Cảnh báo biến thể đầu tiên họ sâu MYTOB

8 tiếng sau khi loại sâu mới WORM_MYTOB xuất hiện, biến thể đầu tiên thuộc họ MYTOB (WORM_MYTOB.EG) cũng đã được phát tán. Chúng tôi xin cung cấp các thông tin về loại virus này để các quản trị mạng kiểm tra lại việc cập nhật của các sản phẩm và có những chính sách mới để đảm bảo an toàn cho hệ thống khỏi sự tấn công và lây lan của loại Worm này.

Miêu tả về Virus WORM_MYTOB.EG

Tên: WORM_MYTOB.EG
Alias: Net-Worm.Win32.Mytob.au, W32/Mytob-AU
Ngày, giờ phát hiện: 5h57 PM ngày 09 tháng 05 năm 2005 (giờ GMT -0800)
Đánh giá về mức độ nguy hiểm: Cao
Tốc độ lây nhiễm: Cao
Mô tả về hành vi, dấu hiệu nhận biết:

Vào 5h57 PM (GMT-8) ngày 09/05/2005, chỉ sau hơn 8 tiếng xuất hiện loại sâu mới đâu tiên WORM_MYTOB, TrendLabs đã cảnh báo về sự phát tán của biến thể mới đầu tiên thuộc họ này WORM_MYTOB.EG.
Loại worm này phát tán bằng cách ghi biến thể của mình vào file dữ liệu đính kèm của email và gửi tới nạn nhân thông qua giao thức SMTP (Simple Mail Transfer Protocol).
Cách thức phát tán và các thông số của Email có chứa sâu này hoàn toàn giống như nguyên bản WORM_MYTOB. Tuy nhiên, các tiến trình chạy và "vết" cấy vào Registry trên máy nạn nhân là khác.
Loại Worm này có thể lây nhiễm vào các máy chạy hệ điều hành Windows 95, 98, ME, NT, 2000, XP.

I. Giải pháp diệt thủ công

Bước 1:Xác định và dừng tiến trình hoạt động của virus:
Mở Windows Task Manager.
»Trên Windows 95, 98, and ME, bấm
CTRL+ALT+DELETE
» Trên Windows NT, 2000, and XP, bấm
CTRL+SHIFT+ESC, sau đó bấm vào thanh Processes.
Lựa chọn file INTERNET.EXE, sau đó bấm nút End Task hay End Process, tuỳ thuộc vào phiên bản Windows đang chạy.
Đóng Task Manager.
Bước 2: Xoá các dấu vết của virus trong Registry
Khởi động lại máy tính ở chế độ SAFE MODE
• Trên Windows 95
Khởi động lại máy tính
Ấn phím F8 khi xuất hiện dòng chữ Starting Windows 95
Chọn chế độ Safe Mode từ thực đơn khởi động Windows 95 rồi ấn phím Enter.
• Trên Windows 98 and ME
Khởi động lại máy tính.
Ấn phím CTRL cho đến khi thực đơn khởi động xuất hiện.
Chọn chế độ Safe Mode rồi ấn phím Enter.
• Trên Windows NT ( chế độ màn hình VGA )
Click Start>Settings>Control Panel.
Click đôi biểu tượng System.
Click thanh Startup/Shutdown.
Đặt trường Show List ở vị trí 10 seconds và click OK để lưu giữ sự thay đổi.
Tắt và khởi động lại máy tính.
Chọn chế độ VGA từ menu khởi động.
• Trên Windows 2000
Khởi động lại máy tính.
Ấn phím F8, khi thấy thanh Starting Windows ở phía dưới màn hình
Chọn chế độ Safe Mode từ thực đơn tuỳ chọn Windows Advanced rồi ấn phím Enter.
• Trên Windows XP
Khởi động lại máy tính.
Ấn phím F8 sau khi thực hiện thao tác kiểm tra nguồn Power-On Self Test (POST). Nếu thực đơn tuỳ chọn Windows Advanced không xuất hiện, thử khởi động lại và ấn phím F8 vài lần sau khi xuất hiện màn hình POST.
Chọn chế độ khởi động Safe Mode từ thực đơn tuỳ chọn Windows Advanced rồi ấn phím Enter.
Xoá các dấu vết của virus trong Registry

Mở Registry Editor.
Chọn Start>Run, gõ Regedit, bấm Enter.

Bên trái cửa sổ, kích đúp để chọn đường dẫn sau:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

Bên phải của sổ, tìm và xoá lối vào
Internet Services = "internet.exe"

4. Bên trái cửa sổ, kích đúp để chọn đường dẫn sau:

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices

5. Bên phải của sổ, tìm và xoá lối vào

Internet Services = "internet.exe"

Bước 3: Khôi phục lại các lối vào trong Registry

1. Bên trái cửa sổ, kích đúp để chọn đường dẫn sau:
HKEY_LOCAL_MACHINE>System>CurrentControlSetServices>SharedAccess
2. Bên phải của sổ, tìm và sửa lối vào
Start = "4" thành Start = "2"

3. Đóng cửa sổ Registry
Bước 4: Xoá vết của Worm trong file HOSTS
Xoá các lối vào của worm trong file HOSTS file để ngăn việc chuyển hướng các truy cập đến các trang web chuyên về Antivirus & Security tới local machine.
Mở file bằng trình sạon thảo văn bản(VD: NOTEPAD):
%System%\drivers\etc\HOSTS
Tìm và xoá các lối vào sau:

127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
3. Ghi lại thay đổi và đóng trình soạn thảo.
Lưu ý: Đối với các máy chạy Windows XP/ME Ngắt tính năng System Restore

II. Giải pháp diệt Worm_MYTOB.EG của Trend Micro

Trend Micro đã đưa ra các chính sách và các thông tin mới xử lý loại Worm này.Vì vậy, Admin hệ thống AV theo giải pháp của Trend Micro kiểm tra lại hệ thống do mình quản trị đã cập nhật đủ các thành phần chống virus sau:
TMCM Outbreak Prevention Policy: 173
Official Pattern Release: 2.621.00
Damage Cleanup Template: 592
Lưu ý: Đối với các khách chưa sử dụng dịch vụ DCS (Damage Cleanup Service) để cập nhật tự động Damage Cleanup Template xem thông tin trong file đính kèm để cập nhật bằng tay.

Thứ Bảy, 14/05/2005 09:25
31 👨 56
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp