Một cách đơn giản để vô hiệu hoá chương trình độc hại

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

Một cách đơn giản để vô hiệu hoá chương trình độc hại

[Question] Một cách đơn giản để vô hiệu hoá chương trình độc hại	06/01/2007 01:18:51 (+0700) \| #1 \| 34546

lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline

Mở đầu
Dạo này có khá nhiều bạn bị nhiễm virus, trojan, worms... gọi chung là các chương trình độc hại (malware) yêu cầu được hướng dẫn cách diệt trừ. Sau 1 thời gian mày mò, lQ phát hiện ra 1 cách có thể nhanh chóng vô hiệu hóa các malware, đó là sử dụng Security Policy.

Đối với máy không joined domain, cần cấu hình trên Domain Security Policy. Ngược lại, đối với máy ko joined domain thì cấu hình trên Local Security Policy. Để tìm thấy công cụ này, đ/v máy ko joined domain, các bạn vào Start => Control Panel => Administrative Tools => Local Security Policy.

Yêu cầu
- Người dùng cần sử dụng tài khoản thuộc nhóm Administrators để có permissions cập nhật trên Security Policy.
- Người dùng buộc phải biết các malware có filename là gì và nằm tại vị trí nào.

Trình tự thực hiện
1> Xác định filename và vị trí của malware
Sử dụng chương trình Process Explorer của Sysinternals. Công cụ này tương tự Task Manager có sẵn của Windows. Chọn vào những process mà bạn biết chắc đó chính là malware, chọn menu Process => Properties để xác định vị trí (Path) của malware.
Download tại: http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx

2> Cập nhật malware vào Software Restriction Policies của công cụ Security Policy
Gồm 2 bước con.
2.1> Khởi tạo
Nếu đây là lần đầu tiên bạn thao tác trên policy này thì bạn cần khởi tạo nó bằng cách: tìm đến mục Software Restriction Policies, chọn menu Action => New Software Restriction Policies (hoặc Create New Policies).

2.2> Thiết lập Security Level cho các malwares đã được xác định
- Chọn vào mục Additional Rules của Software Restriction Policies, chọn menu Action => New Hash Rule. Một dialog sẽ hiện lên.
- Tiếp tục nhấn vào Browse và tìm đến từng malware.
- Sau khi đã chọn mailware, tại edit box tên là File Hash sẽ xuất hiện 1 chuỗi gồm 3 giá trị: giá trị hash của malware, kích thước malware và ID của thuật toán Hash. VD: 388b8fbc36a8558587afc90fb23a3b99:69120:32771.
- Tiếp tục chọn Security Level = Disallowed để vô hiệu hoá khả năng thực thi của malware.
- Nhập một số thông tin mô tả malware vào mục Description.
- Nhấn OK.

Lưu ý
Security Policy là một công cụ khá lợi hại nhưng cũng ko kém phần nguy hiểm. Nếu như bạn chưa hiểu rõ về Software Restriction Policies thì ko nên nghịch những tính năng đi kèm theo nó, vì có thể vô tình bạn sẽ vô hiệu hoá cả những chương trình thiết yếu của Windows như explorer.exe, svchost.exe, lsass.exe...

Tham khảo
Windows XP Security Guide
Chapter 6: Software Restriction Policy for Windows XP Clients
http://www.microsoft.com/technet/security/prodtech/windowsxp/secwinxp/xpsgch06.mspx

[Question] Re: Một cách đơn giản để vô hiệu hoá chương trình độc hại	12/03/2007 01:39:22 (+0700) \| #2 \| 46019

PHUCDOAN
Member

Joined: 04/08/2006 23:50:25
Messages: 33
Offline

xin hỏi, thật sự cái này có dùng được với 2000 server ko vậy bạn. mình rất đang cần những cái như thế này. Task trong win đôi khi không kill duoc may cai process chet tiet. Cám ơn về bài viết của bạn.

[Question] Một cách đơn giản để vô hiệu hoá chương trình độc hại	13/03/2007 00:02:51 (+0700) \| #3 \| 46178

lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline

Hồi trước lQ viết bài này nhưng quên kiểm tra ở các phiên bản khác. Tính năng này chỉ có ở Windows XP trở lên. Đối với Windows 2000, bạn có thể sử dụng EXE lockdown
http://www.softpedia.com/get/Security/Lockdown/Exe-Lockdown.shtml (freeware). Còn Win9X, NT chắc bỏ đi cho rồi smilie

[Question] Một cách đơn giản để vô hiệu hoá chương trình độc hại	13/03/2007 10:00:30 (+0700) \| #4 \| 46283

ga_cong_nghiep_h5n1
Member

Joined: 12/03/2007 22:15:16
Messages: 21
Offline

IQ nè !
Bạn nói rằng chúng khóa dựa vào filename xin bạn cho biết ý kiến về một virus tên file ngẩu nhiên và lây vào thư mục ngẩu nhiên.
Xin bạn chỉ giáo !!!

[Question] Một cách đơn giản để vô hiệu hoá chương trình độc hại	13/03/2007 12:18:08 (+0700) \| #5 \| 46332

FaL
Moderator

Joined: 14/04/2006 09:31:18
Messages: 1232
Offline

ga_cong_nghiep_h5n1 wrote:

IQ nè !
Bạn nói rằng chúng khóa dựa vào filename xin bạn cho biết ý kiến về một virus tên file ngẩu nhiên và lây vào thư mục ngẩu nhiên.
Xin bạn chỉ giáo !!!

Chào ga_cong_nghiep_h5n1,
::: Bạn nên đọc kỹ bài viết một tí:

IQ wrote:

Yêu cầu
- Người dùng cần sử dụng tài khoản thuộc nhóm Administrators để có permissions cập nhật trên Security Policy.
- Người dùng buộc phải biết các malware có filename là gì và nằm tại vị trí nào.

Hãy giữ một trái tim nóng và một cái đầu lạnh

[Question] Một cách đơn giản để vô hiệu hoá chương trình độc hại	13/03/2007 12:21:19 (+0700) \| #6 \| 46335

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

MOd lại phải delete vài cái reply nữa. Nếu có chức năng lock topic, lock luôn đi.

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...

[Question] Một cách đơn giản để vô hiệu hoá chương trình độc hại	13/03/2007 12:38:47 (+0700) \| #7 \| 46347

SuperChicken
Elite Member

Joined: 11/07/2006 18:31:27
Messages: 635
Location: bottom of hell
Offline

Haha, tên gà này quả thật gà hết biết, nếu virus mà tên file ngẫu nhiên thì lại càng tự tố cáo mình, lúc này chỉ việc kill nó rồi del nó đi (có thể vất vả chỗ kill, tốt hơn hết phải làm cách nào cho nó ko start lên đc thì ok hết :lol smilie

), hết chuyện.

[Question] Một cách đơn giản để vô hiệu hoá chương trình độc hại	15/03/2007 00:59:39 (+0700) \| #8 \| 46647

lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline

hehe mọi người chắc chưa hiểu nhiêù về cái này. Trong bước Thiết lập Security Level cho các malware, có 1 bước con đó là xác định hash MD5 cho malware đã định trước, đồng thời gán hành động cho giá trị này (unrestricted / disallowed). Bất kỳ 1 ứng dụng nào, khi được start, sẽ bị kiểm tra giá trị hash và đối chiếu với các rules để có hành động tương ứng. Vì vậy, nếu đã thực hiện bước trên, thì việc malware có đổi sang bất kỳ tên nào, nhưng vẫn thuộc danh sách designated file types và nằm bất kỳ vị trí nào cũng sẽ bị vô hiệu hóa như thường. Yêu cầu phải biết "vị trí" của malware chẳng qua là bước lấy mẫu để cập nhật rules cho software restriction mà thôi.

[Question] Một cách đơn giản để vô hiệu hoá chương trình độc hại	15/03/2007 02:24:29 (+0700) \| #9 \| 46658

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Có hai cái là Path rule và Hash Rule. Hồi mới học, thầy chỉ là tùy theo nhu cầu, sử dụng cái nào cũng có hiệu quả. Kiểu cấm của topic là hash, nói chung là có chạy đằng trời. Nếu vậy, phải có mẫu trước. Code:

Chịu khó sưu tầm mẫu về phòng thí nghiệm, càng nhiều càng tốt.

[Question] Một cách đơn giản để vô hiệu hoá chương trình độc hại	15/03/2007 03:23:34 (+0700) \| #10 \| 46666

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Loại hash rule này, tui nghỉ nó tốt cho mấy loại malware mà mình nhìn thấy nó được, ví dụ như autoit, worm/trojan thấy được file chính trên ổ cứng. Virus mà lây vào file, theo cách này tui nghỉ không hợp. Và vì là hash , cần phải lưu ý version của con malware , ngăn được version này, không ngăn được version khác của nó.
PS: Cách này còn dùng để ngăn người dùng sử dụng một phần mềm nào đó.

[Question] Một cách đơn giản để vô hiệu hoá chương trình độc hại	15/03/2007 05:45:53 (+0700) \| #11 \| 46697

lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline

Cách này chỉ có tác dụng đối với worms, trojans... không có tác dụng đối với virus, là những chương trình ký sinh và lây lan giữa các file exe, ... làm cho các file bị nhiễm gia tăng kích thước. CIH chẳng hạn, là virus ko thể áp dụng bằng cách này.

tmd nói đúng:
+ cập nhật hash của version nào thì chỉ có tác dụng với version đó.
+ ngăn ngừa người dùng sử dụng 1 pm nào đó.

Đây chỉ là 1 cách đơn giản để nhanh chóng vô hiệu hóa malware. Xét theo toàn cục, ko nên
thay thế chương trình antivirus đang sử dụng bằng chương trình này.