Virus !!!!!!!!!

[Nguyễn Việt Anh (SayoriV)]

Mới có con virus w32.sasser đấy các bác ( ( . Chả hiểu nó vào máy mình = đường nào nữa. Nếu máy bác nào bị lỗi Lsa shell gì đó thì cũng nên cầu nguyện đi là vừa. Chỉ cần vào net 5 phút là máy báo lỗi rồi tự khởi động lại luôn. Mà hình như nó cũng không cho mình update wins để vá lỗi gì sất. Nhưng có cách thủ công này : vào search trong windows\system32 rồi tìm *_up có bao nhiêu xóa sạch đi. Mỗi lần vào net cứ để search liên tục như vậy. Hơi mệt nhưng chưa biết làm cách nào khác.

Đề nghị lấy topic này làm nơi trao đổi về antivirus

 

[Nguyễn Việt Anh (SayoriV)]

Thông báo: đã có W32.sasser.b
Có thể cập nhật McAfee để diệt hoặc download stinger.

 

[Bùi Minh Hoàng (iamtheway)]

Mie no', tao dang bi dinh con nay day!!!
Da ko vao dc net thi lam sao ma down ve dc chu !!!

 

[Phạm Văn Cường (svuk)]

Xóa mấy cái xxxxx_up.exe thì nó lại tạo lại! Phải diệt tận gốc file AVSERVE2.EXE trong WINDOWS!
Nếu bị khởi động lại có thể ngăn chặn được bằng cách gõ shutdown -a
Nó ngăn chặn Windows update nhưng nếu down bản patch cho WINDOWS thì vẫn patch được, down ở đây này: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Chi tiết về virus có thể xem thêm ở đây: http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=125008

 

[Bùi Minh Hoàng (iamtheway)]

go shutdowb -a la sao anh ???

 

[Phạm Văn Cường (svuk)]

Vào Start menu -> Run, gõ shutdown -a! Lệnh đấy để abort quá trình shutdown! Ngoài ra còn có 1 số lệnh khác cũng hữu dụng, vd như shutdown -r: restart, shutdown -s: shutdown, shutdown -l: log off

 

[Bùi Minh Hoàng (iamtheway)]

ong anh co ve dinh cao nhay ??? Hoc truong nao/nganh ri o GB the ong anh???

 

[Phạm Văn Cường (svuk)]

Hì hì giỏi giang gì đâu, chẳng qua hôm qua vừa bị dính nó, may có thằng bạn nó sang kill hộ. Hôm nay thấy mọi người dính thì nhớ lại post lên thôi!
Công nhận xài Win càng ngày càng chán! Đang bắt chước nó cài Linux nhưng cũng chưa quen lắm! Được cái ổn định và ít virus hơn!

 

[Bùi Minh Hoàng (iamtheway)]

Nhung ma Linux ko nhiu tinh nang hay bang ¦in thi phai !!!

 

[Vũ Đình Hoàng (Moonlife)]

Nhung ma Linux ko nhiu tinh nang hay bang ¦in thi phai !!!

Hehe, tính năng hay, nhiều hay không là ở mình chứ không phải ở Linux, khi đã đạt được 1 trình độ nhất định thì người dùng không phải lo đến cái chuyện "cài lại" nữa. Nếu mình hiểu thì rất cả đều trong tầm tay của mình thôi. Trong khi đó Windows thì khác, chả ai biết nó bên trong như thế nào cả, thành ra cài lại là biện pháp an toàn và tốt nhất!

 

[Bạch Hưng Nguyên (NguyenBH)]

Phòng chống sâu Sasser
May 4, 2004
Nguyên Bạch
http://www.cs.jhu.edu/~nguyen/sasser.pdf

Sâu Sasser bắt đầu lây lan mạnh tai Mĩ vào ngày 2 tháng 5, 2004, con số chính thức số lượng máy bị nhiễm hiện giờ chưa được công bố. Sasser tấn công vào các hệ thống Windows2000 hoặc Windows XP. Theo AP ngày hôm nay, sâu Sasser đã chính thức tấn công vào khu vực châu Á, có 1600 máy tính ở bưu điện của Đài Loan và hàng trăm máy tính ở Hongkong đã nhiễm sâu.

A - Phương pháp phòng vệ khi máy tính chưa bị nhiễm:

1. Bật firewall
Chạy: Start/Settings/Network connection/Local Area Connection ; sau đó right click mouse chọn Properties/Advance/ Check vào mục Protect my computer ... rồi click vào OK
2. Cập nhật virus definition.
Ví dụ: nếu sử dụng Norton Antivirus, chọn mục Liveupdate, với McAfee hoàn toàn tương tự.
3. Cập nhật phiên bản sử lỗi của Windows
Chạy: Start/ Windows Update.
4. Scan lại toàn bộ máy tính.

B - Phương pháp phòng vệ khi máy tính ĐÃ bị nhiễm:

1. Triệu chứng:
Để kiểm tra máy tính bị nhiễm Sasser hay không có thể thực hiện một số phép thử đơn giản sau.
+ Truy nhập vào http://www.symantec.com/downloads/ . Nêu nhận được lỗi "...connection was refused..." thì nhiều khả năng là đã dính.
+ Kiểm tra trong thư muc C:\Windows có file avserve.exe hoặc avserve2.exe hay ko? Nếu có đó là Sasser.
+ Một số hiện tượng khác khi máy bị nhiễm Sasserlà connect được vào internet nhưng không surf web được. Gửi nhận email chập chờn, băng thông internet bị chiếm dụng.

2. Xử lý:

1. Chạy các bước A-1; A-3;
2. Vì máy tính đã bị nhiễm Sasser nên không thể cập nhật được virus definition cho các chương trình diệt virus. Lí do là virus đã block các địa chị truy nhập vào các website nổi tiếng về diệt virus như Symantec, TrendMicro, McAfeee. Tuy nhiên có thể download được tool diệt Sasser & 41 loại sâu khác tại địa chỉ này:
http://download.nai.com/products/mcafee-avert/stinger.exe
3. Disconnect khỏi Internet.
4. Chạy Stinger.exe
5. Khởi động lại máy tính.
6. Mặc dù đến bước này máy tính đã không còn bị nhiệm Sasser nhưng tàn dư của nó vẫn còn, biểu hiện rõ nhất là không thể update virus definition hay không thể truy nhập vào www.symantec.com/downloads/
Vấn đề chủ yếu là Sasser đã sửa lại bản đánh địa chỉ HOST tại đây
Windows XP = C:\WINDOWS\SYSTEM32\DRIVERS\ETC
Windows 2K = C:\WINNT\SYSTEM32\DRIVERS\ETC

Bản sửa của Sasser trông như thế này

---------------

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

















127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com

------

Lưu ý là Sasser khá ranh ma khi để 1 khoảng trắng ở giữa đánh lừa người sử dụng không cẩn thận, vì nếu không scroll down thì không phát hiện ra các địa chỉ bị block.

Công việc bây giờ là phải xóa sạch các địa chỉ bị block, chỉ để lại dòng 127.0.0.1 localhost . Sau đó ghi lai thanh file HOST mới

7. Chạy A-2 và A-4

Lưu ý cuối cùng là sau khi đã diệt xong luôn bật chương trình diệt virus ở chế động tự động bảo vệ (Auto-protect).

C - Tham khảo

http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.b.worm.html
http://vil.nai.com/vil/stinger/
http://support.microsoft.com/default.aspx?scid=kb;en-us;841720

 

[Hồ Ngân Hương (amazing)]

em cũng bị lỗi tương tự nhưng load remove tool của symantec về scan thì nó báo là không tìm thấy, tìm thủ công trong win cũng không thấy cái gì gọi là avserve.exe .

 

[Nguyễn Việt Anh (SayoriV)]

avserve2.exe thử xem.

 

[Phạm Văn Cường (svuk)]

Lỗi tương tự là thế nào? Đã thử download bản patch về chạy chưa?

 

[Phan Huy Anh (HuyAnh)]

Con này lợi hại thật ... máy thằng bên cạnh cũng đăng dính ...keke

 

[Phạm Văn Cường (svuk)]

Nhìn cách lây lan của nó thì biết

This worm spreads by exploiting a recent Microsoft vulnerability, spreading from machine to machine with no user intervention required.

This worm scans random IP addresses for exploitable systems. When one is found, the worm exploits the vulnerable system, by overflowing a buffer in LSASS.EXE. It creates a remote shell on TCP port 9996. Next it creates an FTP script named cmd.ftp on the remote host and executes it. This FTP script instructs the target victim to download and execute the worm (with the filename #_up.exe as aforementioned) from the infected host. The infected host accepts this FTP traffic on TCP port 5554.

The worm spawns multiple threads, some of which scan the local class A subnet, others the class B subnet, and others completely random subnets. The destination port is TCP 445

Phần lớn mọi người vài tháng mới update Windows 1 lần, nên nó vào máy nào là máy đấy toi ngay!
Nếu đã update rồi thì chả sao

 

[Phạm Thị Yến Mai (maipty)]

Em thử kiểm tra file TmOpp.ini (cái này sinh ra khi dính sasser với chương trình chống virus bằng Trendmicro), nếu có file này thì mở nó ra, và phải sửa lại 2 dòng:
IssueSource =0

# Enable / Disable Opp
# Possible value:
# 0: Disable Opp. Restore the status before Opp.
# When this value is 0, other keys in this section will be ignored
# 1: Enable OPP
# All other keys in this section will be used.
#
###################################
Enable =1
cái này sửa lại =0
và
# "BlockAllPorts"
# Possible Value:
# 1. (true) All ports will be blocked
# 2. (false) only partial ports will be blocked
# 3. (Disable) no port blocking for this OPP.
# (When block all ports, that means the communication between
# client and OfficeScan server has been block also.
# must set an TrustPortRecoverTime)
#
#################################
BlockAllPorts =true
#################################
cái này sửa lại =false

sau đó restart lại máy.
Sau đó thì nhớ vá lỗi bằng chương trình của Win.

 

[Phùng Tuấn Đức (godz)]

Sao chạy Stinger xong vẫn còn con Lsass o trong Task Manager ???

 

[Phạm Văn Cường (svuk)]

Tất nhiên là còn rồi, nó mà toi thì WINDOWS đi luôn

 

[Phùng Tuấn Đức (godz)]

Dùng Stinger quét xong, hết rồi, vẫn có khả năng bị lại uh ?
Hôm qua thằng bạn tui vừa bị xong ? )