Go to top

Trang chủ  » Thiết kế website giá rẻ

Cảnh báo virus: Trojan.Gletta.A

Trojan.Gletta.A là loại Trojan đánh cắp mật khẩu tài khoản ngân hàng. Ngoài ra, phần mềm này còn có chức năng của một keylogger, ghi các tác vụ bàn phím khi người dùng ghé thăm một số website không an toàn rồi gửi thông tin đó cho kẻ tấn công.

Trojan.Gletta.A

Ngày xuất hiện: 9/6/2004

Mô tả:

Khi thực thi, Trojan.Gletta.A sẽ thực hiện các tác vụ sau:

1. Tự nhân bản vào thư mục hệ thống với các tên sau:

%System%Wmiprvse.exe
%System%Ntsvc.exe
%Windir%Userlogon.exe

Chú ý:

+ %System%
là một biến và Trojan.Gletta.A có thể xác định được vị trí của thư mục hệ thống này rồi tự nhân bản vào đó. Theo mặc định, vị trí đó sẽ là: C:WindowsSystem (đối với Windows 95/98/Me); C:WinntSystem32 (đối với Windows NT/2000), hoặc C:WindowsSystem32 (đối với Windows XP).

+ %Windir% là một một biến và Trojan.Gletta.A có thể xác định được thư mục cài đặt Windows này rồi tự nhân bản vào đó (mặc định sẽ là: C:Windows hoặc C:Winnt).

2. Tạo file %System%Rsasec.dll, thực chất là một phần mềm ghi tác vụ bàn phím.

3. Tạo file %System% sacb.dll, thực chất là một file text.

4. Thêm giá trị:

"wmiprvse.exe"="%system%wmiprvse.exe"  vào khóa registry để sau có thể tự động chạy khi hệ thống khởi động:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun

5. Đối với NT/2000/XP, Trojan.Gletta.A sẽ bổ sung giá trị sau:

"Run" = "%Windir%userlogon.exe"

vào khóa registry để sau có thể tự động chạy khi hệ thống khởi động:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNT
CurrentVersionWindows

6. Đối với Windows 95/98/Me, Trojan.Gletta.A sẽ bổ sung giá trị:

run=%Windir%userlogon.exe

vào tệp tin Win.ini để Trojan có thể tự động chạy khi hệ thống khởi động:  

7. Đối với Windows 95/98/Me, Trojan.Gletta.A sẽ thay đổi dòng "shell=" thành:

shell=explorer.exe %system% tsvc.exe

để Trojan có thể tự động chạy khi hệ thống khởi động:

8. Trojan.Gletta.A sẽ ghi tác vụ bàn phím từ cửa sổ Internet Explorer có các tên sau:

National Australia Bank
ANZ Internet Banking - Logon
National Internet Banking
Citibank Australia
Welcome to Citi
Welcome to Citibank
Citi - Sign On
Bank of China
online@hsbc
HSBC in Hong Kong
Banesto
Sabadell

hoặc các địa chỉ sau:

https:/ /olb.westpac.com.au/ib/asp/
https:/ /olb.westpac.com.au/ib/

- Trojan.Gletta.A dùng động cơ SMTP riêng để gửi tệp tin lưu giữ thông tin về tác vụ bàn phím cho một địa chỉ e-mail bên ngoài. Trojan sử dụng máy chủ SMTP ở Nga để gửi thư. 

E-mail này có những đặc điểm sau:

+ Dòng FROM và TO có cùng một tên miền "mail.ru"
+ Tiêu đề bắt đầu với dòng chữ: "Business News from"
 

Các tin tức khác:

Internet Việt Nam: Bước chuyển ngoạn mục

Phát động cuộc thi ‘TTVN 2004’ khu vực Miền Trung, Tây Nguyên

Microsoft chuẩn bị ban hành 10 bản tin bảo mật

Các site tìm kiếm sẽ tạo ra loại sâu máy tính nguy hiểm?

Hiệp sĩ tuổi 20

Thiếu nhân lực CNTT - những dấu hiệu khủng hoảng

Khi e-mail không được kiểm soát

Red Hat mua phần mềm máy chủ Netscape

Cài đặt và cấu hình WinGate cho máy chủ, máy Client

Thêm virus mới ẩn mình trong thiệp giáng sinh điện tử

Danh mục

Hãy gọi cho chúng tôi để được tư vấn miễn phí

0989 722 522

TRUNG TÂM PHÁT TRIỂN WEBSITE - ỨNG DỤNG - THIẾT BỊ CHUYÊN NGHIỆP TOPSITE

Địa chỉ: 41/1, Phường Trung Mỹ Tây Quận 12, TP Hồ Chí Minh.
Email: hotro@topsite.vn - info@topsite.vn Tel: 0978.893.678 - 0938 869 787
MSDN/GPĐKKD: 19025687954
MST: 0310368322
Số TK: 0501000001371 tại Ngân Hàng Vietcombank Chi nhánh Vĩnh Lộc
© 2004 - 2014 Copyright. All rights reserved. Bản quyền thuộc về công ty thiet ke web ITECHCO CO.,LTD

Chúng tôi chấp nhận thanh toán qua:

liberty reservengan luongonepaysoha payvisaweb money1web money2paypalpayone