Trong một thời gian dài
trên Internet có thể
máy bạn sẽ bị “dính”
Trojan mà bạn không hề
hay biết – một điều vô
cùng nguy hiểm, mà bạn
lại chẳng muốn thế tí
nào. Để đề phòng bạn
phải kiểm tra PC của bạn
có nhiểm trojan hay
không một cách thường
xuyên.
Bạn có thể làm điều này
bằng các chương trình
Anti Virus và Anti
Trojan ( Chẳng hạn như
TFAK, AVP, TDS...) như
kết quả hầu như luôn
luôn bằng 0, vì các
chương trình ấy không
bao giờ tìm được bất
cứ con trojan nào ( ngay
cả 1 số chương trình
được cập nhật hàng
ngày). Tôi sẽ chỉ cho các
bạn cách check PC của
bạn.
+ Làm sao tôi có thể
biết PC của tôi đã bị
nhiễm Trojan ?
Đầu tiên, các bạn phải
check các cổng (port)
của bạn. Điều này có thể
thực hiện bởi một số
chương trình như :
Portcheck,
Portscanning... hoặc
bằng chương trình
Netstat trong MS-Dos
của Windows.
Các bạn mở MS-Dos
Commandline ( trước
đó các bạn phải offline
caí đã) và đánh vào
lệnh : netstat-a
Kế đó các bạn sẽ thấy
một vài thứ tương tự
như sau :
Active Connections
Proto Local Address
Foreign Address State
TCP _:31337
0.0.0.0:45178 LISTENING
UDP _:31337 *:*
Hãy nhìn xem, kia là
một chương trình được
“nghe” thấy ở cổng
31337 một chương
trình dành cho TCP-
Connection. Đó là cách
chạy đặc thù của các
con trojan, chúng đợi
một acttacker kết nối
với chúng và gửi cho
chúng các lệnh… Một
người giàu kinh nghiệm
có thể nhận biết các
cổng mà trojan sử dụng.
( trong trường hợp trên
31337 = Backdoor
Office)
Đối với những người
chưa có kinh nghiệm, họ
sẽ sử dụng những
chương trình quét virus.
Nhưng sẽ rất khó để
tìm được sự tồn tại
của trojan.
Sau đó bạn cần kiểm tra
những chương trình
đang chạy ( nhưng
không phải với Windows
Taskmanager – Alt +
Ctrl + Del) bởi vì nó có
thể tự che giấu mình khi
kiểm tra bằng Windows
Taskmanager. Tốt hơn
là các bạn nên sử dụng
một Taskmanager khác
để thay thế, chẳng hạn
như CCTASK. Các bạn
nên khởi động lại máy
(reboot) trước khi kiểm
tra, vì chúng ta muốn
nhìn thấy các chương
trình được chạy khi
Windows khởi động.
Nếu bạn phát hiện ra
một thứ gì đó đáng
nghi, hãy save file đó ở
một nơi đặc biệt và xóa
nó đi.
Một vài khả năng khác
ta có thể tìm thấy các
con trojan kiểm soát
các file system để nó có
thể tự động chạy khi
Windows khởi động.
Trong các file:
Autoexec.bat : file này
kiểm soát các lệnh ‘del’
và ‘format’ và các lệnh
trong Dos…, giúp cho các
file có thể tự chạy khi
khởi động Windows.
(MS-Dos file)
Win.ini : file kiểm soát
các lệnh như : ‘load=’ và
‘run=’ câu lệnh này sẽ
giúp bạn chạy các file
mà bạn cho đường dẫn
đến.
System.ini :file này cho
phép sử dụnh lệnh
‘shell=’ để gọi một
chương trình khi khởi
động PC.
Registry : có một vài
khả năng để khởi động
một file với sự trợ giúp
cua Registry. Bạn có thể
kiểm tra các chương
trình bạn muốn bằng
‘Registry.exe’:
HKEY_CURRENT_USER
\SOFTWARE\Microsoft
\Windows
\CurrentVersion\Run
HKEY_CURRENT_USER
\SOFTWARE\Microsoft
\Windows
\CurrentVersion
\RunOnce
HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft
\Windows
\CurrentVersion\Run
HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft
\Windows
\CurrentVersion
\RunOnce
HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft
\Windows
\CurrentVersion
\RunOnceEx
HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft
\Windows
\CurrentVersion
\RunServices
HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft
\Windows
\CurrentVersion
\RunServicesOnce
Nhưng ở đây lại có 3
mục khác:
HKEY_CLASSES_ROOT
\exefile\shell\open
\command
HKEY_CLASSES_ROOT
\comfile\shell\open
\command
HKEY_CLASSES_ROOT
\batfile\shell\open
\command
Trong các key này nếu
thế vào bằng các
đường dẫn đúng thì khi
khởi động máy, các file
ấy sẽ được chạy. Bạn
phải thay đổi các thiết
lập này để các con
trojan không thể chạy
được.
Chú ý, khi bạn thay đổi
các thiết lập này, nếu
bạn mắc bất cứ lỗi nào
thì sau này bạn sẽ
không thể khởi động
được file đó.
Các mục mặc định
thường là: "%1" %*
Một vài biểu hiện để
phát hiện ra Trojan:
+ Biểu hiện khác lạ của
PC.
+Messageboxes với
những nội dung kì quặc,
đáng nghi.
+Xoá file.
+PC chạy chậm hơn.
+Làm sao để remove
Trojan ?
Khi đã biết máy mình bị
nhiễm trojan các bạn có
thể làm theo các bước
sau để remove nó:
1/ Kill chương trình với
Taskmanager (rất quan
trọng vì một số chương
trình có khả năng tự
khôi phục chức năng
Auto Start).
2/Xóa bỏ chức năng
Auto Start.
3/Save file ở một nơi
khác và xoá nó đi.
4/Khởi dộng lại máy và
check máy lại xem có
Trojan không.
5/Nếu có lỗi, khôi phục
lại file và khởi động lại
máy.
6/Gửi con Trojan tới :
7/Thay đổi Password
của bạn.
8/Nếu may mắn, TFAK
sẽ sớm tìm ra con
trojan này.
Nếu các bạn làm đúng
theo các chỉ dẩn này thì
các bạn sẽ phát hiện và
remove được 99% tất
cả các con trojan.
trên Internet có thể
máy bạn sẽ bị “dính”
Trojan mà bạn không hề
hay biết – một điều vô
cùng nguy hiểm, mà bạn
lại chẳng muốn thế tí
nào. Để đề phòng bạn
phải kiểm tra PC của bạn
có nhiểm trojan hay
không một cách thường
xuyên.
Bạn có thể làm điều này
bằng các chương trình
Anti Virus và Anti
Trojan ( Chẳng hạn như
TFAK, AVP, TDS...) như
kết quả hầu như luôn
luôn bằng 0, vì các
chương trình ấy không
bao giờ tìm được bất
cứ con trojan nào ( ngay
cả 1 số chương trình
được cập nhật hàng
ngày). Tôi sẽ chỉ cho các
bạn cách check PC của
bạn.
+ Làm sao tôi có thể
biết PC của tôi đã bị
nhiễm Trojan ?
Đầu tiên, các bạn phải
check các cổng (port)
của bạn. Điều này có thể
thực hiện bởi một số
chương trình như :
Portcheck,
Portscanning... hoặc
bằng chương trình
Netstat trong MS-Dos
của Windows.
Các bạn mở MS-Dos
Commandline ( trước
đó các bạn phải offline
caí đã) và đánh vào
lệnh : netstat-a
Kế đó các bạn sẽ thấy
một vài thứ tương tự
như sau :
Active Connections
Proto Local Address
Foreign Address State
TCP _:31337
0.0.0.0:45178 LISTENING
UDP _:31337 *:*
Hãy nhìn xem, kia là
một chương trình được
“nghe” thấy ở cổng
31337 một chương
trình dành cho TCP-
Connection. Đó là cách
chạy đặc thù của các
con trojan, chúng đợi
một acttacker kết nối
với chúng và gửi cho
chúng các lệnh… Một
người giàu kinh nghiệm
có thể nhận biết các
cổng mà trojan sử dụng.
( trong trường hợp trên
31337 = Backdoor
Office)
Đối với những người
chưa có kinh nghiệm, họ
sẽ sử dụng những
chương trình quét virus.
Nhưng sẽ rất khó để
tìm được sự tồn tại
của trojan.
Sau đó bạn cần kiểm tra
những chương trình
đang chạy ( nhưng
không phải với Windows
Taskmanager – Alt +
Ctrl + Del) bởi vì nó có
thể tự che giấu mình khi
kiểm tra bằng Windows
Taskmanager. Tốt hơn
là các bạn nên sử dụng
một Taskmanager khác
để thay thế, chẳng hạn
như CCTASK. Các bạn
nên khởi động lại máy
(reboot) trước khi kiểm
tra, vì chúng ta muốn
nhìn thấy các chương
trình được chạy khi
Windows khởi động.
Nếu bạn phát hiện ra
một thứ gì đó đáng
nghi, hãy save file đó ở
một nơi đặc biệt và xóa
nó đi.
Một vài khả năng khác
ta có thể tìm thấy các
con trojan kiểm soát
các file system để nó có
thể tự động chạy khi
Windows khởi động.
Trong các file:
Autoexec.bat : file này
kiểm soát các lệnh ‘del’
và ‘format’ và các lệnh
trong Dos…, giúp cho các
file có thể tự chạy khi
khởi động Windows.
(MS-Dos file)
Win.ini : file kiểm soát
các lệnh như : ‘load=’ và
‘run=’ câu lệnh này sẽ
giúp bạn chạy các file
mà bạn cho đường dẫn
đến.
System.ini :file này cho
phép sử dụnh lệnh
‘shell=’ để gọi một
chương trình khi khởi
động PC.
Registry : có một vài
khả năng để khởi động
một file với sự trợ giúp
cua Registry. Bạn có thể
kiểm tra các chương
trình bạn muốn bằng
‘Registry.exe’:
HKEY_CURRENT_USER
\SOFTWARE\Microsoft
\Windows
\CurrentVersion\Run
HKEY_CURRENT_USER
\SOFTWARE\Microsoft
\Windows
\CurrentVersion
\RunOnce
HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft
\Windows
\CurrentVersion\Run
HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft
\Windows
\CurrentVersion
\RunOnce
HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft
\Windows
\CurrentVersion
\RunOnceEx
HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft
\Windows
\CurrentVersion
\RunServices
HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft
\Windows
\CurrentVersion
\RunServicesOnce
Nhưng ở đây lại có 3
mục khác:
HKEY_CLASSES_ROOT
\exefile\shell\open
\command
HKEY_CLASSES_ROOT
\comfile\shell\open
\command
HKEY_CLASSES_ROOT
\batfile\shell\open
\command
Trong các key này nếu
thế vào bằng các
đường dẫn đúng thì khi
khởi động máy, các file
ấy sẽ được chạy. Bạn
phải thay đổi các thiết
lập này để các con
trojan không thể chạy
được.
Chú ý, khi bạn thay đổi
các thiết lập này, nếu
bạn mắc bất cứ lỗi nào
thì sau này bạn sẽ
không thể khởi động
được file đó.
Các mục mặc định
thường là: "%1" %*
Một vài biểu hiện để
phát hiện ra Trojan:
+ Biểu hiện khác lạ của
PC.
+Messageboxes với
những nội dung kì quặc,
đáng nghi.
+Xoá file.
+PC chạy chậm hơn.
+Làm sao để remove
Trojan ?
Khi đã biết máy mình bị
nhiễm trojan các bạn có
thể làm theo các bước
sau để remove nó:
1/ Kill chương trình với
Taskmanager (rất quan
trọng vì một số chương
trình có khả năng tự
khôi phục chức năng
Auto Start).
2/Xóa bỏ chức năng
Auto Start.
3/Save file ở một nơi
khác và xoá nó đi.
4/Khởi dộng lại máy và
check máy lại xem có
Trojan không.
5/Nếu có lỗi, khôi phục
lại file và khởi động lại
máy.
6/Gửi con Trojan tới :
7/Thay đổi Password
của bạn.
8/Nếu may mắn, TFAK
sẽ sớm tìm ra con
trojan này.
Nếu các bạn làm đúng
theo các chỉ dẩn này thì
các bạn sẽ phát hiện và
remove được 99% tất
cả các con trojan.
![[cXF] Icons in More options menu](/data/resource_icons/0/432.jpg?1730710877){kind=icon}
![Arabic Language Pack [vBulletin 6.0.0]](/data/resource_icons/0/431.jpg?1728563962){kind=icon}
![[cXF] Sticky Postbit](/data/resource_icons/0/429.jpg?1728039111){kind=icon}
