hrockvn
05-05-2006, 08:09 AM
Nhiều người sử dụng hệ thống tin nhắn nhanh của Yahoo đang trong tình trạng hoang mang, lo sợ vì máy tính của họ đã bị nhiễm một loại sâu lạ, lây lan qua chương trình chat phổ biến nhất VN. Các nạn nhân đều nhận từ nick chat của bạn bè đường link kèm lời mời hấp dẫn như: "Gai xinh ne", "Anhdep"...
http://vnexpress.net/Vietnam/Vi-tinh/2006/04/3B9E8943/virus1.jpg
Các cửa sổ chat YM có chứa đường link mang virus lạ
Virus đã xuất phát từ website xrobots.net, mới được khởi tạo trong ngày 10/4, rồi lây qua Yahoo Messenger (YM). Các tiêu đề hấp dẫn như: "Film vui", "Em xinh", "Gai xinh ne", "Anhdep", "Tang cho ban nay"... kèm theo đường dẫn http:// xrobots .net/Gift/?file=Funny.swf " được gửi theo các cửa sổ chat YM. Các đường link toàn bộ là file exe.
Khi đã xâm nhập được vào máy tính của nạn nhân, ngay lập tức hàng loạt thông điệp lặp lại kèm đường link có chứa virus sẽ gửi tới các nick name có trong danh sách YM. Với kiểu lây lan theo cấp số nhân đó, vô số nạn nhân đã "dính đòn" trong thời gian rất ngắn.
Một công ty lớn ở HN tiết lộ chỉ trong buổi chiều 10/4 có tới 95% máy tính của họ bị nhiễm virus này. "Hầu hết mọi người trong cơ quan đều dùng YM nên mức độ lẫy nhiễm tăng rất nhanh", một người trong doanh nghiệp này cho biết.
Nhiều người cùng bày tỏ với VnExpress rằng các link đều được gửi đến từ bạn bè thân cận có và nick trong danh sách của họ rồi nên không hề cảnh giác, cứ vô tư bấm link. "Hằng ngày tôi vẫn nhận nhiều đường link mang nội dung âm nhạc hoặc những thông tin vui vẻ từ bạn bè nên lần này tôi cũng cho là vậy và chẳng đề phòng gì cả", chị Hương, một nhân viên, kể lại.
Trong e-mail gửi đến tòa soạn, một người có tên Minh Kha kể: "4 nhân viên trong công ty chúng tôi có máy tính bị nhiễm virus mới từ website xrobots.net và rất nhiều người khác nhận được message chứa nguy cơ lây nhiễm".
Người này cũng nhận định mức độ nguy hiểm của virus này khá cao vì có thể hình thành mạng botnet tấn công từ chối dịch vụ các website công ty VN.
17h45 ngày 10/4, diễn đàn ttvnol.com đã đăng lời khuyến cáo của một thành viên. Nick name boot_room2003 khẳng định rằng, con spy này sẽ thay đổi homepage để link sang 1 forum đồng thời chỉnh sửa YM để tự gửi link phát tán theo các nick trong yahoo list. Thành viên của ttvnonl cũng khuyên mọi người nếu đã "lỡ tay" bấm vào link và bị nhiễm thì nên remove công cụ chat YM cùng với việc xóa bỏ các tin nhắn offiline có lưu giữ các đường link trên. Sau đó tải bản YM mới về dùng.
Tuy nhiên, Trung tâm cứu hộ máy tính 911 nhận định đây là một loại virus nội và người viết ra nó đã copy mã nguồn trên mạng rồi sửa lại. 911 mô tả: Khi virus hoạt động nó tự động copy một phiên bản chính nó thành tệp %Windir%\Messenger.exe. (%Windir% là thư mục Windows, mặc định là C:\Windows\System đối với Windows 95/98/Me/XP/2003 và C:\Winnt, đối với Windows NT/2000).
Khi tệp ứng dụng có tên là Gaixinh.jpg.exe được nạp vào bộ nhớ, nó sẽ thay đổi Registry trên máy nạn nhân như sau:
1. Thêm giá trị DisableRegedit=1 vào khoá: HKEY_CURRENT_User\Software\Microsoft\
Windows\CurrentVersion\Policies\System để khoá không cho truy cập vào Regedit.
2. Thêm giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe vào khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run để nạp virus lúc Windows khởi động.
3. Thay đổi trang Homepage của Internet Explorer về trang chủ của virus bằng cách sửa giá trị của khoá HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page về
http://67.15.40.2/~tranphu/forumtp
4. Thêm giá trị sau vào các khoá khác trong regedit: http://xRobots.net/Gift/New/ hoặc
HKEY_CURRENT_USER\Software\Yahoo\pager\
View\YMSGR_Launchcast.
Trung tâm 911 khuyến cáo cách diệt virus này như sau
1. Trước hết mở Registry bằng cách download tệp sau về và chạy: http://www.911.com.vn/download/khoa_regedit.vbs
Khi máy tính báo "Registry Editing Tools are now ENABLED Log off and back on, or restart your pc to effect the changes" là được
2. Khởi động lại máy tính bằng chế độ SafeMode (Bấm F8 lúc máy tính khởi động). Sau đó Vào Start -> Run rồi gõ Regedit rồi Enter. Hãy tìm khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run và xoá giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe.
Tiếp tục tìm HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page để vào xoá hoặc thay đổi về địa chỉ HomePage vẫn dùng.
Tìm toàn bộ các giá trị có nội dung như sau http://xRobots.net/Gift/New/ và xoá đi. Các khoá có thể thêm ví dụ là HKEY_CURRENT_USER\Software\Yahoo\pager\View\
YMSGR_Launchcast và HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-500\Software\Yahoo\pager\View\YMSGR_Launchcast
3. Tìm tệp GirlXinh.jpg.exe và xoá đi (thường nằm trong Desktop hoặc My Documents), có thể tìm bằng chức năng Search của Windows.
4. Vào trong thư mục Windows tìm tệp Messenger.exe và xoá đi
5. Khởi động lại máy tính.
Ông Trần Hùng Cường, Giám đốc 911, khẳng định, cách tốt nhất là dùng chức năng Find trong Regedit để tìm tất cả các xâu ký tự có nội dung là “http://xRobots.net/Gift/New/” để xoá đi. Ngoài ra cũng có thể dùng HijackThis để xoá các khoá và các process đang chạy của virus. Có thể download HijackThiss tại đây (http://www.911.com.vn/download/hijackthis.exe).
http://vnexpress.net/Vietnam/Vi-tinh/2006/04/3B9E8943/virus1.jpg
Các cửa sổ chat YM có chứa đường link mang virus lạ
Virus đã xuất phát từ website xrobots.net, mới được khởi tạo trong ngày 10/4, rồi lây qua Yahoo Messenger (YM). Các tiêu đề hấp dẫn như: "Film vui", "Em xinh", "Gai xinh ne", "Anhdep", "Tang cho ban nay"... kèm theo đường dẫn http:// xrobots .net/Gift/?file=Funny.swf " được gửi theo các cửa sổ chat YM. Các đường link toàn bộ là file exe.
Khi đã xâm nhập được vào máy tính của nạn nhân, ngay lập tức hàng loạt thông điệp lặp lại kèm đường link có chứa virus sẽ gửi tới các nick name có trong danh sách YM. Với kiểu lây lan theo cấp số nhân đó, vô số nạn nhân đã "dính đòn" trong thời gian rất ngắn.
Một công ty lớn ở HN tiết lộ chỉ trong buổi chiều 10/4 có tới 95% máy tính của họ bị nhiễm virus này. "Hầu hết mọi người trong cơ quan đều dùng YM nên mức độ lẫy nhiễm tăng rất nhanh", một người trong doanh nghiệp này cho biết.
Nhiều người cùng bày tỏ với VnExpress rằng các link đều được gửi đến từ bạn bè thân cận có và nick trong danh sách của họ rồi nên không hề cảnh giác, cứ vô tư bấm link. "Hằng ngày tôi vẫn nhận nhiều đường link mang nội dung âm nhạc hoặc những thông tin vui vẻ từ bạn bè nên lần này tôi cũng cho là vậy và chẳng đề phòng gì cả", chị Hương, một nhân viên, kể lại.
Trong e-mail gửi đến tòa soạn, một người có tên Minh Kha kể: "4 nhân viên trong công ty chúng tôi có máy tính bị nhiễm virus mới từ website xrobots.net và rất nhiều người khác nhận được message chứa nguy cơ lây nhiễm".
Người này cũng nhận định mức độ nguy hiểm của virus này khá cao vì có thể hình thành mạng botnet tấn công từ chối dịch vụ các website công ty VN.
17h45 ngày 10/4, diễn đàn ttvnol.com đã đăng lời khuyến cáo của một thành viên. Nick name boot_room2003 khẳng định rằng, con spy này sẽ thay đổi homepage để link sang 1 forum đồng thời chỉnh sửa YM để tự gửi link phát tán theo các nick trong yahoo list. Thành viên của ttvnonl cũng khuyên mọi người nếu đã "lỡ tay" bấm vào link và bị nhiễm thì nên remove công cụ chat YM cùng với việc xóa bỏ các tin nhắn offiline có lưu giữ các đường link trên. Sau đó tải bản YM mới về dùng.
Tuy nhiên, Trung tâm cứu hộ máy tính 911 nhận định đây là một loại virus nội và người viết ra nó đã copy mã nguồn trên mạng rồi sửa lại. 911 mô tả: Khi virus hoạt động nó tự động copy một phiên bản chính nó thành tệp %Windir%\Messenger.exe. (%Windir% là thư mục Windows, mặc định là C:\Windows\System đối với Windows 95/98/Me/XP/2003 và C:\Winnt, đối với Windows NT/2000).
Khi tệp ứng dụng có tên là Gaixinh.jpg.exe được nạp vào bộ nhớ, nó sẽ thay đổi Registry trên máy nạn nhân như sau:
1. Thêm giá trị DisableRegedit=1 vào khoá: HKEY_CURRENT_User\Software\Microsoft\
Windows\CurrentVersion\Policies\System để khoá không cho truy cập vào Regedit.
2. Thêm giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe vào khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run để nạp virus lúc Windows khởi động.
3. Thay đổi trang Homepage của Internet Explorer về trang chủ của virus bằng cách sửa giá trị của khoá HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page về
http://67.15.40.2/~tranphu/forumtp
4. Thêm giá trị sau vào các khoá khác trong regedit: http://xRobots.net/Gift/New/ hoặc
HKEY_CURRENT_USER\Software\Yahoo\pager\
View\YMSGR_Launchcast.
Trung tâm 911 khuyến cáo cách diệt virus này như sau
1. Trước hết mở Registry bằng cách download tệp sau về và chạy: http://www.911.com.vn/download/khoa_regedit.vbs
Khi máy tính báo "Registry Editing Tools are now ENABLED Log off and back on, or restart your pc to effect the changes" là được
2. Khởi động lại máy tính bằng chế độ SafeMode (Bấm F8 lúc máy tính khởi động). Sau đó Vào Start -> Run rồi gõ Regedit rồi Enter. Hãy tìm khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run và xoá giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe.
Tiếp tục tìm HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page để vào xoá hoặc thay đổi về địa chỉ HomePage vẫn dùng.
Tìm toàn bộ các giá trị có nội dung như sau http://xRobots.net/Gift/New/ và xoá đi. Các khoá có thể thêm ví dụ là HKEY_CURRENT_USER\Software\Yahoo\pager\View\
YMSGR_Launchcast và HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-500\Software\Yahoo\pager\View\YMSGR_Launchcast
3. Tìm tệp GirlXinh.jpg.exe và xoá đi (thường nằm trong Desktop hoặc My Documents), có thể tìm bằng chức năng Search của Windows.
4. Vào trong thư mục Windows tìm tệp Messenger.exe và xoá đi
5. Khởi động lại máy tính.
Ông Trần Hùng Cường, Giám đốc 911, khẳng định, cách tốt nhất là dùng chức năng Find trong Regedit để tìm tất cả các xâu ký tự có nội dung là “http://xRobots.net/Gift/New/” để xoá đi. Ngoài ra cũng có thể dùng HijackThis để xoá các khoá và các process đang chạy của virus. Có thể download HijackThiss tại đây (http://www.911.com.vn/download/hijackthis.exe).