Nối tiếp phần 1, phần 2 của tài liệu Nghiên cứu thủ thuật khắc phục máy tính khi bị vi rút tấn công tiếp tục trình bày tổng hợp các loại virus, worm, trojan, spyware... các diệt và khôi phục máy tính bị nhiễm: Cách diệt virus W32. Randsom. A; Cách diệt W32. Redlofs; Cách diệt Spyware CompuSpy; Cách diệt Trojan. Fakemess; Cách diệt W32. Wecorl;... Mời các bạn cùng tham khảo để nắm nội dung chi tiết.
Bài TỔNG HỢP CÁC LOẠI VIRUS, WORM, TROJAN, SPYVVARE CÁCH DIỆT VÀ KHƠI PHỤC MÁY VI TÍNH BỊ NHIỄM Sau giới thiệu đến độc giả thông tin mô tả, cách diệt họ Virus, Wonn, Trojan, Spyvvare điển hình đặc trưng Bản thân chương trình diệt vừus loại bỏ, nhiên hư hại, hỏng hóc khơng phải chương trình khắc phục, Ví dụ: Có thể hiểu đơn giản tủ bếp bạn bị chuột phá hoại, gặm nhấm thân tủ, ăn thức ăn tủ Và bạn may mắn dùng bẫy bắt chuột đó, từ tủ bếp bạn an toàn nhiên làm mà bẫy khơi phục lại tình trạng ban đầu tủ? Thật khó phải khơng? Hiện nay, số chương trình diệt virus có kết hợp tính tự sửa chữa tổn hại virus gây nhiên khả không nhiều đé mục sở thị việc khơi phục bạn sử dụng chương trình sửa chữa chuyên nghịêp tự sửa chữa thủ công tay Cách diệt virus W32.Randsom.A Mô tả Phát hiện: Tháng 11 năm 2008 Tên: W32.Randsom.A Kiểu: Sâu 48 Mức độ phát tán: Lây lan Hệ thống bị ảnh hưởng:Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 Cách diệt Vào Start > Run Gõ Regedit Click chọn OK Tim xoá giá trị: HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Acti ve SetupMnstalled Components\| Y479C6DO-OTRWU5GH-S1EE- E0AC10B4E666}\"StubPath" = "%Windir%\UNINSTLV 16.exe" HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Acti ve SetupXInstalIed Components\|F146C9Bl-VMVQA9RC-NUEL-D0BA00B4E999 ÌvStubPath" = "%Windir%\UNINSTLV 16.exe" HKEY_LOCAL_MACHINE^OFTWAREMorn.exe Thoát khỏi Registry Cách diệt W32.Redlofs M ô tả Phát hiện; Tháng 11 năm 2008 Tên; W32.Redlofs Kiểu: Sâu Mức độ phát tán: 73,000 Bytes Hệ thống bị ảnh hưởng; Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 49 Cách diệt Vào Start > Run Gõ Regedit Click chọn OK Tim xoá giá trị: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CuưentVersion\Run\" 10.1.08" = "C:\WINDOWS\10.1.08.exe hlmrun" HKEY_LOCAL_MACHINE^OFTWARE\Classes\".key" = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\key Khôi phục lại giá trị ban đầu HKEY_LOCAL_MACHINEVSOFTWARE\Microsoft\Win dows NT\CuưentVersion\Winlogon\"Shell" = "Explorer.exe C:\WINDOWS\l o exe Shell" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NT\CuưentVersion\Winlogon\"Userinit" = "C:\WINDOWSM0.1.08.exe init" HKEY_USERSvS-1-5-21-1172441840-5344318571906119351500\Software\Microsoft\Windows\CuưentVersion\Policies \Explorer\"NoFolderOptions" = " 1" HKEY_USERS\S-1-5-21-1172441840-5344318571906119351500\Software\Microsoft\Windows\CuưentVersion\Policies \System\"DisableTaskMgr" = " 1" HKEY_USERS\S-1-5-21-1172441840-5344318571906119351500\Software\Microsoft\Windows\Cuưent VersionXPolicies \System\"DisableRegistryTools" " 1" HKEY_USERS\S-1-5-21-1172441840-534431857190611935150 500\Software\Microsoft\Windows\CuưentVersion\Run\"l 1.0 " = "C:\WINDOWS\lo.l.o exe hcurun" HKEY_LOCAL_MACHINEsSOFTWARE\ClassesV.bat" = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".cmd ” = "exefile" HKEY_LOCAL_MACHINEVSOFTWARE\Classes\".com " = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".hta" = "exeíile" HKEY_LOCAL_MACHINB\SOFrWARE\Classes\".js" = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".JSE" = "exefile" HKEY_LOCAL_MACHINESSOFTWARE\Classes\".msi" = "exeíile" HKEY_LOCAL_MACHINE\SOFrWARE\Classes\".pif’ = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".reg" = "exefile" HKEY_LOCAL_MACHINEVSOFTWARE\Classes\".scr" = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".VBE " = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\".vbs" = "exefile" HKEY_LOCAL_MACHINESSOFrWARE\Classes\".WSF " = "exefile" HKEY_LOCAL_MACHINE\SOFTWARE\CIasses\".WS H" = "exile" Thốt khỏi Registry 51 Cách diệt Spyware CompuSpy Mô tả Phát hiện: Tháng 11 năm 2008 Tên: CompuSpy Kiểu: Spyware Phát triển bởi; Upsilon Dynamics Mức độ nguy hiểm: Trung bình Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 Cách diệt Vào Start > Run Gõ Regedit Click chọn OK Tim xoá giá trị: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CurrentVersion\App Management\ARPCache\CompuSpy KeyLogger HKEY_LOCAL_MACHINE^OFWARE\Microsoft\Win dows\CurrentVersion\App Paths\cswin2008.exe HKEY_LOCAL_MACHINE\SOFrWARE\Microsoft\Win dows\CuưentVersion\Uninstall\CompuSpy KeyLogger HKEY_LOCAL_MACHINEsSOFTWARÊlJpsilon Dynamics HKEY_LOCAL_MACHINESSOFrWARE\UpsilonDynamics HKEY_CURRENT_U SER\Software\Microsoft\Windows\ CuưentVersion\Run\"CompuSpy KeyLogger" = "C:\Program Files\CompuSpy\cswin2008.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CuưentVersion\Run\"CompuSpy" = "C:\Program Files\CompuSpy\CompuSpy.exe" Thoát khỏi Registry 52 Cách diệt Trojan.Fakemess Mó tả Phát hiện: Tháng 11 năm 2008 Tên: Trojan.Fakemess Kiểu: Trojan Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 Cách diệt Vào Start > Run Gõ Regedit Click chọn OK Tìm xố giá trị: HKEY_LOCAL_MACHINB\SOFTWAREWIicrosoft\Win dows\CuưentVersion\policies\Explorer\run\"sasa" = "[PATH TO TROIAN]" Khôi phục giá trị gốc Registry: HKEY_LOCAL_MACHINEsSOFTWARE\Microsoft\Win dows NTVCurrentVersionHmage Eile Execution Options\360Safe.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\360rpt.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREXMicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\360tray.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREV4icrosoft\Win dows NT\CurrentVersion\Image Eile Execution 53 Options\CCenter.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage File Execution Options\IceSword.exé\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINEVSOFTWAREMVlicrosoft\Win dows NTXCurrentVersionMmage Eile Execution Options\KASMain.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NTXCurrentVersionMmage File Execution Options\KASTask.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NT\CuưentVersion\Image File Execution Options\KAV32.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTACurrentVersionMmage File Execution Options\KAVDX.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage File Execution OptionsXKA V Start.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage File Execution Options\KISLnchr.exe\"Debugger" = 54 "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image File Execution Options\KMFilter.exe\"Debugger" = '' % System %\s vchost exe" HKEY_LOCAL_MACHINEsSOFrWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile Execution OptionsXKMailMon.exeVDebugger" = ''%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NTXCuưentVersionMmage Eile Execution Options\KPFW32.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_M ACHINEvSOFrW AR^icrosoft\W in dows NTACurrentVersionMmage Eile Execution Options\KPFWSvc.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREW[icrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\KRegEx.exe\"Debugger" = "%System%\svchost.exe" H K EY _LO CA L_M A CH IN E^O FrW A R^icrosoft\W in dows NTACurrentVersionXImage Eile Execution Options\KRepair.COM\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWAREW[icrosoft\Win dows NTXCurrentVersionMmage Eile Execution Options\KVCenter.kxp\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFTWAREW[icrosoft\Win dows NTACurrentVersionMmage Eile Execution Options\KVMonXP.kxp\"Debugger" = "%System%\svchost.exe" 55 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image File Execution Optio ns\KVMonXP_l.kxp\\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile Execution Options\KVSrvXP.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREVV1icrosoft\Win dows NT\CurrentVersion\Image Eile Execution OptionsXKVStub.kxpVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Win dows NTXCurrentVersionXImage Eile Execution Options\KWatch.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWARBWIicrosoft\Win dows NTXCurrentVersionMmage Eile Execution Options\KWatch9x.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINEsSOFTWARĐMicrosoft\Win dows NT\CurrentVersion\Image Eile Execution Options\KWatchX.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINESSOFTWAREWỈicrosoft\Win dows NTXCurrentVersionMmage Eile Execution Options\KaScrScn.SCR\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^OFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile Execution OptionsXKsLoader.exeVDebugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win 56 dows NTXCurrentVersionMmage File Execution Options\KvDetect.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINEvSOFTWARE\Microsoft\Win dows NTACurrentVersionMmage Eile Execution Options\KvReport.kxp\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution Options\KvXP.kxp\"Debugger" = ''%System%\svchost.exe" HKEY_LOCAL_MACHINE>>SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution Options\KvfwMcl.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution Options\NAVSetup.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution Options\PFWLiveUpdate.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CuưentVersion\Image File Execution Options\QQDoctor.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE^SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage File Execution Options\RStray.exe\"Debugger" = "%System%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image File Execution 57 msg mxl old pl2 pak pas pdf pem pfx php php3 php4 pl prf pgp prx pst pw pwa pwl pwm pm3 pm4 pm5 pm6 rar rmr rnd rtf Safe sar sig sql tar tbb tbk tdf tgz txt uue vb vcf wab xls xml Virus sử dụng Microsoít Enhanced Cryptographic Provider vl.o (có VVindovvs) để mã hóa file Các file mã hóa thuật tốn RC4 Khóa mã hóa sau mã hóa khóa RSA public có độ dài 1024 bít nằm phần thân virus Thuật tốn mã hóa RSA chia khóa mã hóa thành hai kiểu public private Chỉ có khóa public cần thiết để mã hóa thơng báo Một thơng báo bị mã hóa giải mã khóa private Virus tạo copy mã hóa cho file gốc Copy mã hóa giữ lại tên file gốc với phần _CRYPT thêm vào cuối tên file Ví dụ: Waterpc.jpg —file gốc Waterpc.jpg._CRYPT —file mã hóa File gốc sau bị xóa 315 Virus để lại file có tên "l_READ_ME_l.txt" thư mục có chứa file mã hóa Eile gồm có nội dung sau: Yoiirfiles are encrypted with RSA-Ỉ024 algơrithm To recovery yourfiles yoii need to huy our decryptor To huy decrypting tool coníuct us at: / censoredJ@yahoo.com = = = BEGIN = = = ỊkeyJ = == E N D = = = Các file nằm thư mục Program Eiles file khơng mã hóa: Có thuộc tính "system" "hidden" Nhỏ 10 byte Lớn 734003200 byte Khi virus kích hoạt, tạo file VBS để xóa thân thân virus máy tính nạn nhân tạo MessageBox hiển thị hình: iỉi ■ ỷ K y v ữ tt» ỉịíK i< ũ f* L t» A it ^ ỉí- » C í« » ' Virus khơng tự đăng ký thân registry hệ thống Hướng dẫn khắc phục Khói phuc file Lúc này, khơng thể giải mã file mã hóa Gpcode Mặc dù vậy, bạn dùng PhotoRec để khơi phục file gốc bị xóa Gpcode sau virus tạo phiên mã hóa file Tiện ích sử dụng để khơi phục tài liệu Microsoft Office, file thực thi, tài liệu PDE TXT 316 Dưới hướng dẫn chi tiết cách khôi phục file bị xóa PhotoRec: • Sử dụng máy tính khác để dovvnload TestDisk, gồm có PhotoRec • Lưu PhotoRec vào ổ dĩa kết nối ổ đĩa với máy tính bị tiêm nhiễm (Gpcode.ak khơng thể lây nhiễm tự xóa sau khởi chạy) • Chạy PhotoRec (file photorec_win.exe nằm thư mc win ca TestDisk): ãằ W:VIôliiWt-ớ.10-WIPVwin Rle E t View Favoằrtôs ^ Tools heip T 5âatch {i PQders ' è W;Vtwtdsớv6.10-WlP\vỏn My ựccjmwt5 5f.arôd C*ôxuMeftt5 ã M y p' My Networí' Haces (estchsk_Mn.e3ce Chọn ổ đĩa mục tiêu để PhotoRec tìm kiếm file nhấn ENTER để tiếp tục: 317 Nếu bạn có nhiều ổ đĩa hệ thống, thực bước cho ổ đĩa (nghĩa khôi phục file từ ổ đĩa, bạn phải lặp lại trình cho ổ đĩa tiếp theo) • Chọn kiểu bảng partition (điển hình 'Intel') nhấn ENTER để tiếp tục ỉ ị W:\ỉHl iitty :/Ả M M C S « c u rU v o r9 r ì ỉk I /ixv/sỊ» pạrtitien 18 CB / la CiB C:\>wsl*p.ex« J c « « l 1^ N r U V««r7(itinst.JPC aim «ĩXặcc^rypt«4^4wi« „P?9ĩtt31>8 tĩNdcerviKỉttlXttttH.rTIMMSk^ÌMÌ I ly mc ỳvartH^ ã ;v * H c r ô M C * d ^ l« jr » ltÌ H J I > R C f t¥ r ĩ I ty èBKvvaryaè "" - ^f*ônrirtã4'4m4_rWi#lu.iTC cwrT ãSôcryfM c4NM ằlô J * « ỉi3 i m I ty Kacvypyd ô;^(*cryirtôdMMitH ãMsnry.4oc, CWIt t\ ằ ct^ \m ' isô4tcpyirte4vôằH ằôl.w.ằCWP? ãCNộôcrytô*4\wn9^ct