Cảnh giác với virus MSN “hi. this is your photo

Đối với những người dùng MSN, hiện tượng virus lây lan qua tin nhắn offline là rất phổ biến. Gần đây đã xuất hiện thêm 1 dạng virus mới dưới dạng tin nhắn này từ những người bạn trong danh sách


Những tin nhắn này được tạo ra bởi những kẻ tin tặc (phishers) muốn đánh cắp tài khoản MSN của mọi người.

Những tin nhắn này thường bắt đầu bằng “hi. this is your photo?” kèm theo đó là 1 biểu tượng và 1 chuỗi 5 ký tự đi kèm. Trong dòng tiếp theo là 1 đường dẫn

Cảnh giác với virus MSN “hi. this is your photo

Nếu người sử dụng vô tình bấm vào đường dẫn trên, nó sẽ dẫn người sử dụng tới 1 trang web để bạn điển thông tin đăng nhập của tài khoản MSN, nhưng đồng thời sẽ tự động tải về máy tính 1 file có tên là “Picture_2525.exe” với dung lượng khoảng 1.8 mb (đây chính là 1 loại virus mới). Khi được kích hoạt trong hệ thống, người sử dụng sẽ thấy xuất hiện 1 bảng thông báo với tựa đề “bedava Film indir. Hemen TIKLA 7” bằng ngôn ngữ Azerbaijani.

Nếu tiếp tục bấm vào bảng thông báo đó, 1 trang web quảng cáo sẽ xuất hiện trên trình duyệt của người sử dụng. Sau khi phân tích hành động của chương trình virus này, tác giả đã phát hiện ra mục đích chính của virus là tự động xóa bỏ file hệ thống trong thư mục “System32” và cài đặt, kích hoạt thêm 1 số dịch vụ khi hệ điều hành Windows khởi động. Đồng thời nó chuyển trang web khởi động mặc định của Internet Explorer thành trang “www.googlesayfa.com/en” với giao diện rất giống với Google. Nếu người sử dụng tin tưởng và tiếp tục thao tác trên chính trang web này, sẽ xuất hiện 1 đoạn quảng cáo Google Adsense với nội dung “this website unofficial Google Search Fan website”, đồng thời hệ thống sẽ tự động tạo kết nối tới địa chỉ IP của Mỹ: 67.228.41.155 thông qua cổng 6772.

Sau khi phân tích quá trình hành động của file “Picture_2525.exe” bằng ứng dụng trực tuyến VirusTotal, có khoảng 33 trên tổng số 41 bộ máy có thể nhận diện được đây là virus. Nhưng cũng khá may mắn đối với người sử dụng vì virus này không được trang bị tính năng “persistent”. Người sử dụng có thể tạo ra file batch tự động xóa bỏ loại virus này hoặc làm theo các bước đơn giản sau:

- Mở ứng dụng Task Manager, chọn Tab Processes và hủy các tiến trình sau: svlost.exe, svlostSrv.exe, tasman.exe bằng cách chọn “End Process

- Mở mục Run (Win + R) và gõ lệnh: sc delete svlostServices

- Tìm và xóa bỏ những file sau trong thư mục hệ thống “Windows\System32”: libeay32.dll, ssleay32.dll, svlost.exe, svlosta.dll, svlostb.dll, svlostSrv.exe, tasman.exe

- Tiếp theo, mở mục Run (Win + R) và tiếp tục với 2 câu lệnh riêng biệt sau:

reg delete “hkcu\software\microsoft\internet explorer\main” /v default_page_url /f
reg delete “hkcu\software\microsoft\internet explorer\main” /v “Start Page” /f

Sau khi thực hiện đúng và đầy đủ những thao tác trên thì bạn đã hoàn toàn xóa bỏ virus khỏi hệ thống, nhưng tốt nhất bạn nên thay đổi mật khẩu đăng nhập MSN.

Bên cạnh đó, tác giả đã làm 1 cuộc điều tra Reverse IP sử dụng công cụ DomainTools để truy tìm dấu vết thì phát hiện ra thêm 52 domains dưới cùng 1 server:

Và đây là danh sách đầy đủ của những trang web độc hại phát tán loại virus trên:

# Ahvalimsn.info
# Ankemsn.info
# Arabiamarabia.info
# Arabimsnks.info
# Asmsnas.info
# Azrrufi.info
# Baemsn.info
# Burdamsns.info
# Demlikciheymsn.info
# Denimenter.info
# Dubaimsn.info
# Ehlenselamam.info
# Elmsnulblock.info
# Gerwhymsn.info
# Habibimwhos.info
# Habibmsnd.info
# Habibulmsn.info
# Hakmsns.info
# Haydari.info
# Heymanat.info
# Hombilmombil.info
# Kimbenibans.info
# Kimbitr.info
# Kimpetek.info
# Leyyamsn.info
# Lovemsnlove.info
# Lovepoemswhy.info
# Maishemsn.info
# Menzilmsn.info
# Msnbut.info
# Msniblock.info
# Msniblocki.info
# Msnminepr.info
# Msnmsntsn.info
# Msnsenm.info
# Mustarabis.info
# Myfedorea.info
# Mysoutchests.info
# Nerdenmsns.info
# Patlirafan.info
# Peyamnetsd.info
# Pirinces.info
# Reddumsn.info
# Senmsnen.info
# Seyyarmsn.info
# Seyyarmsnn.info
# Tayyarmsn.info
# Thisallfreegetit8.info
# Turustum.info
# Vasilios.info
# Wheremerewhy.info
# Zlanmsnm.info
# Karamsns.info

T.Anh (Raymond)








Canh giac voi virus MSN “hi. this is your photo


Doi voi nhung nguoi dung MSN, hien tuong virus lay lan qua tin nhan offline la rat pho bien. Gan day da xuat hien them 1 dang virus moi duoi dang tin nhan nay tu nhung nguoi ban trong danh sach


Nhung tin nhan nay duoc tao ra boi nhung ke tin tac (phishers) muon danh cap tai khoan MSN cua moi nguoi.

Nhung tin nhan nay thuong bat dau bang “hi. this is your photo?” kem theo do la 1 bieu tuong va 1 chuoi 5 ky tu di kem. Trong dong tiep theo la 1 duong dan

Canh giac voi virus MSN “hi. this is your photo

Neu nguoi su dung vo tinh bam vao duong dan tren, no se dan nguoi su dung toi 1 trang web de ban dien thong tin dang nhap cua tai khoan MSN, nhung dong thoi se tu dong tai ve may tinh 1 file co ten la “Picture_2525.exe” voi dung luong khoang 1.8 mb (day chinh la 1 loai virus moi). Khi duoc kich hoat trong he thong, nguoi su dung se thay xuat hien 1 bang thong bao voi tua de “bedava Film indir. Hemen TIKLA 7” bang ngon ngu Azerbaijani.

Neu tiep tuc bam vao bang thong bao do, 1 trang web quang cao se xuat hien tren trinh duyet cua nguoi su dung. Sau khi phan tich hanh dong cua chuong trinh virus nay, tac gia da phat hien ra muc dich chinh cua virus la tu dong xoa bo file he thong trong thu muc “System32” va cai dat, kich hoat them 1 so dich vu khi he dieu hanh Windows khoi dong. Dong thoi no chuyen trang web khoi dong mac dinh cua Internet Explorer thanh trang “www.googlesayfa.com/en” voi giao dien rat giong voi Google. Neu nguoi su dung tin tuong va tiep tuc thao tac tren chinh trang web nay, se xuat hien 1 doan quang cao Google Adsense voi noi dung “this website unofficial Google Search Fan website”, dong thoi he thong se tu dong tao ket noi toi dia chi IP cua My: 67.228.41.155 thong qua cong 6772.

Sau khi phan tich qua trinh hanh dong cua file “Picture_2525.exe” bang ung dung truc tuyen VirusTotal, co khoang 33 tren tong so 41 bo may co the nhan dien duoc day la virus. Nhung cung kha may man doi voi nguoi su dung vi virus nay khong duoc trang bi tinh nang “persistent”. Nguoi su dung co the tao ra file batch tu dong xoa bo loai virus nay hoac lam theo cac buoc don gian sau:

- Mo ung dung Task Manager, chon Tab Processes va huy cac tien trinh sau: svlost.exe, svlostSrv.exe, tasman.exe bang cach chon “End Process

- Mo muc Run (Win + R) va go lenh: sc delete svlostServices

- Tim va xoa bo nhung file sau trong thu muc he thong “Windows\System32”: libeay32.dll, ssleay32.dll, svlost.exe, svlosta.dll, svlostb.dll, svlostSrv.exe, tasman.exe

- Tiep theo, mo muc Run (Win + R) va tiep tuc voi 2 cau lenh rieng biet sau:

reg delete “hkcu\software\microsoft\internet explorer\main” /v default_page_url /f
reg delete “hkcu\software\microsoft\internet explorer\main” /v “Start Page” /f

Sau khi thuc hien dung va day du nhung thao tac tren thi ban da hoan toan xoa bo virus khoi he thong, nhung tot nhat ban nen thay doi mat khau dang nhap MSN.

Ben canh do, tac gia da lam 1 cuoc dieu tra Reverse IP su dung cong cu DomainTools de truy tim dau vet thi phat hien ra them 52 domains duoi cung 1 server:

Va day la danh sach day du cua nhung trang web doc hai phat tan loai virus tren:

# Ahvalimsn.info
# Ankemsn.info
# Arabiamarabia.info
# Arabimsnks.info
# Asmsnas.info
# Azrrufi.info
# Baemsn.info
# Burdamsns.info
# Demlikciheymsn.info
# Denimenter.info
# Dubaimsn.info
# Ehlenselamam.info
# Elmsnulblock.info
# Gerwhymsn.info
# Habibimwhos.info
# Habibmsnd.info
# Habibulmsn.info
# Hakmsns.info
# Haydari.info
# Heymanat.info
# Hombilmombil.info
# Kimbenibans.info
# Kimbitr.info
# Kimpetek.info
# Leyyamsn.info
# Lovemsnlove.info
# Lovepoemswhy.info
# Maishemsn.info
# Menzilmsn.info
# Msnbut.info
# Msniblock.info
# Msniblocki.info
# Msnminepr.info
# Msnmsntsn.info
# Msnsenm.info
# Mustarabis.info
# Myfedorea.info
# Mysoutchests.info
# Nerdenmsns.info
# Patlirafan.info
# Peyamnetsd.info
# Pirinces.info
# Reddumsn.info
# Senmsnen.info
# Seyyarmsn.info
# Seyyarmsnn.info
# Tayyarmsn.info
# Thisallfreegetit8.info
# Turustum.info
# Vasilios.info
# Wheremerewhy.info
# Zlanmsnm.info
# Karamsns.info

T.Anh (Raymond)

Cảnh giác với virus MSN “hi. this is your photo

Đối với những người dùng MSN, hiện tượng virus lây lan qua tin nhắn offline là rất phổ biến. Gần đây đã xuất hiện thêm 1 dạng virus mới dưới dạng tin nhắn này từ những người bạn trong danh sách
Giới thiệu cho bạn bè
  • gplus
  • pinterest

Bình luận

Đăng bình luận

Đánh giá