hi chào em
May của em diệt bang cách nào với con vi rút do
em đọc bài o cái link "http://www.xahoithongtin.com.vn/index.asp?subjectID=7284"
để xem em diệt đúng không
thân
Heehehehe
Cảnh giác với virut qua tin nhắn "lạ"
--------------------------------------------------------------------------------
Ngày 11 tháng 4 năm 2006
XHTTWebsite: Sáng thứ 2 đầu tuần, Dương đến cơ quan mở Yahoo Messenger và nhận được tin 1 tin nhắn từ người quen với nội dung:
"Mong moi nguoi co mat tren mang hay gui tin nay den cho moi nguoi ung ho cung toi trong quy~ nguoi ngheo ------------------------http://www.freewebtown.com/cuchuoi135/Musicplayer.exe"
Tôi hay bất cứ ai nhận đc những mẩu tin đại loại ủng hộ người ngh232o, chất độc da cam, hay nạn nhận nọ nạn nhân kia đều phải quan tâm tới nó. Nhưng giật mình nhìn lại thì theo thói quen nghề nghiệp nhận ra link kia có vẻ không đảm bảo (vì trong link có những từ ngữ không bình thường, nhiều khả năng chứa virut).
Quả thực ngay hôm sau nhận thấy một số người bạn trong danh sách bạn chat của tôi thông báo bị gửi những đường link lạ qua tin nhắn Messenger, kích vào những link đó lúc không ra trang gì, lúc dẫn đến những trang vô nghĩa hoặc có nội dung không lành mạnh của nước ngoài. điều đó làm tôi rất bức xúc, vì trong danh sách của Yahoo Messenger ngoài những người bạn ngang bằng tuổi tác còn có những đối tác công việc, cấp trên. Virut lây lan theo đường này có thể gây ra những hiểu lầm không đáng có.
Vì thế tôi phải xác minh lại nó. Bấm vào dòng link kia nó hỏi ta tải xuống máy 1 chương trình có tên là Musicplayer.exe. Sau khi đã chạy chương trình tôi nhận thấy trong thư mục %SYSTEM% của máy xuất hiện thêm 2 file lạ đó là: ntvdscm.exe và ntvdscm.dll Nghĩa là khi ta chạy Musicplayer.exe thì trong máy sẽ bị thêm 2 vị khách không mời kia và còn được kích hoạt ntvdscm.exe hộ mình. Và nó viết thêm vào Registry tại HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices với 1 value là ntvdscm=%SYSTEM%\ntvdscm.exe để mỗi lần mở máy lên nó là ứng dung được kích hoạt
I - Cách phát hiện "thủ phạm":
1. Chạy một chương trình phát hiện và diệt Keylogger như: ở đây sử dụng chương trình Keylogger Killer 1.5 để kiểm tra xem có chương trình nào đang hook keyboard không (ghi lại sự hoạt động của bàn phím). Bạn sẽ thấy ngay trên màn hình thông báo là NTVDSCM.DLL đang "hook" bàn phím, nghĩa là những gì ta bấm trên bàn phím nó sẽ lưu lại mọi hoạt động. Không còn nghi ngờ gì nữa NTVDSCM.DLL là một "vị khách" không mời.
2. Kiểm tra xem ai là người "giới thiệu" vị khách này tới.
Theo kinh nghiệm thì tất cả những spyware (phần mềm gián điệp) này luôn pack để tự giấu bản thân vì thế ta phải debug hoặc đọc nội dung từ Entire Memory.
Hãy sử dụng WinHex giúp ta đọc nội dung trong Entire Memory nhanh chóng.
- Khởi động WinHex.
- Chọn menu Tools rồi chọn lệnh Open RAM
- Tìm đến vị khách kia (đó là Ntvdscm). Bấm vào nó rồi chọn Entire Memory rồi chọn OK.
- Theo kinh nghiệm thì keylog luôn phải gửi về 1 email nào đó qua 1 SMTP. Vì thế ta sẽ tìm trong Entire Memory để thấy đoạn đó.
=> Và cuối cùng các bạn dễ dàng tìm được đoạn email của thủ phạm đó với lệnh tìm kiếm (Nhấn Ctrl+F tìm cụm từ @yahoo hoặc @gmail ... hoặc gì đó tùy theo ý tưởng của bạn)
Trong ví dụ trên tôi đã tìm ra thủ phạm đã dùng SMTP của Google để gửi nội dung về email
anhcodonnganlantruocbien@gmail.com và
anh_codonnganlantruocbien@yahoo.com Đây là 1 hành động thiếu ý thức cần phải lên án, đặc biệt khi thủ phạm đã sử dụng "mánh" ủng hộ vì người ngh232o gợi lòng nhân đạo của mọi người nhằm phát tán virut.
địa chỉ download phần mềm Keylogger Killer 1.5 tại đây và phần mềm Winhex tại đây
II - Cách xử lý "vị khách" không mời:
Cách xử lý sau đây hết sức đơn giản bạn sử dụng những công cụ sẵn có trong windows.
- Bấm vào nút Start chọn lệnh Run.
- Gõ Notepad rồi nhấn OK để mở chương trình soạn thảo văn bản Notepad của Windows.
- Copy đoạn text sau đây vào notepad:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"ntvdscm"=""
- Trong cửa sổ Notepad bấm menu File chọn lệnh Save as...
- Cửa sổ Save As xuất hiện. Bấm vào nút Desktop ở bên trái để lưu nội dung ra màn hình.
- Trong mục File Name ở phía dưới gõ DeleteKl.reg
- Trong mục Save as type ở phía dưới chọn All Files rồi bấm OK
- Đóng cửa sổ Notepad lại. Lúc này bạn sẽ thấy trên nền màn hình xuất hiện thêm 1 biểu tượng DeleteKl
- Kích vào biểu tượng đó, bấm OK 2 lần. Khởi động lại máy là bạn đã tiễn xong vị khách không mời đó.
Mai Hương
