Thông qua quá trình lấy mẫu, sẽ kịp thời cung cung cấp cho các đơn vị ứng cứu khẩn cấp, hang phần mềm anti-virus, đơn vị phát triển công cụ bảo mật, đơn vị cung cấp dịch vụ bảo mật, cơ q
Trang 1I - Quy trình thu thập mã độc
Lấy mẫu virus là một quá trình rất quan trọng Thông qua quá trình lấy mẫu,
sẽ kịp thời cung cung cấp cho các đơn vị ứng cứu khẩn cấp, hang phần mềm anti-virus, đơn vị phát triển công cụ bảo mật, đơn vị cung cấp dịch vụ bảo mật, cơ quan nhà nước nghiên cứu và phân tích mã độc của mẫu virus đó để biết được hành vi cũng như có những giải pháp tiêu diệt chúng Công cụ cần có: Đĩa CD chứa các công cụ cơ bản như sau:
- Process Explorer (Hiển thị thông tin về các tiến trình);
- Autoruns (Xác định những tiến trình tự chạy khi khởi động HĐH và đường dẫn tới các chương trình thực thi);
- PowerTool (Xem toàn bộ thông tin về hệ thống, đánh giá sơ lược về
hệ thống, xem các tiến trình bao gồm cả tiến trình ẩn, xem các file bao gồm cả file ẩn );
- WinRar (nén và thu thập mẫu)
Bước 1:
Từ Start Menu của Windows chạy Run và gõ msconfig -> Startup để bước đầu xem các tiến trình được khởi tạo chạy cùng HĐH
Trang 2Ở đây ta thấy có 2 tiến trình lạ đang chạy và ở cột Command có thể thấy rõ đường dẫn của những file thực thi
Bước 2:
Trên thanh công cụ của HĐH nhấp chuột phải và chọn Task Manager để xem các tiến trình đang chạy trên hệ thống:
Chúng ta chỉ xét các tiến trình chạy dưới user người dùng, ở đây là Administrator Bằng kinh nghiệm và hiểu biết cơ bản về các ứng dụng trên máy tính mà chúng ta có thể phát hiện ra các tiến trình lạ Hình dưới chúng ta có thể dễ dàng phát hiện thấy có 2 tiến trình lạ đang chạy là fortinet.exe và spoolv.exe
Trang 3Trong nhiều trường hợp virus có thể ngăn chặn không cho người dùng sử dụng chức năng msconfig và Task Manager thì chúng ta sẽ qua các bước tiếp theo
là sử dụng công cụ nêu ở trên để tiến hành xem các file và tiến trình của Windows
Bước 3: Dùng Process Explorer để xem có tiến trình lạ nào chạy trên máy
hay không
Trang 4Dựa vào kinh nghiệm và các chương trình ta đang chạy có thể xác định được
có hay không virus đang chạy trong hệ thống Cụ thể ở đây ta có thể dễ dàng thấy 2 tiến trình lạ (phần explorer.exe trở xuống) mà chúng ta nghi ngờ do virus sinh ra Chúng ta cũng lưu ý tại cột Description sẽ cho ta một số thông tin bổ sung về tiến trình đó, cột Company Name cho ta biết tên của công ty xây dựng ứng dụng (thường các phần mềm mã độc sẽ không có tên công ty như hình trên), cột Path sẽ cho ta đường dẫn tới các file mã độc Ngoài ra chúng ta có thể dùng phần mềm Autoruns để xác định xem có chương trình nào được khởi chạy cùng Windows hay không:
Trang 5Sau khi xác định chính xác đường dẫn rồi chúng ta sử dụng PowerTool để vào các thư mục chứa các phần mềm trên để xem ngoài virus đó ra còn có loại nào khác không Trong một số trường hợp virus sẽ tự sao chép ra và nằm trong cùng một thư mục, nếu không để ý rất dễ bị bỏ sót
Bước 4: Chúng ta sử dụng chức năng Explorer của Windows để vào các thư
mục chứa virus Lưu ý tuyệt đối không kích đúp và từng thư mục vì nếu như thư mục đó có chứa virus Autorun thì chúng sẽ không được kích hoạt
Trang 6Tiếp theo, chúng ta sẽ sử dụng phần mềm Winrar để nén file virus lại Lưu ý
là khi nén file chúng ta phải đặt mật khẩu cho file đề phòng trường hợp phần mềm diệt virus sẽ xóa file nếu không có mật khẩu:
Trang 7II - MỘT SỐ TIẾN TRÌNH WINDOWS CƠ BẢN
1 Rundll32 (quan ly cac thu vien dong *.dll)
C:\Windows\SysWOW64\rundll32.exe
hoặc:
C:\Windows\System32\rundll32.exe
2 svchost.exe (cac tien trinh khac su dung)
C:\Windows\System32
3 explorer.exe
C:\Windows\
4 conhost (csrss.exe cmd)
C:\Windows\System32
5 ctfmon (quan ly tien ich MS Office)
C:\Windows\System32
6 jusched (Java update schedule)
C:\Program files\
7 wscntfy.exe (windows up notification)
C:\Windows\System32
8 userinit.exe (khoi tao cac dich vu cho he thong)
C:\Windows\System32
9 spoolsv.exe (printing service)
C:\Windows\System32
10 lsass (LSA shell chịu trách nhiệm thực thi các chính sách bảo mật trên hệ
thống)
C:\Windows\System32
Trang 811 smss (Windows NT session manager: This is the session manager subsystem,
which is responsible for starting the user session This process is initiated by the main system thread and is responsible for various activities, including launching the Winlogon and Win32 (Csrss.exe) processes, and setting system variables After
it has launched these processes, it waits for either Winlogon or Csrss to end If this happens normally, the system shuts down; if it happens unexpectedly, Smss.exe causes the system to stop responding (hang).)
C:\Windows\System32
12 alg.exe (Application Layer Gateway service is a component of of Windows
OS It is required if you use a third-party firewall or Internet Connection Sharing (ICS) to connect to the internet If you end this program using the Task Manager, you will lose all Internet connectivity until your next system restart or login.)
C:\Windows\System32
13 services.exe (This is the Services Control Manager, which is responsible for
running, ending, and interacting with system services Use this program to start services, stop them, or change their default from automatic to manual startup.)
C:\Windows\System32
14 igfxsrvc.exe (services của intel graphic)
C:\Windows\System32
Trang 9III - MỘT SỐ MÃ ĐỘC VÀ ĐƯỜNG DẪN
1 SVCH0ST.exe (số 0 "zero", không phải là chữ "o") nằm trong C:\Window\system32
2 YahooMsg.exe nằm trong C:\Window\system32
3 msnms nằm trong C:\Program Files\MSN Gaming Zone\msnms.exe
4 inetinfo.exe hoặc wmimgmt.com nằm trong C:\Documents and Settings\All Users\Application Data\
5 kis.exe nằm trong C:\Documents and Settings\Administrator\Local Settings\Temp\ kis.exe
6 spoolv.exe nằm trong C:\Documents and Settings\Administrator\
7 iexplore.exe nằm trong C:\Documents and Settings\Administrator\Local Settings\Temp\
8 fortinet.exe C:\Documents and Settings\Administrator\Local Settings\Temp\
hoặc taskman.exe trong C:\Windows\system32\
IV - CÁC THƯ MỤC MÃ ĐỘC HAY ẨN NẤP
1 C:\Documents and Settings\Administrator\Local Settings\Temp\
2 C:\Documents and Settings\Administrator\
3 C:\Documents and Settings\AllUser\
4 Các thư mục có tên và biểu tượng giống thùng rác như RECYCLER, RECYCLE
5 C:\Windows\System32
6 C:\Documents and Settings\