Cách diệt W32.Pahatia.A

Cập nhật 5, 30 .2006

Phát hiện 6 ,5,2006

Kiểu worm

Có kick thước khoảng 90.112 bytes

Những hệ thống bị lây nhiểm Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Khi nhiễm W32.Pahatia.A nó sẽ thực hiện những bước sau

Copy và tạo thêm một số file sai vào hệ thống

C:\Documents and Settings\All Users\Desktop\My Documents.exe

C:\Documents and Settings\All Users\Start Menu\Programs\My Documents.exe

C:\Program Files\Microsoft Office\Temp.exe

C:\WINDOWS\security\krnl32.bat

C:\WINDOWS\system\Aku Bisa Tanpamu.exe

C:\WINDOWS\system\Aku Kecewa.exe

C:\WINDOWS\system\Dibalas Dengan Dusta.exe

C:\WINDOWS\system\ISASS.exe

C:\WINDOWS\system\Kau Pikir Kaulah Segalanya.exe

C:\WINDOWS\system\LNETINFO.exe

C:\WINDOWS\system\mr.abram’s.exe

C:\WINDOWS\system\Sejauh Mungkin.exe

C:\WINDOWS\system\Tak Seperti Dulu.exe

C:\WINDOWS\system\Viva Elektro.exe

C:\WINDOWS\system32\Patah_0[RANDOM].exe

C:\WINDOWS\hkcmd.exe

C:\WINDOWS\system.exe

Sao chép chính nó vào hệ thống Data [COMPUTER NAME].exe và copy vào chính ổ cứng

%UserProfile%\My Documents

D:

E:

F:

G:

H:

I:

J:

K:

L:

M:

N:

Z:\

C:\Patah Hati.txt

Copies itself as the following file so that it runs every time Windows starts:

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\system startup.pif

Add theem giá trị sau

“Patah Hati” = “C:\WINDOWS\system\ISASS.exe”

“user logon” = “C:\WINDOWS\Help\user logon.exe”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

và khởi động khi windown chạy

“HotKeysCmds” = “C:\WINDOWS\hkcmd.exe”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

“Shell” = “Explorer.exe “C:\Program Files\Microsoft Office\Temp.exe””

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

“NoFind” = “1”

HKEY_CURRENT_USER\Software\Policies\Microsoft\CurrentVersion\Policies\Explorer

“NoRun” = “1”

“NoFolderOptions” = “1”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Khi nhiểm sẽ thực hiên các bước sau

“DisableTaskMgr” = “1”

“DisableCMD” = “1”

“DisableRegistryTools” = “1”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

“HideFileExt” = “1”

“Hidden” = “2”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

“RegisteredOrganization” = “mr.abram’s”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

msconfig.exe

regedit.exe

taskmgr.exe

cmd.exe

ntvdm.exe

setup.exe

x-raypc.exe

rx box.exe

processxp.exe

hijackthis.exe

sysmech6.exe

integrator.exe

rstrui.exe

mmc.exe

winamp.exe

Cách diệt

1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)

2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất

Norton AntiVirus 2006, Symantec AntiVirus Corporate Edition 10.0

Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Edition 9.0

3. Chạy và quét toàn bộ hệ thống.

a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.

b. Chạy một hệ thống đầy đủ và quét

Chỉnh sửa lại regedit

Click Start > Run .

Gõ regedit

Click OK .

Bạn tìm đến key sau

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Xóa file trong

“Patah Hati” = “C:\WINDOWS\system\ISASS.exe”

“user logon” = “C:\WINDOWS\Help\user logon.exe”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Tìm đến và xóa giá tri sau

“HotKeysCmds” = “C:\WINDOWS\hkcmd.exe”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

“Shell” = “Explorer.exe “C:\Program Files\Microsoft Office\Temp.exe””

“Shell” = “Explorer.exe”

HKEY_CURRENT_USER\Software\Policies\Microsoft\CurrentVersion\Policies\Explorer

“NoFind” = “1”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

“NoRun” = “1”

“NoFolderOptions” = “1”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

“DisableTaskMgr” = “1”

“DisableCMD” = “1”

“DisableRegistryTools” = “1”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

“HideFileExt” = “1”

“Hidden” = “2”

Đến giá trị sau và thêm

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

“RegisteredOrganization” = “mr.abram’s”

Thóat khỏi Registry

5. To re-enable registry access

If registry access has been disabled, perform the following:

1. Click Start > Run .

2. Type:

Notepad

and then click OK .

3. Type, or copy and paste, the following text into the text file:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

“DisableRegistryTools”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System]

“DisableRegistryTools”=dword:00000000

4. Save the file as C:\Repair.reg.

5. Click Start > Run .

6. Type:

regedit -s C:\repair.reg

and then click OK .

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s