banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... pagefile.pif, LSASS.EXE, SMSS.EXE  XML
  [Question]   pagefile.pif, LSASS.EXE, SMSS.EXE 14/12/2007 00:17:56 (+0700) | #1 | 103713
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Dowload pagefile.pif và LSASS.EXE http://superupload.fire-lion.com/download.php?file=de5213dd80079d4d284aeb3122372102
Kô biết FH của pác Hoàng update con này chưa.

Hôm qua có thằng gà mang USB đến khoe ảnh, mình kô có nhà, mấy tên kia bảo:" quét virus đi!", thằng đó bảo:"Làm gì có virus!", thế là chúng nó kô quét ! Mình về mở task manager thấy có 2 cái LSASS.EXE và SMSS.EXE đang đứng cùng với ông Explore.exe smilie. Bực mình với mấy thằng gà nhưng cũng sau đó thấy con này hay hay nên cũng nguôi nguôi đi tí smilie Nhờ nó mà mình thu thêm ít điểm kinh nghiệm và có thêm một skill mới smilie

Các biểu hiện của nó:
- Chưa thấy có biểu hiện gì lạ, nếu kô có thói quen kiểm tra process thì chắc là còn chưa biết có sự ghé thăm của nó smilie

- À mà hinh như nó làm nghẽn mạng. tự nhiên thấy thằng chủ mạng gọi bảo: "máy anh làm gì mà cứ cắm dây mạng anh vào là ping báo tới 2000ms mà rút dây anh ra thì mạng "time out" luôn smilie". Mình liền ping thử thì thấy vẫn 38ms đều đều smilie --> chẳng lẽ con này làm được như vậy? smilie(đó là lúc mình chưa kiểm tra process, máy lúc đó thằng khác đang dùng.) Lên chỗ thăng chủ mạng xem thử. Nhưng lúc này thì mạng lại ngon rồi kô thấy 2000ms nữa nhưng đúng là rút dây mình ra thì mạng time out thật smilie. nó bảo:"kô biết đâu là dây modem đâu là dây của anh nữa smilie" smilie Một lúc sau thì hết cái hiện tượng ấy. có lẽ con kia đã dùng xong mạng (kô biết nó dụng mạng làm gì smilie) và buông tha bà kon smilie Lúc sau về dùng máy và kiẻm tra process mới thấy nó. có thằng bảo :"chắc là từ USB thằng X rồi" smilie .kô đỡ được mấy ông, chẳng nhẽ rời máy là out admin luôn. smilie

Bắt đầu chiến với nó:
- Vì nó hiện lù lù 2 cái Process kia nên dùng Procexp thấy ngay con nó cùng nằm trong C:\Windows\System32\Com. Nhưng vào đến nơi thì kô thấy đâu.

- Hóa ra nó đã đóng ẩn system của mình (mình toàn để mở) đóng xong nó làm mất luôn cái dòng:"Hide protected operating system file (Recommanded)" trong Folder Option. (Mình chưa biết key nào làm việc này)

- Dùng atrrib để -s -h 2 cái của nợ ấy nhưng nó cũng kô hiện ra --> chắc là nó liên tục kiểm tra thuọc tính s h của 2 cái đó, nếu thấy bị - thfi nó lại + lại luôn. Dùng Filemon thì thấy đúng là cái LSASS.EXE liên tục chăm sóc chính nó và thằng SMSS.EXE thật.

- Dùng Procexp kill bon nó nhưng kô được, kill 1 thì nó hiện thêm 2 3 chính nó. mà Procexp ko có (hay có mà mình chưa biết nhỉ?) chức năng kill liền nhiều Process nên bó tay với lại này.

- Quyết định rút Kiếm băng (IceSword) ra xài smilie lần này thì máy chết với ông smilie Hix nhưng cứ click mãi mà chả thấy kiếm băng hiện ra --> kinh thật nó khóa cả kiếm băng của mình smilie. Thử đổi tên kiếm băng xem sao? --> à đã hiện ra! nhưng đáng tiếc chỉ trụ được chưa đầy 3s thì lại biến mất smilie hix mày làm tao sợ rồi đấy, sợ pha lẫn cảm hứng dâng trào he he.

-Sau đó thử dùng taskkill nhưng cũng kô được. Thôi bó tay chuyển hướng vậy, tí nữa ông ra dos ông xóa thì mày chỉ có khóc he he.

- Thử kiểm tra Auturun ở các ỏ xem sao --> chà, ổ nào cũng có, thậm chí ở ổ C nó còn hiện lù lù ra chứ ko thèm +s +h (kô nhớ là nó hiện như vạy từ đầu hay là mình attrib nó từ lúc nào.smilie) --> xem tiếp mày kick hoạt thằng nào nào --> Hix nhưng mà kô Open được nó. notepad hiện ra trắng xóa và kèm theo cái bảng báo là "access is denied" nhưng kô giống của windows. Hic ác thật.

- Định dùng hijackthis và Autoruns đẻ xem nó dùng key nào để kich hoạt cugnf máy nhưng kô thấy gì smilie sau khi diệt được nó mới thấy được bằng Autoruns.

- Định vào safe mode nhưng kô hiểu nó làm kiểu gì mà kô vào nổi. chọn safe mode rồi nhưng chạy một loạt dòng xong là máy bị restart smilie

- Đành vào mạng tìm thông tin về mày vậy, nhưng 2 cái process kia trùng tên với 2 process của OS nên sẽ khó đây. à kô sao paste cả cái đường dẫn vào google là ok smilie. Nhưng ôi thôi một cái gạch chéo đỏ đã hiện ra từ lúc nào chỗ khay đồng hồ, thằng chủ mạng nó đã rút dây mạng của từ lúc nào mình rồi smilie hic 11:30 PM rồi phone lên mịa nó lại tế cho. Hic vậy là mình đã bị kô lập với thế giới smilie thôi kố nốt vài skill nữa, kô được thì để mai vậy smilie

- Hôm trước về quê kiếm được cái đĩa cứu hộ hay phết. trong nó có cái win từ đĩa hay phết smilie giống cái ngày xưa pác Hoàng bảo( tên gì quên bó nó roài). nhưng mà nó kô chỉng được registry đâu pác Hoàng à. cũng và được registry nhưng mà là registry của nó, có mỗi tí tẹo chứ kô phải registry của win trong HDD. hay là phải vào kiểu gì nhỉ?

- Với cái win trên đĩa CD này thì mình đã vào và thịt ngon cả lũ kia (liệt kê tất cả các file trong C:\Windows rồi xếp chúng theo thứ tự date creat --> cut hết những thằng mới được tạo ra trong trong ngày hôm nay ra một cái folder đẻ up lên cho pác Hoàng và bà kon nghiên cú chơi smilie) Hóa ra cái file mà autorun.inf của nó kích hoạt là file pagefile.pif. Thôi bây giờ restart là ok smilie

- Nhưng kô phải vậy. vào đến nơi vẫn thấy 2 thằng đó lù lù trong task manger smilie hic vậy là nó vẫn còn một file để kích hoạt lúc vào win ở đâu đó. đúng là nó đã hiện ra như thế thì nó cũng chả ngu mà dùng chính cái file đó để kích hoạt lúc vào win.

Vậy làm sao bây giờ đây. à còn một skill nữa, mình biết từ hồi mới vào đọc HVA smilie nhưng chưa có cơ hội thử. có dùng vài lần nhưng kô phải để diệt virus :d có lần còn thấy có người bảo nó kô hiệu quả, nhưng lần này thì nó lại hiệu quả smilie có lẽ thằng tác giả con này chưa nghĩ ra skill này của mình, nó mà đọc được bài này thì Ver sau chắc là kô dùng được smilie mà kô biết nó có biết tiếng việt ko smilie cái autorun chứ loàng ngoàng chắc nó lại là Tàu roài. smilie đố ai biết đó là chiêu gì? :d Nếu là bạn thì bạn sẽ xử lý tiếp thế nào? kô chơi dùng các AV để quét nhá. KAV cũng phát hiện ra nhưng nó vẫn được kích hoạt ngay cả khi KAV đang chạy đấy và từ lần khởi động sau thì kô thấy KAV ở khay đồng hồ nữa smilie làm sao để biết nó kích hoạt khi vào win như thế nào đây? smilie xin mời các chuyên gia khoái quai tay smilie

P/S: hơi cao hứng nên iem dùng hơi nhiều smile. nếu các pác thấy kô được thì nhắc để em xóa đi chứ đừng warn iem thêm nhát nữa nhá smilie sao của iêm max roài. Hay các pác cho iêm nợ 3 tháng nữa nhỉ ? smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 14/12/2007 06:32:15 (+0700) | #2 | 103762
quanghabk
Member

[Minus]    0    [Plus]
Joined: 14/10/2005 10:12:11
Messages: 24
Offline
[Profile] [PM]
Quai rồi , bạn ko diệt được theo kiểu thường vì con này con có module lây file. Kĩ thuật lây thì cũng bình thường thôi, nó nhét file bị lây vào trong file virus gốc(từ byte 0x19008, byte 0x19000 là để kích thước file cũ), nhưng phải cái nó mã hóa từ byte 545 đến byte 102389 trong file gốc(cứ cách 23 byte nó lại not 1 fát) nên khôi phục hơi khó 1 chút. Bác nào thích viết tool diệt thì viết theo thông tin ấy smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 14/12/2007 08:02:54 (+0700) | #3 | 103780
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

quanghabk wrote:
Quai rồi , bạn ko diệt được theo kiểu thường vì con này con có module lây file. Kĩ thuật lây thì cũng bình thường thôi, nó nhét file bị lây vào trong file virus gốc(từ byte 0x19008, byte 0x19000 là để kích thước file cũ), nhưng phải cái nó mã hóa từ byte 545 đến byte 102389 trong file gốc(cứ cách 23 byte nó lại not 1 fát) nên khôi phục hơi khó 1 chút. Bác nào thích viết tool diệt thì viết theo thông tin ấy smilie  


Con này con có module lây file thì liên quan gì đến việc kô diệt được nó theo kiểu thường nhỉ? mà kiểu thường là kiểu thế nào vậy bạn?

Kô biết những file như thế nào thì bị nó ăn nhỉ? Diệt xong nó tui vẫn open mấy cái IceSword.exe(728kb), HijackThis.exe(213), autoruns.exe(344kb), procexp.exe(3,539kb) bình thường mà có thấy nó chạy lại đâu. mà sau khi diệt xong KAV chạy có báo gì đâu (lúc nó đang chạy KVA báo có thằng LSASS.EXE nhưng kô diệt được.)

Lúc trước kô diệt được nó là tại nó thủ kinh quá kô, thể kill được mấy cái Process của nó và kô thể nhìn ra cách kích hoạt của nó khi vào win --> kô loại được cái mần kích hoạt lúc vào win thì kô thể vô hiệu được nó. đơn giản vậy thôi.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 14/12/2007 14:16:21 (+0700) | #4 | 103862
maxobonmat
Member

[Minus]    0    [Plus]
Joined: 30/06/2006 17:31:13
Messages: 1
Offline
[Profile] [PM]
Tớ cũng mới dính nó từ chiều nay,dùng anti chán chê mà chẳng con nào nó làm bay đi con pagefile.pif,chán quá nên đành bỏ hirent's boot vào rồi dùng VK(do máy tớ để ntfs) để del sạch nó ở các partion cùng với LASS.EXE;SMSS.EXE ở folder trên đi,thoạt đầu tớ thấy vẫn còn ổn,chạy một lúc thì đâu lại vào đấy(không biết có phải do lại truy cập mạng lại hay không) bồ có cách nào hay xin chỉ giúp tớ với
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 14/12/2007 14:43:39 (+0700) | #5 | 103865
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Con này tự kích hoạt khi vào win bằng cách để một file ~.exe (100kb) trong startup.

Cách diệt:
1.1: Vào DOS del cái file ~.exe, autorun.inf và các file pagefile.pif trong các ổ ròi khởi động lại máy là ok.

1.2: Vào tới win rồi thì tìm tất cả các file được tạo ra trong ngày trong C:\WINDOWS rồi del hết hoặc dùng KAV mới update quét để dọn nốt mấy file của nó trong. Nghe nói nó còn lây cả file nhưng máy của mình kô thấy. chắc là do mình diệt nó hơi sớm nên nó chưa kip phá smilie

2. Nếu kô muốn vào DOS thì dùng Local Security Policy của Window để khóa cái file pagefile.pif rồi restart lại máy --> tìm đến các ổ xóa autorun.inf, pagefile.pif, và startup xóa ~.exe. --> quay lại bước 1.2

Đơn giản thế thôi smilie. chán, chả có ai chơi trò này cùng mình thiệt là mất hứng.

Cách dùng Local Security Policy để vô hiệu và diệt con này:
1. Lấy mẫu virus:
1.1: Start --> Run
1.2: Gõ vào Run đoạn lệnh sau: attrib -s -h C:\pagefile.pif (nếu máy bạn Có ổ C smilie)
1.3: Enter
1.4: Thử vào ổ C xem có cái file pagefile.pif hiện ra kô? nếu kô có thì làm lại ở ổ khác hoặc down luôn cái file pagefile.pif ở bài đầu tiên của topic này smilie

2. dùng Local Security Policy để vô hiệu sự hoạt động cua nó: Muốn hiểu rõ hơn thì vào đọc: /hvaonline/posts/list/5867.html
2.1: vào Local Security Policy: Start -->Control Panel --> Administrative Tools --> Local Security Policy.

2.2: Nếu đây là lần đầu tiên bạn thao tác trên policy này thì bạn cần khởi tạo nó bằng cách: tìm đến mục Software Restriction Policies, chọn menu Action --> New Software Restriction Policies (hoặc Create New Policies).

2.2: Thiết lập Security Level cho các malwares đã được xác định:
- Chọn vào mục Additional Rules của Software Restriction Policies, chọn menu Action --> New Hash Rule. Một dialog sẽ hiện lên.
- Tiếp tục nhấn vào Browse và tìm đến ổ C rồi chọn file pagefile.pif đã được làm hiện ra ở bước 1
- Tiếp tục chọn Security Level = Disallowed để vô hiệu hoá khả năng thực thi của malware. (nếu thấy nó là Disallowed rồi thì kô cần chọn lại nữa smilie)
- Nhấn OK.
- Restart lại máy. (Xong)
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 14/12/2007 14:51:47 (+0700) | #6 | 103866
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
con này có gì đâu mà GS la oai oái vậy ?
Dùng Process Explorer Kill tree là "đi" cả 2 process mà ?

Con này hơi mới nên ít AVers nhận diện được.
Đầu tiên, trojan tạo các file sau:
Code:
C:\Windows\System32\Com\LSASS.EXE
C:\Windows\System32\Com\netcfg.000
C:\Windows\System32\Com\netcfg.dll
C:\Windows\System32\Com\SMSS.EXE
C:\AUTORUN.INF
C:\WINDOWS\system32\cacls.exe


Vô hiệu hóa Safe Mode bằng cách xóa 2 keys:
Code:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

Xóa các ứng dụng được thực thi cùng Windows. Tắt chức năng hiện file ẩn.
Và cuối cùng là tấn công DoS vào baidu.com bằng lệnh ping.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 14/12/2007 15:14:59 (+0700) | #7 | 103870
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

LeVuHoang wrote:
con này có gì đâu mà GS la oai oái vậy ?  

Tại nó khóa IceSword (iem có mỗi cái này để kill process hàng loạt smilie) Khi chưa kill được nó thì dùng autoruns cũng kô nhìn ra cái file ~.exe trong startup. Nó làm kô vào được safe mode. mất dòng ẩn system trong folder option. đối với iem thì con này là con khủng thứ hai sau cái con rootkit lallac.dll ngày xưa smilie

Process Explorer Kill tree có phải là cái dòng "End Process Tree" trong task manager kô pác Hoàng ? Iêm chưa biết tác dụng của cái dòng nầy smilie iem dung taskkill kill liền cả 2 nhưng kô được nên nghĩ task manager cũng kô làm ăn gì smilie hóa ra em chưa biết hết công dụng của nó smilie

Nhưng pác chưa nhắc tới cái file ~.exe trong startup smilie làm thế nào mà nó làm tool autoruns kô nhìn thấy cái file ~.exe ấy ?

key nào trong registry làm mất cái dòng "Hide protected operating system file" thế pác Hoàng?

Ẹc em vừa cho KAV quét lại thử nhưng kva vẫn chưa phát hiện ra. Hôm qua KAV chỉ báo LSASS.EXE là riskware thôi. chắc là thấy LSASS.EXE có những hoạt động khả nghi.


[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 14/12/2007 15:32:37 (+0700) | #8 | 103873
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
AVG,Avira, đã udpate con này rồi, tiếp theo hy vọng bit defender và mcafee cập nhật con này luôn.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 14/12/2007 15:49:40 (+0700) | #9 | 103875
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Task Manager không kill được nhưng Process Explorer kill được. Con trojan này xoá giá trị SuperHidden và đổi
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\SuperHidden\Type thành "radio" (thay cho giá trị cũ là "checkbox")
KAV update rồi, tên là Virus.Win32.Xorer.
Ngoài ra, không thấy file ~.exe
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 14/12/2007 16:39:39 (+0700) | #10 | 103881
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Task Manager không kill được nhưng Process Explorer kill được 

À Process Explorer chính là cái Procexp smilie Hôm qua iêm toàn kill chứ kô chọn kill tree smilie thôi để làn sau vậy smilie

Ngoài ra, không thấy file ~.exe 

Vậy theo kết quả phân tích của pác thì con này tự kích hoạt khi vào win bằng cách nào? smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 15/12/2007 06:42:36 (+0700) | #11 | 103980
DeathSon
Member

[Minus]    0    [Plus]
Joined: 08/09/2006 02:50:40
Messages: 7
Location: Địa ngục
Offline
[Profile] [PM] [Yahoo!]
Bon chen chân ướt, chân ráo vô coi! Xong giật mình mở cái Task Manager lên thì thấy mình bị dính mà không biết dính lúc nào nữa smilie . Bây giờ thì làm seo diệt nó đây! smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 15/12/2007 07:14:28 (+0700) | #12 | 103993
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Đã update con này trong Database 12/14/2007 05:15 PM. Bạn down http://fasthelper.fire-lion.com/ về rồi cập nhật dữ liệu mới là được




Còn bạn DeathSon, nếu không biết rõ thì đừng down về thực thi, hoặc thử nghiệm trong máy ảo thôi
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 15/12/2007 07:24:40 (+0700) | #13 | 103994
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

Ghost Ship wrote:
Task Manager không kill được nhưng Process Explorer kill được 

À Process Explorer chính là cái Procexp smilie Hôm qua iêm toàn kill chứ kô chọn kill tree smilie thôi để làn sau vậy smilie

Ngoài ra, không thấy file ~.exe 

Vậy theo kết quả phân tích của pác thì con này tự kích hoạt khi vào win bằng cách nào? smilie  

Nó dùng cái netcfg.dll để tự kích hoạt.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 15/12/2007 08:39:02 (+0700) | #14 | 104007
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

LeVuHoang wrote:
Nó dùng cái netcfg.dll để tự kích hoạt. 

Nhưng nó phải dùng key nào đó trong registry hay thế nào đó tác động vào cái file netcfg.dll lúc win khởi động chứ pác smilie Mỗi cái file netcfg.dll đứng trơ trọi thì làm sao mà kích hoạt được pác ?

Của em thì em thấy trong Start Menu\Programs\Startup có cái file ~.exe có dung lượng = 100kb = dung lượng(pagefile.pif) = dung lượng (LSASS.EXE). chắc chắn cái file này được kích hoạt lúc vào win và chắc chắn là con này đẻ vào chứ ai lại đặt tên như vậy và vứt vô đó bao giờ smilie

Nếu tất cả các file của nó mà đều nằm trong C:\WINDOWS thì nó đã kô thoát được chiêu xắp xếp theo ngày tháng rồi cut ra ngoài của em. mà rõ ràng trong những file em cut ra có cả cái netcfg.dll này vậy mà lúc khởi động lại nó vẫn được kích hoạt.

hay con này thay chơi mỗi máy một kiểu nhỉ smilie ghê gớm vậy sao smilie.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 15/12/2007 12:31:36 (+0700) | #15 | 104037
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Nếu kill không được thì nên dùng ProcExp để Suspend 1 trong 2, rồi suspend nốt thằng kia, sau đó kill cả hai, thằng nào trước cũng được.
Coder virus thường chỉ code để kiểm tra process anh em còn run hay đã thoát, mà không kiểm tra trạng thái Suspend. Process bị suspend thì process status vẫn còn là Run.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 18/12/2007 01:40:36 (+0700) | #16 | 104450
born2die
Member

[Minus]    0    [Plus]
Joined: 17/12/2007 11:49:02
Messages: 16
Offline
[Profile] [PM]
Tưởng con này lây file mà, sao các bác diệt như worm vậy???
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 18/12/2007 02:07:06 (+0700) | #17 | 104454
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Con này là họ worm, đâu phải họ virus.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 18/12/2007 02:26:25 (+0700) | #18 | 104456
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

born2die wrote:
Tưởng con này lây file mà, sao các bác diệt như worm vậy??? 

Dù nó có lây file nhưng nó vẫn kô phải là giống virus thuần chủng ngày xưa. lây file chỉ là một chức năng của nó thừa hưởng từ virus ngày xưa còn cách kích hoạt và lây nhiễm thì nó thì nó dùng kiểu của worm.

Phân loại thì dựa vào kiểu phá hoại còn diệt thì dựa vào cách lây nhiễm, tự kích hoạt.

Diệt như ở trên chỉ là vô hiệu phần hoạt động của nó còn phần mầm mống (những file đã bị nó ăn) thì phải dùng AV đã update để quét.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 18/12/2007 03:44:24 (+0700) | #19 | 104463
quanghabk
Member

[Minus]    0    [Plus]
Joined: 14/10/2005 10:12:11
Messages: 24
Offline
[Profile] [PM]

tmd wrote:
Con này là họ worm, đâu phải họ virus. 


Bác nào bảo không phải là virus lây file thì xem thử cái file này xem nhé:
http://superupload.fire-lion.com/download.php?file=255a5c52abaa3030cdf3e4b8f4e945cc

nó là file WinHex.exe bị lây đó.Các bác so sánh xem đoạn đầu của nó có khác gì file LSASS.EXE không, hoặc chạy thẳng xem nó có sinh ra mấy file SMSS.exe,pagefile.pif ko.Còn ai biết diassembly thì thử mở file này,xref 1 hàm fopen bất kì xem smilie

@GS: bạn ko diệt được theo kiểu worm bình thường vì khi chạy những file nhiễm thì nó lại sinh ra như cũ thôi smilie
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 18/12/2007 04:23:34 (+0700) | #20 | 104466
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

quanghabk wrote:
@GS: bạn ko diệt được theo kiểu worm bình thường vì khi chạy những file nhiễm thì nó lại sinh ra như cũ thôi smilie  

kô đúng! lúc trước tui chưa diệt được nó là vì tui chưa nhìn ra file ~.exe của nó trong startup. Sau khi dùng Local Security Policy để kô cho nó khởi động cùng máy tôi đã thấy cái file ~.exe bằng tool autoruns và tui xóa nốt cái file này đi thì từ lân khởi động sau đó đã kô thấy nó quay lại nữa.

Tôi tìm thông tin về nó thì cũng thấy nhiều chỗ nói nó lây file nhưng ở máy tôi thì tôi chưa thấy, bằng chứng là những file .exe tôi dùng khi nó chưa bị diệt có dung lượng kô hề thay đổi, Hơn nữa KAV đã được tôi update và đã phát hiện ra con này nhưng kô báo có file nào bị nhiễm.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 18/12/2007 04:46:21 (+0700) | #21 | 104470
quanghabk
Member

[Minus]    0    [Plus]
Joined: 14/10/2005 10:12:11
Messages: 24
Offline
[Profile] [PM]
Bạn chắc chắn nó ko lây file trên máy bạn à smilie,Mình chưa đọc kĩ,nhưng ko phải bạ file nào nó cũng lây đâu.Bạn chỉ cần căn cứ các file khi quét xong thì không thay đổi kích thước là khẳng định hết à.Giả sử KAV chưa quét được hết thì sao.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 18/12/2007 05:42:18 (+0700) | #22 | 104477
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

quanghabk wrote:
Bạn chắc chắn nó ko lây file trên máy bạn à smilie
Tui kô nói là "tui chắc chắn nó kô lây file trên máy tui" mà tui nói là "tui chưa thấy". Có thể nó đã lây nhưng KAV của tôi chưa quét đến hay tôi chưa động đến thì vẫn là tôi chưa thấy, ok?
Mình chưa đọc kĩ,nhưng ko phải bạ file nào nó cũng lây đâu. 

Cậu đọc cái gì? ở đâu? Cậu có biết những file thế nào thì sẽ bị lây kô?
Bạn chỉ cần căn cứ các file khi quét xong thì không thay đổi kích thước là khẳng định hết à. 

Tui kô khẳng định là "hết" mà tui khẳng định là: "tui đã diệt được nó và những file mà tui hay động đến thì chưa bị nhiễm vì dung lượng những file đó ko bị thay đổi so với lúc con này chưa vào máy"
Giả sử KAV chưa quét được hết thì sao. 

Thì kết luận là có thể nó có có file bị lây nhưng KAV chưa quét tới. Nhưng nó kô còn cơ hội chạy lại trên máy tôi và phá phách là chắc chắn.

Cậu có thể nói cho mọi người biết cậu đã thử kích hoạt con này trên máy của cậu chưa kô? nếu rồi thì cậu đã diệt nó như thế nào? đó mới là những thông tin có ích bạn thân mến ạ! rất vui vì sự đóng góp ý kiến của bạn, hi vọng bạn sẽ có những reply chứa đựng nhiều thông tin có ích hơn!
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 18/12/2007 06:08:47 (+0700) | #23 | 104484
quanghabk
Member

[Minus]    0    [Plus]
Joined: 14/10/2005 10:12:11
Messages: 24
Offline
[Profile] [PM]

Ghost Ship wrote:

Cậu đọc cái gì? ở đâu? Cậu có biết những file thế nào thì sẽ bị lây kô? 

Mình đọc code dạng assembly của nó, đã đủ chắc chắn chưa? mình ko có thời gian để xem sâu hơn, mà việc nó thích lây vào những file nào cũng chẳng quan trọng,quan trọng là lấy thông tin trong code để phục hồi lại được file bị lây,ok?


Cậu có thể nói cho mọi người biết cậu đã thử kích hoạt con này trên máy của cậu chưa kô?
 

Nếu chưa chạy thì mình dám nói sao, đừng hỏi những câu thừa như vậy


nếu rồi thì cậu đã diệt nó như thế nào? đó mới là những thông tin có ích bạn thân mến ạ! rất vui vì sự đóng góp ý kiến của bạn, hi vọng bạn sẽ có những reply chứa đựng nhiều thông tin có ích hơn! 

Mình đã viết tool quét phần worm và phục hồi file bị lây dựa trên những thông tin mà mình tìm được trong code, và test ok trên máy mình.Mình cũng đã đưa ra những thông tin đó trên forum, vậy đã chứa đựng thông tin có ích chưa hả bạn?


Tui kô khẳng định là "hết" mà tui khẳng định là: "tui đã diệt được nó và những file mà tui hay động đến thì chưa bị nhiễm vì dung lượng những file đó ko bị thay đổi so với lúc con này chưa vào máy"  

Cậu diệt được trên máy cậu rồi thì tốt thôi,mà mình nói "bạn khẳng định" cũng chỉ là 1 cách hỏi thôi bạn ạ, đừng quá chấp nhặt câu chữ như vậy
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 18/12/2007 11:54:01 (+0700) | #24 | 104521
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

quanghabk wrote:
Mình đã viết tool quét phần worm và phục hồi file bị lây dựa trên những thông tin mà mình tìm được trong code, và test ok trên máy mình.Mình cũng đã đưa ra những thông tin đó trên forum, vậy đã chứa đựng thông tin có ích chưa hả bạn?  

Vậy thì chắc cậu đã biết phần worm của nó như thế nào rồi, cậu có thể nói cho mình biết khi được kích hoạt thì nó tạo ra những file nào và khi win khởi động thì nó khởi động cùng với win như thế nào chứ? Bác hoàng nói là kô thấy file ~.exe nhưng trên máy mình thì lại thấy, kô biết trên máy cậu thì thế nào? Trình tự tool của bạn xử lý phân worm như thế nào nữa?

Rất mong sự chia sẻ của bạn!
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 18/12/2007 13:28:04 (+0700) | #25 | 104537
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
filename được tạo ra có thể là bất kỳ thôi. Trên máy này có thể tên khác và máy khác tên khác. Không căn cứ vào cái ~.exe để nói được.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE con này hay đấy, ai có hứng thú quai tay thì vào chơi hẩy :D 18/12/2007 15:29:37 (+0700) | #26 | 104555
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

LeVuHoang wrote:
filename được tạo ra có thể là bất kỳ thôi. Trên máy này có thể tên khác và máy khác tên khác. Không căn cứ vào cái ~.exe để nói được. 
Có thể tên khác, kô phải ~.exe nhưng vị trí của file có thay đổi kô pác Hoàng? ở máy em nó chỉ kích hoạt dựa vào cái file ~.exe trong startup còn ở máy bác em vẫn chưa hiểu nó được kích hoạt lúc vào win như thế nào? chẳng nhẽ ở mỗi máy nó lại chọn một kiểu kích hoạt lúc vào win riêng? Nếu kô xác định được file này, vị trí, cách kích hoạt thì các bước kill process, xóa file là vô nghĩa.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 20/12/2007 01:40:28 (+0700) | #27 | 104787
mrda_writer
Member

[Minus]    0    [Plus]
Joined: 11/12/2007 23:13:41
Messages: 3
Offline
[Profile] [PM]
Con của các bác thiếu một triệu chứng nữa là...Khi bật Task Manager lên thì nó lại liên tục hiện ra rất nhiều file XEPROER.EXE mấy cái file nầy tắt được = task manager nhưng file LSASS.EXE thì lại không kill được
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 20/12/2007 03:11:03 (+0700) | #28 | 104800
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

mrda_writer wrote:
Con của các bác thiếu một triệu chứng nữa là...Khi bật Task Manager lên thì nó lại liên tục hiện ra rất nhiều file XEPROER.EXE mấy cái file nầy tắt được = task manager nhưng file LSASS.EXE thì lại không kill được 
ở máy tôi kô như vậy và tôi ko thấy có file XEPROER.EXE nào trong máy hết. Cậu có nhớ file đó trên máy cậu nó nằm ở chỗ nào kô? nó là file do virus tạo ra hay là có từ bao giờ? cậu đã diệt con này như thế nào? Nó thiếu triệu chứng đó nhưng còn các triệu chứng khác thì thế nào? có triệu chứng nào kô có trên máy cậu kô? ...
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 20/12/2007 11:09:29 (+0700) | #29 | 104890
VUTRUONGDIEP
Member

[Minus]    0    [Plus]
Joined: 13/12/2007 22:11:02
Messages: 1
Offline
[Profile] [PM]
chung quy diệt thủ công thi làm như thế nào nè????
em thấy máy em chạy thử nó lằng nhằng lắm như là tùy vào từng máy mà nó có cách lây ..
của mấy huynh có hiện tượng cam usb vào copy data vào rồi rút ra ( an toàn ) nhung khi cắm vào lại là mất data ko? từ khi thằng này vào là em bi như vậy ah.
[Up] [Print Copy]
  [Question]   Re: pagefile.pif, LSASS.EXE, SMSS.EXE 20/12/2007 13:26:57 (+0700) | #30 | 104913
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

VUTRUONGDIEP wrote:
chung quy diệt thủ công thi làm như thế nào nè???? 

Với những loại virus như thế này thì cách diệt của tôi như sau:
1. Tìm xem virus tạo ra những file nào để duy trì hoạt động và lây nhiễm.
2. Nó kích hoạt lúc vào win như thế nào.
3. Kiểm tra mức độ phòng thủ của nó. (bài đầu tiên của topic này có nói)
4. Xóa các file do virus tạo ra (Tùy vào kết quả ở bước 3 và khả năng của mình mà đưa ra phương án xử lý phù hợp, có thể xử lý luôn trong win hoặc ngoài win)

Cơ bản là thế.

VUTRUONGDIEP wrote:
em thấy máy em chạy thử nó lằng nhằng lắm như là tùy vào từng máy mà nó có cách lây ..
của mấy huynh có hiện tượng cam usb vào copy data vào rồi rút ra ( an toàn ) nhung khi cắm vào lại là mất data ko? từ khi thằng này vào là em bi như vậy ah. 
Lúc máy nhiễm mình chưa thử cắm USB vào như vậy nên kô biết ở máy mình nó có như vậy hay kô. Bạn có thể nói data của bạn cụ thể là gì kô? các thư mục hay các file gì? Nếu chỉ ko nhìn thấy dữ liệu nhưng đo dung lượng USB vẫn có dung lượng đang sử dụng thì data chỉ bị ẩn đi chứ kô mất hẳn đâu, bạn có thể dùng lệnh ATTRIB để làm data hiện trở lại sau khi đã diệt xong virus.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
2 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|