Đồ án Cách phòng chống và khắc phục virut có hiệu quả

Virus mới nhất 3. Chạy quét toàn bộ hệ thống 4. Xoá các giá trị được ghi vào registry II) Cách diêt: Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất kỳ sự thay đổi Click Start > Run. Type regedit Click OK. Xoá các gía trị được ghi vào Registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\"midi1" = "[RANDOM CHARACTERS][RANDOM DIGITS].dll"HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\InprocServer32\(Default Value) = "[RANDOM CHARACTERS][RANDOM DIGITS].dll"HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\TypeLib\(Default Value) = {[RANDOM CLSID]}HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\(Default Value) = "[RANDOM CHARACTERS][RANDOM DIGITS]" Xoá giá trị sau HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{[RANDOM CLSID]} Thoát khỏi registry VBS.Runauto.E Phát hiện: November 2, 2007 Cập nhật: November 2, 2007 10:55:58 AM Kiểu: Worm Có kick thước khoảng : 5,320 bytes Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 Khi nhiễm Trojan sẽ gây ra một số hoạt động sau Khởi tạo thêm file vào hệ thống • %Windir%\achitasin.dll.vbs • %SystemDrive%\achi.htm Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"achitasin" = "%Windir%\achitasin.dll.vbs" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = "Hacked by Achitasin & ???? ???" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "C:\achi.htm" Sau đó nó sẽ khởi tạo thêm file vào tất cả các ổ trên hệ thống %DriveLetter%\achitasin.dll.vbs %DriveLetter%\autorun.inf  Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét  1. Click Start > Run.  2. Type regedit  3. Click OK. Bạn vào tìm khóa sau và xóa đi HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = "Hacked by Achitasin & ???? ???" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"achitasin" = "%Windir%\achitasin.dll.vbs" 4. Bạn vào tìm khóa sau và xóa đi HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "C:\achi.htm" 5. Thoát khỏi regedit W32.Sillyban.A Phát hiện: October 3, 2007 Cập nhật: October 3, 2007 12:53:09 PM Kiểu: Worm Có kick thước khoảng : 110,592 bytes Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows Vista , Windows 2000 Khi nhiễm Trojan sẽ gây ra một số hoạt động sau • %Windir%\Media\StartUp\scvhost.exe • %System%\hostdll.exe • %System%\taskfile.exe • %Windir%\spool32.exe • %SystemDrive%\HaveaBadDay.sys Khởi tạo vào Ổ C, K của hệ thống %DriveLetter%\New_Folder.exe %DriveLetter%\autorun.inf • %DriveLetter%\cool data.exe • %DriveLetter%\New Folder (4).exe • %DriveLetter%\dataku.exe • %DriveLetter%\data kuliah.exe • %DriveLetter%\New Folder (5).exe • %DriveLetter%\system.exe • %DriveLetter%\funny doc.exe Tiếp theo nó khởi tạo một số đối tượng sau • %CurrentFolder%\jangan dihapus .exe • %CurrentFolder%\my sweety .exe • %CurrentFolder%\foto cewek .exe • %CurrentFolder%\kekasishku .exe • %CurrentFolder%\data penting .exe • %CurrentFolder%\downlodan .exe • %CurrentFolder%\update antivir .exe • %CurrentFolder%\kumpulan program .exe • %CurrentFolder%\movie bkp .exe • %CurrentFolder%\nitip .exe • %CurrentFolder%\folder option .exe • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"NeverShowExt" = "" • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WindowsProfile.EXE\"(default)" = "%Windir%\Media\StartUp\scvhost.exe" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"NoFolderOptions" = "1" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"WindowsProfile" = "WindowsProfile Rundll32.exe" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Printer Cpl" = "%Windir%\spool32.exe" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestore\"DisableConfig" = "1" •HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\"DisableMSI" = "1" • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = ">> Have A Bad Day <<" • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\"Startup" = "%Windir%\Media\StartUp" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFind" = "1" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoRun" = "1" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableCMD" = "1" Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft Word" = "%System%\hostdll.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableRegistryTools" = "1" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableTaskMgr" = "1" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1" •HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"(default)" = "File Folder" •HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"TileInfo" = "prop:DocComments" • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"InfoTip" = "prop:DocComments" •HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command\"(default)" = "cmd.exe /c del "%1"" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\"RegisteredOrganization" = "your system is mine" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\"RegisteredOwner" = "your system is mine" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe, C:\WINDOWS\system32\taskfile.exe" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = 1" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ClassicViewState" = "0" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "5B" Tiếp nó tìm kiếm tất cả các file sau • .doc • .mpg • .3pg • .wmv • .rar • .jpg • .txt %CurrentFolder%\[FILE NAME].[EXTENSION].exe • kill • hijack • reg • process Với thông điệp như sau Have a Bad Day  Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét  1. Click Start > Run.  2. Type regedit  3. Click OK. 4. Tìm kiếm và xóa giá trị sau HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"NeverShowExt" = "" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WindowsProfile.EXE\"(default)" = "%Windir%\Media\StartUp\scvhost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableRegistryTools" = "1" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableTaskMgr" = "1" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"NoFolderOptions" = "1" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"WindowsProfile" = "WindowsProfile Rundll32.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Printer Cpl" = "%Windir%\spool32.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\"DisableConfig" = "1" HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\"DisableMSI" = "1" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = ">> Have A Bad Day <<" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\"Startup" = "%Windir%\Media\StartUp" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFind" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoRun" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableCMD" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft Word" = "%System%\hostdll.exe" 5. Tìm kiếm và xóa giá trị sau HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"(default)" = "File Folder" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"TileInfo" = "prop:DocComments" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"InfoTip" = "prop:DocComments" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command\"(default)" = "cmd.exe /c del "%1"" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\"RegisteredOrganization" = "your system is mine" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\"RegisteredOwner" = "your system is mine" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe, C:\WINDOWS\system32\taskfile.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = 1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ClassicViewState" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "5B" 6. Thoát khỏi regedit W32.Virut.W Phát hiện: September 27, 2007 Cập nhật: September 27, 2007 10:54:25 PM Kiểu: Virus Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Khi nhiễm Trojan sẽ gây ra một số hoạt động sau Nó tạo ta modul thể hiện những cảnh báo và chạy cùng máy tính mỗi khi ngừoi dùng sử dụng Virus sẽ lây lan tới tất cả các file có đuôi mở rộng .exe or .scr Nó lây lan tới tất cả các file với chuỗi kí tự sau • PSTO • WC32 • WCUN • WINC Nó sẽ sử dụng phương thức proxim.ircgalaxy.pl on TCP port 80 làm cho ngừoi dùng có thể bị tấn công từ xa Nó sẽ tự động điều khiển tới site sau [http://]ntkrnlpa.info  Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét Sâu W32.Whybo.Z Phát hiện: August 27, 2007 Cập nhật: August 27, 2007 4:43:28 PM Kiểu: Win32/Fuceb [Computer Associates] Có kick thước khoảng : 89,088 bytes Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Khi nhiễm Trojan sẽ gây ra một số hoạt động sau • %System%\serivces.exe • %SystemDrive%\Program Files\Common Files\Microsoft Shared\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\Program Files\Internet Explorer\Connection Wizard\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\Program Files\Windows Media Player\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\WINDOWS\addins\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\WINDOWS\system\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\WINDOWS\system32\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\WINDOWS\system32\drivers\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\WINDOWS\system32\dllcache\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\WINDOWS\system32\IME\[FIVE RANDOM LOWERCASE LETTERS].exe Khởi tạo file vào temporary: %System%\update.bak %DriveLetter%:\setup.exe %DriveLetter%:\AutoRun.inf Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động Service Name: Services management Image Path: %System%\serivces.exe • ComPlus Applications;Messenger • Documents and Settings • Internet Explorer • Messenger • Microsoft Frontpage • Movie Maker • NetMeeting • Outlook Express • Recycled • System Volume Information • Windows Media Player • Windows NT • WINDOWS • WindowsUpdate • WINNT  Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét Sâu Spyware.MSNSpyMonitor Cập nhật: August 20, 2007 11:44:06 AM Kiểu: Spyware Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Khi nhiễm Trojan sẽ gây ra một số hoạt động sau • %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\MsnSpy.lnk • %UserProfile%\Desktop\MsnSpy.lnk • %UserProfile%\Start Menu\Programs\MsnSpy\MsnSpy Help.lnk • %UserProfile%\Start Menu\Programs\MsnSpy\MsnSpy.lnk • %UserProfile%\Start Menu\Programs\MsnSpy\Uninstall.lnk • %ProgramFiles%\MsnSpy\msnspy.chm • %ProgramFiles%\MsnSpy\msnspy.exe • %ProgramFiles%\MsnSpy\readme.rtf • %ProgramFiles%\MsnSpy\Uninstall.exe • %ProgramFiles%\MsnSpy\WinPcap_3_1.exe Tiếp theo nó sẽ khởi tạo vào trong regedit • HKEY_ALL_USERS\Software\MsnSpy • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MsnSpy Nó sẽ lấy thông tin khi mà ngừoi sử dụng Windows Live Messenger, MSN Messenger, and Windows Messenger)  Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét  1. Click Start > Run.  2. Type regedit  3. Click OK. Bạn hãy vào và xóa khóa sau 4. HKEY_ALL_USERS\Software\MsnSpy HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MsnSpy 5. Thóat khỏi regedit Sâu Backdoor.Ginwui.F Phát hiện: August 10, 2007 Cập nhật: August 10, 2007 5:29:49 PM Kiểu: Trojan Có kick thước khoảng : 234,112 bytes; 111,104 bytes; 90,112 bytes Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 Khi nhiễm Trojan sẽ gây ra một số hoạt động sau • %Temp%\ excel.exe • %Temp%\[ORIGINAL FILE NAME].pps • %System%\US2.EXE • %System%\kb20060919.log • %System%\WINFBI32.DLL Tiếp theo nó sẽ khởi tạo vào regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs" = "%System%\WINFBI32.dll" Nó sử dụng kỹ thuật rootkit để che đấu những file mà nó khởi tạo Sẽ khởi tạo một host và sau đó tự động kết nối tới Web sau [http://][REMOVED].7766.org/ Nó sẽ tự sửa đổi thành những hàm sau • Send types of hard disk drives to the attacker • Search hard disks for files • Download and upload files • Create and remove folders • Execute commands • Update the Trojan's registry entries  Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét  1. Click Start > Run.  2. Type regedit  3. Click OK. Tìm đến và xóa đi HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs" = "%System%\WINFBI32.dll" 4. Thoát khỏi regedit Spyware.StealthChatMon Cập nhật: July 23, 2007 3:22:12 PM Kiểu: Spyware Name: Stealth Chat Monitor Version: 1.5 (build 93) Publisher: Amplusnet Risk Impact: High Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 Khi nhiễm Trojan sẽ gây ra một số hoạt động sau • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\AIMusers.usr • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\ICQusers.usr • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\MSNusers.usr • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\Skypeusers.usr • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\SysAllDaySysMessenger.xsl • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\Sysbk.bmp • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\SysMessenger.xsl • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\SystemChatErrors.txt • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\TestEmail.xml • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\Yahoousers.usr • C:\Documents and Settings\All Users\Application Data\SystemMessenger\SendEmail.exe • C:\Documents and Settings\All Users\Application Data\SystemMessenger\SystemChatHelp.chm • C:\Documents and Settings\All Users\Application Data\SystemMessenger\SystemMessenger.dll • C:\Documents and Settings\All Users\Application Data\SystemMessenger\SystemMessenger.exe • C:\Documents and Settings\All Users\Application Data\SystemMessenger\SystemMessengerUninstaller.exe • C:\Documents and Settings\All Users\Application Data\SystemMessenger\xcacls.exe Nó sẽ khởi tạo thêm file sau • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\AIM • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\ICQ • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\MSN • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\Skype • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\Users • C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\Yahoo • Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SystemMessenger" = "C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\All Users\Application Data\SystemMessenger\SystemMessenger.dll" rdl" HKEY_LOCAL_MACHINE\SOFTWARE\SystemMessenger • AIM • ICQ • MSN • Skype • Yahoo  Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét  • Click Start > Run.  • Type regedit  • Click OK. Tìm đến khóa sau và xóa đi HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SystemMessenger" = "C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\All Users\Application Data\SystemMessenger\SystemMessenger.dll" rdl" • Tìm đến khóa sau và xóa đi: HKEY_LOCAL_MACHINE\SOFTWARE\SystemMessenger • Thoát khỏi regedit Sâu W32.Tisandr.A@mm Phát hiện: July 11, 2007 Cập nhật: July 11, 2007 10:37:23 PM Kiểu: Virus, Worm Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP Khi nhiễm Trojan sẽ gây ra một số hoạt động sau %Windir%\svchost.exe Nó sẽ khởi tạo ra một file đính kèm sau đó sử dụng file này gửi theo mail %Windir%\screen.zip Nó cũng khởi tạo nhưng tập tin tạm thời để lây lan sang nhưng file khác Sys7154.tmp Nó sẽ khởi tạo thêm khóa sau HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"svchost" = "%Windir%\svchost.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System7154\"GL" = "[IINFECTION DATE]" Nó sẽ tự động mở cổng TCP thành 7154  Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét  1. Click Start > Run.  2. Type regedit  3. Click OK. 4. Navigate to and delete the following entries: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"svchost" = "%Windir%\svchost.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System7154\"GL" = "[IINFECTION DATE]" 5. Thoát khỏi Registry . Sâu JS.Badbunny Phát hiện: May 24, 2007Cập nhật: May 24, 2007 4:41:09 AM Kiểu: Virus Có kick thước khoảng: Varies Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP Khi nhiễm Trojan sẽ gây ra một số hoạt động sau C:\badbunny.js Khi chạy Nó sẽ lây nhiễm toàn bộ nhưng file javascript SB.Badbunny  vào  hệ thống Cách diệt:  1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét sâu Infostealer.Snifula.C Phát hiện: May 9, 2007 Cập nhật: May 10, 2007 11:28:54 AM Kiểu: Infostealer.Rhaiyu [Symantec] Có kick thươc khoảng: 27,089 bytes Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP Khi nhiễm Trojan sẽ gây ra một số hoạt động sau %Windir%\9129837.exe%Windir%\new_drv.sysKhi nhiễm Trojan nó sẽ khởi  tạo vào regedit mỗi khi nó sẽ chạy khi  Windows khởi động HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Windows\Run\"ttool" = "%Windir%\9129837.exe" Khi nhiễm Trojan nó sẽ khởi  tạo vào regedit khóa sau HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NEW_DRVHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\new_drvTiếp theo nó sẽ làm nhiệm vụ ăn cắp mật khẩu và thông tin của tài khoản ·Outlook Express · Outlook POP3 · AutoComplete passwords in Internet Explorer · Password-protected sites in Internet Explorer · MSN Explorer Nó cũng lấy thông tin thông qua mạng với giao thức · HTTP · FTP · POP3 · IMAP · ICQ Và những thông tin sau ·Web form submission from Internet Explorer ·Certificate information · Keystrokes The Trojan sẽ gửi thông tin đến Website đã đựoc định sẵn The Trojan xử dụng phương thức rootkit để che dấu những file và nhưng thông tin liên quan đến nó Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét 1.    Click Start > Run. 2.    Type regedit 3.    Click OK. T