Win32.Polip.A Removal Tool

11:16 | 24.06.2010

W32.Polip.A (Với tên gọi khác Win32.Polipos, Win32/Polip.A, W32.Polip, W32/Polipos-A, P2P-Worm.Win32.Polip.a, W32/Polipos.V12)

Kích thước: ~ 65Kbytes

Ngày phát hiện: 25/4/2006

Xuât xứ: Trung Quốc

Hệ thống bị ảnh hưởng: Win 98, Win Me, Win NT, Win 2000, Win XP, Server 2003

Mặc dù chúng xuất hiện cách đây đã khá lâu nhưng hầu hết các phần mềm Antivirus hay các Tool đều khoanh tay đứng nhìn.

Chi tiết kỹ thuật

Win32.Polip.A đúng như tên gọi của nó, mức độ tàn phá vô cùng khủng khiếp.  Mục tiêu chính là tất cả các file .EXE, .SCR không cần biết là file tài nguyên hay hệ thống đều có khả năng bị lây nhiễm.

Win32.Polip.A là virus lây nhiễm bộ nhớ sử dụng kỹ thuật obfuscation. Khi thực thi, nó lây nhiễm tới các tiến trình đang chạy. Những file đầu tiên nó lây nhiễm là những file trong thư mục ProgramFiles và WINDIR.

Virus này rất nguy hiểm, bởi khả năng lây lan, tính đa dạng của các file bị ảnh hưởng. Đồng thời chúng sử dụng các kỹ thuật  anti-debugging và anti-emulation khiến cho việc phát hiện ngày càng khó khăn. Không những vậy Win32.Polip còn có khả năng vô hiệu hóa hầu hết các chương trình Antivirus, gây tổn thương đến hệ thống.

Cách thức lây nhiếm file:

Chúng làm tăng kích thước ảo cho các dữ liệu trong máy nạn nhân, và sử dụng những không gian đó để đưa junk-code vào. Khi một file bị nhiễm, nó sẽ tìm kiếm các file tiếp theo trong thư mục đó để tiếp tục lây nhiễm. Polip sẽ xóa tất cả các file mà chúng tìm thấy

Win32.Polip.A nhiễm qua file thông qua cách thức truyền thống như qua mail, USB, lây từ máy bị nhiễm sang máy sạch, máy bị nhiễm trở thành máy chủ để phát tán virus. Chúng có khả lăng sao lưu chính bản thân nó trong bộ nhớ vào các tiến trình xử lý khi khởi chạy tập tin nhiễm bệnh.

Cách thức lây nhiễm các tiến trình

Chúng làm hư tất cả các tiến trình đang chạy như savedump, dumprep, dwwin, drwatson, drwtsn32, smss, csrss, spoolsv, ctfmon, temp. Chúng có khả năng kết nối và lây nhiễm qua mạng P2P khi khách hàng sử dụng giao thức Gnutella. Gnutella là một mạng P2P đích thực nên rất khó trong việc RIAA hay các tổ chức tương tự kiểm soát nội dung mà cộng đồng máy tính trong mạng chia sẻ. Sau khi một máy tính trong mạng Gnutella bị nhiễm virus, virus này sẽ lây lan cho toàn mạng P2P.

Người dùng có tải công cụ diệt W32.Polip tại đây: http://support.cmclab.net/vn/flash/Win32.Polip.ARemovalToolv0.1.zip

Chú ý: Ngay khi chạy, công cụ này sẽ tiến hành loại bỏ virus ra khỏi bộ nhớ trước. Người dùng nên chạy Tool một vài lần cho tới khi chương trình không phát hiện virus trong bộ nhớ, sau đó mới tiến hành quét các file trong phân vùng khác.