Chào các bạn, với hiện tượng nhiễm virus Facebook vừa qua
khiến nhiều bạn vô cùng băn khoăn và lo lắng. Tuy các phần
mềm diệt virus vẫn thường xuyên cập nhật các biến thể của virus này, nhưng
với những bạn không có điều kiện, sẽ rất khó khăn cho việc phát hiện và cách ly
an toàn virus này.
Trên các diễn
đàn có rất nhiều Topic hướng dẫn. Tuy nhiên nó khá chung chung và rời rạc. Hôm
nay, mình xin tổng hợp và hướng dẫn các bạn cách phát hiện và diệt các loại
virus Facebook đang lây nhiễm phổ biến hiện nay trên mạng Internet. Công cụ để
sử dụng là phần mềm PCHunter miễn phí tại đây
 |
| Virus |
Virus
Facebook tự động send link dạng mediafire.com\xxx
Khác với loại
virus mediafire.com trước đây thì biến thể mới này có nhiều sự thay đổi hơn. Cấu
trúc phức tạp hơn. Virus mới này có đặc điểm là đi kèm file .tmp và file .bat
giả mạo. Sau khi nạn nhân kích vào link nhiễm. Virus bắt đầu âm thầm tải file
image-xxx.bmp... và tác dụng lên Task Manager khiến cho chuột của bạn nhấp nháy
liên tục.
Khi hoạt động
rồi. Virus tiếp tục tạo 2 file .tmp và file .bat, nhưng thực chất thì file .bat
mới chính là virus thực sự. Nó giả mạo những mã lệnh lằng quằng đã được mã hóa.
Tiếp đến virus sẽ cấy mã lệnh này vào hệ thống của win và thông qua trình duyệt
Internet để nhân bản virus. Đồng thời đăng nhập tài khoản FB và chèn KeyLogger
trên máy nạn nhân.
Cuối cùng
virus tạo ra khóa Regedit để kích hoạt với nhiều khóa khác nhau nhằm bảo vệ
file svchosts.exe:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\Microsoft Corp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\Microsoft Corp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion \Terminal
Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Corp
HKEY_USERS\S-1-5-21-1292428093-436374069-854245398-1003
\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Corp
Khi diệt
virus này thì các bạn cần phải chú ý vì không hề đơn giản ở chỗ. Nó có thể ẩn
sau file svchosts.exe của hệ thống nên các bạn phải cẩn thận.
Bước 1:
Kill và xóa nhanh chóng các file nigC0.tmp, nigC0.tmp.bat... trước đã. Phải xử
lý rất nhanh để virus không triển khai và phát tán tiếp.
Bước 2: Sau
đó mới Kill tiến trình svchosts.exe và nig120.tmp.bat ở thư mục Application
Data. Bạn nên xóa trực tiếp, chứ không được kích hay động vào nó nhé. Loại này
rất tinh vi. Bạn cần theo đường dẫn "C:\Documents and
Settings\%username%\Application Data" để xóa cho đúng. Nhớ là xóa thật
nhanh, chứ nếu bạn chậm vài giây sẽ không xử lý được đâu.
Bước 3: Cuối
cùng, xóa các khóa Regedit do virus tạo ra. Đồng thời xóa triệt để tàn dư ở
"C:\Documents and Settings\%username%\Application Data" nếu có.
Bước 4: Khi
xử lý xong tàn dư của virus, bạn hãy dọn dẹp trình duyệt cũng như bảo mật lại
tài khoản Facebook.
Bước 5: Nên
cài 1 phần mềm diệt virus bản quyền có chức năng phát hiện cũng như loại bỏ
Keylogger hiệu quả nhé.
Virus
Facebook dạng xxxPicturexx-JPEG.zip
Cách diệt cũng
tương tự như trên, nhưng lần này Kill đơn giản hơn.
Bước 1: Bạn
truy cập vào thư mục C:\WINDOWS và tìm rồi xóa file C:\WINDOWS\iqs.exe
Bước 2: Xóa
tiếp các khóa Regedit tạo ra. Bao gồm:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\Microsoft Firevall Engine
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\Microsoft Firevall Engine
Bước 3: Khi
xử lý xong tàn dư của virus, bạn hãy dọn dẹp trình duyệt cũng như bảo mật lại
tài khoản Facebook.
Bước 4: Nên
cài 1 phần mềm diệt virus bản quyền có chức năng phát hiện cũng như loại bỏ
Keylogger hiệu quả nhé.
Mẫu virus mới
với dạng link mediafire.com\photo-xxx...
Khác với loại
virus mediafire.com trước đây thì biến thể mới này có nhiều sự thay đổi hơn.
Virus mới này có đặc điểm là đi kèm file jpg và file exe. Sau khi nạn nhân kích
vào link nhiễm. Virus bắt đầu âm thầm tải file Photo-xxx.jpg... và tác dụng lên
Task Manager khiến cho chuột của bạn nhấp nháy liên tục.
Khi hoạt động
rồi. Virus tiếp tục tạo các file photo.jpg... Nhưng thực chất thì file Obpspg mới
chính là virus thực sự. Nó ẩn và chạy sau file photo.jpg. Tiếp đến virus sẽ tạo
file ảnh chứa nội dung không lành mạnh vào hệ thống của win và thông qua trình
duyệt Internet để nhân bản virus. Đồng thời đăng nhập tài khoản FB và chèn
KeyLogger trên máy nạn nhân. Phát tàn những nội dung không lành mạnh. Cuối cùng
virus tạo ra khóa Regedit để kích hoạt với nhiều khóa khác nhau nhằm bảo vệ
file Obpspg.exe. Bao gồm:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\Splinter Cells
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\Obpspg.exe
Khi diệt
virus này thì các bạn cần phải chú ý vì không hề đơn giản ở chỗ. Nó có thể ẩn
sau file photo.jpg nên các bạn phải cẩn thận.
Bước 1:
Kill và xóa nhanh chóng 3 file photo.jpg, B8.exe, Obpspg.exe trước đã. Phải xử
lý rất nhanh để virus không triển khai và phát tán tiếp.
Bước 2: Bạn
nên xóa trực tiếp, chứ không được kích hay động vào nó nhé. Bạn cần theo đường
dẫn "C:\Documents and Settings\%username%\Application Data" để xóa
cho đúng. Nhớ là xóa thật nhanh, chứ nếu bạn chậm vài giây sẽ không xử lý được
đâu.
Bước 3: Cuối
cùng, xóa các khóa Regedit do virus tạo ra. Đồng thời xóa triệt để tàn dư ở
"C:\Documents and Settings\%username%\Application Data" nếu có.
Bước 4: Khi
xử lý xong tàn dư của virus, bạn hãy dọn dẹp trình duyệt cũng như bảo mật lại
tài khoản Facebook.
Bước 5: Nên
cài 1 phần mềm diệt virus bản quyền có chức năng phát hiện cũng như loại bỏ
Keylogger hiệu quả nhé.
Trên đây là
các bước và phương án loại bỏ virus mới phát sinh vào đầu tháng 5 năm 2016. Nếu
có gì chưa hiểu các bạn Comment bên dưới nhé, mình sẽ giải đáp. Chúc các bạn
thành công!
0 comments:
Đăng nhận xét