DefaceVR 1. Các ví dụ 1.1. Mixa 1.2. Worm.Win32.AutoRun.eee(Global.exe) 1.3. Gaobot 1.4. Backdoor.CAY 1.5. Hacker Defender 1.6. Look2Me 1.7. Small Dropper/Qoologic
Thay lời kết
- Tham khảo
Tailong
DFVr
DefaceVR
1. Các Ví dụ 1.1. Mixa Con virus này sẽ làm những việc sau Làm ẩn hệ thống. Tạo khóa autorun.inf Chạy các dịch vụ Con virus này sẽ tạo ra các file c:\Autorun.inf %System%\restart.scf %AppData%\Microsoft\Windows Media\9.0\WMSDKNSD.XML c:\Mixa_I.exe %Windir%\Mixa.exe %System%\systemio.exe %System%\mui\0416\log.mp3 Với %System% là thư mục c:\windows Chạy lệnh tasklist từ cửa sổ dòng lệnh CMD sẽ thấy
Khi chạy lệnh Wmic process list sẽ thấy ñường dẫn của con virus
Tailong
DFVr
DefaceVR
Và ñây là khi chạy lệnh wmic process list brief
Dưới ñây là sử dụng Process Explorer ñể hiện thông tin về nó (và ta có thể chuột phải chọn tiến trình ñó và Kill luôn)
Tailong
DFVr
DefaceVR
ðây là sử dụng ICESword ñể hiện nó(ta có thể tắt tiến trình ñó luôn bằng cách chọn Terminate Process)
Rồi ta chạy Autoruns ñể kiểm tra xem còn khóa nào khởi chạy trong Regedit hay không, và tìm ñường dẫn của file chứa trong khóa regedit ñó.
Tailong
DFVr
DefaceVR
Nhìn Autoruns ta thấy có 2 khóa ñược virus tạo thành là userinit và khóa Run. Nhìn ñường dẫn thì thấy có một file khác ngoài file mixa.exe(nằm trong c:\windows) là file systemio.exe(nằm ở c:\windows\system32) Hoặc ta có thể sử dụng công cụ wsyscheck ñể kiểm tra toàn diện + kill + xóa Dưới ñây là xem tiến trình chạy rồi kill Selected Process luôn
Tiến ñến bạn nhẩy ñến tab Safe Check Active File ñể kiểm tra còn có file nào ñược khởi chạy từ regedit nữa không. Ta thấy rõ 4 file là 2 file autorun.inf, và 2 file thực thi mixa.exe, systemio.exe Khi ñã Kill Process thì bạn hãy chọn Fix
Tailong
DFVr
DefaceVR
Rồi bây giờ tới bước xóa các file ñó. Bạn nhẩy tới tab Explorer kiểm tra các nơi chính ñể phát hiện file ẩn C:\, C:\windows, D:\, c:\windows\system32 Kiểm tra C:\ thấy file autorun.inf và mixa_l.exe chuột phải vào Flush Delete ngay. Cũng tương tự ta kiểm tra ổ D cũng thấy 2 file là autorun.inf, mixa_l.exe
Tiếp ñến ta kiểm tra ở C:\windows thấy ngay file mixa.exe chọn Flush Delete luôn Tailong
DFVr
DefaceVR
Kiểm tra C:\windows\system32 (bạn tích chọn Only Show Hide Files chỉ xem những file ẩn) Ta thấy ngay chú systemoio.exe - Flush delete ngay
Thế là chú Mixa này teo Bước nữa là bạn vẫn chạy Wsyscheck vào menu Tools ñể sửa lại việc ẩn(Fix Hide File Show), sửa lại chế ñộ safe mode(Fix Boot Safe Mode), dọn dẹp các file trong temp(Clear Temp File), xóa các file autorun.inf ở các ổ ñĩa ñi(Clear Autorun.inf) Và khởi ñộng lại máy
Tailong
DFVr
DefaceVR
Xem thêm ở ñây http://www.threatexpert.com/report.aspx?uid=21a19a21-1222-439f-a537-02ced0271a2a http://vil.nai.com/vil/content/v_150495.htm
1.2. Worm.Win32.AutoRun.eee (Global.exe) Con này hàng Trung Quốc Các file nó tạo ra là c:\MS-DOS.com C:\Windows\Fonts\Fonts.exe C:\Windows\Fonts\tskmgr.exe C:\Windows\Help\microsoft.hlp C:\Windows\Media\rndll32.pif C:\Windows\pchealth\Global.exe C:\Windows\pchealth\helpctr\binaries\HelpHost.com C:\Windows\system\KEYBOARD.exe C:\Windows\system32\dllcache\Default.exe C:\Windows\system32\dllcache\Global.exe C:\Windows\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe C:\Windows \system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe C:\Windows\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe C:\Windows\system32\dllcache\svchost.exe C:\Windows\system32\drivers\drivers.cab.exe C:\Windows\system32\regedit.exe Chạy lệnh wmic process list ở cửa sổ dòng lệnh ta thấy
Tailong
DFVr
DefaceVR
Còn nếu ta sử dụng lệnh Tasklist sẽ rất khó nhìn và phát hiện ñường dẫn. Vì nó có tiến trình svchost.exe trùng tên với tiến trình hệ thống
Con virus này không cho chạy các chương trình như autoruns, processxp. Chỉ ñơn thuần là thực thi việc khởi chạy file virus từ file autoruns, processxp… ở khóa Image File Execution Options chứ chưa thực thi sâu vào. Ta nghĩ ñến việc thay tên chúng (thay autoruns thành tên khác như testtt1, thay processxp thành testt2 chẳng hạn). Chỉ khi nào virus cấm chạy chương trình thực thi ở khóa (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options) thì ta mới có thể thay tên ñể chạy tiếp. Còn có nhiều cách cấm chạy một chương trình khác Sau ñó ta chạy Process explorer. Chọn View chọn Select column tích vào chọn Verified Signer(xác minh chữ ký) và chọn Image Path(xem ñường dẫn). Và vào (Options chọn Verify Images Signatures) Nhìn vào hình dưới ta sẽ thấy có các tiến trình ñang chạy là keyboard.exe, fonts.exe, Global.exe, system.exe, Svchost.exe với các ñường dẫn khác lạ nằm ngoài ñường dẫn hệ thống chính, và không ñược xác minh chữ ký. Vì ñây có nhiều tiến trình chạy cùng lúc nên ta chọn phương pháp tạm dừng tiến Tailong
DFVr
DefaceVR trình(Suspend). Khi tạm dừng tiến trình thì tiến trình ñó sẽ chuyển sang màu nâu như hình dưới mình ñã tạm dừng tiến trình
Ta sử dụng tiếp ICESword ñể xem thế nào
Tailong
DFVr
DefaceVR Và ta thấy các tiến trình của virus cũng ñược ICESword hiện ra rất rõ ràng (với biểu tượng thư mục và biểu tượng bàn tay chia sẻ). Tiếp ñến ta chỉ cần giữ CTRL và chọn các tiến trình muốn tắt rồi chọn Terminate Process thế là các tiến trình ñã bị tắt. Tiếp ñến ta sử dụng autoruns (phải thay lại tên) ñể kiểm tra xem còn có khóa nào ñược tạo ra trong regedit không và file ñường dẫn của nó là gì Hình dưới khi ta kiểm tra tab Logon sẽ thấy nhiều file khởi chạy là boom.vbs, default.exe ngoài những file ta ñã tắt ra. Ta sửa bằng cách delete hết những khóa mà không có phần mô tả(Description), nhà sản xuất(Publisher) ñi.
Tiếp ñến tra kiểm tra ñến tab winlogon. Ta sẽ thấy có file HelpHost.com khởi chạy (Delete ñi)
Tailong
DFVr
DefaceVR
Và ta kiểm tra ñến tab Image Hijacks (chính là khóa image files execution options) mà mình vừa nói ở trên. Sẽ thấy rõ. Ta nhìn ñường dẫn
Sau khi ñã tắt ñược các tiến trình rồi thì bạn có thể nhìn vào các ñường dẫn trên và tìm ñến xóa các file ñó ñi. Hoặc ta chỉ cần dùng công cụ wsyscheck Tailong
DFVr
DefaceVR Xem tiến trình - tích chọn những tiến trình muốn tắt rồi tắt cùng lúc
Rồi nhẩy ñến tab Explorer vào các khóa chính tìm các file .exe, .vbs, .com, .hlp ẩn, và xóa ñi (chỉ hiện những file ẩn tức là tích chọn chế ñộ Only Show Hide Files)
Tailong
DFVr
DefaceVR
Tailong
DFVr
DefaceVR
Bước nữa là bạn vẫn chạy Wsyscheck vào menu Tools ñể sửa lại việc ẩn(Fix Hide File Show), sửa lại chế ñộ safe mode(Fix Boot Safe Mode), dọn dẹp các file trong temp(Clear Temp File), xóa các file autorun.inf ở các ổ ñĩa ñi(Clear Autorun.inf) Và khởi ñộng lại máy
Xem thêm ở ñây: http://www.threatexpert.com/report.aspx?md5=14710877a18cd8c6700927e8de0708dc http://www.hacker-soft.net/article/article/47/232.html
1.3. Gaobot Gaobot/Agobot là một công cụ bot IRC mã mở ñược thiết kế ñể lây lan qua nhiều máy sử dụng Windows. Nguồn Gaobot là cơ sở cho họ Phatbot của hệ thống bots – một số hầu hết ñược tích hợp công nghệ bot sử dụng qua IRC Gaobot có một vài công nghệ chống lại việc remove mà ñược tích hợp tinh vi hơn worm Anti-Removal techniques: Công nghệ chống lại việc remove • Chạy như một dịch vụ • Tự tạo ra khi ñã bị kill • Sửa các khóa regedit của nó khi ta can thiệp vào Thông tin thêm: http://vil.nai.com/vil/content/v_100785.htm Process Explorer hiện Gaobot
Tailong
DFVr
DefaceVR
Cơ chế tái tạo lại của Gaobot
Tailong
DFVr
DefaceVR
Khi ñã bị giết(tiến trình trong màu ñỏ), Gaobot sử dụng ñặc tính như một dịch vụ ở Windows ñể restart chính nó(tiến trình màu xanh) Dịch vụ Gaobot chạy hiện thị từ Autoruns
Tailong
DFVr
DefaceVR
ðây là cách mà Gaobot khởi chạy khi boot vào máy tính(phương pháp sử dụng dự phòng nhằm mục ñích tái tạo lại) Dịch vụ của con Gaobot ñược hiện từ cửa sổ Services Snap-In
Một khóa ñược hiện trong dịch vụ của con Gaobot Tạm dừng(Suspend) Gaobot Tailong
DFVr
DefaceVR
Chọn Suspend(Tạm dừng) ñể dừng tiến trình Gaobot ñang chạy mà chưa giết nó. ðiều này cho phép ta remove dịch vụ của nó mà nó không thể tạo lại Killing Gaobot Giết(Kill) Gaoboot
Tailong
DFVr
DefaceVR
Một dịch vụ ñã bị remove, Gaoboot không thể tự sinh ra nữa khi bị kill
1.4. Backdoor.CAY ðây là backdoor hoạt ñộng ngầm như một keylog(công cụ ghi bàn phím). Nó có sử dụng cả công nghệ rootkit ñể ẩn các file và tiến trình của nó Backdoor.CAY sử dụng một vài công nghệ ngăn cản ẩn và ngăn cản remove Công nghệ chống lại remove (anti-removal) • Tiêm DLLs vào Explorer • Ẩn tiến trình chạy chính • Ẩn thư mục và file từ Explorer Thông tin thêm: http://vil.nai.com/vil/content/v_101037.htm Xem những file DLL ñã bị infect (tiêm nhiễm)
Tailong
DFVr
DefaceVR
Chỉ ra rõ ràng việc tiêm nhiễm các file DLL vào tiến trình Explorer Nhìn Autoruns Ở startup ta sẽ thấy
Tailong
DFVr
DefaceVR
Muốn xem có thư mục “f~a” ko nhưng không thấy tồn tại
Rootkit Revealer hiện các file ẩn
Tailong
DFVr
DefaceVR
IceSword có thể phát hiện các tiến trình
IceSword hiện các hook bàn phím
Tailong
DFVr
DefaceVR
RKDetector2 hiện folder ẩn
Xóa các file với RKDetector2
Tailong
DFVr
DefaceVR
Bắt ép một sự khởi ñộng lại:
Kill Winlogon sẽ xảy ra hiện tượng BsoD sẽ restart lại máy tính mà không có tiến trình nào ñược ñưa racảnh báo ðể kill tiến trình winlogon không xảy ra hiện tượng màn hình xanh(BSoD) ta kill tiến trình smss.exe trước Backdoor.CAY xảy ra lỗi sau khi khởi ñộng lại Tailong
DFVr
DefaceVR
Bây giờ vào Explorer có thể nhìn thấy thư mục ñó
1.5. Hacker Defender (Hàng rootkit) Hacker Defender là một chương trình mang ñầy ñủ các ñặc tính của rootkit. Nó che dấu ít thông tin về bản thân nó hơn các công cụ khác. Trong ví dụ này nó ñã ñược ñóng gói với các công cụ thây ma(zombie) khác sử dụng IRC Hacker Defender ngăn ngừa bị remove bằng cách tránh khỏi sự phát hiện Công nghệ sử dụng của Hacker Defender • Có thể ẩn các files • Có thể ẩn các tiến trình • Có thể ẩn các khóa regedit • Có thể ẩn các cổng TCP/UDP • Có thể ẩn ñĩa mà ñược sử dụng Tailong DFVr
DefaceVR Thông tin thêm: http://www.threatexpert.com/report.aspx?md5=a310a5acc8873dd79eae97374bc18dc2 Process Explorer không nhìn thấy gì cả
Và thường xuyên xảy ra thông báo lỗi
IceSword hiện một vài tiến trình ẩn
Tailong
DFVr
DefaceVR
Có nhiều tiến trình không thể hiển thị trong Process Explorer Mà IceSword có thể hiện cổng bị ẩn ñang lắng nghe
Thậm chí bị vô hình, cổng có thể bị telnet tới
Tailong
DFVr
DefaceVR
IceSword hiện các dịch vụ ẩn
Dừng dịch vụ của Hacker Defender
Tailong
DFVr
DefaceVR
Hacker Defender can also be removed with IceSword by killing the process and performing basic removal.
1.6. Look2Me Look2Me là một chương trình quảng cáo trên các site ñộc hại. Nếu mà ñã bị cài ñặt vào máy tính thì cực kỳ khó gỡ bỏ. Phương pháp chính ñể lẩn tránh việc remove ñược sử dụng bởi họ Look2Me là tiêm nhiễm file DLL và sử dụng công nghệ Winlogon hijacking(ñính file DLL vào khóa notify dưới khóa Winlogon ở regedit) Công nghệ chống lại việc remove • Sử dụng ngẫu nhiên nhiều tên có ñuôi DLL • Tiêm nhiễm vào file winlogon.exe • Làm lại các khóa regedit bằng việc giả mạo chúng • Remove quyền debug từ tất cả người dùng Xem thêm thông tin: http://www.threatexpert.com/report.aspx?md5=24bfa4b48f8692c666924224620907c8 Tiêm nhiễm DLL vào Winlogon
Tailong
DFVr
DefaceVR
Kill winlogon máy tính có thể sẽ bị lỗi màn hình xanh (BSoD). Phải chọn cách tiếp cận khác Người dùng không debug ñược các chính sách ñã ñược thiết lập
Tailong
DFVr
DefaceVR
Có thể hiện thị hay kill hết các tiến trình ñã bị remove Hiện cơ chế Winlogon Hijacking trong Regedit
Look2Me sử dụng việc gán thêm một khóa ở Notify khi Winlogon bắt ñầu khởi chạy Gỡ bỏ tất cả các quyền ưu tiên ở khóa Notify Tailong
DFVr
DefaceVR
1.7. Small Dropper/Qoologic Qoologic là một trong số các chương trình virus quảng cáo phức tạp lây nhiễm qua Internet. Nó tiêm nhiễm các file DLL vào trong mọi tiến trình của người dùng. Nó cũng ẩn các tiến trình khác của nó và các file của nó. Bởi vì mỗi tiến trình sẽ thực thi việc kiểm tra các tiến trình khác, gỡ bỏ nó là một nhiệm vụ không ñơn giản. Công nghệ chống lại việc gỡ bỏ • Sử dụng nhiều tên ngẫu nhiên với ñuôi DLL • Tiêm nhiễm vào tất cả các tiến trình người dùng • Làm lại các khóa regedit với các khóa giả mạo • Ẩn các khóa ở regedit • Ẩn file • Sử dụng trình Control Panel Applet ñể cài ñặt • Làm lại các file thành các file giả mạo • Thay ñổi ứng dụng dựa trên các tool ñã ñược sử dụng Xem thêm ở ñây http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=43264 Các tiến trình ‘Closes’ khi mở Process Explorer
Tailong
DFVr
DefaceVR
ðúng như là Process Explorer mở thì tiến trình của virus ‘closes’. ðây là cách thay ñổi – tiến trình virus vẫn ñang chạy nhưng nó bị ẩn Một file DLL ñược tiêm nhiễm vào trong process explorer
Tailong
DFVr
DefaceVR
Một file DLL(ñôi khi là 2) ñã ñược tiêm nhiễm vào tất cả các tiến trình của người dùng Scan bằng Rootkit Revealer không hiện lên cái gì cả:
Tailong
DFVr
DefaceVR Ít nhất một file không hiện trong Explorer
Explorer không thể nhìn thấy hết các file DLLs và bất cứ tiến trình của file EXE RKDecetor2 không chỉ hiện các file bị ẩn
Autoruns không hiện tất cả các cơ chế khởi chạy
Tailong
DFVr
DefaceVR
Chỉ một vị trí nhỏ của Qoologic không bị ẩn bởi Autoruns IceSword sẽ theo dõi tiến trình mặc dù nó bị ẩn không hiện ñược
Unload các file DLL bị tiêm mã ñộc: Tailong
DFVr
DefaceVR
Gỡ (unload) các file DLL từ những tiến trình bị tiêm nhiễm và giết các malware Qoologic bằng cách tiến trình ñang chạy ñó Hiển thị một số tiến trình chạy lúc khởi ñộng
Kiểm tra thông ñiệp hook ñược sử dụng ñể ẩn từ một vài tool: Tailong
DFVr
DefaceVR
Thực thi việc xóa file:
Removing the Dropper:
Tailong
DFVr
DefaceVR
Tailong
DFVr
DefaceVR
Thay lời kết Còn rất nhiều công cụ hay phát hiện rootkit như Codewalker (cái này rất hay của CMC ñã có hướng dẫn rất chi tiết của bên ñó) và còn nhiều công cụ mình chưa ñược biết tới nữa @new: Khi dùng các tool RKDetector, Rookit unhooker, Radix, Gmer (ñều là những tools phát hiện rootkit) rất có thể bị dump gây ra lỗi màn hình xanh(lúc ñó chỉ cài lại win/hoặc repair lại). Khi ñã phát hiện ra VR và ñã xoá nó ñi bạn nên dùng một phần mềm diệt VR(như Rising antivirus, Antivir…) ñể quét qua một lần nữa cho chắc “cốp” Mình chỉ có một chút ít, tìm kiếm, tham khảo, dịch ñuợc vậy. Cuốn này hướng về phía người dùng cơ bản và tầm trung. Do phần tiếng anh hơi ñuối nên một số mình dịch không sát nghĩa lắm :D. Về Virus còn chia làm nhiều mảng, kỹ thuật viết virus, và còn quá nhiều ñiều ñể bàn cãi, ñể nghiên cứu, học hỏi. Hy vọng cuốn ebook này phần nhỏ nào ñó giúp bạn ñỡ bị nhiễm virus và khi bị nhiễm virus rồi thì có cách hành xử hợp lý hơn chút - Tham khảo: Các công cụ http://seem.about.free.fr http://diamondcs.com.au/software.php http://www.softpedia.com http://www.antirootkit.com/index.htm http://www.usec.at http://helios.miel-labs.com/ http://gmer.net http://technet.microsoft.com/en-us/sysinternals/default.aspx http://www.hijackfree.com/en/hijackfree/ http://swandog46.geekstogo.com http://z-oleg.com Xem thông tin về virus, rootkit http://www.threatexpert.com http://vil.nai.com/vil/default.aspx http://www.ca.com http://rootkit.com http://forum.sysinternals.com/default.asp http://virusvn.com Tất nhiên còn nhiều trang web nữa mình chỉ liệt kê có vậy À và cả: http://google.com Bìa của cuốn ebook mình cắt một phần cover abum live “The Roundhouse Tapes” của Opeth How To Remove Rootkits with IceSword - Mahesh Satyanarayana (swatkat) - (phần dịch của kienmanowar) Advanced Windows Malware Removal - Brandon Enright, bmenrigh@ucsd.edu http://noh.ucsd.edu/~bmenrigh/advanced_malware.ppt TaiLong – DFVr Team
Tailong
DFVr