Cảnh giác virus giả mạo Facebook Photo

Nhận được một liên kết qua Yahoo Messenger hay Windows Live Messenger theo dạng hxxp://ow.ly.../http://www.facebook.com/photo.php, vội vã click vào xem là bạn đã "dính" virus.

Đoạn tin nhắn chứa liên kết virus được gửi đi tự động qua Yahoo Messenger và cả Windows  Live Messenger.

Ngày 05/07, loại virus Foto đã được cảnh báo trước đây bất ngờ quay trở lại với kiểu liên kết mới, dễ đánh lừa người dùng click vào, nhất là những người đang sử dụng mạng xã hội Facebook.

Khá nhiều bạn bè và đồng nghiệp đã bị lâm nạn, các cửa số chat tự động nhảy ra, gửi hàng loạt liên kết dạng hxxp://ow.ly.../http://www.facebook.com/photo.php. Khi click vào để xem sẽ dẫn đến địa chỉ chứa tập tin có tên n11975310_09.JPG-www.facebook.exe, nó sẽ thâm nhập và chạy ở phần nền hệ thống dưới dạng tập tin jusched.exe.

Đường dẫn cụ thể của tập tin jusched.exe:

- Windows XP: C:\WINDOWS\jusched.exe
- Windows Vista/7: C:\Users\Public\jusched.exe

Tiếp theo, virus hiệu chỉnh các tập tin sau trong Windows:

C:\Windows\system32\LogonUI.exe
C:\Windows\System32\lsm.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\wininit.exe

Website Ow.ly cung cấp dịch vụ rút ngắn địa chỉ web nên bị tận dụng để đánh lừa người dùng. Bạn đọc cần cảnh giác với các dạng link rút gọn như bit.ly, ow.ly... vì tin tặc thường dùng để ẩn chứa liên kết gốc chứa mã độc.
 
Bạn đọc cần lưu ý cảnh giác các dạng liên kết (link) được gửi tự động qua các trình tin nhắn tức thời (IM) như Yahoo Messenger, Windows Live Messenger để tránh bị lây nhiễm. Do khi bị virus lây nhiễm, nạn nhân sẽ không biết được tài khoản của mình đã bị dùng để gửi liên kết chứa virus đến tất cả các địa chỉ có trong danh bạ.

Có thể xem cách tiêu diệt loại virus Foto phía dưới bài viết hoặc sử dụng các chương trình anti-virus như Panda Antivirus, Kaspersky Antivirus, BitDefender Antivirus, Norton Antivirus... Khi được cập nhật đầy đủ cơ sở dữ liệu chữ ký virus mới nhất và thực thi chế độ bảo vệ ở thời gian thực thì sẽ ngăn chặn loại virus này thâm nhập vào hệ thống.

Cách diệt virus Foto

Virus Foto không chỉ lây lan qua trình tin nhắn tức thời Yahoo Messenger, nó còn tấn công cả MSN / Windows Live Messenger và mạng xã hội Facebook. Hiện nay số lượng các chương trình diệt virus nhận dạng được Foto hay image.php chưa nhiều, để tiêu diệt nhanh gọn và miễn phí, bạn nên dùng Malwarebytes.

- Truy cập vào website Malwarebytes và tải về phiên bản miễn phí tại đây.

- Sau khi tải về, bạn tiến hành cài đặt và đánh dấu chọn ở phần "Update Malwarebytes’ Anti-Malware" ở cửa sổ cài đặt cuối để cập nhật cơ sở dữ liệu mới nhất.

- Tải tiếp công cụ miễn phí Process Explorer để quản lý các tiến trình đang hoạt động trên hệ thống mà trong đó có một số tiến trình của virus. Chạy Process Explorer và khóa (disable) các tiến trình sau: mds.sys, mdt.sys, winbrd.jpg, net.exe, infocard.exe.

- Vào thư mục C:\Windows (thư mục cài đặt hệ điều hành Windows), xóa năm tập tin trên.

- Vào Start - Run hoặc nhấn phím Windows + R, gõ regedit và Enter. Tìm đến các khóa giá trị và xóa chúng đi. Tuy nhiên, cần lưu ý nếu bạn không nắm vững các thao tác trong Registry thì tốt nhất nên bỏ qua bước này vì nếu có sai sót, Windows sẽ gặp trục trặc dẫn đến việc cài đặt lại.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]

“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]

“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentV ersion\Run] “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List]

“C:\\Documents and Settings\\\\Desktop\\IM56245.JPG-www.myspace.com.exe”=”C:\\WINDOWS\\infocard.ex e:*:Enabled:Firewall Administrating” “C:\Documents and Settings\\ [b] [/ b]\\ Desktop\\ IM56245.JPG-www.myspace.com.exe” = “C:\WINDOWS\\ infocard.exe: *: Enabled: Firewall Administrating ”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List]

“C:\\Documents and Settings\\\\Desktop\\IM56245.JPG-www.myspace.com.exe”=”C:\\WINDOWS\\infocard.ex e:*:Enabled:Firewall Administrating” “C:\Documents and Settings\\ [b] [/ b]\\ Desktop\\ IM56245.JPG-www.myspace.com.exe” = “C:\WINDOWS\\ infocard.exe: *: Enabled: Firewall Administrating ”

[HKEY_USERS\S-1-5-21-117609710-764733703-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Run]

“Firewall Administrating”=”C:\\WINDOWS\\infocard.exe” “Administrating Firewall” = “C:\WINDOWS\\ infocard.exe”

- Khởi động lại hệ thống ở chế độ Safe Mode bằng cách nhấn F8 ở màn hình khởi động. Giao diện tùy chọn khởi động sẽ xuất hiện một danh sách, bạn chọn tiếp "Safe Mode" và Enter. Hệ thống sẽ khởi động ở chế độ Safe Mode.

Chạy Malwarebytes và quét toàn bộ hệ thống. Sau khi Malwarebytes hoàn tất việc "dọn dẹp", bạn khởi động lại và thử nghiệm chat trên YM với một người bạn xem còn bị tình trạng tự động gửi tin nhắn kèm liên kết chứa virus hay không.

Trường hợp bị virus Foto lây nhiễm khi đang sử dụng MSN / Windows Live Messenger thì có thể tải chương trình bảo vệ miễn phí MSN Virus Removal tại đây hoặc có thể gửi cho nhóm phát triển mẫu virus mới mà MSN Virus Removal chưa thể khắc phục bằng công cụ Info Gatherer.
 
Theo Tuổi trẻ