Cảnh báo một loại virus mới chưa có thuốc chữa.
Trang 1 trong tổng số 1 trang
Cảnh báo một loại virus mới chưa có thuốc chữa.
vanhungle Sun Apr 04, 2010 5:46 pm
Trong thời gian gần đây, xuất hiện một loại virus có khả năng “qua mặt” được các chương trình chống virus.
Người viết bài này đã thử sử dụng các chương trình chống virus mạnh như Norton Antivirus, Kaspersky, … hay BKAV (tất cả đều được cập nhật mới nhất), đều không phát hiện được loại virus này. Khi quét với CMC Internet Security 2010 thì chỉ phát hiện và diệt được trên ổ đĩa USB (USB Flash drive) mà không thể diệt virus gốc trên máy tính. CMC Internet Security 2010 nhận diện loại virus này với tên gọi Heur-Win32.FakeFolder.
1. Đặc điểm, nhận dạng và cơ chế hoạt động:
- Đây là loại virus lây lan rất nhanh qua ổ đĩa USB. Người sử dụng chép tài liệu vào ổ đĩa USB, nhưng khi đưa vào máy tính để sử dụng thì không làm việc được.
- Trên ổ đĩa USB bị nhiễm, nếu bật chế độ hiện file ẩn (show hidden files) sẽ thấy có một thư mục mang tên USB 2.0 driver (dung lượng 0 byte). Ngoài ra virus này làm ẩn tất cả các thư mục hiện có trên ổ đĩa USB, và thay vào đó bằng các thư mục trùng tên với các thư mục bị ẩn. Thực chất đây không phải là các thư mục mà là các tập tin virus (có phần mở rộng .exe, tất cả đều có dung lượng là 171 KB) nhằm đánh lừa người sử dụng (điều này giải thích tại sao người sử dụng không thể mở thư mục chứa tài liệu được)
- Khi người sử dụng (do nhầm tưởng đây là thư mục chứa tài liệu) doubleclick để mở thư mục, tập tin virus được kích hoạt. Virus sẽ xâm nhập vào ổ đĩa cứng máy tính, tạo nên một tập tin có tên là update.exe và đặt nó vào đường dẫn sau: C:\Documents and Settings\[Tên người sử dụng]\Local Settings\Application Data\Start\update.exe , tập tin này có dung lượng 171 KB.
- Sau đó, virus chiếm quyền điều khiển máy tính: Disable khả năng bật tắt System Restore (gây khó khăn cho việc xử lý virus), tạo và đặt một khóa mục (key) trong Registry nhằm can thiệp vào quá trình khởi động máy tính. Khi máy tính khởi động, tập tin update.exe được nạp.
- Lúc máy tính làm việc, virus này trú mình không hoạt động, do đó nó thoát được quy trình kiểm tra của các chương trình chống virus. Chỉ khi nào người sử dụng cắm ổ đĩa USB vào máy tính, chương trình virus mới hoạt động.
- Dĩ nhiên, khi virus hoạt động là lúc chương trình diệt virus phát hiện được (nếu thư viện virus được cập nhật đầy đủ). Tuy nhiên, loại virus này có khả năng tự nhân bản nhanh chóng mỗi khi bị diệt. Quan sát cách xử lý của chương trình CMC Internet Security 2010 (là chương trình duy nhất tính đến thời điểm này phát hiện được loại virus này), người viết nhận thấy cứ một process của virus bị chặn thì process khác xuất hiện, và cứ liên tục như thế. Kết quả là virus vẫn tồn tại và hoạt động trên máy tính.
2. Cách diệt loại virus này:
Cho đến giờ phút này, các chương trình chống virus không thể nhận diện hoặc không thể diệt được loại virus này. Người viết bài này đã sử dụng cách sau để diệt được loại virus này:
- Sử dụng một chương trình chạy trong môi trường Ms-Dos có thể đọc được dữ liệu trên phân vùng có định dạng NTFS (do hiện nay đại đa số sử dụng định dạng này). Người viết đã sử dụng chương trình Volkov Commander có trong CD Hiren’s Boot (có bán tại các cửa hàng bán CD phần mềm).
Khởi động máy tính bằng CD Hiren’s Boot, chạy chương trình Volkov Commander. Tìm theo đường dẫn trên ổ đĩa C:\Documents and Settings\[Tên người sử dụng]\ Local Settings\Application Data\Start\update.exe. Xóa tập tin update.exe.
- Khởi động lại máy tính. Sau khi khởi động máy tính, hệ điều hành có thể sẽ báo lỗi không tìm thấy tập tin update.exe (do đã bị xóa). Bạn yên tâm. Làm thêm bước sau:
- Bấm Start =>Run. Gõ: regedit, bấm Enter. Registry là khu vực huyết mạch của máy tính, do đó cần cẩn thận khi thực hiện các thay đổi. Vào menu Find, gõ vào hộp tìm kiếm: update.exe để chương trình tìm kiếm làm việc. Khi đã tìm thấy nhánh update (nằm trong nhánh Start), bạn xóa toàn bộ nhánh này (click nút phải chuột vào nhánh update, bấm Delete). Đóng cửa sổ Registry.
- Nếu cẩn thận hơn, bạn bấm Start => Run. Gõ msconfig, sau đó Enter. Đây là nơi hiển thị các tác vụ được nạp khi máy tính khởi động. Bấm vào thẻ Startup, tìm đến mục update. Bỏ dấu chọn trước mục này. Bấm OK. Chương trình yêu cầu khởi động lại máy tính.
Sau khi máy tính khởi động, bạn download chương trình CMC Antivirus (vào Google, gõ CMC Antivirus, sẽ tìm được trang chủ CMCLab) và cài vào máy tính, update thư viện virus và quét kiểm tra toàn bộ máy tính.
- Sau đó, bạn cắm ổ đĩa USB vào. Cho quét ổ đĩa USB bằng chương trình CMC Antivirus để diệt hết các file virus trên ổ đĩa này. Xóa luôn thư mục USB 2.0 driver.
- Sau khi quét sạch virus, bạn sẽ không thấy các thư mục tài liệu trên ổ đĩa USB, do đã bị virus thiết lập thuộc tính ẩn. Nếu số lượng thư mục ít, bạn có thể sử dụng lệnh cmd attrib –h –s để cho hiện lại. Tuy nhiên, cách nhanh nhất và dành cho người không chuyên là sử dụng công cụ FixAttrb của BKAV (vào Google gõ tìm FixAttrb). Chạy chương trình này, chỉ định ổ đĩa USB để chương trình thay đổi thuộc tính của các thư mục.
Dấu hiệu cho thấy máy tính đã sạch virus này:
- Lưu ý bật chế độ hiển thị file ẩn trên máy tính.
- Cắm ổ đĩa USB flash vào.
- Nếu không thấy xuất hiện thư mục USB 2.0 driver, các thư mục không bị nhân thành hai loại (một ẩn và một hiện).
- Kết luận: Quá trình diệt thành công!!!
Nghiên cứu và trình bày: Lê Văn Hùng, ngày 03-04-2010
Người viết bài này đã thử sử dụng các chương trình chống virus mạnh như Norton Antivirus, Kaspersky, … hay BKAV (tất cả đều được cập nhật mới nhất), đều không phát hiện được loại virus này. Khi quét với CMC Internet Security 2010 thì chỉ phát hiện và diệt được trên ổ đĩa USB (USB Flash drive) mà không thể diệt virus gốc trên máy tính. CMC Internet Security 2010 nhận diện loại virus này với tên gọi Heur-Win32.FakeFolder.
1. Đặc điểm, nhận dạng và cơ chế hoạt động:
- Đây là loại virus lây lan rất nhanh qua ổ đĩa USB. Người sử dụng chép tài liệu vào ổ đĩa USB, nhưng khi đưa vào máy tính để sử dụng thì không làm việc được.
- Trên ổ đĩa USB bị nhiễm, nếu bật chế độ hiện file ẩn (show hidden files) sẽ thấy có một thư mục mang tên USB 2.0 driver (dung lượng 0 byte). Ngoài ra virus này làm ẩn tất cả các thư mục hiện có trên ổ đĩa USB, và thay vào đó bằng các thư mục trùng tên với các thư mục bị ẩn. Thực chất đây không phải là các thư mục mà là các tập tin virus (có phần mở rộng .exe, tất cả đều có dung lượng là 171 KB) nhằm đánh lừa người sử dụng (điều này giải thích tại sao người sử dụng không thể mở thư mục chứa tài liệu được)
- Khi người sử dụng (do nhầm tưởng đây là thư mục chứa tài liệu) doubleclick để mở thư mục, tập tin virus được kích hoạt. Virus sẽ xâm nhập vào ổ đĩa cứng máy tính, tạo nên một tập tin có tên là update.exe và đặt nó vào đường dẫn sau: C:\Documents and Settings\[Tên người sử dụng]\Local Settings\Application Data\Start\update.exe , tập tin này có dung lượng 171 KB.
- Sau đó, virus chiếm quyền điều khiển máy tính: Disable khả năng bật tắt System Restore (gây khó khăn cho việc xử lý virus), tạo và đặt một khóa mục (key) trong Registry nhằm can thiệp vào quá trình khởi động máy tính. Khi máy tính khởi động, tập tin update.exe được nạp.
- Lúc máy tính làm việc, virus này trú mình không hoạt động, do đó nó thoát được quy trình kiểm tra của các chương trình chống virus. Chỉ khi nào người sử dụng cắm ổ đĩa USB vào máy tính, chương trình virus mới hoạt động.
- Dĩ nhiên, khi virus hoạt động là lúc chương trình diệt virus phát hiện được (nếu thư viện virus được cập nhật đầy đủ). Tuy nhiên, loại virus này có khả năng tự nhân bản nhanh chóng mỗi khi bị diệt. Quan sát cách xử lý của chương trình CMC Internet Security 2010 (là chương trình duy nhất tính đến thời điểm này phát hiện được loại virus này), người viết nhận thấy cứ một process của virus bị chặn thì process khác xuất hiện, và cứ liên tục như thế. Kết quả là virus vẫn tồn tại và hoạt động trên máy tính.
2. Cách diệt loại virus này:
Cho đến giờ phút này, các chương trình chống virus không thể nhận diện hoặc không thể diệt được loại virus này. Người viết bài này đã sử dụng cách sau để diệt được loại virus này:
- Sử dụng một chương trình chạy trong môi trường Ms-Dos có thể đọc được dữ liệu trên phân vùng có định dạng NTFS (do hiện nay đại đa số sử dụng định dạng này). Người viết đã sử dụng chương trình Volkov Commander có trong CD Hiren’s Boot (có bán tại các cửa hàng bán CD phần mềm).
Khởi động máy tính bằng CD Hiren’s Boot, chạy chương trình Volkov Commander. Tìm theo đường dẫn trên ổ đĩa C:\Documents and Settings\[Tên người sử dụng]\ Local Settings\Application Data\Start\update.exe. Xóa tập tin update.exe.
- Khởi động lại máy tính. Sau khi khởi động máy tính, hệ điều hành có thể sẽ báo lỗi không tìm thấy tập tin update.exe (do đã bị xóa). Bạn yên tâm. Làm thêm bước sau:
- Bấm Start =>Run. Gõ: regedit, bấm Enter. Registry là khu vực huyết mạch của máy tính, do đó cần cẩn thận khi thực hiện các thay đổi. Vào menu Find, gõ vào hộp tìm kiếm: update.exe để chương trình tìm kiếm làm việc. Khi đã tìm thấy nhánh update (nằm trong nhánh Start), bạn xóa toàn bộ nhánh này (click nút phải chuột vào nhánh update, bấm Delete). Đóng cửa sổ Registry.
- Nếu cẩn thận hơn, bạn bấm Start => Run. Gõ msconfig, sau đó Enter. Đây là nơi hiển thị các tác vụ được nạp khi máy tính khởi động. Bấm vào thẻ Startup, tìm đến mục update. Bỏ dấu chọn trước mục này. Bấm OK. Chương trình yêu cầu khởi động lại máy tính.
Sau khi máy tính khởi động, bạn download chương trình CMC Antivirus (vào Google, gõ CMC Antivirus, sẽ tìm được trang chủ CMCLab) và cài vào máy tính, update thư viện virus và quét kiểm tra toàn bộ máy tính.
- Sau đó, bạn cắm ổ đĩa USB vào. Cho quét ổ đĩa USB bằng chương trình CMC Antivirus để diệt hết các file virus trên ổ đĩa này. Xóa luôn thư mục USB 2.0 driver.
- Sau khi quét sạch virus, bạn sẽ không thấy các thư mục tài liệu trên ổ đĩa USB, do đã bị virus thiết lập thuộc tính ẩn. Nếu số lượng thư mục ít, bạn có thể sử dụng lệnh cmd attrib –h –s để cho hiện lại. Tuy nhiên, cách nhanh nhất và dành cho người không chuyên là sử dụng công cụ FixAttrb của BKAV (vào Google gõ tìm FixAttrb). Chạy chương trình này, chỉ định ổ đĩa USB để chương trình thay đổi thuộc tính của các thư mục.
Dấu hiệu cho thấy máy tính đã sạch virus này:
- Lưu ý bật chế độ hiển thị file ẩn trên máy tính.
- Cắm ổ đĩa USB flash vào.
- Nếu không thấy xuất hiện thư mục USB 2.0 driver, các thư mục không bị nhân thành hai loại (một ẩn và một hiện).
- Kết luận: Quá trình diệt thành công!!!
Nghiên cứu và trình bày: Lê Văn Hùng, ngày 03-04-2010
vanhungle- Technician
- Tổng số bài gửi : 15
Join date : 22/01/2010
Age : 66
Similar topics» Chữa mù mắt
» CHÚA LÀ ĐỜI CON
» VỀ VỚI CHÚA THÔI
» Bài thơ chữ thập về Tình Chúa
» MẾN CHÚA, THƯƠNG MẸ ĐƯỢC YÊU EM
» CHÚA LÀ ĐỜI CON
» VỀ VỚI CHÚA THÔI
» Bài thơ chữ thập về Tình Chúa
» MẾN CHÚA, THƯƠNG MẸ ĐƯỢC YÊU EM
Trang 1 trong tổng số 1 trang
Permissions in this forum:
Bạn không có quyền trả lời bài viết|
|
|
» Internet Download Manager
» Film hot Elysium-Ky Nguyen
» Thiền Dân Gian - Nguyễn Bảo Sinh
» THÁNG MÂN CÔI VỀ
» Chữa mù mắt
» Bay xa mảnh hồn
» Mưa cô liêu.
» Viếng Cụ Nguyễn Du