1. Trang chủ
  2. » Giáo án - Bài giảng

Ebook Tự khắc phục máy khi bị vi rút tấn công: Phần 2 - NXB Văn hóa Thông tin

177 41 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 177
Dung lượng 19,18 MB

Nội dung

Nối tiếp phần 1, phần 2 sách tiếp tục chia sẻ tới bạn cách tự khắc phục máy khi bị vi rút tấn công ở các mảng nội dung sau: Cách diệt virus W32.WowinziA; cách diệt virus downloader.lozavita; cách diệt trojan.dipian; cách diệt virus W32.mariofev.A; cách diệt virus backdoor robofo A; cách diệt virus WinCE.Infomeit; cách diệt virus W32.SpybotLAVEN; cách diệt virus W32.Imaut... Mời các bạn cùng tìm hiểu.

3 Qt tồn hệ thống Xố giá trị ghi vào Registry Cách diệt Click vào Start > Run Gõ Regedit Chọn OK Tìm xóa giá trị: HKEY_LOCAL_MACHINENSOFTWARESMicrosoft\Win dows\CuưentVersion\policies\Explorer\run\"myccgj" = "rundll32.exe %System%\mycc080406.dll bgdll" Thoát khỏi Registry 60 Cách diệt virusInfosteaier.Fertippy Mô tả Phát hiện: Ngày 12 tháng năm 2008 Cập nhật: 12 tháng năm 2008 (4:35:20 PM) Kiểu; Trojan Hệ thống bị ảnh hưởng:Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 Chú ý: Những dẫn sau gắn liền với sản phẩm diệt Vừus Symantec thời gần đây, bao gồm chương trình diệt Vừus Symantec mặt hàng diệt virus Norton Tắt chế độ System Restore (Windows Me/XP) Cập nhật chương trình diệt virus Qt tồn hệ thống Xoá giá trị ghi vào Registry 153 Cách diệt Click vào Start > Run Gõ Regedit Chọn OK Tim xóa giá trị: HKEY_USERS\S-1 -5-21 -2022063256-13424056501969242035500\Software\Microsoft\Windows\CurrentVersion\Internet Setlings\"GlobalUserOffline" = "0" HKEY_LOCAL_MACHINBSYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\FirevvallPolicy\Standar dProfile\ AuthorizedApplications\List\"[PATH TO TROiAN]" = "[PATH TO TROJAN]:*:Enabled:ipsec" Thốt khỏi Registry 61 Cách diệt Virus W32.Wowinzi.A Mơ tả Phát hiện: Ngày tháng nãiTi 2008 Cập nhật; Ngày tháng 2008 (11:02:13 AM) Kiểu; Trojan, Virus Mức độ phát tán: 28,301 38,400 Bytes Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 Chủ ý: Symantec khuyến cáo người dùng làm việc sau bị nhiễm virus: Tắt chức khôi phục hệ thống (Windows Me/XP) Cập nhật chương trình diệt virus Chạy qt tồn hệ thống Xóa giá trị ghi vào Registry 154 Loại bỏ thư mục có khả làm lây lan đến thư mục khác Cách diệt Chủ ý: Symantec khuyến cáo người dùng lưu Registry trước có thay đổi Vào Start > Run Gõ Regedit Click OK Chú ý: Nếu việc truy xuất vào Registry thất bại, bạn vào link sau để tải cơng cụ: http://tinvurl.comAVowinzi Tim xoá giá trị: HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\"Shell" = "%System%\Rundll32.exe %System%\shell32.dll Control_RunDLL %Temp%\dat[RANDOM HEX NUMBER].tmp" HKEY_LOCAL_MACHINE\SOFTWAR^ata\Config\" http://winzipices.en/i.exe" = "http://winzipices.en/l.exe" HKEY_CURRENT_USER\_reg\"SheH" = "%System%\Rundll32.exe %System%\shell32.dll ControLRunDLL %Temp%\dat[RANDOM D IG HEX NUMBER].tmp" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Desktop\"RxMru" = [BINARY DATA] HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Desktop\"mrulist" =" %Temp%Vlat[RANDOM DIGIT HEX NUMBER].tmp" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Desktop\"sysfile" = "%System%\l exe" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID \{ E25C29AB-12B9-4523-A53C155 324B5FBA648C}\InProcServer32\"(Default Value)" = "%Temp%\dat[RANDOM HEX NUMBER].tmp" HKEY_LOCAL_MACHINE\SOFTWARE^icrosoft\Win dows\CuưentVersion\Explorer\ShellExecuteHooks\" {E25 C29AB-12B9-4523-A53C-324B5EBA648C}" = "0" Thoát khỏi Registry 62 Cách diệt Virus Downỉoader.Lozavita Mô tả Phát hiện: Ngày tháng 2008 Cập nhật: Ngày tháng 2008 (7:17:00 AM) Kiểu: Trojan Mức độ phát tán: 43,520 Bytes Hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Wứidow.s 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Chú ý: Symantec khuyến cáo người dùng làm việc sau bị nhiễm virus Tắt chức khôi phục hệ thống (Windows Me/XP) Cập nhật chương trình diệt virus Chạy qt tồn hệ thống Xóa giá trị ghi vào Registry Loại bỏ thư mục có khả làm lây lan đến thư mục khác Cách diệt Chú ý: Symantec khuyến cáo người dùng lưu Registry trước có thay đổi Vào Slart > Run Gõ Regedit 156 Click OK Chú Nếu việc truy xuất vào Registry thất bại bạn vào link sau để tải cơng cụ; http://tinvurl.com/Lozavita Tim xoá giá trị; HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows N1\CurrentVersion\Image File Execution\Options\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWAREWIicrosoft\Win dows NT\CurrentVersion\Image Eile Execution\Options\360rpt.exeV'Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHỮ4E\SOFTWAREWlicrosoft\Win dows NT\CurrentVersion\Image Eile Execution\Options\360Safe.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINEvSOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution\Options\360tray.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution\Options\adam.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE^OFTWAREvMicrosoft\Win dows NTXCurrentVersionMmage Eile Execution\Options\AgentSvr.exé\"Debugger" = "% System%\vista A A exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage Eile Execution\Options\AppSvc32.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Win 157 dows NT\CurrentVersion\Image File Execution\Options\autoruns.exe\"Debugger" = ”%System%\vistaAA.exe" HKEY_LOCAL_M ACHINE\SOFTW AR^icrosoft\W in dows NTsCurrentVersionMmage Eile Execution\Options\avgrssvc.exé\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINEsSOFTWARE\Microsoft\Win dows NTXCurrentVersionXImage Eile Execution\Options\AvMonitor.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image Eile Execution\Options\avp.com\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINEsSOFrWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution\Options\avp.exe\"Debugger" = "% System %\vistaAA exe " HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NTACurrentVersionXImage Eile Execution\Options\CCenter.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionXImage Eile Execution\Options\ccSvcHst.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTACuưentVersionMmage Eile Execution\Options\FileDsty.exe\"Debugger" = ”%System%\vistaAA.exe" HKE Y_LOCAL_M ACHINE\SOFTW ARE\Microsoft\W in dows NTvCurrentVersionMmage Eile Execution\Options\FrCleanerShell.exe\"Debugger" = 158 "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image File Execution\Options\HijackThis.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image File Execution\Options\IceSword.exe\"Debugger" = "%System%\vistaAA.exe” HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution\Options\iparmo.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution\Options\Iparmor.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image Eile Execution\Options\isPwdSvc.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTvCuưentVersionMmage File Execution\Options\kabaload.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINESSOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage File Execution\Options\KaScrScn.SCR\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINEsSOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage File Executiori\Options\KASMain.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win 159 dows NTXCurrentVersionMmage File Execution\Options\KASTask.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFrWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution\Options\KAV32.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE^OFTWARB\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution\Options\KAVDX.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image Eile Execution\Options\KAVPFW.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINBSOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image File Execution\Options\KA V Setup.exeVDebugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage File Execution\Options\KA V Start.exeVDebugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTvCuưentVersionMmage File Execution\Options\KlSLnchr.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage File Execution\Options\KMailMon.exe\"Debugger" = "% System %\vistaAA exe " HKEY_LOCAL_MACHINEsSOFTWARE\Microsoft\Win dows NTXCuưentVersionMmage File Execution\Options\KMFilter.exe\"Debugger" = 160 "%System%\vistaAA.exe" HKEY_LOCAL_MACHINEVSOFTWAREVvlicrosoft\Win dows NT\CurrentVersion\Image File Execution\Options\KPFW32.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionXImage Eile fixecution\Options\KPFW32X.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFrWARĐ\Microsoft\Win dows NTACurrentVersionMmage File Execution\Options\KPFWSvc.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINEVSOFTWARĐvMicrosoft\Win dows NTXCurrentVersionMmage File Execution\Options\KRegEx.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NTXCurrentVersionMmage File Execution\Options\KRepair.COM\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image File Execution\Options\KsLoader.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWAREsMicrosoft\Win dows NTXCurrentVersionMmage File Execution\Options\KVCenter.kxp\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHlNE\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Image File Execution\Options\KvDetect.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win 161 dows NT\CurrentVersion\Image File Execution\Options\KvfwMcl.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINEVSOFTWARE\Microsoft\Win dows NT\CuưentVersion\Image Eile Execution\Options\KVMonXP.kxp\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTVCurrentVersionMmage Eile Execution\Options\KVMonXP_l.kxp\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINEsSOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution\Options\kvol.exe\"Debugger" = "%System %\vi staA A exe" HKEY_LOCAL_MACHINE?\SOFTWAREXMicrosoft\Win dows NT\CurrentVersion\Image Eile Execution\Options\kvolself.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows NTXCurrentVersionMmage Eile Execution\Options\KvReport.kxp\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_M ACHINE\SOFTW ARE\Microsoft\Win dows NTXCuưentVersionXImage Eile Execution\Options\KVSrvXP.exe\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE^OFTWARE\Microsoft\Win dows NlXCuưentVersionMmage Eile Executiori\Options\KVStub.kxp\"Debugger" = "%System%\vistaAA.exe" HKEY_LOCAL_MACHINE\SOFTWARESMicrosoft\Win dows NT\CuưentVersion\Image Eile Execution\Options\kvupload.exe\"Debugger" = í 162 msg mxl old pl2 pak pas pdf pem pfx php php3 php4 pl prf pgp prx pst pw pwa pwl pwm pm3 pm4 pm5 pm6 rar rmr rnd rtf Safe sar sig sql tar tbb tbk tdf tgz txt uue vb vcf wab xls xml Virus sử dụng Microst Enhanced Cryptographic Provider vl.o (có VVindovvs) để mã hóa file Các file mã hóa thuật tốn RC4 Khóa mã hóa sau mã hóa khóa RSA public có độ dài 1024 bít nằm phần thân virus Thuật tốn mã hóa RSA chia khóa mã hóa thành hai kiểu public private Chỉ có khóa public cần thiết để mã hóa thơng báo Một thơng báo bị mã hóa giải mã khóa private Virus tạo copy mã hóa cho file gốc Copy mã hóa giữ lại tên file gốc với phần _CRYPT thêm vào cuối tên file Ví dụ: Waterpc.jpg —file gốc Waterpc.jpg._CRYPT —file mã hóa File gốc sau bị xóa 315 Virus để lại file có tên "l_READ_ME_l.txt" thư mục có chứa file mã hóa Eile gồm có nội dung sau: Yoiirfiles are encrypted with RSA-Ỉ024 algơrithm To recovery yourfiles yoii need to huy our decryptor To huy decrypting tool coníuct us at: / censoredJ@yahoo.com = = = BEGIN = = = ỊkeyJ = == E N D = = = Các file nằm thư mục Program Eiles file khơng mã hóa: Có thuộc tính "system" "hidden" Nhỏ 10 byte Lớn 734003200 byte Khi virus kích hoạt, tạo file VBS để xóa thân thân virus máy tính nạn nhân tạo MessageBox hiển thị hình: iỉi ■ ỷ K y v ữ tt» ỉịíK i< ũ f* L t» A it ^ ỉí- » C í« » ' Virus khơng tự đăng ký thân registry hệ thống Hướng dẫn khắc phục Khói phuc file Lúc này, khơng thể giải mã file mã hóa Gpcode Mặc dù vậy, bạn dùng PhotoRec để khơi phục file gốc bị xóa Gpcode sau virus tạo phiên mã hóa file Tiện ích sử dụng để khôi phục tài liệu Microsoft Office, file thực thi, tài liệu PDE TXT 316 Dưới hướng dẫn chi tiết cách khơi phục file bị xóa PhotoRec: • Sử dụng máy tính khác để dovvnload TestDisk, gồm có PhotoRec • Lưu PhotoRec vào ổ dĩa kết nối ổ đĩa với máy tính bị tiêm nhiễm (Gpcode.ak khơng thể lây nhiễm tự xóa sau khởi chạy) • Chạy PhotoRec (file photorec_win.exe nằm thư mục win TestDisk): ằ W:VIôliiWt-ớ.10-WIPVwin Rle E t View Favoằrtôs ^ Tools heip T 5©atch {i PQÍders ' Ì W;Vtwtdsív6.10-WlP\ván My ựccjmwt5 5f.arôd C*ôxuMeftt5 M y p' My Networớ' Haces (estchsk_Mn.e3ce Chọn ổ đĩa mục tiêu để PhotoRec tìm kiếm file nhấn ENTER để tiếp tục: 317 Nếu bạn có nhiều ổ đĩa hệ thống, thực bước cho ổ đĩa (nghĩa khôi phục file từ ổ đĩa, bạn phải lặp lại trình cho ổ đĩa tiếp theo) • Chọn kiểu bảng partition (điển hình 'Intel') nhấn ENTER để tiếp tục ỉ ị W:\ỉHl iitty :/Ả M M C S « c u rU v o r9 r ì ỉk I /ixv/sỊ» pạrtitien 18 CB / la CiB C:\>wsl*p.ex« J c « « l 1^ N r U V«ôr7(itinst.JPC aim ôXcc^ryptô4^4wiô P?9tt31>8 tNdcerviKttlXttttH.rTIMMSk^èMè I ly mc ỳvartH^ ;v * H c r « M C * d ^ l« jr » ltÌ H J I > R C f t¥ r ĩ I ty ÌBKvvary ™ "" - ^f*ônrirt4'4m4_rWi#lu.iTC cwrT SôcryfM c4NM ằlô J * « ỉi3 i m I ty KacÃvypyd «;^(*cryirt«dMMitH •Msnry.4oc, CWIt ềt\ầ » ct^ \m ' is«4tcpyirte4v«»H ằôl.w.ằCWP? CNộôcrytô*4\wn9^ct

Ngày đăng: 29/01/2020, 23:43

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN