Kết quả 1 đến 6 của 6
  1. #1
    Vi phạm Nội Quy Administrator hrockvn's Avatar
    Ngày tham gia
    06 Jan 2006
    Đang ở
    Thanh Xuân vỉa hè quán
    Bài viết
    3,761
    Thanks
    13
    Thanked 20 Times in 14 Posts
    Rep Power
    30

    Mặc định Virus lạ tấn công hàng loạt PC qua Yahoo Messenger

    Nhiều người sử dụng hệ thống tin nhắn nhanh của Yahoo đang trong tình trạng hoang mang, lo sợ vì máy tính của họ đã bị nhiễm một loại sâu lạ, lây lan qua chương trình chat phổ biến nhất VN. Các nạn nhân đều nhận từ nick chat của bạn bè đường link kèm lời mời hấp dẫn như: "Gai xinh ne", "Anhdep"...


    Các cửa sổ chat YM có chứa đường link mang virus lạ

    Virus đã xuất phát từ website xrobots.net, mới được khởi tạo trong ngày 10/4, rồi lây qua Yahoo Messenger (YM). Các tiêu đề hấp dẫn như: "Film vui", "Em xinh", "Gai xinh ne", "Anhdep", "Tang cho ban nay"... kèm theo đường dẫn http:// xrobots .net/Gift/?file=Funny.swf " được gửi theo các cửa sổ chat YM. Các đường link toàn bộ là file exe.

    Khi đã xâm nhập được vào máy tính của nạn nhân, ngay lập tức hàng loạt thông điệp lặp lại kèm đường link có chứa virus sẽ gửi tới các nick name có trong danh sách YM. Với kiểu lây lan theo cấp số nhân đó, vô số nạn nhân đã "dính đòn" trong thời gian rất ngắn.

    Một công ty lớn ở HN tiết lộ chỉ trong buổi chiều 10/4 có tới 95% máy tính của họ bị nhiễm virus này. "Hầu hết mọi người trong cơ quan đều dùng YM nên mức độ lẫy nhiễm tăng rất nhanh", một người trong doanh nghiệp này cho biết.

    Nhiều người cùng bày tỏ với VnExpress rằng các link đều được gửi đến từ bạn bè thân cận có và nick trong danh sách của họ rồi nên không hề cảnh giác, cứ vô tư bấm link. "Hằng ngày tôi vẫn nhận nhiều đường link mang nội dung âm nhạc hoặc những thông tin vui vẻ từ bạn bè nên lần này tôi cũng cho là vậy và chẳng đề phòng gì cả", chị Hương, một nhân viên, kể lại.

    Trong e-mail gửi đến tòa soạn, một người có tên Minh Kha kể: "4 nhân viên trong công ty chúng tôi có máy tính bị nhiễm virus mới từ website xrobots.net và rất nhiều người khác nhận được message chứa nguy cơ lây nhiễm".

    Người này cũng nhận định mức độ nguy hiểm của virus này khá cao vì có thể hình thành mạng botnet tấn công từ chối dịch vụ các website công ty VN.

    17h45 ngày 10/4, diễn đàn ttvnol.com đã đăng lời khuyến cáo của một thành viên. Nick name boot_room2003 khẳng định rằng, con spy này sẽ thay đổi homepage để link sang 1 forum đồng thời chỉnh sửa YM để tự gửi link phát tán theo các nick trong yahoo list. Thành viên của ttvnonl cũng khuyên mọi người nếu đã "lỡ tay" bấm vào link và bị nhiễm thì nên remove công cụ chat YM cùng với việc xóa bỏ các tin nhắn offiline có lưu giữ các đường link trên. Sau đó tải bản YM mới về dùng.

    Tuy nhiên, Trung tâm cứu hộ máy tính 911 nhận định đây là một loại virus nội và người viết ra nó đã copy mã nguồn trên mạng rồi sửa lại. 911 mô tả: Khi virus hoạt động nó tự động copy một phiên bản chính nó thành tệp %Windir%\Messenger.exe. (%Windir% là thư mục Windows, mặc định là C:\Windows\System đối với Windows 95/98/Me/XP/2003 và C:\Winnt, đối với Windows NT/2000).

    Khi tệp ứng dụng có tên là Gaixinh.jpg.exe được nạp vào bộ nhớ, nó sẽ thay đổi Registry trên máy nạn nhân như sau:

    1. Thêm giá trị DisableRegedit=1 vào khoá: HKEY_CURRENT_User\Software\Microsoft\

    Windows\CurrentVersion\Policies\System để khoá không cho truy cập vào Regedit.

    2. Thêm giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe vào khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
    Windows\CurrentVersion\Run để nạp virus lúc Windows khởi động.

    3. Thay đổi trang Homepage của Internet Explorer về trang chủ của virus bằng cách sửa giá trị của khoá HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page về

    http://67.15.40.2/~tranphu/forumtp

    4. Thêm giá trị sau vào các khoá khác trong regedit: http://xRobots.net/Gift/New/ hoặc

    HKEY_CURRENT_USER\Software\Yahoo\pager\

    View\YMSGR_Launchcast.

    Trung tâm 911 khuyến cáo cách diệt virus này như sau

    1. Trước hết mở Registry bằng cách download tệp sau về và chạy: http://www.911.com.vn/download/khoa_regedit.vbs

    Khi máy tính báo "Registry Editing Tools are now ENABLED Log off and back on, or restart your pc to effect the changes" là được

    2. Khởi động lại máy tính bằng chế độ SafeMode (Bấm F8 lúc máy tính khởi động). Sau đó Vào Start -> Run rồi gõ Regedit rồi Enter. Hãy tìm khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

    CurrentVersion\Run và xoá giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe.

    Tiếp tục tìm HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page để vào xoá hoặc thay đổi về địa chỉ HomePage vẫn dùng.

    Tìm toàn bộ các giá trị có nội dung như sau http://xRobots.net/Gift/New/ và xoá đi. Các khoá có thể thêm ví dụ là HKEY_CURRENT_USER\Software\Yahoo\pager\View\

    YMSGR_Launchcast và HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-500\Software\Yahoo\pager\View\YMSGR_Launchcast

    3. Tìm tệp GirlXinh.jpg.exe và xoá đi (thường nằm trong Desktop hoặc My Documents), có thể tìm bằng chức năng Search của Windows.

    4. Vào trong thư mục Windows tìm tệp Messenger.exe và xoá đi

    5. Khởi động lại máy tính.

    Ông Trần Hùng Cường, Giám đốc 911, khẳng định, cách tốt nhất là dùng chức năng Find trong Regedit để tìm tất cả các xâu ký tự có nội dung là “http://xRobots.net/Gift/New/” để xoá đi. Ngoài ra cũng có thể dùng HijackThis để xoá các khoá và các process đang chạy của virus. Có thể download HijackThiss tại đây.
    My blog
    My
    facebook
    My
    website
    D2T
    Fanpage

    "Lúc trước mình đẹp trai lắm, nhưng bây giờ đỡ nhiều rồi"

  2. #2
    Vi phạm Nội Quy Administrator hrockvn's Avatar
    Ngày tham gia
    06 Jan 2006
    Đang ở
    Thanh Xuân vỉa hè quán
    Bài viết
    3,761
    Thanks
    13
    Thanked 20 Times in 14 Posts
    Rep Power
    30

    Mặc định Hơn 10 nghìn máy tính VN nhiễm virus Gaixinh

    Đó là con số mà Trung tâm an ninh mạng Đại học Bách khoa Hà Nội BKIS ước đoán trong buổi chiều qua (10/4). Hiện tại, BKIS đã phát hiện kẻ tình nghi và thử "vài đòn nắn gân", nhờ vậy nguồn phát tán virus trên Internet đã được "hạ xuống".


    Hình ảnh quá trình giải mã virus (BKIS)

    Chiều qua, sau 10 giờ đồng hồ phân tích, BKIS khẳng định bản thân virus này không phải là botnet (mạng máy tính ma). Nhưng nó có thể được sử dụng để tải botnet xuống. Nguyên lý lây lan của nó chỉ dựa vào sơ hở của người sử dụng chứ không phải là lỗi của YM và hiện chưa có phần mềm diệt virus nào cập nhật virus này.

    Ông Nguyễn Tử Quảng, Giám đốc BKIS, cho biết: "Trong ngày 10/4, có 2 biến thể được tạo ra. Chúng tôi đặt tên nó là GaixinhYMA và GaixinhYMB. Khi lây nhiễm vào một máy tính, virus sẽ tải file xrobots.net/Gift/Robots.exe từ trên mạng Internet về và ghi thành file Messenger.exe trong thư mục Windows".

    Theo mô tả của BKIS, chỉ sau gần chục giây xâm nhập, virus có thể được nạp vào bộ nhớ khi khởi động máy. Như vậy, về nguyên tắc kẻ phát tán virus có thể cài đặt tùy ý các phần mềm lên máy của nạn nhân.

    Gaixinh có khả năng thiết lập vài tham số khác của YM và khóa (Disable) không cho người sử dụng truy cập vào Regedit, một công cụ để thiết lập tham số hoạt động cho hệ điều hành Windows và các phần mềm ứng dụng. Nó sẽ tìm các cửa sổ YM mà nạn nhân đang dùng hội thoại với người khác, sau đó tự động gửi (send) một cách ngẫu nhiên một trong những nội dung lặp lại sang những người này.

    Nếu là GaixinhYMA, sau mỗi lần gửi, virus “tạm nghỉ” một quãng thời gian ngẫu nhiên trong khoảng 300 - 900 giây, rồi lặp lại 1.000 lần thao tác lây nhiễm nói trên. Điều đó cho thấy gần như bất kỳ ai trao đổi (chat) với nạn nhân cũng đều trở thành “con mồi” tiếp theo của virus.

    Nếu là GaixinhYMB (xuất hiện vào cuối giờ chiều 10/4), ngoài cách phát tán như version A, phiên bản này được cải tiến để lây lan kinh khủng hơn. Không những chỉ tìm cách mò sang những máy tính mà chủ của nó đang trực tiếp chat với nạn nhân, GaixinhB còn tìm cách gửi virus tới cả những người trong sổ địa chỉ YM, bao gồm cả người đang trực tuyến (online) và không trực tuyến (offline).

    "Máy tính của người bị 'dính' Gaixinh sẽ bị đặt Start Page trỏ tới 67.15.40.2/~tr..../forumtp và mỗi khi họ bật trình duyệt IE, địa chỉ này sẽ được mở tự động", ông Quảng mô tả. "Đây là diễn đàn của cựu học sinh một trường chuyên của thành phố Hải Phòng. Chúng tôi xác minh được kẻ phát tán virus cũng là thành viên của diễn đàn này".

    Người đứng đầu BKIS cũng tiết lộ sau khi giải mã Gaixinh, Trung tâm đã tìm thấy dấu vết quan trọng để có thể lần tìm ra tác giả của virus này. Thậm chí, xác minh được cả danh tính và nhiều thông tin cá nhân của kẻ bị tình nghi. Việc truy tìm thủ phạm, BKIS sẽ tiếp tục làm việc với các cơ quan An ninh để xử lý.

    Trung tâm BKIS đã cập nhật phương án xử lý cả 2 phiên bản của virus này vào Bkav845. Đối với người dùng BkavPro, phiên bản mới nhất sẽ tự động cập nhật khi bật máy. Sau đó chỉ cần quét tất cả các file, tất cả các ổ đĩa. Còn những ai dùng Bkav Home, cần tải phiên bản mới nhất. Sau đó chạy Bkav, chọn quét tất cả các file, tất cả các ổ đĩa.

    Những ai chưa cài đặt Bkav hoặc không có kinh nghiệm diệt virus, tuyệt đối tránh không bấm vào các đường dẫn (link) có dạng như sau:

    "Xem thu coi, buon cuoi ko the chiu duoc http://67.....2/~neun/?file=sac"

    "Em nay xinh lam, nhin ma fe http:// 67.....2/~neun/?file=xgirl"

    "Cai gi the nay, Choang http:// 67.....2/~neun/?file=wow"

    "Xem thu cai nay di http:// 67.....2/~neun/?file=funfun"

    "Hi hi hi http:// 67.....2/~neun/?file=haha"

    "Xem thu coi, buon cuoi ko the chiu duoc http://xrobots.../Gift/?file=Embe.jpg"

    “Em nay xinh lam, nhin ma fe http://xrobots.../Gift/?file=Gaixinh.jpg"

    "Film vui , flim vui : http://xrobots.../Gift/?file=Funny.swf"

    "Xem thu cai nay di http://xrobots.../Gift/?file=Anhdep.jpg"

    "Tang cho ban nay : http://xrobots...t/Gift/?file=e-card.htm
    My blog
    My
    facebook
    My
    website
    D2T
    Fanpage

    "Lúc trước mình đẹp trai lắm, nhưng bây giờ đỡ nhiều rồi"

  3. #3
    Vi phạm Nội Quy Administrator hrockvn's Avatar
    Ngày tham gia
    06 Jan 2006
    Đang ở
    Thanh Xuân vỉa hè quán
    Bài viết
    3,761
    Thanks
    13
    Thanked 20 Times in 14 Posts
    Rep Power
    30

    Mặc định Tác giả virus Gaixinh xin lỗi người dùng YM

    "Tôi viết con bot kia không phải vì mục đích phá hoại, mà thực sự chỉ để kiểm tra khả năng bị DoS qua mạng botnet như thế nào. Tôi bị bất ngờ về tốc độ lây lan và ý thức cảnh giác của người sử dụng", một người tự xưng là tác giả của virus Gaixinh, đã bày tỏ với VnExpress như vậy.


    Những thông tin về việc đăng ký domain xrobots.net mà tác giả virus Gaixinh cung cấp cho VnExpress để chứng minh thân phận của mình.

    Trong lá thư gửi đến tòa soạn hôm nay mở đầu bằng câu: "Xin lỗi tất cả mọi người", người này viết: "Tôi là người đã viết những đoạn mã đầu tiên cho chương trình xRobots của mình mà cho đến bây giờ mọi người đã quen gọi nó với cái tên Gaixinh. Tôi nghiên cứu về bảo mật và mới bắt đầu tìm hiểu các cách phòng chống DoS cũng như việc dùng botnet để DoS cách đây không lâu. Mọi người có thể thấy, ngoài tác dụng lây lan, virus không hề có một ảnh hưởng lớn nào. Tôi không hề gây khó khăn đối với việc gỡ bỏ nó ra khỏi hệ thống. Nhưng thực tế, nó đã gây ra phiền phức cho rất nhiều người và được cảnh báo ở mức độ nghiêm trọng. Điều đó tôi rất tiếc và thực sự xin lỗi mọi người".

    Trong cuộc trao đổi với phóng viên VnExpress, người này cho biết việc phát tán các link có virus lần này cũng chỉ là một trong nhiều thí nghiệm từng làm. Tuy nhiên, bản thân đã không lường trước mức độ lây lan khủng khiếp của Gaixinh bởi chỉ dự đoán số lượng PC bị lây nhiễm là 1.000. "Những lần trước, sau khi 'xong việc', tôi có thể ra lệnh cho virus tự hủy. Nhưng lần này thì không thể", tác giả của Gaixinh bày tỏ.

    Nhân vật này cũng khẳng định, hiện tại đã phong tỏa toàn bộ hệ thống của mình và bày tỏ nguyện vọng nhờ vào những kinh nghiệm nhất định trong việc phòng chống DoS, ngoài những cách cũ như Ping of Death, SYN, hay là x-Flash tại Việt Nam, hoặc botnet của mình có thể giúp đỡ những nạn nhân của DoS thông qua... e-mail.

    Trung tâm An ninh mạng Đại học Bách khoa HN BKIS khẳng những thông tin mà nhân vật bí ẩn này cung cấp đều trùng khớp với những xác minh của BKIS chứng tỏ đây chính là tác giả thật của virus Gaixinh. "Chúng tôi đối chất qua điện thoại với người này và cậu ta đã thừa nhận mọi tội lỗi. Đây là sinh viên của một trường đại học lớn ở Hà Nội", ông Nguyễn Tử Quảng, Giám đốc BKIS, tiết lộ. "Trước mắt, BKIS đã cảnh cáo người này. Việc xử lý tiếp theo thế nào chúng tôi còn phải làm việc với bên công an".

    Đến nay, theo thống kê của BKIS, đã có khoảng 20.000 máy tính ở VN bị nhiễm virus Gaixinh.
    My blog
    My
    facebook
    My
    website
    D2T
    Fanpage

    "Lúc trước mình đẹp trai lắm, nhưng bây giờ đỡ nhiều rồi"

  4. #4
    Vi phạm Nội Quy Administrator hrockvn's Avatar
    Ngày tham gia
    06 Jan 2006
    Đang ở
    Thanh Xuân vỉa hè quán
    Bài viết
    3,761
    Thanks
    13
    Thanked 20 Times in 14 Posts
    Rep Power
    30

    Mặc định

    Dạo này VN mình lắm hacker thế không biết. Đi đâu cũng thấy ầm ầm
    My blog
    My
    facebook
    My
    website
    D2T
    Fanpage

    "Lúc trước mình đẹp trai lắm, nhưng bây giờ đỡ nhiều rồi"

  5. #5
    Đệ tử ĐDT Member zZNguyetAnhZz's Avatar
    Ngày tham gia
    14 Feb 2006
    Tuổi
    35
    Bài viết
    130
    Thanks
    0
    Thanked 0 Times in 0 Posts
    Rep Power
    60

    Mặc định

    mà chả hiểu sao hacker sao ko làm hacker mũ trắng mà làm mũ đen mới đau chứ, em có thằng bạn tối qua tuyên bố " tối nay có 1 trang web bị xóa xổ nhưng chưa biết trang nào" ai dè sáng nay thấy có trang nào bị xóa xổ thật==) thằng cha mất dịch thật

  6. #6
    m3NoaGeneral Mentor
    Forum Instructor
    Pisces's Avatar
    Ngày tham gia
    24 May 2006
    Đang ở
    Mirkwood of Rhovanion
    Tuổi
    37
    Bài viết
    2,521
    Thanks
    0
    Thanked 1 Time in 1 Post
    Rep Power
    30

    Mặc định

    Làm mới khó chứ phá thì dễ lắm! Không hiểu sao Vn mình lại có lắm người khoái phá hoại ghê. Đành rằng biết để mà tránh, nhưng mà... có ai chịu tránh đâu! Cứ lăn vào ầm ầm
    Ignorant is a bliss, but arrogant is a curse.

    *This creature is in extremely bad mood right now.
    Approach with the highest caution.
    *

Thông tin về chủ đề này

Users Browsing this Thread

Có 1 người đang xem chủ đề. (0 thành viên và 1 khách)

Các Chủ đề tương tự

  1. Tất cả về Yahoo Messenger
    Bởi hrockvn trong diễn đàn Mail, Chat, Internet
    Trả lời: 78
    Bài viết cuối: 13-07-2011, 02:21 PM
  2. Yahoo Messenger 9.0 for Vietnamese
    Bởi hrockvn trong diễn đàn Mail, Chat, Internet
    Trả lời: 2
    Bài viết cuối: 08-12-2008, 11:09 PM
  3. Yahoo! Messenger 9.0 Beta bản chính thức
    Bởi angel_remix trong diễn đàn Mail, Chat, Internet
    Trả lời: 1
    Bài viết cuối: 06-06-2008, 07:45 PM
  4. Auto login Yahoo Messenger
    Bởi hrockvn trong diễn đàn Mail, Chat, Internet
    Trả lời: 0
    Bài viết cuối: 07-03-2008, 01:52 AM
  5. Yahoo! Messenger with Voice 8.0 Final - Bản Việt hóa
    Bởi letienquana12 trong diễn đàn Mail, Chat, Internet
    Trả lời: 2
    Bài viết cuối: 26-06-2007, 10:08 AM

Đánh dấu

Quyền viết bài

  • Bạn Không thể gửi Chủ đề mới
  • Bạn Không thể Gửi trả lời
  • Bạn Không thể Gửi file đính kèm
  • Bạn Không thể Sửa bài viết của mình
  •