19/7/12

Cách diệt virus W32.Rontokbro.B@mm

17:56  hoanlm  No comments

MÔ TẢ

W32.Rontokbro.B@mm là một loại sâu mail phổ biến gây nên sự không ổn định của hệ thống.

Lây nhiễm vào các hệ điều hành: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

Kích thước: 81,920 bytes.

Khi W32.Rontokbro.B@mm hoạt động, nó thực hiện các công việc sau:

  1. Copy chính nó với tên sau:
  2. Tạo thư mục sau: %UserProfile%\Local Settings\Application Data\Bron.tok-3-3
  3. Ghi đè lên file C:\Autoexec.bat với đoạn văn bản sau: "pause"
  4. Thêm giá trị: "Bron-Spizaetus" = "%Windir%\INF\norBtok.exe" vào khóa registry sau: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run và chạy nó mỗi khi Windows khởi động.
  5. Thêm giá trị: "NoFolderOptions" = "1" vào khóa registry sau: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer
  6. Thêm giá trị: "DisableRegistryTools" = "1" "DisableCMD" = "0" vào khóa registry sau: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System
  7. Thêm giá trị: "Tok-Cirrhatus" = "%UserProfile%\Local Settings\Application Data\smss.exe" vào khóa registry sau: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  8. Thêm một nhiệm vụ vào lập biểu của Windows để chạy file sau lúc 5:08 chiều mỗi ngày: %UserProfile%\Templates\A.kotnorB.com
  9. Khởi động máy tính khi phát hiện một cửa sổ mà tiêu đề bao gồm một trong những kí tự sau:
  10. Nó cũng có thể chạy một kiểu tấn công ping flood từ site sau:
  11. Thu thập những địa chỉ email từ những file với phần đuôi mở rộng sau trong tất cả các ổ đĩa từ C đến Y:
  12. Không gửi chính nó tới những địa chỉ email mà bao gồm bất kì những kí tự sau trong tên miền:
  13. Có thể thêm tiền tố sau vào tên miền để tìm những máy dịch vụ Mail Transfer Protocol (SMTP):
  14. Sử dụng chính phương thức SMTP engine để gửi chính nó tới những địa chỉ email mà nó tìm thấy. Email này có những đặc điểm sau: Từ:  [SPOOFED] Chủ đề: [BLANK] Thông điệp: BRONTOK.A  [ By: H[REMOVED]M Community ] -- Hentikan kebobrokan di negeri ini -- 1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA ( Send to "NUSAKAMBANGAN") 2. Stop Free Sex, Absorsi, & Prostitusi 3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar. 4. SAY NO TO DRUGS !!! -- KIAMAT SUDAH DEKAT -- Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: H[REMOVED]unity -- File đính kèm: Kangen.exe

CÁCH DIỆT

1. Tắt chế độ System Restore của hệ thống bởi vì chương trình diệt virus không quét được thông tin trên phần Restore của Windows.

Bấm vào nút Start .

Bấm phải chuột vào  My Computer , chọn Properties .

Tại System Restore tab, bấm Turn off System Restore  hoặc Turn off System Restore on all drives như hình vẽ dưới:

Bấm Apply . Thông báo như sau hiện ra:

Bấm nút   Yes .

2. Cập nhật các thông tin chống virus mới nhất vào chương trình chống virus.

3. Khởi động lại với chế độ Safemode (Bấm F8 khi khởi động Windows) vào thực hiện chương trình quét virus, xoá những tệp bị nhiễm. Nhớ chọn chế độ quét tất cả các tệp chứ không chỉ quét riêng tệp .exe

4. Xoá các khoá trong registry. Các giá trị cần xoá đã liệt kê ở trên.

5. Xóa nhiệm vụ được ghi trong danh mục (scheduled task).

Bạn có thể Download chương trình chống virus khá nhỏ của Sysmantec tại đây SAVCECLT.EXE

Bạn có thể Download chương trình chống spyware và rootkit của Microsoft tại đây Antispyware

Posted in:

0 nhận xét:

Đăng nhận xét