Virus yahoo messenger - 30-04-2010

tnu' · 1 Virus yahoo messenger - 30-04-2010 Mon May 03, 2010 2:49 pm

tnu'

Admin

Tổng số bài gửi : 125
Join date : 13/04/2010
Age : 34

Vào thời điểm cuối ngày 30/4, 1 dạng virus mới phát tán qua dịch vụ YM xuất hiện tràn lan. Dấu hiệu của virus này là gửi những đường link dưới đây tới toàn bộ địa chỉ trong YM list. Một điểm khác biệt so với các dạng virus YM trước đây là nó ko mở cửa sổ chat trên màn hình của người bị nhiễm, nên bản thân người có máy tính bị nhiễm virus này ko biết máy tính của mình đã bị nhiễm virus, chỉ đến khi nhận đc thông báo từ những người khác:

Các bạn chú ý, ko click vào các link dưới đây:

Để loại bỏ virus này, các bạn có thể làm theo một trong những cách dưới đây:

Update phiên bản mới nhất của KAV hoặc KIS, chạy full scan
Với những máy ko có KAS hoặc KIS, download Kaspersky virus removal tool 2010 (link: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/setup_9.0.0.722_02.05.2010_15-25.exe) và thiết lập như sau :
- Tháo bỏ cáp và các kết nối internet
- Disable các phần mềm diệt virus và tường lửa khác
- Chọn các chức năng giống trong hình

Virus yahoo messenger - 30-04-2010 2l9rryv

Ngoài ra các bạn có thể xóa thủ công các file sau đây :
C: \ Windows \ mds.sys
C: \ Windows \ mdt.sys
C: \ Windows \ winbrd.jpg
]C: \ Windows \ infocard.exe (có thể có nhiều tên)C: \ Program Files \ infocard.exe (có thể có nhiều tên)C: \ Program Files \ mds.sys
C: \ Program Files \ mdt.sys
C: \ Program Files \ winbrd.jpg
C: \ Users \ Public \ mds.sys
C: \ Users \ Public \ mdt.sys
C: \ Users \ Public \ infocard.exe (có thể có nhiều tên)
C: \ Users \ Public \ winbrd.jpg
C: \ Documents and Settings \
Administrator \ mds.sys
C: \ Documents and Settings \
Administrator \ mdt.sys
C: \ Documents and Settings \
Administrator \ infocard.exe (xóa nhiều lần)C: \ Documents and Settings \
Administrator \ winbrd.jpg
C: \ Documents and Settings \
\ mds.sys
C:\Documents and
Settings\\mdt.sys
C:\Documents and
Settings\\infocard.exe(xóa nhiều lần)
C:\Documents and
Settings\\winbrd.jpg

Xóa những dòng sau trong register
[HKEY_CURRENT_USER
\ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
“Administrating Firewall” = “C: \ WINDOWS \ \ infocard.exe”
[HKEY_LOCAL_MACHINE
\ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run]
“Administrating Firewall” = “C: \ WINDOWS \ \ infocard.exe”
[HKEY_LOCAL_MACHINE
\ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Terminal Server \
Install \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
“Administrating Firewall” = “C: \ WINDOWS \ \ infocard.exe”
[HKEY_LOCAL_MACHINE
\ SYSTEM \ ControlSet001 \ Services \ SharedAccess \ Parameters \
FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List] “C: \
Documents and Settings \ \ \ \ Desktop \ \
IM56245.JPG-www.myspace.com.exe “=” C: \ WINDOWS \ \ infocard.exe: *:
Enabled: Firewall Administrating “
[HKEY_LOCAL_MACHINE
\ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \
FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List] “C: \
Documents and Settings \ \ \ \ Desktop \ \
IM56245.JPGwww.myspace.com.exe “=” C: \ WINDOWS \ \ infocard.exe: *:
Enabled: Firewall Administrating “
[HKEY_USERS\S-1-5-21-117609710-764733703-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Run]“Firewall
Administrating”=”C:\\WINDOWS\\infocard.exe”

Mong sao các mem ko bị nhiễm. Tnu' bị dính pải reset lại máy, còn bị tê liệt mạng suốt 2 ngày nữa, híc

lee102 · 2 Re: Virus yahoo messenger - 30-04-2010 Thu May 06, 2010 11:33 am

lee102

Bần nông

Tổng số bài gửi : 18
Join date : 27/04/2010
Age : 33
Đến từ : Hưng Yên

Hớ hớ, chúc mừng cho những ai vừa bị nhiềm. Muốn kick link phải hỏi trước chứ

saddream11 · 3 Re: Virus yahoo messenger - 30-04-2010 Thu May 06, 2010 10:45 pm

saddream11

Quan nhất phẩm

Tổng số bài gửi : 157
Join date : 21/04/2010
Age : 34
Đến từ : Nam Định

Thấy Tnu' post bài này nên t cũng post luôn cho mọi người hiểu thêm về virut này..Chia buồn cho những ai là nạn nhân của nó
Tin nhắn chứa mã độc lại phát tán qua Yahoo Messenger

Vẫn sử dụng kiểu lây lan cũ nhưng loại sâu mới này đang lây lan rất nhanh trong cộng đồng người sử dụng phần mềm chat phổ biến nhất tại VN.

Vài ngày nay, nhiều người nhận được các tin nhắn từ bạn bè kèm link có đuôi .php. Nếu bấm vào đường dẫn, trình duyệt sẽ tải về file exe chứa mã độc. Khi mở tệp exe này, máy tính sẽ bị nhiễm virus.

Tin nhắn chứa mã độc được gửi qua Yahoo Messenger.
Lúc này, phần mềm Yahoo Messenger được cài trên máy tính sẽ trở thành nguồn phát tán mã độc và virus sẽ tiếp tục tự động gửi link tới các tài khoản khác trong danh sách bạn bè (friendlist) của người sử dụng.

File exe chứa mã độc được ngụy trang thành một file ảnh. Ảnh: Bkis.
Cách thức tấn công của virus trên giống với các loại sâu từng lây lan qua Yahoo Messenger trước đây, nhưng mức độ nguy hiểm lớn hơn nhiều vì kiểu ngụy trang của nó khiến người dùng tưởng bạn bè đang chia sẻ ảnh nên không đề phòng.

Thông tin file cho thấy đây là một file exe. Ảnh: Bkis.
Công ty Bkav gọi sâu này là Ymfocard và khuyến cáo người dùng cần cảnh giác khi nhận được link lạ, ngay cả khi chúng được gửi từ bạn bè và thường xuyên cập nhật phiên bản mới nhất của phần mềm diệt virus để bảo vệ máy tính.
Và đây là thêm 1 vài cách diệt virut này nữa...
Nếu như có ai đã lỡ bị dính virus này thì việc khôi phục lại cũng đơn giản thôi. Các bạn có thể làm như sau:
1- Mở explorer > vào Folder Option > chọn thẻ View > Chọn vào mục Show hidden file, bỏ các dấu tích ở các mục có chữ đầu là Hide...
2- Vào Star\Run > gõ vào msconfig > nhấn enter
3- Chọn thẻ Start up rồi bỏ tất cả các dấu tích trước các dòng có tên Firewall Administrating đi.
4- Tắt máy khởi động lại.
5- Vào C:\Windows > chọn file có tên infocard.exe rồi deleted đi là xong.