Phát hiện 13/7/ 2010

Cập nhật 14/7/2010 6:20:05 AM

Tên gọi khác: Troj/Stuxnet-A [Sophos]

Loại: Worm

Phát tán : Thay đổi liên tục

Hệ thống ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

II - Chi tiết kỹ thuật
Khi phát tản Worm tạo ra các file như

• %System%\drivers\mrxcls.sys
• %System%\drivers\mrxnet.sys

Hoặc file ẩn

• FindFirstFileW
• FindNextFileW
• FindFirstFileExW
• NtQueryDirectoryFile
• ZwQueryDirectoryFile

III - Cách diệt:
Trước khi thao tác tắt chức năng System Restore (Windows Me/XP).
1, Vào để thực hiện tắt một số tác vụ trong máy sau

1. Vào Start > Run.
2. TGõ  services.msc,  click OK.
3. Xác định vị trí dịch vụ được phát hiện sau đó.
4. Click Action > Properties.
5. Click Stop.
6. Thay đổi Startup Type tới  Manual.
7. Click OK  và đóng cửa sổ
   
8. Khởi động lại máy.

2, tiếp theo

1. Vào  Start > Run.
2. Gõ  regedit
3. Click OK.
4. Tìm và xóa cài đặt sau trong Registry

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\"ImagePath" = "%System%\drivers\mrxcls.sys"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet\"ImagePath" = "%System%\drivers\mrxnet.sys"

      5. Thoát khỏi regedit