Tóm tắt Virus

Nội dung text: Tóm tắt Virus

1. I.LÀM QUEN VỚI VIRUS! 1.Định nghĩa về virus: Là 1 phần mềm(chương trình hay 1 đọạn mã) có thể gây hại cho máy tính.Nó có những đặc điểm như sau: - Là một tập hợp các chỉ dẫn. - Được tạo ra một cách cố ý. - Cĩ khả năng tự nhân bản. - Gây ra những tác động khơng mong muốn. 2.Phân Loại Virus: Virus boot Virus file Virus macro Trojan horse Sâu internet –worm 3. Phương Thức Lây Nhiễm : Thiết bị lưu trữ Internet Email Do lỗi phần mềm 4.Phá hoại : Gây lỗi file khởi động máy tính Gây lỗi hệ điều hành Gây lỗi phần mềm Làm giảm hiệu suất hoạt động hệ thống. Làm mất dữ liệu
2. Thay đổi nội dung file 5.Nhận Diện Máy Bị Nhiễm Virus: Hệ thống hoạt động chậm chạp Chương trình hoạt động chậm chạp Các file dữ liệu bị thay đổi nội dung Xuất hịên các website lạ các popup quảng cáo tự động CPU Usage luơn ở mức 100% Xuất hiện một số tập tin lạ trong tab proceses của windows task manager . 6.Cách phòng chống: *Kết nối máy tính an toàn:dùng trình duyệt web có tính năng bảo mật tốt,nên cẩn thận với các thiết bị lưu trữ di động(usb,hddbox, ), *Sử dụng máy tính an tòan:không vào web đen,không tò mòvà tham lam click vào quảng cáo hấp dẫn trên web, nói chung là tinh thần cảnh giác cao độ! *Cài đặt an tòan: không nên cài đặt bất kì 1 chương trình nào mà chưa biết rõ nó có chứa virus hay không!Nhất là các phần mềm crack! *Trang bị hệ thống phòng thủ cho riêng mình: +Nên cài phần mềm chống virus! +Nên có 1firewall vững chắc! +Ngòai ra còn phải co ùcác phần mềm khác như :anti spam,antispyware, II. LỊCH SỬ PHÁT TRIỂN CỦA VIRUS 1949. Lý thuyết đầu tiên về các chương trình tự sao chép ra đời.
3. 1981. Apple II là những virus đầu tiên được phát tán thơng qua hệ điều hành của hãng "Quả táo" 1983 - Để lộ nguyên lý của trị chơi "Core War" "Core War" là một cuộc đấu trí giữa hai đoạn chương trình máy tính do 2 lập trình viên viết ra. Mỗi đấu thủ sẽ đưa một chương trình cĩ khả năng tự tái tạo gọi là Organism vào bộ nhớ máy tính. Khi bắt đầu cuộc chơi, mỗi đấu thủ sẽ cố gắng phá huỷ Organism của đối phương và tái tạo Organism của mình. Đấu thủ thắng cuộc là đấu thủ tự nhân bản được nhiều nhất. 1986 - Brain virus 1987 - Lehigh virus xuất hiện 1988 - Virus lây trên mạng 1989 - AIDS Trojan 1990. Symantec tung ra cơng cụ Norton AntiVirus 1991 - Tequila virus 1992 - Michelangelo virus 1994. Trị lừa qua e-mail đầu tiên xuất hiện trong cộng đồng tin học. 1995 - Concept virus: Sau gần 10 năm kể từ ngày virus máy tính đầu tiên xuất hiện, đây là loại virus đầu tiên cĩ nguyên lý hoạt động gần như thay đổi hồn tồn so với những tiền bối của nĩ. Chúng gây ra một cú sốc cho những cơng ty diệt virus cũng như những người tình nguyện trong lĩnh vực phịng chống virus máy tính. Sau này những virus theo nguyên lý của Concept được gọi chung là virus macro. 1996 - Boza virus 1998. Khơng được đánh giá là nguy hiểm và chưa phát tán rộng, StrangeBrew là virus đầu tiên lây nhiễm vào file Java 1999 - Melissa, Bubbleboy virus: Đây thật sự là một cơn ác mộng với các máy tình trên khắp thế giới. Sâu Melissa khơng những kết hợp các tính năng của sâu Internet và virus marco, mà nĩ cịn biết khai thác một cơng cụ mà chúng ta thường
4. sử dụng hàng ngày là Microsoft Outlook Express để chống lại chính chúng ta 2000 - DDoS, Love Letter virus 2001 - Winux Windows/Linux Virus, Nimda, Code Red virus 2002 - Sự ra đời của hàng loạt loại virus mới III.KHẮC PHỤC SỰ CỐ SAU KHI DIỆT VIRUS! Thơng thường sau khi bị nhiễm virus thì hầu hết các chức năng của windows đều bị khĩa như( folder option để hiển thị file ẩn và file hệ thống, bị khĩa task manager, bị khĩa khơng cho vào registry, ), nếu khơng biết thì phải cài lại windows nhưng cĩ thể khắc phục các tình trạng trên = cách sau ( điều quan trọng là bạn phải diệt tất cả virus trên máy rồi mới thực hiện các bước sau chứ khơng mọi việc làm đĩ điều vơ nghĩa): 1. Bị khĩa registry:( khi gõ lệnh start -> run-> regedit thì nhận được thơng báo "Registry editor has been disabled by your administrator".) Khắc phục: Mở Notepad ra, copy và dán đoạn mã này vào và save nĩ lại thành file UnHookExec.inf [Version]Signature="$Chicago$"Provider=Symantec[DefaultInstall]AddReg=Unh ookRegKey[UnhookRegKey]HKLM, Software\CLASSES\batfile\shell\open\command,,,"""% 1"" %*"HKLM, Software\CLASSES\comfile\shell\open\command,,,"""% 1"" %*"HKLM, Software\CLASSES\exefile\shell\open\command,,,"""% 1"" %*"HKLM, Software\CLASSES\piffile\shell\open\command,,,"""% 1"" %*"HKLM, Software\CLASSES\regfile\shell\open\command,,,"reg edit.exe ""%1"""HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""% 1"" %*"HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,DisableRegistryTools,0x00000020,0 2.Mất mục run trong start menu Triệu chứng: Đáng nhẽ ở menu Start, phải cĩ mục Run để chúng ta chạy các phần mềm khơng nằm trong Start Menu. Nhưng giờ nĩ đã biến mất. Khắc phục: Bấm Start/All Programs/Accessories. Mở Command Prompt. Cửa sổ Command Prompt sẽ xuất hiện. Giờ thì gõ thẳng "Regedit.EXE" vào dịng lệnh của Command Prompt. Bạn sẽ mở được Registry Editor. Bạn tìm đến khố sau:
5. HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced. Ở cửa sổ bên phải, Bạn sẽ thấy một giá trị REG-DWORD với tên "StartMenuRun". Sửa giá trị thành 0 nếu muốn tắt, 1 nếu muốn khố.Hoặc đơn giản là xố nĩ đi. Khởi động lại máy. 3. Bị khĩa Task manager Khi bạn bấm Ctrl-Alt-Del, chỉ thấy nhận được thơng báo "Task Manager has been disabled by your administrator". Cách Khắc phục: Chọn một trong hai cách sau: Cách 1. Thay đổi Registry Bấm Start > Run gõ vào Regedit: Nếu registry bị khố thì thực hiện theo phần 1 của bài viết này.Nếu mục Run bị khố thì thực hiện theo phần 2 của bài viết này.Tìm đến khố sau: KEY_CURRENT_USER\Software\Microsoft\Windows\C urrentVersion\Policies \SystemTại cửa sổ bên phải, bạn sẽ thấy một giá trị REG-DWORD cĩ tên "DisableTaskMgr" Bạn click double để chỉnh sửa giá trị của nĩ như sau: (Value: 1= Cấm Task manager.Value: 0= Mở khố TaskManager). Hoặc đơn giản là xố đi, bạn sẽ mở được Task Manager. Cách 2: Dùng Administrative ToolBây giờ hãy vào START > RUN Nếu mục Run bị khố thì thực hiện theo mục 2 của bài viết này.Gõ vào GPEdit.msc rồi chọn OK Ở cửa sổ Group Policy settings, chọn UserConfiguration\AdministrativeTemplates\System Chọn Options Ctrl+Alt+Delete Chọn Remove Task Manager Nhấn đúp chuột vào vào mục Remove Task Manager và chọn Disable. Bây giờ vào Start > Run. Nếu mục Run bị khố thì thực hiện theo phần 2 của bài viết này.Gõ vào GPEdit.msc rồi chọn OK.Sau đĩ vào tiếp User Configuration/Administrative Template/Windows Component/Windows Explorer Nhấn đúp chuột vào mục REMOVE THE FOLDER OPTIONS và chọn Disable. Xong đĩng lại, ra Run gõ GPUPDATE /FORCE rồi bấm OK. 4. Bị mất folder option của windows( để hiển thị file ẩn và file hệ thống)
6. Triệu chứng: Mở Explorer, tại Menu Tools, thấy biến mất menu Folder Option. Khắc phục: Cĩ 2 cách sau đây: Cách 1: Bấm Start > Run gõ vào Regedit: Nếu Registry bị khố thì thực hiện theo phần 1.Nếu mục Run bị khố thì thực hiện theo phần 2 ở bên dưới. Tìm đến khố sau: User Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\ExplorerSystemKey\HKEY_LOCAL_MA CHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer Bên cửa sổ bên phải bạn sẽ thấy một giá trị REG-DWORD cĩ tên là "NoFolderOptions"Bạn click double để chỉnh sửa giá trị của nĩ như sau:Value: 0 - hiện menu , 1 - ẩn menu. Cách 2: Bây giờ vào Start > Run. Nếu mục Run bị khố thì thực hiện theo phần 2 của bài viết này.Gõ vào GPEdit.msc rồi chọn OK.Sau đĩ vào tiếp User Configuration/Administrative Template/Windows Component/Windows Explorer Nhấn đúp chuột vào mục REMOVE THE FOLDER OPTIONS và chọn Disable. Xong đĩng lại, ra Run gõ GPUPDATE /FORCE rồi bấm OK. IV.DIỆT VIRUS BẰNG TAY!!! 1/Diệt virus Mixa_i(W32mixa.worm) : 1.1Khi máy tính bị nhiễm: *Tự động hát bài Mylove. *Không cho phép hiện các files ẩn. *Bị log off khi vào taskmanager và registry. *Nếu bị diệt bằng antivirus thì máy tính bị log off ngay khi ta log on(tại màn hình wellcome). 1.2Tiến hành diệt: *Vào cmd: +Để end process chương trình virus đang chạy vào cmd ta gõ: tskill mixa tskill mixa_i +Gõ câu lệnh làm hiện các file ẩn:
7. Attrib –s –h –r –a %homedrive%\autorun.inf Attrib –s –h –r –a %homedrive%\mixa_i.exe Attrib –s –h –r –a %homedrive%\windows\mixa_i.exe *Ngòai desktop ấn f3 để search virus xem nó nằm ở đâu để tiến hành tìm diệt: +Chọn search files and folder: gõ mixa. +Tại What size is it? Chọn specify size-all most-gõ vào 1000(mixa có kích thước 988kb) +Tại more advance option:chọn search hidden files and folders. ->search.Sau khi tìm ra tòan bộ virus trên máy ta shift+del nó đi(nhớ tắt system restore) *Sửa registry: start->run->regedit(không sửa sẽ bị tình trạng log on log off) Hkey local machine->software->microsoft->win nt->currenversion->winlogon: Sửa C:\windows\system32\systemio.exe thành C:\windows\system32\userinit.exe Log off máy để lưu registry lại. 2/Diệt virus Phimhot,hangdep,serect: *Tương tự mixa_i nhưng kích thước của phim hot là 82Kb. *Sửa registry: start->run->regedit(không sửa sẽ bị tình trạng log on log off) Hkey local machine->software->microsoft->win nt->currenversion->winlogon: Sửa C:\windows\userinit.exe thành C:\windows\system32\userinit.exe Log off máy để lưu registry lại.
8. V.BẢNG XẾP HẠNG TOP TEN ANTISIRUS NĂM 2008