[Question] Mẫu Virus xih9 |
27/10/2008 11:59:59 (+0700) | #1 | 156757 |
channhua
Elite Member
|
0 |
|
|
Joined: 18/07/2003 04:49:28
Messages: 338
Offline
|
|
Hi all,
mình thấy virus mới này lây lang khá nhanh ko biết có là biến thể của dạng nào không ?, ko gây hiện tượng gì, chỉ có điều tìm chỗ nào cũng có.
Chắc anh em cũng dính còn này nhiều nhưng chắc ko thấy, vì nó tinh tế, đặt ở chế đệ "super hidden" nên rất khó quyét và nhìn thấy bằng mắt thường nếu chỉ dùng "show hidden files" bình thường.
Mình gửi mẫu lên cho các chuyên gia reverse nó thử xem con này làm gì?, mà thấy lây lan hơi bị nhiều.
file autorun của nó:
Code:
;LSLr9o35Ado8ropkHkk5DdwO3ZlAid3lAwswoiapd0rjDald0n3Dlja1Kw3iD2k1DKKjeL20kwAeawqwaslkia4q
[AutoRun]
;so34fsAs55A04O744LwaLKdL12qaoAwsDaK4ek
open=xih9.cmd
;i831AA5XorkjDoipwfKSCkaa04qAlZ083eiwoKwDe3SAaDikF1rlIkafJLD79JKJed3ida3ka1jw3cwscw45rl4
shell\open\Command=xih9.cmd
;eLC8aw4cIaSwkiei1ww7sXdwq2sqnLJfojAf4kdd220dSLAiis0q0r4lkOa
shell\open\Default=1
;dKaAlsw2awoCDke5l2DaLeko9Z57drlwk3Kjs09li1jLeki1Lfla7sj
shell\explore\Command=xih9.cmd
;
download mẫu ở đây
http://www.mediafire.com/download.php?jmnye2zmwz0
|
|
|
|
|
[Question] Re: Mẫu Virus xih9 |
27/10/2008 22:55:28 (+0700) | #2 | 156810 |
|
kamikazeq
Member
|
0 |
|
|
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
|
|
Con này là biến thể của ckvo (Kamsoft - biến thể đầu tiên mình gặp).
Nếu diệt thì qua /hvaonline/posts/list/24692.html#149343 down chạy là nó die à. Còn phân tích thì nhờ đại ka khác. |
|
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g |
|
|
|
[Question] Re: Mẫu Virus xih9 |
31/10/2008 10:16:23 (+0700) | #3 | 157076 |
longthanh
Member
|
0 |
|
|
Joined: 29/10/2008 23:00:02
Messages: 2
Offline
|
|
|
|
[Question] Re: Mẫu Virus xih9 |
31/10/2008 11:04:14 (+0700) | #4 | 157088 |
|
maithangbs
Elite Member
|
0 |
|
|
Joined: 28/11/2007 21:39:53
Messages: 567
Location: Д.и.Р
Offline
|
|
@longthanh: Không xóa được nhưng có báo lỗi gì không, post lên đây đi?
Khi không xóa được, sẽ có ít nhất 2 trường hợp sau:
- Định dạng HDD của bạn (cả C, D) là NTFS;
- Vẫn còn virus trong máy tính của bạn. |
|
|
|
|
[Question] Re: Mẫu Virus xih9 |
31/10/2008 21:53:12 (+0700) | #5 | 157120 |
|
kamikazeq
Member
|
0 |
|
|
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
|
|
@longthanh:
_ Bạn qua đây /hvaonline/posts/list/25564.html#155205. Giải thích cho vấn đề thư mục autorun.inf
_ Mình thấy BKAV của bạn quét ra 1 đống (mấy file đó giống mầm sót lại nhỉ) !! Sau đó bạn quét lại có ra con nào nữa không ?
_ Xóa 1 cái gì đó bằng cái này cho mạnh mẽ http://ccollomb.free.fr/unlocker/unlocker1.8.7.exe. Cài vào, chạy chương trình. Khi xóa không được 1 cái gì đó, tự chương trình sẽ nhảy lên hỏi, bạn chọn Delete rồi OK.
PS: Bạn muốn xóa thư mục thì phải dùng lệnh xóa thư mục chứ, sao lại dùng DEL
Lệnh xóa thư mục đây: RD /s /q C:\autorun.inf |
|
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g |
|
|
|
[Question] Re: Mẫu Virus xih9 |
01/11/2008 10:50:24 (+0700) | #6 | 157209 |
longthanh
Member
|
0 |
|
|
Joined: 29/10/2008 23:00:02
Messages: 2
Offline
|
|
Mình xin lỗi vì đã trả lời chậm trễ.
@maithangbs : Bạn đoán nguyện nhân chính xác. Mình vừa kiểm tra, định dạng 2 ổ C,D đúng là NTFS.
Nếu gặp trường hợp tương tự, không thể xóa thư mục nào đấy, thì có cách nào để xóa nó không? (ngoại trử cách chạy ra DOS dung lệnh RD )
@kamikazeq:
- mình vừa quét lại bằng Bkav, thì không thấy phát hiện virus nào nữa. ( không biết Bkav có đủ dùng không nhỉ? Vì từ lâu rồi máy mình không cài 1 chương trinh AV nào cả )
- lâu ngày không dùng, quên mất mấy cái lệnh MS-DOS. Mình google ra, cứ thế mà dùng, đã không để ý. Giờ thì mình đã xóa được hết các thư mục autorun.inf, autorun.inf.bak rồi
- Thật sự cảm ơn bạn, vì sự giúp đỡ rất nhiệt tình của bạn.
Ah, bạn có thể giới thiệu 1 chương trình quét virus online nào được không? Mình muốn kiểm tra thử xem còn chú virus nào lang thang không ? |
|
|
|
|
[Question] Re: Mẫu Virus xih9 |
01/11/2008 11:38:25 (+0700) | #7 | 157215 |
|
kamikazeq
Member
|
0 |
|
|
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
|
|
Vấn đề xóa mạnh 1 cái gì đó, ngoài Unlocker ra, mình đánh giá cao trình Avenger. |
|
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g |
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|