thảo luận Gặp con Virus có cơ chế ẩn kiểu mới

plamduy

plamduy

Senior Member
Nay gặp 1 case khá hay ho.
Bình thường bọn virus lây lan qua USB/Ổ cứng di động thường có cơ chế ẩn file, lừa người dùng bấm vào shortcut kích hoạt nó. Để hạn chế trò này thì ta thường làm:
  • Vào Explorer chọn hiện hết file ẩn lên (bao gồm cả system file) -> sẽ thấy được thư mục ẩn, file ẩn
  • Tạo 1 thư mục DATA trong USB, sau đó set permission NTFS lock hết mọi thứ bên ngoài, chỉ khi vào thư mục DATA mới full quyền -> hạn chế mấy file autorun, tự động copy file dữ liệu của mình sang thư mục khác....

Case của mình:
- Cắm HDD di động vào máy nghi nhiễm virus -> xuất hiện 1 thư mục ẩn trong ổ
1712032217518.png

- Vào thư mục ẩn đó -> Explorer báo thư mục này empty, ko có gì cả.
1712032245941.png

- Nhưng khi ra ngoài, vào Properties xem thì có 2.414 Files, 6 Folders và dung lượng 700MB :amazed:
1712032281412.png


- Vào bằng WinRAR thì ô kìa, lòi ra kho báu: :byebye::byebye::byebye:
1712032353556.png
1712032374174.png


Thằng Windows Explorer thế này là bị làm sao nhỉ???
Video cho ae nào muốn xem cụ thể:
 
plamduy said:
Nay gặp 1 case khá hay ho.
Bình thường bọn virus lây lan qua USB/Ổ cứng di động thường có cơ chế ẩn file, lừa người dùng bấm vào shortcut kích hoạt nó. Để hạn chế trò này thì ta thường làm:
  • Vào Explorer chọn hiện hết file ẩn lên (bao gồm cả system file) -> sẽ thấy được thư mục ẩn, file ẩn
  • Tạo 1 thư mục DATA trong USB, sau đó set permission NTFS lock hết mọi thứ bên ngoài, chỉ khi vào thư mục DATA mới full quyền -> hạn chế mấy file autorun, tự động copy file dữ liệu của mình sang thư mục khác....

Case của mình:
- Cắm HDD di động vào máy nghi nhiễm virus -> xuất hiện 1 thư mục ẩn trong ổ
View attachment 2417367
- Vào thư mục ẩn đó -> Explorer báo thư mục này empty, ko có gì cả.
View attachment 2417370
- Nhưng khi ra ngoài, vào Properties xem thì có 2.414 Files, 6 Folders và dung lượng 700MB :amazed:View attachment 2417372

- Vào bằng WinRAR thì ô kìa, lòi ra kho báu: :byebye::byebye::byebye:
View attachment 2417382View attachment 2417384

Thằng Windows Explorer thế này là bị làm sao nhỉ???
Video cho ae nào muốn xem cụ thể:
Click to expand...
nén lại folder đó đặt password r up lên googledrive t xem thử coi fen :D
 
Mình đồ rằng cái thư mục "Docusment" này được thiết lập attribute nào đó khác với thư mục bình thường:
- Properties của nó so với thư mục bình thường:
1712036348232.png



- Context Menu (khi click chuột phải vào thư mục):
+ Thư mục bình thường:
1712036577836.png

+ Thư mục đó: (ko hiện menu quét virus, ko hiện menu nén WinRAR...)
1712036628057.png
 
plamduy said:
file ini quy định hiển thị thôi, ko có j đặc biệt cả thým.
View attachment 2417501

OneDriver nhe cán bộ
Link
Click to expand...
cái folder này có set quyền là file hệ thống nên window explorer nó ẩn. Cái file desktop.ini nó dùng để chuyển hướng sang 1 cái webview của IE trang trắng => sẽ thấy folder trống, xóa nó đi là bt.
Cách giải quyết là xóa registry (nhớ backup có khi lỗi luôn IE :v)
Code: 
HKEY_CLASSES_ROOT\CLSID\{88C6C381-2E85-11D0-94DE-444553540000}
Window có rất nhiều cái lỗ hổng như thế này để hacker khai thác đc nên đừng diệt virus bằng tay nữa fen cài antivirus đi
 
Fioren said:
cái folder này có set quyền là file hệ thống nên window explorer nó ẩn. Cái file desktop.ini nó dùng để chuyển hướng sang 1 cái webview của IE trang trắng => sẽ thấy folder trống, xóa nó đi là bt.
Cách giải quyết là xóa registry (nhớ backup có khi lỗi luôn IE :v)
Code: 
HKEY_CLASSES_ROOT\CLSID\{88C6C381-2E85-11D0-94DE-444553540000}
Window có rất nhiều cái lỗ hổng như thế này để hacker khai thác đc nên đừng diệt virus bằng tay nữa fen cài antivirus đi
Click to expand...
Àh, đúng rồi. xóa cái file desktop.ini kia đi là oke. :beauty:

Diệt virus thì cài Kaspersky rồi mà. Chẳng qua thấy cái cơ chế né qua phần Explorer của nó khá là hay nên up lên đây hỏi các thým thôi :big_smile:
 
kinh nghiệm là sau khi hiện file ẩn thì vào ổ C xem có hiện ra đủ hết chưa, và hiện là hiện file system luôn chứ không phải chỉ mỗi hiện file/folder ẩn, nhiều con bật trong folder options nhưng ok là nó lại ẩn tiếp >> thớt thiếu bước này nên là mãi không thấy file folder.ini
 
con_sau_may_tinh said:
kinh nghiệm là sau khi hiện file ẩn thì vào ổ C xem có hiện ra đủ hết chưa, và hiện là hiện file system luôn chứ không phải chỉ mỗi hiện file/folder ẩn, nhiều con bật trong folder options nhưng ok là nó lại ẩn tiếp >> thớt thiếu bước này nên là mãi không thấy file folder.ini
Click to expand...
Trong video có hiện hết đó thým ơi, bao gồm cả file hệ thống nữa :byebye:
Vấn đề là cái file desktop.ini này nó chuyển hướng thằng Explorer sang 1 chỗ khác -> ko thấy gì nếu mở bằng explorer bình thường
 
plamduy said:
Trong video có hiện hết đó thým ơi, bao gồm cả file hệ thống nữa :byebye:
Vấn đề là cái file desktop.ini này nó chuyển hướng thằng Explorer sang 1 chỗ khác -> ko thấy gì nếu mở bằng explorer bình thường
Click to expand...
đừng cãi
1. bật nhưng không vào ổ C để xem có thực sự hiện ra hết không
2. sau khi bấm ok ở folder option bạn lại click đúp vào ổ đĩa nghi ngờ >>> virus lại được kích hoạt
cái trò folder.ini xưa mình nghịch chán chê ở win xp rồi
 
con_sau_may_tinh said:
đừng cãi
1. bật nhưng không vào ổ C để xem có thực sự hiện ra hết không
2. sau khi bấm ok ở folder option bạn lại click đúp vào ổ đĩa nghi ngờ >>> virus lại được kích hoạt
cái trò folder.ini xưa mình nghịch chán chê ở win xp rồi
Click to expand...
đừng cãi
1. Mời thím vào xem video mình up ở #1 xem đã làm đúng chưa. Tốn có 2-3 phút thôi. Bạn chọn speed x2 cho lẹ.
2. Ổ đĩa mình thiết lập lock bằng NTFS permission rồi, nên nó ko chèn file autorun.inf được. Nó chỉ copy được cái thư mục chứa con virus vào trong thư mục DATA (do mình set sẵn) của mình thôi. Trò của thiím mình cũng nghịch nát rồi ạ.
3. Mời bạn đọc kỹ bài #6 của thím @Fioren
 
có thể thấy cái explorer nó bị thay đổi giao diện r đấy, nhờ công microsoft cả...
có desktop.ini
1712069173660.png

Không có desktop.ini
1712069222632.png

Cái này có từ hồi lâu rồi, winxp, mà thời đó winxp, win7 cho tắt đc cái desktop.ini khỏi hệ thống đc, lên win10 thì M$ làm nước đi vào lòng đất ko cho tắt nữa nên bọn này nó tung hoành lại :(
Nhìn chung vào registry xóa cái khóa CLSID là giải quyết đc case này, nhưng M$ nó tích hợp rất rất nhiều cái CLSID ngu học khác nhau, xóa hết là k thể...
 
Windows thì luôn nổi tiếng là hệ điều hành virus rồi, nói chung tương lai và xa vời vẫn là nơi để tụi viết virus tống tình làm khổ những người dùng gà mờ thôi chả trông mong gì 😔
 
Fioren said:
cái folder này có set quyền là file hệ thống nên window explorer nó ẩn. Cái file desktop.ini nó dùng để chuyển hướng sang 1 cái webview của IE trang trắng => sẽ thấy folder trống, xóa nó đi là bt.
Cách giải quyết là xóa registry (nhớ backup có khi lỗi luôn IE :v)
Code: 
HKEY_CLASSES_ROOT\CLSID\{88C6C381-2E85-11D0-94DE-444553540000}
Window có rất nhiều cái lỗ hổng như thế này để hacker khai thác đc nên đừng diệt virus bằng tay nữa fen cài antivirus đi
Click to expand...
6 năm nay ko cài trình anti virus nào , thím có thể đề xuất 1 trình anti ngon đc ko :big_smile:
 

Similar threads

B
HN [Bán] Case cỏ H81, Màn di động 14 inch (tự chế), Phím cơ, Chuột, Vga cỏ
Replies
12
Views
726
TinhBeo
T
HàLan™
Ai đã "phát minh" ra stress: Tác nhân của 80% bệnh tật trên đời, bao gồm cả ung thư?
3 4 5
Replies
99
Views
10K
dylerb
dylerb
Broadcaster
tin tức 7 'sự thật công nghệ' thực tế là sai lầm
Replies
0
Views
487
Broadcaster
Broadcaster
mrmisstyholow
thắc mắc Nhờ các bác tư vấn cách mở file trực tiếp trên server FTP
Replies
7
Views
648
sigel
sigel
dtadptvl
thảo luận Cài đặt Chrome OS dual boot với Windows (không cần USB)
8 9 10
Replies
198
Views
11K
lu0ngvu03
lu0ngvu03

Share this page

Back
Top