Vnisa - Trojan.Win32.Menti.nrxc

Trojan.Win32.Menti.nrxc

01/06/2012

Trojan này là một công cụ dùng để tải những mã độc khác từ Internet đồng thời Trojan tiến hành mở các cổng cho phép hacker có thể truy cập từ xa đến máy tính bị nhiễm nhằm lấy những thông tin cá nhân của người dùng như tài khoản email, chat, các thông tin thẻ ngân hàng, tài khoản game online...Để thực hiện nhiệm vụ phá hoại ngày càng cao, trojan có khả năng tự nâng cấp bản thân cũng như tải những mã độc về máy người dùng những phiên bản mới.

Dấu hiệu nhiễm dòng Trojan này là máy tính của bạn đột nhiên hoạt động rất chậm, thường xuyên bị khởi động lại máy tính, home page bị thay đổi...

Mẫu trojan được nhận dạng vào ngày 20.5.2012 lần đầu tiên tại Trung Quốc, dung lượng 177,152 bytes thống kê cho thấy dòng trojan này có mức độ nguy hiểm cao.

Thông tin kỹ thuật:

Khi Trojan này nhiễm vào máy tính sẽ tạo những tập tin sau:

#	Tên tập tin	Dung lượng
1	%AppData%\Odiwn\ovef.exe	177,152 bytes
2	%AppData%\Umro\wuaz.can	0 bytes
3	%AppData%\Yfqec\ilzei.tmp	0 bytes
4	%AppData%\Yfqec\ilzei.ofe	3,614 bytes
5	%Temp%\tmp7ae9650d.bat	168 bytes
6	%AppData%\Odiwn\ovef.exe	177,152 bytes

Đồng thời tạo thêm các thư mục sau:

%AppData%\Odiwn
%AppData%\Umro
%AppData%\Yfqec

Trojan tạo các Process sau:

Tên Process	Đường dẫn	Dung lượng
ovef.exe	%AppData%\odiwn\ovef.exe	385,024 bytes
ovef.exe	%AppData%\Odiwn\ovef.exe	385,024 bytes

Lưu ý: Các đường dẫn viết tắt của hệ điều hành (theo mặc định).

%AppData% --> C:\Documents and Settings\[UserName]\Application Data
%Temp% --> C:\Documents and Settings\[UserName]\Local Settings\Temp\ (Windows NT/2000/XP)
%System% --> C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), hoặc C:\Windows\System32 (Windows XP).

Để thực thi cùng hệ điều hành của máy nạn nhân trojan tạo ra các khóa trong registry:

Những khóa sau sẽ được khởi tạo:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Privacy
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall
HKEY_CURRENT_USER\Software\Microsoft\Zuizyd
XP-C300C3AC = "%System%\XP-C300C3AC.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Privacy
HKEY_CURRENT_USER\Software\Microsoft\Ohkyk

Tiếp tục tạo ra các khóa và gán giá trị:
o [HKEY_CURRENT_USER\Identities]
* Identity Login = 0x00098053
o [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Privacy]
* CleanCookies = 0x00000000
o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
* Pybeomhu = ""%AppData%\Odiwn\ovef.exe""

đảm bảo tập tin ovef.exe được thực thi khi windows khởi động
o [HKEY_CURRENT_USER\Software\Microsoft\Ohkyk]
* 25achcd1 = 63 C1 1A D0 80 9E C5 90 B7 A2 75 D6 6E 0D 7B 8A
* 2a19e1aj = 0xD07CC15F
* 2ijj527 = "Q4t80Jj395CFohjW"

o [HKEY_CURRENT_USER\Software\Microsoft\Zuizyd]
* Gygyetixo = 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 59 01 00 00 D3 72 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0

Tiếp theo Trojan sẽ thay đổi giá trị những khóa sau:

o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

o 1609 =

o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]

o 1406 =
o 1609 =

o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]

o 1609 =

o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]

o 1406 =
o 1609 =

o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4]

o 1406 =
o 1609 =

Trojan tạo một tiến trính ẩn chạy kèm với tiến trình hệ thống tại địa chỉ:

Tên Process	Đường dẫn	Kích thước vùng nhớ
cmd.exe	%System%\cmd.exe	221,184 bytes

Đồng thời tạo thêm các Object trong hệ thống:
• Local\{27725192-ECF4-43E2-AFEE-CACB330B2E75}
• Local\{50F0F52F-4849-3460-AFEE-CACB330B2E75}
• Local\{FA4803F7-084F-6AC9-A6BA-A75086AF8442}

Một kết nối ẩn ra Internet được thiết lập:

Tên máy chủ	Cổng	Tên người dùng kết nối	Mật khẩu người dùng
emibors.ru	80	(null)	(null)

Cách xử lý:

Việc xử lý trojan trên bằng cách thủ công tương đối khó khăn, sử dụng phần mềm diệt virus mạnh sẽ mang lại hiệu quả cao và tiết kiệm thời gian cho các bạn. Dùng Task manager tắt tiến trình do Trojan tạo ra, các bạn cập nhật chương trình anti-virus đến ngày hiện tại, khởi động máy tính vào safe mode và tiến hành quét toàn bộ máy tính sẽ giúp xử lý triệt để dòng trojan trên.
Nếu trên máy bạn chưa cài phần mềm diệt virus đủ mạnh có thể dùng thử Kaspersky để diệt triệt để dòng trojan trên. Sau khi diệt hoàn toàn trojan trên bằng Kaspersky, sử dụng công cụ “Khắc phục sự cố cho Microsoft Windows” để khôi phục lại các cấu hình bảo mật cho hệ điều hành.