Các virus lây nhiễm sẽ tham chiếu vào các mục sau trong Registry [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV
Trang 1Cách diệt Win32/Sality.T
I) Mô Tả
Tên: Virus.Win32.Sality.t (Kaspersky), W32.Sality.Y!inf (Symantec), W32/Sality.p virus (McAfee)
Kiểu : Virus Kích thước: Khoảng 20KB Nền tảng bị ảnh hưởng: Microsoft Windows Phiên bản trong cơ sở dữ liệu: 2126 (20070319) Win32/Sality.T là một tập tin lây nhiễm
II) Cài đặt
Khi lây nhiễm virus tải xuống các tập tin sau và đưa vào thư mục %system% folder
oledsp32.dl_ (18902 B)
oledsp32.dll (26624 B)
Win32/Sality.T là một tập tin lây nhiễm
Nó tìm kiếm và thi hành cùng với các đuôi mở rộng sau
*.exe
*.scr
Các tập tin bị mắc bệnh nó sẽ tạo thêm một thư mục mới có chứa virus
Kích thước của mã chèn khoảng 20 Kb
Các virus lây nhiễm sẽ tham chiếu vào các mục sau trong Registry
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Sau khi có thể vào các mục trên nó có thể đảm bảo rằng nó có thể chạy được trên mọi hệ thống
III) Thông tin khác
Win32/Sality.T là một dạng virus đánh cắp thông tin
Những thông tin sau sẽ được thu tập
user name (Tên người dùng)
computer name (Tên máy tính)
malware version
computer IP address (Địa chỉ IP)
operating system version (Phiên bản hệ thống)
list of disk devices and their type (Danh sách các đĩa và thiết bị )
RAS accounts (Tài khoản)
recently visited URLs (Các địa chỉ đã đến )
Dữ liệu được lưu trong tập tin sau :
%system%\TFTempCache
Các virus gửi các thông tin qua e-mail Các virus sử dụng máy chủ SMTP sau:
msx.mail.ru
Sau đây là địa chỉ người gửi
CyberMazafaka@mailru.com
Các địa chỉ người nhân
sector2007@list.ru
bespontovij@list.ru
Tên của các tập tin đính kèm
readme.tjc
TFTempCache.tjc
Nếu ngày hiện tại của hệ thống và thời gian phù hợp với một số điều kiện, Virus sẽ hiển thị thông báo sau WIN32.HLLP.KUKU v3.0b
<<<<< Hey, Lamer! Say "Bye-bye" to your data! >>>>>
Copyright (c) by Sector
Những tập tin sau sẽ bị xoá
*.vdb
*.avc
*.drw.key
Tạo ra tệp tin sau
%windir%\system.ini
Virus ghi thêm các giá trị vào files
Trang 2[TFTempCache]
RtlMoveMemory=%number%
MPR=%number%
Nguồn: 911
Cách diệt Win32/Xorer.BU
I) Mô Tả
Tên: Virus.Win32.Xorer.bu (Kaspersky), tải về (Symantec), W32/Fujacks (McAfee) Kiểu : Virus
Kích thước: 102400 B Nền tảng bị ảnh hưởng: Microsoft Windows Phiên bản trong cơ sở dữ liệu: 2734 (20071219) Win32/Xorer.BU là một tập tin lây nhiễm
II) Cài đặt
Khi được chạy các virus này tải xuống những tập tin sau đây vào trong thư mục %system%\com\
netcfg.000 (45056 B)
netcfg.dll (45056 B)
lsass.exe (102400 B)
smss.exe (9525 B)
Tập tin sau được đưa vào cùng với quá trình khởi động
~.exe (102400 B)
Những mục sau trong Registry bị xoá bỏ
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
Những khóa sau được đặt lại giá trị
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]"Type"
= "radio"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutorun" = 91
III) Thực thi các tập tin lây nhiễm
Win32/Xorer.BU là một tập tin lây nhiễm
Virus này tìm kiếm và tiến hành lây nhiễm với các tập tin có đuôi mở rộng sau
*.exe
Kích thước của các files là 204808 B
Lây nhiễm vào các tập tin sau
*.htm
*.tml
*.js
Virus chèn một má JavaScipt với một địa chỉ liên kết vào tập tin
Các virus này tạo ra bản sao chính nó và lưu trong tất cả các thư mục gốc của ổ đĩa bằng cách sử dụng tên sau pagefile.pif (102.400 B)
Dưới đây là tập tin được đưa vào trong thư mục
Autorun.inf
Trang 3Nó đảm bảo sẽ lây nhiễm khi các phương tiện như ổ đĩa rời hay usb sẽ được đưa vào máy tính
IV) Các thông tin khác
Các virus có thể tải xuống một tập tin từ Internet Nó chưa một danh sách (2) URL cà các giao thức
HTTP được sử dụng
Các Virus chấm dứt bất cứ chương trình nào có thể tạo ra vịêc nào trong chuỗi sau có trong tên của nó
asm
ollydbg
ida
softice
tapplication
360
##vso##
Nó xoá các tập tin có chứa một trong những chuỗi sau trong tên của nó
*.360
Hướng dẫn bảo mật trực tuyến
Mạng xã hội tỏ ra khá thú vị và hữu dụng cho công việc, một cách tuyệt vời để giữ liên lạc với bạn
bè, đối tác và các mối quan hệ khác Nhưng ngoài ưu điểm, các mạng xã hội cũng có nhược điểm: như ai đó biết bạn đang sử dụng các mạng này, họ có thể khai thác được các thông tin về bạn trên đó
Bên cạnh đó còn có những mối đe dọa bảo mật trực tuyến khác có thể đến từ việc lộ thẻ tín dụng và nhân tố riêng tư của Google
Những cái bẫy của mạng xã hội
Lý do cần quan tâm: Các đường dẫn bí mật có thể sử dụng các site mạng xã hội để tiêm nhiễm, giả mạo và spam
bạn
Cách khắc phục: Một thông báo từ một trong số những người bạn của bạn hiện lên trong inbox của bạn, được gửi
thông qua một site mạng xã hội mà bạn thường xuyên sử dụng, chẳng hạn như Facebook
Thông điệp này hứa hẹn mang đến một nụ cười cho bạn và trỏ đến các website mà bạn chưa từng nghe tới bao giờ Bạn nghĩ bạn có thể tin tưởng được nó, vì vậy kích vào liên kết – và điều gì đến đã đến, máy tính của bạn sẽ bị hướng sai đến một trang giả mạo dùng để đánh cắp các thông tin chi tiết về đăng nhập hoặc đưa bạn đến một trang
download dùng để tiêm nhiễm hệ thống của bạn bởi một Trojan horse đánh cắp mật khẩu Trong khi đó sự thực bạn của bạn nói rằng cô ấy chưa từng gửi cho bạn thông điệp đó bao giờ
Tội phạm có thể là một trang profile của LinkedIn giả mạo dùng cho các URL nguy hiểm hay có thể là một thông báo Twitter giả tự nhận đến từ những người bạn của bạn, do đó các mạng xã hội nhanh chóng trở thành môi trường mới nhất đối với các tấn công malware Khi các hệ điều hành và các ứng dụng trở nên ngày càng khó hack một cách trực tiếp thì các loại hình tội phạm trực tuyến đã nhận ra rằng nó sẽ dễ dàng hơn để tấn công người dùng thông qua việc kích vào các liên kết xấu, mở các file nguy hiểm và chạy phần mềm mã độc Nơi tốt nhất để khai thác chính là sự tin
Trang 4cậy giữa những người bạn và đồng nghiệp, đây chính là các cơ chế của chính các mạng xã hội.
Lúc này, hầu hết các người dùng Internet đều đủ hiểu biết để nhận ra các email spam Nhưng những gì xảy ra với tweet bị spam là rất khó lường vì nó đến từ một trong số những người bạn của bạn và đưa bạn đến một trang nào đó gần giống như trang mà bạn sử dụng để đăng nhập vào Twitter Những tên trộm dữ liệu, những kẻ muốn kiểm soát tài khoản của bạn thực hiện hành động gửi ngẫu nhiên những thông điệp có kèm các URL – một trong số đó dùng để thực hiện tiêm nhiễm các máy tính của người nhận bằng các loại malware – đến bất cứ ai trong mạng xã hội
Những người dùng Facebook và MySpace đã phải xử lý với một số loại sâu và các vấn đề khó chịu khác trải rộng không phụ thuộc vào bất cứ hành động nào được thực hiện bởi người giữ tài khoản
Cách khắc phục: Nếu bạn nghĩ rằng các thông tin tài khoản mạng xã hội củ mình đã bị thỏa hiệp hoặc bị đánh cắp,
hãy báo cáo sự nghi ngờ của bạn với nhóm hỗ trợ của site đó ngay lập tức Thay đổi mật khẩu của bạn một cách thường xuyên và tránh kích vào các liên kết có nội dung gửi bạn trở lại site mạng xã hội mà thay vào đó nên trực tiếp đánh địa chỉ của trang vào trình duyệt (hoặc theo bookmark bạn đã lưu từ trước) để quay trở lại tài khoản của bạn
Thẻ tín dụng phơi bày trực tuyến
Lý do cần quan tâm: Việc giải quyết những gánh nặng đối với thẻ tín dụng lừa đảo có thể khá phức tạp và tốn kém
thời gian
Kịch bản: Khi kiểm tra email, thấy một thông báo từ một nhà bán lẻ trực tuyến lớn thông báo rằng đơn hàng mà bạn
hoàn trả gần đây đã sẵn sàng chở đến – nhưng thực tế bạn chưa hề đặt hàng gì Thực hiện theo một liên kết trong thư
để quay trở về trang đăng nhập của site (giả sử như vậy), trang gồm có các biểu mẫu web liệt kê số thẻ tín dụng sai
và địa chỉ cho tài khoản của bạn và các yêu cầu bắt bạn điền vào thông tin chính xác để công ty có thể bắt đầu quá trình giải quyết sự tranh luận của nó
Bạn nhập vào số thể tín dụng, ngày hết hạn của thẻ, địa chỉ, số CVV (giá trị thẩm định thẻ - card verification value) được in ở phía sau, ngày sinh, và … Hoàn toàn tình cờ bằng cách đó bạn đã cung cấp rất nhiều thông tin quan trọng về thẻ tín dụng vào tay những kẻ lừa đảo trực tuyến
Người tiêu dùng không bao giờ có nghĩa vụ pháp lý hơn 50$ về tiền thù lao cho thẻ tín dụng lừa đảo, chính vì đó bạn
có thể phân vân rằng liệu việc các thông tin thẻ tín dụng của bạn bị đánh cắp là cách đáp trả cho hành động này Câu trả lời đúng như vậy Bạn không thể trả trực tiếp và ngay lập tức cho sự gian lận, nhưng tất cả người dùng thẻ tín dụng đều phải mất một khoản theo hình thức phí và mức tiền lãi để bảo đảm chi phí với nhà phát hành thẻ tín dụng
Thêm vào đó, sẽ tốn thời gian đáng kể trong việc hủy các tài khoản thẻ tín dụng, thay thế bằng các thẻ mới được phát hành, kiểm tra các báo cáo thẻ của bạn, thay đổi số trong tài khoản nếu bạn sử dụng chúng để thanh toán tự động
Cách khắc phục: Một số ngân hàng lớn vẫn cung cấp các số thẻ tín dụng dùng một lần (single-use) – bạn đăng nhập
vào website của ngân hàng và nhận biết số lượng mua bán tổng thể từ cửa hàng trực tuyến liên quan, site ngân hàng
sẽ đáp trả bằng cách đưa ra số thẻ tín dụng có thể chỉ được sử dụng với một số lượng đó và tại cửa hàng trực tuyến
đó ShopSafe của ngân hàng Mỹ, số thẻ tín dụng ảo của Citibank và một số tài khoản trực tuyến an toàn của Discover vẫn đảm bảo đủ độ an toàn, mặc dù vậy báo chí Mỹ cũng đã tiêu diệt một dịch vụ tương tự như vậy cách đây nhiều năm
Google và sự riêng tư của bạn
Trang 5Lý do cần quan tâm: Bất cứ doanh nghiệp nào duy trì quá nhiều thông tin về bạn cũng đều đặt bạn vào những rủi do
về có liên quan đến dữ liệu
Kịch bản: Google dường như là xuất hiện ở các lĩnh vực Từ việc chạy một cỗ máy tìm kiếm hàng khủng, công ty này
đã cung cấp rất nhiều các dịch vụ cho việc gửi email, nhận các feed tin tức, mua bán trực tuyến Thêm vào đó, nhiều trong số các website ưa thích của bạn cũng thường sử dụng Google để quảng cáo, câu nội dung, hoặc thậm chí kiểm tra hiệu suất của chính họ Tài khoản Google của bạn giống như một nhật ký cho mọi công việc thực hiện trực tuyến của bạn: Nó có thể dõi theo hành vi lướt web của bạn và thâm chí còn thể hiện cho bạn thấy được các xu hướng mà bạn có thể không hề hay biết
Lượng khổng lồ thông tin mà Google quản lý từ người dùng ngày càng gia tăng: email, IM, VoIP, các cuộc gọi điện thoại, ảnh, bản đồ, tài chính và các danh mục vốn đầu tư, địa chỉ nhà và nơi làm việc, các tham chiếu, những đoạn video thú vị và các đánh giá, mua bán trực tuyến, các tìm kiếm thường xuyên nhất, các kết quả tìm kiếm được kích Liệu bạn có thể tin tưởng vào một doanh nghiệp nào đó có quá nhiều thông tin giá trị về bạn, điều đó cần phải được cân nhắc
Cách khắc phục: Bạn có thể tự gỡ cho chính bản thân mình khỏi Google, nhưng không thừa nhận rằng chữ “G” không
nằm trong đầu bạn Chính vì vậy cách tốt ở đây là hãy thay đổi các thiết lập tìm kiếm mặc định của Google trong Firefox nếu bạn phải thực hiện; ngừng sử dụng Gmail, iGoogle, và Google Account của bạn nếu bạn thực sự thấy cần thiết Tuy nhiên quá nhiều site kết hợp các thành phần chung, những phân tích, lợi ích của công ty, mà từ đó việc bỏ
hệ thống Google là gần như không thể đối với bất cứ ai sử dụng kết nối Internet
Cách diệt W32.SillyFDC.BBM
I)Mô Tả
Phát hiện: 30 tháng 03 năm 2009 Cập nhật: 30 tháng 03 năm 5:45:58 AM Tên: W32.SillyFDC.BBM
Kiểu : Worm Kích thước: 26,624 bytes Mức độ nguy hiểm: Trung bình
Hệ thống bị ảnh hưởng : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Những chỉ dẫn sau đây gắn liền với mọi sản phẩm diệt virut của Symantec hiện thời và gần đây, bao gồm chương trình diệt virut Symantec và những sản phẩm dịêt virus của Norton
1 Tắt chế độ System Restore (Windows Me/XP)
2 Cập nhật chương trình diệt virus mới
3 Scan toàn bộ hệ thống
Trang 64 Xoá các giá trị được ghi vào Registry
II)Cách diệt
1 Click Start > Run
2 Đánh Regedit
3 Click chọn OK
4 Tìm và xoá các giá trị
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\explorer.exe\"Debugger" = "%ProgramFiles%\Microsoft Common\svchost.exe"
5 Khôi phục lại các giá trị mặc định
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyEnable" = "0" HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Connections\"DefaultConnectionSettings" = "[BINARY DATA]"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Connections\"SavedLegacySettings" = "[BINARY DATA]"
6 Thoát khỏi Registry
Nguồn: 911