Hôm qua ngồi cài phần mềm cho con Laptop Vaio của đứa em. Thấy nó yêu cầu cài mấy cái từ điển, nhân tiện có cái EV-Tran 4.0 mới tải về mấy hôm trước, cài thử luôn. Kaspersky Internet Security 7.0 báo ngay có virus trojan trong file patch. Chuyện nhỏ như con thỏ, thường bản patch nào chả bị báo là có virus, cho qua (ngay bản patch của KIS 7 còn báo có virus nữa là). Cài xong chạy chẳng được, chắc bản patch có vấn đề. Bận cài mấy thứ khác nên bỏ qua.
Lúc sau vào mạng, mở mấy trang tin tức đọc báo, không thể vào được, toàn nhảy ra 1 trang APACHE như sau:
Great Success !
Apache is working on your cPanel® and WHM™ Server
If you can see this page, then the people who manage this server have installed cPanel and WebHost Manager (WHM) which use the Apache Web server software and the Apache Interface to OpenSSL (mod_ssl) successfully. They now have to add content to this directory and replace this placeholder page, or else point the server at their real content.
ATTENTION!
If you are seeing this page instead of the site you expected, please contact the administrator of the site involved. (Try sending an email to.) Although this site is running cPanel, WebHost Manager, and Apache software it almost certainly has no other connection to cPanel Inc. or the Apache Group. Please do not send mail about this site or its contents to cPanel Inc. or the Apache Group.
About cPanel:
cPanel is a leading provider of software for the webhosting industry. If you would like to learn more about cPanel please visit our website at www.cpanel.net. Please be advised that cPanel Inc. is not a web hosting company, and as such has no control over content found elsewhere on this site.
About Apache HTTP Server:
The Apache HTTP Server is an open source web server which powers many of the worlds web sites. The Apache HTTP server is part of the Apache Group's many influential projects. Their efforts have helped shape much the world wide web, and they continue to be a dominating force in the web hosting industry.
Apache is working on your cPanel® and WHM™ Server
If you can see this page, then the people who manage this server have installed cPanel and WebHost Manager (WHM) which use the Apache Web server software and the Apache Interface to OpenSSL (mod_ssl) successfully. They now have to add content to this directory and replace this placeholder page, or else point the server at their real content.
ATTENTION!
If you are seeing this page instead of the site you expected, please contact the administrator of the site involved. (Try sending an email to
About cPanel:
cPanel is a leading provider of software for the webhosting industry. If you would like to learn more about cPanel please visit our website at
About Apache HTTP Server:
The Apache HTTP Server is an open source web server which powers many of the worlds web sites. The Apache HTTP server is part of the Apache Group's many influential projects. Their efforts have helped shape much the world wide web, and they continue to be a dominating force in the web hosting industry.
Bực mình quá, nhưng không phải trang nào cũng bị cả. Loay hoay đủ mọi cách ko được. Nhờ đến Google ko ra, hỏi 1 số cao thủ chịu thua luôn. Tự tìm cách xoay xở, thử đủ mọi cách ko thấy hiệu quả. Một lúc sau chán rồi, tự nhiên vào được.
Hôm nay ngồi chỉnh lại 1 số thứ, tự nhiên lôi cái file patch EV-Trans ra chạy lại xem có lỗi gì ko mà ko được. Cuối cùng remove luôn do ko chạy. Tối vào mạng, lại bị y chang hôm qua. Tức rồi đây. Quyết tìm cho ra.
Cuối cùng, kết luận như sau:
1. Tải phần mềm về từ blog này EVTRAN ver. 4.0 - Dịch vèo vèo cả đống văn bản . Đây là nơi phát tán file có chứa virus. File được đưa lên ngày 3/9/2008. Mình tải về đã lâu nhưng chưa cài thử.
2. Hôm qua đã đọc trên google 1 trang hướng dẫn vào xóa file host trong Windows. Đã xóa thử, nhưng 1 lúc mới công hiệu nên ko biết tại sao máy lại chạy ngon. Hôm nay thử tìm lại không thấy link đâu, đọc kĩ 1 hồi về DNS thì tìm ra.
3. Mở Run gõ "C:\WINDOWS\SYSTEM32\DRIVERS\ETC\host"
Phát hiện có 1 điểm chung trong file host là có rất nhiều địa chỉ là 205.234.243.97. Thử search Google thì biết được nguyên nhân. Do virus trong file patch kia tạo ra. Để khắc phục, xóa hết những dòng này đi là xong.
4. Đây là thông báo về nguyên nhân.
Quay trở lại trang phát tán, đọc được thông báo ngày 11/9/2008 của chủ nhân blog xin lỗi
Bản EV-TRANS 4.0 tung ra ở rất nhiều nơi trên mạng và ở rất nhiều các site phần mềm nổi tiếng, số lượng download rất đông thực chất chỉ là bản EV-TRANS 3.0
Người viết ra Patch kia có một í đồ xấu (xem code thì hiểu)
File Patch thực chất khi được chạy thì....sẽ chẳng hiện cái gì đâu....mà nó sẽ chạy ngầm với một mục đích cao cả nhất mà tác giả của nó gửi gắm vào nó là sẽ tạo ra một file host ở thư mục
C:\Windows\system32\drivers\etc\
với mục đích là khi mở một trình dyệt web địa chỉ website được liệt kê trong code trên thì tự động trình duyệt web sẽ tự động redirect đến trang 205.234.243.97, 205.234.200.143, và ai mà biết hai trang này có cái gì.....virus chẳng hạn....
File Patch thực chất khi được chạy thì....sẽ chẳng hiện cái gì đâu....mà nó sẽ chạy ngầm với một mục đích cao cả nhất mà tác giả của nó gửi gắm vào nó là sẽ tạo ra một file host ở thư mục
C:\Windows\system32\drivers\etc\
với mục đích là khi mở một trình dyệt web địa chỉ website được liệt kê trong code trên thì tự động trình duyệt web sẽ tự động redirect đến trang 205.234.243.97, 205.234.200.143, và ai mà biết hai trang này có cái gì.....virus chẳng hạn....
Đáng tiếc là nếu 2 trang kia nó là trang web có nội dung, mình sẽ nghĩ ngay đến trường hợp bị hịjack trình duyệt, chuyển hướng web thì sẽ tìm được phương pháp ngay từ đầu. Đây nó lại ra trang CPANEL nên cứ nghĩ lung tung.
Còn rất nhiều trang nữa lên tiếng cảnh báo, nhưng xem ra vẫn còn nhiều người bị lừa. Đành chia sẻ 1 kinh nghiệm lên blog giúp những ai gặp cảnh tương tự.
5. Còn nhớ 1 trường hợp tương tự, được www.guru.net.vn cảnh báo tại đây Sự thật về chương trình nhắn tin SMS miễn phí của malyfo . Quả thật cần nâng cao tinh thần cảnh giác hơn nữa.
Ngay cả phần mềm Gold Analog Clock (xem giá vàng VN và thế giới) mà tớ viết gửi tăng mọi người, nếu ko quen tớ thì cũng nên scan virus trước nhé. Biết đâu tớ lại là người phát tán virus. Cẩn thận vẫn hơn.
Copy 1 số link ra đây cho tiện đọc nếu bị mất.
VASC Orient,
Khi bạn lướt web bạn phải biết địa chỉ của trang web đó rồi đánh vào thanh địa chỉ trên IE hay Netscape. Thật ra trang web đó không có tên như vậy vì máy tính không hiểu, máy tính chỉ hiều các con số thôi, địa chỉ trang web để giúp người dùng dễ nhớ thôi. Các trang web được lưu trong máy chủ có địa chỉ IP (là một con số mà máy tính hiểu được, nghề của chàng mà), khi bạn đánh địa chỉ vào IE hay Netscape thì các trình duyệt này sẽ làm nhiệm vụ là xem trang web này nằm ở đâu, trên máy chủ nào, tức là phải kiếm ra IP của máy chủ chứa trang web đó. Cách tìm IP của nó như sau:
Tìm trong tập tin HOSTS xem có sẵn địa chỉ IP tương ứng với địa chỉ này không.
Nếu không tìm thấy IE hay Netscape sẽ gửi yêu cầu đến DNS server để hỏi xem địa chỉ trang web đó có IP bao nhiêu.
Biết được IP của máy chủ rồi thì trình duyệt IE (Netscape) và server cứ thế "nói chuyện" với nhau về nội dung mấy trang web. Bây giờ bạn thấy là trên internet đầy rẫy những quảng cáo xem nhức cả mắt, có mấy cái pop-up cứ tắt đi lại mở ra một đống các trang web khác. Đương nhiên những quảng cáo đó cũng có địa chỉ và được lưu trên máy chủ nào đó. Mình lợi dụng việc các trình duyệt tìm IP trong tập tin HOSTS trước khi gửi yêu cầu đến DNS server để đưa IP tầm bậy cho trình duyệt.... vậy là trình duyệt sẽ không biết đường mà lấy các quảng cáo ở đâu hết.
Vậy tập tin HOSTS đó ở đâu? Tùy hệ điều hành mà tập tin HOSTS nằm ở các thư mục khác nhau.
Win9x,WinMe : nó nằm ngay folder \WINDOWS\, nhớ là tập tin HOSTS này không có đuôi (phần mở rộng)
WinNT,Win2k : nó nằm hơi sâu một tí \WINNT\SYSTEM32\DRIVERS\ETC
WinXP : vị trí cũng hơi giống với win2k là \WINDOWS\SYSTEM32\DRIVERS\ETC
Cấu trúc của tập tin HOSTS này như sau : phần bên trái là IP tương ứng với địa chỉ gợi nhớ bên tay phải, hai phần cách nhau bằng khoảng trắng hay Tab (dấu # được dùng để ghi chú thích). Tôi sẽ chép giùm bạn một danh sách (dài dằng dặc, và sẽ còn dài nữa...hic) các địa chỉ chứa tòan là đồ quảng cáo để đỡ mất thời gian phải cập nhật vào. Sau này nếu gặp trang quảng cáo nào thì bạn chỉ việc thêm nó vào danh sách đen này thì sẽ không phải xem quảng cáo nữa :-). Để biết địa chỉ quảng cáo của nó thì bạn right-click vào hình ảnh quảng cáo hay pop-up rồi chọn properties. Trình duyệt sẽ cho bạn biết địa chỉ chứa cái hình quảng cáo đó .
Ví dụ : http://ads.x10.com /image/***.gif
Bây giờ bạn sẽ thêm vào tập tin HOSTS một dòng sau
127.0.0.1 ads.x10.com
Xong rồi từ giờ trở đi bạn sẽ không "được" xem những quảng cáo có trên địa chỉ này nữa, tại vì trình duyệt hiểu lầm là địa chỉ ads.x10.com có IP=127.0.0.1 (bạn cũng có thể thay bằng 0.0.0.0), mà IP này lại chính là máy của bạn thì làm sao có quảng cáo mà nó lấy được. Một số phần mềm chống quảng cáo bây giờ nó cũng chơi sửa tập tin HOSTS như vậy hay như thằng Norton AntiVirus cũng sửa tập tin này để lọc các thư dùng Outlook gửi đi. Ngoài ra, bạn cũng có thể thấy là dùng cái tập tin HOSTS này sẽ làm giúp truy cập Internet nhanh hơn một chút xíu nếu bạn đưa địa chỉ IP của trang web bạn hay truy cập vào đây thì IE hay Netscape không phải chạy đi hỏi mấy cái DNS server làm mất thời gian. Ví dụ : bạn hay vào trang www.vnn.vn , mà trang web này có địa chỉ IP là 203.162.1.25 (muốn biết bạn chỉ việc đánh lệnh này trong dấu nhắc DOS : ping www.vnn.vn). Bạn sẽ thêm vào tập tin HOSTS dòng này :
203.162.1.25 www.vnn.vn
Để đảm bảo chắc chắn là IE hay Netscape sẽ tìm địa chỉ IP của website nào đó trong file HOSTS này trước khi đi hỏi các DNS server thì ta nên sửa lại một chút để máy 127.0.0.1 thành DNS server đầu tiên nó hỏi trước khi hỏi bất kì DNS server nào khác.
Win98,WinMe thì vào properties của Network Neighborhood hay My Network Places nó sẽ hiện ra một cái bảng như sau, tùy máy mà có thể có thêm hoặc không có một dòng nào đó:
Trong WinNT,Win2K,WinXP thì phải vào properties của từng connection tương ứng ví dụ như của FPT hay VNN gì đó thì mới thấy được cái bảng này.
Sau đó bạn chọn properties của dòng TCP/IP ở trong bảng đó thì sẽ tới được nơi cần tới là chỗ chỉnh sửa DNS server
Trong phần Host và Domain bạn thính gõ vào cái gì cũng được, còn trong phần DNS Server Search Order thì bạn gõ 127.0.0.1 rồi nhấn nút Add. Chọn OK. Sau đó nếu là máy win98 hay winMe thì nó bắt sẽ bạn khởi động lại máy thì thay đổi này mới có hiệu lực.
Khi bạn lướt web bạn phải biết địa chỉ của trang web đó rồi đánh vào thanh địa chỉ trên IE hay Netscape. Thật ra trang web đó không có tên như vậy vì máy tính không hiểu, máy tính chỉ hiều các con số thôi, địa chỉ trang web để giúp người dùng dễ nhớ thôi. Các trang web được lưu trong máy chủ có địa chỉ IP (là một con số mà máy tính hiểu được, nghề của chàng mà), khi bạn đánh địa chỉ vào IE hay Netscape thì các trình duyệt này sẽ làm nhiệm vụ là xem trang web này nằm ở đâu, trên máy chủ nào, tức là phải kiếm ra IP của máy chủ chứa trang web đó. Cách tìm IP của nó như sau:
Tìm trong tập tin HOSTS xem có sẵn địa chỉ IP tương ứng với địa chỉ này không.
Nếu không tìm thấy IE hay Netscape sẽ gửi yêu cầu đến DNS server để hỏi xem địa chỉ trang web đó có IP bao nhiêu.
Biết được IP của máy chủ rồi thì trình duyệt IE (Netscape) và server cứ thế "nói chuyện" với nhau về nội dung mấy trang web. Bây giờ bạn thấy là trên internet đầy rẫy những quảng cáo xem nhức cả mắt, có mấy cái pop-up cứ tắt đi lại mở ra một đống các trang web khác. Đương nhiên những quảng cáo đó cũng có địa chỉ và được lưu trên máy chủ nào đó. Mình lợi dụng việc các trình duyệt tìm IP trong tập tin HOSTS trước khi gửi yêu cầu đến DNS server để đưa IP tầm bậy cho trình duyệt.... vậy là trình duyệt sẽ không biết đường mà lấy các quảng cáo ở đâu hết.
Vậy tập tin HOSTS đó ở đâu? Tùy hệ điều hành mà tập tin HOSTS nằm ở các thư mục khác nhau.
Win9x,WinMe : nó nằm ngay folder \WINDOWS\, nhớ là tập tin HOSTS này không có đuôi (phần mở rộng)
WinNT,Win2k : nó nằm hơi sâu một tí \WINNT\SYSTEM32\DRIVERS\ETC
WinXP : vị trí cũng hơi giống với win2k là \WINDOWS\SYSTEM32\DRIVERS\ETC
Cấu trúc của tập tin HOSTS này như sau : phần bên trái là IP tương ứng với địa chỉ gợi nhớ bên tay phải, hai phần cách nhau bằng khoảng trắng hay Tab (dấu # được dùng để ghi chú thích). Tôi sẽ chép giùm bạn một danh sách (dài dằng dặc, và sẽ còn dài nữa...hic) các địa chỉ chứa tòan là đồ quảng cáo để đỡ mất thời gian phải cập nhật vào. Sau này nếu gặp trang quảng cáo nào thì bạn chỉ việc thêm nó vào danh sách đen này thì sẽ không phải xem quảng cáo nữa :-). Để biết địa chỉ quảng cáo của nó thì bạn right-click vào hình ảnh quảng cáo hay pop-up rồi chọn properties. Trình duyệt sẽ cho bạn biết địa chỉ chứa cái hình quảng cáo đó .
Ví dụ : http://ads.x10.com /image/***.gif
Bây giờ bạn sẽ thêm vào tập tin HOSTS một dòng sau
127.0.0.1 ads.x10.com
Xong rồi từ giờ trở đi bạn sẽ không "được" xem những quảng cáo có trên địa chỉ này nữa, tại vì trình duyệt hiểu lầm là địa chỉ ads.x10.com có IP=127.0.0.1 (bạn cũng có thể thay bằng 0.0.0.0), mà IP này lại chính là máy của bạn thì làm sao có quảng cáo mà nó lấy được. Một số phần mềm chống quảng cáo bây giờ nó cũng chơi sửa tập tin HOSTS như vậy hay như thằng Norton AntiVirus cũng sửa tập tin này để lọc các thư dùng Outlook gửi đi. Ngoài ra, bạn cũng có thể thấy là dùng cái tập tin HOSTS này sẽ làm giúp truy cập Internet nhanh hơn một chút xíu nếu bạn đưa địa chỉ IP của trang web bạn hay truy cập vào đây thì IE hay Netscape không phải chạy đi hỏi mấy cái DNS server làm mất thời gian. Ví dụ : bạn hay vào trang www.vnn.vn , mà trang web này có địa chỉ IP là 203.162.1.25 (muốn biết bạn chỉ việc đánh lệnh này trong dấu nhắc DOS : ping www.vnn.vn). Bạn sẽ thêm vào tập tin HOSTS dòng này :
203.162.1.25 www.vnn.vn
Để đảm bảo chắc chắn là IE hay Netscape sẽ tìm địa chỉ IP của website nào đó trong file HOSTS này trước khi đi hỏi các DNS server thì ta nên sửa lại một chút để máy 127.0.0.1 thành DNS server đầu tiên nó hỏi trước khi hỏi bất kì DNS server nào khác.
Win98,WinMe thì vào properties của Network Neighborhood hay My Network Places nó sẽ hiện ra một cái bảng như sau, tùy máy mà có thể có thêm hoặc không có một dòng nào đó:
Trong WinNT,Win2K,WinXP thì phải vào properties của từng connection tương ứng ví dụ như của FPT hay VNN gì đó thì mới thấy được cái bảng này.
Sau đó bạn chọn properties của dòng TCP/IP ở trong bảng đó thì sẽ tới được nơi cần tới là chỗ chỉnh sửa DNS server
Trong phần Host và Domain bạn thính gõ vào cái gì cũng được, còn trong phần DNS Server Search Order thì bạn gõ 127.0.0.1 rồi nhấn nút Add. Chọn OK. Sau đó nếu là máy win98 hay winMe thì nó bắt sẽ bạn khởi động lại máy thì thay đổi này mới có hiệu lực.
Share This
Subscribe Here
0 nhận xét:
Post a Comment