[Question] [Help] MBR Rootkit, ai có kinh nghiệm xin chia sẻ. |
26/03/2008 22:21:12 (+0700) | #1 | 121305 |
|
Look2Me
Member
|
0 |
|
|
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
|
|
Nói ra thật ngại nhưng mà mình đang bị nhiễm con này.
Số là hôm qua sử dụng máy thi thoảng thấy chậm (5s thì chậm mất 1s giống như chơi game bị lag mạng ý). Sau khi kiểm tra hết danh sách các process không thấy có vấn đề gì mình mới dùng mấy tool detect rootkit và kết quả là phát hiện ra cái này.
Theo hiểu biết của mình MBR Rootkit là loại rootkit hoạt động giống cơ chế của virus Boot ngày trước. Lây nhiễm vào sector 0 của ổ đĩa, lên trước cả OS và che dấu hoàn toàn sự tồn tại của virus. Ai từng nghiên cứu về MBR Rootkit xin cho cao kiến. Bây giờ phải diệt con này ntn? Có đúng là máy mình bị virus không? Sau khi khởi động lại, scan bằng Gmer thì không còn thấy thông báo như trên nữa!!!!
PS: Không chấp nhận format or cài lại OS. |
|
|
|
|
[Question] [Help] MBR Rootkit, ai có kinh nghiệm xin chia sẻ. |
26/03/2008 22:29:50 (+0700) | #2 | 121307 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Look2Me wrote:
Nói ra thật ngại nhưng mà mình đang bị nhiễm con này.
Số là hôm qua sử dụng máy thi thoảng thấy chậm (5s thì chậm mất 1s giống như chơi game bị lag mạng ý). Sau khi kiểm tra hết danh sách các process không thấy có vấn đề gì mình mới dùng mấy tool detect rootkit và kết quả là phát hiện ra cái này.
Theo hiểu biết của mình MBR Rootkit là loại rootkit hoạt động giống cơ chế của virus Boot ngày trước. Lây nhiễm vào sector 0 của ổ đĩa, lên trước cả OS và che dấu hoàn toàn sự tồn tại của virus. Ai từng nghiên cứu về MBR Rootkit xin cho cao kiến. Bây giờ phải diệt con này ntn? Có đúng là máy mình bị virus không? Sau khi khởi động lại, scan bằng Gmer thì không còn thấy thông báo như trên nữa!!!!
PS: Không chấp nhận format or cài lại OS.
Có một bài phân tích đầy đủ ở đây (tiếng Anh):
http://www2.gmer.net/mbr/
Dùng bất cứ tool nào để fix mbr cũng có thể trị con này. Code của dạng này đã được disclosed gần đây (nhưng không phổ biến rộng rãi mà chỉ có trên các mailing-list chuyên nghiệp mà thôi).
Thân mến. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: [Help] MBR Rootkit, ai có kinh nghiệm xin chia sẻ. |
26/03/2008 22:36:15 (+0700) | #3 | 121310 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
http://www.avertlabs.com/research/blog/ -> http://www.avertlabs.com/research/blog/index.php/2008/03/23/exploring-stealthmbr-defenses/ - > http://vil.nai.com/vil/content/v_143908.htm
Nó khuyến khích bỏ đĩa CD windows vào rồi chạy cái lệnh sửa master boot record, sau khi đã diệt bằng phần mềm của hảng này. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Question] Re: [Help] MBR Rootkit, ai có kinh nghiệm xin chia sẻ. |
27/03/2008 22:16:17 (+0700) | #4 | 121504 |
|
Look2Me
Member
|
0 |
|
|
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
|
|
Thanks all!
Ngày xưa bị B Virus cũng phải dùng cái fdisk để xử... Bây giờ thử lại phát xem. Để backup dữ liệu đã ...zzz..zzz |
|
|
[Question] Re: [Help] MBR Rootkit, ai có kinh nghiệm xin chia sẻ. |
27/03/2008 23:33:26 (+0700) | #5 | 121526 |
|
thephatcompany
Member
|
0 |
|
|
Joined: 27/02/2008 15:13:47
Messages: 453
Offline
|
|
Bác chạy mua cái đĩa LHT18 đó, boot Cd và dùng lệnh dos: fdisk /mbr
xong khởi động lại và bỏ cái đĩa LHT mới và dùng chương trình tạo mbr lại, cần gì mà backup dữ liệu. |
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|