Kill Virus
Cách diệt sâu W32.Killaut.A
Phát hiện: September 12, 2007
Cập nhật: September 12, 2007 5:45:49 PM
Kiểu: Worm
Có kick thước khoảng : 264,088 bytes
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %UserProfile%My Documents[CURRENT USER ACCOUNT].exe
• %System%debug_32.exe
• %System%MsMpEng.exe
• %Windir%TasksAt1.job
• %Windir%TasksAt2.job
• %Windir%Tasksdmadmin_1.exe
• %Windir%compmgmt.exe
Tiếp theo nó sẽ khởi tạo file sau
%UserProfile%My Documents[FolderName].exe
Sau đó nó sẽ tìm kiếm tất cả các ổ đĩa cứng khởi tạo và đặ thuộc tính cho tất cả các folder
%SystemDrive%[FolderName].exe
• %SystemDrive%autorun.inf
%SystemDrive%New_Folder.exe
Sau đó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động sẽ khóa một số tính năng
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShell Icons"3" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 63 00 6F 00 6D 00 70 00 6D 00 67 00 6D 00 74 00 2E 00 65 00 78 00 65 00 2C 00 30 00 00 00 74"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerrun"compmgmt.exe " = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 64 00 65 00 62 00 75 00 67 00 5F 00 33 00 32 00 2E 00 65 00 78 00 65 00 00 00 00"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"Shell" "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 63 00 6F 00 6D 00 70 00 6D 00 67 00 6D 00 74 00 2E 00 65 00 78 00 65 00 00 00 07"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"Sheli" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
• HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSchedule"AtTaskMaxHours" = "0x00000048"
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSchedule"AtTaskMaxHours" = "0x00000048"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "0x00000001"
• HKEY_CURRENT_USERControl Paneldon't load"appwiz.cpl" = "6E 00 6F 00 00 00 00"
• HKEY_CURRENT_USERControl Paneldon't load"Services.cpl" = "6E 00 6F 00 00 00 00"
• HKEY_CURRENT_USERControl Paneldon't load"Startup.cpl" = "6E 00 6F 00 00 00 00"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "0x00000001"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoRun" = "0x00000001"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFind" = "0x00000001"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFileMenu" = "0x00000001"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerrun"Sheli" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableRegistryTools" = "0x00000001"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableTaskMgr" = "0x00000001"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"NoDriveTypeAutoRun" = "0x00000001"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp"Disabled" = "0x00000001"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Sheli" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
• HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerInfodeliveryRestrictions"{default}" = "00 00 C3"
• HKEY_LOCAL_MACHINESOFTWAREClasses.reg"(default)" = "74 00 78 00 74 00 66 00 69 00 6C 00 65 00 00 00 05"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden"ValueName" = "53 00 68 00 6F 00 77 00 53 00 75 00 70 00 65 00 72 00 48 00 69 00 64 00 64 00 65 00 6E 00 00 00 03"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenPolicyDontShowSuperHidden"(default)" = "00 00 C3"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"Userinit" = "43 00 3A 00 5C 00 57 00 49 00 4E 00 44 00 4F 00 57 00 53 00 5C 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 75 00 73 00 65 00 72 00 69 00 6E 00 69 00 74 00 2E 00 65 00 78 00 65 00 2C 00 63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 39"
• HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBoot"AlternateShell" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 4D 00 73 00 4D 00 70 00 45 00 6E 00 67 00 2E 00 65 00 78 00 65 00 00 00 05"
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot"AlternateShell" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 4D 00 73 00 4D 00 70 00 45 00 6E 00 67 00 2E 00 65 00 78 00 65 00 00 00 05"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "0x00000002"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"HideFileExt" = "0x00000001"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"ShowSuperHidden" = "0x00000000"
•
• HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"Connection Settings" = "0x00000001"
• HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"ConnectionsTab" = "0x00000001"
• HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"GeneralTab" = "0x00000001"
• HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"HomePage" = "0x00000001"
• HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"Settings" = "0x00000001"
• HKEY_USERSS-1-5-18SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "0x00000001"
• HKEY_LOCAL_MACHINESOFTWAREClassesDirectoryshellfind
• HKEY_LOCAL_MACHINESOFTWAREClassesFoldershellexplore
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot
Khi Windows khởi động thì các file sau cũng hoạt động cùng
• sp_rsser.exe
• avgupsvc.exe
• sp_rssrv
• avg7alrt
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShell Icons"3" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 63 00 6F 00 6D 00 70 00 6D 00 67 00 6D 00 74 00 2E 00 65 00 78 00 65 00 2C 00 30 00 00 00 74"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerrun"compmgmt.exe " = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 64 00 65 00 62 00 75 00 67 00 5F 00 33 00 32 00 2E 00 65 00 78 00 65 00 00 00 00"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"Shell" "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 63 00 6F 00 6D 00 70 00 6D 00 67 00 6D 00 74 00 2E 00 65 00 78 00 65 00 00 00 07"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"Sheli" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSchedule"AtTaskMaxHours" = "0x00000048"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSchedule"AtTaskMaxHours" = "0x00000048"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "0x00000001"
HKEY_CURRENT_USERControl Paneldon't load"appwiz.cpl" = "6E 00 6F 00 00 00 00"
HKEY_CURRENT_USERControl Paneldon't load"Services.cpl" = "6E 00 6F 00 00 00 00"
HKEY_CURRENT_USERControl Paneldon't load"Startup.cpl" = "6E 00 6F 00 00 00 00"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "0x00000001"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoRun" = "0x00000001"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFind" = "0x00000001"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFileMenu" = "0x00000001"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerrun"Sheli" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableRegistryTools" = "0x00000001"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableTaskMgr" = "0x00000001"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"NoDriveTypeAutoRun" = "0x00000001"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp"Disabled" = "0x00000001"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Sheli" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerInfodeliveryRestrictions"{default}" = "00 00 C3"
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"Connection Settings" = "0x00000001"
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"ConnectionsTab" = "0x00000001"
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"GeneralTab" = "0x00000001"
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"HomePage" = "0x00000001"
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel"Settings" = "0x00000001"
HKEY_USERSS-1-5-18SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "0x00000001"
HKEY_LOCAL_MACHINESOFTWAREClasses.reg"(default)" = "74 00 78 00 74 00 66 00 69 00 6C 00 65 00 00 00 05"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden"ValueName" = "53 00 68 00 6F 00 77 00 53 00 75 00 70 00 65 00 72 00 48 00 69 00 64 00 64 00 65 00 6E 00 00 00 03"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenPolicyDontShowSuperHidden"(default)" = "00 00 C3"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"Userinit" = "43 00 3A 00 5C 00 57 00 49 00 4E 00 44 00 4F 00 57 00 53 00 5C 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 75 00 73 00 65 00 72 00 69 00 6E 00 69 00 74 00 2E 00 65 00 78 00 65 00 2C 00 63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 39"
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBoot"AlternateShell" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 4D 00 73 00 4D 00 70 00 45 00 6E 00 67 00 2E 00 65 00 78 00 65 00 00 00 05"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot"AlternateShell" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 4D 00 73 00 4D 00 70 00 45 00 6E 00 67 00 2E 00 65 00 78 00 65 00 00 00 05"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "0x00000002"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"HideFileExt" = "0x00000001"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"ShowSuperHidden" = "0x00000000"
4. Khôi phục và chỉnh sửa regedit
HKEY_LOCAL_MACHINESOFTWAREClassesDirectoryshellfind
HKEY_LOCAL_MACHINESOFTWAREClassesFoldershellexplore
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot
5. Exit the Registry Editor.
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt W32.Virut.U
Phát hiện: September 6, 2007
Cập nhật: September 6, 2007 2:55:41 PM
Kiểu: Virus
Có kick thước khoảng : 10,496 bytes
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
Nó sẽ lây nhiễm và khởi tạo file sau
Vx_4
Tiếp theo nó sẽ tìm kiếm tất cả những file có đuôi mở rộng là .exe and .scr
Nó sẽ lây lan và khởi tạo hàm với những tên như sau
• PSTO
• WC32
• WCUN
• WINC
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer"TargetHost
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt sâu Trojan.Brutecell
Phát hiện: September 7, 2007
Cập nhật: September 7, 2007 8:11:30 AM
Kiểu: Trojan
Có kick thước khoảng : 62,464 bytes
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
Nó sẽ copy "TNSH2006660099-SQYPL" và sẽ khởi động cùng Windows…
Tiếp tục sẽ download từ URLs sau
[http://]205.209.142.140/lt/bbconfirm28/getreco[REMOVED]
[http://]205.209.142.140/lt/bbconfirm28/getreco[REMOVED]
[http://]205.209.142.140/lt/bbconfirm28/getreco[REMOVED]
Ghi chú: Sẽ tìm kiếm những file chứa usernames and passwords.
Tiếp theo nó sẽ thử đăng nhập tới Ebay và sử dụng eBay API để vượt qua
https://api.ebay.com/ws/api.dll.
Nó sẽ gửi kết quả mà nó vừa tìm đựoc tới
[http://]205.209.142.140/lt/bbconfirm28/stored[REMOVED]
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt Adware.InstallProvider
Cập nhật: July 24, 2007 3:56:00 PM
Kiểu: Adware
Có kick thước khoảng :
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• C:Documents and Settings[CURRENT USER]Cookies[CURRENT USER]@84.243.251[2].txt
• C:Documents and Settings[CURRENT USER]Local SettingsTemp[RANDOM FILE NAME].exe
• C:Documents and Settings[CURRENT USER]Local SettingsTemp[RANDOM FOLDER NAME]Installer.exe
• C:Documents and Settings[CURRENT USER]Local SettingsTemp[RANDOM FOLDER NAME]InstallOptions.dll
• C:Documents and Settings[CURRENT USER]Start MenuProgramsInstall ProviderInstallProvider.url
• C:Program FilesInstall Providerdata.ini
• C:Program FilesInstall ProviderInstall Provider.ico
• C:Program FilesInstall ProviderInstallProvider.dll
• C:Program FilesInstall ProviderInstallProvider.dlldat
Tiếp theo nó sẽ khởi tạo và thêm khóa vào regedit
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{A9344DE7-59F2-40F8-9AE7-C203B67444DA}InProcServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallInstall Provider
HKEY_LOCAL_MACHINESOFTWAREMicrosoftDownloadManager
HKEY_LOCAL_MACHINESOFTWAREInstall Provider
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionExtStats{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionExtStats{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerDownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERSSoftwareMicrosoftInternet ExplorerDownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_ALL_USERSSoftwareMicrosoftInternet ExplorerToolbarWebBrowser{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
Tiếp theo nó sẽ khởi tạo trên thanh toolbar một thanh công cụ tìm kiếm Nó sẽ link đến một số địa chỉ để đánh lừa ngừời dùng
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
bạn tìm đến khóa sau và xóa đi
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{A9344DE7-59F2-40F8-9AE7-C203B67444DA}InProcServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallInstall Provider
HKEY_LOCAL_MACHINESOFTWAREMicrosoftDownloadManager
HKEY_LOCAL_MACHINESOFTWAREInstall Provider
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionExtStats{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionExtStats{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerDownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERSSoftwareMicrosoftInternet ExplorerDownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_ALL_USERSSoftwareMicrosoftInternet ExplorerToolbarWebBrowser{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
4. Thoát khỏi regedit.
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt sâu W32.Whybo.Z
Phát hiện: August 27, 2007
Cập nhật: August 27, 2007 4:43:28 PM
Kiểu: Win32/Fuceb [Computer Associates]
Có kick thước khoảng : 89,088 bytes
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %System%serivces.exe
• %SystemDrive%Program FilesCommon FilesMicrosoft Shared[FIVE RANDOM LOWERCASE LETTERS].exe
• %SystemDrive%Program FilesInternet ExplorerConnection Wizard[FIVE RANDOM LOWERCASE LETTERS].exe
• %SystemDrive%Program FilesWindows Media Player[FIVE RANDOM LOWERCASE LETTERS].exe
• %SystemDrive%WINDOWSaddins[FIVE RANDOM LOWERCASE LETTERS].exe
• %SystemDrive%WINDOWSsystem[FIVE RANDOM LOWERCASE LETTERS].exe
• %SystemDrive%WINDOWSsystem32[FIVE RANDOM LOWERCASE LETTERS].exe
• %SystemDrive%WINDOWSsystem32drivers[FIVE RANDOM LOWERCASE LETTERS].exe
• %SystemDrive%WINDOWSsystem32dllcache[FIVE RANDOM LOWERCASE LETTERS].exe
• %SystemDrive%WINDOWSsystem32IME[FIVE RANDOM LOWERCASE LETTERS].exe
Khởi tạo file vào temporary:
%System%update.bak
%DriveLetter%:setup.exe
%DriveLetter%:AutoRun.inf
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
Service Name: Services management
Image Path: %System%serivces.exe
• ComPlus Applications;Messenger
• Documents and Settings
• Internet Explorer
• Messenger
• Microsoft Frontpage
• Movie Maker
• NetMeeting
• Outlook Express
• Recycled
• System Volume Information
• Windows Media Player
• Windows NT
• WINDOWS
• WindowsUpdate
• WINNT
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt sâu W32.Scrimge.G
Phát hiện: August 17, 2007
Cập nhật: August 20, 2007 2:54:18 AM
Kiểu: Worm
Có kick thước khoảng: 83,456 bytes
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %Windir%img8017.zip (Worm sao chép với tên file như sau img8017.jpg-www.photoalbums.com.)
• %Windir%winhelp.exe
• C:a.bat
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Windows Help Manager" = "winhelp.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftOle"Windows Help Manager" = "winhelp.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCurrentVersionRunServices"Windows Help Manager" = "winhelp.exe"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa"Windows Help Manager" = "winhelp.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices"Windows Help Manager" = "winhelp.exe"
HKEY_CURRENT_USERSoftwareMicrosoftOLE"Windows Help Manager" = "winhelp.exe"
HKEY_CURRENT_USERSYSTEMCurrentControlSetControlLsa"Windows Help Manager" = "winhelp.exe"
Tiếp theo nó sẽ tự động Microsoft instant messenging clients (Windows Live Messenger, MSN Messenger, and Windows Messenger) copy và send img807.zip tới tất cả danh sách trong messages
• did you see this?
• look @ this funny picture
• new picture, should I use it?
• cybix told me 2 send this 2 you look at
• Peter, he looks so dumb in this picture
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
4. Tìm đến khóa sau và chỉnh sửa
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Windows Help Manager" = "winhelp.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftOle"Windows Help Manager" = "winhelp.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCurrentVersionRunServices"Windows Help Manager" = "winhelp.exe"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa"Windows Help Manager" = "winhelp.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices"Windows Help Manager" = "winhelp.exe"
HKEY_CURRENT_USERSoftwareMicrosoftOLE"Windows Help Manager" = "winhelp.exe"
HKEY_CURRENT_USERSYSTEMCurrentControlSetControlLsa"Windows Help Manager" = "winhelp.exe"
5. Exit the Registry Editor.
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt sâu Spyware.MSNSpyMonitor
Cập nhật: August 20, 2007 11:44:06 AM
Kiểu: Spyware
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %UserProfile%Application DataMicrosoftInternet ExplorerQuick LaunchMsnSpy.lnk
• %UserProfile%DesktopMsnSpy.lnk
• %UserProfile%Start MenuProgramsMsnSpyMsnSpy Help.lnk
• %UserProfile%Start MenuProgramsMsnSpyMsnSpy.lnk
• %UserProfile%Start MenuProgramsMsnSpyUninstall.lnk
• %ProgramFiles%MsnSpymsnspy.chm
• %ProgramFiles%MsnSpymsnspy.exe
• %ProgramFiles%MsnSpyreadme.rtf
• %ProgramFiles%MsnSpyUninstall.exe
• %ProgramFiles%MsnSpyWinPcap_3_1.exe
Tiếp theo nó sẽ khởi tạo vào trong regedit
• HKEY_ALL_USERSSoftwareMsnSpy
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallMsnSpy
Nó sẽ lấy thông tin khi mà ngừoi sử dụng Windows Live Messenger, MSN Messenger, and Windows Messenger)
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
Bạn hãy vào và xóa khóa sau
4. HKEY_ALL_USERSSoftwareMsnSpy
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallMsnSpy
5. Thóat khỏi regedit
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt W32.Lashplay
Phát hiện: August 17, 2007
Cập nhật: August 17, 2007 1:35:48 PM
Kiểu: Worm
Có kick thước khoảng : 462,848 Bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
Nó sẽ khởi tạo và copy thêm file vào tất cả các ổ
[DRIVE LETTER]:readme.txt.exe
[DRIVE LETTER]:flashplay.dll
[DRIVE LETTER]:autorun.inf
Và copy vào
%System%flashplay.dll
Tiếp theo nó sẽ khởi tạo vào regedit và sau đó yêu cầu ngừoi dùng cài đặt Browser Helper Object (BHO):
HKEY_CLASSES_ROOTCLSID{25864158-329E-434B-B24F-3DA6F300D30A}
HKEY_CLASSES_ROOTCLSID{25864158-329E-434B-B24F-3DA6F300D30A}InprocServer32(Default Value) = "%System%flashplay.dll"
HKEY_CLASSES_ROOTflashplay.bho
HKEY_CLASSES_ROOTflashplay.bhoClsid(Default Value) = "{25864158-329E-434B-B24F-3DA6F300D30A}"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerBrowser Helper Objects{25864158-329E-434B-B24F-3DA6F300D30A}
tự động download và update tại Website sau
[http://]film.96163.cn
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
Nó thêm khóa vào regedit
HKEY_CLASSES_ROOTCLSID{25864158-329E-434B-B24F-3DA6F300D30A}
HKEY_CLASSES_ROOTCLSID{25864158-329E-434B-B24F-3DA6F300D30A}InprocServer32(Default Value) = "%System%flashplay.dll"
HKEY_CLASSES_ROOTflashplay.bho
HKEY_CLASSES_ROOTflashplay.bhoClsid(Default Value) = "{25864158-329E-434B-B24F-3DA6F300D30A}"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerBrowser Helper Objects{25864158-329E-434B-B24F-3DA6F300D30A}
4. Thoát khỏi regedit
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt sâu W32.Kabab.A
Phát hiện: August 21, 2007
Cập nhật: August 21, 2007 2:26:05 PM
Kiểu: Worm
Có kick thước khoảng : 78,394 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 Windows Vista
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
Khởi tạo ra một số file với thuộc tính sau
• %System%~~~CoUnTeRPaIn~~~.exe
• %System%~~~MeMoRiEs_In_KaBa~~~.exe
• %System%~~~OuUuW_YeAh~~~.exe
• %System%~~~XPDC_KaBa_LoVe~~~.exe
• Other drives on the computer
• %CurrentFolder%
• $IPC shares
• $ADMIN shares
• Tip's Cantik Ala Neni.exe
• Tip's Cantik Ala Nova.exe
• Tip's Cantik Ala Eka.exe
• Tip 's Cantik Ala Riesa
• Administrator.exe
• Tip's Seksi Ala Neni.exe
• Tip's Seksi Ala Nova.exe
• Tip's Seksi Ala Eka.exe
• Tip's Seksi Ala Riesa
• Buku Harian Neni.exe
• Buku Harian Nova.exe
• Buku Harian Eka.exe
• Buku Harian Riesa
• Tip's Hot Ala Neni.exe
• Tip's Hot Ala Nova.exe
• Tip's Hot Ala Eka.exe
• Tip's Hot Ala Riesa
• Teknik Climbing.exe
• Teknik Baca Cuaca.exe
• Teknik Panjat Tebing.exe
• Teknik Pendakian
• Laporan Bulanan.exe
• Laporan Keuangan.exe
• Laporan Gaji.exe
• Laporan Pegawai.exe
• Cara Pakai Counterpain.exe
• Salep Counterpain.exe
• Harga Counterpain.exe
• Guna Counterpain.exe
• BABI.exe
• BABII.exe
• BABIII.exe
• BABIV.exe
• Buku Harian Jayus.exe
• Buku Harian Awliya.exe
• Buku Harian Dimas.exe
• Buku Harian Anggoro
• Buku Harian Arief.exe
• Buku Harian Ucin.exe
• Buku Harian Amien.exe
• Buku Harian Hadi
• Buku Harian Tuja.exe
• Serial Number.exe
• New Source Code.exe
• CD-Key WinXP.exe
• Source Trojan.exe
• Source Brontok.exe
• Dear Diary.exe
• Teknik Penangkal Petir.exe
• Proposal.exe
• Arsip Bulan Juni.exe
• Data Arsip.exe
• Surat Lamaran.exe
• Skripsi.exe
• Tugas Akhir.exe
• BABV.exe
• No Kode ATM.exe
• Contoh Skripsi.exe
• Contoh Tugas Akhir.exe
• Data Skripsi.exe
• Dokumen Rahasia.exe
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionRun"System handler" = "%System%~~~OuUuW_YeAh~~~.exe"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"StartLoad_[COMPUTER NAME]" = "%System%~~~OuUuW_YeAh~~~.exe"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Loading_[COMPUTER NAME]" = "%System%~~~OuUuW_YeAh~~~.exe"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"LegalNoticeCaption" = "XPDC OuUuW YeAh KABA-LOVE 17/03/2007 -> 22/03/2007"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionWinlogon"LegalNoticeCaption" = "XPDC OuUuW YeAh KABA-LOVE 17/03/2007 -> 22/03/2007"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionWinlogon"LegalNoticeText" = "Welcome To [LOGGED ON USER] Computer ---> ;-)"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"LegalNoticeText" = "Welcome To [LOGGED_ON_USER] Computer ---> ;-)"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"Shell" = "explorer.exe"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"System" = "%System%~~~OuUuW_YeAh~~~.exe"
• HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTSystemRestore"DisableConfig" = "1"
• HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTSystemRestore"DisableSR" = "1"
• HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller"LimitSystemRestoreCheckpointing" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain"Window Title" = "XPDC OuUuW_YeAh KABA-LOVE With COUNTERPAIN ;-)"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableRegistryTools" = "1"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableTaskMgr" = "1"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem"DisableRegistryTools" = "1"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem"DisableTaskMgr" = "1"
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller"DisableMSI" = "1"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableCMD" = "1"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "1"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer"NoFolderOptions" = "1"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced"ShowSuperHidden" = "0"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "2"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced"HideFileExt" = "1"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerCabinetState"FullPath" = "1"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerCabinetState"FullPathAddress" = "1"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSystemFileProtection"ShowPopups" = "0"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"SFCDisable" = "0xFFFFFF9D"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"SFCScan" = "0"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"ReportBootOk" = "0"
• HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor"EnableExtensions" = "0"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "2"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"HideFileExt" = "1"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"ShowSuperHidden" = "0"
• HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows"load" = "%System%~~~OuUuW_YeAh~~~.exe"
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
Click OK
Bạn tìm tới khóa sau và xóa nó đi
3. HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionRun"System handler" = "%System%~~~OuUuW_YeAh~~~.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"StartLoad_[COMPUTER NAME]" = "%System%~~~OuUuW_YeAh~~~.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Loading_[COMPUTER NAME]" = "%System%~~~OuUuW_YeAh~~~.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"LegalNoticeCaption" = "XPDC OuUuW YeAh KABA-LOVE 17/03/2007 -> 22/03/2007"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionWinlogon"LegalNoticeCaption" = "XPDC OuUuW YeAh KABA-LOVE 17/03/2007 -> 22/03/2007"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionWinlogon"LegalNoticeText" = "Welcome To [LOGGED ON USER] Computer ---> ;-)"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"LegalNoticeText" = "Welcome To [LOGGED_ON_USER] Computer ---> ;-)"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"Shell" = "explorer.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"System" = "%System%~~~OuUuW_YeAh~~~.exe"
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTSystemRestore"DisableConfig" = "1"
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTSystemRestore"DisableSR" = "1"
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller"LimitSystemRestoreCheckpointing" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain"Window Title" = "XPDC OuUuW_YeAh KABA-LOVE With COUNTERPAIN ;-)"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableRegistryTools" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableTaskMgr" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem"DisableTaskMgr" = "1"
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller"DisableMSI" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableCMD" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer"NoFolderOptions" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced"ShowSuperHidden" = "0"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "2"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced"HideFileExt" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerCabinetState"FullPath" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerCabinetState"FullPathAddress" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSystemFileProtection"ShowPopups" = "0"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"SFCDisable" = "0xFFFFFF9D"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"SFCScan" = "0"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"ReportBootOk" = "0"
HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor"EnableExtensions" = "0"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "2"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"HideFileExt" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"ShowSuperHidden" = "0"
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows"load" = "%System%~~~OuUuW_YeAh~~~.exe"
4. Thoát khỏi regedit
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt Adware.InstallProvider
Cập nhật: July 24, 2007 3:56:00 PM
Kiểu: Adware
Tên: Install Provider
Phiên bản: 1.0.18.0
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
Khởi tạo tạo thêm file vào hệ thống
• C:Documents and Settings[CURRENT USER]Cookies[CURRENT USER]@84.243.251[2].txt
• C:Documents and Settings[CURRENT USER]Local SettingsTemp[RANDOM FILE NAME].exe
• C:Documents and Settings[CURRENT USER]Local SettingsTemp[RANDOM FOLDER NAME]Installer.exe
• C:Documents and Settings[CURRENT USER]Local SettingsTemp[RANDOM FOLDER NAME]InstallOptions.dll
• C:Documents and Settings[CURRENT USER]Start MenuProgramsInstall ProviderInstallProvider.url
• C:Program FilesInstall Providerdata.ini
• C:Program FilesInstall ProviderInstall Provider.ico
• C:Program FilesInstall ProviderInstallProvider.dll
• C:Program FilesInstall ProviderInstallProvider.dlldat
Tiếp theo nó sẽ khởi tạo vào trong regedit
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{A9344DE7-59F2-40F8-9AE7-C203B67444DA}InProcServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallInstall Provider
HKEY_LOCAL_MACHINESOFTWAREMicrosoftDownloadManager
HKEY_LOCAL_MACHINESOFTWAREInstall Provider
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionExtStats{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionExtStats{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerDownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERSSoftwareMicrosoftInternet ExplorerDownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_ALL_USERSSoftwareMicrosoftInternet ExplorerToolbarWebBrowser{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
Nó sẽ khởi tạo một thanh công cụ có chức năng tìm kiếm. Khi người dùng mà kick vào link đó thì sẽ tự động dẫn sang một Web site khác
• avsystemcare.com
• drivecleaner.com
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
Bạn tìm đến khóa sau và xóa nó đi
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{A9344DE7-59F2-40F8-9AE7-C203B67444DA}InProcServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallInstall Provider
HKEY_LOCAL_MACHINESOFTWAREMicrosoftDownloadManager
HKEY_LOCAL_MACHINESOFTWAREInstall Provider
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionExtStats{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionExtStats{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerDownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERSSoftwareMicrosoftInternet ExplorerDownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_ALL_USERSSoftwareMicrosoftInternet ExplorerToolbarWebBrowser{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
4. Thoát khỏi regedit
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt Spyware.CheaterChecker
Cập nhật: August 16, 2007 2:34:58 PM
Kiểu: Spyware
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Nó sẽ khởi tạo và folder sau
%UserProfile%Start MenuProgramsCheater Checker
Tiếp theo nó sẽ khởi tạo thêm một số file khác
• %System%[RANDOM CHARACTERS][RANDOM FILE NAME 1].dat
• %System%[RANDOM CHARACTERS][RANDOM FILE NAME 2].dat
• %UserProfile%Local SettingsTemp[RANDOM CHARACTERS]InstallOptions.dll
• %UserProfile%Local SettingsTemp[RANDOM CHARACTERS]ioSpecial.ini
• %UserProfile%Local SettingsTemp[RANDOM CHARACTERS]modern-wizard.bmp
• %UserProfile%Local SettingsTemp[RANDOM CHARACTERS]options.ini
• %UserProfile%Local SettingsTemp[RANDOM CHARACTERS]PandoraInstaller.dll
• %UserProfile%Local SettingsTemp[RANDOM CHARACTERS]System.dll
• %System%[RANDOM CHARACTERS].exe
• %System%[RANDOM FILE NAME 1].dll
• %System%[RANDOM FILE NAME 2].dll
• %System%[RANDOM FILE NAME 3].dll
• %UserProfile%Start MenuProgramsCheater CheckerView Recorded Data.lnk
Thêm một số khóa vào regedit
• HKEY_CLASSES_ROOTCLSID[RANDOM CLSID]
• HKEY_CLASSES_ROOTCLSID[RANDOM CLSID]
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify[RANDOM CHARACTERS]
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellIconOverlayIdentifiers[RANDOM CHARACTERS]
Note: Where [RANDOM CLSID] may be one of the following:
• {70003867-5667-3860-45D8-B32700019E90}
• {9EF15B8F-0FCE-48EA-AC6F-3F64F00E6B4B}
Nó sẽ thêm vào một số thông tin sau
• Screenshots
• Programs used
• Web sites visited
• Keystrokes
• IM conversations
• User activity, e.g. logon/logoff times
• Email activity
• File-sharing network activity
Nó có thể kiểm soát đựoc khi mà người dùng có đặt mật khẩu bảo vệ và có thể điều khiển từ xa thông qua Web.
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
Bạn tìm đến và xóa khóa sau đi
HKEY_CLASSES_ROOTCLSID[RANDOM CLSID]
HKEY_CLASSES_ROOTCLSID[RANDOM CLSID]
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify[RANDOM CHARACTERS]
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellIconOverlayIdentifiers[RANDOM CHARACTERS]
Note: Where [RANDOM CLSID] may be one of the following:
{70003867-5667-3860-45D8-B32700019E90}
{9EF15B8F-0FCE-48EA-AC6F-3F64F00E6B4B}
4. Thoát khỏi regedit
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt sâu W32.Hauxi
Phát hiện: August 16, 2007
Cập nhật: August 16, 2007 8:19:16 AM
Kiểu: Worm
Có kick thước khoảng : 12,288 bytes
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Worm sẽ gây ra một số hoạt động sau
Khởi tạo thêm một số file vào hệ thống
• [DRIVE LETTER]:AUTORUN.INF
• [DRIVE LETTR]:xiaohao.exe (a copy of the worm)
Tiếp theo nó sẽ lây lan một số file sau và khởi tạo tệp có tên
C:jilu.txt
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}"stubpath" = "%System%exloroe.exe"
Tiếp theo nó sẽ khởi tạo và chỉnh regedit và sẽ tạo ra một thuộc tính làm ẩn file
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"CheckedValue" = "0"
Nó sẽ lây lan tất cả các file có đuôi mở rộng sau
• .jsp
• .php
• .aspx
• .asp
• .html
• .htm
Nó sẽ lây lan và link tới một số Web có chứa mà độc
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
Tìm đến khóa sau và chỉnh sửa
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}"stubpath" = "%System%exloroe.exe"
4. Khôi phục và chỉnh sửa lại regedit
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"CheckedValue" = "0"
5. Thoát khỏi Registry Editor.
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt Spyware.SysDetective
Cập nhật: July 24, 2007 12:01:52 PM
Kiểu: Spyware
Name: Sys Detective+
Version: 2.3.5
Publisher: Indian Shareware Pro
Risk Impact: High
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000
Khi nhiễm Nó sẽ gây ra một số hoạt động sau
• %ProgramFiles%Sys Detective+file[(DATE)MMDDYYYY][(TIME)HHMMSS].jpg
• %ProgramFiles%Sys Detective+Makecab.exe
• %ProgramFiles%Sys Detective+Manualacehelp.htm
• %ProgramFiles%Sys Detective+Manualactivating.htm
• %ProgramFiles%Sys Detective+Manualadvance.htm
• %ProgramFiles%Sys Detective+Manualautomatic_email.htm
• %ProgramFiles%Sys Detective+Manualcapture.htm
• %ProgramFiles%Sys Detective+Manualcontact_address.htm
• %ProgramFiles%Sys Detective+Manualedit_menu.htm
• %ProgramFiles%Sys Detective+Manualemail_and_ftp_setting.htm
• %ProgramFiles%Sys Detective+Manualexport_to_avi_window.htm
• %ProgramFiles%Sys Detective+Manualfile_menu__save_as.htm
• %ProgramFiles%Sys Detective+Manualfpace.gif
• %ProgramFiles%Sys Detective+Manualhelp_menu.htm
• %ProgramFiles%Sys Detective+Manualindex.htm
• %ProgramFiles%Sys Detective+Manualinstalling.htm
• %ProgramFiles%Sys Detective+Manualkey_logging.htm
• %ProgramFiles%Sys Detective+Manuallicense_information.htm
• %ProgramFiles%Sys Detective+Manualmain_browse_window.htm
• %ProgramFiles%Sys Detective+Manualmenu.htm
• %ProgramFiles%Sys Detective+Manualpcspysoftware_logo.jpg
• %ProgramFiles%Sys Detective+Manualquick_start.htm
• %ProgramFiles%Sys Detective+Manualsecurity.htm
• %ProgramFiles%Sys Detective+Manualslide_show.htm
• %ProgramFiles%Sys Detective+Manualstyle.css
• %ProgramFiles%Sys Detective+Manualtools_menu.htm
• %ProgramFiles%Sys Detective+Manualview_menu.htm
• %ProgramFiles%Sys Detective+Manualwatch_list_window.htm
• %ProgramFiles%Sys Detective+Manualweb_site_monitoring.htm
• %ProgramFiles%Sys Detective+sysd.exe
• %ProgramFiles%Sys Detective+unins000.dat
• %ProgramFiles%Sys Detective+unins000.exe
• %ProgramFiles%Sys Detective+__acelog.ndx
• %System%sd16win.dll
• %System%noaccess.htm
• %System%exclam.bmp
%System%ijl11.dll
• %System%KTKbdHk.dll
• %System%Msmapi32.ocx
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"regsvc" = "C:Program FilesSys Detective+sysd"
Thêm khóa vào regedit
HKEY_ALL_USERSSoftwareVB and VBA Program Settingssysd
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSys Detective+_is1
HKEY_CLASSES_ROOTInterface{20C62CA2-15DA-101B-B9A8-444553540000}
HKEY_CLASSES_ROOTInterface{20C62CAD-15DA-101B-B9A8-444553540000}
HKEY_CLASSES_ROOTInterface{F49AC0B0-DF74-11CF-8E74-00A0C90F26F8}
HKEY_CLASSES_ROOTInterface{F49AC0B2-DF74-11CF-8E74-00A0C90F26F8}
HKEY_CLASSES_ROOTMSMAPI.MAPIMessages
HKEY_CLASSES_ROOTMSMAPI.MAPISession
Nó sẽ khởi tạo một số hàm sau
• Take screenshots
• Record keystrokes
• Monitor visited Web sites
• Send this information to remote users by email or FTP
• Close any applications or Web sites that contain certain keywords
• Send an email to remote users when certain keywords are entered on the keyboard
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
Tìm đến khóa sau và xóa nó đi
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"regsvc" = "C:Program FilesSys Detective+sysd"
4. Tìm đến khóa sau và xóa nó đi
HKEY_ALL_USERSSoftwareVB and VBA Program Settingssysd
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSys Detective+_is1
HKEY_CLASSES_ROOTInterface{20C62CA2-15DA-101B-B9A8-444553540000}
HKEY_CLASSES_ROOTInterface{20C62CAD-15DA-101B-B9A8-444553540000}
HKEY_CLASSES_ROOTInterface{F49AC0B0-DF74-11CF-8E74-00A0C90F26F8}
HKEY_CLASSES_ROOTInterface{F49AC0B2-DF74-11CF-8E74-00A0C90F26F8}
HKEY_CLASSES_ROOTMSMAPI.MAPIMessages
HKEY_CLASSES_ROOTMSMAPI.MAPISession
5. Thoát khỏi regedit
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt sâu Backdoor.Ginwui.F
Phát hiện: August 10, 2007
Cập nhật: August 10, 2007 5:29:49 PM
Kiểu: Trojan
Có kick thước khoảng : 234,112 bytes; 111,104 bytes; 90,112 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %Temp% excel.exe
• %Temp%[ORIGINAL FILE NAME].pps
• %System%US2.EXE
• %System%kb20060919.log
• %System%WINFBI32.DLL
Tiếp theo nó sẽ khởi tạo vào regedit
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows"AppInit_DLLs" = "%System%WINFBI32.dll"
Nó sử dụng kỹ thuật rootkit để che đấu những file mà nó khởi tạo
Sẽ khởi tạo một host và sau đó tự động kết nối tới Web sau
[http://][REMOVED].7766.org/
Nó sẽ tự sửa đổi thành những hàm sau
• Send types of hard disk drives to the attacker
• Search hard disks for files
• Download and upload files
• Create and remove folders
• Execute commands
• Update the Trojan's registry entries
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
Tìm đến và xóa đi
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows"AppInit_DLLs" = "%System%WINFBI32.dll"
4. Thoát khỏi regedit
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt sâu W32.Mimbot.A
Phát hiện: August 9, 2007
Cập nhật: August 10, 2007 1:52:38 AM
Kiểu: Worm
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %Windir%PictureAlbum2007.zip (a zipped copy of the worm)
• %System%prodigys323.dll
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{448BAC42-AABD-42C5-A550-826BF4AF4BB3}InProcServer32"(Default)" = "prodigys323.dll"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad"prodigy1" = "{448BAC42-AABD-42C5-A550-826BF4AF4BB3}"
Tiếp theo nó sẽ tự động gửi tới tất cả các lis trong MSN Instant Messenger với nội dung sau và đính kèm file sau
• QuT usted piensa de este cuadro?
• Conseguf a nuevo cuadro de mf la toma una mirada
• algunos cuadros de la semana pasada, consideran si usted tiene gusto en ellos.
• tiene usted visto este picure todavfa?
• Haha, es que usted?
• Debo utilizar este cuadro en msn?
• QuT usted piensa en esto?
• Was denken Sie an diese?
• was denken Sie an dieses picure? ich glaube, daich hSlich schaue :/
• sind hier eine neue Abbildung von mir
• einige Abbildungen von der letzten Woche, sehen, wenn Sie sie m gen
• Haha, diese sind Sie auf dieser Abbildung?
• sollte ich diese Abbildung auf msn benutzen?
• Was denken Sie an dieses?
• Wat denkt u aan dit picure? ik vind ik lelijk kijk
• Een paar beelden van vorige week, zien of houdt u hier van em nieuwe pic van me. :)
• Hebt u dit picure nog gezien?:p
• Hebt u dit picure nog gezien? :p
• Haha, bent u dat op dat beeld? :)
• Zou ik dit beeld op msn moeten gebruiken?
• Wat denkt u over dit?
• que pensez-vous a ce picure ? je me sens que je semble laid :/
• Voici un nouveau pic de moi
• Quelques images de la semaine derni
• re, voient si vous les aimez
• Avez-vous vu ce picure encore ?
• Haha, est-vous ce sur cette image ?
• Si j'emploient cette image sur le msn ?
• Que pensez-vous a mon image ?
• What do you think of this picure? i feel i look ugly :/
• Here's a new pic of me
• A few pictures from last week, see if you like em
• Have you seen this picure yet?
• Haha, is that you on that picture?
• Should i use this picture on msn?
• What do you think about this?
Attachment: PictureAlbum2007.zip
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
4. Tìm đến khóa sau và xóa nó đi :
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{448BAC42-AABD-42C5-A550-826BF4AF4BB3}InProcServer32"(Default)" = "prodigys323.dll"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad"prodigy1" = "{448BAC42-AABD-42C5-A550-826BF4AF4BB3}"
5. Thoát khỏi regedit
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt sâu W32.Deletemusic
Phát hiện: July 30, 2007
Cập nhật: July 30, 2007 4:26:33 PM
Kiểu: Worm
Có kick thước khoảng : 380,416 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %System%configcsrss.exe
• %Windir%mediaarena.exe
• %System%logon.bat
• %System%configàutorun.inf
Tiếp theo nó sẽ tìm kiếm và khởi tạo thêm file vào tất cả các drives trên hệ thống
DRIVE LETTER]:csrss.exe
[DRIVE LETTER]:autorun.inf
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce"Worms" = "C:WINDOWSsystem32logon.bat"
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "1"
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableTaskMgr" = "1"
Nó sẽ tìm kiếm và delete all *.mp3 trên toàn bộ drives
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
Tìm đến khóa sau và xóa đi
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce"Worms" = "C:WINDOWSsystem32logon.bat"
4. Khôi phục lại sau đó xóa file key đó đi
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "1"
HKEY_ALL_USERSSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableTaskMgr" = "1"
5. Thoát khỏi regedit
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt sâu Trojan.Farfli
Phát hiện: July 29, 2007
Cập nhật: July 29, 2007 8:51:54 AM
Kiểu: Trojan
Có kick thước khoảng : Varies
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000
Khi nhiễm Trojan sẽ tự download từ địa chỉ sau
• [http://]install1.ring520.org/kk[REMOVED]
• [http://]install2.ring520.org/kk[REMOVED]
• [http://]install3.ring520.org/kk[REMOVED]
• [http://]install4.ring520.org/kk[REMOVED]
Download file sau đó tự động file sau
• %System%[RANDOM].dll
• %System%drivers[RANDOM 1].sys
• %System%drivers[RANDOM 2].sys
Nó sẽ khởi tạo file sau
%UserProfile%Favorites[CHINESE CHARACTERS].url
Tiếp theo nó tự động add URL vào Internet Explorer:
http://www.6781.com/?001
Tiếp theo nó sẽ khởi tạo vào regedit
• HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_[RANDOM 1]
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_[RANDOM 2]
HKEY_LOCAL_MACHINESYSTEMControlSet001Services[RANDOM 1]
HKEY_LOCAL_MACHINESYSTEMControlSet001Services[RANDOM 2]
HKEY_LOCAL_MACHINESYSTEMControlSet002ControlClass{8ECC055D-047F-11D1-A537-0000F8753ED1}
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM 1]
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM 2]
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM 1]
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM 2]
HKEY_LOCAL_MACHINESOFTWAREMicrosoftIE4"Main" = "[RANDOM]"
9991
Nó sẽ tự động kiểm tra host và khởi tạo file sau
• 2345
• 7322
• 7255
• 6781
Chỉnh sửa lại host
127.0.0.2 localhost
Nó sẽ tự động sửa lại thanh mặc định của Internet Explorer Tới link sau URLs:
[http://]www.baidu.com/inde[REMOVED]
[http://]www.kzdh.com[REMOVED]
www.7255.com/?g
about.blank.la?g
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
Tìm đến và xóa giá trị sau
4. HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_[RANDOM 1]
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_[RANDOM 2]
HKEY_LOCAL_MACHINESYSTEMControlSet001Services[RANDOM 1]
HKEY_LOCAL_MACHINESYSTEMControlSet001Services[RANDOM 2]
HKEY_LOCAL_MACHINESYSTEMControlSet002ControlClass{8ECC055D-047F-11D1-A537-0000F8753ED1}
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM 1]
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM 2]
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM 1]
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM 2] HKEY_LOCAL_MACHINESOFTWAREMicrosoftIE4"Main" = "[RANDOM]"
5. Thoát khỏi regedit
5. To delete the Web sites added to the Internet Explorer Favorites menu
1. Start Microsoft Internet Explorer
2. Click Favorites > Organize Favorites
3. Delete the Favorites added by the risk
6. To reset the Internet Explorer home page
1. Start Microsoft Internet Explorer.
2. Connect to the Internet, and then go to the page that you want to set as your home page.
3. Click Tools > Internet Options.
4. In the Home page section of the General tab, click Use Current > OK.
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt sâu W32.Imautorun
Phát hiện: July 25, 2007
Cập nhật: July 25, 2007 1:33:02 PM
Kiểu: Worm
Có kick thước khoảng: 13,824 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau nó sẽ tự động làm ẩn file hệ thống
[DRIVE LETTER]:msn.exe
[DRIVE LETTER]:autorun.inf
Tiếp theo sẽ thêm vào khóa sau
HKEY_USERSS-1-5-21-1607803123-1685539076-50495302-500SoftwareVB and VBA Program Settingsadtuosa
Tự động cập nhật từ website sau
[http://]vstoo.cn/xxx/adtuo[REMOVED]
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
4. Tìm đến khóa sau và chỉnh sửa lại
HKEY_USERSS-1-5-21-1607803123-1685539076-50495302-500SoftwareVB and VBA Program Settingsadtuosa
5. Exit the Registry Editor.
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt sâu W32.Bratsters
Phát hiện: July 25, 2007
Cập nhật: July 25, 2007 2:07:15 PM
Kiểu: Worm
Có kick thước khoảng: 24,548 bytes
Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
%System%wnipsvr.exe
%System%perefic.ini
Tiếp theo nó sẽ khởi tạo thêm file với thuộc tính sau
[DRIVE LETTER]:hide.exe
[DRIVE LETTER]:autorun.inf
Thêm một số khóa vào regedit
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVisual WEB"Start" = "2" HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVisual WEB"ImagePath" = "%System%wnipsvr.exe -run"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVisual WEB"DisplayName" = "NetworSVSA"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVisual WEB"Description" = "ÔÊÐí¶ÔTCP/IPÉÏNetBios•þÎñÒÔ¼°NetBTÃû³Æ½âÎöµÄÖ§³Ö¡£"
Nó sẽ download trực tiếp từ Web sau
[http://]cao.ganbibi.com
Save những file download thành những file sau
%ProgramFiles%100.exe
%ProgramFiles%101.exe
%ProgramFiles%102.exe
%ProgramFiles%103.exe
%ProgramFiles%104.exe
%ProgramFiles%105.exe
%ProgramFiles%106.exe
%ProgramFiles%107.exe
%ProgramFiles%108.exe
%ProgramFiles%109.exe
%ProgramFiles%110.exe
%ProgramFiles%111.exe
%ProgramFiles%112.exe
%ProgramFiles%113.exe
%ProgramFiles%114.exe
%ProgramFiles%115.exe
%ProgramFiles%116.exe
%ProgramFiles%117.exe
%ProgramFiles%118.exe
%ProgramFiles%119.exe
%ProgramFiles%120.exe
Mặc định sẽ conection tới Web site :
[http://]bratsersrock.com
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
Tìm đến khoá sau và xóa
4. KEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVisual WEB"Start" = "2"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVisual WEB"ImagePath" = "%System%wnipsvr.exe -run"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVisual WEB"DisplayName" = "NetworSVSA"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVisual WEB"Description" = "ÔÊÐí¶ÔTCP/IPÉÏNetBios•þÎñÒÔ¼°NetBTÃû³Æ½âÎöµÄÖ§³Ö¡£"
5. Thoát khỏi regedit
Translate Vansuc_nguyen@yahoo.co.uk
Cách diệt Spyware.StealthChatMon
Cập nhật: July 23, 2007 3:22:12 PM
Kiểu: Spyware
Name: Stealth Chat Monitor
Version: 1.5 (build 93)
Publisher: Amplusnet
Risk Impact: High
Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsAIMusers.usr
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsICQusers.usr
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsMSNusers.usr
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsSkypeusers.usr
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsSysAllDaySysMessenger.xsl
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsSysbk.bmp
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsSysMessenger.xsl
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsSystemChatErrors.txt
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsTestEmail.xml
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsYahoousers.usr
• C:Documents and SettingsAll UsersApplication DataSystemMessengerSendEmail.exe
• C:Documents and SettingsAll UsersApplication DataSystemMessengerSystemChatHelp.chm
• C:Documents and SettingsAll UsersApplication DataSystemMessengerSystemMessenger.dll
• C:Documents and SettingsAll UsersApplication DataSystemMessengerSystemMessenger.exe
• C:Documents and SettingsAll UsersApplication DataSystemMessengerSystemMessengerUninstaller.exe
• C:Documents and SettingsAll UsersApplication DataSystemMessengerxcacls.exe
Nó sẽ khởi tạo thêm file sau
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsAIM
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsICQ
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsMSN
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsSkype
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsUsers
• C:Documents and SettingsAll UsersApplication DataSystemMessengerLogsYahoo
• Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"SystemMessenger" = "C:WINDOWSsystem32rundll32.exe "C:Documents and SettingsAll UsersApplication DataSystemMessengerSystemMessenger.dll" rdl"
HKEY_LOCAL_MACHINESOFTWARESystemMessenger
• AIM
• ICQ
• MSN
• Skype
• Yahoo
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
• Click Start > Run.
• Type regedit
• Click OK.
Tìm đến khóa sau và xóa đi
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"SystemMessenger" = "C:WINDOWSsystem32rundll32.exe "C:Documents and SettingsAll UsersApplication DataSystemMessengerSystemMessenger.dll" rdl"
• Tìm đến khóa sau và xóa đi:
HKEY_LOCAL_MACHINESOFTWARESystemMessenger
• Thoát khỏi regedit
Translate Vansuc_nguyen@yahoo.co.uk
được đăng bởi THDao @ 00:17
0 Nhận xét:
Đăng nhận xét
Đăng ký Đăng Nhận xét [Atom]
<< Trang chủ