Trung tâm cứu hộ máy tính 911 nhận định đây là một loại virus nội và người viết ra nó đã copy mã nguồn trên mạng rồi sửa lại. 911 mô tả: Khi virus hoạt động nó tự động copy một phiên bản chính nó thành tệp %Windir%\Messenger.exe. (%Windir% là thư mục Windows, mặc định là C:\Windows\System đối với Windows 95/98/Me/XP/2003 và C:\Winnt, đối với Windows NT/2000).

Khi tệp ứng dụng có tên là Gaixinh.jpg.exe được nạp vào bộ nhớ, nó sẽ thay đổi Registry trên máy nạn nhân như sau:

1. Thêm giá trị DisableRegedit=1 vào khoá: HKEY_CURRENT_User\Software\Microsoft\

Windows\CurrentVersion\Policies\System để khoá không cho truy cập vào Regedit.

2. Thêm giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe vào khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run để nạp virus lúc Windows khởi động.

3. Thay đổi trang Homepage của Internet Explorer về trang chủ của virus bằng cách sửa giá trị của khoá HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page về

http://67.15.40.2/~tranphu/forumtp

4. Thêm giá trị sau vào các khoá khác trong regedit: http://xRobots.net/Gift/New/ hoặc

HKEY_CURRENT_USER\Software\Yahoo\pager\

View\YMSGR_Launchcast.

Trung tâm 911 khuyến cáo cách diệt virus này như sau

1. Trước hết mở Registry bằng cách download tệp sau về và chạy: http://www.911.com.vn/download/khoa_regedit.vbs

Khi máy tính báo "Registry Editing Tools are now ENABLED Log off and back on, or restart your pc to effect the changes" là được

2. Khởi động lại máy tính bằng chế độ SafeMode (Bấm F8 lúc máy tính khởi động). Sau đó Vào Start -> Run rồi gõ Regedit rồi Enter. Hãy tìm khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run và xoá giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe.

Tiếp tục tìm HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page để vào xoá hoặc thay đổi về địa chỉ HomePage vẫn dùng.

Tìm toàn bộ các giá trị có nội dung như sau http://xRobots.net/Gift/New/ và xoá đi. Các khoá có thể thêm ví dụ là HKEY_CURRENT_USER\Software\Yahoo\pager\View\

YMSGR_Launchcast và HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-500\Software\Yahoo\pager\View\YMSGR_Launchcast

3. Tìm tệp GirlXinh.jpg.exe và xoá đi (thường nằm trong Desktop hoặc My Documents), có thể tìm bằng chức năng Search của Windows.

4. Vào trong thư mục Windows tìm tệp Messenger.exe và xoá đi

5. Khởi động lại máy tính.

Ông Trần Hùng Cường, Giám đốc 911, khẳng định, cách tốt nhất là dùng chức năng Find trong Regedit để tìm tất cả các xâu ký tự có nội dung là “http://xRobots.net/Gift/New/” để xoá đi. Ngoài ra cũng có thể dùng HijackThis để xoá các khoá và các process đang chạy của virus. Có thể download HijackThiss tại đây :
http://www.911.com.vn/download/hijackthis.exe.


Trích : http://vnexpress.net/Vietnam/Vi-tinh/2006/04/3B9E8943/

Đã trừ được virus “Gái xinh”
Ngày đăng: 11/4/2006 18h10


Sáng 11/4, Trung Tâm An Ninh Mạng (Bkis) đã xác định được kẻ phát tán virus Gaixinh, đồng thời đưa ra phiên bản Bkav diệt virus này. Không như một số báo đưa tin, virus Gaixinh, phát tán rất mạnh từ hôm qua (10/4/2006), không phải là BOTNET và không lây lan dựa vào lỗi của trình nhắn tin Yahoo! Massenger.

Hình ảnh minh hoạ quá trình giải mã "Gái xinh"
Theo Bkis, virus chỉ được sử dụng để tải BOTNET xuống và nó lây lan dựa vào sơ hở của người sử dụng chứ không phải do lỗi của Yahoo! Messenger. Đến sáng 11/4, ước tính đã có khoảng 10.050 máy tính ở Việt Nam đã trở thành nạn nhân. Qua quá trình phân tích, Bkis ghi nhận có 2 biến thể virus này được tạo ra trong ngày 10/04/2006, đặt tên là GaixinhYMA và GaixinhYMB. Đặc biệt, sau khi giải mã đã tìm thấy một dấu vết rất quan trọng có liên quan tới tác giả của virus. Đến 22 giờ 30 phút ngày 10/04/2006, Bkis đã khẳng định về cơ bản thủ phạm tạo ra virus này (xác minh được tên, số điện thoại, địa chỉ của kẻ bị tình nghi). 23 giờ 30 phút cùng ngày, Bkis đã hoàn tất phương án xử lý. Bkav845 được cập nhật lên website www.bkav.com.vn. 3 giờ 25 phút sáng 11/04/2006, toàn bộ công việc hoàn thành, bao gồm cả việc xử lý virus và truy tìm thủ phạm. Bkis cho biết sẽ tiếp tục làm việc với các cơ quan an ninh để xử lý vụ việc này.





Hướng dẫn xử lý virus:



Bkis đã cập nhật phương án xử lý cả 2 phiên bản của virus này vào Bkav845. Để diệt virus này xin các bạn lưu ý:



- Đối với khách hàng dùng bản BkavPro: phiên bản mới nhất sẽ tự động cập nhật khi bạn bật máy, sau đó bạn chỉ cần quét tất cả các file, tất cả các ổ đĩa.



- Đối với các khách hàng dùng bản Bkav Home, bạn cần tải về phần mềm Bkav Home phiên bản mới nhất. Sau đó chạy Bkav, chọn quét tất cả các file, tất cả các ổ đĩa.



Nếu chưa cài đặt Bkav phiên bản mới, bạn nên tuyệt đối tránh bấm vào các đường dẫn (link) có dạng như sau:



"Xem thu coi, buon cuoi ko the chiu duoc http://67.....2/~neun/?file=sac"

"Em nay xinh lam, nhin ma fe http:// 67.....2/~neun/?file=xgirl"

"Cai gi the nay, Choang http:// 67.....2/~neun/?file=wow"

"Xem thu cai nay di http:// 67.....2/~neun/?file=funfun"

"Hi hi hi http:// 67.....2/~neun/?file=haha"

"Xem thu coi, buon cuoi ko the chiu duoc http://xrobots.../Gift/?file=Embe.jpg"

“Em nay xinh lam, nhin ma fe http://xrobots.../Gift/?file=Gaixinh.jpg"

"Film vui , flim vui : http://xrobots.../Gift/?file=Funny.swf"

"Xem thu cai nay di http://xrobots.../Gift/?file=Anhdep.jpg"

"Tang cho ban nay : http://xrobots...t/Gift/?file=e-card.htm"



Mô tả nguyên lí hoạt động của virus



Khi lây nhiễm vào một máy tính, virus sẽ tải file http://xrobots.net/Gift/Robots.exe từ trên mạng Internet về và ghi thành file Messenger.exe trong thư mục Windows, ghi các tham số để nạp virus tự động vào bộ nhớ khi khởi động máy, tự dò tìm cập nhật phiên bản virus mới. Như vậy, về nguyên tắc kẻ phát tán virus có thể cài đặt tùy ý các phần mềm lên máy của nạn nhân.



Sau đó, virus đặt mặc định trình duyệt IE trỏ tới địa chỉ http://67.15.40.2/~tr..../forumtp. Đây là diễn đàn của cựu học sinh một trường chuyên của TP Hải Phòng. Kẻ phát tán virus cũng được xác minh là thành viên của diễn đàn này.



Ngoài ra, virus còn thiết lập một số tham số khác của Yahoo! Messenger và khóa (Disable) không cho người sử dụng truy cập vào Regedit (một công cụ để thiết lập tham số hoạt động cho hệ điều hành Windows và các phần mềm ứng dụng); tìm các cửa sổ Yahoo! Messenger mà nạn nhân đang dùng để hội thoại với người khác, sau đó tự động gửi virus một cách ngẫu nhiên.



Nếu là phiên bản GaixinhYMA, gần như bất kì ai chat với nạn nhân cũng đều trở thành “con mồi” tiếp theo của virus. Phiên bản GaixinhYMB được cải tiến để lây lan “kinh khủng” hơn. Không chỉ tìm cách lây sang những máy tính mà chủ của nó đang trực tiếp chat với nạn nhân, nó còn tìm cách gửi virus tới cả những người trong sổ địa chỉ Yahoo! Messenger dù họ đang trực tuyến (online) hay không trực tuyến (offline).



Thụy Anh (tin từ PCWorld.com.vn)