Hướng dẫn loại bỏ virus Sality.AT ra khỏi hệ thống ?
14:00, 29/08/2011
Sality.AT là loại virus nguy hiểm gây hại cho cơ cấu hoạt động của Windows bằng cách tấn công vào các tập tin thực thi, nó lây lan trên hệ thống thông qua việc nhân bản chính bản thân nó và sao chép chính nó vào các thiết bị di động nếu đang có sự kết nối với máy tính bị lây nhiễm. Sau khi xâm nhập và lây lan nó sẽ ngăn chặn mọi hoạt động của các ứng dụng chống Virus và chống phần mềm độc hại đồng thời ngăn chặn các tiện ích bảo mật đi kèm của Windows nhằm ngăn ngừa việc phát hiện, loại bỏ nó.
1. Triệu chứng thay đổi hệ thống
* Đột ngột ngừng các hoạt động liên quan đến các ứng dụng bảo mật, quy trình (Process) hoặc các dịch vụ (Services).
1. Triệu chứng thay đổi hệ thống
* Đột ngột ngừng các hoạt động liên quan đến các ứng dụng bảo mật, quy trình (Process) hoặc các dịch vụ (Services).
* Vô hiệu hóa chức năng Registry Editor.
* Đăng ký trình điều khiển với hệ thống : %SystemRoot%\system32\drivers\amsint32.sys - Trojan:WinNT/Sality
2. Cơ chế lây nhiễm
Win32/Sality.AT tự động đăng ký mã độc vào các tiến trình đang hoạt động để tự chạy và lây nhiễm sang các tập tin thực thi của Windows có đuôi .EXE hoặc SCR. Nó lây lan các mục tiêu bằng cách đọc tên các tập tin được tìm thấy trong các khóa đăng ký (Registry) sau
HKEY_CURRENT_USER\Software\icrosoft\Windows\ShellNoRoam\MUICache
HKEY _CURRENE_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nó không lây nhiễm vào các tập tin đã được bảo vệ bởi SFC (System File Checker) của Windows hoặc các tập tin của các ứng dụng chống Virus, Malware.
Sality.AT sẽ lây nhiễm vào các tập tin tạm thời và các tập tin sao chép của Windows
%SystemRoot%\system32\NOTEPAD.EXE
%SystemRoot%\system32\WINMINE.EXE
Sao chép chính bản thân nó vào các thiết bị di động và các tính năng kết nối điều khiển từ xa (Remote) với các định dạng
\<random>.pif
\<random>.exe
\<random>.cmd
Sau khi đã tạo được các bản sao trên các đối tượng nó sẽ tạo một tập tin có tên Autorun.inf để cấu hình tự chạy khi có sự kết nối giữa máy tính với các thiết bị di động hoặc các trình điều khiển từ xa để tự lây nhiễm và tự kết nối với máy chủ nhằm chuyển tải thông tin quan trọng thu thập được của nạn nhân về chủ nhân của nó đồng thời tải các phần mềm độc hại khác về máy tính nhằm thực hiện các hành động trái phép khác như gửi tin nhắn, thư rác và lây nhiễm v.v....
3. Tác động của Virus vào máy tính của bạn:
a. Tự động ngăn chặn
Nó sẽ xóa tất cả các giá trị đăng ký và các dữ liệu quan trọng trong các khóa để ngăn chặn nạn nhân sử dụng Windows trong chế độ an toàn (SafeMode)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
Sality.AT sẽ thực hiện một hành động nguy hiểm đối với hệ thống là vô hiệu hóa toàn bộ các chức năng an ninh của Windows và hoạt động bảo vệ của các ứng ứng dụng chống Virus, Malware đang cài đặt trên máy tính nạn nhân để tránh việc phát hiện, loại bỏ nó bằng cách vô hiệu hóa SSDT (System Service Desciptor Table) từ tập tin ntoskrnl.exe nhằm tránh việc phát hiện thông tin của Rootkit nó đang sử dụng của Windows và các ứng dụng chống Virus, Malware dựa trên mã SSDT. Nó cũng xóa luôn các dữ liệu bảo mật trong cơ sở dữ liệu liên quan đến các ký tự .AVC, .VDB
b. Tự động chỉnh sửa các thiết lập và kết nối
Nó thực hiện chỉnh sửa, tạo mới các thiết lập an ninh trong trình đăng ký nhằm vô hiệu hóa Registry Editor
Thiết lập giá trị : "DisableRegistryTools"
Dữ liệu : "1"
Tại khóa : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
Ngăn chặn việc xem thuộc tính ẩn
Thiết lập giá trị : "Hidden"
Dữ liệu : "2"
Tại khóa : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
Giảm thiểu chức năng bảo mật của máy tính, ngăn chặn tường lửa của Windows và các ứng dụng chống Virus, Malware nhằm tránh việc ngăn chặn hành động kết nối tới các máy chủ bên dưới để tải phần mềm độc hại về máy tính bị lây nhiễm.
www.klkjwre9fqwieluoi.info
kukutrustnet777888.info
klkjwre77638dfqwieuoi888.info
89.119.67.154
kukutrustnet777.info
kukutrustnet888.info
kukutrustnet987.info
Huớng dẫn cách ngăn chặn sự lây nhiễm
* Kích hoạt tường lửa của Windows hoặc các ứng dụng bảo mật đang được cài đặt trên máy tính.
* Cập nhật phiên bản mới nhất cho các ứng dụng đang cài đặt trên máy tính.
* Cập nhật cơ sở dữ liệu nhận dạng mới nhất cho ứng dụng chống Virus, Malware
* Cẩn thận khi nhấn vào các liên kết trên trang web lạ.
* Xóa bỏ các thư điện tử lạ và các tập tin đi kèm.
* Cẩn thận khi sử dụng các phần mềm lậu.
* Sử dụng mật khẩu trên 12 ký tự gồm chữ, số và các ký tự đặc biệt để bảo vệ tài khoản.
Làm sao để loại bỏ Sality.AT ra khỏi hệ thống?
1_ Sử dụng nhờ máy người thân, bạn bè tải Rkill và Malwarebyte's AntiMalware về lưu trên USB sạch, sau đó đổi tên 2 tập tin rkill và mam-setup thành tên bất kỳ như abc.com, cde.com để tránh việc đọc tên ứng dụng, ngăn chặn hoạt động của Sality.AT đối với 2 ứng dụng này.
Tải công cụ Rkill
Tải công cụ MalwareByte's AntiMaleware Free
2_ Kết nối USB với máy tính bị nhiễm kích hoạt rkill, khi Rkill xuất hiện trên màn hình nhấn vào phím bất kỳ để thực hiện việc vô hiệu hóa các tiến trình đang chạy của Sality.AT và phần mềm độc hại khác.
Sau khi thực hiện xong quá trình vô hiệu hóa các tiến trình đang chạy Rkill sẽ hiển thị thông tin của tất cả trong Notepate. Do hệ thống của tác giả không có sự hiện diện của bất kỳ dấu vết nào của Virus nên chỉ hiển thị 2 tiến trình đang chạy là Avira Premium Security Suite và Unikey đã bị Rkill vô hiệu hóa và hình ảnh này chỉ là minh họa thay thế cho các tiến trình hoạt động của Sality.AT và các phần mềm độc hại.
Và trong lúc tải nó về trên máy người thân, bạn bè nó có thể bị ngăn chặn bởi sự nhận dạng "Dương Tính Sai" vì nó thật sự là vô hại đây là một công cụ hỗ trợ đắc lực cho các ứng dụng chống Virus, Malware khi máy tính bị tấn công từ Virus, Malware, Trojans, Spyware v.v .... Để biết thêm thông tin chi tiết về RKill bạn hãy try cập vào http://www.bleepingcomputer.com/forums/topic308364.html
Bạn hãy kiên nhẫn trong thời gian Rkill thực hiện việc vô hiệu hóa các tiến trình đang hoạt động của Sality.AT và các phần mềm độc hại vì tùy theo sự lây nhiễm nhẹ hay nặng trên máy tính của nạn nhân do đó thời gian có thể là 15', 30' và có thể lên đến 1 _ 2h.
Sau khi Rkill kết thúc, bạn hãy thực hiện ngay việc kích hoạt Malwarebyte's AntiMalware cập nhật dữ liệu mới nhất rồi thực hiện quét kiểm tra toàn bộ hệ thống với chế đệ quét sâu (Full Scan) để loại bỏ các trình đăng ký của Sality.AT và các phần mềm độc hại trên máy tính. Sau khi Malwarebyte's AntiMalware thực hiện xong, nếu kỹ hơn nữa bạn hãy kích hoạt ứng dụng chống Virus đang cài đặt trên hệ thống để cập nhật dữ liệu mới nhất và quét kiểm tra toàn bộ hệ thống một lần nữa sau khi kết thúc > khởi động lại máy tính kiểm tra lại toàn bộ hoạt động của hệ thống.
Qduc