PC 15 B2 SL / NHÓM 6
ĐỒ ÁN MÔN CĐ-ĐT
CÁCH PHÒNG CHỐNG VÀ KHẮC PHỤC VIRUT CÓ HIỆU QUẢ.
Virus W32.Botou
I) Mô tả
Khám phá 11 tháng 2 năm 2008
Cập nhật :11tháng 2 năm 2008 4:59:55 PM
Kiểu : Sâu
Mức độ lây lan:184,320 bytes
Hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me,
Windows NT, Windows Server 2003, Windows Vista, Windows XP
Symantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus
1 Tắt chức năng khôi phục hệ thống của (Windows Me/XP)
2 Cập nhật chương trình diệt virus mới
3 Chạy quét toàn bộ hệ thống
4 Xóa những giá trị được ghi vào Registry
5 Loại bỏ những mục có khả năng làm lây nhiễm đến mục khác
II) Cách diệt
Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất
kỳ sự thay đổi nào
1 Vào Start> Run
2 Gõ Regedit
3 Click OK
Chú ý : Nếu việc truy xuất vào Registry thất bại thì bạn có thể dùng các công cụ để
có thể thực hiện được bạn có thể tải ở địa chỉ sau
/>4. Tìm và sửa các giá trị
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\e
xplorer\"NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\

Advanced\"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\
advanced\"SuperHidden" = "1"
5. Thoát khỏi Registry
Virus Trojan.Clampi
I) Mô tả
Khám phá 16 tháng 1 năm 2008
Cập nhật :16 tháng 1 năm 2008 5:27:20 PM
Kiểu : Trojan
Mức độ lây lan: 402,952 bytes
Hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98,
Windows Me, Windows NT, Windows Server 2003, Windows Vista,
Windows XP
Symantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus
1 Tắt chức năng khôi phục hệ thống của (Windows Me/XP)
2 Cập nhật chương trình diệt virus mới
3 Chạy quét toàn bộ hệ thống
4 Xóa những giá trị được ghi vào Registry
5 Loại bỏ những mục có khả năng làm lây nhiễm đến mục khác
II) Cách diệt
Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất
kỳ sự thay đổi nào
1 Vào Start> Run
2 Gõ Regedit
3 Click OK
4 Tìm và xóa các giá trị
HKEY_USERS\S-1-5-21-816139046-577266240-1678582812-
500\Software\Microsoft\Internet Explorer\Settings\"GID" = "00 00 00 61"
HKEY_USERS\S-1-5-21-816139046-577266240-1678582812-
500\Software\Microsoft\Internet Explorer\Settings\"GatesList" ="63 72 69 74 69 63

61 6C 66 61 63 74 6F 72 2E 63 63 00 2F 63 67 69 2D 62 69 6E 2F 63 69 74 79 2E
63 67 69 00 61 6E 61 6D 61 6C 69 74 79 2E 69 6E 66 6F 00 2F 63 67 69 2D 62 69
6E 2F 62 61 6E 67 2E 63 67 69 00 77 69 72 65 64 78 2E 69 6E 00 2F 63 67 69 2D
62 69 6E 2F 64 62 2E 63 67 69 00"
HKEY_USERS\S-1-5-21-816139046-577266240-1678582812-
500\Software\Microsoft\Internet Explorer\Settings\"KeyM" = "94 6B EE BC FF A5
BB 8B 5E 68 2A A5 8F BF 24 F5 7A 63 B7 9C BB DB 14 D5 1F AE B0 57 34 02
59 6F C6 38 9C 7E BD 8F 82 02 9F 36 AB 3F 0C 6C B9 4C C3 98 7E E6 77 0A
CC 53 20 6F 6B 5B EC 83 A8 9E 34 C1 9E 9C 73 93 05 01 F3 3D D2 DA 79 ED
63 00 04 25 CB 82 FC 87 3D 89 E1 86 79 79 8C 67 A8 43 5C BC 65 26 66 5E B1
8A C5 51 95 E0 24 B8 7F F5 1A 1C 20 83 DD B7 44 E6 E7 66 B3 5D 88 A7 85 C8
2B A4 58 4E 18 85 A2 9D D3 16 D5 89 E6 51 4B 70 90 C9 F3 82 69 13 F1 09 ED
7C 30 86 2A 16 4A 4C A4 06 FA F9 78 C4 7D 72 93 FC 64 D7 48 C5 FB 83 A2 44
0A 98 77 BE CD 4B FE A8 69 A2 16 F2 73 C5 F1 44 FF 11 38 3E AF 5F 3F 87 05
61 61 FC FF 22 BE 00 D5 46 67 A0 BA CE 65 A5 C7 32 03 93 11 96 62 7E EB 0B
5D 9D 9A 92 1B 41 10 8C 2C 9B 09 A5 11 84 EB 91 CA 34 18 0E 92 2D 85 C7 6B
02 B0 EF"
HKEY_USERS\S-1-5-21-816139046-577266240-1678582812-
500\Software\Microsoft\Internet Explorer\Settings\"KeyE" = "00 01 00 01"
HKEY_USERS\S-1-5-21-816139046-577266240-1678582812-
500\Software\Microsoft\Windows\CurrentVersion\Run\Regscan:"C:\WINDOWS\sy
stem32\regscan.exe"
5 Thoát khỏi Registry
Virus W32.Dranyam
I) Mô tả
Khám phá 18tháng 1 năm 2008
Cập nhật :18 tháng 1 năm 2008 5:23:43 PM
Kiểu : Sâu
Mức độ lây lan: 180,224 bytes
Hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me,

Windows NT, Windows Server 2003, Windows Vista, Windows XP
Symantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus
1 Tắt chức năng khôi phục hệ thống của (Windows Me/XP)
2 Cập nhật chương trình diệt virus mới
3 Chạy quét toàn bộ hệ thống
4 Xóa những giá trị được ghi vào Registry
5 Loại bỏ những mục có khả năng làm lây nhiễm đến mục khác
II) Cách diệt
Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất
kỳ sự thay đổi nào
1 Vào Start> Run
2 Gõ Regedit
3 Click OK
4 Tìm và xóa các giá trị
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed
Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed
Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}
5 Khôi phục lại các giá trị mặc định của Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\"Userinit" = "userinit.exe,services.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"ShowSuperHidden" = "0"
6 Thoát khỏi Registry
Trojan.Randsom.C
I) Mô tả

Khám phá :04 tháng 1 năm 2008
Cập nhât: 04 tháng 1 năm 2008 10:24:48 PM.
Kiểu : Trojan
Mức độ lây lan: 420,618
Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me,
Windows Vista, Windows NT, Windows Server 2003, Windows 2000
Symantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus
1 Tắt chức năng khôi phục hệ thống của (Windows Me/XP)
2 Cập nhật chương trình diệt virus mới
3 Chạy quét toàn bộ hệ thống
4 Xóa những giá trị được ghi vào Regist
5 Loại bỏ những mục có khả năng làm lây nhiễm đến mục khác
II) Cách diệt
Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất
kỳ sự thay đổi nào
1. Vào Start> Run
2. Gõ Regedit
3. Click OK
4. Tìm và xóa các giá trị
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru
n\"License" = "locker.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\backdoor
check\"CreationDate" = "[DATE OF MALWARE INSTALLATION]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\backdoor check\"Installed' =
"1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\backdoor check\"Payed" =
"0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\backdoor check\"Runtime" =
"1"
5 Thoát khỏi Registry

Virus W32.Debsis.A
I) Mô tả
Khám phá : 05 tháng 11năm 2007
Cập nhât : 05 tháng 11năm 2007 3:48:31 PM
Kiểu : sâu
Mức độ lây lan: : 28,221 bytes
Hệ thống bị ảnh hưởng Windows 2000, Windows 95, Windows 98, Windows Me,
Windows NT, WindowsServer 2003, Windows Vista, Windows XP
Symantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus
1. Tắt chức năng khôi phục hệ thống của (Windows Me/XP)
2. Cập nhật chương trình diệt virus mới
3. Chạy quét toàn bộ hệ thống
4. Xóa những giá trị được ghi vào Registry
5. Loại bỏ những mục có khả năng làm lây nhiễm đến mục khác
II) Cách diệt
Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất kỳ sự
thay đổi nào
1. Vào Start> Run
2. Gõ Regedit
3. Click OK
4. Tìm và xóa các giá trị
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\Run\"McaFee virus detect program" = "%Program Files%\Network
Associates\VirusScan\svchst.exe"
5. Thoat khỏi Registry
Virus Trojan.Silentbanker
I) Mô tả:
Khám phá : 17 tháng 12 năm 2007
Cập nhât : 18 tháng 12 năm 2007 lúc 11:45:19:Pm
Kiểu : Trojan

Mức độ lây lan: : 54,189 bytes và 98,304 bytes
Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me,
Windows Vista, Windows NT, Windows Server 2003, Windows 2000
Symantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus
1. Tắt chức năng khôi phục hệ thống của (Windows Me/XP)
2. Cập nhật chương trình diệt Virus mới nhất
3. Chạy quét toàn bộ hệ thống
4. Xoá các giá trị được ghi vào registry
II) Cách diêt:
Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất
kỳ sự thay đổi
Click Start > Run.
Type regedit
Click OK.
Xoá các gía trị được ghi vào Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Drivers32\"midi1" = "[RANDOM CHARACTERS][RANDOM
DIGITS].dll"
HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\InprocServer32\(Default
Value) = "[RANDOM CHARACTERS][RANDOM DIGITS].dll"
HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\TypeLib\(Default Value) =
{[RANDOM CLSID]}
HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\(Default Value) =
"[RANDOM CHARACTERS][RANDOM DIGITS]"
Xoá giá trị sau
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex
plorer\Browser Helper Objects\{[RANDOM CLSID]}
Thoát khỏi registry
VBS.Runauto.E
Phát hiện: November 2, 2007

Cập nhật: November 2, 2007 10:55:58 AM
Kiểu: Worm
Có kick thước khoảng : 5,320 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me,
Windows NT, Windows Server 2003, Windows 2000
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
Khởi tạo thêm file vào hệ thống
• %Windir%\achitasin.dll.vbs
• %SystemDrive%\achi.htm
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu
khởi động
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"ac
hitasin" = "%Windir%\achitasin.dll.vbs"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title"
= "Hacked by Achitasin & ???? ???"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" =
"C:\achi.htm"
Sau đó nó sẽ khởi tạo thêm file vào tất cả các ổ trên hệ thống
%DriveLetter%\achitasin.dll.vbs
%DriveLetter%\autorun.inf
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit

3. Click OK.
Bạn vào tìm khóa sau và xóa đi
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window
Title" = "Hacked by Achitasin & ???? ???"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru
n\"achitasin" = "%Windir%\achitasin.dll.vbs"
4. Bạn vào tìm khóa sau và xóa đi
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page"
= "C:\achi.htm"
5. Thoát khỏi regedit
W32.Sillyban.A
Phát hiện: October 3, 2007
Cập nhật: October 3, 2007 12:53:09 PM
Kiểu: Worm
Có kick thước khoảng : 110,592 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me,
Windows NT, Windows Server 2003, Windows Vista , Windows 2000
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %Windir%\Media\StartUp\scvhost.exe
• %System%\hostdll.exe
• %System%\taskfile.exe
• %Windir%\spool32.exe
• %SystemDrive%\HaveaBadDay.sys
Khởi tạo vào Ổ C, K của hệ thống
%DriveLetter%\New_Folder.exe
%DriveLetter%\autorun.inf
• %DriveLetter%\cool data.exe
• %DriveLetter%\New Folder (4).exe
• %DriveLetter%\dataku.exe
• %DriveLetter%\data kuliah.exe

• %DriveLetter%\New Folder (5).exe
• %DriveLetter%\system.exe
• %DriveLetter%\funny doc.exe
Tiếp theo nó khởi tạo một số đối tượng sau
• %CurrentFolder%\jangan dihapus .exe
• %CurrentFolder%\my sweety .exe
• %CurrentFolder%\foto cewek .exe
• %CurrentFolder%\kekasishku .exe
• %CurrentFolder%\data penting .exe
• %CurrentFolder%\downlodan .exe
• %CurrentFolder%\update antivir .exe
• %CurrentFolder%\kumpulan program .exe
• %CurrentFolder%\movie bkp .exe
• %CurrentFolder%\nitip .exe
• %CurrentFolder%\folder option .exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"NeverShowExt" = ""
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App
Paths\WindowsProfile.EXE\"(default)" = "%Windir%\Media\StartUp\scvhost.exe"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policie
s\system\"NoFolderOptions" = "1"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"
WindowsProfile" = "WindowsProfile Rundll32.exe"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"P
rinter Cpl" = "%Windir%\spool32.exe"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Syst
emRestore\"DisableConfig" = "1"
•HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\"Disa
bleMSI" = "1"
• HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title"
= ">> Have A Bad Day <<"

•
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User
Shell Folders\"Startup" = "%Windir%\Media\StartUp"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Expl
orer\"NoFind" = "1"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Expl
orer\"NoFolderOptions" = "1"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Expl
orer\"NoRun" = "1"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Syste
m\"DisableCMD" = "1"
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu
khởi động
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Micros
oft Word" = "%System%\hostdll.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
system\"DisableRegistryTools" = "1"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Syste
m\"DisableRegistryTools" = "1"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policie
s\system\"DisableTaskMgr" = "1"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Syste
m\"DisableTaskMgr" = "1"
•HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"(default)" = "File Folder"
•HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"TileInfo" =
"prop:DocComments"
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"InfoTip" =
"prop:DocComments"
•HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command\"(defau
lt)" = "cmd.exe /c del "%1""

•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\"RegisteredOrganization" = "your system is mine"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\"RegisteredOwner" = "your system is mine"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe,
C:\WINDOWS\system32\taskfile.exe"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv
anced\"Hidden" = "2"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv
anced\"HideFileExt" = 1"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv
anced\"ShowSuperHidden" = "0"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv
anced\"ClassicViewState" = "0"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Expl
orer\"NoDriveTypeAutoRun" = "5B"
Tiếp nó tìm kiếm tất cả các file sau
• .doc
• .mpg
• .3pg
• .wmv
• .rar
• .jpg
• .txt
%CurrentFolder%\[FILE NAME].[EXTENSION].exe
• kill
• hijack
• reg
• process

Với thông điệp như sau
Have a Bad Day
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
4. Tìm kiếm và xóa giá trị sau
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"NeverShowExt" = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ap
p Paths\WindowsProfile.EXE\"(default)" = "%Windir
%\Media\StartUp\scvhost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\pol
icies\system\"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\pol
icies\system\"DisableTaskMgr" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\pol
icies\system\"NoFolderOptions" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru
n\"WindowsProfile" = "WindowsProfile Rundll32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru
n\"Printer Cpl" = "%Windir%\spool32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\SystemRestore\"DisableConfig" = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\"
DisableMSI" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window
Title" = ">> Have A Bad Day <<"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
User Shell Folders\"Startup" = "%Windir%\Media\StartUp"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoFind" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoRun" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
System\"DisableTaskMgr" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
System\"DisableCMD" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Mi
crosoft Word" = "%System%\hostdll.exe"
5. Tìm kiếm và xóa giá trị sau
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"(default)" = "File
Folder"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"TileInfo" =
"prop:DocComments"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"InfoTip" =
"prop:DocComments"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command\"(d
efault)" = "cmd.exe /c del "%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\"RegisteredOrganization" = "your system is mine"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\"RegisteredOwner" = "your system is mine"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe,
C:\WINDOWS\system32\taskfile.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"Hidden" = "2"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"HideFileExt" = 1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"ClassicViewState" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\"NoDriveTypeAutoRun" = "5B"
6. Thoát khỏi regedit
W32.Virut.W
Phát hiện: September 27, 2007
Cập nhật: September 27, 2007 10:54:25 PM
Kiểu: Virus
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me,
Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
Nó tạo ta modul thể hiện những cảnh báo và chạy cùng máy tính mỗi khi ngừoi dùng sử
dụng
Virus sẽ lây lan tới tất cả các file có đuôi mở rộng .exe or .scr
Nó lây lan tới tất cả các file với chuỗi kí tự sau
• PSTO
• WC32

• WCUN
• WINC
Nó sẽ sử dụng phương thức proxim.ircgalaxy.pl on TCP port 80 làm cho ngừoi dùng có
thể bị tấn công từ xa
Nó sẽ tự động điều khiển tới site sau [http://]ntkrnlpa.info
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
Sâu W32.Whybo.Z
Phát hiện: August 27, 2007
Cập nhật: August 27, 2007 4:43:28 PM
Kiểu: Win32/Fuceb [Computer Associates]
Có kick thước khoảng : 89,088 bytes
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98,
Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %System%\serivces.exe
• %SystemDrive%\Program Files\Common Files\Microsoft Shared\[FIVE
RANDOM LOWERCASE LETTERS].exe
• %SystemDrive%\Program Files\Internet Explorer\Connection Wizard\[FIVE
RANDOM LOWERCASE LETTERS].exe
• %SystemDrive%\Program Files\Windows Media Player\[FIVE RANDOM
LOWERCASE LETTERS].exe
• %SystemDrive%\WINDOWS\addins\[FIVE RANDOM LOWERCASE
LETTERS].exe

• %SystemDrive%\WINDOWS\system\[FIVE RANDOM LOWERCASE
LETTERS].exe
• %SystemDrive%\WINDOWS\system32\[FIVE RANDOM LOWERCASE
LETTERS].exe
• %SystemDrive%\WINDOWS\system32\drivers\[FIVE RANDOM LOWERCASE
LETTERS].exe
• %SystemDrive%\WINDOWS\system32\dllcache\[FIVE RANDOM
LOWERCASE LETTERS].exe
• %SystemDrive%\WINDOWS\system32\IME\[FIVE RANDOM LOWERCASE
LETTERS].exe
Khởi tạo file vào temporary:
%System%\update.bak
%DriveLetter%:\setup.exe
%DriveLetter%:\AutoRun.inf
Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt
đâu khởi động
Service Name: Services management
Image Path: %System%\serivces.exe
• ComPlus Applications;Messenger
• Documents and Settings
• Internet Explorer
• Messenger
• Microsoft Frontpage
• Movie Maker
• NetMeeting
• Outlook Express
• Recycled
• System Volume Information
• Windows Media Player
• Windows NT

• WINDOWS
• WindowsUpdate
• WINNT
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
Sâu Spyware.MSNSpyMonitor
- Cập nhật: August 20, 2007 11:44:06 AM
Kiểu: Spyware
Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98,
Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows
XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick
Launch\MsnSpy.lnk
• %UserProfile%\Desktop\MsnSpy.lnk
• %UserProfile%\Start Menu\Programs\MsnSpy\MsnSpy Help.lnk
• %UserProfile%\Start Menu\Programs\MsnSpy\MsnSpy.lnk
• %UserProfile%\Start Menu\Programs\MsnSpy\Uninstall.lnk
• %ProgramFiles%\MsnSpy\msnspy.chm
• %ProgramFiles%\MsnSpy\msnspy.exe
• %ProgramFiles%\MsnSpy\readme.rtf
• %ProgramFiles%\MsnSpy\Uninstall.exe
• %ProgramFiles%\MsnSpy\WinPcap_3_1.exe
Tiếp theo nó sẽ khởi tạo vào trong regedit

• HKEY_ALL_USERS\Software\MsnSpy
•
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\MsnSpy
Nó sẽ lấy thông tin khi mà ngừoi sử dụng Windows Live Messenger, MSN
Messenger, and Windows Messenger)
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
Bạn hãy vào và xóa khóa sau
4. HKEY_ALL_USERS\Software\MsnSpy
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Un
install\MsnSpy
5. Thóat khỏi regedit
Sâu Backdoor.Ginwui.F
- Phát hiện: August 10, 2007
Cập nhật: August 10, 2007 5:29:49 PM
Kiểu: Trojan
Có kick thước khoảng : 234,112 bytes; 111,104 bytes; 90,112 bytes
Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP,
Windows Me, Windows NT, Windows Server 2003, Windows 2000
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau

• %Temp%\ excel.exe
• %Temp%\[ORIGINAL FILE NAME].pps
• %System%\US2.EXE
• %System%\kb20060919.log
• %System%\WINFBI32.DLL
Tiếp theo nó sẽ khởi tạo vào regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\"AppInit_DLLs" = "%System%\WINFBI32.dll"
Nó sử dụng kỹ thuật rootkit để che đấu những file mà nó khởi tạo
Sẽ khởi tạo một host và sau đó tự động kết nối tới Web sau
[http://][REMOVED].7766.org/
Nó sẽ tự sửa đổi thành những hàm sau
• Send types of hard disk drives to the attacker
• Search hard disks for files
• Download and upload files
• Create and remove folders
• Execute commands
• Update the Trojan's registry entries
Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
Tìm đến và xóa đi

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\"AppInit_DLLs" = "%System%\WINFBI32.dll"
4. Thoát khỏi regedit
Spyware.StealthChatMon
Cập nhật: July 23, 2007 3:22:12 PM
Kiểu: Spyware
Name: Stealth Chat Monitor
Version: 1.5 (build 93)
Publisher: Amplusnet
Risk Impact: High
Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me,
Windows NT, Windows Server 2003, Windows 2000
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau
• C:\Documents and Settings\All Users\Application
Data\SystemMessenger\Logs\AIMusers.usr
• C:\Documents and Settings\All Users\Application
Data\SystemMessenger\Logs\ICQusers.usr
• C:\Documents and Settings\All Users\Application
Data\SystemMessenger\Logs\MSNusers.usr
• C:\Documents and Settings\All Users\Application
Data\SystemMessenger\Logs\Skypeusers.usr
• C:\Documents and Settings\All Users\Application
Data\SystemMessenger\Logs\SysAllDaySysMessenger.xsl
• C:\Documents and Settings\All Users\Application
Data\SystemMessenger\Logs\Sysbk.bmp
• C:\Documents and Settings\All Users\Application
Data\SystemMessenger\Logs\SysMessenger.xsl
• C:\Documents and Settings\All Users\Application
Data\SystemMessenger\Logs\SystemChatErrors.txt
• C:\Documents and Settings\All Users\Application

Data\SystemMessenger\Logs\TestEmail.xml
• C:\Documents and Settings\All Users\Application