Biến thể virus MyDoom đã xuất hiện tại Việt Nam

9g sáng 28-7 biến thể virus MyDoom, virus gây gián đoạn nhiều dịch vụ tìm kiếm trực tuyến, đã xuất hiện tại VN. Anh Nguyễn Tử Quảng, giám đốc Trung tâm an ninh mạng (BKIS), cho biết đến 16g15 phương án xử lý đã được cập nhật vào phiên bản Bkav528. Bạn đọc có thể tải phiên bản BKAV528 tại Download chương trình Bkav2002 (Version 528) 301kb

Được biết, ngay sau khi khống chế được các website tìm kiếm hôm 27-7, biến thể virus MyDoom đã quay qua tấn công các máy chủ chuyên cung cấp dịch vụ quảng cáo cho các website thương mại. Điều này khiến khách hàng của hơn 40 website nổi tiếng như Nortel Networks, Gateway, MCI và CNN không thể xem được quảng cáo.

Báo cáo của Hãng bảo mật Sophos cho thấy cuộc tấn công của biến thể virus MyDoom hôm 27-7 đã khiến các trang tìm kiếm bị ảnh hưởng rất nặng, cao nhất là Google (45%), Lycos (22,5%), Yahoo! (20%) và Altavista (12,5%). - Theo Tuổi Trẻ

Thông tin thêm về phòng trừ và diệt virus MyDoom biến thể:

BKAV 528 cập nhật virus W32.MyDoom.M

Hai ngày sau khi virus MyDoom.M được phát hiện trên thế giới, 9 giờ sáng 28/08/2004 Trung tâm An Ninh Mạng Bkis nhận được mẫu virus MyDoom.M đầu tiên báo hiệu sự xuất hiện của virus này tại Việt Nam. Ngay lập tức chúng tôi tiến hành nghiên cứu và phân tích các mẫu mới này, tới 4 giờ 15 phút chiều thì công việc phân tích sơ bộ hoàn tất và phương án xử lý được cập nhật vào phiên bản Bkav528.

Để diệt virus W32.MyDoom.M bạn cần thực hiện theo các bước sau:

1. Tải phần mềm Bkav phiên bản Bkav528 về một thư mục trên máy.

2. Nếu bạn dùng Windows Me hoặc XP thì phải tắt chức năng System Restore của hệ điều hành đi.

3. Nếu máy của bạn có cài các chương trình diệt virus khác như NAV, McAffe thì phải tạm thời tắt chức năng tự động bảo vệ (Auto Protect) của các chương trình đó.

4. Chạy Bkav528, chọn quét tất cả các file, tất cả các ổ đĩa.

5. Khởi động lại máy tính để hoàn tất.

Một số đặc điểm của virus W32.MyDoom.M

1. Tạo ra các key

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon

  • HEY_CURRENT_USER\Software\Microsoft\Daemon

để đánh dấu máy đã bị nhiễm virus

2. Copy chính nó vào :

%Windir%\java.exe

3. Tạo ra các file sau

%Windir%\services.exe
%Temp%\services.exe

File này là một Backdoor chờ ở cổng 40Ah (1034)

4. Tạo ra các xâu sau:

"Services" = "%Windir%\services.exe"
"JavaVM" = "%Windir%\java.exe"

để sâu có thể chạy mỗi khi khởi động máy

5. MyDoom.M còn tạo ra các file sau:

%Temp%\zincite.log
%Temp%\.log

6. Tìm và lấy địa chỉ thư trong các file có phần mở rộng sau trên toàn bộ ổ cứng:

  • .pl*

  • .ph*

  • .tx*

  • .tbb

  • .ht*

  • .asp

  • .sht

  • .adb

  • .dbx

  • .wab

bỏ qua những địa chỉ thư có chứa các xâu :

  • mailer-d

  • spam

  • abuse

  • master

  • sample

  • accoun

  • privacycertific

  • bugs

  • listserv

  • submit

  • ntivi

  • support

  • admin

  • page

  • the.bat

  • gold-certs

  • ca

  • feste

  • not

  • help

  • foo

  • no

  • soft

  • site

  • rating

  • me

  • you

  • your

  • someone

  • anyone

  • nothing

  • nobody

  • noone

  • info

  • winrar

  • winzip

  • rarsoft

  • sf.net

  • sourceforge

  • ripe.

  • arin.

  • google

  • gnu.

  • gmail

  • seclist

  • secur

  • bar.

  • foo.com

  • trend

  • update

  • uslis

  • domain

  • example

  • sophos

  • yahoo

  • spersk

  • panda

  • hotmail

  • msn.

  • msdn.

  • microsoft

  • sarc.

  • syma

  • avp

7. Gửi các truy vấn sau lên các trang web tìm kiếm lycos, altavista, yahoo, google để tìm thêm các địa chỉ email:

  • http://search.lycos.com/default.asp?lpv=1&loc=searchhp&tab=web&query=%s

  • http://www.altavista.com/web/results?q=%s&kgs=0&kls=0

  • http://search.yahoo.com/search?p=%s&ei=UTF-8&fr=fp-tab-web-t&cop=mss&tab=

  • http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=%s

    Với %s là tên các domain tìm thấy.

8. Tạo và gửi các thư với đặc điểm sau :

Tiêu đề có thể là

  • hello

  • error

  • status

  • test

  • report

  • delivery failed

  • Message could not be delivered

  • Mail System Error - Returned Mail

  • Delivery reports about your e-mail

  • Returned mail: see transcript for details

  • Returned mail: Data format error

File đính kèm

Tên file có thể là một trong các giá trị :

  • readme

  • instruction

  • transcript

  • mail

  • letter

  • file

  • text

  • attachment

  • document

  • message

Phần mở rộng :

  • .exe

  • .scr

  • .com

  • .zip

  • .pif

  • .bat

    Các file đính kèm nếu là file zip thì 75% là nén 2 lần và 25% là nén một lần. Các file có phần mở rộng khác là bản copy của virus.

    Ngoài ra, virus còn tạo ra các phần mở rộng giả sau để đánh lừa người sử dụng:

  • doc

  • txt

  • htm

  • html

Chuyên viên phân tích: Lê Nhật Minh, Đào Văn Huy. - Theo BKAV

Download chương trình Bkav2002 (Version 528) 301kb

Thứ Năm, 29/07/2004 09:20
31 👨 217
0 Bình luận
Sắp xếp theo