Diệt virus phimnguoilon.exe bằng tay

Không ít các bạn đã từng bị dính loại virus này. Thông thường con đường lây nhiễm chủ yêu của chú này thông qua usb. Chúng giả mạo icon file exe dạng folder để đánh lừa những khổ chủ tò mò. Trong danh sách của các phần mềm diệt virus thì chú này bị ngoẻ từ lâu rồi. Tôi viết bài mang tính chất tham khảo, trọng tâm của bài viết là chỉ ra cách thức hoạt động của loại này thế nào. còn với code demo thì các bạn có thể hỏi chị "Google" chị sẽ cho những đoạn code cụ thể để thực hiện

1. Lây nhiêm
Con đường thông thường để nhiễm virus này là qua chế độ autorun của các thiệt bị ngoại vi - cụ thể là usb khi kết nối với window. Nó nằm phục sẵn trong usb của nạn nhân. Sau khi được kích hoạt nó sẽ chạy file system.exe và như thế là máy của bạn đã được xác nhận là bị nhiễm.
Trong trường hợp nếu bạn đã tắt chế độ autorun của win đi rồi thì nó vẫn chờ đợi bạn vô tình kích hoạt file phimnguoilon.exe ( icon của exe này dạng folder ) lên và thịt luộc máy của bạn ....
Các trường hợp còn lại dẫn đến bị lây nhiêm là rất it, hoặc bạn bị cắm usb nhưng có antivirus nó diệt thay bạn hoặc giả bạn là người có kinh nghiệm hoặc giả bạn là người cẩn thận thì tôi giám chác bạn chỉ đọc bài này cho vui thôi ! ~_^


2. Hoạt động
Khi nó được kích hoạt lên trong máy của bạn đầu tiên nó sẽ làm thịt thằng userinit.exe bằng việc chuyển thằng exe này đến một thư mục nào đó trong hệ thống và thay thế file này trên hdd của bạn bằng một thằng userinit.exe của nó. Xin nói thêm là khi win startup thì lão bill chỉ định win phải thực hiện file này để load config của user lên. Bạn có thể xoá file này đi để kiểm tra ở C:\WINDOWS\system32\userinit.exe. Nhưng nhớ là phải sao lưu nó vào chỗ nào đó để trả lại nhé.
Ok như thế file userinit sịn của bạn đã bị thay thế bằng một thằng userinit giả mạo. Tiếp theo nó tiếp tục chép tiếp một chú system.exe nữa vào trong thư mục \windows hoăc \window\system32 và nhiệm vụ mà thằng userinit.exe của virus làm là gọi file userinit.exe của lão bill để hệ thống hoạt động bình thường và gọi thêm thằng system.exe của nó để duy trì tình trạng bị nhiễm virus của máy tính.

Từ thời điểm này chở đi trong processes của bạn lúc nào cũng suất hiện 2 process là userinit và system. 2 thằng này luôn kiểm tra sự tồn tại của thằng còn lại nếu một trong 2 bị kill thì thằng còn lại sẽ có nhiệm vụ tự động khôi phục lại thằng kia khiến cho bạn không thể kill dc 2 thằng này.

Một điều chú ý về sự hoạt động của nó là bất cứ khi nào bạn chuy xuất vào usb, phần vùng logic của hdd (các ổ) thì nó sẽ tự động tạo ra một file autorun và system.exe (hoặc bất cứ cái tên gì...) vì thế mà nó đi theo các usb đên các máy tính khác và trong trường hợp khi victim cài lại win thì nó vẫn để lại mầm mống trên các ổ khác và đợi chờ !

3. Diệt by hands
OK khi bạn đã xác định cách thức hoạt động và lây nhiễm của nó bạn có thể tiều diệt nó dễ dàng.
Công cụ : procexp.exe một công cụ để dò tìm các process và phần mền winrar.
Trước tiên bạn cần phải xem nó đã dấu userinit.exe của bạn đi đằng nào rồi, bạn vào procexp.exe để kill thử thằng userinit của nó đi và bạn sẽ thấy system gọi tới nó và nó call thằng userinit sịn của bạn ở chỗ nào ra. Ok bạn dùng winrar mở C:\windows\ sau đó tìm đến file userinit của virus và xoá nó đi, copy file userinit sịn của bạn về lại đúng thư mục đó. sau đó khởi động lại máy tính.
Cuối cùng là bạn sử dụng winrar đi tìm thằng system.exe và các tàn dư của nó trên hdd của nó xoá nốt nó đi (trên ổ cứng không bao giờ có các file autorun)

Như vậy là kết thúc. ở đây cần sử dụng một số tools là đo đồ của ms không cung cấp chi tiết đến mức cần thiết những thông tin cho bạn giả sử nếu bạn dùng taskmanager thì bạn sẽ không thể nhìn thấy cái company của thằng system.exe là F U C K Y O U ặc ặc khi mà tôi nhìn thấy cái company kỳ cục này thì tui điên hết cả tiết lên quyết diệt cho nó chít luôn.

//====================
post 1 bản bên congdongcviet.com