Hôm qua như Quản trị mạng đã đưa tin hàng nghìn máy tính tại Việt Nam đã bị vius W32.AdCoinMiner chiếm quyền điều khiển máy tính thông qua dịch vụ quảng cáo trực tuyến Adf.ly. Sau khi chiếm được quyền điều khiến máy tính, các vius này sẽ tiếp tục xâm nhập qua lỗ hổng bảo mật trên các phần mềm và chiếm quyền điều khiển máy tính của người dùng để tải xuống các payload ẩn, thực hiện công việc đào tiền ảo. Khi chiếm được quyền điều khiển từ thiết bị của nạn nhân, ngoài việc tải xuống payload đào tiền ảo, kẻ tấn công có thể cài thêm mã độc khác thông qua máy chủ điều khiển của chúng để thực hiện các hành vi gián điệp, đánh cắp thông tin và thậm chí là mã hóa dữ liệu để tống tiền.
Theo các chuyên gia từ Trend Micro khuyến cáo, để hạn chế tối đa vius xâm nhập máy tính người dùng cần cập nhật ngay bản vá lỗi mới nhất cho hệ điều hành, cũng như nâng cấp Trend Micro Security phiên bản 12 và thiết lập bảo vệ ở mức độ cao.
Trong trường hợp bạn nghi ngờ máy tính của bạn đã bị nhiễm vius đào tiền ảo W32.AdCoinMiner, có thể thực hiện các biện pháp sau đây:
Bước 1: Trước khi thực hiện bất kì thao tác quét nào, người dùng Windows XP, Vista và Windows 7 buộc phải vô hiệu hóa “System Restore” đầu tiên để có thể quét toàn bộ máy tính.
Bước 2: Trong quá trình cài đặt hoặc hệ điều hành khác nhau sẽ dễn đến những tập tin, mục, thư mục hoặc “registry key” khác nhau. Nếu bạn đã tìm thấy những mục này trong máy tính của mình thì không cần thực hiện các bước sau. Tuy nhiên, có nhiều máy tính lại không có những mục này, vậy bạn hãy thực hiện theo hướng dẫn dưới đây nhé.
Bước 3: Tìm và xóa file virus Coinminer dưới định dạng COINMINER_MALXMR.AB-WIN64.
Trong lúc tìm và xóa file virus này sẽ xuất hiện một vài trường hợp như:
Bước 4: Xóa “Registry Value”.
Lưu ý: Nếu không cẩn thận trong việc chỉnh sửa “Registry” của Windows, người dùng có thể sẽ gặp sự cố hệ thống và không thể khôi phục lại được. Trend Micro khuyên rằng chỉ nên thực hiện bước này khi bạn người dùng biết làm thế nào hoặc yêu cầu hỗ trợ từ quản trị viên của hệ thống. Người dùng có thể tham khảo trước một số bài viết nói về vấn đề này từ Microsoft nếu muốn tiếp tục thực hiện chỉnh sửa “Registry”.
Truy cập theo đường dẫn:
Trong HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
XMRRUN = “%SystemRoot%\Windows\SysWOW64\audiodig.exe –c%SystemRoot%\Windows\SysWOW64\audiodig”
Trong HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Wextract_cleanup0 = “rundll32.exe%System%\advpack.dll,DelNodeRunDLL32”%User Temp%\IXP000.TMP\””
Bước 5: Tìm và xóa những tệp tin dưới đây
Lưu ý: Trước khi tìm và xóa những tệp tin, người dùng nên bật tính năng “Search Hidden Files and Folders” trong mục “More Avanced Options” để chắc chắn rằng những tệp tin dưới đây không bị ẩn khi tìm kiếm.
%User Temp%\IXP000.TMP\TMP{random}.TMP
· %User Temp%\IXP000.TMP\audiodig
· %User Temp%\IXP000.TMP\audiodig.exe
· %User Temp%\IXP000.TMP\audiodig.reg
· %User Temp%\IXP000.TMP\init.bat
· %System Root%\SysWOW64\audiodig
· %System Root%\SysWOW64\audiodig.exe
· %System Root%\SysWOW64\audiodig.reg
· %System Root%\SysWOW64\init.bat
Bước 6: Cuối cùng người dùng nên sử dụng Trend Micro Security phần mềm diệt virus để phát hiện và xóa các tệp tin có định dạng như COINMINER_MALXMR.AB-WIN64. Khi phát hiện các tệp tin bị nhiễm virus người dùng nên xóa bỏ hoặc cách ly hoàn toàn với các tệp khác để tránh lây lan.
Xem thêm:
Nguồn tin: quantrimang.com
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn