การแก้ W32/Usbalex, Troj/Usbalex

[akira]

W32/Usbalex, Troj / Usbalex

Usbalex is a destructive Trojan / backdoor reported on November 10, 2006 which spreads via various Internet services and opens a backdoor through random TCP ports.

Usbalex เป็น โทรจัน/แบคดอร์ ชนิดทำลายข้อมูล มีรายงานพบว่าแพร่กระจายผ่านทางเซอร์วิสของอินเตอร์เน็ตหลายตัว และผ่านทาง tcp พอร์ต แบบสุ่ม พบเมื่อ วันที่ 10 พฤษจิกายน 2006

Joined a system is programmed logical drives in the disk, runs a Keylogger, capture keystrokes entered and substrae system information. Deletes certain files.

เมื่อฝังตัวลงในระบบจะทำตัวเป็นคีย์ล๊อคเกอร์ คอยดักจับข้อความที่พิมพ์ และขโมยข้อมูลระบบ พร้อมกับลบไฟล์ระบบบางตัว

Installs software and e Server connects any random TCP port Remote Client software author of the worm from where malignant files and execute commands.

มัลแวร์ที่ติดตั้งจะเป็นเซอร์เวอร์ และติดต่อกับไคลเอนต์ด้วยการสุ่มพอร์ต tcp เพื่อรันให้มัลแวร์ทำงาน

It is a PE (Portable Executable) and infects Windows 95/98/NT/Me/2000/XP and Server 2003, is written in MS Visual C + + with an average of 49 KB and the compressed with UPX utility (U ltimate P acker for and X ecutables):

ตัวมันเป็นไฟล์ PE สามารถติดได้บน Windows 95/98/NT/Me/2000/XP and Server 2003 เขียนด้วยภาษา Visual C++ ขนาดประมาณ 49 KB และบีบอัดด้วย UPX utility
(U ltimate P acker for and X ecutables)

http://upx.sourceforge.net


รายละเอียดเพิ่มเติมและการกำจัด

[hide=10]

When activated it copies the following disk drives and routes with the names:

เมื่อไฟล์เริ่มทำงานจะก๊อบปี้ตัวเองไปอยู่ที่ต่างๆ ด้วยชื่อตามนี้เลย

* C:\RECYCLER\lsass.exe
* C:\RECYCLER\MsInfo\MsInfo.exe
* %UserProfile%\csrss.exe
* %UserProfile%\winlogon.exe
* %Temp%\Temp.exe
* %Temp%\FolderData.exe
* %Windir%\System\Regedit.exe
* %UserProfile%\My Documents\My Data.exe
* %ProgramFiles%\Microsoft Office\OFFICE11\MSTORDB0.EXE
* A:\Data.exe
* E:\Private\My Girls.exe
* F:\Data Documents\Documents.exe
* G:\My Picture\Pictures.exe
* H:\Images\Girls.exe
* I:\Application.exe
* J:\My CV.exe

C: \ RECYCLER folder is the attribute "hidden" that Windows assigns to the recycle bin.
โดย C:\RECYCLER จะเซ็ตแอตตริบิวต์เป็น hidden วินโดวส์จะเห็นว่ามันเป็น recycle bin

% UserProfile% is a variable which records the information specific to each user and which defines the boundaries of their working environment.It is the same as C: \ Documents and Settings \ [ชื่อผู้ใช้] Windows 2000/XP/NT.

% UserProfile% หมายถึง C:\Documents and Settings\[ชื่อผู้ใช้] ใน Windows 2000/XP/NT
ซึ่งบันทึกข้อมูลเฉพาะของผู้ใช้งานเอาไว้ และระบุค่าขอบเขตสิ่งแวดล้อมในการใช้งานของแต่ละคนเอาไว้

% Temp% is a variable C: \ Windows \ Temp Windows 95/98/Me C: \ Winnt \ Temp Windows NT \ 2000 and C: \ Document and Settings \ [ชื่อผู้ใช้] \ Local Settings \ Temp Windows XP / Server 2003.

% Temp% หมายถึง
C:\Windows\Temp ใน Windows 95/98/Me
C:\Winnt\Temp ใน Windows NT \ 2000
C:\Document and Settings\[ชื่อผู้ใช้]\Local Settings\Temp ใน Windows XP/Server 2003


% Windir% is a variable that corresponds to C: \ Windows on Windows 95/98/Me/XP/Server 2003 and C: \ Winnt on Windows NT \ 2000.

% Windir%
C:\Windows ใน Windows 95/98/Me/XP/Server 2003
C:\Winnt ใน Windows NT\2000

% ProgramFiles% is a variable referred to the program files folder.By default is created in C: \ Program Files.

% ProgramFiles% คือโปรแกรมไฟล์โฟลเดอร์
C:\Program Files.

Released the following files on removable discs:
จะแพร่ผ่าน removable disc ด้วย

x:\Autorun.inf
x:\RECYCLED.EXE

And creates the following files in the folder %Temp%:
และสร้างไฟล์เหล่านี้ในโฟลเดอร์ %Temp%

* %Temp%\Network.txt
* %Temp%\SetTime.tme
* %Temp%\Services.reg
* %Temp%\TempServices.reg

Checks for the following files and find them, then proceeded to delete:
เช็คไฟล์เหล่านี้ ค้นหาและลบทิ้งให้หมด

* C:\Data.exe
* C:\My Girls.exe
* C:\Documents.exe
* C:\Pictures.exe
* C:\Application.exe
* C:\Girls.exe
* C:\My CV.exe
* C:\My Data.exe
* C:\FolderData.exe

Also creates the following services:
เซอร์วิสเหล่านี้ทำงาน

* Display Name: MsInfo Service
Image Path: "C:\RECYCLER\MsInfo\MsInfo.exe"
* Display Name: Temp Services
Image Path: "%Temp%\Temp.exe"

To run the next time you re-inicie the system creates the following keys:
สร้างรีจิสทรีคีย์เหล่านี้ให้มีการรันขึ้นมาทุกครั้งที่รีสตาร์ทเครื่อง

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Default" = "%UserProfile%\csrss.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "C:\RECYCLER\lsass.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="%UserProfile%\csrss.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="%Windir%\System32\userinit.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"load" = "C:\RECYCLER\lsass.exe"

ก็ให้ไปลบออก

Creates the following sub-llaves registration:
สร้างซับรีจิสทรีคีย์เหล่านี้เพิ่มขึ้นมา

[ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsInfo]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TempServices]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsInfo]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TempServices]

ให้ลบทิ้งไปเลยคร้าบ

the next home run his Keylogger component that captures keystrokes entered, opens a Backdoor and connects through any random TCP port Remote Client software author of the worm where sends system information and execute arbitrary commands on a remote, downloading and activating files malignant.

PER ANTIVIRUS