Xuất hiện "sâu" virút mới lây lan cực nhanh

Khi bị nhiễm loại virus  này , máy tính của người dùng sẽ trở nên chậm chạp và có thể bị mất hoàn toàn dữ liệu ổ cứng, ngoài ra nó còn gửi về người gửi sâu này thông tin trên máy bị nhiễm.

Loại sâu này sẽ tự động cập nhật hằng ngày, nếu máy tính kết nối với mạng internet ( đây là mối nguy hiểm lớn nhất). Một trong những dấu hiệu để nhận biết máy tính nhiễm virút này là virút này sẽ khoá các chức năng regedit, task manager, và toàn bộ file trong máy tính bị biến thành Icon Leena.

Hiện chưa có phần mềm nào có thể diệt được sâu này. Chỉ có thể diệt thủ công bằng tay với cách diệt như sau :

Ngắt kết nối mạng của máy tính.

Đây là một biến thể của trojan. Việc khởi động các chương trình đều kéo theo khởi động sâu này, như khởi động Microsoft Word Document và IExplore.exe  hay services.exe . Do vậy phải scan ở chế độ  Safe mode.

Tắt chức năng system Restore. Cài bản kaspersky 6 pro , cập nhật và quét sẽ xóa được 1 vài module trong toàn bộ con worm này. Sau đó chạy từ cửa sổ run dòng lệnh gpedit.msc - open. Cửa sổ group policy sẽ bật lên. Ta bật chức năng  (enable) regedit , Sau đó mở regedit ra và xoá  các giá trị mà worm tạo ra.

Vào ổ cứng tìm và xoá các file sau :

C\WINDOWS\Normal.zip

C:\WINDOWS\l33na.exe

Còn một điều cần chú ý, worm tạo ra các biến shell để chạy chương trình kéo theo các file trong hệ thống , vì vậy ta phải thiết lập các chương trình hệ thống về mặc định để loại trừ các biến shell kéo theo này. Việc tìm và xoá các biến shell sẽ đòi hỏi mất rất nhiều thời gian, tuy nhiên bạn có thể dùng công cụ hỗ trợ chương trình diệt virut thông dụng của symantec.

Sau đó tạo 1 file :

 [Version]

Signature="$Chicago$"

Provider=Symantec

[DefaultInstall]

AddReg=UnhookRegKey

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System ,

DisableRegistryTools,0x00000020,0

Lưu thành UnHookExec.inf và install, tương tự với shell open IEXPlorer.exe, thay vì regeidt mà edit lại file cho đúng.

Ví dụ : HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\Winlogon\"Shell" = "Explorer.exe C:\WINDOWS\l33na.exe"

Do virut tắt chức năng cho phép tắt system restore, nên ta phải bật lại chức năng này bằng cách chạy cửa sổ lệnh Run từ menu start Start, sau đó gõ lệnh %systemroot%\ system32\Restore\rstrui.exe 

Kích chọn Troubleshooting tab , click để chọn Disable system restore , Chọn Apply .  Bước cuối cùng là xoá: Temp\word Template\*.*

C:\Documents and Settings\All Users\Application Data\Normal.exe

C:\Windows\System32\execute.exe

vào Tasks xóa leena.job , leena.exe , l33na.exe , aneel.exe .

Sau đó là khởi động máy.

Cách phòng loại virus này :

-Không nhấn đúp chuột vào các loại thiết bị lưu trữ ngoài (như ổ đĩa USB)

- Cập nhật IE

-Nên mở chế độ Hidden protected operating system file , để tool anti virus phát hiện được các file worm ẩn.

Quang Vũ