banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Con Trojan này có khả năng cố định Date Created của chính nó  XML
  [Question]   Con Trojan này có khả năng cố định Date Created của chính nó 01/07/2007 04:44:29 (+0700) | #1 | 68068
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Đây là link em up lên cho bác Hoàng:
http://superupload.fire-lion.com/download.php?file=4ae294847ce46c78c11c2087645b5e60

Nó có khả năng làm cho file có tên regscan.exe luôn luôn có Date Created là 8/4/2004. Vì thế nên hôm qua thấy process này chạy em cứ tưởng là file của OS được kích hoạt để làm việc gì đó. chỉ khi dùng hijackthis scan rồi quét trên web em mới phát hiện nó là trojan smilie( em thấy process của nó từ hôm qua kô biết nó làm nhừng gì rồi smilie(

Lúc vừa phát hiện ra nó xong dù em tạo ra 1 file ở bất cứ chỗ nào trên HDD có tên regscan.exe, Zise:0 BK thì cái file được tạo ra đó luôn luôn có Date Created là 8/4/2004.(procress regscan đã được kill)

Bây giờ thì lại bình thường, các file như vậy mới được tạo ra lại có Date Created là ngay hôm nay.

Các bác thử phân tích hộ em xem nó làm những việc gì giúp em với để em còn biết đường mà khắc phục.

thanks các bác trước smilie)
[Up] [Print Copy]
  [Question]   Con Trojan này có khả năng cố định Date Created của chính nó 01/07/2007 05:12:05 (+0700) | #2 | 68079
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Con này cũng không có gì đáng lo lắm. Khi thực thi, nó execute Internet Explorer lên rồi inject vào process này. Tiếp theo, mở các port: 1029, 1030, 1035 -> 1041.

Tạo ra 3 file trong C:\Windows:
Code:
connet.exe
connet.DLL
connetKey.DLL


Trong đó, file connet.exe sẽ được chạy như 1 service
[Up] [Print Copy]
  [Question]   Re: Con Trojan này có khả năng cố định Date Created của chính nó 01/07/2007 05:36:58 (+0700) | #3 | 68086
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Em đã search cả 3 file này trong C:\Windows nhưng ko thấy file nào nhưu vậy cả bác Hoàng ạ :?smilie
connet.exe
connet.DLL
connetKey.DLL 


Khi quét bằng hijackthis em thấy cái file regscan.exe được kích hoạt bởi một key trong HKCU\..\Run

Khi thực thi, nó execute Internet Explorer lên rồi inject vào process này. Tiếp theo, mở các port: 1029, 1030, 1035 -> 1041.  


Đây là kết quả sau khi em gõ netstat -nao

Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING 1812
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 1812
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 828
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING 1812
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 1812
TCP 0.0.0.0:38210 0.0.0.0:0 LISTENING 2024
TCP 127.0.0.1:1028 0.0.0.0:0 LISTENING 1368
TCP 192.168.1.33:139 0.0.0.0:0 LISTENING 4
TCP 192.168.1.33:2062 192.168.1.19:139 TIME_WAIT 0
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 616
UDP 0.0.0.0:1035 *:* 940
UDP 0.0.0.0:1044 *:* 940
UDP 0.0.0.0:1195 *:* 940
UDP 0.0.0.0:1382 *:* 940
UDP 0.0.0.0:1422 *:* 940
UDP 0.0.0.0:3456 *:* 1812
UDP 0.0.0.0:4500 *:* 616
UDP 127.0.0.1:123 *:* 892
UDP 127.0.0.1:1900 *:* 1076
UDP 127.0.0.1:2054 *:* 3736
UDP 192.168.1.33:123 *:* 892
UDP 192.168.1.33:137 *:* 4
UDP 192.168.1.33:138 *:* 4
UDP 192.168.1.33:1900 *:* 1076 


Hình như chỉ có 1035 là đang mở, Đóng nó lại như thế nào bác Hoang ơi!
mà sao lại có cổng tận 38210 thế bác Hoàng? mấy cái *:* có nghĩa là gì thế bác.

Nếu cái process IEXPLORE.EXE bị inject rồi thì phải làm thế nào? có cần copy file IEXPLORE.EXE ở máy khác về thay thế kô bác?
[Up] [Print Copy]
  [Question]   Con Trojan này có khả năng cố định Date Created của chính nó 01/07/2007 05:59:45 (+0700) | #4 | 68092
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Xem thêm về netstat:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/netstat.mspx?mfr=true

Còn về process iexplorer.exe, trojan chỉ inject vào vùng nhớ của process chứ không phải infect vào file, nên không cần chép lại. Kill đi là được.
[Up] [Print Copy]
  [Question]   Re: Con Trojan này có khả năng cố định Date Created của chính nó 01/07/2007 06:33:44 (+0700) | #5 | 68105
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Hình như trong đó kô có dạy đóng port như thế nào smilie bác chỉ cho cháu một chút về vấn đề này đựơc kô smilie)

Cháu sợ hiểu được đống tếng Anh đó viết gì thì thằng nào đó đã chui vào máy cháu phá tanh bành hết rồi smilie cái thằng 192.168.1.19 kia chẳng hạn, sao nó lại nối với máy cháu làm gì nhỉ cháu có share cái gì đâu smilie(
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|