Vào ngày 10/7/2010, một lỗ hổng nghiêm trọng trong Windows Shell đã được phát hiện. Hiện tại, mã độc Stuxnet đang khai thác triệt để lỗ hổng này. Thời điểm hiện tại, Microsoft chỉ đưa ra công cụ phòng vệ tạm thời mà chưa đưa ra được bản vá lỗi chính thức
Kaspersky nhận dạng các dòng virus khai thác lỗ hổng này là dòng Trojan-Dropper.Win32.Stuxnet (có nhiều biến thể).Nếu trong USB bạn có chứa file .lnk (định dạng shortcut) đã được hacker nhúng mã độc Stuxnet. Khi bạn click mở USB thì file mã độc sẽ được thực thi ngay lập tức. Điều rất nguy hiểm là virus này có thể tự động kích hoạt ngay cả khi người dùng đã vô hiệu hóa tính năng AutoPlay và AutoRun.
Lỗ hổng lần này được tin tặc khai thác để thực thi mã độc với mục đích chiếm quyền điều khiển hệ thống của người dùng nhằm mục đích cài đặt các chương trình độc hại khác, lấy cắp, thay đổi hoặc xóa dữ liệu người dùng.
Sau khi lây nhiễm vào máy tính, virus tạo ra các shortcut (có dung lượng 1k) cho từng thư mục (hình dưới)
Ngoài biểu hiện trên, virus tiến hành một số cài đặt quan trọng sau vào máy tính nạn nhân:
- Tập tin “database.mdb” được tạo trong thư mục My Document
- Các tập tin “Autorun.inf”, “Thumb.db”, “Microsoft.lnk” được tạo trong từng ổ đĩa và thư mục
- Tập tin “WScrip.exe” được tạo trong thư mục system32 và system32\dllcache
- Hệ thống Registry bị vô hiệu quá
Virus tạo giá trị quan trọng sau trong Registry để cho tiến trình “Wscript.exe” chạy mỗi khi Windows khởi động
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run]
“WinUpdate”=”Wscript.exe /e:VBScript \”C:\WINDOWS\:Microsoft Office Update for Windows XP.sys\”"
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run]
“Explorer”=”Wscript.exe //e:VBScript \”C:\Documents and Settings\Administrator\My Documents\database.mdb\”"
3. Cách diệt
Diệt bằng tay:
-Vô hiệu hóa tính năng “System Restore” của Windows
-Dùng Task Manager tắt tiến trình “wscript.exe” đang chạy trên máy tính
-Xóa hoặc đổi tên tập tin “database.mdb” và “WScrip.exe”
-Vào Registry, xóa 2 giá trị registry quan trọng virus tạo ra (xem ở trên)
-Xóa tất cả tập tin có đuôi .lnk có kích cỡ 1k (sử dụng tính năng search nâng cao của Windows)
-Xóa tất cả các tập tin Autorun.inf, Thumb.db, Microsoft.lnk (sử dụng tính năng search nâng cao của Windows)
Dùng phần mềm: bạn có thể dùng 1 trong 2 cách sau:
1. Tải vệ công cụ quét virus miễn phí của Kaspersky là AVP Tool để quét qua toàn bộ máy tínhtại: (đã cập nhật tất cả biến thể của dòng Trojan-Dropper.Win32.Stuxnet)
2. Cài chương trình Kaspersky vào máy tính (tải về dùng thử 1 tháng tại: ) cho chương trình “Cập nhật” > sau đó thực hiện “Quét toàn bộ máy tính”
Công cụ phòng vệ tạm thời của Microsoft: Bạn thao khảo tại:
4. Lưu ý
Để tránh làm nạn nhân của virus này, bạn nên cho chương trình antivirus cập nhật thường xuyên, đồng thời nên quét USB trước khi truy cập vào nó. Ngoài ra, bạn nên theo dõi và cập nhật ngay khi Microsoft đưa ra bản vá lỗi chính thức cho lỗ hổng này (sẽ có thông tin trên báo chí)
Tác giả Lê Trung
nguồn :forum.kaspersky.vn
Thay đổi nội dung bởi heoav; 05-08-2010 lúc 17:05.
khởi động máy bằng CD hiren's boot hay tương tự, vào:
C:\Documents and Settings\userĐangDùng\Start Menu\Programs\Startup
xóa file.exe
vào key sau sẽ thấy nơi dấu file tứ hai:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\userinit.exe,C:\\Prog ram Files\\RGBvWKra\\mtnisiqo.exe"
chú ý:
-Nếu trong windows đã bị virus này thì 2 files này tàng hình, bạn không thấy được nó dù dùng dir /a hay show hidden file, show system file. Dùng attrib sẽ thấy file này nhưng không xóa chúng được.
-Trong USB disk ngoài những file như autorun.inf. Copy of Shortcut to (2).lnk ... thì trong thư mục Recycled có nhiều thư mục lạ, bên trong có nhiều file.exe của virus này.
-file mtnisiqo.exe sẽ có tên khác nhau ở mỗi máy, đừng tìm tên này sẽ không thấy, mà nhìn vào key "Userinit"=.... trên máy mình sẽ thấy tên file và thư mục.
Cách khác, không dùng CD:
Vào task manager, bạn sẽ thấy 2 task firefox.exe hay iexplorer.exe hay opera.exe hay chrome.exe ... dù bạn mới khởi động máy, chưa vào web nào cả. bạn end process 2 cái này.
Vào key sau:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\userinit.exe,C:\\Prog ram Files\\RGBvWKra\\mtnisiqo.exe"
xóa phần ,C:\\Program Files\\RGBvWKra\\mtnisiqo.exe
khởi động lại máy, vào safe mode.
lúc này 2 files này sẽ lộ diện, bạn xóa nó đi là xong:
C:\Documents and Settings\userĐangDùng\Start Menu\Programs\Startup\mtnisiqo.exe
C:\Program Files\RGBvWKra\mtnisiqo.exe
Chú ý: file mtnisiqo.exe sẽ có tên khác nhau ở mỗi máy, đừng tìm tên này sẽ không thấy, mà nhìn vào key "Userinit"=.... trên máy mình sẽ thấy tên file và thư mục. (xin lỗi mình nhắc lại cái này)
Thay đổi nội dung bởi sorciere; 28-03-2011 lúc 16:31.