Lại xuất hiện virus mới và cách diệt - Virus W32.SkyNet.B

Một ngày sau khi virus W32.Bagle.B lây lan trên mạng Internet, sáng nay 19 tháng 2 năm 2004, virus máy tính mới W32.SkyNet.B đã xuất hiện tại Việt Nam. Chúng tôi ngay lập tức tiến hành thu thập mẫu, phân tích và giải mã các mẫu virus. Đến 17 giờ chiều việc phân tích sơ bộ được hoàn tất và phương án xử lý được chúng tôi cập nhật vào phiên bản Bkav498 mới. Để cùng ngăn chặn sự lây lan rộng của virus W32.SkyNet.B trên mạng Internet, bạn nên đề phòng với những bức thư tiêu đề hello, read it immediately, something for you, warning, information, stolen, fake, unknown có gắn kèm các file kích thước khoảng 22 Kbyte, và tải chương trình Bkav phiên bản Bkav498 về để xử lý virus này.

Để diệt virus W32.Bagle.B bạn cần thực hiện theo các bước sau:

1. Tải phần mềm Bkav phiên bản Bkav498 về một thư mục trên máy.
2. Nếu bạn dùng Windows Me hoặc XP thì phải tắt chức năng System Restore của hệ điều hành đi.

3. Nếu máy của bạn có cài các chương trình diệt virus khác như NAV, McAffe thì phải tạm thời tắt chức năng tự động bảo vệ (Auto Protect) của các chương trình đó.

4. Chạy Bkav498, chọn quét tất cả các file, tất cả các ổ đĩa.

5. Khởi động lại máy tính.

Mô tả chi tiết virus W32.SkyNet.B:

Khi được kích hoạt, W32.SkyNet.B sẽ tiến hành các công việc sau:

1. Tạo mutex có tên là "AdmSkynetJklS003". Mutex này được virus nhận dạng để nếu mở ra lần thứ 2, virus sẽ hiện lên một MessageBox với nội dung: The file could not be opened. Sau đó, virus sẽ tự copy vào thư mục Windows của hệ điều hành với tên file là services.exe.

2. Hiện một Message box với nội dung : The file could not be opened!

3. Tạo ra khoá "service" trong:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

dể virus được tự động kích hoạt mỗi khi khởi động hệ điều hành.

4. Tiến hành sửa đổi registry của Windows như sau:

a, Xóa các khoá:

  • "Taskmon"
  • "Explorer"

trong các key sau:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

b, Và xoá các khoá:

  • "KasperskyAv"

trong key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

  • "System."

trong các key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices

c, Ngoài ra virus này còn thực hiện xoá khoá InProcServer32 trong:

HKEY_CLASSES_ROOT\CLSID\
{E6FB5E20-DE35-11CF-9C87-00AA005127ED}

5. Quét toàn bộ các ổ đĩa từ C đến Z (nếu có) trong máy. Nếu phát hiện ổ đĩa này không phải là ổ CD, virus sẽ tiến hành quét các thư mục và thư mục con trong ổ đĩa đó. Nếu tên thư mục chứa chuỗi ký tự "share" hoặc "sharing" thì virus sẽ copy chính nó vào thư mục đó dưới các tên sau đây:

  • doom2.doc.pif
  • sex sex sex sex.doc.exe
  • rfc compilation.doc.exe
  • dictionary.doc.exe
  • win longhorn.doc.exe
  • e.book.doc.exe
  • programming basics.doc.exe
  • how to hack.doc.exe
  • max payne 2.crack.exe
  • e-book.archive.doc.exe
  • virii.scr
  • nero.7.exe
  • eminem - lick my pussy.mp3.pif
  • cool screensaver.scr
  • serial.txt.exe
  • office_crack.exe
  • hardcore porn.jpg.exe
  • angels.pif
  • porno.scr
  • matrix.scr
  • photoshop 9 crack.exe
  • strippoker.exe
  • dolly_buster.jpg.pif
  • winxp_crack.exe

6. Khi quét qua từng thư mục, nếu tìm thấy các file có phần mở rộng như dưới đây, virus sẽ phân tích để tìm các địa chỉ email có trong file.

  • .msg
  • .oft
  • .sht
  • .dbx
  • .tbb
  • .adb
  • .doc
  • .wab
  • .asp
  • .uin
  • .rtf
  • .vbs
  • .html
  • .htm
  • .pl
  • .php
  • .txt
  • .eml

7. Thực hiện gửi thư tới các địa chỉ tìm thấy trên máy. Các bức thư có dạng như sau:

Tiêu đề (Subject):

  • hello
  • read it immediately
  • something for you
  • warning
  • information
  • stolen
  • fake
  • unknown

Nội dung (Message):

  • anything ok?
  • what does it mean?
  • ok
  • i'm waiting
  • read the details.
  • here is the document.
  • read it immediately!
  • my hero
  • here
  • is that true?
  • is that your name?
  • is that your account?
  • i wait for a reply!
  • is that from you?
  • you are a bad writer
  • I have your password!
  • something about you!
  • kill the writer of this document!
  • i hope it is not true!
  • your name is wrong
  • i found this document about you
  • yes, really?
  • that is bad
  • here it is
  • see you
  • greetings
  • stuff about you?
  • something is going wrong!
  • information about you
  • about me
  • from the chatter
  • here, the serials
  • here, the introduction
  • here, the cheats
  • that's funny
  • do you?
  • reply
  • take it easy
  • why?
  • thats wrong
  • misc
  • you earn money
  • you feel the same
  • you try to steal
  • you are bad
  • something is going wrong
  • something is fool

File đính kèm (Attachment):

Kích thước khoảng 22 Kbyte. Trong đó tên file được virus lấy ngẫu nhiên theo các tên sau:

  • msg
  • doc
  • talk
  • message
  • creditcard
  • details
  • attachment
  • me
  • stuff
  • posting
  • textfile
  • concert
  • information
  • note
  • bill
  • swimmingpool
  • product
  • .......

Nhóm chuyên viên phân tích: Vũ Ngọc Sơn, Đào Văn Huy, Ngô Trọng Cảnh

Địa chỉ download: Download chương trình Bkav2002 (Version 498) 220kb

Thứ Sáu, 20/02/2004 07:49
31 👨 1.804
0 Bình luận
Sắp xếp theo