Go to top

Trang chủ  » Thiết kế website giá rẻ

Cảnh báo virus: Trojan.Gletta.A

Trojan.Gletta.A là loại Trojan đánh cắp mật khẩu tài khoản ngân hàng. Ngoài ra, phần mềm này còn có chức năng của một keylogger, ghi các tác vụ bàn phím khi người dùng ghé thăm một số website không an toàn rồi gửi thông tin đó cho kẻ tấn công.

Trojan.Gletta.A

Ngày xuất hiện: 9/6/2004

Mô tả:

Khi thực thi, Trojan.Gletta.A sẽ thực hiện các tác vụ sau:

1. Tự nhân bản vào thư mục hệ thống với các tên sau:

%System%Wmiprvse.exe
%System%Ntsvc.exe
%Windir%Userlogon.exe

Chú ý:

+ %System%
là một biến và Trojan.Gletta.A có thể xác định được vị trí của thư mục hệ thống này rồi tự nhân bản vào đó. Theo mặc định, vị trí đó sẽ là: C:WindowsSystem (đối với Windows 95/98/Me); C:WinntSystem32 (đối với Windows NT/2000), hoặc C:WindowsSystem32 (đối với Windows XP).

+ %Windir% là một một biến và Trojan.Gletta.A có thể xác định được thư mục cài đặt Windows này rồi tự nhân bản vào đó (mặc định sẽ là: C:Windows hoặc C:Winnt).

2. Tạo file %System%Rsasec.dll, thực chất là một phần mềm ghi tác vụ bàn phím.

3. Tạo file %System% sacb.dll, thực chất là một file text.

4. Thêm giá trị:

"wmiprvse.exe"="%system%wmiprvse.exe"  vào khóa registry để sau có thể tự động chạy khi hệ thống khởi động:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun

5. Đối với NT/2000/XP, Trojan.Gletta.A sẽ bổ sung giá trị sau:

"Run" = "%Windir%userlogon.exe"

vào khóa registry để sau có thể tự động chạy khi hệ thống khởi động:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNT
CurrentVersionWindows

6. Đối với Windows 95/98/Me, Trojan.Gletta.A sẽ bổ sung giá trị:

run=%Windir%userlogon.exe

vào tệp tin Win.ini để Trojan có thể tự động chạy khi hệ thống khởi động:  

7. Đối với Windows 95/98/Me, Trojan.Gletta.A sẽ thay đổi dòng "shell=" thành:

shell=explorer.exe %system% tsvc.exe

để Trojan có thể tự động chạy khi hệ thống khởi động:

8. Trojan.Gletta.A sẽ ghi tác vụ bàn phím từ cửa sổ Internet Explorer có các tên sau:

National Australia Bank
ANZ Internet Banking - Logon
National Internet Banking
Citibank Australia
Welcome to Citi
Welcome to Citibank
Citi - Sign On
Bank of China
online@hsbc
HSBC in Hong Kong
Banesto
Sabadell

hoặc các địa chỉ sau:

https:/ /olb.westpac.com.au/ib/asp/
https:/ /olb.westpac.com.au/ib/

- Trojan.Gletta.A dùng động cơ SMTP riêng để gửi tệp tin lưu giữ thông tin về tác vụ bàn phím cho một địa chỉ e-mail bên ngoài. Trojan sử dụng máy chủ SMTP ở Nga để gửi thư. 

E-mail này có những đặc điểm sau:

+ Dòng FROM và TO có cùng một tên miền "mail.ru"
+ Tiêu đề bắt đầu với dòng chữ: "Business News from"
 

Các tin tức khác:

Phần mềm gọi cùng lúc... 7000 cú điện thoại

2004 - năm "thịnh vượng" của tội phạm trên mạng

Trộm cắp "đại náo" GunBound Việt Nam

Máy tìm kiếm MSN gặp sự cố

Visual Studio .NET 2003

VMS-MobiFone chính thức đưa dịch vụ GPRS vào khai thác từ 1/7

Phần mềm mã hoá dữ liệu trong ổ cứng di động

Dùng Nero Burning ROM để chỉnh sửa file VideoCD

Oracle sẽ ban hành miếng vá bảo mật hàng tháng

Các mạng di động Việt Nam thua ngay trên sân nhà

Danh mục

Hãy gọi cho chúng tôi để được tư vấn miễn phí

0989 722 522

TRUNG TÂM PHÁT TRIỂN WEBSITE - ỨNG DỤNG - THIẾT BỊ CHUYÊN NGHIỆP TOPSITE

Địa chỉ: 41/1, Phường Trung Mỹ Tây Quận 12, TP Hồ Chí Minh.
Email: hotro@topsite.vn - info@topsite.vn Tel: 0978.893.678 - 0938 869 787
MSDN/GPĐKKD: 19025687954
MST: 0310368322
Số TK: 0501000001371 tại Ngân Hàng Vietcombank Chi nhánh Vĩnh Lộc
© 2004 - 2014 Copyright. All rights reserved. Bản quyền thuộc về công ty thiet ke web ITECHCO CO.,LTD

Chúng tôi chấp nhận thanh toán qua:

liberty reservengan luongonepaysoha payvisaweb money1web money2paypalpayone