TROJ_GATAK.FCK
Trojan horse Agent4.BFKQ (AVG) ,W32/Agent.ABMIH!tr (Fortinet) ,Trojan.Win32.Agent (Ikarus) ,Trojan.Win32.Agent.abmih (Kaspersky) ,Trojan:Win32/Gatak (Microsoft) ,BackDoor-FGT!A2A7B3AAD631 (McAfee) ,a variant of Win32/Kryptik.BLGE trojan (Eset) ,Trojan.Zbot (Symantec) ,Generic (Panda) ,Trojan.Win32.Generic!BT (Sunbelt)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
恶意软件类型:
Trojan
有破坏性?:
没有
加密?:
是的
In the Wild:
是的
概要
如需此「間諜程式」的快速全面一覽,請參閱下面的「安全威脅圖表」。
它连接到某个网站,发送和接收信息。
技术详细信息
安装
它植入下列文件:
- %Application Data%\Microsoft\{random folder name}\{random file name} - encrypted
(注意: %Application Data% 是当前用户的 Application Data 文件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)
它植入下列组件文件:
- %Application Data%\Skype\Phone\Skype.exe - also detected as TROJ_GATAK.FCK
- %Application Data%\Google Talk\googletalk.exe - also detected as TROJ_GATAK.FCK
- %Application Data%\advantage\AdVantage.exe - also detected as TROJ_GATAK.FCK
(注意: %Application Data% 是当前用户的 Application Data 文件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)
它向下列进程中注入代码:
- explorer.exe
自启动技术
它添加下列注册表项,在系统每次启动时自行执行:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Skype = ""%Application Data%\Skype\Phone\Skype.exe" /nosplash /minimized"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
googletalk = ""%Application Data%\Google Talk\googletalk.exe" /autostart"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
advantage = "%Application Data%\advantage\AdVantage.exe"
其他系统修改
它添加下列注册表键值:
HKEY_CURRENT_USER\Software\Microsoft\
{random}
其他详细信息
根据代码分析,它具有下列功能:
- Update Self
- Download and execute arbitrary files
它连接到下列网站,发送和接收信息:
- {BLOCKED}.{BLOCKED}.43.100:80/existe/fermeture?guides=mm807555
- {BLOCKED}.{BLOCKED}.154.72:80/altasure/oprobus?domaine=9394076
- {BLOCKED}s.{BLOCKED}a.co.uk:80/renouvelement?technique=au3330080
- {BLOCKED}a.{BLOCKED}o.com:80/altasure/oprobus?domaine=9394076
- {BLOCKED}s.{BLOCKED}emr.com:80/nmodifier/type?spf=61200091
- {BLOCKED}c.{BLOCKED}-of-inferno.us:80/persistent/client?ref=77790278
- {BLOCKED}hrouth.{BLOCKED}dmindpowerhouse.com:80/calm/stay?void=32847490
解决方案
Step 1
对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。
Step 2
重启进入安全模式
Step 3
删除该注册表值
注意事项:错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者,请先阅读Microsoft文章,然后再修改计算机注册表。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Skype = ""%Application Data%\Skype\Phone\Skype.exe" /nosplash /minimized"
- Skype = ""%Application Data%\Skype\Phone\Skype.exe" /nosplash /minimized"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- googletalk = ""%Application Data%\Google Talk\googletalk.exe" /autostart"
- googletalk = ""%Application Data%\Google Talk\googletalk.exe" /autostart"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- advantage = "%Application Data%\advantage\AdVantage.exe"
- advantage = "%Application Data%\advantage\AdVantage.exe"
Step 4
重启进入正常模式,使用亚信安全产品扫描计算机,检测TROJ_GATAK.FCK文件 如果检测到的文件已被亚信安全产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。