English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Thông tin chung : virus Worm_Rontokbro.B  XML
  [Question]   Thông tin chung : virus Worm_Rontokbro.B 22/09/2006 23:56:09 (+0700) | #1 | 25042
[Avatar]
 binbinbinbin
Member
[Minus]    0    [Plus]
Joined: 21/09/2006 21:45:34
Messages: 53
Location: Trường Nguyễn Chí Thanh-Lớp 11
Offline
[Profile] [PM] [Email] [Yahoo!]
Thông tin chung : virus Worm_Rontokbro.B
Alias: W32.Rontokbro.B@mm, W32/Rontokbro, Win32/Robknot.B!Worm
Mức độ nguy hiểm: Cao
Tốc độ lây nhiễm: Cao
Lậy nhiễm vào hệ điều hành: Windows 95, 98,ME, NT, 2000, XP, Server2003.
Phương thức phát tán:Gửi bản sao của nó trong file đính kèm của email.
File có chứa sâu sử dụng biểu tượng thư mục của Microsoft để đánh lừa người dung mở nó và tấn công. Khá tinh vi, sâu cũng mở cửa sổ Windows Explorer nhằm che giấu các tiến trình của nó thực hiện lên máy tính của nạn nhân. Sâu thả rất nhiều các bản sao của nó lên các thư mục với nhiều tên khác nhau. Trên các máy lây nhiễm chạy hệ điều hành Windows 2000, XP và Server 2003, sâu thả bản sao vào đường dẫn được mã hóa cứng phía dưới thư mục User Profile, sau đó tạo một thư mục trong đường dẫn này.
Hiện tượng máy tình bị nhiễm sâu Worm_Rontokbro.B
Loại sâu này sẽ thực hiện khởi động máy tính của nạn nhân khi thấy trên thanh tiêu đề(title bar) của cửa sổ có các cụm từ “.exe” hay “registry”.
Worm_Rontokbro.B chèn them lệnh Pause vào file AutoExec.bat( trong ổ đĩa C:\) khiến cho các máy tính bị nhiễm chạy Windows 95, 98, và ME bị tạm dừng trong quá trình khởi động, buộc người dung phải ấn một phím bất kì để khởi động Windows.
Đồng thời, sâu cũng làm thay đổi giá trị trong Registry làm mất mục Folder Option trên menu của tất cả các cửa sô Windows Explorer và Control Panel. Do đó người dùng không thể mở được hộp thoại Folder Option. Đặc biệt hơn, Worm_Rontokbro.B làm vô hiệu hóa Registry khiến cho người dùng không thể mở cửa sổ Registry để thay đổi các giá trị mà sâu đã cấy thêm vào.
Cách phòng chống
Các virus thuộc họ Worm, trong đó có hai virus trên đều tự động tấn công, phát tán và lây nhiễm vào máy tính của bạn qua các lỗ hổng của hệ thống(lỗi phần mềm, lỗi hệ điều hành…)sau đó tiếp tục lây lang mạnh sang các máy tính khác trong hệ thống mạng nội bộ. Để phòng tránh virus tấn công, bạn phải cài đặt các phần mềm phòng chống virus và cập nhật các thông tin về virus. Các phần mềm có chức năng cập nhật thông tin về virus thông dụng: Bkav phiên bản thương mại, Norton Antivirus phiên bản mới, Symantec antivirus…….
[Up] [Print Copy]
  [Question]   Thông tin chung : virus Worm_Rontokbro.B 23/09/2006 03:20:11 (+0700) | #2 | 25099
luckyboa
Member
[Minus]    0    [Plus]
Joined: 24/10/2005 03:49:51
Messages: 3
Offline
[Profile] [PM]
Troi bac nay hay that, noi 1 hoi roi ko noi cach diet la gi ca, chiu thua bac luon.
Tui xin bo sung them ve con virut Rontokbro. Cach fat hien bi nhiem con virut nay la, khi cac bac mo 1 file nao do, no deu tu dong mo cai MY DOCUMENTS ra, hoac la cac bac vao Start-Run va go vao regedit hay msconfig va nhan enter thi may se restart lai. con day la cach diet no ne.
Bước 1: Khởi động ở chế độ Safe Mode
Chọn chế độ Safe Mode từ Windows Advanced Options Menu sau đó bấm Enter.
Bước 2: Xoá các dấu vết ảnh hưởng đến quá trình khởi động máy tính trong Registry.
1. Mở Registry Editor.
Chọn Start>Run, gõ Regedit, bấm Enter.
2. Bên trái cửa sổ, kích đúp để chọn đường dẫn sau:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
3. Bên phải cửa sổ, tìm và xoá lối vào.
•Trênd Windows ME, 2000, XP & Server 2003:
Bron-Spizaetus = "%Windows%\INF\norBtok.exe"
•Trên Windows 98 & NT:
Bron-Spizaetus = "\INF\norBtok.exe"
(Lưu ý: %Windows% là đường dẫn mặc định đến thư mục Windows, thông thường làC:\Windows hoặc C:\WINNT.)
4. Bên trái cửa sổ, kích đúp để chọn đường dẫn sau:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
5. Bên phải cửa sổ, tìm và xoá lối vào:
•Trênd Windows 2000, XP & Server 2003:
Tok-Cirrhatus = "%UserProfile%\Application Data\smss.exe"
•Trênd Windows ME:
Tok-Cirrhatus = "%Windows%\Application Data\smss.exe"

Bước 3: Xoá các dấu vết của sâu trong Registry
1. Vẫn trong cửa sổ Registry, bên trái, kích đúp để chọn đường dẫn sau:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Explorer
2. Bên phải cửa sổ, tìm và xoá lối vào:
NoFolderOptions = "dword:00000001"
3. Bên trái cửa sổ, kích đúp để chọn đường dẫn sau:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>System
4. Bên phải cửa sổ, tìm và xoá lối vào:
DisableRegistryTools = "dword:00000001"
5. Đóng cửa sổ Registry.

Bước 4: Khôi phục lại file AUTOEXEC.BAT
1. Mở file AUTOEXEC.BAT bằng Notepad. Click Start>Run, gõ:
notepad c:\autoexec.bat
2. Ấn Enter.
3. Xóa giá trị sau:
pause
4. Đóng file AUTOEXEC.BAT.
5. Click Yes để ghi lại.

Lưu ý: Đối với các máy chạy Windows XP/ME ngắt tính năng System Restore.
[Up] [Print Copy]
  [Question]   Thông tin chung : virus Worm_Rontokbro.B 23/09/2006 06:52:24 (+0700) | #3 | 25151
[Avatar]
 t3t
Member
[Minus]    0    [Plus]
Joined: 14/09/2004 20:05:39
Messages: 18
Offline
[Profile] [PM] [Yahoo!]
Thank you bác nhé. Em sẽ thực hành ngay. Chú không máy của em bị nhiễm con này. Diệt mãi mà nó chẳng die cho. Ghét quá
[Up] [Print Copy]
  [Question]   Re: Thông tin chung : virus Worm_Rontokbro.B 23/09/2006 11:46:19 (+0700) | #4 | 25208
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
Virus này không chỉ lây lan qua email mà còn theo các con đường khác. Thí dụ máy bạn bị nhiễm virus thì USB sẽ bị lây nhiễm nếu USB cắm vào máy này, rồi từ đó lây ra các máy khác.

Ngoài cách diệt nó như các bạn đã nêu ( thanks), còn có môt cách khác cũng khá hiệu quả: quét các file của hệ thống trong môi trường DOS:
Tắt máy, đưa vào môt đĩa CD có Hiren Boot phiên bản 8.x ( càng mới càng tốt ), restart lại máy . Boot CD, chọn Antivirus tool , rồi McAfee hay F-secure.
Chú ý các Antivirus Data file trong McAfee cần đựoc update tới dat. file mà McAfee đã công bố trong tháng 8 hay 9/2006

Ghi chú : Khi máy bạn đả nhiễm virus này thì với cách quét nó trong môi trường DOS như nói ở trên, bạn có thể " tìm " ra hàng trăm file bị nhiễm virus. Repeat, có thể hàng trăm file trong OS bị infected. Đây là kinh nghiệm thưc tế mà thôi
Các tiện ích Real-time protection ( hay Permanent protection, On-access scan...) trong các AV gần như không phản ứng gì khi hệ thống bị nhiễm virus này. Có lẽ do số file trong hệ thống bị nhiễm quá nhiều. Tuy nhiên tôi chưa có thời gian tìm hiểu kỹ lý do.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|