PDA

View Full Version : Virus lạ trên YM - Part1



hp7500
04-11-2006, 07:39 AM
Nhi?u ngư?i sử dụng hệ thống tin nhắn nhanh của Yahoo đang trong tình trạng hoang mang, lo sợ vì máy tính của h? đã bị nhiễm một loại sâu lạ, lây lan qua chương trình chat phổ biến nhất VN. Các nạn nhân đ?u nhận từ nick chat của bạn bè đư?ng link kèm l?i m?i hấp dẫn như: "Gai xinh ne", "Anhdep"...
Các cửa sổ chat YM có chứa đư?ng link mang virus lạ

Virus đã xuất phát từ website xrobots.net, mới được khởi tạo trong ngày 10/4, rồi lây qua Yahoo Messenger (YM). Các tiêu đ? hấp dẫn như: "Film vui", "Em xinh", "Gai xinh ne", "Anhdep", "Tang cho ban nay"... kèm theo đư?ng dẫn http:// xrobots .net/Gift/?file=Funny.swf " được gửi theo các cửa sổ chat YM. Các đư?ng link toàn bộ là file exe.

Khi đã xâm nhập được vào máy tính của nạn nhân, ngay lập tức hàng loạt thông điệp lặp lại kèm đư?ng link có chứa virus sẽ gửi tới các nick name có trong danh sách YM. Với kiểu lây lan theo cấp số nhân đó, vô số nạn nhân đã "dính đòn" trong th?i gian rất ngắn.

Một công ty lớn ở HN tiết lộ chỉ trong buổi chi?u 10/4 có tới 95% máy tính của h? bị nhiễm virus này. "Hầu hết m?i ngư?i trong cơ quan đ?u dùng YM nên mức độ lẫy nhiễm tăng rất nhanh", một ngư?i trong doanh nghiệp này cho biết.

Nhi?u ngư?i cùng bày t? với VnExpress rằng các link đ?u được gửi đến từ bạn bè thân cận có và nick trong danh sách của h? rồi nên không h? cảnh giác, cứ vô tư bấm link. "Hằng ngày tôi vẫn nhận nhi?u đư?ng link mang nội dung âm nhạc hoặc những thông tin vui vẻ từ bạn bè nên lần này tôi cũng cho là vậy và chẳng đ? phòng gì cả", chị Hương, một nhân viên, kể lại.

Trong e-mail gửi đến tòa soạn, một ngư?i có tên Minh Kha kể: "4 nhân viên trong công ty chúng tôi có máy tính bị nhiễm virus mới từ website xrobots.net và rất nhi?u ngư?i khác nhận được message chứa nguy cơ lây nhiễm".

Ngư?i này cũng nhận định mức độ nguy hiểm của virus này khá cao vì có thể hình thành mạng botnet tấn công từ chối dịch vụ các website công ty VN.

17h45 ngày 10/4, diễn đàn ttvnol.com đã đăng l?i khuyến cáo của một thành viên. Nick name boot_room2003 khẳng định rằng, con spy này sẽ thay đổi homepage để link sang 1 forum đồng th?i chỉnh sửa YM để tự gửi link phát tán theo các nick trong yahoo list. Thành viên của ttvnonl cũng khuyên m?i ngư?i nếu đã "lỡ tay" bấm vào link và bị nhiễm thì nên remove công cụ chat YM cùng với việc xóa b? các tin nhắn offiline có lưu giữ các đư?ng link trên. Sau đó tải bản YM mới v? dùng.

Tuy nhiên, Trung tâm cứu hộ máy tính 911 nhận định đây là một loại virus nội và ngư?i viết ra nó đã copy mã nguồn trên mạng rồi sửa lại. 911 mô tả: Khi virus hoạt động nó tự động copy một phiên bản chính nó thành tệp %Windir%\Messenger.exe. (%Windir% là thư mục Windows, mặc định là C:\Windows\System đối với Windows 95/98/Me/XP/2003 và C:\Winnt, đối với Windows NT/2000).

Khi tệp ứng dụng có tên là Gaixinh.jpg.exe được nạp vào bộ nhớ, nó sẽ thay đổi Registry trên máy nạn nhân như sau:

1. Thêm giá trị DisableRegedit=1 vào khoá: HKEY_CURRENT_User\Software\Microsoft\

Windows\CurrentVersion\Policies\System để khoá không cho truy cập vào Regedit.

2. Thêm giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe vào khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run để nạp virus lúc Windows khởi động.

3. Thay đổi trang Homepage của Internet Explorer v? trang chủ của virus bằng cách sửa giá trị của khoá HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page v?

http://67.15.40.2/~tranphu/forumtp

4. Thêm giá trị sau vào các khoá khác trong regedit: http://xRobots.net/Gift/New/ hoặc

HKEY_CURRENT_USER\Software\Yahoo\pager\

View\YMSGR_Launchcast.

Trung tâm 911 khuyến cáo cách diệt virus này như sau

1. Trước hết mở Registry bằng cách download tệp sau v? và chạy: http://www.911.com.vn/download/khoa_regedit.vbs

Khi máy tính báo "Registry Editing Tools are now ENABLED Log off and back on, or restart your pc to effect the changes" là được

2. Khởi động lại máy tính bằng chế độ SafeMode (Bấm F8 lúc máy tính khởi động). Sau đó Vào Start -> Run rồi gõ Regedit rồi Enter. Hãy tìm khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run và xoá giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe.

Tiếp tục tìm HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page để vào xoá hoặc thay đổi v? địa chỉ HomePage vẫn dùng.

Tìm toàn bộ các giá trị có nội dung như sau http://xRobots.net/Gift/New/ và xoá đi. Các khoá có thể thêm ví dụ là HKEY_CURRENT_USER\Software\Yahoo\pager\View\

YMSGR_Launchcast và HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-500\Software\Yahoo\pager\View\YMSGR_Launchcast

3. Tìm tệp GirlXinh.jpg.exe và xoá đi (thư?ng nằm trong Desktop hoặc My Documents), có thể tìm bằng chức năng Search của Windows.

4. Vào trong thư mục Windows tìm tệp Messenger.exe và xoá đi

5. Khởi động lại máy tính.

Ông Trần Hùng Cư?ng, Giám đốc 911, khẳng định, cách tốt nhất là dùng chức năng Find trong Regedit để tìm tất cả các xâu ký tự có nội dung là “http://xRobots.net/Gift/New/? để xoá đi. Ngoài ra cũng có thể dùng HijackThis để xoá các khoá và các process đang chạy của virus. Có thể download HijackThiss tại đây.