Update64.exe là một loại Trojan, mục đích khi lây nhiễm vào các máy chủ Windows sẽ sử dụng sức mạnh của CPU để đào Bitcoin (đây là một loại tiền ảo). Nguyên nhân của sự cố này xuất phát từ việc NSA bị lộ các công cụ tấn công Windows ra ngoài, các Hacker đã lợi dụng công cụ này của NSA để tấn công các máy chủ Windows.
Đầu tiên, bạn cần phải Remote vào máy chủ Windows, bật Task Manager sẽ thấy được có một tiến trình Update64.exe đang chạy và ngốn tài nguyên xử lý của CPU
Tiến trình này được Hacker giấu trong thư mục C:\Windows\dell. Trong thư mục này có 4 file:
2 File .bat: run.bat và run64.bat
2 File .exe: svchost.exe và Update64.exe
2 File .exe: svchost.exe và Update64.exe
Mặc định, dù bạn có kill process Update64.exe trên Task Manager thì tiến trình này vẫn sẽ được bật để chạy trở lại. Bạn cần phải xóa 2 file run.bat và run64.bat để ngăn không cho tiến trình Update64.exe có thể được bật để chạy trở lại
Tiếp theo bạn click chuột phải vào process Update64.exe và chọn Kill Process. Lúc này bạn vào xóa nốt 2 file svchost.exe và Update64.exe
Đến đây vẫn chưa xong, file svchost.exe gọi đến 1 tiến trình svchost.exe ở trong 1 thư mục khác đó là
C:\Windows\system\$WinBackUP.H1409\svchost.exe
Bạn phải xóa nốt file svchost.exe ở trong thư mục này thì mới xóa triệt để con virus này.
Lưu ý: thư mục \$WinBackUP.H1409 bị Hacker ẩn đi, bạn phải mở thuộc tính hiện thư mục ẩn trên Windows thì mới thấy được thư mục này.
Cuối cùng, bạn nên chạy Windows Update cập nhật các bản vá lỗi mới nhất từ Microsoft để đảm bảo an toàn.
Sưu Tầm
0 comments:
Post a Comment