virus!

[LeGiang]

tổng hợp các bài viết về virus

[Đăng nhập để xem liên kết. ]

[LeGiang]

Cách diệt virut W32.Magflag.A@mm

W32.Magflag.A@mm là một loại sâu mail phổ biến có thể lan truyền qua mạn chia se file. Nó cũng downloads và thực hiện các file điều khiển từ xa.Kích thước: 19,045 bytes
Lây nhiễm vào các hệ điều hành: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.
Khi W32.Magflag.A@mm hoạt động, nó thực hiện các công việc sau:
1. Chạy một quá trình hợp lý, svchost.exe, và thêm chính nó vào quá trình mà tất cả những hoạt động đến sau sẽ xuất hiện để chiếm lấy bởi file svchost.exe.
2. Copy chính nó với tên sau %System%\winldr.exe.
Ghi chú: %System% là thư mục System, mặc định là C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
hoặc C:\Windows\System32 (Windows XP).
3. Thêm giá trị:
"Shell" = "Explorer.exe winldr.exe"
vào khóa registry sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
và chạy nó mỗi khi Windows khởi động.
4. Sửa đổi giá trị:
"%System%\svchost.exe" = "%System%\svchost.exe:Enabled:svchost"
trong khóa registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es
\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List
để cố gắng thử vượt qua tường lửa của Windows.
5. Cố gắng thử download và chạy những file sau:
[[Đăng nhập để xem liên kết. ][REMOVED]/flg.exe
[[Đăng nhập để xem liên kết. ][REMOVED]/flg.exe
[[Đăng nhập để xem liên kết. ][REMOVED]/flg.exe
[[Đăng nhập để xem liên kết. ][REMOVED]/flg.exe
[[Đăng nhập để xem liên kết. ][REMOVED]/flg.exe
[[Đăng nhập để xem liên kết. ][REMOVED]/flg.exe
[[Đăng nhập để xem liên kết. ][REMOVED]/flg.exe
[[Đăng nhập để xem liên kết. ][REMOVED]/flg.exe
[[Đăng nhập để xem liên kết. ][REMOVED]/flg.exe
[[Đăng nhập để xem liên kết. ][REMOVED]/flg.exe
[[Đăng nhập để xem liên kết. ][REMOVED]/flg.exe
[[Đăng nhập để xem liên kết. ][REMOVED]/flg.exe
[[Đăng nhập để xem liên kết. ][REMOVED]/flg.exe
[[Đăng nhập để xem liên kết. ][REMOVED]/flg.exe
[[Đăng nhập để xem liên kết. ][REMOVED]/flg.exe

Ghi chú: Tại thời điểm phân tích, những file này không tồntại.
6. Download một file winldr.ini từ những miền tương tự như trên. File này bao gồm thông tin chỉ ra nơi sâu sé download những file khác.
Downloads the following files from a domain taken from the file winldr.ini: /[REMOVED]/lett.htm
/[REMOVED]/s.txt
/[REMOVED]/f.txt Note: These files contain the subject, sender and body of the emails that the worm will send.
7. Thu thập những địa chỉ email từ những file với phần đuôi mở rộng sau, trong tất cả các ổ đĩa được sửa:

• .wab
• .txt
• .msg
• .htm
• .shtm
• .stm
• .xml
• .dbx
• .mbx
• .mdx
• .eml
• .nch
• .mmf
• .ods
• .cfg
• .asp
• .php
• .pl
• .wsh
• .adb
• .tbb
• .sht
• .xls
• .oft
• .uin
• .cgi
• .mht
• .dhtm
• .jsp

• .wab
• .txt
• .msg
• .htm
• .shtm
• .stm
• .xml
• .dbx
• .mbx
• .mdx
• .eml
• .nch
• .mmf
• .ods
• .cfg
• .asp
• .php
• .pl
• .wsh
• .adb
• .tbb
• .sht
• .xls
• .oft
• .uin
• .cgi
• .mht
• .dhtm
• .jsp

8. Tránh xa việc gửi emial tới những địa chỉ email bao gồm các kí tự sau:
@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
crosoft
@messagelab
root@
abuse
panda
linux
unix
spam
antispam
gov
@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
crosoft
@messagelab
root@
abuse
panda
linux
unix
spam
antispam
gov
9. Gửi một bản copy của chinh snó tới tất cả các địa chỉ email mà nó thu thập được. Người gửi, chủ đề, và thân của email được lấy từ những filư đã download sớm nhất sau: lett.htm
s.txt
f.txt File đính kèm: Rechnung.pdf.exe
10. Tìm kiếm những file với đuôi mở rộng the .exe extension trong những thư mục chia sẻ của các chương trình chia sẻ file dưới đây:
KAZAA
Morpheus
iMesh
eDonkey2000
LimeWire

11. Cố gắng thử thay thế bất kì những file tìm thấy với một file được tạo bởi nối file đích với một bản copy của sâu. Tệp tin thi hành này của sâu xuất hiện để chứa đựng lỗi, và có thể khiến máy chạy không đúng cách.
12. Tạo một file vô hại %System%\dllsys.dll.

CÁCH DIỆT 1. Tắt chế độ System Restore của hệ thống bởi vì chương trình diệt virus không quét được thông tin trên phần Restore của Windows.

Bấm vào nút Start.
Bấm phải chuột vào My Computer, chọn Properties.
Tại System Restore tab, bấm Turn off System Restore hoặc Turn off System Restore on all drives như hình vẽ dưới:



Bấm Apply. Thông báo như sau hiện ra:


Bấm nút Yes .
2. Cập nhật các thông tin chống virus mới nhất vào chương trình chống virus.
3. Khởi động lại với chế độ Safemode (Bấm F8 khi khởi động Windows) vào thực hiện chương trình quét virus, xoá những tệp bị nhiễm. Nhớ chọn chế độ quét tất cả các tệp chứ không chỉ quét riêng tệp .exe
4. Xoá các khoá trong registry. Các giá trị cần xoá đã liệt kê ở trên.
Bạn có thể Download chương trình chống virus khá nhỏ của Sysmantec tại đây [Đăng nhập để xem liên kết. ]
Bạn có thể Download chương trình chống spyware và rootkit của Microsoft tại đây [Đăng nhập để xem liên kết. ]

T.C (Theo symantec)