Biến thể Mydoom và Netsky bùng phát dữ dội ở VN và cách diệt trừ

Theo Trung tâm An ninh mạng BKIS, từ ngày 4-3 đến nay biến thể virus Mydoom.F (xuất hiện hồi tháng hai) đã cùng với biến thể mới .D của virus Netsky công phá dữ dội các hệ thống mạng máy tính tại VN.

Ông Nguyễn Tử Quảng, giám đốc BKIS, cho biết mỗi ngày có ít nhất 2.000 e-mail có chứa mẫu virus đã gửi đến trung tâm, đây là một con số minh chứng cho thấy khả năng phát tán rất cao của virus này. Trong khi đó các hãng bảo mật nước ngoài đã bắt đầu cảnh báo sự xuất hiện của các biến thể E, F, G, H, I, J, K của virus Netsky.

Khả năng phá hoại của các loại virus này cũng khá nghiêm trọng, nó có thể xóa dữ liệu trên ổ đĩa cứng của máy bị nhiễm.

BKAV 505 cập nhật thêm virus W32.SkyNet.D

Bkav505 cập nhật virus mới W32.SkyNet.D. Đây là virus có tốc đô lây lan rất nhanh và rộng. Bạn hãy cảnh giác khi nhận được những bức thư có gửi kèm file .pif kích thước khoảng 17 KByte.

Để diệt các virus W32.SkyNet.D bạn cần thực hiện theo các bước sau:

  1. Tải phần mềm Bkav phiên bản Bkav505 về một thư mục trên máy.

  2. Nếu bạn dùng Windows Me hoặc XP thì phải tắt chức năng System Restore của hệ điều hành đi.

  3. Nếu máy của bạn có cài các chương trình diệt virus khác như NAV, McAffe thì phải tạm thời tắt chức năng tự động bảo vệ (Auto Protect) của các chương trình đó.

  4. Chạy Bkav505, chọn quét tất cả các file, tất cả các ổ đĩa.

  5. Khởi động lại máy tính để hoàn tất.

Mô tả kỹ thuật virus W32.SkyNet.D

Khi được kích hoạt, W32.SkyNet.D sẽ tiến hành các công việc sau:

  1. Tạo Mutex có tên là [SkyNet.cz]SystemsMutex để kiểm tra sự tồn tai của virus trong bộ nhớ của máy tính.

  2. Tự copy chính nó vào thư mục Windows (hoặc WinNT) dưới dạng một file .exe có tên là winlogon.exe.

  3. Tạo khoá "ICQ Net" trong registry ở key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run để virus đươc tự động kích hoạt mỗi khi khởi động hệ điều hành. 4. Tiến hành xoá một số khoá ở trong registry:
>Trong key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run, virus xoá các khoá sau:

Taskmon
Explorer
KasperskyAv
system.
msgsvr32
DELETE ME
service
Sentry
Windows Services Host

Trong key HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run, virus sẽ xoá các khoá sau:

Taskmon
Explorer
KasperskyAv
d3dupdate.exe
OLE
au.exe
Windows Services Host

Ngoài ra virus cũng xoá các key sau:

"system." trong: KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\
RunServices

HKEY_CLASSES_ROOT\CLSID\
{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\PINF

HKEY_LOCAL_MACHINE\System\
CurrentControlSet\Services\WksPatch

5. Lấy thời gian của hệ thống. Nếu vào khoảng từ 6 giờ đến 9 giờ sáng ngày 2 tháng 3 năm 2004, virus sẽ phát ra âm thanh từ loa PC của máy tính, tần số của âm thanh này được virus sử dụng thời gian của hệ thống để tính ra.
6. Tìm địa chỉ thư trong các file có phần mở rộng như sau:

.eml
.txt
.php
.pl
.htm
.html
.vbs
.rtf
.uin
.asp
.wab
.doc
.adb
.tbb
.dbx
.sht
.oft
.msg
.shtm
.cgi
.dhtm

7. Gửi thư đến các địa chỉ email tìm thấy với

Tiêu đề:

Re: Your website
Re: Your product
Re: Your letter
Re: Yourarchive
Re: Your text
Re:Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re:Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document

Nội dung :

Your file is attached
Please read the attached file
Please have a look at the attached file
See the attached file for details
Here is the file
Your document is attached

File đính kèm với tên :

your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif

và kích thước các file đính kèm: Khoảng 17 KByte.

Download chương trình Bkav2002 (Version 505)

Thứ Tư, 10/03/2004 04:28
31 👨 125
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp