Misoft cảnh báo sâu WORM_BOBAX.P mức độ nguy hiểm cao

Hiện tại đang có sự xuất hiện của WORM_BOBAX.P (biến thể mới nhất của họ MYTOB), lây nhiễm thông qua Trojan TROJ_SMALL.AHE, chúng tôi xin cung cấp các thông tin về loại virus này để các quản trị mạng kiểm tra lại việc cập nhật của các sản phẩm và có những chính sách mới để đảm bảo an toàn cho hệ thống khỏi sự tấn công và lây lan của loại sâu này.

Miêu tả về Sâu WORM_BOBAX.P

Tên: WORM_BOBAX.P

Aliases: W32/Bobax.worm

Ngày, giờ được phát hiện: 1:38 AM ngày 3 tháng 6 năm 2005 (giờ GMT -0800)

Đánh giá về mức độ nguy hiểm: Cao

Tốc độ lây nhiễm: Cao

Mô tả về hành vi, dấu hiệu nhận biết:

Vào 1:38 AM (GMT -8) ngày 03/06/2005 TrendLabs đã cảnh báo về sự phát tán của WORM_BOBAX.P. TrendLabs đã nhận được rất nhiều các báo cáo cho thấy nguồn phát tán loại WORM này xuất phát nhiều từ United States, Singapore, Ireland, Japan, Peru, Australia, và India

Sâu này lây nhiễm vào hệ thống thông qua việc tải file có chứa Trojan TROJ_SMALL.AHE. Sâu phát tán thông qua việc gửi các TROJ_SMALL.AHE chứa trong file đính kèm trong email qua gia thức SMTP.

Một email có chứa sâu có định dạng như sau

Subject: {blank}

Message body: (any of the following)

• Attached some pics that i found
• Check this out :-)
• Hello,
• I was going through my album, and look what I found..
• Long time! Check this out!
• Osama Bin Laden Captured.
• Remember this?
• Saddam Hussein - Attempted Escape, Shot dead
• Secret!
• Testing

(followed by any of the following strings)

• +++ Attachment: No Virus found
• +++ F-Secure AntiVirus - You are protected
• +++ Norman AntiVirus - You are protected
• +++ Norton AntiVirus - You are protected
• +++ Panda AntiVirus - You are protected
• +++ www.f-secure.com
• +++ www.norman.com
• +++ www.pandasoftware.com
• +++ www.symantec.com

Attachments: (a zip file ththat may use any of the following names)

• bush
• funny
• joke
• pics
• secret

It combines the said names with any of the following extension names:

• .exe
• .pif
• .scr

Khi người sử dụng mở file dữ liệu có chứa Trojan, TROJ_SMALL.AHE sẽ tải vào máy nạn nhân WORM_BOBAX.P, và tổ hợp Worm-Trojan lại tiếp tục lan truyền.

Đồng thời, sâu còn lợi dụng lỗ hổng LSASS của Windows để tấn công, sửa đổi file HOSTS của hệ thống ngăn không cho người dùng truy cập đến một số các Website chuyên về Security và Antivirus.

Sâu lây nhiễm vào các máy tính chạy hệ điều hành: Windows 98, ME, 2000, XP

I. Giải pháp diệt thủ công

Bước 1:Chọn chế độ khởi động máy:

1. Windows NT (VGA mode)

· Vào Start>Settings>Control Panel.

· Kích đúp vào biểu tượng System.

· Chọn Startup/Shutdown tab.

· Thiết lập trường Show List là 10 giây and và chọn OK để ghi lại trạng thái.

· Khởi động lại hệ thống.

· Chọn chế độ VGA từ startup menu.

2. Windows 2000

  • Khởi động lại hệ thống.

  • Ấn phím F8, khi nhìn thấy thanh Starting Windows phía dưới màn hình.

  • Chọn Safe Mode option từ Windows Advanced Options Menu và bấm Enter.

3. Windows XP

  • Khởi động lại hệ thống.

  • Ấn phím F8 sau khi xong Power-On Self Test (POST). Nếu không xuất hiện Windows Advanced Options Menu, thử khởi động lại và ấn phím F8 nhiều lầnsau khi xuất hiện màn hình POST.

  • Chọn Safe Mode option từ Windows Advanced Options Menu và bấm Enter.

Bước 2:Xác định các file và các chương trình có nhiễm sâu:

Sử dụng chương trình quét virus

Đánh dấu tất cả các file bị lây nhiễm WORM_BOBAX.P

Bước 3: Xoá các dấu vết của virus trong Registry

  1. Mở Registry Editor.

Chọn Start>Run, gõ Regedit, bấm Enter.

  1. Bên trái cửa sổ, kích đúp để chọn đường dẫn sau:

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

  1. Bên phải của sổ, tìm và xoá lối vào

Xoá tất các đường dẫn và file nhiễm virus phát hiện được trong bước 2

4. Bên trái cửa sổ, kích đúp để chọn đường dẫn sau:

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices

5. Bên phải của sổ, tìm và xoá lối vào

Xoá tất các đường dẫn và file nhiễm virus phát hiện được trong bước 2

6. Đóng cửa sổ Registry

Đối với máy chạy hệ điều hành WinXP SP2/ Win2003 SP1, phải thực hiện thêm các bước sau:

This procedure enables the built-in Windows Firewall and Antivirus security checking built into WinXPSP2 and WIn2003 SP1.

  1. still in the Registry Editor, double-click the following in the left panel:
    HKEY_LOCAL_MACHINE>Software>Microsoft>Security Center

  2. In the right panel, locate and modify the entries into the following:

    • AntiVirusDisableNotify = “dword:00000000”

    • AntiVirusOverride = “dword:00000000”

    • FirewallDisableNotify = “dword:00000000”

    • FirewallOverride = “dword:00000000”

    • UpdatesDisableNotify = “dword:00000000”

  3. Close Registry Editor.

To re-enable Windows Firewall / Internet Connection Sharing (ICS), proceed to the following instructions:

  1. Click Start->Run, then, type:
    CMD.EXE

  2. On the CMD prompt, type:
    NETSH.EXE

  3. On the NETSH prompt, type:
    firewall set opmode mode=ENABLE profile=all

  4. After the prompt indicates Ok, type:
    EXIT

  5. Back in the CMD prompt, type:
    sc.exe config SharedAccess start = auto

  6. Type Exit to quit the CMD prompt.

Bước 4: Xoá các lối vào của virus trong file HOSTS

  1. Open the following file using a text editor (such as NOTEPAD):
    %System%\drivers\etc\HOSTS
    (Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 95, 98, and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP.)

  2. Delete the following entries:

      • ar.atwola.com

      • atdmt.com

      • avp.ch avp.com

      • avp.ru awaps.net

      • ca.com

      • dispatch.mcafee.com

      • download.mcafee.com

      • download.microsoft.com

      • downloads.microsoft.com

      • engine.awaps.net

      • f-secure.com

      • ftp.f-secure.com

      • ftp.sophos.com

      • go.microsoft.com

      • liveupdate.symantec.com

      • mast.mcafee.com

      • mcafee.com

      • msdn.microsoft.com

      • my-etrust.com

      • nai.com

      • networkassociates.com

      • office.microsoft.com

      • phx.corporate-ir.net

      • secure.nai.com

      • securityresponse.symantec.com

      • service1.symantec.com

      • sophos.com

      • spd.atdmt.com

      • support.microsoft.com

      • symantec.com

      • update.symantec.com

      • updates.symantec.com

      • us.mcafee.com

      • vil.nai.com

      • viruslist.ru

      • windowsupdate.microsoft.com

      • www.avp.ch

      • www.avp.com

      • www.avp.ru

      • www.awaps.net

      • www.ca.com

      • www.f-secure.com

      • www.kaspersky.ru

      • www.mcafee.com

      • www.my-etrust.com

      • www.nai.com

      • www.networkassociates.com

      • www.sophos.com

      • www.symantec.com

      • www.trendmicro.com

      • www.viruslist.com

      • www.viruslist.ru

      • www3.ca.com

  3. Save the file and close the text editor.

Lưu ý: để không bị tái nhiễm loại sâu này, các máy trạm cần phải được cài đặt bản vá của Microsotf cho lỗ hổng LSASS.

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

II. Giải pháp diệt WORM_BOBAX.P của Trend Micro

Trend Micro đã đưa ra các chính sách và các thông tin mới xử lý loại Worm này.Vì vậy, Admin hệ thống AV theo giải pháp của Trend Micro kiểm tra lại hệ thống do mình quản trị đã cập nhật đủ các thành phần chống virus sau:

  1. TMCM Outbreak Prevention Policy: 179

  2. Official Pattern Release: 2.633.00

  3. Damage Cleanup Template: 622
Thứ Hai, 06/06/2005 09:27
31 👨 70
0 Bình luận
Sắp xếp theo