x] Do not show hidden files and folders trong folder
option.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
"UncheckedValue"=dword:00000000
Nó đổi thành dword:00000001 để đánh dấu check vào [v] Hide extensions for known file types trong folder
option.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"UncheckedValue"=dword:00000001
Nó đổi thành dword:00000000. Với việc thay đổi các giá trị này, thì Trojan đã khóa hòan tòan Folder Option
(bạn thay đổi các mục trong folder option, nhưng nó vẫn hòan trả về như cũ).
3. Shutdown máy tính khi cần:
Nếu hòan tất hết các bước trên, thì nguy hiểm hơn process làm máy tính shutdown đột ngột buộc bạn phải khởi
động lại để các thiết lập vừa tạo ra trong registry được thực thi.
B. CÁCH VÔ HIỆU HÓA
Như vậy, để diệt được con trojan này, thì bạn phải lần lượt làm theo các bước sau:
1. Dùng trình duyệt quýet virus để nó xóa sạch các file do virus này tạo ra. Tuy nhiên, sau khi tiêu diệt thì trình
quýet virus cũng không thể giúp máy tính hồi phục lại sức lực được. Các file ẩn vẫn hòan ẩn, cho dù bạn có mở
properties lên, thì dấu check cũng bị vô hiệu hóa do file có thuộc tính [system]. Bạn phải hòan tất thêm các bước
sau.
2. Bạn phải vô hiệu hóa file "isass.exe" trong %systemroot%\system32, vô hiệu hóa bằng cách đổi thành tên
khác, ví dụ "isass.tmp" chứ không thể del file này được vì file đang thực thi nên bị cấm.
3. Hiệu chỉnh Registry (bạn có thể hiệu chỉnh bằng tay, tuy nhiên tôi có kèm theo file *.exe để khôi phục, bạn chay
nó sẽ mau hơn) khôi phục các giá trị "UncheckedValue" cũng như xóa bỏ valua "isass.exe" trong
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
4. Dùng tool SetAttributes.exe để thiết lập lại thuộc tính file và folder (làm file ẩn hiển thị lên).
* Bước 2->4, bạn dùng tools của tôi kèm theo để làm (download here).
