Em hỏi cách diệt tận gốc virus Safesys, virus xuyên thủng deefreeze. Ai biết chỉ cho em với nhé! Em tặng 5* nhiệt tình

Báo cáo đã làm và chưa thành công ạ. Ai có cách khác nữa không ạ

Hiện tại trên mạng đang xuất hiện 1 con virus mới với sức công phá cực mạnh có thể đánh thủng cả deepfrezze. Máy mình đã không gặp may vì dính phải con này. Xin post lên 1 số thông tin về nó để các bạn có thể tránh:

Tên virus : SafeSys
Loại : autorun, lây file
Mức độ : nguy hiểm, ai không có kinh nghiệm xin chớ vọc
Khuyến cáo : khi sử dụng máy ảo để chạy thử virus phải tắt hết những đường share với máy thật -> ko khéo máy thật dính thì lại càng nguy !
Thông tin thêm : virus có khả năng qua mặt deepfreeze nhưng phải cần quyền admin, quyền limit thì virus này cũng chịu thua.

--------------------------

Quá trình tấn công của virus :
- Tạo ra file "Program Files\sNiu.dll". Sau đó dùng Rundll32 để kích hoạt file này với Entry Point là MyDllEntry. Mình cũng chưa rõ tác dụng của dll này để làm gì.
- Tạo ra một driver với tên ngẫu nhiên và phần mở rộng là ".tmp", nằm trong thư mục "DOCUMENTS AND SETTINGS\\LOCAL SETTINGS\Temp". Driver này được đăng ký với tên là DogKiller. Đây là driver chủ chốt của virus. Virus sử dụng driver này để ghi file trực tiếp lên ổ cứng và qua mặt DeepFreeze.
- Tạo ra một driver với tên ngẫu nhiên, phần mở rộng là ".fon" và copy vào thư mục "windows\Fonts". Driver này có mục đích hỗ trợ driver chính.
- Từ mức driver, virus tạo file autorun.inf và copy chính nó vào các ổ đĩa. Sau đó nó copy thêm một bản nữa vào "Program Files\Common Files". Đây là file mà virus đăng ký chạy cùng win với khoá "HKLM\Software\Microsoft\Windows\CurrentVersio n\Ru n"
- Cũng từ driver, virus sửa lại nội dung của file "Windows\System\spoolsv.exe". Đây là dịch vụ quản lý share máy in của win. Khi đã kiểm soát được dịch vụ này, virus có thể lây lan rất nhanh qua mạng LAN, bởi vì đa số mạng LAN đều xài máy in share. Ngoài ra, virus còn lợi dụng spoolsv để gọi lại nó trong trường hợp bị kill.
- Đăng ký một lô các khoá "Image Execution Options" để chặn các av nổi tiếng và các tool như IceSword, Autoruns, ....

Quá trình kích hoạt virus :
- Virus được kích hoạt qua 2 đường : khởi động file "SafeSys.exe" cùng với win và gọi bởi dịch vụ dỏm "spoolsv.exe". Tham số truyền vào khi virus khởi động cũng rất khả nghi ""c:\program files\common files\safesys.exe" -SSDT". Mình cũng chưa phân tích kỹ xem virus cần tham số này để làm gì.
- Khi đã khởi động xong, virus sẽ gọi tiến trình "windows\system32\svchost.exe" của win và inject code vào tiến trình này. Tiến trình này giờ đã trở thành virus và nó sẽ gọi thêm một tiến trình giống như vậy để bảo vệ lẫn nhau. Khi xong việc, SafeSys sẽ tự kết thúc. Phần việc còn lại là của svchost.
- Tiến trình svchost bị nhúng code sẽ thực hiện các công việc phá hoại và lây lan của virus. Ngoài ra nó còn liên tục kiểm tra ( khoảng sau 5 giây ) xem có tồn tại các tool như Icesword, autoruns,... hay ko, nếu có nó sẽ kill ngay. Mèo cũng chưa phân tích xem nó kill IS như thế nào.

Mẩu virus do bạn cafe.kfc cung cấp. Bạn nào muốn thì cứ liên hệ bạn ấy. Mình xin nhắc lại : virus này rất nguy hiểm và dai dẳng !

Nội dung file autorun của nó đây

Trích dẫn:

[AutoRun]
Open=SafeSys.exe
Shell\Open=´ò¿ª(&O)
Shell\Open\Command=SafeSys.exe
Shell\Open\Default=1
Shell\Explore=×ÊÔ´¹ÜÀíÆ÷(&X)
Shell\Explore\Command=SafeSys.exe
Flo tóm được em này cùng với mấy chú virus sau đây >>

Mới đây, đã có 1 con Virus cực mạnh xuất hiện, gây khốn đốn cho nhiều anh em phòng Net - phải thức khuya để cài đi cài lại, tắt reset router... Hôm nay mình xin nêu những đặc điểm chính của con virus này và cách diệt nó (Safesys.exe)

Đặc điểm :
- Đường lây nhiễm : Qua USB hoặc các trang web độc hại.
- Khi được kích hoạt sẽ ghi một đoạn mã độc vào BootSector của ổ cứng (điều này làm nhiều anh em lầm tưởng là máy tính của mình bị virus xuyên thủng băng). Nói dễ hiểu là nếu máy của bạn đóng băng, bạn vẫn sẽ bị nhiễm con này nếu kích hoạt nó.
- Đoạn mã độc ghi vào BootSector trên có khả năng gọi kết nối internet ngoài Dos và duy trì kết nối đó. (Đây chính là đường lây nhiễm LAN và Online). Nhưng các bạn yên tâm, nó không phải ăn Router (modem) của bạn, nên bạn ko cần reset lại router làm gì, mà chỉ cần tắt router đi thôi là OK rồi !
- Một đoạn REG được ghi vào HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run --> để có thể chạy vào lúc khởi động Windows.
- Một file Safesys.exe được lưu trong C:\Program Files\Common Files để có thể lây nhiễm qua USB và nằm chờ thời trong ấy để có thể hoàn hành trở lại một lần nữa.

Cách diệt :
1. Tắt router.
2. Boot bằng đĩa Hiren --> Vào Dos --> đánh lệnh fdisk/mbr (lệnh này để làm lại bootsector cho ổ cứng) ==> nếu máy tính của bạn đang đóng băng, chỉ cần chạy tới đây là OK rồi, khởi động lại máy và vào windows bình thường.
3. Khởi động lại máy, vào Safemod của Windows --> vào Regedit xoá keyname Safesys tại : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
4. Dùng trình tìm kiếm của windows để search file (tất cả các file, kể cả file ẩn) (Lưu ý bạn nên set folder option của mình là hiện tất cả các file, kể cả phần mở rộng và tập tin hệ thống). Tìm kiếm lần lượt và xoá sạch đi những file Aurorun.inf, Safesys.exe trên tất cả các ổ đĩa.
5. Vào C:\Program Files\Common Files xoá file Safesys.exe còn lại

Vậy là sạch rồi đó, bạn đã diệt đựoc virus Safesys.exe này.

Chú ý : Virus Safesys.exe này khi nhiễm vào máy tính, đã truy vấn gọi nhiều virus khác trên mạng đến cùng phá nên mình không biết có thể diệt tận gốc rễ của nó chưa. Chúng ta nên chờ bác Quảng ra tay, chờ Bkis tìm hiểu thấu đáo và đưa ra cách diệt.

Còn đây là cách chặn nó

Các bác tránh nó cho các máy như sau ( không cần Antivirus )

1. Start -- > Run --> gõ vào Gpedit.msc.
2. Computer Configuration --->Windows Settings -->Click chuột phải nhánh Software Restriction Policies , chọn Create New Policies
Nó sẽ xổ ra 2 menu con, trong đó có menu Additional Rules
3. Click chuột phải vào Additional Rules, chọn New Hash Rule
ở ô File hash bạn copy đoạn này vô: c3d5b136c6997a23669a79fccc2c185a:49094:32771

ở ô File infomation Copy đoạn này vô:
SafeSys.exe
48 KB
3/3/2009 6:58:08 PM

ở ô Security level để mặc định là : Disallowed

Bạn ơi! Mình làm rồi mà không được nó mất cái file safesys có mất nhưng sau đó nó lại sản sinh tiếp Có ai có cách khác không ạ

Nhận xét một câu thì: đây là một virus làm mất ăn mất ngủ cho nhiều anh em kỹ thuật và chủ tiệm Net ! Nỗi kinh hoàng vì tưởng máy tính của mình bị virus ăn thủng băng !

Các bác tránh nó cho các máy như sau ( không cần Antivirus )

1. Start -- > Run --> gõ vào Gpedit.msc.
2. Computer Configuration --->Windows Settings -->Click chuột phải nhánh Software Restriction Policies , chọn Create New Policies
Nó sẽ xổ ra 2 menu con, trong đó có menu Additional Rules
3. Click chuột phải vào Additional Rules, chọn New Hash Rule
ở ô File hash bạn copy đoạn này vô: c3d5b136c6997a23669a79fccc2c185a:49094:32771

ở ô File infomation Copy đoạn này vô:
SafeSys.exe
48 KB
3/3/2009 6:58:08 PM

ở ô Security level để mặc định là : Disallowed

Xong, bấm OK là đã chặn đc con virus này trên máy bạn rồi đó ! Bạn thử ra ngoài kiếm cái USB nào bấm thử vào con Virus đó xem, nó sẽ ko chạy đc đâu !
Cách này áp dụng cho nhiều file khác, nếu bạn muốn cấm file đó chạy trên máy của mình
( bài này mình viết ở 2 diễn đàn TPAcontrol và NhatNghe )

Con virus này rất dai dẳng, khó remove nó, tốt nhất là bảo vệ máy mình trước, nếu không muốn Fdisk lại cả HDD
PS: con này rất nguy hiểm, ko phòng sẽ phải làm lại cả phòng máy !