Cách diệt vi rút lây qua Yahoo Messenger

**trungkiencnt** · 03-06-2007 22:41

Máy tính bạn hoặc cơ quan bạn đang bị vi rút Yahoo W32 Yautoit N lây qua Yahoo Messeger tấn công, khiến mọi người dở khóc dở cười. Nếu bạn bị vi rút W32 Yautoit N ám ảnh thì hãy tham khảo cách một cách xử lý nhanh gọn...

Thông thường bạn có thể dung phiên bản Symantec và McAfee mới nhất để tiêu diệt vi rút W32 Yautoit N. Tuy nhiên nếu như bạn chưa kịp nhật phần mền diệt vi rút mới thì có thể tiến hành các thao tác thủ công sau:

Mở Start: Run > gõ lệnh regedit.

Sau khi gõ lệnh này, nếu hiển thị hộp thư thoại thông báo không thể kích hoạt được regedit, điều này cũng có nghĩa là bạn không thể sử dụng được tổ hợp lệnh: Alt + Ctrl + Del. Nếu vậy, bạn hãy cóp dòng code sau rồi save lại với đuôi reg (ví dụ virus.reg):

Code:

//Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies]

[HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoInternetIcon"=dword:00000000
"ClearRecentDocsOnExit"=dword:00000001
"NoLowDiskSpaceChecks"=dword:00000001
"NoSaveSettings"=dword:00000000
"NoFolderOptions"=dword:0000000

[HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
"DisableTaskMgr"=dword:00000000
 
[HKEY_CURRENT_USER\Software\Policies\
Microsoft\Internet Explorer\Restrictions]
"NoBrowserOptions"=dword:00000000

//

Tiếp theo, bạn cóp dòng code sau rồi sau đó lưu lại file dưới dạng đuôi là “.vbs” ví dụ “regedit.vbs”

Code:

//

'Enable/Disable Registry Editing tools
'© Doug Knox - rev 12/06/99

Option Explicit

'Declare variables
Dim WSHShell, n, MyBox, p, t, mustboot, errnum, vers
Dim enab, disab, jobfunc, itemtype

Set WSHShell = WScript.CreateObject("WScript.Shell")
p = "HKCU\Software\Microsoft\Windows\CurrentVersion\
Policies\System\"
p = p & "DisableRegistryTools"
itemtype = "REG_DWORD"
mustboot = "Log off and back on, or restart your pc to" & vbCR & "effect the changes"
enab = "ENABLED"
disab = "DISABLED"
jobfunc = "Registry Editing Tools are now "

'This section tries to read the registry key value. If not present an 
'error is generated. Normal error return should be 0 if value is 
'present
t = "Confirmation"
Err.Clear
On Error Resume Next
n = WSHShell.RegRead (p)
On Error Goto 0
errnum = Err.Number

if errnum <> 0 then
'Create the registry key value for DisableRegistryTools with value 0
            WSHShell.RegWrite p, 0, itemtype
End If 
'If the key is present, or was created, it is toggled
'Confirmations can be disabled by commenting out 
'the two MyBox lines below
 
If n = 0 Then
            n = 1
WSHShell.RegWrite p, n, itemtype
Mybox = MsgBox(jobfunc & disab & vbCR & mustboot, 4096, t)
ElseIf n = 1 then
            n = 0
WSHShell.RegWrite p, n, itemtype
Mybox = MsgBox(jobfunc & enab & vbCR & mustboot, 4096, t)
End If

//

Sau đó kích đúp chuột lần lượt vào hai file trên để kích hoạt lại công cụ chỉnh sửa regedit.

Tiếp theo, tại khung bên trái cửa sổ Registry Editor, bạn tìm khoá

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon

và xoá mục “Shell”=”Explorer. Exe RVHOST.exe” trong khung bên trái.

Tìm đến khoá

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run

Xoá mục “Yahoo Messenger = RVHOST.exe”.

Tìm đến khoá

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
WorkgroupCrawler\Share=”[SHARED DRIVE]\New Folder.exe”

Tìm đến khoá

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\System

Xoá mục “Disable Registry Tools” = “1”.

Tìm đến khoá

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\\Explorer

Xoá m ục “NofoderOption”.

Tìm đến khoá

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Schedule

Xoá mục “AtTaskMaxHours”.

Tìm đến khoá

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion

Xoá mục “Run”= “BkavFw”.

Tìm đến khoá

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion

Xoá mục “Run”=”IEProtection”.

Đóng Registry lại.

Chúc bạn thành công.

(Theo Châu Phong/Dân Trí)

CÁC CHỦ ĐỀ KHÁC:

Dịch vụ dịch tự động Anh - Việt duy nhất trên Internet có ở VDict (10/05/2007)
Xóa bỏ cảnh báo của Windows Genuine Advantage (13/05/2007)
Tắt màn hình bằng phím nóng (15/07/2009)
Cách sửa lỗi font TCVN3 (.VnTime) trong PowerPoint? (14/05/2009)
Khắc phục lỗi không mở được file CHM (17/12/2007)
Tạo menu dual-boot sau khi cài Windows XP song song Vista/7 (11/01/2010)
Download tại nhạc số và 1 số trang khác (23/03/2008)
Cách khác để tìm tài liệu (30/06/2008)
Máy tính không khởi động? Chuyện nhỏ (10/11/2007)
Kiểm tra tốc độ đọc & ghi của USB (29/11/2008)

**I_LIKE_NOKIA** · 04-06-2007 15:58

Gần đây có nhiều virut "nội" lây qua Chat-Yahoo Messenger (YM). Tốc độ lây nhiễm qua các thế hệ ngày càng cao, độ nguy hiểm ngày càng lớn. Để các bạn hiểu rõ và phòng tránh, chúng tôi xin phân tích cơ chế lây nhiễm của loại Virut này.

Cơ chế lây nhiễm

Nơi lưu trữ Virut:

Khác với các loại Virut thông thường (Virut thông thường lây trên PC, tự nhân bản thành nhiều "con" khác nhau và sống trực tiếp trên PC), đợt Virut lây qua YM lần này "sống ký sinh" trên Web.
Virut lây qua YM thực chất là một đoạn mã "độc" được kẻ phát tán cài trên Web. Virut có thể cài dưới nhiều hình thức khác nhau, bao gồm các file trang web (.htm, html), ảnh (jpg, jpeg), file thực thi (.exe) ...

Cơ chế lây nhiễm:

Để Virut có thể lây lan buộc kẻ phát tán tìm cách dụ dỗ "nạn nhân" nhấn vào liên kết (link) của file kích hoạt.
Để tránh nạn nhân phát hiện ra, ít khi "kẻ phát tán" gửi trực tiếp file .exe mà sẽ giấu link các file này vào một nơi trên Web-Server, sau đó thủ phạm sẽ gửi cho nạn nhân một địa chỉ Web (.htm, .html) hoặc ảnh (.jpg, .jpeg) với những dòng mời gọi hấp dẫn, ví dụ như:
"Cái gì đây? http:/...abc.be/"
"Kỳ quá http:/....vnn.bz/kinhdi.htm"
"Nhớ em nhiều, http:/traoluu..."
"Nhớ mãi kỷ niệm học trò, chúng ta buồn vui bên nhau ... http:/viet8x..."
"*** S.E.X http:/viet8x.../"
và gần đây là:
"ảnh hoa hậu ... http:/...http.vn/hinhvn/...jpg"
"diệt virut lây qua YM... http:/...vuichoivn.com/"
... và những gì "kinh khủng" nữa thì chỉ người nhận mới biết.

Nếu nạn nhân truy cập vào những link này thì ngay lập tức các đoạn mã JavaScript, VBScript sẽ thông qua trình duyệt chạy các lệnh gọi virut ra. Rất nhanh chóng, virut sẽ chạy các lệnh can thiệp vào Windows, Registry, Internet Explorer, Yahoo Messenger ...

Quá trình này diễn ra rất nhanh khiến cho nạn nhân không hay biết (có biết cũng quá muộn). Hầu như nạn nhân không thấy hiện tượng gì sau đó vì các cửa sổ bật lên rất nhanh (khoảng mấy phần trăm/giây), sau đó tắt đi ngay lập tức.

Sau khi lây nhiễm vào máy tính, virut có 3 nhiệm vụ:

Can thiệp vào Win và các chương trình, khóa một số tính năng như Registry, Internet Options ... để bảo vệ bản thân.
Can thiệp vào Win và các chương trình (cụ thể là YM), tìm cách gửi cho bạn bè nạn nhân các link dẫn đến Web chứa virut.
Can thiệp vào Win và các chương trình để rình mò đánh cắp thông tin của nạn nhân.

Nếu như trước đây, các virut chỉ can thiệp "nhẹ nhàng" vào máy của bạn chỉ để đặt Website nào đó làm trang chủ, hay bắt bạn "nhớ" đến nó bằng cách thay đổi thông tin của trình duyệt ... thì nay, thế hệ virut mới đã "mạnh tay" hơn, can thiệp sâu hơn và hệ thống để phá hoại lớn hơn. Thực tế, nạn nhân không chỉ có bực bội mã đã trở nên khiếp sợ thực sự. Các thông tin như mật khẩu, địa chỉ Email của bản thân và bạn bè, thông tin - sở thích cá nhân... tất cả đều có thể bị đánh cắp.

Phòng tránh và tiêu diệt

Phòng tránh:

Sau khi biết cơ chế lây nhiễm của virut như đã nói ở trên, bạn có thể dễ dàng phòng tránh bằng cách không truy cập và những link gửi qua YM (hoặc bất cứ nơi nào khác). Kể cả đối với những địa chỉ do bạn bè thân gửi (virut đâu có cần biết thân thiết hay không!). Chỉ truy cập vào một địa chỉ trừ khi bạn biết chắc rằng link đó không chứa virut.

Cách tốt nhất là bạn hãy sử dụng một trình duyệt Web khác thay cho Internet Explorer vì Internet Explorer cho phép chạy nhiều Script nguy hiểm nên rất dễ nhiễm virut. Trình duyệt tốt nhất hiện nay là FireFox.

Tiêu diệt:

Đối với những ai đã bị nhiễm virut có thể tạm thời khắc phục bằng cách chuyển tính năng của phím Enter trong YM (Từ "send" sang "xuống dòng"). Sau đó tìm một chương trình diệt được Virut này, ví dụ BKAV bản mới nhất.

Thông tin thêm:

Các loạt Virut lây qua YM lần này được viết bởi phần mềm AutoIt3 một cách rất đơn giản. Đây là phần mềm nhằm phục vụ việc tạo các Script & các chương trình cài đặt tự động. Tuy nhiên nhiều người sử dụng đã dùng vào mục đích xấu.

Chủ đề: Cách diệt vi rút lây qua Yahoo Messenger

LinkBack

Công Cụ