Di động:

Diệt Virus W32.Sality.AA/OG Không rõ

17/10/2010 21:50 | lpag | Virus máy tính | Nhận xét(0) | Đọc(6333)
   Nguồn: mrtoan.oni.cc | Lớn | Vừa | Nhỏ
Highslide JSTổng quan về dòng Virus W32.Sality

    * Sality là dạng virus lây file đa hình và rất phức tạp có khả năng theo dõi hoạt động bàn phím (keylog) và tạo cổng sau (backdoor). Khả năng lây nhiễm mạnh và độ nguy hiểm cao, Sality đã được các hãng bảo mật xếp vào hàng virus nguy hiểm nhất trong vài tháng gần đây.
    * Dung lượng:57.344Bytes
    * Hệ điều hành bị ảnh hưởng:win 2000,win NT,win XP, win 2003...
    * Lây qua mạng Lan, Internet và các thiết bị cắm ngoàiKhi virus thực thi ,nó tự nhân bản dưới  file : %System%\drivers\[RANDOM NAME].sys

Highslide JS


    * Sality lây lan bằng cách nhiễm vào các tệp tin “.exe” trên tất cả các phân vùng ổ đĩa bao gồm cả explorer.exe, uninstall.exe...
    * Tự động lây lan vào các file có trong khóa Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run và Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run của Registry.
    * Lây nhiễm vào những file hoạt động bằng việc thêm đoạn mã vào file chủ.
    * Kiểm tra giờ hệ thống và tự kích hoạt nó nếu phút bằng giờ và nếu ngày là 1/5 hoặc 10, 12 mỗi tháng.
    * Thêm những dòng sau vào file System.Ini:
[TFTempCache]
id=[Random_Number]
RtlMoveMeory=[Random_Number]
Ping=[Number]
Time=[Time]

    * Chúng vượt qua hệ thống tường lửa, ngăn cản sự hoạt động của các phần mềm Antivirus, nếu hoạt động được thì không thể phát hiện ra virus Sality hoặc phát hiện ra nhưng không thể diệt được. Sality chặn việc truy nhập vào những trang web bảo mật, đồng thời không cho phép người dùng khởi động từ chế độ Safe Mode.
    * Xóa hàng loạt file có tên mở rộng .vdb, .avc, .key hay tên file bắt đầu với các chuỗi ký tự: kav, nod, anti, scan, zone, anda, troj, tren, aler, clean, outp, guar, avp, total.
    * Khi cắm USB vào máy tính, nó sẽ tự tạo file autorun.inf ngẫu nhiên.
    * Một số các tệp tin ứng dụng “.exe” khi bị nhiễm vẫn có thể chạy, nhưng khi chạy chúng sẽ kill các tiến trình đang chạy của những ứng dụng khác hoặc hiển thị các thông báo lỗi.
    * Chúng lây nhiễm tới tập tin “.com”, “.src” và “.dll” trên thư mục Windows thông qua thành phần autorun lây lan từ ổ đĩa rời.
    * Sality sử dụng kỹ thuật Trojan để tải xuống các phần mềm độc hại.
    * Sau khi lây nhiễm, chúng lập tức tấn công vô hiệu hóa các cảnh báo từ trung tâm bảo mật Windows, khóa Task manager, Registry editor, làm mất chức năng hiển thị các file ẩn.

Sality thực sự là một mối đe dọa nguy hiểm, chúng thường xuyên sản sinh các biến thể mới theo định kỳ. Ngoài ra, tác giả Sality có xu hướng sẽ tiếp tục tạo ra nhiều phần mềm độc hại phức tạp hơn nữa.
Triệu chứng khi máy bị nhiễm Virus W32.Sality.aa

    * Task manager, Registry editor bị khóa,...
    * Các trang web của các hãng diệt Virus hàng đầu bị chặn
    * Không thể cài đặt 1 chương trình diệt Virus lên máy.
    * Không thể khởi động Windows ở chế độ SAFE MODE.
    * Tất cả các file có đuôi ".EXE"đều bị nhiễm.
    * Khi cắm USB vào máy tính, nó sẽ tự tạo file autorun.inf ngẫu nhiên.
    * Tốc độ lây lan của loại Virus W32.Sality.AA này là cực nhanh,chỉ cần 5 phút sau khi Ghost lại máy,hầu như các file dạng *.exe trong ổ C: đều bị dính.

Hưỡng dẫn diệt Virus W32.Sality.AA
Chuẩn bị:

    * 1 đĩa Hiren's Boot, từ 9.8 trở lên càng tốt.
    * Tools diệt Virus của CMC có tên là "C0nfickerRemovalToolv0.2".
Tệp tin tải về (hoặc liên kết ẩn)
Tệp tin này chỉ tải được sau khi bạn đăng nhập. Hãy Đăng ký hoặc Đăng nhập

Lý do:

    * Do con Sality.AA ko cho bạn khởi động ớ Safe Mode, nên chúng ta dùng Hiren's Boot để khởi động Windows Mini. (đây chính là mấu chốt để giải quyết vấn đề).
    * Các chương trình diệt virus không thể cài nên dùng Tools (công cụ diệt từng loại Virus đặc thù) là biện pháp duy nhất.Nhưng tại sao dùng CMC? Đơn giản vì Tools của CMC có chức năng "chỉ gỡ mã độc ra khỏi File" mà không "nuốt" luôn File như BKAV hay Kas, điều này đảm bảo việc không bị mất dữ liệu. Đây cũng là lý do tại sao bạn không cần Ghost lại máy.

Các bước thực hiện:

   1. Tắt System Restore.
   2. Download "c0nfickerRemovalToolv0.2", đặt vào ổ D hoặc nơi nào dễ tìm nhất.
   3. Cho đĩa Hiren's Boot vào ổ CD, khởi động lại máy. Chọn khởi động với Windown Mini.
      Màn hình sẽ cho ra giao diện của Windown, nhưng do là Mini nên sẽ hạn chế nhiều cái.
   4. Tìm đến nơi chứa "c0nfickerRemovalToolv0.2", chạy chương trình, chọn quét toàn bộ máy tính.
      Bạn cần cho chương trình quét khoảng 3-4 lần để đảm bảo không có tên địch nào còn sót lại. Và khi đã sạch sẽ bóng thù thì bạn hãy khởi động Windows lại bình thường.
   5. Bằng cách này bạn có thể giữ được những tài nguyên quan trọng của riêng bạn.
      (Còn điều này các bạn nên chú ý: cùng 1 loại Virus nhưng mỗi chương trình diệt sẽ nhận diện với các tên gọi khác nhau. VD con Sality.AA là tên của KASPER cung cấp, nhưng với BKAV hay CMC thì lại có tên Sality.OG, v.v....Cũng may tên không khác nhau là mấy, vậy cũng đỡ lo)

Nguồn: http://mrtoan.oni.cc

Xem thêm tại địa chỉ:
+ CMC InfoSec

  Đánh giá nội dung
Vui lòng đánh giá nội dung này nếu bạn thấy hay. Cám ơn bạn!

Bài viết số 680 đã được: 6.0/10 (7 Đánh giá)

Bài viết liên quan Bài viết ngẫu nhiên
Hàng ngàn web bị cài script đào tiền ảo và...
Công cụ giải cứu dữ liệu bị WannaCry chiếm giữ...
Lỗ hổng đe dọa hơn 1 tỉ tài khoản ứng...
Làm thế nào để biết máy tính có dính phần...
Ransomware - bắt cóc dữ liệu đòi tiền chuộc, phát...
Công cụ miễn phí cứu dữ liệu bị Ransomware cướp...
Hướng dẫn sử dụng phần mềm diệt virus AVG internet...
Gõ nhầm đuôi '.com' thành '.om' có thể giúp virus...
Hacker nhúng mã độc vào hệ điều h​ành Linux Mint...
Đầu năm 2016 Kaspersky ra mắt phần mềm diệt virus...
Đổi DNS Google cho Win 7...
Hướng dẫn cách chặn tin nhắn...
Cách khắc phục lỗi "màn hình...
Các lệnh half life
6 cách để bạn trông ưa...
Những thủ thuật ít người biết...
Facebook cho phép thêm Sticker vào...
Gmail thêm tính năng cảnh báo...
9 ngôn ngữ lập trình "xưa...
Cổ tích về vợ
Nếu bạn thấy bài viết hay vui lòng Bookmark bài viết. Cám ơn bạn!

Bookmark and Share
Edit & develop by LPAg v1.0.3.1376006758 [+] Từ khóa: LPAg, Computer, Mobile, Software, Hardware