Cẩn trọng với Trojan núp danh hãng bảo mật
| | | Một chương trình Trojan mới đang nhanh chóng phát tán trên mạng Internet, dưới danh nghĩa email của một hãng bảo mật danh tiếng, đúng vào thời điểm "ngàn cân treo sợi tóc".  | Nguồn: Infotech |
Theo cảnh báo mới nhất của hãng bảo mật Sophos, một chương trình Trojan đang nhanh chóng lan truyền qua đường email. Giả danh hãng bảo mật F-Secure tại Helsinki, email này mang theo một file đính kèm với rất nhiều tiêu đề khác nhau liên quan đến các vấn đề được người nhận quan tâm. Phổ biến nhất là "Lỗi trong trình duyệt Firefox" (Firefox Browsing Problem), Lỗi trong trình duyệt Mozilla ("Mozilla Browsing Problem") hoặc "Lỗi trong trình duyệt website (Website Browsing Problem). Tất nhiên, trong vụ này F-Secure chẳng mắc mớ gì và chẳng qua chỉ là một nạn nhân bất đắc dĩ của những kẻ tội phạm mạng mà thôi. Uy tín của hãng này đã bị lợi dụng làm mặt nạ ngụy trang cho các phần mềm phá hoại (malware). Theo Sophos, một khi xâm nhập được vào máy, Trojan này sẽ vô hiệu hóa các phần mềm diệt virus và phòng vệ khác, đồng thời mở toang cửa sau cho hacker lẻn vào hệ thống, giành quyền truy cập. Chưa hết, việc mở file đính kèm còn cho phép hacker ký gửi các chương trình do thám, đánh cắp dữ liệu và phá hủy máy tính. Tình hình càng trở nên nguy hiểm khi thời điểm sâu Kama Sutra được dự báo sẽ đồng loạt tấn công thế giới đã tới. | | vietnamnet |
Cách diệt Trojan.Esteems.F
|  MÔ TẢ
Trojan.Esteems.F là một loại Trojan có khả năng ăn trộm thông tin bí mật từ máy tính bằng việc ghi lại hoạt động gõ bàn phím và gửi dữ liệu thu được tới máy dịch vụ từ xa.
Lây nhiễm vào các hệ điều hành: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP. Mỗi lần Trojan.Esteems.F hoạt động, nó thực hiện các hoạt động sau: Tạo những file sau:
%Windir%\KB08953265.exe %System%\KB08953265.exe %System%\KB08953265.asf %System%\KB08953265.dfg
Ghi chú: %Windir% là thư mục cài Windows, mặc định là C:\Windows hoặc C:\Winnt. %System% là thư mục System, mặc định là C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), hoặc C:\Windows\System32 (Windows XP).
Đăng ksi chính nó như là một dịch vụ với thuộc tính sau và chạy nó mỗi khi Windows khởi động:
Name: Messenger
Path to executable: %System%\KB08953265.exe
Tạo file sau và mở nó bằng Microsoft Word. Fiel này bao gồm một đoạn văn bản tiếng Nhật
%Windir%\temp\[JAPANESE CHARACTERS].doc
Thêm file sau vào tất cả các quá trình đang chạy:
%System%\KB08953265.asf
Tạo file sau để ghi thông tin trạng thái êề những quá trình được thêm vào:
%System%\[FIVE RANDOM NUMBERS].dat
Ghi lại họat động gõ bàn phím và ghi nhớ thông tin nó thu thập được vào file sau:
%System%\KB08953265.hke
Sử dụng Internet Explorer êể nhận thông tin về máy chủ và cổng từ miền sau: hailangoodopell.3322.org Trojan sau đó gửi bất kì thông tin mà nó thu thập được từ máy tính bị nhiễm tới máy chủ. CÁCH DIỆT
1. Tắt chế độ System Restore của hệ thống bởi vì chương trình diệt virus không quét được thông tin trên phần Restore của Windows. Bấm vào nút Start. Bấm phải chuột vào My Computer, chọn Properties. Tại System Restore tab, bấm Turn off System Restore hoặc Turn off System Restore on all drives như hình vẽ dưới: 
Bấm Apply. Thông báo như sau hiện ra: 
Bấm nút Yes .
2. Cập nhật các thông tin chống virus mới nhất vào chương trình chống virus. 3. Khởi động lại với chế độ Safemode (Bấm F8 khi khởi động Windows) vào thực hiện chương trình quét virus, xoá những tệp bị nhiễm. Nhớ chọn chế độ quét tất cả các tệp chứ không chỉ quét riêng tệp .exe. 4. Xóa các khóa được thêm vào trong registry.
Bạn có thể Download chương trình chống virus khá nhỏ của Sysmantec tại đây SAVCECLT.EXE
| | symantec |
|
.jpg)
.gif)
.gif)
.jpg)
.jpg)
.gif)
.jpg){kind=small}
.bmp){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
