English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Một ví dụ về phân tích của BKAV.  XML
  [Question]   Một ví dụ về phân tích của BKAV. 07/07/2007 00:22:59 (+0700) | #1 | 69345
[Avatar]
 tmd
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Trích nguyên văn không thiếu chử nào.

Virus, Spyware, Adware
Danh sách malware cập nhật ngày 05/07/2007
UkuranB, PMonTE, WareZobXF, RontokbroGE, LogOneN.PE, Ukuran...

Malware cập nhật mới nhất:

* Tên malware: W32.Ukuran.Worm
* Loại: Worm
* Ngày phát hiện mẫu: 05/07/2007
* Kích thước: 215Kb
* Mức độ phá hoại: Cao (Cực kỳ cao)

Nguy cơ:

* Ăn cắp thông tin cá nhân.
* Làm giảm mức độ an ninh của hệ thống.
* Phá hủy dữ liệu

Hiện tượng:

* Thay đổi các file .doc, .xls... và đổi tên các file này thành file .exe.
* Thay đổi registry.

Cách thức lây nhiễm:

* Tự động lây nhiễm vào USB: Lây vào tất cả các file .doc, .xls, ... trong ổ đĩa USB
* Phát tán qua các trang web độc hại.

Cách phòng tránh:

* Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa.
* Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại.

Mô tả kỹ thuật:

* Copy chính nó thành file %System%\kspoold.exe
* Tạo service có tên là kspooldaemon
* Ghi các key sau:
HKLM\...\ControlSet001\Services\kspooldaemon\Type
HKLM\...\ControlSet001\Services\kspooldaemon\Start
HKLM\...\ControlSet001\Services\kspooldaemon\ErrorControl
HKLM\...\ControlSet001\Services\kspooldaemon\ImagePath
HKLM\...\ControlSet001\Services\kspooldaemon\DisplayName
HKLM\...\ControlSet001\Services\kspooldaemon\ObjectName
HKLM\...\ControlSet001\Services\kspooldaemon\Security\Security
HKLM\...\ControlSet001\Enum\Root\LEGACY_KSPOOLDAEMON\NextInstance
HKLM\...\ControlSet001\Enum\Root\...\Service
HKLM\...\ControlSet001\Enum\Root\...\Legacy
HKLM\...\ControlSet001\Enum\Root\...\ConfigFlags
HKLM\...\ControlSet001\Enum\Root\...\Class
HKLM\...\ControlSet001\Enum\Root\...\ClassGUID
HKLM\...\ControlSet001\Enum\Root\...\DeviceDesc
HKLM\...\ControlSet001\Enum\Root\...\Control\*NewlyCreated*
HKLM\...\ControlSet001\Enum\Root\...\Control\ActiveService
* Tìm và lây vào các file .doc, .xls, ... trong toàn bộ máy
* Tìm các ổ đĩa mềm, ổ đĩa USB và lây file virus vào các file .doc, .xls, ... trong các ổ đĩa ấy

Chuyên viên phân tích: Tạ Quang Trung 


Cái thứ này từng xuất hiện trong forum. Nếu nó đơn giản như vậy về biểu hiện. Sẽ có vô số người khóc bù lu bù loa khi dính phải. Trình diệt nào cũng xóa sạch các file .exe có chưa thông tin .doc. và tương tự.
BKAV phải có lương tâm nghề nghiệp chứ. Con này đâu có vui tính như mấy ổng phân tích vậy.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Một ví dụ về phân tích của BKAV. 07/07/2007 00:57:36 (+0700) | #2 | 69355
TQN
Elite Member
[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]

HKLM\...\ControlSet001\Services\kspooldaemon\Type
HKLM\...\ControlSet001\Services\kspooldaemon\Start
HKLM\...\ControlSet001\Services\kspooldaemon\ErrorControl
HKLM\...\ControlSet001\Services\kspooldaemon\ImagePath
HKLM\...\ControlSet001\Services\kspooldaemon\DisplayName
HKLM\...\ControlSet001\Services\kspooldaemon\ObjectName
HKLM\...\ControlSet001\Services\kspooldaemon\Security\Security
HKLM\...\ControlSet001\Enum\Root\LEGACY_KSPOOLDAEMON\NextInstance
HKLM\...\ControlSet001\Enum\Root\...\Service
HKLM\...\ControlSet001\Enum\Root\...\Legacy
HKLM\...\ControlSet001\Enum\Root\...\ConfigFlags
HKLM\...\ControlSet001\Enum\Root\...\Class
HKLM\...\ControlSet001\Enum\Root\...\ClassGUID
HKLM\...\ControlSet001\Enum\Root\...\DeviceDesc
HKLM\...\ControlSet001\Enum\Root\...\Control\*NewlyCreated*
HKLM\...\ControlSet001\Enum\Root\...\Control\ActiveService
 

Lại snap OS nữa, thằng coder virus nào điên mà đi ghi vào các registry này. Cái này do OS làm khi một service được đăng ký (code, manual).
Con này tui phân tích rồi, thấy chẵng có quái gì, delete luôn rồi.
[Up] [Print Copy]
  [Question]   Re: Một ví dụ về phân tích của BKAV. 07/07/2007 01:02:25 (+0700) | #3 | 69357
[Avatar]
 tmd
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Chủ yếu BKAV không đưa ra các thiệt hại có thể khi gặp loại này. File .doc bị mã miết thành một file .exe. Gặp trình diệt là bị delete ngay. Mất luôn .doc. BKAV không đưa ra một ý kiến gì về chuyện delete. Một máy có vài chục đến vài trăm, có khi là vài ngàn cái file .doc. Người dùng có khả năng điên.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Một ví dụ về phân tích của BKAV. 07/07/2007 01:05:34 (+0700) | #4 | 69360
TQN
Elite Member
[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Chắc là lười, hoặc ... Tui nhớ từ file .exe sang file .doc cũng đơn giản thôi. Hồi đó tính viết 1 tool console nho nhỏ để recover nhưng không thấy ai bị dính nhiều nên thôi.
[Up] [Print Copy]
  [Question]   Một ví dụ về phân tích của BKAV. 07/07/2007 01:16:03 (+0700) | #5 | 69363
danvac
Member
[Minus]    0    [Plus]
Joined: 15/03/2007 18:53:59
Messages: 71
Offline
[Profile] [PM] [MSN]
phân tích kiểu này em cũng phân tích được sao mà đơn giản thế nhỉ còn nhiều cái để nói mà
[Up] [Print Copy]
  [Question]   Re: Một ví dụ về phân tích của BKAV. 07/07/2007 02:11:09 (+0700) | #6 | 69376
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

tmd wrote:
Chủ yếu BKAV không đưa ra các thiệt hại có thể khi gặp loại này. File .doc bị mã miết thành một file .exe. Gặp trình diệt là bị delete ngay. Mất luôn .doc. BKAV không đưa ra một ý kiến gì về chuyện delete. Một máy có vài chục đến vài trăm, có khi là vài ngàn cái file .doc. Người dùng có khả năng điên. 

Hoàng đâu thấy chỗ nào trong bài phân tích là delete file .exe đâu tmd ?
http://www.bkav.com.vn/thong_tin_virus/?thread=3&cid=1022

Còn con này thì Ghost Ship đã gặp, bài post cũ tại đây:
/hvaonline/posts/list/20/11507.html

Code:
HKLM\...\ControlSet001\Enum\Root\LEGACY_KSPOOLDAEMON\NextInstance
HKLM\...\ControlSet001\Enum\Root\...\Service
HKLM\...\ControlSet001\Enum\Root\...\Legacy
HKLM\...\ControlSet001\Enum\Root\...\ConfigFlags
HKLM\...\ControlSet001\Enum\Root\...\Class
HKLM\...\ControlSet001\Enum\Root\...\ClassGUID
HKLM\...\ControlSet001\Enum\Root\...\DeviceDesc
HKLM\...\ControlSet001\Enum\Root\...\Control\*NewlyCreated*
HKLM\...\ControlSet001\Enum\Root\...\Control\ActiveService

Mấy cái key này thì đúng là hơi dư, chưa kể tác giả sử dụng ControlSet001 theo Hoàng là chưa chính xác lắm smilie. Đáng lẽ phải là CurrentControlSet mới đúng vì chưa chắc lúc nào cũng là ControlSet001
[Up] [Print Copy]
  [Question]   Re: Một ví dụ về phân tích của BKAV. 07/07/2007 03:47:57 (+0700) | #7 | 69399
[Avatar]
 tmd
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Một số phần mềm đã thử qua, đều delete cái file .exe chứa nội dung của .doc Mấy ông phân tích của bkav không nhắc tới chuyện này. Không nhắc tới chuyện khôi phục lại .doc, BKAV còn kill luôn .exe như bà con khác . Ý là ở chổ này.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Một ví dụ về phân tích của BKAV. 07/07/2007 07:46:37 (+0700) | #8 | 69482
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
BKAV còn kill luôn .exe như bà con khác
===
Nhiều khi làm vậy cho... tiện smilie). Hoàng nhớ có test với Active Virus Shield và BitDefender thì phải. BitDefender cũng delete nốt (hình như AVG cũng vậy)
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|