Hướng dẫn rà soát virus, mã độc cơ bản cực kì đơn giản

tgnd

Moderator
Thành viên BQT
18/08/2021
45
73 bài viết
Hướng dẫn rà soát virus, mã độc cơ bản cực kì đơn giản
Xin chào anh em, mình có thằng em tên là từa, hôm nay nó hí hửng bảo em mới tải được phần mềm tự tăng like trên facebook, kết quả chẳng thấy like đâu, chỉ thấy mất nick. Bây giờ lại nhờ mình kiểm tra máy, anh em cùng mình rà soát máy này xem như nào nhé.

Trước tiên mình sử dụng 2 công cụ đơn giản, dễ sử dụng của Microsoft đó là AutoRuns Process Explorer. Anh em có thể tải bản mới nhất tại đây: Autoruns for Windows, Process Explorer. Bắt đầu thôi. (Video ở cuối bài nhé anh em).

1 cut.png

Về Process Explorer tool này từ bản 15 trở đi đã có thêm tính năng check VirusTotal, rất tiện lợi để kiểm tra virus nhanh chóng. Để kiểm tra virus đang chạy trên máy, anh em mở Process Explorer với quyền Administrator và bật 2 tính năng trong menu options: "Verify Image Signatures" và "VirusTotal.com -> Check VirusTotal.com", 1 tính năng trong menu view: "Lower Pane View -> DLLs". (Check virustotal thì máy phải có kết nối mạng nhé anh em).
bat 3 tinh nang 1.png


Sau đó chúng ta sẽ kiểm tra lần lượt từng tiến trình với thông tin từ 2 cột: "Verified Signer", "Virustotal".
Cột Verified Signer: Tiến trình có được xác thực hay không.
  • Verified nghĩa là đã xác thực.
  • No signature was present in the subject nghĩa là không có chữ ký số, chưa xác thực (Virus hay thuộc loại này).
Cột VirusTotal: kết quả kiểm tra virus trên trang Virustotal.com
  • Màu xanh (0/76): Không phát hiện virus.
  • Màu đỏ (x/76): Có "x" phần mềm phát hiện đây là virus.
(Thông thường có một số tiến trình sẽ cho kết quả màu đỏ (1/76)... khi ấy cần dựa vào tính xác thực của phần mềm và các thông tin khác để đưa ra kết luận).

2.5.1.png

Sau khi kiểm tra máy này mình phát hiện được virus trên máy là một dll giả mạo có thông tin đó là "No signature was present in the subject và 49/74": LBTServ.dll -> Như vậy đây chính là virus đang chạy trên máy.
2.7.png

Tiếp theo, vì có thể không phải lúc nào virus cũng sẽ chạy trên máy nên anh em cần kiểm tra, rà soát tiếp bằng tool AutoRuns. Tương tự Process Explorer, để kiểm tra virus trên máy, anh em mở AutoRuns với quyền Administrator và bật 2 tính năng trong menu Options -> Scan Options: "Verify Image Signatures" và "Check VirusTotal.com".

autorun 2 tinh nang.png

Thông tin cần chú ý kiểm tra ở 2 cột: "Publisher" và "Virus Total"
Cột Publisher: Tiến trình có được xác thực hay không.
  • Verified nghĩa là đã xác thực.
  • Not Verified nghĩa là không có chữ ký số, hoặc chưa xác thực (Virus hay thuộc loại này).
Cột Virus Total: kết quả kiểm tra virus trên trang Virustotal.com
  • Màu xanh (0/76): Không phát hiện virus.
  • Màu đỏ (x/76): Có "x" phần mềm phát hiện đây là virus.

autoruns vt check.png

Đợi tool load xong, mình đã tìm ra virus trên máy:

virus autorun.PNG

Như vậy chỉ cần xóa 2 file virus này đi là máy của thằng từa em mình lại bình thường rồi. Trên đây là quá trình sử dụng 2 tool để rà soát máy rất đơn giản, chúc các bạn thành công để bảo vệ máy tính cũng như tài sản của bản thân nhé. Với những loại virus khác khó phát hiện rà soát hơn hẹn anh em ở những bài tiếp theo. Lưu ý: chỉ xóa file đã chắc chắn là virus, nếu chưa chắc chắn có thể để lại bình luận bên dưới để anh em trong diễn đàn trợ giúp nhé.

Video:
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Vampires1607
Bài viết vừa có video vừa có bước chất lượng quá a ơi.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: tgnd
Comment
Bài viết hay, video tốt, rất hữu ích. Cảm ơn tác giả nhiều.
Mong có rất nhiều bài viết như thế này. Hướng dẫn từ đơn giản đến nâng cao.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: tgnd
Comment
Comment
Bài viết ad chất lượng quá :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: tgnd
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Cảm ơn Anh, bài viết quá bổ ích. Mong sẽ có thêm nhiều bài viết như vậy.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: tgnd
Comment
Thẻ
autoruns mã độc process explorer virus
Bên trên