on.Win.NETAPI.buffer-overflow.exploit

Mô tả ngắn về dòng virus Net-Worm.Win32.Kido

1. Nó tạo ra các tập tin autorun.inf và RECYCLED\{SID<....>}\RANDOM_NAME.vmx trong các ổ cứng di động (USB Flash) và đôi khi là trong mạng chia sẽ của các doanh nghiệp.

2. Nó lưu trữ chính nó vào hệ thống như là một tập tin DLL với một tên bất kỳ (vd: c:\windows\system32\zorizr.dll).

3. Nó đăng ký chính nó và hệ thống dịch vụ của máy tính với một tên bất kỳ (vd: knqdgsm).

4. Nó thử tấn công các máy tính thông qua cổng TCP 445 hoặc 139, sử dụng lỗi bảo mật MS Windows vulnerability MS08-067.

5. Nó thử kết nối tới một số website sau (chúng tôi khuyên bạn nên thiết lập tường lửa mạng để giám sát các kết nối tới những website này):
http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://trafficconverter.biz/4vir/antispyware/loadadv.exe
http://trafficconverter.biz
http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz
Các phương pháp diệt virus này

Khách hàng nên dùng một công cụ đặc biệt là kidokiller.exe để diệt loại virus này.

Để tránh cho tất cả máy trạm và server khỏi bị nhiễm loại sâu này, KH nên làm như sau:
• Cài đặt bản và lỗi mới nhất từ Microsoft đối với các lỗ hổng MS08-067, MS08-068, MS09-001.

• Chắc rằng mật khẩu của tài khoản Local Administrator khó có thể tìm ra và bị hack dễ dàng – mật khẩu nên bao gồm ít nhất 6 ký tự; sử dụng hỗn hợp lẫn lộn giữa chữ thường, chữ viết hoa, số và các ký tự đặc biệt (như dấu #, !, $, @...).

• Tắt tính năng chạy tự động từ ổ đĩa di động.
Công cụ kidokiller.exe có thể chạy trực tiếp trên máy tính bị nhiễm, hoặc từ xa với sự hỗ trợ của Kaspersky Administration ***.

Để gỡ bỏ virus trực tiếp trên máy bị nhiễm

1. Tải về tập tin nén KidoKiller_v3.3.2.zip và giải nén nó vào một thư mục trên máy tính bị nhiễm.

2. Chạy tập tin KidoKiller.exe

Khi quét sẽ xuất hiện nhiều cửa sổ dòng lệnh, nhấn nút bất kỳ để thu nhỏ cửa sổ. Để cửa sổ dòng lệnh tự động đóng lại, bạn nên chạy công cụ KidoKiller.exe với tham số –y.

3. Chờ cho đến khi quá trình quét hoàn tất.

Nếu trên máy bị nhiễm có cài Agnitum Outpost Firewall thì bắt buộc phải khởi động lại máy tính mỗi khi công cụ thực hiện xong.

4. Tiến hành quét toàn diện máy tính của bạn với Kaspersky Anti-Virus

Để gỡ bỏ virus thông qua Administration ***

1. Tải về tập tin nén KidoKiller_v3.3.2.zip và giải nén nó vào một thư mục.

2. Trong Administration *** console tạo gói cài đặt cho ứng dụng KidoKiller.exe. Trong gói cài đặt cấu hình trên bước Application chọn Make installation package for specified executable file.

Trong trường Executable file command line (optional) định tham số –y để đóng của sổ console tự động mỗi khi công cụ thực hiện xong.

3. Tạo một global hoặc group task for remote installation của gói cài đặt để gán vào các máy tính và chạy tác vụ.

Công cụ KidoKiller.exe có thể chạy trên tất cả các máy tính trong mạng theo dạng chạy tác vụ.

4. Sau mỗi lần công cụ hoạt động xong, quét virus từng máy tính trong mạng sử dụng Kaspersky Anti-Virus

Nếu trên máy bị nhiễm có cài Agnitum Outpost Firewall thì bắt buộc phải khởi động lại máy tính mỗi khi công cụ thực hiện xong.

Để biết thêm thông tin về công cụ này, chạy KidoKiller.exe với thông số –help.

Các thông số quản lý KidoKiller.exe từ dòng lệnh
• -p - scan a defined folder
• -f - quét ổ cứng
• -n - quét ổ đĩa mạng
• -r - quét ổ đĩa di động
• -y - kết thúc chương trình mà không cần nhấn phím bất kỳ
• -s - chế độ im lặng (không hiện cửa sổ màn hình đen)
• -l - ghi thông vào một tập tin nhật ký
• -v - extended log maintenance 0
• -help - hiển thị thông tin bổ sung về công cụ
Ví dụ, trong trường hợp quét một ổ đĩa di động và ghi nhận báo cáo vào một tập tin report.txt (nó sẽ được tạo trong thư mục cài đặt của KidoKiller.exe), sử dụng dòng lệnh sau:
kidokiller.exe -r -y -l report.txt -v
Theo Kaspersky Lab Việt Nam



4. Virus Safesys

Trong mấy ngày vừa qua, một loại virus không rõ nguồn gốc xuất xứ đã xuất hiện và hoành hành tại các phòng Net trong cả nước, làm mất ngủ dẫn đến hao mòn sức khỏe nghiêm trọng cho các anh em kỹ thuật viên. Trầm Tử Hạ cũng nằm trong số đó ! Trong lúc chờ câu trả lời của bác Quảng ở Bkis, Trầm xin được nêu ra đây những giải pháp phòng và diệt hiệu quả thằng SafeSys này để mong giúp anh em kỹ thuật viên cũng như các chủ tiệm Net bớt đi nỗi nhọc nhằn !
Trong bài viết này Trầm khai thác một số tư liệu tìm thấy trên Internet và qua kinh nghiệm bản thân, với mong muốn lớn nhất là chung tay "Nói KHôNG với virus"

1. Phòng tránh
Trước tiên xin chia vui với những ai chưa phải đối phó với con virus này. Tuy nhiên nó sẽ gõ cửa nhà bạn bất cứ lúc nào, vì vậy hãy thực hiện các bước sau :
- Tuyệt đối không cho khách hàng sử dụng USB (hay các thẻ nhớ từ máy nghe nhạc hoặc điện thoại) - Nếu không có thể khóa các cổng USB này lại bằng cách ngắt dây nối cổng trước và niêm phong cổng sau (tuy nhiên sẽ khó khăn với việc cắm WEBCAM). Đối với anh em kỹ thuật thì tham khảo link sau về cách cấm truy cập USB : http://sinhvienhoasen.com/forum/showthread.php?t=793
- Tuyệt đối cấm truy cập các trang web đen, download các bản hack, crack ... cái này phải chuyên tâm để ý thôi vì khách vào trang web nào khó mà kiểm soát hết.
- Sửa một số thông số của Windows để chặn file thực thi SafeSys.exe, tham khảo cách làm sau :
1. Start -- > Run --> gõ vào Gpedit.msc.
2. Computer Configuration --->Windows Settings -->Click chuột phải nhánh Software Restriction Policies , chọn Create New Policies
Nó sẽ xổ ra 2 menu con, trong đó có menu Additional Rules
3. Click chuột phải vào Additional Rules, chọn New Hash Rule
ở ô File hash bạn copy đoạn này vô: c3d5b136c6997a23669a79fccc2c185a:49094:32771

ở ô File infomation Copy đoạn này vô:
SafeSys.exe
48 KB
3/3/2009 6:58:08 PM

ở ô Security level �