Chi tiết về Virus trong các lần cập nhật của D2

* Phiên bản D2-318 (03/02/2001)

Cập nhật virus macro Dream.B.W97 lây vào file DOC. Virus này xoá sạch đĩa cứng vào ngày 17 hàng tháng bằng cách đưa thêm các dòng:

Deltree /y F:\
Deltree /y E:\
Deltree /y D:\
Deltree /y C:\
rem Create by Dream Blaster
(...)

trong file C:\Autoexec.Bat.

* Phiên bản D2-317 (31/01/2001)

1. Hybris.W32

2. Hybirs.DLL

3. Spiral.W32

4. MTX.DLL@M

5. MTX.svr.W32

Các virus từ 1 đến 3 thuộc họ Spiral Worm Internet (tạo xoắn ốc trên màn hình). Chúng lây vào máy theo 1 bức e-mail có nội dung như sau:

From: Hahaha [hahaha@sexyfun.net]
Subject: Snowhite and the Seven Dwarfs - The REAL story!
Body: Today, Snowhite was turning 18. The 7 Dwarfs always where very educated and polite with Snowhite. When they go out work at mornign, they promissed a *huge* surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter...
Attachment: executable file

Các virus 4, 5 thuộc họ virus MATRiX, có nguồn gốc từ Ðức, là sự kết hợp các kỹ thuật Virus+Worm+BackDoor. Khi thấy xuất hiện các fille

- IE_PACK.EXE
- MTX_.EXE
- WIN32.DLL
- WSOCK32.MTX

Trên C:\WINDOWS, bạn phải cảnh giác, có thể MATRiX đang lẫn quất đâu đó. Khi lây vào máy, file virus đính kèm sẽ mang một trong các tên sau đây:

- ALANIS_Screen_Saver.SCR
- ANTI_CIH.EXE
- AVP_Updates.EXE
- BILL_GATES_PIECE.JPG.pif
- BLINK_182.MP3.pif
- FEITICEIRA_NUA.JPG.pif
- FREE_xxx_sites.TXT.pif
- FUCKING_WITH_DOGS.SCR
- Geocities_Free_sites.TXT.pif
- HANSON.SCR
- I_am_sorry.DOC.pif
- I_wanna_see_YOU.TXT.pif
- INTERNET_SECURITY_FORUM.DOC.pif
- IS_LINUX_GOOD_ENOUGH!.TXT.pif
- JIMI_HMNDRIX.MP3.pif
- LOVE_LETTER_FOR_YOU.TXT.pif
- MATRiX_2_is_OUT.SCR
- MATRiX_Screen_Saver.SCR
- Me_nude.AVI.pif
- METALLICA_SONG.MP3.pif
- NEW_NAPSTER_site.TXT.pif
- NEW_playboy_Screen_saver.SCR
- Protect_your_credit.HTML.pif
- QI_TEST.EXE
- READER_DIGEST_LETTER.TXT.pif
- SEICHO-NO-IE.EXE
- Sorry_about_yesterday.DOC.pif
- TIAZINHA.JPG.pif
- WIN_$100_NOW.DOC.pif
- YOU_are_FAT!.TXT.pif
- zipped_files.EXE

Hai họ virus trên đều phá hủy file Wsock32.DLL và thay bằng Wsock32.DLL của chúng tạo ra. Ðể cứu file Windows Socket 32, D2-317 có trang bị chức năng phục hồi Wsock32.DLL từ bộ nguồn Windows Setup. Nếu máy bạn đã chép sẵn bộ nguồn cài đặt Windows trên đĩa cứng, D2 sẽ tự đi tìm cho bạn. Nếu bạn đã cài Windows từ đĩa CD-ROM, D2 sẽ nhắc nhở bạn đưa đĩa CD vào và tự phân tích. Sau đó, bạn chỉ cần khởi động Windows 98 lại là xong.

* Phiên bản D2-313 (14/01/2001):

Cap nhat them 2 virus: - Virus DUN.pws.c.W32, di ban cua DUN.pws.W32 da cap nhat vao cac phien ban D2 truoc. Virus nay tham nhap vao he thong duoi dang Trojan horse, an cap mat khau login cua user va gui den mot dia chi bi mat tren Internet.

- Virus Navitas.W32e, di ban cua Navitas.W32. Virus tham nhap vao he thong theo file attached e-mail co ten Emanuel.exe. Khi nhiem virus nay, mot bong hoa nho nho se xuat hien tren thanh tac vu va may tinh se khong the chay bat cu ung dung EXE nao, ke ca cac anti-virus ngoai nhu NAV, Mc.Afee, PC-ciline... (D2 chay tot, ke ca trong moi truong dang nhiem cua Navitas.W32e). Day la virus cuc ky nguy hiem., lam te liet toan bo he thong, dinh tre cong viec, lang phi thoi gian cua moi nguoi.

* Phiên bản D2-311:

Version 311 cập nhật thêm virus DUNpws.W32. Đây là loại virus thâm nhập vào hệ thống theo hình thức Trojan. Chúng sẽ ăn cắp password của máy gửi đến một địa chỉ bí mất của hacker trên internet. Khi máy tính bị nhiểm virus này, màn hình bổng nhiên xuất hiện một screensaver lạ, chính lúc này là lúc virus thay đổi Windows Registry Key để thực hiện m­u đồ đen tối của nó.

* Phiên bản D2-310:

Version 310 cập nhật các virus  RingEXE.W32, RingVXD.W32 và SKA.W32
Virus RingEXE.W32 là viral engine sử dụng RingVXD.W32 đã đư975c cập nhật vào phiên bản D2-309. Virus này thâm nhập vào máy của người sử dụng dưới hình thức một e-mail kèm file attach.

Sau đó virus sẽ tiếp tục gửi spam này tới các địa chỉ có trong Address book trên máy bị nhiễm. Virus có thể gây nghẽn đường truyền, lãng phí tiền truy cập Internet của các user.

* Phiên bản D2-307a:

Version 307a cải tiến thủ tục dò tìm virus Orifice.W32 Cập nhật virus:  B-virus Bleah.A,  Navidad.W32 và Siva.BMT. Virus Siva sẽ format đĩa cứng trong những ngày 25-12 đến 31-12 và ngày 14-2 hàng năm.

Version 307, trong số các virus mới cập nhật có ProLin@MM.W32 xâm nhập váo máy với cái tên Creative.Exe. Nó tự sao chép bản thân mình tới sổ địa chỉ Address Book của máy bị nhiễm. Virus này xóa sạch ổ cứng vào một thời điểm bất kỳ nào đó. Version 307 cũng cập nhật thêm 3 virus : B-virus Bleah.A,  Navidad.W32 và Siva.BMT. Virus Siva sẽ format đĩa cứng trong những ngày 25-12 đến 31-12 và ngày 14-2 hàng năm.

* Phiên bản D2-305:

Version 305 cập nhật thêm các virus B-virus Bleah.A, Navidad.W32 và Siva.BMT. Riêng virus Siva sẽ format đĩa cứng vào  những ngày từ 25-12 den 31-12 và ngày 4-2 hàng năm. Ðặc biệt, ở version này, D-2 đã thay đổi logo trông "hàng hiệu" hơn với sự quảng cáo cho nhiều nhà tài trợ. Xin chúc mừng anh Nhật Quang. Sự sống "khỏe như lực sĩ" dài dài của D2 là một niềm vui và tự hào cho giới tin học VI6eït Nam. Bạn chú ý là trong thư mục chạy D2 cần phải có file LHARC.EXE. Ngoài ra, cũng giống nhu BKAV 345, D2-Plus 305 cũng hơi bị nhạy cái chuyện phát hiên macro. Khi gặp file có macro, nó hỏi bạn có "giải thể" (disable) macro không. Coi chừng nó xóa các macro cần thiết trong Word.

* Phiên bản D2-305:

Version 302 cập nhật thêm :virus After 5h.X97, AnomOke.W97, Bablas.W97, Dropper A.W32, Dropper B.W32, DUN pws.DLL, Half-x.W97, Half-x.X97, JonMMX.W97, Orifice.DLL, Stupid.W32, Vugarer.W32. Ðặc biệt, ở version này, D-2 đã thay đổi logo trông "hàng hiệu" hơn với sự quảng cáo cho nhà tài trợ lả công ty IT Vietnam.
Version 290 cập nhật thêm : virus Valentine.W97 (nhiễm vào các file DOC) và Dalat.C (nhiễm vào các file EXE, COM).

* Phiên bản D2-288:

Version 288 cập nhật thêm : virus 1274 phá hoại các file *.exe.
Version 287 cập nhật thêm : Cập nhật virus Pretty.C.W32 và virus Kak.AE.Worm

Virus Kak.AE.Worm là loại virus có cách lây không giống các loại virus đã biết trước đây. Virus này lây vào hệ thống dưới dạng ứng dụng HTML Application, nhiễm vào registry của hệ thống, thay đổi Signature của người sử dụng. tự sao chép đến các đỉa chỉ mà nó tóm được trên đường lan truyền. Kak đưa ra thông báo "Driver Memory error" khi Windows 98 khởi động. D2-287 có khả năng tự phục hồi Registry của Windows 98, loại bỏ Kak.AE.Worm ra khỏi hệ thống.

* Phiên bản D2-285:

Version 285 cập nhật thêm:
Pretty.B.W32: phiên bản mới của Pretty.A.W32
Pretty.G.W32: các virus họ Pretty (kể cả các phiên bản Pretty.?.W32 se ra đời trong tương lai, D2 cũng có thể phát hiện và diệt chúng)
Grub: B-virus tấn công vào Master boot đĩa cứng và Boot sector đĩa mềm. Grub không cho máy sạch đọc đĩa mềm đã bị nó lây nhiễm.
Unashamed.B: B-virus, phiên bản mới của Unashamed.

* Phiên bản D2-278:

Version 278 cập nhật thêm virus DHTS.90 lây vào file EXE.

* Phiên bản D2-277:

Version 277 cập nhật thêm virus Groovie.W97 và Machiko.W97. Ðây là các virus macro lây trên file DOC của Microsoft Word. Chúng được các phiên bản D2 trước đây phát hiện và được người sử dụng D2 gửi về cho tác giả D2 trong file cách ly DOCBACK.LZH. Version 277 còn diệt virus Padania.W32,  một F-Virus lây lan rất nhanh trên các Windows 32-bit. Nếu chạy D2 trong Windows 9x mà phát hiện có virus này, bạn hãy lập tức thoát về MS-DOS thật để dùng D2 mà khử nó. Trong trường hợp vẫn không diệt được Padania.W32, bạn hãy gửi mẫu nó về cho tác giả D2 theo địa chỉ  tmnquang@ctu.edu.vn

* Phiên bản D2-274:

Version 274 cập nhật thêm virus Eddy.

* Phiên bản D2-273:

Version 273 cập nhật thêm virus Kuàng.W32 và Weird.W32 lây cực kỳ nhanh vào các file EXE 32-bit.

* Phiên bản D2-271:

Version 271 diệt thêm hai con virus ngoại : macro Shankar.W97 và trojan Headless. Riêng Headless rất nguy hiểm, sẽ format toàn bộ đĩa cứng của máy bị nhiễm.  Tác giả D2 đang nghiên cứu phương pháp nhận dạng chung cho các  virus 32 bits trong môi trường Windows 9x

* Phiên bản D2-269:

Phiên bản 269 khắc phục lỗi của D2 trên một vài hệ thống sử dụng mainboard Intel Pentium 2 và Pentium 3. Xin chú ý : Khi máy bị nhiễm virus Fix2001, chạy D2 trong Windows có thể xuất hiện thông báo "Nonspecific Error!" Bạn nên shutdown về mode MS-DOS thật rồi hãy chạy D2.

* Phiên bản D2-263:

D2-263 đã cập nhật Trojan horse BackDoor.W32.  Trước đó là virus Tristate.W97 và Tristate.X97 lây trên Word và Excel.  Virus này được D2-25x phát hiện ở Hà Nội, thuộc loại virus ngoại., SCAN gọi là W97M/Tristate.gen và X97M/Tristate.gen. Các virus cập nhật trước là virus Pretty Park, và virus BWME. Ðây là một F-virus ngoại có sử dụng kỹ thuật mã hóa gây nhiễu, chống theo dõi, lây vào EXE, COM. Khi virus thường trú sẽ làm Windows95 rối loạn, một số ứng dụng sẽ bị treo hoàn toàn. Nói chung, đây là một loại virus phức tạp và khá nguy hiểm, vừa được phát hiện ở VN.  Kể từ version 259, D2 cũng phân biệt được các macro hợp lệ của Microsoft trong các file DOT trong bộ Microsoft Office.

PcLeHoan 1996 - 2002
Mirror : http://www.pclehoan.com
Mirror : http://www.lehoanpc.net
Mirror : http://www.ktlehoan.com