Sơ lược nguyên tắc phòng, chống malware.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

Sơ lược nguyên tắc phòng, chống malware.

[Question] Sơ lược nguyên tắc phòng, chống malware.	06/03/2007 06:59:28 (+0700) \| #1 \| 44900

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Tui chỉ xài soft lâu ngày thành quen, kinh nghiệm do xài lâu năm đem lại. Tui không qua một trường lớp chuyên môn nào về CNTT, nên có gì đừng bắt bẻ, tội nghiệp tui. smilie

( . Trong hva toàn dân chuyên nghiệp, có gì đọc xong đừng có cười, tui xấu hổ smilie

( . Tui là newbie. Tui lại lười biếng nên không có post "tài liệu" , hình ảnh minh họa, ... bà con có gì thông cảm và lấy đó làm khái niệm chung chung cũng được. Tiêu chí phòng/chống là ý thức con người, bà con có bla bla thì tui cũng smilie

với bà con thôi.

Môi trường làm việc của tui là windows XP, không có lập trình, đồ họa, ... cao cấp gì hết. Có nối mạng lan, có internet,... . Có server nhưng chuối, tui cũng không có sơ múi gì với cái server đó.

Đầu tiên nói về phòng mấy con mà ai cũng biết là con đó, viết tắc là MCMACBLCD.

Tui tắt hoàn toàn autoplay, nên lâu lắm rồi chưa bị con đó vào PC tui ngồi, nhưng kẻ khác rờ vào là dính. smilie

-)) . Cái pC đó tui cho update, rồi lại dùng tool để qua mặt bác Bill. Nên hạn chế một tí nguy hiểm từ mấy em Worm lợi dụng hole của windows(có thể tui không cảm giác được).

Tui hạn chế cài lung tung soft vớ vẫn, làm chậm hiệu suất máy. Như vậy làm giảm nguy cơ gây stress cho bản thân. Nguyên nhân máy cà giựt cũng làm cho người ta mất cảnh giác trước các risks tiềm tàng. Ví dụ như mất trí khôn, quên đi cảnh giác, cài soft lung tung vào máy để "cải thiện tốc độ". Dính một bầy Adware, trojan giả danh "fix" lỗi win, giết advs trên nét.
Nói tới hiệu suất máy, tui defrag/quét rác vớ vẫn/fix lỗi windows có chu kỳ.

Tui xài FF, chiếm 90% thời lượng truy cập internet, nó hạn chế một số lớn con xâm nhập thông qua đường cookie, javascript,... này nọ kia. Nhưng vẫn bị dính hàng nếu bạn cố tình dùng FF để truy cập trang sex/crack/...

Về firewall, tui không dùng nó, vì máy cùi bắp quá, cài nó vào là "tụng kinh" chờ windows khởi động. Nhưng vẫn đề nghị xài 1 cái firewall free như ZoneAlarm nếu biết cách sử dụng. Vô số bác không biết sài firewall, tui nói thiệt.

Về trình diệt MCMACBLCD, bạn có thể dùng soft nào đó bạn cho là phù hợp với cấu hình và tình trạng internet ở nhà bạn. Đừng nên nghỉ mạnh là tốt. Tui vẫn chê BKAV, nhưng vẫn xài nó, mcfee thua vài em mạnh mẽ kia nhưng tui xài nó, do nó cho xài free nếu xài máy đơn. Các bản quảng cáo top 10 soft giệt MCMACBLCD, spyware... các loại tui cũng có coi, nhưng theo kinh nghiệm tui biết máy của máy đối tác nên xài cái gì.

Bây giờ tới chủ đề chính do mod IQ khích lệ trình bày. Tui nghỉ nó nên được phổ thông hóa. Ai cũng nên biết nó. Các software tui xài để tiêu diệt MCMACBLCD dạng không tạo phiên bản là spybot,ad-adware(lavasoft),iceswords,seem,hijackthis,processxp,... và một số soft khác miễn phí được đề cập trong antirootkit.com,beepingcomputer,.com,.v.v.
Về Hijackthis, bà con coi một topic trên Vietnamnet từ 2005. Người dịch siêng lắm.
Code:

http://diendan.vietnamnet.vn/forum.asp?forumid=15

Thông tin của file bạn cho là lạ , bạn coi ở google, coi ở nhiều trang khác nhau. Quan trọng là bạn phải tìm hiểu sổ hộ khẩu, giấy khai sinh của file lạ
đó. Một số file có identify riêng của nó, rất ít người viết code trang bị cho con cưng của họ giấy khai sinh có đầy đủ thông tin hợp pháp của bố mẹ. Đa số các MCMACBLCD non-lây-lan không có khả năng của rootkit, một thứ kinh dị, nên bạn có thể an tâm 51% về Hijackthis.

Sau khi bạn có info của MCMACBLCD, bạn có thể dùng processxp,icesword để coi nó đang làm gì. Cách sự dụng icesword bạn coi trong trang antirootkit, processxp bạn coi trong topic diệt hiệu quả 90% (tui không biết là của ai,vì thấy nó ở khắp nơi).

Bạn có thể dùng soft miễn hoặc có phí để autokill MCMACBLCD, hoặc dùng chức năng của mấy cái soft tui giới thiệu để kill. Quan trọng ở chổ, bạn phải nắm nguyên tắc "bạn ngồi chổ nào trong windows" khi giết MCMACBLCD. Các tứ MCMACBLCD lây vào pc cũng biết lợi dụng nguyên tắc này. Khả năng của user trong windows khác nhau đó bạn. MCMACBLCD đặt chân rết khắp windows. Bạn muốn giết nó, bạn phải kill toàn bộ processes/threads do nó tạo ra. Soft autokill vẫn bị vô hiệu hóa nếu MCMACBLCD có gế ngồi cao nhất.
(còn tiếp)

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...

[Question] Sơ lược nguyên tắc phòng, chống malware.	06/03/2007 07:50:32 (+0700) \| #2 \| 44906

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Một số loại worm,trojan hiện nay đều có thể diệt bằng tay. Điểm quan trọng nhất là vị trí ẩn núp của nó. Worm có thể khó diệt hơn Trojan, do nó lây lung tung chổ. Dùng soft để tìm kiếm vị trí ẩn thân thông dụng của những con này để xem, thằng nào con nào mới tạo ra gần đây. Icesword, processxp gmer... khá hiệu quả. Bạn có thể dùng để theo dỏi,xóa... các threads/process bạn thấy nghi ngờ. Tắt process/threads rồi triệt tiêu ngay file.

Danh sách tạm trú của malware, sau này sẽ có một update lên cho bà con coi đở buồn. Vài chục tới cả trăm chổ núp của nó và đàn em.

Các loại gây popup trang web, tui ít diệt tay hơn, phần lớn lợi dụng hole của IE để phá. Một số rất khó diệt bằng soft miễn phí. Trang web sex/crack/quảng cáo viagra.. có nhiều thứ này.

Các loại keylog, worm, spyware lây vào pc do chúng ta nhấn link tào lao trên trình chát. Về thứ link này, nếu muốn triệt để, bạn dùng gói thương mại IM Security của Zonelabs.

Nói năng linh tinh một hồi, thấy để bà con tự mó hay hơn.

[Question] Sơ lược nguyên tắc phòng, chống malware.	06/03/2007 13:49:44 (+0700) \| #3 \| 44979

boxuyen
Member

Joined: 28/06/2006 15:50:47
Messages: 36
Offline

Tôi chẳng thấy bạn nói linh tinh chút nào cả. Rất hữu ích. Bạn hãy tiếp tục đi. Giọng văn của bạn sỗ sàng, chợ búa nhưng dễ nhớ dễ hiểu. Cảm ơn bạn, tôi vẫn đang theo dõi tiếp topic của bạn... Cố lên nhé

[Question] Sơ lược nguyên tắc phòng, chống malware.	11/03/2007 05:21:57 (+0700) \| #4 \| 45853

lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline

Hi tmd, lQ có vài góp ý:

+ Về phòng:

- Một số Firewall mà lQ sử dụng gồm Windows Firewall, Sygate Personal Firewall ko chiếm resource nhiều đến nỗi làm mình phải 'tụng kinh'. Sd Firewall là một điều rất nên làm.

- Nếu chỉ sd các công cụ theo dõi các thông tin khởi động của Windows (Hijackthis, autoruns...) để tìm và diệt malware thì ko hay lắm. Nên giới thiệu đây là những công cụ hữu hiệu để kiểm tra và phát hiện tình trạng của Windows có ổn hay ko.

+ Về chống:

- Phân biệt 2 nhóm công cụ 'chống' malware: nhóm tự động hoặc 'bán tự động' smilie

) (spybot s&d, ad-aware...) và nhóm công cụ hỗ trợ (process explorer, kill, rootkit revealer...)

- Việc MCMACBLCD có ghế ngồi cao nhất (run bằng tài khoản quyền thuộc nhóm Admin) vẫn có thể diệt được. Nói chính xác hơn là nếu bị nhiễm bằng tài khoản nào thì hoàn toàn có thể diệt bằng tài khoản đó, ngoại trừ trường hợp malware lợi dụng các bug của Windows để leo thang đặc quyền.

- Có thể ngăn ngừa bằng các chương trình 'cấm' các process thực thi. Đơn cử gồm có: chức năng Software Restriction của Windows Group Policy, hoặc chương trình Exe Lockdown,... Khi đó việc diệt trừ sẽ trở nên dễ dàng hơn rất nhiều. lQ có 1 topic được pinned trong box Virus này. Tham khảo tại /hvaonline/posts/list/5867.html.

+ ...
- Đồng thời, nên có 1 tổng hợp thật ngắn gọn tóm tắt toàn bộ nội dung của topic.

- Cũng ko nên quên liệt kê các tài liệu tham khảo, các tài liệu liên quan (vd tắt autorun cd ntn, link giới thiệu các phần mềm có nêu trong topic...)

Bài viết rất khá, đáng để tham khảo. Cố lên nhé tmd.

[Question] Sơ lược nguyên tắc phòng, chống malware.	11/03/2007 07:29:35 (+0700) \| #5 \| 45872

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Nội dung chủ yếu do tui học hỏi từ người ta, internet, vài cuốn ebooks, với thời gian đi làm. Nên có một số chổ là ý kiến chủ quan, không có tính khoa học.Xem xét lại trong HVA, thấy nghề này cũng mệt mỏi, khả năng rơi rụng + bỏ nghề cao.

Về tính "machine" và "submachine" của software diệt spy hiện nay. Hy vọng bà con phân biệt hai nhóm free và fee. Nhóm free có một số đặc điểm là không quét hết các spyware mang tính thương mại cao. Một số công ty có viết warez để quảng cáo , sau đó họ kiện ngược lại lavasoft, vì bị liệt kê vào danh sách adware.
Các loại free đều có thể update được, và cần chú ý file host của windows. Một số malware xóa file host/thêm entry vào file host/sửa lại file host để ngăn chặn việc update của trình diệt spy/ad... malware nói chung.

Nhóm fee có điểm mà nhiều người cho là mạnh hơn nhóm free, là tính hiệu quả. Các loại Spyware doctor, Spy sweeper, counter spy... diệt spyware "hiệu quả" , theo trực quan của tui. Tui cũng có so sánh hai nhóm này với nhau. Chú ý mấy bản patch/crack mấy soft. Ví dụ như một người nhét một loại malware nào đó vào patch. Coi như con malware đó sẽ sống cùng với "lũ". Chuyện này bà con có thể tự tìm hiểu. Các loại fee thật sự hiệu quả khi diệt các thứ gây pop-up.

Nên phối hợp 2 nhóm này, trên máy nên có 2 soft trở lên. Chú ý chỉ để 1 soft chạy nền.
Riêng về nhóm diệt tự động virus/trojan/worm như top 10 bà con thường thấy/bkav(he he). Tui cũng có vài ý kiến cá nhân. Tui sài cái nào cũng được, phụ thuộc vào pc/mạng. Bạn đừng xài nó nếu bạn sài crack/lướt web tào lao/sử dụng software cũng tào lao. Hy vọng bạn sẽ hiểu để sau này hạn chế chuyện " kav/bit/avg/symantec báo virus và đã diệt nhưng tui vẫn thấy còn báo..."

Nhóm công cụ hỗ trợ, bao gồm nhóm antirootkit,nhóm monitor( network, registry,file) bà con có thể search trên
Code:

www.antirootkit.com,
 http://www.microsoft.com/technet/sysinternals/default.mspx
...
và một số trang web mà tui chưa biết, ai biết chỉ thêm.

Tui cũng ngại chuyện down từ các trang web không được kiểm định. Bà con cũng phải mất nhiều thời gian để sử dụng nhóm này. nó cần nhiều thông tin, kiến thức và thời gian sử dụng. Nhóm này có thể gây "shock" cho người mới vào.

Về vấn đề Process/threads, tui mới hiểu tới mức process. Mức threads đòi hỏi bà con tìm hiểu tí xíu về lập trình. nên google, msdn.... Bà con nên tìm hiểu process. Nếu ai cũng biết cách triệt tiêu process là an tâm rồi.

Bạn nên đứng ở một ghế ngang quyền chủ nhà admin, để xem xét các process/threads. Vấn đề này cũng dễ hiểu. Tui cũng chưa thấy forum nào nói nhều về process và threads. Họ tự học hết. Có thể nó đáng được trao đổi nhiều.

Trong trường hợp máy bạn là sở thú. Bạn nên diệt từ con không đẻ tới con đẻ nhiều nhất. Giả sử bạn dính cùng lúc 4 thứ này virus,worm,trojan,adware. Bạn nên diệt từ trojan->worm->virus->adware. Cái thứ quỷ trojan có thể tự connect ra ngoài để down các loại khác vào, bao gồm cả nó. Con quỷ sứ worm đó,lợi dụng hole của HDH, diệt sau do nó không lây vào file lành. Virus diệt sau, cuối cùng là adware.

Ý tưởng ngăn chặn từ trước các loại malware của mod IQ, bạn nên sử dụng cho một hệ thống có gateway/firewall chung, ngăn chặn các loại malware đang lộng hành, hệ thống phân cấp server/client, hệ thống mạng ngang hàng trên 10 máy. Hoặc đơn giản là bạn muốn "nghiên cứu"

Hệ thống tài liệu tham khảo, tui cũng quên gần hết rồi, sau này lụm lại trong đống ebooks,link internet, sẽ post lên sau. Hy vọng còn bà con khác trao đổi thêm "kinh" nghiệm.

Tóm lại với một ý, thù trong còn hơn giặc ngoài.

[Question] Sơ lược nguyên tắc phòng, chống malware.	06/03/2009 13:56:49 (+0700) \| #6 \| 172113

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

tmd wrote:

Danh sách tạm trú của malware, sau này sẽ có một update lên cho bà con coi đở buồn. Vài chục tới cả trăm chổ núp của nó và đàn em.

Vào xem topic này và thái độ người post mình ko nhận ra bạn tmd luôn smilie

.
Nhiều lượm lặt ở topic này còn ở dạng sơ khai cho newbie . Phiền bạn tmd post lên danh sách tạm trú của malware mà bạn đã thu thập được để chia sẻ cho mình và các bạn khác nhé ( cho link .txt hay post luôn vào topic ) .

Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY

[Question] Re: Sơ lược nguyên tắc phòng, chống malware.	07/03/2009 00:25:10 (+0700) \| #7 \| 172135

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Những lượm lặt này là những thứ nên biết của mọi người, không phân biệt người có kiến thức lập trình hoặc người chỉ sài máy để nghe nhạc xem phim lướt nét, không phân biệt mục đích sử dụng máy.

Forum này không phải chuyên về nghiên cứu malware, và chuyện malware này được nhiều người hiếu kỳ nói tới trên internet quá nhiều, cho nên vị trí hay địa điểm lưu lại phiên bản của malware,thông tin hệ thống để kích hoạt malware,thông tin hệ thống bị malware thay đổi để gây rối, thông tin hệ thống được thêm vào để lây nhiễm nhiều loại mã độc khác, thông tin hệ thống được thêm vào để tạo cổng hậu... không trình bày cụ thể.

Vị trí thường được lưu trữ
windows\
windows\systems32 : vị trí lưu trữ file hệ thống :
windows\systems32\driver : lưu file .sys , .dll của một số loại trojan,worm
windows\systems32\driver\etc : file host không phần mở rộng: chứa thông tin về tên miền và ánh xạ địa chỉ IP tuơng ứng, dùng để lái tên miền an toàn sang một địa chỉ IP khác. Lưu ý file host này bị xóa , người sài windows không thể lướt nét.
Documents and Settings\%username%\Local Settings\temp\abcxyz : thư mục tạm thời lưu trữ mã độc vừa được download từ internet(tùy loại mã độc mã độc) :
System Volume Information\ Thư mục chứa thông tin restore point để phục hồi windows,
recycler hay recycled: thùng rác, duyệt thư mục này bằng trình duyệt như explorer không thấy được file chứa mã độc. Ví dụ như worm.
.exe .(các file thực thi nói chung trên windows) : cái này ai cũng phải biết, lo cài trình diệt đợi sẳn.
Program Files\Common Files\Microsoft Shared\MSInfo Một số loại trojan cũng nằm ở đây.
...
Thông tin trên registry: vô số không kể hết được.
KHuyến cáo chung: mọi phần mềm được sử dụng để vọc vạch, bà con sử dụng cẩn thận, trong box này trình bày rất nhiều. Bà con tự kiểm chứng lại khả năng để sử dụng phần mềm diệt hoặc từ mò mẫm, thiệt hại do bà con chịu. smilie

.
Đọc kỹ hướng dẫn sử dụng trước khi dùng.

[Question] Re: Sơ lược nguyên tắc phòng, chống malware.	07/03/2009 00:53:47 (+0700) \| #8 \| 172138

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Phân biệt 4 nhóm thường thấy trên hệ windows
Hệ lây nhiễm file thực thi, execution file : vì nó không có nhiều biểu hiện bên ngoài để người dùng nhận biết cho nên nó là loại nguy hiểm nhất và cũng dễ giết nhất. Biểu hiện mà người dùng để ý mới thấy là hiệu suất hoạt động của hệ thống.

Hệ trojan nằm vùng: Hệ này tạo một file hệ thống(.sys,.dll.....),một file thực thi và hoạt động như một phần hệ thống của windows, chạy chung với windows và tiến hành các động tác phá hoại theo thời gian chỉ định được lập trình từ trước.

Hệ worm: một lẫn lộn tệ hại giữa khái niệm virus và PE virus và mã độc nói chung. Worm lợi dụng một đặc điểm nào đó của windows để tiến hành lây nhiễm và lây lan. Nó có một đặc điểm của loại lây nhiễm file thực thi, lở tay chạy bản sao của nó dưới dạng file thực thi, thì mã độc chứ trong file đó sẽ được nạp vào ram và được thực thi.

Các nhóm còn lại, như mã độc ghi chèn vào các file cấu hình hệ thống(chỉ chạy một lần),file cấu hình đi kèm trình duyệt web IE(cookie,.) đều có thể xem là một phần của HDH, (người viết ra nó đều nắm rõ về cách ứng xử rắc rối của HDH windows), và chạy thường trực khi windows hoạt động(khi một chuơng trình nào đó của windows hoặc chuơng trình đi kèm windows,như IE, hoạt động)

Vậy thì autorun.inf là gì, một phuơng tiện lây lan của nhóm WORM và của các tiện ích được ưu tiên thực thi tự động theo nhu cầu. File này có các câu lệnh được lập trình để windows thực thi nó, khi người ta cắm thiết bị lưu trữ di động có chứa nó vào máy. File này không phải mã độc, mà file được thực thi dựa theo những câu lệnh trong nội dung file autorun mới là mã độc. Nhấn shift cùng lúc cắm thiết bị vào máy(usb),kèm với công tác cấm thực thi chức năng tự duyệt thiết bị của windows,(forum có trình bày).

Ý thức là trên hết. Hết.

[Question] Re: Sơ lược nguyên tắc phòng, chống malware.	07/03/2009 05:33:44 (+0700) \| #9 \| 172174

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

Theo tớ thấy đối với pc cá nhân thì dùng zonealarm+symantec là ok . Mỗi máy có bản ghost hoăc cài true image. Đối với việc dữ liệu truyền qua mạng giửa các máy thì ta cài thêm trendmicro.

Quan trọng nhất vẫn là chính sách và ý thức của người dùng. Đối với tớ thì dữ liệu quan trọng nhất nên máy nào bi nhiễm,phần mềm ko diệt đươc thì cứ cho nó bung ghost hoặc backup.

p/s:tớ nhờ một tờ a4 trình lên sếp nên cũng đở phải ghost , máy nào bị nhiễm hư hỏng nặng khi gọi cho tớ họ rất sợ smilie

[Question] Re: Sơ lược nguyên tắc phòng, chống malware.	07/03/2009 06:13:10 (+0700) \| #10 \| 172185

Ky0shir0
Member

Joined: 20/08/2008 19:06:44
Messages: 298
Offline

Hì, vikjava có lẽ giống mình, nhưng mà Ghost thì mau hư hơn là cài đặt (chưa hiểu tại sao như thế? smilie

)
@tmd: bài viết rất có ích cho anh em, đa phần người mới dùng PC thấy virut là mất bình tĩnh rồi chứ nói gì đến kill bọn nó.
Nhưng mà theo mình, những kiến thức trên là kinh nghiệm chống malware chứ không/ chưa phải là nguyên tắc được.
Bác cố gắng viết tiếp cho anh em học hỏi nhé.

[Question] Re: Sơ lược nguyên tắc phòng, chống malware.	07/03/2009 10:09:58 (+0700) \| #11 \| 172211

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Cái đó là cách trình bày đặc điểm của mã độc dựa trên những biểu hiện mà người thường cảm nhận được. Bảo nó là kinh nghiệm hay bảo nó là nguyên tắc cũng đúng cả.
Trình bày theo cách thức chuyên môn lập trình, mã máy, mới là cơ bản. Chuyện đó các chuyên gia viết phần mềm diệt virus trình bày được. Mình không có chuyên môn lập trình thì mình tìm hiểu nguyên tắc hoạt động của nó qua mô tả của các chuyên gia lập trình, tìm hiểu được nguyên tắc hoạt động của HDH là có thể hiểu được mã độc nó hoạt động như thế nào. Chuyện này không cần phải là lập trình viên cũng có thể làm được.
PS: Yêu cầu chung, ít nhất phải biết sài windows vững vàng.

[Question] Re: Sơ lược nguyên tắc phòng, chống malware.	08/03/2009 02:05:11 (+0700) \| #12 \| 172280

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Một tài liệu tiếng Anh thuộc loại ai đọc cũng hiểu, bình dân
PC Magazine Fighting Spyware, Viruses, and Malware

http://mihd.net/7l51yg

Siêng năng đọc, khoan thực hành các bài viết,topic,thảo luận trên nét để có thêm hiểu biết.

[Question] Re: Sơ lược nguyên tắc phòng, chống malware.	08/03/2009 14:16:24 (+0700) \| #13 \| 172334

bonmatk
Member

Joined: 21/01/2009 01:53:37
Messages: 3
Offline

Chán qua!

Go to:

Users currently in here
1 Anonymous