Dịch vụ‎ > ‎Diệt virus‎ > ‎2.Danh sách Virus‎ > ‎

Virus folder.exe

Virus folder.exe

Hiện nay có rất nhiều loại virus autorun lấy biểu tượng folder làm icon mặc định của file. Các virus này chủ yếu được viết bằng Visual Basic hay AutoIT, với mỗi loại virus autorun khác nhau thì cách thức phá hoại của chúng cũng khác nhau.

Đặc điểm chung

- Lấy hình ảnh của folder làm icon của file

Hình thức lây nhiễm

- Lây qua USB dựa vào thiết lập autorun mặc định của Windows: Tạo các file autorun.inf và file virus vào các ổ đĩa. Khi click chuột vào các ổ đĩa thì các file virus sẽ được kích hoạt

- Cũng theo thiết lập mặc định của Windows là không hiển thị phần mở rộng trong tên của các file nên người dùng tưởng nhầm đó là thư mục, nếu kích đúp vào thì cũng sẽ bị nhiễm virus

Tác hại

Đối với các virus phá hoại

- Thay đổi registry của hệ thống để:

+ Không thể hiển thị được file ẩn, xóa mất lựa chọn Folders Options trong thanh menu của My Computer
+ Vô hiệu hóa chức năng Task Manager
+ Không thể vào được registry. Xuất hiện thông báo “Registry editing has been disabled by your administrator”
+ Sửa đổi các key trong registry để virus có thể được kích hoạt khi windows khởi động.

- Trong trường hợp máy tính bị nhiễm virus 250kg hay virusla thì virus sẽ tạo ra các file .exe có tên trùng với tên của các thư mục có trong hệ thống đồng thời thiết lập thuộc tính ẩn cho các thư mục gốc.

- Đối với con virusla mỗi khi vào registry thì người sử dụng lại bị logout khỏi tài khoản đang đăng nhập. Ngoài ra sau khi bị nhiễm virus thì máy tính còn phát ra những tiếng bíp theo điệu nhạc. - Ngoài những loại virus phá hoại trên thì cón có những virus không gây thay đổi nhiều trên hệ thống nhưng âm thầm mở cổng sau cho phép tin tặc thâm nhập vào máy tính, nghe lén và ăn cắp các thông tin của người sử dụng.

Cách phòng chống

- Tắt chế độ autorun: Vào Run ->gpedit.msc -> Administrative Templates -> Turn off Autoplay System -> Chọn Enabled và All drives rồi ấn OK

- Luôn đặt chế độ hiển thị file ẩn

- Thiết lập hiển thị phần mở rộng của tên file - hiển thị các đuôi trong tên của file vd: .exe .doc .xls để phân biệt được đâu là thư mục đâu là file exe

- Không nên click đúp để mở các ổ đĩa thay vào đó là nhấn phím phải chuột lên MyComputer và chọn Explorer

- Sau đó có thể chọn thư mục muốn truy xuất

./.
http://www.virustotal.com/analisis/15ae2214a41a49a1f55424ba3fbc2b43af3f8b994c75ab4608910bbfab7e0952-1272414736
Virus Total

Virustotal is a service that analyzes suspicious files and facilitates the quick detection of viruses, worms, trojans, and all kinds of malware detected by antivirus engines. More information...
File New_Folder.exe received on 2010.04.28 00:32:16 (UTC)
Current status: finished
Result: 38/39 (97.44%)
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.04.27 Trojan-Spy.Win32.SpyEx!IK
AhnLab-V3 5.0.0.2 2010.04.27 Win32/Virut.F
AntiVir 8.2.1.224 2010.04.27 TR/Spy.VB.BZ
Antiy-AVL 2.0.3.7 2010.04.27 Worm/Win32.VB
Authentium 5.2.0.5 2010.04.28 W32/Virut.AI!Generic
Avast 4.8.1351.0 2010.04.27 Win32:VB-CMK
Avast5 5.0.332.0 2010.04.27 Win32:VB-CMK
AVG 9.0.0.787 2010.04.27 -
BitDefender 7.2 2010.04.28 Trojan.Spy.Agent.NKG
CAT-QuickHeal 10.00 2010.04.27 W32.Virut.G
ClamAV 0.96.0.3-git 2010.04.27 W32.Virut.Gen.D-16
Comodo 4693 2010.04.28 TrojWare.Win32.Trojan.VB.~UV
DrWeb 5.0.2.03300 2010.04.28 BackDoor.Generic.1554
eTrust-Vet 35.2.7454 2010.04.27 Win32/Virut!corrupt
F-Prot 4.5.1.85 2010.04.27 W32/Virut.AI!Generic
F-Secure 9.0.15370.0 2010.04.27 Trojan.Spy.Agent.NKG
Fortinet 4.0.14.0 2010.04.27 W32/Virut.CE
GData 21 2010.04.28 Trojan.Spy.Agent.NKG
Ikarus T3.1.1.80.0 2010.04.27 Trojan-Spy.Win32.SpyEx
Jiangmin 13.0.900 2010.04.27 Win32/Virut.bn
Kaspersky 7.0.0.125 2010.04.28 Email-Worm.Win32.VB.mk
McAfee 5.400.0.1158 2010.04.28 W32/Virut.n.gen
McAfee-GW-Edition 6.8.5 2010.04.27 Heuristic.LooksLike.Win32.SuspiciousPE.L
Microsoft 1.5703 2010.04.28 TrojanSpy:Win32/Vwealer.KZ
NOD32 5066 2010.04.27 Win32/Virut.NBP
Norman 6.04.11 2010.04.27 W32/Virut.BV
nProtect 2010-04-27.01 2010.04.27 Worm/W32.Agent.196608.I
Panda 10.0.2.7 2010.04.27 W32/Sality.AO
PCTools 7.0.3.5 2010.04.28 TrojanSpy.VB.EXB
Prevx 3.0 2010.04.28 High Risk Cloaked Malware
Rising 22.45.01.04 2010.04.27 Win32.Virut.cl
Sophos 4.53.0 2010.04.28 W32/Scribble-B
Sunbelt 6229 2010.04.27 Virus.Win32.Virut.ce (v)
Symantec 20091.2.0.41 2010.04.28 W32.SillyWNSE
TheHacker 6.5.2.0.272 2010.04.27 W32/VB.mk
TrendMicro 9.120.0.1004 2010.04.28 PE_VIRUX.GEN-1
VBA32 3.12.12.4 2010.04.27 Virus.Win32.Virut.X5
ViRobot 2010.4.27.2295 2010.04.27 I-Worm.Win32.VB.741376
VirusBuster 5.0.27.0 2010.04.27 TrojanSpy.VB.EXB
Additional information
File size: 196608 bytes
MD5   : 433ca21ffd02bb18c490a82cc60c0409
SHA1  : ed0dcbb8da8338bcb6670355b35d8cb913c606a9
SHA256: 15ae2214a41a49a1f55424ba3fbc2b43af3f8b994c75ab4608910bbfab7e0952
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1BF78
timedatestamp.....: 0x0 (Thu Jan 1 01:00:00 1970)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xF3F4 0x10000 5.83 5fe1f4b3ae49da9cb7ef4e528359ba53
.data 0x11000 0xC98 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x12000 0x23000 0x1E000 4.55 2c5bb56dc68f49b9ef2a59a5f901f95d

( 1 imports )

> msvbvm60.dll: _CIcos, _adj_fptan, __vbaVarMove, __vbaVarVargNofree, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr, __vbaFreeVarList, __vbaEnd, _adj_fdiv_m64, __vbaNextEachVar, __vbaFreeObjList, -, _adj_fprem1, __vbaRecAnsiToUni, -, __vbaResume, __vbaStrCat, __vbaVarCmpNe, __vbaLsetFixstr, __vbaRecDestruct, __vbaSetSystemError, __vbaHresultCheckObj, __vbaNameFile, _adj_fdiv_m32, __vbaAryDestruct, __vbaForEachCollObj, __vbaExitProc, __vbaOnError, __vbaObjSet, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, -, __vbaVargVar, __vbaBoolVarNull, _CIsin, __vbaVarZero, -, __vbaNextEachCollObj, __vbaChkstk, __vbaFileClose, EVENT_SINK_AddRef, __vbaGenerateBoundsError, -, __vbaStrCmp, __vbaVarTstEq, __vbaObjVar, __vbaI2I4, DllFunctionCall, __vbaVarLateMemSt, __vbaCastObjVar, _adj_fpatan, __vbaFixstrConstruct, __vbaLateIdCallLd, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, __vbaNew, -, _CIsqrt, __vbaVarAnd, EVENT_SINK_QueryInterface, __vbaExceptHandler, __vbaPrintFile, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, -, -, __vbaFPException, __vbaStrVarVal, __vbaVarCat, __vbaCheckType, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, -, __vbaVarLateMemCallLdRf, __vbaNew2, __vbaInStr, _adj_fdiv_m32i, _adj_fdivr_m32i, -, __vbaStrCopy, -, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaVarTstNe, __vbaVarSetVar, __vbaI4Var, __vbaVarAdd, __vbaLateMemCall, __vbaStrToAnsi, __vbaVarDup, -, __vbaFpI4, __vbaVarLateMemCallLd, __vbaRecDestructAnsi, __vbaLateMemCallLd, __vbaVarSetObjAddref, _CIatan, __vbaStrMove, __vbaCastObj, -, __vbaForEachVar, _allmul, _CItan, __vbaAryUnlock, _CIexp, __vbaMidStmtBstr, __vbaFreeObj, __vbaFreeStr, -

( 0 exports )
TrID  : File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 3072:ifykjp6WpmSsX3nQgcK8w/naOfIE8AxuM0sNH5:ifLB+3nuKllIE8lM0KH5
sigcheck: publisher....: n/a
copyright....: n/a
product......: Microsoft_ Windows_ Operating System
description..: n/a
original name: Payment Document.exe
internal name: Payment Document
file version.: 1.01
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=CEB0A94C0034E6EB00B80360340A76006558D72B
PEiD  : -
packers (F-Prot): Malware_Prot.G
packers (Authentium): Malware_Prot.G
RDS   : NSRL Reference Data Set
-

ATENTION ATTENTION: VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.


Trang con (1): Virus tạo thư mục New Folder giả
Comments