Những ngày gần đây, cộng đồng sử dụng Yahoo Messenger (YM) đang “sốt sình sịch” do bị một loại virus lạ tấn công và đang có tốc độ lây lan rất nhanh.
Với những người sử dụng Yahoo Messenger thì việc thường xuyên bị virus tấn công không còn là quá lạ vì đây là mục tiêu béo bở để khai thác. Xác định “sống chung với lũ” nhưng cũng không ít lần người sử dụng YM phải lao đao vì những loại virus cổ quái. Một trong số đó phải kể đến cái tên Kavo tự động đẩy người dùng thoát khỏi Yahoo hay Nhatquang của Việt Nam có tốc độ lây lan cực lớn.
Tuy nhiên, với đợt tấn công mới của loại virus tạm được gọi với cái tên Foto lại có một số điểm đặc biệt khác so với những loại virus trước đó. Điểm khác biệt là nó không mở cửa sổ chat trên màn hình của người bị nhiễm. Do đó, bản thân nạn nhân đã bị nhiễm virus này không biết máy tính của mình đã bị nhiễm virus, chỉ đến khi nhận được thông báo từ những người khác mới hay mình đã dính “bẫy”.
Theo ghi nhận tại một số diễn đàn lớn về tin học và những phản ánh từ phía người sử dụng Yahoo Messenger từ hôm 30/4 đến nay loại virus lạ này có tốc độ lây lan rất nhanh và tỏ ra “miễn nhiễm” với một số chương trình diệt virus.
“Hôm 1/5 tôi đã nhận được đường link có liên quan đến con virus mới này. Tuy nhiên, lúc đó tôi đã trót kích vào do không nghĩ đó là đường link có chứa virus vì tưởng rằng bạn mình có ảnh đẹp muốn chia sẻ. Sau đó mới biết mình là nạn nhân thì đã muộn. Cứ thi thoảng lại thấy bạn bè vào mắng vốn vì bị spam, quả thực rất bực mình. Tuy nó không gây phiền hà như những loại virus khác là liên tục send vào list group nhưng lại âm thầm chạy nên càng nguy hiểm hơn,” Nguyễn Khoa, một trong những nạn nhân mới nhất của virus Foto bức xúc cho biết.
Còn theo nhận định ban đầu của một số dân chuyên môn thì cho rằng, loại virus này có một đặc điểm khá lạ là có đuôi định dạng .php làm người dùng tưởng rằng đó là một website nào đó về ảnh. Nhưng trên thực tế, khi đã kích vào sẽ tự động download link có gắn kèm trojan về máy nạn nhân.
Hơn nữa, khi phần mềm IDM tự động download thì chỉ hiện ra một website trống trơn và địa chỉ link rắc rối nên có thể nói đây là một trong những dấu hiệu là link giả mạo có gắn kèm Trojan để ăn cắp password hoặc các thông tin nạn nhân người dùng.
Theo TT&VH Online/Vietnam+
Cách xử lý virus Foto - sâu W32.Ymfocard.Worm
Nếu như có ai đã lỡ bị dính virus này thì việc khôi phục lại cũng đơn giản thôi. Các bạn có thể làm như sau:
1- Mở explorer > vào Folder Option > chọn thẻ View > Chọn vào mục Show hidden file, bỏ các dấu tích ở các mục có chữ đầu là Hide...
2- Vào Star\Run > gõ vào msconfig > nhấn enter
3- Chọn thẻ Start up rồi bỏ tất cả các dấu tích trước các dòng có tên Firewall Administrating đi.
4- Tắt máy khởi động lại.
5- Vào C:\Windows > chọn file có tên infocard.exe rồi deleted đi là xong.
Cách diệt virus Foto
Theo khảo sát nhanh của Nhịp sống số, virus Foto không chỉ lây lan qua trình tin nhắn tức thời Yahoo Messenger, nó còn tấn công cả MSN / Windows Live Messenger và mạng xã hội Facebook. Hiện nay số lượng các chương trình diệt virus nhận dạng được Foto hay image.php chưa nhiều, để tiêu diệt nhanh gọn và miễn phí, bạn nên dùng Malwarebytes.
- Truy cập vào website Malwarebytes và tải về phiên bản miễn phí tại đây: http://download.cnet.com/3001-8022_...0442d84abe00c30de2c01be59a52&part=dl-10804572.
- Sau khi tải về, bạn tiến hành cài đặt và đánh dấu chọn ở phần "Update Malwarebytes’ Anti-Malware" ở cửa sổ cài đặt cuối để cập nhật cơ sở dữ liệu mới nhất.
- Tải tiếp công cụ miễn phí Process Explorer: http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx để quản lý các tiến trình đang hoạt động trên hệ thống mà trong đó có một số tiến trình của virus. Chạy Process Explorer và khóa (disable) các tiến trình sau: mds.sys, mdt.sys, winbrd.jpg, net.exe, infocard.exe.
- Vào thư mục C:\Windows (thư mục cài đặt hệ điều hành Windows), xóa năm tập tin trên.
- Vào Start - Run hoặc nhấn phím Windows + R, gõ regedit và Enter. Tìm đến các khóa giá trị và xóa chúng đi. Tuy nhiên, cần lưu ý nếu bạn không nắm vững các thao tác trong Registry thì tốt nhất nên bỏ qua bước này vì nếu có sai sót, Windows sẽ gặp trục trặc dẫn đến việc cài đặt lại.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentV ersion\Run] “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List]
“C:\\Documents and Settings\\\\Desktop\\IM56245.JPG-www.myspace.com.exe”=”C:\\WINDOWS\\infocard.ex e:*:Enabled:Firewall Administrating” “C:\Documents and Settings\\ [/ b]\\ Desktop\\ IM56245.JPG-www.myspace.com.exe” = “C:\WINDOWS\\ infocard.exe: *: Enabled: Firewall Administrating ”
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List]
“C:\\Documents and Settings\\\\Desktop\\IM56245.JPG-www.myspace.com.exe”=”C:\\WINDOWS\\infocard.ex e:*:Enabled:Firewall Administrating” “C:\Documents and Settings\\ [/ b]\\ Desktop\\ IM56245.JPG-www.myspace.com.exe” = “C:\WINDOWS\\ infocard.exe: *: Enabled: Firewall Administrating ”
[HKEY_USERS\S-1-5-21-117609710-764733703-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Run]
“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
- Khởi động lại hệ thống ở chế độ Safe Mode bằng cách nhấn F8 ở màn hình khởi động. Giao diện tùy chọn khởi động sẽ xuất hiện như hình bên dưới, bạn chọn tiếp "Safe Mode" và Enter. Hệ thống sẽ khởi động ở chế độ Safe Mode.
Chạy Malwarebytes và quét toàn bộ hệ thống. Sau khi Malwarebytes hoàn tất việc "dọn dẹp", bạn khởi động lại và thử nghiệm chat trên YM với một người bạn xem còn bị tình trạng tự động gửi tin nhắn kèm liên kết chứa virus hay không.
Trường hợp bị virus Foto lây nhiễm khi đang sử dụng MSN / Windows Live Messenger thì có thể tải chương trình bảo vệ miễn phí MSN Virus Removal tại đây: http://www.msnvirusremoval.com/download.php hoặc có thể gửi cho nhóm phát triển mẫu virus mới mà MSN Virus Removal chưa thể khắc phục bằng công cụ Info Gatherer.
THANH TRỰC
Với những người sử dụng Yahoo Messenger thì việc thường xuyên bị virus tấn công không còn là quá lạ vì đây là mục tiêu béo bở để khai thác. Xác định “sống chung với lũ” nhưng cũng không ít lần người sử dụng YM phải lao đao vì những loại virus cổ quái. Một trong số đó phải kể đến cái tên Kavo tự động đẩy người dùng thoát khỏi Yahoo hay Nhatquang của Việt Nam có tốc độ lây lan cực lớn.
Tuy nhiên, với đợt tấn công mới của loại virus tạm được gọi với cái tên Foto lại có một số điểm đặc biệt khác so với những loại virus trước đó. Điểm khác biệt là nó không mở cửa sổ chat trên màn hình của người bị nhiễm. Do đó, bản thân nạn nhân đã bị nhiễm virus này không biết máy tính của mình đã bị nhiễm virus, chỉ đến khi nhận được thông báo từ những người khác mới hay mình đã dính “bẫy”.
Theo ghi nhận tại một số diễn đàn lớn về tin học và những phản ánh từ phía người sử dụng Yahoo Messenger từ hôm 30/4 đến nay loại virus lạ này có tốc độ lây lan rất nhanh và tỏ ra “miễn nhiễm” với một số chương trình diệt virus.
“Hôm 1/5 tôi đã nhận được đường link có liên quan đến con virus mới này. Tuy nhiên, lúc đó tôi đã trót kích vào do không nghĩ đó là đường link có chứa virus vì tưởng rằng bạn mình có ảnh đẹp muốn chia sẻ. Sau đó mới biết mình là nạn nhân thì đã muộn. Cứ thi thoảng lại thấy bạn bè vào mắng vốn vì bị spam, quả thực rất bực mình. Tuy nó không gây phiền hà như những loại virus khác là liên tục send vào list group nhưng lại âm thầm chạy nên càng nguy hiểm hơn,” Nguyễn Khoa, một trong những nạn nhân mới nhất của virus Foto bức xúc cho biết.
Còn theo nhận định ban đầu của một số dân chuyên môn thì cho rằng, loại virus này có một đặc điểm khá lạ là có đuôi định dạng .php làm người dùng tưởng rằng đó là một website nào đó về ảnh. Nhưng trên thực tế, khi đã kích vào sẽ tự động download link có gắn kèm trojan về máy nạn nhân.
Hơn nữa, khi phần mềm IDM tự động download thì chỉ hiện ra một website trống trơn và địa chỉ link rắc rối nên có thể nói đây là một trong những dấu hiệu là link giả mạo có gắn kèm Trojan để ăn cắp password hoặc các thông tin nạn nhân người dùng.
Theo TT&VH Online/Vietnam+
Cách xử lý virus Foto - sâu W32.Ymfocard.Worm
Nếu như có ai đã lỡ bị dính virus này thì việc khôi phục lại cũng đơn giản thôi. Các bạn có thể làm như sau:
1- Mở explorer > vào Folder Option > chọn thẻ View > Chọn vào mục Show hidden file, bỏ các dấu tích ở các mục có chữ đầu là Hide...
2- Vào Star\Run > gõ vào msconfig > nhấn enter
3- Chọn thẻ Start up rồi bỏ tất cả các dấu tích trước các dòng có tên Firewall Administrating đi.
4- Tắt máy khởi động lại.
5- Vào C:\Windows > chọn file có tên infocard.exe rồi deleted đi là xong.
Cách diệt virus Foto
Theo khảo sát nhanh của Nhịp sống số, virus Foto không chỉ lây lan qua trình tin nhắn tức thời Yahoo Messenger, nó còn tấn công cả MSN / Windows Live Messenger và mạng xã hội Facebook. Hiện nay số lượng các chương trình diệt virus nhận dạng được Foto hay image.php chưa nhiều, để tiêu diệt nhanh gọn và miễn phí, bạn nên dùng Malwarebytes.
- Truy cập vào website Malwarebytes và tải về phiên bản miễn phí tại đây: http://download.cnet.com/3001-8022_...0442d84abe00c30de2c01be59a52&part=dl-10804572.
- Sau khi tải về, bạn tiến hành cài đặt và đánh dấu chọn ở phần "Update Malwarebytes’ Anti-Malware" ở cửa sổ cài đặt cuối để cập nhật cơ sở dữ liệu mới nhất.
- Tải tiếp công cụ miễn phí Process Explorer: http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx để quản lý các tiến trình đang hoạt động trên hệ thống mà trong đó có một số tiến trình của virus. Chạy Process Explorer và khóa (disable) các tiến trình sau: mds.sys, mdt.sys, winbrd.jpg, net.exe, infocard.exe.
- Vào thư mục C:\Windows (thư mục cài đặt hệ điều hành Windows), xóa năm tập tin trên.
- Vào Start - Run hoặc nhấn phím Windows + R, gõ regedit và Enter. Tìm đến các khóa giá trị và xóa chúng đi. Tuy nhiên, cần lưu ý nếu bạn không nắm vững các thao tác trong Registry thì tốt nhất nên bỏ qua bước này vì nếu có sai sót, Windows sẽ gặp trục trặc dẫn đến việc cài đặt lại.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentV ersion\Run] “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List]
“C:\\Documents and Settings\\\\Desktop\\IM56245.JPG-www.myspace.com.exe”=”C:\\WINDOWS\\infocard.ex e:*:Enabled:Firewall Administrating” “C:\Documents and Settings\\ [/ b]\\ Desktop\\ IM56245.JPG-www.myspace.com.exe” = “C:\WINDOWS\\ infocard.exe: *: Enabled: Firewall Administrating ”
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List]
“C:\\Documents and Settings\\\\Desktop\\IM56245.JPG-www.myspace.com.exe”=”C:\\WINDOWS\\infocard.ex e:*:Enabled:Firewall Administrating” “C:\Documents and Settings\\ [/ b]\\ Desktop\\ IM56245.JPG-www.myspace.com.exe” = “C:\WINDOWS\\ infocard.exe: *: Enabled: Firewall Administrating ”
[HKEY_USERS\S-1-5-21-117609710-764733703-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Run]
“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
- Khởi động lại hệ thống ở chế độ Safe Mode bằng cách nhấn F8 ở màn hình khởi động. Giao diện tùy chọn khởi động sẽ xuất hiện như hình bên dưới, bạn chọn tiếp "Safe Mode" và Enter. Hệ thống sẽ khởi động ở chế độ Safe Mode.
Chạy Malwarebytes và quét toàn bộ hệ thống. Sau khi Malwarebytes hoàn tất việc "dọn dẹp", bạn khởi động lại và thử nghiệm chat trên YM với một người bạn xem còn bị tình trạng tự động gửi tin nhắn kèm liên kết chứa virus hay không.
Trường hợp bị virus Foto lây nhiễm khi đang sử dụng MSN / Windows Live Messenger thì có thể tải chương trình bảo vệ miễn phí MSN Virus Removal tại đây: http://www.msnvirusremoval.com/download.php hoặc có thể gửi cho nhóm phát triển mẫu virus mới mà MSN Virus Removal chưa thể khắc phục bằng công cụ Info Gatherer.
THANH TRỰC
Chỉnh sửa cuối: