VicoTas
Câu hỏi
NgocUk Ngoc
22/04/2013 18:29

Cho mình hỏi cách diệt Trojan-Dropper.Win32.Stuxnet hay còn được gọi là virus “Shortcut” ?



Danh sách câu trả lời (1)
Đức Cảnh duccanh 22/04/2013 18:29

 1. Tên gọi của các hãng :

Kaspersky: Trojan-Dropper.Win32.Stuxnet
Microsoft: Win32/CplLnk
Symantec: W32.Stuxnet!lnk
BitDefender: Trojan.Agent.AQCL

2. Mô tả
:

Vào ngày 10/7/2010, một lỗ hổng nghiêm trọng trong Windows Shell đã được phát hiện. Hiện tại, mã độc Stuxnet đang khai thác triệt để lỗ hổng này. Thời điểm hiện tại, Microsoft chỉ đưa ra công cụ phòng vệ tạm thời mà chưa đưa ra được bản vá lỗi chính thức

Kaspersky nhận dạng các dòng virus khai thác lỗ hổng này là dòng Trojan-Dropper.Win32.Stuxnet (có nhiều biến thể).Nếu trong USB bạn có chứa file .lnk (định dạng shortcut) đã được hacker nhúng mã độc Stuxnet. Khi bạn click mở USB thì file mã độc sẽ được thực thi ngay lập tức. Điều rất nguy hiểm là virus này có thể tự động kích hoạt ngay cả khi người dùng đã vô hiệu hóa tính năng AutoPlay và AutoRun.

Lỗ hổng lần này được tin tặc khai thác để thực thi mã độc với mục đích chiếm quyền điều khiển hệ thống của người dùng nhằm mục đích cài đặt các chương trình độc hại khác, lấy cắp, thay đổi hoặc xóa dữ liệu người dùng.



Sau khi lây nhiễm vào máy tính, virus tạo ra các shortcut (có dung lượng 1k) cho từng thư mục (hình dưới)

Ngoài biểu hiện trên, virus tiến hành một số cài đặt quan trọng sau vào máy tính nạn nhân:

- Tập tin “database.mdb” được tạo trong thư mục My Document
- Các tập tin “Autorun.inf”, “Thumb.db”, “Microsoft.lnk” được tạo trong từng ổ đĩa và thư mục
- Tập tin “WScrip.exe” được tạo trong thư mục system32 và system32dllcache
- Hệ thống Registry bị vô hiệu quá

Virus tạo giá trị quan trọng sau trong Registry để cho tiến trình “Wscript.exe” chạy mỗi khi Windows khởi động
[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurr entversion un]
“WinUpdate”=”Wscript.exe /e:VBScript ”C:WINDOWS:Microsoft Office Update for Windows XP.sys”"
[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurre ntversion un]
“Explorer”=”Wscript.exe //e:VBScript ”C:Documents and SettingsAdministratorMy Documentsdatabase.mdb”"

3. Cách diệt

Diệt bằng tay:


-Vô hiệu hóa tính năng “System Restore” của Windows
-Dùng Task Manager tắt tiến trình “wscript.exe” đang chạy trên máy tính
-Xóa hoặc đổi tên tập tin “database.mdb” và “WScrip.exe”
-Vào Registry, xóa 2 giá trị registry quan trọng virus tạo ra (xem ở trên)
-Xóa tất cả tập tin có đuôi .lnk có kích cỡ 1k (sử dụng tính năng search nâng cao của Windows)
-Xóa tất cả các tập tin Autorun.inf, Thumb.db, Microsoft.lnk (sử dụng tính năng search nâng cao của Windows)

Dùng phần mềm: bạn có thể dùng 1 trong 2 cách sau:

  1. Tải vệ công cụ quét virus miễn phí của Kaspersky là AVP Tool để quét qua toàn bộ máy tínhtại: http://download.nts.vn/support/Support-Tools/AVPTool/ (đã cập nhật tất cả biến thể của dòng Trojan-Dropper.Win32.Stuxnet)

 

  1. Cài chương trình Kaspersky vào máy tính (tải về dùng thử 1 tháng tại: www.kaspersky.vn ) cho chương trình “Cập nhật” > sau đó thực hiện “Quét toàn bộ máy tính”


Công cụ phòng vệ tạm thời của Microsoft: Bạn thao khảo tại: http://support.microsoft.com/kb/2286198#FixItForMe



4. Lưu ý

Để tránh làm nạn nhân của virus này, bạn nên cho chương trình antivirus cập nhật thường xuyên, đồng thời nên quét USB trước khi truy cập vào nó. Ngoài ra, bạn nên theo dõi và cập nhật ngay khi Microsoft đưa ra bản vá lỗi chính thức cho lỗ hổng này (sẽ có thông tin trên báo chí)

Trả lời câu hỏi
Tải lại mã
Câu hỏi lĩnh vực Bảo mật, virus
Manh Linh Diệt virus AuToRUn.iNf va wmimgmt triệt để ?

Đăng lúc: 18:29 - 22/04/2013 trong Bảo mật, virus

MrTien Nhiễm virus Sality và Type_Boot ?

Đăng lúc: 18:29 - 22/04/2013 trong Bảo mật, virus

Hoài Nam (Nam Tước) Hỏi cách diệt Win32/Sality.NAU ?

Đăng lúc: 18:29 - 22/04/2013 trong Bảo mật, virus

Lê Văn Tùng Diệt giúp em con huer.win32.autorun.b ?

Đăng lúc: 18:28 - 22/04/2013 trong Bảo mật, virus

Đức Cảnh Cho hỏi về lây lan của virus ?

Đăng lúc: 18:28 - 22/04/2013 trong Bảo mật, virus

Đức Vân Hỏi về virus logoff ?

Đăng lúc: 18:28 - 22/04/2013 trong Bảo mật, virus

Ngô Minh Tùng Giúp mình diệt con trojan horse với!?

Đăng lúc: 18:28 - 22/04/2013 trong Bảo mật, virus

nophoto Diệt tracking cookies yieldmanager cookie, atlas dmt cookie, doubleclick cookie ?

Đăng lúc: 18:28 - 22/04/2013 trong Bảo mật, virus

Lê Văn Tùng Hỏi về virus chạy ẩn ko co thể hiện ở task manager or processe explorer ?

Đăng lúc: 18:28 - 22/04/2013 trong Bảo mật, virus

Hoài Nam (Nam Tước) Máy tính bị nhiễm virus win32.sality.q ?

Đăng lúc: 18:28 - 22/04/2013 trong Bảo mật, virus

Phương File fsb.exe có phải virus không ?

Đăng lúc: 18:28 - 22/04/2013 trong Bảo mật, virus

vietnamconnection Download 12 phần mềm diệt virus mạnh nhất thế giới -link mediafire

Đăng lúc: 18:28 - 22/04/2013 trong Bảo mật, virus

Củ Chuối Các bác ơi phần mềm diệt virut miễn phí nào tốt nhất?Xin được tư vấn !

Đăng lúc: 18:28 - 22/04/2013 trong Bảo mật, virus

Phương Nhiễm virus win32.sality.q ?

Đăng lúc: 18:28 - 22/04/2013 trong Bảo mật, virus

nophoto Xài nhiều chương trình antivirus có hại cho máy không??

Đăng lúc: 18:28 - 22/04/2013 trong Bảo mật, virus

Thu Trang Ai rành về PC xin giúp em với?

Đăng lúc: 18:28 - 22/04/2013 trong Bảo mật, virus

Hin Giúp mình diệt virus Worm/Agent 14382?

Đăng lúc: 18:28 - 22/04/2013 trong Bảo mật, virus

lighting Hướng dẫn diệt Virus Win32/Pacex?

Đăng lúc: 18:28 - 22/04/2013 trong Bảo mật, virus

Manh Linh Máy bị nhiễm virut autorun ??????

Đăng lúc: 18:27 - 22/04/2013 trong Bảo mật, virus

Vinh Hỏi về phần mềm Norton Power Eraser - Diệt nhanh đc những loại virus cứng đầu?

Đăng lúc: 18:27 - 22/04/2013 trong Bảo mật, virus

Rao vặt Siêu Vip