English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Cẩn thận "virus" Yahoo mới: VnGuide  XML
  [Question]   Cẩn thận "virus" Yahoo mới: VnGuide 30/06/2007 07:23:11 (+0700) | #1 | 67843
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Hôm nay Hoàng vừa gặp được một mẫu viết bằng AutoIt (cũng lại là AutoIt smilie-)) ) mà BKAV, AVG chưa detect được.
Nếu bạn nhận được message nào từ bạn bè có link vào trang: http://vnguide.[---] hoặc http://vinaforex.[---] thì đừng click vào.
Vì nếu bạn vào trang trên bằng IE 6 chưa fix lỗi (vẫn cái lỗi cũ rích smilie) ), máy bạn sẽ tải về file: http://vnguide.[---]/tm.exe và thực khi.
Sau khi được thực thi, file tm.exe trên sẽ làm những hành động sau:


- copy chính nó thành: C:\WINDOWS\system32\yahoo.exe
- tạo 1 khoá autorun trong registry: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Task Manager
HCU\Software\Microsoft\Windows\CurrentVersion\Run\IEXPLORE.EXE

- sửa title của IE lại thành: Internet IE
- mở khoá công cụ registry ??? (*1)
- mở khoá task manager ??? (*2)
- đổi trang của của IE lại thành: http://vnguide.[---]
- cho phép thay đổi homepage của IE (*3)
- gởi các tin nhắn ngẫu nhiên vào cửa sổ Yahoo sau:
+ clip vui [---]
+ cry on my shoulder
+ [link của website]
+ http://vietforex.[---] http://vnguide.[---]
+ Cafe sua ne vui lam ne [---]

Sleep trong 90000 mili-sec và send tiếp

- Project có tên là tm.au, được save tại:
C:\Documents and Settings\nt\Desktop\vitamin\tm.au3

MD5: 378C3E32BAC68F3780D516F2AD77FA10
 


(*1), (*2), (*3): Không biết chỗ này, tác giả của con SPIM này... cố ý hay... vô tình nhầm... :-|. Thay vì khoá lại, tác giả lại dùng giá trị mở (???)

Khuyến cáo: Không mở link lạ hoặc dùng [FireLion] FastHelper trong khi duyệt web...
[Up] [Print Copy]
  [Question]   Re: Cẩn thận "virus" Yahoo mới: VnGuide 30/06/2007 11:08:24 (+0700) | #2 | 67891
[Avatar]
 tmd
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Đúng là có cái tm.exe đó. Lỗi này là lỗi của bộ phận nào . IE, flash,MS windows,... KB mấy ? Khả năng cao là lỗi của IE ?.
Có phải chổ nghe nhạc, nhấn vào chổ play là nó làm 2 công việc(1 để tải clip nhạc flash, 2 là cái file đó) .
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Cẩn thận "virus" Yahoo mới: VnGuide 30/06/2007 12:34:28 (+0700) | #3 | 67918
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Nó lợi dụng lỗi IE cũ giống mấy con nhatquanglan:

[Up] [Print Copy]
  [Question]   Re: Cẩn thận "virus" Yahoo mới: VnGuide 30/06/2007 20:59:03 (+0700) | #4 | 67952
luckylac
Member
[Minus]    0    [Plus]
Joined: 19/08/2004 00:39:12
Messages: 30
Offline
[Profile] [PM]
nếu là như vậy thì nó có gì đặc biệt? nó xài khóa Run-- bưởi!
Chắc con này chơi cái trò.. tắt máy -> ghi vào reg, khởi động -> xóa đi...
có khi rút điện là khỏi autorun .. hehe....
Mấy bác làm cái bảng thật bự, khuyến cáo bà con xài firefox hay IE7 đi, cái bug của IE6 lộng hành quá....
[Up] [Print Copy]
  [Question]   Re: Cẩn thận "virus" Yahoo mới: VnGuide 30/06/2007 22:17:02 (+0700) | #5 | 67967
faheel
Member
[Minus]    0    [Plus]
Joined: 30/06/2007 10:43:30
Messages: 5
Offline
[Profile] [PM]
nếu là như vậy thì nó có gì đặc biệt?  

Đặc biệt là ở chỗ này:


; Ghi Khoa Registry
RegWrite("HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel", "Homepage", "REG_DWORD", "0")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableTaskMgr", "REG_DWORD", "0")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableRegistryTools", "REG_DWORD", "0")
 

smilie Chết cười với con này
[Up] [Print Copy]
  [Question]   Re: Cẩn thận "virus" Yahoo mới: VnGuide 30/06/2007 23:40:14 (+0700) | #6 | 67998
[Avatar]
 Ghost Ship
Member
[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Em dùng firefox kô xem video, nghe nhạc online được. kô biết tại sao, ngày xưa thử search cách khắc phục cái lỗi ấy nhưng kô khắc phục được, nâng cấp lên IE 7 thì lần trước kô chơi được mấy cái game gì ấy thế là lại quay về IE mrgreen: vừa rồi dính mấy chú trojan chắc cũng tại IE6 smilie(

LẦn này kô chơi mấy game đó nữa thì chuyển IE7 vậy. Nhưng nghe nói FX vẫn đỉnh nhất.
[Up] [Print Copy]
  [Question]   Re: Cẩn thận "virus" Yahoo mới: VnGuide 01/07/2007 00:32:26 (+0700) | #7 | 68013
[Avatar]
 tinhyeuphuongnam
Member
[Minus]    0    [Plus]
Joined: 26/06/2006 14:30:42
Messages: 91
Location: Việt Hacker
Offline
[Profile] [PM] [WWW]

faheel wrote:

Đặc biệt là ở chỗ này:


; Ghi Khoa Registry
RegWrite("HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel", "Homepage", "REG_DWORD", "0")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableTaskMgr", "REG_DWORD", "0")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableRegistryTools", "REG_DWORD", "0")
 

smilie Chết cười với con này 

Cái đó có gì đặc biệt đâu, hồi xưa test con minhnhut thử có roài.
[Up] [Print Copy]
  [Question]   Re: Cẩn thận "virus" Yahoo mới: VnGuide 01/07/2007 02:06:39 (+0700) | #8 | 68029
[Avatar]
 Ghost Ship
Member
[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

tinhyeuphuongnam wrote:
Cái đó có gì đặc biệt đâu, hồi xưa test con minhnhut thử có roài.  


Kô lạ ? vậy nó làm vậy để làm gì? smilie
[Up] [Print Copy]
  [Question]   Re: Cẩn thận "virus" Yahoo mới: VnGuide 01/07/2007 03:02:57 (+0700) | #9 | 68044
hack2prison
Member
[Minus]    0    [Plus]
Joined: 10/02/2004 10:43:43
Messages: 58
Offline
[Profile] [PM]
Uh, giá trị bằng 0 thì đâu có tác dụng gì, 3 dòng thừa. Chú này biên dịch lại mà chẳng hiểu tác dụng của nó là gì Script Kid Dies smilie
[Up] [Print Copy]
  [Question]   Cẩn thận "virus" Yahoo mới: VnGuide 01/07/2007 03:08:33 (+0700) | #10 | 68047
[Avatar]
 nlfb
Journalist
[Minus]    0    [Plus]
Joined: 09/07/2003 16:41:21
Messages: 1175
Location: HCM
Offline
[Profile] [PM] [Yahoo!]

Khuyến cáo: Không mở link lạ hoặc dùng [FireLion] FastHelper trong khi duyệt web... 


Sao vậy huynh?
[Up] [Print Copy]
  [Question]   Cẩn thận "virus" Yahoo mới: VnGuide 01/07/2007 04:54:54 (+0700) | #11 | 68072
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
@Ghost Ship:

Em dùng firefox kô xem video, nghe nhạc online được
 

Cài plugin vào.


Kô lạ ? vậy nó làm vậy để làm gì?
 

Lạ là mấy cái giá trị đó dùng để... mở regedit và task manager smilie). Chủ nhân của con này đúng là... hạng nặng :-|

@nolateforbegin:

Sao vậy huynh?
 

ah, tại vì nếu IE bị những lỗi có thể chạy 1 ứng dụng từ xa, [FireLion] FastHelper có thể ngăn chặn smilie
[Up] [Print Copy]
  [Question]   Cẩn thận "virus" Yahoo mới: VnGuide 01/07/2007 05:18:03 (+0700) | #12 | 68082
[Avatar]
 nlfb
Journalist
[Minus]    0    [Plus]
Joined: 09/07/2003 16:41:21
Messages: 1175
Location: HCM
Offline
[Profile] [PM] [Yahoo!]
smilie) vậy à, em trước giờ toàn dùng FF thôi, mới cài lại máy và FH là trình diệt virus duy nhất đang tồn tại smilie)
[Up] [Print Copy]
  [Question]   Cẩn thận "virus" Yahoo mới: VnGuide 01/07/2007 05:54:38 (+0700) | #13 | 68089
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Firefox hiện nay là khá an toàn, chưa thấy website lợi dụng lỗi cho phép remote execution 1 file từ xa. Nhưng Hoàng đang xem xét có nên add firefox vào chế độ protection hay ko smilie...
nolateforbegin sau khi uninstall và cài mới 5.3.0 có bị hiện tượng không đúng phiên bản và các lỗi thiếu RAM nữa không ?
[Up] [Print Copy]
  [Question]   Cẩn thận "virus" Yahoo mới: VnGuide 01/07/2007 06:01:19 (+0700) | #14 | 68093
[Avatar]
 nlfb
Journalist
[Minus]    0    [Plus]
Joined: 09/07/2003 16:41:21
Messages: 1175
Location: HCM
Offline
[Profile] [PM] [Yahoo!]
Hết rồi huynh, tuy nhiên đang tắt nó để đấu boom, hì, biết sao được, hiện tại ở máy nhà, chạy có vẻ được rồi.
[Up] [Print Copy]
  [Question]   Cẩn thận "virus" Yahoo mới: VnGuide 01/07/2007 06:27:14 (+0700) | #15 | 68103
9x9=81??
Elite Member
[Minus]    0    [Plus]
Joined: 26/06/2005 12:23:59
Messages: 92
Offline
[Profile] [PM]
Firefox chưa chắc đâu bác Hoàng ơi ! Bây giờ đa số máy ai cũng cài Yahoo nên chi cần đoạn exploit Yahoo Webcam một cái là xong.
Mà em cũng thấy lạ, đoạn exploit IE kia có lâu lắm rùi mà sao vẫn còn hoạt động nhỉ ?
[Up] [Print Copy]
  [Question]   Cẩn thận "virus" Yahoo mới: VnGuide 01/07/2007 06:54:32 (+0700) | #16 | 68110
[Avatar]
 nlfb
Journalist
[Minus]    0    [Plus]
Joined: 09/07/2003 16:41:21
Messages: 1175
Location: HCM
Offline
[Profile] [PM] [Yahoo!]
Hì, đa số dùng IE 6 để lướt web không mới chết chứ, FF nó update thường xuyên hơn, YM thì lên bản 402 không biết còn chạy được không?
[Up] [Print Copy]
  [Question]   Cẩn thận "virus" Yahoo mới: VnGuide 01/07/2007 10:41:36 (+0700) | #17 | 68149
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
@9x9=81??: [FireLion] FastHelper chặn được lỗi Webcam Exploit á. Xem lại trong các topic gần đây.
[Up] [Print Copy]
  [Question]   Re: Cẩn thận "virus" Yahoo mới: VnGuide 11/10/2007 08:49:13 (+0700) | #18 | 89970
[Avatar]
 meomeo_bebong
Locked
[Minus]    0    [Plus]
Joined: 27/06/2006 23:07:44
Messages: 700
Location: vô gia cư
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]
IE nhiều lỗi thế nhưng đau khổ 1 nỗi là bà con VN ta cứ gặp lỗi WIn là " Don't send " kể cả khi máy nối mạng hay k0 nối mạng . Bạn em cũng thế nhắc kiểu gì cũng k0 nghe , khổ smilie(
[Up] [Print Copy]
  [Question]   Re: Cẩn thận "virus" Yahoo mới: VnGuide 11/10/2007 21:36:38 (+0700) | #19 | 90047
Angel_A
Member
[Minus]    0    [Plus]
Joined: 04/12/2006 13:25:43
Messages: 91
Location: Dak Lak
Offline
[Profile] [PM] [WWW]

hack2prison wrote:
Uh, giá trị bằng 0 thì đâu có tác dụng gì, 3 dòng thừa. Chú này biên dịch lại mà chẳng hiểu tác dụng của nó là gì Script Kid Dies smilie  

còn một khả năng nữa là ông nào viết con này lúc tét để giá trị là 0 và quên sửa lại. hoặc là hắn đang dự định sẽ thay giá trị thành 1 vào những phiên bản sau. Cẩn thận chút xíu cho chắc smilie
www.ovo.vn
[Up] [Print Copy]
  [Question]   Re: Cẩn thận "virus" Yahoo mới: VnGuide 11/10/2007 21:39:45 (+0700) | #20 | 90048
[Avatar]
 Look2Me
Member
[Minus]    0    [Plus]
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
[Profile] [PM]

tmd wrote:
Đúng là có cái tm.exe đó. Lỗi này là lỗi của bộ phận nào . IE, flash,MS windows,... KB mấy ? Khả năng cao là lỗi của IE ?.
Có phải chổ nghe nhạc, nhấn vào chổ play là nó làm 2 công việc(1 để tải clip nhạc flash, 2 là cái file đó) .  

Chiếp chiếp!
Vitamin nghe quen quen mà chẳng nhớ ra là ai nữa smilie
Code:
(*1), (*2), (*3): Không biết chỗ này, tác giả của con SPIM này... cố ý hay... vô tình nhầm... :-|. Thay vì khoá lại, tác giả lại dùng giá trị mở (???
)
Có một đợt bọn nó lấy danh nghĩa, em cài mấy con virus này vào máy để khắc phục các sự cố của máy, để diệt con virus khác, em chỉ quảng cáo một tí (đọc source autoit là thấy comment vậy à) => Kết quả như vậy
[Up] [Print Copy]
  [Question]   Re: Cẩn thận "virus" Yahoo mới: VnGuide 12/10/2007 06:09:01 (+0700) | #21 | 90164
mrpinochio
Member
[Minus]    0    [Plus]
Joined: 13/04/2007 18:03:13
Messages: 9
Offline
[Profile] [PM]
Chắc là chú này đang trong quá trình học hỏi.
Như kiểu thầy lang ngày xưa, đau bụng uống nhân sâm....
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|