Cảnh báo virus: Backdoor.Nemog.C

Backdoor.Nemog.C là một chương trình Trojan cổng sau nhằm biến máy tính lây nhiễm trở thành công cụ chuyển tiếp e-mail. Trojan này cũng ngăn không cho người dùng truy cập tới một số trang web về bảo mật.

Hệ điều hành lây nhiễm:

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Mô tả chi tiết

Khi thực thi, Backdoor.Nemog.C sẽ tiến hành các tác vụ sau:

  1. Tạo ra các file sau:

    %System%\dx32cxlp.exe
    %System%\dx32cxel.sys

  2. Tạo ra các khoá registry sau để Trojan có thể tự động chạy khi hệ thống khởi động:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
    dx32cxel
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
    LEGACY_DX32CXEL

  3. Giấu dịch vụ và các file của Trojan bằng cách hooking một số APIs, và trả lại null khi có truy vấn API.

  4. Chuyển tiếp e-mail từ người dùgn từ xa thông qua một cổng TCP được lựa chọn ngẫu nhiên, và chạy máy chủ proxy http trên một cổng TCP lựa chọn ngẫu nhiên khác.

  5. Ghi đè file hosts trong thư mục hệ thống: %System%\DRIVERS\ETC\HOSTS file

  6. Nhận lệnh từ kẻ tấn công ở xa thông qua cổng sau. Các lệnh này bao gồm:

    • Tháo cài đặt Trojan

    • Nâng cấp Trojan

    • Tải file

  7. Ngăn không cho người dùng truy cập vào các website bảo mật sau bằng cách ghi đề file hosts trong thư mục hệ thống: %System%\DRIVERS\ETC\HOSTS bằng các dòng text sau:

127.0.0.1 www.avp.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 www.symantec.com
127.0.0.1 networkassociates.com
127.0.0.1 secure.nai.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.networkassociates.com
127.0.0.1 us.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 avp.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 update.symantec.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 kaspersky.com
127.0.0.1 www.trendmicro.com

Sau đây là một số khuyến nghị và hướng dẫn diệt trừ cho Trojan Backdoor.Nemog.C của hãng bảo mật Symantec:

Khuyến nghị:

  • Tắt và loại bỏ các dịch vụ không cần thiết trên hệ thống. Theo mặc định, rất nhiều hệ điều hành cài đặt những dịch vụ không cần thiết, chẳng hạn như máy chủ FTP, telnet, và máy chủ Web. Những dịch vụ này đã từ lâu bộc lộ nhiều điểm yếu để hacker lợi dụng tấn công vào máy tính.

  • Luôn cập nhật các bản patch mới nhất, đặc biệt đối với các máy tính chứa nhiều dịch vụ công cộng và có thể truy cập thông qua tường lửa, như dịch vụ: HTTP, FTP, mail, và DNS.

  • Thắt chặt chính sách mật khẩu. Sử dụng mật khẩu phức tạp sẽ gây khó khăn cho các chương trình bẻ mật khẩu trên máy tính. Việc làm này cũng sẻ giảm bớt thiệt hại khi máy tính bị xâm hại.

  • Cấu hình máy chủ e-mail để khoá hoặc loại bỏ các e-mail chứa file đình kèm thường bị virus lợi dụng để phát tán như: .vbs, .bat, .exe, .pif và .scr.

  • Cô lập máy tính bị lây nhiễm để ngăn chặn mức độ lây lan của virus trong tổ chức của bạn. Tiến hành thẩm định hệ thống và sao lưu dữ liệu.

  • Thông báo cho nhân viên không được mở các file đính kèm theo e-mail trừ khi chúng có nguồn gốc an toàn và có thể thẩm định được. Ngoài ra, không thực thi phần mềm tải từ mạng Internet trừ khi nó đã được phần mềm chống virus kiểm tra mức độ an toàn. Các trình duyệt giờ đây đã không còn an toàn và đôi khi chỉ cần một tác vụ truy cập web bình thường cũng khiến máy tính của bạn nhiễm virus.

Hướng dẫn loại bỏ Trojan (Symantec)

  1. Vô hiệu hoá chức năng System Restore (Windows Me/XP).

  2. Tải bản nâng cấp mới nhất cho phần mềm diệt virus

  3. Khởi động máy tính ở chế độ Safe Mode hoặc VGA Mode

  4. Chạy phần mềm diệt virus ở chế độ Full System (quét toàn hệ thống) và sửa chữa file Backdoor.Nemog.C.

  5. Xoá các giá trị liên quan tới Trojan được bổ sung vào regisrty.

  6. Xoá các dòng text được Trojan chèn thêm vào file Windows hosts.

Thứ Ba, 14/09/2004 09:53
31 👨 339
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp