titanic
06-10-2007, 04:52 PM
(Dân trí) - Trong vài ngày gần đây, trên mạng Internet xuất hiện sâu mới W32.LeenaBdll.Worm, có tốc độ lây lan cực nhanh. Người dùng rất dễ bị nhiễm loại virút này qua thư rác, qua các trang web và đặc biệt là lây qua USB với tốc độ lây nhiễm cấp số nhân.
Khi bị nhiễm loại virus này , máy tính của người dùng sẽ trở nên chậm chạp và có thể bị mất hoàn toàn dữ liệu ổ cứng, ngoài ra nó còn gửi về người gửi sâu này thông tin trên máy bị nhiễm.
Loại sâu này sẽ tự động cập nhật hằng ngày, nếu máy tính kết nối với mạng internet ( đây là mối nguy hiểm lớn nhất). Một trong những dấu hiệu để nhận biết máy tính nhiễm virút này là virút này sẽ khoá các chức năng regedit, task manager, và toàn bộ file trong máy tính bị biến thành Icon Leena.
Hiện chưa có phần mềm nào có thể diệt được sâu này. Chỉ có thể diệt thủ công bằng tay với cách diệt như sau :
Ngắt kết nối mạng của máy tính.
Đây là một biến thể của trojan. Việc khởi động các chương trình đều kéo theo khởi động sâu này, như khởi động Microsoft Word Document và IExplore( exe virus protection, plz do not download from this link ) hay services( exe virus protection, plz do not download from this link ) . Do vậy phải scan ở chế độ Safe mode.
Tắt chức năng system Restore. Cài bản kaspersky 6 pro , cập nhật và quét sẽ xóa được 1 vài module trong toàn bộ con worm này. Sau đó chạy từ cửa sổ run dòng lệnh gpedit.msc - open. Cửa sổ group policy sẽ bật lên. Ta bật chức năng (enable) regedit , Sau đó mở regedit ra và xoá các giá trị mà worm tạo ra.
Vào ổ cứng tìm và xoá các file sau :
C\WINDOWS\Normal.zip
C:\WINDOWS\l33na( exe virus protection, plz do not download from this link )
Còn một điều cần chú ý, worm tạo ra các biến shell để chạy chương trình kéo theo các file trong hệ thống , vì vậy ta phải thiết lập các chương trình hệ thống về mặc định để loại trừ các biến shell kéo theo này. Việc tìm và xoá các biến shell sẽ đòi hỏi mất rất nhiều thời gian, tuy nhiên bạn có thể dùng công cụ hỗ trợ chương trình diệt virut thông dụng của symantec.
Sau đó tạo 1 file :
[Version]
Signature="$Chicago$"
Provider=Symantec
[DefaultInstall]
AddReg=UnhookRegKey
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit( exe virus protection, plz do not download from this link ) ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System ,
DisableRegistryTools,0x00000020,0
Lưu thành UnHookExec.inf và install, tương tự với shell open IEXPlorer( exe virus protection, plz do not download from this link ), thay vì regeidt mà edit lại file cho đúng.
Ví dụ : HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\Winlogon\"Shell" = "Explorer( exe virus protection, plz do not download from this link ) C:\WINDOWS\l33na( exe virus protection, plz do not download from this link )"
Do virut tắt chức năng cho phép tắt system restore, nên ta phải bật lại chức năng này bằng cách chạy cửa sổ lệnh Run từ menu start Start, sau đó gõ lệnh %systemroot%\ system32\Restore\rstrui( exe virus protection, plz do not download from this link )
Kích chọn Troubleshooting tab , click để chọn Disable system restore , Chọn Apply . Bước cuối cùng là xoá: Temp\word Template\*.*
C:\Documents and Settings\All Users\Application Data\Normal( exe virus protection, plz do not download from this link )
C:\Windows\System32\execute( exe virus protection, plz do not download from this link )
vào Tasks xóa leena.job , leena( exe virus protection, plz do not download from this link ) , l33na( exe virus protection, plz do not download from this link ) , aneel( exe virus protection, plz do not download from this link ) .
Sau đó là khởi động máy.
Cách ph*ng loại virus này :
-Không nhấn đúp chuột vào các loại thiết bị lưu trữ ngoài (như ổ đĩa USB)
- Cập nhật IE
-Nên mở chế độ Hidden protected operating system file , để tool anti virus phát hiện được các file worm ẩn.
Quang Vũ
Khi bị nhiễm loại virus này , máy tính của người dùng sẽ trở nên chậm chạp và có thể bị mất hoàn toàn dữ liệu ổ cứng, ngoài ra nó còn gửi về người gửi sâu này thông tin trên máy bị nhiễm.
Loại sâu này sẽ tự động cập nhật hằng ngày, nếu máy tính kết nối với mạng internet ( đây là mối nguy hiểm lớn nhất). Một trong những dấu hiệu để nhận biết máy tính nhiễm virút này là virút này sẽ khoá các chức năng regedit, task manager, và toàn bộ file trong máy tính bị biến thành Icon Leena.
Hiện chưa có phần mềm nào có thể diệt được sâu này. Chỉ có thể diệt thủ công bằng tay với cách diệt như sau :
Ngắt kết nối mạng của máy tính.
Đây là một biến thể của trojan. Việc khởi động các chương trình đều kéo theo khởi động sâu này, như khởi động Microsoft Word Document và IExplore( exe virus protection, plz do not download from this link ) hay services( exe virus protection, plz do not download from this link ) . Do vậy phải scan ở chế độ Safe mode.
Tắt chức năng system Restore. Cài bản kaspersky 6 pro , cập nhật và quét sẽ xóa được 1 vài module trong toàn bộ con worm này. Sau đó chạy từ cửa sổ run dòng lệnh gpedit.msc - open. Cửa sổ group policy sẽ bật lên. Ta bật chức năng (enable) regedit , Sau đó mở regedit ra và xoá các giá trị mà worm tạo ra.
Vào ổ cứng tìm và xoá các file sau :
C\WINDOWS\Normal.zip
C:\WINDOWS\l33na( exe virus protection, plz do not download from this link )
Còn một điều cần chú ý, worm tạo ra các biến shell để chạy chương trình kéo theo các file trong hệ thống , vì vậy ta phải thiết lập các chương trình hệ thống về mặc định để loại trừ các biến shell kéo theo này. Việc tìm và xoá các biến shell sẽ đòi hỏi mất rất nhiều thời gian, tuy nhiên bạn có thể dùng công cụ hỗ trợ chương trình diệt virut thông dụng của symantec.
Sau đó tạo 1 file :
[Version]
Signature="$Chicago$"
Provider=Symantec
[DefaultInstall]
AddReg=UnhookRegKey
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit( exe virus protection, plz do not download from this link ) ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System ,
DisableRegistryTools,0x00000020,0
Lưu thành UnHookExec.inf và install, tương tự với shell open IEXPlorer( exe virus protection, plz do not download from this link ), thay vì regeidt mà edit lại file cho đúng.
Ví dụ : HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\Winlogon\"Shell" = "Explorer( exe virus protection, plz do not download from this link ) C:\WINDOWS\l33na( exe virus protection, plz do not download from this link )"
Do virut tắt chức năng cho phép tắt system restore, nên ta phải bật lại chức năng này bằng cách chạy cửa sổ lệnh Run từ menu start Start, sau đó gõ lệnh %systemroot%\ system32\Restore\rstrui( exe virus protection, plz do not download from this link )
Kích chọn Troubleshooting tab , click để chọn Disable system restore , Chọn Apply . Bước cuối cùng là xoá: Temp\word Template\*.*
C:\Documents and Settings\All Users\Application Data\Normal( exe virus protection, plz do not download from this link )
C:\Windows\System32\execute( exe virus protection, plz do not download from this link )
vào Tasks xóa leena.job , leena( exe virus protection, plz do not download from this link ) , l33na( exe virus protection, plz do not download from this link ) , aneel( exe virus protection, plz do not download from this link ) .
Sau đó là khởi động máy.
Cách ph*ng loại virus này :
-Không nhấn đúp chuột vào các loại thiết bị lưu trữ ngoài (như ổ đĩa USB)
- Cập nhật IE
-Nên mở chế độ Hidden protected operating system file , để tool anti virus phát hiện được các file worm ẩn.
Quang Vũ