1. Trang chủ
  2. » Công Nghệ Thông Tin

Vạch mặt virus - Phần 3 pptx

41 145 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Vạch mặt virus - Phần 3 pptx
Trường học University of Information Technology, Ho Chi Minh City
Chuyên ngành Computer Security
Thể loại Báo cáo môn học
Năm xuất bản 2023
Thành phố Ho Chi Minh City
Định dạng
Số trang 41
Dung lượng 4,77 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

DefaceVR ðây là sử dụng ICESword ñể hiện nóta có thể tắt tiến trình ñó luôn bằng cách chọn Terminate Process Rồi ta chạy Autoruns ñể kiểm tra xem còn khóa nào khởi chạy trong Regedit ha

Trang 2

Với %System% là thư mục c:\windows

Chạy lệnh tasklist từ cửa sổ dòng lệnh CMD sẽ thấy

Khi chạy lệnh Wmic process list sẽ thấy ñường dẫn của con virus

Trang 3

DefaceVR

Và ñây là khi chạy lệnh wmic process list brief

Dưới ñây là sử dụng Process Explorer ñể hiện thông tin về nó (và ta có thể chuột phải chọn tiến trình

ñó và Kill luôn)

Trang 4

DefaceVR

ðây là sử dụng ICESword ñể hiện nó(ta có thể tắt tiến trình ñó luôn bằng cách chọn Terminate Process)

Rồi ta chạy Autoruns ñể kiểm tra xem còn khóa nào khởi chạy trong Regedit hay không, và tìm ñường dẫn của file chứa trong khóa regedit ñó

Trang 5

DefaceVR

Nhìn Autoruns ta thấy có 2 khóa ñược virus tạo thành là userinit và khóa Run Nhìn ñường dẫn thì thấy

có một file khác ngoài file mixa.exe(nằm trong c:\windows) là file systemio.exe(nằm ở

c:\windows\system32)

Hoặc ta có thể sử dụng công cụ wsyscheck ñể kiểm tra toàn diện + kill + xóa

Dưới ñây là xem tiến trình chạy rồi kill Selected Process luôn

Tiến ñến bạn nhẩy ñến tab Safe Check Active File ñể kiểm tra còn có file nào ñược khởi chạy từ

regedit nữa không Ta thấy rõ 4 file là 2 file autorun.inf, và 2 file thực thi mixa.exe, systemio.exe  Khi ñã

Kill Process thì bạn hãy chọn Fix

Trang 6

DefaceVR

Rồi bây giờ tới bước xóa các file ñó Bạn nhẩy tới tab Explorer kiểm tra các nơi chính ñể phát hiện file

ẩn C:\, C:\windows, D:\, c:\windows\system32

Kiểm tra C:\ thấy file autorun.inf và mixa_l.exe chuột phải vào Flush Delete ngay Cũng tương tự ta

kiểm tra ổ D cũng thấy 2 file là autorun.inf, mixa_l.exe

Tiếp ñến ta kiểm tra ở C:\windows thấy ngay file mixa.exechọn Flush Delete luôn

Trang 7

DefaceVR

Kiểm tra C:\windows\system32 (bạn tích chọn Only Show Hide Files chỉ xem những file ẩn)

Ta thấy ngay chú systemoio.exe -Flush delete ngay

Thế là chú Mixa này teo

Bước nữa là bạn vẫn chạy Wsyscheck vào menu Tools ñể sửa lại việc ẩn(Fix Hide File Show), sửa lại chế

ñộ safe mode(Fix Boot Safe Mode), dọn dẹp các file trong temp(Clear Temp File), xóa các file autorun.inf ở

các ổ ñĩa ñi(Clear Autorun.inf) Và khởi ñộng lại máy

Trang 8

C:\Windows\system32\drivers\drivers.cab.exe

C:\Windows\system32\regedit.exe

Chạy lệnh wmic process list ở cửa sổ dòng lệnh ta thấy

Trang 9

(HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options) thì ta

mới có thể thay tên ñể chạy tiếp Còn có nhiều cách cấm chạy một chương trình khác

Sau ñó ta chạy Process explorer Chọn View chọn Select column tích vào chọn Verified

Signer(xác minh chữ ký) và chọn Image Path(xem ñường dẫn) Và vào (Options  chọn Verify Images

Trang 11

DefaceVR

Và ta thấy các tiến trình của virus cũng ñược ICESword hiện ra rất rõ ràng (với biểu tượng thư mục và biểu tượng bàn tay chia sẻ) Tiếp ñến ta chỉ cần giữ CTRL và chọn các tiến trình muốn tắt rồi chọn

Terminate Process thế là các tiến trình ñã bị tắt

Tiếp ñến ta sử dụng autoruns (phải thay lại tên) ñể kiểm tra xem còn có khóa nào ñược tạo ra trong

regedit không và file ñường dẫn của nó là gì

Hình dưới khi ta kiểm tra tab Logon sẽ thấy nhiều file khởi chạy là boom.vbs, default.exe ngoài những file

ta ñã tắt ra Ta sửa bằng cách delete hết những khóa mà không có phần mô tả(Description), nhà sản

xuất(Publisher) ñi

Tiếp ñến tra kiểm tra ñến tab winlogon Ta sẽ thấy có file HelpHost.com khởi chạy (Delete ñi)

Trang 13

DefaceVR

Xem tiến trình - tích chọn những tiến trình muốn tắt rồi tắt cùng lúc

Rồi nhẩy ñến tab Explorer vào các khóa chính tìm các file exe, vbs, com, hlp ẩn, và xóa ñi (chỉ hiện những file ẩn tức là tích chọn chế ñộ Only Show Hide Files)

Trang 14

DefaceVR

Trang 15

DefaceVR

Bước nữa là bạn vẫn chạy Wsyscheck vào menu Tools ñể sửa lại việc ẩn(Fix Hide File Show), sửa lại chế ñộ safe mode(Fix Boot Safe Mode), dọn dẹp các file trong temp(Clear Temp File), xóa các file autorun.inf ở các ổ ñĩa ñi(Clear Autorun.inf) Và khởi ñộng lại máy

Xem thêm ở ñây:

http://www.threatexpert.com/report.aspx?md5=14710877a18cd8c6700927e8de0708dc

http://www.hacker-soft.net/article/article/47/232.html

1.3 Gaobot

Gaobot/Agobot là một công cụ bot IRC mã mở ñược thiết kế ñể lây lan qua nhiều máy sử dụng

Windows Nguồn Gaobot là cơ sở cho họ Phatbot của hệ thống bots – một số hầu hết ñược tích hợp công nghệ bot sử dụng qua IRC

Gaobot có một vài công nghệ chống lại việc remove mà ñược tích hợp tinh vi hơn worm

Anti-Removal techniques:

Công nghệ chống lại việc remove

• Chạy như một dịch vụ

• Tự tạo ra khi ñã bị kill

• Sửa các khóa regedit của nó khi ta can thiệp vào

Thông tin thêm:

http://vil.nai.com/vil/content/v_100785.htm

Process Explorer hiện Gaobot

Trang 16

DefaceVR

Cơ chế tái tạo lại của Gaobot

Trang 18

DefaceVR

ðây là cách mà Gaobot khởi chạy khi boot vào máy tính(phương pháp sử dụng dự phòng nhằm mục ñích tái tạo lại)

Dịch vụ của con Gaobot ñược hiện từ cửa sổ Services Snap-In

Một khóa ñược hiện trong dịch vụ của con Gaobot

Tạm dừng(Suspend) Gaobot

Trang 20

DefaceVR

Một dịch vụ ñã bị remove, Gaoboot không thể tự sinh ra nữa khi bị kill

1.4 Backdoor.CAY

ðây là backdoor hoạt ñộng ngầm như một keylog(công cụ ghi bàn phím) Nó có sử dụng cả công nghệ

rootkit ñể ẩn các file và tiến trình của nó

Backdoor.CAY sử dụng một vài công nghệ ngăn cản ẩn và ngăn cản remove

Công nghệ chống lại remove (anti-removal)

• Tiêm DLLs vào Explorer

• Ẩn tiến trình chạy chính

• Ẩn thư mục và file từ Explorer

Thông tin thêm:

http://vil.nai.com/vil/content/v_101037.htm

Xem những file DLL ñã bị infect (tiêm nhiễm)

Trang 21

DefaceVR

Chỉ ra rõ ràng việc tiêm nhiễm các file DLL vào tiến trình Explorer

Nhìn Autoruns Ở startup ta sẽ thấy

Trang 22

DefaceVR

Muốn xem có thư mục “f~a” ko nhưng không thấy tồn tại

Rootkit Revealer hiện các file ẩn

Trang 23

DefaceVR

IceSword có thể phát hiện các tiến trình

IceSword hiện các hook bàn phím

Trang 24

DefaceVR

RKDetector2 hiện folder ẩn

Xóa các file với RKDetector2

Trang 25

ðể kill tiến trình winlogon không xảy ra hiện tượng màn hình xanh(BSoD) ta kill tiến trình smss.exe trước

Backdoor.CAY xảy ra lỗi sau khi khởi ñộng lại

Trang 26

DefaceVR

Bây giờ vào Explorer có thể nhìn thấy thư mục ñó

1.5 Hacker Defender (Hàng rootkit)

Hacker Defender là một chương trình mang ñầy ñủ các ñặc tính của rootkit Nó che dấu ít thông tin về bản thân nó hơn các công cụ khác Trong ví dụ này nó ñã ñược ñóng gói với các công cụ thây ma(zombie) khác sử dụng IRC

Hacker Defender ngăn ngừa bị remove bằng cách tránh khỏi sự phát hiện

Công nghệ sử dụng của Hacker Defender

Trang 27

DefaceVR

Thông tin thêm:

http://www.threatexpert.com/report.aspx?md5=a310a5acc8873dd79eae97374bc18dc2

Process Explorer không nhìn thấy gì cả

Và thường xuyên xảy ra thông báo lỗi

IceSword hiện một vài tiến trình ẩn

Trang 28

DefaceVR

Có nhiều tiến trình không thể hiển thị trong Process Explorer

Mà IceSword có thể hiện cổng bị ẩn ñang lắng nghe

Thậm chí bị vô hình, cổng có thể bị telnet tới

Trang 30

DefaceVR

Hacker Defender can also be removed with IceSword by killing the process and performing basic removal

1.6 Look2Me

Look2Me là một chương trình quảng cáo trên các site ñộc hại Nếu mà ñã bị cài ñặt vào máy tính thì cực

kỳ khó gỡ bỏ Phương pháp chính ñể lẩn tránh việc remove ñược sử dụng bởi họ Look2Me là tiêm nhiễm file DLL và sử dụng công nghệ Winlogon hijacking(ñính file DLL vào khóa notify dưới khóa Winlogon ở regedit)

Công nghệ chống lại việc remove

• Sử dụng ngẫu nhiên nhiều tên có ñuôi DLL

• Tiêm nhiễm vào file winlogon.exe

• Làm lại các khóa regedit bằng việc giả mạo chúng

• Remove quyền debug từ tất cả người dùng

Xem thêm thông tin:

http://www.threatexpert.com/report.aspx?md5=24bfa4b48f8692c666924224620907c8

Tiêm nhiễm DLL vào Winlogon

Trang 31

DefaceVR

Kill winlogon máy tính có thể sẽ bị lỗi màn hình xanh (BSoD) Phải chọn cách tiếp cận khác

Người dùng không debug ñược các chính sách ñã ñược thiết lập

Trang 32

DefaceVR

Có thể hiện thị hay kill hết các tiến trình ñã bị remove

Hiện cơ chế Winlogon Hijacking trong Regedit

Look2Me sử dụng việc gán thêm một khóa ở Notify khi Winlogon bắt ñầu khởi chạy

Gỡ bỏ tất cả các quyền ưu tiên ở khóa Notify

Trang 33

Công nghệ chống lại việc gỡ bỏ

• Sử dụng nhiều tên ngẫu nhiên với ñuôi DLL

• Tiêm nhiễm vào tất cả các tiến trình người dùng

• Làm lại các khóa regedit với các khóa giả mạo

• Ẩn các khóa ở regedit

• Ẩn file

• Sử dụng trình Control Panel Applet ñể cài ñặt

• Làm lại các file thành các file giả mạo

• Thay ñổi ứng dụng dựa trên các tool ñã ñược sử dụng

Xem thêm ở ñây

http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=43264

Các tiến trình ‘Closes’ khi mở Process Explorer

Trang 34

DefaceVR

đúng như là Process Explorer mở thì tiến trình của virus ỔclosesỖ đây là cách thay ựổi Ờ tiến trình virus

vẫn ựang chạy nhưng nó bị ẩn

Một file DLL ựược tiêm nhiễm vào trong process explorer

Trang 35

DefaceVR

Một file DLL(ñôi khi là 2) ñã ñược tiêm nhiễm vào tất cả các tiến trình của người dùng

Scan bằng Rootkit Revealer không hiện lên cái gì cả:

Trang 36

DefaceVR

Ít nhất một file không hiện trong Explorer

Explorer không thể nhìn thấy hết các file DLLs và bất cứ tiến trình của file EXE RKDecetor2 không chỉ hiện các file bị ẩn

Autoruns không hiện tất cả các cơ chế khởi chạy

Trang 37

DefaceVR

Chỉ một vị trí nhỏ của Qoologic không bị ẩn bởi Autoruns

IceSword sẽ theo dõi tiến trình mặc dù nó bị ẩn không hiện ñược

Unload các file DLL bị tiêm mã ñộc:

Trang 38

DefaceVR

Gỡ (unload) các file DLL từ những tiến trình bị tiêm nhiễm và giết các malware Qoologic bằng cách tiến trình ñang chạy ñó

Hiển thị một số tiến trình chạy lúc khởi ñộng

Kiểm tra thông ñiệp hook ñược sử dụng ñể ẩn từ một vài tool:

Trang 39

DefaceVR

Thực thi việc xóa file:

Removing the Dropper:

Trang 40

DefaceVR

Trang 41

Khi ñã phát hiện ra VR và ñã xoá nó ñi bạn nên dùng một phần mềm diệt VR(như Rising antivirus,

Antivir…) ñể quét qua một lần nữa cho chắc “cốp”

Mình chỉ có một chút ít, tìm kiếm, tham khảo, dịch ñuợc vậy Cuốn này hướng về phía người dùng cơ bản và tầm trung Do phần tiếng anh hơi ñuối nên một số mình dịch không sát nghĩa lắm :D

Về Virus còn chia làm nhiều mảng, kỹ thuật viết virus, và còn quá nhiều ñiều ñể bàn cãi, ñể nghiên cứu, học hỏi Hy vọng cuốn ebook này phần nhỏ nào ñó giúp bạn ñỡ bị nhiễm virus và khi bị nhiễm virus rồi thì có cách hành xử hợp lý hơn chút

Bìa của cuốn ebook mình cắt một phần cover abum live “The Roundhouse Tapes” của Opeth

How To Remove Rootkits with IceSword - Mahesh Satyanarayana (swatkat) - (phần dịch của

kienmanowar)

Advanced Windows Malware Removal - Brandon Enright, bmenrigh@ucsd.edu

http://noh.ucsd.edu/~bmenrigh/advanced_malware.ppt

TaiLong – DFVr Team

Ngày đăng: 02/08/2014, 09:21

Xem thêm

HÌNH ẢNH LIÊN QUAN

Hình dưới khi ta kiểm tra tab Logon sẽ thấy nhiều file khởi chạy là boom.vbs, default.exe ngoài những file - Vạch mặt virus - Phần 3 pptx
Hình d ưới khi ta kiểm tra tab Logon sẽ thấy nhiều file khởi chạy là boom.vbs, default.exe ngoài những file (Trang 11)

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

Hacker Defender (Hàng rootkit) Small Dropper/Qoologic

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w