Go to top

Trang chủ  » Thiết kế website giá rẻ

Hướng dẫn tìm và diệt virus W32.Bagle.B mới xuất hiện

9 giờ sáng nay, ngày 18 tháng 2 năm 2004, Trung tâm An Ninh Mạng Bkis nhận được một số email có tiêu đề "ID ajeearrohy... thanks" và "ID nwchv... thanks", các email này đều có đính kèm các file .exe kích thước khoảng 11 Kbyte. Qua nhận định ban đầu của trung tâm An Ninh Mạng thì đây là một loại virus mới và bắt đầu xuất hiện ở Việt Nam. Chúng tôi ngay lập tức tiến hành phân tích và giải mã mẫu virus này. Đến chiều nay thì việc phân tích virus đã hoàn thành và phiên bản Bkav497 cập nhật virus W32.Bagle.B (xem mô tả chi tiết virus ở phần dưới) được đưa ra lúc 18 giờ 45 phút.

Để diệt virus W32.Bagle.B bạn cần thực hiện theo các bước sau:

1. Tải phần mềm Bkav phiên bản Bkav497 về một thư mục trên máy.
2. Nếu bạn dùng Windows Me hoặc XP thì phải tắt chức năng System Restore của hệ điều hành đi.

3. Nếu máy của bạn có cài các chương trình diệt virus khác như NAV, McAffe thì phải tạm thời tắt chức năng tự động bảo vệ (Auto Protect) của các chương trình đó.

4. Chạy Bkav497, chọn quét tất cả các file, tất cả các ổ đĩa.

5. Khởi động lại máy tính.

Mô tả chi tiết virus W32.Bagle.B:

Sâu BeagleB lan truyền qua thư điện tử, nó sẽ tự động gửi thư tới các địa chỉ email tìm thấy trên máy.

1. Bức thư virus gửi ra ngoài có dạng như sau:

Gửi từ (From):

Một địa chỉ bị virus giả mạo.

Tiêu đề (Subject):

ID.......... thanks

ỗi>

Nội dung:

Yours ID
--
Thank

ỗi>

File đính kèm( Attachment):

.exe

File đính kèm này khi được ghi ra đĩa sẽ có biểu tượng là một file audio của Windows.

ỗi>

2. Khi được kích hoạt trên một máy tính của người sử dụng, BeagleB sẽ kiểm tra xem máy tính này đã bị nhiễm virus chưa.Nếu phát hiện máy tính chưa bị nhiễm virus, nó sẽ gọi file Sndrec32.exe (Windows Sound Recorder) để đánh lừa người dùng, sau đó thực hiện copy chính nó vào thư mục hệ thống của hệ điều hành dưới tên au.exe.

3. BeagleB tạo khoá "au.exe" vào trong key

HKEY_CURRENT_USERSOFTWARE

MicrosoftWindowsCurrentVersionRun

để virus này có thể được tự kích hoạt mỗi khi khởi động Windows.

4. Virus tự động thêm vào trong key

HKEY_CURRENT_USERSOFTWAREWindows2000

các dòng sau:

"frn" = "0x00000001" hoặc là "frn" = "0x00000000"

"gid" = ""

Giá trị ngẫu nhiên của key "gid" sẽ được hacker sử dụng như 1 số để nhận dạng.

5. Sâu Beagle.B có kỹ thuật của một backdoor, đợi ở cổng 8866 cho phép hacker upload Trojan lên máy tính bị nhiễm dưới dạng file .exe trong thư mục Windows của hệ điều hành với tên ngẫu nhiên bắt đầu bởi "bsupld" rồi gọi file này chạy với tham số là "-upd".

6. Cứ 10000 giây, BeagleB lại kết nối tới các website sau đây và thông qua đó gửi đi các thông tin về máy tính đang bị nhiễm virus này như IP, máy tính đang mở cổng nào và số nhận dạng của máy đó:

www.strato.de/1.php
www.strato.de/2.php
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php

7. Virus thực hiện quét toàn bộ các ổ cứng trong máy và phân tích các file có phần mở rộng như sau để tìm các địa chỉ email trong máy:

.wab
.txt
.htm
.html

8. Sâu BeagleB được lập trình để chỉ hoạt động đến ngày 25/02/2004. Nếu quá ngày này, sâu Beagle sẽ tạo ra file a.bat để thực hiện tự động loại bỏ chính nó ra khỏi máy tính của người sử dụng. 

Nhóm chuyên viên phân tích: Vũ Ngọc Sơn, Đào Văn Huy, Ngô Trọng Cảnh, Lê Nhật Minh, Nguyễn Minh Anh.

Download chương trình Bkav2002 (Version 497)    220kb

Các tin tức khác:

Cảnh báo virus: VBS.Yeno.C

Google nâng cấp máy tìm kiếm Intranet

8 lỗi thường gặp với Từ khóa

Microsoft giới thiệu bản thử nghiệm Windows Server 2003 cho chip AMD Opteron 64-bit

Giá DRAM thế giới tiếp tục giảm

S-Fone đầu tư 75 triệu USD mở rộng vùng phủ sóng

Tải xuống quá nhiều sẽ mất băng rộng

MSN Messenger bị virus tấn công

Cisco.com thay đổi toàn bộ mật khẩu khách hàng

Ngồi tù vì rao bán mã nguồn Windows

Danh mục

Hãy gọi cho chúng tôi để được tư vấn miễn phí

0989 722 522

TRUNG TÂM PHÁT TRIỂN WEBSITE - ỨNG DỤNG - THIẾT BỊ CHUYÊN NGHIỆP TOPSITE

Địa chỉ: 41/1, Phường Trung Mỹ Tây Quận 12, TP Hồ Chí Minh.
Email: hotro@topsite.vn - info@topsite.vn Tel: 0978.893.678 - 0938 869 787
MSDN/GPĐKKD: 19025687954
MST: 0310368322
Số TK: 0501000001371 tại Ngân Hàng Vietcombank Chi nhánh Vĩnh Lộc
© 2004 - 2014 Copyright. All rights reserved. Bản quyền thuộc về công ty thiet ke web ITECHCO CO.,LTD

Chúng tôi chấp nhận thanh toán qua:

liberty reservengan luongonepaysoha payvisaweb money1web money2paypalpayone