Theo thống kê của Kaspersky Lab, 10 virus lây nhiễm nhiều nhất Việt Nam từ 6-8 đến 13-8 năm 2009 như sau:
1. Net-Worm.Win32.Kido.ih 29.0699%
2. HEUR:Trojan.Win32.Generic 11.624%
3. Trojan-GameThief.Win32.Magania.biht 8.9248%
4. Trojan-GameThief.Win32.Managina.bfru 6.6201%
5. Trojan-GameThief.Win32.Managina.bfwc 4.5175%
6. HEUR:Trojan.Win32.Invader 4.0584%
7. Trojan-Spy.Win32.SCKeyLog.au 3.1402%
8. Trojan.Win32.Inject.ahhj 2.9749%
9. Heur:Win32.Trojan.Generic 1.9282%
10. Trojan.Win32,Agent.cttj 1.5976%
Kido (Downadup/Conflicker) vẫn thống trị bảng xếp hạng top 10 trong giữa đầu tháng 8 với tỉ lệ lây nhiễm chiếm tới 29%. Với các biến thể mới xuất hiện trong thời gian vừa qua, dự đoán thời gian tới virus này vẫn là mối đe dọa lớn nhất cho tất cả các máy tính tại Việt Nam.
Điểm nổi bật trong giữa đầu tháng 8 là sự lây nhiễm mạnh mẽ của Trojan-Game.Win32.Managina bao gồm 3 biến thể mới và lây nhiễm chính tại Việt Nam: Trojan-GameThief.Win32.Magania.biht, Trojan-GameThief.Win32.Managina.bfru, Trojan-GameThief.Win32.Managina.bfwc. Xuất hiện vào khoảng cuối tháng 7 vừa rồi, 3 biến thể này chiếm tới 20% tổng số máy tính bị lây nhiễm virus. Là một chương trình keyloger, Trojan-GameThief.Win32.Managina có thể lưu lại rất các theo tác gõ phím của người dùng bao gồm cả những dữ liệu mật như username, password đăng nhập email; account game online cũng như số thẻ tín dụng.
Trojan này không gây ra sự trì trệ nhiều trên máy tính nhưng ngược lại có thể làm bạn mất đi các thông tin quan trọng bao gồm cả tiền bạc. Với khả năng lây nhiễm mạnh, khả năng lấy cắp thông tin, trojan đang là mối đe dọa nguy hiểm nhất cho người dùng internet Việt Nam chỉ sau worm Kido.
Thông tin về “Trojan-GameThief.Win32.Managina.biht”
1.Tên gọi của các hãng khác
Ikarus: Trojan-PWS.Win32.LdPinch
McAfee: Generic.Dropper.eb
Sophos: Troj/Lineang-BG
2. Mô tả
Mẫu Trojan là một file “exe” với nhiều tên file khác nhau có kích thước 25.735 bytes. Khi lây nhiễm vào máy tính trojan tạo ra 3 file sau:
- %FontsDir%\uawyv9Pr.Ttf (218 bytes)
- %System%\JPccCJnKygDdp3.dll (19,055 bytes)
- C:\tên của mẫu (25,735 bytes)
Sau đó một Process được tạo mới trong hệ thống: Tên của Process và đường dẫn file chạy của Process là tên và đường dẫn của mẫu bị nhiễm vào máy tính.
Khi Process này chạy sẽ load module “JPcc-CJnKygDdp3.dll” vào trong vùng địa chỉ (address space) của những Process khác. Những Process sau bị tác động:
Tên Process: explorer.exe
Đường dẫn Process: %Windir%\explorer.exe
Vùng địa chỉ: 0x19B0000 - 0x19C2000
Tên Process: dllhost.exe
Đường dẫn Process: %System%\dllhost.exe
Vùng địa chỉ: 0x2530000 - 0x2542000
Tên Process: IEXPLORER.EXE
Đường dẫn Process: %ProgramFiles%\internet explorer\
iexplorer.exe
Vùng địa chỉ: 0x19F0000 - 0x1A02000
Module “JPccCJnKygDdp3.dll” là module chính giúp hacker có thể lưu lại thông tin khi người dùng g. bàn phím và chịu trách nhiệm chuyển các thông tin này đến chủ nhân của nó.
3. Hướng dẫn remove
Với các máy tính không có cài chương tr.nh antivirus hoặc chương tr.nh hoạt động không đúng cách, bạn tham khảo cách diệt bằng tay như sau:
1. Tắt “System Restore” của Window.
2. Khởi động lại máy trong chế độ “Safe Mode”.
3. Tắt Process do trojan tạo ra (nếu có chạy trong “Safe Mode”).
4. Xóa các file trojan tạo ra trong hệ thống (xem ở trên).
5. Xóa hoặc sữa các giá trị trojan tạo ra trong registry (xem ở trên).
6. Xóa file tạm của IE.
7. Khởi động lại máy tính, tiến hành cài chương trình antivirus mạnh (kaspersky, Symantec,..) vào máy, cho update và tiến hành Full Scan.
Lưu ý: Trojan này đang có dấu hiệu lây lan mạnh mẽ tại Việt Nam. Chỉ cần máy tính không sử dụng một chương trình antivirus mạnh, trojan sẽ lây nhiễm qua con đường USB, duyệt web. Với các máy tính thường xuyên thực hiện
các giao dịch online th. đây là điều hết sức nguy hiểm. Một chương tr.nh antivirus có bản quyền, mạnh để bảo vệ máy tính là cách tốt nhất để tránh các nguy cơ bạn sẽ gặp phải trong môi trường Internet đầy cạm bẫy.
Lê Thành Trung