Trong ngày 10/4/2006 nhiều người sử dụng Yahoo Messenger tại Việt Nam cho biết có một số virus mới giả dạng một đường link “anhdep.jpg” và tự phát tán rất mạnh. Virus không rõ xuất xứ nói trên truyền đi một tin nhắn vào tất cả các nickname có trong YM friend list, nguyên văn như sau: “Gái đẹp! ...hãy xem cái này đi...” và đường link đi kèm: /Giift/?file=Anhdep.jpg hoặc /Gift/?file=e-card.htm... được hosting từ tên miền xrobots.net. Tuy trên đường link hiển thị đuôi jpg (định dạng ảnh), nhưng khi người dùng click vào link trên, sẽ có một software hiện ra và có đuôi dạng exe. Giao diện bắt bạn chọn “Run” (chạy) hoặc “save” (ghi vào máy). Nhìn qua đường link này, có thể thấy ngay tác giả đường link đã cố tình lừa người sử dụng với tên file Anhdep.jpg, thông qua cú pháp ?file=. Thực chất, khi bấm vào link, máy tính sẽ hỏi người dùng có muốn download 1 file anhdep.jpg.exe (anhdep.jpg là tên file) về máy hay không. Ngay sau khi người dùng dại dột để virus xâm nhập vào máy nếu chạy các software hiện ra, phần mềm của Virus sẽ tự động send cho tất cả các địa chỉ Yahoo Messenger trong list yahoo của bạn nếu bạn mở nick chat. Chính người bị dính virus cũng không biết mình đang phát tán các link nguy hiểm này. Hiện chưa có thống kê cụ thể về các tác hại của virus nói trên, xong với tốc độ phát tán kinh khủng bằng cấp số nhân, rõ ràng nó đang đặt cộng đồng mạng Việt Nam trước nguy cơ bảo mật rất lớn. Tất cả các link phát tán virus "gaidep"; "anhdep"... đều đến từ địa chỉ website www.xrobots.net. Đây là một trang web đen có chứa nhiều virus và spyware. Một số nguồn tin đáng tin cậy cho hay, domain này mới chỉ được lập ra hai ngày trước, song các virus, spyware từ đây đang phát tán một cách kinh khủng trong cộng đồng mạng Việt Nam chủ yếu qua Yahoo Messenger. Theo nguồn tin riêng của VietNamNet, rất có thể tác giả của đường link này là người Việt Nam (vì người dùng Yahoo Messenger bị nhiễm hầu hết là người Việt Nam). Đây là một loại BOT virus, khi xâm nhập vào máy tính sẽ khống chế quyền điều khiển (còn gọi là máy tính zombie), tạo thành một mạng máy tính Botnet để tác giả virus điều khiển. Một số hacker VN chưa có trình độ còn tìm cách phát tán các loại virus BOT này bằng cách... thuê trẻ nhỏ ra cài ngoài hàng Internet với giá 1.000đ/máy. Ở cấp độ phản ứng bảo mật quốc gia, khi có sự việc tương tự, nhà cung cấp dịch vụ Internet nắm đường truyền Internet ra quốc tế (ở Việt Nam là VDC) cần có biện pháp can thiệp sớm để chặn hoạt động truy cập từ Việt Nam vào tên miền www.xrobots.net. Việc làm này trước mắt sẽ giảm thiểu khả năng phát tán của virus lây qua Yahoo Messenger do người dùng thiếu hiểu biết click vào. Lời khuyên tốt nhất là khi có các tin nhắn offline hoặc các message lạ của bất kỳ người nào trong Yahoo Messenger list của bạn gửi đến có chứa các link liên quan đến địa chỉ xrobots.net hoặc các link không rõ mục đích, hãy tắt ngay cửa sổ chat đó và không click vào link hay chạy (run) software nào hiện lên màn hình. Với các máy đã bị nhiễm, các bạn có thể xóa file virus một cách thủ trong ổ C:\Windows, delete file messenger.exe. Nếu không xóa được thì chạy Safe Mode và xóa trong đó. Cách cuối cùng là xóa file C:\Windows\messenger.exe từ MSDOS. Nguồn ITVN
Sâu mạng mới 911 tạm gọi là W32/GirlXinh-Xrobots (Viết tắt là W32/GXX worm) là một loại virus mới xuất hiện từ 8/4/2006 và lây nhiễm qua Yahoo Messenger với tốc độ cực nhanh do công cụ chat Yahoo Messenger hiện nay được người dùng sử dụng khá phổ biến. Tiểu xảo để loại virus này lây lan đó là tự động gửi cho người đang chat với máy tính bị nhiễm virus một đường link có nội dung như sau: Em nay xinh lam, nhin ma fe http://xrobots.net/Gift/?file=Gaixinh.jpg Xem thu coi, buon cuoi ko the chiu duoc http://xrobots.net/Gift/?file=Embe.jpg Gai xinh ne, gai xinh http://xrobots.net/Gift/?file=Gaixinh.jpg Do tâm lý là đường link của bạn bè, đồng nghiệp gửi cho là an toàn và là ảnh một cô gái xinh nên hầu hết mọi người đều bấm vào đường link và máy tính sẽ yêu cầu người dùng download tệp Gaixinh.jpg.exe về (thực chất đây là phiên bản của sâu GirlXinh-Xrotbots vì nó có đuôi exe chứ không phải đuôi jpg). Sau đó script chạy ngầm trên Website Xrobots.net sẽ tự động thay đổi registry để nạp virus lúc Windows khởi động. 911 nhận định đây là một loại virus nội (Do kẻ viết copy mã nguồn trên mạng và sửa lại). Khi virus hoạt động nó tự động copy một phiên bản chính nó thành tệp %Windir%\Messenger.exe Ghi chú: %Windir% là thư mục Windows. mặc định là C:\Windows\System (đối với Windows 95/98/Me/XP/2003), C:\Winnt (đối với Windows NT/2000) Nạp tệp ứng dụng có tên là Gaixinh.jpg.exe và bộ nhớ Thay đổi Registry như sau 1. Thêm giá trị DisableRegedit=1 vào khoá HKEY_CURRENT_User\Software\Microsoft\Windows\CurrentVersion\Policies\System Để khoá không cho truy cập vào Regedit 2. Thêm giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe Vào khoá HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Để nạp virus lúc Windows khởi động 3. Thay đổi trang Homepage của Internet Explorer về trang chủ của virus bằng cách sửa giá trị của khoá HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page Về http://67.15.40.2/~tranphu/forumtp 4. Thêm giá trị sau vào các khoá khác trong regedit Giá trị là http://xRobots.net/Gift/New/ Và các khoá có thể thêm là HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast và ví dụ là HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-500\Software\Yahoo\pager\View\YMSGR_Launchcast Tốt nhất là dùng chức năng Find trong Regedit để tìm tất cả các xâu ký tự có nội dung là “http://xRobots.net/Gift/New/” để xoá đi CÁCH DIỆT 1. Trước hết mở Registry bằng cách download tệp sau về và chạy http://www.911.com.vn/download/khoa_regedit.vbs Khi máy tính báo Là được 2. Khởi động lại máy tính bằng chế độ SafeMode (Bấm F8 lúc máy tính khởi động). Sau đó Vào Start -> Run rồi gõ Regedit rồi Enter 2.1. Tìm khoá HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Và xoá giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe 2.2. Tìm khoá HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page Vào xoá hoặc thay đổi về địa chỉ HomePage vẫn dùng 2.3. Tìm toàn bộ các giá trị có nội dung như sau http://xRobots.net/Gift/New/ Và xoá đi. Các khoá có thể thêm ví dụ là HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast Và HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-500\Software\Yahoo\pager\View\YMSGR_Launchcast Tốt nhất là dùng chức năng Find trong Regedit để tìm tất cả các xâu ký tự có nội dung là “http://xRobots.net/Gift/New/” để xoá đi 3. Tìm tệp GirlXinh.jpg.exe và xoá đi (thường nằm trong Desktop hoặc My Documents), có thể tìm bằng chức năng Search của Windows. 4. Vào trong thư mục Windows tìm tệp Messenger.exe và xoá đi 5. Khởi động lại máy tính Ngoài ra cũng có thể dùng HijackThis để xoá các khoá và các process đang chạy của virus.Có thể download HijackThiss tại đây http://www.911.com.vn/download/hijackthis.exe Chúc thành công!!! Copyright by 911.com.vn
