English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Nhờ Mod Hoàng xem thử con này Autostart !  XML
  [Question]   Nhờ Mod Hoàng xem thử con này Autostart ! 02/06/2009 16:03:52 (+0700) | #1 | 182633
[Avatar]
 Bí Danh NJ
Member
[Minus]    0    [Plus]
Joined: 24/07/2007 07:38:21
Messages: 111
Location: Một nơi nào đó
Offline
[Profile] [PM] [Yahoo!]
http://www.mediafire.com/?zf0nglo2rmj
Tải về - Đổi đuôi AR lại thành RAR - Pass giải nén là ninjaloves 


6/2/2009 2:55:54 AM Real-time file system protection file D:\
autostart.exe a variant of Win32/Injector.LR trojan 
cleaned by deleting - quarantined NinJaInTeR-PC\NinJa InTeR'S Event occurred on a new file created by the application: C:\Program Files\WinRAR\WinRAR.exe.

Length Of Struc: 0218h
Length Of Value: 0034h
Type Of Struc: 0000h
Info: VS_VERSION_INFO
Signature: FEEF04BDh
Struc Version: 1.0
File Version: 1.0.0.0
Product Version: 1.0.0.0
File Flags Mask: 0.0
File Flags:
File OS: WINDOWS32
File Type: APP
File SubType: UNKNOWN
File Date: 00:00:00 00/00/0000

Struc has Child(ren). size: 444 bytes.

Child Type: VarFileInfo
Translation: 1033/1200

Child Type: StringFileInfo
Language/code Page: 1033/1200
CompanyName: Microsoft
ProductName: Project1
FileVersion: 1.00
ProductVersion: 1.00
InternalName: Project1
OriginalFilename: Project1.exe 


Nói chung mình biết nó là gì nhưng không hiểu khi vào máy nó làm cái gì vì khi test nó chạy rất im lặng.Chẳng thấy có thay đổi gì sau vài lần khởi động lại.Mong MOD phân tích giùm con này xem nó làm trò gì khi vào đc máy của người khác.Hơi tò mò tí.Thank
[Up] [Print Copy]
  [Question]   Nhờ Mod Hoàng xem thử con này Autostart ! 03/06/2009 05:13:48 (+0700) | #2 | 182665
[Avatar]
 freeze_love
Member
[Minus]    0    [Plus]
Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline
[Profile] [PM] [Email]
Bạn này chỉ nhờ mod Hoàng thôi. Anh em đừng can thiệp nha smilie
do{
học đến điên;
}while (sống);
[Up] [Print Copy]
  [Question]   Nhờ Mod Hoàng xem thử con này Autostart ! 04/06/2009 11:43:53 (+0700) | #3 | 182752
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
hi Bí Danh NJ,
Có người dỗi rồi kìa smilie. Bạn edit lại title và nội dung nha.
Hiện nay Hoàng đang bận việc nên không thể xem giùm bạn được. Trong HVA có *rất* nhiều thành viên có khả năng này. Bạn cứ nhờ mọi người là được nha.
Thank you
[Up] [Print Copy]
  [Question]   Nhờ Mod Hoàng xem thử con này Autostart ! 10/06/2009 00:32:33 (+0700) | #4 | 183139
[Avatar]
 bolzano_1989
Journalist
[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

Bí Danh NJ wrote:
http://www.mediafire.com/?zf0nglo2rmj
Tải về - Đổi đuôi AR lại thành RAR - Pass giải nén là ninjaloves 


6/2/2009 2:55:54 AM Real-time file system protection file D:\
autostart.exe a variant of Win32/Injector.LR trojan 
cleaned by deleting - quarantined NinJaInTeR-PC\NinJa InTeR'S Event occurred on a new file created by the application: C:\Program Files\WinRAR\WinRAR.exe.

Length Of Struc: 0218h
Length Of Value: 0034h
Type Of Struc: 0000h
Info: VS_VERSION_INFO
Signature: FEEF04BDh
Struc Version: 1.0
File Version: 1.0.0.0
Product Version: 1.0.0.0
File Flags Mask: 0.0
File Flags:
File OS: WINDOWS32
File Type: APP
File SubType: UNKNOWN
File Date: 00:00:00 00/00/0000

Struc has Child(ren). size: 444 bytes.

Child Type: VarFileInfo
Translation: 1033/1200

Child Type: StringFileInfo
Language/code Page: 1033/1200
CompanyName: Microsoft
ProductName: Project1
FileVersion: 1.00
ProductVersion: 1.00
InternalName: Project1
OriginalFilename: Project1.exe 


Nói chung mình biết nó là gì nhưng không hiểu khi vào máy nó làm cái gì vì khi test nó chạy rất im lặng.Chẳng thấy có thay đổi gì sau vài lần khởi động lại.Mong MOD phân tích giùm con này xem nó làm trò gì khi vào đc máy của người khác.Hơi tò mò tí.Thank
 


Tùy biến thể của nó, có biến thể của nó hoạt động rất lộ liễu .
Con này viết bằng VB, mod Hoàng hay các bro khác không ra tay cũng phải thôi .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Nhờ Mod Hoàng xem thử con này Autostart ! 10/06/2009 04:04:01 (+0700) | #5 | 183149
[Avatar]
 bolzano_1989
Journalist
[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Ở trên là tôi search được .
Bạn nói nó ko có động tĩnh thế nào ấy chứ tôi cài thử vô máy thì thấy autostart.exe được bỏ vô folder startup, start.bat và smss.exe được tạo trong C:\Program Files\Common Files\System .
Bó tay thật, ban đầu bạn làm tôi tưởng mẫu này ghê gớm lắm .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Nhờ Mod Hoàng xem thử con này Autostart ! 10/06/2009 04:13:49 (+0700) | #6 | 183150
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
ah quên, bạn upload con đó lên đây rồi xem analyze nha:
http://www.norman.com/security_center/security_tools/submit_file/en-us
[Up] [Print Copy]
  [Question]   Nhờ Mod Hoàng xem thử con này Autostart ! 10/06/2009 08:42:22 (+0700) | #7 | 183161
[Avatar]
 lacazizi
Member
[Minus]    0    [Plus]
Joined: 03/03/2009 19:58:22
Messages: 87
Offline
[Profile] [PM]
Backdoor.Win32.VB.hxe
Bạn tải KAV về xài là được àk.
Thân
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|