Nội dung

Tài nguyên dạy học

HỖ TRỢ TRỰC TUYẾN

  • (ĐẶNG THANH NGHỊ)
  • (camnangtrithuc@yahoo.com)

Xin ý kiến của quý vị

Hân hạnh được đón tiếp quý vị ! Xin Quý vị cho biết ! Quý vị là :
Giáo viên- Giảng viên
Học sinh
Sinh viên
Công chức
Khác

Thành viên trực tuyến

13 khách và 0 thành viên

Ảnh ngẫu nhiên

Trencongtruongrontiengca.flv Video_13cailuongEnglish.flv Tim_hieu_ve_dep_con_nguoi_Tay_Bac_qua_cac_tac_pham_van_hoc___VTVVN.flv _Day_Boi_Ech.flv 16_chu_e_dtd.swf 14_viet_chu_q_g.swf 12_viet_chu_a_dtd.swf 11luyen_chu_o.swf Kiniemmaitruong.swf Bachocoloi.swf CodoHoaludenvuadinh_LangDu.jpg Mot_chut_moi_ngay.swf Rieng_mgtroi1.swf Co_be_quang_khan_do.flv Truyen_su_tich_tho_ngoc.flv Flash_thiep_27.swf Mua_Xuan_Nho_Nho1.swf Happy_new_year.flv Chucmungnammoi4.swf

Các ý kiến mới nhất

  • cho mình phần mềm VKofice được không? mail: quocvpub@yahoo.com.vn Cảm...
  • Nhật Trường thăm thầy Đặng Thanh Nghị...
  • XIN CHÚC MỪNG THẦY ĐẶNG THANH NGHỊ...
  • thầy còn filr bài này k? cho em với, e...
  • Anh Tuấn Xin chúc Cô Thanh Nghị cùng người...
  • Mời các thầy cô tham gia và xây dựng diễn...
  • CHÀO CHỦ NHÀ CÓ CÙNG TÊN, RẤT HÂN HẠNH ĐƯỢC...
  • Thăm thầy Nghi! Chúc thầy năm học mới nhiều hạnh...
  • Thăm trang của thầy nhờ thầy góp ý cho trang...
  • Mỹ Tú xin chào thầy Nghị! Rất vui đc giao...
  • Xin duoc lam quen!...
  • Chúc thầy buổi tối nhiều niềm vui! ...
  • TVM chúc cả nhà vui vẻ. Mời cả nhà ghé...
  • TVM mong được giao lưu với thầy. Mời thầy ghé...

    • ĐỐI TÁC

    Thống kê

  • truy cập   (chi tiết)
    trong hôm nay
  • lượt xem
    trong hôm nay
  • thành viên

    • Chỉ số Alexa

    Chào mừng quý vị đến với Cẩm nang Tri thức- Đặng Thanh Nghị - Knowledge Handbook.

    Quý vị chưa đăng nhập hoặc chưa đăng ký làm thành viên, vì vậy chưa thể tải được các tư liệu của Thư viện về máy tính của mình.
    Nếu đã đăng ký rồi, quý vị có thể đăng nhập ở ngay ô bên phải.
    Gốc > Bách khoa tri thức > Cách diệt virut máy tính >

    Cách diệt Trojan-Downloader Win32 Agent alvu



     

    I)Thông tin
    Thời gian cập nhật: 14 tháng 1 năm 2009 lúc 09:01:51
    Thời gian xử lý : 6 phút 29 giây
    Mẫu
              Tập tin mã hóa MD5 :
                        0x70046ADC41516160B648D27E2899937C
              Kích thước:48.896 bytes
              Được biết đến dưới các dạng tên
                       Trojan-Downloader.Win32.Agent.alvu [Kaspersky Lab]
                       Vundo.gen.m Vundo.gen.m  [McAfee]
                       Trojan:Win32/AgentBypass.gen!I Trojan: Win32/AgentBypass.gen! Tôi  [Microsoft]
                       Trojan.Win32.Vundo.HX Trojan.Win32.Vundo.HX  [Ikarus]
    II)Phân tích
    Đặc tính của Vundo (aka VirtuMonde/VirtuMundo) là một trojan là nó đưa ra những thông tin quảng cáo
    những chương trình Antispyware. Trojan này có thể cài đặt bằng cách liên kết qua trang web trong một Spammed Email
    nó tạo ra một tập tin dll trong system32 trong thư mục windows và nó đưa vào hệ thống cùng các quy trình winlogon.exe và explorer.exe.
    III) Chi tiết ký thuật
    Dưới đây là những Files được tạo ra trong hệ thống
    Tên files(s)                                         Kích thước                   Tập tin mã hóa MD5
    %Temp%\removalfile.bat                    43 bytes                    0x9A7EF09167A6F4433681B94351509043

    %System%\pmnkJdDu.dll                  34,176 bytes               0x1B5D017A9849E25204384CA07F6360FB
    %System%\rqRlkHBs.dll                                                         

    Cũng được biết đến dưới các dạng tên
                                                 Win32.SuspectCrc [Ikarus]
                                                 Vundo.gen.m [McAfee]
                                                 Troj/Virtum-Gen [Sophos]
                                                 Trojan:Win32/Vundo.gen!C [Microsoft]
                                                  Virus.Win32.AdWare [Ikarus]

    Chú ý : %Temp% là thư mục nằm mặc định ở C:\Documents and Settings\[UserName]\Local Settings\Temp\ (Windows NT/2000/XP).
     
    Sau khi thâm nhập nó tạo ra một quá trình xử lý mới trong hệ thống
    Tên quá trình                          Tên File                                         Modules Chính (Kích thước)
    [Tên file của mẫu  #1]             File và tên đường dân mẫu  #1           61,440 bytes
    Dưới đây là những Modules đã được tải vào trong các quá trình

    Tên Modules                 Tên tập tin Modules                           Địa chỉ chi tiết
    pmnkJdDu.dll                %System%\pmnkJdDu.dll                  Process name: explorer.exe
                                                                                                   Process filename: %Windir%\explorer.exe
                                                                                                   Address space: 0x19C0000 - 0x19D0000
     

    pmnkJdDu.dll               %System%\pmnkJdDu.dll                   Process name: dllhost.exe
                                                                                                  Process filename: %System%\dllhost.exe
                                                                                                  Address space: 0x2530000 - 0x2540000

    Dưới đây là những key được tạo ra trong Registry
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E491027D-3417-4FA7-859D-AE0884121B81}\InprocServer32]
    (Default) = "%System%\pmnkJdDu.dll"
    ThreadingModel = "Both"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Settings]
    Time = 70 CA C8 59 55 32 C9 01 00 00 00 00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    {E491027D-3417-4FA7-859D-AE0884121B81} = ""
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pmnkJdDu]
    Asynchronous = 0x00000001
    DllName = "pmnkJdDu.dll"
    Impersonate = 0x00000000
    Logon = "o"
    Logoff = "f"
    so that pmnkJdDu.dll is installed as a Winlogon notification package
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\00cd0861]
    (Default) = "61D0CAF787274D6CBD179DF9BDD342E9&"
    [HKEY_CURRENT_USER\Software\Microsoft\Installer]
    (Default) = E0 6E 6D 5A 55 32 C9 01
    Key mới được tạo giá trị là
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
    1A10 = 0x00000000
    {AEBA21FA-782A-4A90-978D-B72164C80120} = 1A 37 61 59 23 52 35 0C 7A 5F 20 17 2F 1E 1A 19 0E 2B 01 73 13 37 13 12 14 1A 15 2A
    {A8A88C49-5EB2-4990-A1A2-0876022C854F} = 1A 37 61 59 23 52 35 0C 7A 5F 20 17 2F 1E 1A 19 0E 2B 01 73 13 37 13 12 14 1A 15 2A

    threatexpert
    Nhắn tin cho tác giả
    Đặng Thanh Nghị @ 09:14 10/03/2009
    Số lượt xem: 942
    Số lượt thích: 0 người
     
    Gửi ý kiến

    dangthanhnghi.violet.vn

    CẢM ƠN QUÝ THẦY CÔ VÀ QUÝ VỊ ĐÃ GHÉ THĂM WEBSITE CỦA THẦY GIÁO ĐẶNG THANH NGHỊ

    Dai ly Motion