វិធីសម្លាប់មេរោគដោយប្រើដៃចូលក្នុងលប់ ក្នុង Registry
1.របៀបសម្លាប់មេរោគ Trojan.Wincod
ការអធិប្បាយ W32.Downadup.Cជាប្រភេទមេរោគ: Trojan ធ្វើអោយជាប់គាំង ខូចកម្មវិធីប្រើប្រាស់កំរិតគ្រោះថ្នាក់: មធ្យម
ទំហំ: 57,344 bytes
វាធ្វើអោយខូចខាងប្រព័ន្ធ: Windows
របៀបសម្លាប់មេរោគ
– ចុចលើ Start à Run
– វាយសរសេរ Regedit
– ចុចជ្រើសរើសយក OK
– រកមើលតម្លៃរួចហើយលប់ចោលនៅក្នុង Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”WmpTray” = “[PATH TO TROJAN]”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\”Debugger” = “http://wincodecpro.com/purchase.php?id=2″
HKEY_LOCAL_MACHINE\SOFTWARE\GenericMultiMedia\WinCoDecPRO\”countr” = “[NUMBER OF TIMES TROJAN HAS EXECUTED]”
HKEY_LOCAL_MACHINE\SOFTWARE\GenericMultiMedia
HKEY_LOCAL_MACHINE\SOFTWARE\GenericMultiMedia\WinCoDecPRO
– បិទ Registry ចាកចេញពី Windows
2. របៀបសម្លាប់មេរោគ W32.Downadup.C
ការអធិប្បាយ
ឈ្មោះមេរោគ: W32.Downadup.C
ជាប្រភេទមេរោគ: Trojan Worm
កំរិតគ្រោះថ្នាក់: មធ្យម
ទំហំ: 88,576 bytes
វាធ្វើអោយខូចខាងប្រព័ន្ធ: Windows
របៀបសម្លាប់មេរោគ
– ចុចលើ Start à Run
– វាយសរសេរ Regedit
– ចុចជ្រើសរើសយក OK
– រកមើលតម្លៃរួចហើយលប់ចោលនៅក្នុង Registry
វាបំផ្លាញធ្វើអោយខូចខាងប្រព័ន្ធ: Windows XP, Windows Vista, Windows Server 2003, Windows 2000។ ការណែនាំប្រើប្រាស់កម្មវិធី
Symantec ដើម្បីចាប់មេរោគដែលជាផលិតផលរបស់ Norton។
– លោកអ្នកផ្តាច់ប្រព័ន្ធ System Restore (Windows Me/XP)
– រកមើលកម្មវិធីថ្មី និងមាន file update
– Scan ក្នុង Drive ទាំងអស់ក្នុងកុំព្យូទ័ត
– លប់តម្លៃដែលនៅជាប់ក្នុង Registry
របៀបកំចាប់មេរោគ
– ចុចលើ Start à Run
– វាយសរសេរ Regedit
– ចុចជ្រើសរើសយក OK
– រកមើលតម្លៃរួចហើយលប់ចោលនៅក្នុង Registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 1]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 1]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”[RANDOM CHARACTERS]” = “rundll32.exe “[RANDOM DLL FILE NAME]“, [RANDOM PARAMETER STRING]”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[RANDOM CHARACTERS]\”ImagePath” = “%System%\svchost.exe -k netsvcs”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[RANDOM CHARACTERS]\Parameters\”ServiceDll” = “[PATH TO THE THREAT]”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 2]\”[WORD 1][WORD 2]” = “[BINARY DATA]”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 2]\”[WORD 1][WORD 2]” = “[BINARY DATA]”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 2]\”[WORD 1][WORD 2]” = “[BINARY DATA]”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 2]\”[WORD 1][WORD 2]” = “[BINARY DATA]”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 2]\”[WORD 1][WORD 2]” = “[BINARY DATA]”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 2]\”[WORD 1][WORD 2]” = “[BINARY DATA]”
បញ្ចូលតម្លៃថ្មីក្នុង Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”Windows Defender”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
– បិទ Registry ចាកចេញពី Windows
3. របៀបសម្លាប់មេរោគ W32.SillyFDC.BAZ
ការអធិប្បាយ
ឈ្មោះមេរោគ: W32.SillyFDC.BAZ
ជាប្រភេទមេរោគ: Worm
កំរិតគ្រោះថ្នាក់: មធ្យម
ទំហំ: 27,072 bytes
វាធ្វើអោយខូចខាងប្រព័ន្ធ: Windows
របៀបសម្លាប់មេរោគ
– ចុចលើ Start à Run
– វាយសរសេរ Regedit
– ចុចជ្រើសរើសយក OK
– រកមើលតម្លៃរួចហើយលប់ចោលនៅក្នុង Registry
វាបំផ្លាញធ្វើអោយខូចខាងប្រព័ន្ធ: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP ។ ការណែនាំប្រើប្រាស់កម្មវិធី
Symantec ដើម្បីចាប់មេរោគដែលជាផលិតផលរបស់ Norton។
– លោកអ្នកផ្តាច់ប្រព័ន្ធ System Restore (Windows Me/XP)
– រកមើលកម្មវិធីថ្មី និងមាន file update
– Scan ក្នុង Drive ទាំងអស់ក្នុងកុំព្យូទ័ត
– លប់តម្លៃដែលនៅជាប់ក្នុង Registry
របៀបកំចាប់មេរោគ
– ចុចលើ Start à Run
– វាយសរសេរ Regedit
– ចុចជ្រើសរើសយក OK
– រកមើលតម្លៃរួចហើយលប់ចោលនៅក្នុង Registry
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\”ProxyEnable” = “0″
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\”DefaultConnectionSettings” = “[BINARY DATA]”
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\”SavedLegacySettings” = “[BINARY DATA]”
– បិទ Registry ចាកចេញពី Windows
4. របៀបសម្លាប់មេរោគ W32.SillyFDC.BBAY
ការអធិប្បាយ
ឈ្មោះមេរោគ: W32.SillyFDC.BBAY
ជាប្រភេទមេរោគ: Worm
កំរិតគ្រោះថ្នាក់: មធ្យម
ទំហំ: 40,960 bytes
វាធ្វើអោយខូចខាងប្រព័ន្ធ: Windows
របៀបសម្លាប់មេរោគ
– ចុចលើ Start à Run
– វាយសរសេរ Regedit
– ចុចជ្រើសរើសយក OK
– រកមើលតម្លៃរួចហើយលប់ចោលនៅក្នុង Registry
វាបំផ្លាញធ្វើអោយខូចខាងប្រព័ន្ធ: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP ។ ការណែនាំប្រើប្រាស់កម្មវិធី
Symantec ដើម្បីចាប់មេរោគដែលជាផលិតផលរបស់ Norton។
– លោកអ្នកផ្តាច់ប្រព័ន្ធ System Restore (Windows Me/XP)
– រកមើលកម្មវិធីថ្មី និងមាន file update
– Scan ក្នុង Drive ទាំងអស់ក្នុងកុំព្យូទ័ត
– លប់តម្លៃដែលនៅជាប់ក្នុង Registry
របៀបកំចាប់មេរោគ
– ចុចលើ Start à Run
– វាយសរសេរ Regedit
– ចុចជ្រើសរើសយក OK
– រកមើលតម្លៃរួចហើយលប់ចោលនៅក្នុង Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-22CX3C644241}\”StubPath” = “%SystemDrive%\SYSTEM\[SID]\Perfume.exe”
– បិទ Registry ចាកចេញពី Windows
5. របៀបសម្លាប់មេរោគ Win32/Botgor.B
ការអធិប្បាយ
ឈ្មោះមេរោគ: Win32/Botgor.B
ជាប្រភេទមេរោគ: Worm
ទំហំ: variable មិនថេរ
វាធ្វើអោយខូចខាងប្រព័ន្ធ: Windows
របៀបសម្លាប់មេរោគ
– ចុចលើ Start à Run
– វាយសរសេរ Regedit
– ចុចជ្រើសរើសយក OK
– រកមើលតម្លៃរួចហើយលប់ចោលនៅក្នុង Registry
វាបំផ្លាញធ្វើអោយខូចខាងប្រព័ន្ធ: Windows XP, Windows Me, Windows Vista, Windows Server 2003, Windows 2008។ មេរោគនេះបានឆ្លងចូលក្នុងទីតាំង %windir% \system \bot1.exe ដើម្បីរត់ចូលក្នុងប្រព័ន្ធមេរោគដែលនៅជាប់ក្នុង Registry មេរោគនេះបានឆ្លងតាមគេហទំព័រពីប្រព័ន្ធ Internet។
របៀបកំចាប់មេរោគ
– ចុចលើ Start à Run
– វាយសរសេរ Regedit
– ចុចជ្រើសរើសយក OK
– រកមើលតម្លៃរួចហើយលប់ចោលនៅក្នុង Registry
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]“Userinit” = “%system%\userinit.exe,%windir%\system\bot1.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\BN1]
“G” = “%variable1%”
“AN” = “%variable2%”
“UA” = “%variable3%”
“UA_” = “%variable4%”
មេរោគដែលចូលក្នុង file ហើយបង្កើតជាកន្ទុយ *.exe បណ្តាមេរោគបានបង្កើត
ផ្ទុកក្នុង %program files% ដែលមានឈ្មោះខាងក្រោម:
%windir%\system32\cleanmgr.exe
%windir%\system32\dxdiag.exe
%windir%\system32\msconfig.exe
%windir%\system32\regedit.exe
%windir%\system32\sol.exe
%windir%\system32\spider.exe
%windir%\system32\taskmgr.exe
%windir%\system32\sndrec32.exe
%windir%\system32\mspaint.exe
%windir%\system32\write.exe
%windir%\system32\notepad.exe
%windir%\system32\calc.exe
ក្រោយមកវាធ្វើអោយ បានបង្ហាញព័ត៌មានដូចជា
មេរោគបានពីការ Download តាម Internet ចូលក្នុង %Windir% ដោយប្រើ ប្រាស់បង្កើតជា bot1_Update.exe វាផ្ទុកក្នុង
%windir%\bot1_update.exe, %windir%\system\bot1.exe
6. របៀបសម្លាប់មេរោគ Win32/Agent.OLJ Win32/Agent.OLJ
ការអធិប្បាយ Win32/Agent.OLJ Win32/Agent.OLJ
ជាប្រភេទមេរោគ: Trojan
ទំហំ: 4286 Byte
វាធ្វើអោយខូចខាងប្រព័ន្ធ: Microsoft Windows
វាចូលផ្ទុកក្នុងប្រព័ន្ធ
ពេលមេរោគ Trojan បានបង្កើតជា file ដែលផ្ទុកក្នុង %temp%\bt% variable%.bat %windir%\Command\Command.bat (4286 Byte)
%userprofile%\startm~1\Programme\Autostart\%variable%.bat (4286 Byte) និងក្នុង C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Command.bat (4286 Byte) C:\Programm Files\bt%variable%.bat (4286 Byte)
វាបានផ្លាស់ប្តូរក្នុង %variable%។ មេរោគ Trojan នេះបានចូលក្នុងជាប់ក្នុង Registry។
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]”Winlogon” = “%windir%\Command\Command.bat”
The following Registry entries are set: [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Mouclass]
“Start” = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kbdclass]
“Start” = 4
- avgnt.exe
- avguard.exe
- taskmgr.exe
- explorer.exe
- lsass.exe
ដើម្បីច្បាស់លោកអ្នកចុចពីរដងលើរូបភាពខាងលើ ឃើញ file ខាងក្រោមត្រូវ លប់ចោល។
C:\*.sys
C:\*.bin
C:\*.bat
%system%\bootvid.dll
%system%\explorer.exe
%system%\logon.scr
%system%\logonui.exe
%system%\logonui.exe.manifest
%system%\lsass.exe
%system%\seclogon.dll
%system%\taskmgr.exe
%system%\usrlogon.cmd
%system%\WindowsLogon.manifest
%system%\winlogon.exe
%system%\dllcache\logon.scr
%system%\dllcache\logonui.exe
%system%\dllcache\winlogon.exe
%windir%\bootstat.dat
%windir%\explorer.exe
%windir%\Cursors\*.*
%windir%\Prefetch\NTOSBOOT-B00DFAAD.pf
%userprofile%\NTUSER.dat
ព័ត៌មានផ្សេងពីមេរោគ
ក្រោយពេលមេរោគបានវាយប្រហារក្នុងម៉ាស៊ី មេរោគ Trojan បានបង្កើត ដំណើរការដូចខាងក្រោម:
iexplore.exe www.batch-rockz.dl.am
net.exe user “-Sph1nX-” “0wn3d” /add”
net.exe localgroup Administratoren “-Sph1nX-” /add
net.exe user “Sph1nX – %random%” “%random%” /add
net.exe localgroup Administratoren “Sph1nX – %random%” /add
shutdown.exe -s -t 30 -c “%username% g0t 0wn3d bY -Sph1nX-”
បណ្តាសេរវាដែលមេរោគបានបង្កើត
AntiVirService
cryptsvc
Designs
Anmeldedienst
avgnt.exe
avguard.exe
taskmgr.exe
explorer.exe
lsass.exe
ក្រោយមកមេរោគ Trojan និងបង្ហាញរូបភាពខាងក្រោម
7. របៀបសម្លាប់មេរោគ W32.SillyFDC.BAW
ការអធិប្បាយ
ឈ្មោះមេរោគ: W32.SillyFDC.BAW
ជាប្រភេទមេរោគ: Worm
ទំហំ: 530,944 bytes
វាធ្វើអោយខូចខាងប្រព័ន្ធ: Windows
របៀបសម្លាប់មេរោគ
– ចុចលើ Start à Run
– វាយសរសេរ Regedit
– ចុចជ្រើសរើសយក OK
– រកមើលតម្លៃរួចហើយលប់ចោលនៅក្នុង Registry
វាបំផ្លាញធ្វើអោយខូចខាងប្រព័ន្ធ:Windows XP, Windows Me, Windows Vista, Windows Server 2003, Server 2008។
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMISYS\”NextInstance” = “1″
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMISYS\0000\”Class” = “LegacyDriver”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMISYS\0000\”ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMISYS\0000\”ConfigFlags” = “0″
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMISYS\0000\”DeviceDesc” = “WMI System App”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMISYS\0000\”Legacy” = “1″
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMISYS\0000\”Service” = “WMISYS”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\”%System%\wmisys.exe” = “%System%\wmisys.exe:*:Microsoft Enabled”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMISYS\”Description” = “Spools WMI applications.”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMISYS\”DisplayName” = “WMI System App”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMISYS\”ErrorControl” = “0″
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMISYS\”FailureActions” = “[BINARY DATA]”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMISYS\”ImagePath” = “%System%\wmisys.exe”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMISYS\”ObjectName” = “LocalSystem”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMISYS\”Start” = “2″
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMISYS\”Type” = “272″
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMISYS\Security\”Security” = “[BINARY DATA]”
បង្កើតតម្លៃបន្ថែមក្នុង Registry
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\”WaitToKillServiceTimeout” = “7000″
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\”ProxyEnable” = “0″
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\”SavedLegacySettings” = “[BINARY DATA]”
– បិទ Registry ចាកចេញពី Windows
8. របៀបសម្លាប់មេរោគ ThreatNuker
ការអធិប្បាយ
ឈ្មោះមេរោគ: ThreatNuker
ជាប្រភេទមេរោគ: Worm
ទំហំ: 1,398,480 bytes
វាធ្វើអោយខូចខាងប្រព័ន្ធ: Windows
របៀបសម្លាប់មេរោគ
– ចុចលើ Start à Run
– វាយសរសេរ Regedit
– ចុចជ្រើសរើសយក OK
– រកមើលតម្លៃរួចហើយលប់ចោលនៅក្នុង Registry
HKEY_CURRENT_USER\Software\ThreatNuker
HKEY_CLASSES_ROOT\CLSID\{1334158E-0314-405F-84E2-504815415812}
HKEY_CLASSES_ROOT\CLSID\{9A1D3451-03D2-AADD-034E-35D42B5B1B27}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ThreatNuker
HKEY_LOCAL_MACHINE\SOFTWARE\ThreatNuker
-បិទក្នុង Registry ពីក្នុង Windows
9. របៀបសម្លាប់មេរោគ W32.Ackantta.B@mm
ការអធិប្បាយ
ឈ្មោះមេរោគ: W32.Ackantta.B@mm
ជាប្រភេទមេរោគ: Worm
ទំហំ: 266, 240 bytes
កំរិតប្រហារមធ្យម
វាធ្វើអោយខូចខាងប្រព័ន្ធ: Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”SunJava Updater v7″ = “%System%\javale.exe”
សរសេរតម្លៃបន្ថែមក្នុង Registry
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%System%\”javale.exe” = “%System%\javale.exe:*:Enabled:Explorer”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\”javastation1.1″ = “02″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\”ultrasparc1.1″ = “25″
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\”CheckExeSignatures” = “0×1″
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\”RunInvalidSignatures” = “no”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\”LowRiskFileTypes” = “.zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.bat;.cmd;.pif;.scr;.mov;.mp3;.wav”
-បិទក្នុង Registry ពីក្នុង Windows
វិធីសម្លាប់មេរោគ Win32/Virut.NBK ឈ្មោះមេរោគ: Virus.Win32.Virut.ce (សម្លាប់ដោយ Kaspersky), W32.Virut.CF (សម្លាប់ដោយ Symantec), W32/Virut.n (សម្លាប់ដោយ McAfee
ទំហំ: វាអាចផ្លាស់ប្តូរទំហំ
អាចបំផ្លាញបានតែជាមួយ Microsoft Windows
ការអធិប្បាយ
នៅពេលដែលមេរោគ ឆ្លងចូលក្នុងម៉ាស៊ីន វាបានតោងជាប់ជាមួយ IRC និងអាច ឆ្លងទៅ កុំព្យូទ័រផ្សេងទៀត ដោយការលេងនិយាយ chat។
របៀបសម្លាប់
មេរោគនេះ បង្កើតបង្កើតជាកម្មវិធីថ្មី ដែលរត់ជា file ខាងក្រោម:
Winlogon.exe
វាបង្កើតតម្លៃថ្មីនៅជាប់ក្នុង Registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ServicesSharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List]
“\??\%system%\winlogon.exe” = “\??\%system%\
winlogon.exe:*:enabled:@shell32.dll,-1″
នៅពេលដែលឆ្លងមេរោគ វានិងបង្កើតជា file ដែលមាន .exe និង .scr
វានិងប្រឆាំង រំខានការងាររបស់យើងគ្រប់ពេល និងបង្កើតជា strings ដែលមាន ឈ្មោះដូចខាងក្រោមនេះ:
WINC
WCUN
WC32
OTSP
វាគំរាមកំហែងនិងធ្វើអោយខូចដល់ file ដូចខាងក្រោម:
*. htm
*.php *. php
*.asp *. asp
*.html *. html
C:\*.sys
C:\*.bin
C:\*.bat
%system%\bootvid.dll
%system%\explorer.exe
%system%\logon.scr
%system%\logonui.exe
%system%\logonui.exe.manifest
%system%\lsass.exe
%system%\seclogon.dll
%system%\taskmgr.exe
%system%\usrlogon.cmd
%system%\WindowsLogon.manifest
%system%\winlogon.exe
%system%\dllcache\logon.scr
%system%\dllcache\logonui.exe
%system%\dllcache\winlogon.exe
%windir%\bootstat.dat
%windir%\explorer.exe
%windir%\Cursors\*.*
%windir%\Prefetch\NTOSBOOT-B00DFAAD.pf
%userprofile%\NTUSER.dat
ព័ត៌មានផ្សេងពីមេរោគ
ក្រោយពេលមេរោគបានវាយប្រហារក្នុងម៉ាស៊ី មេរោគ Trojan បានបង្កើត ដំណើរការដូចខាងក្រោម:
iexplore.exe www.batch-rockz.dl.am
net.exe user “-Sph1nX-” “0wn3d” /add”
net.exe localgroup Administratoren “-Sph1nX-” /add
net.exe user “Sph1nX – %random%” “%random%” /add
net.exe localgroup Administratoren “Sph1nX – %random%” /add
shutdown.exe -s -t 30 -c “%username% g0t 0wn3d bY -Sph1nX-”
បណ្តាសេរវាដែលមេរោគបានបង្កើត
AntiVirService
cryptsvc
Designs
Anmeldedienst
avgnt.exe
avguard.exe
taskmgr.exe
explorer.exe
lsass.exe
ក្រោយមកមេរោគ Trojan និងបង្ហាញរូបភាពខាងក្រោម
7. របៀបសម្លាប់មេរោគ W32.SillyFDC.BAW
ការអធិប្បាយ
ឈ្មោះមេរោគ: W32.SillyFDC.BAW
ជាប្រភេទមេរោគ: Worm
ទំហំ: 530,944 bytes
វាធ្វើអោយខូចខាងប្រព័ន្ធ: Windows
របៀបសម្លាប់មេរោគ
– ចុចលើ Start à Run
– វាយសរសេរ Regedit
– ចុចជ្រើសរើសយក OK
– រកមើលតម្លៃរួចហើយលប់ចោលនៅក្នុង Registry
វាបំផ្លាញធ្វើអោយខូចខាងប្រព័ន្ធ:Windows XP, Windows Me, Windows Vista, Windows Server 2003, Server 2008។
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMISYS\”NextInstance” = “1″
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMISYS\0000\”Class” = “LegacyDriver”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMISYS\0000\”ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMISYS\0000\”ConfigFlags” = “0″
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMISYS\0000\”DeviceDesc” = “WMI System App”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMISYS\0000\”Legacy” = “1″
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMISYS\0000\”Service” = “WMISYS”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\”%System%\wmisys.exe” = “%System%\wmisys.exe:*:Microsoft Enabled”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMISYS\”Description” = “Spools WMI applications.”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMISYS\”DisplayName” = “WMI System App”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMISYS\”ErrorControl” = “0″
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMISYS\”FailureActions” = “[BINARY DATA]”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMISYS\”ImagePath” = “%System%\wmisys.exe”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMISYS\”ObjectName” = “LocalSystem”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMISYS\”Start” = “2″
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMISYS\”Type” = “272″
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMISYS\Security\”Security” = “[BINARY DATA]”
បង្កើតតម្លៃបន្ថែមក្នុង Registry
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\”WaitToKillServiceTimeout” = “7000″
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\”ProxyEnable” = “0″
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\”SavedLegacySettings” = “[BINARY DATA]”
– បិទ Registry ចាកចេញពី Windows
8. របៀបសម្លាប់មេរោគ ThreatNuker
ការអធិប្បាយ
ឈ្មោះមេរោគ: ThreatNuker
ជាប្រភេទមេរោគ: Worm
ទំហំ: 1,398,480 bytes
វាធ្វើអោយខូចខាងប្រព័ន្ធ: Windows
របៀបសម្លាប់មេរោគ
– ចុចលើ Start à Run
– វាយសរសេរ Regedit
– ចុចជ្រើសរើសយក OK
– រកមើលតម្លៃរួចហើយលប់ចោលនៅក្នុង Registry
HKEY_CURRENT_USER\Software\ThreatNuker
HKEY_CLASSES_ROOT\CLSID\{1334158E-0314-405F-84E2-504815415812}
HKEY_CLASSES_ROOT\CLSID\{9A1D3451-03D2-AADD-034E-35D42B5B1B27}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ThreatNuker
HKEY_LOCAL_MACHINE\SOFTWARE\ThreatNuker
-បិទក្នុង Registry ពីក្នុង Windows
9. របៀបសម្លាប់មេរោគ W32.Ackantta.B@mm
ការអធិប្បាយ
ឈ្មោះមេរោគ: W32.Ackantta.B@mm
ជាប្រភេទមេរោគ: Worm
ទំហំ: 266, 240 bytes
កំរិតប្រហារមធ្យម
វាធ្វើអោយខូចខាងប្រព័ន្ធ: Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”SunJava Updater v7″ = “%System%\javale.exe”
សរសេរតម្លៃបន្ថែមក្នុង Registry
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%System%\”javale.exe” = “%System%\javale.exe:*:Enabled:Explorer”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\”javastation1.1″ = “02″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\”ultrasparc1.1″ = “25″
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\”CheckExeSignatures” = “0×1″
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\”RunInvalidSignatures” = “no”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\”LowRiskFileTypes” = “.zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.bat;.cmd;.pif;.scr;.mov;.mp3;.wav”
-បិទក្នុង Registry ពីក្នុង Windows
វិធីសម្លាប់មេរោគ Win32/Virut.NBK ឈ្មោះមេរោគ: Virus.Win32.Virut.ce (សម្លាប់ដោយ Kaspersky), W32.Virut.CF (សម្លាប់ដោយ Symantec), W32/Virut.n (សម្លាប់ដោយ McAfee
ទំហំ: វាអាចផ្លាស់ប្តូរទំហំ
អាចបំផ្លាញបានតែជាមួយ Microsoft Windows
ការអធិប្បាយ
នៅពេលដែលមេរោគ ឆ្លងចូលក្នុងម៉ាស៊ីន វាបានតោងជាប់ជាមួយ IRC និងអាច ឆ្លងទៅ កុំព្យូទ័រផ្សេងទៀត ដោយការលេងនិយាយ chat។
របៀបសម្លាប់
មេរោគនេះ បង្កើតបង្កើតជាកម្មវិធីថ្មី ដែលរត់ជា file ខាងក្រោម:
Winlogon.exe
វាបង្កើតតម្លៃថ្មីនៅជាប់ក្នុង Registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ServicesSharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List]
“\??\%system%\winlogon.exe” = “\??\%system%\
winlogon.exe:*:enabled:@shell32.dll,-1″
នៅពេលដែលឆ្លងមេរោគ វានិងបង្កើតជា file ដែលមាន .exe និង .scr
វានិងប្រឆាំង រំខានការងាររបស់យើងគ្រប់ពេល និងបង្កើតជា strings ដែលមាន ឈ្មោះដូចខាងក្រោមនេះ:
WINC
WCUN
WC32
OTSP
វាគំរាមកំហែងនិងធ្វើអោយខូចដល់ file ដូចខាងក្រោម:
*. htm
*.php *. php
*.asp *. asp
*.html *. html
0 comments:
Post a Comment