Trong thực tế ứng cứu sự cố CNTT
& TT, tổ ứng cứu nhận thấy nhiều máy tính gặp phải tình trạng không
kết nối được internet vì nhiễm virus làm giả default gateway. Bài viết
sau đây xin nêu tác hại, triệu chứng và cách phòng, diệt loại virus này.
1. Tác hại của virus giả default gateway
Khi trong mạng Lan có từ 2 máy tính trở lên, vấn đề trở nên khó chịu hơn khi các máy tính không kết nối được ra ngoài internet được nữa. Giả sử một mạng nội bộ có máy tính 1 và máy tính 2, và máy 1 bị nhiễm virus. Khi đó máy 2 muốn truy cập ra internet thì luồng thông tin phải đi qua máy 1 trước, rồi từ máy 1 thông tin được dẫn đường qua địa chỉ gateway thật để đi ra ngoài. Trường hợp nếu máy 2 cũng nhiễm virus thì tình trạng sẽ "mệt mỏi" hơn, nghĩa là mỗi máy tính đều thông báo "láo" cho các máy còn lại rằng "tôi là gateway": Nếu máy 2 muốn truy cập internet thì luồng thông tin tới gateway ảo là máy 1 trước, máy 1 lại dẫn thông tin này trở lại gateway ảo là máy 2, và thông tin cứ đi lòng vòng như vậy trong mạng mà không kết nối ra ngoài (rớt mạng hoàn toàn).
Việc lây lan của virus qua hệ thống mạng
rất nhanh chóng và nếu như mạng có nhiều máy tính bị nhiễm virus thì
việc tìm và xử lý hết tất cả các máy tính bị nhiễm virus sẽ tốn nhiều
công sức và thời gian.
2. Biểu hiện
- Kết nối tới mạng chập chờn (lúc được lúc mất)
- Không kết nối được tới internet trong khi đường truyền vẫn tốt.
- Địa chỉ MAC của Gateway trên mỗi máy trong LAN là khác nhau ( cách xem địa chỉ MAC thể hiện ở bên dưới)
3. Cách diệt
a) Tìm địa chỉ MAC chính xác của Gateway.
- Ngắt toàn mạng ra khỏi gateway, chỉ giữ lại 1 máy tính sạch để bạn làm việc.
- Vào màn hình Command Prompt như sau : từ cửa sổ Window vào Start – Run – gõ cmd
- Tìm địa chỉ và gõ lệnh ping đến IP của gateway, tìm địa chỉ gateway trong giả sử IP của gateway là 10.0.140.1, ( thông thường hay đặt địa chỉ gateway là 192.168.1.1)
- Dùng lệnh: ping 10.0.140.1 -t
- Gõ lệnh ARP –a
- Quan sát trên màn hình và sẽ thấy trên màn hình hiện lên các dòng tương tự sau:
Internet Address Physical Address Type
10.0.140.1 00-27-19-b5-70-1d dynamic
- Quan sát trên màn hình và sẽ thấy trên màn hình hiện lên các dòng tương tự sau:
Internet Address Physical Address Type
10.0.140.1 00-27-19-b5-70-1d dynamic
Địa chỉ MAC chính là Physical Address gắn liền với địa chỉ IP của gateway và là 00-27-19-b5-70-1d.
b) Tạo file run.bat để tự động đưa MAC của gateway vào ARP enry theo kiểu static
- Dùng notepad soạn 1 file text có nội dung sau:
ARP -s IP MAC ( với IP là địa chỉ IP của gateway và MAC là địa chỉ MAC chúng ta đã tìm được ở trên với IP là 10.0.140.1 và MAC tương ứng là 00-27-19-b5-70-1d:
ARP -s 10.0.140.1 00-27-19-b5-70-1d
- Đổi tên file text thành run.bat.
b) Tạo file run.bat để tự động đưa MAC của gateway vào ARP enry theo kiểu static
- Dùng notepad soạn 1 file text có nội dung sau:
ARP -s IP MAC ( với IP là địa chỉ IP của gateway và MAC là địa chỉ MAC chúng ta đã tìm được ở trên với IP là 10.0.140.1 và MAC tương ứng là 00-27-19-b5-70-1d:
ARP -s 10.0.140.1 00-27-19-b5-70-1d
- Đổi tên file text thành run.bat.
3) Copy file run.bat vào start up của các máy tính mạng để mỗi khi máy tính bật lên thì file run.bat sẽ được chạy.
Các cách khác: bạn có thể dùng tools hỗ trợ theo hướng dẫn tại đây
http://www.quantrimang.com.vn/cach-tieu-diet-va-phong-chong-conficker-54976
download: support.kaspersky.com/downloads/utils/kk.zip
Chúc các bạn thành công.
Lưu ý: Trước khi thực hiện diệt virus bạn có thể tham khảo lỗi do không kết nối được tới internet tại đây
