Go to top

Trang chủ  » Thiết kế website giá rẻ

Cảnh báo virus: Backdoor.Nibu.H

Backdoor.Nibu.H sẽ mở một thành phần Trojan cổng sau trên hệ thống máy tính lây nhiễm. Trojan này đồng thời có thể thực hiện công việc của một keylogger (phần mềm ghi tác vụ bàn phím), định kỳ gửi thông tin đánh cắp tới một địa chỉ e-mail quy định trước.

Biệt danh: TrojanSpy.Win32.Dumarin.c

Hệ điều hành bị ảnh hưởng:

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Ngày xuất hiện: 17/6/2004

Mô tả

Khi thực thi, Backdoor.Nibu.H sẽ thực hiện các hoạt động sau:

* Tự nhân bản vào thư mục Windows với các tên sau:

%System%dllx32.exe
%System%dlla32.exe
%Startup%dllw32.exe

Chú ý:

 

  • "%System%" là một biến và Backdoor.Nibu.H có thể định vị được thư mục hệ thống rồi tự nhân bản vào vị trí đó. Theo mặc định, thư mục hệ thống sẽ là: C:WindowsSystem (đối với Windows 95/98/Me); C:WinntSystem32 (Windows NT/2000), hoặc C:WindowsSystem32 (Windows XP).

     

  • "%Startup%" là một biến và Backdoor.Nibu.H có thể định vị được thư mục hệ thống rồi tự nhân bản vào vị trí đó. Ví dụ: C:WindowsStart MenuProgramsStartup (Windows 95/98/Me); hoặc C:Documents and SettingsStart MenuProgramsStartup (Windows NT/2000/XP).ên>

* Bổ sung giá trị:

"load32"="%System%dllx32.exe" vào khóa registry sâu để Trojan có thể tự động chạy khi hệ thống khởi động:

 

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun

* Sửa giá trị dữ liệu của "Shell" từ "explorer.exe" thành "explorer.exe %Windir%system32dlla32.exe" trong khóa registry sau để Trojan có thể tự động chạy khi Windows NT/2000/XP khởi động:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon

* Sửa phần [boot] của System.ini file (chỉ với Windows 95/98/Me) thành:

[boot]

shell=explorer.exe %System%dlla32.exe

để Trojan có thể chạy khi Windows 95/98/Me khởi động.

* Tìm kiếm các tiêu đề cửa số có tên trùng với các chuỗi sau nhằm thực hiện tác vụ ghi bàn phím. (Các tên sau chủ yếu là các website thanh toán trực tuyến)

Bank
bank
bull
Bull
cash
ebay
e-metal
Fethard
fethard
gold
Keeper
localhost
mull
PayPal
Storm
WebMoney
Winamp
WM Keeper

* Ghi tác vụ bàn phím được đánh vào các website có chứa chuỗi trên rồi sau đó lưu chúng trong một file log. File này có thể là: "%Windir%1111k.log".

* Định kỳ kiểm tra các file lưu giữ thông tin đánh cắp để khi các file này có dung lượng đạt tới một ngưỡng nào đó, Trojan sẽ tiến hành gửi chúng cùng với thông tin về hệ điều hành, địa chi IP, cho một địa chỉ e-mail quy định từ trước.

* Lắng nghe lệnh từ xa trên các cổng TCP/1001 và 10000.

Các tin tức khác:

Quỹ Đầu Tư Mạo Hiểm: Xa Mà Gần

FPT tạm ngưng cung cấp dịch vụ ADSL cho khách hàng mới

Sun công bố mã nguồn hệ điều hành Solaris

Internet và truyền hình cáp: Đồng minh hay đối thủ?

Khắc phục một số lỗi Modem

Thử thách "lớn" cho ổ cứng "nhỏ"

Một số thuật ngữ tin học thông dụng

GMail tăng dung lượng hộp thư lên 1.000GB do sự cố

Lỗi bảo mật mới trong Google

Virus 'I love you' trở lại

Danh mục

Hãy gọi cho chúng tôi để được tư vấn miễn phí

0989 722 522

TRUNG TÂM PHÁT TRIỂN WEBSITE - ỨNG DỤNG - THIẾT BỊ CHUYÊN NGHIỆP TOPSITE

Địa chỉ: 41/1, Phường Trung Mỹ Tây Quận 12, TP Hồ Chí Minh.
Email: hotro@topsite.vn - info@topsite.vn Tel: 0978.893.678 - 0938 869 787
MSDN/GPĐKKD: 19025687954
MST: 0310368322
Số TK: 0501000001371 tại Ngân Hàng Vietcombank Chi nhánh Vĩnh Lộc
© 2004 - 2014 Copyright. All rights reserved. Bản quyền thuộc về công ty thiet ke web ITECHCO CO.,LTD

Chúng tôi chấp nhận thanh toán qua:

liberty reservengan luongonepaysoha payvisaweb money1web money2paypalpayone