Cách dit Win32/Sality.T
I) Mô T
Tên: Virus.Win32.Sality.t (Kaspersky), W32.Sality.Y!inf (Symantec), W32/Sality.p virus
(McAfee)
Ki u : Virus
Kích th c: Kho ng 20KBướ
N n t ng b nh h ng: Microsoft Windows ưở
Phiên b n trong c s d li u: ơ 2126 (20070319)
Win32/Sality.T là m t t p tin lây nhi m
II) Cài đ t
Khi lây nhi m virus t i xu ng các t p tin sau và đ a vào th m c %system% folder ư ư
oledsp32.dl_ (18902 B)
oledsp32.dll (26624 B)
Win32/Sality.T là m t t p tin lây nhi m
Nó tìm ki m và thi hành cùng v i các đuôi m r ng sau ế
*.exe
*.scr
Các t p tin b m c b nh nó s t o thêm m t th m c m i có ch a virus ư
Kích th c c a mã chèn kho ng 20 Kb. ướ
Các virus lây nhi m s tham chi u vào các m c sau trong Registry ế
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Sau khi có th vào các m c trên nó có th đ m b o r ng nó có th ch y đ c trên m i h th ng ượ
III) Thông tin khác
Win32/Sality.T là m t d ng virus đánh c p thông tin
Nh ng thông tin sau s đ c thu t p ượ
user name (Tên ng i dùng)ườ
computer name (Tên máy tính)
malware version
computer IP address (Đ a ch IP)
operating system version (Phiên b n h th ng)
list of disk devices and their type (Danh sách các đĩa và thi t b ) ế
RAS accounts (Tài kho n)
recently visited URLs (Các đ a ch đã đ n ) ế
D li u đ c l u trong t p tin sau : ượ ư
%system%\TFTempCache
Các virus g i các thông tin qua e-mail. Các virus s d ng máy ch SMTP sau:
msx.mail.ru
Sau đây là đ a ch ng i g i ườ
CyberMazafaka@mailru.com
Các đ a ch ng i nhân ườ
sector2007@list.ru
bespontovij@list.ru
Tên c a các t p tin đính kèm
readme.tjc
TFTempCache.tjc
N u ngày hi n t i c a h th ng và th i gian phù h p v i m t s đi u ki n, Virus s hi n th thông báo sau ế
WIN32.HLLP.KUKU v3.0b
<<<<< Hey, Lamer! Say "Bye-bye" to your data! >>>>>
Copyright (c) by Sector
Nh ng t p tin sau s b xoá
*.vdb
*.avc
*.drw.key
T o ra t p tin sau
%windir%\system.ini
Virus ghi thêm các giá tr vào files
[TFTempCache]
RtlMoveMemory=%number%
MPR=%number%
Ngun: 911
Cách dit Win32/Xorer.BU
I) Mô T
Tên: Virus.Win32.Xorer.bu (Kaspersky), ti v (Symantec), W32/Fujacks (McAfee)
Kiu : Virus
Kích thước: 102400 B
Nn tng b nh hưởng: Microsoft Windows
Phiên bn trong cơ s d liu: 2734 (20071219)
Win32/Xorer.BU là mt tp tin lây nhim
II) Cài đặt
Khi được chy các virus này ti xung nhng tp tin sau đây vào trong thư mc %system%\com\
netcfg.000 (45056 B)
netcfg.dll (45056 B)
lsass.exe (102400 B)
smss.exe (9525 B)
Tp tin sau được đưa vào cùng vi quá trình khi động
~.exe (102400 B)
Nhng mc sau trong Registry b xoá b
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
Nhng khóa sau được đặt li giá tr
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]"Type" = "radio"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutorun" = 91
III) Thc thi các tp tin lây nhim
Win32/Xorer.BU là mt tp tin lây nhim
Virus này tìm kiếm và tiến hành lây nhim vi các tp tin có đuôi m rng sau
*.exe
Kích thước ca các files là 204808 B
Lây nhim vào các tp tin sau
*.htm
*.tml
*.js
Virus chèn mt má JavaScipt vi mt địa ch liên kết vào tp tin
Các virus này to ra bn sao chính nó và lưu trong tt c các thư mc gc ca đĩa bng cách s dng tên sau
pagefile.pif (102.400 B)
Dưới đây là tp tin được đưa vào trong thư mc
Autorun.inf
Nó đảm bo s lây nhim khi các phương tin như đĩa ri hay usb s đưc đưa vào máy tính
IV) Các thông tin khác
Các virus có th ti xung mt tp tin t Internet. Nó chưa mt danh sách (2) URL cà các giao thc
HTTP được s dng
Các Virus chm dt bt c chương trình nào có th to ra vịêc nào trong chui sau có trong tên ca nó
asm
ollydbg
ida
softice
tapplication
360
##vso##
Nó xoá các tp tin có cha mt trong nhng chui sau trong tên ca nó
*.360
Hướng dn bo mt trc tuyến
Mng xã hi t ra khá thú v và hu dng cho công vic, mt cách tuyt vi để gi liên lc vi bn bè, đối tác và
các mi quan h khác. Nhưng ngoài ưu đim, các mng xã hi cũng có nhược đim: như ai đó biết bn đang s
dng các mng này, h có th khai thác được các thông tin v bn trên đó.
Bên cnh đó còn có nhng mi đe da bo mt trc tuyến khác có th đến t vic l th tín dng và nhân t riêng tư ca Google.
Nhng cái by ca mng xã hi
Lý do cn quan tâm: Các đường dn bí mt có th s dng các site mng xã hi để tiêm nhim, gi mo và spam bn.
Cách khc phc: Mt thông báo t mt trong s nhng người bn ca bn hin lên trong inbox ca bn, được gi thông qua mt site
mng xã hi mà bn thường xuyên s dng, chng hn như Facebook.
Thông đip này ha hn mang đến mt n cười cho bn và tr đến các website mà bn chưa tng nghe ti bao gi. Bn nghĩ bn có th
tin tưởng được nó, vì vy kích vào liên kết – và điu gì đến đã đến, máy tính ca bn s b hướng sai đến mt trang gi mo dùng để
đánh cp các thông tin chi tiết v đăng nhp hoc đưa bn đến mt trang download dùng để tiêm nhim h thng ca bn bi mt
Trojan horse đánh cp mt khu. Trong khi đó s thc bn ca bn nói rng cô y chưa tng gi cho bn thông đip đó bao gi.
Ti phm có th là mt trang profile ca LinkedIn gi mo dùng cho các URL nguy him hay có th là mt thông báo Twitter gi t nhn
đến t nhng người bn ca bn, do đó các mng xã hi nhanh chóng tr thành môi trường mi nht đối vi các tn công malware. Khi
các h điu hành và các ng dng tr nên ngày càng khó hack mt cách trc tiếp thì các loi hình ti phm trc tuyến đã nhn ra rng
nó s d dàng hơn để tn công người dùng thông qua vic kích vào các liên kết xu, m các file nguy him và chy phn mm mã độc.
Nơi tt nht để khai thác chính là s tin cy gia nhng người bn và đồng nghip, đây chính là các cơ chế ca chính các mng xã hi.
Lúc này, hu hết các người dùng Internet đều đủ hiu biết để nhn ra các email spam. Nhưng nhng gì xy ra vi tweet b spam là rt
khó lường vì nó đến t mt trong s nhng người bn ca bn và đưa bn đến mt trang nào đó gn ging như trang mà bn s dng
để đăng nhp vào Twitter. Nhng tên trm d liu, nhng k mun kim soát tài khon ca bn thc hin hành động gi ngu nhiên
nhng thông đip có kèm các URL – mt trong s đó dùng để thc hin tiêm nhim các máy tính ca người nhn bng các loi malware
đến bt c ai trong mng xã hi.
Nhng người dùng Facebook và MySpace đã phi x lý vi mt s loi sâu và các vn đề khó chu khác tri rng không ph thuc vào
bt c hành động nào được thc hin bi người gi tài khon.
Cách khc phc: Nếu bn nghĩ rng các thông tin tài khon mng xã hi c mình đã b tha hip hoc b đánh cp, hãy báo cáo s
nghi ng ca bn vi nhóm h tr ca site đó ngay lp tc. Thay đổi mt khu ca bn mt cách thường xuyên và tránh kích vào các
liên kết có ni dung gi bn tr li site mng xã hi mà thay vào đó nên trc tiếp đánh địa ch ca trang vào trình duyt (hoc theo
bookmark bn đã lưu t trước) để quay tr li tài khon ca bn.
Th tín dng phơi bày trc tuyến
Lý do cn quan tâm: Vic gii quyết nhng gánh nng đối vi th tín dng la đảo có th khá phc tp và tn kém thi gian.
Kch bn: Khi kim tra email, thy mt thông báo t mt nhà bán l trc tuyến ln thông báo rng đơn hàng mà bn hoàn tr gn đây
đã sn sàng ch đến – nhưng thc tế bn chưa h đặt hàng gì. Thc hin theo mt liên kết trong thư để quay tr v trang đăng nhp
ca site (gi s như vy), trang gm có các biu mu web lit kê s th tín dng sai và địa ch cho tài khon ca bn và các yêu cu bt
bn đin vào thông tin chính xác để công ty có th bt đầu quá trình gii quyết s tranh lun ca nó.
Bn nhp vào s th tín dng, ngày hết hn ca th, địa ch, s CVV (giá tr thm định th - card verification value) được in phía sau,
ngày sinh, và … Hoàn toàn tình c bng cách đó bn đã cung cp rt nhiu thông tin quan trng v th tín dng vào tay nhng k la
đảo trc tuyến.
Người tiêu dùng không bao gi có nghĩa v pháp lý hơn 50$ v tin thù lao cho th tín dng la đảo, chính vì đó bn có th phân vân
rng liu vic các thông tin th tín dng ca bn b đánh cp là cách đáp tr cho hành động này. Câu tr li đúng như vy. Bn không
th tr trc tiếp và ngay lp tc cho s gian ln, nhưng tt c người dùng th tín dng đều phi mt mt khon theo hình thc phí và
mc tin lãi để bo đảm chi phí vi nhà phát hành th tín dng.
Thêm vào đó, s tn thi gian đáng k trong vic hy các tài khon th tín dng, thay thế bng các th mi được phát hành, kim tra
các báo cáo th ca bn, thay đổi s trong tài khon nếu bn s dng chúng để thanh toán t động.
Cách khc phc: Mt s ngân hàng ln vn cung cp các s th tín dng dùng mt ln (single-use) – bn đăng nhp vào website ca
ngân hàng và nhn biết s lượng mua bán tng th t ca hàng trc tuyến liên quan, site ngân hàng s đáp tr bng cách đưa ra s th
tín dng có th ch được s dng vi mt s lượng đó và ti ca hàng trc tuyến đó. ShopSafe ca ngân hàng M, s th tín dng o
ca Citibank và mt s tài khon trc tuyến an toàn ca Discover vn đảm bo đủ độ an toàn, mc dù vy báo chí M cũng đã tiêu dit
mt dch v tương t như vy cách đây nhiu năm.
Google và s riêng tư ca bn
Lý do cn quan tâm: Bt c doanh nghip nào duy trì quá nhiu thông tin v bn cũng đều đặt bn vào nhng ri do v có liên quan
đến d liu.
Kch bn: Google dường như là xut hin các lĩnh vc. T vic chy mt c máy tìm kiếm hàng khng, công ty này đã cung cp rt
nhiu các dch v cho vic gi email, nhn các feed tin tc, mua bán trc tuyến. Thêm vào đó, nhiu trong s các website ưa thích ca
bn cũng thường s dng Google để qung cáo, câu ni dung, hoc thm chí kim tra hiu sut ca chính h. Tài khon Google ca
bn ging như mt nht ký cho mi công vic thc hin trc tuyến ca bn: Nó có th dõi theo hành vi lướt web ca bn và thâm chí
còn th hin cho bn thy được các xu hướng mà bn có th không h hay biết.
Lượng khng l thông tin mà Google qun lý t người dùng ngày càng gia tăng: email, IM, VoIP, các cuc gi đin thoi, nh, bn đồ, tài
chính và các danh mc vn đầu tư, địa ch nhà và nơi làm vic, các tham chiếu, nhng đon video thú v và các đánh giá, mua bán trc
tuyến, các tìm kiếm thường xuyên nht, các kết qu tìm kiếm được kích. Liu bn có th tin tưởng vào mt doanh nghip nào đó có quá
nhiu thông tin giá tr v bn, điu đó cn phi được cân nhc.
Cách khc phc: Bn có th t g cho chính bn thân mình khi Google, nhưng không tha nhn rng ch “G” không nm trong đầu
bn. Chính vì vy cách tt đây là hãy thay đổi các thiết lp tìm kiếm mc định ca Google trong Firefox nếu bn phi thc hin; ngng
s dng Gmail, iGoogle, và Google Account ca bn nếu bn thc s thy cn thiết. Tuy nhiên quá nhiu site kết hp các thành phn
chung, nhng phân tích, li ích ca công ty, mà t đó vic b h thng Google là gn như không th đối vi bt c ai s dng kết ni
Internet.
Cách dit W32.SillyFDC.BBM
I)Mô T
Phát hin: 30 tháng 03 năm 2009
Cp nht: 30 tháng 03 năm 5:45:58 AM
Tên: W32.SillyFDC.BBM
Kiu : Worm
Kích thước: 26,624 bytes
Mc độ nguy him: Trung bình
H thng b nh hưởng : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista,
Windows XP