Cảnh báo virus: [email protected]

[email protected] là loại bom thư có chức năng hạ thấp các cấu hình bảo mật trên hệ thống máy tính lây nhiễm bằng cách xoá các file liên qua tới ứng dụng bảo mật. Sâu tự gửi bản copy tới tất cả các địa chỉ e-mail tìm thấy trong sổ địa chỉ của Outlook, Yahoo Messenger, và Yahoo Pager.

Hệ điều hành lây nhiễm:

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Mô tả:

Khi thực thi, [email protected] sẽ thực hiện các tác vụ sau:

  1. Mở ứng dụng Windows Media Player.

  2. Tạo ra các bản copy của sâu:

    • %System%\Connection.exe

    • %System%\Task.exe

    • %System%\hhm.exe

    • \winnt\volume\winhelp.exe

    • \winnt\volume\twunk_32.exe

    • %System%\sound_223.mp3

    • %System%\movie_05.MP3

    • %System%\PaltlkRoom.wav

    • %System%\%System%\Video_live.mpg

  3. Thả các file sau vào thư mục hệ thống:

    • %System%\About_Blackworm.C.txt

    • %System%\ossmtp.dll

      Chú ý: %System% là một biến chỉ vị trí của thư mục hệ thống, theo mặc định là: C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), hoặc C:\Windows\System32 (Windows XP).

  4. Thêm một trong số các giá trị sau:

    "(default)" = "C:\winnt\volume\[twunk_32.exe]"
    "(default)" = "C:\winnt\volume\[winhelp.exe]"


    vào khoá registry để sâu có thể tự động chạy khi hệ thống khởi động:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\Run

  5. Bổ sung giá trị:

    "NoBetaMessage"="1"

    ... vào khoá registry:

    HKEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\caution

  6. Thêm các giá trị:

    Name = "BlackWorm"
    SN = "2AD00ED6"

    ... vào khoá registry:

    HKEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\WinIni

  7. Xoá các giá trị registry sau:

    • _Hazafibb

    • au.exe

    • ccApp

    • defwatch

    • Explorer

    • erthgdr

    • gigabit.exe

    • JavaVM

    • KasperskyAv

    • key

    • MCUpdateExe

    • MCAgentExe

    • McRegWiz

    • McVsRte

    • McAfeeVirusScanService

    • msgsvr32

    • NPROTECT

    • NAV Agent

    • Norton Antivirus AV

    • OLE

    • PCClient.exe

    • PCCIOMON.exe

    • pccguide.exe

    • PccPfw

    • PCCClient.exe

    • rtvscn95

    • reg_key

    • ScriptBlocking

    • SSDPSRV

    • system.

    • Sentry

    • ssate.exe

    • Services

    • tmproxy

    • Taskmon

    • Traybar

    • Task

    • VirusScan Online

    • VSOCheckTask

    • vptray

    • Windows Services Host

    • winupd.exe

    • Windows Update

    • win_upd.exe

    • winupdt

    • wersds.exe

      ... từ các khoá registry:

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\
      CurrentVersion\Run

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
      CurrentVersion\Run

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
      CurrentVersion\RunServices

  8. Xoá các file sau:

    • C:\Program Files\Norton AntiVirus\*.exe

    • C:\Program Files\McAfee\McAfee VirusScan\Vso\*.*

    • C:\Program Files\McAfee\McAfee VirusScan\Vso

    • C:\Program Files\McAfee\McAfee VirusScan\Vs

    • C:\Program Files\Trend Micro\PC-cillin 2002\*.exe

    • C:\Program Files\Trend Micro\PC-cillin 2003\*.exe

    • C:\Program Files\Trend Micro\Internet Security\*.exe

    • C:\Program Files\NavNT\*.exe

    • C:\Program Files\HyperTechnologies\Deep Freeze\*.exe

Hướng dẫn loại bỏ [email protected] (Symantec)

  1. Vô hiệu hoá chức năng System Restore (Windows Me/XP).

  2. Nâng cấp phần mềm diệt virus.

  3. Chạy phần mềm diệt virus ở chế độ quét toàn hệ thống (Full scan) và xoá tất cả các file có tên [email protected]

  4. Xoá giá trị có liên quan tới sâu trong registry

Thứ Ba, 07/09/2004 17:29
31 👨 416
0 Bình luận
Sắp xếp theo