Em yêu!
Cách đây 1 tháng, lúc từ Bull về, mở cái Service Manager lên là thấy một cái service với một cái tên quái quỉ có executable path là "\\125.234.135.66\Admin$\eraseme_xxxxx.exe" (xxxx là một chuỗi số...)... Áh, nó giống giống cái IP access vào WAN của modem mình (xài Vịt-teo mà...).. Dùng IP to Location (http://www.ip2location.com) thì thấy cái này nó nằm tuốt Hà Nội... Ôi, bó tay... Chỉ biết stop/disable cái service này ngay lập tức :|.. Kiếm mòng mòng trong thư mục Windows với System32 thì một lũ file exe với cái tên eraseme_xxxxx.exe (xxxxx là một con số) tùm lum, vào registry Windows Current Version/Run... thì cũng moi ra được thêm vài con *.exe nữa.. Hic, chạy cái HijackThis (http://www.spywareinfo.com/~merijn/downloads.html) lên ngồi xem đỏ con mắt mà kô thấy gì lạ nên dừng... Lập tức lấy cái KillBox (http://www.downloads.subratam.org/KillBox.zip) ra để xẻo ngay mớ exe này rồi restart máy...
Tưởng vậy là xong :|... Hix, ai ngờ hôm trước, tự nhiên trong thư mục C:\ có một cái folder tên Winnt ẩn... Ặc, mở ra thì... trời ơi! Tools tùm lum! Toàn là đồ nghề cho để chạy backdoor, remote control kô à :((... May là mình khi nào cũng chọn show "hidden files" và "protected operation system files" cho nên mới thấy cái folder này, cũng hên là máy mình xài WinXP SP2, chứ nếu chơi Win2K thì giờ nó nằm lẫn lộn trong cái system folder là tiêu rồi :(( --> Huhu, "bổn cũ soạn lại", tiếp tục dùng một loạt các tool ở trên để remove mớ malware này :((... Àh, nói luôn, nên uncheck cái "Hide extension for known file types" luôn, chứ giống như bé "Sán lãi", hôm bữa nghe bé đó nói là click lầm vào một cái file virus exe có biểu tượng cái Folder do tưởng nó là cái thư mục :D :)) :))... Ngu hả cưng, cho mài chết :)):))...
Dạo gần đây, tự nhiên mỗi lần logon vào profile của mình (máy mình chạy Multi User) thấy hơi chậm nhưng kô để ý... Trời ạ, hôm qua, dùng TCPView (http://download.sysinternals.com/Files/TcpView.zip) mở lên thì thấy từ đâu trong mớ data hỗn độn, xuất hiện một loạt các connections đến cái địa chỉ remote khốn nạn 125.234.x.x... Hic, local thì mở port 135 (epmap), remote thì lăn vào cái máy gì lạ hoắc (resolve cái address thì ra là: vuong va myphuong!)! Hiểu! Thì ra là nó làm sao đó trên máy mình, connect vào cái máy khốn nạn kia để down mớ tool chạy backdoor và remote control ở trên... Cũng may, lúc đó máy kia nó chưa bật lên, nên chưa down đươc tool về... Hix... Khổ thân tui, chạy xem trong phần Process ở cái Task Manager của Windows kô thấy gì lạ, chạy Process Explorer (http://www.sysinternals.com/Utilities/ProcessExplorer.html) và cái ProcessViewer (http://www.prcview.com) cũng kô thấy gì lạ... Hic, bó tay! Àh, để ý là thấy cái svchost.exe chạy hơi nhiều... Hic, tối hôm qua chỉ dừng lại ở đó, quên nữa, bật cái Firewall của Windows lên, hi vọng nó chặn được gì đó...
Hic, hôm nay... Trời ơi... Vẫn như trên, chạy ra command line xem thử thằng nào đang xài port 135: netstat -p... Hic, có 3 thằng, nhưng 3 thằng đó đều là của Windows... Vô phương cứu chữa... Ông Thành kêu là bé virus này sống ký sinh với thằng svchost.exe, nhưng cũng kô phải vì cái file size kô đổi, cụ thể hơn là service File System Monitor/Restore của Windows mình vẫn đang chạy... Hic, lên google một phát thì có một bé bị y chang, nó kêu là dùng RootkitRevealer (http://download.sysinternals.com/Files/RootkitRevealer.zip) để xem có những cái application nào chạy khi startup mà kô hiện trong process listing rồi xẻo nó... Quét một hồi ra một loạt file linh tinh, trong đó có file C:\Documents and Settings\All Users\Start Menu\Programs\Startup\desktop.ini và C:\Documents and Settings\XXXX\Start Menu\Programs\Startup\desktop.ini (XXXX là account của mình)... Xử xong & restart lại máy, mở TCPView lên thì kô thấy connection nào đến cái dãy địa chỉ quái quỉ kia nữa... Mừng quá, chuyển từ invisible sang available với status "Sạch bóng Virus :))))))))))))".. Hehe...
Àh, rootkit nói ngắn gọn là bộ công cụ để làm ẩn mình các process, Invisible ấy mà :D, với các process viewer thông thường như TaskManager, ProcessEx, ProcessViewer :)... Sau này nếu có viết virus, nhất định mình sẽ làm cho con của mình ẩn đi trong cái Task Manager, ẩn xong rồi thì... kekeke...
Mà quên nữa, một số lão lăn vào chửi "Máy của programmer mà để dính virus :&..."... Hehe... Xin lỗi, hôm bữa thừa nước đục thả câu send đi một loạt cái "vui quá: http://..../zz.exe" gì đó cho vui thôi mà, ai để ý một tí là thấy cái địa chỉ trỏ đến con virus kô tồn tại, lý do là đã sửa số 1 thành số 0 trong cái IP rồi :))... Còn hôm nay thì hổng phải mình xài máy... Bình thường thằng Invisible này kô hề bật Firewall lẫn cài chương trình diệt Virus đâu :-"... Virus mà muốn cắn "em yêu" của Invisible thì ít nhất phải chạy qua cái "brain" của Invisible đã :))
Thôi, hết rồi... Tóm lại cách remove một Virus cho những ai dùng Windows như sau:
1. Chạy cái ProcessEx hoặc ProcessViewer, sau đó kết hợp với HijackThis xem thằng nào lạ thì xẻo trực tiếp hoặc dùng KillBox để xẻo.
2. Chạy tiếp cái RootkitReveal để xem còn bé nào chạy ủn ỉn ở bên trong hệ thống hay kô thì xẻo luôn.
3. Trong quá trình scan & detect manually, xài thêm TCPView hoặc netstat để xem thử connection chạy linh tinh ra sao...
4. Hỏi Invisible :)) :)) :))
Trời ơi, 1h21 rồi :|... Thôi, đi ngủ :)
Wednesday, September 6, 2006
Subscribe to:
Posts (Atom)