đồ án môn cđ-đt ''''cách phòng chống và khắc phục virut có hiệu quả''''

Mức độ lây lan:184,320 bytesHệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Symantec khuyến các người

Trang 1

Mức độ lây lan:184,320 bytes

Hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Symantec khuyến các người dùng làm những việc sau khi đã bị nhiễm virus

1 Tắt chức năng khôi phục hệ thống của (Windows Me/XP)

2 Cập nhật chương trình diệt virus mới

3 Chạy quét toàn bộ hệ thống

4 Xóa những giá trị được ghi vào Registry

5 Loại bỏ những mục có khả năng làm lây nhiễm đến mục khác

Trang 2

II) Cách diệt

Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất

kỳ sự thay đổi nào

1 Vào Start> Run

2 Gõ Regedit

3 Click OK

Chú ý : Nếu việc truy xuất vào Registry thất bại thì bạn có thể dùng các công cụ để

có thể thực hiện được bạn có thể tải ở địa chỉ sau

http://www.911.com.vn/download/Khoa_regedit.vbs

4 Tìm và sửa các giá trị

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer\"NoFolderOptions" = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced\"SuperHidden" = "1"

5 Thoát khỏi Registry

Mức độ lây lan: 402,952 bytes

Hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98,

Trang 3

Windows Me, Windows NT, Windows Server 2003, Windows Vista,

Windows XP

1 Vào Start> Run

64 62 2E 63 67 69 00"

HKEY_USERS\S-1-5-21-816139046-577266240-1678582812-500\Software\

Microsoft\Internet Explorer\Settings\"KeyM" = "94 6B EE BC FF A5 BB 8B 5E 68 2A A5 8F BF 24 F5 7A 63 B7 9C BB DB 14 D5 1F AE B0 57 34 02 59 6F C6 38 9C 7E BD 8F 82 02 9F 36 AB 3F 0C 6C B9 4C C3 98 7E E6 77 0A CC 53 20 6F

Trang 4

6B 5B EC 83 A8 9E 34 C1 9E 9C 73 93 05 01 F3 3D D2 DA 79 ED 63 00 04 25

CB 82 FC 87 3D 89 E1 86 79 79 8C 67 A8 43 5C BC 65 26 66 5E B1 8A C5 51 95 E0 24 B8 7F F5 1A 1C 20 83 DD B7 44 E6 E7 66 B3 5D 88 A7 85 C8 2B A4 58 4E

Microsoft\Internet Explorer\Settings\"KeyE" = "00 01 00 01"

Microsoft\Windows\CurrentVersion\Run\Regscan:"C:\WINDOWS\system32\regscan.exe"

Mức độ lây lan: 180,224 bytes

Hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Trang 5

1 Vào Start> Run

2 Gõ Regedit

3 Click OK

4 Tìm và xóa các giá trị

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\InstalledComponents\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\InstalledComponents\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}

5 Khôi phục lại các giá trị mặc định của Registry

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\

CurrentVersion\Winlogon\"Userinit" = "userinit.exe,services.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"

Trang 6

Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me,

Windows Vista, Windows NT, Windows Server 2003, Windows 2000

4 Xóa những giá trị được ghi vào Regist

1 Vào Start> Run

Trang 7

Mức độ lây lan: : 28,221 bytes

Hệ thống bị ảnh hưởng Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, WindowsServer 2003, Windows Vista, Windows XP

Chú ý : Symantec mạnh mẽ khuyến cáo rằng bạn sao lưu Registry trước khi làm bất kỳ sự

thay đổi nào

1 Vào Start> Run

2 Gõ Regedit

Trang 8

3 Click OK

4 Tìm và xóa các giá trị HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\Explorer\Run\"McaFee virus detect program" =

"%Program Files%\Network Associates\VirusScan\svchst.exe"

5 Thoat khỏi Registry

Mức độ lây lan: : 54,189 bytes và 98,304 bytes

Hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

2 Cập nhật chương trình diệt Virus mới nhất

4 Xoá các giá trị được ghi vào registry

Trang 9

Xoá các gía trị được ghi vào Registry

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\"midi1" = "[RANDOM CHARACTERS][RANDOM DIGITS].dll"

HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\InprocServer32\(Default Value) = "[RANDOM CHARACTERS][RANDOM DIGITS].dll"

HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\TypeLib\(Default Value) = {[RANDOM CLSID]}

HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\(Default Value) =

"[RANDOM CHARACTERS][RANDOM DIGITS]"

Xoá giá trị sau

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{[RANDOM CLSID]}

Thoát khỏi registry

VBS.Runauto.E

Phát hiện: November 2, 2007

Cập nhật: November 2, 2007 10:55:58 AM

Kiểu: Worm

Có kick thước khoảng : 5,320 bytes

Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

Khi nhiễm Trojan sẽ gây ra một số hoạt động sau

Khởi tạo thêm file vào hệ thống

• %Windir%\achitasin.dll.vbs

• %SystemDrive%\achi.htm

Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởiđộng

Trang 10

Run\"achitasin" = "%Windir%\achitasin.dll.vbs"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title"

= "Hacked by Achitasin & ???? ???"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" =

1 Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)

2 Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất

Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0

Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0

3 Chạy và quét toàn bộ hệ thống

a Khởi động chương trình Symatec của bạn và cho quét tất cả các files

b Chạy một hệ thống đầy đủ và quét

1 Click Start > Run

2 Type regedit

3 Click OK

Bạn vào tìm khóa sau và xóa đi

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = "Hacked by Achitasin & ???? ???"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"achitasin" = "%Windir%\achitasin.dll.vbs"

Trang 11

4 Bạn vào tìm khóa sau và xóa đi

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page"

Những hệ thống bị ảnh hưởng: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows Vista , Windows 2000

Trang 12

• %DriveLetter%\system.exe

• %DriveLetter%\funny doc.exe

Tiếp theo nó khởi tạo một số đối tượng sau

• %CurrentFolder%\jangan dihapus exe

• %CurrentFolder%\my sweety exe

• %CurrentFolder%\foto cewek exe

• %CurrentFolder%\kekasishku exe

• %CurrentFolder%\data penting exe

• %CurrentFolder%\downlodan exe

• %CurrentFolder%\update antivir exe

• %CurrentFolder%\kumpulan program exe

•HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\

Installer\"DisableMSI" = "1"

• HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title"

Trang 13

= ">> Have A Bad Day <<"

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\"Startup" = "%Windir%\Media\StartUp"

•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFind" = "1"

•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1"

•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoRun" = "1"

•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableCMD" = "1"

Tiếp theo nó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt đâu khởiđộng

•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Run\"Microsoft Word" = "%System%\hostdll.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableRegistryTools" = "1"

•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"

•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

policies\system\"DisableTaskMgr" = "1"

•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"

•HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"(default)" = "File Folder"

•HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"TileInfo" =

"prop:DocComments"

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"InfoTip" =

"prop:DocComments"

Trang 14

•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"

•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = 1"

•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"

•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ClassicViewState" = "0"

•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "5B"

Tiếp nó tìm kiếm tất cả các file sau

Trang 15

• reg

• process

Với thông điệp như sau

Have a Bad Day

Cách diệt:

1 Click Start > Run

2 Type regedit

3 Click OK

4 Tìm kiếm và xóa giá trị sau

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"NeverShowExt" = "" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WindowsProfile.EXE\"(default)" = "%Windir%\Media\StartUp\

scvhost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableRegistryTools" = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableTaskMgr" = "1"

Trang 16

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"NoFolderOptions" = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"WindowsProfile" = "WindowsProfile Rundll32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Printer Cpl" = "%Windir%\spool32.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\"Startup" = "%Windir%\Media\StartUp"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFind" = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoRun" = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableCMD" = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Run\"Microsoft Word" = "%System%\hostdll.exe"

5 Tìm kiếm và xóa giá trị sau

Trang 17

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"(default)" = "File Folder"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = 1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ClassicViewState" = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "5B"

6 Thoát khỏi regedit

W32.Virut.W

Trang 18

Nó tạo ta modul thể hiện những cảnh báo và chạy cùng máy tính mỗi khi ngừoi dùng sử dụng

Virus sẽ lây lan tới tất cả các file có đuôi mở rộng exe or scr

Nó lây lan tới tất cả các file với chuỗi kí tự sau

Trang 19

Sâu W32.Whybo.Z

Phát hiện: August 27, 2007

Cập nhật: August 27, 2007 4:43:28 PM

Kiểu: Win32/Fuceb [Computer Associates]

Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98,

Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP Khi nhiễm Trojan sẽ gây ra một số hoạt động sau

• %System%\serivces.exe

• %SystemDrive%\Program Files\Common Files\Microsoft Shared\[FIVE

RANDOM LOWERCASE LETTERS].exe

• %SystemDrive%\Program Files\Internet Explorer\Connection Wizard\[FIVE RANDOM LOWERCASE LETTERS].exe

• %SystemDrive%\Program Files\Windows Media Player\[FIVE RANDOM

Tiêu đề	Cách phòng chống và khắc phục virut có hiệu quả
Trường học	University of Information Technology and Communications
Chuyên ngành	Computer Security
Thể loại	Đề án môn CĐ-ĐT
Năm xuất bản	2008
Thành phố	Hà Nội

Định dạng
Số trang	39
Dung lượng	151 KB