[Tutorial] Phòng chống virus autorun

[quanzi_1507]

TỔNG QUAN​

​

​

AUTORUN virus lợi dụng chức năng autorun của Windows để phát tán vào máy. Thường nó sẽ tạo file autorun.inf trong khắp các ổ đĩa, và mỗi lần bạn double-click hay thậm chí chỉ mới đút usb vào máy sẽ kích hoạt virus ngay .

1 số lượng lớn virus dạng này được tìm thấy ở Bôlivia, Việt Nam :pig:, Êcuađo, Pakíchtăng, Philíppin, Ấn Độ, Mã Lai, Côlumbia và Mêxicô.
(Số liệu từ http://www.google.com/trends?q=autorun.inf+virus).

Năm 2007 là 1 năm được mùa của virus autorun, và không có gì cản trở chúng tiếp tục bội thu năm nay. :cow:

Thực tế ở VN, hầu như USB giờ đem cắm đâu cũng bị virus, khóa lại ko cho file lạ xâm nhập vào cũng ko đc vì nhau cầu chia sẻ dữ liệu rất cao.

Đồng ý rằng các soft diệt virus hiện nay cũng khá nhạy với USB, đút vào là scan ngay nhưng phần lớn chỉ diệt các file exe, còn lại nhiều hậu quả ko sao khắc phục hết đc. =.= Điển hình là file autorun.inf, vì mấy con dạng này mà chúng ta gần như quên hẳn thói quen double-click rất chi là tiện dụng. Đấy là chưa kể 1 số soft av phản ứng chậm (e.g. PC Tools) => virus xâm nhập vào system trước khi các bạn này kịp phát hiện có 1 USB vừa đc găm vào. :chicken:

Ngắn gọn là hôm nay bạn quanzi sẽ hướng dẫn phòng chống virus USB 1 cách hiệu quả và tối ưu. :devil:

MỤC LỤC
Disable Autorun
(once for all)
Tìm diệt Autorun.inf
(mỗi lần đút usb vào máy)
Miễn nhiễm Autorun.inf
(trước mỗi lần rút usb ra khỏi máy)
Phụ lục - Giải thích​

Bài viết chân thực, khách quan, hình ảnh sinh động, rõ ràng, dễ hiểu. Dành cho các cấp độ từ newbie đến nerdy... Mại dzô

Đính chính: Do có 1 số bạn hiểu nhầm nên xin đính chính như sau, tut này để đề phòng và ngăn chặn không cho virus autorun bị kích hoạt, nếu máy bạn đã nhiễm virus autorun mới tìm đến tut này thì khá vô nghĩa.

 

[quanzi_1507]

DISABLE AUTORUN​

Gồm 3 cách từ đơn giản đến phức tạp và tối ưu


a) Dùng Tweak UI (cách đơn giản nhất)

Nói đây là cách đơn giản nhất vì nó trực quan và dễ hiểu...

Tweak UI là 1 công cụ miễn phí nằm trong bộ Powertoys for Windows XP của Microsoft (tuy nhiên nó ko đc hỗ trợ như các sản phẩm khác), phiên bản hiện tại là 2.1 và có vẻ ko đc update nữa.

Chữ "tweak" nói lên tất cả: nó giúp bạn xâm nhập và tinh chỉnh hệ thống 1 cách an toàn và nhanh chóng (thay vì phải qua 1 lô "run..." và "regedit"), giao diện đơn giản đến newbie cũng biết cách làm nhưng thôi cứ hướng dẫn cho lành :'>

Nhân tiện, UI = user interface :pig:

Trang chủ
Direct download (147 KB)
Mirror (tất nhiên là 147 KB )

Tải về và cài đặt

Giao diện chính của Tweak UI​

Giờ chỉ việc tìm đến mục My Computer \ AutoPlay \

Ở đây có 2 mục nhỏ là Drives và Types:

• Nếu bạn disable theo "drives" nó sẽ disable autorun và autoplay trên các ổ đĩa bị uncheck theo tên H, I, J,... gì đấy bất kể đó là ổ CD, removable disk hay ổ cứng di động (thậm chí cả ổ đĩa ảo) => xem xem USB cắm vào thường là ổ nào (như máy tớ là ổ H) đề phòng trường hợp cắm 2 USB 1 lúc thì disable luôn thằng I cho gọn.
  
  
  

  
  Disable theo tên​
  
  
• Nếu bạn disable theo "types" thì chỉ việc uncheck vào ô Enable Autoplay for removable drives là xong => chỉ disable removable drives theo đúng nghĩa, ổ cứng di động, CD và ổ ảo vẫn ko bị ảnh hưởng.
  
  
  

  
  Disable theo chủng loại​

Từ giờ trở đi đút USB lạ vào máy thì virus trong đấy sẽ ko tự động active nữa (trừ khi bạn double-click) vào USB.


b) Dùng Group Policy Editor

Vào Start -> Run... -> gõ "GPEDIT.MSC" -> OK

Tìm đến Local Computer Policy \ Computer Configuration \ Administrative Template \ System

Double-click vào Turn off Autoplay -> chọn Enabled

Ở mục Turn off Autoplay on chọn All drives hoặc CD-ROM drives.

c) Dùng Registry Editor

Nghịch reg nhá, bật regedit lên (Start -> Run... -> gõ "regedit" rồi Enter)

Tìm đến mục HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer

Click chuột phải vào giá trị NoDriveTypeAutoRun, chọn Modify, set value base về Hexademical.

Ở đây điền vào mục Value data có 2 lựa chọn:

• Điền số "95" nếu muốn disable autorun cho removable drives nhưng vẫn enable ở ổ CD.
• Điền "b5" nếu muốn disable cả 2.

c2) Dùng file reg

Đây là cách tối ưu !

Đầu tiên bạn mở Notepad ra và copy nội dung sau vào:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoDriveAutoRun"=hex:e3,07,00,00

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoDriveAutoRun"=hex:e3,07,00,00

Sau đó save lại, đặt tên gì đấy cho kêu như quanzi chẳng hạn , nhưng Save as type phải chọn All và extension phải là .reg.

Xong rồi thì... double click, hỏi gì thì cứ yét yét ờ-lao :'>

Lưu ý là với các số liệu như trên thì autorun ở các ổ sẽ như sau:

• Các ổ removable: disabled
• Ổ CD: enabled
• Các ổ A, B và từ H -> L: disabled

 

[quanzi_1507]

TÌM VÀ DIỆT AUTORUN.INF​

Có thể khái quát bước diệt autorun.inf như sau

-Đút USB vào máy
-Diệt autorun.inf
-Rút USB ra, đút vào
-Giờ thì tha hồ double-click


a) [FireLion] All Tools In One (nên dùng bạn này)

FireLion thì chắc ai cũng biết rồi, phần mềm [FireLion] FastHelper vài trăm KB của hãng này khá nổi đình nổi đám ở xứ ta, mặc dù nó làm giật máy ko kém gì đàn anh bom tấn như Norton hay McAfee.

[FireLion] All Tools In One chỉ là hàng khuyễn mãi sau khi cài đặt [FireLion] FastHelper (2 ứng dụng hoàn toàn độc lập) , nhưng đây mới là nhân vật chính trong phần này.

Dung lượng 1.3 MB.

Tải ở đây (chạy trực tiếp, độc lập, ko cần cài đặt)
Mirror 1
Mirror 2

Giao diện của [FireLion] All Tools In One​

Sau khi đút 1 USB vào máy, bạn chỉ việc bật All Tools In One lên, dùng công cụ Autorun Fixer để "nhìn thấy" các file autorun.inf và các ứng dụng tương ứng được "pointed to".

Ở đây chẳng hạn, quanzi.exe là 1 ứng dụng lạ :'>, khi đút USB vào máy nó sẽ bị chương trình diệt virus phát hiện và tiêu diệt ngay :devil:, nhưng file autorun.inf vẫn dẫn đến ứng dụng này, gây nên hiện tượng mở bảng Open With... khi bạn double click vào ổ đĩa.

Vậy nên chúng ta sẽ check vào file autorun.inf trong ổ I (removable) và chọn "Delete" , sau đó phải rút ra cắm lại. Tương tự đối với ổ cứng (unmovable), nhưng bạn sẽ phải reboot.



b) Dùng soft diệt autorun.inf tự động (cái này không khuyến khích, vì ít nhiều tốn tài nguyên, và phải cài đặt)

1 số soft free nổi đình nổi đám trong lĩnh vực này là Autorun Eater và USB FireWall

Cơ chế hoạt động của bọn này là chạy ngầm trong win, mỗi lần bạn đút usb vào nó sẽ check xem có autorun.inf trong đấy không, nếu có thì backup rồi "ăn" (Autorun Eater) hoặc hiện bảng prompt (USB Firewall).

Giao diện trực quan (à AE ko có GUI) và rất dễ sử dụng, here are some shots

Autorun Eater (Icon hiện dưới systray, khi bạn bật lên sẽ nghe tiếng ụm bò :cow:)

USB Firewall (trông như rogue software )​

Download Autorun Eater 2.2 (0.99 MB)
Download USB Firewall 1.1.2 (1.87 MB) or Mirror



c) Tự tìm tự diệt (cũng nhanh thôi, làm bằng tay cho oai :'>)

Đầu tiên vào Control Panel -> Folder Options -> ở thẻ View, chọn "Show hidden files and folders" và uncheck vào ô "Hide protected operating system files".

Sau đó vào explorer (chuột phải vào nút Start -> Explore hoặc để tiện vào hơn tạo shorcut với location là %SystemRoot%\explorer.scf).

2 cách vào Windows Explorer​

Tìm đến USB, lúc này bạn đã có khả năng "nhìn thấy" các file autorun.inf dù chúng đang ẩn. Chỉ việc delete là xong \:d/

Nếu rảnh có thể click chuột phải vào nó chọn "Edit", xem cu cậu dẫn tới file exe nào trong USB thì vào đó del luôn


d) Batch file (tối ưu !)

Mở Notepad, copy đoạn script sau đây vào rồi save lại với phần mở rộng là .bat (Quanzi.bat chẳng hạn )

@echo off
del d:\autorun.inf /f /s /q
del e:\autorun.inf /f /s /q
del f:\autorun.inf /f /s /q
del g:\autorun.inf /f /s /q
del h:\autorun.inf /f /s /q
del i:\autorun.inf /f /s /q
del j:\autorun.inf /f /s /q
del k:\autorun.inf /f /s /q
del l:\autorun.inf /f /s /q

%windir%\system32\RunDll32.exe shell32.dll,Control_RunDLL hotplug.dll

Sau đó mỗi lần đút USB vào chỉ việc chạy file batch này, sau khi xóa xong autorun.inf trên USB nó sẽ tự động hiện bảng safe remove luôn, bạn chỉ việc chọn rồi rút ra cắm lại là xong

 

[quanzi_1507]

MIỄN NHIỄM​

Miễn nhiễm ở đây là miễn nhiễm autorun.inf, dù virus có lây vào USB nhưng ko có autorun.inf thì sẽ không tự động kích hoạt được, dù cho bạn double-click vào ổ USB. Trừ khi bạn click trực tiếp vào file chứa virus => rất hiếm vì phần lớn virus đều được set thuộc tính ẩn và tên rất đáng nghi).

a) Dùng Autorun Locker

Đây là 1 phần mềm nho nhỏ do 1 bạn bên softvnn thiết kế, dung lượng rất nhỏ, chạy rất êm và khá hiệu quả :'>

Download (44.5 KB)

Sau khi tiêu diệt autorun.inf theo phần trên và đút lại USB vào máy, bạn chỉ việc mở chương trình này lên, chọn ổ USB và "Lock" :devil:

Trước và sau khi lock​

b) Dùng command prompt

Cái này hơi mất công tẹo, bạn nào học tin học căn bản rồi thì chắc cũng rành nhỉ :devil:

Mở Command Prompt lên (Start -> Run... -> gõ "cmd" rồi Enter)

Đầu tiên cần tạo 1 thư mục tên là AUTORUN.INF trên ổ USB:

md H:\autorun.inf

Sau đó tạo 1 trong 3 thư mục con sau cho AUTORUN.INF:

md \\.\H:\autorun.inf\con

hoặc

md \\.\H:\autorun.inf\lpt1

hoặc

md \\.\H:\lpt2

Sau đó set 1 số thuộc tính cho thư mục AUTORUN.INF (file hệ thống, ẩn, chỉ đọc):

attrib +s +h +r H:\autorun.inf

Rồi thế là xong, có gì thắc mắc xem phần chú thích nhá :'>

Nếu cần unlock thì làm ngược lại các bước trên. Đầu tiên unset thuộc tính cho AUTORUN.INF:

attrib -s -h -r H:\autorun.inf

Sau đó del thư mục con rồi del AUTORUN.INF:

rd \\.\H:\autorun.inf\con

hoặc

rd \\.\H:\autorun.inf\lpt1

hoặc

rd \\.\H:\autorun.inf\lpt2

rồi thì

rd H:\autorun.inf

c) Dùng file batch

Tương tự như trên nhưng ta lưu lại các câu lệnh trên dưới dạng 2 file batch. Có gì cần chỉ việc double-click là xong

Mở notepad ra và soạn nội dung này vào:

md autorun.inf
md \\.\H:\autorun.inf\con
md \\.\H:\autorun.inf\lpt1
md \\.\H:\autorun.inf\lpt2
attrib +s +h +r H:\autorun.inf

Lưu ý thay "H:" bằng ổ USB của bạn

Sau đó save lại thành file *.bat và đặt tên cho kêu, rồi lại soạn thêm 1 file notepad với nội dung như sau:

attrib -s -h -r H:\autorun.inf
rd \\.\H:\autorun.inf\con
rd \\.\H:\autorun.inf\lpt1
rd \\.\H:\autorun.inf\lpt2
rd H:\autorun.inf

Và lại save và lại đặt tên cho kêu....

 

[quanzi_1507]

PHỤ LỤC - GIẢI THÍCH​

Lưu ý là việc chuyển đổi các giá trị hex, dec và bin nên dùng Calculator cho tiện, trừ bạn hex pairs thì rắc rối hơn (xem ở dưới)

NoDriveTypeAutorun (REG_DWORD)

Giá trị điền vào là hex, có dạng 0x00000000 (0x và 8 kí tự)

Giá trị điền vào xác định loại ổ nào sẽ đc disable chức năng autorun. Giá trị này phụ thuộc vào tổng các giá trị tương ứng của các ổ đĩa đc chọn disable cộng với 128. Ta có các số liệu như sau (decimal):

[INDENT]DRIVE_UNKNOWN 1
DRIVE_NO_ROOT_DIR 2
DRIVE_REMOVABLE 4 (đĩa vuông, USB)
DRIVE_FIXED 8 (đĩa cứng)
DRIVE_REMOTE 16 (các ổ đĩa trong network)
DRIVE_CDROM 32 (ổ CD)
DRIVE_RAMDISK 64 [/INDENT]

Nếu disable ổ USB thì ta chọn UNKNOWN (1), REMOVABLE (4) và REMOTE (16):

16 + 4 + 1 + 128 = 149 (hex 95)

Nếu disable cả ổ USB và ổ CD thì thêm CDROM (32) vào phép tính trên ta có:

32 + 16 + 4 + 1 + 128 = 181 (hex B5)

Nếu disable tất cả cá ổ, cộng cả đám lại có:

64 + 32 + 16 + 8 + 4 + 1 + 128 = 255 (hex FF)

NoDriveAutorun (REG_BINARY)

Giá trị điền vào là hex pairs (binary data với hex format), có dạng 00 00 00 00 (4 cặp kí tự)

Giờ máy bạn có ổ C, ổ D, ổ E. Bạn gắn ổ CD vào -> ổ F. Gắn USB vào -> ổ G. Cứ thế cho đến khi có ổ Z.

Ta có 26 chữ số đại diện cho 26 ổ, chữ số cùng bên phải là ổ A:

00000000000000000000000000
ZXYWVUTSRQPONMLKJIHGFEDCBA

Nếu giá trị là "1" thì disable, "0" thì enable.

Ví dụ bạn muốn disable autorun ở các ổ A, B, F, G, H, I, J, K thì dãy đó sẽ thành:

00000000000000011111100011
ZXYWVUTSRQPONMLKJIHGFEDCBA

Bây giờ bỏ hết mấy số 0 trước đó đi:

11111100011

Chuyển nó về hex là 7E3 (REG_DWORD là 0x000007E3), để điền vào REG_BINARY thì đảo ngược thứ tự các cặp kí tự lại:

E3 07 00 00

(Lưu ý nếu số các chữ số của hex bị lẻ (XXX) thì thêm số 0 đằng trước (0XXX) rồi mới chuyển thành hex pairs (XX 0X))

Cứ như thế, ví dụ giá trị DWORD là 0x80071a96 thì BINARY là 96 1a 07 80.


Batch file

Sau delete có thêm các giá trị /f /s /q, trong đó:

[INDENT]/F: xóa tuốt dù có là read-only (Force)
/S: delete cả trong Subfolders
/Q: delete mà ko hiện bảng prompt (Quiet mode)[/INDENT]

Miễn nhiễm

Bạn không thể copy 1 file autorun.inf vào cùng thư mục chứa folder AUTORUN.INF được, và do đó là folder chứ không phải file nên overwrite cũng không được nốt. Đây là nguyên tắc "miễn nhiễm".

Nếu bạn muốn xóa...

... hay chỉ chép đè ::(​

Đề phòng folder AUTORUN.INF bị xóa ta set 1 số attributes cho nó (hidden, read-only....).

Ngoài ra, có 1 số tên trùng với thiết bị mà tên folder không được phép đặt theo, và do đó nếu tồn tại folder với tên đó thì không được phép xóa. Lợi dụng điều này ta bảo vệ folder AUTORUN.INF bằng cách tạo 1 số folder con dạng như vậy, nhưng phải thêm vào "\\.\" ở trước đường dẫn mới tạo được

Đây là bảng tra cứu (nguồn: Microsoft)

[INDENT]CON    (Keyboard and display)
PRN    (System list device, usually a parallel port)
AUX    (Auxiliary device, usually a serial port)
CLOCK$ (System real-time clock)
NUL    (Bit-bucket device)
A:-Z:  (Drive letters)
COM1   (First serial communications port)
LPT1   (First parallel printer port)
LPT2   (Second parallel printer port)
LPT3   (Third parallel printer port)
COM2   (Second serial communications port)
COM3   (Third serial communications port)
COM4   (Fourth serial communications port)[/INDENT]

Với cách bảo vệ như trên thì folder AUTORUN.INF khá là an toàn :cool:

END​

EDIT: Tí thì quên, có 1 cách để ngăn Windows khỏi thực thi mọi thông tin từ mọi tập tin autorun.inf là:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=”@SYS:DoesNotExist”

Nodepad -> Copy -> Paste -> Save as... -> ["tên ngầu"].reg

Công năng của nó bằng tất cả bài post trên cộng lại

Muốn disable nó thì vào HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\ và xóa key Autorun.inf đi I-|