thanhchung.hti
New member
- Xu
- 0
Hôm trước mình có post lên 1 bài thông báo về việc virus lây lan qua yahoo [Link]. Hôm nay mình post tiếp cách diệt các loại virus này.
Nhiều người nhận được từ nick Yahoo của bạn bè các tin nhắn có kèm đường link được thể hiện giống như một file ảnh.
Photo https://miggiphotos.com/image.php
Photo https://funwiththisguy.com/image.php
Photo https://ariafotos.com/image.php
Photo https://zhelefun.com/image.php
Photo https://tviceimg.com/image.php
Photo https://tusfbfotos.com/image.php
Photo https://twittersphoto.com/image.php
Photo https://tuesimages.com/image.php
Photo https://red-myspace.com/image.phpNếu bấm vào link này, trình duyệt sẽ tải về một file exe có chứa mã độc. Khi người sử dụng mở file exe vừa tải về, lập tức máy tính sẽ bị nhiễm virus. Khi đó, chính phần mềm Yahoo! Messenger chạy trên máy tính này trở thành nguồn phát tán mã độc tới những người sử dụng Yahoo! Messenger khác. Virus sẽ tiếp tục tự động gửi link độc tới các tài khoản trong friend list Yahoo! Messenger của người sử dụng.
Cách thức tấn công của loại virus mới này giống với các loại virut từng lây lan qua Yahoo! Messenger trước đây, nhưng mức độ nguy hiểm lớn hơn nhiều vì kiểu ngụy trang của loại sâu này khiến người sử dụng tưởng rằng bạn bè chia sẻ ảnh nên không đề phòng, dễ dàng bấm vào link và mở file độc.
Mình đã phát hiện được đây là con virut W32.Ymfocard.Worm. Khi lây nhiễm trên máy tính của người sử dụng, sâu này tự động bật lên cửa sổ mở tới một trang web, và tự động gửi link phát tán qua Yahoo! Messenger.
Con virut này rất độc, với những người bình thường thì chắc cũng chả có gì nhưng với mình những fiile dữ liệu lập trình web bị ăn sạch, nó còn có thể ăn trộm pass của mình.
Sau đây là một số hành vi của nó :
1. Tự động popup trang : https://browseusers.myspace.com/Browse/Browse.aspx khi virus chạy lần đầu tiên
2. Ghi key:
3. Ghi key
4. Tạo bản sao của chính nó vào thư mục %WinDir% với tên “infocard.exe”
5. Dump ra file %WinDir%\winbrd.jpg
6. Tự động gửi link phát tán qua Yahoo! Messenger
Cách 1 :trước hết bạn đừng click vào link trên, và hãy áp dụng thủ thuật dưới đây để diệt chúng bằng tay. nếu có phần mềm diệt virus thì vẫn tốt hơn
Mã:
Đầu tiên bạn xóa các file sau:
C:\Windows\mds.sys
C:\Windows\mdt.sys
C:\Windows\winbrd.jpg
C:\Windows\net.exe
C:\Windows\infocard.exe
Sau đó bạn xóa các key sau:
Vào Run(Win + R) gõ regedit rồi Enter
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentV ersion\Run] “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List]
“C:\\Documents and Settings\\\\Desktop\\IM56245.JPG-www.myspace.com.exe”=”C:\\WINDOWS\\infocard.ex e:*:Enabled:Firewall Administrating” “C:\Documents and Settings\\ [/ b]\\ Desktop\\ IM56245.JPG-www.myspace.com.exe” = “C:\WINDOWS\\ infocard.exe: *: Enabled: Firewall Administrating ”
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List]
“C:\\Documents and Settings\\\\Desktop\\IM56245.JPG-www.myspace.com.exe”=”C:\\WINDOWS\\infocard.ex e:*:Enabled:Firewall Administrating” “C:\Documents and Settings\\ [/ b]\\ Desktop\\ IM56245.JPG-www.myspace.com.exe” = “C:\WINDOWS\\ infocard.exe: *: Enabled: Firewall Administrating ”
[HKEY_USERS\S-1-5-21-117609710-764733703-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Run]
“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
Cách 2: Tải file này về, chạy là xong
https://www.mediafire.com/?ggym4zjo3h5
Một lần nữa xin nhắc lại các bạn sử dụng Yahoo! Messenger cần cảnh giác khi nhận được các link lạ, ngay cả khi chúng được gửi từ bạn bè thân thiết!
Đã có rất nhiều bạn dính phải nó và chính mình cũng vậy. => Mình xin chỉ cho các bạn cách Diệt virus loại này
Một loại virut mới, tấn công qua Yahoo! Messenger, vừa xuất hiện và đang lây lan nhanh trong cộng đồng người sử dụng phần mềm chat này.
Một loại virut mới, tấn công qua Yahoo! Messenger, vừa xuất hiện và đang lây lan nhanh trong cộng đồng người sử dụng phần mềm chat này.
Photo https://miggiphotos.com/image.php
Photo https://funwiththisguy.com/image.php
Photo https://ariafotos.com/image.php
Photo https://zhelefun.com/image.php
Photo https://tviceimg.com/image.php
Photo https://tusfbfotos.com/image.php
Photo https://twittersphoto.com/image.php
Photo https://tuesimages.com/image.php
Photo https://red-myspace.com/image.phpNếu bấm vào link này, trình duyệt sẽ tải về một file exe có chứa mã độc. Khi người sử dụng mở file exe vừa tải về, lập tức máy tính sẽ bị nhiễm virus. Khi đó, chính phần mềm Yahoo! Messenger chạy trên máy tính này trở thành nguồn phát tán mã độc tới những người sử dụng Yahoo! Messenger khác. Virus sẽ tiếp tục tự động gửi link độc tới các tài khoản trong friend list Yahoo! Messenger của người sử dụng.
Cách thức tấn công của loại virus mới này giống với các loại virut từng lây lan qua Yahoo! Messenger trước đây, nhưng mức độ nguy hiểm lớn hơn nhiều vì kiểu ngụy trang của loại sâu này khiến người sử dụng tưởng rằng bạn bè chia sẻ ảnh nên không đề phòng, dễ dàng bấm vào link và mở file độc.
Mình đã phát hiện được đây là con virut W32.Ymfocard.Worm. Khi lây nhiễm trên máy tính của người sử dụng, sâu này tự động bật lên cửa sổ mở tới một trang web, và tự động gửi link phát tán qua Yahoo! Messenger.
Con virut này rất độc, với những người bình thường thì chắc cũng chả có gì nhưng với mình những fiile dữ liệu lập trình web bị ăn sạch, nó còn có thể ăn trộm pass của mình.
Sau đây là một số hành vi của nó :
1. Tự động popup trang : https://browseusers.myspace.com/Browse/Browse.aspx khi virus chạy lần đầu tiên
2. Ghi key:
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Firewall Administrating” = “c:\windows\infocard.exe”
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] “Firewall Administrating” = “c:\windows\infocard.exe”
3. Ghi key
- [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List]
4. Tạo bản sao của chính nó vào thư mục %WinDir% với tên “infocard.exe”
5. Dump ra file %WinDir%\winbrd.jpg
6. Tự động gửi link phát tán qua Yahoo! Messenger
- https://mig[removed]tos.com/image.php
- https://www.k[removed]nk.com/image.php
- …………..
Cách 1 :trước hết bạn đừng click vào link trên, và hãy áp dụng thủ thuật dưới đây để diệt chúng bằng tay. nếu có phần mềm diệt virus thì vẫn tốt hơn
Mã:
Đầu tiên bạn xóa các file sau:
C:\Windows\mds.sys
C:\Windows\mdt.sys
C:\Windows\winbrd.jpg
C:\Windows\net.exe
C:\Windows\infocard.exe
Sau đó bạn xóa các key sau:
Vào Run(Win + R) gõ regedit rồi Enter
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentV ersion\Run] “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List]
“C:\\Documents and Settings\\\\Desktop\\IM56245.JPG-www.myspace.com.exe”=”C:\\WINDOWS\\infocard.ex e:*:Enabled:Firewall Administrating” “C:\Documents and Settings\\ [/ b]\\ Desktop\\ IM56245.JPG-www.myspace.com.exe” = “C:\WINDOWS\\ infocard.exe: *: Enabled: Firewall Administrating ”
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List]
“C:\\Documents and Settings\\\\Desktop\\IM56245.JPG-www.myspace.com.exe”=”C:\\WINDOWS\\infocard.ex e:*:Enabled:Firewall Administrating” “C:\Documents and Settings\\ [/ b]\\ Desktop\\ IM56245.JPG-www.myspace.com.exe” = “C:\WINDOWS\\ infocard.exe: *: Enabled: Firewall Administrating ”
[HKEY_USERS\S-1-5-21-117609710-764733703-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Run]
“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
Cách 2: Tải file này về, chạy là xong
https://www.mediafire.com/?ggym4zjo3h5
Một lần nữa xin nhắc lại các bạn sử dụng Yahoo! Messenger cần cảnh giác khi nhận được các link lạ, ngay cả khi chúng được gửi từ bạn bè thân thiết!
