Khi bị nhiễm virus này, MSN Messenger sẽ tự động gửi tới tất cả các nick trong danh sách của nó địa chỉ hot pic!!~[Link to a Web site on the mxt-networkz.com domain]/parishilton.pif~ Khi
Trang 1Diệt W32.Spybot.Worm
1 Tắt System Restore
2 Cập nhật Anti-virus mới nhất
3 Restart the computer in Safe mode
4 Run a full system scan, and delete all files that are detected as W32.Spybot.Worm
5 Delete the value that was added to the registry
- Vào registry
- Tìm đến khoá sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
tìm và xoá những gì bạn thấy dính dáng đến W32.Spybot.Worm
- Tiếp tục tìm đến các khoá sau và lại làm như trên
+ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRunOnce
+ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRunServices
+ HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Thoát registry
6 Delete any zero-byte files in the Startup folder (xoá tất cả các file có dung lượng bằng 0 trong startup folder)
- On the Windows taskbar, click Start > Search
- Click "All files and folders."
- In the "All or part of the file name" box, type, or copy and paste, the following file name: tftp*.*
- Verify that "Look in" is set to "Local Hard Drives" or to (C:)
- Click "More advanced options."
- Check "Search system folders."
- Check "Search subfolders."
- Click Search
- Xoá tất cả các file có dung lượng 0 byte chứa trong bất cứ folder nào có tên kết thúc bằng Startup
7 Khởi động lại và ok
Tham khảo thêm:
W32.Spybot.Worm là một loại sâu virus dễ dàng bị lây nhiễm qua phần mềm chat của Microsoft - MSN
Messenger Khi bị nhiễm virus này, MSN Messenger sẽ tự động gửi tới tất cả các nick trong danh sách của nó địa chỉ
hot pic!!~[Link to a Web site on the mxt-networkz.com domain]/parishilton.pif~
Khi đó người nhận bắt buộc phải chọn liên kết đó để download và chạy file parishilton.pif
Lúc đó máy bạn đã bị nhiễm và sâu W32.Spybot sẽ thả các file Link.exe, mafia.exe - một biến thể khác của W32.Spybot.Worm vào thư mục mà nó nằm trong đó
W32.Spybot.Worm copy biến thể của nó vào %System%\lsassx.exe và đặt file này ở chế độ hidden, read
Trang 2only và system.
Nhập chuỗi "Windows Taskmanager" = "lsassx.exe" vào các thư mục dưới đây trong Registry của Windows:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE
Và nó sẽ được kích hoạt mỗi khi Windows được khởi động Khi kích hoạt nó sẽ kết nối với một máy chủ IRC qua TCP cổng 8080 tới một hoặc hai địa chỉ bla.m0ker.com, bla.w00pie.nl
W32.Spybot sẽ mở cổng hậu để các hacker có thể truy cập được vào máy tính của bạn
Loại bỏ Virus
Vào Start > Run rồi gõ regedit sau đó nhấn nút OK
Vào các thư mục
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE
Sau đó xoá
"Windows Taskmanager" = "lsassx.exe"
Thoát khỏi Registry
Update virus cho các ứng dụng quét virus (Norton Antivirus chẳng hạn)
Khởi động lại máy tính ở chế độ Safe Mode Quét lại toàn bộ máy và xoá hết các file nhiễm
W32.Spybot
2 SymbOS.Dampig.A
Symbian là hệ điều hành cho những thế hệ điện thoại di động cao cấp Tuy nhiên nhiều người sử dụng
đã dính phải những con virus đầu tiên cho hệ điều hành này Chúng tôi xin giới thiệu một loại virus mới
đã xuất hiện và gây tác hại cho những dòng máy điện thoại di động cao cấp sử dụng Symbian
SymbOS.Dampig.A là một Symbian Trojan horse làm tê liệt các ứng dụng và cài đặt một số biến thể mới của sâu SymbOS.Cabir trên các thiết bị sử dụng Symbian series 60
Nó được cài trong phần mềm Full Screen Caller phiên bản 3.2 có thể nhận thấy bởi file vir.sis
Khi được kích hoạt nó sẽ cài đặt các files dưới đây và ghi đè vào các thư mục trong các ứng dụng được
Trang 3cài thêm vào máy làm tê liệt mọi ứng dụng trong điện thoại \system\install\vir.sis ,
\system\install\autoexecdaemon.sis
Ngoài ra, mọi ứng dụng sẽ được cài thêm các files dưới đây:
\system\apps\[FolderName]\[appname]_CAPTION.R13
\system\apps\[FolderName]\[appname]_CAPTION.r01
\system\apps\[FolderName]\[appname].R13
\system\apps\[FolderName]\[appname].R01
\system\apps\[FolderName]\[appname].APP
\system\apps\[FolderName]\[appname].aif
\system\apps\[FolderName]\flo.mdl
trong đó [FolderName] là tên thư mục của ứng dụng được cài đặt trong máy, [appname] là tên phần mềm được cài trong máy nằm trong thư mục [FolderName] Mọi thư mục đểu bị nhiễm virus và sẽ chứa các files dạng như trên Đó chính là những biến thể của sâu SymbOS.Cabir:
SymbOS.Cabir.C
SymbOS.Cabir.D
SymbOS.Cabir.E
SymbOS.Cabir.Q
SymbOS.Cabir.S
SymbOS.Cabir.T Loại bỏ virus SymbOS.Dampig.A khỏi điện thoại:
Cài đặt chương trình quản lý file (cụ thể là chương trình File manager) vào điện thoại
Kích hoạt chế độ hiển thị các file/thư mục hệ thống (system)
Tìm và xoá các file có phần mở rộng là aif