Wednesday, July 14, 2010

Loại bỏ virus Xuyên Băng SysAnti.exe và SafeSys.exe bằng tay HIỆU QUẢ!

Chào các bạn!

Nhân dịp tham gia chủ đề này ngày hôm qua:
Nhờ giúp diệt con SysAnti.exe trong ổ C:

Lãng khách thấy cách nó chặn các ứng dụng khác với tên file cố định rất là hay. Lãng khách đã test thành công bằng chính cách "gậy ông đập lưng ông" để cho "nghỉ hưu" tiến trình của SysAnti.exe.
Như vậy, đối với các bạn làm chủ tiệm Net, trước khi đóng băng hệ thống, hãy import vào Registry file .reg mà Lãng khách sẽ đề nghị dưới đây sẽ hết sức hiệu quả nhằm phòng chống dạng này.

Chú ý, nếu các bạn biết thêm con phá băng nổi tiếng nào có hẳn một cái tên cố định, giống như SysAnti.exe hay SafeSys.exe tương tự như Lãng khách đã bôi đỏ, các bạn chỉ cần chủ động chèn thêm một dòng vào file .reg trước khi import là OK. Ví dụ, Lãng khách muốn chặn một con chuyên phá băng có tên cụ thể và không đổi là XuyenBang.exe, thì cùng với đoạn code cần thêm sẽ là:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysAnti.exe]
"Debugger"="ntsd -d"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SafeSys.exe]
"Debugger"="ntsd -d"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\XuyenBang.exe]
"Debugger"="ntsd -d"

Còn đây là đoạn code các bạn cần Import trước khi đóng băng hệ thống (nên sử dụng phiên bản Deep Freeze mới nhất thay vì các phiên bản cũ bảo mật kém hơn):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysAnti.exe]
"Debugger"="ntsd -d"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SafeSys.exe]
"Debugger"="ntsd -d"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spoolsv.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:KhongKhongThay"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveAutoRun"=dword:000000ff

Đoạn code nói trên sẽ đồng thời vô hiệu hóa các file hành vi tự động thực thi được gọi bởi tác nhân là file autorun.inf do virus tạo ra. Và do đó, hệ thống sẽ an toàn hơn. Các bạn sẽ hỏi ta làm gì với đoạn code? Hì hì, chỉ cần copy vào NotePad, save as với file name là AntiXuyenBang.reg rồi nhấp đúp, click Yes, khởi động lại máy là OK . Đây là file .reg Lãng khách đã tạo sẵn các key đó, đồng thời làm luôn nhiệm vụ xóa bỏ các key chặn không cho cài AV hay sử dụng các công cụ cần thiết. Do code dài quá không gửi lên được, các bạn vui lòng tải file đính kèm về nhé. Sau khi xả nén, được file .reg, nhấp đúp, click Yes, khởi động lại máy rồi thử test xem sao

Con này khá phức tạp. Safesys.exe các công cụ bình thường không chỉ ra được hết các việc của nó làm. Em mới đưa vào máy ảo mẫu của anh Hà, thì thấy nó hết sức đặc biệt. Khi đưa vào máy ảo, chạy XP SP2 và XP SP3 với DF 6.6 thì nó không làm được gì cả (bản 6.6 này cũng có vài MB thôi, mà không hiểu sao nó mạnh thế ).
Còn con này, nó có đặc điểm đặc biệt, đó là tạo ra service rất lạ. Vào thẳng registry kiểm tra là thấy nó. Lúc đầu, nó tạo file .dll, rồi gọi rundll32.exe gọi. Sau đó, tạo service (một service có tên cố định là DogKiller) với một file tên ngẫu nhiên .tmp trong %temp% và một liên kết tương tự tới một file .fon (trong thư mục %systemroot%\Fonts)...

Điều Lãng khách quan tâm nhất, đó là file SafeSys.exe chỉ có nhiệm vụ tạo ra và đặt các nền móng cho các thành phần khác hoạt động. Các hành động "xây dựng" này tiếp diễn cho đến khi có 2 tiến trình svchost.exe chạy song song. Một tiến trình liên tục kiểm tra vài giây một lần và ghi lại các file autorun.inf cũng như Safesys.exe vào các ổ đĩa gốc và tại %ProgramFiles%\Common Files, một file svcshot.exe khác thì liên lạc ra bên ngoài...

Chính vì nó không sử dụng tiến trình riêng mà lợi dụng svchost.exe của Windows, Lãng khách mới chưa có giải pháp riêng để ngăn chặn trực tiếp nó trong Registry.

Lãng khách sẽ kiểm tra kỹ lại xem cái gì khởi động nó khi có thêm time. Vì dùng lệnh trong command prompt thì không thấy nó chỉ ra được file nào "chỉ thị" hoạt động cho 2 tiến trình svchost.exe nói trên. Chỉ cần tìm ra thành phần khởi động và nội dung "chỉ thị" này là sẽ "bẻ gẫy" được. Tóm lại, con này rất hay, hay hơn con SysAnti.exe (có lẽ SysAnti.exe là con ăn theo SafeSys.exe).
Key Lãng khách cung cấp ở trên chỉ chặn được việc kích hoạt file SafeSys.exe chứ chưa chặn được triệt để cái gì khởi động và chỉ đạo hoạt động của các tiến trình svchost.exe thực thi nói trên (kill chúng đi là không thấy các hoạt động này nữa).

Lãng khách mới Google sơ bộ thì thấy có một số bạn đã phân tích khá kỹ, trong đó có bổ sung thêm các nội dung so với phát hiện của Lãng khách, ví dụ như có nhiễm vào MBR, và dịch vụ svchost.exe của Windows nhằm lây nhiễm qua máy khác của mạng LAN. Tạm thời thì Lãng khách chưa kiểm tra theo các hướng này. Các bạn ai có gì mới chia sẻ thêm nhé . Mục tiêu là ngăn chặn nó khởi động là được .

No comments: