Virus mới qua Yahoo Messenger

huuhoangnet · #1 01-06-2007, 17:17

Hi,

Cty mình đang bị một loại virus lây lan qua yahoo mess. Tình trạng như sau :
Máy người bị nhiễm VR sẽ tự động gửi tin nhắn đến các Nick online với những lời nhắn đại loại như : Tin giật gân ... Ê mày, vào đây coi hay lắm... tôi đi lang thang giữa màn đêm ... Và sau đó là 1 link ví dụ như :
www.freewebtown chấm com/gaigoitanbinh/index.html

Máy bị nhiễm sẽ lock task manager, regedit, chạy rất chậm và phát tán link liên tục.
Mình thử diệt bằng nhiều cách, BKAV, NoAdware, Norton antivirus, tất cả đều update mới nhưng kết quả thì ... hên xui. Có trường hợp xử lý được, đa phần là phải ghost lại máy.
Mặc dù mọi người đều cảnh giác nhưng thỉnh thoảng vô tình click là bị dính liền. Hình như virus này có thể phát tán wa file, thư mục khi copy USB từ máy này sang máy khác. Thường thì xuất hiện file New Folder.exe với Icon thư mục, ai vô tình tưởng là thư mục, click vào sẽ dính.

Có ai biết cách xử lý, chỉ mình cách diệt nhé.

Thanks alot.

nguyenvuhoang · #2 01-06-2007, 18:29

cía này có thể diệt được, dùng 1 số tool để test và khôi phục lại trạng thái ban đầu. do dùng phương pháp thủ công không dùng soft ware antivirus nên rất khó chỉ bạn qua diễn đàn được. Liên hệ với Hoàng nếu bạn cần, hoặc bạn có thể gữi mẫu nhờ BKAV phân tích và diệt (khả năng họ diệt được rất cao đó). Chú ý con này càng để lâu nó càng sinh sôi nảy nở và rất khó trị tận gốc đó

khoabeo108 · #3 01-06-2007, 19:56

Dạng virus này xuất hiện nhiều rồi. Cũng vẫn là những biểu hiện đó, nhưng ko biết có biến đổi gì về source code ko. TRứoc đây dùng Bkav diệt là xong thôi.
Máy mình đang thời gian cần dùng, nên ko dám click vào link virus của bạn. Nên ko dám nói chắc điều gì cả. Chỉ có điều, khi giệt virus cho máy ở công ty. Bạn nên giệt trong safemode. Tuy nhiên, tốt nhất thì tháo hẳn HDD ra, rồi gắn vào 1 máy chắc chắn ko nhiễm để scan.
Sau khi scan xong rồi, việc khôi phục task manager, Folder options.. cũng đơn giản thôi

bonmat1 · #4 01-06-2007, 21:37

Em sài Vista nên bây giờ không sợ mấy con đó nữa.

huuhoangnet · #5 02-06-2007, 10:22

Mình đã có thông tin về loại virus này.
http://www.quantrimang.com/view.asp?...&news_id=38320
Cảm ơn các bạn.

tmd9801627 · #6 04-06-2007, 23:59

Nhatquanlang chuyên phát tán worm trên mạng. Đừng click vào bất kỳ link nào do bạn bè gửi qua đường Ym.Đừng sử dụng bất kỳ auto nào ngoài nguồn chính thức.

langtuphidao · #7 05-06-2007, 10:25

Mở Start: Run > gõ lệnh regedit.

Sau khi gõ lệnh này, nếu hiển thị hộp thư thoại thông báo không thể kích hoạt được regedit, điều này cũng có nghĩa là bạn không thể sử dụng được tổ hợp lệnh: Alt + Ctrl + Del. Nếu vậy, bạn hãy cóp dòng code sau rồi save lại với đuôi reg (ví dụ virus.reg):

//Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies]

[HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:00000091

"NoInternetIcon"=dword:00000000

"ClearRecentDocsOnExit"=dword:00000001

"NoLowDiskSpaceChecks"=dword:00000001

"NoSaveSettings"=dword:00000000

"NoFolderOptions"=dword:0000000

[HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=dword:00000000

"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USER\Software\Policies\

Microsoft\Internet Explorer\Restrictions]

"NoBrowserOptions"=dword:00000000

//

Tiếp theo, bạn cóp dòng code sau rồi sau đó lưu lại file dưới dạng đuôi là “.vbs” ví dụ “regedit.vbs”

//

’Enable/Disable Registry Editing tools

’© Doug Knox - rev 12/06/99

Option Explicit

’Declare variables

Dim WSHShell, n, MyBox, p, t, mustboot, errnum, vers

Dim enab, disab, jobfunc, itemtype

Set WSHShell = WScript.CreateObject("WScript.Shell")

p = "HKCU\Software\Microsoft\Windows\CurrentVersio n\

Policies\System\"

p = p & "DisableRegistryTools"

itemtype = "REG_DWORD"

mustboot = "Log off and back on, or restart your pc to" & vbCR & "effect the changes"

enab = "ENABLED"

disab = "DISABLED"

jobfunc = "Registry Editing Tools are now "

’This section tries to read the registry key value. If not present an

’error is generated. Normal error return should be 0 if value is

’present

t = "Confirmation"

Err.Clear

On Error Resume Next

n = WSHShell.RegRead (p)

On Error Goto 0

errnum = Err.Number

if errnum <> 0 then

’Create the registry key value for DisableRegistryTools with value 0

WSHShell.RegWrite p, 0, itemtype

End If

’If the key is present, or was created, it is toggled

’Confirmations can be disabled by commenting out

’the two MyBox lines below

If n = 0 Then

n = 1

WSHShell.RegWrite p, n, itemtype

Mybox = MsgBox(jobfunc & disab & vbCR & mustboot, 4096, t)

ElseIf n = 1 then

n = 0

WSHShell.RegWrite p, n, itemtype

Mybox = MsgBox(jobfunc & enab & vbCR & mustboot, 4096, t)

End If

//

Sau đó kích đúp chuột lần lượt vào hai file trên để kích hoạt lại công cụ chỉnh sửa regedit.

Tiếp theo, tại khung bên trái cửa sổ Registry Editor, bạn tìm khoá

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows NT\CurrentVersion\Winlogon

và xoá mục “Shell”=”Explorer. Exe RVHOST.exe” trong khung bên trái.

Tìm đến khoá

HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Run

Xoá mục “Yahoo Messenger = RVHOST.exe”.

Tìm đến khoá

HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Explorer\

WorkgroupCrawler\Share=”[SHARED DRIVE]\New Folder.exe”

Tìm đến khoá

HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\System

Xoá mục “Disable Registry Tools” = “1”.

Tìm đến khoá

HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\\Explorer

Xoá mục “NofoderOption”.

Tìm đến khoá

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\Schedule

Xoá mục “AtTaskMaxHours”.

Tìm đến khoá

HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows\CurrentVersion

Xoá mục “Run”= “BkavFw”.

Tìm đến khoá

HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion

Xoá mục “Run”=”IEProtection”.

Đóng Registry lại.

Chúc bạn thành công.

(Theo Châu Phong/Dân Trí)

nttuan1 · #8 07-06-2007, 15:41

nhatquanglan là một tên chuyên thả virus tại Việt nam với tên virus theo BKAV nhận diện là CatchYMx và Kaspersky là Sohanat.x đang lây lan rất mạnh tại Vn.

Virus này tự động cập nhật liên tục qua trang web:
http://luutrudulieu.t35.com/
nên không diệt được bằng bkav hay kaspersky. Cách lây lan thì như các bạn đã biết (xem thêm thông tin từ bkav).

Các bạn có thể down tool này về để diệt:
http://rapidshare.com/files/35708631/tools.rar

Cách diệt như sau:

1. Down file tool trên về máy giải nén ra.
2. Chạy file rescueReg.exe và click Apply.
3. Nhấn tổ hợp phím Ctrl-Shift-Esc để vào Task Manager.
4. Tìm process SCVHOST End Task nó.
5. Sử dụng thêm Autorun.exe
http://download.sysinternals.com/Files/Autoruns.zip
để diệt.
6. Các bạn bổ sung thêm cách diệt dùm mình nhé.

Không hiểu sao tên nhatquanglan này lại chưa được C15 để ý tới nhỉ???

Thông tin về CatchYMO của BKAV:
* Tên malware: W32.CatchYMO.Worm
* Thuộc họ: W32.CatchYM.Worm
* Loại: Worm
* Ngày phát hiện mẫu: 22/05/2007
* Kích thước: 246 Kb
* Mức độ phá hoại: Trung bình

Nguy cơ:

* Làm giảm mức độ an ninh của hệ thống.
* Làm chậm máy tính.
* Gây khó chịu khi sử dụng Yahoo Messenger.

Hiện tượng:

* Sửa registry.
* Mất menu FolderOption.
* Không chạy được các chương trình TaskManager, Registry Editor, Bkav
* Gửi các thông điệp qua cửa sổ Yahoo messenger:
"E may, vao day coi co con nho nay ngon lam"
"Vao day nghe bai nay di ban"
"Biet tin gi chua, vao day coi di"
"Trang Web nay coi cung hay, vao coi thu di"
"Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau?"
"Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa"
"Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi"
"Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo... chi rieng minh toi"
"Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon"
Kèm theo đường link : http://nhatquanglan1.0catch.com

Cách thức lây nhiễm:

* Phát tán qua các công cụ chat Yahoo Messenger.
* Tự động lây nhiễm vào USB.
* Phát tán qua các tài nguyên chia sẻ mạng nội bộ.

Cách phòng tránh:

* Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat.
* Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa.
* Không nên mở các liên kết lạ nhận đựơc qua Yahoo Messenger.
* Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file.
* Không nên vào các trang web cung cấp các phần mềm *****, hack, các trang web đen, độc hại

Mô tả kỹ thuật:

* Ghi giá trị
“Shell”=”Explorer.exe scvhost.exe”
Vào key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Yahoo Messengger" = "%systemroot%\system32\SCVHOST.exe"
Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run
để virus được kích hoạt mỗi khi Windows khởi động
* Tạo một Task Scheduler mới để chạy Worm vào 9:00AM hàng ngày
* Ghi các giá trị
"DisableTaskMgr"
"DisableRegistryTools"
Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System để ngăn không cho người dùng sử dụng TaskManager và Registry Editor
""NofolderOptions""
Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer để ẩn menu FolderOption
* Cài Trojan W32.ServerXC vào máy
* Copy bản thân thành các files :
o %systemroot%\system32\scvhost.exe
o %systemroot%scvhost.exe
o %systemroot%\system32\blastclnnn.exe
o %systemroot%\blastclnnn.exe
o %systemroot%\system32\nhatquanglan15.exe
o %temp%\rinst.exe ( W32.PerfKeylog )
* Đóng các cửa sổ :
game_y.exe của game võ lâm truyền kì.
Bkav2006
System Configuration
Registry
Windows Task
* Xóa các giá trị :
"BkavFw" của key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"IEProtection" của key HKCU\Software\Microsoft\Windows\CurrentVersion\Run
* Kill process : cmd.exe
* Gửi các thông điệp qua cửa sổ Yahoo messenger kèm theo đường link : http://nhatquanglan1.0catch.com
* Download các file :
etting.doc
setting.ini
setting.xls
từ các link :
http://setting3.yeahost.com
http://setting3.9999mb.com
http://www.freewebs.com/setting3
Các file này có cập nhật các đường link download Virus.
* Ghi các file : autorun.inf; autorun.ini; New Folder.exe (Bản sao của virus) vào các ổ REMOVABLE và các thư mục share.
* Tìm tất cả các thư mục, tạo ra bản sao của virus có cùng tên với thư mục đó.

tin_truc22 · #9 07-06-2007, 16:04

Giải pháp tốt nhất chắc chắn sẽ không bao giờ bị loại virus này nữa đó là chuyển qua xài Linux. KUBUNTU rất tốt đó. Xài Windows mua chi cho mắc còn nếu mà đồ c.r.a.c.k thì miễn bàn gặp giám đốc nói ổng đang vi phạm pháp luật.

neversoninlaw · #10 14-06-2007, 12:23

Không hiểu sao mình không tạo được thread mới??! Nhờ Mod xem lại giúp mình.

================================================== =============
Hỏi cách diệt "ywc_update2.exe" ?

Một đồng nghiệp trong cty mình bị "dính víu Y!M"
http://www.ddth.com/showthread.php?t=123149

thế là cả cty bị virus, diệt đủ cách không được nên phải cài lại máy.

Nhưng máy cài lại vẫn bị thông báo :

về con "ywc_update2.exe". Xin mọi người hướng dẫn cách diệt nó. Thanks ! (không biết phải virus không, nhưng thấy Kaspersky báo "hidden íntall" là nguy rồi :-( ).

P/S : thao tác đã làm
1. Quét virus trong Safe Mode với bkav Home & Kas.
2. Find & delete trong Registry Editor.
3. Find & delete trong C:\Documents and Settings\abc\Local Settings\Temp\ywc_update2.exe.

Khởi động lại máy thì vẫn hiện lên thông báo này !

nttuan1 · #11 20-07-2007, 15:18

CatchYM đã có tới bản S, các bạn xem thông tin tại BKAV:
http://www.bkav.com.vn/thong_tin_vir...ead=3&cid=1032

Down BKAV về diệt:
http://www.bkav.com.vn/home/Download/BHome.exe