YOMEDIA
ADSENSE
ĐỒ ÁN MÔN CĐ-ĐT "CÁCH PHÒNG CHỐNG VÀ KHẮC PHỤC VIRUT CÓ HIỆU QUẢ"
130
lượt xem 50
download
lượt xem 50
download
Download
Vui lòng tải xuống để xem tài liệu đầy đủ
TÀI LIỆU THAM KHẢO - ĐỒ ÁN MÔN CĐ-ĐT "CÁCH PHÒNG CHỐNG VÀ KHẮC PHỤC VIRUT CÓ HIỆU QUẢ" .
AMBIENT/
Chủ đề:
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: ĐỒ ÁN MÔN CĐ-ĐT "CÁCH PHÒNG CHỐNG VÀ KHẮC PHỤC VIRUT CÓ HIỆU QUẢ"
- PC 15 B2 SL / NHÓM 6 ĐỒ ÁN MÔN CĐ-ĐT CÁCH PHÒNG CHỐNG VÀ KHẮC PHỤC VIRUT CÓ HIỆU QUẢ. Virus W32.Botou I) Mô tả Khám phá 11 tháng 2 năm 2008 Cập nhật :11tháng 2 năm 2008 4:59:55 PM Kiểu : Sâu Mức độ lây lan:184,320 bytes Hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Symantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus Tắt chức năng khôi phục hệ thống của (Windows Me/XP) 1 Cập nhật chương trình diệt virus mới 2 Chạy quét toàn bộ hệ thống 3 Xóa những giá trị được ghi vào Registry 4 Loại bỏ những mục có khả năng làm lây nhiễm đến mục khác 5
- II) Cách diệt Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất kỳ sự thay đổi nào 1 Vào Start> Run 2 Gõ Regedit 3 Click OK Chú ý : Nếu việc truy xuất vào Registry thất bại thì bạn có thể dùng các công cụ để có thể thực hiện được bạn có thể tải ở địa chỉ sau http://www.911.com.vn/download/Khoa_regedit.vbs 4. Tìm và sửa các giá trị HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ex plorer\"NoFolderOptions" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\A dvanced\"HideFileExt" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\A dvanced\"ShowSuperHidden" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\ad vanced\"SuperHidden" = "1" 5. Thoát khỏi Registry Virus Trojan.Clampi I) Mô tả Khám phá 16 tháng 1 năm 2008 Cập nhật :16 tháng 1 năm 2008 5:27:20 PM Kiểu : Trojan Mức độ lây lan: 402,952 bytes Hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98,
- Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Symantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus Tắt chức năng khôi phục hệ thống của (Windows Me/XP) 1 Cập nhật chương trình diệt virus mới 2 Chạy quét toàn bộ hệ thống 3 Xóa những giá trị được ghi vào Registry 4 Loại bỏ những mục có khả năng làm lây nhiễm đến mục khác 5 II) Cách diệt Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất kỳ sự thay đổi nào 1 Vào Start> Run 2 Gõ Regedit 3 Click OK Tìm và xóa các giá trị 4 HKEY_USERS\S-1-5-21-816139046-577266240-1678582812- 500\Software\Microsoft\Internet Explorer\Settings\"GID" = "00 00 00 61" HKEY_USERS\S-1-5-21-816139046-577266240-1678582812- 500\Software\Microsoft\Internet Explorer\Settings\"GatesList" ="63 72 69 74 69 63 61 6C 66 61 63 74 6F 72 2E 63 63 00 2F 63 67 69 2D 62 69 6E 2F 63 69 74 79 2E 63 67 69 00 61 6E 61 6D 61 6C 69 74 79 2E 69 6E 66 6F 00 2F 63 67 69 2D 62 69 6E 2F 62 61 6E 67 2E 63 67 69 00 77 69 72 65 64 78 2E 69 6E 00 2F 63 67 69 2D 62 69 6E 2F 64 62 2E 63 67 69 00" HKEY_USERS\S-1-5-21-816139046-577266240-1678582812- 500\Software\Microsoft\Internet Explorer\Settings\"KeyM" = "94 6B EE BC FF A5 BB 8B 5E 68 2A A5 8F BF 24 F5 7A 63 B7 9C BB DB 14 D5 1F AE B0 57 34 02 59 6F C6 38 9C 7E BD 8F 82 02 9F 36 AB 3F 0C 6C B9 4C C3 98 7E E6 77 0A CC 53
- 20 6F 6B 5B EC 83 A8 9E 34 C1 9E 9C 73 93 05 01 F3 3D D2 DA 79 ED 63 00 04 25 CB 82 FC 87 3D 89 E1 86 79 79 8C 67 A8 43 5C BC 65 26 66 5E B1 8A C5 51 95 E0 24 B8 7F F5 1A 1C 20 83 DD B7 44 E6 E7 66 B3 5D 88 A7 85 C8 2B A4 58 4E 18 85 A2 9D D3 16 D5 89 E6 51 4B 70 90 C9 F3 82 69 13 F1 09 ED 7C 30 86 2A 16 4A 4C A4 06 FA F9 78 C4 7D 72 93 FC 64 D7 48 C5 FB 83 A2 44 0A 98 77 BE CD 4B FE A8 69 A2 16 F2 73 C5 F1 44 FF 11 38 3E AF 5F 3F 87 05 61 61 FC FF 22 BE 00 D5 46 67 A0 BA CE 65 A5 C7 32 03 93 11 96 62 7E EB 0B 5D 9D 9A 92 1B 41 10 8C 2C 9B 09 A5 11 84 EB 91 CA 34 18 0E 92 2D 85 C7 6B 02 B0 EF" HKEY_USERS\S-1-5-21-816139046-577266240-1678582812- 500\Software\Microsoft\Internet Explorer\Settings\"KeyE" = "00 01 00 01" HKEY_USERS\S-1-5-21-816139046-577266240-1678582812- 500\Software\Microsoft\Windows\CurrentVersion\Run\Regscan:"C:\WINDOWS\syst em32\regscan.exe" Thoát khỏi Registry 5 Virus W32.Dranyam I) Mô tả Khám phá 18tháng 1 năm 2008 Cập nhật :18 tháng 1 năm 2008 5:23:43 PM Kiểu : Sâu Mức độ lây lan: 180,224 bytes Hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Symantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus Tắt chức năng khôi phục hệ thống của (Windows Me/XP) 1 Cập nhật chương trình diệt virus mới 2
- Chạy quét toàn bộ hệ thống 3 Xóa những giá trị được ghi vào Registry 4 Loại bỏ những mục có khả năng làm lây nhiễm đến mục khác 5 II) Cách diệt Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất kỳ sự thay đổi nào 1 Vào Start> Run 2 Gõ Regedit 3 Click OK Tìm và xóa các giá trị 4 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666} Khôi phục lại các giá trị mặc định của Registry 5 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "userinit.exe,services.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\A dvanced\"Hidden" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\A dvanced\"HideFileExt" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\A dvanced\"ShowSuperHidden" = "0" Thoát khỏi Registry 6 Trojan.Randsom.C
- I) Mô tả Khám phá :04 tháng 1 năm 2008 Cập nhât: 04 tháng 1 năm 2008 10:24:48 PM. Kiểu : Trojan Mức độ lây lan: 420,618 Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 Symantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus Tắt chức năng khôi phục hệ thống của (Windows Me/XP) 1 Cập nhật chương trình diệt virus mới 2 Chạy quét toàn bộ hệ thống 3 Xóa những giá trị được ghi vào Regist 4 Loại bỏ những mục có khả năng làm lây nhiễm đến mục khác 5 II) Cách diệt Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất kỳ sự thay đổi nào 1. Vào Start> Run 2. Gõ Regedit 3. Click OK 4. Tìm và xóa các giá trị HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ "License" = "locker.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\backdoor check\"CreationDate" = "[DATE OF MALWARE INSTALLATION]" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\backdoor check\"Installed' = "1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\backdoor check\"Payed" = "0"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\backdoor check\"Runtime" = "1" 5 Thoát khỏi Registry Virus W32.Debsis.A I) Mô tả Khám phá : 05 tháng 11năm 2007 Cập nhât : 05 tháng 11năm 2007 3:48:31 PM Kiểu : sâu Mức độ lây lan: : 28,221 bytes Hệ thống bị ảnh hưởng Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, WindowsServer 2003, Windows Vista, Windows XP Symantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus 1. Tắt chức năng khôi phục hệ thống của (Windows Me/XP) 2. Cập nhật chương trình diệt virus mới 3. Chạy quét toàn bộ hệ thống 4. Xóa những giá trị được ghi vào Registry 5. Loại bỏ những mục có khả năng làm lây nhiễm đến mục khác II) Cách diệt Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất kỳ sự thay đổi nào 1. Vào Start> Run 2. Gõ Regedit 3. Click OK 4. Tìm và xóa các giá trị HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ex
- plorer\Run\"McaFee virus detect program" = "%Program Files%\Network Associates\VirusScan\svchst.exe" 5. Thoat khỏi Registry Virus Trojan. Si l e n t b a n k e r I) Mô tả: Khám phá : 17 tháng 12 năm 2007 Cập nhât : 18 tháng 12 năm 2007 lúc 11:45:19:Pm Kiểu : Trojan Mức độ lây lan: : 54,189 bytes và 98,304 bytes Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 Symantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus 1. Tắt chức năng khôi phục hệ thống của (Windows Me/XP) 2. Cập nhật chương trình diệt Virus mới nhất 3. Chạy quét toàn bộ hệ thống 4. Xoá các giá trị được ghi vào registry II) Cách diêt: Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất kỳ sự thay đổi Click Start > Run. Type regedit Click OK. Xoá các gía trị được ghi vào Registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
- NT\CurrentVersion\Drivers32\"midi1" = "[RANDOM CHARACTERS][RANDOM DIGITS].dll" HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\InprocServer32\(Default Value) = "[RANDOM CHARACTERS][RANDOM DIGITS].dll" HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\TypeLib\(Default Value) = {[RANDOM CLSID]} HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\(Default Value) = "[RANDOM CHARACTERS][RANDOM DIGITS]" Xoá giá trị sau HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Browser Helper Objects\{[RANDOM CLSID]} Thoát khỏi registry VBS.Runauto.E Phát hiện: November 2, 2007 Cập nhật: November 2, 2007 10:55:58 AM Kiểu: Worm Có kick thước khoảng : 5,320 bytes Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 Khi nhiễm Trojan sẽ gây ra một số hoạt động sau Khởi tạo thêm file vào hệ thống • %Windir%\achitasin.dll.vbs • %SystemDrive%\achi.htm Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"achi
- tasin" = "%Windir%\achitasin.dll.vbs" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = "Hacked by Achitasin & ???? ???" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "C:\achi.htm" Sau đó nó sẽ khởi tạo thêm file vào tất cả các ổ trên hệ thống %DriveLetter%\achitasin.dll.vbs %DriveLetter%\autorun.inf Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét 1. Click Start > Run. 2. Type regedit 3. Click OK. Bạn vào tìm khóa sau và xóa đi HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = "Hacked by Achitasin & ???? ???" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ "achitasin" = "%Windir%\achitasin.dll.vbs" 4. Bạn vào tìm khóa sau và xóa đi
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "C:\achi.htm" 5. Thoát khỏi regedit W32.Sillyban.A Phát hiện: October 3, 2007 Cập nhật: October 3, 2007 12:53:09 PM Kiểu: Worm Có kick thước khoảng : 110,592 bytes Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows Vista , Windows 2000 Khi nhiễm Trojan sẽ gây ra một số hoạt động sau • %Windir%\Media\StartUp\scvhost.exe • %System%\hostdll.exe • %System%\taskfile.exe • %Windir%\spool32.exe • %SystemDrive%\HaveaBadDay.sys Khởi tạo vào Ổ C, K của hệ thống %DriveLetter%\New_Folder.exe %DriveLetter%\autorun.inf • %DriveLetter%\cool data.exe • %DriveLetter%\New Folder (4).exe • %DriveLetter%\dataku.exe • %DriveLetter%\data kuliah.exe • %DriveLetter%\New Folder (5).exe • %DriveLetter%\system.exe
- • %DriveLetter%\funny doc.exe Tiếp theo nó khởi tạo một số đối tượng sau • %CurrentFolder%\jangan dihapus .exe • %CurrentFolder%\my sweety .exe • %CurrentFolder%\foto cewek .exe • %CurrentFolder%\kekasishku .exe • %CurrentFolder%\data penting .exe • %CurrentFolder%\downlodan .exe • %CurrentFolder%\update antivir .exe • %CurrentFolder%\kumpulan program .exe • %CurrentFolder%\movie bkp .exe • %CurrentFolder%\nitip .exe • %CurrentFolder%\folder option .exe • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"NeverShowExt" = "" • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WindowsProfile.EXE\"(default)" = "%Windir%\Media\StartUp\scvhost.exe" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\s ystem\"NoFolderOptions" = "1" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Wi ndowsProfile" = "WindowsProfile Rundll32.exe" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Pri nter Cpl" = "%Windir%\spool32.exe" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Syste mRestore\"DisableConfig" = "1" •HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\"Disabl eMSI" = "1" • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = ">> Have A Bad Day
- • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\"Startup" = "%Windir%\Media\StartUp" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explor er\"NoFind" = "1" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explor er\"NoFolderOptions" = "1" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explor er\"NoRun" = "1" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Syste m\"DisableCMD" = "1" Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft Word" = "%System%\hostdll.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\s ystem\"DisableRegistryTools" = "1" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Syste m\"DisableRegistryTools" = "1" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\s ystem\"DisableTaskMgr" = "1" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Syste m\"DisableTaskMgr" = "1" •HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"(default)" = "File Folder" •HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"TileInfo" = "prop:DocComments" • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"InfoTip" = "prop:DocComments" •HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command\"(default)
- " = "cmd.exe /c del "%1"" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\"RegisteredOrganization" = "your system is mine" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\"RegisteredOwner" = "your system is mine" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe, C:\WINDOWS\system32\taskfile.exe" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Adva nced\"Hidden" = "2" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Adva nced\"HideFileExt" = 1" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Adva nced\"ShowSuperHidden" = "0" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Adva nced\"ClassicViewState" = "0" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explor er\"NoDriveTypeAutoRun" = "5B" Tiếp nó tìm kiếm tất cả các file sau • .doc • .mpg • .3pg • .wmv • .rar • .jpg • .txt %CurrentFolder%\[FILE NAME].[EXTENSION].exe • kill • hijack
- • reg • process Với thông điệp như sau Have a Bad Day Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét 1. Click Start > Run. 2. Type regedit 3. Click OK. 4. Tìm kiếm và xóa giá trị sau HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"NeverShowExt" = "" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WindowsProfile.EXE\"(default)" = "%Windir%\Media\StartUp\scvhost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\polic ies\system\"DisableRegistryTools" = "1" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\polic ies\system\"DisableTaskMgr" = "1" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\polic
- ies\system\"NoFolderOptions" = "1" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ "WindowsProfile" = "WindowsProfile Rundll32.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ "Printer Cpl" = "%Windir%\spool32.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\"DisableConfig" = "1" HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\"Di sableMSI" = "1" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = ">> Have A Bad Day
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"TileInfo" = "prop:DocComments" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"InfoTip" = "prop:DocComments" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command\"(def ault)" = "cmd.exe /c del "%1"" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\"RegisteredOrganization" = "your system is mine" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\"RegisteredOwner" = "your system is mine" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe, C:\WINDOWS\system32\taskfile.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\A dvanced\"Hidden" = "2" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\A dvanced\"HideFileExt" = 1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\A dvanced\"ShowSuperHidden" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\A dvanced\"ClassicViewState" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ex plorer\"NoDriveTypeAutoRun" = "5B" 6. Thoát khỏi regedit W32.Virut.W Phát hiện: September 27, 2007 Cập nhật: September 27, 2007 10:54:25 PM
- Kiểu: Virus Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Khi nhiễm Trojan sẽ gây ra một số hoạt động sau Nó tạo ta modul thể hiện những cảnh báo và chạy cùng máy tính mỗi khi ngừoi dùng sử dụng Virus sẽ lây lan tới tất cả các file có đuôi mở rộng .exe or .scr Nó lây lan tới tất cả các file với chuỗi kí tự sau • PSTO • WC32 • WCUN • WINC Nó sẽ sử dụng phương thức proxim.ircgalaxy.pl on TCP port 80 làm cho ngừoi dùng có thể bị tấn công từ xa Nó sẽ tự động điều khiển tới site sau [http://]ntkrnlpa.info Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét
- Sâu W32.Whybo.Z Phát hiện: August 27, 2007 Cập nhật: August 27, 2007 4:43:28 PM Kiểu: Win32/Fuceb [Computer Associates] Có kick thước khoảng : 89,088 bytes Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Khi nhiễm Trojan sẽ gây ra một số hoạt động sau • %System%\serivces.exe • %SystemDrive%\Program Files\Common Files\Microsoft Shared\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\Program Files\Internet Explorer\Connection Wizard\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\Program Files\Windows Media Player\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\WINDOWS\addins\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\WINDOWS\system\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\WINDOWS\system32\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\WINDOWS\system32\drivers\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\WINDOWS\system32\dllcache\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\WINDOWS\system32\IME\[FIVE RANDOM LOWERCASE LETTERS].exe
- Khởi tạo file vào temporary: %System%\update.bak %DriveLetter%:\setup.exe %DriveLetter%:\AutoRun.inf Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động Service Name: Services management Image Path: %System%\serivces.exe • ComPlus Applications;Messenger • Documents and Settings • Internet Explorer • Messenger • Microsoft Frontpage • Movie Maker • NetMeeting • Outlook Express • Recycled • System Volume Information • Windows Media Player • Windows NT • WINDOWS • WindowsUpdate • WINNT Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
ADSENSE
CÓ THỂ BẠN MUỐN DOWNLOAD
Thêm tài liệu vào bộ sưu tập có sẵn:
Báo xấu
LAVA
AANETWORK
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn