English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Nghịch keylog giờ gỡ virus ra ko dc ! F1 ! F1 !  XML
  [Question]   Nghịch keylog giờ gỡ virus ra ko dc ! F1 ! F1 ! 03/09/2007 23:53:09 (+0700) | #1 | 83087
9x9=81??
Elite Member
[Minus]    0    [Plus]
Joined: 26/06/2005 12:23:59
Messages: 92
Offline
[Profile] [PM]
Hôm qua rảnh đời sáng lên mạng down về một đám keylog. Đủ chủng loại cả, từ SC, Advandce Invisible cho đến thằng Powered Keylogger ( thằng này chưa gỡ được đây ), tất cả là trial cả

Ngồi thong thả cài thử rùi gỡ nhưng mà đến thằng Powered Keylogger thì gỡ không dc !

Uninstall theo hướng dẫn của nó, mọi thứ đều ngon cả, báo đã uninstall xong, đòi mình restart lại máy. Ùh thì restart, nó là driver-based nên chắc fải restart mới tháo hết đc.

Rốt cuộc restart lại vẫn còn nó ! Khỉ gió thế chứ ! Nhưng mà đểu ở chỗ :
- Dùng chương trình Setup của nó thì nó cho mình cài lại bình thường. Mà bình thướng nếu có chương trình keylog của nó chạy thì nó không cho mình cài, bắt mình phải gỡ con keylog đó đi rùi mới dc cài tiếp
- Nhấn secret code thì nó không hiện ra cửa sổ thông báo những cái gì đã ghi nữa ( view log ) giống như không còn nó nữa

Bực mình xài cu AVG, Norton cũng ko ra nó luôn ! ( đều mới update cả )
Các bác giúp em với !


----------------------------------------------------------------

Đây là quá trình fát hiện ra nó vẫn còn tồn tại của em. Các bác xem nghi ngờ của em có đúng ko

Đầu tiên nhìn vào Process List, dòm thấy bình thường nhưng có IEXPLORER.EXE mà em ko chạy IE, ko tạo COM với IE, kill nó đi chút xíu nó lại có lại ( ko hiểu nó đặt cái này tồn tại làm chi, ẩn luôn cho rồi ) -> có vấn đề rồi đây

Thư mục C:\WINDOWS\msk\ vẫn tồn tại nhưng ẩn mà lúc install em nhớ nó có hiện ra thư mục này. Độc chiêu ở chỗ trong thư mục này có file “*.*” ( sao đặt tên này dc , hay thiệt ! )

Test thử keylog bằng cách dùng filemon kết hợp với đoạn code autoit sau :

Code:
Run(“notepad”)
Sleep(1000)
Send(“{A 1000}”)


Kết quả : dòm vào Filemon thấy Explorer.exe và winlogon.exe ghi như điên như dại vào file C:\windows\winsys . Ngẫm tửong mấy file này bị nó inject rùi, vào trong DOS thay mấy file này bằng mấy file nguyên gốc cũng chẳng xi nhê.

Thú vị một cái là khi kill cu Winlogon.exe thì ngaylập tức hiên ra “màn hình xanh chết chóc”, báo cái file .sys nào đó ( chắc của cu keylog )

Chẳng biết đây có fải là một hình thức để cài virus vào máy “người vô tội” ko nhỉ smilie) . Bình thường nếu ko để ý thì cứ tưởng uninstall là hết rùi, chẳng còn cái gì cả. Ai dè … smilie(
Ko biết có fải cài lại win ko đây nữa smilie(
[Up] [Print Copy]
  [Question]   Re: Nghịch keylog giờ gỡ virus ra ko dc ! F1 ! F1 ! 04/09/2007 12:05:26 (+0700) | #2 | 83227
quanlypho
Member
[Minus]    0    [Plus]
Joined: 01/07/2006 21:19:20
Messages: 95
Offline
[Profile] [PM]
Uninstall theo hướng dẫn của nó, mọi thứ đều ngon cả, báo đã uninstall xong 

Windows Safe Mode ?
[Up] [Print Copy]
  [Question]   Re: Nghịch keylog giờ gỡ virus ra ko dc ! F1 ! F1 ! 04/09/2007 12:22:21 (+0700) | #3 | 83231
lanntm
Member
[Minus]    0    [Plus]
Joined: 01/08/2007 09:33:45
Messages: 40
Offline
[Profile] [PM]
Theo như nó nói thì chỉ có Outpost Firewall Pro 4.0.964.6926 (582) có thể detect ra được, nên bạn update norton .. cũng vậy. Thử ra DOS xóa cái thư mục đó đi thôi. winlogon là của hệ thống, kill nó đi là máy bị shutdown, win lậu có thể bị màn hình xanh, bình thường thôi mà.
[Up] [Print Copy]
  [Question]   Re: Nghịch keylog giờ gỡ virus ra ko dc ! F1 ! F1 ! 11/09/2007 10:12:46 (+0700) | #4 | 84468
Ma Rơm
Member
[Minus]    0    [Plus]
Joined: 18/08/2007 14:48:37
Messages: 16
Location: Ruộng Dưa
Offline
[Profile] [PM]
mấy cái món Filemon với Regmon hay phết, mình lại có thêm mấy món hay hay để chơi với malware roài smilie Sao bác kô dùng thêm Regmon để xem con đó nó ghi vào registry những gì ?

9x9=81?? wrote:
Kết quả : dòm vào Filemon thấy Explorer.exe và winlogon.exe ghi như điên như dại vào file C:\windows\winsys . Ngẫm tửong mấy file này bị nó inject rùi, vào trong DOS thay mấy file này bằng mấy file nguyên gốc cũng chẳng xi nhê.  

file C:\windows\winsys kô có đuôi à pác 9x9=81?? ? Sao bác kô kiểm tả MD5 của 2 cái file Explorer.exe và winlogon.exe xem chúng có bị inject kô ? Nếu nó inject bằng file .dll thì thay file kô có tác dụng.

Thú vị một cái là khi kill cu Winlogon.exe thì ngaylập tức hiên ra “màn hình xanh chết chóc”, báo cái file .sys nào đó ( chắc của cu keylog )  
Ngày xưa có lần mình kill một process gì đó trong nhóm system và máy shutdown luôn thế là từ đó kô dám động tới mấy file OS ấy nữa :lolsmilie kô biết trong mấy process: winlogon.exe, services.exe, csrss.exe, lsass.exe, smss.exe, svchost.exe những cái nào có thể kill mà kô làm máy tắt các bác nhỉ?

Bọn malware bây giờ hay dùng file .sys lắm. bác hãy search trong thư mục C:\Windows với ký tự dấu "." để hiện tất cả các file trong C:\Windows ra rồi xắp xếp chúng theo Date Created. xem những file nào được tạo ra vào thời điểm bác kích hoạt mấy con đó(nếu con này kô có chức năng thay đổi Date Created thì sẽ hiện ra đúng). Chú ý những file .dll. cut hết những file đó ra một chỗ khác rồi delete tạm chúng đi xem có khá hơn kô. Cận thận hơn thì search thông tin về chúng trên google xem chúng có phải của OS hay ứng dụng nào kô trước khi delete.

Dùng Hijackthis để quét rồi phân tích online xem có cái gì lạ được kich hoạt cùng với OS hay kô.

Kinh nghiệm của em chỉ có thế. Có thể kô diệt được triệt để nhưng làm cho malware ngừng hoạt động thì em thấy làm như vậy cũng khá hiệu quả. smilie
[Up] [Print Copy]
  [Question]   Re: Nghịch keylog giờ gỡ virus ra ko dc ! F1 ! F1 ! 23/09/2007 13:36:53 (+0700) | #5 | 86457
9x9=81??
Elite Member
[Minus]    0    [Plus]
Joined: 26/06/2005 12:23:59
Messages: 92
Offline
[Profile] [PM]
Phù sau vài tuần bận tối mắt tối mũi giờ mới chạm vào cái com để post reply mặc dù uninstall được nó lâu roài smilie)

Tình hình là như sau :
Khi uninstall thì lúc sắp kết thúc nó sẽ mở 1 trang web, trang web này chắc có code nào đó để con keylog này nhận diện để biết là tháo. Nếu ko mở trang web này thì nó vẫn còn. Khốn nạn nỗi là em dùng 1 fần mềm duyệt web dựa trên source của firefox chứ ko fải IE ( hay các fần mềm dựa vào IE ) nên con keylog đơ luôn.
Còn code để nhận diện của nó thì em pótay. Nhìn file html còn có hứng thú đọc, way sang mấy file javascript thấy có dung lượng > 100KB -> ko muốn đọc luôn. Nhưng mấy file javascipt này là lấy bên yahoo, bọn nó có mod ở giữa hay ko thì em ko biết.

@Ma rơm : Nghịch gì mà nghịch, trúng thứ dữ là hết gỡ ra lun smilie) Con này kiếm crack hay serial miết mà ko thấy ( bản 2.1 ) nên đành .....abcd.... smilie) để có bản đăng ký mà xài.

Lý do tớ ko dùng Regmon vì log nó dài wá, nhìn vô thấy oải smilie). Mà có tìm cũng chẳng tích sự gì, nó là dạng driver-based nên có lọ mọ trong registry cũng như không. Chẳng thu hoạch được gì đâu.

File winsys ko có chấm gì hết. File ko có đuôi là chuyện bình thường muh ???

Còn vụ check MD5 thì đúng ko nhớ ra. Bữa này check thì thấy ko đổi.

Kiểm tra bằng process explorer thì thấy các module mà file Explorer.exe dùng chẳng có cái nào giống như là của virus cả. Toàn mấy module của microsoft ( chưa check checksum )

Còn cái vụ winlogon đúng là nhầm lẫn smilie) . Tại nhớ hồi trước nhớ cái file này là cái logon UI của cu Windows, rốt cuộc đúng nhầm. Để xem,trong cái đám mà bồ đưa ra thì kill csrss.exe, lsass.exe, smss.exe, svchost.exe có cái nào tắt máy đâu nhỉ smilie. Bình thường khi kill xong thì giao diện win biến đổi sang xấu hơn hoặc nếu hiện ra bảng đếm ngược tắt máy thì chỉ việc vào Run gõ shutdown -a là xong. Cùng lắm thì hiện ra màn hình xanh chết chóc. smilie)

Bọn malware bây giờ hay dùng file .sys lắm 

Nếu ko nhầm thì đây là dạng file của driver thì fải ( ko nhớ rõ lắm ). Mục đích của việc dùng file sys là đảm bảo an toàn cho virus hơn như có thể chạy được ngay trong safe mode.....


Hijackthis cũng chẳng xi nhê gì đâu. Cái này fải do "human" mới xử lý được smilie).
Còn muốn nó ngừng hoạt động thì ko khó ( mặc dù chưa làm thử smilie) ). Đầu tiên dùng filemon để xem coi nó tạo file gì ( trong wá trình install ), wa OS khác del tất tần tật tất cả file mà lúc cài nó ghi -> xong smilie). Rất tốt, nhanh gọn, hiệu wả, mặc dù sau đó win có báo thiếu file tùm lum tá lả hay ko lại là chuyện khác smilie)
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|