9g sáng 28-7 biến thể virus MyDoom, virus gây gián đoạn nhiều dịch vụ tìm kiếm trực tuyến, đã xuất hiện tại VN. Anh Nguyễn Tử Quảng, giám đốc Trung tâm an ninh mạng (BKIS), cho biết đến 16g15 phương án xử lý đã được cập nhật vào phiên bản Bkav528. Bạn đọc có thể tải phiên bản BKAV528 tại Download chương trình Bkav2002 (Version 528)    301kb

Được biết, ngay sau khi khống chế được các website tìm kiếm hôm 27-7, biến thể virus MyDoom đã quay qua tấn công các máy chủ chuyên cung cấp dịch vụ quảng cáo cho các website thương mại. Điều này khiến khách hàng của hơn 40 website nổi tiếng như Nortel Networks, Gateway, MCI và CNN không thể xem được quảng cáo.

Báo cáo của Hãng bảo mật Sophos cho thấy cuộc tấn công của biến thể virus MyDoom hôm 27-7 đã khiến các trang tìm kiếm bị ảnh hưởng rất nặng, cao nhất là Google (45%), Lycos (22,5%), Yahoo! (20%) và Altavista (12,5%). - Theo Tuổi Trẻ

Thông tin thêm về phòng trừ và diệt virus MyDoom biến thể:

BKAV 528 cập nhật virus W32.MyDoom.M

Để diệt virus W32.MyDoom.M bạn cần thực hiện theo các bước sau:

1. Tải phần mềm Bkav phiên bản Bkav528 về một thư mục trên máy.

2. Nếu bạn dùng Windows Me hoặc XP thì phải tắt chức năng System Restore của hệ điều hành đi.

3. Nếu máy của bạn có cài các chương trình diệt virus khác như NAV, McAffe thì phải tạm thời tắt chức năng tự động bảo vệ (Auto Protect) của các chương trình đó.

4. Chạy Bkav528, chọn quét tất cả các file, tất cả các ổ đĩa.

5. Khởi động lại máy tính để hoàn tất.

Một số đặc điểm của virus W32.MyDoom.M

1. Tạo ra các key

• HKEY_LOCAL_MACHINESoftwareMicrosoftDaemon

• HEY_CURRENT_USERSoftwareMicrosoftDaemon

để đánh dấu máy đã bị nhiễm virus

2. Copy chính nó vào :

%Windir%java.exe

3. Tạo ra các file sau

%Windir%services.exe
%Temp%services.exe

File này là một Backdoor chờ ở cổng 40Ah (1034)

4. Tạo ra các xâu sau:

"Services" = "%Windir%services.exe"
"JavaVM" = "%Windir%java.exe"

để sâu có thể chạy mỗi khi khởi động máy

5. MyDoom.M còn tạo ra các file sau:

%Temp%zincite.log
%Temp%.log

âu>

6. Tìm và lấy địa chỉ thư trong các file có phần mở rộng sau trên toàn bộ ổ cứng:

• .pl*

• .ph*

• .tx*

• .tbb

• .ht*

• .asp

• .sht

• .adb

• .dbx

• .wab

bỏ qua những địa chỉ thư có chứa các xâu :

• mailer-d

• spam

• abuse

• master

• sample

• accoun

• privacycertific

• bugs

• listserv

• submit

• ntivi

• support

• admin

• page

• the.bat

• gold-certs

• ca

• feste

• not

• help

• foo

• no

• soft

• site

• rating

• me

• you

• your

• someone

• anyone

• nothing

• nobody

• noone

• info

• winrar

• winzip

• rarsoft

• sf.net

• sourceforge

• ripe.

• arin.

• google

• gnu.

• gmail

• seclist

• secur

• bar.

• foo.com

• trend

• update

• uslis

• domain

• example

• sophos

• yahoo

• spersk

• panda

• hotmail

• msn.

• msdn.

• microsoft

• sarc.

• syma

• avp

7. Gửi các truy vấn sau lên các trang web tìm kiếm lycos, altavista, yahoo, google để tìm thêm các địa chỉ email:

• http://search.lycos.com/default.asp?lpv=1&loc=searchhp&tab=web&query=%s

• http://www.altavista.com/web/results?q=%s&kgs=0&kls=0

• http://search.yahoo.com/search?p=%s&ei=UTF-8&fr=fp-tab-web-t&cop=mss&tab=

• http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=%s

  Với %s là tên các domain tìm thấy.

8. Tạo và gửi các thư với đặc điểm sau :

Tiêu đề có thể là

• hello

• error

• status

• test

• report

• delivery failed

• Message could not be delivered

• Mail System Error - Returned Mail

• Delivery reports about your e-mail

• Returned mail: see transcript for details

• Returned mail: Data format error

File đính kèm

Tên file có thể là một trong các giá trị :

• readme

• instruction

• transcript

• mail

• letter

• file

• text

• attachment

• document

• message

Phần mở rộng :

• .exe

• .scr

• .com

• .zip

• .pif

• .bat

  Các file đính kèm nếu là file zip thì 75% là nén 2 lần và 25% là nén một lần. Các file có phần mở rộng khác là bản copy của virus.

  Ngoài ra, virus còn tạo ra các phần mở rộng giả sau để đánh lừa người sử dụng:

• doc

• txt

• htm

• html

Chuyên viên phân tích: Lê Nhật Minh, Đào Văn Huy. - Theo BKAV

Download chương trình Bkav2002 (Version 528)    301kb