W32/Nopir-D

04:31 | 24.11.2010

 

Hình Thức : gây hại trên nền tảng Windows.

Mức Độ : Bình thường

Đe dọa: Có thể có rủi ro bảo mật

W32/Nopir-D lây lan thông qua chia sẻ tập tin trên các mạng ngang hàng

Sửa đổi Ứng dụng hệ thống :

Các tập tin sau đây được tạo ra trong hệ thống:

Khi lần đầu tiên chạy nó tự  sao W32/Nopir-D chính nó :
<Program Files> \ Outlook Express.sav \ outlookrem.exe
<Program Files> \ System Prot \ mmsete.exe
và tạo ra file  C: \ HANDLING (WIN 32 NOPIR) txt!!!..(Sử lý).

Sửa đổi Registry :

Các mục đăng ký sau đây được tạo ra để chạy outlookrem.exe và mmsete.exe ngày lúc khởi động:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Runsysmem
<Program Files> \ system Prot \ mmsete.exe
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunMemory
<Program Files> \ Outlook Express.sav \ outlookrem.exe

Khi chạy W32/Nopir-D kiểm tra sự hiện diện của các thư mục nhất định liên quan đến chia sẻ tập tin peer-to-peer( thiết lập ngang hàng), các chương trình, và nếu có bản thân W32/Nopir-D  sẽ tự sao chép chính nó vào  "CloneDVD 2.8.3.3 theo PGM.exe".
Các thư mục sau đây được kiểm tra:
C: \ Program Files \ eMule \ Incoming \
C: \ Program Files \ Kazaa \ My Shared Folder \
C: \ Program Files \ StreamCast \ Morpheus \ my shared folder \
C: \ Program Files \ Gnucleus \ Downloads \

Các mục đăng ký sau đây được thiết lập, để outlookrem.exe được chạy khi các tập tin có phần mở rộng là:
BAT, COM, EXE, PIF và SCR được mở ra

 

HKCR \ VBEFile \ Shell \ Open \ Command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ VBSFile \ Shell \ Open \ Command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ batfile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ cmdfile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ comfile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ exefile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ inffile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ piffile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ regfile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ scrfile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe

Các mục đăng ký sau đây được thiết lập, vô hiệu hoá trình sửa dổi registry của Windows, quản lý Task  Manager (taskmgr) và hệ thống khôi phục lại:

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
DisableTaskMgr      1
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
DisableRegistryTools     1

HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore
DisableSR      1

W32/Nopir-D sẽ cố gắng để xóa các tập tin với phần mở rộng tập tin của AVI, MP3, RAR, MPG, và MPEG.

được thiết lập trong Registry như sau:

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
NoControlPanel     1
HKCR \ inffile \ shell \ install \ command
(Default)

Cách Diệt:

Tự động : Dùng phần mềm CMC, hoặc một số phần mềm diệt virus khác

Diệt bằng tay:

Xóa tất cả các file được download về từ mạng hoặc từ các thiết bị lưu chữ.

Xóa các mục được đăng ký trong Rigistry và các file được copy.

Bản để in Chia sẻ

Tin mới nhận

Các tin khác