Tên: WORM_MYTOB.EG
Alias: Net-Worm.Win32.Mytob.au, W32/Mytob-AU
Ngày, giờ phát hiện: 5h57 PM ngày 09 tháng 05 năm 2005 (giờ GMT -0800)
Đánh giá về mức độ nguy hiểm: Cao
Tốc độ lây nhiễm: Cao
Mô tả về hành vi, dấu hiệu nhận biết:
V
ào 5h57 PM (GMT-8) ngày 09/05/2005, chỉ sau hơn 8 tiếng xuất hiện loại sâu mới đâu tiên WORM_MYTOB, TrendLabs đã cảnh báo về sự phát tán của biến thể mới đầu tiên thuộc họ này WORM_MYTOB.EG.Loại worm này phát tán bằng cách ghi biến thể của mình vào file dữ liệu đính kèm của email và gửi tới nạn nhân thông qua giao thức SMTP (Simple Mail Transfer Protocol).
Cách thức phát tán và các thông số của Email có chứa sâu này hoàn toàn giống như nguyên bản WORM_MYTOB.
Tuy nhiên, các tiến trình chạy và "vết" cấy vào Registry trên máy nạn nhân là khác.Loại Worm này có thể lây nhiễm vào các máy chạy hệ điều hành Windows 95, 98, ME, NT, 2000, XP.
Bước 1:Xác định và dừng tiến trình hoạt động của virus:
-
Mở Windows Task Manager.
»Trên Windows 95, 98, and ME, bấm
CTRL+ALT+DELETE
» Trên Windows NT, 2000, and XP, bấm
CTRL+SHIFT+ESC, sau đó bấm vào thanh Processes. - Lựa chọn file INTERNET.EXE, sau đó bấm nút End Task hay End Process, tuỳ thuộc vào phiên bản Windows đang chạy.
- Đóng Task Manager.
Khởi động lại máy tính ở chế độ SAFE MODE
• Trên Windows 95
- Khởi động lại máy tính
- Ấn phím F8 khi xuất hiện dòng chữ Starting Windows 95
- Chọn chế độ Safe Mode từ thực đơn khởi động Windows 95 rồi ấn phím Enter.
• Trên Windows 98 and ME
- Khởi động lại máy tính.
- Ấn phím CTRL cho đến khi thực đơn khởi động xuất hiện.
- Chọn chế độ Safe Mode rồi ấn phím Enter.
• Trên Windows NT ( chế độ màn hình VGA )
- Click Start>Settings>Control Panel.
- Click đôi biểu tượng System.
- Click thanh Startup/Shutdown.
- Đặt trường Show List ở vị trí 10 seconds và click OK để lưu giữ sự thay đổi.
- Tắt và khởi động lại máy tính.
- Chọn chế độ VGA từ menu khởi động.
• Trên Windows 2000
- Khởi động lại máy tính.
- Ấn phím F8, khi thấy thanh Starting Windows ở phía dưới màn hình
- Chọn chế độ Safe Mode từ thực đơn tuỳ chọn Windows Advanced rồi ấn phím Enter.
• Trên Windows XP
- Khởi động lại máy tính.
- Ấn phím F8 sau khi thực hiện thao tác kiểm tra nguồn Power-On Self Test (POST). Nếu thực đơn tuỳ chọn Windows Advanced không xuất hiện, thử khởi động lại và ấn phím F8 vài lần sau khi xuất hiện màn hình POST.
- Chọn chế độ khởi động Safe Mode từ thực đơn tuỳ chọn Windows Advanced rồi ấn phím Enter.
-
Mở Registry Editor.
Chọn Start>Run, gõ Regedit, bấm Enter.
-
Bên trái cửa sổ, kích đúp để chọn đường dẫn sau:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
-
Bên phải của sổ, tìm và xoá lối vào
Internet Services = "internet.exe"
4. Bên trái cửa sổ, kích đúp để chọn đường dẫn sau:
HKEY_LOCAL_MACHINE>System>CurrentControlSetServices>SharedAccess
2. Bên phải của sổ, tìm và sửa lối vào
Start = "4" thành Start = "2"
Xoá các lối vào của worm trong file HOSTS file để ngăn việc chuyển hướng các truy cập đến các trang web chuyên về Antivirus & Security tới local machine.
- Mở file bằng trình sạon thảo văn bản(VD: NOTEPAD):
%System%\drivers\etc\HOSTS
- Tìm và xoá các lối vào sau:
- 127.0.0.1 avp.com
- 127.0.0.1 ca.com
- 127.0.0.1 customer.symantec.com
- 127.0.0.1 dispatch.mcafee.com
- 127.0.0.1 download.mcafee.com
- 127.0.0.1 f-secure.com
- 127.0.0.1 kaspersky.com
- 127.0.0.1 kaspersky-labs.com
- 127.0.0.1 liveupdate.symantec.com
- 127.0.0.1 liveupdate.symantecliveupdate.com
- 127.0.0.1 mast.mcafee.com
- 127.0.0.1 mcafee.com
- 127.0.0.1 my-etrust.com
- 127.0.0.1 nai.com
- 127.0.0.1 networkassociates.com
- 127.0.0.1 rads.mcafee.com
- 127.0.0.1 secure.nai.com
- 127.0.0.1 securityresponse.symantec.com
- 127.0.0.1 sophos.com
- 127.0.0.1 symantec.com
- 127.0.0.1 trendmicro.com
- 127.0.0.1 update.symantec.com
- 127.0.0.1 updates.symantec.com
- 127.0.0.1 us.mcafee.com
- 127.0.0.1 viruslist.com
- 127.0.0.1 www.avp.com
- 127.0.0.1 www.ca.com
- 127.0.0.1 www.f-secure.com
- 127.0.0.1 www.grisoft.com
- 127.0.0.1 www.kaspersky.com
- 127.0.0.1 www.mcafee.com
- 127.0.0.1 www.my-etrust.com
- 127.0.0.1 www.nai.com
- 127.0.0.1 www.networkassociates.com
- 127.0.0.1 www.sophos.com
- 127.0.0.1 www.symantec.com
- 127.0.0.1 www.trendmicro.com
- 127.0.0.1 www.viruslist.com
3. Ghi lại thay đổi và đóng trình soạn thảo.
Lưu ý: Đối với các máy chạy Windows XP/ME Ngắt tính năng System Restore
II. Giải pháp diệt Worm_MYTOB.EG của Trend Micro
- TMCM Outbreak Prevention Policy: 173
- Official Pattern Release: 2.621.00
- Damage Cleanup Template: 592
(Theo VTV.VN)