banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến!  XML
  [Question]   Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 22/06/2007 23:17:08 (+0700) | #31 | 66272
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Muốn "level lên mấy phát đây" thì tự ngồi phân tích và thịt nó đi, đừng nhờ người khác.
[Up] [Print Copy]
  [Question]   Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 23/06/2007 00:17:38 (+0700) | #32 | 66289
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

hieuhoc wrote:
Bạn làm như nào mà xóa không được tasmilie ,bạn có khởi động lại khi chọn xóa file đó chưa ,phần mềm này có thể xóa bất kì file nào kể cả file hệ thống nhưng khi chọn xóa xong bạn phải khởi động lại àh,giống như cái tên của nó Move on boot. 


Khi mình chọn file này và chọn delete (có 3 lựa chọn) và ấn next thì nó báo:"Access is dinied" và nút next mờ đi chỉ có nút cancel và back là ấn được thôi. Mình đã thử xóa các file khác và thấy nếu xóa được thì nó có nút finish. Từ hôm qua đến hôm nay mình tắt bật máy mấy lần rồi smilie)

ThangCuEm wrote:
Muốn "level lên mấy phát đây" thì tự ngồi phân tích và thịt nó đi, đừng nhờ người khác.  


Hic thôi em kô muốn LV lên nữa đâu ạ , em chỉ muốn xóa cái file đó thôi smilie) bác giúp em nốt đi ạ smilie)
[Up] [Print Copy]
  [Question]   Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 23/06/2007 00:39:58 (+0700) | #33 | 66297
[Avatar]
gsmth
Elite Member

[Minus]    0    [Plus]
Joined: 15/02/2007 13:25:36
Messages: 749
Offline
[Profile] [PM] [WWW] [Yahoo!]
@GS: Tool unlocker nè, thử xem sao http://ccollomb.free.fr/unlocker/
[Up] [Print Copy]
  [Question]   Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 23/06/2007 00:53:09 (+0700) | #34 | 66302
[Avatar]
hieuhoc
Member

[Minus]    0    [Plus]
Joined: 08/09/2006 21:57:39
Messages: 103
Offline
[Profile] [PM]

Ghost Ship wrote:


Khi mình chọn file này và chọn delete (có 3 lựa chọn) và ấn next thì nó báo:"Access is dinied" và nút next mờ đi chỉ có nút cancel và back là ấn được thôi. Mình đã thử xóa các file khác và thấy nếu xóa được thì nó có nút finish. Từ hôm qua đến hôm nay mình tắt bật máy mấy lần rồi smilie)
 

:cry: Chắc bồ làm sai chỗ nào rồi chứ phần mềm này nó đâu có xóa file liền đâu mà access denied trời :?)
[Up] [Print Copy]
  [Question]   Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 23/06/2007 01:37:18 (+0700) | #35 | 66314
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

hieuhoc wrote:
:cry: chắc làm sai chỗ nào rồi chứ phần mềm này nó đâu có xóa file liền đâu mà access denied trời :?)  


Sao bạn lại có thể nghĩ có người kô biết dùng cái chương trình đơn giản như vậy chứ? Bạn có cần mình chụp ảnh từng bước rồi post lên kô? Mình đã vừa cài lại và thẻ delete một file bị mình bỏ quyền Delete của nhóm Users nhưng nó cũng kô delete được (mình đang chạy acc có full quyền dành cho Admin). bạn đã bào giờ thử chưa?

đầu tiên chương trình có 3 nut back,next và cancel chỉ có 1 nút next hiện còn 2 nút kia mờ(ấn next)

hiện ra một dòng và một nút ... ở đầu dòng cả 3 nút kia đều hiện. Ấn nut ... để tìm file muốn xóa rồi ấn next tiếp.

Nó hiện ra 3 lựa chọn:copy file, Rename file, Delete file. Chọn delete rồi next.

Nút next biến thành nút Star, ấn start --> nút start mờ đi chỉ còn 2 nút Back và Cancel hiện. Đồng thời có 2 dòng thông báo:
The operation failed. The following error occurred:
Accsess is denied.  

và 2 dòng hướng dẫn sử dụng 2 cái nút kia smilie

Có cái chức năng copy file. tưởng hay mình thử copy file C:\WINDOWS\system32\config\SAM ra desktop nhưng cũng kô được smilie Kô hiểu nó dùng chức năng này cho hợp nào nhỉ? smilie

Nếu thành công thì nó hiện ra chữ congratulation to vật vã và và nút start biến thành nút finish còn 2 nút kia mờ đi smilie) Tại sao kô hiên ra nút continue để làm tiếp file khác nhỉ smilie)
[Up] [Print Copy]
  [Question]   Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 23/06/2007 01:41:32 (+0700) | #36 | 66317
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Nói năng thiếu lễ phép và tôn trọng ý kiến người khác quá. Kiểu đó thì nói chuyện với bóng.
Mình không làm được, không hiểu thì đừng nghỉ người khác cũng vậy. smilie
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 23/06/2007 01:55:20 (+0700) | #37 | 66322
[Avatar]
hieuhoc
Member

[Minus]    0    [Plus]
Joined: 08/09/2006 21:57:39
Messages: 103
Offline
[Profile] [PM]
Lạ vậy smilie,bồ click phải vào file cần xóa nó có dòng "delete file on the next boot" như hình dưới không?




bạn đã bào giờ thử chưa?  

Mình đang dùng nên mới giới thiệu cho bạn mà.
[Up] [Print Copy]
  [Question]   Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 23/06/2007 01:58:40 (+0700) | #38 | 66323
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

gsmth wrote:
@GS: Tool unlocker nè, thử xem sao http://ccollomb.free.fr/unlocker/  


Hic cái này kô free sao ấy bác gsmth à smilie( Em kô biết down. Bác up nó lên cái host nào cho em được kô smilie)
[Up] [Print Copy]
  [Question]   Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 23/06/2007 02:03:40 (+0700) | #39 | 66324
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
[quote =hieuhoc ]Lạ vậy ,bồ click phải vào file cần xóa nó có dòng "delete file on the next boot" như hình dưới không?  

Có dòng này và mình thử click vô nó cũng có kết quả tương tự(Accsess is denied.) smilie)
[Up] [Print Copy]
  [Question]   Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 23/06/2007 03:56:51 (+0700) | #40 | 66337
[Avatar]
kamikazeq
Member

[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
GS dùng chức năng "xóa on reboot" của Hijackthis xem.
Ko biết có mạnh hơn tụi khác không ?!
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 23/06/2007 05:18:26 (+0700) | #41 | 66353
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

Ghost Ship wrote:

gsmth wrote:
@GS: Tool unlocker nè, thử xem sao http://ccollomb.free.fr/unlocker/  


Hic cái này kô free sao ấy bác gsmth à smilie( Em kô biết down. Bác up nó lên cái host nào cho em được kô smilie)  


Free mà, download nè:
http://ccollomb.free.fr/unlocker/unlocker1.8.5.exe
[Up] [Print Copy]
  [Question]   Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 23/06/2007 05:38:43 (+0700) | #42 | 66357
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

kamikazeq wrote:
GS dùng chức năng "xóa on reboot" của Hijackthis xem.
Ko biết có mạnh hơn tụi khác không ?! 


Vẫn kô được kamikazeq à smilie) Mà mình kô muốn xóa bằng soft nữa mình muốn mọi người nghiên cứu tìm ra nguyên nhân vì sao nó lại cứng đầu như vậy. Rồi sẽ dùng tay can thiệp trực tiếp vào win để tiêu diệt nó như thế thì mới mở mang ra được smilie)

Mình chắc chắn là file llaclla đó đang được một cái process nào đó động đến nhưng có thể kô phải động đến theo kiêu file .exe sử dung file .dll nên kô thể tìm thấy file này trong những file dll đang được các Process sử dụng. Trong Window có nhiều file kô phải dll mà vẫn kô thể xóa được (file SAM chẳng hạn ) vậy các file đó được bảo vệ như thế nào? Nếu có virus sử dụng cách đó để phòng thủ thì ta phải làm thế nào? smilie)

Cả hiện tượng key registry kô delete được nữa, đây là lần đầu tiên mình gặp.

Hôm nay mình còn vớ được một con worm khủng mà mình chưa từng gặp. với con này thì mình thực sự kô hiểu nôi cơ chế của nó như thế nào luôn smilie) Tí nữa mình sẽ mở riêng một topic dành cho nó smilie
[Up] [Print Copy]
  [Question]   Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 23/06/2007 05:43:01 (+0700) | #43 | 66359
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

luckylac wrote:
mình mới viết 1 con tương tự như thế ... nên xin hiến 1 số kế cho cách diệt loại virus này.
COn này chính xác là nó inject dll vào shell . shell ở đây là explorer.exe
Windows shell cho phép chèn 1 đoạn code trong dll vào tiến trình explorer bằng 1 hàm trong shellapi (mình ko muốn nói rõ về hàm này... bạn nào muốn viết vì trao đổi với mình).

Dùng các chương trình chặn ghi vào registry bạn có thể biết dc vị trí con dll này... có thể là cùg 1 lúc nhiều dll....
TUy nhiên bạn ko thể delete nó dc vì nó đag đc xài bởi explorer.exe.. muốn diệt nó bạn làm 2 bước sau :
- Đảm bảo ko có tiến trình lạ nào đag chạy có thể là phương án 2 của nó.
- Kill explorer.exe => dll sẽ unload
->>> delete file dll nghi ngờ....
PHẢI ĐẢM BẢO LÀ KO CÒN CON .EXE NÀO CÓ THỂ TẠO MỚI DLL VÀ NHÚG LẠI VÀO EXPLORER.EXE

Sau đó hãy lần theo các khóa nguy hiểm trong registry để xóa nhữg con dạng .exe (các khóa mà chtr dc chay khi khởi động)

* chú ý:
1. Khi bị dính loại này , mã độc dc chạy ngay trên tiến trình explorer. Do đó rất nguy hiểm , bởi ko thể nghi ngờ explorer dc..
2.Kể cả trong safe mode explorer vẫn có thể bị inject dll cho dù bạn gọi nó từ taskmanager chứ ko phải winlogon. (còn của mình là vậy... còn ở đây ko biết thế nào)
3. Đối với loại virus inject dll này bạn nên chú ý nếu như thấy 1 tiến trình đag chạy là rundll32.exe rundll32.exe là 1 chtr hợp pháp của win nó dùng để chạy 1 hàm trong dll dc chỉ định... và rất có thể nó đag run mã độc..(nên cẩn thận bởi cpl của control panel cũng là dll, khi bạn mở 1 applet control panel thì nó dc run bởi rundll32.exe).

Mình đang phát triển con này.. và thấy rằng hoàn toàn có thể đăng ký 1 applet control panel để người dùng tự kích hoạt...
4. Khi kiểm tra các khóa registry .. đặc biệt cẩn thận với các khóa có chứa shell/command.... giá trị của nó có thể là 1 câu lệnh thực thi kích hoạt lại virus.

Khuyến cáo cho các chtr diệt virus.... : Hầu hết chtr diệt virus chặn việc ghi vào registry.. chưa có cơ chế chặn inject dll...
Do đó 1 giải pháp hữu hiệu cho mấy bác bkav là : HOOK API, còn API nào thì các bác tự tìm hiểu...
 

Kỹ thuật inject 1 DLL vào Explorer.exe đâu có gì mới ? Không cần kill process explorer.exe vẫn có thể unload DLL ra khỏi memory được mà ?
Thôi thì bạn ráng hoàn thành xong rồi up lên cho mọi người tham khảo vậy smilie)
[Up] [Print Copy]
  [Question]   Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 23/06/2007 05:44:50 (+0700) | #44 | 66360
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

Ghost Ship wrote:

Hôm nay mình còn vớ được một con worm khủng mà mình chưa từng gặp. với con này thì mình thực sự kô hiểu nôi cơ chế của nó như thế nào luôn smilie) Tí nữa mình sẽ mở riêng một topic dành cho nó smilie  

Cái này nghe có vẻ hay ho, túm lại là có mẫu thì mọi người mới giúp cho được... hì hì
[Up] [Print Copy]
  [Question]   Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 23/06/2007 08:40:14 (+0700) | #45 | 66374
[Avatar]
gsmth
Elite Member

[Minus]    0    [Plus]
Joined: 15/02/2007 13:25:36
Messages: 749
Offline
[Profile] [PM] [WWW] [Yahoo!]
@GS: unlocker là freeware mà... tải về theo link của LVH đó.
[Up] [Print Copy]
  [Question]   Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 23/06/2007 13:32:06 (+0700) | #46 | 66434
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
@GS: unlocker là freeware mà... tải về theo link của LVH đó.  

Em down nó về rồi, cài rồi và delete thwur rồi va nó báo là:
The object could not be deleted
Do you want to perform therquested delete operation at next reboot?(Y/N) 


Kô biết có được kô, có vẻ giống chức năng "xóa on reboot" của Hijackthis

Cái DelAny v2.1.exe có vẻ hiệu quả nhất. Nó xóa file bị remove quyền Delete trong ổ NTFS mất tiêu luôn kô cần reboot nhưng vẫn kô xóa được cái llaclla kia smilie
[Up] [Print Copy]
  [Question]   Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 23/06/2007 13:56:31 (+0700) | #47 | 66438
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
IceSword Vô địch smilie

Mọt mũi tên diệt hai con chim smilie kô ngờ vấn để được giải quyết nhanh vậy smilie

Kô biết cac key của llaclla phải delete thế nào. h ehe IceSword có cả registry quả này thì ngon rồi smilie

Phục cha viết ra IceSword quá smilie
[Up] [Print Copy]
  [Question]   Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 23/06/2007 16:30:53 (+0700) | #48 | 66453
luckylac
Member

[Minus]    0    [Plus]
Joined: 19/08/2004 00:39:12
Messages: 30
Offline
[Profile] [PM]
co che cua no la the nao vay nhi?
delete file runtime ay....
co' idea nao ko?

[Up] [Print Copy]
  [Question]   Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 24/06/2007 02:35:04 (+0700) | #49 | 66523
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Có cái gì đó kô bình thường.

Cứ mở IceSword --> registry --> mở gần đến mấy cái key của llaclla thì máy "tắt". tắt như bị ngắt điện đột ngột vậy rồi tự restart lại ngay smilie(

Tối hôm qua bị 2 lần kô dám động đến nữa. Sáng nay thử làm lại cũng bị thế vừa restart xong vào IceSword --> registry --> "tắt" luôn (2 lầ liên tiếp)

khi restart xong mà kô động đến registry quá IceSword thì kô sao smilie( Định Ghost lại nhưng thấy như vậy lại thôi, theo dõi thêm, mấy hôm nữa xem thế nào. Chẳng nhẽ kô khám phá ra vì sao ??? Ghost ngay bây giờ hơi phí smilie mà liệu có phải nó làm trục trặc ở phần cứng kô nhỉ?

Phần mềm có khả năng làm máy tắt đột ngột rồi restart lại ngay như vậy kô ?
[Up] [Print Copy]
  [Question]   Re: Con trojan này có khả năng phòng thủ rất cao. Xin các cao thủ cho ý kiến! 24/06/2007 02:46:17 (+0700) | #50 | 66524
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

luckylac wrote:
co che cua no la the nao vay nhi?
delete file runtime ay....
co' idea nao ko?
 


He he cái này phải các chuyên gia về code với giải thích được smilie IceSword xóa được file llaclla nhưng đó là cách can thiệp "thô bạo" nên kô giải quyết được vấn đề tận gốc. Kô hiểu được cơ chế bảo về cái file llaclla và các key của nó trong Registry thế nào thì kô thể giải quyết tận gốc vấn đề smilie) Đành sống chung với nó vậy smilie)
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|