VNCERT: chặn 3 kết nối và xoá 4 tập tin chứa mã độc

Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cho biết đã phát hiện một số mã độc và yêu cầu các cơ quan, tổ chức cần theo dõi và ngăn chặn kết nối đến các tên miền sau:

​a) playball.ddns.info

b) nvedia.ddns.info

​c) air.dcsvn.org

​Đồng thời,  các bộ phận quản lý CNTT của các cơ quan, tổ chức cần quét hệ thống và xoá các thư mục vàtập tin mã độc có kích thước tương ứng:

​​a)C:\Program Files\Common Files\McAfee\McAfee.exe (137.28 KB)

​- MD5: 884D46C01C762AD6DDD2759FD921BF71

​- SHA-1: D201B130232E0EA411DAA23C1BA2892FE6468712

​​b) C:\Program Files\Common Files\McAfee\McUtil.dll (3.50 KB)

​- MD5: C52464E9DF8B3D08FC612A0F11FE53B2

​- SHA-1: E464D10AD93600232D7A24856D69F00510949A40

​​c) C:\Windows\system32\DiskMgers.dll (85.00 KB)

​- MD5: 9BF793EF195CC62F8A61093F77B03158

​- SHA-1:46844B0ACF2BB67ADBF2304A61BE07738D2DDD64

​​d) Tập tin “diskperf.exe”: tìm tất cả các file trong ổ hệ điều hành có:

​- MD5: 29E656E1256FC998B7CE8494656B3EF8

​- SHA-1: 8C073B63D85CBF48BD742A62C7A59EEB064DA74D

"Trên đây là những mã độc đặc biệt nguy hiểm, có thể đánh cắp thông tin và phá huỷ hệ thống" - Trung tâm VNCERT nhấn mạnh - " Lãnh đạo các đơn vị cần nghiêm túc thực hiện lệnh điều phối".

VNCERT cũng hướng dẫn kiểm tra mã MD5, SHA-1 của tập tin và cách thức xoá tập tin chữa mã độc như sau:

1. Hướng dẫn kiểm tra mã hash MD5, SHA-1:

a) Download phần mềm tại: http://www.nirsoft.net/utils/hashmyfiles.zip

b) Kiểm tra: Giải nén tập tin hashmyfiles.zip trên, tiến hành mở file “HashMyFiles.exe”. Nhấn vào File ->Add Files; Trỏ đến file cần kiểm tra mã Hash. Mã MD5 và SHA-1 sẽ hiển thị bên khung chương trình. Bạn chỉ cần đối chiếu mã MD5 và SHA-1 tương ứng trong Công văn đi kèm.

2. Hướng dẫn gỡ bỏ tập tin chứa mã độc:

a) Xác định mã độc: Nếu mã MD5 và SHA-1 trùng nhau thì tập tin trên máy tính là phần mềm có chứa mã độc. Nếu không trùng thì chưa khẳng định 100% nó không phải là mã độc. Có thể không xoá trong trường hợp này.

b) Cách xoá tập tin chứa mã độc: Do tập tin này đang chạy nên ta cần dừng hoặc tắt tiến trình này trước khi xoá. Trước tiên cần tải phần mềm miễn phí có tên“Process Explorer” của Microsoft tại địa chỉ bên dưới: https://download.sysinternals.com/files/ProcessExplorer.zip

Sau khi tải về giải nén ta chạy file “procexp.exe”. Tiến hành tìm kiếm các tiến trình tương ứng trong Công văn ở trên và nhấn chuột phải chọn “Suspend” hoặc “KillProcess”. Sau khi chọn xong, ta vào đường dẫn tương ứng để xoá.

Sau khi thực hiện,  các đơn vị báo cáo tình hình về Đầu mối điều phối ứng cứu sự cố quốc gia (Trung tâm VNCERT) theo địa chỉ email: ir@vncert.gov.vn; điện thoại: 0934424009 trước 16g ngày 5-8.