(VietNamNet) - Chiều 16/8, Trung tâm An Ninh Mạng Bkis đã nhận được một lượng lớn các email có tiêu đề "photos" và file đính kèm photos_arc.exe. Mỗi phút, có khoảng 17-20 email từ các nơi gửi về để thông báo loại virus này. Sau hơn 2 giờ, Bkis đã hoàn thành giải pháp xử lý virus W32.MyDoom.S và cập nhật khả năng "đề kháng" vào phiên bản BKAV 533.
 |
| Giám đốc Bkis Nguyễn Tử Quảng: Mydoom.S sẽ chỉ lây lan rộng trong vòng hai ngày nữa! (Ảnh: Bình Minh) |
Cũng trong chiều hôm qua, các thành viên khác của APCERT - Hiệp hội Cứu hộ Các Sự cố Máy tính Khẩn cấp Khu vực châu Á Thái Bình dương - cũng đã thông báo với Bkis về virus W32.MyDoom.S đang lây lan tấn công máy tính ở các nước châu Á.
Mức độ lây nhiễm trung bình khá
 |
Anh Nguyễn Tử Quảng - giám đốc Trung tâm Bkis, cho VietNamNet biết: "Tại Việt Nam, virus Mydoom.s đã bùng phát và lây lan khá nhanh trong buổi chiều hôm qua. Rất may lúc đó đã là cuối ngày nên tốc độ lây lan có phần được hạn chế. Trong đêm hôm qua, có thể nhiều người đã được thông tin kịp thời từ BKAV và các phương tiện thông tin trên mạng khác và đề phòng. Vì vậy, từ sáng hôm nay (17/8), mức độ phát tán của Mydoom.s tại Việt Nam đã giảm đáng kể. Từ sáng tới giờ (15h30 chiều), chúng tôi chỉ nhận được khoảng 200 thư chứa virus Mydoom.s. Đây là một mức độ phát tán không mạnh".
Anh Nguyễn Tử Quảng cũng cho biết thêm: "Theo đánh giá của chúng tôi, khả năng lây nhiễm của virus Mydoom.s chỉ ở mức trung bình khá. Các phân tích cho thấy loại virus này không trực tiếp thực hiện các hành vi phá hoại máy tính ngay khi nhiễm vào hệ thống, có thể là do ảnh hưởng của một số vụ truy tìm và xét xử tác giả viết virus máy tính khá mạnh tay mới đây. Về đặc tính của Mydoomn.s, có thể thấy nó khá giống với các biến thể thế hệ trước, và sẽ chỉ tiếp tục lây lan rộng trong vòng hai ngày tới. Sau đó, giống như các loại virus khác, Mydoom.s sẽ lắng xuống và ẩn náu chứ không phát tán mạnh nữa".
Để diệt virus W32.MyDoom.S bạn cần thực hiện theo các bước sau:
1. Tải phần mềm Bkav phiên bản BKAV 533 về một thư mục trên máy.
2. Nếu bạn dùng Windows Me hoặc XP thì phải tắt chức năng System Restore của hệ điều hành đi.
3. Nếu máy bạn có cài các chương trình diệt virus khác như NAV, McAffe thì phải tạm thời tắt chức năng tự động bảo vệ (Auto Protect) của các chương trình đó.
4. Chạy BKAV533, chọn quét tất cả các file, tất cả các ổ đĩa.
5. Khởi động lại máy tính.
Đặc tả của BKAV về virus W32.MyDoom.S
1. Tạo mutex có tên “43jfds93872" để tránh thi hành nhiều thể hiện của virus tại cùng một thời điểm.
2. Copy chính nó vào thư mục Windows dưới dạng một file thư viện có tên rasor38a.dll
3. Kiểm tra ngày giờ của hệ thống, nếu đến ngày 20/8/2004 thì virus không thực hiện việc lây lan nữa.
4. Kiểm tra xem máy tính đã kết nối Internet chưa, chu kỳ thực hiện việc kiểm tra là 18 giây, nếu máy đã kết nối Internet rồi thì virus thực hiện download các file ispy.1.jpg, coco3.jpg, temp578.gif, temp728.gif, từ các site http://www.richcolour.com; http://zenandjuice.com
5. Tạo giá trị có tên là "winpsd" và dữ liệu là "%System%\winpsd.exe" trong key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
để virus được thi hành mỗi khi người dùng khởi động Windows.
6. Tìm kiếm địa chỉ thư trong các file có phần mở rộng sau trong các ổ từ C tới Z:
.htmb
.shtl
.phpq
.aspd
.dbxn
.tbbg
.adbh
.pl
.wab
8. Tạo và gửi các thư với đặc điểm sau:
Tiêu đề: photos
File đính kèm: photos_arc.exe.
Nội dung: LOL!;))))
Gửi từ: john; alex; michael; james; mike; kevin; david; george; sam; andrew; jose; len; maria; jim; brian; serg; mary; ray; tom; peter; robert; bob; jane; joe; dan; dave; matt; steve; smith; stan; bill; bob; jack; fred; ted; adam; brent; alice; anna; brenda; claudia; debby; helen; jerry; jimmy; julie; linda; sandra;
9. Liệt kê các entry trong HCU\Software\Microsoft\Internet Account Manager\Accounts
để lấy SMTP Server.
Bình Minh (Tổng hợp)
