1.Mở đầu:
Mấy hôm trước ở blog Vàng anh có đăng một tin hot là danh sách Bộ Chính trị Việt nam được Trung quốc định sẵn trước trong một tài liệu "tuyệt mật", được chứa trong trang web http//www.came.agri.gov.cn của Trung quốc, cái đuôi gov.cn nói lên site này là của nhà cầm quyền Trung quốc. Mặc dù Vàng anh đã mở và đăng toàn bộ cái danh sách ấy lên nhưng vẫn có nhiều người download về để "kiểm chứng", điểm đáng chú ý là trong site http//www.came.agri.gov.cn không có đặt link dẫn nào đến "tài liệu" kể trên, có lẽ vậy mới "tuyệt mật" chăng !
Theo 2 đường link dẫn trong blog Vàng anh:
http//www.came.agri.gov.cn/doc/DS-UVBCT.hta
http//www.came.agri.gov.cn/doc/成員的政治.hta
thì download được file DS-UVBCT.hta hay file có nội dung tương tự 成員的政治.hta , nếu ta thay đổi đuôi hta của file này thành gif thì ta sẽ thấy hình sau:
Hình cô gái này có chứa mã độc, sẽ phát tán nếu được double click
đến đây thì computer của bạn vẫn chưa sao, nhưng nếu bạn double ckick vào file này để mở thì sẽ thấy sau một lúc khá lâu (để chạy script install) bạn sẽ thấy cái danh sách Ủy viên Bộ Chính Trị : Máy của bạn đã nhiễm trojan và trở thành 1 zombie (máy tính ma) được điều khiển bởi kẻ đã upload file này.
Cũng nên lưu ý ngay rằng những người đã đọc và làm theo bài "Blogger, hãy tự bảo vệ mình" của GTC chắc chắn không thể bị nhiễm trojan này, vì chỉ với khoản 1 của Phần 2: Hãy tự bảo vệ mình là đủ để miễn nhiễm rồi:
1.Khi cài Windows mới, bắt buộc phải cài ngay 1 chương trình chống Virus của ngoại, có update tới bản mới nhất (new version of virus signature database).
2.Phương thức lây nhiễm:
Khi download file DS-UVBCT.hta về máy, GTC đã loay hoay tìm cách mở cái file có đuôi hta này, đọc source code thì thấy đây là file gif, khi đổi đuôi hta thành gif thì GTC thấy được cái hình cô gái ở trên, nhưng size của hình này rất lớn không tương xứng với hình (697.629 bytes so với 21.489 bytes), nên chắc chắn trong file này còn chứa nhiều thứ khác, trên một diễn đàn có người nói đã mở thấy được danh sách bằng Word 2007, GTC cũng mở Word 2007 lên rồi mở file này, nhưng vẫn hoàn toàn không được là không được, GTC cũng thử quét virus bằng cả 3 C/T BitDefender, Eset NOD32, Kaspersky đều không phát hiện được gì.
Bây giờ nghĩ lại thấy thật buồn cười, vì nguyên nhân là GTC không có thói quen mở bằng cách double click vào file, nên không thể thấy được cái danh sách mật kia và cũng không sao nhiễm Trojan được, chỉ khi hết cách GTC mới chịu double click vào file DS-UVBCT.hta, và quá trình lây nhiễm xảy ra liền, C/T antivirus trên máy phát hiện file lạ và xóa liền, đồng thới cái danh sách mới chịu hiện ra !
Để đưa Trojan này vào máy tính người dùng, kẻ gian này đã chèn vào file DS-UVBCT.hta một đoạn script
khi bạn double click, nó sẽ chạy và tạo ra 1 Folder có tên là Defender trong Windows\system32 bạn sẽ thấy như sau khi Show hidden files and folders trong Folder Options:
trong đó chứa những files sau:
mobsync32.exe, mobsync.exe, MSASCui32.exe, MSASCui.exe, mscommon32.inf, services.exe, svhost.exe, wupdmgr32.exe, và zlib.dll
Đơn giản là bạn chỉ cần xóa sạch cái folder Defender là xong, nhưng coi kìa, chỉ có một số file được xóa còn những files khác sao không thể xóa được, đơn giản là vì nó đang chạy, bạn thử vào Task Manager mà xem(Ấn Ctrl_Alt_Delete):
Bạn highlight file cần xóa, chọn End Process, à được rồi.........nhưng như trò ảo thuật, nó lại hiện ra ở chỗ khác, bạn làm lần nữa , lần nữa, vẫn không được, nó cứ hiện ra trở lại như trêu tức bạn, có lẽ đủ rồi, bạn sẽ không thể ngưng chạy nó bằng cách này được đâu
Bây giờ bạn vào hộp Run gõ : msconfig , trong thẻ Startup, bạn sẽ thấy những file trong Folder Defender đã được nạp lúc khởi động máy:
Bạn hãy bỏ check như hình trên và đừng nghĩ rằng thế là xong, thử restart lại xem, nó sẽ check lại y như cũ nếu bạn không tiến hành cách diệt sau đây.
3.Cách diệt:
Có 2 cách rất đơn giản để tiêu diệt loại Trojan này:
- Kiếm 1 dĩa có hệ điều hành (OS) tự chạy, boot máy bằng dĩa này và vào Windows\system32 xóa cái folder Defender, bạn sẽ thấy nó bị xóa 1 cách dễ dàng.
- Hoặc bạn tháo cái Hard Drive ra rồi ráp vào 1 HDD box, cắm vào một máy không có virus khác , tìm đến folder Defender và xóa nó, nếu không có HDD Box, bạn cũng có thể ráp vào máy khác như HDD thứ hai và tìm xóa folder Defender.
Lưu ý: Khi đã bị lây nhiễm rồi bạn mới install C/T antivirus thì nó cũng không thể diệt nổi cái Trojan đã nhiễm cho bạn đâu.
Bạn cũng nên search trong folder system32 những file sau xem có còn sót không:
MSASCui32.exe, wupdmgr32.exe, mobsync32.exe
4.Kết luận:
Kẻ gian đã lợi dụng 1 sơ hở về bảo mật của website http://www.came.agri.gov.cn để upload file DS-UVBCT.hta lên đó, điều này không mấy khó khăn vì có nhiều người làm được, bạn có thể vào link sau thì biết:
http://www.came.agri.gov.cn/index.html
Kẻ gian này chắc chắn là người Việt nên biết lợi dụng blog Vàng anh để quảng bá cho mưu đồ của mình, mong rằng chúng ta từ nay sẽ đề phòng cẩn thận hơn với những loại tin kiểu này.
Không có nhận xét nào:
Đăng nhận xét