Cách diệt sâu Infostealer.Snifula.C

Phát hiện: May 9, 2007

Cập nhật: May 10, 2007 11:28:54 AM

Kiểu: Infostealer.Rhaiyu [Symantec]

Có kick thươc khoảng: 27,089 bytes

Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau

%Windir%\9129837.exe

%Windir%\new_drv.sys

Khi nhiễm Trojan nó sẽ khởi   tạo vào regedit mỗi khi nó sẽ chạy khi   Windows khởi động

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Windows\Run\"ttool" = "%Windir%\9129837.exe"

Khi nhiễm Trojan nó sẽ khởi   tạo vào regedit khóa sau

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NEW_DRV

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\new_drv

Tiếp theo nó sẽ làm nhiệm vụ ăn cắp mật khẩu và thông tin của tài khoản

·                                  Outlook Express

·                                  Outlook POP3

·                                  AutoComplete passwords in Internet Explorer

·                                  Password-protected sites in Internet Explorer

·                                  MSN Explorer

Nó cũng lấy thông tin thông qua mạng với giao thức

·                                  HTTP

·                                  FTP

·                                  POP3

·                                  IMAP

·                                  ICQ

Và những thông tin sau

·                                  Web form submission from Internet Explorer

·                                  Certificate information

·                                  Keystrokes

The Trojan sẽ gửi thông tin đến Website đã đựoc định sẵn

The Trojan xử dụng phương thức rootkit để che dấu những file và nhưng thông tin liên quan đến nó

N hững khuyến cáo :

- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của hệ thống :

Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FPT server, telnet, và web server.

- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.

- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FPT, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.

- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.

- Những email của máy chủ nhiễm virut, để ngăn chặn   bỏ email mà chứa đựng những files có sử dụng đuôi: ( .vbs, .bat, .exe, .pif and .scr).

Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.

- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet

Cách diệt :

1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)

2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất

Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0

Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0

3. Chạy và quét toàn bộ hệ thống.

a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.

b. Chạy một hệ thống đầy đủ và quét

1.                               Click Start > Run .

2.                               Type regedit

3.                   Click OK.

Tìm đến khóa sau và chỉnh sửa

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Windows\Run\"ttool" = "%Windir%\9129837.exe"

4.         Tìm đến khóa sau và chỉnh sửa

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NEW_DRV

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\new_drv

5.                   Exit the Registry Editor.