Trao đổi với tôi

http://www.buidao.com

8/7/09

[Virus] Bổ sung thêm bài TroMessenger

Bổ sung thêm bài TroMessenger
Link: http://www.ddth.com/showthread.php?t=131116
Download: http://www.sma-soft.ir/downloads/?u=TroMessenger

Bạn đang chơi Game tự nhiên có một tên lạ hoắc nào đó pm rằng em là Nga, là Mai, là Hằng ... chẳng hạn và đề nghị được trao đổi qua YM, nếu pác nào ham gái là coi như tiêu, cũng có thể bạn vào một site lạ nào đó và vô tình đưa kẻ phá hoại về máy tính của mình.
Đầu tiên là @hắc tài khoản qua Yahoo:
Tro Messenger là chương trình có thể xâm nhập và kiểm soát máy tính từ xa thông qua YM, công cụ này có thể kiểm soát bất kỳ một máy tính nào thông qua YM ảo thiết lập trong hệ thống. Cho nên một khi máy tính của bạn bị thằng này xâm nhập thì coi như toàn bộ dữ liệu của bạn đã bị kiểm soát (kể cả những dữ liệu đã được mã hóa).
Cơ chế hoạt động của Tro Messenger như sau:
- Chạy vào chương trình khởi động (Start Up)
- Kiểm soát bộ nhớ hệ thống
- Nằm ẩn và chờ khi có kết nối mạng
- Sau khi có kết nối sẽ phát tín hiệu về cho máy chủ ID ảo
- Gửi thông tin về cho chủ nhân sau khi quá trình phát tín hiệu thành công
Thế mạnh của chương trình này là không đòi hỏi IP vì nó tạo ra hẳn 1 IP ảo và 1 YM ảo để đánh lừa, hơn nữa nó còn có khả năng chạy ẩn trong hệ thống mạng LAN và kể cả hệ thông Router máy chủ. Khi hoạt động nó có thể truy cập vào bất kỳ hệ thống mạng nào chỉ cần có kết nối mạng, nó vô hiệu hóa Taks Manager, thậm chí còn có khả năng thấy được cấu hình máy tính nạn nhân. Điểm đặc biệt của nó là liên tục chụp hình, quay phim, ghi lại thông tin bàn phím và gửi lên một host đã chỉ định cho kẻ tấn công down về coi hoặc gửi thẳng về máy chủ tấn công (tùy chỉnh) cho nên dùng bàn phím ảo cũng không có tác dụng gì. Do đó khi bị tấn công các bạn nên để ý băng thông xem có bị chiếm dụng hay không, vì nếu bạn nào dùng XP sẽ thấy 20% branwich của diceves cũng mất luôn.
Phòng chống:
+ Không cho bất kỳ người lạ nào trong game hoặc ở ngoài YM của mình, nên tạo ra nhiều hơn 1 YM và sử dụng các YM phụ khi chơi ở tiệm net.
+ Không vào bất kỳ một website lạ, web đen hoặc click vào các đường link đáng nghi nào trong YM.
+ Hãy sử dụng một trình Anti Virus thật tốt để bảo vệ máy tính của bạn như BIT, KAV, KIS, ESET NOD 32 ....(khuyến cáo nên sử dụng chương trình có bản quyền chính thống)
+ Liên tục cập nhật các bản vá lỗi Windown để nâng cao khả năng phòng chống tấn công
+ Nếu có thể hãy sử dụng các chương trình chat khác ngoài YM như Spyke, Paltakl, AOL ....
+ Hãy đặt mật khẩu thật phức tạp bao gồm chữ hoa, chữ thường, số và các ký tự đặc biệt (đương nhiên đặt xong phải ghi nhớ và không nên ghi ra giấy hay lưu vào bất kỳ nơi nào).
+ Khi GD bán acc mà E-mail đăng ký là Yahoo Mail thì nên yêu cầu người bán phải tắt YM đi, vì có thể hắn ta để YM online ở nhà và GD với bạn ở nơi khác và khi bạn có mail đăng ký của người bán khi tiến hàng đổi pass thì YM sẽ cập nhật pass mới ngay.
+ Cuối cùng là các bạn hãy cực kỳ cẩn trọng khi lên mạng, nên nhớ rằng hacker lúc nào cũng đi trước các chuyên gia bảo mật một bước nên các bạn phải tự biết bảo vệ mình trước các mối đe dọa từ Internet!!!
Dấu hiệu chính khi có sự hiện diện của Tro Messenger hoặc bot trong máy là tốc độ kết nối mạng bị chậm đi, một cách kiểm tra các kết nối đáng ngờ là sử dụng lệnh netstat -an trong DOS bằng cách: Start -> Run -> cmd (đối với XP) còn với Vista chỉ cần gõ cmd trong cửa sổ comand. Netstat là công cụ linh hoạt để kiểm tra quá trình nghe thông tin trên cổng TCP và UDP, trạng thái kết nối trên Netstat bao gồm:
- ESTABLISHED – tất cả các host đều được kết nối
- CLOSING – host từ xa đang đóng kết nối
- LISTENING – host đang nghe kết nối đến
- SYN_RCVD – một host từ xa được yêu cầu khởi động kết nối
- SYN_SENT – host đang khởi động kết nối mới
- LAST_ACK – host phải gửi báo cáo trước khi đóng kết nối
- TIMED_WAIT, CLOSE_WAIT – một host từ xa đang kết thúc kết nối
- FIN_WAIT 1 – client đang kết thúc kết nối
- FIN_WAIT 2 – cả hai host đều đang kết thúc kết nối
Quan sát các kết nối ESTABLISHED tới cổng TCP trong phạm vi 6000 đến 7000 (thông thường là 6667). Nếu bạn thấy mình tính của mình bị xâm hại, hãy ngắt nó ra khỏi mạng Internet, làm sạch hệ thống, khởi động lại và kiểm tra.
Mong các bạn bổ sung thêm