thuy linh
Trả lời 14 năm trước
[b]Bạn tham khảo bài viết sau nhé:[/b]
[blue]Phương pháp khắc phục máy tính nhiễm virus giả mạo Gateway[/blue]
Vừa qua, rất nhiều máy tính ở Việt Nam và thế giới bị nhiễm loại virus 32.Dashfer.Worm – virus giả mạo Gateway và hậu quả là nhiều mạng trong thời gian dài không thể truy cập được Internet. Chúng tôi xin giới thiệu bài viết của thạc sỹ Trần Đức Phương, phó phòng Tin học, Trung tâm thông tin Khoa học và Công nghệ Quốc gia để mọi người cùng tham khảo.
Theo thông tin của trung tâm An ninh mạng BKIS, trong những ngày gần đây, rất nhiều người sử dụng Internet tại Việt Nam gặp phải hiện tượng: vào bất kì website nào thì đều thấy một banner tiếng Trung Quốc tự động chèn lên trên đầu trang web. Tại các cơ quan có hệ thống mạng nội bộ, hiện tượng này xảy ra đồng loạt trên tất cả các máy tính trong mạng, khiến cho các quản trị mạng lúng túng, không có cách giải quyết.
Kết quả nghiên cứu của Bkis cho thấy, hiện tượng này do loại virus có xuất xứ từ Trung Quốc W32.Dashfer.Worm – virus giả mạo Gateway gây ra. Bắt đầu bùng phát từ ngày 14/12/2007, tới nay đã có tới 14 biến thể của Dashfer xuất hiện và đã lây nhiễm trên 59.000 máy tính tại Việt Nam. Nguồn phát tán chủ yếu của virus này là qua các website chứa mã độc hại và qua đĩa USB.
Từ một máy tính nhiễm virus, Dashfer gửi gói tin theo giao thức ARP (giao thức phân giải địa chỉ) tới tất cả các máy tính khác trong cùng mạng để mạo danh là Gateway của hệ thống. Các kết nối ra Internet của tất cả các máy tính trong mạng lúc này sẽ bị lừa đi qua Gateway giả mạo trước rồi mới tới Gateway thật. Bằng cách này, Dashfer sẽ kiểm soát được toàn bộ quá trình trao đổi dữ liệu, chèn thêm banner, popup vào nội dung các trang web trước khi chúng được trả về cho máy tính của người sử dụng.
Tuy nhiên, vấn đề trở nên trầm trọng hơn khi trong hệ thống mạng LAN của một đơn vị có từ 2 máy tính bị nhiễm virus trở lên. Lúc đó mạng sẽ không thể kết nối ra ngoài Internet được nữa. Khi chỉ có 1 máy tính bị nhiễm virus (ta giả sử là máy tính A) , thì các kết nối ra Internet của các máy tính khác sẽ phải đi qua máy tính A trước, rồi sau đó máy tính A sẽ chuyển tiếp ra Gateway của mạng. Nhưng nếu có 1 máy tính B cũng bị nhiễm virus, thì chính máy tính B này sẽ gửi thông điệp ARP làm cho máy tính A tưởng nhầm máy tính B là Gateway và sẽ chuyển tiếp các kết nối của các máy tính khác cho máy tính B. Ngược lại máy tính B khi nhận các kết nối Internet sẽ lại chuyển cho máy tính A. Kết quả là lúc này các máy tính của mạng và kể cả 2 máy tính A và B đều không thể kết nối với Gateway thực. Mạng máy tính bị rớt hoàn toàn.
Việc lây lan của virus qua hệ thống mạng rất nhanh chóng và nếu như mạng có nhiều máy tính bị nhiễm virus thì việc tìm và xử lý hết tất cả các máy tính bị nhiễm virus sẽ tốn nhiều công sức và thời gian. Chúng tôi đã gặp phải vấn đề này và cuối cùng đã có 1 giải pháp phù hợp.
Để các máy tính mạng không bị ảnh hưởng bởi máy tính nhiễm virus, chúng ta chỉ cần đưa tham số địa chỉ MAC của gateway vào bảng ARP của máy tính theo kiểu static( không thay đổi) ngay từ ban đầu. Khi đó máy tính sẽ bỏ qua các thông điệp ARP mạo danh gateway và sẽ kết nối được với Internet bình thường.
Trình tự thực hiện như sau ( Tôi giới thiệu chi tiết để cho các bạn chưa quen thuộc với ARP và MAC cũng có thể làm được)
1) Tìm địa chỉ MAC chính xác của Gateway.
- Ngắt toàn mạng ra khỏi gateway, chỉ giữ lại 1 máy tính sạch để bạn làm việc.
- Vào màn hình MS-DOS : từ Window vào Start – Run – gõ cmd
- Gõ lệnh ping đến IP của gateway, giả sử IP của gateway là 10.0.0.1, dùng lệnh: ping 10.0.0.1
- Gõ lệnh arp –a
- Bạn quan sát trên màn hình và sẽ thấy trên màn hình hiện lên các dòng tương tự sau:
Internet Address Physical Address Type
10.0.0.1 00-1b-0d-e7-4b-00 dynamic
Địa chỉ MAC chính là Physical Address gắn liền với địa chỉ IP của gateway và là 00-1b-0d-e7-4b-00 .
2) Tạo file run.bat để tự động đưa MAC của gateway vào ARP enry theo kiểu static
- Dùng notepad soạn 1 file text có nội dung sau:
arp -s IP MAC ( với IP là địa chỉ IP của gateway và MAC là địa chỉ MAC chúng ta đã tìm được ở trên)
Ví dụ với IP là 10.0.0.1 và MAC tương ứng là 00-1b-0d-e7-4b-00 :
arp -s 10.0.0.1 00-1b-0d-e7-4b-00
- Đổi tên file text thành run.bat.
3) Copy file run.bat vào start up của các máy tính mạng để mỗi khi máy tính bật lên thì file run.bat sẽ được chạy.
Chúc các bạn thành công.