Hướng dẫn loại bỏ virus Sality.AT ra khỏi hệ thống ?

mai minh đức
mai minh đức
Trả lời 13 năm trước
Sality.AT là loại virus nguy hiểm gây hại cho cơ cấu hoạt động của Windows bằng cách tấn công vào các tập tin thực thi, nó lây lan trên hệ thống thông qua việc nhân bản chính bản thân nó và sao chép chính nó vào các thiết bị di động nếu đang có sự kết nối với máy tính bị lây nhiễm. Sau khi xâm nhập và lây lan nó sẽ ngăn chặn mọi hoạt động của các ứng dụng chống Virus và chống phần mềm độc hại đồng thời ngăn chặn các tiện ích bảo mật đi kèm của Windows nhằm ngăn ngừa việc phát hiện, loại bỏ nó.

1. Triệu chứng thay đổi hệ thống

* Đột ngột ngừng các hoạt động liên quan đến các ứng dụng bảo mật, quy trình (Process) hoặc các dịch vụ (Services).

* Vô hiệu hóa chức năng Registry Editor.

* Đăng ký trình điều khiển với hệ thống : %SystemRoot%system32driversamsint32.sys - Trojan:WinNT/Sality

2. Cơ chế lây nhiễm

Win32/Sality.AT tự động đăng ký mã độc vào các tiến trình đang hoạt động để tự chạy và lây nhiễm sang các tập tin thực thi của Windows có đuôi .EXE hoặc SCR. Nó lây lan các mục tiêu bằng cách đọc tên các tập tin được tìm thấy trong các khóa đăng ký (Registry) sau

HKEY_CURRENT_USERSoftwareicrosoftWindowsShellNoRoamMUICache
HKEY _CURRENE_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

Nó không lây nhiễm vào các tập tin đã được bảo vệ bởi SFC (System File Checker) của Windows hoặc các tập tin của các ứng dụng chống Virus, Malware.

Sality.AT sẽ lây nhiễm vào các tập tin tạm thời và các tập tin sao chép của Windows

%SystemRoot%system32NOTEPAD.EXE
%SystemRoot%system32WINMINE.EXE

Sao chép chính bản thân nó vào các thiết bị di động và các tính năng kết nối điều khiển từ xa (Remote) với các định dạng

<random>.pif
<random>.exe
<random>.cmd

Sau khi đã tạo được các bản sao trên các đối tượng nó sẽ tạo một tập tin có tên Autorun.inf để cấu hình tự chạy khi có sự kết nối giữa máy tính với các thiết bị di động hoặc các trình điều khiển từ xa để tự lây nhiễm và tự kết nối với máy chủ nhằm chuyển tải thông tin quan trọng thu thập được của nạn nhân về chủ nhân của nó đồng thời tải các phần mềm độc hại khác về máy tính nhằm thực hiện các hành động trái phép khác như gửi tin nhắn, thư rác và lây nhiễm v.v....

3. Tác động của Virus vào máy tính của bạn:

a. Tự động ngăn chặn


Nó sẽ xóa tất cả các giá trị đăng ký và các dữ liệu quan trọng trong các khóa để ngăn chặn nạn nhân sử dụng Windows trong chế độ an toàn (SafeMode)

HKEY_LOCAL_MACHINESystemCurrentControlSetControlSafeBoot
HKEY_CURRENT_USERSystemCurrentControlSetControlSafeBoot

Sality.AT sẽ thực hiện một hành động nguy hiểm đối với hệ thống là vô hiệu hóa toàn bộ các chức năng an ninh của Windows và hoạt động bảo vệ của các ứng ứng dụng chống Virus, Malware đang cài đặt trên máy tính nạn nhân để tránh việc phát hiện, loại bỏ nó bằng cách vô hiệu hóa SSDT (System Service Desciptor Table) từ tập tin ntoskrnl.exe nhằm tránh việc phát hiện thông tin của Rootkit nó đang sử dụng của Windows và các ứng dụng chống Virus, Malware dựa trên mã SSDT. Nó cũng xóa luôn các dữ liệu bảo mật trong cơ sở dữ liệu liên quan đến các ký tự .AVC, .VDB

b. Tự động chỉnh sửa các thiết lập và kết nối

Nó thực hiện chỉnh sửa, tạo mới các thiết lập an ninh trong trình đăng ký nhằm vô hiệu hóa Registry Editor

Thiết lập giá trị : "DisableRegistryTools"
Dữ liệu : "1"
Tại khóa : HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystem

Ngăn chặn việc xem thuộc tính ẩn

Thiết lập giá trị : "Hidden"
Dữ liệu : "2"
Tại khóa : HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer

Giảm thiểu chức năng bảo mật của máy tính, ngăn chặn tường lửa của Windows và các ứng dụng chống Virus, Malware nhằm tránh việc ngăn chặn hành động kết nối tới các máy chủ bên dưới để tải phần mềm độc hại về máy tính bị lây nhiễm.

www.klkjwre9fqwieluoi.info
kukutrustnet777888.info
klkjwre77638dfqwieuoi888.info
89.119.67.154
kukutrustnet777.info
kukutrustnet888.info
kukutrustnet987.info

Huớng dẫn cách ngăn chặn sự lây nhiễm

* Kích hoạt tường lửa của Windows hoặc các ứng dụng bảo mật đang được cài đặt trên máy tính.
* Cập nhật phiên bản mới nhất cho các ứng dụng đang cài đặt trên máy tính.
* Cập nhật cơ sở dữ liệu nhận dạng mới nhất cho ứng dụng chống Virus, Malware
* Cẩn thận khi nhấn vào các liên kết trên trang web lạ.
* Xóa bỏ các thư điện tử lạ và các tập tin đi kèm.
* Cẩn thận khi sử dụng các phần mềm lậu.
* Sử dụng mật khẩu trên 12 ký tự gồm chữ, số và các ký tự đặc biệt để bảo vệ tài khoản.

Làm sao để loại bỏ Sality.AT ra khỏi hệ thống?

Bài viết này chia sẻ những thông tin tác giả tự tìm tòi và sưu tầm được để cùng bạn áp dụng nhằm bảo vệ sự riêng tư cá nhân. Khi nhận biết các triệu chứng bất thường được nói bên trên xuất hiện với máy tính, bạn hãy thực hiện các bước sau:

1_ Sử dụng nhờ máy người thân, bạn bè tải Rkill và Malwarebyte's AntiMalware về lưu trên USB sạch, sau đó đổi tên 2 tập tin rkill và mam-setup thành tên bất kỳ như abc.com, cde.com để tránh việc đọc tên ứng dụng, ngăn chặn hoạt động của Sality.AT đối với 2 ứng dụng này.


Tải công cụ Rkill

Tải công cụ MalwareByte's AntiMaleware Free


2_ Kết nối USB với máy tính bị nhiễm kích hoạt rkill, khi Rkill xuất hiện trên màn hình nhấn vào phím bất kỳ để thực hiện việc vô hiệu hóa các tiến trình đang chạy của Sality.AT và phần mềm độc hại khác.


Sau khi thực hiện xong quá trình vô hiệu hóa các tiến trình đang chạy Rkill sẽ hiển thị thông tin của tất cả trong Notepate. Do hệ thống của tác giả không có sự hiện diện của bất kỳ dấu vết nào của Virus nên chỉ hiển thị 2 tiến trình đang chạy là Avira Premium Security Suite và Unikey đã bị Rkill vô hiệu hóa và hình ảnh này chỉ là minh họa thay thế cho các tiến trình hoạt động của Sality.AT và các phần mềm độc hại.


Lưu ý : Rkill là một phần mềm vô hại với hệ thống máy tính và nó chỉ có nhiệm vụ vô hiệu hóa toàn bộ các tiến trình đang hoạt động trên hệ thống và nó có thể bị ngăn chặn bởi hoạt động của Sality và các phần mềm độc hại do đó khi có thông báo yêu cầu ngưng hoạt động bạn hãy cứ nhấn No hoặc bỏ qua các thông báo này bằng cách tắt cửa sổ thông báo đi để cố gắng khởi động hoạt động của RKill cho đến khi nó kết thúc nhiệm vụ quan trọng của nó.

Và trong lúc tải nó về trên máy người thân, bạn bè nó có thể bị ngăn chặn bởi sự nhận dạng "Dương Tính Sai" vì nó thật sự là vô hại đây là một công cụ hỗ trợ đắc lực cho các ứng dụng chống Virus, Malware khi máy tính bị tấn công từ Virus, Malware, Trojans, Spyware v.v .... Để biết thêm thông tin chi tiết về RKill bạn hãy try cập vào http://www.bleepingcomputer.com/forums/topic308364.html

Bạn hãy kiên nhẫn trong thời gian Rkill thực hiện việc vô hiệu hóa các tiến trình đang hoạt động của Sality.AT và các phần mềm độc hại vì tùy theo sự lây nhiễm nhẹ hay nặng trên máy tính của nạn nhân do đó thời gian có thể là 15', 30' và có thể lên đến 1 _ 2h.


Sau khi Rkill kết thúc, bạn hãy thực hiện ngay việc kích hoạt Malwarebyte's AntiMalware cập nhật dữ liệu mới nhất rồi thực hiện quét kiểm tra toàn bộ hệ thống với chế đệ quét sâu (Full Scan) để loại bỏ các trình đăng ký của Sality.AT và các phần mềm độc hại trên máy tính. Sau khi Malwarebyte's AntiMalware thực hiện xong, nếu kỹ hơn nữa bạn hãy kích hoạt ứng dụng chống Virus đang cài đặt trên hệ thống để cập nhật dữ liệu mới nhất và quét kiểm tra toàn bộ hệ thống một lần nữa sau khi kết thúc > khởi động lại máy tính kiểm tra lại toàn bộ hoạt động của hệ thống.