banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Xuất hiện virus nội mới có tên NgheAn Programmer...  XML
  [Question]   Xuất hiện virus nội mới có tên NgheAn Programmer... 24/01/2007 22:15:42 (+0700) | #1 | 37912
[Avatar]
PHCM
Member

[Minus]    0    [Plus]
Joined: 25/02/2004 11:43:18
Messages: 13
Offline
[Profile] [PM]
http://www.thanhnien.com.vn/CNTT/2007/1/24/179179.tno



Trong thời gian vừa qua, Trung tâm xử lý sự cố máy tính SOSPC tại Huế đã liên tiếp nhận được lời than phiền của người sử dụng máy tính đã lây bị nhiễm virus có tên là NgheAn và kèm theo một số miêu tả. Chúng tôi tiến hành phân tích về nguồn gốc của nó để giúp người sử dụng máy tính có thể hiểu rõ hơn

Triệu chứng :

- Không thể truy xuất ổ đĩa bằng cách thông thường mà chỉ có thể truy xuất bằng cách kích chuột phải lên ổ đĩa muốn mở và chọn Open. Nếu bạn truy xuất ổ đĩa bằng cách thông thường thì bạn sẽ thấy tiêu đề (title) nằm trên cùng xuất hiện một dòng chữ khá lạ với nội dung “ ^_^ Hello, I’m a hot boy but i am very cool ^_^ “ . Đồng thời trong ổ đĩa sẽ xuất hiện với các file Hay.exe , autorun.inf , more.exe , fuc.fuc (file này có thể có hoặc không có) với thuộc tính ẩn mà người dùng không thể nhìn thấy bằng mắt thường.

- Màu sắc của các folder đã chuyển thành màu xanh được kích hoạt bởi file “desktop.ini”.

Theo đánh giá của SOSPC, đây chỉ là 1 Worm không có khả năng đánh cắp thông tin của người sử dụng máy tính . Đây là 1 viruts nội đã lan theo phương thức mặc định các DISK có trong máy tính: "Label2 (Disk C) , Label3 (Disk D) , Label5 (USB Disk)" .Nếu máy tính người dùng có nhiều hơn số ổ đĩa thì vẫn có thể click bình thường không xảy ra trường hợp như trên nhưng vẫn lây nhiễm viruts với thuộc tính Hiden System (H/S).

Phương thức của nó được hacker lập trình phát tán qua USB sau đó tự động kích hoạt. Sau đây là 1 số hình ảnh được SOSPC phân tích thông qua Crack file "Hay.EXE"

http://www.madeinviet.com/Virus/nghean.gif
http://www.madeinviet.com/Virus/ma_mau.gif
http://www.madeinviet.com/Virus/giaimaxau.gif
http://www.madeinviet.com/Virus/autorun_inf.gif
http://www.madeinviet.com/Virus/more.gif

Khi máy tính đã lây nhiễm thì bạn làm theo những cách sau đây:

Luôn luôn kích chuột phải trên ổ đĩa bạn muốn mở và chọn Open (Không nên chọn Auto vì khi chọn Auto thì bạn đã góp phần làm cho virus lây nhiễm).

1. Khi cắm USB vào bạn đè phím Shift bên trái cho đến khi Windows báo là nhận xong phần cứng là thiết bị USB bạn cắm vào.

2. Bạn mở Task Manager (nhấn Ctrl + Alt + Del cùng 1 lần) rồi chọn Tab Processes. Bạn tìm đến chương trình virus đang chạy cùng với hệ thống với tên là “more.exe” bạn chỉ chuột đến đó rồi nhấn phím Del để xóa chương trình đó.

3. Tiếp theo bạn mở My Computer lên rồi chọn Tool ---> Folder Options rồi chọn nhu hình dưới đây:



Tiếp theo bạn cần xóa nhưng file có trong tất cả các ổ đĩa (kể cả USB): more.exe, autorun.inf, hay.exe, desktop.ini

Cuối cùng bạn vào Registry của Windows bằng cách mở Start----> Run. Bạn gõ vào lệnh “regedit”. Khi hộp thoại Registry hiện ra bạn chọn Edit ----> Find để xuất hiện công cụ tìm kiếm. Bạn gõ vào “more.exe”. Bạn phải xóa tất cả các khóa (Key) tìm kiếm được.

Sau khi đã xóa xong với từ khóa “more.exe” bạn tiếp tục chọn Edit ---> Find và gõ vào từ khóa “hay.exe” và cũng xóa tất cả các khóa (Key) như trên. Xong rồi bạn đóng tất cả lại và khởi động lại máy. [url]
[Up] [Print Copy]
  [Question]   Xuất hiện virus nội mới có tên NgheAn Programmer... 02/02/2007 09:58:08 (+0700) | #2 | 39499
[Avatar]
delua
Locked

[Minus]    0    [Plus]
Joined: 28/12/2006 00:48:39
Messages: 102
Offline
[Profile] [PM]
Loại virus này thì thời gian gần đây thấy xuất hiện cũng nhiều.Nó ko tự lây lan được mà cần được kích hoạt thông qua *.inf

Vì loại virus kích hoạt thông qua *.inf dạo này nhiều nên bạn nên tắt chức năng autorun đi.

Vào Run chạy gpedit.msc
Ở User Config.... thì vào Administrator Temp...
Rồi System.
Bên cột bên phải.Nhấp phải vào Turn off AutoPlay và chọn Propertise
Click chọn Enabled và Option và All drive.Sau đó OK.
Thân ái !
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|