Quản Trị Mạng - Đối với những người dùng MSN, hiện tượng virus lây lan qua tin nhắn offline là rất phổ biến. Gần đây đã xuất hiện thêm 1 dạng virus mới dưới dạng tin nhắn này từ những người bạn trong danh sách. Những tin nhắn này được tạo ra bởi những kẻ tin tặc (phishers) muốn đánh cắp tài khoản MSN của mọi người.
Những tin nhắn này thường bắt đầu bằng “hi. this is your photo?” kèm theo đó là 1 biểu tượng và 1 chuỗi 5 ký tự đi kèm. Trong dòng tiếp theo là 1 đường dẫn
Nếu người sử dụng vô tình bấm vào đường dẫn trên, nó sẽ dẫn người sử dụng tới 1 trang web để bạn điển thông tin đăng nhập của tài khoản MSN, nhưng đồng thời sẽ tự động tải về máy tính 1 file có tên là “Picture_2525.exe” với dung lượng khoảng 1.8 mb (đây chính là 1 loại virus mới). Khi được kích hoạt trong hệ thống, người sử dụng sẽ thấy xuất hiện 1 bảng thông báo với tựa đề “bedava Film indir. Hemen TIKLA 7” bằng ngôn ngữ Azerbaijani.
Nếu tiếp tục bấm vào bảng thông báo đó, 1 trang web quảng cáo sẽ xuất hiện trên trình duyệt của người sử dụng. Sau khi phân tích hành động của chương trình virus này, tác giả đã phát hiện ra mục đích chính của virus là tự động xóa bỏ file hệ thống trong thư mục “System32” và cài đặt, kích hoạt thêm 1 số dịch vụ khi hệ điều hành Windows khởi động. Đồng thời nó chuyển trang web khởi động mặc định của Internet Explorer thành trang “www.googlesayfa.com/en” với giao diện rất giống với Google. Nếu người sử dụng tin tưởng và tiếp tục thao tác trên chính trang web này, sẽ xuất hiện 1 đoạn quảng cáo Google Adsense với nội dung “this website unofficial Google Search Fan website”, đồng thời hệ thống sẽ tự động tạo kết nối tới địa chỉ IP của Mỹ: 67.228.41.155 thông qua cổng 6772.
Sau khi phân tích quá trình hành động của file “Picture_2525.exe” bằng ứng dụng trực tuyến VirusTotal, có khoảng 33 trên tổng số 41 bộ máy có thể nhận diện được đây là virus. Nhưng cũng khá may mắn đối với người sử dụng vì virus này không được trang bị tính năng “persistent”. Người sử dụng có thể tạo ra file batch tự động xóa bỏ loại virus này hoặc làm theo các bước đơn giản sau:
- Mở ứng dụng Task Manager, chọn Tab Processes và hủy các tiến trình sau: svlost.exe, svlostSrv.exe, tasman.exe bằng cách chọn “End Process”
- Mở mục Run (Win + R) và gõ lệnh: sc delete svlostServices
- Tìm và xóa bỏ những file sau trong thư mục hệ thống “Windows\System32”: libeay32.dll, ssleay32.dll, svlost.exe, svlosta.dll, svlostb.dll, svlostSrv.exe, tasman.exe
- Tiếp theo, mở mục Run (Win + R) và tiếp tục với 2 câu lệnh riêng biệt sau:
reg delete "hkcu\software\microsoft\internet explorer\main" /v default_page_url /f
reg delete "hkcu\software\microsoft\internet explorer\main" /v "Start Page" /f
Sau khi thực hiện đúng và đầy đủ những thao tác trên thì bạn đã hoàn toàn xóa bỏ virus khỏi hệ thống, nhưng tốt nhất bạn nên thay đổi mật khẩu đăng nhập MSN.
Bên cạnh đó, tác giả đã làm 1 cuộc điều tra Reverse IP sử dụng công cụ DomainTools để truy tìm dấu vết thì phát hiện ra thêm 52 domains dưới cùng 1 server:
Và đây là danh sách đầy đủ của những trang web độc hại phát tán loại virus trên:
# Ahvalimsn.info
# Ankemsn.info
# Arabiamarabia.info
# Arabimsnks.info
# Asmsnas.info
# Azrrufi.info
# Baemsn.info
# Burdamsns.info
# Demlikciheymsn.info
# Denimenter.info
# Dubaimsn.info
# Ehlenselamam.info
# Elmsnulblock.info
# Gerwhymsn.info
# Habibimwhos.info
# Habibmsnd.info
# Habibulmsn.info
# Hakmsns.info
# Haydari.info
# Heymanat.info
# Hombilmombil.info
# Kimbenibans.info
# Kimbitr.info
# Kimpetek.info
# Leyyamsn.info
# Lovemsnlove.info
# Lovepoemswhy.info
# Maishemsn.info
# Menzilmsn.info
# Msnbut.info
# Msniblock.info
# Msniblocki.info
# Msnminepr.info
# Msnmsntsn.info
# Msnsenm.info
# Mustarabis.info
# Myfedorea.info
# Mysoutchests.info
# Nerdenmsns.info
# Patlirafan.info
# Peyamnetsd.info
# Pirinces.info
# Reddumsn.info
# Senmsnen.info
# Seyyarmsn.info
# Seyyarmsnn.info
# Tayyarmsn.info
# Thisallfreegetit8.info
# Turustum.info
# Vasilios.info
# Wheremerewhy.info
# Zlanmsnm.info
# Karamsns.info