Virus lạ trên YM - Part1
Nhiá»?u ngưá»?i sá» dụng hệ thống tin nhắn nhanh cá»§a Yahoo Ä‘ang trong tình trạng hoang mang, lo sợ vì máy tÃnh cá»§a há»? đã bị nhiá»…m má»™t loại sâu lạ, lây lan qua chương trình chat phổ biến nhất VN. Các nạn nhân Ä‘á»?u nháºn từ nick chat cá»§a bạn bè đưá»?ng link kèm lá»?i má»?i hấp dẫn như: "Gai xinh ne", "Anhdep"...
Các cá»a sổ chat YM có chứa đưá»?ng link mang virus lạ
Virus đã xuất phát từ website xrobots.net, má»›i được khởi tạo trong ngà y 10/4, rồi lây qua Yahoo Messenger (YM). Các tiêu Ä‘á»? hấp dẫn như: "Film vui", "Em xinh", "Gai xinh ne", "Anhdep", "Tang cho ban nay"... kèm theo đưá»?ng dẫn http:// xrobots .net/Gift/?file=Funny.swf " được gá»i theo các cá»a sổ chat YM. Các đưá»?ng link toà n bá»™ là file exe.
Khi đã xâm nháºp được và o máy tÃnh cá»§a nạn nhân, ngay láºp tức hà ng loạt thông Ä‘iệp lặp lại kèm đưá»?ng link có chứa virus sẽ gá»i tá»›i các nick name có trong danh sách YM. Vá»›i kiểu lây lan theo cấp số nhân đó, vô số nạn nhân đã "dÃnh đòn" trong thá»?i gian rất ngắn.
Má»™t công ty lá»›n ở HN tiết lá»™ chỉ trong buổi chiá»?u 10/4 có tá»›i 95% máy tÃnh cá»§a há»? bị nhiá»…m virus nà y. "Hầu hết má»?i ngưá»?i trong cÆ¡ quan Ä‘á»?u dùng YM nên mức độ lẫy nhiá»…m tăng rất nhanh", má»™t ngưá»?i trong doanh nghiệp nà y cho biết.
Nhiá»?u ngưá»?i cùng bà y tá»? vá»›i VnExpress rằng các link Ä‘á»?u được gá»i đến từ bạn bè thân cáºn có và nick trong danh sách cá»§a há»? rồi nên không há»? cảnh giác, cứ vô tư bấm link. "Hằng ngà y tôi vẫn nháºn nhiá»?u đưá»?ng link mang ná»™i dung âm nhạc hoặc những thông tin vui vẻ từ bạn bè nên lần nà y tôi cÅ©ng cho là váºy và chẳng Ä‘á»? phòng gì cả", chị Hương, má»™t nhân viên, kể lại.
Trong e-mail gá»i đến tòa soạn, má»™t ngưá»?i có tên Minh Kha kể: "4 nhân viên trong công ty chúng tôi có máy tÃnh bị nhiá»…m virus má»›i từ website xrobots.net và rất nhiá»?u ngưá»?i khác nháºn được message chứa nguy cÆ¡ lây nhiá»…m".
Ngưá»?i nà y cÅ©ng nháºn định mức độ nguy hiểm cá»§a virus nà y khá cao vì có thể hình thà nh mạng botnet tấn công từ chối dịch vụ các website công ty VN.
17h45 ngà y 10/4, diá»…n đà n ttvnol.com đã đăng lá»?i khuyến cáo cá»§a má»™t thà nh viên. Nick name boot_room2003 khẳng định rằng, con spy nà y sẽ thay đổi homepage để link sang 1 forum đồng thá»?i chỉnh sá»a YM để tá»± gá»i link phát tán theo các nick trong yahoo list. Thà nh viên cá»§a ttvnonl cÅ©ng khuyên má»?i ngưá»?i nếu đã "lỡ tay" bấm và o link và bị nhiá»…m thì nên remove công cụ chat YM cùng vá»›i việc xóa bá»? các tin nhắn offiline có lưu giữ các đưá»?ng link trên. Sau đó tải bản YM má»›i vá»? dùng.
Tuy nhiên, Trung tâm cứu há»™ máy tÃnh 911 nháºn định đây là má»™t loại virus ná»™i và ngưá»?i viết ra nó đã copy mã nguồn trên mạng rồi sá»a lại. 911 mô tả: Khi virus hoạt động nó tá»± động copy má»™t phiên bản chÃnh nó thà nh tệp %Windir%\Messenger.exe. (%Windir% là thư mục Windows, mặc định là C:\Windows\System đối vá»›i Windows 95/98/Me/XP/2003 và C:\Winnt, đối vá»›i Windows NT/2000).
Khi tệp ứng dụng có tên là Gaixinh.jpg.exe được nạp và o bộ nhớ, nó sẽ thay đổi Registry trên máy nạn nhân như sau:
1. Thêm giá trị DisableRegedit=1 và o khoá: HKEY_CURRENT_User\Software\Microsoft\
Windows\CurrentVersion\Policies\System để khoá không cho truy cáºp và o Regedit.
2. Thêm giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe và o khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run để nạp virus lúc Windows khởi động.
3. Thay đổi trang Homepage cá»§a Internet Explorer vá»? trang chá»§ cá»§a virus bằng cách sá»a giá trị cá»§a khoá HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page vá»?
http://67.15.40.2/~tranphu/forumtp
4. Thêm giá trị sau và o các khoá khác trong regedit: http://xRobots.net/Gift/New/ hoặc
HKEY_CURRENT_USER\Software\Yahoo\pager\
View\YMSGR_Launchcast.
Trung tâm 911 khuyến cáo cách diệt virus nà y như sau
1. Trước hết mở Registry bằng cách download tệp sau v� và chạy: http://www.911.com.vn/download/khoa_regedit.vbs
Khi máy tÃnh báo "Registry Editing Tools are now ENABLED Log off and back on, or restart your pc to effect the changes" là được
2. Khởi động lại máy tÃnh bằng chế độ SafeMode (Bấm F8 lúc máy tÃnh khởi động). Sau đó Và o Start -> Run rồi gõ Regedit rồi Enter. Hãy tìm khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run và xoá giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe.
Tiếp tục tìm HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page để và o xoá hoặc thay đổi v� địa chỉ HomePage vẫn dùng.
Tìm toà n bộ các giá trị có nội dung như sau http://xRobots.net/Gift/New/ và xoá đi. Các khoá có thể thêm và dụ là HKEY_CURRENT_USER\Software\Yahoo\pager\View\
YMSGR_Launchcast và HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-500\Software\Yahoo\pager\View\YMSGR_Launchcast
3. Tìm tệp GirlXinh.jpg.exe và xoá đi (thư�ng nằm trong Desktop hoặc My Documents), có thể tìm bằng chức năng Search của Windows.
4. Và o trong thư mục Windows tìm tệp Messenger.exe và xoá đi
5. Khởi động lại máy tÃnh.
Ông Trần Hùng Cư�ng, Giám đốc 911, khẳng định, cách tốt nhất là dùng chức năng Find trong Regedit để tìm tất cả các xâu ký tự có nội dung là “http://xRobots.net/Gift/New/� để xoá đi. Ngoà i ra cũng có thể dùng HijackThis để xoá các khoá và các process đang chạy của virus. Có thể download HijackThiss tại đây.