Nhiều người sử dụng hệ thống tin nhắn nhanh của Yahoo đang trong tình trạng hoang mang, lo sợ vì máy tính của họ đã bị nhiễm một loại sâu lạ, lây lan qua chương trình chat phổ biến nhất VN. Các nạn nhân đều nhận từ nick chat của bạn bè đường link kèm lời mời hấp dẫn như: "Gái quá xinh nè pà kon ", "Hàng đẹp quá"...
Khi đã xâm nhập được vào máy tính của nạn nhân, ngay lập tức hàng loạt thông điệp lặp lại kèm đường link có chứa virus sẽ gửi tới các nick name có trong danh sách YM. Với kiểu lây lan theo cấp số nhân đó, vô số nạn nhân đã "dính đòn" trong thời gian rất ngắn.
Khi tệp ứng dụng có tên là Gaixinh.jpg.exe được nạp vào bộ nhớ, nó sẽ thay đổi Registry trên máy nạn nhân như sau:
1. Thêm giá trị DisableRegedit=1 vào khoá: HKEY_CURRENT_User\Software\Microsoft\Windows\Curre ntVersion\Policies\System để khoá không cho truy cập vào Regedit.
2. Thêm giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe vào khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run để nạp virus lúc Windows khởi động.
3. Thay đổi trang Homepage của Internet Explorer về trang chủ của virus bằng cách sửa giá trị của khoá HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page về một dạng địa chỉ khác
4. Thêm giá trị sau vào các khoá khác trong regedit:
hxxp://xxxbots.net/Gift/New/ hoặc
HKEY_CURRENT_USER\Software\Yahoo\pager\
View\YMSGR_Launchcast.
CÁCH DIỆT:1. Bạn mở NOTEPAD copy dòng này vào save lại với đuôi reg (ví dụ virus.reg)
[HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesExplorer] "NoDriveTypeAutoRun"=dword:00000091 "NoInternetIcon"=dword:00000000 "ClearRecentDocsOnExit"=dword:00000001 "NoLowDiskSpaceChecks"=dword:00000001 "NoSaveSettings"=dword:00000000 "NoFolderOptions"=dword:0000000 [HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesSystem] "DisableRegistryTools"=dword:00000000 "DisableTaskMgr"=dword:00000000 [HKEY_CURRENT_USERSoftwarePolicies MicrosoftInternet ExplorerRestrictions] "NoBrowserOptions"=dword:00000000
//
Kích đúp chuột vào file trên để kích hoạt .
2. Bạn copy dòng code sau vào NOTEPAD rồi sau đó lưu lại file dưới dạng đuôi là “.vbs” ví dụ “regedit.vbs”
"error is generated. Normal error return should be 0 if value is
"present
t = "Confirmation"
Err.Clear
On Error Resume Next
n = WSHShell.RegRead (p)
On Error Goto 0
errnum = Err.Number
if errnum <> 0 then
"Create the registry key value for DisableRegistryTools with value 0
WSHShell.RegWrite p, 0, itemtype
End If
"If the key is present, or was created, it is toggled
"Confirmations can be disabled by commenting out
"the two MyBox lines below
If n = 0 Then
n = 1
WSHShell.RegWrite p, n, itemtype
Mybox = MsgBox(jobfunc & disab & vbCR & mustboot, 4096, t)
ElseIf n = 1 then
n = 0
WSHShell.RegWrite p, n, itemtype
Mybox = MsgBox(jobfunc & enab & vbCR & mustboot, 4096, t)
End If
//
Sau đó kích đúp chuột vào hai trên để kích hoạt lại công cụ chỉnh sửa regedit.
Vào Start ==> Run ==> gõ REGEDIT==>tại khung bên trái cửa sổ Registry Editor, bạn tìm khoá
HKEY_LOCAL_MACHINESOFTWARE\Microsoft\WindowsNT\Cur rentVersion\
Winlogon
và xoá mục “Shell”=”Explorer. Exe RVHOST.exe” trong khung bên trái.
Tìm đến khoá
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
Xoá mục “Yahoo Messenger = RVHOST.exe”.
Tìm đến khoá
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer
và xóa
WorkgroupCrawlerShare=”[SHARED DRIVE]New Folder.exe”
Tìm đến khoá
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System
Xoá mục
“Disable Registry Tools” = “1”.
Tìm đến khoá
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer
Xoá mục
“NofoderOption”.
Tìm đến khoá
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Schedule
Xoá mục
“AtTaskMaxHours”.
Tìm đến khoá
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion
Xoá mục
“Run”= “BkavFw”.
Tìm đến khoá
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Xoá mục
“Run”=”IEProtection”.
Đóng Registry lại.
Cách 2:Bạn cũng copy dòng Code như trên rồi kick chuột vào đấy cho nó thực thi lệnh .
Khởi động lại máy tính bằng chế độ SafeMode (Bấm F8 lúc máy tính khởi động). Sau đó Vào Start -> Run rồi gõ Regedit rồi Enter. Hãy tìm khoá:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
và xoá giá trị [Yahoo!!!]
C:\WINDOWS\Messenger.exe
Tiếp tục tìm
HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page
để vào xoá hoặc thay đổi về địa chỉ HomePage vẫn dùng.
Tìm toàn bộ các giá trị có nội dung như sau Xrobots.net - robots Resources and Information. This website is for sale! và xoá đi. Các khoá có thể thêm ví dụ là
HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ Launchcast
và
HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-500\
Software\Yahoo\pager\View\YMSGR_Launchcast
Tìm tệp GirlXinh.jpg.exe và xoá đi (thường nằm trong Desktop hoặc My Documents), có thể tìm bằng chức năng Search của Windows.
Vào trong thư mục Windows tìm tệp Messenger.exe và xoá đi
Khởi động lại máy tính.
Bạn có thể
download file tại đây
Chúc các bạn thành công