Page 236 - Tự Khắc Phục Máy Tính Khi Bị Vi Rút Tấn Công

P. 236

Khi nhiễm Trojan sẽ gây ra m ột số hoạt đ ộn g sau:
N ó sẽ khởi tạo thêm m ột số file sau vào hệ thống:
• %Sysyem%\[CURRENT USER].ini
• %System%\[CURRENT USER].vbs
• %WinDir%MCURRENT USER].vbs

Tim kiếm tất cả các ổ đĩa, sau đó khởi tạo thêm file sau:
• %DriveLetter%\[CƯRRENT ƯSER].vbs
• %DriveLetter%\AutoRun.inf
Tiếp theo, nó sẽ khởi tạo vào trong Regedit và sẽ chạy cùng
mỗi khi Windows bắt đầu khởi động.
•HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile
\shell\open\command\"(default)" =
"%SystemRoot%\System32\WScript.exe
"C:\WINDOWS\[CURRENT USER].vbs" %1 %* "
•HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfil
eVshell\open\command\"(default)" =
"%SystemRoot%\System32\WScript.exe
"C;\WINDOW^CURRENT ƯSER].vbs" %l %* "
•HKEY_LOCAL_MACHINESSOnWARE\ClassesVegfil
e\shelKopen\command\"(defau'0" =
"%SystemRoot%\System32\WScript.exe
"C;\WINDOWS^^CURRENT USER].vbs" %1 %* "
•HKEY_LOCAL_MACHINEVSOFTWARE\ClassesVhm.f
ile\shelI\open\command\''(default)" =
"%SystemRoot%\System32\WScript.exe
"C:\WINDOWSs[CURRENT USER].vbs" %1 %* "
•HKEY_CURRENT USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows\"load" =
"C:\WINDOWS\system32\[CURRENT USER]. vbs"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\ExpIorei\Advanced\"ShowSuperHidden" = "0"
•HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Wi
ndows\CuưentVersion\Explorer\Advanced\Folder\Hidden\

2 36

231 232 233 234 235 236 237 238 239 240 241