Page 282 - Tự Khắc Phục Máy Tính Khi Bị Vi Rút Tấn Công
P. 282
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau:
• %UserProfile%\My Documents\[CURRENT USER
ACCOUNTl.exe
• %System%\debug_32.exe
• %System%\MsMpEng.exe
• %Windir%\Tasks\Atl.job
• %Windir%\Tasks\At2.job
• %Windir%\Tasks\dmadmin_l.exe
• %Windir%\compmgmt.exe
Tiếp theo nó sẽ khởi tạo file sau:
%UserProfile%\My Documents\[FolderName].exe
Sau đó nó sẽ tìm kiếm tất cả các ổ đĩa cứng khởi tạo và đặt
thuộc tính cho tất cả các folder.
• %SystemDrive%\[FolderName].exe
• %SystemDrive%\autorun.inf
• %SystemDrive%\New_Folder.exe
Sau đó nó sẽ khcti tạo vào trong Regedit và sẽ chạy cùng mỗi
khi Windows bắt đầu khởi động sẽ khóa một số tính năng:
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi
ndows\CuưentVersion\Explorer\Shell Icons\"3" = "63 00
3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00
5C 00 63 00 6F 00 6D 00 70 00 6D 00 67 00 6D 00 74 00
2E 00 65 00 78 00 65 00 2C 00 30 00 00 00 74"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi
ndows\CuưentVersion\policies\Explorer\run\"compmgmt.
exe " = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F
00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D
00 33 00 32 00 5C 00 64 00 65 00 62 00 75 00 67 00 5F
00 33 00 32 00 2E 00 65 00 78 00 65 00 00 00 00"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi
ndows\CuưentVersion\Run\"Shell" "63 00 3A 00 5C 00
282
