221
2081
CNTT - Viễn thông
cntt
/cntt/
634386
Cảnh báo biến thể đầu tiên họ sâu MYTOB
1
Article
null
Cảnh báo biến thể đầu tiên họ sâu MYTOB
,
8 tiếng sau khi loại sâu mới WORM_MYTOB xuất hiện, biến thể đầu tiên thuộc họ  MYTOB (WORM_MYTOB.EG) cũng đã được phát tán. Chúng tôi xin cung cấp các thông tin về loại virus này để các quản trị mạng kiểm tra lại việc cập nhật của các sản phẩm và có những chính sách mới để đảm bảo an toàn cho hệ thống khỏi sự tấn công và lây lan của loại Worm này.
Miêu tả về Virus WORM_MYTOB.EG


Tên: WORM_MYTOB.EG

Alias: Net-Worm.Win32.Mytob.au, W32/Mytob-AU

Ngày, giờ phát hiện: 5h57 PM ngày 09 tháng 05 năm 2005 (giờ GMT -0800)

Đánh giá về mức độ nguy hiểm: Cao

Tốc độ lây nhiễm: Cao

Mô tả về hành vi, dấu hiệu nhận biết:

          

Vào 5h57 PM (GMT-8) ngày 09/05/2005, chỉ sau hơn 8 tiếng xuất hiện loại sâu mới đâu tiên WORM_MYTOB, TrendLabs đã cảnh báo về sự phát tán của biến thể mới đầu tiên thuộc họ này WORM_MYTOB.EG.

Loại worm này phát tán bằng cách ghi biến thể của mình vào file dữ liệu đính kèm của email và gửi tới nạn nhân thông qua giao thức SMTP (Simple Mail Transfer Protocol).

Cách thức phát tán và các thông số của Email có chứa sâu này hoàn toàn giống như nguyên bản WORM_MYTOB. Tuy nhiên, các tiến trình chạy và "vết" cấy vào Registry trên máy nạn nhân là khác.

Loại Worm này có thể lây nhiễm vào các máy chạy hệ điều hành Windows 95, 98, ME, NT, 2000, XP.

I.  Giải pháp diệt thủ công
 

Bước 1:Xác định và dừng tiến trình hoạt động của virus:

  1. Mở Windows Task Manager.
    »Trên Windows 95, 98, and ME, bấm
    CTRL+ALT+DELETE
    » Trên Windows NT, 2000, and XP, bấm
    CTRL+SHIFT+ESC, sau đó bấm vào thanh Processes.
  2. Lựa chọn file INTERNET.EXE, sau đó bấm nút End Task hay End Process, tuỳ thuộc vào phiên bản Windows đang chạy.
  3. Đóng Task Manager.
Bước 2: Xoá các dấu vết của virus trong Registry

Khởi động lại máy tính ở chế độ SAFE MODE

• Trên Windows 95

  1. Khởi động lại máy tính
  2. Ấn phím F8 khi xuất hiện dòng chữ Starting Windows 95
  3. Chọn chế độ Safe Mode từ thực đơn khởi động Windows 95 rồi ấn phím Enter.

• Trên Windows 98 and ME

  1. Khởi động lại máy tính.
  2. Ấn phím CTRL cho đến khi thực đơn khởi động xuất hiện.
  3. Chọn chế độ Safe Mode rồi ấn phím Enter.

• Trên Windows NT ( chế độ màn hình VGA )

  1. Click Start>Settings>Control Panel.
  2. Click đôi biểu tượng System.
  3. Click thanh Startup/Shutdown.
  4. Đặt trường Show List ở vị trí 10 seconds và click OK để lưu giữ sự thay đổi.
  5. Tắt và khởi động lại máy tính.
  6. Chọn chế độ VGA từ menu khởi động.

• Trên Windows 2000

  1. Khởi động lại máy tính.
  2. Ấn phím F8, khi thấy thanh Starting Windows ở phía dưới màn hình
  3. Chọn chế độ Safe Mode từ thực đơn tuỳ chọn Windows Advanced  rồi ấn phím Enter.

• Trên Windows XP

  1. Khởi động lại máy tính.
  2. Ấn phím F8 sau khi thực hiện thao tác kiểm tra nguồn Power-On Self Test (POST). Nếu thực đơn tuỳ chọn Windows Advanced  không xuất hiện, thử khởi động lại và ấn phím F8 vài lần sau khi xuất hiện màn hình POST.
  3. Chọn chế độ khởi động Safe Mode từ thực đơn tuỳ chọn Windows Advanced rồi ấn phím Enter.
Xoá các dấu vết của virus trong Registry

 

  1. Mở Registry Editor.

Chọn Start>Run, gõ Regedit, bấm Enter.

 

  1. Bên trái cửa sổ, kích đúp để chọn đường dẫn sau:

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run   

 

  1. Bên phải của sổ, tìm và xoá lối vào

         Internet Services = "internet.exe"


     4.  Bên trái cửa sổ, kích đúp để chọn đường dẫn sau:

 
        HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices      
 
     5.  Bên phải của sổ, tìm và xoá lối vào
 
            Internet Services = "internet.exe"  
 
Bước 3: Khôi phục lại các lối vào trong Registry
 
      1. Bên trái cửa sổ, kích đúp để chọn đường dẫn sau:

    HKEY_LOCAL_MACHINE>System>CurrentControlSetServices>SharedAccess

2. Bên phải của sổ, tìm và sửa lối vào

         Start = "4" thành Start = "2"
 

      3.  Đóng cửa sổ Registry
Bước 4: Xoá vết của Worm trong file HOSTS

Xoá các lối vào của worm trong file HOSTS file để ngăn việc chuyển hướng các truy cập đến các trang web chuyên về Antivirus & Security tới local machine.

  1. Mở file bằng trình sạon thảo văn bản(VD: NOTEPAD):

      %System%\drivers\etc\HOSTS

  2. Tìm và xoá các lối vào sau:
     
    • 127.0.0.1 avp.com
    • 127.0.0.1 ca.com
    • 127.0.0.1 customer.symantec.com
    • 127.0.0.1 dispatch.mcafee.com
    • 127.0.0.1 download.mcafee.com
    • 127.0.0.1 f-secure.com
    • 127.0.0.1 kaspersky.com
    • 127.0.0.1 kaspersky-labs.com
    • 127.0.0.1 liveupdate.symantec.com
    • 127.0.0.1 liveupdate.symantecliveupdate.com
    • 127.0.0.1 mast.mcafee.com
    • 127.0.0.1 mcafee.com
    • 127.0.0.1 my-etrust.com
    • 127.0.0.1 nai.com
    • 127.0.0.1 networkassociates.com
    • 127.0.0.1 rads.mcafee.com
    • 127.0.0.1 secure.nai.com
    • 127.0.0.1 securityresponse.symantec.com
    • 127.0.0.1 sophos.com
    • 127.0.0.1 symantec.com
    • 127.0.0.1 trendmicro.com
    • 127.0.0.1 update.symantec.com
    • 127.0.0.1 updates.symantec.com
    • 127.0.0.1 us.mcafee.com
    • 127.0.0.1 viruslist.com
    • 127.0.0.1 www.avp.com
    • 127.0.0.1 www.ca.com
    • 127.0.0.1 www.f-secure.com
    • 127.0.0.1 www.grisoft.com
    • 127.0.0.1 www.kaspersky.com
    • 127.0.0.1 www.mcafee.com
    • 127.0.0.1 www.my-etrust.com
    • 127.0.0.1 www.nai.com
    • 127.0.0.1 www.networkassociates.com
    • 127.0.0.1 www.sophos.com
    • 127.0.0.1 www.symantec.com
    • 127.0.0.1 www.trendmicro.com
    • 127.0.0.1 www.viruslist.com

    3. Ghi lại thay đổi và đóng trình soạn thảo.

Lưu ý: Đối với các máy chạy Windows XP/ME Ngắt tính năng System Restore

II.  Giải pháp diệt Worm_MYTOB.EG của Trend Micro

Trend Micro đã đưa ra các chính sách và các thông tin mới xử lý loại Worm này.Vì vậy, Admin hệ thống AV theo giải pháp của Trend Micro kiểm tra lại hệ thống do mình quản trị đã cập nhật đủ các thành phần chống virus sau:
  1. TMCM Outbreak Prevention Policy: 173 
  2. Official Pattern Release: 2.621.00
  3. Damage Cleanup Template: 592
Lưu ý: Đối với các khách chưa sử dụng dịch vụ DCS (Damage Cleanup Service) để cập nhật tự động Damage Cleanup Template xem thông tin trong file đính kèm để cập nhật bằng tay.

(Theo VTV.VN)

,
Ý kiến của bạn
Ý kiến bạn đọc
,
,
,
,