How to remove virus foto image.php

Sunday, May 02, 2010 Unknown 2 Comments

Hiện nay trên Yahoo! Messenger đang lây lan một loại virus tạm gọi là "image.php". Khi máy bị nhiễm virus này, Yahoo! Messenger sẽ tự động gửi đi một tin nhắn tới toàn bộ danh sách liên lạc trong Yahoo! Messenger. Nội dung tin nhắn này chứa một trong các đường link như sau:
foto hxxp://miggiphotos.com/image.php
foto hxxp://funwiththisguy.com/image.php
foto hxxp://ariafotos.com/image.php
foto hxxp://zhelefun.com/image.php
foto hxxp://tviceimg.com/image.php
foto hxxp://tusfbfotos.com/image.php
foto hxxp://twittersphoto.com/image.php
foto hxxp://tuesimages.com/image.php
foto hxxp://red-myspace.com/image.php
foto hxxp://myspace-lmg.com/image.php
foto hxxp://limpskr***.com/image.php
foto hxxp://kompnk***.com/image.php
foto hxxp://yunpho****tos.net/image.php
foto hxxp://domei***mg.com/image.php
foto hxxp://vertiph**otos88.com/image.php
foto hxxp://myphotghghtoarchives.net/image.php
foto hxxp://mycouuumimg.com/image.php
foto hxxp://smallimgfhfghg4u.com/image.php
foto hxxp://miggiphofhgfhtos.com/image.php
foto hxxp://funwiththisguy.com/image.php
foto hxxp://ariafotos.com/image.php
foto hxxp://zhelefun.com/image.php
foto hxxp://tviceimg.com/image.php
foto hxxp://tusfbfotos.com/image.php
foto hxxp://twittersphoto.com/image.php
foto hxxp://tuesimagfgfes.com/image.php
foto hxxp://red-myspafgfgce.com/image.php
foto hxxp://tvicephotfgfgos.com/image.php
foto hxxp://ceceliaimfhghg.com/image.php
Cảnh báo: KHÔNG click vào các link trên khi nhận được tin nhắn qua Yahoo! Messenger.

Nếu click vào các link trên, trình duyệt sẽ tự động mở link đó và các chương trình hỗ trợ download (như IDM chẳng hạn) sẽ tự động bắt link download một file có phần mở rộng là EXE. Với các máy không có phần mềm diệt virus, hoặc có phần mềm diệt virus nhưng cơ sở dữ liệu nhận diện virus chưa cập nhật loại virus trên, thì sẽ có nguy cơ lây nhiễm.

http://lh3.ggpht.com/_t-TerzRlVWg/S9-_gqFl5kI/AAAAAAAACsE/HD3XIPZjSZY/s512/YMVirus.jpg

Hiện nay Malwarebytes đã nhận diện được virus này và đặt tên nó là Trojan.Agent.Gen, nên có thể sử dụng Malwarebytes để loại bỏ virus trên. Comodo cũng đã nhận diện được virus trên với tên là P2PWorm.Win32.Palevo.GZA, DrWeb đặt tên là BackDoor.IRC.Sdbot.12401, Prevx gọi nó là High Risk Cloaked Malware, và Sophos đặt tên là Mal/Rimecud-D. Đây là kết quả test bằng Total Virus vào ngày 2/5/2010 và 3/5/2010, trong đó, với 40 cỗ máy tìm kiếm virus thì chỉ có 4 cỗ máy trên phát hiện ra virus này, vì đây là một loại virus mới xuất hiện ngày 30/4/2010.

Cách diệt virus IMAGE.PHP nếu hệ thống đã bị lây nhiễm:

Cách 1: Tải phiên bản mới nhất của Malwarebytes tại trang chủ, cài đặt và quét hệ thống để diệt virus. Lưu ý là phải cập nhật phiên bản mới nhất của Malwarebytes. Nếu chưa biết cách sử dụng Malwarebytes, hãy xem thêm tại đây.

Cách 2: Sử dụng chương trình tự động loại bỏ virus trên khỏi hệ thống. Download bằng một trong 2 link sau:
Download từ Mediafire.com>

Download từ Box.net
Cách 3: tự diệt bằng tay
1. Vào Task Manager, tìm tới các ứng dụng sau và end process chúng:
mds.sys
mdt.sys
winbrd.jpg
net.exe
infocard.exe
Bạn có thể sử dụng Process Explorer để tìm các ứng dụng trên.

2. Sau đó tới thư mục C:\Windows và xóa các file tương ứng, gồm:
C:\Windows\mds.sys
C:\Windows\mdt.sys
C:\Windows\winbrd.jpg
C:\Windows\net.exe
C:\Windows\infocard.exe
3. Vào Start, gõ regedit trong hộp tìm kiếm rồi ấn Enter để mở Windows Registry Editor. Bạn có thể ấn tổ hợp phím tắt Windows + R cho nhanh. Sau đó tìm đến các khóa (key) sau và xóa chúng đi:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentV ersion\Run] “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List]
“C:\\Documents and Settings\\\\Desktop\\IM56245.JPG-www.myspace.com.exe”=”C:\\WINDOWS\\infocard.ex e:*:Enabled:Firewall Administrating” “C:\Documents and Settings\\ [b] [/ b]\\ Desktop\\ IM56245.JPG-www.myspace.com.exe” = “C:\WINDOWS\\ infocard.exe: *: Enabled: Firewall Administrating ”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List]
“C:\\Documents and Settings\\\\Desktop\\IM56245.JPG-www.myspace.com.exe”=”C:\\WINDOWS\\infocard.ex e:*:Enabled:Firewall Administrating” “C:\Documents and Settings\\ [b] [/ b]\\ Desktop\\ IM56245.JPG-www.myspace.com.exe” = “C:\WINDOWS\\ infocard.exe: *: Enabled: Firewall Administrating ”

[HKEY_USERS\S-1-5-21-117609710-764733703-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Run]
“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”
UPDATE 1: Một số chương trình diệt virus khác hiện đã cập nhật virus này, vì vậy, nếu hệ thống của bạn đã cài các chương trình diệt virus đó, thì bạn có thể sử dụng chúng để quét toàn bộ hệ thống. Muốn biết chi tiết, hãy truy cập vào trang chủ của công ty cung cấp sản phẩm diệt virus, hoặc liên hệ với dịch vụ trợ giúp.

UPDATE 2: Kết quả quét bằng Virus Total vào lúc 5:14 ngày 4/5/2010 cho thấy đã có 19 trên tổng số 39 phần mềm diệt virus đã nhận diện được virus image.php.


Please wait while an image is being loaded
Click vào hình trên để xem với kích thước thật, hoặc xem kết quả quét tại đây

Vì vậy, nếu máy bạn bị nhiễm virus này, và phần mềm bảo mật trong máy bạn nằm trong danh sách các phần mềm đã phát hiện được virus ở trên, thì bạn chỉ cần quét toàn bộ máy bằng phần mềm bảo mật mà bạn đang sử dụng là xong. Lưu ý: cập nhật cơ sở dữ liệu tới thời điểm hiện tại trước khi quét máy.



How to treat virus image.php virus
How to manually disinfect image.php virus spreading via Yahoo! Messenger
Cảnh báo virus image.php lây nhiễm qua Yahoo! Messenger
Cách diệt virus image.php

2 comments:

  1. Hế lù Long :-). Blog của cậu nhiều bài hay quá, tớ muốn share lên FB mà không có cái nút share. Cậu thêm vào đi :P

    ReplyDelete
  2. Hi Tùng, tớ đã thêm nút Share on Facebook rồi đó. Cảm ơn nhé!

    ReplyDelete