[Hướng dẫn] Dùng System Explorer và Xuetr để quan sát - Diệt Malware triệt để hơn.

[Tran Quang Ha]

I. Lời giới thiệu:

- Chào các bạn, tiếp nối 2 chủ để của Lãng khách, Tuấn Anh hôm nay Q.Hà thay mặt nhóm King of the Dark xin phép viết tiếp tut này nhằm giúp các bạn chủ động trong cách phòng chống virus và tự mình có thể giải quyết các vấn đề liên quan đến vấn đề virus.

- Trong thực tế có rất nhiều soft theo dõi sự thay đổi hệ thống, nhưng bằng kinh nghiệm của mình khi test virus, bản thân Q.Hà nhận thấy System Explorer là soft rất đáng để quan tâm vì: System Explorer chạy trực tiếp dạng portable, nhiều ứng dụng được đóng gói trong một, chạy nhẹ nhàng và nhanh, quan sát hệ thống tương đối đầy đủ, định kỳ nâng cấp và đặc biệt là free.

- Q.Hà xin đưa ra một số kinh nghiệm của mình đã tích lũy được sau những lần phân tích mẫu.

II. Tổng quan về System Explorer

Tác giả : Mister Group
Phiên bản : 2.3.8.xxx. Giấy phép: Miễn phí
HĐH : Windows 2000/XP/Vista/7
Trang chủ : systemexplorer.mistergroup.org
Link tải:

Code:

http://www.systemexplorer.net/downloadp.php

- System Explorer là chương trình theo dõi hệ thống với nhiều tính năng và hoàn toàn miễn phí. System Explorer tương thích với Windows XP, Windows Vista và Windows 7. System Explorer miễn phí cho việc sử dụng cá nhân hoặc thương mại hóa. Chương trình có các tính năng sau:

+ Hiển thị thông tin chi tiết về các chương trình đang chạy bao gồm đường dẫn chính xác nơi chương trình chạy. Khác hẳn với Task Manager của Windows chỉ có thể hiển thị thông tin về tên chương trình.



- Hiển thị thông tin về một chương trình cho phép biết tất cả các tham số chạy chương trình điều này rất hữu ích cho những ai muốn chạy bằng chương trình cmd của Windows.
+ Khi bạn gặp rắc rối với việc xóa một tập tin mà không thể xóa được do có một chương trình đang chiếm giữ, nhưng lại không thể biết là chương trình nào, kết quả là không thể xóa được tập tin. Thành phần "Opened Files" cho phép xem tất cả các tâp tin đang được mở và từ đây có thể chọn "Close Handle" để đóng tập tin và bạn có thể xóa hoặc thao tác lại trên tập tin đó

+ Dễ dàng kiểm tra các file khả nghi thông qua VirusTotal hoặc Jotti.

+ Kiểm tra các Sevices của hệ thống:




+ Đồ thị theo dõi việc sử dụng tài nguyên hệ thống theo thời gian.



+ Hệ thống Snapshots cho việc tìm kiếm cực dễ những thay đổi hệ thống.






+ Hỗ trợ đa ngôn ngữ và Plugin.
+ Ngoài ra System Explorer còn quản lý các chương trình chạy lúc khởi động, các service của Windows, các driver, các connection đến hệ thống máy tính của bạn, các add-on của Internet Explorer, và chương trình Uninstall cho phép gỡ bỏ các chương trình đã cài đặt.


III. Sử dụng System Explorer để theo dõi hành động của virus.

1. Chuẩn bị:
- Máy ảo (Q.Hà SD máy ảo VMware Workstation);
- Tiến hành cài VMware Workstation, cài Win và các soft cần thiết.



- Tạo Snapshots (để lấy môi trường sạch ban đầu)- Đã có hướng dẫn trên Bkav Forum.






2. Dùng System Explorer để theo dõi những tác động của virus lên hệ điều hành.

- Bước 1: Tiến hành "chụp ảnh hệ thống", các bạn chú ý hãy tắt toàn bộ các chương trình không cần thiết để KQ được chính xác hơn. (Trong các soft theo dõi sự thay đổi của hệ thống Q.Hà thấy SystemExplorer có thời gian quét nhanh nhất-> kết nhất, mặc dù nó đã qua khá nhiều thông tin về sự thay đổi của hệ thống).

Trong quá trình quan sát, nên hạn chế mở thêm bất kì chương trình ứng dụng nào, điều này cũng nhằm mục đích nêu trên.
Đương nhiên là phải tiến hành trên máy sạch rồi. (hãy cân nhắc trước khi cho dính Malware vào máy nhé)

Bước 2: Kích hoạt virus (ở đây Q.Hà đã thả em Foto mới nhất ra máy ảo).



- Bước 3: Chụp lại ảnh thông tin File & Registry toàn hệ thống máy tính, để so sánh những biến đổi của hệ thống do virus tác động.



- Bước 4: Tiến hành so sánh (Compare Snapshost):

Lưu ý: Vì mỗi Malware có mỗi kiểu tạo - xóa - sửa các Files - Folders - Registry khác nhau trong những khoảng thời gian khác nhau, nên ta sẽ không rõ được Malware có làm liền hết công việc của nó ngay khi dính vào máy ta. Bởi thế cần có một khoảng thời gian chờ để Malware có thể làm hoàn tất các công việc tạo - xóa - sửa rồi mới tiến hành chụp tiếp tấm ảnh thứ 2 này.
Nếu thực sự muốn chắc chắn hơn về việc Malware có làm gì thêm sau đó hay không. Ta lại tiến hành chụp tấm ảnh thứ 3 ....

- Đọc log:



- Bước 5: Tiến hành diệt virus (khi đã nắm được các thông tin về virus).

- Tiến hành tắt tiến trình (process) của Malware: (Có thể kết hợp với XueTr, nhưng "em Foto này yếu quá Q.Hà dùng chính SystemExplorer để thực hiện mà không cần đến XueTr).



- Xóa key khởi động và các file, folder do virus đã tạo ra. Hồi phục lại các File - Folder - Registry Key bị Malware xóa (hoặc thay đổi).

Chú ý: Nếu gặp loại Virus nào khó có thể xóa trong Windows. Ta tiến hành Boot vào Dos hoặc NC để xóa (dựa trên các thông tin lấy được từ Snapshots), hoặc các bạn nhờ đến sức mạnh của XueTr)
Đây chỉ là công cụ hỗ trợ diệt Virus_Malware bằng tay. Và nên nhớ rằng, Virus_Malware nào lây file thì khó có thể giải quyết bằng tay được, Do đó PC của bạn vẫn cần có một AV đủ mạnh để thường trực bảo vệ

- Các bạn có thể tải trực tiếp SystemExplorerPortable_238 ở file đính kèm:
SystemExplorerPortable_238.zip‎

IV. Thực hành.
- Qua phần I, II, III các bạn đã hiểu phần nào cách sử dụng System Explore. Q.Hà sẽ cùng các bạn thực hành test cách diệt virus Smart Security (một Fake AV nổi tiếng và khó chịu).

- Sau khi dùng System Explore để theo dõi ta được log, đọc file log này ta thấy có một số thông tin quan trọng, Khi lây nhiễm vào máy Smart Security sẽ:

+ Thêm các file:

Code:

C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Smart Security.lnk
C:\Documents and Settings\Administrator\Application Data\Smart Security
C:\Documents and Settings\Administrator\Desktop\82.mof
C:\Documents and Settings\Administrator\Desktop\Quarantine Items
C:\Documents and Settings\Administrator\Desktop\SMSSys
C:\Documents and Settings\Administrator\Desktop\Smart Security.lnk
C:\Documents and Settings\Administrator\Desktop\f12fb602a09beb28be710fec0a04cc3f.ocx
C:\Documents and Settings\Administrator\Desktop\xutexbexjlextue.ini
C:\Documents and Settings\Administrator\Recent\ANTIGEN.dll
C:\Documents and Settings\Administrator\Recent\FW.exe
C:\Documents and Settings\Administrator\Recent\FW.sys
C:\Documents and Settings\Administrator\Recent\ddv.drv
C:\Documents and Settings\Administrator\Recent\eb.drv
C:\Documents and Settings\Administrator\Recent\fan.tmp
C:\Documents and Settings\Administrator\Recent\grid.sys
C:\Documents and Settings\Administrator\Recent\hymt.sys
C:\Documents and Settings\Administrator\Recent\kernel32.drv
C:\Documents and Settings\Administrator\Recent\ppal.dll
C:\Documents and Settings\Administrator\Recent\runddl.sys
C:\Documents and Settings\Administrator\Recent\sld.dll
C:\Documents and Settings\Administrator\Recent\sld.sys
C:\Documents and Settings\Administrator\Recent\snl2w.dll
C:\Documents and Settings\Administrator\Recent\snl2w.exe

C:\Documents and Settings\Administrator\Start Menu\Programs\Smart Security.lnk
C:\Documents and Settings\Administrator\Start Menu\Smart Security.lnk

C:\Documents and Settings\All Users\Application Data\SMOCYYDWIS
C:\Documents and Settings\All Users\Application Data\SMOCYYDWIS\SMWEUS.cfg
C:\Documents and Settings\All Users\Application Data\f12fb
C:\Documents and Settings\All Users\Application Data\f12fb\SM602.exe
C:\Documents and Settings\All Users\Application Data\f12fb\SMS.ico
C:\WINDOWS\Temp\Perflib_Perfdata_1e0.dat

- Sửa trang chủ của IE:

Code:

http://findgala.com/?&uid=231&q={searchTerms}

- Tạo key khởi động:

Code:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Smart Security     "C:\Documents and Settings\All Users\Application  Data\f12fb\SM602.exe" /s /d
C:\Documents and Settings\Administrator\Start Menu\Programs\Smart Security.lnk
C:\Documents and Settings\Administrator\Start Menu\Smart Security.lnk

- Tạo một loạt key chống cài đặt AV dạng:

Code:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File  Execution Options\AAWTray.exe\Debugger    svchost.exe

- Đến đây coi như System Explore đã hoàn thành nhiệm vụ tiếp theo ta dùng XueTr để diệt Smart Security:

+ Bước 1: Kill các tiến trình đang chạy của "em" nó:



+ Xóa các key khởi động:



+ Xóa file:





+ Fix lại hệ thống bằng file LKfixsetup.exe (trong file đính kèm: LKfixsetup.exe.zip‎).
+ Khởi động lại PC và KT:



+ Không còn dấu hiệu của Smart Security.

PS: Q.Hà biết trên diễn đàn có rất nhiều bạn đã từng sử dụng SystemExplorer và rất thành thạo về nó...bài viết này Q.Hà có tham khảo qua các bài viết trên Virus.vn và một số diễn đàn khác. Với kinh nghiệm còn hạn chế rất mong các bạn thảo luận, trao đổi và góp ý để bài viết hoàn thiện hơn, giúp ích cho thành viêm Bkav Form tốt hơn.

Xin cảm ơn các bạn!

[Lãng khách]

System Explorer tuy vẫn có những hạn chế nhất định, nhưng hầu hết với các con đơn giản, chỉ việc thả mẫu vào máy ảo chạy rồi chờ một lát là có thể xử lý được . Theo Lãng khách đây là một ứng dụng đáng được sử dụng.

[Tran Quang Ha]

System Explorer tuy vẫn có những hạn chế nhất định, nhưng hầu hết với các con đơn giản, chỉ việc thả mẫu vào máy ảo chạy rồi chờ một lát là có thể xử lý được . Theo Lãng khách đây là một ứng dụng đáng được sử dụng.

- Đúng vậy, với những con đơn giản thì ta có thể dùng System Explorer vì thời gian quét nhanh chỉ mất khoảng 5-8 giây là cho KQ.

- Với những virus phức tạp (không phải dòng Siêu đa hình) như con Xuyên băng ver 1 thì System Explorer không thể theo dõi hết được khi ấy ta mới cần đến các công cụ khác mạnh hơn phải không em...

[TuanAnh37]

Tính năng hay của chương trình System Explorer này là Snapshost, giúp kiểm tra các file, folder và khóa Registry được tạo ra khi test các loại Malware (Trừ dòng lây file) rất hay, giúp chúng ta biết được những cái gì được thêm, bớt, chỉnh sửa trên hệ thống từ đó tìm kiếm và loại bỏ các mỗi nguy hại. Và các Process được hiển thị dưới dạng cây cũng rất trực quan. System Explorer còn có thêm tính năng Uninstaller, theo dõi tài nguyên hệ thống, theo dõi các kết nối Internet, tuy cập nhanh các ứng dụng của Windows,..., nói chung khá là tiện lợi khi sử dụng thay thế cho Task Manager.

[biibii]

Sao mình không dowload dc các file của anh Hà nhỉ?

[Lãng khách]

Sao mình không dowload dc các file của anh Hà nhỉ?

Bạn có thể tải về từ link đính kèm cho chắc ăn.

Đây là bản 2.3.8 mới nhất của System Explorer:
SystemExplorerSetup_238.zip (1,33 MB)

Còn đây là bản v0.37 mới nhất của XueTr:
XueTr.zip (3,45 MB)

[biibii]

Ah cái mình nói là file này Lk

+ Fix lại hệ thống bằng file LKfixsetup.exe (trong file đính kèm: LKfixsetup.exe.zip‎).

Bạn post lại giúp mình nhé

[Lãng khách]

Bạn nhấp vào là tải được mà? Lãng khách tải thử thấy vẫn OK.

[biibii]

Mình bị báo lỗi này

[clay87]

m cũng bị báo lỗi ko có quyền truy cập

[biibii]

Có mod hay smod nào up lại cho anh em xem cái nhỉ

[Tran Quang Ha]

Có mod hay smod nào up lại cho anh em xem cái nhỉ

- Q.Hà up lại cho bạn đây:

Code:

http://www.4shared.com/file/FHVWNgRJ/iso-8859-1__LKfixsetupexe.html

[M E N]

...
- Với những virus phức tạp (không phải dòng Siêu đa hình) như con Xuyên băng ver 1 thì System Explorer không thể theo dõi hết được khi ấy ta mới cần đến các công cụ khác mạnh hơn ...

Tran Quang Ha có thể cho mình biết thêm "các công cụ khác mạnh hơn" là những công cụ gì được không bạn?
mình rất muốn tìm hiểu. Thanks Tran Quang Ha!

[IceSword]

Chủ đề hay, thế mà mình chưa đọc hết. Up lên để mọi người cùng đọc.

Update:

systemexplorer 3.7 (x86 &x64)
XueTr 0.45

[hamducbuon]

Bổ sung :
PowerTool 4.2

[Tran Quang Ha]

Bổ sung :
PowerTool 4.2

- Thời điểm viết bài thì PowerTool đã được nhóm King of the Dark group SD nhưng chưa giới thiệu bạn ạ.

- Bài giới thiệu về PowerTool: Kẻ hạ bệ XueTr: Anti-virus & rootkit & bootkit PowerTool.

[kinggames89]

thanks anh nhiều, soft rất hay, quản lý được rất nhiều nhưng em vẫn chưa hiểu lắm cái compare 2 cái snapshot, anh có thể giải thích giùm em kĩ hơn không? có 1 đống file như vậy, em thấy file nào cũng báo modified và changed hết

[david_ha]

thanks for share...!

[rongchoi1minh]

Thanks anh nhiều. E đang tập tành tìm hiểu cách diệt virus bằng tay.

[mrkey94]

Em mới chuyển sang win 7 64 bit, ko dùng được Xuetr. Anh có phần mềm nào thay thế không ạ, giới thiệu cho em