Cảnh giác với virus MSN 'hi. this is your photo?'

Những tin nhắn này thường bắt đầu bằng “hi. this is your photo?” kèm theo đó là 1 biểu tượng và 1 chuỗi 5 ký tự đi kèm. Trong dòng tiếp theo là 1 đường dẫn Nếu người sử dụng vô tình bấm vào đường dẫn trên, nó sẽ dẫn người sử dụng tới 1 trang web để bạn điển thông tin đăng nhập của tài khoản MSN, nhưng đồng thời sẽ tự động tải về máy tính 1 file có tên là “Picture_2525.exe” với dung lượng khoảng 1.8 mb (đây chính là 1 loại virus mới). Khi được kích...
Nội dung trích xuất từ tài liệu:
Cảnh giác với virus MSN “hi. this is your photo?” Cảnh giác với virus MSN “hi. this is your photo?”Những tin nhắn này thường bắt đầu bằng “hi. this is your photo?” kèm theođó là 1 biểu tượng và 1 chuỗi 5 ký tự đi kèm. Trong dòng tiếp theo là 1đường dẫnNếu người sử dụng vô tình bấm vào đường dẫn trên, nó sẽ dẫn người sửdụng tới 1 trang web để bạn điển thông tin đăng nhập của tài khoản MSN,nhưng đồng thời sẽ tự động tải về máy tính 1 file có tên là“Picture_2525.exe” với dung lượng khoảng 1.8 mb (đây chính là 1 loạivirus mới). Khi được kích hoạt trong hệ thống, người sử dụng sẽ thấy xuấthiện 1 bảng thông báo với tựa đề “bedava Film indir. Hemen TIKLA 7” bằngngôn ngữ Azerbaijani.Nếu tiếp tục bấm vào bảng thông báo đó, 1 trang web quảng cáo sẽ xuất hiệntrên trình duyệt của người sử dụng. Sau khi phân tích hành động của chươngtrình virus này, tác giả đã phát hiện ra mục đích chính của virus là tự độngxóa bỏ file hệ thống trong thư mục “System32” và cài đặt, kích hoạt thêm 1số dịch vụ khi hệ điều hành Windows khởi động. Đồng thời nó chuyển trangweb khởi động mặc định của Internet Explorer thành trang“www.googlesayfa.com/en” với giao diện rất giống với Google. Nếu ngườisử dụng tin tưởng và tiếp tục thao tác trên chính trang web này, sẽ xuất hiện1 đoạn quảng cáo Google Adsense với nội dung “this website unofficialGoogle Search Fan website”, đồng thời hệ thống sẽ tự động tạo kết nối tớiđịa chỉ IP của Mỹ: 67.228.41.155thông qua cổng 6772.Sau khi phân tích quá trình hành động của file “Picture_2525.exe” bằng ứngdụng trực tuyến VirusTotal, có khoảng 33 trên tổng số 41 bộ máy có thểnhận diện được đây là virus. Nhưng cũng khá may mắn đối với người sửdụng vì virus này không được trang bị tính năng “persistent”. Người sử dụngcó thể tạo ra file batch tự động xóa bỏ loại virus này hoặc làm theo các bướcđơn giản sau:- Mở ứng dụng Task Manager, chọn Tab Processes và hủy các tiến trìnhsau: svlost.exe, svlostSrv.exe,tasman.exe bằng cách chọn “End Process”- Mở mục Run (Win + R) và gõ lệnh: sc delete svlostServices- Tìm và xóa bỏ những file sau trong thư mục hệ thống“WindowsSystem32”: libeay32.dll, ssleay32.dll,svlost.exe, svlosta.dll, svlostb.dll, svlostSrv.exe, tasman.exe- Tiếp theo, mở mục Run (Win + R) và tiếp tục với 2 câu lệnh riêng biệt sau:reg delete hkcusoftwaremicrosoftinternet explorermain /vdefault_page_url /freg delete hkcusoftwaremicrosoftinternet explorermain /v StartPage /fSau khi thực hiện đúng và đầy đủ những thao tác trên thì bạn đã hoàn toànxóa bỏ virus khỏi hệ thống, nhưng tốt nhất bạn nên thay đổi mật khẩu đăngnhập MSN.Bên cạnh đó, tác giả đã làm 1 cuộc điều tra Reverse IP sử dụng côngcụ DomainTools để truy tìm dấu vết thì phát hiện ra thêm 52 domains dướicùng 1 server: