Các tiện ích bảo mật hỗ trợ miễn phí của Kaspersky

QuanTriMang.com - Trong bài viết sau đây, Quản Trị Mạng sẽ giới thiệu với các bạn những công cụ hỗ trợ miễn phí, được nghiên cứu và phát triển bởi Kaspersky Lab – đặc biệt tỏ ra hữu ích trong những trường hợp gần như “không thể cứu chữa” khi người sử dụng gặp phải.

Kaspersky Virus Removal Tool

Được tạo ra để xóa bỏ tất cả những file đã bị lây nhiễm khỏi hệ thống. Phiên bản mới nhất hiện nay là 9.0.0.722, với dung lượng khoảng 71.5 MB. Kaspersky Virus Removal Tool 2010 được áp dụng những công nghệ nhận dạng hiểm họa tiên tiến nhất của Kaspersky Anti VirusAVZ. Việc sử dụng công cụ này thường chỉ áp dụng trong những trường hợp khẩn cấp, và đây chỉ là phương án bảo mật dự phòng. Sau khi loại bỏ các mối hiểm họa trên bất cứ 1 máy tính nào, các bạn cần ngừng sử dụng công cụ này và cài đặt ứng dụng bảo mật khác vào hệ thống.

Các ưu điểm:
- Giao diện đơn giản, dễ sử dụng
- Có thể cài đặt vào các máy tính bị lây nhiễm, dù ở bất cứ mức độ nào. Có hỗ trợ chế độ Safe Mode
- Kết hợp được chức năng quét và phòng chống sự lây lan trong hệ thống, phát hiện các dấu vết và phân tích quá trình hoạt động
- Thu thập thông tin từ hệ thống và các hành động của mã độc để phòng tránh quá trình lây nhiễm tiếp tục xảy ra

Những chức năng chính:
- Xóa bỏ virus, Trojan, worm, các module Spyware, adware theo chế độ tự động hoặc thông thường
- Tiêu diệt tất cả các dòng rootkit phổ biến hiện nay

Yêu cầu tối thiểu của hệ thống:

- Dung lượng trống của ổ cứng tối thiểu 80 MB, có kết nối Internet
- Microsoft Windows 2000 Professional (Service Pack 4 hoặc cao hơn)
- Microsoft Windows XP Home Edition (Service Pack 2 hoặc cao hơn)
- Microsoft Windows XP Professional (Service Pack 2 hoặc cao hơn)
- Với những hệ điều hành trên thì phần cứng tối thiểu như sau CPU Intel Pentium 300 MHz, RAM 256 MB
- Microsoft Windows Vista Home Basic (32-bit)
- Microsoft Windows Vista Home Premium (32-bit)
- Microsoft Windows Vista Business (32-bit)
- Microsoft Windows Vista Enterprise (32-bit)
- Microsoft Windows Vista Ultimate (32-bit)
- Phần cứng áp dụng với những hệ điều hành trên là CPU Intel Pentium 800 MHz 32-bit (x86), RAM 512 MB
- Microsoft Windows 7 Home Premium (32/64 bit)
- Microsoft Windows 7 Professional (32/64 bit)
- Microsoft Windows 7 Ultimate (32/64 bit)
- Yêu cầu phần cứng CPU Intel Pentium 1 GHz 32-bit (x86) / 64-bit(x64), và RAM 1 GB (32-bit) hoặc 2 GB (64-bit)

RectorDecryptor

Được áp dụng với loại mã độc Trojan-Ransom.Win32.Rector, phiên bản mới nhất là 2.3.0.0, dung lượng nhỏ nhẹ, chỉ 188 KB. Tin tặc chủ yếu sử dụng mẫu Trojan-Ransom.Win32.Rector để gây ảnh hưởng đến quá trình hoạt động bình thường của máy tính nạn nhân, chỉnh sửa trái phép dữ liệu để người sử dụng không thể truy cập được. Khi những dữ liệu này đã bị thay đổi (người dùng không thể truy cập được nữa) thì họ sẽ nhận được những thông điệp từ phía tin tặc yêu cầu họ cung cấp thông tin cá nhân hoặc 1 dạng phí như “tiền chuộc” - để đổi lại, họ có thể sẽ nhận lại được dữ liệu gốc. Ứng dụng RectorDecryptor được các chuyên gia bảo mật của Kaspersky nghiên cứu và phát triển, rât dễ sử dụng (vì chương trình có giao diện đồ họa), người dùng chỉ việc tải về từ đường dẫn trên, giải nén và 1 thư mục bất kỳ trên ổ cứng và chạy file RectorDecryptor.exe:

Bấm nút Start scan để bắt đầu quét, ứng dụng sẽ tìm kiếm tất cả những file đã bị mã hóa và giải mã chúng. Chọn Delete crypted files after decryption để xóa tất cả các bản sao của file mã hóa với phần đuôi mở rộng như vscrypt, .infected, .bloc, .korrektor … Khi hoàn tất quá trình này, chương trình sẽ tạo ra file log ghi lại toàn bộ chi tiết hoạt động tại ổ hệ thống (thông thường là ổ C) dưới dạng UtilityName.Version_Date_Time_log.txt, ví dụ như C:\RectorDecryptor.2.2.0_12.08.2010_15.31.43_log.txt

Về bản chất, mẫu Trojan-Ransom.Win32.Rector thường chỉ nhắm vào những file có phần mở rộng là .jpg, .doc, .pdf, .rar. Sau đó, tin tặc sẽ liên lạc với nạn nhân để giải mã dữ liệu qua nickname ††KOPPEKTOP†† hoặc thông tin sau:

ICQ: 557973252 or 481095
EMAIL: v-martjanov@mail.ru

Hoặc địa chỉ website sau:

http://trojan....sooot.cn/
http://malware....66ghz.com/

Những thông tin này được hiển thị trên màn hình desktop máy tính của nạn nhân.


TDSSKiller

Đây là “thuốc đặc trị” dòng mã độc Rootkit.Win32.TDSS, phiên bản mới nhất 2.4.2.1, dung lượng nhỏ - 1.13 MB, các bạn có thể tải trực tiếp tại đây. Dòng Rootkit.Win32.TDSS bao gồm các biến thể khác nhau như Tidserv, TDSServ, Alureon … khi những Rootkit này xâm nhập thành công vào máy tính người sử dụng, hệ thống sẽ rất khó loại bỏ chúng, ngay cả khi được sự hỗ trợ của các sản phẩm của Kaspersky Lab. Về cách thức cơ bản, TDSSKiller sẽ thay thế người sử dụng can thiệp vào Registry để sửa lại những khóa đã bị thay đổi. Đối với những máy tính sử dụng Windows, thuật ngữ rootkit được dùng để chỉ về 1 loại chương trình đặc biệt có thể “chui” vào tất cả các hàm hệ thống (Windows API). Bằng việc xâm nhập và chỉnh sửa lại những hàm chức năng ở mức thấp này – những loại mã độc khác có thể ẩn mình dễ dàng hơn, can thiệp vào những tiến trình của hệ điều hành, che giấu thư mục, file dữ liệu, chỉnh sửa registry … TDSSKiller rất đơn giản, dễ sử dụng vì có giao diện đồ họa, hỗ trợ tốt hệ điều hành Windows 32 và 64 bit. Để sử dụng, các bạn tải trực tiếp từ đường dẫn trên, giải nén vào thư mục bất kỳ trên ổ cứng và chạy file TDSSKiller.exe:

Nhấn nút Start Scan để bắt đầu quét toàn bộ hệ thống, chương trình sẽ rà soát và phát hiện tất cả những đối tượng, file … bị lây nhiễm. Kết quả được chia ra làm 2 nhóm chính: malicious (được nhận dạng) và suspicious (không thể nhận dạng). Khi quá trình quét kết thúc, chương trình sẽ hiển thị danh sách những đối tượng phát hiện với thông tin chi tiết cụ thể. Với malicious objects chương trình sẽ tự động áp dụng cách thức Cure hoặc Delete, với suspicious objects thì người dùng sẽ tự áp dụng phương pháp (mặc định của chương trình là Skip). Hoặc các bạn có thể chọn Quarantine để cách ly hoàn toàn đối tượng bị lây nhiễm, chúng sẽ được lưu vào thư mục trên ổ hệ thống, ví dụ C:\TDSSKiller_Quarantine\23.07.2010_15.31.43

Sau khi bấm Next, chương trình sẽ áp dụng các phương pháp người dùng lựa chọn và sau cùng là hiển thị kết quả. Các bạn nên khởi động lại máy tính để hoàn tất quá trình:

File log này thường được lưu tại ổ hệ thống với dạng UtilityName.Version_Date_Time_log.txt. Ví dụ ở đây là C:\TDSSKiller_Quarantine\23.07.2010_15.31.43

Triệu chứng của máy tính bị nhiễm loại Rootkit.Win32.TDSS (thế hệ thứ nhất - TDL1 và thứ 2 – TDL2), với những người có nhiều kinh nghiệm họ sẽ cố gắng theo dõi dấu vết của các hàm chức năng sau: IofCallDriver, IofCompleteRequest, NtFlushInstructionCache, NtEnumerateKey, NtSaveKey, NtSaveKeyEx ... bằng việc sử dụng tiện ích Gmer:

Với những may tính bị lây nhiễm bởi Rootkit.Win32.TDSS thế hệ thứ 3 (TDL3), chúng thường xuyên “bám” vào file driver hệ thống atapi.sys và thay thế đối tượng device nguyên bản trong đó:


KidoKiller

Cái tên Kido chắc cũng không quá xa lạ với cộng đồng người sử dụng máy tính, với tên nguyên bản là Net-Worm.Win32.Kido (hoặc còn gọi là Conficker, Downadup), chúng chủ yếu tấn công vào những máy tính sử dụng hệ điều hành Microsoft Windows dựa trên nền tảng workstation và server.

Những đặc điểm dễ nhận thấy nhất của dòng Net-Worm.Win32.Kido này là chúng tự tạo ra file autorun.inf và RECYCLED\{SID<....>}\tên_ngẫu_nhiên.vmx trên các thiết bị lưu trữ di động, hoặc trên các thiết bị lưu trữ và chia sẻ dữ liệu trong mạng nội bộ, mặt khác chúng tự lưu trữ trên hệ thống dưới dạng file DLL với tên bất kỳ, ví dụ như sau c:\windows\system32\zorizr.dll. Tự tạo ra các dịch vụ hệ thống với tên gọi ngẫu nhiên, ví dụ knqdgsm. Đồng thời, chúng cố gắng tấn công và xâm nhập vào hệ thống máy tính qua cổng 445 hoặc 139 bằng lỗ hổng MS Windows MS08-067, mặt khác chúng cố gắng dò ra địa chỉ IP chính xác của máy tính bằng địa chỉ sau:

- http://www.getmyip.org/
- http://getmyip.co.uk/
- http://www.whatsmyipaddress.com/
- http://www.whatismyip.org/
- http://checkip.dyndns.org/

Tiếp đến là những dấu hiệu của hệ thống mạng, với lưu lượng dữ liệu tăng đột biến, bắt nguồn từ máy tính bị lây nhiễm. Các chương trình bảo mật sẽ kích hoạt chế độ Intrusion Detection System để thông báo về lỗ hổng Intrusion.Win.NETAPI.buffer-overflow.exploit. Và dễ nhận biết nhất là máy tính không thể truy cập vào website của các công ty bảo mật như: avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky … và do vậy, các bạn không thể kích hoạt bản quyền các ứng dụng bảo mật qua Internet, rất hay gặp là trường hợp của Kaspersky (không ít khách hàng gặp phải tình huống này và cho rằng key kích hoạt không thích hợp, không đúng hoặc nhà cung cấp gửi sai mã cho họ). Nhưng đối với hệ điều hành “cổ” như MS Windows 95, MS Windows 98 hoặc MS Windows ME thì không bị ảnh hưởng bởi Kido. Để hạn chế những lỗ hổng có trên hệ thống – qua đó Kido dễ dàng khai thác và xâm nhập, các chuyên gia bảo mật của Microsoft yêu cầu người dùng áp dụng các bản vá lỗi sau đây: MS08-067, MS08-068MS09-001.

Mặt khác, người sử dụng nên trang bị mật khẩu bảo vệ đủ dài và khó đoán (tối thiểu 6 ký tự và không chứa thông tin có liên quan đến bản thân như ngày sinh nhật, số điện thoại, địa chỉ … ), tắt bỏ tính năng autorun của hệ thống, tải KidoKiller từ đường dẫn trên, giải nén vào bất cứ thư mục nào trên ổ đĩa và chạy file kk.exe, chặn các truy cập đến cổng TCP 445 và 139 trong mục firewall. Sau khi quét bằng kk.exe kết thúc, các bạn có thể giải phóng truy cập đến 2 cổng trên như bình thường.

Nếu trên máy tính có cài đặt những ứng dụng sau:
- Kaspersky Internet Security 2009;
- Kaspersky Anti-Virus 2009;
- Kaspersky Internet Security 7.0;
- Kaspersky Anti-Virus 7.0;
- Kaspersky Internet Security 6.0;
- Kaspersky Anti-Virus 6.0;
- Kaspersky Anti-Virus 6.0 for Windows Workstations;
- Kaspersky Anti-Virus 6.0 SOS;
- Kaspersky Anti-Virus 6.0 for Windows Servers.
Thì hãy tắt tính năng File Anti-Virus (hoặc là Disable tạm thời Kaspersky) rồi mới kích hoạt kk.exe.

SalityKiller

Nhiều người hay gọi đâylà “con virus” chuyên “ăn” những file *.exe trong hệ điều hành Windows, triệu chứng dễ nhận thấy nhất là người dùng không thể sử dụng được các file *.exe như bình thường, và biểu tượng của chúng bị biến đổi về mẫu Classic. Công cụ SalityKiller hoạt động hiệu quả đối với những mẫu Sality sau Virus.Win32.Sality.aa, Virus.Win32.Sality.agVirus.Win32.Sality.bh.

Nếu máy tính bị lây nhiễm nằm trong mô hình mạng local và thuộc domain: trước tiên, các bạn cần tải SalityKiller.zip, giải nén vào thư mục bất kỳ nào đó và chạy file SalityKiller.exe trên từng máy tính trên hệ thống (có thể áp dụng bằng Kaspersky Administration Kit hoặc server group policy). Sau đó xóa bỏ hoàn toàn các khóa registry bị thay đổi bằng công cụ sau Sality_RegKeys.zip, giải nén và chạy file Disable_autorun.reg:

Sau khi quá trình quét trên kết thúc, chạy tiếp các file reg tương ứng với các hệ điều hành từ file nén Sality_RegKeys.zip trên:

- với Windows 2000 - SafeBootWin200.reg
- với Windows XP - SafeBootWinXP.reg
- với Windows 2003 - SafeBootWinServer2003.reg
- với Windows Vista / 2008 - SafebootVista.reg
- với Windows 7 / 2008 R2 - SafebootWin7.reg

Với những máy tính độc lập (không thuộc hệ thống mạng local nào), thì trước tiên các bạn cần tắt bỏ chức năng iSwift and iChecker của những ứng dụng Kaspersky sau:

- Kaspersky Anti-Virus 7.0
- Kaspersky Internet Security 7.0
- Kaspersky Anti-Virus 6.0
- Kaspersky Internet Security 6.0
- Kaspersky Anti-Virus 2009;
- Kaspersky Internet Security 2009;
- Kaspersky Anti-Virus 2010;
- Kaspersky Internet Security 2010;
- Kaspersky Anti-Virus 2011;
- Kaspersky Internet Security 2011;
- Kaspersky PURE;
- Kaspersky Anti-Virus 6.0 for Windows Workstations
- Kaspersky Anti-Virus 6.0 SOS
- Kaspersky Anti-Virus 6.0 for Windows Servers


klwk.com

Chuyên dùng để “đặc trị” dòng Trojan-Dropper.Win32.Agent.ztu và các “đồng minh” của nó, bao gồm:

I-Worm.Zafi.b
I-Worm.Bagle.at,au,cx-dw
Virus.Win32.Implinker.a
Not-a-virus.AdWare.Visiter
Trojan.Win32.Krotten
Email-Worm.Win32.Brontok.n
Backdoor.Win32.Allaple.a
Trojan-Spy.Win32.Goldun.mg
Email-Worm.Win32.Warezov
Virus.Win32.VB.he
IM-Worm.Win32.Sohanad.as
P2P-Worm.Win32.Malas.b
Virus.Win32.AutoRun.acw
Worm.Win32.VB.jn
Trojan.Win32.KillAV.nj
Worm.Win32.AutoRun.cby
Trojan.Win32.Agent.aec
Trojan-Downloader.Win32.Todon.an
Trojan-Downloader.Win32.Losabel.ap
Worm.Win32.AutoRun.czz,daa,dhq,dfx
Net-Worm.Win32.Rovud.a-c
Trojan.Win32.ConnectionServices.x-aa
Worm.Win32.AutoRun.dtx
Worm.Win32.AutoRun.hr
Backdoor.Win32.Agent.lad
FraudTool.Win32.UltimateDefender.cm
Trojan-Downloader.Win32.Agent.wbu
Backdoor.Win32.Small.cyb
FraudTool.Win32.XPSecurityCenter.c
Downloader.Win32.VistaAntivirus.a
FraudTool.Win32.UltimateAntivirus.an
FraudTool.Win32.UltimateAntivirus.ap
Trojan-Spy.Win32.Zbot.dlh
Trojan-Downloader.Win32.Small.abpz
Rootkit.Win32.Ressdt.br
Worm.Win32.AutoRun.lsf
Worm.Win32.AutoRun.epo
Worm.Win32.AutoRun.enw
Backdoor.Win32.UltimateDefender.a
Worm.Win32.AutoRun.pwi
Worm.Win32.AutoRun.pfh
Worm.Win32.AutoRun.qhk
Worm.Win32.AutoRun.ouu
Worm.Win32.AutoRun.bnb
Worm.Win32.AutoRun.ll
AdWare.Win32.Cinmus.sxy
Trojan.Win32.Autoit.eo
Worm.Win32.AutoRun.sct
Worm.Win32.AutoRun.qkn
AdWare.Win32.Cinmus.wsu
Trojan-Ransom.Win32.Taras.a
Trojan-Dropper.Win32.Agent.ztu
Trojan-Downloader.Win32.Agent.Apnd
Worm.Win32.Autorun.qpa
Net-Worm.Win32.Kido.j
Worm.Win32.Autorun.dcw
Trojan.Win32.Feedel.gen
Trojan.Win32.Pakes.mak
Net-Worm.Win32.Kido.r
Net-Worm.Win32.Kido.t
Worm.VBS.Autorun.cq
Worm.Win32.Pinit.ac
Worm.Win32.Pinit.ae
Worm.Win32.Pinit.af
Worm.Win32.Pinit.gen
Net-Worm.Win32.Kido.bw
Net-Worm.Win32.Kido.db
Net-Worm.Win32.Kido.fk
Net-Worm.Win32.Kido.fx
Net-Worm.Win32.Kido.fo
Net-Worm.Win32.Kido.s
Net-Worm.Win32.Kido.dh
Net-Worm.Win32.Kido.ee
Net-Worm.Win32.Kido.gh
Net-Worm.Win32.Kido.fa
Net-Worm.Win32.Kido.gy
Net-Worm.Win32.Kido.ca
Net-Worm.Win32.Kido.by
Net-Worm.Win32.Kido.if
Net-Worm.Win32.Kido.eo
Net-Worm.Win32.Kido.bx
Net-Worm.Win32.Kido.bh
Net-Worm.Win32.Kido.bg
Net-Worm.Win32.Kido.ha
Net-Worm.Win32.Kido.hr
Net-Worm.Win32.Kido.da
Net-Worm.Win32.Kido.dz
Net-Worm.Win32.Kido.cg
Net-Worm.Win32.Kido.eg
Net-Worm.Win32.Kido.eq
Net-Worm.Win32.Kido.bz
Net-Worm.Win32.Kido.do
Net-Worm.Win32.Kido.fw
Net-Worm.Win32.Kido.du
Net-Worm.Win32.Kido.cv
Net-Worm.Win32.Kido.dv

Với dung lượng vô cùng nhỏ chỉ khoảng 166 KB, giải nén ra thư mục hoặc ổ đĩa bất kỳ nào đó (ở đây là ổ F), kích hoạt file klwk.com:

Chạy file klwk.com theo cách trên để rà soát bộ nhớ và tắt bỏ quá trình hoạt động của virus.

Khi sử dụng cú pháp klwk.com /s thì ứng dụng sẽ quét toàn bộ các ổ cứng và phân vùng có trên hệ thống, xóa bỏ những file bị lây nhiễm, khóa những khóa registry có chứa mã độc.

ZbotKiller

Phiên bản gần đây nhất là 1.2.0.0, với dung lượng khoảng 98.9 KB, chuyên dùng để loại bỏ chương trình độc hại Trojan-Spy.Win32.Zbot – được tin tặc sử dụng để đánh cắp thông tin cá nhân có liên quan đến ngân hàng, số tài khoản, mật khẩu …

1 số dấu hiệu của máy tính bị nhiễm loại Trojan này như trong thư mục hệ thống (%windir%\system32 and %AppData% - với Windows Vista là: C:\Windows\System32C:\Users\\AppData còn với Windows XP Professional thì sẽ là C:\WINDOWS\system32C:\Documents and Settings\\Application Data) sẽ đột nhiên xuất hiện 1 hoặc nhiều file lạ sau: ntos.exe, twex.exe, twext.exe, oembios.exe, sdra64.exe, lowsec\\local.ds hoặc lowsec\\user.ds.

Đường dẫn tới những file trên được lưu trữ tại đây:

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit o
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run


Cách thức sử dụng cũng rất đơn giản, chỉ việc tải file từ đường dẫn trên, giải nén và chạy file ZbotKiller.exe, chờ cho quá trình kết thúc và khởi động lại hệ thống.


KatesKiller

Được tạo ra để xóa bỏ triệt để dòng Trojan-PSW.Win32.Kates, phiên bản mới nhất hiện nay là 1.2.2, dung lượng chỉ vào khoảng 91.1 KB.

Một số dấu hiệu của máy tính bị nhiễm Trojan-PSW.Win32.Kates:

- Các chương trình bảo mật phát hiện sự có mặt của trojan trên máy tính, khi xóa những file này đi, chúng lập tức khôi phục dưới những tên khác (riêng với các sản phẩm của Kaspersky thì không xảy ra hiện tượng này)

- Ứng dụng explorer.exe lập tức bị hủy khi người dùng thực hiện lệnh sau: regedit.exe, cmd.exe và Total Commander

- Những file có đuôi mở rộng *.bat và *.reg không thể kích hoạt được

- Những hàm sau được nạp vào hầu hết những tiến trình đang kích hoạt trên hệ thống: CreateProcessW, WSARecv, WSASend, send, connect và recv

Khi sử dụng Gmer, các bạn có thể thấy rõ ràng sự hoạt động của các hàm sau:

Hoặc với Rootkit Unhooker:

Người sử dụng chỉ cần tải KatesKiller tại đây, giải nén và kích hoạt file KatesKiller.exe, chương trình sẽ tìm kiếm và xóa các ứng dụng nguy hiểm, phát hiện các hàm hoạt động ẩn đồng thời hủy hoạt động của những hàm ứng dụng này: CreateProcessW, WSASend, WSARecv, send, recv và recv, xóa bỏ những khóa registry đã bị thay đổi:

clrav.com

Được các chuyên gia Kaspersky tổng hợp và phân loại, clrav.com có thể áp dụng với những loại mã độc sau đây: I-Worm.BleBla.b, I-Worm.Navidad, I-Worm.Sircam, I-Worm.Goner, I-Worm.Klez.a, I-Worm.Klez.e, I-Worm.Klez.f, I-Worm.Klez.g, I-Worm.Klez.h, Win32.Elkern.c, I-Worm.Lentin.a, I-Worm.Lentin.b, I-Worm.Lentin.c, I-Worm.Lentin.d, I-Worm.Lentin.e, I-Worm.Lentin.f, I-Worm.Lentin.g, I-Worm.Lentin.h, I-Worm.Lentin.i, I-Worm.Lentin.j, I-Worm.Lentin.k, I-Worm.Lentin.l, I-Worm.Lentin.m, I-Worm.Lentin.n, I-Worm.Lentin.o, I-Worm.Lentin.p, I-Worm.Tanatos.a, I-Worm.Tanatos.b, I-Worm.Win32.Opasoft.a, I-Worm.Win32.Opasoft.b, I-Worm.Win32.Opasoft.c, I-Worm.Win32.Opasoft.d, I-Worm.Win32.Opasoft.e, I-Worm.Win32.Opasoft.f, I-Worm.Win32.Opasoft.g, I-Worm.Win32.Opasoft.h, I-Worm.Win32.Opasoft.i, I-Worm.Win32.Opasoft.j, I-Worm.Win32.Opasoft.k, I-Worm.Win32.Opasoft.l, I-Worm.Win32.Opasoft.m, I-Worm.Win32.Opasoft.n, I-Worm.Win32.Opasoft.o, I-Worm.Win32.Opasoft.p, I-Worm.Avron.a, I-Worm.Avron.b, I-Worm.Avron.c, I-Worm.Avron.d, I-Worm.Avron.e, I-Worm.LovGate.a, I-Worm.LovGate.b, I-Worm.LovGate.c, I-Worm.LovGate.d, I-Worm.LovGate.e, I-Worm.LovGate.f, I-Worm.LovGate.g, I-Worm.LovGate.h, I-Worm.LovGate.i, I-Worm.LovGate.j, I-Worm.LovGate.k, I-Worm.LovGate.l, I-Worm.Fizzer, I-Worm.Magold.a, I-Worm.Magold.b, I-Worm.Magold.c, I-Worm.Magold.d, I-Worm.Magold.e, Worm.Win32.Lovesan, Worm.Win32.Welchia, I-Worm.Sobig.f, I-Worm.Dumaru.a - I-Worm.Dumaru.m, Trojan.Win32.SilentLog.a, Trojan.Win32.SilentLog.b, Backdoor.Small.d, I-Worm.Swen, Backdoor.Afcore.l - Backdoor.Afcore.ad, I-Worm.Sober.a, I-Worm.Sober.c, I-Worm.Mydoom.a, I-Worm.Mydoom.b, I-Worm.Mydoom.e, I-Worm.Torvil.d, I-Worm.NetSky.b - I-Worm.NetSky.d, TrojanDownloader.Win32.Agent.a - TrojanDownloader.Win32.Agent.j, I-Worm.Bagle.a - I-Worm.Bagle.j, I-Worm.Bagle.n- I-Worm.Bagle.r, I-Worm.Bagle.z, Worm.Win32.Sasser.a - Worm.Win32.Sasser.d, Worm.Win32.Sasser.f, Backdoor.Agent.ac, Trojan.Win32.StartPage.fw

Phiên bản mới nhất hiện nay là 11.0.0.2, dung lượng nhỏ nhẹ ~ 139 Kb, như các công cụ hỗ trợ khác của Kaspersky, người sử dụng chỉ việc tải về, giải nén và chạy file clrav.com.


VirutKiller

Chức năng chính của công cụ này là phát hiện và xóa bỏ dấu vết của botnet client Virus.Win32.Virut.ce, q – chúng chuyên sử dụng để đánh cắp và “vận chuyển” dữ liệu từ máy tính bị lây nhiễm. Để đảm bảo quá trình xử lý loại virus này thành công, các bạn nên tắt bỏ chức năng System Restore của Windows trước tiên, tải VirutKiller, giải nén vào bất cứ thư mục nào trên ổ cứng và chạy file VirutKiller.exe, và các bạn chỉ cần đợi cho quá trình quét kết thúc rồi khởi động lại 1 lần. Khi bắt đầu rà soát, ứng dụng sẽ tìm kiếm và ngắt hoạt động các tiến trình độc hại, kết hợp với việc tìm kiếm các hàm chức năng sau: NtCreateFile, NtCreateProcess, NtCreateProcessEx, NtOpenFile và NtQueryInformationProcess. Tiếp đó, chương trình sẽ đảm nhận nhiệm vụ rà soát, chấm dứt quá trình lây lan và cách ly các file đã bị ảnh hưởng trên toàn bộ ổ cứng.

Antiboot

Chuyên sử dụng để tiêu diệt loại mã độc Backdoor.Win32.Sinowal.deg – chúng có cơ chế hoạt động và ẩn mình vô cùng tinh vi, do đó chúng gần như không thể bị phát hiện trên bất cứ máy tính nào đã bị lây nhiễm. Chúng che giấu các đối tượng bị lây nhiễm đằng sau file nguyên bản của chúng. Bên cạnh đó, phần thân chính của chương trình độc hại này (kernel level driver) không có trong file hệ thống. Chúng thường xuyên ẩn mình tại những khu vực không sử dụng đến tại phân vùng cuối cùng của ổ cứng. Những chương trình độc hại thuộc dòng Backdoor này không cần đến hệ điều hành để khởi động quá trình “làm việc” của chúng, do vậy chúng đặc biệt nguy hiểm bởi vì người dùng không thể biết là có bao nhiêu tin tặc đang “mò mẫm” trong chính máy tính của họ.

Để sử dụng Antiboot, các bạn tải file nén tại đây, giải nén ra 1 thư mục hoặc ổ cứng bất kỳ và chạy file antiboot.exe:

Bấm Y để bắt đầu quá trình phục hồi lại hệ thống:

Chọn Y, sau đó thoát khỏi chương trình và khởi động lại hệ thống.

XoristDecryptor

Trojan-Ransom.Win32.Xorist – loại Trojan được tạo ra để đánh cắp thông tin cá nhân của người sử dụng trên máy tính đã bị lây nhiễm, đồng thời khiến cho hoạt động của máy tính trở nên chập chờn, không ổn định. Sau khi chiếm được dữ liệu, tin tặc sẽ gửi lại về phía người dùng những yêu cầu họ trả phí để lấy lại phần dữ liệu đó.

1 số triệu chứng của máy tính bị nhiễm Trojan-Ransom.Win32.Xorist là họ nhận được yêu cầu gửi đi 1 tin nhắn bất kỳ để giải mã các tập tin đó, font chữ trong văn bản được dùng là Cyrillic – do đó hầu hết mọi người chỉ nhìn thấy những hình ô vuông và ký tự lạ. 1 dấu hiệu khác là sự xuất hiện của file có tên bằng tiếng Nga - Прочти Меня - как расшифровать файлы:

Đi kèm theo đó là file CryptLogFile.txt trong thư mục Windows. Chúng có thể mã hóa những tập tin với đuôi mở rộng sau: doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.

Để sử dụng XoristDecryptor, các bạn tải file nén tại đây, giải nén ra 1 thư mục hoặc ổ cứng bất kỳ và chạy file XoristDecryptor.exe. Chờ quá trình quét kết thúc, các bạn nên khởi động lại máy tính.


PmaxKiller

Đây là công cụ tiện ích được sử dụng để xóa bỏ dòng Rootkit.Win32.PMax – chúng chuyên lây nhiễm vào các hệ điều hành Microsoft Windows 2000, XP, 2003, Vista, 2008 và 7 phiên bản 32 bit. Còn đối với hệ 64 bit thì không bị ảnh hưởng bởi loại mã độc này.

1 số dấu hiệu điển hình của máy tính khi nhiễm loại Rootkit này, các chương trình bảo mật bị ngắt giữa chừng khi đang quét hoặc hoạt động. Bên cạnh đó, tính năng DACL (Discretionary Access Control List) được thiết lập cho các file thực thi bị ngăn chặn không thể khởi động, do đó khi bạn cố gắng kích hoạt 1 chương trình nào đó thì hệ thống sẽ hiển thị thông báo lỗi không được phép do không có quyền.

Nếu sử dụng Gmer để theo dõi các tiến trình, bạn sẽ thấy các module ẩn với đường dẫn có chứa ký tự lạ __max++>:

Cũng như các công cụ khác của Kaspersky, các bạn chỉ cần tải file nén của PMaxKiller tại đây về máy tính, giải nén và kích hoạt file PMaxKiller.exe. Chờ đợi quá trình quét kết thúc và khởi động lại máy tính.

KL Anti-FunLove

Đây là công cụ hỗ trợ chuyên dùng để xóa bỏ hoàn toàn sự có mặt của loại sâu Win32.FunLove ra khỏi máy tính. Quá trình cài đặt và sử dụng rất đơn giản, vì đây là chương trình có giao diện đồ họa, các bạn tải file nén của KL Anti-FunLove tại đây, giải nén và chạy file KL Anti-FunLove.exe:

Nhấn Install để cài đặt, sau đó khởi động lại máy tính. Khi hệ điều hành khởi động lên, chương trình sẽ tiến hành quét trong phần bộ nhớ, ổ cứng … toàn bộ quá trình này đều được hiển thị đầy đủ. Sau khi quá trình quét và xóa bỏ mã độc kết thúc, bạn nên khởi động lại hệ thống 1 lần nữa. Nếu hệ thống hoạt động không ổn định, hãy gỡ bỏ các chương trình bảo mật và cài lại.

Digita_Cure


Khi máy tính của bạn không thể kết nối Internet, đồng thời nhận được những thông báo bằng ngôn ngữ lạ thì có thể máy tính đã bị nhiễm Trojan-Ransom.Win32.Digitala – bao gồm các biến thể sau Get Accelerator, Digital Access, Get Access, Download Manager v1.34. Chúng có khả năng ngăn chặn các kết nối từ hệ thống tới Internet, đồng thời thông báo với người sử dụng phải chấp nhận thỏa thuận từ phía tin tặc bằng cách cung cấp thông tin cá nhân cho chúng, sau đó sẽ được “mở khóa” và truy cập Internet như bình thường.

Dưới đây là 1 số mẫu, với dòng Digital Access:

Get Accelerator:

Get Access:

và Download Manager v1.34:

Để sử dụng Digita_Cure, các bạn tải file này về máy tính, giải nén và chạy file Digita_Cure.exe:

Lưu ý rằng tiện ích này chỉ hoạt động với bản 32 bit của hệ điều hành Microsoft Windows 2000, XP, 2003, Vista, 2008 và 7, vì bản 64 bit không bị ảnh hưởng bởi Trojan-Ransom.Win32.Digitala.

Anti-Nimda

Đây là công cụ cuối cùng trong danh sách hỗ trợ của Kaspersky, chuyên dùng để “điều trị” loại virus I-Worm.Nimda, vốn lây lan mạnh mẽ qua Internet bằng trình duyệt Internet Explorer. Tải file antinimd, giải nén và chạy file antinimd.exe. Chờ quá trình quét này kết thúc và khởi động lại máy tính. Kiểm tra lại sự tồn tại của các thư viện hệ thống bằng chức năng Search với tên: MMC.EXE, RICHED20.DLL, LOAD.EXE RICHED20.DLL, MMC.EXE (Microsoft Management Console). Nếu bất kỳ file DLL nào bị phát hiện có dấu hiệu bị lây nhiễm, các bạn nên xóa bỏ chúng đi và thay thế bằng DLL “sạch” trên máy tính khác có cùng hệ điều hành.

Một lần nữa, chúng tôi khuyên các bạn nên sử dụng các chương trình an ninh của những hãng danh tiếng, có uy tín như Kaspersky, BitDefender, Avira, Norton, Panda … tất cả đều có sẵn trên gian hàng của công ty cổ phần mạng trực tuyến Meta. Các bạn có thể tham khảo thêm chi tiết tại đây hoặc đây. Chúc các bạn thành công!

Thứ Ba, 14/09/2010 13:09
21 👨 2.827
0 Bình luận
Sắp xếp theo
z