Virus mioyo gây ra hiện tượng không lấy được ID trên UltraViewer
Hôm nay UltraViewer ghi nhận 1 trường hợp gặp lỗi không thể lấy được ID. Chúng tôi xin ghi chép lại nhật ký xử lý trong mục Blog này để quý khách hàng tiện nắm bắt được các thông tin và có thể có phương hướng xử lý trong lần sau nếu gặp phải lỗi tương tự.
Biểu hiện
Qua các thông tin mô tả của khách hàng và kiểm tra bằng một phần mềm điều khiển từ xa khác, chúng tôi nhận thấy máy của khách hàng có các biểu hiện như sau:
- Khách hàng dùng hđh WIndows 7 - 32 bit.
- Các máy khác trong cùng mạng LAN vẫn dùng được UltraViewer bình thường. Chỉ riêng 1 máy khi mở lên hiện thông báo "Đang lấy ID" mãi mà không được.
- Máy của khách hàng không cài đặt phần mềm diệt virus hay tường lửa nào.
- Máy khách hàng không sử dụng các phần mềm fake IP, Proxy, Sock hay VPN.
- Vẫn Ping đến máy chủ của UltraViewer bình thường, vẫn kết nối tới cổng 443 bình thường bằng công cụ Telnet.
- Máy KH cũng đang gặp lỗi không kết nối được tới máy in và các máy trong mạng LAN.
Biểu hiện kĩ thuật
Chúng tôi đã dùng các biện pháp kĩ thuật để kiểm tra và thấy một vài kết quả như sau :
- Wireshark báo sau khi kết nối tới server, Ultraviewer trên máy KH gửi 1,2 tín hiệu xong thì ngay lập tức gửi tiếp tín hiệu RST, ACK để ngắt kết nối.
- Log trên UltraViewer của máy khách hàng báo :
=> ConnectFail: 4: An established connection was aborted by the software in your host machine
- Trên server vẫn nhận được tín hiệu tín hiệu 5 byte đầu của KH, nhưng ngay sau đó hiện thông báo:
Nguyên nhân cuối cùng
Chúng tôi nhận định rằng có 1 phần mềm nào đó đã phá kết nối gây ra hiện tượng không kết nối trên. Sau một hồi sàng lọc và kiểm tra, chúng tôi phát hiện Process mang tên "mioyo.exe" với đường dẫn đầy đủ là C:\\Users\\Administrator\\oyoim\\mioyo.exe có dấu hiệu khả nghi là nguyên nhân.
Chúng tôi đã tắt thử process này và không còn bị hiện tượng không lấy được ID trên nữa.
Chúng tôi đã gửi tệp tin mioyo.exe trên lên VirusTotal, có 56/58 phàn mềm diệt virus chỉ báo tệp tin trên là malware ( phần mềm độc hại) :
https://virustotal.com/en/file/
b0ef9f59056d850ca2b721249e389e132b
8b2dc17de364915291f8f9a914ad94/analysis/
Cuối cùng, chúng tôi đã gỡ bỏ malware trên khỏi máy hộ khách hàng, đồng thời xóa registry khởi động của process trên tại :
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\Run\\ . ( value : C:\\Users\\Administrator\\oyoim\\mioyo.exe /s )
Hiện hầu hết các phần mềm diệt virus đều nhận dạng được tệp tin trên. Vì vậy để tránh hoặc xử lý khi gặp phải hiện tượng trên, quý khách hàng nên cài đặt thêm 1 phần mềm diệt virus đã được cập nhật mới nhất để loại bỏ được virus trên khỏi máy.
Chúc quý khách thành công!
Viết bình luận (Cancel Reply)