Cách diệt virus W32.Blaster.Worm

Virus W32.Blaster.Worm xuất hiện trên thế giới vào ngày 11/8/2003. Cho tới sáng ngày 12/8/2003 virus này bắt đầu đổ bộ vào Việt Nam. Từ 7 giờ 30 phút sáng Trung tâm An ninh mạng đã liên tiếp nhận các cuộc điện thoại kêu cứu từ nhiều tỉnh thành trong cả nước, dấu hiệu mô tả của các "nạn nhân" đều như nhau: Khi máy tính được nối mạng thì chỉ sau vài phút liền bị Shutdown tự động, nếu ngắt mạng thì không xảy ra hiện tượng này.

Một số nơi hệ thống mạng hàng trăm máy tính cùng có biểu hiện đã nhiễm virus, trong số đó có các đơn vị thuộc nghành Hàng không, Bưu chính viễn thông và Liên doanh ô tô. Ngay lập tức chúng tôi tiến hành lấy mẫu virus mới và nghiên cứu, tới 2 giờ chiều thì công việc phân tích sơ bộ hoàn tất và phương án xử lý được cập nhật vào phiên bản Bkav476.

Dưới đây là mô tả nhận dạng của virus cùng hướng dẫn phương án xử lý:

Lưu ý: Virus W32.Blaster.Worm chỉ lây lan trên hệ điều hành Windows2000 và WindowsXP.

Nếu máy tính của bạn có những triệu chứng như đề cập ở trên, bạn hãy làm theo các bước dưới đây. Cho dù máy tính của bạn không gặp những triệu chứng đó, nhưng bạn đang sử dụng hệ điều hành Windows2000 hay WindowsXP thì cũng nên đọc hướng dẫn này để biết cách sửa lỗi cho Windows2000 và WindowsXP, đề phòng bị nhiễm những loại virus như W32.Blaster trong tương lai. Nếu bạn là người quan tâm tới kỹ thuật thì có thể đọc tiếp phần 3:

1. Trước tiên bạn hãy tải về các phần mềm sau:

a. Phiên bản Bkav mới nhất: Bấm vào đây để tải về Bkav phiên bản mới nhất

b. Nếu máy tính của bạn sử dụng Windows2000: Bấm vào đây để tải về bản sửa lỗi cho Windows2000

c. Nếu máy tính của bạn sử dụng WindowsXP: Bấm vào đây để tải về bản sửa lỗi cho WindowsXP

d. Nếu máy tính của bạn sử dụng WindowsXP 64 bit hoặc Windows2003 Server: Bấm vào đây để tải về bản sửa lỗi tương ứng.

2. Bạn tiếp tục thực hiện theo đúng các bước sau:(Lưu ý, đã rất nhiều người không làm đầy đủ các bước dưới đây nên kết quả sau khi diệt xong máy tính vẫn bị nhiễm virus trở lại)

a. Ngắt máy bị nhiễm ra khỏi mạng, copy Bkav476 (hoặc mới hơn) và phần mềm sửa lỗi vừa tải về vào máy đó (sử dụng đĩa mềm hoặc USB Disk). Bạn phải sử dụng user có quyền administration.

b. Nếu bạn dùng Windows XP thì phải tắt chức năng System Restore của hệ điều hành này bằng cách sau: Bấm chuột phải vào biểu tượng "My Computer" trên DeskTop -> chọn Properties -> chọn tab "System Restore" -> check vào lựa chọn "Turn off System Restore".

c. Chạy Bkav476 (hoặc mới hơn), quét toàn bộ các ổ đĩa cứng.

d. Khởi động lại máy, chạy Bkav476 (hoặc mới hơn) lần thứ hai, quét toàn bộ các ổ đĩa cứng.

e. Chạy phần mềm sửa lỗi nói trên. Đây là bước rất quan trọng để ngăn chặn virus không tấn công trở lại, khi chạy phần mềm sửa lỗi này đòi hỏi Windows đã được cài bản Service Pack 2.

Lưu ý: Sau khi xử lý xong tất cả các máy thì mới cho mạng hoạt động trở lại.

3. Mô tả kỹ thuật virus W32.Blaster.Worm

Virus này sử dụng lỗi tràn bộ đệm trong công nghệ DCOM - RPC mới được Microsoft công bố vào khoảng giữa tháng 7/2003. Theo đó kẻ tấn công có thể cài đặt virus lên hầu hết các máy tính chạy Windows2000/XP mà nạn nhân không hề hay biết. Nguyên lý này khác với đa số các virus hiện nay vốn chủ yếu lây lan qua đường Email. Điều này đặc biệt nguy hiểm vì như nói trên, nạn nhân hoàn toàn bị động, chỉ khi máy đã nhiễm virus thì họ mới biết. Trình tự lây nhiễm diễn ra như sau:

1. Từ một máy đã bị lây nhiễm (máy A), virus tìm những máy khác trong mạng đang mở cổng 135, nếu phát hiện được nó sẽ cố gắng tấn công máy này (máy B) bằng cách gửi một gói tin dị dạng tới cổng 135. Làm cho ứng dụng đợi ở cổng này bị tràn bộ đệm và đoạn mã của virus nằm trong gói tin dị dạng đó được thực thi trên máy B.

2. Đoạn mã virus được thực thi trên máy B sẽ download file msblast.exe từ máy A và cho chạy file này trên máy B, như vậy máy B đã thực sự bị nhiễm virus.

3. Khi msblast.exe chạy trên máy B, nó sẽ thực hiện các thao tác sau:

- Tạo một Mutex tên là "BILLY", nếu Mutex này đã tồn tại thì virus kết thúc công việc.

- Tạo key "windows auto update"="msblast.exe"  trong

:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

để virus được tự động kích hoạt mỗi khi khởi động máy.

- Tính toán và sinh ngẫu nhiên các địa chỉ IP sẽ là các mục tiêu lây lan tiếp theo.

4. Trong đoạn mã của virus có chứa một đoạn ký tự là : "I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!".