Trojan.Win32.Agent.bccs - Thực thi mã độc từ xa

Trojan.Win32.Agent.bccs là phần mềm độc hại lây nhiễm vào các máy tính khác qua mạng bằng cách khai thác một lỗ hổng trong dịch vụ Windows Server (svchost.exe). Nếu khai thác thành công lỗ hổng này, nó có thể cho phép thực thi mã độc từ xa khi chia sẻ tập tin được kích hoạt.

Trojan.Win32.Agent.bcc là gì?

Trojan.Win32.Agent.bccs là phần mềm độc hại lây nhiễm vào các máy tính khác qua mạng bằng cách khai thác một lỗ hổng trong dịch vụ Windows Server (svchost.exe). Nếu khai thác thành công lỗ hổng này, nó có thể cho phép thực thi mã độc từ xa khi chia sẻ tập tin được kích hoạt.

Mã độc Troạn.Win32.Agent

Nó cũng có thế lây lan qua ổ đĩa di động và mật khẩu quản trị yếu. Nó vô hiệu hóa một số services quan trọng trong hệ thống và sản phẩm bảo mật.

Nhận dạng máy tính nhiễm Trojan.Win32.Agent.bccs

Các thay đổi hệ thống sau đây có thể cho thấy sự tồn tại của phân mềm độc hại:

Các Service sau bị vô hiệu hóa hoặc không chạy: Windows Update Service, Background Intelligent TransferService, Windows Defender, Windows Error Reporting Services.

Nguồn mã độc hại

Một số tài khoản có thể bị khóa do việc sửa đổi trong registry, có thể xuất hiện nhiều kết nối mạng: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters Sets value: "TcpNumConnections IA/ith data: "OxOOFFFFFE".

Người dùng có thể không kết nối với các trang web hoặc các dịch vụ trực tuyến có chứa các chuỗi kí tự: virus, spyware, malware, rootkit, deíender, microsoft, symantec, norxon, mcafee, ưendmicro, sophos, panda, etrust, netvvorkassociates, computerassociates, tsecure, kaspersky, ịotti, fprot.

Cơ chế lây nhiễm Trojan.Win32.Agent.bccs

Nó sẽ có gắng sao chép chính nó trong thư mục hệ thống Windows với dạng một tập tin DLL ẩn bằng cách sử dụng một tên ngẫu nhiên. Nếu việc này không thành công, nó sẽ sao chép chính nó với các thông số tương tự vào các thư mục: %ProgramFiles%\InternetExplorer, %ProgramFiles%\Movie Maker.

Nó tạo ra các mục registry để đảm bảo việc sao chép luôn chạy mới khi Windows khởi động:

HKCU\Software\Microsoft\Windows\

CurrentVersion\Run "<random string>" "rundll32.exe <system folder>\<malware file name>.dll,<malware parameters>"

Nó có thể tải chính nó như là một dịch vụ khởi chạy khi nhóm netsvcs được tải bởi các tập tin svchost.exe.

Nó có thể tải chính nó như là một dịch vụ giả mạo bằng cách đăng ký dưới khóa: HKLM \ SYSTEM \ CurrentControlSet \ Services

Nó có thể sử dụng một tên hiển thị được tạo ra bằng cách kết hợp hai trong số các chuỗi kí tự: Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Netvvork, Security, Server, Shell, Support, System, Task, Time, Uriversal.

Nó có thể kết hợp các ký tự ngẫu nhiên để tạo ra các tên hiển thị.

Trojan cố gắng để lây nhiễm các máy trong mạng. Đầu tiên cố gắng đưa một bản sao của nó vào máy tính mục tiêu bằng cách sử dụng các thông tin người dùng hiện đang đăng nhập vào.

Nếu phương pháp này không thành công do người dùng hiện tại không có các quyền cẩn thiết, sau đó nó có được một danh sách các tài khoản người dùng trên máy tính mục tiêu. Sau đó cố gắng để kết nối với các máy tính mục tiêu bằng cách sử dụng mỗi tên người dùng và mật khẩu yếu.

Nếu Trojan truy cập thành công vào máy tính mục tiêu, nó sao chép chính nó theo đường dẫn ADMIN $\System32 \ <random Ietters> dll.

Cách xử lý khi máy nhiễm Trojan.Win32.Agent.bccs

Việc xử lý virus trên bằng cách thủ công tương đối khó khăn, sử dụng phẩn mềm diệt virus mạnh sẽ mang lại hiệu quả cao và tiết kiệm thời gian cho các bạn. Cập nhật chương trình anti-virus đến ngày hiện tại, khởi động máy tính vào Safe Mode và tiến hành quét toàn bộ máy tính sẽ giúp xử lý triệt để dòng virus trên.

Nếu máy tính không có phần mềm quét virus mạnh để bảo vệ trước các dòng virus như trên, có thể truy cập vào www.kaspersky.vn để tải bản dùng thử sẽ giúp xử lý virus một cách nhanh chóng và triệt để.

Dấu hiệu nhận biết máy tính nhiễm virus

Máy tính có những biểu hiện khác thường, những thông báo hoặc hình ảnh bất ngờ hiện ra, âm thanh lạ vang lên một cách ngẫu nhiên, các chương trình bất thình lình khởi động.Tường lửa cá nhân thông báo rằng một ứng dụng đã cố gắng để kết nối vào internet (không phải chương trình mà bạn cho chạy). Bạn bè cho biết đã nhận được email từ bạn, trong khi bạn không hề gửi cho họ bất cứ thứ gì. Máy tính thường xuyên bị đứng, hoặc các chương trình bắt đầu chạy chậm, nhận được nhiều thông báo lỗi hệ thống. Hệ điều hành không chạy khi khởi động máy tính. Các tập tin hoặc thư mục đã bị xóa hoặc thay đổi. Có truy cập đến đĩa cứng (đèn nhấp nháy liên tục) dù không có bất kỳ chương trình nào đang chạy.Trình duyệt web có biểu hiện thất thường, chẳng hạn không thế đóng cửa sổ trình duyệt, nó tự truy cập các trang lạ, bị thay đổi trang chủ...

Theo Echip