• Thứ Ba, 11/04/2006 18:10 (GMT+7)

    Đã trừ được virus “Gái xinh”

    Sáng 11/4, Trung Tâm An Ninh Mạng (Bkis) đã xác định được kẻ phát tán virus Gaixinh, đồng thời đưa ra phiên bản Bkav diệt virus này. Không như một số báo đưa tin, virus Gaixinh, phát tán rất mạnh từ hôm qua (10/4/2006), không phải là BOTNET và không lây lan dựa vào lỗi của trình nhắn tin Yahoo! Massenger.

    Hình ảnh minh hoạ quá trình giải mã "Gái xinh"
    Theo Bkis, virus chỉ được sử dụng để tải BOTNET xuống và nó lây lan dựa vào sơ hở của người sử dụng chứ không phải do lỗi của Yahoo! Messenger. Đến sáng 11/4, ước tính đã có khoảng 10.050 máy tính ở Việt Nam đã trở thành nạn nhân. Qua quá trình phân tích, Bkis ghi nhận có 2 biến thể virus này được tạo ra trong ngày 10/04/2006, đặt tên là GaixinhYMA và GaixinhYMB. Đặc biệt, sau khi giải mã đã tìm thấy một dấu vết rất quan trọng có liên quan tới tác giả của virus. Đến 22 giờ 30 phút ngày 10/04/2006, Bkis đã khẳng định về cơ bản thủ phạm tạo ra virus này (xác minh được tên, số điện thoại, địa chỉ của kẻ bị tình nghi). 23 giờ 30 phút cùng ngày, Bkis đã hoàn tất phương án xử lý. Bkav845 được cập nhật lên website www.bkav.com.vn. 3 giờ 25 phút sáng 11/04/2006, toàn bộ công việc hoàn thành, bao gồm cả việc xử lý virus và truy tìm thủ phạm. Bkis cho biết sẽ tiếp tục làm việc với các cơ quan an ninh để xử lý vụ việc này.

     

     

    Hướng dẫn xử lý virus:

     

    Bkis đã cập nhật phương án xử lý cả 2 phiên bản của virus này vào Bkav845. Để diệt virus này xin các bạn lưu ý:

     

    - Đối với khách hàng dùng bản BkavPro: phiên bản mới nhất sẽ tự động cập nhật khi bạn bật máy, sau đó bạn chỉ cần quét tất cả các file, tất cả các ổ đĩa.

     

    - Đối với các khách hàng dùng bản Bkav Home, bạn cần tải về phần mềm Bkav Home phiên bản mới nhất. Sau đó chạy Bkav, chọn quét tất cả các file, tất cả các ổ đĩa.

     

    Nếu chưa cài đặt Bkav phiên bản mới, bạn nên tuyệt đối tránh bấm vào các đường dẫn (link) có dạng như sau:

     

    "Xem thu coi, buon cuoi ko the chiu duoc http://67.....2/~neun/?file=sac"

    "Em nay xinh lam, nhin ma fe http:// 67.....2/~neun/?file=xgirl"

    "Cai gi the nay, Choang http:// 67.....2/~neun/?file=wow"

    "Xem thu cai nay di http:// 67.....2/~neun/?file=funfun"

    "Hi hi hi http:// 67.....2/~neun/?file=haha"

    "Xem thu coi, buon cuoi ko the chiu duoc http://xrobots.../Gift/?file=Embe.jpg"

    “Em nay xinh lam, nhin ma fe http://xrobots.../Gift/?file=Gaixinh.jpg"

    "Film vui , flim vui : http://xrobots.../Gift/?file=Funny.swf"

    "Xem thu cai nay di http://xrobots.../Gift/?file=Anhdep.jpg"

    "Tang cho ban nay : http://xrobots...t/Gift/?file=e-card.htm"

     

    Mô tả nguyên lí hoạt động của virus

     

    Khi lây nhiễm vào một máy tính, virus sẽ tải file http://xrobots.net/Gift/Robots.exe từ trên mạng Internet về và ghi thành file Messenger.exe trong thư mục Windows, ghi các tham số để nạp virus tự động vào bộ nhớ khi khởi động máy, tự dò tìm cập nhật phiên bản virus mới. Như vậy, về nguyên tắc kẻ phát tán virus có thể cài đặt tùy ý các phần mềm lên máy của nạn nhân.

     

    Sau đó, virus đặt mặc định trình duyệt IE trỏ tới địa chỉ http://67.15.40.2/~tr..../forumtp. Đây là diễn đàn của cựu học sinh một trường chuyên của TP Hải Phòng. Kẻ phát tán virus cũng được xác minh là thành viên của diễn đàn này.

     

    Ngoài ra, virus còn thiết lập một số tham số khác của Yahoo! Messenger và khóa (Disable) không cho người sử dụng truy cập vào Regedit (một công cụ để thiết lập tham số hoạt động cho hệ điều hành Windows và các phần mềm ứng dụng); tìm các cửa sổ Yahoo! Messenger mà nạn nhân đang dùng để hội thoại với người khác, sau đó tự động gửi virus một cách ngẫu nhiên.

     

    Nếu là phiên bản GaixinhYMA, gần như bất kì ai chat với nạn nhân cũng đều trở thành “con mồi” tiếp theo của virus. Phiên bản GaixinhYMB được cải tiến để lây lan “kinh khủng” hơn. Không chỉ tìm cách lây sang những máy tính mà chủ của nó đang trực tiếp chat với nạn nhân, nó còn tìm cách gửi virus tới cả những người trong sổ địa chỉ Yahoo! Messenger dù họ đang trực tuyến (online) hay không trực tuyến (offline).

     

    Thụy Anh

    ID: O0604_1