fuzifim
04-05-2010, 11:16 AM
Tình hình là có con này đang lây lan rất nhanh. Victim khi bị nhiễm sẽ tự động send toàn list yahoo tin nhắn với nội dung như sau:
Trích:
foto hxxp://miggiphotos.com/image.php
Và, khi click vào thì...
http://thietkewebsiteart.com/upload/website/LT0.10087485_1_1.jpg
1 file .exe
ai lỡ tải về rồi thì quét virus cho máy mình ngay lập tức.
Nhờ các bạn thông báo tin này cho mọi người gần xa biết để mà tránh
Cách nhận dạng Virus:
Virus giả dạng file.png
http://thietkewebsiteart.com/upload/website/82485423.jpg
Khi chọn chuột phải properties
http://thietkewebsiteart.com/upload/website/im75378jpgwwwmyspacecom1.gif
http://thietkewebsiteart.com/upload/website/im75378jpgwwwmyspacecom2.gif
Như vậy để mọi người để phòng thôi
Nguyên lý hoạt động:
Phát tán qua yahoo với nội dung " foto http://thietkewebsiteart.com/upload/website/4.gifhttp://lienketdownloadvirus/image.php"
Hoạt động như 1 keylog ăn trộm mật khẩu
Là 1 loại virus mới. Các antivirus chưa hề phát hiện ra
Cách kill:
Nơi cự ngụ
Trích:
Trích:C:WINDOWSinfocard.exe
HKLM..Run: [Firewall Administrating] C:WINDOWSinfocard.exe
HKCU..Run: [Firewall Administrating] C:WINDOWSinfocard.exe
Xem ra đơn giản
Processlist
http://thietkewebsiteart.com/upload/website/im75378jpgwwwmyspace1.gif
B1: Kill process trên
B2: Cho hiện file ẩn
B3: Xóa Virus
Trích:C:WINDOWSinfocard.exe
B4: Xóa Regkey do virus tạo
Trích:
Trích:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsC urr entVersionRun: [Firewall Administrating] C:WINDOWSinfocard.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun: [Firewall Administrating] C:WINDOWSinfocard.exe
Update thêm info
các domain như miggiphotos, twitter-photos v.v đều đã bị suspend, thay vào đó là
Code:
hxxp://lmb-space.com/image.php
hxxp://myspace-lmages.com/image.php
hxxp://lmages-space.com/image.php
and more, điểm chung là đều có /image.php
virus đã chính thức có biến thể mới, nhưng vẫn bị detect bởi các AV, như avast của mình hôm qua chưa detect đc thì hôm nay đã detect đc cả biến thể của nó
- file name sẽ có dạng IM93424.JPG-www.myspace.com
- sau khi run, nó sẽ drop 4 file sau vào folder WINDOWS
+ infocard.exe (copy bản thân virus vào folder windows và rename)
+ mds.sys
+ mdt.sys
+ winbrd.jpg
ở biến thể mới nhất thì nó còn drop vào documents and settingsadministrator
+ cluin.exe
Đa số antivirus ngoại đã update con này và biến thể của nó, còn nếu muốn nhẹ nhàng thì có thể xài malwarebyte để diệt
Download phần mềm diệt virut để bảo vệ cho máy tính an toàn Xóa bởi Jollibee
:21:
Trích:
foto hxxp://miggiphotos.com/image.php
Và, khi click vào thì...
http://thietkewebsiteart.com/upload/website/LT0.10087485_1_1.jpg
1 file .exe
ai lỡ tải về rồi thì quét virus cho máy mình ngay lập tức.
Nhờ các bạn thông báo tin này cho mọi người gần xa biết để mà tránh
Cách nhận dạng Virus:
Virus giả dạng file.png
http://thietkewebsiteart.com/upload/website/82485423.jpg
Khi chọn chuột phải properties
http://thietkewebsiteart.com/upload/website/im75378jpgwwwmyspacecom1.gif
http://thietkewebsiteart.com/upload/website/im75378jpgwwwmyspacecom2.gif
Như vậy để mọi người để phòng thôi
Nguyên lý hoạt động:
Phát tán qua yahoo với nội dung " foto http://thietkewebsiteart.com/upload/website/4.gifhttp://lienketdownloadvirus/image.php"
Hoạt động như 1 keylog ăn trộm mật khẩu
Là 1 loại virus mới. Các antivirus chưa hề phát hiện ra
Cách kill:
Nơi cự ngụ
Trích:
Trích:C:WINDOWSinfocard.exe
HKLM..Run: [Firewall Administrating] C:WINDOWSinfocard.exe
HKCU..Run: [Firewall Administrating] C:WINDOWSinfocard.exe
Xem ra đơn giản
Processlist
http://thietkewebsiteart.com/upload/website/im75378jpgwwwmyspace1.gif
B1: Kill process trên
B2: Cho hiện file ẩn
B3: Xóa Virus
Trích:C:WINDOWSinfocard.exe
B4: Xóa Regkey do virus tạo
Trích:
Trích:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsC urr entVersionRun: [Firewall Administrating] C:WINDOWSinfocard.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun: [Firewall Administrating] C:WINDOWSinfocard.exe
Update thêm info
các domain như miggiphotos, twitter-photos v.v đều đã bị suspend, thay vào đó là
Code:
hxxp://lmb-space.com/image.php
hxxp://myspace-lmages.com/image.php
hxxp://lmages-space.com/image.php
and more, điểm chung là đều có /image.php
virus đã chính thức có biến thể mới, nhưng vẫn bị detect bởi các AV, như avast của mình hôm qua chưa detect đc thì hôm nay đã detect đc cả biến thể của nó
- file name sẽ có dạng IM93424.JPG-www.myspace.com
- sau khi run, nó sẽ drop 4 file sau vào folder WINDOWS
+ infocard.exe (copy bản thân virus vào folder windows và rename)
+ mds.sys
+ mdt.sys
+ winbrd.jpg
ở biến thể mới nhất thì nó còn drop vào documents and settingsadministrator
+ cluin.exe
Đa số antivirus ngoại đã update con này và biến thể của nó, còn nếu muốn nhẹ nhàng thì có thể xài malwarebyte để diệt
Download phần mềm diệt virut để bảo vệ cho máy tính an toàn Xóa bởi Jollibee
:21: