PC 15 B2 SL / NHĨM ĐỒ ÁN MƠN CĐ-ĐT CÁCH PHỊNG CHỐNG VÀ KHẮC PHỤC VIRUT CĨ HIỆU QUẢ Virus W32.Botou I) Mô tả Khám phá 11 tháng năm 2008 Cập nhật :11tháng năm 2008 4:59:55 PM Kiểu : Sâu Mức độ lây lan:184,320 bytes Hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Symantec khuyến người dùng làm việc sau bị nhiễm virus Tắt chức khôi phục hệ thống (Windows Me/XP) Cập nhật chương trình diệt virus Chạy qt tồn hệ thống Xóa giá trị ghi vào Registry Loại bỏ mục có khả làm lây nhiễm đến mục khác II) Cách diệt Chú ý : Symantec mạnh mẽ khuyến cáo bạn lưu Registry trước làm thay đổi Vào Start> Run Gõ Regedit Click OK Chú ý : Nếu việc truy xuất vào Registry thất bại bạn dùng cơng cụ để thực bạn tải địa sau http://www.911.com.vn/download/Khoa_regedit.vbs Tìm sửa giá trị HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\e xplorer\"NoFolderOptions" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\"HideFileExt" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\"ShowSuperHidden" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\ advanced\"SuperHidden" = "1" Thoát khỏi Registry Virus Trojan.Clampi I) Mô tả Khám phá 16 tháng năm 2008 Cập nhật :16 tháng năm 2008 5:27:20 PM Kiểu : Trojan Mức độ lây lan: 402,952 bytes Hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Symantec khuyến người dùng làm việc sau bị nhiễm virus Tắt chức khôi phục hệ thống (Windows Me/XP) Cập nhật chương trình diệt virus Chạy qt tồn hệ thống Xóa giá trị ghi vào Registry Loại bỏ mục có khả làm lây nhiễm đến mục khác II) Cách diệt Chú ý : Symantec mạnh mẽ khuyến cáo bạn lưu Registry trước làm thay đổi Vào Start> Run Gõ Regedit Click OK Tìm xóa giá trị HKEY_USERS\S-1-5-21-816139046-577266240-1678582812500\Software\Microsoft\Internet Explorer\Settings\"GID" = "00 00 00 61" HKEY_USERS\S-1-5-21-816139046-577266240-1678582812500\Software\Microsoft\Internet Explorer\Settings\"GatesList" ="63 72 69 74 69 63 61 6C 66 61 63 74 6F 72 2E 63 63 00 2F 63 67 69 2D 62 69 6E 2F 63 69 74 79 2E 63 67 69 00 61 6E 61 6D 61 6C 69 74 79 2E 69 6E 66 6F 00 2F 63 67 69 2D 62 69 6E 2F 62 61 6E 67 2E 63 67 69 00 77 69 72 65 64 78 2E 69 6E 00 2F 63 67 69 2D 62 69 6E 2F 64 62 2E 63 67 69 00" HKEY_USERS\S-1-5-21-816139046-577266240-1678582812500\Software\Microsoft\Internet Explorer\Settings\"KeyM" = "94 6B EE BC FF A5 BB 8B 5E 68 2A A5 8F BF 24 F5 7A 63 B7 9C BB DB 14 D5 1F AE B0 57 34 02 59 6F C6 38 9C 7E BD 8F 82 02 9F 36 AB 3F 0C 6C B9 4C C3 98 7E E6 77 0A CC 53 20 6F 6B 5B EC 83 A8 9E 34 C1 9E 9C 73 93 05 01 F3 3D D2 DA 79 ED 63 00 04 25 CB 82 FC 87 3D 89 E1 86 79 79 8C 67 A8 43 5C BC 65 26 66 5E B1 8A C5 51 95 E0 24 B8 7F F5 1A 1C 20 83 DD B7 44 E6 E7 66 B3 5D 88 A7 85 C8 2B A4 58 4E 18 85 A2 9D D3 16 D5 89 E6 51 4B 70 90 C9 F3 82 69 13 F1 09 ED 7C 30 86 2A 16 4A 4C A4 06 FA F9 78 C4 7D 72 93 FC 64 D7 48 C5 FB 83 A2 44 0A 98 77 BE CD 4B FE A8 69 A2 16 F2 73 C5 F1 44 FF 11 38 3E AF 5F 3F 87 05 61 61 FC FF 22 BE 00 D5 46 67 A0 BA CE 65 A5 C7 32 03 93 11 96 62 7E EB 0B 5D 9D 9A 92 1B 41 10 8C 2C 9B 09 A5 11 84 EB 91 CA 34 18 0E 92 2D 85 C7 6B 02 B0 EF" HKEY_USERS\S-1-5-21-816139046-577266240-1678582812500\Software\Microsoft\Internet Explorer\Settings\"KeyE" = "00 01 00 01" HKEY_USERS\S-1-5-21-816139046-577266240-1678582812500\Software\Microsoft\Windows\CurrentVersion\Run\Regscan:"C:\WINDOWS\sy stem32\regscan.exe" Thốt khỏi Registry Virus W32.Dranyam I) Mơ tả Khám phá 18tháng năm 2008 Cập nhật :18 tháng năm 2008 5:23:43 PM Kiểu : Sâu Mức độ lây lan: 180,224 bytes Hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Symantec khuyến người dùng làm việc sau bị nhiễm virus Tắt chức khôi phục hệ thống (Windows Me/XP) Cập nhật chương trình diệt virus Chạy quét tồn hệ thống Xóa giá trị ghi vào Registry Loại bỏ mục có khả làm lây nhiễm đến mục khác II) Cách diệt Chú ý : Symantec mạnh mẽ khuyến cáo bạn lưu Registry trước làm thay đổi Vào Start> Run Gõ Regedit Click OK Tìm xóa giá trị HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666} Khôi phục lại giá trị mặc định Registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "userinit.exe,services.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\"Hidden" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\"HideFileExt" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\"ShowSuperHidden" = "0" Thốt khỏi Registry Trojan.Randsom.C I) Mơ tả Khám phá :04 tháng năm 2008 Cập nhât: 04 tháng năm 2008 10:24:48 PM Kiểu : Trojan Mức độ lây lan: 420,618 Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 Symantec khuyến người dùng làm việc sau bị nhiễm virus Tắt chức khôi phục hệ thống (Windows Me/XP) Cập nhật chương trình diệt virus Chạy qt tồn hệ thống Xóa giá trị ghi vào Regist Loại bỏ mục có khả làm lây nhiễm đến mục khác II) Cách diệt Chú ý : Symantec mạnh mẽ khuyến cáo bạn lưu Registry trước làm thay đổi Vào Start> Run Gõ Regedit Click OK Tìm xóa giá trị HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n\"License" = "locker.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\backdoor check\"CreationDate" = "[DATE OF MALWARE INSTALLATION]" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\backdoor check\"Installed' = "1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\backdoor check\"Payed" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\backdoor check\"Runtime" = "1" Thoát khỏi Registry Virus W32.Debsis.A I) Mô tả Khám phá : 05 tháng 11năm 2007 Cập nhât : 05 tháng 11năm 2007 3:48:31 PM Kiểu : sâu Mức độ lây lan: : 28,221 bytes Hệ thống bị ảnh hưởng Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, WindowsServer 2003, Windows Vista, Windows XP Symantec khuyến người dùng làm việc sau bị nhiễm virus Tắt chức khôi phục hệ thống (Windows Me/XP) Cập nhật chương trình diệt virus Chạy quét toàn hệ thống Xóa giá trị ghi vào Registry Loại bỏ mục có khả làm lây nhiễm đến mục khác II) Cách diệt Chú ý : Symantec mạnh mẽ khuyến cáo bạn lưu Registry trước làm thay đổi Vào Start> Run Gõ Regedit Click OK Tìm xóa giá trị HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run\"McaFee virus detect program" = "%Program Files%\Network Associates\VirusScan\svchst.exe" Thoat khỏi Registry Virus Trojan.Silentbanker I) Mô tả: Khám phá : 17 tháng 12 năm 2007 Cập nhât : 18 tháng 12 năm 2007 lúc 11:45:19:Pm Kiểu : Trojan Mức độ lây lan: : 54,189 bytes 98,304 bytes Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 Symantec khuyến người dùng làm việc sau bị nhiễm virus Tắt chức khôi phục hệ thống (Windows Me/XP) Cập nhật chương trình diệt Virus Chạy qt tồn hệ thống Xố giá trị ghi vào registry II) Cách diêt: Chú ý : Symantec mạnh mẽ khuyến cáo bạn lưu Registry trước làm thay đổi Click Start > Run Type regedit Click OK Xoá gía trị ghi vào Registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\"midi1" = "[RANDOM CHARACTERS][RANDOM DIGITS].dll" HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\InprocServer32\(Default Value) = "[RANDOM CHARACTERS][RANDOM DIGITS].dll" HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\TypeLib\(Default Value) = {[RANDOM CLSID]} HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\(Default Value) = "[RANDOM CHARACTERS][RANDOM DIGITS]" Xoá giá trị sau HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex plorer\Browser Helper Objects\{[RANDOM CLSID]} Thoát khỏi registry VBS.Runauto.E Phát hiện: November 2, 2007 Cập nhật: November 2, 2007 10:55:58 AM Kiểu: Worm Có kick thước khoảng : 5,320 bytes Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 Khi nhiễm Trojan gây số hoạt động sau Khởi tạo thêm file vào hệ thống • %Windir%\achitasin.dll.vbs • %SystemDrive%\achi.htm Tiếp theo khởi tạo vào regedit chạy Windows bắt đâu khởi động HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"ac hitasin" = "%Windir%\achitasin.dll.vbs" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = "Hacked by Achitasin & ???? ???" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "C:\achi.htm" Sau khởi tạo thêm file vào tất ổ hệ thống %DriveLetter%\achitasin.dll.vbs %DriveLetter%\autorun.inf Cách diệt: Vô hiệu hóa Hệ thống khơi phục (Windows Me/XP) Cài đặt chương trình quét virut cập nhật phiên Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 Chạy quét toàn hệ thống a Khởi động chương trình Symatec bạn cho quét tất files b Chạy hệ thống đầy đủ quét Click Start > Run Type regedit Click OK Bạn vào tìm khóa sau xóa HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = "Hacked by Achitasin & ???? ???" Cập nhật: July 23, 2007 3:22:12 PM Kiểu: Spyware Name: Stealth Chat Monitor Version: 1.5 (build 93) Publisher: Amplusnet Risk Impact: High Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 Khi nhiễm Trojan gây số hoạt động sau • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\AIMusers.usr • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\ICQusers.usr • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\MSNusers.usr • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\Skypeusers.usr • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\SysAllDaySysMessenger.xsl • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\Sysbk.bmp • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\SysMessenger.xsl • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\SystemChatErrors.txt • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\TestEmail.xml • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\Yahoousers.usr • C:\Documents and Settings\All Users\Application Data\SystemMessenger\SendEmail.exe • C:\Documents and Settings\All Users\Application Data\SystemMessenger\SystemChatHelp.chm • C:\Documents and Settings\All Users\Application Data\SystemMessenger\SystemMessenger.dll • C:\Documents and Settings\All Users\Application Data\SystemMessenger\SystemMessenger.exe • C:\Documents and Settings\All Users\Application Data\SystemMessenger\SystemMessengerUninstaller.exe • C:\Documents and Settings\All Users\Application Data\SystemMessenger\xcacls.exe Nó khởi tạo thêm file sau • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\AIM • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\ICQ • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\MSN • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\Skype • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\Users • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\Yahoo • Tiếp theo khởi tạo vào regedit chạy Windows bắt đâu khởi động HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n\"SystemMessenger" = "C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\All Users\Application Data\SystemMessenger\SystemMessenger.dll" rdl" HKEY_LOCAL_MACHINE\SOFTWARE\SystemMessenger • AIM • ICQ • MSN • Skype • Yahoo Cách diệt: Vơ hiệu hóa Hệ thống khơi phục (Windows Me/XP) Cài đặt chương trình quét virut cập nhật phiên Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 Chạy quét toàn hệ thống a Khởi động chương trình Symatec bạn cho quét tất files b Chạy hệ thống đầy đủ quét • Click Start > Run • Type regedit • Click OK Tìm đến khóa sau xóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n\"SystemMessenger" = "C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\All Users\Application Data\SystemMessenger\SystemMessenger.dll" rdl" • Tìm đến khóa sau xóa đi: HKEY_LOCAL_MACHINE\SOFTWARE\SystemMessenger • Thốt khỏi regedit Sâu W32.Tisandr.A@mm Phát hiện: July 11, 2007 Cập nhật: July 11, 2007 10:37:23 PM Kiểu: Virus, Worm Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP Khi nhiễm Trojan gây số hoạt động sau %Windir%\svchost.exe Nó khởi tạo file đính kèm sau sử dụng file gửi theo mail %Windir%\screen.zip Nó khởi tạo tập tin tạm thời để lây lan sang file khác Sys7154.tmp Nó khởi tạo thêm khóa sau HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"svchos t" = "%Windir%\svchost.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System7154\ "GL" = "[IINFECTION DATE]" Nó tự động mở cổng TCP thành 7154 Cách diệt: Vơ hiệu hóa Hệ thống khơi phục (Windows Me/XP) Cài đặt chương trình quét virut cập nhật phiên Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 Chạy quét toàn hệ thống a Khởi động chương trình Symatec bạn cho quét tất files b Chạy hệ thống đầy đủ quét Click Start > Run Type regedit Click OK Navigate to and delete the following entries: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"s vchost" = "%Windir%\svchost.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System 7154\"GL" = "[IINFECTION DATE]" Thoát khỏi Registry Sâu JS.Badbunny Phát hiện: May 24, 2007 Cập nhật: May 24, 2007 4:41:09 AM Kiểu: Virus Có kick thước khoảng: Varies Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP Khi nhiễm Trojan gây số hoạt động sau C:\badbunny.js Khi chạy Nó lây nhiễm tồn file javascript SB.Badbunny vào hệ thống Cách diệt: Vô hiệu hóa Hệ thống khơi phục (Windows Me/XP) Cài đặt chương trình quét virut cập nhật phiên Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 Chạy quét toàn hệ thống a Khởi động chương trình Symatec bạn cho quét tất files b Chạy hệ thống đầy đủ quét sâu Infostealer.Snifula.C Phát hiện: May 9, 2007 Cập nhật: May 10, 2007 11:28:54 AM Kiểu: Infostealer.Rhaiyu [Symantec] Có kick thươc khoảng: 27,089 bytes Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP Khi nhiễm Trojan gây số hoạt động sau %Windir%\9129837.exe %Windir%\new_drv.sys Khi nhiễm Trojan khởi tạo vào regedit chạy Windows khởi động HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Windows\Run \"ttool" = "%Windir%\9129837.exe" Khi nhiễm Trojan khởi tạo vào regedit khóa sau HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NEW _DRV HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\new_drv Tiếp theo làm nhiệm vụ ăn cắp mật thông tin tài khoản Outlook Express Outlook POP3 AutoComplete passwords in Internet Explorer Password-protected sites in Internet Explorer MSN Explorer Nó lấy thơng tin thông qua mạng với giao thức HTTP FTP POP3 IMAP ICQ Và thông tin sau Web form submission from Internet Explorer Certificate information Keystrokes The Trojan gửi thông tin đến Website đựoc định sẵn The Trojan xử dụng phương thức rootkit để che dấu file thơng tin liên quan đến Cách diệt: Vơ hiệu hóa Hệ thống khơi phục (Windows Me/XP) Cài đặt chương trình quét virut cập nhật phiên Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 Chạy quét toàn hệ thống a Khởi động chương trình Symatec bạn cho quét tất files b Chạy hệ thống đầy đủ quét Click Start > Run Type regedit Click OK Tìm đến khóa sau chỉnh sửa HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Windows \Run\"ttool" = "%Windir%\9129837.exe" Tìm đến khóa sau chỉnh sửa HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ NEW_DRV HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\new_drv Exit the Registry Editor sâu W32.Reploret Phát Tháng 31, 2007 Cập nhật Tháng 1, 2007 04:14:59 PM GMT Kiểu Worm Có kick thước khoảng 236,864 bytes Những hệ thống bị lây nhiễm :Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP Khi nhiễm W32.Reploret gây số hoạt động sau Khởi tạo file sau %System32%\drivers\Uninstall1.exe %System% biến tham chiếu đến folder hệ thống Mặc định sau C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP) Thêm file sau vào ổ đĩa [DRIVE_LETTER]:\morew.exe (for drive C) [DRIVE_LETTER]:\Hay.exe (for drives D to P) Và thêm file sau [DRIVE_LETTER]:\autorun.inf [DRIVE_LETTER]:\desktop.ini Thêm số key vào trường khóa sau HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666} Và thêm dịng thơng báo Trên title bar explorer.exe ^_^ Hello, I'm a hot[REMOVED]m very cool ^_^ Cách diệt: Vơ hiệu hóa Hệ thống khơi phục (Windows Me/XP) Cài đặt chương trình quét virut cập nhật phiên Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 Chạy quét toàn hệ thống Click Start > Run Type regedit Click OK Tìm đến xóa key sau HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666} Thoát khỏi regedit sâu W32.Huegone@mm Phát hiện: March 23, 2007 Cập nhật: March 23, 2007 10:04:44 AM Kiểu: Worm Có kick thước khoảng : 29,674 bytes Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP Khi nhiễm tìm kiếm file hệ thống Arabic or Persian kơ thấy tiếp tục mở Web site sau [http://]www.10million.org/Defau[REMOVED] %Temp%\[RANDOM NAME 1].tmp %Temp%\[RANDOM NAME 2].tmp Nó tìm kiếm địa mail có hệ thống sau gưi đến địa với nội dung sau Subject: One of the following: WOW Amazing Big one Incredible Take a look Walla S&m Porno one Huge one Big shot Try this Must see Unbelievable About Israel About Lebanon About Iran About the Israeli Intelligence All the Truth about the American intelligence Pictures from Iraq Pictures from Gazza Message: One of the following: WOW Amazing Big one Incredible Take a look Walla S&m Porno one Huge one Big shot Try this Must see Unbelievable About Israel About Lebanon About Iran About the Israeli Intelligence All the Truth about the American intelligence Pictures from Iraq Pictures from Gazza Cách diệt: Vơ hiệu hóa Hệ thống khơi phục (Windows Me/XP) Cài đặt chương trình quét virut cập nhật phiên Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 Chạy quét toàn hệ thống a Khởi động chương trình Symatec bạn cho quét tất files b Chạy hệ thống đầy đủ quét Trojan.Killwma Phát : January 31, 2007 Cập nhật :February 1, 2007 09:13:53 PM PST Kiểu Trojan Horse Có kick thước khoảng : 90,112 bytes Những hệ thống bị ảnh hưởng :Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP Khi nhiễm Trojan gây số ảnh hưởng sau Khởi tạo file sau %CurrentFolder%\[TROJAN FILE NAME].exe Ngừng hoạt động số scheduled tasks Hoặc thêm vào scheduled task bắt đầu hoạt động khoảng minutes Tìm kiếm folders tồn ổ cứng có chứa file wma Thêm vào số wma làm cho chạy đựoc Cách diệt: Vơ hiệu hóa Hệ thống khơi phục (Windows Me/XP) Cài đặt chương trình quét virut cập nhật phiên Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 Chạy quét toàn hệ thống a Khởi động chương trình Symatec bạn cho quét tất files Sau bạn khởi động lại máy chọn chế độ safe quét toàn hệ thống Sâu W32.Kelvir.LS Phát 12/8/2006 Cập nhật 12/8/2006 11:33:22 AM Kiểu: Worm Có kick thứớc khoảng: 59,904 bytes Những hệ thống ảnh hưởng : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP Khi bị nhiễm tạo file sau vào hệ thống: %System%\[RANDOM LETTERS]\svchost.exe Ghi : %System% Là biến mà tham chiếu tới folder Hệ thống Theo mặc định C:\Windows\System ( Windows 95 / 98 / Me), C:\Winnt\System32 ( Windows NT / 2000), C:\Windows\System32 ( Windows XP) Tạo file vào hệ thống %UserProfile%\Start Menu\Programs\svchost.lnk %Temp%\temp.bat Note: %UserProfile% biến mà tham chiếu tới folder Hệ thống Theo mặc định C:\Documents and Settings\[CURRENT USER] (Windows NT/2000/XP) %Temp% biến mà tham chiếu tới folder Hệ thống Theo mặc định C:\Windows\TEMP (Windows 95/98/Me/XP) or C:\WINNT\Temp (Windows NT/2000) Adds the value: "svchost"="%System%\[RANDOM LETTERS]\svchost.exe" Khởi tạo vào regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Sẽ chạy khởi động máy tính Tạo thông báo sau Tạo cửa sổ IRC điều khiển từ xa host: new.antix.us Cho phép điều khiển máy tính từ xa Download a remote file Execute a program Update the worm executable with a new copy Gather computer name Gather drives and system information Perform DoS attacks Spreads to other computers using MSN Instant Messenger Khuyến cáo - Đáp lại an toàn Symantec động viên tất người người sử dụng người quản trị để tham gia vào an toàn sau: Tắt rỡ bỏ dịch vụ không cần thiết Theo mặc định hệ điều hành, thiết đặt lại dịch vụ mà FPT server, telnet, web server - Nếu lời đe dọa với việc khai thác dịch vụ mạng, vơ hiệu hóa truy nhập tới dịch vụ ứng dụng mạng - Luôn cập nhật thông tin nhất, đặc biệt máy chủ có dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FPT, mail dịch vụ DNS (thí dụ: Tất máy tính Windows cần phải có dịch vụ thời cài đặt) Đồng thời, áp dụng cập nhật an toàn mà đáng tin cậy Website nhà cung cấp - Bắt buộc phải có mật khẩu, mật phức tạp làm cho can thiệp vào files máy tính - Những email máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng files có sử dụng đi: (.vbs, bat, exe, pif and scr) Cơ lập máy tính bị lây lan nhanh Thực phân tích khơi phục máy tính sử dụng phương tiện truy nhập thông tin tin cậy - Bạn vào website để downloaded phần mềm diệt virut Internet Cách diệt: Vơ hiệu hóa Hệ thống khơi phục (Windows Me/XP) Cài đặt chương trình quét virut cập nhật phiên Norton AntiVirus 2006, Symantec AntiVirus Corporate Edition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Edition 9.0 Chạy quét toàn hệ thống a Khởi động chương trình Symatec bạn cho quét tất files b Chạy hệ thống đầy đủ quét c Nếu có files phát đọc theo dẫn antivirus Xóa giá trị thêm vào nơi đăng ký Click Start > Run ... Hoặc thêm vào scheduled task bắt đầu hoạt động khoảng minutes Tìm kiếm folders tồn ổ cứng có chứa file wma Thêm vào số wma làm cho chạy đựoc Cách diệt: Vơ hiệu hóa Hệ thống khơi phục (Windows... phân tích khơi phục máy tính sử dụng phương tiện truy nhập thông tin tin cậy - Bạn vào website để downloaded phần mềm diệt virut Internet Cách diệt: Vơ hiệu hóa Hệ thống khơi phục (Windows Me/XP)... Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666} Và thêm dịng thơng báo Trên title bar explorer.exe ^_^ Hello, I''m a hot[REMOVED]m very cool ^_^ Cách diệt: Vơ hiệu hóa Hệ thống khơi phục (Windows Me/XP) Cài đặt chương trình quét virut