banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... File Autorun.inf và các vấn đề liên quan và cách phòng chống virus  XML
  [Question]   File Autorun.inf và các vấn đề liên quan và cách phòng chống virus 30/12/2008 15:49:18 (+0700) | #1 | 164525
[Avatar]
w4s.info
Member

[Minus]    0    [Plus]
Joined: 29/12/2008 12:17:36
Messages: 100
Offline
[Profile] [PM] [WWW] [Yahoo!]

File autorun.inf được lưu tại thư mục gốc (C:\, D:\...) của các ổ đĩa.
nội dung của file autorun.inf sẽ "cấu hình" cho windows hiểu phải làm những gì khi mở ổ đĩa theo cách truyền thống: "click đúp"
tui chỉ ra một vài cách cấu hình file autorun.inf mà các virus "hay làm":
Code:
[AutoRun]
open=X0
shell\open=X1
shell\open\Command=X2
shell\explore=X3
shell\explore\Command=X4
...


mặc định, trước khi mở ổ đĩa, click chuột phải vào ổ đĩa, các menu hiện lên gọi là menu M nhé, lệnh mặc định sẽ đc thực hiện cho việc "click đúp" (hoặc nhấn ENTER) vào ổ đĩa là dòng chữ in đậm trong menu M. thông thường là Open hay Auto... mặc định của windows là Open

giờ xem xét các khóa trong file autorun.inf
Code:
open=X0

X0 là đường dẫn đến file thực thi, bất kể file gì cũng đc. X0 sẽ được gọi khi thực hiện cách "mở truyền thống"
khi khóa open=X0 đc khai báo, mặc định (dòng chữ in đậm trong menu M) sẽ là Auto.

Vậy nếu không mở truyền thống mà click chuột phải, chọn open hay explore... để mở thì sao?
Cách này thường các virus cũng xử đẹp luôn:
khóa
Code:
shell\open=X1
shell\open\Command=X2

Nếu X1 được khai báo, nó sẽ ghi đè lên dòng Open trong menu M
X2 sẽ là chương trình thực thi khi chọn X1

tương tự khóa
Code:
shell\explore=X3
shell\explore\Command=X4

Nếu X3 được khai báo, nó sẽ ghi đè lên dòng Explore trong menu M
X4 là chương trình thực thi khi chọn X3

ngoài các dòng giả mạo trên thì autorun.inf còn cho phép tạo ra các dòng mới, có thể chọn các title thật "hấp dẫn"
Túm lại, hoàn toàn có thể làm giả các menu con trong menu M

Lời khuyên: Không nên mở "kiểu nguy hiểm" (= "kiểu truyền thống" smilie + mở theo cách click chuột phải, chọn menu con smilie )
Để an toàn:
1. mở ổ đĩa nên dùng cây thư mục folders bên tay trái cửa sổ explorer. Để mở explorer nhanh nhất: WIN+E (WIN là phím có biểu tượng windows ấy);
2. Chọn ổ trên thanh Address, có thể gõ tên ổ trên ấy, gõ tên chi tiết đường dẫn đến thư mục cũng ok;
3. command: explorer <"đường_dẫn"> (gõ trong DOS hay WIN+R ok hết) VD: explorer C: [ENTER]; explorer c:\windows [ENTER]
...

Quay lại chủ đề, khi file autorun.inf đã thiết đặt chương trình chạy mặc định khi mở "kiểu nguy hiểm"
Tùy chương trình mặc định gọi làm gì là do tác giả viết, sau khi đã chạy chính nó (muón làm gì là... tùy nósmilie ), có thể nó sẽ làm giả các thao tác do người dùng chọn. VD: khi virus chiếm khóa Open, nếu người dụng chọn Open, sau khi chạy chính nó, virus sẽ thực hiện việc mở theo đúng kiểu Open mà người dùng chon nhằm đánh lừa người dùng: mọi việc diễn ra bình thường.
Thông thường, không virus coder nào muốn sau khi chiếm file autorun.inf thì làm hỏng việc mở ổ đĩa theo "kiểu nguy hiểm" vì sẽ bị nghi ngay smilie
Lỗi xảy ra khi virus bị phát hiện và bị "thịt" bởi một antivirus nào đó, nhưng có thể antivirus đó không "xử lý" file autorun.inf, thế nên các giá trị của file autorun.inf vẫn còn và có tác dụng, do vậy, nếu tiếp tục "xài" "kiểu nguy hiểm" để mở ổ đĩa thì nghĩa là đã gọi giá trị trong file autorun.inf ra chạy trước, nếu giá trị X0, X2, X4... được gọi nhưng file thực tế trên máy đã bị del thì "thằng" windows sẽ hiện ra cái lỗi to đùng: Not found, bắt chỉ đường dẫn đén file nào đó... và việc mở ổ đĩa sẽ bị stop => không thể mở được.

Giải quyết:
Xóa béng thằng autorun.inf đi là ok.
Advance: xóa các khóa nguy hiểm như trên 


Làm sao để xóa?
Nếu virus chưa được diệt, có xóa đi thì virus lại tạo lại mấy hồi !
=> phải diệt virus trước !!!
Để diệt, xài các software tốt nhất (chỗ này tui miễn bàn nhé smilie )

Khi đã diệt xong virus:
Nếu mở theo "kiểu an toàn" vào ổ đĩa, thấy thằng autorun.inf lù lù đấy thì thịt ngay smilie
Nhưng nếu không thấy thì sao?
Không thấy có thể là do:
Đã bị thịt bởi antivirus
hoặc "còn đó" nhưng bị ẩn đi.

Giải quyết:
(không thể delete trong "standard MS-DOS" khi 1 file ở dạng ẩn hoặc read-only <=> thường virus sẽ chọn cả 2 smilie nếu set attribute để disable cái read-only và hidden đi thì ok, nhưng như thế xóa trên windows nhanh hơn)
Có thể xài software: NC, VC...
Nếu không có software:
Tắt chế độ ẩn các file ẩn của Windows đi, thấy ngay mấy thằng ẩn, trong đo tất nhiên có "thằng cần tìm" => thịt ngay

Làm thế nào để tắt chế độ ẩn file ẩn của Windows?
1. Xài software
2. Làm "chay":
Cách "phổ thông"
Với Win XP/2K/NT:  

Trên cửa sổ explorer, click Tools > Folder Options > chọn tab view > trong bảng Advance Setting, tick vào dòng Show hidden files and folders, bỏ tick của 2 dòng Hide extensions for known file types và dòng Hide protected operating system files [Recommended] > OK
Với Win Vista/Seven:  

Trên cửa sổ explorer, click Orgnize > Folder and Search Options > chọn tab view > trong bảng Advance Setting, tick vào dòng Show hidden files and folders, bỏ tick của 2 dòng Hide extensions for known file types và dòng Hide protected operating system files [Recommended] > OK

Rồi trở lại các thư mục gốc của các ổ đĩa, refresh phát, nếu thấy "thằng cần tìm" rồi thì thịt nhá smilie
Nếu không thấy, thậm chí không có thằng nào là file ẩn hiện ra, ngay cả tại ổ hệ thống cũng không thấy file ẩn đâu (file ẩn là file khi cho hiện ra thì nó hiện mờ mờ ấy) => registry đã bị patch => sửa registry:
Run regedit
tìm đến khóa:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
các giá trị đúng là:
"Hidden" kiểu "REG_DWORD" giá trị "1"
"ShowSuperHidden" kiểu "REG_DWORD" giá trị "0"
"HideFileExt" kiểu "REG_DWORD" giá trị "0"

nếu thấy khóa nào sai thì sửa lại cho đúng nhá, thường sẽ bị đổi kiểu thay vì là REG_DWORD mà là REG_SZ => xóa thằng cũ đi, tạo cái mới cho đúng smilie
Rồi trở lại các thư mục gốc của các ổ đĩa, refresh phát, nếu thấy "thằng cần tìm" rồi thì thịt nhá smilie

Câu hỏi thường gặp: 


Không thấy menu Folders Options

Run regedit, tìm đến:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
giá trị đúng:
"{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}" kiểu "REG_DWORD" giá trị "0"
tìm đến:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
giá trị đúng:
"NoFolderOptions" kiểu "REG_DWORD" giá trị "0"
Để có hiệu lực các khóa trên, Log off hay restart lại máy tính, hoặc restart process explorer.exe

Để restart process explorer.exe: (nhanh hơn smilie )
run commands: (có thể chạy luôn trong cửa sổ run của windows, lời khuyên: nên chạy trong MS-DOS của windows)
Code:
taskkill /f /im explorer.exe
explorer



Không mở được Regedit Edittor (run lệnh regedit)
run commands: (có thể chạy luôn trong cửa sổ run của windows, lời khuyên: nên chạy trong MS-DOS của windows)
Code:
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f



Không mở được Command (MS-DOS) (run lệnh cmd)
run commands: (chỉ có thể chạy trong cửa sổ run của windows smilie )
Code:
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableCMD /t REG_DWORD /d 0 /f
reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableCMD /t REG_DWORD /d 0 /f


Không mở được Task Manager (run lệnh taskmgr)
run commands: (có thể chạy luôn trong cửa sổ run của windows, lời khuyên: nên chạy trong MS-DOS của windows)
Code:
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f


Chỉ một vấn đề nhỏ mà một "mớ" kiến thức cần biết smilie Bro nào biết rồi thì miễn bàn, tui viết "hướng đối tượng" cho người không biết gì cũng làm được (Bình dân học vụ smilie )

Có gì anh em có thể hỏi thêm smilie
Thân.

PS: Bài viết này có nên đưa vào là bài hướng dẫn đáng chú ý không các Mod nhỉ smilie
ResellerClub Vietnam - Big Sale Off
http://resellerclubvn.com
[Up] [Print Copy]
  [Question]   Re: File Autorun.inf và các vấn đề liên quan và cách phòng chống virus 31/12/2008 02:13:52 (+0700) | #2 | 164563
[Avatar]
kamikazeq
Member

[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
Uhm, tham khảo luôn /hvaonline/posts/list/26123.html

PS: bạn không cần phải post 2 bài dài ngoằng ở 2 nơi đâu. 1 cái link dẫn qua là đủ.
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Re: File Autorun.inf và các vấn đề liên quan và cách phòng chống virus 04/01/2009 19:42:58 (+0700) | #3 | 165118
hack2prison
Member

[Minus]    0    [Plus]
Joined: 10/02/2004 10:43:43
Messages: 58
Offline
[Profile] [PM]
Chương trình này đặc trị virus lây qua USB.
Với nó, hãy quên virus lây qua USB đi nhé:
http://warezshare.com/anti-virusspy/516-usb-drive-antivirus.html
[Up] [Print Copy]
  [Question]   Re: File Autorun.inf và các vấn đề liên quan và cách phòng chống virus 09/01/2009 07:40:57 (+0700) | #4 | 165765
[Avatar]
w4s.info
Member

[Minus]    0    [Plus]
Joined: 29/12/2008 12:17:36
Messages: 100
Offline
[Profile] [PM] [WWW] [Yahoo!]
He he, bro hack2prison send 1 soft tiêu chí: "Thà giết nhầm còn hơn bỏ sót"
"Cu" nào mà là autorun là thịt hét, bất kể tốt xấu smilie


Tui sent 1 software khác: http://w4s.info/Download/ có thằng Anti-virus an Multiple Windows Tools, thằng này ngon luôn (tui code = AutoIT cho nhanh smilie )
Rất nhiều tools cần thiết. Khẳng định k có virus (có thể lấy uy tín cá nhân đảm bảo smilie )

Kaspersky sẽ hỏi thăm khi chạy, vì soft này có kết nối đến server w4s.info để cập nhật virus mới mà, Kaspersky k biết kết nối vào Internet làm gì nên nó hỏi thăm ngay, giải quyết: add to trusted zone.

Một số anti-autoit software k cho chạy vì sợ autoit, cái này khỏi bàn, tui ghét tụi này smilie

Thân.
ResellerClub Vietnam - Big Sale Off
http://resellerclubvn.com
[Up] [Print Copy]
  [Question]   Re: File Autorun.inf và các vấn đề liên quan và cách phòng chống virus 09/01/2009 07:54:58 (+0700) | #5 | 165767
[Avatar]
w4s.info
Member

[Minus]    0    [Plus]
Joined: 29/12/2008 12:17:36
Messages: 100
Offline
[Profile] [PM] [WWW] [Yahoo!]
He he, bro hack2prison send 1 soft tiêu chí: "Thà giết nhầm còn hơn bỏ sót"
"Cu" nào mà là autorun là thịt hét, bất kể tốt xấu smilie


Tui sent 1 software khác: http://w4s.info/Download/ có thằng Anti-virus an Multiple Windows Tools, thằng này ngon luôn (tui code = AutoIT cho nhanh smilie )
Rất nhiều tools cần thiết. Khẳng định k có virus (có thể lấy uy tín cá nhân đảm bảo smilie )

Kaspersky sẽ hỏi thăm khi chạy, vì soft này có kết nối đến server w4s.info để cập nhật virus mới mà, Kaspersky k biết kết nối vào Internet làm gì nên nó hỏi thăm ngay, giải quyết: add to trusted zone.

Một số anti-autoit software k cho chạy vì sợ autoit, cái này khỏi bàn, tui ghét tụi này smilie

Thân.
ResellerClub Vietnam - Big Sale Off
http://resellerclubvn.com
[Up] [Print Copy]
  [Question]   Re: File Autorun.inf và các vấn đề liên quan và cách phòng chống virus 15/01/2009 06:51:49 (+0700) | #6 | 166547
hackingvietnam
Member

[Minus]    0    [Plus]
Joined: 18/07/2008 14:23:00
Messages: 26
Location: ..netlux..org..
Offline
[Profile] [PM] [Email] [Yahoo!]
Những con Virus mới đủ khả năng để cho cái autorun.inf vô nghĩa của bác trở thành...có nghĩa...hơn hết...
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|