BKAV 527 cập nhật virus W32.BeagleAG

Để diệt virus W32.BeagleAG.Worm, bạn cần thực hiện theo các bước sau:

1. Tải phần mềm Bkav phiên bản Bkav527 về một thư mục trên máy.

2. Nếu bạn dùng Windows Me hoặc XP thì phải tắt chức năng System Restore của hệ điều hành đi.

3. Nếu máy của bạn có cài các chương trình diệt virus khác như NAV, McAffe thì phải tạm thời tắt chức năng tự động bảo vệ (Auto Protect) của các chương trình đó.

4. Chạy Bkav527, chọn quét tất cả các file, tất cả các ổ đĩa.

5. Khởi động lại máy tính để hoàn tất.

Một số đặc điểm của virus W32.BeagleAG.Worm

1. Tạo các Mutex sau để ngăn không cho một số virus thuộc họ NetSky được thi hành:

  • MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

  • 'D'r'o'p'p'e'd'S'k'y'N'e't'

  • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_

  • [SkyNet.cz]SystemsMutex

  • AdmSkynetJklS003

  • ____--->>>>U<<<<--____

  • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

2. Xoá các giá trị có tên sau :

  • My AV

  • Zone Labs Client Ex

  • 9XHtProtect

  • Antivirus

  • Special Firewall Service

  • service

  • Tiny AV

  • ICQNet

  • HtProtect

  • NetDy

  • Jammer2nd

  • FirewallSvr

  • MsInfo

  • SysMonXP

  • EasyAV

  • PandaAVEngine

  • Norton Antivirus AV

  • KasperskyAVEng

  • SkynetsRevenge

  • ICQ Net

    trong :

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    để ngăn không cho một số virus khác được thi hành khi khởi động hệ điều hành.

3. Copy chính nó vào :

%SYS%\winxp.exe
%SYS%\winxp.exeopen
%SYS%\winxp.exeopenopen

(với %SYS% là thư mục chứa các file hệ thống của Windows.)

4. Tạo giá trị có tên là "key" và dữ liệu là "%SYS%\winxp.exe" trong key :

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

để virus được thi hành mỗi khi người dùng khởi động Windows.

5. Đóng các process có tên sau :

LUINIT.EXE
MCAGENT.EXE
MCUPDATE.EXE
MFW2EN.EXE
MFWENG3.02D30
EXE.MGUI.EXE
MINILOG.EXE
MOOLIVE.EXE
MRFLUX.EXE.
REGEDT32.EXE
REGEDIT.EXE
MSCONFIG.EXE
NORTON_INTERNET_SECU_3.0_407.EXE
FIREWALL.EXE
MSINFO32.EXE
MSSMMC32.EXE
MU0311AD.EXE
NAV80TRY.EXE
ZAUINST.EXE
ZONALM2601.EXE
ZONEALARM.EXE
...

(và nhiều process khác)

6. Tìm và lấy địa chỉ thư trong các file có phần mở rộng sau :

.wab .txt .msg .htm .shtm .stm .xm .dbx .mbx
.mdx .eml .nch .mmf .ods .cfg .asp .php .pl .wsh .adb
.tbb .sht .xls .oft .uin .cgi .mht .dhtm .jsp

bỏ qua những địa chỉ thư có chứa các xâu :

@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-c
erts@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@

Ngoài ra virus còn tìm và lấy Icon trong các file .exe để sử dụng.

7. Copy chính nó vào các thư mục mà tên có chứa 'shar' với các tên sau :

  • Microsoft Office 2003 Crack, Working!.exe

  • Microsoft Windows XP,WinXP Crack, working Keygen.exe

  • Microsoft Office XP working Crack, Keygen.exe

  • Porno, sex, oral, anal cool, awesome!!.exe

  • Porno Screensaver.scr

  • Serials.txt.exe

  • KAV 5.0

  • Kaspersky Antivirus 5.0

  • Porno pics arhive, xxx.exe

  • Windows Sourcecode update.doc.exe

  • Ahead Nero 7.exe

  • Windown Longhorn Beta Leak.exe

  • Opera 8 New!.exe

  • XXXhardcore images.exe

  • WinAmp 6 New!.exe

  • WinAmp 5 Pro Keygen CrackUpdate.exe

  • Adobe Photoshop 9 full.exe

  • Matrix 3 Revolution English Subtitles.exe

  • ACDSee 9.exe

8. Tạo và gửi các thư với đặc điểm sau :

Tiêu đề : Re

Nội dung thư có thể là :

>foto3 and MP3
>fotogalary and Music
>fotoinfo
>Lovely animals
>Animals
>Predators
>The snake
>Screen and Music

File đính kèm kích thước biến thiên và có các đặc điểm sau :

Tên file có thể là một trong các giá trị :

MP3
Music_MP3
New_MP3_Player
Cool_MP3
Doll
Garry
Cat
Dog
Fish

Phần mở rộng :

.exe
.scr
.com
.zip
.cpl

Các file đính kèm nếu có phần mở rộng là .zip đều là file nén có password. Khi đó nội dung thư sẽ có password giải nén gửi kèm. Password này được vẽ dưới dạng hình ảnh với chữ gốc là font Arial, kích thước và mầu sắc có thể biến thiên.

9. Chạy một php script từ một số trang web của Đức :

http://www.bmgs.bund.de/o.php
http://www.gtz.de/o.php
http://www.dwelle.de/o.php
http://www.monster.de/o.php
http://www.regtp.de/o.php
http://www.stufenlos-regelbar.de/o.php
http://www.rapz-records.de/o.php
http://abtacha.wirebrain.de/o.php
http://die-cliquee.de/o.php
http://www.gantke-net.de/o.php
http://www.dar-fantasy.de/o.php
http://www.mdirk.de/o.php
http://www.calistyler.de/o.php
http://tripod.de/o.php
http://sgi1.rz.rwth-aachen.de/o.php
http://www.sysserver1.de/o.php
http://www.vwschubert.de/o.php
http://ronnyackermann.de/o.php
http://www.destatis.de/o.php
http://www.berlinonline.de/o.php
http://www.meinestadt.de/o.php
http://obechmann.de/o.php
http://www.stepstone.de/o.php
http://www.degruyter.de/o.php
http://www.lufthansa.de/o.php
http://www.duden.de/o.php
http://www.pcwelt.de/o.php
http://www.astronomie.de/o.php
http://www.abacho.de/o.php
http://www.bundesliga.de/o.php
http://www.expo2000.de/o.php
http://knecht.cs.uni-magdeburg.de/o.php
....

(và còn nhiều trang web khác)

Chuyên viên phân tích: Nguyễn Minh Anh.

Download chuong trình Bkav2002 (Version 527)    301kb

Thứ Tư, 28/07/2004 00:56
31 👨 554