W32/Nopir-D

04:31 | 24.11.2010

 

Hình Thức : gây hại trên nền tảng Windows.

Mức Độ : Bình thường

Đe dọa: Có thể có rủi ro bảo mật

W32/Nopir-D lây lan thông qua chia sẻ tập tin trên các mạng ngang hàng

Sửa đổi Ứng dụng hệ thống :

Các tập tin sau đây được tạo ra trong hệ thống:

Khi lần đầu tiên chạy nó tự  sao W32/Nopir-D chính nó :
<Program Files> \ Outlook Express.sav \ outlookrem.exe
<Program Files> \ System Prot \ mmsete.exe
và tạo ra file  C: \ HANDLING (WIN 32 NOPIR) txt!!!..(Sử lý).

Sửa đổi Registry :

Các mục đăng ký sau đây được tạo ra để chạy outlookrem.exe và mmsete.exe ngày lúc khởi động:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Runsysmem
<Program Files> \ system Prot \ mmsete.exe
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunMemory
<Program Files> \ Outlook Express.sav \ outlookrem.exe

Khi chạy W32/Nopir-D kiểm tra sự hiện diện của các thư mục nhất định liên quan đến chia sẻ tập tin peer-to-peer( thiết lập ngang hàng), các chương trình, và nếu có bản thân W32/Nopir-D  sẽ tự sao chép chính nó vào  "CloneDVD 2.8.3.3 theo PGM.exe".
Các thư mục sau đây được kiểm tra:
C: \ Program Files \ eMule \ Incoming \
C: \ Program Files \ Kazaa \ My Shared Folder \
C: \ Program Files \ StreamCast \ Morpheus \ my shared folder \
C: \ Program Files \ Gnucleus \ Downloads \

Các mục đăng ký sau đây được thiết lập, để outlookrem.exe được chạy khi các tập tin có phần mở rộng là:
BAT, COM, EXE, PIF và SCR được mở ra

 

HKCR \ VBEFile \ Shell \ Open \ Command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ VBSFile \ Shell \ Open \ Command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ batfile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ cmdfile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ comfile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ exefile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ inffile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ piffile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ regfile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe
HKCR \ scrfile \ shell \ open \ command
(Default)
<Program Files> \ Outlook Express.sav \ outlookrem.exe

Các mục đăng ký sau đây được thiết lập, vô hiệu hoá trình sửa dổi registry của Windows, quản lý Task  Manager (taskmgr) và hệ thống khôi phục lại:

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
DisableTaskMgr      1
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
DisableRegistryTools     1

HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore
DisableSR      1

W32/Nopir-D sẽ cố gắng để xóa các tập tin với phần mở rộng tập tin của AVI, MP3, RAR, MPG, và MPEG.

được thiết lập trong Registry như sau:

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
NoControlPanel     1
HKCR \ inffile \ shell \ install \ command
(Default)

Cách Diệt:

Tự động : Dùng phần mềm CMC, hoặc một số phần mềm diệt virus khác

Diệt bằng tay:

Xóa tất cả các file được download về từ mạng hoặc từ các thiết bị lưu chữ.

Xóa các mục được đăng ký trong Rigistry và các file được copy.