Mẫu trojan Worm.Win32.autorun.blhKhi máy bị nhiễm từ các nguồn như USB và các thiết bị khác, trojan này sẽ tự động copy bản thân vào thư mục Windows và đổi tên thành SSVICHOSST.exe đồng
Trang 1Mẫu trojan Worm.Win32.autorun.blh
Khi máy bị nhiễm từ các nguồn như USB và các thiết bị khác, trojan này sẽ tự động copy bản thân vào thư mục Windows và đổi tên thành SSVICHOSST.exe đồng thời cũng copy vào thư mục Windows\System32 2 file:
autorun.ini và SSVICHOSST.exe Riêng file autorun ini hoạt động như trojan autorun.a với cú pháp
" shell=open" Như vậy khi máy đang có virus hoạt động, nếu người dùng gắn Removable Disk (USB) vào thì nó
sẽ tự động xác định và gởi 2 bản copy của nó vào ổ đĩa USB đó và file autorun.inf với cú pháp của file autorun.ini (2 bản copy này mang tên New Folder và SSVICHOSST) Như vậy nó cứ tiếp tục lây nhiễm qua đường USB Can thiệp vào Registry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
"Yahoo Messenger" = "C:\WINDOWS\system32\SSVICHOSST.exe"
Đây là con virus có mức độ phá hoại ở mức thấp và việc diệt nó cũng không khó Các bạn chỉ việc làm như sau:
1 Bật Task Manager để kill process SSVICHOSST.exe và New Folder.exe (nếu có)
2 Tìm đến khóa Run ở trên và delete value Yahoo Messenger
3 Xóa file SSVICHOSST.exe trong thư mục Windows
4 Mở Folder Options và tùy chọn hiện file ẩn lẫn file hệ thống (đánh vào nút Show Hidden và bỏ checkbox Hide protection operating )
5 Vào thư mục System32 xóa 2 file autorun.ini và SSVIHOSST.exe
6 Xóa các file autorun.inf, SSVICHOSST.exe và New Folder.exe trong USB