Virus trên tin nhắn yahoo

[Candy]

[RAINBOW]Trên Yahoo dạo nọ có những tin nhắn quảng cáo web có nội dung ko lành mạnh. Tuy đã bị tiêu diệt nhưng tôi vẫn post bài này bởi có thể nó sẽ ra phiên bản mới dựa trên nền tảng phiên bản cũ. Dưới đây là toàn bộ về con Virus này:
gaixinh và girltinh lại mời chào các anh chị em qua Yahoo!Messenger hoặc các diễn đàn với lời mời chào hấp dẫn như: "Gái quá xinh nè pà kon...", "Hàng đẹp quá...", "Em xinh qua..."... rồi kèm theo nội dung:
http://girltinh.tk/?=gaixinh << ( This message was certified by Welcome , no worm ). Ví dụ như sau:

Cũng may là thời điểm này chưa có virus thông báo: "Link download sex clip 32 phút Chung Hân Đồng và Trần Quán Hy http://edison.tk/?=clip << ( This message was certified by Kira, no worm)." Do đó, trong thời gian tới, không loại trừ gái xinh sẽ có phiên bản mới. Các bạn cần hết sức cảnh giác. Tuyệt đối không nên click, download, chạy những file không rõ nguồn gốc...
Tuy nhiên, trong thời gian qua virus gaixinh, virus girltinh đã làm tình... làm tội nhiều chatter khiến họ lâm vào tình trạng hoang mang, lo sợ vì máy tính của họ đã bị nhiễm một loại sâu lạ. Mà quan trọng nhất là nó lây lan qua chương trình chat phổ biến nhất Việt Nam - Yahoo!Messenger.

Nói chung virus này đánh trực tiếp vào các bạn có máu dê... đã xuất hiện cách đây khá lâu nhưng dịp Tết Mậu Tý vừa rồi với phát tán và lây lan với tốc độ mạnh... Khi đã xâm nhập được vào máy tính của nạn nhân, ngay lập tức hàng loạt thông điệp lặp lại kèm đường link có chứa virus sẽ gửi tới các nickname có trong danh sách YM. Với kiểu lây lan theo cấp số nhân đó, vô số nạn nhân đã "dính đòn" trong thời gian rất ngắn. Sau một hồi tham khảo một số diễn đàn như benhvientinhoc.com, vnsharing.net, raptk.net...,đã tổng hợp lại như sau:

Cơ chế hoạt động của virus (dành cho dân IT):
Khi tệp ứng dụng có tên là Gaixinh.jpg.exe được nạp vào bộ nhớ, nó sẽ thay đổi Registry trên máy nạn nhân như sau:
1. Thêm giá trị DisableRegedit=1 vào khoá:
HKEY_CURRENT_User\Software\Microsoft\Windows\Curre ntVersion\Policies\System để khoá không cho truy cập vào Regedit.

2. Thêm giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe vào khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run để nạp virus lúc Windows khởi động.

3. Thay đổi trang Homepage của Internet Explorer (IE) về trang chủ của virus bằng cách sửa giá trị của khoá HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page về một dạng địa chỉ khác, ví dụ: http://onlyu.tk

4. Thêm giá trị sau vào các khoá khác trong regedit: http://xxxbots.net/Gift/New/ hoặc
HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ Launchcast.

Cách diệt (dành cho nạn nhân)
- Cách 1
Bước 1:Bạn mở Notepad, Wordpad... để copy đoạn mã sau. Lưu (save as) file với đuôi là ".reg" (Ví dụ gaixinh.reg). Sau đó kích đúp chuột vào file đó để kích hoạt.
CODE:
//Windows Registry Editor Version 5.00 - OnlyU
[HKEY_CURRENT_USERSoftwareMicrosoft

WindowsCurrentVersionPolicies]

[HKEY_CURRENT_USERSoftwareMicrosoft

WindowsCurrentVersionPoliciesExplorer]

"NoDriveTypeAutoRun"=dword:00000091

"NoInternetIcon"=dword:00000000

"ClearRecentDocsOnExit"=dword:00000001

"NoLowDiskSpaceChecks"=dword:00000001

"NoSaveSettings"=dword:00000000

"NoFolderOptions"=dword:0000000

[HKEY_CURRENT_USERSoftwareMicrosoft

WindowsCurrentVersionPoliciesSystem]

"DisableRegistryTools"=dword:00000000

"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USERSoftwarePolicies

MicrosoftInternet ExplorerRestrictions]

"NoBrowserOptions"=dword:00000000

//

Bước 2: Copy đoạn mã sau vào Notepad, Wordpad,... rồi sau đó lưu lại file dưới dạng đuôi là ".vbs” (Ví dụ: regedit.vbs). Sau đó kích đúp chuột vào file đó để kích hoạt.
CODE:
/

"Enable/Disable Registry Editing tools

"OnlyU - 09/02/2008

Option Explicit

"Declare variables

Dim WSHShell, n, MyBox, p, t, mustboot, errnum, vers

Dim enab, disab, jobfunc, itemtype

Set WSHShell = WScript.CreateObject("WScript.Shell")

p = "HKCUSoftwareMicrosoftWindowsCurrentVersion

PoliciesSystem"

p = p & "DisableRegistryTools"

itemtype = "REG_DWORD"

mustboot = "Log off and back on, or restart your pc to" & vbCR & "effect the changes"

enab = "ENABLED"

disab = "DISABLED"

jobfunc = "Registry Editing Tools are now "

"This section tries to read the registry key value. If not present an

"error is generated. Normal error return should be 0 if value is

"present

t = "Confirmation"

Err.Clear

On Error Resume Next
n = WSHShell.RegRead (p)

On Error Goto 0

errnum = Err.Number

if errnum <> 0 then

"Create the registry key value for DisableRegistryTools with value 0

WSHShell.RegWrite p, 0, itemtype

End If

"If the key is present, or was created, it is toggled

"Confirmations can be disabled by commenting out

"the two MyBox lines below

If n = 0 Then

n = 1

WSHShell.RegWrite p, n, itemtype

Mybox = MsgBox(jobfunc & disab & vbCR & mustboot, 4096, t)

ElseIf n = 1 then

n = 0

WSHShell.RegWrite p, n, itemtype

Mybox = MsgBox(jobfunc & enab & vbCR & mustboot, 4096, t)

End If

//

Bước 3:
1. Vào Start -> Run -> gõ Regedit rồi Enter
2. Tại khung bên trái cửa sổ Registry Editor, bạn tìm khoá
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
Windows NTCurrentVersionWinlogon
Xoá mục “Shell”=”Explorer. Exe RVHOST.exe” trong khung bên trái.
3. Tìm đến khoá
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionRun
Xoá mục “Yahoo Messenger = RVHOST.exe”.
4. Tìm đến khoá
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionExplorer
WorkgroupCrawlerShare=”[SHARED DRIVE]New Folder.exe”
5. Tìm đến khoá
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesSystem
Xoá mục “Disable Registry Tools” = “1”.
6. Tìm đến khoá
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesExplorer
Xoá m ục “NofoderOption”.
7. Tìm đến khoá
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
ServicesSchedule
Xoá mục “AtTaskMaxHours”.
8. Tìm đến khoá
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersion
Xoá mục “Run”= “BkavFw”.
9. Tìm đến khoá
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersion
Xoá mục “Run”=”IEProtection”.
10. Đóng Registry lại.

- Cách 2:
Sau khi kích hoạt 2 file trên (Bước 1+2 tại Cách 1):
1. Khởi động lại máy tính bằng chế độ SafeMode (Bấm F8 lúc máy tính khởi động).
2. Vào Start -> Run -> gõ Regedit rồi Enter.
3. Hãy tìm khoá:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run và xoá giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe.
4. Tiếp tục tìm HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page để vào xoá hoặc thay đổi về địa chỉ HomePage vẫn dùng.
5. Tìm toàn bộ các giá trị có nội dung như sau
http://xrobots.net/Gift/New/ và xoá đi.
Các khoá có thể thêm ví dụ là
HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ Launchcast
và HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-500\Software\Yahoo\pager\View\YMSGR_Launchcast
6. Tìm tệp GirlXinh.jpg.exe và xoá đi (thường nằm trong Desktop hoặc My Documents), có thể tìm bằng chức năng Search của Windows.
7. Vào trong thư mục Windows tìm tệp Messenger.exe và xoá đi
8. Khởi động lại máy tính.

- Cách 3
Sau khi kích hoạt 2 file trên (Bước 1+2 tại Cách 1):
1. Vào Start -> Run rồi gõ Regedit rồi Enter.
2. Cách tốt nhất là dùng chức năng Find trong Regedit để tìm tất cả các xâu ký tự có nội dung là “http://xxxots.net/Gift/New/” để xoá đi.

- Cách 4:
Dùng HijackThis để xoá các khoá và các process đang chạy của virus. Có thể download HijackThiss tại www.trendsecure.com hoặc tại đây.

- Cách 5
Download và diệt bằng phần mềm diệt virus
1. Link download các bản Bit Defender 10:
BitDefender 10 Antivirus
BitDefender 10 Antivirus Plus
BitDefender 10 Internet Security
BitDefender 10 Free Edition
Patch and Keygen, download một trong các link sau 1 2 3 4
Khi update lần đầu nhớ: kết nối lại internet, sau khi update nhớ ngắt kết nối.
Bạn đã crack thành công nhưng nhìn thấy mục email thì chưa thấy giống bản quyền. Lúc đó bạn hãy vào đây và dùng key: 19E4243E56FFCADCC83C (có bản quyền đã hết hạn) để đăng ký cho mình một account sau đó nhập email mình vào trước khi nhập key "lậu" vào máy.
2. Link download các bản BitDefender 11.x 2008:
BitDefender AntiVirus 2008 v11 32bit
BitDefender AntiVirus 2008 v11 64bit
BitDefender Internet Security 2008 v11 32bit
BitDefender Internet Security 2008 v11 64bit
BitDefender Total Security 2008 v11 32bit
BitDefender Total Security 2008 v11 64bit
Download keygen here
Các file update offline here
3. Các bạn cũng có thể sử dụng BKAV để diệt. Download BKAV bản mới nhất tại đây. Tuy nhiên, không phải là chê bai hàng Việt Nam chất lượng cao nhưng phải nói thật là do đội ngũ nhân viên chưa đông, chưa chuyên nghiệp và toàn cầu hóa... (do vấn đề tiền bạc) nên các thường update khá chậm và khả năng phòng chống không cao. Do đó, BKAV chỉ nên đứng ở lựa chọn thứ hai.

Chúc bạn thành công.

Trong thời gian lây lan kinh khủng của loại virus này, nếu chưa xử lý được cách thức nêu trên (do cảm thấy khó khăn khi thao tác), các bạn hãy hợp tác cùng nhau ngăn chặn nó bằng cách:
1. Sử dụng Web chat yahoo (đặc biệt với một số bạn đã bị lây nhiễm) khi muốn liên lạc với nhau bằng yahoo để giảm thiểu số lượng virus phát tán. Một số địa chỉ web chat uy tín:
http://webmessenger.yahoo.com/
http://vn.webmessenger.yahoo.com/
http://wwwe.meebo.com/
2. Gửi link cho nhau cách khắc phục.
3. Phòng bệnh hơn chữa bệnh. Hãy sử dụng chương trình diệt virus như Kaspersky, Bitdefender...
Tuy hoi dai nhung rat' de~ moi nguoi` cu' lam theo tung buoc' nhu the' nhe'