Máy nhiễm virut quảng cáo Tàu

[vinhtc86]

[IMG]http://www.*******************/dd/public/style_emoticons/<#EMO_DIR#>/eco029.gif[/IMG] Chả hiểu sao cả 4 máy tính nhà mình đều bị nhiễm con virut quảng cáo Tàu ( hình con chim cánh cụt )

Mình đã fomat toàn bộ ổ đĩa, dùng KIS 7 và BKAV quét đều ko ra. Cứ thỉnh thoảng vào trang wed là nó lại hiện ra.

[IMG]http://www.*******************/dd/public/style_emoticons/<#EMO_DIR#>/eco029.gif[/IMG] Bạn nào giúp mình với .....

[sangame]

Một số biến thế các phần mềm có thể quét được:







* W32/Dasher-# (A,B,C) (Sophos)

* Win32.Dasher.# (A,B,C) (Symantec)

* Win32.Dasher.Worm (McAfee)

* Win32.Worm.Dasher.B (Bitdefender)

* W32.DashferHtml.PE

* W32.DashferUDII.Worm

* W32.Dasher.Worm.9248

* Win32/Dasher.worm.2944

* (Tiếp tục cập nhật)



Những files nó sẽ cài vào máy của nạn nhân:



* %WINDIR%\temp\sqlscan.bat (306 Bytes)

* %WINDIR%\temp\sqlrep.exe (20,992 Bytes)

* %WINDIR%\temp\sqltob.exe (7,200 Bytes)

* %WINDIR%\temp\sqlexp.exe (7,712 Bytes)

* %WINDIR%\temp\sqlscan.exe (19,968 Bytes)

* %WINDIR%\temp\Temp.txt

* %WINDIR%\temp\log.txt

* %WINDIR%\ %SysDir%\Com\smss.exe

* %WINDIR%\%SysDir%\Com
etcfg.dll

* %WINDIR%\%SysDir%\Com
etcfg.000



Mở rộng file của Virus



%System%\wins\Result.txt Một file kết quả

%System%\wins\SqlExp.exe Exploit.Win32.MS04-045.k

%System%\wins\SqlExp1.exe Exploit.Win32.MS05-039.ac

%System%\wins\SqlExp2.exe Exploit.Win32.MS05-051.d

%System%\wins\SqlExp3.exe Exploit.Win32.MSSQL-Hello.a

%System%\wins\SqlScan.exe NetTool.Win32.TCPPortScanner

%System%\wins\Sqltob.exe Net-Worm.Win32.Dasher.b



Registry đượcđăng ký như sau:



* hkey_local_machine\software\microsoft\windows\curr entversion
un

\windows update=”%WINDIR%\Temp\Sqltob.exe”

* hkey_current_user\software\winrar sfx\c%%windows%temp%=”

%WINDIR%\Temp\”



Khi đó files sqltob.exe sẽ chạy suốt trong quá trình hoạt động của máy tính và virus sẽ hoành hành trên máy tính của bạn



Trong thời gian chạy sqltob.exe , nó sinh ra 1 chương trình để tương tác với người dùng (thread) là sqlreq.exe , nó gọi sqlscan.exe . Sqlscan sử dụng các gói giao thức TCP/SYN để scan các cổng 65278 kết quả trả về 1 files Results.txt.

nguồn không biết



chúc vui nếu muốn diệt tay

[zomplus]

Kết quả nghiên cứu của Trung tâm an ninh mạng BKIS cho thấy, hiện tượng này do loại virus có xuất xứ từ Trung Quốc W32.Dashfer.Worm - virus giả mạo Gateway gây ra.

Bắt đầu bùng phát từ ngày 14/12/2007, tới nay đã có tới 14 biến thể của Dashfer xuất hiện và đã lây nhiễm trên 59.000 máy tính tại Việt Nam. Nguồn phát tán chủ yếu của virus này là qua các website chứa mã độc hại và qua đĩa USB.

Từ một máy tính nhiễm virus, Dashfer gửi gói tin theo giao thức ARP (giao thức phân giải địa chỉ) tới tất cả các máy tính khác trong cùng mạng để mạo danh là Gateway của hệ thống. Các kết nối ra Internet của tất cả các máy tính trong mạng lúc này sẽ bị lừa đi qua Gateway giả mạo trước rồi mới tới Gateway thật.

Bằng cách này, Dashfer sẽ kiểm soát được toàn bộ quá trình trao đổi dữ liệu, chèn thêm banner, popup vào nội dung các trang web trước khi chúng được trả về cho máy tính của người sử dụng. Với cách giả mạo Gateway như vậy, không phải máy tính nào có hiện tượng bị chèn banner cũng là máy nhiễm virus, máy nhiễm virus chính là Gateway giả mạo.



Cách giải quyết như sau:



- Xác định địa chỉ của máy tính giả mạo bằng lệnh arp –a hoặc dùng một phần mềm quét mạng.



- Dùng địa chỉ tìm được ở trên để tra cứu trên hệ thống switch, từ đó ra được vị trí vật lý của máy tính bị nhiễm virus.



- Dùng Bkav, KIS, BIT... để quét virus cho máy tính này.



Chúc bạn sớm giải quyết được vấn đề!