nh0ck0n10b wrote:
File \Device\Harddisk0\DR0: ccntain virus Type_Boot
Con virus này rất lạ. KIS 2010 báo phát hiện nhưng cũng không thể diệt được.
GHOST lại máy hay cài lại windows cũng không thể hết... và nhìn cái path thế kia thì chẳng biết nó ở đầu mà lấy mẫu.
Khi tìm kiếm thông tin về con virus này em tìm được một số lời giải thích như sau (Từ forum forum.kapersky.vn)
Đây là một loại virus được nằm trong nhóm MBR Rootkit.
Mỗi thiết bị khi ánh xạ vào HĐH Windows sẽ được coi là một Object. Với MBR của ổ đĩa cứng, sẽ được định nghĩa là Kernel Object với kiểu Device. Khi bị nhiễm MBR Rootkit, nó sẽ bị thay đổi như sau:
Vì Rootkit này nhiễm vào MBR, nó ở mức Driver, nên không một AV-Tools nào có khả năng loại bỏ nó. Và khi Format lại HDD mà không chỉnh sửa MBR thì nó vẫn còn tồn tại.
Để loại bỏ bằng tay, bạn có thể xóa MBR cũ, tạo mới MBR bằng các công cụ có sẵn trong đĩa Hiren's Boot CD.
Cuối cùng kết luận dc 1 cách xử lí con virus này là:
Cách sử lý virus:
Bỏ CD hiren boot. vào DOS, gõ: fdisk /mbr enter
Rút đĩa ra, khởi động lại máy.
Nếu là XP: chạy bình thường
Nếu là Vista: Bỏ đĩa setup vào, chọn Repair.
Chi tiết phân tích về virus tại đây(English): http://www2.gmer.net/mbr/
Em đọc nhưng cũng chưa đủ vốn kiến thức để hiểu thêm về nó.. Em mở topic này để mọi người cùng thảo luận...
Master Boot Records (MBR) là vùng đầu tiên trên dĩa cứng vật lý, nằm tại Cylinder 0, Head 0, Sector 1. Vùng này có kích thước 512KB, lưu trữ toàn bộ thông tin về các phân vùng trên dĩa cứng. Trong quá trình boot, sau khi máy tính đã POST (Power On Self Test) xong, BIOS sẽ chuyển quyền điều khiển máy cho một đoạn chương trình "mồi" (boot strap) nằm trên MBR. Đoạn chương trình này sẽ tìm hiểu xem ổ cứng máy tính bao gồm những phân vùng nào, mỗi phân vùng có hệ điều hành hay không? Và boot strap sẽ chuyển quyền điều khiển cho hệ điều hành nằm trên phân vùng thích hợp...
Như vậy MBR là vị trí tối quan trọng trên ổ cứng máy tính. Thông báo trên cho thấy: máy bạn đã bị virus nhiễm vào MBR. Bạn phải sao lưu toàn bộ dữ liệu trên ổ cứng của bạn sang ổ cứng khác hoặc phương tiện lưu trữ ngoài. Sau đó, bạn sẽ tiến hành xoá sạch MBR của ổ cứng bằng Norton Disk Editor có trên các CD Hiren Boot. Dĩ nhiên, sau khi xoá MBR thì đồng nghĩa với việc dĩa cứng của bạn sẽ bị xoá sạch hoàn toàn. Bạn phải tiến hành phân chia lại ổ cứng bằng Acronis Disk Director Suite, hoặc tiện ích phân vùng có sẵn trên dĩa CD cài đặt Windows. Kế đến là bạn sẽ cài đặt lại mọi thứ từ đầu...
Không có chương trình diệt virus nào có thể diệt tận gốc virus nhiễm vào MBR. Vì mọi chương trình (bao gồm cả hệ điều hành) đều phải chạy sau đoạn chương trình mồi trên MBR.
Vừa mới đọc dc soft này mọi người test nhé
http://cmcinfosec.co...cw0.2.4.500.rar
|