English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Những cách tự động thực thi file  XML
  [Article]   Những cách tự động thực thi file 14/06/2006 20:12:24 (+0700) | #1 | 300
[Avatar]
 LeonHart
HVA Friend
Joined: 10/01/2003 11:11:52
Messages: 215
Location: Secret
Offline
[Profile] [PM]
Tất cả các loại virus, trojan và những trình hack đều có thể tự động thực thi bất cứ khi nào máy của bạn khởi động. Những file hay folder sau đều có điều kiện thuận lợi để tự thực thi khi hệ thống khởi động.

1. C:\autoexec.bat
Nếu bạn mở file này bằng notepad thì sẽ thấy có vài lệnh dos mà phải được thi hành lúc khởi động. Vì thế nếu có mục "C:\virus_folder\virus.exe" thì virus.exe sẽ luôn luôn chạy khi bạn khởi động PC.

2. C:\windows\Start Menu\programs\startup
Bất kỳ file nào ở trong thư mục này sẽ tự động thực thi khi khởi động PC.

3. C:\windows\win.ini
Ở file này dưới phần windows nếu có mục 'run=something.exe' hoặc 'load=something.exe' thì chắc chắn something.exe đó là virus hay trojan.

4. C:\windows\system.ini
Dưới phần boot theo mặc định thì có đoạn "shell=explorer.exe". Nhưng nếu là "shell=virus.exe,explorer.exe" thì máy của bạn đã bị dính virus.

5. C:\config.sys
File này chủ yếu là chứa những mục nhập của driver. Nhưng cũng cần theo dõi đề phòng.

6. C:\explorer.exe
nếu nó tồn tại thì sẽ thực thi đầu tiên ngoại trừ trường hợp thông thường là C:\windows\explorer.exe. Có tác dụng với Windows95, 98, ME. Nên cẩn thận!
***************
Tip: Tất cả những file trên có thể được mở cùng lúc bằng cách vào Start -->> Run, gõ "sysedit" (không có dấu ").
***************

7. Ở Registry có thể là
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Something"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Something"="c:\directory\virus.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Something"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"Something"="c:\directory\Virus.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Something"="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Something"="c:\directory\virus.exe"
**************
Lưu ý: -- Chỉnh sửa registry rất là nguy hiểm. Nếu bạn không biết đó là cái gì thì đừng mở ra hay xóa nó. Chỉ cần sai một tí là phải cài lại win đó!
**************

8. Registry Shell Open

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

Một key với giá trị "%1 %*" có đặt ở đây và đôi khi là những file thực thi nằm ở đây. Nó được sử dụng như: virus.exe "%1 %*"; và nhớ xem kỹ qua.

9. ICQ Net Detect

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]

Key này bao gồm tất cả những file được thực thi nếu ICQ phát hiện bạn đã kết nối Internet. Bạn có thể hiểu rằng chức năng này của ICQ rất thuận tiện cho attacker.

10. ActiveX Component

[HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\KeyName]
StubPath=C:\directory\virus.exe

VÌ vậy nếu chương trình antivirus không phát hiện được virus hay trojan nhưng bạn vẫn còn nghi ngờ thì nên kiểm tra qua bằng những cách ở trên để chắc ràng mình đã an toàn hơn smilie ).
[Up] [Print Copy]
  [Article]   Những cách tự động thực thi file 26/09/2009 11:49:03 (+0700) | #2 | 194075
[Avatar]
 kekhocdoi
Member
[Minus]    0    [Plus]
Joined: 15/09/2009 09:45:05
Messages: 168
Offline
[Profile] [PM] [Email] [Yahoo!]
Cám ơn bạn nhiều nhưng win nào cũng vậy ah. Mình tìm mãi có thấy start menu trong C:\windows đâu chỉ thấy trong documents and setting
Rất vui được làm quen, học hỏi, trao đổi,.. với tất cả mọi người
[Up] [Print Copy]
  [Article]   Những cách tự động thực thi file 15/10/2009 08:18:05 (+0700) | #3 | 195626
[Avatar]
 linux_xxx
Member
[Minus]    0    [Plus]
Joined: 31/07/2009 00:03:31
Messages: 81
Location: nơi chân trời
Offline
[Profile] [PM] [Yahoo!]
Thank bro!
Tự do muôn năm!
[Up] [Print Copy]
  [Article]   Những cách tự động thực thi file 16/10/2009 02:41:25 (+0700) | #4 | 195687
gadapchetvoi
Member
[Minus]    0    [Plus]
Joined: 11/01/2009 20:14:43
Messages: 14
Offline
[Profile] [PM]

Hay quá. Theo như bài viết, nếu trường hợp máy tính khởi động không bình thường, và nghi ngờ có virus, ta hoàn toàn có thể dùng đĩa Boot, vào Mini WinXP để sửa các file hệ thống bị lỗi phải không ?

1. Có phải những trường hợp bạn liệt kê ở trên là toàn bộ các khả năng không?

2. Và bạn có thể hướng dẫn cách sửa Registry của winXPSP2 khi đang browse ổ C bằng miniwinxp của đĩa Boot (LHT) hay không?

Tks a lot !

[Up] [Print Copy]
  [Article]   Những cách tự động thực thi file 16/10/2009 08:17:41 (+0700) | #5 | 195727
[Avatar]
 bolzano_1989
Journalist
[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

gadapchetvoi wrote:

1. Có phải những trường hợp bạn liệt kê ở trên là toàn bộ các khả năng không?
 


Bạn chú ý dòng này:
Những file hay folder sau đều có điều kiện thuận lợi để tự thực thi khi hệ thống khởi động. 


Với những câu hỏi còn lại, bạn nên tự mở topic riêng để hỏi, như vậy sẽ tiện cho việc tìm kiếm và lưu trữ của người khác hơn.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|