[Question] Chống worm lây lan qua USB |
07/08/2007 00:26:07 (+0700) | #1 | 77286 |
danvac
Member
|
0 |
|
|
Joined: 15/03/2007 18:53:59
Messages: 71
Offline
|
|
Chống worm lây lan qua USB
Phần 1 định nghĩa về worm ( gọi nôm na na sâu máy tính ) : Thường bị nhầm lẫn với virus máy tính worm là những chương trình độc lập lây lan bằng cách copy bản thân nó vào các vật mang tin . Ví dụ : thư điện tử ( mass mailing ) , yahoo chat ( Y!M worm ), qua ổ cứng di động (USB worm ) v.v……
Phần 2 làm thế nào để biết máy tính của mình đã nhiễm worm :
ở đây tôi mới biết có 2 cách
1 - Kiểm tra giao vận thong tin với bên ngoài : ở đây tôi chỉ đơn giản là dung 1 USB “sạch “ tức là không có dòng chữ AUTORUN màu đậm ở trên đầu nó . Cắm vào sau đó rút ra => cắm trở lại nếu thấy dòng chữ autorun màu đậm trên đầu USB => máy tính đã bị nhiễm worm
2 - Kiểm tra các chương trình đăng ký khởi động cùng windows :
Ta nhấn Start/run => gõ mscofig => vào tab starup
Chương trình liệt kê các phần mềm đăng ký khởi động cùng windows dung dấu kiểm bỏ chọn các chương trình mà bạn nghi ngờ ở đây là 1. exe , shel. , Exe vbkey……
về vấn đề này bạn có thể tìm trên www.google.com.vn bài viết “10 cách tự động thực thi file “để hiểu rõ hơn về vấn đề này trong bài viết tôi chỉ nêu ra cách đơn giản mà trong bài viết trên không nêu ra thôi .
3 - Dựa vào kinh nghiệm : sâu máy tính thương mang theo botnet (gọi là botnet – worm ) để phục vụ DDOS do đó đương truyền trở nên rất chậm hãy kiểm tra thư mục C:\ windows nếu bạn thấy chương trình nào khả nghi thif xác định thuộc tính company của nó nếu ko phải là microsoft corp thì đáng liệt vào sổ đen (kinh nghiệm thôi )
4 – đây là hình 1 usb đã bị nhiễm worm trong hình ta thấy trong thư mục báo cáo thực tập lại có 1 chương trình báo cáo thực tập với I –con là folder và thuộc tính company là "công ty sản xuất virus " tất nhiên ở đay là minh hoạ còn thực tế thì ko ai ngu mà làm thế cả
Phần 3 Phòng bệnh hơn chữa bệnh : Sau khi chắc chắn trong USB ko còn dữ liểu quan trong tôi thường làm như sau :
1 – Format ổ cứng : đây là 1 cách triệt để nhất để loại trừ worm worm
2 - bạn dùng notepad tạo một tệp autorun, inf với nội dung bất kỳ đặt vào trong ổ cứng của ban
3 - cấm mọi quyền truy cập vào USB trên bằng cách gõ lệnh :
ATTRIB +R +H +S +A { tên ổ (ví dụ G:\ ) }autorun.inf
để cộng them các thuộc tính ẩn , chỉ đọc , hệ thống ………
- Bạn cũng có thể gõ help trong cửa sổ DOS để biết them về các lệnh của nó ..........
Cách phòng ngừa thứ 2 : nháy chuột phải thay vì nháy chuột trái để mở vì có thể kích hoạt worm
Phần 4 tiêu diệt
A – Cacs công cụ
Process Explorer : Đây là một phần mềm chuyên nghiệp dùng để theo dõi các chương trình đang hoạt động trong hệ thống.
Autoruns : Đây là chương trình quản lý tất cả các chương trình tự động được khởi động khi khởi động máy tính.
Cả 2 chương trình trên đều có thể tải về miễn phí tại địa chỉ : http://www.sysinternals.com
a. Nhận dạng :
a.1. Chương trình đang hoạt động :
Bạn có thể sử dụng Process Explorer để xem các chương trình đang khởi động trong hệ thống.
Dựa theo kinh nghiệm và với đường dẫn do chương trình ProcessXP xác định bạn có thể dễ dàng nhận ra có hay không sự tồn tại của worm trong hệ thống.
a.2. Key khởi động :
Hầu như tất cả worm đều tự tạo Key khởi động riêng cho mình để được hệ điều hành mở khi vừa khởi động máy vì vậy đây cũng là một phương pháp rất hiệu quả.
Một worm điển hình là một chương trình đang hoạt động trong hệ thống và có key khởi động cùng hệ điều hành (Hãy thận trọng trước khi “Phán quyết” một chường trình nào đó có phải worm hay không)
b. Dọn dẹp :
Bạn đừng nghĩ rằng bạn ngắt ngay chương trình đó và xóa key của nó tạo trong regedit đã là xong việc, bởi vì các worm thường để lại rất nhiều “Tàn tích” trên máy tính của bạn, vì vậy nếu chỉ thực hiện các thao tác trên thì chưa đủ.
b.1. Xác định “Tàn tích” :
Chúng ta sẽ dùng Process Explorer để xác định các chuỗi trong file worm (Đây cũng chính là nguyên tắc mà các phần mềm chống Worm xác định để chống worm).
Thao tác như sau : Trong Process Explorer bấm chuột phải vào tiến trình (Proscess) của worm. Sau đó chọn Properties... sau đó ấn chọn Strings.
Một loạt chuỗi xuất hiện. Sau đó bạn hãy ngồi tìm những chuỗi như có dạng một đường dẫn rồi ghi lại chúng. Đó chính là những địa chỉ của tàn tích.
b.2. Dọn dẹp :
Với các worm thông bạn chỉ cần dùng Process Explorer để kết thúc sự làm việc của worm (Bấm chuột phải rồi chọn Kill Process). Sau đó bạn dùng Autoruns để xóa các key khởi động worm đó trong regedit (Bấm chuột phải chọn Delete). Cuối cùng bạn tìm đến địa chỉ của các “Tàn tích” để xóa bỏ chúng (Hãy thận trọng bởi có thể đó là một file quan trọng của hệ thống)
baì viết đến đây là kết thúc nếu thiếu tôi sẽ bổ xung sau mỏi tay lăm roài >"<
bai viet cua danvac vui long ton trong tac gia ^_^
down bản full ở đây
http://www31.websamba.com/danvac/Document.rar |
|
|
|
|
[Question] Re: Chống worm lây lan qua USB |
07/08/2007 07:20:15 (+0700) | #2 | 77395 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
|
|
[Question] Re: Chống worm lây lan qua USB |
08/08/2007 02:35:33 (+0700) | #3 | 77616 |
danvac
Member
|
0 |
|
|
Joined: 15/03/2007 18:53:59
Messages: 71
Offline
|
|
đầu tiên mình cảm ơn bạn vì đã hồi âm cho mình để mình viết bài tốt hơn nữa ^^
Mà hình như các tác giả worm bây giờ kô dùng loại Autorun tạo ra 2 chữ đậm ấy nữa đâu bạn danvac thân mến ạ Hình như autorun bây giờ toàn toàn ăn cắp của Tàu(hoặc là có nguồn gốc từ Tàu) nên mấy chữ đó toàn lằng ngoàng do bị lỗi font mà là mấy dòng loàng ngoằng chứ kô phải chỉ một dòng nên còn chẳng thấy
nếu kích chuột phải thấy loẳng ngoẳng càng hay
[/url]Thêm một chi tiết nữa là autorun có thể làm virus được kích hoạt ngay cả khi ta chọn dòng Open hoặc Explorer trên menu ấy.
thật kô đấy thằng viết worm chắc là thiên tài rồi
Chương trình liệt kê các phần mềm đăng ký khởi động cùng windows dung dấu kiểm bỏ chọn các chương trình mà bạn nghi ngờ ở đây là 1. exe , shel. , Exe vbkey……
đúng là bài đó có ghi cách đăng ký nhưng ko có nếu ra cách tìm worm trong msconfig
Cám ơn bạn đã cho tui một trận cười sảng khoái có thể tối tôi sẽ đọc kỹ hơn và có ý kiến thêm
Tối: thôi kô nói gì nữa kô nên vùi dập những con người có tâm huyết cống hiến như thế
nếu bạn có lý đúng thì nên nêu ra cho tôi học thêm tôi cũng là newbie chỉ có kinh nghiệm làm thịt mấy con worm vớ vẩn nên chả biết gì |
|
|
|
|
[Question] Re: Chống worm lây lan qua USB |
08/08/2007 04:34:31 (+0700) | #4 | 77651 |
|
Look2Me
Member
|
0 |
|
|
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
|
|
Hi danvac!
Cách của tốt nhưng bạn phức tạp quá. Mình đang hoàn thiện 1 cái tools tự động diệt virus lây qua USB! |
|
|
|
|
[Question] Chống worm lây lan qua USB |
08/08/2007 05:49:36 (+0700) | #5 | 77679 |
|
nlfb
Journalist
|
0 |
|
|
Joined: 09/07/2003 16:41:21
Messages: 1175
Location: HCM
Offline
|
|
Tớ đọc đến 10 cách lây nhiễm thì bỏ, bạn viết kiểu luôn tuồn, sai chính tả, đọc rối mắt, nên trình bày lại cho dễ đọc hơn. Thân ) |
|
|
|
|
[Question] Re: Chống worm lây lan qua USB |
08/08/2007 06:41:19 (+0700) | #6 | 77696 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
Thêm một chi tiết nữa là autorun có thể làm virus được kích hoạt ngay cả khi ta chọn dòng Open hoặc Explorer trên menu ấy.
thật kô đấy thằng viết worm chắc là thiên tài rồi
Kô phải là thiên tài đâu mà là những tác giả trước đây kô tìm hiểu nhiều về Autorun nên kô biết hết khả năng của nó thôi. Thực ra những file Autorun đi theo worm của Tàu nó tạo ra các ký tự loằng ngoằng kô phải để che mắt người dùng mấy cái dòng Open và Explorer mà là do bên Tàu người ta toàn dùng bản Win đã được Tàu hóa (đổi tiếng Anh thành tiếng Tàu) nên 2 cái chữ ấy đều là chữ Tàu nên Autorun nó cũng Tàu hóa luôn 2 cái chữ ấy. Nhưng sang Việt Nam thì nó bị lỗi Font nên mới loằng ngoằng ghê gớm như thế --> càng dễ nhận biết là USB bị nhiễm )
Đây là code của một cái Autorun có nguồn gốc từ tàu và đã được tui sửa cho hết loằng ngoàng. Với cái file Autorun.inf này thì dù click chuột phải vào ổ có nó cũng kô thấy gì khác thường Dù chọn dòng Open hãy Explore virus vẫn được kích hoạt ) Sắp tới code này chắc chắn sẽ được mấy cha chế tác worm sử dụng nhiều nên chúng ta hãy từ bỏ kiểu kiểm tra bằng cách right-click vào ổ dần đi là vừa ) và cả thói quen double-click vào USB nữa )
Code:
[autorun]
OPEN=VIUS.EXE
shell\open=Open
shell\open\Command=VIUS.EXE
shell\open\Default=1
shell\explore=Explore
shell\explore\Command=VIUS.EXE
Chỉ khác có vài dòng mà tạo ra sự thay đổi đáng sợ -))
Mấy cha chế tác Worm chưa biết cái nầy mà vớ được chắc sướng phải biết ) kô biết việc mình post phát hiện này lên đây có phải là vẽ đường cho sói chạy hay kô ( nhất là mấy mem choi choi thích nghịch worm ở forum của Dungcoi. Thể nào anh chàng danvac kia chả mang sang đó khoe ngay ) Than ôi! đến là mệt ) |
|
|
|
|
[Question] Chống worm lây lan qua USB |
08/08/2007 07:34:33 (+0700) | #7 | 77708 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Cách tốt nhất là nhấn Ctrl+E để mở Windows Explorer, rồi chọn ổ đĩa ở Panel bên trái... hehehe . Không thì để FastHelper đang chạy và double-click vào cái Flash Drive, cũng sẽ không bị gì
Còn một giải pháp nữa là sử dụng explorer khác thay cho Windows Explorer. |
|
|
|
|
[Question] Chống worm lây lan qua USB |
08/08/2007 07:58:46 (+0700) | #8 | 77712 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
|
|
[Question] Re: Chống worm lây lan qua USB |
15/08/2007 07:48:42 (+0700) | #9 | 78968 |
|
huynhfxvn
Member
|
0 |
|
|
Joined: 21/07/2005 11:09:35
Messages: 456
Location: UET.VNU
Offline
|
|
1 , đút USB vào , sau đó giữ phím Shift lâu vào càng lâu càng tốt , mục đích là bỏ qua chế độ autorun
2. tạo file h.bat nội dung:
========
del c:\autorun.inf /a /f
del d:\autorun.inf /a /f
del e:\autorun.inf /a /f
del f:\autorun.inf /a /f
del g:\autorun.inf /a /f
del i:\autorun.inf /a /f
del h:\autorun.inf /a /f
del k:\autorun.inf /a /f
=======
/a : xóa file dạng ẩn
/f : xóa file dạng chỉ đọc
|
|
KHÔNG CÓ GÌ quý hơn tự do ! |
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|