Bài giảng Tìm và diệt virus

Bài giảng Tìm và diệt virus 1. Cách tìm tiến trình chạy, virus sử dụng câu lệnh trong cmd * Tất cả các file đuôi ẩn *.exe, *.dll, *.bat, *.txt, *.vbs, *.js nằm trong C:\windows, c:\windows\system32, c:\windows\system đều là virus hoặc chương trình độc hại. Khi muốn kiểm tra các thuộc tính ẩn nên kiểm tra ở các thư mục windows, system32, system, drivers trong ổ c:\ . Và tìm các file ẩn ở các ổ D , E , F cứ bem thẳng tay ko phải sợ ^^ * Bây giờ virus thường chạy cùng một lúc nhiều tiến trình Ta có thể tắt cùng một lúc nhiều tiến trình hoặc là dừng một tiến trình của nó rồi tắt từng tiến trình một a. sử dụng lệnh dir để xem file lệnh dir /ah dùng để xem tất cả những file ẩn b. sử dụng lệnh tasklist để xem tiến trình đang chạy * Nếu dùng nguyên lệnh tasklist thì để xem tiến trình đang chạy * Còn nếu muốn xem chi tiết các dịch vụ(services) chạy cùng tiến trình đó Ta dùng lệnh tasklist /svc Nếu có mấy tiến trình cùng tên nhau muốn xem rõ có những dịch vụ j chạy cùng ta dùng lệnh tasklist /svc /fi “imagename eq tên tiến trình” Vidu: tasklist /svc /fi “imagename eq svchost.exe” c. sử dụng lệnh taskkill để tắt tiến trình đang chạy * lệnh taskkill /f /pid để tắt tiến trình khi biết chỉ số PID của nó vidu: như bên trên tasklist PID của explorer là 768, ta tắt explorer.exe taskkill /f /pid 768 • muốn tắt nhiều tiến trình cùng một lúc ta chỉ việc thêm pid, hoặc thêm tên tiến trình taskkill /f /pid id1 /pid id2 /pid id3.. taskkill /f /im tientrinh1 /im tientrinh2.. vidu: d. sử dụng lệnh del để xóa các file Muốn xóa 1 file có thuộc tính ẩn, siêu ẩn ta dùng lệnh del /a /f Vidụ: ở dưới ta thấy có file he.txt là ẩn ta dùng lệnh del /a /f he.txt để xóa 2. Ngăn chặn file chạy sử dụng gpedit.msc khi đã nhiễm virus ta chỉ có thể ngăn chặn việc khởi chạy của chúng bằng cách chạy gpedit.msc để ngăn cản không cho tiến trình đó chạy là ok vào Run  gõ Gpedit.msc computer configuration  windows settings  security settings software restrictions policies chuột phải vào software restrictions policies chọn creat new policies chọn additional rules chuột phải chọn new hash rules -> rồi browse đến chương trình mình cần chặn ko cho khởi chạy vidụ: ở đây tôi chặn chương trình regedit.exe(not virus). Nếu là virus bạn phải tìm tới tận gốc của nó, tức nơi mà chương trình đang thực thi Bây giờ thử mở regedit ko thể đựoc nữa rồi..:> 3. Sử dụng auturuns + APT + Gmer + Icesword * Autoruns process: chương trình autoruns dùng để xem những file khởi chạy, những file thư viện động (dll) chạy trong regedit Chương trình có thế được download tại us/sysinternals/bb963902.aspx Hiện mọi nơi trong hệ thống mà có thể được cấu hình để chạy lúc khởi động và lúc đăng nhập Những khoá chạy ở Run và folders Startup - chạy ở Shell, và userinit - các dịch vụ(services) và chạy ở drivers - chạy ở tác vụ(tasks) - những thay đổi trong winlogon - những phần đính vào (addins) trong IE và trong Explorer. - một số phần khác phụ thêm. Autoruns dùng xem để biết đường dẫn của các file như độc hại vẫn nằm trong hệ thống, từ đó ta có thể biết nơi virus đang nằm để xóa.ok. chứ ở trong autoruns này chỉ thể hiện các khóa nằm trong regedit. • Advan ced Process Termination (APT 4.0) : sử dụng APT để dừng và tắt tiến trình cứng đầu, cứng cả cổ Nếu có nhiều tiến trình của virus chạy cùng một lúc.ta dùng chương trình này để dừng(suspend) tiến trình đó rồi tắt từng “chú” một Đây là một chương trình khá mạnh dùng để dừng một tiến trình hoặc tắt một tiến trình theo nhiều cách Chế độ kernel kill của chương trình này khá mạnh.có thể tắt được nhiều chương trình cứng đầu, có đăth password như pcsecurity, Download tại đây • GMER: Công cụ này dùng để xoá những file không thể xoá, và để tìm những file ẩn bằng các hàm API trong windows, để tìm những file .sys chạy trong c:\ window\system32\drivrers. • Icesword: Công cụ này có thể dùng thực thi trong regedit khi mà regedit bị khoá hay bị ngăn chặn không cho thực thi. Và công cụ này cũng để tìm và xoá những file không thể xoá, nhìn thấy những file siêu ẩn, những file ẩn bằng hàm API tương tự như gmer. Icesword cũng có nhiều chức năng giống gmer(nhưng tôi khoái gmer hơn :D) 4. sử dụng sand boxie control để phân tích virus, các bạn có thể tải chương *. trình sand boxie control(dung lượng 244 kb)các bạn có thể phần mềm sendboxie tại địa chỉ sau: www. sandboxie.com . sendboxie control là một chương trình tạo lên một bộ nhớ tạm , và mọi tác vụ đọc/ghi đều thông qua bộ nhớ đệm này nên sau đó có thể xoá sạch không để lại dấu vết gì trên ổ cứng, không ảnh hưởng gì đến hệ thống của bạn. như vậy bạn có thể yên tâm chạy thử chương trình mới khi chưa biết tác dụng của nó như thế nào, có an toan hay ảnh hưởng gì không . *.cách sử dụng chương trình sendboxie control Sau khi cài đặt xong các bạn xẽ thấy biểu tượng của sendboxie dưới thanh taskbar như hình dưới đây. Các bạn vào menu -> sandbox ->create new sandbox(tạo ra một user) Sau khi các bạn tạo user xong bước tiếp theo là: chọn start ->programs ->Sandboxie -> Run any program sandboxed. tiếp đó xẽ hiện ra cửa sổ run sandboxed các bạn chon vào user (virus) mà các bạn mới khởi tạo và chọn OK tiếp theo đó chương trình xẽ đưa ra một cửa sổ đường dẫn bạn chọn Browse Sau đó tìm đến thư mục bạn cần chạy thử. Đó là tất cả các bước khởi tạo và chạy thử. cuối cùng chúng ta sẽ kiểm tra tiến trình chạy và các file được sinh ra do con virus mà chúng ta vua chạy thử. Các bạn kiểm tra bằng cách sau: vào C:\Sandbox\Administrator\virus, trong user virus xẽ hiển thị tất cả các file mà đã được kích hoạt Trong trường hợp máy của chúng ta bị virus thì chúng ta có thể tìm file lây nhiễm sau đó dùng chương trình sandboxed để tìm ra các file lây nhiễm và diệt theo đường dẫn mà chương trình sandboxed đã hiển thị như bài hưưóng dẫn trên. 5. cách sử dụng hijackthis Tác giả Merijn Bellekom đã phát triển một chương trình miễn phí với tên là Hijackthis để có thể xoá các browser hijacker (nói nôm na là những chương trình thay đổi những tinh chỉnh, tuỳ chọn trong browser của mọi người ví dụ như coolwebsearch). Tiện ích này còn có thể làm được nhiều hơn thế nữa đó là kiểm tra và phát hiện các trình phá hoại khác được cài vào hệ thống. Với sự giúp ích của hijackthis thì công việc phân tích, tìm và đưa ra hướng giải quyết đối với malware sẽ dễ dàng hơn nhiều cho cả người bị nhiễm với người giúp. Tải về và cài đặt : Sau khi tải về hoặc tải về từ hoặc bạn cần sử dụng winzip để giải nén tệp tin đã được nén lại dưới dạng file.zip vào một thư mục được tạo sẵn [1] cho nó để cho hijackthis có thể tạo backup cho những thay đổi của bạn đối với hệ thống. Hiện đã có bản 2.02 của trendsecure với một số cải tiến ở đây : đề nghị sử dụng bản này khi tạo log để có hỗ trợ tốt hơn. Rất quan trọng: bạn nên tạo riêng một thư mục cho hijackthis để trong trường hợp cần thiết có thể chỉnh lại được những thay đổi của chương trình đối với hệ thống. [1] có thể là c:\program files\hijackthis\ Lỗi có thể gặp phải khi cài hijackthis : Thiếu MSVBVM60.DLL ---> cách giải quyết là vào để tải VBRun60.exe về và cài vào máy. Nếu không thể chạy được chương trình hijackthis và có nghi ngờ là chương trình phá hoại đã làm việc ngăn chặn máy bạn cho chạy tiến trình của hijackthis thì bạn có thể đổi tên của hijackthis thành một file .com chẳng hạn như kiemtra.com rồi cho chạy hijackthis. Sử dụng hijackthis tạo log-file: 1.Sử dụng Windows Explorer để chuyển vào thư mục mà bạn đã cài đặt hijackthis (ví dụ như ở trong bài này là c:\program files\hijackthis\ 2.Lần đầu tiên sử dụng hijackthis thì bạn sẽ nhận được một lời cảnh báo từ chương trình, bạn có thể bỏ qua việc đọc hướng dẫn khá dài này bằng việc nhấn ok (nhưng tôi vẫn khuyên bạn nên đọc để hiểu thêm một chút về chương trình bạn sử dụng). 3.Sau khi bạn ấn ok để xác nhận thì chương trình sẽ hiện lên cửa sổ “new user quickstart”, bạn nhấn vào nút được tô màu đỏ với tên “Do a system scan and save a log file”. 4.Sau khi thực hiện quét trong máy thì bạn sẽ thấy xuất hiện khung cửa sổ của notdpad mà trong đó là nội dung của log file được tạo bởi hijackthis, log file này bạn có thể lưu lại dưới đường dẫn c:\program files\hijackthis\ với file ---> save as ----> tên là hijathis1.log và ấn save ;) Log file được tạo ra với 3 phần : 1.Phần đầu tiên là những thông tin về hệ thống (systeminformation), tình trạng vá lỗi của hệ thống. 2.Phần giữa là những chương trình đang được chạy trên hệ thống. 3.Phần cuối là những mục từ R0 đến R23 (sẽ được mô tả ở dưới). Đánh giá về logfile : a. Khả năng thứ nhất : Bạn có thể tự đánh giá logfile do hijackthis tạo ra bằng cách kiểm tra những processes hoặc những mục của registry có khả năng là do malware tạo ra ở trong các trang sau đây : (pacmans-startup list) (answer that work) ( CLSID list) www.google.com (:-)) (virus list) https://www.virusbtn.com/login (Vgrep) Tất nhiên, bạn phải biết được chính xác là bạn đang tìm kiếm về con virus, tiến trình hay chuỗi nào trong registry và không nên ghi đè hay xoá đi logfile đã thu được bằng hijackthis phòng cho trường hợp bạn gặp sai sót khi sử dụng sửa chữa của hijackthis (fix). b.Trường hợp thứ 2 thì bạn có thể tạo log-file và sau đó vào trang sau: và dán nội dung của log-file vào ô textbox rồi ấn vào Analyze ở dưới để cho trang web phân tích nội dung log-file của bạn. Trên trang này là một trang tập hợp được rất nhiều các ghi chú của các thành viên về các process, entries của registry nên qua đó bạn cũng có thể có cái nhìn tương đối về nội dung của log-file của máy mình, bạn sẽ nhận ra rất dễ dàng là có entries nào đó khả nghi và có thể tìm hiểu thêm về nó ở các trang web được liệt kê ở trên. Tiến hành sửa chữa những entries không hợp lệ trong bảng log của hijackthis : Sau khi đã kiểm tra và phát hiện ra những entries khả nghi trong log-file, bạn có thể tiến hành fix những entries đấy: -Tiến hành tắt system restore và reboot máy vào chế độ safe mode. -Cho chạy lại hijackthis và đánh dấu vào những entries được đánh giá là khả nghi và sau đó ấn vào “fix checked” để chương trình có thể tiến hành loại bỏ những entries khả nghi đó. -Thí dụ: khi tớ phát hiện ra entry O4-.... igfxtray.exe của tớ có khả nghi (giả sử thôi nha), tớ vào safe mode, bật hijackthis lên, sau đó cho nó scan rồi đánh dấu chọn entry này như hình sau : rồi ấn fixchecked. Như vậy là tớ đã loại bỏ cái entry cho khởi động igfxtray.exe ra khỏi registry ---> khởi động lại máy nó sẽ không thể chạy file này nữa. Giả sử sau này tớ phát hiện ra nó là file hợp lệ ---> tớ phải restore cái entry này, rất may là hijackthis có khả năng restore những cái nó làm bằng cách tạo backup ---> tớ cho chạy lại hijackthis, chọn "none of the above, just start the program" ---> ấn vào config ---> chọn tab backup và nó sẽ hiện ra entry tớ đã xóa : đánh dấu vào entry đó và chọn restore, nó sẽ trả lại về vị trí cũ của entry đó trong registry Hoặc có thể phân tích log như sau R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs R0, R1, R2, R3 – những trang bắt đầu chạy và search khi chạy IE F0, F1 - Tự động load các chương trình N1, N2, N3, N4 - những trang bắt đầu chạy và search khi chạy Netscape/Mozilla O1 - Những file chạy trên Hosts O2 - Những đối tượng trợ giúp trình duyệt(khá nguy hiểm) O3 – Toolbar trên IE O4 - Tự động load các chương trình từ registry O5 - Những tuỳ chọn trong IE không hiển thị biểu tượng trong Cổntl Panel O6 - Những tuỳ chọn IE truy cập bị ngăn cản bởi Administrator O7 - những truy cập vào Regedit bị ngăn cản bởi Administrator O8 - những chỉ mục lớn trong menu khi kích chuột phải trong IE O9 - Những nút mở rộng trên thanh công cụ chính của O10 - về Winsock O11 - tuỳ chọn nâng cao trong nhóm IE mở rộng O12 - Những đính thêm vào IE O13 - IE DefaultPrefix hijack O14 - 'Reset Web Settings' hijack O15 - Những site không mong muốn trong Trusted Zone O16 - Những đối tượng ActiveX(ActiveX Objects) (khá nguy hiểm) O17 - Lop.com domain hijackers O18 - Extra protocols and protocol hijackers O19 - Những tờ mẫu người sử dụng hijack(User style sheet hijack ) 6. Dùng System Explorer để Quan sát - Diệt Malware triệt để hơn. System Explorer (Download) Quan Sát và Diệt Malware triệt để hơn. -------- Các tính năng: _ Quản lý Process tương tự Task Manager _ “Hide All Microsoft Entries” (ẩn các process “an toàn” của Windows) giúp kiểm tra Process lạ dễ dàng hơn. Autorun – StartUp : giúp kiểm tra các ứng dụng khởi động cùng Windows. _ Monitoring - Modules : xem những file *.dll đã đang được Load. Từ đây mình có thể "nghi ngờ" những file dll lạ, hoặc đôi khi có thể dựa vào nội dung của 2 cột (Product Name & Company Name) (thường nên nghi ngờ những dll nào trống 2 cột này). _ Monitoring - Connections : liệt kê các cổng kết nối internet. *** Monitoring - SnapShot : Chức năng quan trọng nhất của System Explorer trong việc quan sát Malware. -------------- Các bước quan sát Malware bằng SnapShot của System Explorer: Bước chuẩn bị : Nên tắt hết các chương trình khác nhằm tăng tốc độ quan sát và giảm bớt kết quả, sẽ tiện hơn khi đọc Log file. Tắt hết như thế này càng tốt. Trong quá trình quan sát, nên hạn chế mở thêm bất kì chương trình ứng dụng nào, điều này cũng nhằm mục đích nêu trên. Đương nhiên là phải tiến hành trên máy sạch rồi. (hãy cân nhắc trước khi cho dính Malware vào máy nhé) Bước 1) Chụp tấm ảnh thứ 1 về thông tin File & Registry toàn máy tính: Bước 2) Tiến hành cho dính Malware vào máy tính. Malware khi được kích hoạt, sẽ tạo - xóa - sửa các Files - Folders - Registry. Tùy vào mỗi loại Malware mà chúng sẽ tạo - xóa - sửa những gì trong những khoảng thời gian nào. Bước 3) Tiếp tục chụp tấm ảnh thứ 2 về thông tin File & Registry toàn máy tính: Lưu ý: Vì mỗi Malware có mỗi kiểu tạo - xóa - sửa các Files - Folders - Registry khác nhau trong những khoảng thời gian khác nhau, nên ta sẽ không rõ được Malware có làm liền hết công việc của nó ngay khi dính vào máy ta. Bởi thế cần có một khoảng thời gian chờ để Malware có thể làm hoàn tất các công việc tạo - xóa - sửa rồi mới tiến hành chụp tiếp tấm ảnh thứ 2 này. Nếu thực sự muốn chắc chắn hơn về việc Malware có làm gì thêm sau đó hay không. Ta lại tiến hành chụp tấm ảnh thứ 3 .... Bước 4) So sánh 2 tấm ảnh đã chụp với nhau: (dưới đây mình cho dính thử malware Phimnguoilon.exe) Bước 5) Đã nắm thông tin Malware tạo - xóa - sửa các Files - Folders - Registry chỗ nào, ta bắt đầu: _ Tiến hành tắt tiến trình (process) của Malware. _ Xóa các File - Folder - Registry Key do Malware tạo. _ Hồi phục lại các File - Folder - Registry Key bị Malware xóa (hoặc thay đổi). *** Chú ý: Nếu gặp loại Malware nào khó có thể xóa trong Windows. Ta tiến hành Boot vào Dos hoặc NC để xóa (dựa trên các thông tin lấy được từ Snapshots). Đây chỉ là công cụ hỗ trợ diệt Malware bằng tay. Và nên nhớ rằng, Malware nào lây file thì khó có thể giải quyết bằng tay được. -------------- + Định nghĩa thêm về 2 từ "Malware": Đó là từ gọi chung, là "Phần mềm độc hại". Nó bao gồm : Virus (PE lây file), Worm, Trojan, gộp luôn Spyware, Adware ... 7. Một số kinh nghiệm “thực chiến”: * Cách diệt con kavo và một số biến thể của nó B.1- Run => msconfig,ở thẻ startup,bạn đành dấu bỏ chọn ở mục ckvo đi=>ok=>log off lại máy B.2- Run=>regedit,tìm key HKEY_LOCAL_MACHINE=> SOFTWARE => MICROSOFT => WINDOWS => Currentversion=> Explorer => Advance => Folder=> Hidden=> SHOWALL=> delete key CheckedValue rồi tạo key mới tên CheckedValue (kiểu DWORD) set value là 1(trước đó 100% key này mang giá trị là 0) B.3-My Computer => Tools => Folder Options -> View => Tại mục Hidden files and folders => đánh chọn Show hidden files and folders => OK B.4-Phải chuột vào từng phân vùng chọn explorer rồi xóa bỏ file autorun.inf, ntdelect.com,chú ý nha ko phải là ntdetect.com,nói chung là diệt tát cả những file ẩn không phải của Windows,đa số chúng đều là virus cả B.7-Trong Windows=>system32,xóa file kavo.exe và kavo0.dll=>restart=>ok Cách 2 1. Chạy Task Manager Tắt bỏ WScript.exe & Explorer.exe nếu 2 chương trình này đang chạy 2. Xóa bỏ các file Autorun.inf Đặc điểm của con Kavo này là sinh ra các file Autorun nằm trong các thư mục gốc của các ổ đĩa cứng. Các file này giúp cho virus được kích hoạt khi nạn nhân nháy đúp chuột vào ổ cứng. Để tránh việc tái kích hoạt virus, một trong những điều đầu tiên là bạn phải xóa bỏ các file Autorun và các file .exe không xác định trong thư mục gốc của các ổ (Ở máy của tôi là ổ C, D, E) Trong cửa sổ Task Manager bạn chọn File > New Task (Run...) Chạy lệnh CMD Trong console bạn lần lượt thực hiện các lệnh sau đây: DEL c:\autorun.* /f /a /s /q DEL d:\autorun.* /f /a /s /q DEL e:\autorun.* /f /a /s /q 3. Xóa bỏ virus Trong cửa sổ console bạn gõ các lệnh sau: CD c:\windows\system32 DIR /a avp*.* Bạn sẽ thấy hiển thị các file avpo.exe hoặc avpo0.dll Tiếp tục gõ ATTRIB -r -s -h avpo.exe DEL avpo.exe hoặc ATTRIB -r -s -h avpo0.dll DEL avp0.dll Tiếp tục gõ DIR /a kavo*.* Nếu xuất hiện 1 hoặc các file kavo.exe và kavo0.dll hay kavo1.dll Thực hiện các lệnh xóa ATTRIB -r -s -h kavo.exe DEL kavo.exe ATTRIB -r -s -h kavo.dll DEL kavo.dll ATTRIB -r -s -h kavo1.dll DEL kavo1.dll Tiếp tục gõ trong console CD\ ATTRIB -r -s -h ntde1ect.com DEL ntde1ect.com 4. Chỉnh sửa Regedit Trong cửa sổ Task Manager, Chọn File > New Task (Run...) Hiển thị hộp lênh Run, bạn gõ regedit Bạn vào HKEY_CURRENT_USER > SOFTWARE > Microsoft > Windows > CurrentVersion > Run Trong panel bên trái của cửa sổ Regedit, nếu trong đó có dòng avpo.exe, bạn click chuột phải vào và xóa bỏ dòng chữ đó đi tìm key HKEY_LOCAL_MACHINE=> SOFTWARE => MICROSOFT => WINDOWS => Currentversion=> Explorer => Advance => Folder=> Hidden=> SHOWALL=> delete key CheckedValue rồi tạo key mới tên CheckedValue (kiểu DWORD) set value là 1(trước đó 100% key này mang giá trị là 0) Vào Statup bằng cách vào Run > gõ msconfig Bỏ check Kavo, hoặc Avpo Khởi động lại máy tính của bạn lần nữa. Một số khoá trong regedit mà virus hay sử dụng và thay đổi: * các khoá chạy khi khởi động máy HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\RunOnceEx HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run * Các khoá dùng để thực thi việc khoá các ứng dụng, khoá các chưong trình của windows như folder otions, regedit, task manager, khoá file . exe, .com, .bat.... HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Poli cies HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\policies HKEY_CLASSES_ROOT\cmdfile\shell\open\command HKEY_CLASSES_ROOT\comfile\shell\open\command HKEY_CLASSES_ROOT\exefile\shell\open\command * Các khoá làm ẩn file, ẩn đuôi mở rộng HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced Giá trị mặc định của 3 khoá Hidden = 1 HideFileExt = 0 ShowSuperHidden = 1 nếu bị thay đổi tức là đã bị ẩn HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Explorer\Advanced\Folder\Hidden\nohidden giá trị CheckedValue = 2 Type = radio HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Explorer\Advanced\Folder\Hidden\showall Giá trị CheckedValue = 1 Type = radio Những nơi mà trojan ẩn trong hệ thống của bạn Trong trường hợp bị nhiễm virus, chúng ta sẽ không tự động gán vào khoá HKLM\Software\Microsoft\Windows\CurrentVersion\Run registry có nhiều nơi mà virus thay thêm vào các đoạn script và các shortcut khi khởi chạy tiến trình trong start up: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnc e] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunSer vices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunSer vicesOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] Lưu ý: Một số khoá sau trong registry, giá trị đúng của nó là “%1%*”. Bất cứ chương trình nào mà thêm giá trị này sẽ thực thi các file nhị phân như (.exe, .com) vidụ: “virus.exe %1%*” [HKEY_CLASSES_ROOT\exefile\shell\open\command] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] Cũng kiểm tra tại các nơi sau Startup folder: kích vào Start->Programs->Startup, and right click on Startup and select "Open" from the menu. Check every file in this folder and make sure you know what they are. These files will startup automatically every time you login to your systems. Windows Scheduler - kiểm tra nếu bất kỳ chương trình xem nó được đặt chạy vào những lúc nào. Đôi khi các virus thường sử dụng scheduler như một cách để cho chương trình thực thi. nằm trong c:\windows\task Kiểm tra các file: Win.ini (load=Trojan.exe or run=Trojan.exe) System.ini (Shell=Explorer.exe trojan.exe) autoexec.bat – Tìm xem những file nào đựơc thêm vào, có thể theo các đuôi mở rộng : .exe, .scr, .pif, .com, .bat config.sys – Tìm xem nhưng file nào được thêm vào Dưới đây là những file mà virus gần đây hay dùng - explorer.exe là một chương trình hợp pháp nằm trong thư mục c:\windows chứ không nằm trong c:\windows\system32 hoặc bất cứ nơi đâu khác - taskmgr.exe là một chương trình hợp lệ của windows đựoc gọi là “taskmgr.exe” chứ không phải “taskmngr.exe” lưu ý là virus rất hay giả danh, đổi tên những file hệ thống - rundll32.exe – là một chương trình hợp lệ của windows và nằm trong c:\windows\system32 chứ không nằm trong bất cứ nơi nào khác Hãy cẩn thận với những file, những khoá trong registry khác mà virus có thể chạy :> Update thêm 1 chút A. Những điều tối thiểu cần nắm để xài máy tính an toàn trước nguy cơ Virus hiện nay 1) Trước khi chạy (thực thi) một file nào đó (với bất kì định dạng nào, cho dù là tấm hình hoặc bài nhạc) được lấy từ bất kì nguồn nào (từ người thân gửi, hoặc download từ Internet, hoặc từ Yahoo chat ...) (và file đó chưa được chính mình xác định có Virus hay không) (và cho dù máy bạn đang có nhiều AntiVirus chăng nữa), phải tiến hành gửi file đó lên Internet để kiểm tra độ an toàn. Kiểm tra bằng 2 cách thông dụng sau: a1) Vào site : , click vào "Choose File" rồi chọn File mà mình chưa xác định an toàn và cần kiểm tra. Sau đó nhấn "Send File" và chờ. Khi gửi file lên site này kiểm tra, có khoảng 40 AntiVirus cùng quét độ an toàn của file ấy. Nếu file ấy đã được ai đó (hoặc chính bạn) gửi lên kiểm tra từ trước thì nó sẽ ra kết quả lập tức, và có dạng thông báo như 2 hình sau: Hình 1 Hình 2 2 thông báo như hình trên đều có dạng vắn tắt (vì file này trước đó đã có người gửi rồi) Ở thông số Results ở hình 1 là 0/40 , ý nghĩa là : có 40 trình Antivirus quét file đó, và 40 trình đều báo áo file đó an toàn, hoặc cả 40 trình đều bị cái file Virus ấy qua mặt (nhưng đây là trường hợp hiếm). Chúng ta nên tin tưởng nhiều vào thông báo của 40 trình Antivirus này. Ở thông số Results ở hình 2 là 26/40 , ý nghĩa là : có 40 trình Antivirus quét file đó, và có 26 trình phát hiện được file đó là Virus. Thông thường thì cỡ khoảng từ 5/40 trở lên là ta phải bắt đầu nghi ngờ Virus rồi nhé. Ở trường hợp thấy thông báo là Virus như hình 2, bạn có thể click vô nút "Show last Report" để xem chi tiết trình nào phát hiện ra con virus gì. Đây là vài hình chi tiết để các bạn ngắm. Những kết quả mang màu đỏ tức là trình Anti ấy phát hiện ra file đó là Virus, và đặt tên cho nó đc tô màu đỏ. Hình 3 Hình 4 Đôi khi cũng có sự hiểm lầm của AntiVirus , nó coi các file kia là Virus nhưng thực sự những file đó vô hại. Vì thế, cần tập quét nhiều để nhìn quen các thông báo trên này. Hoặc nếu ai chưa có khả năng hiểu thông báo thì nên gửi link thông báo cho người rành Virus máy tính kiểm tra giúp. a2) Download và cài tool này Đây là công cụ giúp rút gọn động tác gửi file để quét (như trên) một cách nhanh chóng. Cách dùng: Khi cần quét kiểm tra 1 file nào đó có an toàn không, Right Click lên file đó, chọn "Send to" -> VirusTotal ..... Và ngồi chờ như trên. b) Cũng là kiểm tra file như phần a, nhưng đây là ở Site khác . Chọn "Choose File" -> "Submit" -> ngồi chờ -> và đọc kết quả cũng tương tự site kia. 2) Thiết lập cho máy tính của mình để nếu lỡ USB có chứa Virus thì việc truy cập vào USB cũng dễ dàng và an toàn hơn a) Vào Start, Run, gõ "gpedit.msc", enter, rồi làm theo hình. Chỉnh thành thế này Rồi Vào chỗ này Chỉnh thành thế này b) Vào Start, Run, gõ "Services.msc", enter, rồi làm theo hình. Chỉnh thành thế này RESTART lại máy tính. Sau đó download tool này chạy 1 lần là được. Từ nay khỏi lo virus từ USB tự chui vào máy bởi những động tác truy cập USB thông thường. (Nhiều người vẫn hay thiết lập cho USB để chống Virus chiếm file, hoặc dùng các trình bảo vệ USB theo nhiều cách. Mình thấy những điều đó là không cần thiết và rườm rà, bởi động tác thiết lập ở máy tính là đủ cho việc an toàn truy cập USB bằng mọi cách.) Nói rõ thêm phần này: Nếu bạn chưa thiết lập như hướng dẫn, thì các động tác sau đây là nguy cơ để dính Virus từ USB: _ Có thể chỉ cần cắm USB_có_Virus là Virus đã tự chui vào máy rồi. _ Double click trực tiếp lên USB. _ Right click lên USB, chọn bất kì dòng nào để truy cập USB. 3) Tránh bị đánh lừa bởi các Icon quen thuộc: Khi nhận 1 file từ ai đó, nếu khá tin tưởng vào nó và bạn bỏ qua bước kiểm tra bên trên, thì cũng khoan hãy chạy nó. Với 5 ví dụ ở hình trên, cả 5 đều có thể là Virus giả dạng Icon đánh lừa. _ Hình 1 : ta nghĩ đó là tấm ảnh, nhưng khi mở ảnh thì lại là 1 Virus còn ảnh thì không thấy đâu. _ Hình 2 : nghĩ là 1 thư mục, nhưng cũng có thể là Virus giả dạng đánh lừa. Và khi mở thư mục đó sẽ dính Virus vì đâu có tồn tại thư mục nào đâu. Bản thân thư mục đó là 1 file thực thi Virus. _ Hình 3 : là 1 file nhạc, nhưng có thể là 1 file Virus mượn Icon của file nhạc để lừa ta mở nghe. _ Hình 4 : ối chà, 1 file văn bản, quá an toàn, mở nó ra thôi. Ai ngờ lại cũng có khả năng là Virus. _ Hình 5 : là chtrình soạn thảo văn bản Notepad, hì, chạy nó thôi. Ấy chết, lại là Virus. Một ví dụ khác Ở 3 hình này, nhìn vào thấy canh dep.jpg Nhac.mp3 Van ban.txt cứ tưởng là máy đã mở chức năng xem đuôi file (định dạng file), thế nhưng chỉ cần sơ ý 1 tí thôi là dính Virus theo kiểu lừa này. Thực ra máy tính lúc đó chưa mở chức năng xem đuôi file. Và khi mở đuôi file ra xem thì 3 file trong hình lòi ra cái đuôi lừa đảo (hình dưới là sau khi mở đuôi để xem định dang) Để có thể thấy được đuôi thực sự của các file, ta vào MyComputer , Tools - Folder Options - View , gỡ bỏ đánh dấu ở "Hide extentions for known files type" 4) Những lời khuyên sau cùng: _ Nếu bạn thực sự nắm vững những điều nói trên thì có thể không xài AntiVirus cũng vẫn an toàn. Nhưng dù gì thì cũng cần có 1 AntiVirus lận lưng. _ Không nên cài quá nhiều AntiVirus trong 1 máy. 2 Anti là hết mức. _ Hạn chế vào các Web tìm Crack, vì hơn 50 % các file trong những web Crack đó là có kèm Virus rồi. _ Hạn chế vào các Web đồi trụy để tránh các mối hiểm họa chưa lường trước. _ Ở Yahoo Chat hoặc bất cứ trình Chat Online nào, có ai gửi Link thì khoan hẳn click vào. Phải hỏi lại thật kĩ người gửi nguồn link đó. Dù người gửi đã chắc chắn là an toàn, nhưng ai biết được bản thân người gửi cũng không ngờ Link đó có Virus. Bởi thế cần có thêm bước kiểm tra nữa, đó là quét Link Online. Truy cập vào web site bỏ cái link cần kiểm tra vào khung, rồi nhấn SCAN. Nếu nó ra kết quả CLEAN thì link kia sạch, ERROR thì là kiểm tra không được, nếu báo màu đỏ thì link nguy hiểm. Tuy nhiên, vẫn không tuyệt đối tin vào các kết quả. ~---~~---o0o---~~---~ Giang hồ hiểm ác đầy lừa lọc Click chuột, lướt web, biết đâu an toàn !? Tuy những điều bên trên chưa phải là tuyệt đối an toàn, nhưng nếu nắm vững thì ít ra không bị dính Virus một cách ngớ ngẩn. B . Tìm kiếm Process đang chạy bởi Virus (Malware) và tắt nó. Để tìm kiếm và kill process, có thể dùng các phần mềm như APT 4.0 hay Process Explorer (có thể tìm phía trên đã có đủ các phần mềm này). Nhớ là phải tìm và kill hết toàn bộ những process bị gọi bởi những chương trình độc hại này. Việc nhận biết process nào được gọi bởi virus có thể dựa trên vài dấu hiệu như: - Process đó chiếm khá nhiều tài nguyên hệ thống (CPU và Memory) - Process có tên lạ, hoặc có tên gần giống với các process hệ thống. Một vài process hệ thống hay bị “nhái” là explorer.exe, svchost.exe; lsass.exe, winlogon.exe,.... chúng thường có tên giả kiểu như expl0rer.exe, schost.exe, 1sass.exe, WIN1OGON.exe chẳng hạn - Process bị tắt rồi tự động được chạy lại (tức ko thể tắt được): Trường hợp này là do virus gọi 1 lúc nhiều process, phải tìm được process gốc và những process liên quan để tắt hết chúng đi. Có thể tắt 1 lúc nhiều process, hoặc tắt “từ trên xuống dưới”, theo dạng cây hay dừng(suspend) process rồi mới del tiến trình đó. - Theo như bạn mô tả, con Virus mà khóa luôn các tool process xp hay autoruns sao giống con LSASS quá(cũng có những con khác làm được nhưng con này là điển hình). Nếu đúng con này thì hơi khó diệt đó. Bạn nên kiếm mấy chương trình Antivirus mạnh, update rồi diệt nó thử coi được không, nếu không thì: Bạn thử sử dụng các chương trình quản lý file của các hãng thứ 3 như Total Commander.....để thấy file ẩn và file hệ thống tìm ngoài các ổ đĩa coi có file autorun.inf không, nếu có bạn mở file đó ra coi nó gọi tới file gì rồi tìm file đó xem nó tên gì rồi sử dụng Google tìm cách diệt hoặc nén nó lại upload lên diễn đàn này để mọi người xem rồi hướng dẫn cách giải quyết. Mình cho bạn cái tool này cũng giống như process xp nhưng mạnh hơn nhiều, có tiếng Việt, có kiểm tra xuất xứ của chương trình.....đặc biệt là có thể thấy được file .DLL được inject vào processes Explore mà chương trình process xp không thấy được. Nhưng có điều khi install, dịch giả của chương trình này có chèn vào registry cái key: [HKEY_CLASSES_ROOT\*\shell\wWw.GiangHo.Cc.To] [HKEY_CLASSES_ROOT\*\shell\wWw.GiangHo.Cc.To\command] @="\"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE\"" C. Tìm - Diệt Virus qua mạng Đôi khi bạn muốn nhờ người thân hoặc kỹ thuật viên nào đó đến diệt virus hoặc làm 1 việc gì đó cho bạn >> nhưng nhà bạn quá xa vậy thì phải làm thế nào ? . Tất nhiên là ta cần đến phần mềm điều khiển máy tính từ xa , có rất nhiều phần mềm khác nhau nhưng ở đây tôi chỉ nhắc đến phần mềm Teamviewer (download) Sau khi down về, bạn tiến hành cài đặt theo các bước sau: _ Chọn Install _ Khi nó hỏi ở 3 lựa chọn, bạn chọn Personal / Non-Commercial Use. _ Đánh dấu Accept cả 2 rồi Next - Next - Finish. _ Khi lần đầu chạy teamviewer mà có bị hỏi Block gì đó, thì bạn chọn UnBlock. _ Teamviewer được mở lên sẽ thế này. Vậy là gọn nhẹ hơn mà còn đỡ vất vả cho bạn khi trục trặc 1 lỗi nhỏ không đáng phải mất công các anh kỹ thuật viên ^^ đúng ko vậy ? D. 1 số link download hữu ích cho các bạn thích mày mò với virus Ebook câu lệnh trong dos Ebook Registry Tổng quan về virus của cu dũng còi Tổng hợp lại các chú virus thường gặp cho anh em thực tập Tool Quick [Kill Some Malware] [Fix] [Get Info] (14/4) Ebook Virus Code Database Dictionary Ebook Windows Xp Error Writing by Deface Virus TEAM + Khanmc