banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Phòng chống các loại SPIM được viết bằng AutoIt  XML
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 15/09/2006 18:23:54 (+0700) | #1 | 23532
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
hello all,
Hoàng vừa finish xong cái soft này tối nay. Chưa có thời giờ kiểm chứng nhiều lắm. Hy vọng là sẽ giảm cái tệ nạn AutoIt của mấy chú script kiddie hiện nay.


_ Cơn bão "AutoIt SPIM" đang ngày một lan truyền mạnh trong giới script kiddie. Bắt đầu từ sự việc SPIM gaixinh, đến nay đã xuất hiện rất nhiều biến thể gaixinh như funni, yhbest...
_ Nhằm ngăn chặn đại dịch AutoIt SPIM này, FireLion Co., Ltd đã cho ra chương trình [FireLion] IE Protector.
_ Với [FireLion] IE Protector, bạn có thể yên tâm không phải lo lắng về những chú script kiddie và những biến thể được viết bằng AutoIt nữa. [FireLion] IE Protector có những tính năng chính sau:
+ Ngăn chặn AutoIt program ngay trước khi được thực thi
+ Bảo vệ IE khỏi các 0 day exploit (những lỗi chưa được công bố của IE)
 


http://fire-lion.com/software/IEProtector/




Thanks all.
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 15/09/2006 18:54:48 (+0700) | #2 | 23534
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

LeVuHoang wrote:
hello all,
Hoàng vừa finish xong cái soft này tối nay. Chưa có thời giờ kiểm chứng nhiều lắm. Hy vọng là sẽ giảm cái tệ nạn AutoIt của mấy chú script kiddie hiện nay.

http://fire-lion.com/software/IEProtector/

Thanks all. 


Excellent work and thanks LVH smilie).
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 15/09/2006 22:00:51 (+0700) | #3 | 23553
[Avatar]
jamesmr
Member

[Minus]    0    [Plus]
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
[Profile] [PM]
Nếu đúng như những gì phần mềm này thể hiện thì Autoit hết đất sống rồi.
Good job.Tks for your share.
[Up] [Print Copy]
  [Question]   Re: Phòng chống các loại SPIM được viết bằng AutoIt 15/09/2006 22:27:03 (+0700) | #4 | 23560
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
Góp ý LVH:
- Thằng Autoruns (Sysinternals) của tớ có tội tình gì mà cái IEProt của cậu cấm nó thực thi và xoá đi khi thực thi vậy trời??? smilie Nếu để nó yên, ko thực thi, chỉ copy thì IEProt của cậu ko động đến nó.
- Nên tự lưu log file.
- "Tự chạy mỗi khi khởi động" không tác dụng.
- Tick vào "Tự động loại bỏ các chương trình AutoIT" nó lại mặc nhiên cho chạy hà rầm. Ko rõ lý do. Câu này cũng nên chỉnh lại là "Tự động loại bỏ các chương trình AutoIT được thực thi từ IE" nếu chức năng đúng là như vậy và cũng để không gây hiểu lầm.
- "Tự động cấm IE thực thi chương trình" hoạt động khá tốt. Nó chỉ gây treo máy 2-3 giây mỗi khi tớ muốn Download 1 cái gì đó bằng cách kích hoạt FlashGet. Trong trường hợp nói trên FlashGet bị cấm hoạt động.

Cấu hình máy của tớ: P4, RAM 1G, XP SP2, IE 6.0.2900.2180 SP2.

Àh, chuyện thằng Autoruns nói trên bị 'giết' nó chỉ xảy ra khi tớ chọn "Tự động loại bỏ các chương trình AutoIT". Mặc dù nó báo là:
Đang kiểm tra "D:\Software\MyTools\autoruns.exe" : Không phải AutoIt
Đang kiểm tra "D:\Software\MyTools\autorunsc.exe" : Không phải AutoIt
Đang kiểm tra "D:\Software\MyTools\Filemon.exe" : Không phải AutoIt
Đang kiểm tra "D:\Software\MyTools\MyTools.zip" : Không phải AutoIt
Đang kiểm tra "D:\Software\MyTools\procexp.exe" : Không phải AutoIt 

Cái thằng proexp.exe cũng có số fận giống hệt với thằng Autoruns.exe.
[Up] [Print Copy]
  [Question]   Re: Phòng chống các loại SPIM được viết bằng AutoIt 15/09/2006 23:24:16 (+0700) | #5 | 23576
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
Trời, cái "Tự động loại bỏ các chương trình AutoIT" của cậu khủng quá. Nó diệt tất cả các ctr mở thêm. Sao vậy????


Tự tiêu diệt: "C:\Documents and Settings\ssssss\Application Data\Mozilla\Firefox\Profiles\7zjs8na3.default\FlashGot.exe" C:\DOCUME~1\ssssss\LOCALS~1\Temp\flashgot.7zjs8na3.default\flashgot.fgt
Tự tiêu diệt: C:\Program Files\FlashGet\flashget.exe
Tự tiêu diệt: C:\Program Files\FlashGet\flashget.exe 
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 16/09/2006 00:35:15 (+0700) | #6 | 23584
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
version 1.0 mà, lão chịu khó smilie)
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 16/09/2006 00:39:16 (+0700) | #7 | 23586
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
hello lQ, Hoàng vừa down FlashGet version mới nhất trên www.amazesoft.com về test thử, chương trình đâu tự kill ?
Lỗi xảy ra lúc nào vậy ? Khi nhấn vào download 1 file ?
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 16/09/2006 00:46:43 (+0700) | #8 | 23590
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Hoàng detect AutoIt dựa vào signature gì, có chính xác không ?
[Up] [Print Copy]
  [Question]   Re: Phòng chống các loại SPIM được viết bằng AutoIt 16/09/2006 01:14:43 (+0700) | #9 | 23598
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
Hèm cậu đọc ko kỹ.

Tự tiêu diệt: D:\putty.exe
Tự tiêu diệt: D:\lannetscan.exe
Tự tiêu diệt: D:\Software\MyTools\VPN\Copy of Uninstall.exe
Tự tiêu diệt: D:\Downloads\Entertainment\Copy of mars3d.exe
Tự tiêu diệt: D:\Downloads\Entertainment\Copy (3) of mars3d.exe
Tự tiêu diệt: D:\Downloads\Entertainment\Copy (2) of mars3d.exe 


Nó 'chơi' kiểu đó khi tớ bật "Tự động loại bỏ các chương trình AutoIT". smilie smilie
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 16/09/2006 02:20:47 (+0700) | #10 | 23609
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Đã fixed smilie
Code:
+ Phiên bản 1.3:
_ Chỉnh lại chức năng AutoRun
_ Sửa lỗi chức năng "Tự động diệt"
_ Cho phép lưu lại log file


to TQN: Nó quét dựa trên signature đặc trưng của AutoIt anh smilie
[Up] [Print Copy]
  [Question]   Re: Phòng chống các loại SPIM được viết bằng AutoIt 16/09/2006 02:59:02 (+0700) | #11 | 23613
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
Đang kiểm tra "d:\downloads\avh\misc\ieprotector13\ieprot.exe" : AutoIt 
:lolsmilie
Chào H., cậu 'Kiểm tra toàn bộ máy' thì cũng nên chừa cậu ra chứ. Trường hợp này xảy ra khi bật 'Tự chạy mỗi khi Windows khởi động'.

Nên chỉnh tự chạy ở Key HKLM hơn là HKCU.
[Up] [Print Copy]
  [Question]   Re: Phòng chống các loại SPIM được viết bằng AutoIt 16/09/2006 04:15:46 (+0700) | #12 | 23624
seamoun
Advisor

Joined: 04/01/2002 14:05:10
Messages: 357
Offline
[Profile] [PM]
Lão Hoàng ơi ! Vui lòng thông báo là chỉ download bản IEProtector chỉ từ địa chỉ http://fire-lion.com/. Chứ ngày hôm nay đã có con virus thông báo là để gỡ bỏ các virus viết bằng AutoIt hãy vào trang web http://....... Nhưng vào trang đó là có chứa mã độc . smilie smilie(
--vickigroup.com--
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 16/09/2006 06:37:35 (+0700) | #13 | 23646
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

Chào H., cậu 'Kiểm tra toàn bộ máy' thì cũng nên chừa cậu ra chứ. Trường hợp này xảy ra khi bật 'Tự chạy mỗi khi Windows khởi động'.
 

uh uh, quên check chỗ này phần scan registry smilie. Phần Process thì bỏ rồi...
Còn về HKLM, đâu phải user nào cũng có quyền admin smilie ?


Lão Hoàng ơi ! Vui lòng thông báo là chỉ download bản IEProtector chỉ từ địa chỉ http://fire-lion.com/. Chứ ngày hôm nay đã có con virus thông báo là để gỡ bỏ các virus viết bằng AutoIt hãy vào trang web http://....... Nhưng vào trang đó là có chứa mã độc
 

Trang nào thì lão seamoun post lên luôn để mọi người còn tránh smilie
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 16/09/2006 07:06:24 (+0700) | #14 | 23651
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
Chào mọi người,

Hai ba tuần vừa qua tui cũng dành một ít thời gian để suy nghĩ về giải pháp cho vấn nạn virus phát tán qua Yahoo! Messenger nói riêng và SPIM nói chung. Tui cho việc cần làm đầu tiên là điểm lại các bước phát tán và lây nhiễm của một con virus lây lan qua Yahoo! Messenger:

1. Tác giả kích hoạt virus bằng cách gửi một msg chứa đường link đến virus cho friend list của mình.

2. Một nhóm người trong friend list của tác giả click vào đường link.

3. Browser của họ (có thể là IE hoặc Firefox) download và chạy con virus (một cách tự động hoặc không tự động).

4. Virus nhiễm vào máy tính của những người này và nó bắt đầu quay lại thực hiện bước 1 với một hoặc nhiều msg khác nhau.

Như vậy, IEProtector của bồ Lê Vũ Hoàng bảo vệ người dùng YIM ở bước thứ 4, nghĩa là khi họ đã click vào đường link, download (và có thể đã chạy) con virus rồi. IEProtector lúc này có chức năng tương tự như một chương trình anti-virus (lẽ ra BKAV đã phải làm điều này trước khi IEProtector ra đời smilie). Nếu hoạt động tốt đúng như mong đợi, rõ ràng IEProtector là một giải pháp thích hợp ra đời đúng lúc để tiêu diệt đám AutoIt scripter. Đó là tất cả những gì IEProtector làm được nhưng rất tiếc là bây nhiêu đó thì chưa đủ để giải quyết trọn vẹn bài toán SPIM và virus trên YIM.

(còn tiếp, phần sau tui sẽ trình bày lý do tại sao IEProtector chưa giải quyết được SPIM cũng như giải pháp của http://www.innology.com.vn cho vấn đề này smilie)

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Re: Phòng chống các loại SPIM được viết bằng AutoIt 16/09/2006 09:03:55 (+0700) | #15 | 23663
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Hey sau khi ngồi ngâm chán chê cái đoạn PE của autoit nói thật em chả tìn thấy cái sign nào cho cam để diệt AutoIt Script cả ,mong bác cho xin ý kiến về cái sign mà bác đã dùng để nhận diện các script autoit.
Em xin có chút ý kiến
Là bác đã tính tới vụ script AutoIt nó tắt process của bác chưa ? thứ 2 là bác chỉ có thể end từng process 1 trong 1 thời gian rất ngắn nhưng nếu tên tạo AutoItscript đó tạo ra 2 process để protect cho nhau và kết hợp với việc end cái process của bác thì .... thật khó lường smilie .
Đó là chút ý kiến của em,bác xem qua rồi cho em biết nhé.

@Conmale: Em lạy bác đừng có châm em nhá smilie-))
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Re: Phòng chống các loại SPIM được viết bằng AutoIt 16/09/2006 09:32:43 (+0700) | #16 | 23669
[Avatar]
jamesmr
Member

[Minus]    0    [Plus]
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
[Profile] [PM]

hackernohat wrote:

Em xin có chút ý kiến
Là bác đã tính tới vụ script AutoIt nó tắt process của bác chưa ? thứ 2 là bác chỉ có thể end từng process 1 trong 1 thời gian rất ngắn nhưng nếu tên tạo AutoItscript đó tạo ra 2 process để protect cho nhau và kết hợp với việc end cái process của bác thì .... thật khó lường smilie .
 

Theo tôi bác Hoang đã comment rằng cái này là chuyên trị mấy chú script kiddies,mà đã là script kiddies thì e là không có khả năng tạo ra một con Autoit "khủng " đến vậy.Theo tôi nếu bồ thực sự có khả năng thì cũng nên làm thử một chương trình bằng Autoit có chức năng giống như bồ nói như trên xem sao?
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 16/09/2006 12:33:18 (+0700) | #17 | 23691
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Trả lời từng người một... hì hì...

=== mrro
Chương trình này sẽ ngăn chặn không chỉ ở bước 4 mà là ở bước 3 & 4.
Khi người dùng click vào link, IE mở lên (nhưng chưa kịp chạy) malware, chương trình đã scan và auto delete trước khi nó kịp thực thi (cách mà các Anti Virus thường làm để quét file trước khi file được thực thi file).
Ngoài ra, nếu người dùng hoặc 1 trang muốn ép (0-day exploit) IE chạy một file nào đó. Chương trình sẽ hiện lên 1 bảng confirm xem có cho phép hay không. Nếu không cho phép, chương trình sẽ lập tức deny và hành động execute file đó xem như chưa bao giờ xảy ra.
Như vậy giải pháp đã được triệt để ở bước 3 + 4.


Đó là tất cả những gì IEProtector làm được nhưng rất tiếc là bây nhiêu đó thì chưa đủ để giải quyết trọn vẹn bài toán SPIM và virus trên YIM.
 

và đó là giải pháp thích hợp để phòng chống SPIM nói chung và phòng chống các 0-day exploit nói riêng. Cho dù IE có lỗi cũng không execute được các mã lệnh độc hại được down xuống từ web.

=== hackernohat

Hey sau khi ngồi ngâm chán chê cái đoạn PE của autoit nói thật em chả tìn thấy cái sign nào cho cam để diệt AutoIt Script cả ,mong bác cho xin ý kiến về cái sign mà bác đã dùng để nhận diện các script autoit.
 

Đâu nhất thiết lúc nào cũng phải là PE header smilie. Tìm thêm xem...


Là bác đã tính tới vụ script AutoIt nó tắt process của bác chưa ? thứ 2 là bác chỉ có thể end từng process 1 trong 1 thời gian rất ngắn nhưng nếu tên tạo  

Chương trình thì cũng giống như virus thôi. Nếu nó muốn end-process của mình thì phải lấy 1 signature nào đó để detect rồi kill. Nhưng nếu có version mới thì kill thế nào smilie ?


AutoItscript đó tạo ra 2 process để protect cho nhau và kết hợp với việc end cái process của bác thì .... thật khó lường .
 

Trong thực tế thì việc này không đúng. Nó chỉ đúng với người dùng. Tức trong khi người dùng đang "loay hoay" gõ lệnh kill process thứ 2 thì nó thực thi lại.
Với IEProtection, ngay khi vừa kill process. Chương trình đã lập tức delete tập tin bị nhiễm. Nếu SPIM muốn execute 1 instance nữa lên thì cần phải có thời gian tạo file mới --> sẽ bị kill ngay lập tức.

Trong phiên bản sau. Chương trình sẽ được cập nhật tính năng chống kill process IEProtection.

Thanks all
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 16/09/2006 13:52:33 (+0700) | #18 | 23713
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Đây là trang giả mạo IE Protector smilie
hxxp://www.geocities.co.jp/ie_protector
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 17/09/2006 05:19:05 (+0700) | #19 | 23822
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Phiên bản 2.0 đã được ra mắt smilie


+ 16/09/2006:
_ Không cho phép End Task (kill process) [FireLion] IE Protector. Chức năng này sẽ vô hiệu hoá những SPIM có ý đồ muốn tắt chương trình.
_ Vô hiệu hoá nút Close. Để tránh ứng dụng AutoIt gởi message WM_CLOSE đến để đóng chương trình. [FireLion] IE Protector đã tắt message này và thêm vào nút Thoát. Bạn có thể nhấn vào nút này để kết thúc chương trình.
_ Chức năng Tiến trình
_ Sử dụng bộ công cụ setup tiếng Việt uSetup cho bản cài đặt.
 


Xem thêm tại:
http://fire-lion.com/software/IEProtector/
[Up] [Print Copy]
  [Question]   Re: Phòng chống các loại SPIM được viết bằng AutoIt 17/09/2006 23:23:48 (+0700) | #20 | 23944
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Em đề nghị bác nhân rộng tầm phủ sóng của program này bằng cách đặt nó lên càng nhiều nơi cho down càng tốt ,càng rộng thì nó sẽ đến đc tay của hầu hết ngưởi dùng internet ở Việt Nam ,bác nên làm cho giao diện đơn giản hơn tới mức ,người có chỉ số IQ <0 cũng hiểu đc vì dân chatter VN đa phần (đa phần chứ ko phải tất cả) cực kì .......! .Em nghĩ nên thông báo sự có mặt của nó rộng hơn cho các bản tin điện tử chẳng hạn,em ngán mỗi ngày vào Offline msg là có cả núi tin nhắn vô nghĩa mà đọc vô là biết ngay của một con virus cực ngu nào đó.
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 17/09/2006 23:31:56 (+0700) | #21 | 23948
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Thứ 2 ,em đã thử suy nghĩ và tìm ra một cách mà autoitscript chơi gọn program của bác là cũng ý tưởng tạo 2 process.Em bind 2 tệp virus với 2 phiên bản có kĩ thuật lây lan khác nhau sau đó khi kích hoạt tệp này nó sẽ extract 2 con vào temp folder hay internet cache ,xong run tự động cả 2 file ( em thử với phiên bản đâu tiên của bác ,nó chơi program của bác toi chết lẹ !),vì em thấy một khuyết điểm là khi bind 2 con virus vào một file exe đc nén bằng thuật ASPack thì IEprotector ko thể detect đc khi chạy bind file,nó extract và chạy file thứ 1 IEprotector diệt ngay file 1 nhưng file 2 còn kịp chạy và end xong process của bác.Xong em tự nhiên cho con autoit này extract từ trong mã ra 3 phiên bản khác ( ko có tính năng lây lan chỉ có tính năng protect process ) và nó đc protect bởi 3 process + với process chính.Hết diệt .....!

Em mong bác có ý kiến để sửa kịp thời program.
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 18/09/2006 01:23:53 (+0700) | #22 | 23974
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

Em đề nghị bác nhân rộng tầm phủ sóng của program này bằng cách đặt nó lên càng nhiều nơi cho down càng tốt ,càng rộng thì nó sẽ đến đc tay của hầu hết ngưởi dùng internet ở Việt Nam
 

Như trên đã nói, chỉ down từ 1 địa chỉ sẽ giúp loại bỏ các phiên bản giả dạng smilie. Làm sao chắc rằng download từ 1 nơi nào đó sẽ an toàn ?


bác nên làm cho giao diện đơn giản hơn tới mức ,người có chỉ số IQ <0 cũng hiểu đc
 

Xem F.A.Q một tí nào...

+ Có cách nào để tôi không phải làm gì mà vẫn được bảo vệ không ?
_ lol... Một câu hỏi hay smilie. Câu trả lời là không. Nhưng may mắn thay, đối với AutoIt thì câu trả lời là ĐƯỢC. Nếu bạn không làm gì "dính dáng" đến AutoIt, hãy chọn chức năng "Tự động cấm IE thực thi chương trình" và "Tự động loại bỏ các chương trình AutoIt". Thế là có thể an tâm không sợ các phiên bản viết bằng AutoIt nữa. Ghi nhớ là chỉ "ngủ ngon" với AutoIt SPIM thôi nhé smilie
 


Thứ 2 ,em đã thử suy nghĩ và tìm ra một cách mà autoitscript chơi gọn program của bác là cũng ý tưởng tạo 2 process.
 

Đã thử với phiên bản 2.0 chưa ? Bản 2.0 đã tích hợp chức năng chống kill process. Nếu vẫn có thể qua mặt được IE Protector, bạn vui lòng up tập tin lên đâu đó rồi PM Hoàng địa chỉ để download.
Trong trường hợp máy chưa bị nhiễm AutoIt, bạn chỉ cần kích hoạt chức năng "Chống IE tự chạy..." thì do dù bạn có pack, có viết bằng AutoIt hay bất kỳ chương trình nào khác cũng sẽ không bị nhiễm. Thử xem smilie


em thấy một khuyết điểm là khi bind 2 con virus vào một file exe đc nén bằng thuật ASPack thì IEprotector ko thể detect đc
 

Đã test với UPX, ASPack, ASProtect. Vẫn detect được smilie
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 18/09/2006 04:01:28 (+0700) | #23 | 24006
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]

LeVuHoang wrote:
Trả lời từng người một... hì hì...

=== mrro
Chương trình này sẽ ngăn chặn không chỉ ở bước 4 mà là ở bước 3 & 4.
Khi người dùng click vào link, IE mở lên (nhưng chưa kịp chạy) malware, chương trình đã scan và auto delete trước khi nó kịp thực thi (cách mà các Anti Virus thường làm để quét file trước khi file được thực thi file).
Ngoài ra, nếu người dùng hoặc 1 trang muốn ép (0-day exploit) IE chạy một file nào đó. Chương trình sẽ hiện lên 1 bảng confirm xem có cho phép hay không. Nếu không cho phép, chương trình sẽ lập tức deny và hành động execute file đó xem như chưa bao giờ xảy ra.
Như vậy giải pháp đã được triệt để ở bước 3 + 4.
.......
và đó là giải pháp thích hợp để phòng chống SPIM nói chung và phòng chống các 0-day exploit nói riêng. Cho dù IE có lỗi cũng không execute được các mã lệnh độc hại được down xuống từ web.
 


Tui nói giải pháp của bồ LeVuHoang chưa thể giải quyết triệt để chống SPIM và 0-day exploit nói riêng vì những lý do (và quan ngại) sau đây:

1. Thực ra, xét một cách tổng quát, IEProtector cũng chỉ là một chương trình antivirus. Chúng ta đã có quá nhiều chương trình antivirus, và tác dụng của những chương trình này thì mọi người đều cũng đã rõ. Nếu chúng thật sự làm được việc thì có lẽ virus, spyware, trojan hay các loại malware nói chung đều đã được đưa vào viện bảo tàng. Tui thật sự nghi ngờ vào khả năng làm việc hiệu quả của IEProtector.

2. Tui cho là cách tiếp cận vấn đề của bồ LeVuHoang trong trường hợp này là chưa chính xác. IEProtector (nếu làm việc hiệu quả) là một chương trình tốt nhưng bản thân nó không thể giải quyết vấn đề SPIM trên YIM đơn giản vì nó chỉ được kích hoạt khi user đã đọc msg và click vào link. Cứ giả định IEProtector có thể phát hiện được hết tất cả các loại malware, ngăn chặn được hết 0-day exploit (một điều mà tui rất nghi ngờ) thì vẫn có ít nhất hai trường hợp sau đây IEProtector không thể làm được gì:

- SPIM không có link.

- User sử dụng một browser khác IE.

Tui cho rằng muốn giải quyết triệt để vấn đề SPIM, chúng ta cần tiếp cận ở bước thứ 2. Ý tưởng cơ bản nhất là làm sao để user không còn nhận được SPIM. Đó cũng là cách lâu nay chúng ta đối phó với vấn đề SPAM mail.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 18/09/2006 04:34:05 (+0700) | #24 | 24017
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
hm... có lẽ mrro chưa hiểu được thật sự IE Protector làm gì smilie


1. Thực ra, xét một cách tổng quát, IEProtector cũng chỉ là một chương trình antivirus. Chúng ta đã có quá nhiều chương trình antivirus, và tác dụng của những chương trình này thì mọi người đều cũng đã rõ. Nếu chúng thật sự làm được việc thì có lẽ virus, spyware, trojan hay các loại malware nói chung đều đã được đưa vào viện bảo tàng. Tui thật sự nghi ngờ vào khả năng làm việc hiệu quả của IEProtector.
 

Đầu tiên, IE Protect không phải là 1 Anti Virus smilie.
Thứ hai, IE Protector chỉ có chức năng scan AutoIt


nó chỉ được kích hoạt khi user đã đọc msg và click vào link. Cứ giả định IEProtector có thể phát hiện được hết tất cả các loại malware
 

Ngay khi user có click vào link đi chăng nữa. Malware cũng KHÔNG THỂ ĐƯỢC THỰC THI smilie. Đơn giản là vì chương trình đã chặn trước khi IE tự động thực thi các ứng dụng được down từ internet xuống. Nếu malware không được thực thi, thì người dùng bị infected như thế nào smilie ?


ngăn chặn được hết 0-day exploit (một điều mà tui rất nghi ngờ) thì vẫn có ít nhất
 

Như trên đã nói, IE không thực thi được thì cho dù có lỗi 0 day thì malware vẫn không thể infect được.


- SPIM không có link.
 

Tui chưa hiểu ý mrro. Có lẽ mrro nói là chương trình có thể diệt được tất cả malware, virus ? Không. Đơn thuần là chống AutoIt và không cho IE tự thực thi các ứng dụng lạ từ internet mà thôi.


- User sử dụng một browser khác IE.
 

Chương trình này là IE Protector smilie. Các browser khác sẽ được support tương lai.

Để mrro hiểu rõ hơn cách IE Protector hoạt động và vì sao nó không thể bị dù có là 0 day exploit.
Mrro thử làm theo cách sau:
+ Thực thi IE Protector
+ Thiết lập chế độ "Cấm IE thực thi..."

Rồi làm 1 ví dụ nào đó bypass được xem smilie
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 18/09/2006 05:42:55 (+0700) | #25 | 24037
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
Hì, đúng là bồ LeVuHoang không hiểu ý tui nói. Để tui nói lại lần nữa, IEProtector có thể là một chương trình tốt nhưng nó không thể giải quyết được vấn đề SPIM. Bảo vệ IE và chống SPIM là hai vấn đề hoàn toàn khác nhau. IEProtector có thể được sử dụng để giúp user lướt web an toàn hơn với IE nhưng nó không thể giúp user hoàn toàn tránh khỏi vấn nạn SPIM.

- SPIM không có link là những SPIM theo kiểu hoax dạng như "ở bệnh viện Việt Đức có em bé blah blah blah".

- SPIM có link nhưng link đó lại không chứa virus mà là website có nội dung xấu.

- SPIM có link, khi click vào link, user sẽ download (chứ không chạy tự động) một con trojan nào đó (không viết bằng AutoIt).

- User sử dụng một loại browser khác.

Tui xin liệt kê lại 4 bước để phát tán virus qua IM:


1. Tác giả kích hoạt virus bằng cách gửi một msg chứa đường link đến virus cho friend list của mình.

2. Một nhóm người trong friend list của tác giả click vào đường link.

3. Browser của họ (có thể là IE hoặc Firefox) download và chạy con virus (một cách tự động hoặc không tự động).

4. Virus nhiễm vào máy tính của những người này và nó bắt đầu quay lại thực hiện bước 1 với một hoặc nhiều msg khác nhau.
 


IEProtector bảo vệ user ở bước 3 và 4 nhưng vấn đề của SPIM là nằm ở bước thứ 2: chúng ta cần phải bảo vệ user để họ không thấy SPIM. Nếu họ không thấy SPIM thì sẽ không có chuyện click vào đường link. Nếu họ không click vào đường link thì sẽ không cần IEProtector. Rõ ràng IEProtector chỉ cần thiết khi user đã thấy, đã đọc và đã click vào link, nghĩa là đã nhận SPIM rồi. Do đó nói IEProtector có thể chống SPIM là sai. Nó chỉ có khả năng giúp user bảo vệ IE của mình, đúng như tên gọi của nó mà thôi.


Để mrro hiểu rõ hơn cách IE Protector hoạt động và vì sao nó không thể bị dù có là 0 day exploit.
Mrro thử làm theo cách sau:
+ Thực thi IE Protector
+ Thiết lập chế độ "Cấm IE thực thi..."

Rồi làm 1 ví dụ nào đó bypass được xem smilie
 


Hì đây lại là một chuyện hoàn toàn khác. Bản thân tui không có hứng thú với IEProtector nhưng bồ LeVuHoang cần phải chú ý điểm này:

- IEProtector có thể phân biệt được đâu là chương trình user thật sự muốn chạy, đâu là virus tự chạy?

- mrro không có khả năng bypass được IEProtector thì không có nghĩa là nó an toàn. LeVuHoang không bypass được IEProtector cũng không có nghĩa là nó an toàn.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 18/09/2006 06:21:56 (+0700) | #26 | 24048
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
uhm, vậy mrro trình bày phương pháp chống mọi loại SPIM xem smilie ?
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 18/09/2006 10:27:01 (+0700) | #27 | 24093
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]

LeVuHoang wrote:
uhm, vậy mrro trình bày phương pháp chống mọi loại SPIM xem smilie


Nó có ở http://vnhacker.org/hvaonline/posts/list/4087.html.
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 20/09/2006 22:40:16 (+0700) | #28 | 24558
father_nghia_den
Elite Member

[Minus]    0    [Plus]
Joined: 06/10/2003 16:48:21
Messages: 95
Offline
[Profile] [PM]
Báo với anh Hoàng 1 tin buồn. Phần mềm của anh không chặn được SPIM.
Cụ thể có 1 số máy trong công ty em bắn hàng loạt link dạng như Linh da duoc sua chua: CHET KO DUOC LAM CON MA DOI http://img487.imageshack.us/img487/5269/1jg5.jpg

http://img467.imageshack.us/img467/8274/2ili1.jpg

http://img381.imageshack.us/img381/8589/3ipv1.jpg

http://img369.imageshack.us/img369/4346/4iqm2.jpg

http://img467.imageshack.us/img467/7066/5ite0.jpg
xac nhan la dung ne smilie smilie smilie

Và 1 số link từ websamba.com
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 20/09/2006 23:43:06 (+0700) | #29 | 24565
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Đầu tiên, phải xác định xem có phải đúng là máy bạn bị nhiễm SPIM được viết bằng AutoIt không smilie ?
Tiếp theo, bạn có thể post hình lên về process và những khoá AutoRun trong registry không.
[Up] [Print Copy]
  [Question]   Phòng chống các loại SPIM được viết bằng AutoIt 20/09/2006 23:47:26 (+0700) | #30 | 24568
father_nghia_den
Elite Member

[Minus]    0    [Plus]
Joined: 06/10/2003 16:48:21
Messages: 95
Offline
[Profile] [PM]
Chính xác là link này đây anh Hoàng.
bai` hoc kinh nghiem ==>Chet' ko duoc lam` con ma doi'===>... http://www33.websamba.com/xomnuocden/dungdedoi.html  


Tất cả các dấu hiệu giống hệt những con virus dựa trên code gái xinh.
Khoá taskmanager , run , send link hàng loat. v.v
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|