Cho mình hỏi cách diệt Trojan-Dropper.Win32.Stuxnet hay còn được gọi là virus “Shortcut” ?

1. Tên gọi của các hãng :

Kaspersky: Trojan-Dropper.Win32.Stuxnet
Microsoft: Win32/CplLnk
Symantec: W32.Stuxnet!lnk
BitDefender: Trojan.Agent.AQCL

2. Mô tả :

Vào ngày 10/7/2010, một lỗ hổng nghiêm trọng trong Windows Shell đã được phát hiện. Hiện tại, mã độc Stuxnet đang khai thác triệt để lỗ hổng này. Thời điểm hiện tại, Microsoft chỉ đưa ra công cụ phòng vệ tạm thời mà chưa đưa ra được bản vá lỗi chính thức

Kaspersky nhận dạng các dòng virus khai thác lỗ hổng này là dòng Trojan-Dropper.Win32.Stuxnet (có nhiều biến thể).Nếu trong USB bạn có chứa file .lnk (định dạng shortcut) đã được hacker nhúng mã độc Stuxnet. Khi bạn click mở USB thì file mã độc sẽ được thực thi ngay lập tức. Điều rất nguy hiểm là virus này có thể tự động kích hoạt ngay cả khi người dùng đã vô hiệu hóa tính năng AutoPlay và AutoRun.

Lỗ hổng lần này được tin tặc khai thác để thực thi mã độc với mục đích chiếm quyền điều khiển hệ thống của người dùng nhằm mục đích cài đặt các chương trình độc hại khác, lấy cắp, thay đổi hoặc xóa dữ liệu người dùng.

Sau khi lây nhiễm vào máy tính, virus tạo ra các shortcut (có dung lượng 1k) cho từng thư mục (hình dưới)

Ngoài biểu hiện trên, virus tiến hành một số cài đặt quan trọng sau vào máy tính nạn nhân:

- Tập tin “database.mdb” được tạo trong thư mục My Document
- Các tập tin “Autorun.inf”, “Thumb.db”, “Microsoft.lnk” được tạo trong từng ổ đĩa và thư mục
- Tập tin “WScrip.exe” được tạo trong thư mục system32 và system32dllcache
- Hệ thống Registry bị vô hiệu quá

Virus tạo giá trị quan trọng sau trong Registry để cho tiến trình “Wscript.exe” chạy mỗi khi Windows khởi động
[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurr entversion un]
“WinUpdate”=”Wscript.exe /e:VBScript ”C:WINDOWS:Microsoft Office Update for Windows XP.sys”"
[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurre ntversion un]
“Explorer”=”Wscript.exe //e:VBScript ”C:Documents and SettingsAdministratorMy Documentsdatabase.mdb”"

3. Cách diệt

Diệt bằng tay:

-Vô hiệu hóa tính năng “System Restore” của Windows
-Dùng Task Manager tắt tiến trình “wscript.exe” đang chạy trên máy tính
-Xóa hoặc đổi tên tập tin “database.mdb” và “WScrip.exe”
-Vào Registry, xóa 2 giá trị registry quan trọng virus tạo ra (xem ở trên)
-Xóa tất cả tập tin có đuôi .lnk có kích cỡ 1k (sử dụng tính năng search nâng cao của Windows)
-Xóa tất cả các tập tin Autorun.inf, Thumb.db, Microsoft.lnk (sử dụng tính năng search nâng cao của Windows)

Dùng phần mềm: bạn có thể dùng 1 trong 2 cách sau:

1. Tải vệ công cụ quét virus miễn phí của Kaspersky là AVP Tool để quét qua toàn bộ máy tínhtại: http://download.nts.vn/support/Support-Tools/AVPTool/ (đã cập nhật tất cả biến thể của dòng Trojan-Dropper.Win32.Stuxnet)

1. Cài chương trình Kaspersky vào máy tính (tải về dùng thử 1 tháng tại: www.kaspersky.vn ) cho chương trình “Cập nhật” > sau đó thực hiện “Quét toàn bộ máy tính”

Công cụ phòng vệ tạm thời của Microsoft: Bạn thao khảo tại: http://support.microsoft.com/kb/2286198#FixItForMe



4. Lưu ý

Để tránh làm nạn nhân của virus này, bạn nên cho chương trình antivirus cập nhật thường xuyên, đồng thời nên quét USB trước khi truy cập vào nó. Ngoài ra, bạn nên theo dõi và cập nhật ngay khi Microsoft đưa ra bản vá lỗi chính thức cho lỗ hổng này (sẽ có thông tin trên báo chí)