Đồ án Cách phòng chống và khắc phục virut có hiệu quả

PC 15 B2 SL / NHÓM 6 ĐỒ ÁN MÔN CĐ-ĐT CÁCH PHÒNG CHỐNG VÀ KHẮC PHỤC VIRUT CÓ HIỆU QUẢ. Virus W32.Botou I) Mô tả Khám phá 11 tháng 2 năm 2008Cập nhật   :11tháng 2 năm 2008    4:59:55 PMKiểu : SâuMức độ lây lan:184,320 bytesHệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Symantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus 1             Tắt chức năng khôi phục hệ thống của  (Windows Me/XP) 2             Cập nhật chương trình diệt virus mới  3             Chạy quét toàn bộ hệ thống4             Xóa những giá trị được ghi vào Registry5             Loại bỏ những mục có khả năng làm lây nhiễm đến mục khác  II) Cách diệt  Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất kỳ sự thay đổi  nào1           Vào Start> Run2           Gõ Regedit3           Click OKChú ý : Nếu việc truy xuất vào Registry thất bại thì bạn có thể dùng các công cụ để có thể thực hiện được bạn có thể tải ở địa chỉ sau 4. Tìm và sửa các giá trị HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer\"NoFolderOptions" = "1"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced\"SuperHidden" = "1"5. Thoát khỏi Registry Virus Trojan.Clampi I) Mô tả Khám phá 16 tháng 1 năm 2008Cập nhật   :16 tháng  1 năm 2008 5:27:20 PMKiểu :  TrojanMức độ lây lan: 402,952 bytesHệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XPSymantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus 1             Tắt chức năng khôi phục hệ thống của  (Windows Me/XP) 2             Cập nhật chương trình diệt virus mới  3             Chạy quét toàn bộ hệ thống4             Xóa những giá trị được ghi vào Registry5             Loại bỏ những mục có khả năng làm lây nhiễm đến mục khác  II) Cách diệt  Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất kỳ sự thay đổi  nào1           Vào Start> Run2           Gõ Regedit3           Click OK4         Tìm và xóa các giá trị HKEY_USERS\S-1-5-21-816139046-577266240-1678582812-500\Software\Microsoft\Internet Explorer\Settings\"GID" = "00 00 00 61"HKEY_USERS\S-1-5-21-816139046-577266240-1678582812-500\Software\Microsoft\Internet Explorer\Settings\"GatesList" ="63 72 69 74 69 63 61 6C 66 61 63 74 6F 72 2E 63 63 00 2F 63 67 69 2D 62 69 6E 2F 63 69 74 79 2E 63 67 69 00 61 6E 61 6D 61 6C 69 74 79 2E 69 6E 66 6F 00 2F 63 67 69 2D 62 69 6E 2F 62 61 6E 67 2E 63 67 69 00 77 69 72 65 64 78 2E 69 6E 00 2F 63 67 69 2D 62 69 6E 2F 64 62 2E 63 67 69 00"HKEY_USERS\S-1-5-21-816139046-577266240-1678582812-500\Software\Microsoft\Internet Explorer\Settings\"KeyM" = "94 6B EE BC FF A5 BB 8B 5E 68 2A A5 8F BF 24 F5 7A 63 B7 9C BB DB 14 D5 1F AE B0 57 34 02 59 6F C6 38 9C 7E BD 8F 82 02 9F 36 AB 3F 0C 6C B9 4C C3 98 7E E6 77 0A CC 53 20 6F 6B 5B EC 83 A8 9E 34 C1 9E 9C 73 93 05 01 F3 3D D2 DA 79 ED 63 00 04 25 CB 82 FC 87 3D 89 E1 86 79 79 8C 67 A8 43 5C BC 65 26 66 5E B1 8A C5 51 95 E0 24 B8 7F F5 1A 1C 20 83 DD B7 44 E6 E7 66 B3 5D 88 A7 85 C8 2B A4 58 4E 18 85 A2 9D D3 16 D5 89 E6 51 4B 70 90 C9 F3 82 69 13 F1 09 ED 7C 30 86 2A 16 4A 4C A4 06 FA F9 78 C4 7D 72 93 FC 64 D7 48 C5 FB 83 A2 44 0A 98 77 BE CD 4B FE A8 69 A2 16 F2 73 C5 F1 44 FF 11 38 3E AF 5F 3F 87 05 61 61 FC FF 22 BE 00 D5 46 67 A0 BA CE 65 A5 C7 32 03 93 11 96 62 7E EB 0B 5D 9D 9A 92 1B 41 10 8C 2C 9B 09 A5 11 84 EB 91 CA 34 18 0E 92 2D 85 C7 6B 02 B0 EF"HKEY_USERS\S-1-5-21-816139046-577266240-1678582812-500\Software\Microsoft\Internet Explorer\Settings\"KeyE" = "00 01 00 01" HKEY_USERS\S-1-5-21-816139046-577266240-1678582812-500\Software\Microsoft\Windows\CurrentVersion\Run\Regscan:"C:\WINDOWS\system32\regscan.exe"5         Thoát khỏi Registry Virus W32.Dranyam I) Mô tả Khám phá 18tháng 1 năm 2008Cập nhật   :18 tháng  1 năm 2008 5:23:43 PM Kiểu :  SâuMức độ lây lan: 180,224 bytesHệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Symantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus 1             Tắt chức năng khôi phục hệ thống của  (Windows Me/XP) 2             Cập nhật chương trình diệt virus mới  3             Chạy quét toàn bộ hệ thống4             Xóa những giá trị được ghi vào Registry5             Loại bỏ những mục có khả năng làm lây nhiễm đến mục khác  II) Cách diệt  Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất kỳ sự thay đổi  nào1           Vào Start> Run2           Gõ Regedit3           Click OK4          Tìm và xóa các giá trị             HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}            HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}5          Khôi phục lại các giá trị mặc định của RegistryHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "userinit.exe,services.exe"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "0"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"6         Thoát khỏi Registry Trojan.Randsom.C I) Mô tả Khám phá :04 tháng 1 năm 2008Cập nhât:   04 tháng 1 năm 2008  10:24:48 PM. Kiểu :  Trojan Mức độ lây lan: 420,618 Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000Symantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus 1             Tắt chức năng khôi phục hệ thống của  (Windows Me/XP) 2             Cập nhật chương trình diệt virus mới  3             Chạy quét toàn bộ hệ thống4             Xóa những giá trị được ghi vào Regist5             Loại bỏ những mục có khả năng làm lây nhiễm đến mục khác  II) Cách diệt  Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất kỳ sự thay đổi  nào1.   Vào Start> Run2.   Gõ Regedit3.   Click OK4.   Tìm và xóa các giá trị HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"License" = "locker.exe"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\backdoor check\"CreationDate" = "[DATE OF MALWARE INSTALLATION]"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\backdoor check\"Installed' = "1HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\backdoor check\"Payed" = "0"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\backdoor check\"Runtime" = "1"5 Thoát khỏi Registry Virus W32.Debsis.A I) Mô tả Khám phá : 05 tháng 11năm 2007 Cập nhât : 05 tháng 11năm 2007 3:48:31 PM Kiểu : sâu Mức độ lây lan: : 28,221 bytes Hệ thống bị ảnh hưởng   Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, WindowsServer 2003, Windows Vista, Windows XP Symantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus 1.  Tắt chức năng khôi phục hệ thống của  (Windows Me/XP) 2.  Cập nhật chương trình diệt virus mới 3.  Chạy quét toàn bộ hệ thống 4.  Xóa những giá trị được ghi vào Registry 5.  Loại bỏ những mục có khả năng làm lây nhiễm đến mục khác II) Cách diệt Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất kỳ sự thay đổi  nào 1. Vào Start> Run 2. Gõ Regedit 3. Click OK 4. Tìm và xóa các giá trị HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"McaFee virus detect program" = "%Program Files%\Network Associates\VirusScan\svchst.exe" 5. Thoat khỏi Registry Virus Trojan.Silentbanker I) Mô tả: Khám phá : 17 tháng 12 năm 2007 Cập nhât : 18 tháng 12 năm 2007 lúc 11:45:19:Pm Kiểu : Trojan Mức độ lây lan: : 54,189 bytes và 98,304 bytes Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 Symantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus 1. Tắt chức năng khôi phục hệ thống của  (Windows Me/XP) 2. Cập nhật chương trình diệt Virus mới nhất 3. Chạy quét toàn bộ hệ thống 4. Xoá các giá trị được ghi vào registry II) Cách diêt: Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất kỳ sự thay đổi Click Start > Run. Type regedit Click OK. Xoá các gía trị được ghi vào Registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\"midi1" = "[RANDOM CHARACTERS][RANDOM DIGITS].dll"HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\InprocServer32\(Default Value) = "[RANDOM CHARACTERS][RANDOM DIGITS].dll"HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\TypeLib\(Default Value) = {[RANDOM CLSID]}HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\(Default Value) = "[RANDOM CHARACTERS][RANDOM DIGITS]" Xoá giá trị sau HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{[RANDOM CLSID]} Thoát khỏi registry VBS.Runauto.E Phát hiện: November 2, 2007 Cập nhật: November 2, 2007 10:55:58 AM Kiểu: Worm Có kick thước khoảng : 5,320 bytes Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 Khi nhiễm Trojan sẽ gây ra một số hoạt động sau Khởi tạo thêm file vào hệ thống • %Windir%\achitasin.dll.vbs • %SystemDrive%\achi.htm Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"achitasin" = "%Windir%\achitasin.dll.vbs" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = "Hacked by Achitasin & ???? ???" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "C:\achi.htm" Sau đó nó sẽ khởi tạo thêm file vào tất cả các ổ trên hệ thống %DriveLetter%\achitasin.dll.vbs %DriveLetter%\autorun.inf  Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét  1. Click Start > Run.  2. Type regedit  3. Click OK. Bạn vào tìm khóa sau và xóa đi HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = "Hacked by Achitasin & ???? ???" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"achitasin" = "%Windir%\achitasin.dll.vbs" 4. Bạn vào tìm khóa sau và xóa đi HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "C:\achi.htm" 5. Thoát khỏi regedit W32.Sillyban.A Phát hiện: October 3, 2007 Cập nhật: October 3, 2007 12:53:09 PM Kiểu: Worm Có kick thước khoảng : 110,592 bytes Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows Vista , Windows 2000 Khi nhiễm Trojan sẽ gây ra một số hoạt động sau • %Windir%\Media\StartUp\scvhost.exe • %System%\hostdll.exe • %System%\taskfile.exe • %Windir%\spool32.exe • %SystemDrive%\HaveaBadDay.sys Khởi tạo vào Ổ C, K của hệ thống %DriveLetter%\New_Folder.exe %DriveLetter%\autorun.inf • %DriveLetter%\cool data.exe • %DriveLetter%\New Folder (4).exe • %DriveLetter%\dataku.exe • %DriveLetter%\data kuliah.exe • %DriveLetter%\New Folder (5).exe • %DriveLetter%\system.exe • %DriveLetter%\funny doc.exe Tiếp theo nó khởi tạo một số đối tượng sau • %CurrentFolder%\jangan dihapus .exe • %CurrentFolder%\my sweety .exe • %CurrentFolder%\foto cewek .exe • %CurrentFolder%\kekasishku .exe • %CurrentFolder%\data penting .exe • %CurrentFolder%\downlodan .exe • %CurrentFolder%\update antivir .exe • %CurrentFolder%\kumpulan program .exe • %CurrentFolder%\movie bkp .exe • %CurrentFolder%\nitip .exe • %CurrentFolder%\folder option .exe • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"NeverShowExt" = "" • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WindowsProfile.EXE\"(default)" = "%Windir%\Media\StartUp\scvhost.exe" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"NoFolderOptions" = "1" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"WindowsProfile" = "WindowsProfile Rundll32.exe" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Printer Cpl" = "%Windir%\spool32.exe" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestore\"DisableConfig" = "1" •HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\"DisableMSI" = "1" • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = ">> Have A Bad Day <<" • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\"Startup" = "%Windir%\Media\StartUp" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFind" = "1" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoRun" = "1" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableCMD" = "1" Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft Word" = "%System%\hostdll.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableRegistryTools" = "1" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableTaskMgr" = "1" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1" •HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"(default)" = "File Folder" •HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"TileInfo" = "prop:DocComments" • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"InfoTip" = "prop:DocComments" •HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command\"(default)" = "cmd.exe /c del "%1"" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\"RegisteredOrganization" = "your system is mine" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\"RegisteredOwner" = "your system is mine" •HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe, C:\WINDOWS\system32\taskfile.exe" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = 1" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ClassicViewState" = "0" •HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "5B" Tiếp nó tìm kiếm tất cả các file sau • .doc • .mpg • .3pg • .wmv • .rar • .jpg • .txt %CurrentFolder%\[FILE NAME].[EXTENSION].exe • kill • hijack • reg • process Với thông điệp như sau Have a Bad Day  Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét  1. Click Start > Run.  2. Type regedit  3. Click OK. 4. Tìm kiếm và xóa giá trị sau HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"NeverShowExt" = "" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WindowsProfile.EXE\"(default)" = "%Windir%\Media\StartUp\scvhost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableRegistryTools" = "1" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableTaskMgr" = "1" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"NoFolderOptions" = "1" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"WindowsProfile" = "WindowsProfile Rundll32.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Printer Cpl" = "%Windir%\spool32.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\"DisableConfig" = "1" HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\"DisableMSI" = "1" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = ">> Have A Bad Day <<" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\"Startup" = "%Windir%\Media\StartUp" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFind" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoRun" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableCMD" = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft Word" = "%System%\hostdll.exe" 5. Tìm kiếm và xóa giá trị sau HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"(default)" = "File Folder" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"TileInfo" = "prop:DocComments" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"InfoTip" = "prop:DocComments" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command\"(default)" = "cmd.exe /c del "%1"" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\"RegisteredOrganization" = "your system is mine" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\"RegisteredOwner" = "your system is mine" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe, C:\WINDOWS\system32\taskfile.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = 1" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ClassicViewState" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "5B" 6. Thoát khỏi regedit W32.Virut.W Phát hiện: September 27, 2007 Cập nhật: September 27, 2007 10:54:25 PM Kiểu: Virus Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Khi nhiễm Trojan sẽ gây ra một số hoạt động sau Nó tạo ta modul thể hiện những cảnh báo và chạy cùng máy tính mỗi khi ngừoi dùng sử dụng Virus sẽ lây lan tới tất cả các file có đuôi mở rộng .exe or .scr Nó lây lan tới tất cả các file với chuỗi kí tự sau • PSTO • WC32 • WCUN • WINC Nó sẽ sử dụng phương thức proxim.ircgalaxy.pl on TCP port 80 làm cho ngừoi dùng có thể bị tấn công từ xa Nó sẽ tự động điều khiển tới site sau [http://]ntkrnlpa.info  Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét Sâu W32.Whybo.Z Phát hiện: August 27, 2007 Cập nhật: August 27, 2007 4:43:28 PM Kiểu: Win32/Fuceb [Computer Associates] Có kick thước khoảng : 89,088 bytes Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Khi nhiễm Trojan sẽ gây ra một số hoạt động sau • %System%\serivces.exe • %SystemDrive%\Program Files\Common Files\Microsoft Shared\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\Program Files\Internet Explorer\Connection Wizard\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\Program Files\Windows Media Player\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\WINDOWS\addins\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\WINDOWS\system\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\WINDOWS\system32\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\WINDOWS\system32\drivers\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\WINDOWS\system32\dllcache\[FIVE RANDOM LOWERCASE LETTERS].exe • %SystemDrive%\WINDOWS\system32\IME\[FIVE RANDOM LOWERCASE LETTERS].exe Khởi tạo file vào temporary: %System%\update.bak %DriveLetter%:\setup.exe %DriveLetter%:\AutoRun.inf Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởi động Service Name: Services management Image Path: %System%\serivces.exe • ComPlus Applications;Messenger • Documents and Settings • Internet Explorer • Messenger • Microsoft Frontpage • Movie Maker • NetMeeting • Outlook Express • Recycled • System Volume Information • Windows Media Player • Windows NT • WINDOWS • WindowsUpdate • WINNT  Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét Sâu Spyware.MSNSpyMonitor Cập nhật: August 20, 2007 11:44:06 AM Kiểu: Spyware Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Khi nhiễm Trojan sẽ gây ra một số hoạt động sau • %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\MsnSpy.lnk • %UserProfile%\Desktop\MsnSpy.lnk • %UserProfile%\Start Menu\Programs\MsnSpy\MsnSpy Help.lnk • %UserProfile%\Start Menu\Programs\MsnSpy\MsnSpy.lnk • %UserProfile%\Start Menu\Programs\MsnSpy\Uninstall.lnk • %ProgramFiles%\MsnSpy\msnspy.chm • %ProgramFiles%\MsnSpy\msnspy.exe • %ProgramFiles%\MsnSpy\readme.rtf • %ProgramFiles%\MsnSpy\Uninstall.exe • %ProgramFiles%\MsnSpy\WinPcap_3_1.exe Tiếp theo nó sẽ khởi tạo vào trong regedit • HKEY_ALL_USERS\Software\MsnSpy • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MsnSpy Nó sẽ lấy thông tin khi mà ngừoi sử dụng Windows Live Messenger, MSN Messenger, and Windows Messenger)  Cách diệt: 1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) 2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0 3. Chạy và quét toàn bộ hệ thống. a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files. b. Chạy một hệ thống đầy đủ và quét  1. Click Start > Run.  2. Type regedit  3. Click OK. Bạn hãy vào và xóa khóa sau 4. HKEY_ALL_USERS\Software\MsnSpy HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MsnSpy 5. Thóat khỏi regedit Sâu Backdoor.Ginwui.F Phát hiện: August 10, 2007 Cập nhật: August 10, 2007 5:29:49 PM Kiểu: Trojan Có kick thước khoảng : 234,112 bytes; 111,104 bytes; 90,112 bytes Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 Khi nhiễm Trojan sẽ gây ra một số hoạt động sau • %Temp%\ excel.exe • %Temp%\[ORIGINAL FILE NAME].pps • %System%\US2.EXE • %System%\kb20060919.log • %System%\WINFBI32.DLL Tiếp theo nó sẽ khởi tạo vào regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs" = "%System%\WINFBI32.dll" Nó sử dụng kỹ thuật rootkit để che đấu những file mà nó khởi tạo Sẽ khởi tạo một host và sau đó tự động kết nối tới Web sau [http://][REMOVED].7766.org/ Nó sẽ tự sửa đổi thành những hàm sau • Send types of hard disk drives to the attacker • Search hard disk