Nếu nhận được msg từ nick khác với nội dung có nhut.be , minhnhut.be , Daokhuc.be thì đừng vào.

Còn nếu ai lỡ vào rồi mà bị nhiễm thì cứ theo hướng dẫn dưới đây mà diệt nhé. Chúc các bạn okie

Đây không phải là virus. Nó không có tính năng lây nhiễm vào các file, mà chỉ đơn thuần là một loại worm phát tán thông qua trình Yahoo! Messenger.

I. Phân tích hành vi lây nhiễm:

1. Thay đổi key:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Shell Folders\Cache] thành giá trị C:\Documents and Settings\[tên_Windows_user]\Local Settings\Temporary Internet Files với thư mục Windows cài trên ổ C

Mục đích: thay đối thư mục mặc định chứa file cập nhật sau khi lây nhiễm

2. Chuyển thư mục Cookies, History, Common AppData bằng cách thay đổi các Registry key sau:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Shell Folders\Cookies] [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Shell Folders\History][HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Shell Folders\Common AppData][HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Shell Folders\AppData]

3. Tắt tính năng duyệt offline, bắt buộc user fải duyệt online bằng cách thay registry key:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Internet Settings\GlobalUserOffline] thành 0x0.

4. Thay đổi và ép buộc sử dụng cấu hình do worm tạo ra, chứ không sử dụng cấu hình mặc định cho kết nối bằng cách thay đổi registry key:

[HKEY_CURRENT_USER\Software\Microsoft\windows\Curre ntVersion\Internet ettings\Connections\SavedLegacySettings]

5. Tạo file Messenger.exe tự động chạy khi Win khởi động bằng cách tạo registry key:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Yahoo!!!]

Có giá trị:

"C:\WINDOWS\Messenger.exe"

6. Thay đổi trang Startpage của Internet Explorer:

[HKEY_CURRENT_USER\SOFTWARE\microsoft\Internet Explorer\Main\Start Page] thành "http://minhnhut.be/”

Thông tin có được từ quá trình giải phẫu sâu XRobot.

7. Thay đổi nội dung các registry của Yahoo! Messenger, để khi user bị nhiễm worm, YM sẽ tự động duyệt trang được cài cắm sẵn trên mạng:

[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ Launchcast\content url] thành “http://minhnhut.be”

[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ buzz\content url]

8. Vô hiệu hóa các công cụ edit Registry bằng cách thêm registry key sau:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\DisableRegistryTools] Có giá trị 0x1

9. Liên tục update worm, tự nâng cấp bằng cách download bản update

File sau khi được download về sẽ được worm tự động update, ghi lại vào file :\Windows\Messenger.exe. Như đã nói ở trên, file Messenger.exe sẽ tự động chạy khi khởi động Windows.

10. Xóa file %windir%\pchealth\helpctr\binaries\msconfig.exe và sửa đổi file này, chuyển vào thành %windir%\msconfig.exe. Do đó, khi người sử dụng chạy msconfig sẽ không thấy file messenger.exe của worm trong tùy chọn Startup nữa.


II. Cách diệt

* Diệt bằng tay:

1 - Kích hoạt trở lại registry: Download file http://securityresponse.symantec.com...UnHookExec.inf. Click chuột phải vào file, chọn Install

2 - Vào Start > Run. Chạy regedit.

3 – Xóa khả năng tự động chạy khi khởi động máy [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Yahoo!!!]

4 – Xóa file chính %windir%\Messenger.exe

5 – Xóa thư mục chứa file update

C:\Documents and Settings\[tên_Windows_user]\Local Settings\Temporary Internet Files\

6 - Copy file msconfig.exe từ máy chưa bị nhiễm vào thư mục:

%windir%\pchealth\helpctr\binaries\

* Dùng công cụ Xrobots Remover:

1 – Download chương trình Xrobots Remover về máy tính của bạn và chạy để chương trình tự động tìm và diệt worm Xrobots, chỉnh lại các registry đã bị sâu máy tính này sửa đổi.

2 – Chạy chương trình và làm theo các hướng dẫn

Link download Xrobots Remover
st

Chủ đề tương tự: