Home
Chào các bạn!
(File dùng ngay [You must be registered and logged in to see this link.] [You must be registered and logged in to see this link.] - 4,6 KB)
Như các bạn đã biết, có rất nhiều nguy cơ mang lại từ hành động Autorun
trên HĐH Windows XP, mà tác nhân là file autorun.inf. Microsoft đã cung
cấp cho chúng ta hai thiết lập NoDriveAutoRun và NoDriveTypeAutoRun
để vô hiệu tính năng AutoRun (cũng như AutoPlay). Nhưng không, người
dùng tiếp tục bị thử thách. Microsoft tự động đặt lại giá trị mặc định
của NoDriveTypeAutoRun trên các máy tính chạy Windows Server 2003,
Windows XP hay Windows 2000 sau khi chúng gia nhập Active Directory
domain ([You must be registered and logged in to see this link.]).
Chưa hết, thay vì ngưng mọi hoạt động AutoPlay nếu giá trị
NoDriveTypeAutoRun cấm điều đó thì Windows lại âm thầm phân tích tệp
Autorun.inf và thực hiện tất cả những gì đọc được trừ thao tác cuối
cùng là gọi hộp thoại AutoPlay hay thực thi chương trình ứng dụng, và
Microsoft đã phải cung cấp bản vá từ tháng 8/2008. Chính vì sự không
nhất quán này, những người dùng chưa cập nhật bản vá cần thiết mà đã
chỉnh sửa registry để tắt tính năng AutoRun đã tự “nộp mình cho virus
xơi”. Trong 4 kiểu lây lan của virus (1 - Lây ngay lập tức; 2 - Lây qua
hộp thoại Autoplay (dễ bị phát hiện); 3 - Lây khi người dùng nhấn đúp
vào ổ đĩa; 4 - Lây khi người dùng chọn trình đơn ngữ cảnh của ổ đĩa),
việc tắt tính năng AutoRun nửa vời chỉ chặn hai cách lộ liễu nhất.
Khi đó, virus không cần phải tự động thi hành khi thiết bị nhớ USB
được cắm vào máy hay thêm một mục đánh lừa vào hộp thoại AutoPlay,
chúng chỉ cần báo cho Windows các hoạt động cần thực hiện khi người
dùng mở ổ đĩa (nhấn đúp hay chọn Open từ trình đơn ngữ cảnh) rồi ung
dung “nằm đợi”. Những lời khuyên không nhấn đúp vào biểu tượng ổ đĩa
trong Windows Explorer trở nên thừa thãi vì dù bạn có nhấn chuột phải
và chọn Open từ trình đơn ngữ cảnh thì cũng vẫn dính virus (trừ một
vài loại “nhân đạo”). Hậu quả tệ hại nhất của việc tắt tính năng
AutoRun “giả” là người dùng bị nhiễm virus mà vẫn tin rằng mình thông
minh, miễn nhiễm với chúng.
Dù AutoPlay đã được Microsoft cải tiến nhưng vẫn không khắc phục được
hết những lỗ hổng bảo mật. Lựa chọn tối ưu cho người dùng là tắt hẳn
tính năng AutoRun. Tài liệu How to disable the Autorun functionality in
Windows ([You must be registered and logged in to see this link.])
cho biết để đảm bảo vô hiệu tính năng Autorun, chúng ta cần cài đặt
một bản cập nhật (nếu không thể cài đặt bản cập nhật KB967715 thành
công, các bạn có thể cài đặt bản KB950582 thay thế) trước khi sửa giá
trị NoDriveTypeAutoRun trong Registry hay sử dụng Group Policy (nếu
chọn cách sửa NoDriveTypeAutoRun, hãy đặt giá trị 255 cho nó để cấm
Autorun trên tất cả các ổ đĩa; các thiết bị nhớ USB U3 đã lừa Windows
bằng cách thông báo nó vừa là thiết bị nhớ USB vừa là CD). Hơn thế nữa,
tài liệu này còn chỉ cho chúng ta đường dẫn trỏ tới phương pháp cấm
hẳn việc sử dụng các thiết bị nhớ USB. Tuy nhiên, đó là một câu chuyện
khác.
Vì cách làm do Microsoft hướng dẫn tương đối phức tạp và mất thời gian,
nay xin giới thiệu một cách đơn giản hơn, cách này xuất hiện lần đầu
trên blog của Nick Brown và đã được Đội ứng cứu máy tính khẩn cấp của
Mỹ - US CERT dẫn lại (Vulnerability Note VU#889747, [You must be registered and logged in to see this link.]), và trên Windows PowerShell Blog cũng dẫn lại ([You must be registered and logged in to see this link.]),
vì thế các bạn có thể an tâm sử dụng. Ngoài ra, Lãng khách đồng thời
bổ sung các giá trị trong Registry một cách cưỡng bức, nhằm khôi phục
hầu hết các công cụ hệ thống như Regedit, Task Manager, Run command,
hiện files và folders ẩn & siêu ẩn, hiện phần mở rộng của file thực
thi giả mạo file an toàn (file .exe giả mạo file .txt, file .png, .jpg,
file thực thi giả mạo thư mục,...),...
Đồng thời file Lãng khách cung cấp cũng sẽ giúp khôi phục các lỗi như
không thể chạy được các ứng dụng .exe, .bat, .com, .reg, .scr,... là
những định dạng file phổ biến để giúp khôi phục tính năng hệ thống (như
các bạn đã biết, khi virus tắt Registry, nếu không chạy được file .exe,
không chạy được file .reg, thì dĩ nhiên là các bạn khó có cách nào để
can thiệp trở lại hệ thống nhằm khắc phục sự cố).
Vậy các bạn phải làm tất cả những gì? Rất đơn giản. Các bạn có 2 lựa chọn:
Phương án 1:
1. Tải file đính kèm LangkhachFIX.inf.zip bên dưới về Desktop, phải chuột chọn Rename, xóa bỏ phần mở rộng .zip đi để tên file chỉ còn lại là LangkhachFIX.inf (do diễn đàn không để đính kèm file có phần mở rộng là .inf nên Lãng khách đổi tên để đính kèm vào bài viết được, đây là cách ngày xưa Lãng khách nghĩ ra và áp dụng để đính kèm file .exe vào G-mail
). (Dưới đây là 2 file giống nhau, một file dành cho trường hợp còn có thể xả nén bình thường, là file .zip ở trên):
[You must be registered and logged in to see this link.] [You must be registered and logged in to see this link.] (632 Bytes)
[You must be registered and logged in to see this link.] [You must be registered and logged in to see this link.] (2,0 KB)
2. Phải chuột file LangkhachFIX.inf trên Desktop và chọn Install. Tất cả các thiết lập đã có tác dụng ngay. Tuy nhiên, bạn sẽ phải bấm F5 để Refresh màn hình làm việc (tại Folder bất kì, sẽ có tác dụng trong Folder đó) để thấy hiệu quả. Nếu bạn không muốn thủ công, trên Windows XP, click Start/Run, gõ tskill EXPLORER (ENTER) hoặc trên Windows Vista/7, click Start, gõ tskill EXPLORER (ENTER) là OK ngay lập tức (đây là thủ thuật Lãng khách vẫn ứng dụng để xác lập Registry có tác dụng ngay lập tức thay vì các lời khuyên các bạn vẫn nhận được là phải Restart máy tính hay phải Log off rồi Log on trở lại mới thấy tác dụng).
Sau đó, các bạn có thể thoải mái sử dụng công cụ hệ thống hay các công cụ như .exe để tiếp tục khắc phục sự cố.
Phương án 2:
Các bạn copy đoạn code dưới đây vào NotePad, Save as... với filename là LangkhachFIX.inf rồi thao tác như từ bước 2 ở Phương án 1.
Tuy nhiên, Lãng khách vẫn lưu ý các bạn, trường hợp bị lỗi không mở
được file .exe, các bạn sẽ không thể mở được NotePad theo cách thông
thường, và lúc này Phương án 1 sẽ phát huy hiệu quả.
Code:
File được đính kèm
(File dùng ngay [You must be registered and logged in to see this link.] [You must be registered and logged in to see this link.] - 4,6 KB)
Như các bạn đã biết, có rất nhiều nguy cơ mang lại từ hành động Autorun
trên HĐH Windows XP, mà tác nhân là file autorun.inf. Microsoft đã cung
cấp cho chúng ta hai thiết lập NoDriveAutoRun và NoDriveTypeAutoRun
để vô hiệu tính năng AutoRun (cũng như AutoPlay). Nhưng không, người
dùng tiếp tục bị thử thách. Microsoft tự động đặt lại giá trị mặc định
của NoDriveTypeAutoRun trên các máy tính chạy Windows Server 2003,
Windows XP hay Windows 2000 sau khi chúng gia nhập Active Directory
domain ([You must be registered and logged in to see this link.]).
Chưa hết, thay vì ngưng mọi hoạt động AutoPlay nếu giá trị
NoDriveTypeAutoRun cấm điều đó thì Windows lại âm thầm phân tích tệp
Autorun.inf và thực hiện tất cả những gì đọc được trừ thao tác cuối
cùng là gọi hộp thoại AutoPlay hay thực thi chương trình ứng dụng, và
Microsoft đã phải cung cấp bản vá từ tháng 8/2008. Chính vì sự không
nhất quán này, những người dùng chưa cập nhật bản vá cần thiết mà đã
chỉnh sửa registry để tắt tính năng AutoRun đã tự “nộp mình cho virus
xơi”. Trong 4 kiểu lây lan của virus (1 - Lây ngay lập tức; 2 - Lây qua
hộp thoại Autoplay (dễ bị phát hiện); 3 - Lây khi người dùng nhấn đúp
vào ổ đĩa; 4 - Lây khi người dùng chọn trình đơn ngữ cảnh của ổ đĩa),
việc tắt tính năng AutoRun nửa vời chỉ chặn hai cách lộ liễu nhất.
Khi đó, virus không cần phải tự động thi hành khi thiết bị nhớ USB
được cắm vào máy hay thêm một mục đánh lừa vào hộp thoại AutoPlay,
chúng chỉ cần báo cho Windows các hoạt động cần thực hiện khi người
dùng mở ổ đĩa (nhấn đúp hay chọn Open từ trình đơn ngữ cảnh) rồi ung
dung “nằm đợi”. Những lời khuyên không nhấn đúp vào biểu tượng ổ đĩa
trong Windows Explorer trở nên thừa thãi vì dù bạn có nhấn chuột phải
và chọn Open từ trình đơn ngữ cảnh thì cũng vẫn dính virus (trừ một
vài loại “nhân đạo”). Hậu quả tệ hại nhất của việc tắt tính năng
AutoRun “giả” là người dùng bị nhiễm virus mà vẫn tin rằng mình thông
minh, miễn nhiễm với chúng.
Dù AutoPlay đã được Microsoft cải tiến nhưng vẫn không khắc phục được
hết những lỗ hổng bảo mật. Lựa chọn tối ưu cho người dùng là tắt hẳn
tính năng AutoRun. Tài liệu How to disable the Autorun functionality in
Windows ([You must be registered and logged in to see this link.])
cho biết để đảm bảo vô hiệu tính năng Autorun, chúng ta cần cài đặt
một bản cập nhật (nếu không thể cài đặt bản cập nhật KB967715 thành
công, các bạn có thể cài đặt bản KB950582 thay thế) trước khi sửa giá
trị NoDriveTypeAutoRun trong Registry hay sử dụng Group Policy (nếu
chọn cách sửa NoDriveTypeAutoRun, hãy đặt giá trị 255 cho nó để cấm
Autorun trên tất cả các ổ đĩa; các thiết bị nhớ USB U3 đã lừa Windows
bằng cách thông báo nó vừa là thiết bị nhớ USB vừa là CD). Hơn thế nữa,
tài liệu này còn chỉ cho chúng ta đường dẫn trỏ tới phương pháp cấm
hẳn việc sử dụng các thiết bị nhớ USB. Tuy nhiên, đó là một câu chuyện
khác.
Vì cách làm do Microsoft hướng dẫn tương đối phức tạp và mất thời gian,
nay xin giới thiệu một cách đơn giản hơn, cách này xuất hiện lần đầu
trên blog của Nick Brown và đã được Đội ứng cứu máy tính khẩn cấp của
Mỹ - US CERT dẫn lại (Vulnerability Note VU#889747, [You must be registered and logged in to see this link.]), và trên Windows PowerShell Blog cũng dẫn lại ([You must be registered and logged in to see this link.]),
vì thế các bạn có thể an tâm sử dụng. Ngoài ra, Lãng khách đồng thời
bổ sung các giá trị trong Registry một cách cưỡng bức, nhằm khôi phục
hầu hết các công cụ hệ thống như Regedit, Task Manager, Run command,
hiện files và folders ẩn & siêu ẩn, hiện phần mở rộng của file thực
thi giả mạo file an toàn (file .exe giả mạo file .txt, file .png, .jpg,
file thực thi giả mạo thư mục,...),...
Đồng thời file Lãng khách cung cấp cũng sẽ giúp khôi phục các lỗi như
không thể chạy được các ứng dụng .exe, .bat, .com, .reg, .scr,... là
những định dạng file phổ biến để giúp khôi phục tính năng hệ thống (như
các bạn đã biết, khi virus tắt Registry, nếu không chạy được file .exe,
không chạy được file .reg, thì dĩ nhiên là các bạn khó có cách nào để
can thiệp trở lại hệ thống nhằm khắc phục sự cố).
Vậy các bạn phải làm tất cả những gì? Rất đơn giản. Các bạn có 2 lựa chọn:
Phương án 1:
1. Tải file đính kèm LangkhachFIX.inf.zip bên dưới về Desktop, phải chuột chọn Rename, xóa bỏ phần mở rộng .zip đi để tên file chỉ còn lại là LangkhachFIX.inf (do diễn đàn không để đính kèm file có phần mở rộng là .inf nên Lãng khách đổi tên để đính kèm vào bài viết được, đây là cách ngày xưa Lãng khách nghĩ ra và áp dụng để đính kèm file .exe vào G-mail
). (Dưới đây là 2 file giống nhau, một file dành cho trường hợp còn có thể xả nén bình thường, là file .zip ở trên):[You must be registered and logged in to see this link.] [You must be registered and logged in to see this link.] (632 Bytes)
[You must be registered and logged in to see this link.] [You must be registered and logged in to see this link.] (2,0 KB)
2. Phải chuột file LangkhachFIX.inf trên Desktop và chọn Install. Tất cả các thiết lập đã có tác dụng ngay. Tuy nhiên, bạn sẽ phải bấm F5 để Refresh màn hình làm việc (tại Folder bất kì, sẽ có tác dụng trong Folder đó) để thấy hiệu quả. Nếu bạn không muốn thủ công, trên Windows XP, click Start/Run, gõ tskill EXPLORER (ENTER) hoặc trên Windows Vista/7, click Start, gõ tskill EXPLORER (ENTER) là OK ngay lập tức (đây là thủ thuật Lãng khách vẫn ứng dụng để xác lập Registry có tác dụng ngay lập tức thay vì các lời khuyên các bạn vẫn nhận được là phải Restart máy tính hay phải Log off rồi Log on trở lại mới thấy tác dụng).
Sau đó, các bạn có thể thoải mái sử dụng công cụ hệ thống hay các công cụ như .exe để tiếp tục khắc phục sự cố.
Phương án 2:
Các bạn copy đoạn code dưới đây vào NotePad, Save as... với filename là LangkhachFIX.inf rồi thao tác như từ bước 2 ở Phương án 1.
Tuy nhiên, Lãng khách vẫn lưu ý các bạn, trường hợp bị lỗi không mở
được file .exe, các bạn sẽ không thể mở được NotePad theo cách thông
thường, và lúc này Phương án 1 sẽ phát huy hiệu quả.
Code:
[Version]
Signature="$Windows NT$"
Provider=LangkhachBkavForum
[DefaultInstall]
DelReg=LangkhachDel
AddReg=LangkhachAdd
[LangkhachDel]
HKCU, Software\Classes\.exe
HKCU, Software\Classes\secfile
HKCR, secfile
HKCR, .exe\shell\open\command
[LangkhachAdd]
HKCR, exefile\shell\open\command,,,"""%1"" %*"
HKCR, .exe,,,"exefile"
HKCR, .exe,"Content Type",,"application/x-msdownload"
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x10001,0
HKCU, Software\Policies\Microsoft\Windows\System,DisableCMD,0x10001,0
HKLM, Software\Microsoft\Windows NT\CurrentVersion\SystemRestore,DisableSR,0x10001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,HideFileExt,0x10001,0
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Hidden,0x10001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x10001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr,0x10001,0
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions,0x10001,0
HKCU, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoBrowserOptions,0x10001,0
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun,0x10001,0
HKLM, Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf,,,"@SYS:KhongKhongThay"
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x10001,255
HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files,*.*,0x0
HKLM, System\CurrentControlSet\Services\ShellHWDetection,Start,0x10001,4
File được đính kèm
[You must be registered and logged in to see this link.]
(2,0 KB, 11085 xem)
[You must be registered and logged in to see this link.]
(636 Bytes, 10371 xem)
[You must be registered and logged in to see this link.]
(4,6 KB, 8824 xem)
