banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Chống worm lây lan qua USB  XML
  [Question]   Chống worm lây lan qua USB 07/08/2007 00:26:07 (+0700) | #1 | 77286
danvac
Member

[Minus]    0    [Plus]
Joined: 15/03/2007 18:53:59
Messages: 71
Offline
[Profile] [PM] [MSN]
smilie Chống worm lây lan qua USB
Phần 1 định nghĩa về worm ( gọi nôm na na sâu máy tính smilie ) : Thường bị nhầm lẫn với virus máy tính worm là những chương trình độc lập lây lan bằng cách copy bản thân nó vào các vật mang tin . Ví dụ : thư điện tử ( mass mailing ) , yahoo chat ( Y!M worm ), qua ổ cứng di động (USB worm ) v.v……
Phần 2 làm thế nào để biết máy tính của mình đã nhiễm worm :
ở đây tôi mới biết có 2 cách
1 - Kiểm tra giao vận thong tin với bên ngoài : ở đây tôi chỉ đơn giản là dung 1 USB “sạch “ tức là không có dòng chữ AUTORUN màu đậm ở trên đầu nó . Cắm vào sau đó rút ra => cắm trở lại nếu thấy dòng chữ autorun màu đậm trên đầu USB => máy tính đã bị nhiễm worm
2 - Kiểm tra các chương trình đăng ký khởi động cùng windows :
Ta nhấn Start/run => gõ mscofig => vào tab starup



Chương trình liệt kê các phần mềm đăng ký khởi động cùng windows dung dấu kiểm bỏ chọn các chương trình mà bạn nghi ngờ ở đây là 1. exe , shel. , Exe vbkey……
về vấn đề này bạn có thể tìm trên www.google.com.vn bài viết “10 cách tự động thực thi file “để hiểu rõ hơn về vấn đề này trong bài viết tôi chỉ nêu ra cách đơn giản mà trong bài viết trên không nêu ra thôi smilie .
3 - Dựa vào kinh nghiệm : sâu máy tính thương mang theo botnet (gọi là botnet – worm ) để phục vụ DDOS do đó đương truyền trở nên rất chậm hãy kiểm tra thư mục C:\ windows nếu bạn thấy chương trình nào khả nghi thif xác định thuộc tính company của nó nếu ko phải là microsoft corp thì đáng liệt vào sổ đen (kinh nghiệm thôi smilie )
4 – đây là hình 1 usb đã bị nhiễm worm trong hình ta thấy trong thư mục báo cáo thực tập lại có 1 chương trình báo cáo thực tập với I –con là folder và thuộc tính company là "công ty sản xuất virus smilie " tất nhiên ở đay là minh hoạ còn thực tế thì ko ai ngu mà làm thế cả smilie


Phần 3 Phòng bệnh hơn chữa bệnh : Sau khi chắc chắn trong USB ko còn dữ liểu quan trong tôi thường làm như sau :
1 – Format ổ cứng : đây là 1 cách triệt để nhất để loại trừ worm worm
2 - bạn dùng notepad tạo một tệp autorun, inf với nội dung bất kỳ đặt vào trong ổ cứng của ban
3 - cấm mọi quyền truy cập vào USB trên bằng cách gõ lệnh :
ATTRIB +R +H +S +A { tên ổ (ví dụ G:\ ) }autorun.inf
để cộng them các thuộc tính ẩn , chỉ đọc , hệ thống ………
- Bạn cũng có thể gõ help trong cửa sổ DOS để biết them về các lệnh của nó ..........
Cách phòng ngừa thứ 2 : nháy chuột phải thay vì nháy chuột trái để mở vì có thể kích hoạt worm
Phần 4 tiêu diệt
A – Cacs công cụ
Process Explorer : Đây là một phần mềm chuyên nghiệp dùng để theo dõi các chương trình đang hoạt động trong hệ thống.
Autoruns : Đây là chương trình quản lý tất cả các chương trình tự động được khởi động khi khởi động máy tính.
Cả 2 chương trình trên đều có thể tải về miễn phí tại địa chỉ : http://www.sysinternals.com


a. Nhận dạng :
a.1. Chương trình đang hoạt động :
Bạn có thể sử dụng Process Explorer để xem các chương trình đang khởi động trong hệ thống.
Dựa theo kinh nghiệm và với đường dẫn do chương trình ProcessXP xác định bạn có thể dễ dàng nhận ra có hay không sự tồn tại của worm trong hệ thống.
a.2. Key khởi động :
Hầu như tất cả worm đều tự tạo Key khởi động riêng cho mình để được hệ điều hành mở khi vừa khởi động máy vì vậy đây cũng là một phương pháp rất hiệu quả.



Một worm điển hình là một chương trình đang hoạt động trong hệ thống và có key khởi động cùng hệ điều hành (Hãy thận trọng trước khi “Phán quyết” một chường trình nào đó có phải worm hay không)
b. Dọn dẹp :
Bạn đừng nghĩ rằng bạn ngắt ngay chương trình đó và xóa key của nó tạo trong regedit đã là xong việc, bởi vì các worm thường để lại rất nhiều “Tàn tích” trên máy tính của bạn, vì vậy nếu chỉ thực hiện các thao tác trên thì chưa đủ.
b.1. Xác định “Tàn tích” :
Chúng ta sẽ dùng Process Explorer để xác định các chuỗi trong file worm (Đây cũng chính là nguyên tắc mà các phần mềm chống Worm xác định để chống worm).
Thao tác như sau : Trong Process Explorer bấm chuột phải vào tiến trình (Proscess) của worm. Sau đó chọn Properties... sau đó ấn chọn Strings.


Một loạt chuỗi xuất hiện. Sau đó bạn hãy ngồi tìm những chuỗi như có dạng một đường dẫn rồi ghi lại chúng. Đó chính là những địa chỉ của tàn tích.
b.2. Dọn dẹp :
Với các worm thông bạn chỉ cần dùng Process Explorer để kết thúc sự làm việc của worm (Bấm chuột phải rồi chọn Kill Process). Sau đó bạn dùng Autoruns để xóa các key khởi động worm đó trong regedit (Bấm chuột phải chọn Delete). Cuối cùng bạn tìm đến địa chỉ của các “Tàn tích” để xóa bỏ chúng (Hãy thận trọng bởi có thể đó là một file quan trọng của hệ thống)
baì viết đến đây là kết thúc nếu thiếu tôi sẽ bổ xung sau mỏi tay lăm roài >"<
bai viet cua danvac vui long ton trong tac gia ^_^
down bản full ở đây
http://www31.websamba.com/danvac/Document.rar
[Up] [Print Copy]
  [Question]   Re: Chống worm lây lan qua USB 07/08/2007 07:20:15 (+0700) | #2 | 77395
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Hic muốn rút lui lắm rồi nhưng mà đọc phải những bài như thế này mà kô dưa ra ý kiến là em bứt rứt kô thể chịu đựoc các pác ạ :lolsmilie khổ quá thể :lolsmilie mình phát hiện ra là mình kô có khả năng "read-only" ở nơi nầy :lolsmilie

Hic hic xin thưa với tác giả! trước tin tui có lời khuyên với tác giả là tác giả hãy thu lại 3 cái dòng cuối đi kô thì tí nữa lại có nhiều người vào đây rồi cười lăn cười bò ra đây kô đứng dậy được mất đấy :lolsmilie

Đọc sơ qua tui có một số nhận xét sau, mà thui mình mà nhận xét là hay làm người khác phật lòng lắm :lolsmilie thui kô nhận xét nữa mà chỉ nêu những điểm mà mình đã thấy và cho là có vấn đề nhất trong bài của bạn thui :lolsmilie

danvac wrote:
1 - Kiểm tra giao vận thong tin với bên ngoài : ở đây tôi chỉ đơn giản là dung 1 USB “sạch “ tức là không có dòng chữ AUTORUN màu đậm ở trên đầu nó . Cắm vào sau đó rút ra => cắm trở lại nếu thấy dòng chữ autorun màu đậm trên đầu USB => máy tính đã bị nhiễm worm  

Giao vận thông tin với bên ngoài cơ à :lolsmilie kêu như chuông chùa thiếu lâm ấy :lolsmilie

Kô phải là "dòng chữ AUTORUN màu đậm trên đầu nó" mà là chữ Autoplay hoặc Auto in đậm ở trên đỉnh menu hiện ra khi ta right-click lên ổ USB bạn ạ :lolsmilie

Mà hình như các tác giả worm bây giờ kô dùng loại Autorun tạo ra 2 chữ đậm ấy nữa đâu bạn danvac thân mến ạ :lolsmilie Hình như autorun bây giờ toàn toàn ăn cắp của Tàu(hoặc là có nguồn gốc từ Tàu) nên mấy chữ đó toàn lằng ngoàng do bị lỗi font :lolsmilie mà là mấy dòng loàng ngoằng chứ kô phải chỉ một dòng nên còn chẳng thấy chữ Open và Explorer đâu nữa cơ.

Thêm một chi tiết nữa là autorun có thể làm virus được kích hoạt ngay cả khi ta chọn dòng Open hoặc Explorer trên menu ấy. smilie

danvac wrote:
2 - Kiểm tra các chương trình đăng ký khởi động cùng windows :
Ta nhấn Start/run => gõ mscofig => vào tab starup

Chương trình liệt kê các phần mềm đăng ký khởi động cùng windows dung dấu kiểm bỏ chọn các chương trình mà bạn nghi ngờ ở đây là 1. exe , shel. , Exe vbkey……
về vấn đề này bạn có thể tìm trên www.google.com.vn bài viết “10 cách tự động thực thi file “để hiểu rõ hơn về vấn đề này trong bài viết tôi chỉ nêu ra cách đơn giản mà trong bài viết trên không nêu ra thôi smilie .  

:lolsmilie Kô phải là trong bài viết ấy kô nêu ra đâu bạn danvac thân mến ạ :lolsmilie mà những cái dòng được msconfig/statup liệt kê chính là những dòng trong cách thứ 7 ở bài viết ấy đấy bạn ạ :lolsmilie

10 cách wrote:
7. Ở Registry có thể là
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Something"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Something"="c:\directory\virus.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Something"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"Something"="c:\directory\Virus.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Something"="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Something"="c:\directory\virus.exe"  


Còn Process Explorer thì đúng là phát hiện ra nơi cư ngụ của con worm đang chạy như khả năng Kill Process của nó thì có vẻ kô còn hiệu quả với những con mới nữa smilie)

Cám ơn bạn đã cho tui một trận cười sảng khoái :lolsmilie có thể tối tôi sẽ đọc kỹ hơn và có ý kiến thêm :lolsmilie

Tối: thôi kô nói gì nữa smilie kô nên vùi dập những con người có tâm huyết cống hiến như thế smilie
[Up] [Print Copy]
  [Question]   Re: Chống worm lây lan qua USB 08/08/2007 02:35:33 (+0700) | #3 | 77616
danvac
Member

[Minus]    0    [Plus]
Joined: 15/03/2007 18:53:59
Messages: 71
Offline
[Profile] [PM] [MSN]
đầu tiên mình cảm ơn bạn vì đã hồi âm cho mình để mình viết bài tốt hơn nữa ^^
Mà hình như các tác giả worm bây giờ kô dùng loại Autorun tạo ra 2 chữ đậm ấy nữa đâu bạn danvac thân mến ạ Hình như autorun bây giờ toàn toàn ăn cắp của Tàu(hoặc là có nguồn gốc từ Tàu) nên mấy chữ đó toàn lằng ngoàng do bị lỗi font mà là mấy dòng loàng ngoằng chứ kô phải chỉ một dòng nên còn chẳng thấy  

nếu kích chuột phải thấy loẳng ngoẳng càng hay
[/url]
Thêm một chi tiết nữa là autorun có thể làm virus được kích hoạt ngay cả khi ta chọn dòng Open hoặc Explorer trên menu ấy.  

thật kô đấy thằng viết worm chắc là thiên tài rồi
Chương trình liệt kê các phần mềm đăng ký khởi động cùng windows dung dấu kiểm bỏ chọn các chương trình mà bạn nghi ngờ ở đây là 1. exe , shel. , Exe vbkey……
 

đúng là bài đó có ghi cách đăng ký nhưng ko có nếu ra cách tìm worm trong msconfig smilie
Cám ơn bạn đã cho tui một trận cười sảng khoái có thể tối tôi sẽ đọc kỹ hơn và có ý kiến thêm

Tối: thôi kô nói gì nữa kô nên vùi dập những con người có tâm huyết cống hiến như thế  

nếu bạn có lý đúng thì nên nêu ra cho tôi học thêm tôi cũng là newbie chỉ có kinh nghiệm làm thịt mấy con worm vớ vẩn nên chả biết gì smilie
[Up] [Print Copy]
  [Question]   Re: Chống worm lây lan qua USB 08/08/2007 04:34:31 (+0700) | #4 | 77651
[Avatar]
Look2Me
Member

[Minus]    0    [Plus]
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
[Profile] [PM]
Hi danvac!
Cách của tốt nhưng bạn phức tạp quá. Mình đang hoàn thiện 1 cái tools tự động diệt virus lây qua USB!
[Up] [Print Copy]
  [Question]   Chống worm lây lan qua USB 08/08/2007 05:49:36 (+0700) | #5 | 77679
[Avatar]
nlfb
Journalist

[Minus]    0    [Plus]
Joined: 09/07/2003 16:41:21
Messages: 1175
Location: HCM
Offline
[Profile] [PM] [Yahoo!]
Tớ đọc đến 10 cách lây nhiễm thì bỏ, bạn viết kiểu luôn tuồn, sai chính tả, đọc rối mắt, nên trình bày lại cho dễ đọc hơn. Thân smilie)
[Up] [Print Copy]
  [Question]   Re: Chống worm lây lan qua USB 08/08/2007 06:41:19 (+0700) | #6 | 77696
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Thêm một chi tiết nữa là autorun có thể làm virus được kích hoạt ngay cả khi ta chọn dòng Open hoặc Explorer trên menu ấy.  


thật kô đấy thằng viết worm chắc là thiên tài rồi  

Kô phải là thiên tài đâu mà là những tác giả trước đây kô tìm hiểu nhiều về Autorun nên kô biết hết khả năng của nó thôi. Thực ra những file Autorun đi theo worm của Tàu nó tạo ra các ký tự loằng ngoằng kô phải để che mắt người dùng mấy cái dòng Open và Explorer mà là do bên Tàu người ta toàn dùng bản Win đã được Tàu hóa (đổi tiếng Anh thành tiếng Tàu) nên 2 cái chữ ấy đều là chữ Tàu nên Autorun nó cũng Tàu hóa luôn 2 cái chữ ấy. Nhưng sang Việt Nam thì nó bị lỗi Font nên mới loằng ngoằng ghê gớm như thế --> càng dễ nhận biết là USB bị nhiễm smilie)

Đây là code của một cái Autorun có nguồn gốc từ tàu và đã được tui sửa cho hết loằng ngoàng. Với cái file Autorun.inf này thì dù click chuột phải vào ổ có nó cũng kô thấy gì khác thường smilie Dù chọn dòng Open hãy Explore virus vẫn được kích hoạt smilie) Sắp tới code này chắc chắn sẽ được mấy cha chế tác worm sử dụng nhiều nên chúng ta hãy từ bỏ kiểu kiểm tra bằng cách right-click vào ổ dần đi là vừa smilie) và cả thói quen double-click vào USB nữa smilie)
Code:
[autorun]
OPEN=VIUS.EXE
shell\open=Open
shell\open\Command=VIUS.EXE
shell\open\Default=1
shell\explore=Explore
shell\explore\Command=VIUS.EXE


Chỉ khác có vài dòng mà tạo ra sự thay đổi đáng sợ smilie-))
Mấy cha chế tác Worm chưa biết cái nầy mà vớ được chắc sướng phải biết smilie) kô biết việc mình post phát hiện này lên đây có phải là vẽ đường cho sói chạy hay kô smilie( nhất là mấy mem choi choi thích nghịch worm ở forum của Dungcoi. Thể nào anh chàng danvac kia chả mang sang đó khoe ngay smilie) Than ôi! đến là mệt smilie)
[Up] [Print Copy]
  [Question]   Chống worm lây lan qua USB 08/08/2007 07:34:33 (+0700) | #7 | 77708
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Cách tốt nhất là nhấn Ctrl+E để mở Windows Explorer, rồi chọn ổ đĩa ở Panel bên trái... hehehe smilie. Không thì để FastHelper đang chạy và double-click vào cái Flash Drive, cũng sẽ không bị gì smilie
Còn một giải pháp nữa là sử dụng explorer khác thay cho Windows Explorer.
[Up] [Print Copy]
  [Question]   Chống worm lây lan qua USB 08/08/2007 07:58:46 (+0700) | #8 | 77712
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

LeVuHoang wrote:
Cách tốt nhất là nhấn Ctrl+E để mở Windows Explorer, rồi chọn ổ đĩa ở Panel bên trái... hehehe smilie. Không thì để FastHelper đang chạy và double-click vào cái Flash Drive, cũng sẽ không bị gì smilie
Còn một giải pháp nữa là sử dụng explorer khác thay cho Windows Explorer. 


Hì trước giờ em toàn vào USB bằng Explorer (qua cái cây thư mục). Mấy lần nghe người ta bảo vào qua dòng Open hay Explorer trên cái menu nhưng em vẫn có cảm giác kô an toàn nên vẫn dùng cách kia. smilie Kô ngờ giác quan thứ sáu của mình tốt thía smilie

Kô biết Autorun có thể kích hoạt virus khi vào qua cây thư mục kô nhỉ? dù sao vẫn còn tới mấy cách để vào ổ smilie)

Run--> [tên ổ]: -->Enter cũng được

Sổ cái khung Address xuống rồi chọn ổ cũng được.

Mà mình có một cách đơn giản để kiểm tra Autorun trong các ổ như sau: Save đoạn code sau với file .bat rồi mỗi khi muốn kiểm tra chỉ việc run file bat này là nó sẽ báo ổ nào có Autorun. Bào nhiêu ổ thì bấy nhiêu dòng "@if exist..." và gõ tên ổ vào dòng tương ứng.smilie
Code:
@if exist "C:\Autorun.inf" ECHO  C co Autorun
@if exist "D:\Autorun.inf" ECHO  D co Autorun
@if exist "E:\Autorun.inf" ECHO  E co Autorun
@if exist "F:\Autorun.inf" ECHO  F co Autorun
@PAUSE

[Up] [Print Copy]
  [Question]   Re: Chống worm lây lan qua USB 15/08/2007 07:48:42 (+0700) | #9 | 78968
[Avatar]
huynhfxvn
Member

[Minus]    0    [Plus]
Joined: 21/07/2005 11:09:35
Messages: 456
Location: UET.VNU
Offline
[Profile] [PM] [Email] [Yahoo!]
1 , đút USB vào , sau đó giữ phím Shift lâu vào càng lâu càng tốt , mục đích là bỏ qua chế độ autorun
2. tạo file h.bat nội dung:
========
del c:\autorun.inf /a /f
del d:\autorun.inf /a /f
del e:\autorun.inf /a /f
del f:\autorun.inf /a /f
del g:\autorun.inf /a /f
del i:\autorun.inf /a /f
del h:\autorun.inf /a /f
del k:\autorun.inf /a /f
=======
/a : xóa file dạng ẩn
/f : xóa file dạng chỉ đọc


KHÔNG CÓ GÌ quý hơn tự do !
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|