| [Question] Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! |
19/06/2007 11:08:31 (+0700) | #1 | 65590 |
![[Avatar]](/hvaonline/images/avatar/291409c55e2d4893c4d679e0884a994e.jpg "[Avatar]")
|
Ghost Ship
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
Chiều nay thằng bạn em ngồi down tài liệu chả biết vào trang gì mà làm máy em dính một con trojan em chưa gặp bao giờ.
Hiện tượng:
Home Page luôn bị đặt là http://www.google.com.vn
Em đặt lại là about:blank nhưng bật IE lên thì Home Page lại bị đổi thành http://www.google.com.vn ngay . Khi đó có FastHelper báo value của key "Start Page" trong HKCU/.../Internet Explorer/Main bị đổ thành "http://www.google.com.vn" --> Khi IE bật lên thì Home Page bị đổi
em vào cmd gõ netstat -nao thì thu được kết quả thật kinh dị: ESTABLISHED nhiều vô kể kéo mãi kô hết  ( đây là một đoạn
Code:
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING 1512
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 1512
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 828
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING 1512
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 1512
TCP 127.0.0.1:1026 0.0.0.0:0 LISTENING 2040
TCP 192.168.1.41:139 0.0.0.0:0 LISTENING 4
TCP 192.168.1.41:1383 217.79.216.190:25 CLOSE_WAIT 3340
TCP 192.168.1.41:1424 217.79.216.190:25 CLOSE_WAIT 3340
TCP 192.168.1.41:1547 209.191.88.239:25 ESTABLISHED 3340
TCP 192.168.1.41:1592 209.191.88.239:25 ESTABLISHED 3340
TCP 192.168.1.41:1649 209.191.88.239:25 ESTABLISHED 3340
TCP 192.168.1.41:1661 209.191.88.239:25 ESTABLISHED 3340
TCP 192.168.1.41:1706 209.191.88.239:25 ESTABLISHED 3340
TCP 192.168.1.41:1851 217.79.216.190:25 CLOSE_WAIT 3340
TCP 192.168.1.41:1893 217.79.216.190:25 CLOSE_WAIT 3340
TCP 192.168.1.41:1959 209.191.118.103:25 ESTABLISHED 3340
TCP 192.168.1.41:1971 216.39.53.1:25 ESTABLISHED 3340
TCP 192.168.1.41:2059 209.191.118.103:25 ESTABLISHED 3340
TCP 192.168.1.41:2127 195.137.128.30:25 ESTABLISHED 3340
TCP 192.168.1.41:2132 208.29.62.83:25 ESTABLISHED 3340
TCP 192.168.1.41:2142 200.198.37.3:25 ESTABLISHED 3340
TCP 192.168.1.41:2216 213.166.4.221:25 CLOSE_WAIT 3340
TCP 192.168.1.41:2235 216.39.53.1:25 ESTABLISHED 3340
TCP 192.168.1.41:2247 194.97.156.20:25 ESTABLISHED 3340
TCP 192.168.1.41:2381 216.39.53.1:25 ESTABLISHED 3340
TCP 192.168.1.41:2450 216.39.53.2:25 CLOSE_WAIT 3340
Khi IE mở thì FastHelper báo:
Tiến trình :C:\Program Files\Internet Explorer\explore.exe
Yêu cầu thực thi: eplorer.exe
Bật task manager lên thì thấy PID của explorer.exe chính là 3340 --> IE gọi explorer.exe và explorer.exe kết nối với bên ngoài <-- Sao lại thế nhỉ ? Em kô biết những IP kia là ở đâu và explorer.exe gửi cái gì đi ( Hi vọng kô gửi pass acc GS này  và hi vọng bon nhận được kô có hứng thú chơi HVA Mà kô biết lf gửi hay nhận nhỉ
Kô thấy có Process nào lạ.
Xử lý:
1. Em sang nhà hàng xóm copy 2 file explorer.exe và iexplorer.exe về paste đè lên 2 file cũ nhưng kô có tác dụng. --> IE kô bị nhiễm
2. Em vào thư mục C:Windows và Search với từ khóa .exe thì túm được một file llaclla.exe đươc tạo ra vào lúc 6h40' trong C:\WINDOWS\system32 (đúng lúc thàng ku kia đang ngồi)
Tìm với .dll thì thu được 3 file cũng tạo ra lúc 6h40'
C:\WINDOWS\system\bzmtcs32.dll
c:\windows\system32\llaclla.dll
C:\WINDOWS\system32\ipv6mons.dll
Em Cut cả 4 file này ra desktop và thử chạy IE thì kô thấy Home Page bị đổi nữa và cũng kô thấy FastHelper báo "Yêu cầu thực thi: eplorer.exe" --> kô biết như thế đã ổn chưa các bác nhỉ?
Chạy HijackThis thì HijackThis báo có mấy dòng khả nghi sau (Do HijackThis chưa biết FastHelper nên có nhiều key của FastHelper):
O2 - BHO: FLV Helper - {060BC2B0-B40E-B0FC-BE02-3B0A9B0350B6} - C:\WINDOWS\system\bzmtcs32.dll Cái này của bác Hoàng sao ấy nhỉ? nhưng sao nó lại được tạo ra cùng với mấy cái kia nhỉ, hay em nhìn nhầm  ) HijackThis nói: Unknown application.
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll
Đây là cảnh báo của HijackThis: Extremely nasty: Must be fixed! ipv6mons.dll - Variant of the Troj/Cimuz-AJ, http://www.sophos.com/security/analyses/ trojcimuzaj.html trojan
O2 - BHO: (no name) - {B86326FD-80F5-4486-8443-44FB39588CFC} - c:\windows\system32\llaclla.dll
HijackThis nói "Unknown application" nốt chắc cái này cũng của bác hoàng
O20 - Winlogon Notify: mckkmzek - C:\WINDOWS\SYSTEM32\llaclla.dll HijackThis kô nói gì với dòng này )
Con này chắc kô phổ biến --> có cần cho FastHelper nhận diện nó kô bác Hoang ơi ) |
|
|
 |
|
| [Question] Máy em mới dính một con trojan lạ |
19/06/2007 12:05:59 (+0700) | #2 | 65600 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
cái này của bác Hoàng sao ấy nhỉ? nhưng sao nó lại được tạo ra cùng với mấy cái kia nhỉ
Không phải, cái này là BHO mà. Những gì của FastHelper đều nằm trong folder Fasthelper hết.
Khi IE mở thì FastHelper báo:
Tiến trình :C:\Program Files\Internet Explorer\explore.exe
Yêu cầu thực thi: eplorer.exe
Vậy là file eplorer.exe cũng là của con virus này luôn rồi đó
O20 - Winlogon Notify: mckkmzek - C:\WINDOWS\SYSTEM32\llaclla.dll HijackThis kô nói gì với dòng này
Đây cũng là 1 kiểu sử dụng Winlogon, là nó luôn rồi đó.
uh, up lên xem GS. |
|
|
|
|
| [Question] Re: Máy em mới dính một con trojan lạ |
19/06/2007 12:18:50 (+0700) | #3 | 65603 |
|
Ghost Ship
Member
|
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
Nó đây bác: http://www.freewebtown.com/tauma/data/Mau.zip
Em kô hiểu nếu explore.exe và iexplore.exe đã bị nhiễm thì tại sao khi thay đè lên 2 file này mà vẫn kô hết. Hiện tượng đó chỉ hết khi em cut mấy file kia ra khỏi C:\Windows
Còn một vấn đề nữa, Máy thàng hàng xóm của em nó vào trang gì ấy bây giờ ở chỗ góc đồng hồ luôn luôn nhấp nháy cái biểu tượng "lá chắn" và khi click (trái hai phải như nhau) vào cái biểu tượng đó thì trang dẫn tới trang: http://www.spycrush.com/?aff=334
kô có Process lạ, vào safe mode vẫn có. Làm thế nào cho nó mất đi bây giwowf bác Hoang ơi
Một thằng khác thì mang USB chứa đồ án ra quán in, nhưng máy ở quan in nó dính con virus gì mà làm file .doc biến thành file .exe hết. đổi lại thành .doc thì mở ra toàn báo lỗi rồi hiện ra toàn ký tự ô vuông. Kô biết em vứt file mẫu ấy ở đâu rồi, lúc nào tìm thấy em up lên để bác nghiên cú nhá, mà nếu bác biết con này rồi thì chỉ cách phục hồi cho em với.
Thằng đó mang cái USB bị nhiễm ấy về nhà cuối cùng máy ở nhà cũng nhiễm luôn file .doc trong máy biến thành .exe hết. .exe nhưng icon vẫn là của Office Word.
|
|
|
|
|
| [Question] Máy em mới dính một con trojan lạ |
19/06/2007 12:41:32 (+0700) | #4 | 65608 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
| Sao H down về, 32KB nhưng ko unzip được ? |
|
|
|
|
| [Question] Re: Máy em mới dính một con trojan lạ |
19/06/2007 13:00:47 (+0700) | #5 | 65616 |
|
Ghost Ship
Member
|
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
Sao H down về, 32KB nhưng ko unzip được ?
172BK cơ bác à. em vừa down thử, Em vẫn Extract bình thường bác à. sao abcs lại kô được nhỉ .
|
|
|
|
|
| [Question] |
19/06/2007 13:25:02 (+0700) | #6 | 65622 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
| Chắc do mạng, Hoàng đang down lại... |
|
|
|
|
| [Question] Máy em mới dính một con trojan lạ |
19/06/2007 16:05:52 (+0700) | #7 | 65627 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
| file llaclla.exe giải nén ra chạy ko được. Pó tay. |
|
|
|
|
| [Question] Máy em mới dính một con trojan lạ |
19/06/2007 16:30:59 (+0700) | #8 | 65629 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Hoàng đọc kỹ lại bài của bạn, thấy có 1 số vấn đề sau nữa nè:
TCP 192.168.1.41:1383 217.79.216.190:25 CLOSE_WAIT 3340
Vậy là cái chương trình này nó lợi dụng để gởi spam rồi
Tiến trình :C:\Program Files\Internet Explorer\explore.exe
Yêu cầu thực thi: eplorer.exe
trong \Internet Explorer làm gì có file explore.exe ta ? Có lẽ đây cũng là 1 file của virus.
Bật task manager lên thì thấy PID của explorer.exe chính là 3340
Nhiều khi cái explorer.exe này là trong \Internet Explorer chứ không phải explorer gốc.
Kô thấy có Process nào lạ.
hehehe... có chừa chiêu "canh me" process chưa )
Ngoài ra, file "C:\Program Files\Internet Explorer\explore.exe" và eplorer.exe là 2 file khá nghi vấn khác.
More info đây:
Cái change homepage url của IE là do file ipv6mons.dll làm. Nó là 1 BHO nên mỗi khi bạn execute IE thì dll đó được thực thi. Bạn move ra khỏi vị trí cũ nên không bị change Homepage là đúng rồi |
|
|
|
|
| [Question] Re: Máy em mới dính một con trojan lạ |
19/06/2007 23:07:39 (+0700) | #9 | 65660 |
![[Avatar]](/hvaonline/images/avatar/a7c6d9a58a47a1e771142c96f76a128c.jpg "[Avatar]")
|
canh_nguyen
Elite Member
|
|
0 |
|
|
Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline
|
|
Ghost Ship wrote:
Nó đây bác: http://www.freewebtown.com/tauma/data/Mau.zip
Trong file zip của bạn có file bzmtsc32.dll là trojan http://www.google.com.vn/search?hl=vi&q=Proxy-Agent.a&meta=
|
|
|
|
|
| [Question] Re: Máy em mới dính một con trojan lạ |
20/06/2007 00:33:47 (+0700) | #10 | 65681 |
|
Ghost Ship
Member
|
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
|
|
| [Question] Re: Máy em mới dính một con trojan lạ |
20/06/2007 02:12:32 (+0700) | #11 | 65692 |
|
canh_nguyen
Elite Member
|
|
0 |
|
|
Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline
|
|
Ghost Ship wrote:
Vậy là em dính tới 2 con cơ á (
Theo thông tin trong cái phần search tớ đưa thì con này nó sẽ kéo bè kéo đảng thêm . |
|
|
|
|
| [Question] Re: Máy em mới dính một con trojan lạ |
20/06/2007 02:14:53 (+0700) | #12 | 65693 |
![[Avatar]](/hvaonline/images/avatar/6d8fd617dbf3e2c1e12be59585cdb1f9.jpg "[Avatar]")
|
tmd
Member
|
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
| Kéo bè đảng chỉ 1 vài con thôi. KHi nào dính biến thể khác thì mới nhiều. Dính chú Proxy agent kia cũng đủ rồi. |
|
| 3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
| [Question] Re: Máy em mới dính một con trojan lạ |
20/06/2007 02:31:19 (+0700) | #13 | 65697 |
![[Avatar]](/hvaonline/images/avatar/b917cbfbe99564a26c7b2dee4de31ea7.jpg "[Avatar]")
|
huynhfxvn
Member
|
|
0 |
|
|
Joined: 21/07/2005 11:09:35
Messages: 456
Location: UET.VNU
Offline
|
|
1. bạn dùng process explorer để quản lý process hay hơn nhiều taskmanager, vì nó có giao diện tốt , phát hiện ra cả các chương trình đang ẩn trong bộ nhớ mà task manager ko phát hiện ra.
2. để diểt virus bằng tay chưa có kinh nghiệm sẽ bỏ xót , các nên tải một số AV về dùng :
clamwin ( miễn phí , trong cớ sở đữ liệu có hơn 100.000 con )
http://www.clamwin.com/content/view/18/46/
BitDefender 8 Free Edition
http://www.bitdefender.com.vn/site/Main/view/Download-Free-Products.html
Free antivirus - avast! 4 Home Edition Download
http://www.avast.com/eng/download-avast-home.html
tuy miễn phí , nhưng tôi nó đủ khả năng diệt con này |
|
| KHÔNG CÓ GÌ quý hơn tự do ! |
|
|
|
| [Question] Re: Máy em mới dính một con trojan lạ |
20/06/2007 03:35:34 (+0700) | #14 | 65714 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Ghost Ship wrote:
217.79.216.190 là IP của ai thế bác Hoàng? Bác có thể chỉ em cách xác định IP nào ở quốc gia nào kô?
Check ở đây http://www.ip2location.com/), nó từ Germany.
Vậy thì con trojan này ghi đè file ipv6mons.dll của nó lên file ipv6mons.dll cũa của hệ thống phải kô bác? Ngày giờ tạo ra cùng với mấy file kia mà bác.
Cái file ipv6mons.dll nguyên góc của hệ thống nó có những chức năng gì thế bác? Em có cần đi máy khác copy lại về kô?
File này của con malware này luôn mà ? |
|
|
|
|
| [Question] Re: Máy em mới dính một con trojan lạ |
20/06/2007 15:09:07 (+0700) | #15 | 65820 |
|
Ghost Ship
Member
|
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
Tình hình là cái file c:\windows\system32\llaclla.dll quá cứng đầu các bác ạ ( kô thể delete nổi, kô thể cut ,rename. Kô hiểu tại sao hôm qua em lại cut nó ra desktop được?
hijackthis kô thể fix 2 cái key liên quan đến nó, vào delete 2 key đó trong registry cũng kô được. Tìm trong registry với từ khóa "llaclla.dll" ra khá nhiều nhưng kô delete được cái nào hết.
O2 - BHO: (no name) - {B86326FD-80F5-4486-8443-44FB39588CFC} - c:\windows\system32\llaclla.dll
O20 - Winlogon Notify: mckkmzek - C:\WINDOWS\SYSTEM32\llaclla.dll
Em phải vào DOS mới delete được. (để NTFS vào dos khổ quá) khi vào lại win em thử tạo lại một cái llaclla.dll trống rồi vứt lại c:\windows\system32\ kết quả là lại kô delete được luôn ( các key kia vẫn kô fix và delete được sau khi đã delete file llaclla.dll. Khủng thật ( !!
Bác nào có cao kiến đẻ trị mấy cái key kia thì chỉ em với!
Khi delete nó hiện ra báo lỗi như sau:
Đầu tiên là: Confirm value delete: Are you sure want todelete thí value ? (Y/N)
(Y) --> Error Deleting Values : Unable to delete all Specified values.
|
|
|
|
|
| [Question] Máy em mới dính một con trojan lạ |
20/06/2007 17:48:57 (+0700) | #16 | 65823 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Quan trọng là phải có mẫu chạy được mới giúp được ).
Ráng tìm hiểu xem nó từ nguồn nào rồi post lên đây... |
|
|
|
|
| [Question] Re: Máy em mới dính một con trojan lạ |
21/06/2007 00:12:31 (+0700) | #17 | 65871 |
|
Ghost Ship
Member
|
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
Dưới đây là những key liên quan đến cái llaclla.dll cứng đầu này. Bác nào thấy key nào hay ho thì chỉ em với. Những key màu đỏ là những key kô thể delete được. Những key nào delete được em đã delete rồi các bác ạ.
HKCR\CLSID\{B86326FD-80F5-4486-8443-44FB39588CFC}\InprocServer32
(Default)=RWG_SZ:"c:\windows\system32\llaclla.dll"
HKCR\Xpmgdftp\CLSID
(Default)=RWG_SZ:"{B86326FD-80F5-4486-8443-44FB39588CFC}"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\Regedit
LastKey=RWG_SZ:"My Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B86326FD-80F5-4486-8443-44FB39588CFC}\InprocServer32"
HKCU\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Ext\Stats\{B86326FD-80F5-4486-8443-44FB39588CFC}
HKLM\SOFTWARE\Classes\CLSID\{B86326FD-80F5-4486-8443-44FB39588CFC}\InprocServer32
(Default)=RWG_SZ:"c:\windows\system32\llaclla.dll"
HKLM\SOFTWARE\Classes\Xpmgdftp\CLSID
(Default)=RWG_SZ:"{B86326FD-80F5-4486-8443-44FB39588CFC}"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B86326FD-80F5-4486-8443-44FB39588CFC}
(Da xoa key)
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\mckkmzek
DLLName=RWG_SZ:"llaclla.dll"
HKLM\SYSTEM\ControlSet001\Service\wrfgvjif\Parameters
ServiceDll=REG_EXPAND_SZ:"C:\WINDOWS\system32\llaclla.dll"
HKLM\SYSTEM\ControlSet001\Service\wrfgvjif\Parameters
ServiceDll=REG_EXPAND_SZ:"C:\WINDOWS\system32\llaclla.dll"
Vào dos xóa file llaclla.dll này rùi vào Win tạo một file 0KB tên là llaclla.dll thay thế có lẽ cũng là một cách phong thủ khá hay đối với con này phải kô các bác? nếu có bị nhiễm lại thì nó cũng kô thể ghi file sịn của nó đè lên file llacla.dll mình tạo ra được
Hôm qua khi chưa xóa file llaclla sịn đi em thấy explore.exe có sử dụng file dll này. Sau khi xóa nó đi rồi thì ko thấy nữa.
Bác Hoàng à! cái chức năng Unload của ProcessManager là gì thế ? em chọn một dòng dll rồi ấn vô là đơ cái ProcessManager luôn.
Hiện tại kô thấy có kết nối lạ nào ra ngoài và cũng kô thấy bè đảng nào của nó tới cả ) Liệu có phải em đã vô hiệu hóa nó thành công?
Chỉ có 2 cái này được tạo ra vào ngày 20/6 nhưng em delete được chắc kô đáng ngại ) Các bác có thể nói cho em biết cái WinSxS và những cái dll trong đó có chức năng gì kô?
Code:
C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2R_6bd6b9abf345378f_4.1.0.0_x-ww_29c3ad6a\msxml4r.dll
C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.1.0.0_x-ww_b319d8da\msxml4.dll
|
|
|
|
|
| [Question] Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! |
21/06/2007 03:32:38 (+0700) | #18 | 65896 |
|
canh_nguyen
Elite Member
|
|
0 |
|
|
Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline
|
|
C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2R_6bd6b9abf345378f_4.1.0.0_x-ww_29c3ad6a\msxml4r.dll
C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.1.0.0_x-ww_b319d8da\msxml4.dll
Cả 2 file này của MS http://support.microsoft.com/kb/269238
Bạn dùng thử cái này http://www.microsoft.com/technet/sysinternals/Utilities/RootkitRevealer.mspx |
|
|
|
|
| [Question] Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! |
21/06/2007 03:42:20 (+0700) | #19 | 65899 |
|
Ghost Ship
Member
|
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
Vấn đề bây giờ là em muốn xóa cái file llaclla.dll và các key liên quan đến nó trong regedit nhưng em kô biết xóa như thế nào. Em rất mong các bác tìm giúp em cách giải quyết.
Làm thế nào để bảo vệ một key trong registry và file nhwu vậy như vậy?
Em đã kiểm tra cái file llaclla.dll kia ,nó có full quyên dành cho admin. Khi Shift + Delete nó có báo lỗi là:
Cannot delete llaclla: Access is denied
Make sure the disk is not full or write -protected and that file is not curently in sue
Một thông báo rất quen thuộc phải kô các bác ) Các bác giúp em với, cứ bị nó trêu ngươi em khó chịu quá. :cry:
|
|
|
|
|
| [Question] Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! |
21/06/2007 05:21:36 (+0700) | #20 | 65929 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Vào dos xóa file llaclla.dll này rùi vào Win tạo một file 0KB tên là llaclla.dll thay thế có lẽ cũng là một cách phong thủ khá hay đối với con này phải kô các bác? nếu có bị nhiễm lại thì nó cũng kô thể ghi file sịn của nó đè lên file llacla.dll mình tạo ra được
Sao không. Malware có thể ghi đè lên file llaclla.dll của bạn mà ?
Hôm qua khi chưa xóa file llaclla sịn đi em thấy explore.exe có sử dụng file dll này. Sau khi xóa nó đi rồi thì ko thấy nữa.
Bởi vì cái llaclla này inject DLL vào explorer rồi.
Bác Hoàng à! cái chức năng Unload của ProcessManager là gì thế ? em chọn một dòng dll rồi ấn vô là đơ cái ProcessManager luôn.
Trời, bạn phải biết DLL nào dùng để làm gì. Ví dụ trong trường hợp llaclla.dll trên, file llaclla.dll không thể xoá được vì đang được explorer.exe sử dụng. Bạn unload cái dll đó ra thì xoá được. Còn với mấy dll hệ thống, bạn "chọn đại" mà không bị treo máy là may rồi :-|.
Em đã kiểm tra cái file llaclla.dll kia ,nó có full quyên dành cho admin. Khi Shift + Delete nó có báo lỗi là:
Như trên đã nói, nó đang được explorer sử dụng nên không xoá được. |
|
|
|
|
| [Question] Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! |
21/06/2007 05:41:10 (+0700) | #21 | 65937 |
![[Avatar]](/hvaonline/images/avatar/97de30ecb71fe0fb77e0829e0f579f45.jpg "[Avatar]")
|
hieuhoc
Member
|
|
0 |
|
|
Joined: 08/09/2006 21:57:39
Messages: 103
Offline
|
|
Một thông báo rất quen thuộc phải kô các bác Các bác giúp em với, cứ bị nó trêu ngươi em khó chịu quá.
Bạn vào đây download cái này về rồi dùng thử xem,mình nghĩ sẽ xóa được :
http://www.softpedia.com/progDownload/MoveOnBoot-Download-1398.html |
|
|
|
|
| [Question] Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! |
21/06/2007 14:26:16 (+0700) | #22 | 65997 |
luckylac
Member
|
|
0 |
|
|
Joined: 19/08/2004 00:39:12
Messages: 30
Offline
|
|
mình mới viết 1 con tương tự như thế ... nên xin hiến 1 số kế cho cách diệt loại virus này.
COn này chính xác là nó inject dll vào shell . shell ở đây là explorer.exe
Windows shell cho phép chèn 1 đoạn code trong dll vào tiến trình explorer bằng 1 hàm trong shellapi (mình ko muốn nói rõ về hàm này... bạn nào muốn viết vì trao đổi với mình).
Dùng các chương trình chặn ghi vào registry bạn có thể biết dc vị trí con dll này... có thể là cùg 1 lúc nhiều dll....
TUy nhiên bạn ko thể delete nó dc vì nó đag đc xài bởi explorer.exe.. muốn diệt nó bạn làm 2 bước sau :
- Đảm bảo ko có tiến trình lạ nào đag chạy có thể là phương án 2 của nó.
- Kill explorer.exe => dll sẽ unload
->>> delete file dll nghi ngờ....
PHẢI ĐẢM BẢO LÀ KO CÒN CON .EXE NÀO CÓ THỂ TẠO MỚI DLL VÀ NHÚG LẠI VÀO EXPLORER.EXE
Sau đó hãy lần theo các khóa nguy hiểm trong registry để xóa nhữg con dạng .exe (các khóa mà chtr dc chay khi khởi động)
* chú ý:
1. Khi bị dính loại này , mã độc dc chạy ngay trên tiến trình explorer. Do đó rất nguy hiểm , bởi ko thể nghi ngờ explorer dc..
2.Kể cả trong safe mode explorer vẫn có thể bị inject dll cho dù bạn gọi nó từ taskmanager chứ ko phải winlogon. (còn của mình là vậy... còn ở đây ko biết thế nào)
3. Đối với loại virus inject dll này bạn nên chú ý nếu như thấy 1 tiến trình đag chạy là rundll32.exe rundll32.exe là 1 chtr hợp pháp của win nó dùng để chạy 1 hàm trong dll dc chỉ định... và rất có thể nó đag run mã độc..(nên cẩn thận bởi cpl của control panel cũng là dll, khi bạn mở 1 applet control panel thì nó dc run bởi rundll32.exe).
Mình đang phát triển con này.. và thấy rằng hoàn toàn có thể đăng ký 1 applet control panel để người dùng tự kích hoạt...
4. Khi kiểm tra các khóa registry .. đặc biệt cẩn thận với các khóa có chứa shell/command.... giá trị của nó có thể là 1 câu lệnh thực thi kích hoạt lại virus.
Khuyến cáo cho các chtr diệt virus.... : Hầu hết chtr diệt virus chặn việc ghi vào registry.. chưa có cơ chế chặn inject dll...
Do đó 1 giải pháp hữu hiệu cho mấy bác bkav là : HOOK API, còn API nào thì các bác tự tìm hiểu...
|
|
|
|
|
| [Question] Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! |
22/06/2007 03:15:12 (+0700) | #23 | 66078 |
|
hieuhoc
Member
|
|
0 |
|
|
Joined: 08/09/2006 21:57:39
Messages: 103
Offline
|
|
luckylac wrote:
mình mới viết 1 con tương tự như thế ... nên xin hiến 1 số kế cho cách diệt loại virus này.
COn này chính xác là nó inject dll vào shell . shell ở đây là explorer.exe
Windows shell cho phép chèn 1 đoạn code trong dll vào tiến trình explorer bằng 1 hàm trong shellapi (mình ko muốn nói rõ về hàm này... bạn nào muốn viết vì trao đổi với mình).
Dùng các chương trình chặn ghi vào registry bạn có thể biết dc vị trí con dll này... có thể là cùg 1 lúc nhiều dll....
TUy nhiên bạn ko thể delete nó dc vì nó đag đc xài bởi explorer.exe.. muốn diệt nó bạn làm 2 bước sau :
- Đảm bảo ko có tiến trình lạ nào đag chạy có thể là phương án 2 của nó.
- Kill explorer.exe => dll sẽ unload
->>> delete file dll nghi ngờ....
PHẢI ĐẢM BẢO LÀ KO CÒN CON .EXE NÀO CÓ THỂ TẠO MỚI DLL VÀ NHÚG LẠI VÀO EXPLORER.EXE
Sau đó hãy lần theo các khóa nguy hiểm trong registry để xóa nhữg con dạng .exe (các khóa mà chtr dc chay khi khởi động)
* chú ý:
1. Khi bị dính loại này , mã độc dc chạy ngay trên tiến trình explorer. Do đó rất nguy hiểm , bởi ko thể nghi ngờ explorer dc..
2.Kể cả trong safe mode explorer vẫn có thể bị inject dll cho dù bạn gọi nó từ taskmanager chứ ko phải winlogon. (còn của mình là vậy... còn ở đây ko biết thế nào)
3. Đối với loại virus inject dll này bạn nên chú ý nếu như thấy 1 tiến trình đag chạy là rundll32.exe rundll32.exe là 1 chtr hợp pháp của win nó dùng để chạy 1 hàm trong dll dc chỉ định... và rất có thể nó đag run mã độc..(nên cẩn thận bởi cpl của control panel cũng là dll, khi bạn mở 1 applet control panel thì nó dc run bởi rundll32.exe).
Mình đang phát triển con này.. và thấy rằng hoàn toàn có thể đăng ký 1 applet control panel để người dùng tự kích hoạt...
4. Khi kiểm tra các khóa registry .. đặc biệt cẩn thận với các khóa có chứa shell/command.... giá trị của nó có thể là 1 câu lệnh thực thi kích hoạt lại virus.
Khuyến cáo cho các chtr diệt virus.... : Hầu hết chtr diệt virus chặn việc ghi vào registry.. chưa có cơ chế chặn inject dll...
Do đó 1 giải pháp hữu hiệu cho mấy bác bkav là : HOOK API, còn API nào thì các bác tự tìm hiểu...
Bạn nói về inject dll vào shell nhưng sao không thấy nói đến DEP(Data Execution Prevention) của XP sp 2 vậy,con virus của bạn viết có thể bypass DEP luôn àh? |
|
|
|
|
| [Question] Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! |
22/06/2007 03:32:06 (+0700) | #24 | 66082 |
luckylac
Member
|
|
0 |
|
|
Joined: 19/08/2004 00:39:12
Messages: 30
Offline
|
|
run okie trên winxp sp2, vista, bitdefender, avast, karpersky,bkav.....
bạn yên tâm...đã test... chưa lây
mình đang thực hiện bước tiếp theo để mở socket.....
đag thi cử mệt quá.... he` sẽ hoàn thiện ....
đag có 2 hướng để phát triển con này :
1 là nghiên cứu về cách thực thi của reg api function, để tránh bị hook
2 là tinh chế birnary code dll
tài liệu, source đã có.. ko biết có thành công hay ko... xog mình sẽ mang cho bác Hoàg test...
a`h wen... khoe với mọi người là con của mình nó chạy trc khi explorer hay 1 chtr nào trong list autorun dc chạy... nên có thể cấm các chtr diệt virus chạy ... chứ chưa nói đến là kill bọn đó.... |
|
|
|
|
| [Question] Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! |
22/06/2007 05:39:49 (+0700) | #25 | 66131 |
|
hieuhoc
Member
|
|
0 |
|
|
Joined: 08/09/2006 21:57:39
Messages: 103
Offline
|
|
luckylac wrote:
run okie trên winxp sp2, vista, bitdefender, avast, karpersky,bkav.....
bạn yên tâm...đã test... chưa lây
mình đang thực hiện bước tiếp theo để mở socket.....
đag thi cử mệt quá.... he` sẽ hoàn thiện ....
đag có 2 hướng để phát triển con này :
1 là nghiên cứu về cách thực thi của reg api function, để tránh bị hook
2 là tinh chế birnary code dll
tài liệu, source đã có.. ko biết có thành công hay ko... xog mình sẽ mang cho bác Hoàg test...
a`h wen... khoe với mọi người là con của mình nó chạy trc khi explorer hay 1 chtr nào trong list autorun dc chạy... nên có thể cấm các chtr diệt virus chạy ... chứ chưa nói đến là kill bọn đó....
Vậy Bạn có thể cho mình mẫu thử trên máy mình thử xem chứ nghe nói thì không tin lắm . |
|
|
|
|
| [Question] Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! |
22/06/2007 06:56:26 (+0700) | #26 | 66153 |
|
Ghost Ship
Member
|
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
Em đã dùng chương trình Procexp để tìm với từ khóa llaclla nhưng kô có kết quả nào hiện ra --> Kô có Process nào sử dụng file llaclla.dll. Kô biết kiểm tra như vậy có chính xác kô
Bác hoàng à bác lắp thêm cho cái Process Manager của bác cái chức năng tìm dll đi.
Kô có Process nào dùng nó nhưng em vẫn kô delete nó được thông báo lỗi vẫn như trước. Mà còn cả mấy cái key trong registry của nó nữa chứ, cũng kô delete được, sao thế nhỉ? Các bác giải thích hộ em xem mấy cái key này nó có tác dụng gì với:
HKCR\CLSID\{B86326FD-80F5-4486-8443-44FB39588CFC}\InprocServer32
(Default)=RWG_SZ:"c:\windows\system32\llaclla.dll"
HKCR\Xpmgdftp\CLSID
(Default)=RWG_SZ:"{B86326FD-80F5-4486-8443-44FB39588CFC}"
HKCU\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Ext\Stats\{B86326FD-80F5-4486-8443-44FB39588CFC}
HKLM\SOFTWARE\Classes\CLSID\{B86326FD-80F5-4486-8443-44FB39588CFC}\InprocServer32
(Default)=RWG_SZ:"c:\windows\system32\llaclla.dll"
HKLM\SOFTWARE\Classes\Xpmgdftp\CLSID
(Default)=RWG_SZ:"{B86326FD-80F5-4486-8443-44FB39588CFC}"
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\mckkmzek
DLLName=RWG_SZ:"llaclla.dll"
Các bác xem còn kế nào hiến nốt cho em đi ) |
|
|
|
|
| [Question] Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! |
22/06/2007 07:03:35 (+0700) | #27 | 66155 |
|
Ghost Ship
Member
|
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
@canh_nguyen: Em đã dùng cái bác chỉ để quét và kết quả như ảnh dưới đây. Nhưng em kô hiểu gì cả các bác giải thích cho em với.
hieuhoc wrote:
Bạn vào đây download cái này về rồi dùng thử xem,mình nghĩ sẽ xóa được :
http://www.softpedia.com/progDownload/MoveOnBoot-Download-1398.html
cái này cũng kô delete được bạn ạ |
|
|
|
|
| [Question] Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! |
22/06/2007 12:41:44 (+0700) | #28 | 66218 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
llaclla.exe thực chất là 1 dll, đỗi thành .exe thôi, nên bà con đừng cố run nó, run cũng không được đâu, và chả chết ai.
Cả 2 .dll này đều được viết = Borland Delphi 7, pack = 2 lớp, UPX rồi Morphine.
Một số hàm export của nó:
ServiceMain // register and run as a serive
WLEventLogoff // do nothing
WLEventLogon // do nothing
DllUnregisterServer // do nothing
DllRegisterServer // setup dll BHO
DllCanUnloadNow // do nothing
DllGetClassObject // do nothing
DllEntryPoint // default
Dll này không đặt code khởi tạo trong DllEntryPoint và lại đặt trong unit initialization của unit Main của nó (bà con code Delphi biết cái này).
Hơn nữa, trojan này dùng rất nhiều crypto algorithm, dưới đây là list 1 số của nó:
Code:
BASE64 table :: 0001B7A4 :: 0041D1A4
BLOWFISH [sbox] :: 0001B82C :: 0041D22C
CRC32 :: 0001C82C :: 0041E22C
FGint Base10StringToFGInt :: 00009E4C :: 0040AA4C
FGint Base256StringToFGInt :: 00009CB8 :: 0040A8B8
FGint Base2StringToFGInt :: 00009A98 :: 0040A698
FGint FGIntToBase256String :: 00009BC4 :: 0040A7C4
FGint FGIntToBase2String :: 000099E4 :: 0040A5E4
FGint MontgomeryModExp :: 0000B564 :: 0040C164
MD5 :: 00008841 :: 00409441
PI fraction (NIMBUS / BLOWFISH) :: 0001B7E4 :: 0041D1E4
SHA-256 [mixing] :: 0001CC7C :: 0041E67C
Coi bộ cũng không dễ ăn với con này, IDA ra còn unknown nhiều quá.
Giờ khuya rồi, đi ngủ, tối mai phân tích tiếp. |
|
|
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận virus, trojan, spyware, worm...
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[MSN]](/hvaonline/templates/viet/images/icon_msnm.gif "[MSN]"){kind=icon}
![[ICQ]](/hvaonline/templates/viet/images/icon_icq_add.gif "[ICQ]"){kind=icon}
) Kiểm tra Process luôn luôn là bước đầu tiên của em ![[Email]](/hvaonline/templates/viet/images/icon_email.gif "[E-mai]"){kind=icon}
,bạn có khởi động lại khi chọn xóa file đó chưa ,phần mềm này có thể xóa bất kì file nào kể cả file hệ thống nhưng khi chọn xóa xong bạn phải khởi động lại àh,giống như cái tên của nó Move on boot.![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")