Trong dòng tiếp theo là 1 đường dẫn Nếu người sử dụng vô tình bấm vào đường dẫn trên, nó sẽ dẫn người sử dụng tới 1 trang web để bạn điển thông tin đăng nhập của tài khoản MSN, nhưng đồn
Trang 1Cảnh giác với virus MSN “hi this is your
photo?”
Những tin nhắn này thường bắt đầu bằng “hi this is your photo?” kèm theo
đó là 1 biểu tượng và 1 chuỗi 5 ký tự đi kèm Trong dòng tiếp theo là 1 đường dẫn
Nếu người sử dụng vô tình bấm vào đường dẫn trên, nó sẽ dẫn người sử dụng tới 1 trang web để bạn điển thông tin đăng nhập của tài khoản MSN, nhưng đồng thời sẽ tự động tải về máy tính 1 file có tên là
“Picture_2525.exe” với dung lượng khoảng 1.8 mb (đây chính là 1 loại
virus mới) Khi được kích hoạt trong hệ thống, người sử dụng sẽ thấy xuất
hiện 1 bảng thông báo với tựa đề “bedava Film indir Hemen TIKLA 7” bằng
Nếu tiếp tục bấm vào bảng thông báo đó, 1 trang web quảng cáo sẽ xuất hiện trên trình duyệt của người sử dụng Sau khi phân tích hành động của chương trình virus này, tác giả đã phát hiện ra mục đích chính của virus là tự động
xóa bỏ file hệ thống trong thư mục “System32” và cài đặt, kích hoạt thêm 1
số dịch vụ khi hệ điều hành Windows khởi động Đồng thời nó chuyển trang web khởi động mặc định của Internet Explorer thành trang
“www.googlesayfa.com/en” với giao diện rất giống với Google Nếu người
sử dụng tin tưởng và tiếp tục thao tác trên chính trang web này, sẽ xuất hiện
1 đoạn quảng cáo Google Adsense với nội dung “this website unofficial Google Search Fan website”, đồng thời hệ thống sẽ tự động tạo kết nối tới
địa chỉ IP của Mỹ: 67.228.41.155thông qua cổng 6772
Trang 2Sau khi phân tích quá trình hành động của file “Picture_2525.exe” bằng ứng
dụng trực tuyến VirusTotal, có khoảng 33 trên tổng số 41 bộ máy có thể
nhận diện được đây là virus Nhưng cũng khá may mắn đối với người sử dụng vì virus này không được trang bị tính năng “persistent” Người sử dụng
có thể tạo ra file batch tự động xóa bỏ loại virus này hoặc làm theo các bước
- Mở ứng dụng Task Manager, chọn Tab Processes và hủy các tiến trình sau: svlost.exe, svlostSrv.exe,tasman.exe bằng cách chọn “End Process”
- Mở mục Run (Win + R) và gõ lệnh: sc delete svlostServices
- Tìm và xóa bỏ những file sau trong thư mục hệ thống
“Windows\System32”: libeay32.dll, ssleay32.dll,svlost.exe, svlosta.dll, svlo
stb.dll, svlostSrv.exe, tasman.exe
- Tiếp theo, mở mục Run (Win + R) và tiếp tục với 2 câu lệnh riêng biệt sau:
reg delete "hkcu\software\microsoft\internet explorer\main" /v
default_page_url /f
reg delete "hkcu\software\microsoft\internet explorer\main" /v "Start Page" /f
Sau khi thực hiện đúng và đầy đủ những thao tác trên thì bạn đã hoàn toàn xóa bỏ virus khỏi hệ thống, nhưng tốt nhất bạn nên thay đổi mật khẩu đăng
Trang 3Bên cạnh đó, tác giả đã làm 1 cuộc điều tra Reverse IP sử dụng công
cụ DomainTools để truy tìm dấu vết thì phát hiện ra thêm 52 domains dưới
cùng 1 server: