Hướng dẫn rà soát virus, mã độc cơ bản cực kì đơn giản

Thảo luận trong 'Virus/Malware' bắt đầu bởi tgnd, 14/11/21, 06:11 PM.

  1. tgnd

    tgnd Moderator Thành viên BQT

    Tham gia: 18/08/21, 10:08 AM
    Bài viết: 17
    Đã được thích: 15
    Điểm thành tích:
    3
    Xin chào anh em, mình có thằng em tên là từa, hôm nay nó hí hửng bảo em mới tải được phần mềm tự tăng like trên facebook, kết quả chẳng thấy like đâu, chỉ thấy mất nick. Bây giờ lại nhờ mình kiểm tra máy, anh em cùng mình rà soát máy này xem như nào nhé.

    Trước tiên mình sử dụng 2 công cụ đơn giản, dễ sử dụng của Microsoft đó là AutoRuns Process Explorer. Anh em có thể tải bản mới nhất tại đây: Autoruns for Windows, Process Explorer. Bắt đầu thôi. (Video ở cuối bài nhé anh em).

    1 cut.png

    Về Process Explorer tool này từ bản 15 trở đi đã có thêm tính năng check VirusTotal, rất tiện lợi để kiểm tra virus nhanh chóng. Để kiểm tra virus đang chạy trên máy, anh em mở Process Explorer với quyền Administrator và bật 2 tính năng trong menu options: "Verify Image Signatures" và "VirusTotal.com -> Check VirusTotal.com", 1 tính năng trong menu view: "Lower Pane View -> DLLs". (Check virustotal thì máy phải có kết nối mạng nhé anh em).
    bat 3 tinh nang 1.png

    Sau đó chúng ta sẽ kiểm tra lần lượt từng tiến trình với thông tin từ 2 cột: "Verified Signer", "Virustotal".
    Cột Verified Signer: Tiến trình có được xác thực hay không.
    • Verified nghĩa là đã xác thực.
    • No signature was present in the subject nghĩa là không có chữ ký số, chưa xác thực (Virus hay thuộc loại này).
    Cột VirusTotal: kết quả kiểm tra virus trên trang Virustotal.com
    • Màu xanh (0/76): Không phát hiện virus.
    • Màu đỏ (x/76): Có "x" phần mềm phát hiện đây là virus.
    (Thông thường có một số tiến trình sẽ cho kết quả màu đỏ (1/76)... khi ấy cần dựa vào tính xác thực của phần mềm và các thông tin khác để đưa ra kết luận).

    2.5.1.png

    Sau khi kiểm tra máy này mình phát hiện được virus trên máy là một dll giả mạo có thông tin đó là "No signature was present in the subject và 49/74": LBTServ.dll -> Như vậy đây chính là virus đang chạy trên máy.
    2.7.png

    Tiếp theo, vì có thể không phải lúc nào virus cũng sẽ chạy trên máy nên anh em cần kiểm tra, rà soát tiếp bằng tool AutoRuns. Tương tự Process Explorer, để kiểm tra virus trên máy, anh em mở AutoRuns với quyền Administrator và bật 2 tính năng trong menu Options -> Scan Options: "Verify Image Signatures" và "Check VirusTotal.com".

    autorun 2 tinh nang.png

    Thông tin cần chú ý kiểm tra ở 2 cột: "Publisher" và "Virus Total"
    Cột Publisher: Tiến trình có được xác thực hay không.
    • Verified nghĩa là đã xác thực.
    • Not Verified nghĩa là không có chữ ký số, hoặc chưa xác thực (Virus hay thuộc loại này).
    Cột Virus Total: kết quả kiểm tra virus trên trang Virustotal.com
    • Màu xanh (0/76): Không phát hiện virus.
    • Màu đỏ (x/76): Có "x" phần mềm phát hiện đây là virus.

    autoruns vt check.png

    Đợi tool load xong, mình đã tìm ra virus trên máy:

    virus autorun.PNG

    Như vậy chỉ cần xóa 2 file virus này đi là máy của thằng từa em mình lại bình thường rồi. Trên đây là quá trình sử dụng 2 tool để rà soát máy rất đơn giản, chúc các bạn thành công để bảo vệ máy tính cũng như tài sản của bản thân nhé. Với những loại virus khác khó phát hiện rà soát hơn hẹn anh em ở những bài tiếp theo. Lưu ý: chỉ xóa file đã chắc chắn là virus, nếu chưa chắc chắn có thể để lại bình luận bên dưới để anh em trong diễn đàn trợ giúp nhé.

    Video:
     
    Chỉnh sửa cuối: 14/11/21, 06:11 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Toro, nktung, Vampires1607 and 7 others like this.
  2. tathoa0607

    tathoa0607 Moderator Thành viên BQT

    Tham gia: 14/01/21, 08:01 AM
    Bài viết: 11
    Đã được thích: 3
    Điểm thành tích:
    3
    Bài viết vừa có video vừa có bước chất lượng quá a ơi.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    tgnd thích bài này.
  3. tgnd

    tgnd Moderator Thành viên BQT

    Tham gia: 18/08/21, 10:08 AM
    Bài viết: 17
    Đã được thích: 15
    Điểm thành tích:
    3
    Hi, cũng muốn edit video chi tiết hơn, mà vẫn lười quá :D
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. Nguyễn Thanh Lâm

    Nguyễn Thanh Lâm New Member

    Tham gia: 06/05/18, 04:05 PM
    Bài viết: 2
    Đã được thích: 2
    Điểm thành tích:
    3
    Bài viết hay, video tốt, rất hữu ích. Cảm ơn tác giả nhiều.
    Mong có rất nhiều bài viết như thế này. Hướng dẫn từ đơn giản đến nâng cao.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    tgnd thích bài này.
  5. tgnd

    tgnd Moderator Thành viên BQT

    Tham gia: 18/08/21, 10:08 AM
    Bài viết: 17
    Đã được thích: 15
    Điểm thành tích:
    3
    Cảm ơn bạn :D
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Nguyễn Thanh Lâm thích bài này.
  6. whiteLMK

    whiteLMK Well-Known Member

    Tham gia: 19/02/21, 09:02 AM
    Bài viết: 61
    Đã được thích: 16
    Điểm thành tích:
    8
    Bài viết ad chất lượng quá :D
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    tgnd thích bài này.
  7. tgnd

    tgnd Moderator Thành viên BQT

    Tham gia: 18/08/21, 10:08 AM
    Bài viết: 17
    Đã được thích: 15
    Điểm thành tích:
    3
    Cảm ơn bạn, chia sẻ giúp mình có thêm động lực viết những bài chất lượng hơn nha!
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. Mr JohnAPC

    Mr JohnAPC New Member

    Tham gia: Thứ tư
    Bài viết: 1
    Đã được thích: 1
    Điểm thành tích:
    3
    Cảm ơn Anh, bài viết quá bổ ích. Mong sẽ có thêm nhiều bài viết như vậy.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    tgnd thích bài này.
  9. tgnd

    tgnd Moderator Thành viên BQT

    Tham gia: 18/08/21, 10:08 AM
    Bài viết: 17
    Đã được thích: 15
    Điểm thành tích:
    3
    Cảm ơn bạn.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. Ginny Hà
  2. HustReMw
  3. Trần Tuấn Đạt
  4. WhiteHat Team
  5. tgnd