[Thảo luận] Con virus quái đản (\Device\Harddisk0\DR0)

Go down

[Thảo luận] Con virus quái đản (DeviceHarddisk0DR0)

Bài gửi by Admin on Thu Sep 13, 2018 10:33 pm

nh0ck0n10b
Member
[Minus] 0 [Plus]
Joined: 11/10/2009 00:00:27
Bài gởi: 5
Offline
[Profile] [PM]
File \Device\Harddisk0\DR0: ccntain virus Type_Boot


Con virus này rất lạ. KIS 2010 báo phát hiện nhưng cũng không thể diệt được.
GHOST lại máy hay cài lại windows cũng không thể hết... và nhìn cái path thế kia thì chẳng biết nó ở đầu mà lấy mẫu.

Khi tìm kiếm thông tin về con virus này em tìm được một số lời giải thích như sau (Từ forum forum.kapersky.vn)

Đây là một loại virus được nằm trong nhóm MBR Rootkit.
Mỗi thiết bị khi ánh xạ vào HĐH Windows sẽ được coi là một Object. Với MBR của ổ đĩa cứng, sẽ được định nghĩa là Kernel Object với kiểu Device. Khi bị nhiễm MBR Rootkit, nó sẽ bị thay đổi như sau:




Vì Rootkit này nhiễm vào MBR, nó ở mức Driver, nên không một AV-Tools nào có khả năng loại bỏ nó. Và khi Format lại HDD mà không chỉnh sửa MBR thì nó vẫn còn tồn tại.
Để loại bỏ bằng tay, bạn có thể xóa MBR cũ, tạo mới MBR bằng các công cụ có sẵn trong đĩa Hiren's Boot CD.


Cuối cùng kết luận dc 1 cách xử lí con virus này là:

Cách sử lý virus:
Bỏ CD hiren boot. vào DOS, gõ: fdisk /mbr enter
Rút đĩa ra, khởi động lại máy.
Nếu là XP: chạy bình thường
Nếu là Vista: Bỏ đĩa setup vào, chọn Repair.


Chi tiết phân tích về virus tại đây(English): http://www2.gmer.net/mbr/

Em đọc nhưng cũng chưa đủ vốn kiến thức để hiểu thêm về nó.. Em mở topic này để mọi người cùng thảo luận...
[Up] [Print Copy]


[Thảo luận] Con virus quái đản (\Device\Harddisk0\DR0) 26/10/2009 01:48:38 (+0700) | #2 | 196678
[Avatar]
bolzano_1989
Journalist
[Minus] 0 [Plus]
Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline
[Profile] [PM]
Bạn muốn thảo luận cái gì liên quan loại virus này ?
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]


[Thảo luận] Con virus quái đản (\Device\Harddisk0\DR0) 26/10/2009 08:21:03 (+0700) | #3 | 196704
nh0ck0n10b
Member
[Minus] 0 [Plus]
Joined: 11/10/2009 00:00:27
Bài gởi: 5
Offline
[Profile] [PM]
Đây là loại virus ít người biết đến, nó có cách hoạt động khác các con virus khác, Em muốn tìm hiểu về nguồn gốc, các thức hoạt đông & lây nhiếm vào máy tính, cách diệt & phòng tránh nó, nó nằm ở đâu trong ổ đĩa...

Mục đích của loại virus này là gì, nó có hại gì cho máy tính...

Vì sao nó lại có cái path Device\Harddisk0\DR0 ...

Các thông tin của virus viết ở http://www2.gmer.net/mbr/ <= nhưng em ko có khả năng đọc tiếng anh nên cũng chưa hiểu ....

Em cũng nghi nó nằm trong các bản ghost đa cấu hình của Trung Quốc, nhưng không nhiều AV phát hiện được ra nó, có thể nhiều người dính phải loại virus này những vẫn không hề biết gì! Và những topic thắc mắc về loại virus này trên các forum khác thường close mà không có câu trả lời +_+
[Up] [Print Copy]


[Thảo luận] Con virus quái đản (\Device\Harddisk0\DR0) 26/10/2009 13:31:30 (+0700) | #4 | 196719
[Avatar]
bolzano_1989
Journalist
[Minus] 0 [Plus]
Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline
[Profile] [PM]
Nguồn gốc của cái gì của virus ? Virus loại này đã rất lâu đời và tất nhiên được viết bởi "virus writers" . Hình thức lây nhiễm thì cũng tương tự các loại virus thông thường khác, bạn tự tìm hiểu, ngoài ra nếu bạn boot bằng đĩa mềm bị nhiễm boot virus thì ổ cứng của bạn cũng sẽ bị lây nhiễm.
Boot virus copy mã độc vào boot sector của ổ đĩa mềm và boot sector hoặc Master Boot Record (MBR) của ổ cứng.

Cách diệt nó thì bạn đã đọc ở nhiều nơi rồi, tự mà làm lấy, đa số là dùng đĩa boot hay cài thêm Windows Recovery Console với lệnh fdisk /mbr hoặc dùng 1 số công cụ.



//////////////////////////////////////////////

Tạm trả lời thế đã, sắp có người bảo/nghĩ mình "đút ăn" bạn đấy smilie . Bạn đã có cố gắng tìm hiểu các trang bằng tiếng Việt trước nên mình mới giúp bạn. Chỉ hi vọng rằng bạn có được một số kiến thức chuẩn và sẽ bớt tù mù khi đọc mớ thông tin hỗn độn bằng tiếng Việt ngoài kia.
Mình nghĩ bạn nên cố gắng học tiếng Anh đi nếu muốn hiểu sâu, chính xác, đầy đủ và đọc tài liệu dễ hơn. Mình đôi lúc đọc tài liệu tiếng Anh gặp khó khăn do không quen với một số từ, thử chuyển qua tiếng Việt đọc tiếp còn tù mù hơn smilie , thế là quay lại tiếng Anh + thêm sự kiên nhẫn thì sẽ dần sáng tỏ thôi.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]


[Thảo luận] Con virus quái đản (\Device\Harddisk0\DR0) 26/10/2009 21:16:15 (+0700) | #5 | 196730
tuylipden156
Member
[Minus] 0 [Plus]
Joined: 14/04/2009 22:25:22
Bài gởi: 13
Offline
[Profile] [PM]
sao không ai nói đến tác hại của con này thế? thấy con này ít phổ biến đó
[Up] [Print Copy]


[Thảo luận] Con virus quái đản (\Device\Harddisk0\DR0) 28/10/2009 08:46:48 (+0700) | #6 | 196809
[Avatar]
bolzano_1989
Journalist
[Minus] 0 [Plus]
Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline
[Profile] [PM]
nh0ck0n10b wrote:

Mục đích của loại virus này là gì, nó có hại gì cho máy tính...


Với mục đích, tác hại của virus nào thì chỉ có cách hỏi người đã viết virus đó hoặc dịch ngược mã nguồn nếu muốn biết chính xác.
Virus lây nhiễm vào MBR có một số lợi thế như: Nó được thực thi trước khi hệ điều hành khởi động, bạn không thể xóa nó như xóa 1 file bình thường, nó không cần sử dụng registry để khởi động như các loại virus khác vì thế nếu bạn quanh quẩn quanh registry sẽ không bắt được nó.

nh0ck0n10b wrote:

Vì sao nó lại có cái path Device\Harddisk0\DR0 ...



Dòng đó nghĩa là virus này đã lây nhiễm vào master boot record của đĩa cứng đầu tiên của máy bạn.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]


[Thảo luận] Con virus quái đản (\Device\Harddisk0\DR0) 28/10/2009 09:55:35 (+0700) | #7 | 196820
[Avatar]
Tổng Tư Lệnh
Member
[Minus] 0 [Plus]
Joined: 24/10/2009 21:11:06
Bài gởi: 2
Đến từ: Thanh Hóa
Offline
[Profile] [PM] [Yahoo!]
nh0ck0n10b wrote:
File \Device\Harddisk0\DR0: ccntain virus Type_Boot


Con virus này rất lạ. KIS 2010 báo phát hiện nhưng cũng không thể diệt được.
GHOST lại máy hay cài lại windows cũng không thể hết... và nhìn cái path thế kia thì chẳng biết nó ở đầu mà lấy mẫu.

Khi tìm kiếm thông tin về con virus này em tìm được một số lời giải thích như sau (Từ forum forum.kapersky.vn)

Đây là một loại virus được nằm trong nhóm MBR Rootkit.
Mỗi thiết bị khi ánh xạ vào HĐH Windows sẽ được coi là một Object. Với MBR của ổ đĩa cứng, sẽ được định nghĩa là Kernel Object với kiểu Device. Khi bị nhiễm MBR Rootkit, nó sẽ bị thay đổi như sau:




Vì Rootkit này nhiễm vào MBR, nó ở mức Driver, nên không một AV-Tools nào có khả năng loại bỏ nó. Và khi Format lại HDD mà không chỉnh sửa MBR thì nó vẫn còn tồn tại.
Để loại bỏ bằng tay, bạn có thể xóa MBR cũ, tạo mới MBR bằng các công cụ có sẵn trong đĩa Hiren's Boot CD.


Cuối cùng kết luận dc 1 cách xử lí con virus này là:

Cách sử lý virus:
Bỏ CD hiren boot. vào DOS, gõ: fdisk /mbr enter
Rút đĩa ra, khởi động lại máy.
Nếu là XP: chạy bình thường
Nếu là Vista: Bỏ đĩa setup vào, chọn Repair.


Chi tiết phân tích về virus tại đây(English): http://www2.gmer.net/mbr/

Em đọc nhưng cũng chưa đủ vốn kiến thức để hiểu thêm về nó.. Em mở topic này để mọi người cùng thảo luận...




Master Boot Records (MBR) là vùng đầu tiên trên dĩa cứng vật lý, nằm tại Cylinder 0, Head 0, Sector 1. Vùng này có kích thước 512KB, lưu trữ toàn bộ thông tin về các phân vùng trên dĩa cứng. Trong quá trình boot, sau khi máy tính đã POST (Power On Self Test) xong, BIOS sẽ chuyển quyền điều khiển máy cho một đoạn chương trình "mồi" (boot strap) nằm trên MBR. Đoạn chương trình này sẽ tìm hiểu xem ổ cứng máy tính bao gồm những phân vùng nào, mỗi phân vùng có hệ điều hành hay không? Và boot strap sẽ chuyển quyền điều khiển cho hệ điều hành nằm trên phân vùng thích hợp...

Như vậy MBR là vị trí tối quan trọng trên ổ cứng máy tính. Thông báo trên cho thấy: máy bạn đã bị virus nhiễm vào MBR. Bạn phải sao lưu toàn bộ dữ liệu trên ổ cứng của bạn sang ổ cứng khác hoặc phương tiện lưu trữ ngoài. Sau đó, bạn sẽ tiến hành xoá sạch MBR của ổ cứng bằng Norton Disk Editor có trên các CD Hiren Boot. Dĩ nhiên, sau khi xoá MBR thì đồng nghĩa với việc dĩa cứng của bạn sẽ bị xoá sạch hoàn toàn. Bạn phải tiến hành phân chia lại ổ cứng bằng Acronis Disk Director Suite, hoặc tiện ích phân vùng có sẵn trên dĩa CD cài đặt Windows. Kế đến là bạn sẽ cài đặt lại mọi thứ từ đầu...

Không có chương trình diệt virus nào có thể diệt tận gốc virus nhiễm vào MBR. Vì mọi chương trình (bao gồm cả hệ điều hành) đều phải chạy sau đoạn chương trình mồi trên MBR.

Vừa mới đọc dc soft này mọi người test nhé



http://cmcinfosec.co...cw0.2.4.500.rar

Cô đơn lạnh giá
[Up] [Print Copy]


[Thảo luận] Con virus quái đản (\Device\Harddisk0\DR0) 30/10/2009 08:39:38 (+0700) | #8 | 197090
phamlenhan555
Member
[Minus] 0 [Plus]
Joined: 20/07/2009 11:25:30
Bài gởi: 14
Offline
[Profile] [PM]
cậu cho tớ hỏi MBR là gì thế mình ko biết
[Up] [Print Copy]


[Thảo luận] Con virus quái đản (\Device\Harddisk0\DR0) 01/11/2009 11:59:26 (+0700) | #9 | 197309
vutienvan
Member
[Minus] 0 [Plus]
Joined: 28/06/2007 19:04:44
Bài gởi: 2
Offline
[Profile] [PM]
Em cũng nghi nó nằm trong các bản ghost đa cấu hình của Trung Quốc
==> các bác nghĩ sao về vấn đề này. Em cũng nghi nghi nhưng chưa chắc chắn. đã có một thời gian cả một giàn máy ở công ty bị dính con virus này, các máy chạy như bị ma làm, nhiều lỗi chẳng hiểu tại sao, mãi mới phát hiện ra. smilie
[Up] [Print Copy]


[Thảo luận] Con virus quái đản (\Device\Harddisk0\DR0) 01/11/2009 21:12:30 (+0700) | #10 | 197320
[Avatar]
holiganvn
Member
[Minus] 0 [Plus]
Joined: 08/05/2009 19:29:45
Bài gởi: 370
Đến từ: Cố Đô Huế
Offline
[Profile] [PM]
sửa giùm bác Tổng Tư Lệnh cái link:

http://cmcinfosec.com/download/cmcark.zip
HaCk t0 LeArN,N0t LeArN t0 HaCk
[Up] [Print Copy]


[Thảo luận] Con virus quái đản (\Device\Harddisk0\DR0) 02/11/2009 23:03:20 (+0700) | #11 | 197391
[Avatar]
kekhocdoi
Member
[Minus] 0 [Plus]
Joined: 15/09/2009 09:45:05
Bài gởi: 168
Offline
[Profile] [PM] [Email] [Yahoo!]
@phamlenhan555
bolzano_1989 wrote:
Nguồn gốc của cái gì của virus ? Virus loại này đã rất lâu đời và tất nhiên được viết bởi "virus writers" . Hình thức lây nhiễm thì cũng tương tự các loại virus thông thường khác, bạn tự tìm hiểu, ngoài ra nếu bạn boot bằng đĩa mềm bị nhiễm boot virus thì ổ cứng của bạn cũng sẽ bị lây nhiễm.
Boot virus copy mã độc vào boot sector của ổ đĩa mềm và boot sector hoặc Master Boot Record (MBR) của ổ cứng.

Cách diệt nó thì bạn đã đọc ở nhiều nơi rồi, tự mà làm lấy, đa số là dùng đĩa boot hay cài thêm Windows Recovery Console với lệnh fdisk /mbr hoặc dùng 1 số công cụ.
Rất vui được làm quen, học hỏi, trao đổi,.. với tất cả mọi người
[Up] [Print Copy]


[Thảo luận] Con virus quái đản (\Device\Harddisk0\DR0) 10/10/2010 09:05:50 (+0700) | #12 | 222498
Tony_nguyen19
Member
[Minus] 0 [Plus]
Joined: 25/01/2008 11:21:17
Bài gởi: 7
Offline
[Profile] [PM]
tình hình là máy e đang dùng Win7 Ent x64 cũng đang bị dính con Type_Boot này
\Device\HardDisk\ DR1
e đã dùng các cách trên nhưng ko diệt dc nó, ko bít ai có cao kiến gì giúp e với smilie ( đừng bảo format all cài lại nha smilie )
[Up] [Print Copy]


[Thảo luận] Con virus quái đản (\Device\Harddisk0\DR0) 21/01/2011 16:19:58 (+0700) | #13 | 230007
white95
Member
[Minus] 0 [Plus]
Joined: 16/12/2010 08:46:08
Bài gởi: 8
Offline
[Profile] [PM]
Cách sử lý virus:
Bỏ CD hiren boot. vào DOS, gõ: fdisk /mbr enter
Rút đĩa ra, khởi động lại máy.
Nếu là XP: chạy bình thường
Nếu là Vista: Bỏ đĩa setup vào, chọn Repair.

Bác cho em hỏi, chạy lệnh
Code:
fdisk /mbr

thì nghĩ là như thế nào, dữ liệu trong phân vùng có bị mấ không, có format không, dữ liệu có bị làm sao không?
[Up] [Print Copy]


[Thảo luận] Con virus quái đản (\Device\Harddisk0\DR0) 23/01/2011 21:28:47 (+0700) | #14 | 230166
[Avatar]
ducnamnv
Member
[Minus] 0 [Plus]
Joined: 22/09/2003 15:29:11
Bài gởi: 55
Đến từ: Đâu đó
Offline
[Profile] [PM]
white95 wrote:
Cách sử lý virus:
Bỏ CD hiren boot. vào DOS, gõ: fdisk /mbr enter
Rút đĩa ra, khởi động lại máy.
Nếu là XP: chạy bình thường
Nếu là Vista: Bỏ đĩa setup vào, chọn Repair.

Bác cho em hỏi, chạy lệnh
Code:
fdisk /mbr

thì nghĩ là như thế nào, dữ liệu trong phân vùng có bị mấ không, có format không, dữ liệu có bị làm sao không?

Lệnh đó được dùng phổ biến từ lâu lắm rồi, nó có tác dụng định dạng lại MBR ổ đĩa mà không mất dữ liệu.
Fan of LeVuHoang, conmale
[Up] [Print Copy]


[Thảo luận] Con virus quái đản (\Device\Harddisk0\DR0) 22/09/2014 10:02:16 (+0700) | #15 | 281724
[Avatar]
kara_men
Member
[Minus] 0 [Plus]
Joined: 27/06/2006 02:32:38
Bài gởi: 91
Offline
[Profile] [PM]
Xin phép lôi topic này lên.

Hôm nay mình gặp trường hợp sau:

Lắp ổ cứng cũ vào máy mới, cài windows 7 "sạch" (có format partition), bộ cài của Maher (bộ này cài ở một số máy khác rồi nhưng không gặp trường hợp này)

Cài xong windows, cài MSE, update. Xong xuất hiện cảnh báo virus:

http://www.upsieutoc.com/images/2014/09/22/virus.png

Cảnh báo này lặp đi lặp lại, không thấy MSE diệt được

Restart máy, dùng usb Kaspersky Rescue Disk 10 boot máy, update và quét. Quét ra vài con virus khác, diệt sạch. Xong khởi động lại máy, vào windows 7 => vẫn hiện lên thông báo virus.

Dùng Pchunter thì phát hiện ra con taskhost.exe trong C:\Windows\, kill nó bằng tay, kill luôn trong startup, restart, check lại, con taskhost đã chết, nhưng báo virus kia vẫn còn.

Khởi động lại máy, boot bằng usb, vào chế độ repair của windows 7, chạy lệnh bootrec.exe /fixmbr; fixboot; rebuildbcd xong, khởi động lại máy, vẫn tiếp tục báo.

Bó tay roài.
smilie

Nhờ mọi người giúp đỡ.

Admin
Admin

Tổng số bài gửi : 69
Join date : 13/09/2018

Xem lý lịch thành viên http://hvaonline.forumvi.com

Về Đầu Trang Go down

Về Đầu Trang

- Similar topics

 
Permissions in this forum:
Bạn không có quyền trả lời bài viết