Mã độc được phát tán lần này không quá tinh vi, nhưng lại đánh đúng vào tâm lý tò mò của người Việt Nam. Cụ thể mã độc sẽ tự động gửi một tập tin nén zip qua Facebook Messenger, bên trong có chứa một tập tin giá dạng video. Tên tập tin được gửi đi thường có dạng “video_” + 4 số ngẫu nhiên. Nếu ai đó gửi cho bạn tập tin có tên như vậy, hãy cẩn thận.
Nếu bạn có lỡ click và tải tập tin đính kèm được gửi qua tin nhắn Facebook thì đừng lo, tại thời điểm này bạn vẫn an toàn. Nhưng sau khi bạn vô tình mở tập tin đó, mã độc sẽ sẽ được thực thi. Chuyện gì sẽ xảy ra? Chúng ta hãy cùng phân tích tập tin này!
Theo phân tích sơ bộ của một chuyên gia phân tích mã độc, loại mã độc mới được viết bằng ngôn ngữ AutoIT, các hàm chính của mã độc đã được làm rối để người phân tích khó có thể biết được chức năng của mã độc.
Sau một thời gian giải mã các mã rối, chức năng chính của mã độc đã dần lộ ra. Đầu tiên mã độc sẽ gửi thông tin về máy bị lây nhiễn đến địa chỉ hxxp: //ojoku.bigih.bid/api/cherry/login.php
Sau đó mã độc thực hiện tải và cài đặt một extension độc hại vào trình duyệt của người dùng, chức năng của extension này là phát tán tiếp các tập tin mã độc giả dạng video đến bạn bè của người bị lây nhiễm. Tiếp theo mã độc này thực hiện việc ghi file shortcut chrome để load extension kia vào các thư mục như desktop, taskbar, program....
Cuối cùng mã độc sẽ khởi động lại chrome để extension thực thi và tặng kèm bạn một loại mã độc khác là “coin minner” dùng để đào các loại tiền mã hoá, khiến cho máy bạn luôn trong tình trạng giật lag mà không hiểu tại sao.
Hiện tại việc duy nhất để ngăn chặn mã độc này lây lan trên máy bạn nếu bạn lỡ click vào tập tin mã độc là sửa tập tin hosts và thêm vào các dòng sau:
127.0.0.1 ojoku.bigih.bid
127.0.0.1 plugin.ojoku.bigih.bid
Đây chỉ là một biện pháp thủ công và mang tính chất tạm thời vì kẻ tấn công có thể dễ dàng phát tán các mã độc khác với các tên miền khác. Khuyến cáo chung dành cho các bạn là không nên mở các tập tin lạ đến từ Facebook Messenger và sử dụng một chương trình AntiVirus để đảm bảo được an toàn.
Theo Trí Thức Trẻ
Tiện ích "Được cài đặt theo chính sách doanh nghiệp" là gì? (“Installed by enterprise policy”)
Đây là tiện ích giả được tự động cài vào máy của bạn để phát ra quảng cáo popup. Tiện ích này thường được lén lút cài vào trình duyệt của bạn từ các phần mềm tải về miễn phí, và nó có hình dạng như sau khi bạn vào chrome://extensions để cố gỡ bỏ nó đi.
Làm thế nào để gỡ bỏ chúng?
Có nhiều cách đề xuất dưới đây, bạn hãy thử từng bước một và báo lại diễn đàn không thành công nhé.
Bước 1: Tải công cụ làm sạch Chrome về để quét các phần mềm lạ.
Bước 2: Nếu vẫn chưa được thì bạn phải tự tay gỡ nó ra từ trong máy tính của bạn. Cách thực hiện như sau:
Để gỡ bỏ chương trình trên Windows, bạn hãy vào Control Panel
Trong Control Panel, bạn hãy chọn Programs > Uninstall a program
Kiểm tra danh sách các phần mềm trên máy xem có phần mềm nào lạ không nhận ra thì bạn gỡ nó đi
Bước 3: Đôi khi phần mềm quảng cáo adware ẩn sâu trong máy khiến bạn không nhận ra. Lúc đó bạn hãy thực hiện phương pháp 'tìm và diệt':
Tìm tên ID chính xác của tiện ích đó là gì bằng cách gõ chrome://extensions vào thanh địa chỉ
Trong danh sách tiện ích, bạn hãy bật chế độ dành cho nhà phát triển (Bật Developer mode on)
Theo hình ví dụ trên thì ID của tiện ích chính là phần gạch đỏ. Như vậy là bạn đã 'tìm' được ID của nó. Bước tiếp theo là 'diệt'.
Nếu bạn đang dùng Windows thì bạn hãy gõ phím tắt Windows Key + R để mở hộp Run ra. Sau đó bạn gõ dòng lệnh regedit.exe vào để mở cửa sổ Windows Registry Editor ra.
![[Image: Remove the Installed by enterprise policy registry key]](https://blogger.googleusercontent.com/img/proxy/AVvXsEiJDQ5jO2w0XFBV6oGM8u5V41jLUZ9PiiVIIT_iJMu4HC75fTEgmBugrRVNAtBiGGGpiNcnJ13LHHRpyEusM-_dJ8BNM3BZgCnR5Ir8zvgZc6yqS6ORePHjSfRTXqY8Bf9WzoetKkhGtiTseTkj1w1m1OaIfAvnv0Kxx7SQs_mtDwHB=w5000-h5000)
Một hộp thoại sẽ hiện ra bạn ấn Ok để hoàn tất
![[Image: Confirm that you want to delete the malicious registry key]](https://blogger.googleusercontent.com/img/proxy/AVvXsEitYzcwZlr-OsuQ5n9_9yKycRTSq42_Hc4AQvEBfH4mFQXuMR7q8eKTp1tEjkIsUFYoZCe9aMXXAqPp6gIIKrCzQ3i_YyRAw_uhf7srgqNvR4E2m0bAp2O3Uekm6w4BltIVG7AobCmtMGBbSwLAlcVZ3dFsXKpHBv_XA-wkYU8Q5eMi=w5000-h5000)
Tiếp thep bạn vào Start -> Control panel -> Folder Option, ở hôp thoại mở lên bạn nhấp tab View rồi chọn "Show hidden files, folders and drives", sau đó click Apply và Click OK để hoàn tất.
Bạn mở Chrome lên và gõ lệnh chrome://policy vào khung địa chỉ, sau đó Click "Show Value" trong cửa sổ Policies
![[Image: Click on Show value to see the malicious folder]](https://blogger.googleusercontent.com/img/proxy/AVvXsEinxCCZsjyXxh62dE_9vP5izAmljwdMuC-83wmHzOOwPPCsIzmb_GAW71UlmlhqsP6IiW75-UrQmsihqjjk8fymNo9Dz-eg7ZEmoS7eej_E_spxG9KCJ_f5T1Ymbcg5F2qnrl53RKVCxonkdNnCRyJncILSJC1RN-axWqT4aHlADyK6=w5000-h5000)
Lúc này bên dưới sẽ xuất hiện đường dẫn nơi tiện ích được cài đặt
![[Image: Installed by enterprise policy malicious folder]](https://blogger.googleusercontent.com/img/proxy/AVvXsEiBeSOUjMz1ntZuTtXwGzxAUk4HSyrGKcYQQ5-0zuwP44ATnNIFfK1z6IGCR34eykBtUf8IZQOPY0FOLtHxOMwXImmdYs2PQxZ5YQduOJR_JGtDRL6x-kZ9U6PlJwZbhjRhsvl9Iih1J8iFvRlWIw4EYN7gX6pXCRgcoXl-q2s6wUfe=w5000-h5000)
Theo như trên thì ứng dụng được cài đặt tại: C:/ProgramData/YoutubeAdblocker
Trong một số trường hợp sẽ không xuất hiện đường dẫn trên, nhưng không sao cả bạn có thể thao tác tiếp bước kế tiếp.
Bạn tìm đến thư mục trên trong máy tính và xóa nó đi
![[Image: Delete Installed by enterprise policy malicious folder]](https://blogger.googleusercontent.com/img/proxy/AVvXsEiZYwwqSYbMIANO6vgUI9Lm52KccCK0eCk5leUK3DTj5KWBCMGVgBTDPzshZAzH8_HHAVXZ_uVZMIPNQa0tO7af4GXjI2LgfMIaGOqR8Hsxj0JYvvfj851aEf48UnXF_ZyZV1rcZkz542N3wImY4_4RriMc9U_39Q1Jnh2_8aXcpv2P=w5000-h5000)
Tiếp theo bạn cần xóa thư mục chứa phần mở rộng của tiện ích này.
- nếu bạn sử dụng Windows Vista, Windows 7 hay Windows 8, Windows 10 thì bạn mở Run lên copy và paste dòng sau vào và enter: %LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions
Nếu tìm theo cách bình thường thì bạn tìm đến đường dẫn: C:\Users\"tên user bạn đang dùng"\AppData\Local\GOOGLE\CHROME\USER DATA\DEFAULT\Extensions
- Nếu bạn dùng Windows XP thì bạn mở Run lên copy và paste dòng sau vào và enter : %USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\Extension
Sau đó bạn tìm đến ID của tiện ích đó ấn chuột phải chọn Delete
![[Image:Remove Installed by enterprise policy malicious extension folder]](https://blogger.googleusercontent.com/img/proxy/AVvXsEgNFtU0z5L7gyEKF_DyaAfoGq9cOv8_7gIKGJSWTbQmTO9bK13i6kA4j3DOeQlnkvnF8TKMGmGkpo7LyQYtwnr5128jPsifr2xr65lrkZayvjNh8Jbqj6qb4sAnATvfoWSlUF012L7crCQTMic2G3v-ttoDbhyphenhyphen120fKpff-F3v3Cj3q=w5000-h5000)
Bước cuối cùng bạn cần phần xóa các thư mục trong GroupPolicy, bạn mở Run lên copy và paste dòng này vào và enter %windir%\system32\GroupPolicy (tìm theo cách thông thường C:\Windows\system32\GroupPolicy), sau đó xóa 2 thư mục Machine và User.
![[Image: Delete Machine and User folders]](https://blogger.googleusercontent.com/img/proxy/AVvXsEhwiOVYD7ngytXfWsy0UiyogC3rsMX8ndzZE7MhqE38hNwtIW6uljlL8wbGM3w4YTHVUwETP8QAptY4nSR2LET6tVIUIprclbOlVMwnwj0xdkWsLC8IiwVcYtLttw5jbPC_Dn4LGSui-zZ3-8NMzJjpM7AE67S3E-QqFC0vR1h9bqHHlw=w5000-h5000)
Bạn, Hàng Triệu Người và người khác
Nếu bạn có lỡ click và tải tập tin đính kèm được gửi qua tin nhắn Facebook thì đừng lo, tại thời điểm này bạn vẫn an toàn. Nhưng sau khi bạn vô tình mở tập tin đó, mã độc sẽ sẽ được thực thi. Chuyện gì sẽ xảy ra? Chúng ta hãy cùng phân tích tập tin này!
Theo phân tích sơ bộ của một chuyên gia phân tích mã độc, loại mã độc mới được viết bằng ngôn ngữ AutoIT, các hàm chính của mã độc đã được làm rối để người phân tích khó có thể biết được chức năng của mã độc.
Sau một thời gian giải mã các mã rối, chức năng chính của mã độc đã dần lộ ra. Đầu tiên mã độc sẽ gửi thông tin về máy bị lây nhiễn đến địa chỉ hxxp: //ojoku.bigih.bid/api/cherry/login.php
Sau đó mã độc thực hiện tải và cài đặt một extension độc hại vào trình duyệt của người dùng, chức năng của extension này là phát tán tiếp các tập tin mã độc giả dạng video đến bạn bè của người bị lây nhiễm. Tiếp theo mã độc này thực hiện việc ghi file shortcut chrome để load extension kia vào các thư mục như desktop, taskbar, program....
Cuối cùng mã độc sẽ khởi động lại chrome để extension thực thi và tặng kèm bạn một loại mã độc khác là “coin minner” dùng để đào các loại tiền mã hoá, khiến cho máy bạn luôn trong tình trạng giật lag mà không hiểu tại sao.
Hiện tại việc duy nhất để ngăn chặn mã độc này lây lan trên máy bạn nếu bạn lỡ click vào tập tin mã độc là sửa tập tin hosts và thêm vào các dòng sau:
127.0.0.1 ojoku.bigih.bid
127.0.0.1 plugin.ojoku.bigih.bid
Đây chỉ là một biện pháp thủ công và mang tính chất tạm thời vì kẻ tấn công có thể dễ dàng phát tán các mã độc khác với các tên miền khác. Khuyến cáo chung dành cho các bạn là không nên mở các tập tin lạ đến từ Facebook Messenger và sử dụng một chương trình AntiVirus để đảm bảo được an toàn.
Theo Trí Thức Trẻ
Tiện ích "Được cài đặt theo chính sách doanh nghiệp" là gì? (“Installed by enterprise policy”)
Đây là tiện ích giả được tự động cài vào máy của bạn để phát ra quảng cáo popup. Tiện ích này thường được lén lút cài vào trình duyệt của bạn từ các phần mềm tải về miễn phí, và nó có hình dạng như sau khi bạn vào chrome://extensions để cố gỡ bỏ nó đi.
Làm thế nào để gỡ bỏ chúng?
Có nhiều cách đề xuất dưới đây, bạn hãy thử từng bước một và báo lại diễn đàn không thành công nhé.
Bước 1: Tải công cụ làm sạch Chrome về để quét các phần mềm lạ.
Bước 2: Nếu vẫn chưa được thì bạn phải tự tay gỡ nó ra từ trong máy tính của bạn. Cách thực hiện như sau:
Để gỡ bỏ chương trình trên Windows, bạn hãy vào Control Panel
Trong Control Panel, bạn hãy chọn Programs > Uninstall a program
Kiểm tra danh sách các phần mềm trên máy xem có phần mềm nào lạ không nhận ra thì bạn gỡ nó đi
Bước 3: Đôi khi phần mềm quảng cáo adware ẩn sâu trong máy khiến bạn không nhận ra. Lúc đó bạn hãy thực hiện phương pháp 'tìm và diệt':
Tìm tên ID chính xác của tiện ích đó là gì bằng cách gõ chrome://extensions vào thanh địa chỉ
Trong danh sách tiện ích, bạn hãy bật chế độ dành cho nhà phát triển (Bật Developer mode on)
Theo hình ví dụ trên thì ID của tiện ích chính là phần gạch đỏ. Như vậy là bạn đã 'tìm' được ID của nó. Bước tiếp theo là 'diệt'.
Nếu bạn đang dùng Windows thì bạn hãy gõ phím tắt Windows Key + R để mở hộp Run ra. Sau đó bạn gõ dòng lệnh regedit.exe vào để mở cửa sổ Windows Registry Editor ra.
- Tiếp theo, bạn chọn Edit > Find next, hoặc bạn ấn phím F3 trong cửa sổ Registry Editor
- Tại đây các bạn Copy và Paste ID của tiện ích trên vào ô tìm kiếm và ấn "Find Next"
- Sau khi hoàn tất tìm kiếm sẽ đưa bạn đến vị trí của Key chứa ID trên như: HKEY_LOCAL_MACHINE\
SOFTWARE\Policies\Google\ Chrome\ ExtensionInstallForcelist as - Bạn Click chuột phải vào Key trên và chọn Delete
![[Image: Type the ID of the malicious extension]](https://blogger.googleusercontent.com/img/proxy/AVvXsEge9EQjTGC4a907hj88WF0bYSVh-UPcAUvMenlBpdd437-JI1U9VNsZLmd0UOcfOHtVaeC1owEs_26H70A3XTeVcEvNjdeW0zg5FyU8rvNQWV-jBQBKzOsmxcBsR_FtTTOurNGN6OZcpDFYZBQT5-0BSQc2JqnR1lfOiIc0GyHRT5ob=w5000-h5000)
Một hộp thoại sẽ hiện ra bạn ấn Ok để hoàn tất
Tiếp thep bạn vào Start -> Control panel -> Folder Option, ở hôp thoại mở lên bạn nhấp tab View rồi chọn "Show hidden files, folders and drives", sau đó click Apply và Click OK để hoàn tất.
Bạn mở Chrome lên và gõ lệnh chrome://policy vào khung địa chỉ, sau đó Click "Show Value" trong cửa sổ Policies
Lúc này bên dưới sẽ xuất hiện đường dẫn nơi tiện ích được cài đặt
Theo như trên thì ứng dụng được cài đặt tại: C:/ProgramData/YoutubeAdblocker
Trong một số trường hợp sẽ không xuất hiện đường dẫn trên, nhưng không sao cả bạn có thể thao tác tiếp bước kế tiếp.
Bạn tìm đến thư mục trên trong máy tính và xóa nó đi
Tiếp theo bạn cần xóa thư mục chứa phần mở rộng của tiện ích này.
- nếu bạn sử dụng Windows Vista, Windows 7 hay Windows 8, Windows 10 thì bạn mở Run lên copy và paste dòng sau vào và enter: %LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions
Nếu tìm theo cách bình thường thì bạn tìm đến đường dẫn: C:\Users\"tên user bạn đang dùng"\AppData\Local\GOOGLE\CHROME\USER DATA\DEFAULT\Extensions
- Nếu bạn dùng Windows XP thì bạn mở Run lên copy và paste dòng sau vào và enter : %USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\Extension
Sau đó bạn tìm đến ID của tiện ích đó ấn chuột phải chọn Delete
Bước cuối cùng bạn cần phần xóa các thư mục trong GroupPolicy, bạn mở Run lên copy và paste dòng này vào và enter %windir%\system32\GroupPolicy (tìm theo cách thông thường C:\Windows\system32\GroupPolicy), sau đó xóa 2 thư mục Machine và User.
Bạn, Hàng Triệu Người và người khác
Bình luận