Thứ Ba, 15 tháng 1, 2008

Kill Virus

Hướng dẫn xóa file ntde1ect.com, autorun.inf (diệt Virus Win32/Pacex)
(Tham khảo từ thejackol.com)
1) Chạy Task Manager (Ctrl-Alt-Del)
2) Nếu wscript.exe đang chạy, hãy End nó trong tab Processes
3) End EXPLORER.EXE
4) Nhấn vào File | New Task (Run) trong cửa sổ Task manager
5) Chạy cmd
6) Chạy dòng lệnh sau trong cửa sổ cmd, lần lượt thay "C:" bằng các ổ khác của bạn để xóa hết các file autorun.inf

del c:autorun.* /f /a /s /q

7) Tới thư mục WindowsSystem32 bằng cách chạy lệnh "cd c:windowssystem32" (không có dấu nháy kép)
8) Chạy lệnh "dir /a avp*.*"
9) Nếu bạn thấy các files có tên dạng avp0.dll hay avpo.exehay avp0.exe, dùng lệnh sau để xóa từng file một:

attrib -r -s -h avpo.exe
del avpo.exe

10) Dùng run từ Task Manager để chạy regedit
11) Tìm đến HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run
12) Nếu có avpo.exe, bạn hãy xóa đi.
13) Khởi động lại máy

Cách diệt VBS.Mondezimia

Phát hiện: October 26, 2007
Cập nhật: October 26, 2007 7:14:34 PM
Kiểu: Virus
Có kick thước khoảng : 2,840 bytes

Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %System%configNetLogon.vbs
• %System%dd.txt
• %System%DEMON - Downloader
• %System%TSP32E.DLL
• %System%TSP32V.DLL
• %System%Systemv.dll
• %System%se3gl9km.bat
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun"ComService" = "%System%configNetLogon.vbs"

Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
4. Tìm đến khóa sau và xóa đi
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun"ComService" = "%System%configNetLogon.vbs"
Thoát khỏi regedit
Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu VBS.Runauto.D

Phát hiện: October 22, 2007
Cập nhật: October 22, 2007 5:05:41 PM
Kiểu: Worm
Có kick thước khoảng: 1,259 bytes
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
Nó tìm kiếm tất cả các ổ trên máy tính hoặc trong hệ thống mạng vào khởi tạo file
%DriveLetter%test.vbs
• %System%autorun.inf
• %System%autorun.ico
• %DriveLetter%autorun.inf
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt W32.Voterai

Phát hiện: October 19, 2007
Cập nhật: October 19, 2007 9:18:31 AM
Kiểu: Worm
Có kick thước khoảng : 97,792 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows Vista,, Windows 2000

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
%System%drivers[ORIGINAL FILENAME].exe
%UserProfile%DesktopRaila Odinga.gif
• %Temp%System.dll
• %UserProfile%StartMenuProgramsStartup[ORIGINAL FILENAME].lnk
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"(Default)" = "%System%drivers[ORIGINAL FILENAME].exe"
Tiếp theo nó sẽ khởi tạo tất cả các ổ đĩa
• %SystemDrive%autorun.inf
• %SystemDrive%smss.exe
• %SystemDrive%Raila Odinga.gif
• %SystemDrive%[FOUND FILENAME].exe
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.

4. Tìm đến khóa sau và xóa đi
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"(Default)" = "%System%drivers[ORIGINAL FILENAME].exe"

5. Thoát khỏi regedit

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt W32.Sillyban.A

Phát hiện: October 3, 2007
Cập nhật: October 3, 2007 12:53:09 PM
Kiểu: Worm
Có kick thước khoảng : 110,592 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows Vista , Windows 2000
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %Windir%MediaStartUpscvhost.exe
• %System%hostdll.exe
• %System%taskfile.exe
• %Windir%spool32.exe
• %SystemDrive%HaveaBadDay.sys
Khởi tạo vào Ổ C, K của hệ thống
%DriveLetter%New_Folder.exe
%DriveLetter%autorun.inf
• %DriveLetter%cool data.exe
• %DriveLetter%New Folder (4).exe
• %DriveLetter%dataku.exe
• %DriveLetter%data kuliah.exe
• %DriveLetter%New Folder (5).exe
• %DriveLetter%system.exe
• %DriveLetter%funny doc.exe

Tiếp theo nó khởi tạo một số đối tượng sau
• %CurrentFolder%jangan dihapus .exe
• %CurrentFolder%my sweety .exe
• %CurrentFolder%foto cewek .exe
• %CurrentFolder%kekasishku .exe
• %CurrentFolder%data penting .exe
• %CurrentFolder%downlodan .exe
• %CurrentFolder%update antivir .exe
• %CurrentFolder%kumpulan program .exe
• %CurrentFolder%movie bkp .exe
• %CurrentFolder%nitip .exe
• %CurrentFolder%folder option .exe
• HKEY_LOCAL_MACHINESOFTWAREClassesexefile"NeverShowExt" = ""
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionApp PathsWindowsProfile.EXE"(default)" = "%Windir%MediaStartUpscvhost.exe"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem"NoFolderOptions" = "1"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"WindowsProfile" = "WindowsProfile Rundll32.exe"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"Printer Cpl" = "%Windir%spool32.exe"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionSystemRestore"DisableConfig" = "1"
• HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller"DisableMSI" = "1"
• HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain"Window Title" = ">> Have A Bad Day <<"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders"Startup" = "%Windir%MediaStartUp"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFind" = "1"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "1"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoRun" = "1"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableCMD" = "1"
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Microsoft Word" = "%System%hostdll.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem"DisableRegistryTools" = "1"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableRegistryTools" = "1"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem"DisableTaskMgr" = "1"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableTaskMgr" = "1"

• HKEY_LOCAL_MACHINESOFTWAREClassesexefile"(default)" = "File Folder"
• HKEY_LOCAL_MACHINESOFTWAREClassesexefile"TileInfo" = "prop:DocComments"
• HKEY_LOCAL_MACHINESOFTWAREClassesexefile"InfoTip" = "prop:DocComments"
• HKEY_LOCAL_MACHINESOFTWAREClassesregfileshellopencommand"(default)" = "cmd.exe /c del "%1""
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion"RegisteredOrganization" = "your system is mine"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion"RegisteredOwner" = "your system is mine"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"Shell" = "Explorer.exe, C:WINDOWSsystem32taskfile.exe"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "2"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"HideFileExt" = 1"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"ShowSuperHidden" = "0"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"ClassicViewState" = "0"
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoDriveTypeAutoRun" = "5B"
Tiếp nó tìm kiếm tất cả các file sau
• .doc
• .mpg
• .3pg
• .wmv
• .rar
• .jpg
• .txt
%CurrentFolder%[FILE NAME].[EXTENSION].exe
• kill
• hijack
• reg
• process
Với thông điệp như sau
Have a Bad Day

Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.

4. Tìm kiếm và xóa giá trị sau
HKEY_LOCAL_MACHINESOFTWAREClassesexefile"NeverShowExt" = ""
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionApp PathsWindowsProfile.EXE"(default)" = "%Windir%MediaStartUpscvhost.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem"DisableTaskMgr" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem"NoFolderOptions" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"WindowsProfile" = "WindowsProfile Rundll32.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"Printer Cpl" = "%Windir%spool32.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRestore"DisableConfig" = "1"
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller"DisableMSI" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain"Window Title" = ">> Have A Bad Day <<"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders"Startup" = "%Windir%MediaStartUp"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFind" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoFolderOptions" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoRun" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableRegistryTools" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableTaskMgr" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableCMD" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Microsoft Word" = "%System%hostdll.exe"
5. Tìm kiếm và xóa giá trị sau
HKEY_LOCAL_MACHINESOFTWAREClassesexefile"(default)" = "File Folder"
HKEY_LOCAL_MACHINESOFTWAREClassesexefile"TileInfo" = "prop:DocComments"
HKEY_LOCAL_MACHINESOFTWAREClassesexefile"InfoTip" = "prop:DocComments"
HKEY_LOCAL_MACHINESOFTWAREClassesregfileshellopencommand"(default)" = "cmd.exe /c del "%1""
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion"RegisteredOrganization" = "your system is mine"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion"RegisteredOwner" = "your system is mine"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"Shell" = "Explorer.exe, C:WINDOWSsystem32taskfile.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "2"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"HideFileExt" = 1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"ShowSuperHidden" = "0"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"ClassicViewState" = "0"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoDriveTypeAutoRun" = "5B"
6. Thoát khỏi regedit

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu W32.Sillyban.A

Phát hiện: October 19, 2007
Cập nhật: October 19, 2007 4:42:31 PM
Kiểu: Worm
Có kick thước khoảng : 1,148 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• C:heap412.mp3
• C:heap41autorun.inf
• C:heap41drivelist.txt
• C:heap41Icon.ico
• C:heap41reproduce.txt
• C:heap41script1.txt
• C:heap41std.txt
• C:heap41svchost.exe
• C:heap41offspringautorun.inf
• %Temp%MicrosoftPowerPoint2.mp3
• %Temp%MicrosoftPowerPointdrivelist.txt
• %Temp%MicrosoftPowerPointIcon.ico
• %Temp%MicrosoftPowerPointInstall.txt
• %Temp%MicrosoftPowerPointpathlist.txt
• %Temp%MicrosoftPowerPointsvchost.exe
• %UserProfile%Start MenuProgramsStartup.lnk
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun"status" = "present"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun"winlogon" = "C:heap41asvchost.exe C:heap41astd.txt"
Chỉnh sửa giá trị khoá sau
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"CheckedValue" = "0"

Tìm kiếm tất cả các ổ đĩa và khởi tạo file sau
%DriveLetter%reproduce.txt
%DriveLetter%autorun.inf
• orkut
• youtube


Với một thông báo sau
Message:
[STRING] is BANNED you fool, The adminstrators didn't write this program guess who did??"
c:heap412.mp3

Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.

4. Khởi tạo và chỉnh sửa lại khóa sau
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun"status" = "present"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun"winlogon" = "C:heap41asvchost.exe C:heap41astd.txt"
5. Khởi tạo và chỉnh sửa lại khóa sau
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"CheckedValue" = "0"
6. Thoát khỏi regedit

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu W32.Pajetbin

Phát hiện: October 7, 2007
Cập nhật: October 7, 2007 12:10:39 PM
Kiểu: Virus
Có kick thước khoảng : 77,823 bytes
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
C:[RANDOM CHARACTERS][RANDOM CHARACTERS].exe
C:[RANDOM CHARACTERS]BProtect.exe
C:[RANDOM CHARACTERS]BProtect.Axv
C:[RANDOM CHARACTERS]Set1.Ico
C:[RANDOM CHARACTERS][RANDOM CHARACTERS]#.exe
C:vbvirusownerprotect.ptt
Tự động hiện thông báo
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_CURRENT_USERSoftwareVB and VBA Program SettingsMSFirewallOptions"CPath" = "C:[RANDOM CHARACTERS]"
HKEY_CURRENT_USERSoftwareVB and VBA Program SettingsMSFirewallOptions"CRoot" = "C:[RANDOM CHARACTERS][RANDOM CHARACTERS].exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"[RANDOM CHARACTERS]" = "C:[RANDOM CHARACTERS][RANDOM CHARACTERS].exe"

Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
.
4. Tìm đến khóa sau và xóa đi :

HKEY_CURRENT_USERSoftwareVB and VBA Program SettingsMSFirewallOptions"CPath" = "C:[RANDOM CHARACTERS]"
HKEY_CURRENT_USERSoftwareVB and VBA Program SettingsMSFirewallOptions"CRoot" = "C:[RANDOM CHARACTERS][RANDOM CHARACTERS].exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"[random]" = "C:[RANDOM CHARACTERS][RANDOM CHARACTERS].exe"
5. Thóat khỏi regedit

Translate Vansuc_nguyen@yahoo.co.uk

Sâu W32.Fleck.A

Phát hiện: October 3, 2007
Cập nhật: October 3, 2007 4:16:35 PM
Kiểu: Worm
Có kick thước khoảng : 83,972 bytes
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
C:Documents and SettingsAll UsersApplication Datamflec006.exe
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"mule_st_key" = "C:Documents and SettingsAll UsersApplication Datamflec006.exe"
Tiếp theo nó sẽ tự động kết nới tới một trong các URLs và download
• [http://]www.discotecapuzzle.com/1/filena[REMOVED]
• [http://]hoj-design.dk/1/filena[REMOVED]
• [http://]hot-chilli-shop.de/1/filena[REMOVED]
• [http://]hotelmontblanc.com/1/filena[REMOVED]
• [http://]ayuntamientohuerta.es/1/filena[REMOVED]
• [http://]www.ibase-canada.com/1/filena[REMOVED]
• [http://]identid-ad.com/1/filena[REMOVED]
• [http://]cctv-monitoring.pl/1/filena[REMOVED]
• [http://]ilo.pl/1/filena[REMOVED]
• [http://]imagerydomain.com/1/filena[REMOVED]
• [http://]www.immigrateca.com/1/filena[REMOVED]
• [http://]in3p.com/1/filena[REMOVED]
• [http://]incahost.net/1/filena[REMOVED]
• [http://]indeve.net/1/filena[REMOVED]
• [http://]www.infocamp.com.br/1/filena[REMOVED]
• [http://]www.infopolicia.es/1/filena[REMOVED]
• [http://]inforserver.com/1/filena[REMOVED]
• [http://]infoserwis2.home.pl/1/filena[REMOVED]
• [http://]80.74.135.131/1/filena[REMOVED]
• [http://]ingenieria-inversa.cl/1/filena[REMOVED]
• [http://]innovainteriorismo.com/1/filena[REMOVED]
• [http://]insidedg.com.ar/1/filena[REMOVED]
• [http://]insumy.iatp.org.ua/1/filena[REMOVED]
• [http://]inter-ex.cz/1/filena[REMOVED]
• [http://]intercambio4.com/1/filena[REMOVED]
• [http://]ip-kamery.com/1/filena[REMOVED]
• [http://]irannano.org/1/filena[REMOVED]


The downloaded files may be saved to the C:Documents and SettingsAll UsersApplication Datam folder with any of the following file names:
• Kaspersky.Anti-Virus.Business.Optimal.For.Windows.2000.Server.v4090.Keyfile.czip
• Apple AirPort for Windows 4.1.czip
• 3DPassionLimitedScreensaver 2.1.czip
• Audio Maestro Extractor Pack 1.2.0 (Cracked).czip
• McAfee.VirusScan.v10.0.25.Retail-ZWT.czip
• 70-350 - Implementing Microsoft Internet Security and Acceleration (ISA) Server 2004 Practice Exam
• Q.czip
• Web control 2.1.czip
• Pragmatisoft Photo Share Resizer 1.czip
• Laetitia Casta Screensaver Set 1.czip
• Daniusoft Video Converter 1.1.10.czip
• DoOrDel 1.0.czip
• Blue Commander 2.1.6.czip
• Microsoft Baseline Security Analyzer 1.2.czip
• DigiGenius Video to iPhone Converter 3.6 (Cracked).czip
• Liatro SWF Tools 1.0.czip
• CB Backup Copy 1.0.czip
• SocketToMe 1.0.czip
• Digital File Shredder Pro 3.2.0.9 [KeyGen].czip
• Mortgage-UK 1.4.czip
• Lockout Inspector 1.1.czip
• NOD32.Antivirus.System.2.70.16.-.Final.czip
• Xyzzy 1.0.czip
• Unreal Tournament 2003 - Matrix Dojo deathmatch map.czip
• Big Faceless Graph Library 2.3 [Serial].czip
• eJukebox 4.7.czip
• Easiestutils DVD to ZUNE converter 4.9.0.65.czip
• File Squad 1.0.czip
• Backup Watcher for Interbase 2.0.1.czip
• SureSync 4.1.37.czip
• TS Tenpin 1.0.czip
• Jigsaw Puzzle Player 1.1.czip
• ImageResiZor 2.1.5.czip
• Registry Patrol 3.2.czip
• titanium.panda.antivirus.2004.czip
• MyWeekly 1.02.czip
• Extract Icon Tool 1.80.czip
• Size-O-Matic 2.0.0.50.czip
• PP MailCheck 2.1 (Serial).czip
• Pixxer 1.02b.czip
• Ballet.czip
• RiskyProject Professional 2.1.4 (Cracked).czip
• NetJetServer 2.5.3.935 Serial.czip
• BlueRoam VPN Remote Access 3.0.1.czip
• Remora USB File Guard Pro 1.9.0.0.czip
• Military Recipes Database 1.1 (KeyGen).czip
• SiteMon 1.1.1.1.czip
• CADE ActiveX Control 2.49.4.czip
• PPT To Video Scout 1.50 (Cracked).czip
• Mindflash Quiz Maker Add-in for Microsoft Word 3.1.czip
• Barracuda Integrator 2.0 [With Crack].czip
• StatTrak for Football 2.1.4.czip
• SWF Extractor 2.2 (Crack).czip
• [PC.SOFTWARE].Ewido.Anti-Spyware.v.4.0.0.172.plus.+.patch.czip
• Wine Collector 1.03.czip
• nnBackup 3.01b15.czip
• Deinstallator lite for Ghost Installer 1.2.czip
• Unreal Tournament 2003 - Face 3 Ion Cannon Uplink.czip
• EZ Backup QuickBooks Basic 4.7 With Crack.czip
• Voxengo Overtone GEQ 1.2.czip
• Amor WMV to AVI MPEG VCD DVD Converter 2.3.9 (With Crack).czip
• World Time Zones Guide 4.1.czip
• Red Faction - William Hart map.czip
• WindowFX 3.0.czip
• Clip Color 1.0.5.czip
• 3D Picture Browser 1.0.czip
• Fx Movie Joiner 6.1.3.czip
• Henrietta 0.3.1.czip
• uCertify Study Guide for test 70-306 6.08.04.czip
• My Excel Plug Numbers 1.0.czip
• 123-Project 2.1L.czip
• Gigaget 1.0.0.23.czip
• NewsGator Toolbar 1.5.3.175.czip
• BJ777 Blackjack Simulator 1.czip
• ZPakCreator 1.03b.czip
• DVD Wizard Pro 1.0 [With Crack].czip
• Bay Mate 1.czip
• ADOS 1.1.czip
• PicturesToExe 5.03 [Patch].czip
• PrintmiX 1.2.czip
• Internet Translator 3.1.czip
• BZFlag Stats 1.0.czip
• Apis DVD Ripper 2.24.czip
• RSS News RF 1.0.czip
• WGL4Key 1.7.czip
• Photo Mud 3.0.czip
• EditCNC 3.0.2.9 [With Crack].czip
• Battles of Norghan 1.024.czip
• English Spanish Database 1.0 Key+Serial.czip
• Personal Information Manager 1.5 build 9.czip
• Install 1.0.czip
• PCS WebGantt 4.0.czip
• Oriens BatchMany Professional Edition 3.1 KeyGen.czip
• SoundBrowser 2003.7.15.czip
• Pythia 1.02.czip
• HashPass 1.1.czip
• Codename Eagle multiplayer demo.czip
• Screen Protractor Mac Edition 3.2.czip
• Audio CD Ripper 1.0.czip
• Leadfoot demo.czip
• Process Group Killer 1.0.0.czip
• Polyglot 3000 2.7.czip
• Big Kahuna Reef 1.0.czip
• Portuguese Before You Know It Lite 3.6.czip
• Swiftpage for Microsoft SQL and MySQL 1.0.8 (With Crack).czip
• Notes Browser for Microsoft CRM 1.0.czip
• Bats 1.0.czip
• SMAC MAC Address Changer 1.2.czip
• Agenda 1.1.czip
• Texture AutoLookup (TAL) 4.2.czip
• DigiPhoto Gallery 2.25.czip
• WebtoWall 1.0.0.52.czip
• City of Murphy 1.0.czip
• ASCII protocol simulation plugin 1.0.1.czip
• hideBad 1.4.0.czip
• YW Guestbook 1.45.czip
• GatherBird Copy Large Files 2.1.czip
• Smart Suite for MySQL 2006.12.31.3 KeyGen.czip
• Spring Flowers Screensaver 1.0.czip
• Derelict 1.03.46.czip
• Voxengo Elephant 2.5 [Key+Serial].czip
• CacheRight 3.0.czip
• Sunset Screen Saver 2.0 [Key].czip
• Hexprobe Storage Encryption Tool 2.2 KeyGen.czip
• Dream ScreenSaver Maker 2.4.czip
• Cjmath 1.01.czip
• Battle Cake for Windows Mobile 1.1.czip
• KarPocket 3.0.czip
• StockProfits 2.5.czip
• Pocket DVD Suite 1.1.5.czip
• Just Money 1.11.czip
• ImTOO DVD to MP4 Suite 3.1.36.0706b (With Crack).czip
• Internet Access Monitor for MS ISA Server 3.2.czip
• CompRes 1.2.czip
• Destucto Beam Font 1.0.czip
• eXNNTP 1.0.0.5.671 Serial.czip
• Hyperballoid Complete Edition 1.21.czip
• Starcars 1.2.czip
• Akvis Chameleon 3.czip
• Universal Combat patch 1.00.02 RC1.czip
• Woman Calendar for Pocket PC/Desktop PC 6.1.czip
• Priorganizer 1.0.8.65 With Crack.czip
• Phone Card Reader 2.6.czip
• 1ClickScan Standard 3.1.czip
• CD2ISO 1.1.czip
• WinPTE 3.0 build 359.czip
• Jesterware DVD to iPod 2.20 [KeyGen].czip
• Speereo Flash Killer 1.0 (Serial).czip
• LesGirls 1.0.czip
• EM.MCQ 2.0.5 (Cracked).czip
• Public Folder HelpDesk for Outlook 8.czip
• Autorun MAX! 2.0 [Patch].czip
• Audio Art 1.02 (Key).czip
• Spell Check Anywhere 4.5 (KeyGen).czip
• Craigslist RSS Reader 1.1.czip
• NumisEXPERT Collector 3.0.czip
• Volumizer 2.0.1.czip
• Kinship Archivist 3.1.czip
• Alex the Allegator 4 1.1.czip
• Text2Speech 1.2.1.0.czip
• PathSync 0.33.czip
• Fuzzy System Component 1.0.czip
• Screensaver Wonder 4 4.5.czip
• ccfilechecker 1.0.czip
• Sloppy Sokoban 1.5.czip
• Lexicon 1.6.czip
• ASWSystems Scheme Home 1.7 (Serial).czip
• Gena Web Gallery Creator 1.7.5 Key.czip
• Critter Match 1.0 [Patch].czip
• Steve's Talking Clock 2.03 (With Crack).czip
• AudioRight Recorder 2.0 (Patch).czip
• Symantec.Ghost.v8.2.Corporate.USB.Edition.for.DOS.Boot.czip
• ABC Amber PaintShop Converter 1.03.czip
• QALogger 1.4 Cracked.czip
• Origin Byte Organizer 1.1.150.czip
• Numerit Pro 1.7 (With Crack).czip
• Meet the Fockers Trailer.czip
• Bubble Popping Frenzy 1.czip
• Microsoft Windows Theme Ontario 1.0.czip
• AIM Sniffer 1.4 [Key+Serial].czip
• DJLan 2.1.czip
• PrivateRadio 2.01.czip
• XMLSpy Enterprise Edition 2007 SP2 [Serial].czip
• Advanced Instant Messengers Password Recovery 3.2.czip
• Bax 3.0.czip
• Nod32.Remote.Administrator.Server.-.Windows.Nt-2000-Xp-2003.czip
• AutoQ2 1.0.9.9r3.czip
• DaVinci Encryption System 1.5.1.19 Patch.czip
• Cubic Menu for Dreamweaver 1.0.czip
• CraigsList Auto Ad Poster 3.3.3.czip
• Keychain Password Manager 1.0.czip
• Bowling Master 1.01.czip
• Password Generator 2004.08.27 [With Crack].czip
• ReaViewer - Image viewer & Converter 2.0 (With Crack).czip
• GreatFamily 2.2.2.czip
• Kaspersky_Antivirus_anti-haker_KEY.czip
• Screen Screw 1.00.czip
• PropertiesList/X.czip
• MultiWeb Viewer 6.5.czip
• 193.138.205.25 on TCP port 5000
• 193.138.221.213 on TCP port 4242
• 193.138.221.214 on TCP port 4242
• 193.138.221.250 on TCP port 4661
• 194.30.160.41 on TCP port 4661
• 194.30.160.81 on TCP port 4661
• 212.179.18.142 on TCP port 4232
• 62.158.63.159 on TCP port 6771
• 62.158.65.183 on TCP port 6771
• 64.132.210.162 on TCP port 4661
• 66.29.81.125 on TCP port 6543
• 66.90.73.253 on TCP port 8899
• 67.159.44.183 on TCP port 4232
• 67.159.44.184 on TCP port 4232
• 67.159.44.189 on TCP port 4232
• 83.149.101.91 on TCP port 4321
• 83.149.102.18 on TCP port 6543
• 83.149.102.1 on TCP port 4242
• 83.149.116.131 on TCP port 4232
• 83.149.117.56 on TCP port 4321
• 83.149.123.188 on TCP port 4321
• 83.149.123.189 on TCP port 4321
• 85.17.35.53 on TCP port 4321
• 85.17.52.92 on TCP port 5000
• 87.150.15.143 on TCP port 9661
• 89.149.226.169 on TCP port 7667
• 89.163.161.226 on TCP port 4661
• 89.248.162.206 on TCP port 6543
• 89.54.49.10 on TCP port 3333
• 89.54.63.138 on TCP port 3333
• [http://]ayuntamientohuerta.es/1/mxd[REMOVED]
• [http://]www.ibase-canada.com/1/mxd[REMOVED]
• [http://]identid-ad.com/1/mxd[REMOVED]
• [http://]cctv-monitoring.pl/1/mxd[REMOVED]
• [http://]ilo.pl/1/mxd[REMOVED]
• [http://]imagerydomain.com/1/mxd[REMOVED]
• [http://]www.immigrateca.com/1/mxd[REMOVED]
• [http://]in3p.com/1/mxd[REMOVED]
• [http://]incahost.net/1/mxd[REMOVED]
• [http://]indeve.net/1/mxd[REMOVED]
• [http://]www.infocamp.com.br/1/mxd[REMOVED]
• [http://]www.infopolicia.es/1/mxd[REMOVED]
• [http://]inforserver.com/1/mxd[REMOVED]
• [http://]infoserwis2.home.pl/1/mxd[REMOVED]
• [http://]80.74.135.131/1/mxd[REMOVED]
• [http://]ingenieria-inversa.cl/1/mxd[REMOVED]
• [http://]innovainteriorismo.com/1/mxd[REMOVED]
• [http://]insidedg.com.ar/1/mxd[REMOVED]
• [http://]insumy.iatp.org.ua/1/mxd[REMOVED]
• [http://]inter-ex.cz/1/mxd[REMOVED]
• [http://]intercambio4.com/1/mxd[REMOVED]
• [http://]ip-kamery.com/1/mxd[REMOVED]
• [http://]irannano.org/1/mxd[REMOVED]


Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.

4. Tìm đến khóa sau và xóa đi
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"mule_st_key" = "C:Documents and SettingsAll UsersApplication Datamflec006.exe"
5. Thoát khỏi regedit

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu W32.Yahack.A

Phát hiện: October 3, 2007
Cập nhật: October 3, 2007 4:18:32 PM
Kiểu: Worm
Có kick thước khoảng : 90,112 bytes
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %CurrentFolder%autorun.inf
• %System%UpDateWinc.exe
• %System%UpDateWind.exe
• %Windir%LogBoy.log
• %SystemDrive%a1.exe
• %SystemDrive%pass1.txt
• %SystemDrive%tem.exe
• %SystemDrive%temp1.bat

Tiếp theo nó sẽ khởi tạo
%DriveLetter%NTDETECT.exe
%DriveLetter%autorun.inf
%Windir%LogBoy.log
%SystemDrive%a1.exe
Tiếp theo nó sẽ khởi tạo vào trong regedit
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows"run" = "%System%UpDateWinc.exe"
Ngăn cấm kô cho ngừoi dùng vào
• Yahoo! Messenger user names and passwords
• Keystrokes
• Mouse clicks
• Title of active window
Mặc định sẽ gửi thông tin đến mail sau
1. From: boydreadboy@yahoo.com
To: boydreadboy@yahoo.com
Subject: --- .:. BoyDread Full Trojan :) .:. ---

Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
2. Click Start > Run.
3. Type regedit
4. Click OK.
Tìm đến khóa sau và xóa đi

HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows"run" = "%System%UpDateWinc.exe"
Thoát khỏi regedit
Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt W32.Virut.W

Phát hiện: September 27, 2007
Cập nhật: September 27, 2007 10:54:25 PM
Kiểu: Virus
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
Nó tạo ta modul thể hiện những cảnh báo và chạy cùng máy tính mỗi khi ngừoi dùng sử dụng
VevT
Virus sẽ lây lan tới tất cả các file có đuôi mở rộng .exe or .scr
Nó lây lan tới tất cả các file với chuỗi kí tự sau
• PSTO
• WC32
• WCUN
• WINC
Nó sẽ sử dụng phương thức proxim.ircgalaxy.pl on TCP port 80 làm cho ngừoi dùng có thể bị tấn công từ xa
Nó sẽ tự động điều khiển tới site sau [http://]ntkrnlpa.info
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt Spyware.SpySure

Phát hiện: September 20, 2007 10:57:19 AM
Cập nhật: September 20, 2007 10:57:19 AM
Kiểu: Spyware
Có kick thước khoảng : Medium
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• C:Documents and SettingsAll UsersApplication Dataspysureservircess.exe
• C:Documents and SettingsAll UsersApplication Dataspysureservirsess.exe
• C:Documents and SettingsAll UsersApplication Dataspysuresetup.dat
• C:Documents and SettingsAll UsersApplication Dataspysurespysure.zip
• C:Documents and SettingsAll UsersApplication Dataspysurespysureinstallzip.exe
• C:Documents and SettingsAll UsersApplication Dataspysuresyservice.exe
• C:Documents and SettingsAll UsersApplication Dataspysuretest.bmp
• C:Documents and SettingsAll UsersApplication Dataspysuretestlog.txt
• C:Documents and SettingsAll UsersApplication Dataspysuretestlog2.txt
• C:Documents and SettingsAll UsersApplication Dataspysureupdater.exe
• C:Documents and SettingsAll UsersApplication Dataspysureashcd.dat
• C:Documents and SettingsAll UsersApplication Dataspysureashprot.sys
• C:Documents and SettingsAll UsersApplication Dataspysureashsetup.dat
• C:Documents and SettingsAll UsersApplication DataspysureDrvFltIp.sys
• C:Documents and SettingsAll UsersApplication Dataspysuregmon.out
• C:Documents and SettingsAll UsersApplication Dataspysurehelp.html
• C:Documents and SettingsAll UsersApplication Dataspysurelogo.gif
• C:Documents and SettingsAll UsersApplication DataspysureProject2.dll
• C:Documents and SettingsAll UsersApplication Dataspysurereadme.txt
• %System%ashprot.sys
• %System%DrvFltIp.sys
Tiếp theo nó sẽ khởi tạo folder
C:Documents and SettingsAll UsersApplication Dataspysuretempdir
C:Documents and SettingsAll UsersApplication Dataspysurescreenzip

Tiếp theo nó sẽ khởi tạo vào trong regedit
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDrvFltIp
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIpFilterDriverEnum
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesashprot
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesspyservice

Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"ashcap" = "C:Documents and SettingsAll UsersApplication Dataspysureservirsess.exe"
Nó sẽ có nhưng thông tin sau
• Keystrokes
• Screenshots
• Web sites visited
Nó thu nhặt nhưng thông tin rồi gửi tới mail đã được định sẵn
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.

4. Tìm đến khóa sau và xóa nó đi
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"ashcap" = "C:Documents and SettingsAll UsersApplication Dataspysureservirsess.exe"

5. Tìm đến khóa sau và xóa nó đi

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDrvFltIp
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIpFilterDriverEnum
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesashprot
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesspyservice

6. Thoát khỏi regedit

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu W32.Forinsty

Phát hiện: September 21, 2007
Cập nhật: September 21, 2007 10:47:24 AM
Kiểu: Worm
Có kick thước khoảng : 271,577 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %Windir%msmsgs.exe
• %Windir%debugsysdeb.ini
• %System%ynhqttqd.d1l
• %System%ynhqttqd.dll
• %System%driversynhqttqd.sys
• %Temp%ynhqttqd.log
• %DriveLetter%autorun.inf
• %DriveLetter%RECYCLERRECYCLERautorun.exe
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"Windows Messenger" = "%Windir%msmsgs.exe"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesdmserverParameters"ServiceDll" = "%SystemDrive%System32ynhqttqd.d1l"
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdmserverParameters"ServiceDll" = "%SystemDrive%System32ynhqttqd.d1l"
• HKEY_LOCAL_MACHINESYSTEMControlSet001Servicesynhqttqd
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesynhqttqd
Tiếp theo nó sẽ copy vào hệ thống
• %System%ynhqttqd.d1l
• %System%ynhqttqd.dll
• %System%driversynhqttqd.sys
• %DriveLetter%autorun.inf
• %DriveLetter%RECYCLERRECYCLERautorun.exe
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
Tìm đến khóa sau và xóa file sau
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"Windows Messenger" = "%Windir%msmsgs.exe"
4. Tìm đến khóa sau và xóa file sau

HKEY_LOCAL_MACHINESYSTEMControlSet001Servicesynhqttqd
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesynhqttqd
5. Tìm đến khóa sau và xóa file sau
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesdmserverParameters"ServiceDll" = "%SystemDrive%System32ynhqttqd.d1l"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdmserverParameters"ServiceDll" = "%SystemDrive%System32ynhqttqd.d1l"

6. Thoát khỏi regedit

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu W32.Niucoft

Phát hiện: September 20, 2007
Cập nhật: September 21, 2007 11:32:25 AM
Kiểu: Worm
Có kick thước khoảng : 62,512 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
Copy file vào hệ thống
%System%crsss.exe
%DriveLetter%:niu.exe

Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"crsss" = "%System%crsss.exe"
Tiếp theo nó sẽ khởi tạo vào trong regedit
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate"DisableWindowsUpdateAccess" = "1"
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"CheckedValue" = "1"
Nó tìm kiếm tất cả các file có đuôi mở rộng cũng như các đuôi sau
• index.asp
• index.php
• default.asp
• default.php
• conn.asp
nó cố gắng tìm kiêm và tải những mà nguy hiểm tại địa chỉ sau
• [http://]down.851733.cn/xiao[REMOVED]
• [http://]down.851733.cn/IEUR[REMOVED]
• [http://]down.851733.cn/tabl[REMOVED]
• [http://]ll80.com/xx/xx.[REMOVED]
• [http://]ll80.com/xx/xx.[REMOVED]


Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
Tìm đến và xóa khóa sau

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"crsss" = "%System%crsss.exe"
4. Khôi phục lại khóa như ban đầu
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate"DisableWindowsUpdateAccess" = "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"CheckedValue" = "1"
5. Thoát khỏi

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt sâu W32.Forinsty

Phát hiện: September 21, 2007
Cập nhật: September 21, 2007 10:47:24 AM
Kiểu: Worm
Có kick thước khoảng : 271,577 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %Windir%msmsgs.exe
• %Windir%debugsysdeb.ini
• %System%ynhqttqd.d1l
• %System%ynhqttqd.dll
• %System%driversynhqttqd.sys
• %Temp%ynhqttqd.log
• %DriveLetter%autorun.inf
• %DriveLetter%RECYCLERRECYCLERautorun.exe
• %System%ynhqttqd.d1l
• %System%ynhqttqd.dll
• %System%driversynhqttqd.sys
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"Windows Messenger" = "%Windir%msmsgs.exe"
Tiếp theo nó sẽ khởi tạo vào regedit
• HKEY_LOCAL_MACHINESYSTEMControlSet001Servicesynhqttqd
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesynhqttqd
Tiếp theo nó sẽ khởi tạ file vào tất cả các phân vùng
• %DriveLetter%autorun.inf
• %DriveLetter%RECYCLERRECYCLERautorun.exe

Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.

Đến khóa sau và xóa đi
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"Windows Messenger" = "%Windir%msmsgs.exe"
4. Đến khóa sau và xóa đi
HKEY_LOCAL_MACHINESYSTEMControlSet001Servicesynhqttqd
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesynhqttqd
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesdmserverParameters"ServiceDll" = "%SystemDrive%System32ynhqttqd.d1l"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdmserverParameters"ServiceDll" = "%SystemDrive%System32ynhqttqd.d1l"

5. Thoát khỏi regedit

Translate Vansuc_nguyen@yahoo.co.uk

Cách diệt W32.Kaxela.A

Phát hiện: September 21, 2007
Cập nhật: September 21, 2007 4:27:08 PM
Kiểu: Worm
Có kick thước khoảng : 21,522 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %System%[EIGHT RANDOM CHARACTERS].DLL
• %System%[EIGHT RANDOM CHARACTERS].EXE
Tiếp theo nó sẽ copy 2 file sau và phân vùng ổ cứng
%SystemDrive%auto.exe
%SystemDrive%autorun.inf
Tiếp theo nó sẽ khởi tạo vào trong regedit
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT"ReportBootOk" = "1"
Sẽ tự động chỉnh sửa lại home page of Internet Explorer:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain"Start Page" = "http://nba.916kk.com"
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động
HKEY_LOCAL_MACHINESYSTEMControlSet001Services[EIGHT RANDOM CHARACTERS]
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesERSvc
Khi sử dụng nó sẽ add vào những địa chỉ sau
[http://]alexa.verynx.cn//alexa.txt
• [http://]211.100.21.4/info[REMOVED]
• [http://]211.100.21.4/info[REMOVED]

Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
Click OK
3. Bạn tìm đến khóa sau và chỉnh sửa
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT"ReportBootOk" = "1"
4. Bạn tìm đến khóa sau và chỉnh sửa:

HKEY_LOCAL_MACHINESYSTEMControlSet001Services[EIGHT RANDOM CHARACTERS]
5. Khôi phục lại ban đầu và xóa Home page

HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain"Start Page" = "http://nba.916kk.com"
6. Bạn tìm đến khóa sau và chỉnh sửa:


HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesERSvc

Translate Vansuc_nguyen@yahoo.co.uk

cách diệt Trojan.Cakefes

Phát hiện: September 10, 2007
Cập nhật: September 10, 2007 11:02:23 AM
Kiểu: Trojan
Có kick thước khoảng : 61,440 bytes
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
Nó sẽ khởi tạo vào computer một file có biểu tượng của Microsoft Word icon:
[JAPANESE CHARACTERS].exe
khi nào nhiễm nó sẽ thay thế tất cả các file thành
[ORIGINAL FILE NAME].doc
Trên những file đó khi mở ra chỉ hiển thih tiếng nhật
Tiếp theo nó sẽ khởi tạo những file sau
• %UserProfile%Local SettingsTempCKFSe.exe
• %UserProfile%Local SettingsTempmmm.exe
• %UserProfile%Local SettingsTemp[ORIGINAL FILE NAME].doc
• %System%svhoster
• %System%svhoster.exe
Tiếp theo mmm.exe sẽ tấn công Internet Explorer và chuyển đổi TCP sang 443 và điều khiển đến host sau
cvnxus.8800.or
Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
Translate Vansuc_nguyen@yahoo.co.uk


được đăng bởi THDao @ 00:15

0 Nhận xét:

Đăng nhận xét

Đăng ký Đăng Nhận xét [Atom]

<< Trang chủ