Kilo
05-23-2008, 07:05 PM
Virus Lotto.exe, một con virus khó chịu. Dạo gần đây rất nhiều máy đã bị nhiễm loại virus này. Sau một thời gian là nạn nhân của nó, lang thang trên Internet, được các cao thủ của làng CNTT chỉ bảo, nay đã khắc phục dc nên tôi viết bài này mong chia sẻ chút kinh nghiệm trong việc phòng chống con virus này.
Triệu chứng
Máy tính bị nhiễm con này sẽ có các hiện tượng: Không truy xuất dc các tác vụ Task Manager, Regedit (tự động log off) và làm biến mất Folder Options. Máy tính nhiễm tự động phát ra âm thanh đơn âm kiểu tít te bằng loa của main. Không truy xuất dc các Folder chứa dữ liệu vì khi xâm nhập vào máy, virus sẽ tấn công phân vùng chứa hệ điều hành, khống chế các file hệ thống, đồng thời nó làm ẩn luôn các Folder chứa dữ liệu trên các phân vùng khác và tạo ra Folder "nhái" cùng tên nhưng có thêm .exe (lạ chưa, Folder mà có phần mở rộng, virus đó). Nói chung là cái Computer lúc đó như bỏ đi vậy, chẳng làm dc gì ra hồn cả. Điều nguy hiểm nhất là các chương trình diệt virus dạng "đại gia" không phát hiện dc con này mới chết chứ. Thực nghiệm cho thấy Symantec Antivirus không phát hiện dc con nào trong một cái USB trong khi thực tế nó bị nhiễm tới 24 con ^_^. Chỉ có hai chương trình có khả năng phát hiện và diệt con này là Karpersky Antivirus và Bách Khoa Antivirus (BKAV).
Phòng và diệt :
Cách tốt nhất là cài một trong hai chương trình trên trong máy (BKAV là tiện nhất, tải tại http://www.bkav.com.vn ). Khi gắn USB vào máy, cần quét USB trước, nếu có virus thì nó sẽ bị diệt, không nhiễm vào máy. Sau đó, quét tiếp bằng một chương trình Antivirus "đại gia", đề phòng trường hợp mình lo đề phòng Lotto, Lotto không có mà có con khác thì chết dở ^_^. Một USB lạ mà nghi ngờ thì không nên mở lên mà chưa quét. Không nên click vào các đường link lạ gửi trên 4rum, qua mail, qua blog, không click vào các folder hay file có tên "quái đản" hoặc "mời gọi" trong các USB nghi vấn (giả dụ có con virus tạo ra cái Folder có tên "phimnguoilon", hấp dẫn quá nhỉ? ^_^, bấm vô thử coi ^,...,^). Cuối cùng, nên nghi vấn tất cả các USB nhận dc, đừng nghĩ nó của "anh iu", "em iu" mà tin tưởng, chết ko kịp viết di chúc à .... :18:
Còn máy nhiễm rồi thì sao ? Chịu chết ? . Chưa tệ đến vậy. Cách đơn giản là vác ra dịch vụ, họ giải quyết cho, vài chục ngàn đến trăm ngàn. Đơn giản và tiện lợi. Còn đối với "vọc sĩ" CNTT thì dễ gì họ chịu thua như vậy. Cho nên cũng có cách giải quyết. Đơn giản : Tải BKAV về và quét hết các phân vùng, xong restart máy lại và ... không vào được Windows (tới màn hình log on là tự động log off). Giờ sao ? Xem bên dưới.
Các tồn tại sau khi diệt virus xong :
1) Không vào được Win : Tới màn hình Welcome là nó log off ra. Cách khắc phục phổ biến là cài lại win or ghost máy. Tuy nhiên làm cách này thì các dữ liệu còn trên phân vùng chứa hệ điều hành sẽ mất hết. Còn một cách nữa nhưng không biết có dc chắc ăn không vì ... chưa thử (không có máy để thử ):
+ Trước khi diệt virus, Copy file UserInit.EXE trong folder %windir%\system32 vào USB
+ Khởi động máy bằng đĩa Hiren's BootCD, cắm USB vào khe
+ Chọn mục "DOS with USB support " trong menu khởi động
+ Sau khi khởi động xong, dùng lệnh copy file UserInit.exe vào %windir%\system32 ổ cứng của máy bị nhiễm.
+ Trong trường hợp ổ C: sử dụng NTFS hãy khởi động NTFS for DOS để kích hoạt phân cùng NTFS.
+ Khởi động lại máy, bạn có thể vào lại Windows.
(Copy&Paste, không chịu trách nhiệm nếu sai ^_^)
2) Các Folder bị ẩn và tùy chọn Hidden bị khóa. Hiện tượng này như sau : Sau khi quét xong cái USB, bạn thong thả bấm vào cái USB của mình và thấy nó ... trắng bóc (dù chủ nó nói đã chép dữ liệu cho bạn). Không phải mất dữ liệu đâu. Nguyên do là virus này khi nhiễm vào máy nó sẽ ẩn các folder này đi, và tạo ra các Folder nhái cùng tên và có tên mở rộng là .exe . Nếu bấm phải vào cái USB đó và chọn Properties để xem dung lượng của nó, thì bạn thấy USB bị chiếm một phần dung lượng, chính là các dữ liệu bị ẩn đó.Nếu lúc đó bạn mở chức năng hiện file ẩn lên thì thấy dc các folder ẩn nhưng không bỏ ẩn dc thuộc tính Hidden đã bị khóa. Sau đây là cách khắc phục:
1) USB hay ổ cứng phải đã dc quét virus sạch. ( Cách diệt ở trên ^_^). Cả máy tính cũng phải sạch virus, nếu ko thì ko thể làm gì dc.
2) Mở USB hay ổ cứng đã quét virus. Bấm chọn Tools --> Folder Options. Bảng mới hiện ra, chọn thẻ View. Trong thẻ View thì chọn 2 thao tác sau : Chọn Show hidden files and folders và bỏ dấu check ở dòng Hide protected operating system files (Recommended) . Hai thao tác này là dùng để hiện file and folder ẩn do virus. Sau khi xong thao 2 thao tác đó, chúng ta sẽ thấy được files&folders bị ẩn do virus nhưng nó vẫn bị ẩn (bị mờ) và khi đưa qua máy khác sẽ không thấy (nếu máy khác chưa mở 2 thao tác trên).
3) Đổi tên các file bị mờ thành tên không có khoảng trắng (VD: nhac vang thanh nhacvang) . Lý do giải thích sau.
4) Bấm Start --> Run, gõ cmd xong Enter.
5) Cửa sổ hiện ra có dạng như dấu nhắc DOS. Từ dấu nhắc gõ
attrib tenodia:\tenfileorfolder_bi_an –h
Với
attrib : lệnh để tác động vào thuộc tính
tenodia:\ : Là tên dạng ký tự của USB or phân vùng ổ cứng chứa file cần hiện ẩn. VD : D:\; E:\; F:\ .
tenfileorfolder_bi_an : là tên của file hay folder bị ẩn cần mở, lưu ý tên không được có khoảng trắng và nếu là file thì phải gõ thêm phần mở rộng – VD : tennhac.mp3)
-h : Là tham số để hiện lại file bị ẩn (Hidden).
VD : attrib F:\nhacxua –h
Gõ xong dòng lệnh trên, nhấn Enter. Sẽ thấy file or folder ẩn hiện lại như cũ ( hết mờ)
6) Thao tác đã xong ! Tiếp tục với các file&folder ẩn khác.
Một số lưu ý quan trọng:
1) Phải bật chức năng Show hidden files or folders và bỏ check chức năng Hide protected operating system files (Recommended). Mục đích : Nhìn thấy file ẩn để biết tên và đổi tên.
2) Tên File or Folder ẩn không dc có khoảng trắng, không dc có dấu tiếng việt và không dc có ký tự đặc biệt. Lý do : Trình cmd không nhận ra tên có khoảng trắng.
3) Giữa attrib và tenodia:\.... có khoảng trắng. Giữa tenfileorfolder_bi_an và –h có khoảng trắng.
( Tổng hợp Internet, cái này tuii thử rồi, được đóng dấu chất lượng ISO lisenced by Kilo )
Vài kinh nghiệm xin chia sẻ, hy vọng sẽ giúp được những ai chưa biết. Còn các bạn nào có những mẹo hay hơn xin chỉ giáo .
Triệu chứng
Máy tính bị nhiễm con này sẽ có các hiện tượng: Không truy xuất dc các tác vụ Task Manager, Regedit (tự động log off) và làm biến mất Folder Options. Máy tính nhiễm tự động phát ra âm thanh đơn âm kiểu tít te bằng loa của main. Không truy xuất dc các Folder chứa dữ liệu vì khi xâm nhập vào máy, virus sẽ tấn công phân vùng chứa hệ điều hành, khống chế các file hệ thống, đồng thời nó làm ẩn luôn các Folder chứa dữ liệu trên các phân vùng khác và tạo ra Folder "nhái" cùng tên nhưng có thêm .exe (lạ chưa, Folder mà có phần mở rộng, virus đó). Nói chung là cái Computer lúc đó như bỏ đi vậy, chẳng làm dc gì ra hồn cả. Điều nguy hiểm nhất là các chương trình diệt virus dạng "đại gia" không phát hiện dc con này mới chết chứ. Thực nghiệm cho thấy Symantec Antivirus không phát hiện dc con nào trong một cái USB trong khi thực tế nó bị nhiễm tới 24 con ^_^. Chỉ có hai chương trình có khả năng phát hiện và diệt con này là Karpersky Antivirus và Bách Khoa Antivirus (BKAV).
Phòng và diệt :
Cách tốt nhất là cài một trong hai chương trình trên trong máy (BKAV là tiện nhất, tải tại http://www.bkav.com.vn ). Khi gắn USB vào máy, cần quét USB trước, nếu có virus thì nó sẽ bị diệt, không nhiễm vào máy. Sau đó, quét tiếp bằng một chương trình Antivirus "đại gia", đề phòng trường hợp mình lo đề phòng Lotto, Lotto không có mà có con khác thì chết dở ^_^. Một USB lạ mà nghi ngờ thì không nên mở lên mà chưa quét. Không nên click vào các đường link lạ gửi trên 4rum, qua mail, qua blog, không click vào các folder hay file có tên "quái đản" hoặc "mời gọi" trong các USB nghi vấn (giả dụ có con virus tạo ra cái Folder có tên "phimnguoilon", hấp dẫn quá nhỉ? ^_^, bấm vô thử coi ^,...,^). Cuối cùng, nên nghi vấn tất cả các USB nhận dc, đừng nghĩ nó của "anh iu", "em iu" mà tin tưởng, chết ko kịp viết di chúc à .... :18:
Còn máy nhiễm rồi thì sao ? Chịu chết ? . Chưa tệ đến vậy. Cách đơn giản là vác ra dịch vụ, họ giải quyết cho, vài chục ngàn đến trăm ngàn. Đơn giản và tiện lợi. Còn đối với "vọc sĩ" CNTT thì dễ gì họ chịu thua như vậy. Cho nên cũng có cách giải quyết. Đơn giản : Tải BKAV về và quét hết các phân vùng, xong restart máy lại và ... không vào được Windows (tới màn hình log on là tự động log off). Giờ sao ? Xem bên dưới.
Các tồn tại sau khi diệt virus xong :
1) Không vào được Win : Tới màn hình Welcome là nó log off ra. Cách khắc phục phổ biến là cài lại win or ghost máy. Tuy nhiên làm cách này thì các dữ liệu còn trên phân vùng chứa hệ điều hành sẽ mất hết. Còn một cách nữa nhưng không biết có dc chắc ăn không vì ... chưa thử (không có máy để thử ):
+ Trước khi diệt virus, Copy file UserInit.EXE trong folder %windir%\system32 vào USB
+ Khởi động máy bằng đĩa Hiren's BootCD, cắm USB vào khe
+ Chọn mục "DOS with USB support " trong menu khởi động
+ Sau khi khởi động xong, dùng lệnh copy file UserInit.exe vào %windir%\system32 ổ cứng của máy bị nhiễm.
+ Trong trường hợp ổ C: sử dụng NTFS hãy khởi động NTFS for DOS để kích hoạt phân cùng NTFS.
+ Khởi động lại máy, bạn có thể vào lại Windows.
(Copy&Paste, không chịu trách nhiệm nếu sai ^_^)
2) Các Folder bị ẩn và tùy chọn Hidden bị khóa. Hiện tượng này như sau : Sau khi quét xong cái USB, bạn thong thả bấm vào cái USB của mình và thấy nó ... trắng bóc (dù chủ nó nói đã chép dữ liệu cho bạn). Không phải mất dữ liệu đâu. Nguyên do là virus này khi nhiễm vào máy nó sẽ ẩn các folder này đi, và tạo ra các Folder nhái cùng tên và có tên mở rộng là .exe . Nếu bấm phải vào cái USB đó và chọn Properties để xem dung lượng của nó, thì bạn thấy USB bị chiếm một phần dung lượng, chính là các dữ liệu bị ẩn đó.Nếu lúc đó bạn mở chức năng hiện file ẩn lên thì thấy dc các folder ẩn nhưng không bỏ ẩn dc thuộc tính Hidden đã bị khóa. Sau đây là cách khắc phục:
1) USB hay ổ cứng phải đã dc quét virus sạch. ( Cách diệt ở trên ^_^). Cả máy tính cũng phải sạch virus, nếu ko thì ko thể làm gì dc.
2) Mở USB hay ổ cứng đã quét virus. Bấm chọn Tools --> Folder Options. Bảng mới hiện ra, chọn thẻ View. Trong thẻ View thì chọn 2 thao tác sau : Chọn Show hidden files and folders và bỏ dấu check ở dòng Hide protected operating system files (Recommended) . Hai thao tác này là dùng để hiện file and folder ẩn do virus. Sau khi xong thao 2 thao tác đó, chúng ta sẽ thấy được files&folders bị ẩn do virus nhưng nó vẫn bị ẩn (bị mờ) và khi đưa qua máy khác sẽ không thấy (nếu máy khác chưa mở 2 thao tác trên).
3) Đổi tên các file bị mờ thành tên không có khoảng trắng (VD: nhac vang thanh nhacvang) . Lý do giải thích sau.
4) Bấm Start --> Run, gõ cmd xong Enter.
5) Cửa sổ hiện ra có dạng như dấu nhắc DOS. Từ dấu nhắc gõ
attrib tenodia:\tenfileorfolder_bi_an –h
Với
attrib : lệnh để tác động vào thuộc tính
tenodia:\ : Là tên dạng ký tự của USB or phân vùng ổ cứng chứa file cần hiện ẩn. VD : D:\; E:\; F:\ .
tenfileorfolder_bi_an : là tên của file hay folder bị ẩn cần mở, lưu ý tên không được có khoảng trắng và nếu là file thì phải gõ thêm phần mở rộng – VD : tennhac.mp3)
-h : Là tham số để hiện lại file bị ẩn (Hidden).
VD : attrib F:\nhacxua –h
Gõ xong dòng lệnh trên, nhấn Enter. Sẽ thấy file or folder ẩn hiện lại như cũ ( hết mờ)
6) Thao tác đã xong ! Tiếp tục với các file&folder ẩn khác.
Một số lưu ý quan trọng:
1) Phải bật chức năng Show hidden files or folders và bỏ check chức năng Hide protected operating system files (Recommended). Mục đích : Nhìn thấy file ẩn để biết tên và đổi tên.
2) Tên File or Folder ẩn không dc có khoảng trắng, không dc có dấu tiếng việt và không dc có ký tự đặc biệt. Lý do : Trình cmd không nhận ra tên có khoảng trắng.
3) Giữa attrib và tenodia:\.... có khoảng trắng. Giữa tenfileorfolder_bi_an và –h có khoảng trắng.
( Tổng hợp Internet, cái này tuii thử rồi, được đóng dấu chất lượng ISO lisenced by Kilo )
Vài kinh nghiệm xin chia sẻ, hy vọng sẽ giúp được những ai chưa biết. Còn các bạn nào có những mẹo hay hơn xin chỉ giáo .