Người thu thập chọn Destop để lưu (save) log của Mbam bằng notepad. Trong hình tên file log của MBAM trên máy :mbam - log-2011- 04-12.txt.
Đến đây người thu thập đã hoàn thành việc lưu log Mbam có chứa đường dẫn virus lây nhiễm nằm trên destop của máy rồi. Lúc này để gom mẫu, người dùng không được ấn nút Remove trên giao diện vừa quét của MBAM vì nếu nhấn nút đó, mẫu virus sẽ mất do MBAM tiêu diệt (sẽ không lấy được mẫu). Người thu thập làm theo bước 5 như sau:
Bước 5: Gom mẫu
Người thu thập chỉ việc ra Desktop mở file log MBAM lên để xem đường dẫn. Máy duymeo khi mở sẽ có log của MBAM như sau: (Trích đoạn log):
Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org
109 Database version: 6339
Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 4/12/2011 11:22:32 AM
mbam-log-2011-04-12 (11-22-31).txt Scan type: Full scan (C:\|D:\|) Objects scanned: 152233
Time elapsed: 23 minute(s), 42 second(s) Memory Processes Infected: 0
Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 1 Folders Infected: 3
Files Infected: 6
Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected:
110 (No malicious items detected)
Registry Values Infected: (No malicious items detected) Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Folders Infected:
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken. c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken. Files Infected: c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop3.rar (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken. c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop2.rar (Worm.AutoRun) -> No action taken.
111
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.rar (Worm.AutoRun.Gen) -> No action taken.
Nhìn vào một số đường dẫn bơi đỏ, người thu thấp sẽ thấy virus trú ngụ ở vị trí nào trên máy.
Lúc này người thu thập chỉ cần dùng winrar nén lên và gửi lên forum là xong.
Cách nén bằng winrar: Khi biết đường dẫn của virus trú ngụ, chẳng hạn trên máy tính là con file.exe lây tại đường dẫn C:\Documents and Settings\Nguyen Van A\file.exe
thì chỉ việc vào ổ C, theo đường dẫn đó nhấp phải chuột vạo file file.exe rồi chọn add to "file.rar" đây là người thu thập đã nén được mẫu bằng winrar.
3.2.2 Gửi mẫu đến các hãng Anti-virus
Sau khi thu thập được mẫu mã độc trên máy tính, hệ thống, người phân tích thu thâp ngồi việc tự phân tích và xử lý mẫu mà độc cịn nên gửi mẫu mã độc đó cho các tổ chức, cho các công ty Antivirus. Điều này giúp các hãng có thể cập nhật được mẫu mới. Hầu hết các hãng Antivirus đều có riêng một phần thơng tin Website để cho người dùng có thể gửi mẫu lên.
112