Thời của virus KIDO đã qua, Packed.Win32.Katusha.o đang là virus chiếm tỉ lệ lây nhiễm nhiều nhất tại VN trong thời điểm hiện tại.

Nếu bạn search từ khóa: wuaucldt.exe (file lây nhiễm chính để nhận biết virus) trên google, nhiều kết quả trả về cho thấy rất nhiều người dùng đang bị nhiễm dòng virus này.

Theo máy chủ của Kaspersky, virus này luôn chiếm trên 20% tỉ lệ malware lây nhiễm tại VN. Nó có khả năng gửi thư rác ra ngoài, vô hiệu quá các phần mềm antivirus cũng như tải về các phần mềm độc hại khác và tự cài đặt vào máy tính nạn nhân (đây là điều nguy hiểm nhất)

Phân tích dưới đây sẽ cho bạn cái nhìn chi tiết về sự lây nhiễm, cũng như cách tiêu diệt virus này:

1. Tên gọi của các hãng

• Microsoft: Trojan:Win32/Malagent
• Sophos: Mal/Generic-L
• Kaspersky: Packed.Win32.Katusha.o

2. Mô tả quá trình lây nhiễm

- Các tập tin sau được cài đặt vào máy tính:

• C:\Documents and Settings\[UserName]\wuaucldt.exe
• C:\Windows\System32\wuaucldt.exe

- 2 tiến trình sau được tạo mới:

• wuaucldt.exe (đường dẫn C:\Documents and Settings\[UserName]\wuaucldt.exe)
• wuaucldt.exe (đường dẫn: C:\Windows\System32\wuaucldt.exe)

- Các giá trị sau trong Registry sau được tạo mới để giúp cho 2 tiến trình “wuaucldt.exe” chạy mỗi khi Windows khởi động:

• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

                 syncman = “C:\Windows\System32\wuaucldt.exe”

• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 

                  syncman = “C:\Documents and Settings\[UserName]\wuaucldt.exe "

- Kết nối đến host từ xa “69.197.177.170” qua port 443 để nhận lệnh tải về các tập tin độc hại khác về máy tính nạn nhân

3. Cách diệt

Diệt bằng tay:

• Dùng Task Manager tắt 2 tiến trình “wuaucldt.exe” đang hoạt động
• Xóa các giá trị virus tạo ra trong Registry
• Xóa các tập tin virus cài đặt vào máy tính

Dùng phần mềm:

• Tải về công cụ quét virus miễn phí của Kaspersky là “AVP Tool” tại: http://download.nts.vn/support/Support-Tools/AVPTool/ sau đó thực hiện quét toàn bộ máy tính trong chế độ “Safe Mode”
• Cài Kaspersky vào máy tính (tải về dùng thử 1 tháng tại www.kaspersky.vn) > cho chương trình “Cập nhật” sau đó thực hiện “Quét toàn bộ máy tính”-Bạn cũng có thể dùng công cụ riêng để remove virus này, tải về tại: http://download.nts.vn/support/Support-Tools/Kas_Utilities/Remove_wuaucldt.exe 

4. Lưu ý:

Packed.Win32.Katusha.o đang là malware lây nhiễm nhiều nhất tại VN. Qua các triệu chứng lây nhiễm kể trên, bạn có thể tự kiểm tra xem máy tính của mình có đang bị nhiễm dòng virus này hay không? Một phần mềm antivirus mạnh, có bản quyền, được cập nhật thường xuyên để bảo vệ máy tính của bạn trong thời gian thực là rất cần thiết.

Nguồn Kaspersky Lab VN