Cách diệt sau W32.Reploret (virust)

[cop_xong_paste]

Phát hiện Tháng 1  31, 2007




Cập nhật Tháng 2 1, 2007 04:14:59 PM GMT




Kiểu Worm




 




Có kick thước khoảng  36,864 bytes




 




Những hệ thống bị lây nhiễm :Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP




Khi nhiễm W32.Reploret nó sẽ gây ra một số hoạt động sau




 




Khởi tạo một file sau




%System32%\drivers\Uninstall.exe




 




%System% là biến tham chiếu đến folder của hệ thống . Mặc định như sau  C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).

 




Thêm file sau vào ổ đĩa

 




[DRIVE_LETTER]:\more.exe (for drive C)




 




[DRIVE_LETTER]:\Hay.exe (for drives D to P)




 




Và thêm một file sau




[DRIVE_LETTER]:\autorun.inf




[DRIVE_LETTER]:\desktop.ini




 




Thêm một số key vào trường khóa sau




 




HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}




 




Và thêm một dòng thông báo Trên thanh  title bar của  explorer.exe




^_^ Hello, I'm a hot[REMOVED]m very cool ^_^




 




Những khuyến cáo:




- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :




Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FPT server, telnet, và web server.




- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.

- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FPT, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.

- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.




- Những email của máy chủ nhiễm virut, để ngăn chặn  bỏ email mà chứa đựng những files có sử dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).




Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.




- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet




 




 




Cách diệt:




1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)

2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất




Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0




Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0

3. Chạy và quét toàn bộ hệ thống.




 




Click Start > Run.




 




Type regedit




Click OK.




Tìm đến và xóa key sau




HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}




 




 




Thoát khỏi regedit
xem tiếp tại đây
http://911.com.vn/news_home.asp?page=1&newsgroupID=CUS_050703053842

[notepad]

Đơn giản hơn thằng em ạ
Tải BKAV về mà diệt trong SafeMode
Nó còn có Description: NgheAn Programer
Norton cách đây 7 ngày cũng không diệt được nó đâu.

[saos@ngmo]

Chuyển sang Symantec Antivirus dùng đi, Norton chán bỏ xừ