Diệt virut lây lan qua USB

[adung]

Diệt Virus lây lan qua USB
* Khái quát:
1. Tên virus:
Xin tạm đặt tên nó là loại virus mạo janh biểu tượng (Fake Icon) chương trình, thư mục...
2. Nhận biết:
a) Theo biểu tượng: Thường có biểu tượng file Winrar, PDF, Exel (xls.exe), Word (doc.exe), Wordpad, Newfolder.exe, và 1 số loại biểu tượng thư mục với những cái tên kỳ quặc hoặc chính là tên thư mục đang chứa nó. Nếu bạn sử dụng 1 số chương trình khác Explorer thì bạn có thể thấy biểu tượng của nó thay đổi khác với biểu tượng thực tế của chương trình (file dữ liệu) mà nó đang fake icon.
b) Theo tên: Thường nó sẽ có cái tên hết sức đặc biệt, với các ký tự lạ. Hoặc với chính cái tên của thư mục ( file dữ liệu) mà nó fake icon.
3. Hiện tượng:
- Bạn mở USB hoặc thiết bị lưu trữ dữ liệu ra thấy nặng hơn bình thường, click chuột phải vào thấy có thêm mục Autorun hoặc Auto, đôi khi nó còn fake popup menu bằng cả Open hay thậm chí là Explorer.
- Khi mở ra bạn thấy chậm hơn bình thường. Thậm chí là khiến máy tính bị treo, hoặc tệ hơn là khi mở ra sẽ báo lỗi ko tìm thấy file nào đó, mở ko ra, hoặc mở mà ko vào thiết bị, lại bị nhảy đi đâu đó như Control Panel hoặc có thể là My documents!
- Khi bạn copy dữ liệu, thư mục mà đã bị virus nó fake icon và fake name sang 1 nơi lưu trữ khác, rồi gỡ thiết bị lưu trữ gốc ra -> rồi mở lại dữ liệu vừa copy được -> kết quả thường là sẽ ko thể mở được. Vì thực tế dữ liệu của bạn trong thiết bị lưu trữ nguồn đã bị virus làm ẩn đi, mà chỉ hiển thị lên con virus đã được fake thành công -> vậy là bạn đã copy virus thay vì copy dữ liệu -> Lỗi từ đó có thể dẫn đến sự thâm nhập vào phần mềm -> lỗi winrar, lỗi exel, word...
4. Những vệ tinh liên quan để hình thành lên tập đoàn Virus này:
- File autorun.inf -> Chứa các mã lệnh hết sức đơn giản, nhằm đưa thao tác của người sử dụng đi chệch hướng thông thường mà Windows lập trình, đến tình huống có lợi cho virus, nhằm phát tán và run virus.
Mã lệnh trong đó thường có thể là: Open=abc.exe.... (Chỗ này LKL sẽ cố gắng kiếm mẫu và cập nhật cả nhà nhé!!!)
- File client Virus (Tạm gọi thay cho những virus vệ tinh và virus trung tâm ( Nôm na là Con mẹ và con con - con mẹ có thể đẻ ra con con, và con con cũng có khả năng biến thành con mẹ. Nhưng nếu diệt đựoc con mẹ, thì con con sẽ dễ diệt hơn)
-----> Là những file mà chúng fake icon, fake name file, fake name folder (fake tạm gọi là: mạo danh) -> Bạn sẽ vẫn thấy dữ liệu của mình, vẫn click vào đó. Nhưng sẽ có hiện tượng đặc biệt đấy (một vài hiện tượng đã được nêu ở mục 3)
-----> Thường nằm ở những nơi có dữ liệu trong danh sách có thể bị fake!
- File server virus: Thường nằm ở những nơi nhạy cảm của hệ điều hành:
+++++ %USERPROFILE%\Local Settings\Temp
+++++ CWindows
+++++ CWindows\temp
+++++ CWindows\system32
+++++ C(D,E,F)Recycled
+++++ C(D,E,F)System Volume Information
Và một số nơi khác...!!!
5. Cơ chế hoạt động!
- Khi bạn double click chuột trái vào thiết bị lưu trữ ( TBLT ) -> Nghĩa là bạn đã tác động thông qua mã lệnh mà Autorun.inf đã thiết đặt -> dẫn đến việc thao tác của bạn trở thành tìm đến đường dẫn của con virus rồi chạy nó -> Khi virus đựoc chạy, nó sẽ liên tục lây lan sang các thiết bị lưu trữ khác trong máy, như ổ cứng, .... -> Sẽ tự tạo ra các file autorun.inf + 1 file tênvirus.exe hoặc tênvirus.com + có thể là thêm 1 file .dll -> Tiếp tục tấn công và đưa các virus server vào những nơi nhạy cảm nhất của hệ điều hành -> Hoàn thành công việc trú ẩn thích hợp -> Tiếp tục thực hiện công việc phá hoại bằng cách không ngừng sinh ra các client theo cấp số nhân -> Tấn công vào những nơi có khả năng ảnh hưởng lớn đến tiến trình của máy như: registry và các thư mục có khả năng Start up -> Nhưng điều đặc biệt nhất nhất là các virus loại này có khả năng ăn vào các phần mềm, dữ liệu... và quan trọng hơn là nó có khả năng khống chế và che mắt các chương trình diệt virus cấp thấp, hoặc chưa được cập nhật ( BKAV die đầu tiên ) -> Sau khi BKAV die, dẫn đến sự xung đột giữa 2, 3 phần mềm diệt virus trong máy của bạn -> 1 sự hỗn loạn về Antivirus chưa từng có -> Tất cả cùng tê liệt và result for scanning: 0 virus!!! -> Dẫn đến việc lỗi Hệ điều hành với nhiều biểu hiện khác nhau.
- Không chỉ D.Click chuột trái, mà đôi khi bạn là người cẩn thận, bạn click chuột phải vào TBLT -> chọn Open hay Explorer -> Rủi ro cũng ko tránh khỏi với những chú virus tinh vi đã được thiết đặt autorun thông minh hơn để ja`nh cho sự thông minh đi sau của bạn.
- Hơn thế nhữa -> Nhiều người còn hay dùng Windows + E hoặc click chuột phải vào My Computer -> chọn Explorer -> Tưởng chừng như thoát khỏi autorun code. Nhưng vẫn có thể mắc sai lầm với sự kết hợp hoàn hảo của Folder.htt + Desktop.ini -> Vì trong mã lệnh của desktop.ini là những mã lệnh mang tính chất hiển thị, sắp xếp... khiến cho Folder của bạn đẹp hơn, trật tự hơn.... -> Nhưng folder.htt lại được thay thế cho những mã lệnh đó để tiếp tục run và phát tán các ông bạn virus của mình!!!
- Sự tấn công của Virus vào Registry thể hiện rõ nhất là:
+ Ôi, folder options của mình đâu mất tiêu rồi!?!
+ Ôi, sao không thể hiện nổi file ẩn lên nhỉ!?!
+ Thôi chết, Task Manager bị sao ý -> máy thì đang treo ngược cả lên rồi (
+ Sao máy hôm nay nặng thế nhỉ -> msconfig -> Disable by admin.... -> Khổ thật...
+ Run> _regedit_ _ _... -> Disable by admin... -> Ức chế lắm rồi đấy...
+ Run>_cmd_ _ _... -> Result = nothing!
.....
6) Phương pháp phòng chống!
a) Với Soft Antivirus
+ Với BKAV -> Khoảng 80% người VN không đủ hoặc không có nhu cầu sử dụng BKAV bản quyền -> Ko có khả năng cập nhật (update) -> Mất khả năng PRO!
Có vấn đề gì không???
Câu trả lời là không! ( Vì những vấn đề bản quyền thì ai chẳng biết có điều là nếu vẫn làm được việc thì thôi đành Home vậy ^^)
Nếu bạn là người sử dụng không bản quyền! Làm thế nào để BKAV làm việc hiệu quả nhất!?!
-> Không khó! Nhưng tỉ lệ thành công là 70% -> 80% => Xa hơn xin mua BKAV PRO xài tạm nhé!!!
-----------> Bạn nên diệt theo đúng trình tự sau:
-------B------->1. Vào Windows gỡ BKAV phiên bản cũ trong máy ra ( hi vọng bạn sẽ ko hỏi ở đâu và như thế nào!)
-------B------->2. Khởi động lại máy > Liên tục ấn F8 để vào Safe Mode > Vào CPrograms -> Xóa sạch thư mục BKAV cũ đi > Rồi cài lại BKAV mới down về (Nhớ là down xong rồi thì nén vào winrip ngay nhé! -> tránh virus hiệu quả đấy) -> Bắt đầu Quyét các ổ! -> Tỉ lệ thành công rất cao đấy!!!
-------B------->3. Lần sau khi máy chạy ổn ổn nhớ là mỗi khi update BKAV mới thì phải nhớ gỡ BKAV cũ, rồi restart lại del hết thư mục mang tên BKAV trong Programs đi nhé!
+ Với Kaspersky -> Dùng bản 6 đi cho nó ko bị Black list -> Cài ra và quét bình thường -> Chịu khó cập nhật nhé -> Cài Kas + Bkav + 1 trình anti spyware nào đó sẽ rất hiệu quả đấy
+ Với Norton -> Cũng là giải pháp. Nhưng nặng qua! Với lại đừng cài Norton + BKAV hoặc KAS nhé! -> Lỗi Win đấy!!!
+ Với Symantec -> Cũng hay! Nhưng chỉ có khả năng phát hiện lại ko có khả năng diệt và hay bị chính virus phá hoại -> dẫn đến xung đột với anh BKAV đã bị tê liệt án binh bất động -> Có BK thì ko Có Sym và ngược lại!!!
8) Những điều cần nhớ!
(-)Khi virus đã vào máy rồi:
+ Format USB -> bằng thừa!
+ Cài lại Windows mà ko xóa autorun và virus trong D và E.... -> rồi cứ làm như mục 5 -> Bằng thừa!
+ Copy fake icon, fake name rồi Format USB -> Bằng thừa + Thiếu xót trầm trọng: Thừa virus trong máy + thiếu dữ liệu -> vì dữ liệu bị nó làm ẩn, nằm lại trong USB hjx -> Format = zero!
+ Diệt bằng phần mềm trong USB -> vẫn còn Autorun + .dll ... etc... -> Bằng thừa -> có khả năng tái tạo virus
+ Diệt bằng phần mềm trong USB -> hết virus -> Ko thấy dữ liệu đâu -> Bằng thừa + Thiếu!
(-) Khuyến cáo nên:
+ Nếu cài lại win -> nên diệt cho bằng sạch các ổ và nên sử dụng ghost
+ Mở USB bằng các chương trình có chức năng tương tự Explore như Wincomander -> Thằng nào là .exe -> Lộ rõ chân tướng!
+ Nên kiểm tra dung lượng USB thường xuyên để có thể đôi chút cảm nhận sự khác biệt
+ Nên thận trọng với USB mang về nhà sau khi cho mượn hoặc mang đi abc với máy khác!
(-) Khuyến cáo không nên:
+ Không nên Format NTFS nếu bạn ko thật sự hiểu về định dạng này -> Vì 1 số trình khác Explorer của Winxp có khả năng lấy lại được dữ liệu cho bạn, dù rằng đã bị virus. Nhưng nó chỉ đọc đựoc FAT 32, và đa số là chỉ đọc được FAT 32 -> Vẫn mất dữ liệu như thường!
+ Không nên click vào các link lạ trên Yahoo bạn bè gửi cho! Đặc biệt là những cái link có tên với ext là: exe, hoặc
Thủ thuật của virus
Thử tưởng tượng một ngày đẹp trời bạn tìm thấy một rương gỗ, với tài năng + ổ khóa lỏng lẻo của cái rương bạn nhanh chóng mở được khóa và tìm thấy bên trong 1 kho báu kết sù. Kho báu quá lớn nên bạn quyết định lần này chỉ vơ vét 1 phần, rồi làm gì tiếp theo? Tât nhiên bạn sẽ khóa nó lại với ổ khóa mới của bạn, đảm bảo rằng chủ nhân thực sự của chiếc rương cũng không thể tách bạn ra khỏi cái rương.
Virus cũng vậy, nó khóa windows của bạn lại để độc chiếm. Bạn không thể chạy những chương trình có thể gây nguy hại đến virus: regedit, cmd, task manager, folder options… Chúng ta sẽ xem liệu virus có thông minh như tên cướp biển gian xảo.
Kiểm tra tình trạng hiện tại của bạn
Ghi chú: việc kiểm tra này rất có khả năng làm cho máy của bạn restart, hãy lưu hết dữ liệu.
Nếu tin rắng máy tính của mình đã bị nhiễm virus, bạn hãy thử xem virus này là một sinh vật thông minh đến cỡ nào.
Kiểm tra: thử mở các ứng dụng sau và xem virus đã khóa ứng dụng nào. Một ứng dụng bị khóa sẽ không thể được thực thi (thông báo lỗi, menu bị mờ đi…) hoặc làm cho máy bạn restart. Danh sách này bao gồm:
1. Task Manager: bấm Ctrl+Alt+Del hoặc click chuột phải vào thanh Start, chọn Task Manager.
2. Regedit: Vào Run từ menu Start > Run… (hoặc tổ hợp phím windows+R), gõ regedit rồi enter.
3. Folder Options: Mở My Computer, trong menu Tools thử xem có thể chạy Folder Options… không.
Nếu có thể mở Folder Options, vào tab View và xem mục Show hidden files and folders có ở đó không.
4. Cmd: Vào Run, gõ cmd rồi enter.
Mở khóa
Bây giờ bạn đã biết virus “khóa cẳng” bạn ở điểm nào, trò chơi bắt đầu…
Cẩn trọng: Trong suốt quá trình, mọi thứ có thể trơn tru nhưng cũng có thể virus sẽ restart máy của bạn liên tục và chẳng làm được gì nhiều. Trong trường hợp này bạn hãy
1. Tắt chức năng system restore: click chuột phải vào logo My Computer trên desktop chọn Properties. Trong cửa sổ mới hiện ra chọn tab System Restore rồi tick vào Turn off System Restore on all drives, OK.
2. Restart máy tính về safe-mod: restart lại máy tính, bấm F8 lúc máy boot và chọn Safe-Mode.
3. Thực hiện tất cả các thao tác trong windows ở chế độ Safe-mode.
Ghi chú: Tôi có đính kèm 1 phần mềm đơn giản ở cuối phần này, nếu thích bạn có thể download về và chạy. Task Manager, Regedit và Folder Options sẽ được enable hết, nhưng như thế thì mất đi tính manual của hướng dẫn.
Regedit
Còn nữa!!!

 

[adung]

Diệt virut lây lan qua USB (Phần 2)

Regedit

Nếu virus đã khóa Regedit của bạn (thường hiện lên thông báo kiểu như Registry editing disabled by Adminstrator trong khi bạn đang là Adminstrator), hãy thử enable lại regedit:
Cách 1: tạo file .reg
1. Login vào máy bằng tài khoản Administrator
2. Mở notepad và dán vào đoạn mã sau:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
“DisableRegistryTools”=dword:00000000
3. Lưu lại với tên file .reg, ví dụ: regopen.reg
4. Từ nội dụng của file .reg vừa tạo, bạn có thể đoán được rằng file này hướng dẫn Windows tìm đến key System và sửa chuỗi DisableRegistryTools về giá trị 0. Double click để chạy file này, kết quả giống hệt như bạn vừa sửa regedit vậy

5. Kiểm tra lại regedit
Cách 2: tạo chương trình .NET Framework thực thi đoạn mã như file .reg
Ghi chú: máy của bạn phải có cài .NET Framework. Có thể kiểm tra bằng cách xem thư mục CWINDOWS\Microsoft.NET\Framework\vx.x.xxxx\ có tồn tại hay không (với CWINDOWS là nơi cài Windows của bạn; vx.x.xxxx là phiên bản Framework hiện tại, vd: v1.0.3705, v2.0.50727). Nếu không có, bạn có thể tải về nhanh chóng từ trang Windows Update của Microsoft.
1. Mở notepad và dán vào đoạn mã sau:
using System;
using Microsoft.Win32;
class RestoreReg
{
static void Main ()
{
RegistryKey polKey = Registry.CurrentUser.OpenSubKey
(@”Software\Microsoft\Windows\CurrentVersion\Pol icies\System”, true) ;
polKey.SetValue (”DisableRegistryTools”, 0) ;
polKey.Flush () ;
}
}
2. Lưu lại với tên file .cs, vd: restorereg.cs
Mẹo: Bạn nên lưu file ở nơi nào dễ truy cập, như C chẳng hạn
3. Lưu xong, mở Command Prompt lên (vào Start > Run… > cmd rồi ENTER)
4. Di chuyển vào đường dẫn .NET Framework bạn tìm được ở trên, dùng lệnh cd, chẳng hạn:
cd %windir%\Microsoft.NET\Framework\v1.1.4322
5. Tiếp theo ta chuyển file nguồn .cs ở trên thành file thực thi .exe bằng lệnh
csc crestorereg.cs
csc ở đây là file csc.exe dùng để biên dịch có trong thư mục vx.x.xxxx
crestorereg.cs là đường dẫn đến file .cs mà bạn lưu ở trên. Chú ý nếu đường dẫn này có khoảng trắng thì bạn phải dùng cặp dấu ngoặc “” để nhóm lại, vd:
csc "cnew folder\restore regedit.cs"
6. Nếu không có sai sót gì thì file restorereg.exe đã được tạo ra trong thư mục vx.x.xxxx, bạn chạy file restorereg.exe, regedit sẽ được mở.
Nếu nhác, bạn có thể download file restorereg.exe tôi đã biên dịch tại đây
Cách 3: dùng Group Policy Editor (Windows XP Professional only)
1. Login vào máy bằng tài khoản Administrator
2. Chạy Run và gõ gpedit.msc rồi enter
3. Tìm đến User Configuration | Administrative Templates | System

4. Double-click lên mục Disable registry editing tools và chọn Not Configured
5. Thoát khỏi Group Policy Editor hoặc tiếp tục đọc phần sau nếu Task Manager của bạn cũng có vấn đề
Task Manager (Ctrl+Alt+Del)

Cách 1: sửa regedit
1. Vào Run gõ regedit rồi enter. Tìm chính xác đến HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System
2. Ở khung bên phải chú ý mục “DisableTaskMgr” (đang có giá trị ‘1′), double click vào đó đổi giá trị DWORD của nó thành 0

3. Thoát khỏi regedit
Cách 2: dùng Group Policy Editor (Windows XP Professional only)
1. Vào Group Policy Editor như hướng dẫn ngay trên
2. Tìm đến User Configuration | Administrative Templates | System | Ctrl+Alt+Del Options

3. Double-click lên mục Remove Task Manager và chọn Not Configured
4. Thoát khỏi Group Policy Editor (hoặc tiếp tục mày mò, có một số trò vui khác nếu bạn thích mạo hiểm)
Folder Options

Sau khi chắc chắn Regedit của bạn đã có thể chạy được, bạn có thể mở khóa cho Folder Options.
1. Vào Run gõ regedit rồi enter. Tìm chính xác đến
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer
2. Ở khung bên phải chú ý mục “NoFolderOptions” đang có giá trị ‘1′, double click vào đó đổi giá trị DWORD của “NoFolderOptions” thành 0 hoặc xóa luôn cả mục “NoFolderOptions” cũng được
3. Thoát khỏi Regedit
Ghi chú: Trong cùng địa chỉ Registry này còn có một số thông số thú vị khác như DisallowRun, NoControlPanel NoDriveTypeAutoRun, NoLowDiskSpaceChecks.
“Show Hidden Files and Folders”

Nếu bạn có thể truy cập Folder Options nhưng phần “Show Hidden Files and Folders” bị mất, phục hồi theo các cách sau:
Cách 1
1. Vào Run gõ regedit rồi enter. Tìm chính xác đến
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden
2. Ở khung bên phải chú ý mục “Type”, double click vào và nhập giá trị là group.

3. Sửa xong bấm F5 để refresh, kiểm tra lại Folder Options
4. Thoát khỏi Regedit
Cách 2
1. Vào regedit tìm chính xác đến
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
2. Ở khung bên phải chú ý mục CheckedValue, sửa giá trị lại là 1
3. Thoát khỏi Regedit
Hết!

 

[adung]

Ðề: Diệt virut lây lan qua USB

Nếu bài viết này mình viết khó hiểu quá thì xin mọi người cho ý kiến để em rút kinh nghiệm!!!