Xem mẫu
- Nhiều hệ thống mạng VN bị Tro_small tấn công
- Theo Công ty Misoft, trong khoảng 1 tuần qua, khá nhiều hệ thống
mạng tại Việt Nam đã bị tấn công bởi sâu TROJ_SMALL.DK. Sâu này
sau khi lây nhiễm lập tức khóa quyền truy nhập folder option, registry,
taskmanger, ẩn tất cả thư mục trên hệ thống đồng thời tự sinh ra các file
chứa mã độc có tên và biểu tượng giống với các thư mục bị ẩn đi. Chính
điều này đã giúp cho loại sâu này lây lan rất mạnh do đã thành công trong
việc đánh lừa người dùng. Nó đặc biệt nguy hiểm với các máy chủ chia sẻ dữ
liệu, ftp.
Để loại bỏ sâu này ta cần thực hiện 3 bước sau:
1. Loại bỏ các file chứa mã độc: để loại bỏ các file
chứa mã độc, người dùng có thể sử dụng các sản
phẩm phòng chống virus của Trend Micro như OfficeScan, Pccillin 2007 với
pattern mới nhất được cập nhật từ Trend Lab, sau đó tiến hành scan toàn bộ
máy để loại bỏ các file chứa mã độc.
2. Khôi phục trạng thái hiện của các thư mục: Dùng lệnh attrib -s -h [path] /s
/d chạy trong command line để loại bỏ thuộc tính hidden của các thư mục.
- 3. Khôi phục registry: Để khôi phục trạng thái của TaskManager,
FolderOption người dùng có thể sử dụng đoạn mã dưới đây, save dưới dạng
file.reg rồi thực thi file này để khôi phục trạng thái registry.
*******
Windows Registry
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVer
sion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,0
0,74,
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,
00
- "HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVer
sion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Adv
anced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVer
sion\Explorer\Advanced\Folder\Hidden\SHOWALL]
- "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Adv
anced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
*******
nguon tai.lieu . vn