Mon Feb 27, 2012 4:25 pm by tuquynh
Vài ngày nay, nhiều người nhận được các tin nhắn từ bạn bè kèm link có đuôi .php. Nếu bấm vào đường dẫn, trình duyệt sẽ tải về file exe chứa mã độc. Khi mở tệp exe này, máy tính sẽ bị nhiễm virus.
Lúc này, phần mềm Yahoo Messenger được cài trên máy tính sẽ trở thành nguồn phát tán mã độc và virus sẽ tiếp tục tự động gửi link tới các tài khoản khác trong danh sách bạn bè (friendlist) của người sử dụng.
Cách thức tấn công của virus trên giống với các loại sâu từng lây lan qua Yahoo Messenger trước đây, nhưng mức độ nguy hiểm lớn hơn nhiều vì kiểu ngụy trang của nó khiến người dùng tưởng bạn bè đang chia sẻ ảnh nên không đề phòng.
Giải pháp:
Dưới đây là 5 cách loại bỏ loại virus trên (gồm 2 cách thủ công và 3 cách dùng phần mềm):
Cách thủ công
Cách 1: Mở trình duyệt Windows Explorer > Folder Option > View > Show hidden file, bỏ các dấu tích ở các mục có chữ đầu là Hide...
Vào Star\Run > gõ msconfig > nhấn Enter. Chọn thẻ Start up rồi bỏ tất cả các dấu tích trước các dòng có tên Firewall Administrating.
Tắt máy khởi động lại.
Vào C:\Windows > chọn file có tên infocard.exe rồi xóa.
Cách 2: Tham khảo cách làm thông dụng trên cộng đồng mạng
Tự xóa những tập tin:
C: \ Windows \ mds.sys
C: \ Windows \ mdt.sys
C: \ Windows \ winbrd.jpg
C: \ Windows \ infocard.exe (có thể có một vài tên),
C: \ Program Files \ infocard.exe (có thể có một vài tên)
C: \ Program Files \ mds.sys
C: \ Program Files \ mdt.sys
C: \ Program Files \ winbrd.jpg
C: \ Users \ Public \ mds.sys
C: \ Users \ Public \ mdt.sys
C: \ Users \ Public \ infocard.exe (có thể có một vài tên)
C: \ Users \ Public \ winbrd.jpg
C: \ Documents and Settings \ Administrator \ mds.sys
C: \ Documents and Settings \ Administrator \ mdt.sys
C: \ Documents and Settings \ Administrator \ infocard.exe (tên nhiều)
C: \ Documents and Settings \ Administrator \ winbrd.jpg
C: \ Documents and Settings \ <user> \ mds.sys
C: \ Documents and Settings \ <user> \ mdt.sys
C: \ Documents and Settings \ <user> \ infocard.exe (nhiều tên)
C: \ Documents and Settings \ <user> \ winbrd.jpg
* <user> Là tên người dùng.
Tự xóa các khóa registry:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run]“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List]“C:\\Documents and Settings\\<USER>\\Desktop\\IM56245.JPG-www.myspace.com.exe”=”C:\\WINDOWS\\infocard.ex e:*:Enabled:Firewall Administrating”
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List]“C:\\Documentsand Settings\\<USER>\\Desktop\\IM56245.JPGwww.myspace. com.exe”=”C:\\WINDOWS\\infocard.exe:*:Enabled: Firewall Administrating”
[HKEY_USERS\S-1-5-21-117609710-764733703-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Run]“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe”
Sau đó, bạn “chịu khó” cài lại hệ thống cho máy tính: Đây là cách tốt nhất để tránh virus trên. Tuy nhiên, trước khi cài lại hệ thống, bạn nên xóa tận gốc file virus nói trên.
Sử dụng phần mềm
Cách 1: Bit Defender (version 9.0 Professional trở lên) là một trong những phần mềm được đánh giá cao trong việc phát hiện và khống chế virus vô cùng hiệu quả.
Download phiên bản dùng thử tại website: http://www.bitdefender.com/site/Downloads/
Cách 2: Cài đặt phầm mềm Malwarebytes Anti-Malware. Sau đó chọn: Perform full scan --> click Scan.
Sau khi hoàn thành click OK và tiếp theo đó là Show Results. Chọn tất cả sau đó nhấn Remove Selected. Download phần mềm tại địa chỉ : http://www.malwarebytes.org/mbam.php
Cách 3: Virus Removal Tool 2010, phần mềm chuyên cung cấp các công cụ loại bỏ virus, các cơ sở dữ liệu bảo mật. Tải bản dùng thử tại địa chỉ: http://www.kaspersky.com/downloads.
Trước khi tiến hành quét virus hãy: ngắt các kết nối internet; vô hiệu hóa (Disable) các phần mềm diệt virus và tường lửa khác; chọn các chức năng: hidden startup objects, system memory, dirk boot sectors và computer như trong hình. Quét virus xong khởi động lại máy.
Bạn cần tránh click những đường link dạng:
http://lmb-space.com/image.php
http://facebook-lmages.com/image.php
http://facebook-imb.com/image.ph...
Khi bấm vào đường liên kết này thì trình duyệt web sẽ tải một tập tin chương trình (đuôi .exe) về máy tính chứ không phải hình ảnh.
Nếu bạn mở tập tin này, virus sẽ được kích hoạt và lây nhiễm trong máy tính. Tiếp đó, virus tự động dùng chương trình chat Yahoo! Messenger để phát tán virus vào danh sách bạn chat của nạn nhân.
Những máy tính bị nhiễm virus này sẽ trở thành mạng máy tính robot (botnet) chịu sự điều khiển từ xa của hacker. Chúng có thể phá hoại dữ liệu máy tính, thu thập thông tin cá nhân của bạn.
Lời cuối cùng:
Bạn đừng quá tò mò click vào những link lạ, không rõ xuất xứ. Nếu ai đó gửi đến cho bạn, hãy hỏi lại họ. Đó là cách phòng chống virus hữu hiệu nhất.
chúc các bạn diệt thành công cái con virus khó chịu này!!@@!!
Lúc này, phần mềm Yahoo Messenger được cài trên máy tính sẽ trở thành nguồn phát tán mã độc và virus sẽ tiếp tục tự động gửi link tới các tài khoản khác trong danh sách bạn bè (friendlist) của người sử dụng.
Cách thức tấn công của virus trên giống với các loại sâu từng lây lan qua Yahoo Messenger trước đây, nhưng mức độ nguy hiểm lớn hơn nhiều vì kiểu ngụy trang của nó khiến người dùng tưởng bạn bè đang chia sẻ ảnh nên không đề phòng.
Giải pháp:
Dưới đây là 5 cách loại bỏ loại virus trên (gồm 2 cách thủ công và 3 cách dùng phần mềm):
Cách thủ công
Cách 1: Mở trình duyệt Windows Explorer > Folder Option > View > Show hidden file, bỏ các dấu tích ở các mục có chữ đầu là Hide...
Vào Star\Run > gõ msconfig > nhấn Enter. Chọn thẻ Start up rồi bỏ tất cả các dấu tích trước các dòng có tên Firewall Administrating.
Tắt máy khởi động lại.
Vào C:\Windows > chọn file có tên infocard.exe rồi xóa.
Cách 2: Tham khảo cách làm thông dụng trên cộng đồng mạng
Tự xóa những tập tin:
C: \ Windows \ mds.sys
C: \ Windows \ mdt.sys
C: \ Windows \ winbrd.jpg
C: \ Windows \ infocard.exe (có thể có một vài tên),
C: \ Program Files \ infocard.exe (có thể có một vài tên)
C: \ Program Files \ mds.sys
C: \ Program Files \ mdt.sys
C: \ Program Files \ winbrd.jpg
C: \ Users \ Public \ mds.sys
C: \ Users \ Public \ mdt.sys
C: \ Users \ Public \ infocard.exe (có thể có một vài tên)
C: \ Users \ Public \ winbrd.jpg
C: \ Documents and Settings \ Administrator \ mds.sys
C: \ Documents and Settings \ Administrator \ mdt.sys
C: \ Documents and Settings \ Administrator \ infocard.exe (tên nhiều)
C: \ Documents and Settings \ Administrator \ winbrd.jpg
C: \ Documents and Settings \ <user> \ mds.sys
C: \ Documents and Settings \ <user> \ mdt.sys
C: \ Documents and Settings \ <user> \ infocard.exe (nhiều tên)
C: \ Documents and Settings \ <user> \ winbrd.jpg
* <user> Là tên người dùng.
Tự xóa các khóa registry:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run]“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List]“C:\\Documents and Settings\\<USER>\\Desktop\\IM56245.JPG-www.myspace.com.exe”=”C:\\WINDOWS\\infocard.ex e:*:Enabled:Firewall Administrating”
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List]“C:\\Documentsand Settings\\<USER>\\Desktop\\IM56245.JPGwww.myspace. com.exe”=”C:\\WINDOWS\\infocard.exe:*:Enabled: Firewall Administrating”
[HKEY_USERS\S-1-5-21-117609710-764733703-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Run]“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe”
Sau đó, bạn “chịu khó” cài lại hệ thống cho máy tính: Đây là cách tốt nhất để tránh virus trên. Tuy nhiên, trước khi cài lại hệ thống, bạn nên xóa tận gốc file virus nói trên.
Sử dụng phần mềm
Cách 1: Bit Defender (version 9.0 Professional trở lên) là một trong những phần mềm được đánh giá cao trong việc phát hiện và khống chế virus vô cùng hiệu quả.
Download phiên bản dùng thử tại website: http://www.bitdefender.com/site/Downloads/
Cách 2: Cài đặt phầm mềm Malwarebytes Anti-Malware. Sau đó chọn: Perform full scan --> click Scan.
Sau khi hoàn thành click OK và tiếp theo đó là Show Results. Chọn tất cả sau đó nhấn Remove Selected. Download phần mềm tại địa chỉ : http://www.malwarebytes.org/mbam.php
Cách 3: Virus Removal Tool 2010, phần mềm chuyên cung cấp các công cụ loại bỏ virus, các cơ sở dữ liệu bảo mật. Tải bản dùng thử tại địa chỉ: http://www.kaspersky.com/downloads.
Trước khi tiến hành quét virus hãy: ngắt các kết nối internet; vô hiệu hóa (Disable) các phần mềm diệt virus và tường lửa khác; chọn các chức năng: hidden startup objects, system memory, dirk boot sectors và computer như trong hình. Quét virus xong khởi động lại máy.
Bạn cần tránh click những đường link dạng:
http://lmb-space.com/image.php
http://facebook-lmages.com/image.php
http://facebook-imb.com/image.ph...
Khi bấm vào đường liên kết này thì trình duyệt web sẽ tải một tập tin chương trình (đuôi .exe) về máy tính chứ không phải hình ảnh.
Nếu bạn mở tập tin này, virus sẽ được kích hoạt và lây nhiễm trong máy tính. Tiếp đó, virus tự động dùng chương trình chat Yahoo! Messenger để phát tán virus vào danh sách bạn chat của nạn nhân.
Những máy tính bị nhiễm virus này sẽ trở thành mạng máy tính robot (botnet) chịu sự điều khiển từ xa của hacker. Chúng có thể phá hoại dữ liệu máy tính, thu thập thông tin cá nhân của bạn.
Lời cuối cùng:
Bạn đừng quá tò mò click vào những link lạ, không rõ xuất xứ. Nếu ai đó gửi đến cho bạn, hãy hỏi lại họ. Đó là cách phòng chống virus hữu hiệu nhất.
chúc các bạn diệt thành công cái con virus khó chịu này!!@@!!
