Virus Conflicker thì anh em chắc là không lạ lùng gì, nhưng các biến thể của nó thì làm cho người ta hơi bị nhức đầu. Con Kido hay Conflicker này hoạt động như sau, tự nhân bản hoặc tạo ra những file có hình thù như thế này:

Code:

%System%\<rnd>dir.dll
%Program Files%\Internet Explorer\<rnd>.dll
%Program Files%\Movie Maker\<rnd>.dll
%All Users Application Data%\<rnd>.dll
%Temp%\<rnd>.dll
%System%\<rnd>tmp
%Temp%\<rnd>.tmp

Bên cạnh đó để đảm bảo mỗi lần Start Windows là nó ăn theo nên nó sẵn sàng tạo một khóa trong Registry để hoạt động.

Code:

Code:


[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
và gắn 1 giá trị vào khóa như sau
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs" = "<original value> %System%\<rnd>.dll"

Do SvcHosst là một file của hệ thống nên hầu như không dám delete nên con Worm đó tự do tung hoành.

Tuy nhiên, cũng có cách để diệt nó, trước hết làm như sau:

Code:

Code:


Xóa cái giá trị của Registry và khóa của nó như sau.
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
Xóa giá trị “%System%\<rnd>.dll” và nhớ del luôn cái tên nha.
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"
Khởi động lại máy.

Xóa các file do Virus tạo ra:

%System%\<rnd>dir.dll
%Program Files%\Internet Explorer\<rnd>.dll
%Program Files%\Movie Maker\<rnd>.dll
%All Users Application Data%\<rnd>.dll
%Temp%\<rnd>.dll
%System%\<rnd>tmp
%Temp%\<rnd>.tmp

<rnd> những tên ngẫu nhiên do Virus tạo ra.

Xóa các file :
<X>:\autorun.inf
<X>:\RECYCLER\S-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%>\<rnd>.vmx,
Download và cập nhật
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Ít ra như thế cũng hạn chế được 1 phần.