Cách diệt Win32/Sality.T

I) Mô Tả Tên: Virus.Win32.Sality.t (Kaspersky), W32.Sality.Y!inf (Symantec), W32/Sality.p virus (McAfee) Kiểu : Virus Kích thước: Khoảng 20KB Nền tảng bị ảnh hưởng: Microsoft Windows Phiên bản
Nội dung trích xuất từ tài liệu:
Cách diệt Win32/Sality.TCáchdiệtWin32/Sality.T I) Mô Tả Tên: Virus.Win32.Sality.t (Kaspersky), W32.Sality.Y!inf (Symantec), W32/Sality.p virus (McAfee) Kiểu : Virus Kích thước: Khoảng 20KB Nền tảng bị ảnh hưởng: Microsoft Windows Phiên bản trong cơ sở dữ liệu: 2126 (20070319) Win32/Sality.T là một tập tin lây nhiễmII) Cài đặtKhi lây nhiễm virus tải xuống các tập tin sau và đưa vào thư m ục %system% folder oledsp32.dl_ (18902 B) oledsp32.dll (26624 B) Win32/Sality.T là một tập tin lây nhiễmNó tìm kiếm và thi hành cùng với các đuôi mở rộng sau *.exe *.scrCác tập tin bị mắc bệnh nó sẽ tạo thêm một thư mục mới có chứa virusKích thước của mã chèn khoảng 20 Kb. Các virus lây nhiễm sẽ tham chiếu vào các mục sau trong Registry[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]Sau khi có thể vào các mục trên nó có thể đảm bảo rằng nó có th ể ch ạy đ ược trên m ọi h ệ thốngIII) Thông tin khác Win32/Sality.T là một dạng virus đánh cắp thông tinNhững thông tin sau sẽ được thu tập user name (Tên người dùng) computer name (Tên máy tính) malware version computer IP address (Địa chỉ IP) operating system version (Phiên bản hệ thống) list of disk devices and their type (Danh sách các đĩa và thi ết bị ) RAS accounts (Tài khoản) recently visited URLs (Các địa chỉ đã đến )Dữ liệu được lưu trong tập tin sau : %system%TFTempCacheCác virus gửi các thông tin qua e-mail. Các virus sử dụng máy ch ủ SMTP sau: msx.mail.ruSau đây là địa chỉ người gửiCyberMazafaka@mailru.comCác địa chỉ người nhân sector2007@list.ru bespontovij@list.ruTên của các tập tin đính kèmreadme.tjcTFTempCache.tjcNếu ngày hiện tại của hệ thống và thời gian phù hợp với một số điều kiện, Virus s ẽ hi ển thị thông báo sauWIN32.HLLP.KUKU v3.0b> Copyright (c) by SectorNhững tập tin sau sẽ bị xoá*.vdb*.avc*.drw.keyTạo ra tệp tin sau%windir%system.iniVirus ghi thêm các giá trị vào files[TFTempCache]RtlMoveMemory=%number%MPR=%number%Nguồn:911CáchdiệtWin32/Xorer.BU I)MôTả Tên:Virus.Win32.Xorer.bu(Kaspersky),tảivề(Symantec),W32/Fujacks(McAfee) Kiểu:Virus Kíchthước:102400B Nềntảngbịảnhhưởng:MicrosoftWindowsPhiênbảntrongcơsởdữliệu:2734(20071219)Win32/Xorer.BUlàmộttậptinlâynhiễmII)CàiđặtKhiđượcchạycácvirusnàytảixuốngnhữngtậptinsauđâyvàotrongthưmục%system%com etcfg.000(45056B)netcfg.dll(45056B)lsass.exe(102400B)smss.exe(9525B)Tậptinsauđượcđưavàocùngvớiquátrìnhkhởiđộng~.exe(102400B)NhữngmụcsautrongRegistrybịxoábỏ[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun][HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinimal{4D36E967E32511CEBFC108002BE10318}][HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967E32511CEBFC108002BE10318}][HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetwork{4D36E967E32511CEBFC108002BE10318}][HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967E32511CEBFC108002BE10318}][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions]Nhữngkhóasauđượcđặtlạigiátrị[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden]Type=radio[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]NoDriveTypeAutorun=91III)ThựcthicáctậptinlâynhiễmWin32/Xorer.BUlàmộttậptinlâynhiễmVirusnàytìmkiếmvàtiếnhànhlâynhiễmvớicáctậptincóđuôimởrộngsau*.exeKíchthướccủacácfileslà204808BLâynhiễmvàocáctậptinsau*.htm*.tml*.jsViruschènmộtmáJavaSciptvớimộtđịachỉliênkếtvàotậptinCácvirusnàytạorabảnsaochínhnóvàlưutrongtấtcảcácthưmụcgốccủaổđĩabằngcáchsửdụngtênsaupagefile.pif(102.400B)DướiđâylàtậptinđượcđưavàotrongthưmụcAutorun.infNóđảmbảosẽlâynhiễmkhicácphươngtiệnnhưổđĩarờihayusbsẽđượcđưavàomáytínhIV)CácthôngtinkhácCácviruscóthểtảixuốngmộttậptintừInternet.Nóchưamộtdanhsách(2)URLcàcácgiaothứcHTTPđượcsửdụngCácViruschấmdứtbấtcứchươngtrìnhnàocóthểtạoravịêcnàotrongchuỗisaucótrongtêncủanóasmollydbgidasofticetapplication360##vso##Nóxoácáctậptincóchứamộttrongnhữngchuỗisautrongtêncủanó*.360Hướngdẫnbảomậttrựctuyến Mạngxãhộitỏrakháthúvịvàhữudụngchocôngviệc,mộtcáchtuyệtvờiđểgiữliênlạcvớibạnbè,đốitácvà ...