Tổng quan về virus lây qua file autorun.inf

[iamgod]

Lưu ý: nếu ko nhìn thấy hình, hãy đăng nhập vào CHÍNH XÁC địa chỉ http://www.gamevn.com

Đã có rất nhiều 2pic liên quan về file này. Tuy nhiên mình cũng xin được nhắc lại như sau
- Khi bạn cắm thiết bị lưu trữ (vd: flash drive) vào máy bị nhiễm virus, virus sẽ ghi những file độc hại vào thiết bị của bạn
- Khi đưa thiết bị này vào 1 máy tính sạch (ko có virus), những file này sẽ được chạy mà ko có sự cho phép của bạn. Bạn đã bị nhiễm virus
- Vậy file độc hại đó là gì? Đó chính là file autorun.inf và 1 (hoặc nhiều file) chứa virus
- Như vậy autorun.inf là virus? sai hoàn toàn. nó chỉ là 1 "công cụ" của bác microsoft, nhằm tự động chạy 1 số file (vd: cài đặt phần mềm)
- Nội dung của file autorun.inf? Có rất nhiều kiểu. VD đây là nd file autorun.inf trong bộ cài windows xp:

[AutoRun]
open=setup.exe
icon=setup.exe,0

sau "open=" chính là file sẽ được khởi chạy tự động
còn sau "icon=" là file icon tương ứng xuất hiện trên cửa sổ my computer

Như trên hình, bạn có thể thấy file autorun.inf nắm đường hoàng chính trực. Còn với virus thì sao? Chúng được đặt thuộc tính hệ thống, kể cả để "Show hidden files and folder" cũng ko thể nhìn thấy. Vậy làm thế nào để nhận ra có sự xuất hiện của file autorun.inf trên 1 thiết bị lưu trữ nào đó?

Cách 1: Nháy chuột phải vào thiết bị (lưu ý: cách này ko đảm bảo)

Ta thấy trong right click menu của thiết bị có mục "Autorun" tô đậm. Vậy là nó có chứa file autorun.inf. Để truy cập vào thiết bị mà ko bị virus, ta sử dụng thanh address bar. VD: usb của bạn được đặt với chữ G: thì ta đánh vào address bar

G:\

Hoặc

G:

... và lấy dữ liệu ra

Sở dĩ nói cách ko đảm bảo vì hacker có thể thay Autorun thành Open như thông thường, khiến bạn lầm tưởng và à lê hấp =)

Cách 2:
- Vào My Comp > Tools > Folder Options (nếu ko thấy thì chắc bạn bị virus rồi ) > View và chọn Show Hidden Files and Folder và Hide Protected Operating System Files). Bấm Yes > OK.

- Truy cập vào nội dung thiết bị.

Ta thấy trong right click menu của thiết bị có mục "Autorun" tô đậm. Vậy là nó có chứa file autorun.inf. Để truy cập vào thiết bị mà ko bị virus, ta sử dụng thanh address bar. VD: usb của bạn được đặt với chữ G: thì ta đánh vào address bar

G:\

Hoặc

G:

Và xem có file autorun.inf nào không. Xóa nó đi và xóa các file virus (cái này bạn phải tự mò)



Nhưng liệu như vậy có quá thủ công, phiền hà? Với sự "phát triển" ngày 1 mạnh của virus, đặc biệt virus made in vn, các chương trình antimalware ko thể nào cập nhật nổi

Bây giờ mình xin giới thiệu 1 software mới lượm được vô tình, cũng ko biết tên nó là gì - hình như là usb check, thôi thì cứ coi là vậy đi

USB check "gậy ông đập lưng ông", đó chính là tự động xóa file autorun.inf trên bất kỳ thiết bị nào. Tuy việc này có thể làm ảnh hưởng đến 1 số file autorun.inf có ích, vd để làm icon cho thiết bị ở trên my comp chẳng hạn, nhưng vì nó rất ít khi được động đến nên cũng ko phiền lắm

Đây là 1 soft free của tác giả [email protected], có thể để startup vì rất nhẹ

< USB check bạn có thể download trong file gửi kèm >

Ngoài ra còn có soft autorun fix của ảnh quảng - http://www.mediafire.com/?5yydkyjgd4d ; có tác dụng xóa thủ công file autorun.inf.

The End. Ai thấy hay + rep nhé :'>

 

[zToruz]

^^. Mình cũng bị dính cái autorun.inf này hoài. Nhưng ngặc 1 nỗi là mình không thể nào chỉnh được cái "Show hidden files and folders". Mỗi lần mình chọn vào đóa thì nó tự nhiên trở lại như cũ "Do not show hidden files and folders". Nên mình ko có cách nào để xóa được cái file autorun.inf đóa.
Một hôm mình chợt nghĩ là tại seo mình ko tạo 1 file khác rồi đặt tên là autorun.inf sau đóa paste vào USP. Thế là mình làm thử và rồi... mừng quá xóa được cái file autorun kia rồi. ^^
Nhân tiện mình cũng hỏi luôn: "Làm seo để mình cóa thể chỉnh show hidden mà nó ko trở lại là do not show hidden".

 

[iamgod]

Here: http://www.mediafire.com/?cmksh91tlzx

 

[3Vade]

Nhưng vấn đề ở đây là khi ban cắm usb nhiễm virus thì nó đã tự chạy và lây vào máy rồi. Việc xóa autorun sau đó cũng đâu có ý nghĩa gì nữa ?

 

[iamgod]

giữ shift khi cắm usb vào máy

 

[zToruz]

Here: http://www.mediafire.com/?cmksh91tlzx

Cảm ơn bạn nhiều::).

Nhưng vấn đề ở đây là khi ban cắm usb nhiễm virus thì nó đã tự chạy và lây vào máy rồi. Việc xóa autorun sau đó cũng đâu có ý nghĩa gì nữa ?

Có chứ bạn. Mình xóa nóa rồi thì nóa khỏi làm phiền mình nữa.

 

[Lee™]

sao cái link down nó scan lâu wa' , bạn nào down rùi up lên đây cho mình đi , thanks very much

 

[HieuNM]

Nó là file *.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00, 52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00 ,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c ,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"SuperHidden"=dword:00000000
"ShowSuperHidden"=dword:00000001

Nếu không down được thì tạo cái file reg có nội dung như trên

 

[cutdi]

Có chứ bạn. Mình xóa nóa rồi thì nóa khỏi làm phiền mình nữa.

Nếu máy bạn bị nhiễm thì xóa nó vài phút sau nó cũng tự tạo lại thôi

 

[Son Hai]

xài kaspersky, nó tự xóa file autorun luôn

 

[Kiteretsu]

Con này McAfee diệt được rồi , dùng cách khác làm gì

Địa chỉ chính xác của GVN là http://forum.gamevn.com cơ mà ::), mấy cái link ảnh để gamevn.com thôi nên vào = cái khác ko hiện =.=

 

[iamgod]

hehe, hôm nay có việc phải đến trường, tiện ra vườn trường bắt mấy con virus về cho anh em chiêm nguỡng

 

[aaron_tpk]

Máy tớ bây h đã xóa hết file Autorun.inf rồi, nhưng thay vì mở ổ đĩa nó hiện ra AutoPlay thì h nó lại hiện ra Search, cuối cùng thì vẫn loanh quanh luẩn quẩn là không trực tiếp vào ổ đĩa được, thế h như nào?

 

[iamgod]

start > run > regedit > hkey_classes_root\directory\shel

xóa sạch nội dung bên trong khóa này

 

[Lee™]

mình làm hết mọi cách dùng KIS , dùng BIS , save file autoplay mới đè lên luôn rùi vẫn ko tài nào diệt dc con này , ai giúp với ...

 

[aaron_tpk]

to Iamgod: Tờ làm theo cách của cậu nhưng cũng không được, chán quá

 

[iamgod]

Folder options > File Types > Folder, Drive và File Folder đều đặt open là defalut action