Chào các bạn! Vì nhiều lý do từ nay Truyen2U chính thức đổi tên là Truyen247.Pro. Mong các bạn tiếp tục ủng hộ truy cập tên miền mới này nhé! Mãi yêu... ♥
  1. Home
  2. /
  3. Ngẫu Nhiên
  4. /
  5. Xử lý sự cố máy tính (virus)
  6. /
  7. Xử lý sự cố máy tính (virus)

Xử lý sự cố máy tính (virus)

Trước Sau

1. Hỏi: Cảnh báo về virus X97M.ANESEY.C như thế nào?

Đáp:

X97M.Ainesey.C là loại virus macro có chức năng tấn công vào các bảng biểu Microsoft Excel, hạ thấp mức cấu hình bảo mật của Internet Explorer và thả một file có chứa Trojan vào máy tính lây nhiễm.

Hệ điều hành lây nhiễm: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Khi thực thi, X97M.Ainesey.C sẽ tiến hành các tác vụ sau:

1. Tạo ra các file sau:

• %temp%\1.reg sets

• %temp\2.reg sets

2. Tạo ra các khoá registry sau để hạ thấp mức cấu hình bảo mật trong Microsoft Excel 9.0 và 10.0:

HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\

Excel\Security\Level=1

HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\

Excel\Security\DontTrustInstalledFiles=0

HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\

Excel\Security\AccessVBOM=1

HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\

Excel\Security\Level=1

HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\

Excel\Security\DontTrustInstalledFiles=0

3. Xoá các file sau:

• %temp%\1.reg sets

• %temp\2.reg sets

4. Tạo và thực thi file: %Windir%\MSIEXEC32.EXE.

Chú ý: File MSIEXEC32.EXE chứa virus W32.Ainesey.A@mm, và cũng có thể chứa virus W32.ElKern.4926.

5. Tìm kiếm tất cả các bảng biểu Microsoft Excel ở chế độ mở để cài đặt virus.

6. Tìm kiếm một file có tên Personal.xls trong thư mục khởi động của Excel, hoặc tạo ra file này nếu nó không có sẵn. Sau đó, X97M.Ainesey.C sẽ lây nhiễm vào file Personal.xls, tạo điều kiện cho virus có thể chạy tự động mỗi lần bảng Microsoft Excel được mở.

Sau đây là một số khuyến nghị và hướng dẫn diệt trừ cho virus X97M.Ainesey.C của hãng bảo mật Symantec:

Khuyến nghị:

• Tắt và loại bỏ các dịch vụ không cần thiết trên hệ thống. Theo mặc định, rất nhiều hệ điều hành cài đặt những dịch vụ không cần thiết, chẳng hạn như máy chủ FTP, telnet, và máy chủ Web. Những dịch vụ này đã từ lâu bộc lộ nhiều điểm yếu để hacker lợi dụng tấn công vào máy tính.

• Luôn cập nhật các bản patch mới nhất, đặc biệt đối với các máy tính chứa nhiều dịch vụ công cộng và có thể truy cập thông qua tường lửa, như dịch vụ: HTTP, FTP, mail, và DNS.

• Thắt chặt chính sách mật khẩu. Sử dụng mật khẩu phức tạp sẽ gây khó khăn cho các chương trình bẻ mật khẩu trên máy tính. Việc làm này cũng sẻ giảm bớt thiệt hại khi máy tính bị xâm hại.

• Cấu hình máy chủ e-mail để khoá hoặc loại bỏ các e-mail chứa file đình kèm thường bị virus lợi dụng để phát tán như: .vbs, .bat, .exe, .pif và .scr.

• Cô lập máy tính bị lây nhiễm để ngăn chặn mức độ lây lan của virus trong tổ chức của bạn. Tiến hành thẩm định hệ thống và sao lưu dữ liệu.

• Thông báo cho nhân viên không được mở các file đính kèm theo e-mail trừ khi chúng có nguồn gốc an toàn và có thể thẩm định được. Ngoài ra, không thực thi phần mềm tải từ mạng Internet trừ khi nó đã được phần mềm chống virus kiểm tra mức độ an toàn. Các trình duyệt giờ đây đã không còn an toàn và đôi khi chỉ cần một tác vụ truy cập web bình thường cũng khiến máy tính của bạn nhiễm virus.

Hướng dẫn loại bỏ virus (Symantec)

1. Vô hiệu hoá chức năng System Restore (Windows Me/XP).

2. Tải bản nâng cấp mới nhất cho phần mềm diệt virus

3. Chạy phần mềm diệt virus ở chế độ Full System (quét toàn hệ thống) và sửa chữa file virus X97M.Ainesey.C.

4. Phục hồi cấu hình bảo mật trong Microsoft Excel.

2. Hỏi: Cảnh báo về virus W32.Mydoom.AJ như thế nào?

Đáp:

W32.Mydoom.AJ là một loại sâu "bom thư" khai thác lỗ hổng tràn bộ đệm IFRAM trong trình duyệt Internet Explorer của Microsoft. Sâu cũng có khả năng phát tán tới các địa chỉ tìm thấy trong sổ địa chỉ máy tính nạn nhân.

W32.Mydoom.AJ xuất hiện ngày 10/11/2004 là loại sâu lây nhiễm trên Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Khi thực thi, W32.Mydoom.AJ sẽ tiến hành các tác vụ sau:

1. Tạo một file ngẫu nhiên trong thư mục hệ thống: "%System%\ 32.exe.

2. Bổ sung giá trị

"Reactor7" = "%System%\[tên ngẫu nhiên]32.exe"

vào các khoá registry để sâu có thể tự động chạy mỗi lần Windows khởi động:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run

3. Có thể tạo ra các khoá registry sau:

* HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Explorer\ComExplore

* HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Explorer\ComExplore\Version

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\ComExplore

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\ComExplore\Version

4. Cố xoá các giá trị registry sau, từng được sâu W32.Mydoom tạo ra trước đây...

center

reactor

Rhino

Reactor3

Reactor4

Reactor5

Reactor6

từ khoá registry sau:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run

5. Tìm kiếm các địa chỉ e-mail trong sổ địa chỉ Windows và trong các file các chuối ký tự sau:

wab

pl

adbh

tbbg

dbxn

aspd

phpq

shtl

htmb

txt

6. Sử dụng động cơ SMTP riêng để gửi e-mail tới các địa chỉ tìm thấy. E-mail nhiễm virus mang các đặc điểm sau:

* From: (địa chỉ giả mạo)

* Subject: (là một trong các từ sau)

hello!

hey!

blank

random characters

Confirmation

Hi!

* Thông điệp dạng text:

Header:(là một trong số các phần mở đầu sau)

X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http:/ /amavis.org/)

X-AntiVirus: Checked by Dr.Web (http:/ /www.drweb.net)

X-AntiVirus: Checked for viruses by Gordano's AntiVirus Software

Body: (là một trong số các thông điệp sau)

+ Hi! I am looking for new friends. I am from Miami, FL. You can see my homepage with my last webcam photos!

+ Hi! I am looking for new friends.

+ My name is Jane, I am from Miami, FL.

+ See my homepage with my weblog and last webcam photos!

+ Congratulations! PayPal has successfully charged $175 to your creditcard. Your order tracking number is A866DEC0, and your item will be shipped within three business days.

+ To see details please click this link.

+ DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by an automated message system and the reply will not be received.Thank you for using PayPal.

7. Mở cổng TCP/1640 để lắng nghe lệnh từ xa

8. Cố kết nối tới các máy chủ IRC sau tại cổng TCP/6667:

broadway.ny.us.dal.net

brussels.be.eu.undernet.org

caen.fr.eu.undernet.org

ced.dal.net

coins.dal.net

diemen.nl.eu.undernet.org

flanders.be.eu.undernet.org

graz.at.eu.undernet.org

london.uk.eu.undernet.org

los-angeles.ca.us.undernet.org

lulea.se.eu.undernet.org

ozbytes.dal.net

qis.md.us.dal.net

vancouver.dal.net

viking.dal.net

washington.dc.us.undernet.org

3. Hỏi: Cảnh báo về sâu Bagle phát tán trên mạng như thế nào?

Đáp:

Một biến thể sâu mới đang nhanh chóng phát tán từ châu Á và châu Âu sang Bắc Mỹ, làm đầy tràn dung lượng hòm thư của người sử dụng.

Alex Shipp, chuyên gia chống virus cao cấp của MessageLabs, cho biết đây là biến thể mới của sâu Bagle, với sức công phá tương đương với MyDoom, loại virus từng biến Google và các site tìm kiếm Internet khác trở thành những "con rùa bò" hồi tháng giêng. Hiện tại, MessageLabs đã nhận được khoảng 900.000 email có chứa virus. Theo ước tính của Shipp thì con số này chỉ chiếm khoảng 1% tổng số email có chứa loại sâu nói trên phát tán trong đợt này mà thôi. Do mỗi máy tính thường phải tiếp nhận cùng lúc nhiều email có chứa sâu và virus nên khó mà dự đoán được chính xác số người sử dụng bị "dính".

Nhận diện

Với các tên gọi Bagle.AT, Bagle.BB và Bagle.AU, loạt biến thể mới tự nguỵ trang cho chúng dưới dạng những câu chuyên cười. Nếu bạn nhận được những file có phần đính kèm là "Joke" hoặc "price" thì tốt nhất là hãy cẩn thận, rất có thể chúng đang ủ mã virus bên trong.

Phần thân của virus thường không có nội dung gì, ngoại trừ một biểu tượng emoticon hoặc một mặt cười. Chúng có thể hạ gục tất cả các máy tính chạy hệ điều hành Windows 95,98, ME,NT, 2000 và XP.

Tiêu đề thường gặp của các tin nhắn giả danh là Re:,Re:Hello, Re:Hi, Re:Thanks, Re:Thanks you.

Sau khi xâm nhập vào máy, virus sẽ "hốt" tất cả địa chỉ email có trong Microsoft Outlook rồi sử dụng phần mềm gửi mail tự động để tự phát tán tới những nạn nhân mới. Các máy tính nạn nhân sẽ bị tắt hết các hệ thống bảo mật như tường lửa và phần mềm chống virus chuyên bảo vệ máy tính. Riêng máy tính Win XP còn bị vô hiệu hoá cả dịch vụ bảo mật trung tâm bởi biến thể Bagle.AT.

Một hãng phần mềm bảo mật khác là McAfee cho biết biến thể mới của Bagle tuy lây lan nhanh trong suốt ngày hôm qua, song có vẻ như nó "tha không phá huỷ file hoặc tàn phá phần mềm". Các phiên bản biến thể đều có thể lan truyền qua đường email lẫn file chia sẻ. Chúng tự đính kèm theo file rồi tự động gửi đến các địa chỉ email mà chúng tìm thấy trong máy tính bị nhiễm. Nếu người nhận mở ra, Bagle sẽ tạo ra một chương trình cửa sau. Nếu người khác giao tiếp với máy bị nhiễm sâu, file độc hại sẽ tự động lây lan sang máy tính của anh ta. Nguy hiểm hơn, biến thể Bagle lần này còn vô hiệu hoá được các phần mềm bảo mật.

McAfee nhận được những báo cáo đầu tiên về biến thể mới từ châu Âu. Trong khi đó, Symantec lại cho biết những lời phàn nàn đầu tiên đến từ Nhật Bản. Còn đầu ngày hôm qua, Bagle đã hạ cánh xuống đất Mỹ. Tuy nhiên, theo các chuyên gia nhiều phần mềm bảo mật chuẩn đều có thể phát hiện và bảo vệ máy tính trước những biến thể mới nhất của sâu Bagle.

Còn nếu bạn không đăng ký với hãng phần mềm thì có thể truy cập vào website của McAfee để download một chương trình cứu hộ miễn phí có tên Stinger.

Cơ chế hoạt động

Sau khi xâm nhập vào máy, virus sẽ "hốt" tất cả địa chỉ email có trong Microsoft Outlook rồi sử dụng phần mềm gửi mail tự động để tự phát tán tới những nạn nhân mới. Các máy tính nạn nhân sẽ bị tắt hết các hệ thống bảo mật như tường lửa và phần mềm chống virus chuyên bảo vệ máy tính. Riêng máy tính Win XP còn bị vô hiệu hoá cả dịch vụ bảo mật trung tâm bởi biến thể Bagle.AT.

Một hãng phần mềm bảo mật khác là McAfee cho biết biến thể mới của Bagle tuy lây lan nhanh trong suốt ngày hôm qua, song có vẻ như nó "tha không phá huỷ file hoặc tàn phá phần mềm". Các phiên bản biến thể đều có thể lan truyền qua đường email lẫn file chia sẻ. Chúng tự đính kèm theo file rồi tự động gửi đến các địa chỉ email mà chúng tìm thấy trong máy tính bị nhiễm. Nếu người nhận mở ra, Bagle sẽ tạo ra một chương trình cửa sau. Nếu người khác giao tiếp với máy bị nhiễm sâu, file độc hại sẽ tự động lây lan sang máy tính của anh ta. Nguy hiểm hơn, biến thể Bagle lần này còn vô hiệu hoá được các phần mềm bảo mật.

McAfee nhận được những báo cáo đầu tiên về biến thể mới từ châu Âu. Trong khi đó, Symantec lại cho biết những lời phàn nàn đầu tiên đến từ Nhật Bản. Còn đầu ngày hôm qua, Bagle đã hạ cánh xuống đất Mỹ. Tuy nhiên, theo các chuyên gia nhiều phần mềm bảo mật chuẩn đều có thể phát hiện và bảo vệ máy tính trước những biến thể mới nhất của sâu Bagle.

Còn nếu bạn không đăng ký với hãng phần mềm thì có thể truy cập vào website của McAfee để download một chương trình cứu hộ miễn phí có tên Stinger. (Theo VietnamNet)

BKAV 561 cập nhật virus W32.Beagle.AV

Để diệt virus W32.Beagle.AV này bạn cần thực hiện theo các bước sau:

1. Tải phần mềm Bkav phiên bản BKAV 561 ( http://www.bkav.com.vn/download/Bkav561.exe )

về một thư mục trên máy.

2. Nếu bạn dùng Windows Me hoặc XP thì phải tắt chức năng System Restore của hệ điều hành đi.

3. Nếu máy của bạn có cài các chương trình diệt virus khác như NAV, McAffe thì phải tạm thời tắt chức năng tự động bảo vệ (Auto Protect) của các chương trình đó.

4. Chạy Bkav561, chọn quét tất cả các file, tất cả các ổ đĩa.

5. Khởi động lại máy tính.

Một số đặc điểm của virus W32.Beagle.AV

1. Tạo các bản sao của chính nó trong thư mục System của hệ thống dưới các tên sau:

wingo.exe

wingo.exeopen

wingo.exeopenopen

Cũng có thể có thêm các file sau:

wingo.exeopenopenopen

wingo.exeopenopenopenopen

2. Tạo key wingo để virus có thể tự động kích hoạt mỗi lần khởi động hệ điều hành. Key này đặt ở:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

3. Tìm và kết thúc các tiến trình của các chương trình diệt virus và firewall:

mcagent.exe

mcvsshld.exe

mcshield.exe

mcvsescn.exe

mcvsrte.exe

DefWatch.exe

Rtvscan.exe

ccEvtMgr.exe

NISUM.EXE

ccPxySvc.exe

navapsvc.exe

NPROTECT.EXE

nopdb.exe

ccApp.exe

Avsynmgr.exe

VsStat.exe

Vshwin32.exe

alogserv.exe

RuLaunch.exe

Avconsol.exe

PavFires.exe

FIREWALL.EXE

ATUPDATER.EXE

LUALL.EXE

DRWEBUPW.EXE

AUTODOWN.EXE

NUPGRADE.EXE

OUTPOST.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

ESCANH95.EXE

AVXQUAR.EXE

ESCANHNT.EXE

ATUPDATER.EXE

AUPDATE.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVXQUAR.EXE

AVWUPD32.EXE

AVPUPD.EXE

CFIAUDIT.EXE

UPDATE.EXE

NUPGRADE.EXE

MCUPDATE.EXE

pavsrv50.exe

AVENGINE.EXE

APVXDWIN.EXE

pavProxy.exe

navapw32.exe

navapsvc.exe

ccProxy.exe

navapsvc.exe

NPROTECT.EXE

SAVScan.exe

SNDSrvc.exe

symlcsvc.exe

LUCOMS~1.EXE

blackd.exe

bawindo.exe

FrameworkService.exe

VsTskMgr.exe

SHSTAT.EXE

UpdaterUI.exe

4. Đóng vai trò một BackDoor, mở và đợi ở cổng 81 cho phép kẻ phá hoại có thể điều khiển máy nạn nhân.

5. Quét toàn bộ các ổ đĩa, tìm các file và các thư mục:

a, Nếu là thư mục có chứa chuỗi Shar( Thường là các thư mục chia sẻ), virus sẽ tự copy chính nó vào thư mục đó với các tên sau:

Microsoft Office 2003 Crack, Working!.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Microsoft Office XP working Crack, Keygen.exe

Porno, sex, oral, anal cool, awesome!!.exe

Porno Screensaver.scr

Serials.txt.exe

KAV 5.0

Kaspersky Antivirus 5.0

Porno pics arhive, xxx.exe

Windows Sourcecode update.doc.exe

Ahead Nero 7.exe

Windown Longhorn Beta Leak.exe

Opera 8 New!.exe

XXX hardcore images.exe

WinAmp 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Adobe Photoshop 9 full.exe

Matrix 3 Revolution English Subtitles.exe

ACDSee 9.exe

b, Nếu là file, kiểm tra xem phần mở rộng của file có phải là một trong các kiểu có trong từ điển của nó để tìm các địa chỉ email có chứa trong đó. Từ điển các kiểu file của virus gồm:

.wab

.txt

.msg

.htm

.shtm

.stm

.xml

.dbx

.mbx

.mdx

.eml

.nch

.mmf

.ods

.cfg

.asp

.php

.pl

.wsh

.adb

.tbb

.sht

.xls

.oft

.uin

.cgi

.mht

.dhtm

5. Download file g.jpg từ các site sau:

http://www.bottombouncer.com/g.jpg

http://www.bottombouncer.com/g.jpg

http://www.anthonyflanagan.com/g.jpg

http://www.bradster.com/g.jpg

http://www.traverse.com/g.jpg

http://www.ims-i.com/g.jpg

http://www.realgps.com/g.jpg

http://www.aviation-center.de/g.jpg

http://www.gci-bln.de/g.jpg

http://www.pankration.com/g.jpg

http://www.jansenboiler.com/g.jpg

http://www.corpsite.com/g.jpg

http://www.everett.wednet.edu/g.jpg

http://www.onepositiveplace.org/g.jpg

http://www.raecoinc.com/g.jpg

http://www.wwwebad.com/g.jpg

http://www.corpsite.com/g.jpg

http://www.wwwebmaster.com/g.jpg

http://www.wwwebad.com/g.jpg

http://www.dragcar.com/g.jpg

http://www.wwwebad.com/g.jpg

http://www.oohlala-kirkland.com/g.jpg

http://www.calderwoodinn.com/g.jpg

http://www.buddyboymusic.com/g.jpg

http://www.smacgreetings.com/g.jpg

http://www.tkd2xcell.com/g.jpg

http://www.curtmarsh.com/g.jpg

http://www.dontbeaweekendparent.com/g.jpg

http://www.soloconsulting.com/g.jpg

http://www.lasermach.com/g.jpg

http://www.generationnow.net/g.jpg

http://www.flashcorp.com/g.jpg

http://www.kencorbett.com/g.jpg

http://www.FritoPie.NET/g.jpg

http://www.leonhendrix.com/g.jpg

http://www.transportation.gov.bh/g.jpg

http://www.transportation.gov.bh/g.jpg

http://www.jhaforpresident.7p.com/g.jpg

http://www.DarrkSydebaby.com/g.jpg

http://www.cntv.info/g.jpg

http://www.sugardas.lt/g.jpg

http://www.adhdtests.com/g.jpg

http://www.argontech.net/g.jpg

http://www.customloyal.com/g.jpg

http://www.ohiolimo.com/g.jpg

http://www.topko.sk/g.jpg

http://www.alupass.lu/g.jpg

http://www.sigi.lu/g.jpg

http://www.redlightpictures.com/g.jpg

http://www.irinaswelt.de/g.jpg

http://www.bueroservice-it.de/g.jpg

http://www.kranenberg.de/g.jpg

http://www.kranenberg.de/g.jpg

http://www.the-fabulous-lions.de/g.jpg

http://www.the-fabulous-lions.de/g.jpg

http://www.mongolische-renner.de/g.jpg

http://www.mongolische-renner.de/g.jpg

http://www.capri-frames.de/g.jpg

http://www.capri-frames.de/g.jpg

http://www.aimcenter.net/g.jpg

http://www.boneheadmusic.com/g.jpg

http://www.fludir.is/g.jpg

http://www.sljinc.com/g.jpg

http://www.tivogoddess.com/g.jpg

http://www.fcpages.com/g.jpg

http://www.andara.com/g.jpg

http://www.freeservers.com/g.jpg

http://www.programmierung2000.de/g.jpg

http://www.asianfestival.nl/g.jpg

http://www.aviation-center.de/g.jpg

http://www.gci-bln.de/g.jpg

http://www.mass-i.kiev.ua/g.jpg

http://www.jasnet.pl/g.jpg

http://www.atlantisteste.hpg.com.br/g.jpg

http://www.fludir.is/g.jpg

http://www.rieraquadros.com.br/g.jpg

http://www.metal.pl/g.jpg

http://www.handsforhealth.com/g.jpg

http://www.angelartsanctuary.com/g.jpg

http://www.firstnightoceancounty.org/g.jpg

http://www.chinasenfa.com/g.jpg

http://www.chinasenfa.com/g.jpg

http://www.ulpiano.org/g.jpg

http://www.gamp.pl/g.jpg

http://www.vikingpc.pl/g.jpg

http://www.woundedshepherds.com/g.jpg

http://www.cpc.adv.br/g.jpg

http://www.velocityprint.com/g.jpg

http://www.esperanzaparalafamilia.com/g.jpg

http://www.celula.com.mx/g.jpg

http://www.mexis.com/g.jpg

http://www.wecompete.com/g.jpg

http://www.vbw.info/g.jpg

http://www.gfn.org/g.jpg

http://www.aegee.org/g.jpg

http://www.deadrobot.com/g.jpg

http://www.cscliberec.cz/g.jpg

http://www.ecofotos.com.br/g.jpg

http://www.amanit.ru/g.jpg

http://www.bga-gsm.ru/g.jpg

http://www.innnewport.com/g.jpg

http://www.knicks.nl/g.jpg

http://www.srg-neuburg.de/g.jpg

http://www.mepmh.de/g.jpg

http://www.mepbisu.de/g.jpg

http://www.kradtraining.de/g.jpg

http://www.polizeimotorrad.de/g.jpg

http://www.sea.bz.it/g.jpg

http://www.uslungiarue.it/g.jpg

http://www.gcnet.ru/g.jpg

http://www.aimcenter.net/g.jpg

http://www.vandermost.de/g.jpg

http://www.vandermost.de/g.jpg

http://www.szantomierz.art.pl/g.jpg

http://www.immonaut.sk/g.jpg

http://www.eurostavba.sk/g.jpg

http://www.spadochron.pl/g.jpg

http://www.pyrlandia-boogie.pl/g.jpg

http://www.kps4parents.com/g.jpg

http://www.pipni.cz/g.jpg

http://www.selu.edu/g.jpg

http://www.travelchronic.de/g.jpg

http://www.fleigutaetscher.ch/g.jpg

http://www.irakli.org/g.jpg

http://www.oboe-online.com/g.jpg

http://www.oboe-online.com/g.jpg

http://www.pe-sh.com/g.jpg

http://www.idb-group.net/g.jpg

http://www.ceskyhosting.cz/g.jpg

http://www.ceskyhosting.cz/g.jpg

http://www.hartacorporation.com/g.jpg

http://www.glass.la/g.jpg

http://www.glass.la/g.jpg

http://www.24-7-transportation.com/g.jpg

http://www.fepese.ufsc.br/g.jpg

http://www.ellarouge.com.au/g.jpg

http://www.bbsh.org/g.jpg

http://www.boneheadmusic.com/g.jpg

http://www.sljinc.com/g.jpg

http://www.tivogoddess.com/g.jpg

http://www.fcpages.com/g.jpg

http://www.szantomierz.art.pl/g.jpg

http://www.elenalazar.com/g.jpg

http://www.ssmifc.ca/g.jpg

http://www.reliance-yachts.com/g.jpg

http://www.worest.com.ar/g.jpg

http://www.kps4parents.com/g.jpg

http://www.coolfreepages.com/g.jpg

http://www.scanex-medical.fi/g.jpg

http://www.jimvann.com/g.jpg

http://www.orari.net/g.jpg

http://www.himpsi.org/g.jpg

http://www.mtfdesign.com/g.jpg

http://www.jldr.ca/g.jpg

http://www.relocationflorida.com/g.jpg

http://www.rentalstation.com/g.jpg

http://www.approved1stmortgage.com/g.jpg

http://www.velezcourtesymanagement.com/g.jpg

http://www.sunassetholdings.com/g.jpg

http://www.compsolutionstore.com/g.jpg

http://www.uhcc.com/g.jpg

http://www.justrepublicans.com/g.jpg

http://www.pfadfinder-leobersdorf.com/g.jpg

http://www.featech.com/g.jpg

http://www.vinirforge.com/g.jpg

http://www.magicbottle.com.tw/g.jpg

http://www.giantrevenue.com/g.jpg

http://www.couponcapital.net/g.jpg

http://www.crystalrose.ca/g.jpg

http://www.crystalrose.ca/g.jpg

http://www.crystalrose.ca/g.jpg

http://www.crystalrose.ca/g.jpg

File này sẽ được lưu vào thư mục System của hệ điều hành dưới tên re_file.exe. Sau đó virus sẽ thực thi file re_file.exe này.

5. Xoá các Key khởi động của các chương trình diệt virus và firewall sau:

My AV

Zone Labs Client Ex

9XHtProtect

Antivirus

Special Firewall Service

service

Tiny AV

ICQNet

HtProtect

NetDy

Jammer2nd

FirewallSvr

MsInfo

SysMonXP

EasyAV

PandaAVEngine

Norton Antivirus AV

KasperskyAVEng

SkynetsRevenge

ICQ Net

trong các key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

6. Thực hiện gửi thư theo các địa chỉ thư tìm được, chỉ trừ các địa chỉ có chứa các chuỗi sau:

@hotmail

@msn

@microsoft

rating@

f-secur

news

update

anyone@

bugs@

contract@

feste

gold-certs@

help@

info@

nobody@

noone@

kasp

admin

icrosoft

support

ntivi

unix

bsd

linux

listserv

certific

sopho

@foo

@iana

free-av

@messagelab

winzip

google

winrar

samples

abuse

panda

cafee

spam

pgp

@avp.

noreply

local

root@

postmaster@

Các bức thư sẽ có đặc điểm như sau:

Tiêu đề:

Re:

Re: Hello

Re: Hi

Re: Thank you!

Re: Thanks :)

Nội dung:

:))

File đính kèm:

Price

price

Joke

với đuôi là .com, .cpl, .exe hoặc .scr.

Download BKAV: Download chương trình Bkav2002 (Version 561) 315kb

4. Hỏi: Cảnh báo về virus W32.Blackmal.C@mm

Đáp:

W32.Blackmal.C@mm là loại bom thư có chức năng hạ thấp các cấu hình bảo mật trên hệ thống máy tính lây nhiễm bằng cách xoá các file liên qua tới ứng dụng bảo mật. Sâu tự gửi bản copy tới tất cả các địa chỉ e-mail tìm thấy trong sổ địa chỉ của Outlook, Yahoo Messenger, và Yahoo Pager.

Hệ điều hành lây nhiễm:

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Mô tả:

Khi thực thi, W32.Blackmal.C@mm sẽ thực hiện các tác vụ sau:

1. Mở ứng dụng Windows Media Player.

2. Tạo ra các bản copy của sâu:

• %System%\Connection.exe

• %System%\Task.exe

• %System%\hhm.exe

• \winnt\volume\winhelp.exe

• \winnt\volume\twunk_32.exe

• %System%\sound_223.mp3

• %System%\movie_05.MP3

• %System%\PaltlkRoom.wav

• %System%\%System%\Video_live.mpg

3. Thả các file sau vào thư mục hệ thống:

• %System%\About_Blackworm.C.txt

• %System%\ossmtp.dll

Chú ý: %System% là một biến chỉ vị trí của thư mục hệ thống, theo mặc định là: C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), hoặc C:\Windows\System32 (Windows XP).

4. Thêm một trong số các giá trị sau:

"(default)" = "C:\winnt\volume\[twunk_32.exe]"

"(default)" = "C:\winnt\volume\[winhelp.exe]"

vào khoá registry để sâu có thể tự động chạy khi hệ thống khởi động:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run

5. Bổ sung giá trị:

"NoBetaMessage"="1"

... vào khoá registry:

HKEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\caution

6. Thêm các giá trị:

Name = "BlackWorm"

SN = "2AD00ED6"

... vào khoá registry:

HKEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\WinIni

7. Xoá các giá trị registry sau:

• _Hazafibb

• au.exe

• ccApp

• defwatch

• Explorer

• erthgdr

• gigabit.exe

• JavaVM

• KasperskyAv

• key

• MCUpdateExe

• MCAgentExe

• McRegWiz

• McVsRte

• McAfeeVirusScanService

• msgsvr32

• NPROTECT

• NAV Agent

• Norton Antivirus AV

• OLE

• PCClient.exe

• PCCIOMON.exe

• pccguide.exe

• PccPfw

• PCCClient.exe

• rtvscn95

• reg_key

• ScriptBlocking

• SSDPSRV

• system.

• Sentry

• ssate.exe

• Services

• tmproxy

• Taskmon

• Traybar

• Task

• VirusScan Online

• VSOCheckTask

• vptray

• Windows Services Host

• winupd.exe

• Windows Update

• win_upd.exe

• winupdt

• wersds.exe

... từ các khoá registry:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Run

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\RunServices

8. Xoá các file sau:

• C:\Program Files\Norton AntiVirus\*.exe

• C:\Program Files\McAfee\McAfee VirusScan\Vso\*.*

• C:\Program Files\McAfee\McAfee VirusScan\Vso

• C:\Program Files\McAfee\McAfee VirusScan\Vs

• C:\Program Files\Trend Micro\PC-cillin 2002\*.exe

• C:\Program Files\Trend Micro\PC-cillin 2003\*.exe

• C:\Program Files\Trend Micro\Internet Security\*.exe

• C:\Program Files\NavNT\*.exe

• C:\Program Files\HyperTechnologies\Deep Freeze\*.exe

Hướng dẫn loại bỏ W32.Blackmal.C@mm (Symantec)

1. Vô hiệu hoá chức năng System Restore (Windows Me/XP).

2. Nâng cấp phần mềm diệt virus.

3. Chạy phần mềm diệt virus ở chế độ quét toàn hệ thống (Full scan) và xoá tất cả các file có tên W32.Blackmal.C@mm.

4. Xoá giá trị có liên quan tới sâu trong registry

5. Hỏi: Cảnh báo về virus W32.Gaobot.BAJ (No64)

Đáp:

W32.Gaobot.BAJ là loại sâu lây nhiễm qua các tài nguyên chia sẻ mang và có khả năng sử dụng thành phần cổng sau của họ Mydoom để phát tán tới các máy tính khác. Sâu cũng cho phép kẻ tấn công có thể truy cập trái phép tới máy tính nạn nhân thông qua một kênh IRC định trước.

W32.Gaobot.BAJ vừa xuất hiện hôm 2-8. Khi thực thi, W32.Gaobot.BAJ sẽ thực hiện các tác vụ sau:

- Tự nhân bản vào thư mục "%System%\wmon32.exe". Chú ý: "%System%" là một biến và sâu có thể tự xác định được vị trí của thư mục hệ thống và nhân bản vào đó. Theo mặc định, vị trí của thư mục hệ thống là: C:\Windows\System (Windows 95/98/Me); C:\Winnt\System32 (Windows NT/2000); hoặc C:\Windows\System32 (Windows XP).

- Khóa registry sau để sâu có thể tự động chạy khi hệ thống khởi động.

- Kết nối tới một máy chủ IRC từ xa tại cổng 6667, và lắng nghe lệnh từ kẻ tấn công. Lệnh bao gồm: Tải và thực thi file; Quét mạng; Liệt kê, ngừng và khởi động các tiến trình; Kiểm soát file hệ thống (xoá, tạo và liệt kê các file); Khởi phát các cuộc tấn công từ chối dịch vụ (DoS); Chuyển cổng; Đánh cắp thông tin hệ thống và gửi e-mail tới kẻ tấn công.

- Quét các máy tính trên mạng và cố kết nối tới các tài nguyên chia sẻ nhờ sử dụng danh sách tên truy cập và mật khẩu có sẵn. Nếu thành công, sâu sẽ phát tán tới một máy khác.

- Quét máy tính bị lây nhiễm các biến thể của Mydoom. Nếu tìm thấy các biến thể này, W32.Gaobot.BAJ sẽ sử dụng thành phần cổng sau của Mydoom để copy sang một máy tính khác.

- Đánh cắp các khoá CD của các chương trình game sau: Command & Conquer Generals, FIFA 2003, Need For Speed Hot Pursuit 2, Soldier of Fortune II - Double Helix, Neverwinter, Rainbow Six III RavenShield, Battlefield 1942 Road To Rome, Project IGI 2, Counter-Strike, Unreal Tournament 2003, Half-Life.

6. Hỏi: Cảnh báo về bức thư với tựa đề "PHOTOS"?

Đáp:

Hôm 16 vừa qua, viện nghiên cứu Anjol cho biết họ đã phát hiện ra virus Win32/Ratos.worm.27136 đang được phát tán với tốc độ rất nhanh thông qua mạng thư điện tử. Worm là một dạng virus máy tính có khả năng lan truyền nhanh sang máy khác và làm chậm tốc độ các máy đó

Câu tựa "photos" là câu tựa chính mà dạng virus này sử dụng đẻ chuyển thư cho các máy khác. Ngoài ra trong thư còn gửi kèm theo nội dung 'LOL!;)))) hoặc fỉle đính kèm 'photos_arc.exe'

Virus Worm tìm đến các địa chỉ thư điện tử có trong máy đã bị nhiễm virus và gửi tới các địa chỉ trên với một lưu lượng thư khá lớn. Khi máy bị nhiễm thể loại virus này nó sẽ làm giảm tốc độ của máy đồng thời làm giảm tốc độ truy cập internet. Chính vì vậy khi mở hộp thư với các câu tựa dạng "photos" bạn hãy coi chừng và không nên mở dạng thư này.

7.Hỏi: Cảnh báo về virus W97.Depiris.A

Đáp: W97.Diperis.A là một loại virus marco lây nhiễm và tệp tin Microsoft Word và template. Virus có khả năng giảm mức cấu hình bảo mật chống macro trong Word.

Hệ điều hành lây nhiễm

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Ngày phát tác: 20/7/2004

Mô tả

Khi W97.Diperis.A thực thi, virus sẽ thực hiện các tác vụ sau:

1. Lây nhiễm và các file tạm của Microsoft Word, Normal.dot.

2. Lây nhiễm vào các file word đang mở.

3. Xoá các file sau:

• C:\Program Files\Microsoft Office\Office\StartUp\*.dot

• C:\WINDOWS\FAQ.doc

• C:\WINDOWS\Application Data\Microsoft\Excel\XLSTART\excel2r.xls

• C:\Program Files\Microsoft Office\Office\XLStart\excel2r.xls

• C:\Windows.reg

• C:\fix.bat

• C:\Sex.txt.vbs

Chú ý: Một số các đặc điểm trên có liên qua tới họ virus O97M.Toraja.

4. Giảm mức cấu hình bảo mật macro của Microsoft Word.

5. Bật các thành toolbar Microsoft Word sau:

• Control Toolbox

• Forms

• ActiveX Control

• Visual Basic

6. Tạo bảo copy của virus với các tên sau:

• C:\My Documents\Word97m2r.txt

• C:\My Documents\ThisDocumentm2r.txt

8.Hỏi: Cảnh báo về virus Backdoor.Nibu.H như thế nào?

Đáp:

Backdoor.Nibu.H sẽ mở một thành phần Trojan cổng sau trên hệ thống máy tính lây nhiễm. Trojan này đồng thời có thể thực hiện công việc của một keylogger (phần mềm ghi tác vụ bàn phím), định kỳ gửi thông tin đánh cắp tới một địa chỉ e-mail quy định trước.

Biệt danh: TrojanSpy.Win32.Dumarin.c

Hệ điều hành bị ảnh hưởng:

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Ngày xuất hiện: 17/6/2004

Mô tả

Khi thực thi, Backdoor.Nibu.H sẽ thực hiện các hoạt động sau:

* Tự nhân bản vào thư mục Windows với các tên sau:

%System%\dllx32.exe

%System%\dlla32.exe

%Startup%\dllw32.exe

Chú ý:

o "%System%" là một biến và Backdoor.Nibu.H có thể định vị được thư mục hệ thống rồi tự nhân bản vào vị trí đó. Theo mặc định, thư mục hệ thống sẽ là: C:\Windows\System (đối với Windows 95/98/Me); C:\Winnt\System32 (Windows NT/2000), hoặc C:\Windows\System32 (Windows XP).

o "%Startup%" là một biến và Backdoor.Nibu.H có thể định vị được thư mục hệ thống rồi tự nhân bản vào vị trí đó. Ví dụ: C:\Windows\Start Menu\Programs\Startup (Windows 95/98/Me); hoặc C:\Documents and Settings\ \Start Menu\Programs\Startup (Windows NT/2000/XP).

* Bổ sung giá trị:

"load32"="%System%\dllx32.exe" vào khóa registry sâu để Trojan có thể tự động chạy khi hệ thống khởi động:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run

* Sửa giá trị dữ liệu của "Shell" từ "explorer.exe" thành "explorer.exe %Windir%\system32\dlla32.exe" trong khóa registry sau để Trojan có thể tự động chạy khi Windows NT/2000/XP khởi động:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

* Sửa phần [boot] của System.ini file (chỉ với Windows 95/98/Me) thành:

[boot]

shell=explorer.exe %System%\dlla32.exe

để Trojan có thể chạy khi Windows 95/98/Me khởi động.

* Tìm kiếm các tiêu đề cửa số có tên trùng với các chuỗi sau nhằm thực hiện tác vụ ghi bàn phím. (Các tên sau chủ yếu là các website thanh toán trực tuyến)

Bank

bank

bull

Bull

cash

ebay

e-metal

Fethard

fethard

gold

Keeper

localhost

mull

PayPal

Storm

WebMoney

Winamp

WM Keeper

* Ghi tác vụ bàn phím được đánh vào các website có chứa chuỗi trên rồi sau đó lưu chúng trong một file log. File này có thể là: "%Windir%\1111k.log".

* Định kỳ kiểm tra các file lưu giữ thông tin đánh cắp để khi các file này có dung lượng đạt tới một ngưỡng nào đó, Trojan sẽ tiến hành gửi chúng cùng với thông tin về hệ điều hành, địa chi IP, cho một địa chỉ e-mail quy định từ trước.

* Lắng nghe lệnh từ xa trên các cổng TCP/1001 và 10000.

9.Hỏi: Cảnh báo về virus Trojan.Gletta.A như thế nào?

Đáp:

Trojan.Gletta.A là loại Trojan đánh cắp mật khẩu tài khoản ngân hàng. Ngoài ra, phần mềm này còn có chức năng của một keylogger, ghi các tác vụ bàn phím khi người dùng ghé thăm một số website không an toàn rồi gửi thông tin đó cho kẻ tấn công.

Trojan.Gletta.A

Ngày xuất hiện: 9/6/2004

Mô tả:

Khi thực thi, Trojan.Gletta.A sẽ thực hiện các tác vụ sau:

1. Tự nhân bản vào thư mục hệ thống với các tên sau:

%System%\Wmiprvse.exe

%System%\Ntsvc.exe

%Windir%\Userlogon.exe

Chú ý:

+ %System% là một biến và Trojan.Gletta.A có thể xác định được vị trí của thư mục hệ thống này rồi tự nhân bản vào đó. Theo mặc định, vị trí đó sẽ là: C:\Windows\System (đối với Windows 95/98/Me); C:\Winnt\System32 (đối với Windows NT/2000), hoặc C:\Windows\System32 (đối với Windows XP).

+ %Windir% là một một biến và Trojan.Gletta.A có thể xác định được thư mục cài đặt Windows này rồi tự nhân bản vào đó (mặc định sẽ là: C:\Windows hoặc C:\Winnt).

2. Tạo file %System%\Rsasec.dll, thực chất là một phần mềm ghi tác vụ bàn phím.

3. Tạo file %System%\rsacb.dll, thực chất là một file text.

4. Thêm giá trị:

"wmiprvse.exe"="%system%\wmiprvse.exe" vào khóa registry để sau có thể tự động chạy khi hệ thống khởi động:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run

5. Đối với NT/2000/XP, Trojan.Gletta.A sẽ bổ sung giá trị sau:

"Run" = "%Windir%\userlogon.exe"

vào khóa registry để sau có thể tự động chạy khi hệ thống khởi động:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\

CurrentVersion\Windows

6. Đối với Windows 95/98/Me, Trojan.Gletta.A sẽ bổ sung giá trị:

run=%Windir%\userlogon.exe

vào tệp tin Win.ini để Trojan có thể tự động chạy khi hệ thống khởi động:

7. Đối với Windows 95/98/Me, Trojan.Gletta.A sẽ thay đổi dòng "shell=" thành:

shell=explorer.exe %system%

tsvc.exe

để Trojan có thể tự động chạy khi hệ thống khởi động:

8. Trojan.Gletta.A sẽ ghi tác vụ bàn phím từ cửa sổ Internet Explorer có các tên sau:

National Australia Bank

ANZ Internet Banking - Logon

National Internet Banking

Citibank Australia

Welcome to Citi

Welcome to Citibank

Citi - Sign On

Bank of China

online@hsbc

HSBC in Hong Kong

Banesto

Sabadell

hoặc các địa chỉ sau:

https:/ /olb.westpac.com.au/ib/asp/

https:/ /olb.westpac.com.au/ib/

- Trojan.Gletta.A dùng động cơ SMTP riêng để gửi tệp tin lưu giữ thông tin về tác vụ bàn phím cho một địa chỉ e-mail bên ngoài. Trojan sử dụng máy chủ SMTP ở Nga để gửi thư.

E-mail này có những đặc điểm sau:

+ Dòng FROM và TO có cùng một tên miền "mail.ru"

+ Tiêu đề bắt đầu với dòng chữ: "Business News from"

10.Hỏi: Cảnh báo về virus I-Worm.Plexus.a bằng cách nào?

Đáp:

Plexus là loại virus máy tính được đánh giá khá nguy hiểm, có khả năng lây nhiễm đồng thời theo 3 con đường: e-mail, mạng chia sẻ tệp tin và lỗ hổng LSASS và RPC DCOM (trong Microsoft Windows). Plexus có chứa các đoạn mã viết lại của Mydoom bằng MS Visual C++, đoạn text chính được mã hoá.

Biệt danh: W32.Explet.A@mm

Ngày xuất hiện: 3/6/2004

Mô tả:

Sau khi xâm nhập vào hệ thống, Plexus sẽ tự nhân bản vào thư mục Windows\Systems 32 với cái tên upu.exe. và để có thể tự động chạy khi hệ thống khởi động, sâu sẽ tạo ra một giá trị trong khoá registry:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvClipRsv"=[đường dẫn tới file thực thi của virus]

Plexus cũng tạo ra một giá trị xác định duy nhất có tên 'expletus' để xác nhận sự tồn tại của bản thân trong hệ thống.

Lây nhiễm:

Qua mạng LAN và mạng chia sẻ tệp tin

Plexus tự nhân bản vào các thư mục chia sẻ và tài nguyên mạng dùng chung có thể tiếp cận dưới những tên sau:

AVP5.xcrack.exe

hx00def.exe

ICQBomber.exe

InternetOptimizer1.05b.exe

Shrek_2.exe

UnNukeit9xNTICQ04noimageCrk.exe

YahooDBMails.exe

Qua lỗ hổng trong Microsoft Windows

• Lỗ hổng LSASS

Plexus khai thác lỗ hổng LSASS trong Windows (bạn có thể tham khảo chi tiết tại bản tin an ninh số MS04-011(http://www.viruslist.com/click?_URL=http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx của Microsoft)

• Lỗ hổng RPC DCOM

Plexus cũng đồng thời khai thác lỗ hổng DCOM RPC theo các thức tương tự như virus Lovesan hồi năm ngoái (tham khảo chi tiết tại bản tin an ninh số MS03-026 (http://www.viruslist.com/click?_URL=http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx của Microsoft)

Qua file đính kèm theo e-mail

Plexus tìm kiếm trên ổ cứng máy tính nạn nhân các file có phần mở rộng sau để phát tán tới các địa chỉ đó:

htm

html

php

tbb

txt

- E-mail nhiễm virus có thể là một trong số các định dạng sau:

Biến thể 1

Tiêu đề:

RE: order

Thông điệp:

Hi. Here is the archive with those information, you asked me.

And don't forget, it is strongly confidencial!!! Seya, man. P.S. Don't forget my fee ;)

File đính kèm

SecUNCE.exe

Phiên bản 2

Tiêu đề

For you

Thông điệp

Hi, my darling smile_image Look at my new screensaver. I hope you will enjoy...

Your Liza

File đính kèm

AtlantI.exe

Phiên bản 3

Tiêu đề

Hi, Mike

Nội dung:

My friend gave me this account generator for

http://www.pantyola.com I wanna share it with you smile_image

And please do not distribute it. It's private.

File đính kèm:

Agen1.03.exe

Phiên bản 4

Tiêu đề

Good offer

Nội dung:

Greets! I offer you full base of accounts with passwords of mail server

yahoo.com. Here is archive with small part of it. You can see that all

information is real. If you want to buy full base, please reply me...

File đính kèm:

demo.exe

Phiên bản 5

Tiêu đề:

RE:

Nội dung:

Hi, Nick. In this archive you can find all those things, you asked me.

See you. Steve

File đính kèm

release.exe

Chức năng Trojan

Plexus mở cổng 1250 để cho phép tác giả của virus tải và thực thi file trên máy tính nạn nhân.

11.Hỏi: Cảnh báo về virus W32/Rbot -T như thế nào?

Đáp: W32/Rbot-T là sâu có khả năng lây nhiễm vào hệ thống thông qua các thư mục hoặc tệp file chia sẻ. Sâu còn chứa một thành phần Trojan, cho phép truy cập trái phép từ xa tới máy tính lây nhiễm thông qua các kênh IRC.

Bí danh: Backdoor.Rbot.gen, W32/Sdbot.worm.gen.h

Ngày xuất hiện: 27/5/2004

Mô tả:

- W32/Rbot-T tự nhân bản vào thư mục hệ thống dưới cái tên NAVSCAN64.EXE;

và để có thể tự động chạy khi hệ thống khởi động, sâu sẽ tạo ra một giá trị trong khóa registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

- W32/Rbot-T có thể tạo ra một số giá trị trong khóa registry như sau:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"

- W32/Rbot-T có thể sẽ xóa định dạng chia sẻ mặc định C$, D$, E$, IPC$ và ADMIN$ trên máy nhiễm virus.

- W32/Rbot-T cũng có thể ghi tác vụ bàn phím và lưu vào một file có tên DEBUG.TXT trong thư mục Windows.

12.Hỏi: Cảnh báo về virus W32/Francette-K như thế nào?

Đáp:

W32/Francette-K là một loại sâu máy tính kiêm Trojan cổng sau (backdoor), có chức năng tấn công vào các hệ thống đã bị nhiễm sâu W32/Mydoom trước đây.

Tên virus: W32/Francette-K

Loại sâu: Sâu Win32

Bí danh:

Worm.Win32.Francette.l, W32/Tumbi.worm.gen.b, W32.Francette.Worm, WORM_FRANCETTE.L

Ngày xuất hiện 27/05/2004

Mô tả:

- W32/Francette-K có thể xâm nhập vào các máy tính thông qua lỗ hổng DCOM RPC (để biết thêm thông tin về lỗ hổng này, bạn có thể xem qua bản tin an ninh số MS03-026 của Microsoft).

- W32/Francette-K cho phép tin tặc có thể xâm nhập trái phép từ xa tới hệ thống lây nhiễm. Sâu sẽ cài vào máy file "lol.dll" để ghi lại tác vụ bàn phím, rồi sau đó sẽ chuyển thông tin này tới một tài khoản e-mail bí mật.

- W32/Francette-K có thể kết nối tới một máy chủ IRC và để lại một "backdoor", cho phép kết nối thông qua các kênh IRC.

- W32/Francette-K sẽ tạo ra một giá trị trong khóa registry để sâu có thể tự động chạy khi máy tính khởi động:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft IIS

13.Hỏi: Tiêu diệt virus MyDoom.K bằng cách nào?

Đáp:

Mydoom. K là một loại "bom thư" lây nhiễm vào máy tính thông qua các địa chỉ e-mail thu thập được trên ổ cứng máy tính nạn nhân. Mydoom. K còn có chức năng của một "cổng sau", cho phép kẻ tấn công kết nối trái phép tới máy tính của nạn nhân.

Biệt danh: Win32:Mydoom [DLL], Worm/Mydoom.C.1, W32.Mydoom.B@mm, Win32:Mydoom-K [WRM], Worm/Mydoom.C.2, I-Worm.Mydoom.c, I-Worm/Mydoom.L, W32/Mydoom.k.dll

Ngày xuất hiện: 20/05/2004

Mô tả:

- E-mail nhiễm virus Mydoom.K mang các đặc điểm sau:

From:

Tiêu đề (Subject): mang một trong các tiêu đề sau:

• Error

• Circus

• Server Report

• Mail Transaction Failed

• Mail Delivery System

Thông điệp: được lựa chọn từ một trong số sau:

• test

• Mail transaction failed. Partial message is available.

• The message contains Unicode characters and has been sent as a binary attachment.

• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Phần đính kèm: mang một trong số các tên sau:

• thank

• game

• body

• message

• test

• data

• file

• text

• readme

• document

Tên file đính kèm thường có 2 phần mở rộng. Phần mở rộng thứ nhất có thể là một trong số các đuôi sau:

• doc

• htm

• txt

Phần mở rộng thứ hai có các đuôi sau:

• bat

• cmd

• exe

• scr

• pif

• zip

- Mydoom.K có thành phần cổng sau DLL, được gắn vào file EXPLORER.EXE, để file này có thể tải .DLL mỗi lần hệ thống khởi động. Cổng sau sẽ mở cổng TCP/3127 và lắng nghe lệnh từ một máy chủ ở xa.

- Mydoom.K được viết trên nền tảng Visual C++, chạy trên Windows 95, 98, ME, NT, 2000 và XP.

14.Hỏi: Biện pháp khắc phục virus W32.Skynet.N.Worm ra sao?

Đáp:

BKAV 660 cập nhật virus W32.Skynet.N.Worm

Để diệt virus này bạn cần thực hiện theo các bước sau:

1. Tải phần mềm Bkav phiên bản Bkav(http://www.bkav.com.vn/frmDownload.aspx) mới về một thư mục trên máy.

2. Nếu bạn dùng Windows Me hoặc XP thì phải tắt chức năng System Restore của hệ điều hành đi.

3. Nếu máy của bạn có cài các chương trình diệt virus khác như NAV, McAffe thì phải tạm thời tắt chức năng tự động bảo vệ (Auto Protect) của các chương trình đó.

4. Khởi động máy tính ra chế độ SafeMode của Windows..

5. Chạy Bkav mới, chọn quét tất cả các file, tất cả các ổ đĩa.

6. Khởi động lại máy tính.

Một số đặc điểm của virus W32.Skynet.N.Worm

1. Khi được thi hành, virus tạo bản sao chính nó trong %Windows% với tên file là VisualGuard.exe

Cũng trong thư mục này, virus tạo thêm các file sau :

BASE64.TMP

ZIPPED.TMP

ZIP1.TMP

ZIP2.TMP

ZIP3.TMP

ZIP4.TMP

ZIP5.TMP

ZIP6.TMP

2. Tạo mutex "NetDy_Mutex_Psycho" để virus không thực thi quá một lần trong cùng một thời điểm.

3. Thay đổi nội dung của Registry :

Thêm giá trị "NetDy" = "%Windows%\VisualGuard.exe" vào khóa "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" để virus được thực thi khi khởi động Windows.

Xóa các giá trị sau nếu có (hầu hết đây là những giá trị do virus họ Beagle hoặc MyDoom tạo ra) :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Explorer

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Explorer

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\system.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\msgsvr32

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\au.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\service

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\DELETE ME

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\OLE

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Sentry

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\gouday.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\rate.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Taskmon

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Taskmon

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Windows Services Host

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Windows Services Host

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\sysmon.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\srate.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ssate.exe

Xóa khóa sau :

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

4. Phát tán qua email :

Virus tìm địa chỉ email trong tất cả các file có phần tên mở rộng sau trên máy bị nhiễm :

.adb

.asp

.cgi

.dbx

.dhtm

.doc

.eml

.htm

.html

.jsp

.msg

.oft

.php

.pl

.rtf

.sht

.shtm

.tbb

.txt

.uin

.vbs

.wab

.wsh

.xml

Gửi email tới các địa chỉ tìm được, email có đặc điểm sau :

Tiêu đề : là một trong số :

read it immediately

important

improved

patched

corrected

approved

thanks!

hello

hi

here

(có thể có gắn thêm "Re:" hoặc "Re: Re:" trước các tiêu đề trên)

Nội dung: giả danh một thông báo từ Symantec (có cả logo của Symantec), là một trong số sau :

Your details.

Your document.

I have received your document.

The corrected document is attached.

I have attached your document.

Your document is attached to this mail.

Authentication required.

Requested file.

See the file.

Please read the important document.

Please confirm the document.

Your file is attached.

Please read the document.

Your document is attached.

Please read the attached file.

Please see the attached file for details.

File đính kèm có tên là một trong số :

document_all

text

message

data

excel document

word document

bill

screensaver

application

website

product

letter

information

details

file

document

important

approved

my

your

Phần tên mở rộng của file đính kèm thường là ".ZIP", bên trong là các file thi hành, thường có phần tên mở rộng được chèn rất nhiều dấu cách nhằm đánh lừa người dùng.

Chuyên viên phân tích: Dương Vũ Minh

Ngoài ra Bkav660 còn cập nhật 3 virus W32.Mytob mới là W32.Mytob.M, W32.Mytob.N, W32.Mytob.O.

15.Hỏi: Cách lọai bỏ virus W32.Wall.Wozm?

Đáp:

Bkav 656 cập nhật virus W32.Wallz.Worm

Virus W32.Wallz.Worm lây nhiễm vào các máy chạy Windows 2000/XP thông qua lỗi tràn bộ đệm của Windows (lỗi này được Microsoft mô tả trong Microsoft Security Bulletin MS04-011, và virus W32.Sasser.Worm đã sử dụng để lây nhiễm).

Để diệt các virus này bạn cần thực hiện theo các bước sau:

1. Tải phần mềm Bkav về một thư mục trên máy.

2. Tải bản sửa lỗi tương ứng cho Windows của bạn

a. Nếu máy tính của bạn sử dụng Windows2000: Bấm vào đây để tải về bản sửa lỗi cho Windows2000 (http://download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE )

b. Nếu máy tính của bạn sử dụng WindowsXP: Bấm vào đây để tải về bản sửa lỗi cho WindowsXP (http://download.microsoft.com/download/6/1/5/615a50e9-a508-4d67-b53c-3a43455761bf/WindowsXP-KB835732-x86-ENU.EXE )

c. Nếu máy tính của bạn sử dụng Windows Server™ 2003: Bấm vào đây để tải về bản sửa lỗi cho Windows Server™ 2003 (http://download.microsoft.com/download/4/d/7/4d74d7ae-e1f7-4c0b-b6e3-ed05f5a3c580/WindowsServer2003-KB835732-x86-ENU.EXE )

d. Nếu máy tính của bạn sử dụng WindowsNT, WindowsXP 64-bit hoặc Windows Server 2003 64-bit: Bấm vào đây để tải về bản sửa lỗi tương ứng. (http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx )

3.Nếu bạn dùng Windows Me hoặc XP thì phải tắt chức năng System Restore của hệ điều hành đi.

4.Nếu máy của bạn có cài các chương trình diệt virus khác như NAV, McAffe thì phải tạm thời tắt chức năng tự động bảo vệ (Auto Protect) của các chương trình đó.

5. Khởi động máy tính của bạn trong chế độ Safe mode.

6. Chạy Bkav656, chọn quét tất cả các file, tất cả các ổ đĩa.

7. Khởi động lại máy tính.

Một số đặc điểm của virus W32.Wallz.Worm

1. Khi được kích hoạt, nếu là lần đầu nó sẽ copy chính nó thành file %System%\mousehs.exe và chạy file này dưới dạng service và đăng ký service này với tên là "mousehs" với tên hiển thị là "Mouse Hardware Sync", mô tả chi tiết là "Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability." và chế độ khởi động là tự động để virus được chạy mỗi khi máy của bạn khởi động. sau đó nó xóa chính nó đi.

2. Các lần sau nó sẽ thay đổi các key sau trong registry:

• "EnableDCOM"="n" (mặc định là "Y") trong HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

• "restrictanonymous"="dword:00000001" (mặc định là "dword:00000000") trong HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3. Tạo ra file %Win%\Debug\dcpromo.log.

4. Tạo ra các địa chỉ IP ngẫu nhiên để tìm các máy chạy Windows bị lỗi tràn bộ đệm và cố gắng lây nhiễm qua cổng 445.

5. Kết nối tới symantec.loves.the.cock.pheer.biz và owjgp.game2max.net tại cổng 18067 để gửi địa chỉ IP của các máy đã lây nhiễm thành công và nhận một địa chỉ URL. Tải file tại URL đó và kích hoạt.

Chuyên viên phân tích: Đào Văn Huy

Ngoài ra Bkav 656 còn cập nhật các virus W32.Winfile.E, W32.Spybot.H và Trojan W32.Telecom.

16. Hỏi: Bằng cách nào để có thể diệt virus W32.Sasser.Worm?

Đáp:

Bkav516 cập nhật virus W32.Sasser.Worm

Mặc dù vẫn còn đang trong dịp nghỉ nhưng trong hai ngày qua, kể từ ngày 2/5/2004 và hôm nay 3/5/3004, chúng tôi đã liên tục nhận được những cuộc điện thoại từ nhiều nơi trong cả nước hỏi về sự xuất hiện của virus mới. Trong khi thế hệ virus Blaster (http://www.bkav.com.vn/frmView.aspx?Noidung=bkav476 ) và Welchia (http://www.bkav.com.vn/frmView.aspx?Noidung=bkav479 ) tạm lắng xuống thì trong mấy ngày nghỉ vừa qua, sự xuất hiện của virus mới mang tên W32.Sasser.Worm lại làm cho nhiều "nạn nhân" phải giật mình. Hiện tượng vẫn không khác so với trường hợp bị nhiễm virus Blaster trước đây, đó là: Khi máy tính được nối mạng thì chỉ sau vài phút liền bị tự động Shutdown. Do vẫn đang trong đợt nghỉ bù nên nhiều cơ quan chưa bắt đầu đi làm, nhưng trong sáng ngày mai, khi công việc tiếp tục trở lại, chúng tôi dự đoán rằng sẽ có nhiều máy tính trên cả nước bị nhiễm virus mới này. Hiện tại chúng tôi đã có được mẫu của virus và đã cập nhật chương trình diệt vào phiên bản Bkav516, chúng tôi đã hoàn tất khâu thử nghiệm phiên bản mới và tiến hành cập nhật lên website của Bkav. Sau đây là mô tả nhận dạng của virus và hướng dẫn xử lý:

Nếu máy tính của bạn có những triệu chứng như đề cập ở trên, bạn hãy làm theo các bước dưới đây. Cho dù máy tính của bạn không gặp những triệu chứng đó, nhưng nếu bạn đang sử dụng hệ điều hành Windows2000 hay WindowsXP thì cũng nên đọc hướng dẫn này để biết cách sửa lỗi cho Windows2000 và WindowsXP, đề phòng bị nhiễm những loại virus như W32.Sasser.Worm trong tương lai.

1. Trước tiên bạn hãy tải về các phần mềm sau:

a. Phiên bản Bkav516: Bấm vào đây để tải về Bkav516 (http://www.bkav.com.vn/frmDownload.aspx )

b. Nếu máy tính của bạn sử dụng Windows2000: Bấm vào đây để tải về bản sửa lỗi cho Windows2000 (http://download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE )

c. Nếu máy tính của bạn sử dụng WindowsXP: Bấm vào đây để tải về bản sửa lỗi cho WindowsXP (http://download.microsoft.com/download/6/1/5/615a50e9-a508-4d67-b53c-3a43455761bf/WindowsXP-KB835732-x86-ENU.EXE )

d. Nếu máy tính của bạn sử dụng Windows Server™ 2003: Bấm vào đây để tải về bản sửa lỗi cho Windows Server™ 2003 (http://download.microsoft.com/download/4/d/7/4d74d7ae-e1f7-4c0b-b6e3-ed05f5a3c580/WindowsServer2003-KB835732-x86-ENU.EXE )

e. Nếu máy tính của bạn sử dụng WindowsNT, WindowsXP 64-bit hoặc Windows Server 2003 64-bit: Bấm vào đây để tải về bản sửa lỗi tương ứng. (http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx )

2. Bạn tiếp tục thực hiện theo đúng các bước sau:

a. Ngắt máy bị nhiễm ra khỏi mạng, copy Bkav516 và phần mềm sửa lỗi vừa tải về vào máy đó (sử dụng đĩa mềm hoặc USB Disk). Bạn phải sử dụng user có quyền administration.

b. Nếu bạn dùng Windows XP thì phải tắt chức năng System Restore của hệ điều hành này bằng cách sau: Bấm chuột phải vào biểu tượng "My Computer" trên DeskTop -> chọn Properties -> chọn tab "System Restore" -> check vào lựa chọn "Turn off System Restore".

c. Chạy Bkav516, quét toàn bộ các ổ đĩa cứng.

d. Khởi động lại máy, chạy Bkav516 lần thứ hai, quét toàn bộ các ổ đĩa cứng.

e. Chạy phần mềm sửa lỗi nói trên. Đây là bước rất quan trọng để ngăn chặn virus không tấn công trở lại, khi chạy phần mềm sửa lỗi này đòi hỏi Windows2000 đã được cài bản Service Pack 2 trở lên.

Để cài đặt bản Service Pack 2 trở lên, bạn có thể download tại website của Microsoft (http://www.microsoft.com/downloads/relatedsites.aspx?displaylang=en ) tuy nhiên do dung lượng tương đối lớn (129MB đối với bản Service Pack 4), vì vậy bạn nên ra hiệu đĩa CD để hỏi mua đĩa cài đặt bản Service Pack 4. Các bạn chú ý rằng việc cài đặt bản Service Pack chỉ là điều kiện để cài đặt bản sửa lỗi cho virus này chứ không phải chỉ cài đặt bản Service Pack là có thể ngăn chặn sự tấn công trở lại của virus. Bạn vẫn phải cài đặt bản sửa lỗi cho virus này sau khi cài đặt bản Service Pack.

Lưu ý: Sau khi xử lý xong tất cả các máy thì mới cho mạng hoạt động trở lại.

Hiện tại, chúng tôi vẫn đang tiếp tục nghiên cứu thêm các đặc tính của worm mới này và sẽ bổ sung thêm những thông tin chi tiết hơn.

17. Hỏi: Cánh đơn giảng để lọai trừ virus Virus Bleah.C

Đáp:

Cách diệt Virus Bleah.C

Virus Bleah.C ( Bleah.D) là một loại Virus Boot. BKAV đã diệt được loại Virus này, tuy nhiên trên một số máy cơ chế diệt Virus này không thực hiện được. Nếu máy của bạn gặp phải trường hợp này bạn có thể thực hiện các cách sau để diệt.

Cánh 1:

-Cho máy tính thực hiện quét virus bằng BKAV2002. Trong lúc đang quét dở thì dừng quét và tắt luôn nguồn máy. Sau đó khởi động lại và kiểm tra lại lần nữa. Nếu vẫn còn bạn có thể thực hiện theo cách 2.

Cách 2:

-Tạo một đĩa mềm khởi động từ máy tính không bị nhiễm virus Bleah.C

-Copy vào đĩa mềm đó chương chình fdisk.exe (nằm trong thư mục Windows\Command)

-Khởi động máy bằng đĩa mềm đó.

-Sau khi khởi động. Tại dấu nhắc A:> đánh lệnh fdisk /mbr

-Khởi động lại máy.

18. Hỏi: Diệt virus Klez bằng cáh nào đơn giãn nhất?

Đáp:

Cách diệt virus Klez

Đối với Win9x, Me:

1. Tải Bkav401 về một thư mục nào đó trên máy của bạn.

2. Chạy Bkav401

3. Sau khi Bkav401 quét xong các ổ đĩa, hãy khởi động lại máy.

4. Cho Bkav401 quét lại một lần nữa là được.

Đối với WinNT, 2000, XP:

1. Tải Bkav401 về một thư mục nào đó trên máy của bạn.

2. Đối với WinNT, 2000, XP, nếu máy bị nhiễm Klez thì có thể xảy ra hiện tượng sau: Một số chương trình diệt virus khi chạy trên các máy tính này có thể bị dừng đột ngột giữa chừng và bị xoá khỏi ổ đĩa. Nếu gặp phải hiện tượng này, bạn phải tải thêm file BkilKlez.exe (bấm vào đây để tải về file BkilKlez.exe (http://www.bkav.com.vn/Download/bkilklez.exe) ) về máy của mình. Nếu không gặp hiện tượng nói trên thì không cần tải file BkilKlez.exe.

3. Chạy file BkilKlez.exe trước khi chạy Bkav401 nếu máy của bạn có hiện tượng nói trên, nếu không có hiện tượng đó thì sang luôn bước 4.

4. Chạy Bkav401

5. Sau khi Bkav401 quét xong các ổ đĩa, hãy khởi động lại máy.

6. Cho Bkav401 quét lại một lần nữa là được.

19.Hỏi: Virus máy tính là gì?

Đáp:

KIẾN THỨC CƠ SỞ VỀ VIRUS

Nếu chỉ nghe nói qua đến virus máy tính, thì những người không biết có thể cho rằng nó cũng nôm na tựa như một loại virus bệnh dịch nào đó, và họ thường phân vân không hiểu virus sẽ lây vào chỗ nào trong máy tính của mình và mình có cần cho máy tính của mình uống kháng sinh không nhỉ ?

Sự thật không phải vậy, virus máy tính thực chất chỉ là một chương trình máy tính có khả năng tự sao chép chính nó từ đối tượng lây nhiễm này sang đối tượng khác (đối tượng có thể là các file chương trình, văn bản, đĩa mềm...), và chương trình đó mang tính phá hoại. Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại, nhưng chỉ cần bạn nhớ rằng đó là một đoạn chương trình và đoạn chương trình đó dùng để phục vụ những mục đích không tốt

Virus máy tính là do con người tạo ra, quả thực cho đến ngày nay có thể coi nó đã trở thành như những bệnh dịch cho những chiếc máy tính và chúng tôi, các bạn, chúng ta là những người bác sĩ, phải luôn chiến đấu với bệnh dịch và tìm ra những phương pháp mới để hạn chế và tiêu diệt chúng. Cũng như mọi vấn đề ngoài xã hội, cũng khó tránh khỏi việc có những loại bệnh mà phải dày công nghiên cứu mới trị được, hoặc cũng có những trường hợp gây ra những hậu quả khôn lường. Chính vì vậy, phương châm "Phòng hơn chống" vẫn luôn đúng đối với virus máy tính.

20.Hỏi: Lịch sử phát triển của máy tính ra sao?

Đáp:

Lịch sử phát triển của virus máy tính

Có thể nói virus máy tính có một quá trình phát triển khá dài, và nó luôn song hành cùng người bạn đồng hành của nó là những chiếc "máy tính", (và tất nhiên là người bạn máy tính của nó chẳng thích thú gì. Khi mà Công nghệ phần mềm cũng như phần cứng phát triển thì virus cũng phát triển theo. Hệ điều hành thay đổi thì virus máy tính cũng tự thay đổi mình để phù hợp với hệ điều hành đó và để có thể ăn bám ký sinh. Tất nhiên là virus không tự sinh ra (và chắc thượng đế cũng chẳng muốn nặn ra một "sinh vật" như vậy).

Có thể việc viết virus mang mục đích phá hoại, thử nghiệm hay đơn giản chỉ là một thú đùa vui ác ý. Nhưng chỉ có điều những cái đầu thông minh này khiến chúng ta phải đau đầu đối phó và cuộc chiến này gần như không chấm dứt và nó vẫn tiếp diễn, và đó cũng là lý do khiến bạn phải ngồi đây và đọc những thông tin này.

Có nhiều tài liệu nói khác nhau nói về xuất xứ của virus máy tính, âu cũng là điều dễ hiểu, bởi lẽ và thời điểm đó con người chưa thể hình dung ra nổi một "xã hội" đông đúc và nguy hiểm của virus máy tính như ngày nay, điều đó cũng có nghĩa là không mấy người quan tâm tới chúng. Chỉ khi chúng gây ra những hậu quả nghiêm trọng như ngày nay, người ta mới lật lại hồ sơ để tìm hiểu. Tuy vậy, đa số các câu chuyện xoay quanh việc xuất xứ của virus máy tính đều ít nhiều liên quan tới những sự kiện sau:

1983 - Để lộ nguyên lý của trò chơi "Core War"

"Core War" là một cuộc đấu trí giữa hai đoạn chương trình máy tính do 2 lập trình viên viết ra. Mỗi đấu thủ sẽ đưa một chương trình có khả năng tự tái tạo gọi là Organism vào bộ nhớ máy tính. Khi bắt đầu cuộc chơi, mỗi đấu thủ sẽ cố gắng phá huỷ Organism của đối phương và tái tạo Organism của mình. Đấu thủ thắng cuộc là đấu thủ tự nhân bản được nhiều nhất.

Trò chơi "Core War" này được giữ kín đến năm 1983, Ken Thompson người đã viết phiên bản đầu tiên cho hệ điều hành UNIX, đã để lộ ra khi nhận một trong những giải thưởng danh dự của giới điện toán - Giải thưởng A.M Turing. Trong bài diễn văn của mình ông đã đưa ra một ý tưởng về virus máy tính dựa trên trò chơi "Core War". Cũng năm 1983, tiến sỹ Frederik Cohen đã chứng minh được sự tồn tại của virus máy tính.

Tháng 5 năm 1984 tờ báo Scientific America có đăng một bài báo mô tả về "Core War" và cung cấp cho độc giả những thông tin hướng dẫn về trò chơi này. Kể từ đó virus máy tính xuất hiện và đi kèm theo nó là cuộc chiến giữa những người viết ra virus và những người diệt virus.

1986 - Brain virus

Có thể được coi là virus máy tính đầu tiên trên thế giới, Brain âm thầm đổ bộ từ Pakistan vào nước Mỹ với mục tiêu đầu tiên là Trường Đại học Delaware. Một nơi khác trên thế giới cũng đã mô tả sự xuất hiện của virus, đó là Đại học Hebrew - Israel.

1987 - Lehigh virus xuất hiện

Lại một lần nữa liên quan tới một trường Đại học. Lehigh chính là tên của virus xuất hiện năm 1987 tại trường Đại học này. Trong thời gian này cũng có 1 số virus khác xuất hiện, đặc biệt WORM virus (sâu virus http://www.bkav.com.vn/frmView.aspx?Noidung=cbvirus3#WORM), cơn ác mộng với các hệ thống máy chủ cũng xuất hiện. Cái tên Jerusalem chắc sẽ làm cho công ty IBM nhớ mãi với tốc độ lây lan đáng nể: 500000 nhân bản trong 1 giờ.

1988 - Virus lây trên mạng

Ngày 2 tháng 11 năm 1988, Robert Morris đưa virus vào mạng máy tính quan trọng nhất của Mỹ, gây thiệt hại lớn. Từ đó trở đi người ta mới bắt đầu nhận thức được tính nguy hại của virus máy tính.

1989 - AIDS Trojan

Xuất hiện Trojan hay còn gọi là "con ngựa thành Tơ-roa", chúng không phải là virus máy tính, nhưng luôn đi cùng với khái niệm virus. "Những chú ngựa thành Tơ-roa" này khi đã gắn vào máy tính của bạn thì nó sẽ lấy cắp một số thông tin mật trên đó và gửi đến một địa chỉ mà chủ của chú ngựa này muốn nó vận chuyển đến, hoặc đơn giản chỉ là phá huỷ dữ liệu trên máy tính của bạn.

1991 - Tequila virus

Đây là loại virus đầu tiên mà giới chuyên môn gọi là virus đa hình, nó đánh dấu một bước ngoặt trong cuộc chiến giữa cái thiện và cái ác trong các hệ thống máy tính.

Đây thực sự là loại virus gây đau đầu cho những người diệt virus và quả thật không dễ dàng gì để diệt chúng. Chúng có khả năng tự thay hình đổi dạng sau mỗi lần lây nhiễm, là cho việc phát hiện ra chúng quả thật là khó. Bkav có cập nhật một số loại virus tương tự như vậy, và chúng tôi biết sự khó khăn khi diệt chúng như thế nào.

1992 - Michelangelo virus

Tiếp nối sự đáng sợ của "virus đa hình" năm 1991, thì công cụ năm 92 này tạo thêm sức mạnh cho các loại virus máy tính bằng cách tạo ra sự đa hình cực kỳ phức tạp. Quả thật họ luôn biết cách gây ra khó khăn cho những người diệt virus.

1995 - Concept virus

Sau gần 10 năm kể từ ngày virus máy tính đầu tiên xuất hiện, đây là loại virus đầu tiên có nguyên lý hoạt động gần như thay đổi hoàn toàn so với những tiền bối của nó. Chúng gây ra một cú sốc cho những công ty diệt virus cũng như những người tình nguyện trong lĩnh vực phòng chống virus máy tính. Cũng phải tự hào rằng khi virus này xuất hiện, trên thế giới chưa có loại "kháng sinh" nào thì tại Việt Nam chúng tôi đã đưa ra được giải pháp rất đơn giản để loại trừ loại virus này và đó cũng là thời điểm Bkav bắt đầu được mọi người sử dụng rộng rãi trên toàn Quốc.

Sau này những virus theo nguyên lý của Concept được gọi chung là virus macro(http://www.bkav.com.vn/frmView.aspx?Noidung=cbvirus3#VIRUSMACRO ), chúng tấn công vào các hệ soạn thảo văn bản của Microsoft (Word, Exel, Powerpoint), và những nhân viên văn phòng - những người sử dụng không am hiểu lắm về hệ thống - ắt hẳn sẽ không mấy dễ chịu với những con virus thích chọc ngoáy vào công trình đánh máy của họ

1996 - Boza virus

Khi hãng Microsoft chuyển sang hệ điều hành Windows95 và họ cho rằng virus không thể công phá thành trì của họ được, thì năm 1996 xuất hiện virus lây trên hệ điều hành Windows95 (có lẽ không nên thách thức những kẻ xấu, điều đó chỉ thêm kích động chúng)

1999 - Melissa, Bubbleboy virus

Đây thật sự là một cơn ác mộng với các máy tình trên khắp thế giới. Sâu Melissa không những kết hợp các tính năng của sâu Internet và virus marco, mà nó còn biết khai thác một công cụ mà chúng ta thường sử dụng hàng ngày là Microsoft Outlook Express để chống lại chính chúng ta. Khi máy tính của bạn bị nhiễm Mellisa, nó sẽ tự phân phát mình đi ( http://www.bkav.com.vn/frmView.aspx?Noidung=cbvirus3#VIRUSCHOWIN ) mà khổ chủ không hề hay biết. Và bạn cũng sẽ rất bất ngờ khi bị mang tiếng là phát tán virus.

Chỉ từ ngày thứ sáu tới ngày thứ hai tuần sau, virus này đã kịp lây nhiễm 250 ngàn máy tính trên thế giới thông qua Internet, trong đó có Việt Nam, gây thiệt hại hàng trăm triệu USD. Một lần nữa cuộc chiến lại sang một bước ngoặt mới, báo hiệu nhiều khó khăn bởi Internet đã được chứng minh là một phương tiện hữu hiệu để virus máy tính có thể lây lan trên toàn cầu chỉ trong vài tiếng đồng hồ.

Năm 1999 đúng là một năm đáng nhớ của những người sử dụng máy tính trên toàn cầu, ngoài Melissa, virus Chernobyl hay còn gọi là CIH đã phá huỷ dữ liệu của hàng triệu máy tính trên thế giới, gây thiệt hại gần 1 tỷ USD vào ngày 26 tháng 4.

2000 - DDoS, Love Letter virus

Có thể coi là vụ việc virus phá hoại lớn nhất từ trước đến nay, Love Letter có xuất xứ từ Philippines do một sinh viên nước này tạo ra, chỉ trong vòng có 6 tiếng đồng hồ đã kịp đi vòng qua 20 nước trong đó có Việt Nam, lây nhiễm 55 triệu máy tính, gây thiệt hại 8,7 tỷ USD. Theo nhận định của chúng tôi, virus này chỉ cần "cải tiến" một chút xíu thì thiệt hại có thể gấp trăm lần như thế.

Thế còn DDoS? Những virus này phát tán đi khắp nơi, nằm vùng ở những nơi nó lây nhiễm. Cuối cùng chúng sẽ đồng loạt tấn công theo kiểu "Từ chối dich vụ - Denial of Service" (yêu cầu liên tục, từ nhiều máy đồng thời, làm cho các máy chủ bị tấn công không thể phục vụ được nữa và dẫn đến từ chối những yêu cầu mới -> bị vô hiệu hoá) vào các hệ thống máy chủ khi người điều hành nó phất cờ, hoặc chúng tự định cùng một thời điểm tấn công. Và một hệ thống điện thoại của Tây Ban Nha đã là vật thí nghiệm đầu tiên.

2001 - Winux Windows/Linux Virus, Nimda, Code Red virus

Winux Windows/Linux Virus đánh dấu những virus có thể lây được trên các hệ điều hành Linux chứ không chỉ Windows. Chúng nguỵ trang dưới dạng file MP3 cho download. Nếu bạn là một người mê MP3 và mê nhạc thì phải hết sức cẩn thận.

Nimda, Code Red là những virus tấn công các đối tượng của nó bằng nhiều con đường khác nhau (từ máy chủ sang máy chủ, sang máy trạm, từ máy trạm sang máy trạm...), làm cho việc phòng chống vô cùng khó khăn, cho đến tận lúc này (tháng 9 năm 2002) ở Việt Nam vẫn còn những cơ quan với mạng máy tính có hàng trăm máy tính bị virus Nimda quấy nhiễu. Chúng cũng chỉ ra một xu hướng mới của các loại virus máy tính là "tất cả trong một", trong một virus bao gồm nhiều virus, nhiều nguyên lý khác nhau.

2002 - Sự ra đời của hàng loạt loại virus mới

Ngay trong tháng 1 năm 2002 đã có một loại virus mới ra đời. Virus này lây những file .SWF, điều chưa từng xảy ra trước đó (ShockWaveFlash - một loại công cụ giúp làm cho các trang Web thêm phong phú). Tháng 3 đánh dấu sự ra đời của loại virus viết bằng ngôn nhữ C#, một ngôn ngữ mới của Microsoft. Con sâu .Net này có tên SharpA và được viết bởi một người phụ nữ!

Tháng 5 SQLSpider ra đời và chúng tấn công các chương trình dùng SQL. Tháng 6, có vài loại virus mới ra đời:

Perrun lây qua Image JPEG (Có lẽ bạn nên cảnh giác với mọi thứ). Scalper tân công các FreeBSD/Apache Web server.

Đến đây các bạn đã nhìn nhận được phần nào lịch sử phát triển của virus máy tính. Chúng cũng được phát triển theo một trình tự lịch sử tiến hoá từ thấp đến cao. Đấy cũng chính là lí do mà chúng ta cũng luôn phải đau đầu để bắt kịp được tiến trình của chúng. Và nếu bạn là một người không đa nghi, điều đó rất tốt nhưng chúng tôi khuyên bạn nên biết nghi ngờ, bởi như bạn đã thấy, dường như tất cả mọi thứ đều có thể nhiễm virus, chúng không tha bất cứ cái gì và chúng sẽ thâm nhập vào tất cả những gì có thể. Bạn hãy tự tạo cho mình phương thức phòng chống hữu hiệu, và nếu chúng tôi có thể làm gì cho bạn, chúng tôi sẽ gắng hết sức mình như là những Bác sĩ của máy tính cho chúng uống kháng sinh vậy

18. Hỏi: Virus có những lọai như thế nào?

Đáp:

hơn về virus thì hãy đọc phần này, nó sẽ giúp bạn có thêm một số kiến thức về các loại virus máy tính, để có thể tự tin trong việc phòng chống chúng. Tuy nhiên, nếu không cũng không sao, bạn chỉ cần nhớ câu nói trong phần trên là đủ: "Dường như tất cả mọi thứ đều có thể nhiễm virus, chúng không tha bất cứ cái gì và chúng sẽ thâm nhập vào tất cả những gì có thể".

Virus Boot | Virus File | Virus Macro | Ngựa Thành Tơ-roa - Trojan| Sâu Internet - Worm

Virus Boot

Khi bạn bật máy tính,một đoạn chương trình nhỏ để trong ổ đĩa khởi động của bạn sẽ được thực thi. Đoạn chương trình này có nhiệm vụ nạp hệ điều hành mà bạn muốn (Windows, Linux hay Unix...). Sau khi nạp xong hệ điều hành bạn mới có thể bắt đầu sử dụng máy. Đoạn mã nói trên thường được để ở trên cùng của ổ đĩa khởi động, và chúng được gọi là "Boot sector". Những virus lây vào Boot sector thì được gọi là virus Boot.

Virus Boot thường lây lan qua đĩa mềm là chủ yếu. Ngày nay ít khi chúng ta dùng đĩa mềm làm đĩa khởi động máy, vì vậy số lượng virus Boot không nhiều như trước. Tuy nhiên, một điều rất tệ hại là chúng ta lại thường xuyên để quên đĩa mềm trong ổ đĩa, và vô tình khi bật máy, đĩa mềm đó trở thành đĩa khởi động, điều gì xảy ra nếu chiếc đĩa đó có chứa virus Boot?

Virus File

Là những virus lây vào những file chương trình như file .com, .exe, .bat, .pif, .sys... Có lẽ khi đọc phần tiếp theo bạn sẽ tự hỏi "virus Macro cũng lây vào file, tại sao lại không gọi là virus File?". Câu trả lời nằm ở lịch sử phát triển của virus máy tính. Như bạn đã biết qua phần trên, mãi tới năm 1995 virus macro mới xuất hiện và rõ ràng nguyên lý của chúng khác xa so với những virus trước đó (những virus File) nên mặc dù cũng lây vào các File, nhưng không thể gọi chúng là virus File.

Virus Macro

Là loại virus lây vào những file văn bản (Microsoft Word) hay bảng tính (Microsoft Excel) và cả (Microsoft Powerpoint) trong bộ Microsoft Office. Macro là những đoạn mã giúp cho các file của Ofice tăng thêm một số tính năng, có thể định một số công việc sẵn có vào trong macro ấy, và mỗi lần gọi macro là các phần cái sẵn lần lượt được thực hiện, giúp người sử dụng giảm bớt được công thao tác. Có thể hiểu nôm na việc dùng Macro giống như việc ta ghi lại các thao tác, để rồi sau đó cho tự động lặp lại các thao tác đó với chỉ một lệnh duy nhât.

Ở Việt Nam không có nhiều người dùng đến các macro, vì vậy Bkav có một tuỳ chọn là diệt "Tất cả các Macro" hay "All Macro", khi chọn tuỳ chọn này thì Bkav sẽ xoá tất cả các macro có trong máy mà không cần biết chúng có phải là virus hay không, điều này đồng nghĩa với việc tất cả các virus macro có trong máy cũng sẽ bị diệt theo. Như vậy, nếu bạn có sử dụng macro cho công việc của mình thì không nên chọn tuỳ chọn này (khi không dùng tuỳ chọn này thì bkav chỉ diệt những macro đã được xác minh chính xác là virus), còn nếu bạn không dùng đến macro hay cũng chẳng để ý nó là cái gì (tức là bạn không dùng đến chúng) thì bạn nên dùng tuỳ chọn này, nó sẽ giúp bạn loại bỏ nỗi lo với những virus macro bất kể chúng vừa xuất hiện (đồng nghĩa với việc chưa có phần mềm diệt virus nào nhận diện được chính xác nó là virus) hay xuất hiện đã lâu (đồng nghĩa với việc đã được các phần mèm diệt virus nhận diện chính xác).

Con ngựa Thành Tơ-roa - Trojan Horse

Thuật ngữ này dựa vào một điển tích cổ, đó là cuộc chiến giữa người Hy Lạp và người thành Tơ-roa. Thành Tơ-roa là một thành trì kiên cố, quân Hy Lạp không sao có thể đột nhập vào được. Người ta đã nghĩ ra một kế, giả vờ giảng hoà, sau đó tặng thành Tơ-roa một con ngựa gỗ khổng lồ. Sau khi ngựa được đưa vào trong thành, đêm xuống những quân lính từ trong bụng ngựa xông ra và đánh chiếm thành từ bên trong.

Phương pháp trên cũng chính là cách mà các Trojan máy tính áp dụng. Đầu tiên kẻ viết ra Trojan bằng cách nào đó lừa cho đối phương sử dụng chương trình của mình, khi chương trình này chạy thì vẻ bề ngoài cũng như những chương trình bình thường (một trò chơi, hay là những màn bắn pháo hoa đẹp mắt chảng hạn). Tuy nhiên, song song với quá trình đó, một phần của Trojan sẽ bí mật cài đặt lên máy nạn nhân. Đến một thời điểm định trước nào đó chương trình này có thể sẽ ra tay xoá dữ liệu, hay gửi những thứ cần thiết cho chủ nhân của nó ở trên mạng (ở Việt Nam đã từng rất phổ biến việc lấy cắp mật khẩu truy nhập Internet của người sử dụng và gửi bí mật cho chủ nhân của các Trojan).

Khác với virus, Trojan là một đoạn mã chương trình HOÀN TOÀN KHÔNG CÓ TÍNH CHẤT LÂY LAN Nó chỉ có thể được cài đặt bằng cách người tạo ra nó "lừa" nạn nhân. Còn virus thì tự động tìm kiếm nạn nhân để lây lan.

Thông thường các phần mềm có chứa Trojan được phân phối như là các phần mềm tiện ích, phần mềm mới hấp dẫn, nhằm dễ thu hút người sử dụng. Vì vậy bạn hãy cẩn thận với những điều mới lạ, hấp dẫn nhưng không rõ nguồn gốc!

Sâu Internet Worm

Sâu Internet -Worm quả là một bước tiến đáng kể và đáng sợ nữa của virus. Worm kết hợp cả sức phá hoại của virus, sự bí mật của Trojan và hơn hết là sự lây lan đáng sợ mà những kẻ viết virus trang bị cho nó, cũng một phần. Một kẻ phá hoại với vũ khí tối tân. Tiêu biểu như Mellisa hay Love Letter. Với sự lây lan đáng sợ chúng đã làm tê liệt hàng loạt các hệ thống máy chủ, làm ách tắc đường truyền.

Worm thường phát tán bằng cách tìm các địa chỉ trong sổ địa chỉ (Address book) của máy mà nó đang lây nhiễm, ở đó thường là địa chỉ của bạn bè, người thân, khách hàng... của chủ máy. Tiếp đến, nó tự gửi chính nó cho những địa chỉ mà nó tìm thấy, tất nhiên với địa chỉ người gửi là chính bạn, chủ sở hữu của chiếc máy. Điều nguy hiểm là những việc này diễn ra mà bạn không hề hay biết, chỉ khi bạn nhận được thông báo là bạn đã gửi virus cho bạn bè, người thân thì bạn mới vỡ lẽ rằng máy tính của mình bị nhiễm virus (mà chưa chắc bạn đã tin như thế!!?). Với cách hoàn toàn tương tự trên những máy nạn nhân, Worm có thể nhanh chóng lây lan trên toàn cầu theo cấp số nhân, điều đó lý giải tại sao chỉ trong vòng vài tiếng đồng hồ mà Mellisa và Love Letter lại có thể lây lan tới hàng chục triệu máy tính trên toàn cầu. Cái tên của nó Worm hay "Sâu Internet" cho ta hình dung ra việc những con virus máy tính "bò" từ máy tính này qua máy tính khác trên các "cành cây" Internet.

Với sự lây lan nhanh và rộng lớn như vậy, Worm thường được kẻ viết ra chúng cài thêm nhiều tính năng đặc biêt, chẳng hạn như chúng có thể định cùng một ngày giờ và đồng loạt từ các máy nạn nhân (hàng triệu máy) tấn công vào một địa chỉ nào đó, máy chủ có mạnh đến mấy thì trước một cuộc tấn công tổng lực như vậy thì cũng phải bó tay, Website của nhà Trắng là một ví dụ. Ngoài ra, chúng còn có thể cho phép chủ nhân của chúng truy nhập vào máy của nạn nhân và có thể làm đủ mọi thứ như ngồi trên máy dó một cách bất hợp pháp.

Ở đây chúng tôi chỉ có thể nói sơ qua về lịch sử, cũng như phân loại virus nhằm cung cấp cho các bạn một cách nhìn nhận đúng đắn về virus máy tính, để từ đó sẽ có những phương pháp hữu hiệu ngăn chặn chúng.

Bạn đang đọc truyện trên: Truyen247.Pro

Trước Sau
Tags: #may#tinh