Messages posted by: nh0ck0n10b

Virus chèn mã độc vào files exe là chuyện bình thường... Nhưng liệu có loại nào ăn được cả files ghost (.GHO) không nhỉ smilie

Đây là loại virus ít người biết đến, nó có cách hoạt động khác các con virus khác, Em muốn tìm hiểu về nguồn gốc, các thức hoạt đông & lây nhiếm vào máy tính, cách diệt & phòng tránh nó, nó nằm ở đâu trong ổ đĩa...

Mục đích của loại virus này là gì, nó có hại gì cho máy tính...

Vì sao nó lại có cái path Device\Harddisk0\DR0 ...

Các thông tin của virus viết ở http://www2.gmer.net/mbr/ <= nhưng em ko có khả năng đọc tiếng anh nên cũng chưa hiểu ....

Em cũng nghi nó nằm trong các bản ghost đa cấu hình của Trung Quốc, nhưng không nhiều AV phát hiện được ra nó, có thể nhiều người dính phải loại virus này những vẫn không hề biết gì! Và những topic thắc mắc về loại virus này trên các forum khác thường close mà không có câu trả lời +_+

File \Device\Harddisk0\DR0: ccntain virus Type_Boot

Con virus này rất lạ. KIS 2010 báo phát hiện nhưng cũng không thể diệt được.
GHOST lại máy hay cài lại windows cũng không thể hết... và nhìn cái path thế kia thì chẳng biết nó ở đầu mà lấy mẫu.

Khi tìm kiếm thông tin về con virus này em tìm được một số lời giải thích như sau (Từ forum forum.kapersky.vn)

Đây là một loại virus được nằm trong nhóm MBR Rootkit.
Mỗi thiết bị khi ánh xạ vào HĐH Windows sẽ được coi là một Object. Với MBR của ổ đĩa cứng, sẽ được định nghĩa là Kernel Object với kiểu Device. Khi bị nhiễm MBR Rootkit, nó sẽ bị thay đổi như sau:

Vì Rootkit này nhiễm vào MBR, nó ở mức Driver, nên không một AV-Tools nào có khả năng loại bỏ nó. Và khi Format lại HDD mà không chỉnh sửa MBR thì nó vẫn còn tồn tại.
Để loại bỏ bằng tay, bạn có thể xóa MBR cũ, tạo mới MBR bằng các công cụ có sẵn trong đĩa Hiren's Boot CD.

Cuối cùng kết luận dc 1 cách xử lí con virus này là:

Cách sử lý virus:
Bỏ CD hiren boot. vào DOS, gõ: fdisk /mbr enter
Rút đĩa ra, khởi động lại máy.
Nếu là XP: chạy bình thường
Nếu là Vista: Bỏ đĩa setup vào, chọn Repair.

Chi tiết phân tích về virus tại đây(English): http://www2.gmer.net/mbr/

Em đọc nhưng cũng chưa đủ vốn kiến thức để hiểu thêm về nó.. Em mở topic này để mọi người cùng thảo luận...

File đó là file autorun.inf của Conficker thôi.
Một mình nó không tự chạy được.

Mình vừa đơn giản hóa nội dung nó:
[autorun]
action=Open folder to view files
icon=%systemroot%\system32\shell32.dll,4
shellexecute=rundll32.exe .\recycler\jwgkvsq.vmx
useautoplay=1

Nếu nội dung của nó chỉ là như vậy thì em có hiểu.. Nhưng anh đã đơn giản hóa nội dung của nó bằng cách nào vậy smilie

. NÓ đã được mã hóa kiểu gì mà windows vẫn có thể hiểu được nội dung của nó. Hay đơn giản nó chỉ thêm các nội dung thừa, vô dụng để làm rối mắt chúng ta mà không làm ảnh hưởng tới nội dung chính của nó (Không phải là mã hóa nội dung) :-s

[AUTorUN

; ÅA¯˜ölÜŠq¦…tÎKVWœý¸¤¬
AcTION =Open folder to view files

icon = %syStEmrOot%\sySTEM32\sHELL32.Dll ,4
shelLExECUte =RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

Có 1 loại virus trong USB mà nó chỉ có mỗi một file autorun.inf Nội dung của nó đã bị encrypt (Nên hok đọc được)
EM thắc mắc không hiểu nó hoạt động kiểu gì, mà chỉ cần mỗi một files autorun.inf được

Link download: http://www.downloadtaxi.com/d/1256222060