Người dùng Yahoo Messenger “náo loạn” vì dính loại virus lạ

00:00, 04/05/2010

Vào những ngày gần đây, cộng đồng sử dụng YM đang “sốt sình sịch” do bị một loại virus lạ tấn công và đang có tốc độ lây lan rất nhanh.

Như chúng ta đã biết, với những người sử dụng Yahoo Messenger thì việc thường xuyên bị virus tấn công không còn là quá lạ vì đây là mục tiêu béo bở để khai thác. Xác định “sống chung với lũ” nhưng cũng không ít lần người sử dụng YM phải lao đao vì những loại virus cổ quái. Một trong số đó phải kể đến cái tên Kavo tự động đẩy người dùng thoát khỏi Yahoo hay Nhatquang của Việt Nam có tốc độ lây lan cực lớn.

 

Tuy nhiên, với đợt tấn công mới của loại virus tạm được gọi với cái tên Foto lại có một số điểm đặc biệt khác so với những loại virus trước đó. Điểm khác biệt là nó ko mở cửa sổ chat trên màn hình của người bị nhiễm. Do đó, bản thân nạn nhân đã bị nhiễm virus này ko biết máy tính của mình đã bị nhiễm virus, chỉ đến khi nhận đc thông báo từ những người khác mới hay mình đã dính “bẫy”.

Theo ghi nhận của chúng tôi tại một số diễn đàn lớn về tin học và những phản ánh từ phía người sử dụng Yahoo Messenger từ hôm 30/4 đến nay loại virus lạ này có tốc độ lây lan rất nhanh và tỏ ra “miễn nhiễm” với một số những chương trình diệt virus.

“Hôm 1/5 tôi đã nhận được đường link có liên quan đến con virus mới này. Tuy nhiên, lúc đó tôi đã trót kích vào do không nghĩ đó là đường link có chứa virus vì tưởng rằng bạn mình có ảnh đẹp muốn chia sẻ. Sau đó mới biết mình là nạn nhân thì đã muộn. Cứ thi thoảng lại thấy bạn bè vào mắng vốn vì bị spam, quả thực rất bực mình. Tuy nó không gây phiền hà như những loại virus khác là liên tục send vào list group nhưng lại âm thầm chạy nên càng nguy hiểm hơn.” Bạn Nguyễn Khoa, một trong những nạn nhân mới nhất của virus Foto bức xúc cho biết.

Còn theo nhận định ban đầu của một số dân chuyên môn thì cho rằng, loại virus này có một đặc điểm khá lạ đó là nó có đuôi định dạng .php làm người dùng tưởng rằng đó là một website nào đó về ảnh. Nhưng trên thực tế, khi đã kích vào sẽ tự động download theo link về máy nạn nhân trojan. Hơn nữa, khi phần mềm IDM tự động download thì chỉ hiện ra một website trống trơn và địa chỉ link rắc rối nên có thể nói đây là một trong những dấu hiệu là link giả mạo có gắn kèm Trojan để ăn cắp password hoặc các thông tin nạn nhân người dùng.


Trước phản ánh của cộng đồng người sử dụng YM trên một số diễn đàn công nghệ đã có hướng dẫn dành cho những người đã trót kích vào một trong số các đường link nguy hiểm trên.

Có hai cách để nhận diện và diệt con virus lạ này:

Cách 1: Dùng phần mềm diệt virut như Kas, Microsoft Security Essentials và đặc biệt là Malwarebytes' Anti-Malware 1.46 được cho là hữu hiệu nhất để diệt con virut Foto.

Lưu ý: Trước khi quét toàn bộ máy tính của mình bằng các trình diệt virus trên, trước hết bạn nên update lại những thông tin mới nhất về Malware và chắc chắn phần mềm có bản quyền. Sau đó, bắt đầu quét toàn bộ hệ thống.

Cách 2: Diệt thủ công

Bất cứ loại virus nào khi xâm nhập vào máy tính, dù có tinh quái đến đâu đều để lại dấu vết. Căn cứ vào đó, bạn có thể truy lùng nó bằng cách vào file hệ thống để tìm diệt nó bằng tay. Thao tác này hơi mất thời gian nhưng cũng không kém phần hữu hiệu. Bạn có thể kết hợp song song cùng với phần mềm diệt virus đang sử dụng.

Khuyến cáo: Hết sức cẩn thận khi xóa các file dưới đây thật chính xác.

C: \ Windows \ mds.sys

C: \ Windows \ mdt.sys

C: \ Windows \ winbrd.jpg

C: \ Windows \ infocard.exe

C: \ Program Files \ infocard.exe

C: \ Program Files \ mds.sys

C: \ Program Files \ mdt.sys

C: \ Program Files \ winbrd.jpg

C: \ Users \ Public \ mds.sys

C: \ Users \ Public \ mdt.sys

C: \ Users \ Public \ infocard.exe

C: \ Users \ Public \ winbrd.jpg

C: \ Documents and Settings \ Administrator \ mds.sys

C: \ Documents and Settings \ Administrator \ mdt.sys

C: \ Documents and Settings \ Administrator \ infocard.exe

C: \ Documents and Settings \ Administrator \ winbrd.jpg

C: \ Documents and Settings \ <user> \ mds.sys

C: \ Documents and Settings \ <user> \ mdt.sys

C: \ Documents and Settings \ <user> \ infocard.exe

C: \ Documents and Settings \ <user> \ winbrd.jpg

* <user> Là tên người dùng.
Tự xóa các khóa registry:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentV ersion\Run]“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe”

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List]“C:\\Documents and Settings\\<USER>\\Desktop\\IM56245.JPG-www.myspace.com.exe”=”C:\\WINDOWS\\infocard.ex e:*:Enabled:Firewall Administrating”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List]“C:\\Documents and Settings\\<USER>\\Desktop\\IM56245.JPGwww.myspace. com.exe”=”C:\\WINDOWS\\infocard.exe:*:Enabled: Firewall Administrating”

[HKEY_USERS\S-1-5-21-117609710-764733703-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Run]“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe”

* <user> Là tên người dùng

Cuối cùng, một số chuyên gia bảo mật cũng khuyến cáo người sử dụng nên cẩn trọng hơn khi kích vào các đường link lạ không rõ nguồn gốc.  Tốt nhất là nên xem xét cẩn thận và update liên tục những thông tin mới nhất cho phần mềm diệt virus của mình.

Theo Hoàng Lâm (Thể thao văn hóa)