Di động:

Xử lý virus chèn banner tiếng Trung Quốc Không rõ

22/09/2010 23:16 | lpag | Virus máy tính | Nhận xét(0) | Đọc(8864)
   Nguồn: 12amyclass.com | Lớn | Vừa | Nhỏ
Highslide JSVirus Dashfer xuất hiện khoảng tháng 12/2007, rất nhiều người sử dụng Internet tại Việt Nam gặp phải hiện tượng: vào bất kì website nào thì đều thấy một banner tiếng Trung Quốc tự động chèn lên trên đầu trang web.

Tại các cơ quan có hệ thống mạng nội bộ, hiện tượng này xảy ra đồng loạt trên tất cả các máy tính trong mạng, khiến cho người sử dụng rất khó chịu, còn các quản trị mạng lúng túng, không có cách giải quyết.

Hiện tượng này do loại virus có xuất xứ từ Trung Quốc W32.Dashfer.Worm – virus giả mạo Gateway gây ra. Bắt đầu bùng phát từ ngày 14/12/2007, tới nay đã có tới 14 biến thể của Dashfer xuất hiện và đã lây nhiễm trên 59.000 máy tính tại Việt Nam. Nguồn phát tán chủ yếu của virus này là qua các website chứa mã độc hại và qua đĩa USB.

Từ một máy tính nhiễm virus, Dashfer gửi gói tin theo giao thức ARP (giao thức phân giải địa chỉ) tới tất cả các máy tính khác trong cùng mạng để mạo danh là Gateway của hệ thống. Các kết nối ra Internet của tất cả các máy tính trong mạng lúc này sẽ bị lừa đi qua Gateway giả mạo trước rồi mới tới Gateway thật. Bằng cách này, Dashfer sẽ kiểm soát được toàn bộ quá trình trao đổi dữ liệu, chèn thêm banner, popup vào nội dung các trang web trước khi chúng được trả về cho máy tính của người sử dụng.

Với cách giả mạo Gateway như vậy, không phải máy tính nào có hiện tượng bị chèn banner cũng là máy nhiễm virus, máy nhiễm virus chính là Gateway giả mạo.

Highslide JS


Trên đây là hình minh hoạ quá trình chèn banner của loại virus này.
Chỉ cần xác định ra máy bị nhiễm virus này và xử lý là hết hiện tượng trên.

Giả sử bạn ngồi trên một máy đã bị dính hiện tượng banner trên, cách xử lý như sau:
- Vào Start -> Run, gõ cmd ->Enter, tiếp theo gõ lệnh ipconfig trong màn hình DOS. Câu lệnh này nhằm xác định IP của máy bạn và gateway hiện tại mà máy bạn đi qua. ( Giả sử gateway đó là 192.168.1.1)
- Tiếp theo bạn gõ lệnh: arp -a 192.168.1.1 ( bạn thay 192.168.1.1 với gateway của bạn)
- Kết quả của dòng lệnh trên sẽ cho ta biết địa chỉ MAC của máy đang giả mạo gateway.

Nếu bạn là người sử dụng bình thường bạn có thể báo cho IT hay quản trị mạng trong văn phòng của bạn tìm ra máy với MAC như trên và xử lý.

Nếu văn phòng của bạn chỉ có số lượng máy nhỏ thì việc tìm ra máy đó rất dễ dàng, bạn chỉ việc gõ: ipconfig /all trên tất cả các máy để xác định địa chỉ MAC của máy đó.

Nếu văn phòng của bạn có số lượng máy lớn thì bạn phải dùng một số phần mềm quét mạng để hỗ trợ tìm ra máy đó

Cách xử lý virus:
- Bạn chỉ cần xác định MAC của gateway thật sự trong mạng của bạn là gì, gateway đó có thể là một modem hoặc một server, hãy hỏi quản trị mạng của bạn.

Hãy đánh đoạn lệnh sau vào cửa sổ cmd nhé:
arp -d
arp -s 192.168.1.1 00-19-e8-ab-61-c3
- Đây là địa chỉ IP và MAC của gateway trong mạng của mình. Mọi người chú ý thay địa chỉ IP và MAC tương ứng với gateway của bạn.

Bạn có thể copy đoạn lệnh trên vào notepad rồi save lại thành một file abc.bat để ra Desktop để lần sau chỉ cần click and run. Đặc biệt bạn có thể kéo file này vào startup để nó tự động chạy khi khởi động Win. Đây là cách hiện nay mình đang sử dụng. Việc này còn có thể giúp bạn nhiều điều hữu ích như phòng chống việc nghe lén ăn trộm password.

Còn đối với máy tính bị nhiễm, cách xử lý như sau:
Ban đầu chưa tìm hiểu kỹ con virus này nên mình dính một kinh nghiệm đau thương với con virus này là: format ổ C rồi hi hục cài lại win, xong đâu đấy lại bị ngay vì mình dùng driver và bộ cài trong ổ D. Virus này là loại lây file, tất cả các file .exe trong máy của bạn sẽ bị nhiễm và khi bạn cài xong Win và chạy các chương trình cài driver hay office thì máy bạn lại bị lỗi như trước.

Khi đã bị nhiễm virus này máy bạn bị giấu Desktop, task bar chỉ còn một màn hình xanh lè, bạn cũng chẳng thể vào được Safemode đâu, và nếu kịp chạy lệnh msconfig trước khi máy bị lỗi, bạn sẽ thấy vài file ~.exe lằng ngoằng trong startup mà bạn không thể bỏ đi được.

Xin trình bày lại quá trình này nhiễm vào máy của bạn

1.Biểu hiện:
-Tạo các file sau:
C:\Windows\System32\Com\LSASS.EXE
C:\Windows\System32\Com\netcfg.000
C:\Windows\System32\Com\netcfg.dll
C:\Windows\System32\Com\SMSS.EXE  
C:\WINDOWS\system32\cacls.exe
Tạo ra AUTORUN.INF, pagefile.pif trong từng ổ đĩa..
-Tạo khóa vô hiệu hóa Safe Mode
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
-Tắt chức năng hiện file ẩn: thay đổi

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\exp lorer\Advanced\Folder\SuperHidden\Type thành "radio" (giá trị cũ là "checkbox")

2.Cách diệt:
- Bạn cần một đĩa CD có thể boot được, cách tốt nhất là kiếm một đĩa Hirenboot về và cho khởi động tưd CDROM.
- Dùng một số chương trình file commander trong đĩa để xoá tất cả các file mà virus tạo ra theo như liệt kê trên.
- Vào C:\Documents and Settings\All Users\Application Data\programs\startup xóa mấy file do con ~.exe tạo ra
- Phục hồi các giá trị default trong Registry.
- Khởi động lại máy và nhớ quét virus toàn bộ máy trước khi chạy bất cứ một file .exe nào.
- Còn về pagefile.pif và autorun.inf trong các ổ cứng, bạn cũng xóa luôn.

Bạn có thể làm thêm một bước sau để tăng thêm phần an toàn cho máy tính của bạn: tạo lại hai file là pagefile.pif và autorun.inf( nội dung có thể để trống) rồi vào start>run>cmd> gõ cacls tênổđĩa:/o everyone

Ví dụ : bạn đang làm với ổ C thì nhập như sau : cacls C:/o everyone

Sau đó bạn kick chuột phải vào những file đó>chọn thẻ general>chọn mục read-only và mục hidden( nhằm mục đích nội dung của 2 file đó không bị thay đổi bởi virus)

Nguồn: Diễn đàn 12amyclass.com
Tác giả: Tom

  Đánh giá nội dung
Vui lòng đánh giá nội dung này nếu bạn thấy hay. Cám ơn bạn!

Bài viết số 603 đã được: 3.6/10 (7 Đánh giá)

Bài viết liên quan Bài viết ngẫu nhiên
Công cụ giải cứu dữ liệu bị WannaCry chiếm giữ...
Lỗ hổng đe dọa hơn 1 tỉ tài khoản ứng...
Làm thế nào để biết máy tính có dính phần...
Ransomware - bắt cóc dữ liệu đòi tiền chuộc, phát...
Công cụ miễn phí cứu dữ liệu bị Ransomware cướp...
Hướng dẫn sử dụng phần mềm diệt virus AVG internet...
Gõ nhầm đuôi '.com' thành '.om' có thể giúp virus...
Hacker nhúng mã độc vào hệ điều h​ành Linux Mint...
Đầu năm 2016 Kaspersky ra mắt phần mềm diệt virus...
Nhấn phím Backspace 28 lần để hack Linux, quá đơn...
Club Ringtones Remix 2010
Cách tiết kiệm 3G với ứng...
CPU đang dùng có thể chạy...
Mimosa và những cung đường đầy...
4 lý do không nên root...
Mất 3,9 tỷ đồng/ngày vì tin...
Những cách giúp lấy lại không...
Làm thế nào để OneDrive bớt...
Câu chuyện trong quán cà phê...
Bật mí 15 bí mật về...
Nếu bạn thấy bài viết hay vui lòng Bookmark bài viết. Cám ơn bạn!

Bookmark and Share
Edit & develop by LPAg v1.0.3.1376006758 [+] Từ khóa: LPAg, Computer, Mobile, Software, Hardware