Virus (worm) Spoolsv.exe, Spools.exe là W32.Kassbot.A

Vừa rồi server của mình bị nhiễm con sâu này.

Con sâu này được phát hiện vào 19/05/ 2005 cũng khá lâu rồi.

– Biểu hiện sau đây:

Mở Task Manager lên các bạn sẽ thấy 2 tiến trình sau cùng chạy:  spoolsv.exe,  spools.exe

Server đang hoạt động ngon lành thì tự  động shutdown và một số dịch vụ hoạt động không ổn định

– Cách khởi động tiến trình (process) của nó:

Bằng cách nhiễm vào tiến trình spoolsv.exe – Đây là tiến trình phục vụ cho việc liên quan đế in ấn.

Khi tiến trình này spoolsv.exe được khởi động lên thì sẽ kích hoạt theo tiến trình spools.exe –  Đây là một loại sâu được đặt tên là W32.Kassbot.A

Một trong các hoạt động nguy hiểm của nó là: List, stop, and start processes and services

-Cách khắc phục ban đầu

1.Mở Task Manager lên, tìm và diệt hai tiến trình đó.

Sau đó vào phần quản lý start và stop các dịch vụ Services, tìm đến Print Spooler tạm thời stop dịch vụ này lại (nếu có sử  dụng) và disable nó luôn (nếu không sử  dụng cho việc in ấn).

2.Rồi Start >> Run >> gõ regedit và tìm đến khóa

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

rồi delete giá trị sau

“Spools Service Controller” = “%System%\spools.exe”

Thoát regedit

3.Tìm đến file hosts theo C:\WINDOWS\system32\drivers\etc

Xóa các giá trị đã add vào như

127.0.0.1   symantec.com

Mục đích việc add này của virus là không  muốn chương trình diệt virus Symantec cập nhật được.

4.Update và setup các chương trình diệt virus để diệt con này

Như vậy là tạm thời khống chế được con sâu này rồi.

Các bạn nên xem chi tiết về con sâu này tại đây

http://www.symantec.com/security_response/writeup.jsp?docid=2005-051914-3429-99&tabid=2

Có mô tả chi tiết, hướng dẫn removal, các hoạt động của nó.

Hầu như  các hoạt động của nó liên quan đến việc lấy cắp thông tin và nhất là với ngân hàng

Và chú ý cuối cùng là dịch vụ Spoolsv.exe dùng cho in ấn cũng có thể bị nhiễm hoặc liên quan đến virus:

http://www.spywareremove.com/removespoolsvexe.html

Và tên tiến trình của con sâu có thể khác đi với Spools.exe như: Spooler.exe, … nói chung là nó có tên tương tự như tiến trình của hệ thống dùng cho việc in ấn Spoolsv.exe, nhằm làm cho chúng ta dễ nhằm lẫn và khó phát hiện ra nó.

Enjoy it

Cu Tí


Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

%d bloggers like this: