Sunday, November 6, 2011

Google Hijack - Kết quả tìm kiếm bị chuyển hướng


"Google Hijack" - một điều ngày càng trở nên phổ biến ngày nay. Người dùng công cụ tìm kiếm của Google có thể phàn nàn về việc tìm kiếm của họ bị chuyển hướng sang các trang không mong muốn, cho dù bạn sử dụng trình duyệt nào đi chăng nữa.
Kết quả tìm kiếm của Google bị đổi hướng
Điều này xảy ra khi hệ thống bị lây nhiễm một trong những loại virus sau: Trojan Win32/Daonol.A/B, Trojan.JSRedir/Trojan.Gumblar, Win32.Alureon, Win32.Olmarik, Trojan.generic, TDSS rootkits, Backdoor.Tidserv!.inf.
Một số biến thể của TDSS rootkit TDL3 cũng làm lây nhiễm driver hệ thống, ví như iaStor.sys, atapi.sys, iastorv.sys, cdrom.sys,...

Triệu chứng:

  • Kích vào đường link của một kết quả tìm kiếm Google sẽ chuyển hướng sang một trang ngẫu nhiên nào đó.
  • Các công cụ bị disabled như cmd và regedit, hoặc chạy lệnh cmd hoặc regedit có thể reset Explorer.
  • Thông báo được hiển thị dưới dạng popup bị lỗi “DCOM server protocol launcher server terminated”.

Giải pháp:

Các biến thể cũ đã tấn công dữ liệu quan trọng của HKLM\software\microsoft\windows nt\currentversion\drivers32 key như Trojan.JSRedir, Daonol và Gumblar có thể loại bỏ dễ dàng bằng cách sử dụng MalwareBytes. Tuy nhiên, những biến thể gần đây, đặt biệt là biến thể của TDSS/TDL3 mà MBAM không thể loại bỏ được thì người dùng có thể sử dụng TDSSKiller. Vậy nên, chúng tôi khuyến cáo người dùng nên sử dụng luôn TDSSKiller.
Download TDSSKiller, giải nén và chạy file TDSSKiller.exe

Chỉ tấn công FireFox:

Kết quả tìm kiếm của Google bị chuyển hướng chỉ ảnh hưởng tới trình duyệt Firefox mà không ảnh hưởng tới Internet Explorer.
Những kẻ tấn công khác chỉ tập trung tấn công vào trình duyệt Firefox. Các kết quả tìm kiếm được chuyển hướng qua các domain như resultsad2.doubleclicker.net, goored, zfsearch.com và goougly.com, googlesearchserver.net, 66.230.188.* và các kết quả tìm kiếm không mong muốn khác được hiển thị.
Một số biến thể của chúng cũng hướng mũi tấn công tới Chrome.

Giải pháp:

Chuyên gia lập trình viên malware Jpshortstuff đã tạo một công cụ có thể giải quyết vấn đề này. Người dùng chỉ việc download GooredFix.exe về máy và sử dụng.
Khi chạy file này, bạn cần phải đóng tất cả các cửa sổ của Firefox, sau đó kích đúp vào file thực thi hoặc phải chuột rồi chọn "Run As Administrator".
Nếu vấn đề vẫn chưa được giải quyết, bạn có thể sử dụng ComboFix, và đặt một câu hỏi trong Virus & Spyware và gắn bản ghi ComboFix bởi còn các lây nhiễm khác cũng có thể khiến công cụ tìm kiếm đổi hướng. Gần đây, có một lây nhiễm đang vá một trong các file “ws2_32.dll” và “user32.dll” nơi bạn cần thay thế file để chặn chuyển hướng.
Lamle (Theo Experts-exchange.com)

No comments:

Post a Comment

Popular Posts