| [Question] pagefile.pif, LSASS.EXE, SMSS.EXE |
14/12/2007 00:17:56 (+0700) | #1 | 103713 |
![[Avatar]](/hvaonline/images/avatar/291409c55e2d4893c4d679e0884a994e.jpg "[Avatar]")
|
Ghost Ship
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
Dowload pagefile.pif và LSASS.EXE http://superupload.fire-lion.com/download.php?file=de5213dd80079d4d284aeb3122372102
Kô biết FH của pác Hoàng update con này chưa.
Hôm qua có thằng gà mang USB đến khoe ảnh, mình kô có nhà, mấy tên kia bảo:" quét virus đi!", thằng đó bảo:"Làm gì có virus!", thế là chúng nó kô quét ! Mình về mở task manager thấy có 2 cái LSASS.EXE và SMSS.EXE đang đứng cùng với ông Explore.exe  . Bực mình với mấy thằng gà nhưng cũng sau đó thấy con này hay hay nên cũng nguôi nguôi đi tí  Nhờ nó mà mình thu thêm ít điểm kinh nghiệm và có thêm một skill mới
Các biểu hiện của nó:
- Chưa thấy có biểu hiện gì lạ, nếu kô có thói quen kiểm tra process thì chắc là còn chưa biết có sự ghé thăm của nó
- À mà hinh như nó làm nghẽn mạng. tự nhiên thấy thằng chủ mạng gọi bảo: "máy anh làm gì mà cứ cắm dây mạng anh vào là ping báo tới 2000ms mà rút dây anh ra thì mạng "time out" luôn  ". Mình liền ping thử thì thấy vẫn 38ms đều đều --> chẳng lẽ con này làm được như vậy? (đó là lúc mình chưa kiểm tra process, máy lúc đó thằng khác đang dùng.) Lên chỗ thăng chủ mạng xem thử. Nhưng lúc này thì mạng lại ngon rồi kô thấy 2000ms nữa nhưng đúng là rút dây mình ra thì mạng time out thật . nó bảo:"kô biết đâu là dây modem đâu là dây của anh nữa " Một lúc sau thì hết cái hiện tượng ấy. có lẽ con kia đã dùng xong mạng (kô biết nó dụng mạng làm gì ) và buông tha bà kon Lúc sau về dùng máy và kiẻm tra process mới thấy nó. có thằng bảo :"chắc là từ USB thằng X rồi" .kô đỡ được mấy ông, chẳng nhẽ rời máy là out admin luôn.
Bắt đầu chiến với nó:
- Vì nó hiện lù lù 2 cái Process kia nên dùng Procexp thấy ngay con nó cùng nằm trong C:\Windows\System32\Com. Nhưng vào đến nơi thì kô thấy đâu.
- Hóa ra nó đã đóng ẩn system của mình (mình toàn để mở) đóng xong nó làm mất luôn cái dòng:"Hide protected operating system file (Recommanded)" trong Folder Option. (Mình chưa biết key nào làm việc này)
- Dùng atrrib để -s -h 2 cái của nợ ấy nhưng nó cũng kô hiện ra --> chắc là nó liên tục kiểm tra thuọc tính s h của 2 cái đó, nếu thấy bị - thfi nó lại + lại luôn. Dùng Filemon thì thấy đúng là cái LSASS.EXE liên tục chăm sóc chính nó và thằng SMSS.EXE thật.
- Dùng Procexp kill bon nó nhưng kô được, kill 1 thì nó hiện thêm 2 3 chính nó. mà Procexp ko có (hay có mà mình chưa biết nhỉ?) chức năng kill liền nhiều Process nên bó tay với lại này.
- Quyết định rút Kiếm băng (IceSword) ra xài lần này thì máy chết với ông Hix nhưng cứ click mãi mà chả thấy kiếm băng hiện ra --> kinh thật nó khóa cả kiếm băng của mình . Thử đổi tên kiếm băng xem sao? --> à đã hiện ra! nhưng đáng tiếc chỉ trụ được chưa đầy 3s thì lại biến mất hix mày làm tao sợ rồi đấy, sợ pha lẫn cảm hứng dâng trào he he.
-Sau đó thử dùng taskkill nhưng cũng kô được. Thôi bó tay chuyển hướng vậy, tí nữa ông ra dos ông xóa thì mày chỉ có khóc he he.
- Thử kiểm tra Auturun ở các ỏ xem sao --> chà, ổ nào cũng có, thậm chí ở ổ C nó còn hiện lù lù ra chứ ko thèm +s +h (kô nhớ là nó hiện như vạy từ đầu hay là mình attrib nó từ lúc nào.) --> xem tiếp mày kick hoạt thằng nào nào --> Hix nhưng mà kô Open được nó. notepad hiện ra trắng xóa và kèm theo cái bảng báo là "access is denied" nhưng kô giống của windows. Hic ác thật.
- Định dùng hijackthis và Autoruns đẻ xem nó dùng key nào để kich hoạt cugnf máy nhưng kô thấy gì sau khi diệt được nó mới thấy được bằng Autoruns.
- Định vào safe mode nhưng kô hiểu nó làm kiểu gì mà kô vào nổi. chọn safe mode rồi nhưng chạy một loạt dòng xong là máy bị restart
- Đành vào mạng tìm thông tin về mày vậy, nhưng 2 cái process kia trùng tên với 2 process của OS nên sẽ khó đây. à kô sao paste cả cái đường dẫn vào google là ok . Nhưng ôi thôi một cái gạch chéo đỏ đã hiện ra từ lúc nào chỗ khay đồng hồ, thằng chủ mạng nó đã rút dây mạng của từ lúc nào mình rồi hic 11:30 PM rồi phone lên mịa nó lại tế cho. Hic vậy là mình đã bị kô lập với thế giới thôi kố nốt vài skill nữa, kô được thì để mai vậy 
- Hôm trước về quê kiếm được cái đĩa cứu hộ hay phết. trong nó có cái win từ đĩa hay phết giống cái ngày xưa pác Hoàng bảo( tên gì quên bó nó roài). nhưng mà nó kô chỉng được registry đâu pác Hoàng à. cũng và được registry nhưng mà là registry của nó, có mỗi tí tẹo chứ kô phải registry của win trong HDD. hay là phải vào kiểu gì nhỉ?
- Với cái win trên đĩa CD này thì mình đã vào và thịt ngon cả lũ kia (liệt kê tất cả các file trong C:\Windows rồi xếp chúng theo thứ tự date creat --> cut hết những thằng mới được tạo ra trong trong ngày hôm nay ra một cái folder đẻ up lên cho pác Hoàng và bà kon nghiên cú chơi ) Hóa ra cái file mà autorun.inf của nó kích hoạt là file pagefile.pif. Thôi bây giờ restart là ok
- Nhưng kô phải vậy. vào đến nơi vẫn thấy 2 thằng đó lù lù trong task manger hic vậy là nó vẫn còn một file để kích hoạt lúc vào win ở đâu đó. đúng là nó đã hiện ra như thế thì nó cũng chả ngu mà dùng chính cái file đó để kích hoạt lúc vào win.
Vậy làm sao bây giờ đây. à còn một skill nữa, mình biết từ hồi mới vào đọc HVA nhưng chưa có cơ hội thử. có dùng vài lần nhưng kô phải để diệt virus :d có lần còn thấy có người bảo nó kô hiệu quả, nhưng lần này thì nó lại hiệu quả có lẽ thằng tác giả con này chưa nghĩ ra skill này của mình, nó mà đọc được bài này thì Ver sau chắc là kô dùng được mà kô biết nó có biết tiếng việt ko cái autorun chứ loàng ngoàng chắc nó lại là Tàu roài. đố ai biết đó là chiêu gì? :d Nếu là bạn thì bạn sẽ xử lý tiếp thế nào? kô chơi dùng các AV để quét nhá. KAV cũng phát hiện ra nhưng nó vẫn được kích hoạt ngay cả khi KAV đang chạy đấy và từ lần khởi động sau thì kô thấy KAV ở khay đồng hồ nữa làm sao để biết nó kích hoạt khi vào win như thế nào đây? xin mời các chuyên gia khoái quai tay
P/S: hơi cao hứng nên iem dùng hơi nhiều smile. nếu các pác thấy kô được thì nhắc để em xóa đi chứ đừng warn iem thêm nhát nữa nhá sao của iêm max roài. Hay các pác cho iêm nợ 3 tháng nữa nhỉ ? |
|
|
 |
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
14/12/2007 06:32:15 (+0700) | #2 | 103762 |
quanghabk
Member
|
|
0 |
|
|
Joined: 14/10/2005 10:12:11
Messages: 24
Offline
|
|
Quai rồi , bạn ko diệt được theo kiểu thường vì con này con có module lây file. Kĩ thuật lây thì cũng bình thường thôi, nó nhét file bị lây vào trong file virus gốc(từ byte 0x19008, byte 0x19000 là để kích thước file cũ), nhưng phải cái nó mã hóa từ byte 545 đến byte 102389 trong file gốc(cứ cách 23 byte nó lại not 1 fát) nên khôi phục hơi khó 1 chút. Bác nào thích viết tool diệt thì viết theo thông tin ấy  |
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
14/12/2007 08:02:54 (+0700) | #3 | 103780 |
|
Ghost Ship
Member
|
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
quanghabk wrote:
Quai rồi , bạn ko diệt được theo kiểu thường vì con này con có module lây file. Kĩ thuật lây thì cũng bình thường thôi, nó nhét file bị lây vào trong file virus gốc(từ byte 0x19008, byte 0x19000 là để kích thước file cũ), nhưng phải cái nó mã hóa từ byte 545 đến byte 102389 trong file gốc(cứ cách 23 byte nó lại not 1 fát) nên khôi phục hơi khó 1 chút. Bác nào thích viết tool diệt thì viết theo thông tin ấy
Con này con có module lây file thì liên quan gì đến việc kô diệt được nó theo kiểu thường nhỉ? mà kiểu thường là kiểu thế nào vậy bạn?
Kô biết những file như thế nào thì bị nó ăn nhỉ? Diệt xong nó tui vẫn open mấy cái IceSword.exe(728kb), HijackThis.exe(213), autoruns.exe(344kb), procexp.exe(3,539kb) bình thường mà có thấy nó chạy lại đâu. mà sau khi diệt xong KAV chạy có báo gì đâu (lúc nó đang chạy KVA báo có thằng LSASS.EXE nhưng kô diệt được.)
Lúc trước kô diệt được nó là tại nó thủ kinh quá kô, thể kill được mấy cái Process của nó và kô thể nhìn ra cách kích hoạt của nó khi vào win --> kô loại được cái mần kích hoạt lúc vào win thì kô thể vô hiệu được nó. đơn giản vậy thôi.
|
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
14/12/2007 14:16:21 (+0700) | #4 | 103862 |
maxobonmat
Member
|
|
0 |
|
|
Joined: 30/06/2006 17:31:13
Messages: 1
Offline
|
|
| Tớ cũng mới dính nó từ chiều nay,dùng anti chán chê mà chẳng con nào nó làm bay đi con pagefile.pif,chán quá nên đành bỏ hirent's boot vào rồi dùng VK(do máy tớ để ntfs) để del sạch nó ở các partion cùng với LASS.EXE;SMSS.EXE ở folder trên đi,thoạt đầu tớ thấy vẫn còn ổn,chạy một lúc thì đâu lại vào đấy(không biết có phải do lại truy cập mạng lại hay không) bồ có cách nào hay xin chỉ giúp tớ với |
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
14/12/2007 14:43:39 (+0700) | #5 | 103865 |
|
Ghost Ship
Member
|
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
Con này tự kích hoạt khi vào win bằng cách để một file ~.exe (100kb) trong startup.
Cách diệt:
1.1: Vào DOS del cái file ~.exe, autorun.inf và các file pagefile.pif trong các ổ ròi khởi động lại máy là ok.
1.2: Vào tới win rồi thì tìm tất cả các file được tạo ra trong ngày trong C:\WINDOWS rồi del hết hoặc dùng KAV mới update quét để dọn nốt mấy file của nó trong. Nghe nói nó còn lây cả file nhưng máy của mình kô thấy. chắc là do mình diệt nó hơi sớm nên nó chưa kip phá
2. Nếu kô muốn vào DOS thì dùng Local Security Policy của Window để khóa cái file pagefile.pif rồi restart lại máy --> tìm đến các ổ xóa autorun.inf, pagefile.pif, và startup xóa ~.exe. --> quay lại bước 1.2
Đơn giản thế thôi . chán, chả có ai chơi trò này cùng mình thiệt là mất hứng.
Cách dùng Local Security Policy để vô hiệu và diệt con này:
1. Lấy mẫu virus:
1.1: Start --> Run
1.2: Gõ vào Run đoạn lệnh sau: attrib -s -h C:\pagefile.pif (nếu máy bạn Có ổ C )
1.3: Enter
1.4: Thử vào ổ C xem có cái file pagefile.pif hiện ra kô? nếu kô có thì làm lại ở ổ khác hoặc down luôn cái file pagefile.pif ở bài đầu tiên của topic này
2. dùng Local Security Policy để vô hiệu sự hoạt động cua nó: Muốn hiểu rõ hơn thì vào đọc: /hvaonline/posts/list/5867.html
2.1: vào Local Security Policy: Start -->Control Panel --> Administrative Tools --> Local Security Policy.
2.2: Nếu đây là lần đầu tiên bạn thao tác trên policy này thì bạn cần khởi tạo nó bằng cách: tìm đến mục Software Restriction Policies, chọn menu Action --> New Software Restriction Policies (hoặc Create New Policies).
2.2: Thiết lập Security Level cho các malwares đã được xác định:
- Chọn vào mục Additional Rules của Software Restriction Policies, chọn menu Action --> New Hash Rule. Một dialog sẽ hiện lên.
- Tiếp tục nhấn vào Browse và tìm đến ổ C rồi chọn file pagefile.pif đã được làm hiện ra ở bước 1
- Tiếp tục chọn Security Level = Disallowed để vô hiệu hoá khả năng thực thi của malware. (nếu thấy nó là Disallowed rồi thì kô cần chọn lại nữa )
- Nhấn OK.
- Restart lại máy. (Xong) |
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
14/12/2007 14:51:47 (+0700) | #6 | 103866 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
con này có gì đâu mà GS la oai oái vậy ?
Dùng Process Explorer Kill tree là "đi" cả 2 process mà ?
Con này hơi mới nên ít AVers nhận diện được.
Đầu tiên, trojan tạo các file sau:
Code:
C:\Windows\System32\Com\LSASS.EXE
C:\Windows\System32\Com\netcfg.000
C:\Windows\System32\Com\netcfg.dll
C:\Windows\System32\Com\SMSS.EXE
C:\AUTORUN.INF
C:\WINDOWS\system32\cacls.exe
Vô hiệu hóa Safe Mode bằng cách xóa 2 keys:
Code:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
Xóa các ứng dụng được thực thi cùng Windows. Tắt chức năng hiện file ẩn.
Và cuối cùng là tấn công DoS vào baidu.com bằng lệnh ping. |
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
14/12/2007 15:14:59 (+0700) | #7 | 103870 |
|
Ghost Ship
Member
|
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
14/12/2007 15:32:37 (+0700) | #8 | 103873 |
![[Avatar]](/hvaonline/images/avatar/6d8fd617dbf3e2c1e12be59585cdb1f9.jpg "[Avatar]")
|
tmd
Member
|
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
| AVG,Avira, đã udpate con này rồi, tiếp theo hy vọng bit defender và mcafee cập nhật con này luôn. |
|
| 3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
14/12/2007 15:49:40 (+0700) | #9 | 103875 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Task Manager không kill được nhưng Process Explorer kill được. Con trojan này xoá giá trị SuperHidden và đổi
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\SuperHidden\Type thành "radio" (thay cho giá trị cũ là "checkbox")
KAV update rồi, tên là Virus.Win32.Xorer.
Ngoài ra, không thấy file ~.exe |
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
14/12/2007 16:39:39 (+0700) | #10 | 103881 |
|
Ghost Ship
Member
|
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
Task Manager không kill được nhưng Process Explorer kill được
À Process Explorer chính là cái Procexp Hôm qua iêm toàn kill chứ kô chọn kill tree thôi để làn sau vậy
Ngoài ra, không thấy file ~.exe
Vậy theo kết quả phân tích của pác thì con này tự kích hoạt khi vào win bằng cách nào? |
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
15/12/2007 06:42:36 (+0700) | #11 | 103980 |
DeathSon
Member
|
|
0 |
|
|
Joined: 08/09/2006 02:50:40
Messages: 7
Location: Địa ngục
Offline
|
|
Bon chen chân ướt, chân ráo vô coi! Xong giật mình mở cái Task Manager lên thì thấy mình bị dính mà không biết dính lúc nào nữa  . Bây giờ thì làm seo diệt nó đây! |
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
15/12/2007 07:14:28 (+0700) | #12 | 103993 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Đã update con này trong Database 12/14/2007 05:15 PM. Bạn down http://fasthelper.fire-lion.com/ về rồi cập nhật dữ liệu mới là được
Còn bạn DeathSon, nếu không biết rõ thì đừng down về thực thi, hoặc thử nghiệm trong máy ảo thôi |
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
15/12/2007 07:24:40 (+0700) | #13 | 103994 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
15/12/2007 08:39:02 (+0700) | #14 | 104007 |
|
Ghost Ship
Member
|
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
15/12/2007 12:31:36 (+0700) | #15 | 104037 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Nếu kill không được thì nên dùng ProcExp để Suspend 1 trong 2, rồi suspend nốt thằng kia, sau đó kill cả hai, thằng nào trước cũng được.
Coder virus thường chỉ code để kiểm tra process anh em còn run hay đã thoát, mà không kiểm tra trạng thái Suspend. Process bị suspend thì process status vẫn còn là Run. |
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
18/12/2007 01:40:36 (+0700) | #16 | 104450 |
born2die
Member
|
|
0 |
|
|
Joined: 17/12/2007 11:49:02
Messages: 16
Offline
|
|
Tưởng con này lây file mà, sao các bác diệt như worm vậy???
|
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
18/12/2007 02:07:06 (+0700) | #17 | 104454 |
|
tmd
Member
|
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
| Con này là họ worm, đâu phải họ virus. |
|
| 3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
18/12/2007 02:26:25 (+0700) | #18 | 104456 |
|
Ghost Ship
Member
|
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
born2die wrote:
Tưởng con này lây file mà, sao các bác diệt như worm vậy???
Dù nó có lây file nhưng nó vẫn kô phải là giống virus thuần chủng ngày xưa. lây file chỉ là một chức năng của nó thừa hưởng từ virus ngày xưa còn cách kích hoạt và lây nhiễm thì nó thì nó dùng kiểu của worm.
Phân loại thì dựa vào kiểu phá hoại còn diệt thì dựa vào cách lây nhiễm, tự kích hoạt.
Diệt như ở trên chỉ là vô hiệu phần hoạt động của nó còn phần mầm mống (những file đã bị nó ăn) thì phải dùng AV đã update để quét. |
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
18/12/2007 03:44:24 (+0700) | #19 | 104463 |
quanghabk
Member
|
|
0 |
|
|
Joined: 14/10/2005 10:12:11
Messages: 24
Offline
|
|
tmd wrote:
Con này là họ worm, đâu phải họ virus.
Bác nào bảo không phải là virus lây file thì xem thử cái file này xem nhé:
http://superupload.fire-lion.com/download.php?file=255a5c52abaa3030cdf3e4b8f4e945cc
nó là file WinHex.exe bị lây đó.Các bác so sánh xem đoạn đầu của nó có khác gì file LSASS.EXE không, hoặc chạy thẳng xem nó có sinh ra mấy file SMSS.exe,pagefile.pif ko.Còn ai biết diassembly thì thử mở file này,xref 1 hàm fopen bất kì xem
@GS: bạn ko diệt được theo kiểu worm bình thường vì khi chạy những file nhiễm thì nó lại sinh ra như cũ thôi |
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
18/12/2007 04:23:34 (+0700) | #20 | 104466 |
|
Ghost Ship
Member
|
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
quanghabk wrote:
@GS: bạn ko diệt được theo kiểu worm bình thường vì khi chạy những file nhiễm thì nó lại sinh ra như cũ thôi
kô đúng! lúc trước tui chưa diệt được nó là vì tui chưa nhìn ra file ~.exe của nó trong startup. Sau khi dùng Local Security Policy để kô cho nó khởi động cùng máy tôi đã thấy cái file ~.exe bằng tool autoruns và tui xóa nốt cái file này đi thì từ lân khởi động sau đó đã kô thấy nó quay lại nữa.
Tôi tìm thông tin về nó thì cũng thấy nhiều chỗ nói nó lây file nhưng ở máy tôi thì tôi chưa thấy, bằng chứng là những file .exe tôi dùng khi nó chưa bị diệt có dung lượng kô hề thay đổi, Hơn nữa KAV đã được tôi update và đã phát hiện ra con này nhưng kô báo có file nào bị nhiễm.
|
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
18/12/2007 04:46:21 (+0700) | #21 | 104470 |
quanghabk
Member
|
|
0 |
|
|
Joined: 14/10/2005 10:12:11
Messages: 24
Offline
|
|
| Bạn chắc chắn nó ko lây file trên máy bạn à ,Mình chưa đọc kĩ,nhưng ko phải bạ file nào nó cũng lây đâu.Bạn chỉ cần căn cứ các file khi quét xong thì không thay đổi kích thước là khẳng định hết à.Giả sử KAV chưa quét được hết thì sao. |
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
18/12/2007 05:42:18 (+0700) | #22 | 104477 |
|
Ghost Ship
Member
|
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
quanghabk wrote:
Bạn chắc chắn nó ko lây file trên máy bạn à ,
Tui kô nói là "tui chắc chắn nó kô lây file trên máy tui" mà tui nói là "tui chưa thấy". Có thể nó đã lây nhưng KAV của tôi chưa quét đến hay tôi chưa động đến thì vẫn là tôi chưa thấy, ok?
Mình chưa đọc kĩ,nhưng ko phải bạ file nào nó cũng lây đâu.
Cậu đọc cái gì? ở đâu? Cậu có biết những file thế nào thì sẽ bị lây kô?
Bạn chỉ cần căn cứ các file khi quét xong thì không thay đổi kích thước là khẳng định hết à.
Tui kô khẳng định là "hết" mà tui khẳng định là: "tui đã diệt được nó và những file mà tui hay động đến thì chưa bị nhiễm vì dung lượng những file đó ko bị thay đổi so với lúc con này chưa vào máy"
Giả sử KAV chưa quét được hết thì sao.
Thì kết luận là có thể nó có có file bị lây nhưng KAV chưa quét tới. Nhưng nó kô còn cơ hội chạy lại trên máy tôi và phá phách là chắc chắn.
Cậu có thể nói cho mọi người biết cậu đã thử kích hoạt con này trên máy của cậu chưa kô? nếu rồi thì cậu đã diệt nó như thế nào? đó mới là những thông tin có ích bạn thân mến ạ! rất vui vì sự đóng góp ý kiến của bạn, hi vọng bạn sẽ có những reply chứa đựng nhiều thông tin có ích hơn! |
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
18/12/2007 06:08:47 (+0700) | #23 | 104484 |
quanghabk
Member
|
|
0 |
|
|
Joined: 14/10/2005 10:12:11
Messages: 24
Offline
|
|
Ghost Ship wrote:
Cậu đọc cái gì? ở đâu? Cậu có biết những file thế nào thì sẽ bị lây kô?
Mình đọc code dạng assembly của nó, đã đủ chắc chắn chưa? mình ko có thời gian để xem sâu hơn, mà việc nó thích lây vào những file nào cũng chẳng quan trọng,quan trọng là lấy thông tin trong code để phục hồi lại được file bị lây,ok?
Cậu có thể nói cho mọi người biết cậu đã thử kích hoạt con này trên máy của cậu chưa kô?
Nếu chưa chạy thì mình dám nói sao, đừng hỏi những câu thừa như vậy
nếu rồi thì cậu đã diệt nó như thế nào? đó mới là những thông tin có ích bạn thân mến ạ! rất vui vì sự đóng góp ý kiến của bạn, hi vọng bạn sẽ có những reply chứa đựng nhiều thông tin có ích hơn!
Mình đã viết tool quét phần worm và phục hồi file bị lây dựa trên những thông tin mà mình tìm được trong code, và test ok trên máy mình.Mình cũng đã đưa ra những thông tin đó trên forum, vậy đã chứa đựng thông tin có ích chưa hả bạn?
Tui kô khẳng định là "hết" mà tui khẳng định là: "tui đã diệt được nó và những file mà tui hay động đến thì chưa bị nhiễm vì dung lượng những file đó ko bị thay đổi so với lúc con này chưa vào máy"
Cậu diệt được trên máy cậu rồi thì tốt thôi,mà mình nói "bạn khẳng định" cũng chỉ là 1 cách hỏi thôi bạn ạ, đừng quá chấp nhặt câu chữ như vậy |
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
18/12/2007 11:54:01 (+0700) | #24 | 104521 |
|
Ghost Ship
Member
|
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
quanghabk wrote:
Mình đã viết tool quét phần worm và phục hồi file bị lây dựa trên những thông tin mà mình tìm được trong code, và test ok trên máy mình.Mình cũng đã đưa ra những thông tin đó trên forum, vậy đã chứa đựng thông tin có ích chưa hả bạn?
Vậy thì chắc cậu đã biết phần worm của nó như thế nào rồi, cậu có thể nói cho mình biết khi được kích hoạt thì nó tạo ra những file nào và khi win khởi động thì nó khởi động cùng với win như thế nào chứ? Bác hoàng nói là kô thấy file ~.exe nhưng trên máy mình thì lại thấy, kô biết trên máy cậu thì thế nào? Trình tự tool của bạn xử lý phân worm như thế nào nữa?
Rất mong sự chia sẻ của bạn! |
|
|
|
|
| [Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D |
18/12/2007 13:28:04 (+0700) | #25 | 104537 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
| filename được tạo ra có thể là bất kỳ thôi. Trên máy này có thể tên khác và máy khác tên khác. Không căn cứ vào cái ~.exe để nói được. |
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận virus, trojan, spyware, worm...
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")