Cẩn trọng với worm Badtrans.B

Đăng Khoa-VASC Theo IDG News

Hôm qua, hàng loạt công ty phần mềm diệt virus đã đưa ra lời cảnh báo về loại worm BadTrans.B, đang lây lan mạnh mẽ qua e-mail. Đây là một loại worm khá đặc biệt, có thể tự động kích hoạt ngay khi người nhận mở e-mail.

BadTrans.B là biến thể của loại worm Badtrans xuất hiện hồi cuối tháng Tư. Badtrans.B bắt đầu cơn bùng phát vào ngày thứ Sáu tuần trước. Vào ngày thứ Bảy, McAfee.com đã chặn được hàng trăm e-mail chứa worm Badtrans.B. Theo các công ty bảo mật máy tính, tốc độ lây nhiễm của worm trong ngày Chủ nhật là từ 3 đến 5 máy một phút. Badtrans.B đã chiếm vị trí số 1 của SirCam trong bảng xếp hạng 10 virus nguy hiểm của MessageLabs.

Badtrans.B lây lan qua e-mail. Điều nguy hiểm là người nhận không cần mở file đính kèm e-mail mà vẫn có thể bị nhiễm worm. Đó là vì Badtrans.B đã lợi dụng một điểm yếu trong chương trình Microsoft Outlook và Outlook Express để tự động kích hoạt file đính kèm khi người nhận mở e-mail.

File đính kèm e-mail chứa Badtrans thường có hai phần mở rộng: phần mở rộng thứ nhất thường có dạng .doc hoặc .zip hoặc .mp3. Phần mở rộng thứ hai thường có dạng .scr hoặc .pif . (Ví dụ: Me_nude.zip.scr hoặc README.MP3.pif hoặc Stuff.zip.pif). Phần nội dung thư để trống.

Khi lây nhiễm vào một máy tính, Badtrans sẽ tự sao chép vào thư mục C:\Windows\System dưới dạng một file có tên gọi "kernel32.exe" và tạo một đầu mục trong registry: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\RunOnce\Kernel32=kernel32.exe để worm có thể được kích hoạt mỗi khi người dùng khởi động lại máy tính. Badtrans.B cũng sẽ cài đặt một chương trình "cửa sau" cho phép hacker đột nhập vào máy tính. Sau đó, worm sẽ chạy một chương trình ghi lại các thao tác trên bàn phím của người sử dụng nhằm đánh cắp mật khẩu, số thẻ tín dụng và các thông tin cá nhân khác.

Bạn hãy cập nhật phần mềm diệt virus trên máy tính của bạn và xóa khóa registry liệt kê ở trên để tiêu diệt worm Badtrans

Hướng dẫn tự diệt Virus

Lê Hoàn

Nhận diện Virus Badtrans.a

Khi chạy, nó sẽ copy vào thư mục WINDOWS file INETD.EXE, chèn dòng lịnh chạy file nầy vào WIN.INI khi khởi động Windows. Các file KERN32.EXE (là 1 backdoor trojan), và HKSDLL.DLL (dò tìm password) sẽ được tạo trong thư mục WINDOWS/SYSTEM và chèn thêm dòng lịnh vào registry để Windows nạp các file nầy khi khởi động.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\kernel32=kern32.exe

Trong WinNT/2K:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\RUN=%WinDir%\INETD.EXE

Virus sẽ lan truyền bằng cách gởi thư cho danh sách địa chỉ Email mà nó tìm thấy kèm theo file virus được nguỵ trang dưới các tên có 2 phần tên mử rộng như: hamster.ZIP.scr; Humor.TXT.pif; New_Napster_Site.DOC.scr; news_doc.scr; Me_nude.AVI.pif; Pics.ZIP.scr; README.TXT.pif; s3msong.MP3.pif; searchURL.scr...

Nhận diện Virus Badtrans.b

Tạo trong thư mục SYSTEM file KDLL.DLL. Đây là trojan đánh cắp các thông tin của người sử dụng như: số credit card, bank account và passwords.

Tạo trong thư mục WINDOWS/SYSTEM file KERNEL32.EXE và chèn lịnh nạp file nầy mỗi khi Windows khởi động:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\kernel32=kernel32.exe

Tháo gở Virus

* WINDOWS 95/98/ME

- Khởi động Windows ở chế độ Safe Mode. Chọn START/RUN, gỏ lịnh %WINDIR% và bấm ENTER.
Xoá file INETD.EXE

- Chọn START/RUN, gỏ lịnh %WINDIR%\SYSTEM và bấm ENTER.
Xoá các file:
KERN32.EXE
KERNEL32.EXE
KDLL.DLL
HKSDLL.DLL

- Chọn START/RUN, gỏ REGEDIT, bấm ENTER
Chọn HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUNONCE/KERNEL32 và bấm DELETE để xoá dòng lịnh nầy.

* WINDOWS NT/2000/XP

- Bấm CTRL-ALT-DEL, chọn TASK MANAGER/PROCESS. Chọn KERNEL32.EXE , rồi chọn END PROCESS

- Chọn START/RUN, gỏ %WINDIR%, bấm ENTER
Xoá file INETD.EXE

- Chọn START/RUN, gỏ %WINDIR%\SYSTEM32, bấm ENTER
Xoá các file
KERN32.EXE
KERNEL32.EXE
KDLL.DLL
HKSDLL.DLL

- Chọn START/RUN, gỏ REGEDIT, bấm ENTER
Chọn HKEY_CURRENT_USER/SOFTWARE/MICROSOFT/WINDOWS NT/WINDOWS/INETD.EXE và xoá dòng lịnh nầy.