banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... virus tự đổi tên  XML
  [Question]   virus tự đổi tên 31/01/2010 22:13:09 (+0700) | #1 | 204300
narita11188
Member

[Minus]    0    [Plus]
Joined: 27/01/2010 12:27:39
Messages: 10
Offline
[Profile] [PM]
Bạn nào tốt bụng xem giúp mình con này. NÓ ghê gớm quá. Tự đổi tên, thành ra chả biết search để kil như thế nào
smilie
Code:
http://ifile.it/pk0e5cn

diệt dùm với . hu hu
[Up] [Print Copy]
  [Question]   virus tự đổi tên 01/02/2010 08:35:30 (+0700) | #2 | 204311
thinh_monova
Member

[Minus]    0    [Plus]
Joined: 29/12/2009 18:59:34
Messages: 6
Offline
[Profile] [PM]
đây là con trojan , viết bằng visual c++ 6.0 , pack bằng upx , nguồn gốc từ nước ngoài ... tại thấy trong code ghi toàn tiếng nước ngoài smilie

các hám sử dụng :

00405000 RegOpenKeyExA ADVAPI32
00405004 RegCloseKey ADVAPI32
00405008 RegOpenKeyA ADVAPI32
0040500C RegSetValueExA ADVAPI32
00405014 GetTimeZoneInformation KERNEL32
00405018 GetLocalTime KERNEL32
0040501C CloseHandle KERNEL32
00405020 CreateThread KERNEL32
00405024 GlobalFree KERNEL32
00405028 DeleteFileA KERNEL32
0040502C Sleep KERNEL32
00405030 CreateProcessA KERNEL32
00405034 ReadFile KERNEL32
00405038 SetFilePointer KERNEL32
0040503C GlobalAlloc KERNEL32
00405040 lstrlen KERNEL32
00405044 CreateFileA KERNEL32
00405048 lstrcpyn KERNEL32
0040504C GetPrivateProfileStringA KERNEL32
00405050 GetModuleFileNameA KERNEL32
00405054 ReleaseMutex KERNEL32
00405058 GetLastError KERNEL32
0040505C CreateMutexA KERNEL32
00405060 SetErrorMode KERNEL32
00405064 GetModuleHandleA KERNEL32
00405068 GetStartupInfoA KERNEL32
0040506C ExitThread KERNEL32
00405070 lstrcpy KERNEL32
00405074 lstrcat KERNEL32
00405078 WriteFile KERNEL32
0040507C GetTickCount KERNEL32
00405084 __getmainargs msvcrt
00405088 memset msvcrt
0040508C memmove msvcrt
00405090 _controlfp msvcrt
00405094 _except_handler3 msvcrt
00405098 __set_app_type msvcrt
0040509C __p__fmode msvcrt
004050A0 atoi msvcrt
004050A4 __p__commode msvcrt
004050A8 _adjust_fdiv msvcrt
004050AC __setusermatherr msvcrt
004050B0 _initterm msvcrt
004050B4 memcpy msvcrt
004050B8 _acmdln msvcrt
004050BC exit msvcrt
004050C0 _XcptFilter msvcrt
004050C4 _exit msvcrt
004050C8 strlen msvcrt
004050CC memcmp msvcrt
004050D4 CharUpperA USER32
004050D8 wsprintfA USER32
004050DC CharLowerA USER32
004050E4 InternetOpenA WININET
004050E8 InternetCloseHandle WININET
004050EC InternetOpenUrlA WININET
004050F0 InternetReadFile WININET
004050F8 WSAStartup WS2_32
004050FC getpeername WS2_32
00405100 inet_ntoa WS2_32
00405104 __WSAFDIsSet WS2_32
00405108 htons WS2_32
0040510C getsockname WS2_32
00405110 recvfrom WS2_32
00405114 sendto WS2_32
00405118 gethostname WS2_32
0040511C bind WS2_32
00405120 listen WS2_32
00405124 accept WS2_32
00405128 select WS2_32
0040512C recv WS2_32
00405134 socket WS2_32
00405138 connect WS2_32
0040513C closesocket WS2_32
00405140 inet_addr WS2_32
00405144 gethostbyname WS2_32
00405148 send WS2_32

nhìn code , mình đoán nó ghi vào registry để autorun , download từ mang về để update dữ liệu
dùng socket để gửi dữ liệu đi .

cấu hình lại trình duyệt tại Software\Microsoft\Windows\CurrentVersion\Internet Settings

trình độ của mình phân tích chỉ đến đây thôi .....
[Up] [Print Copy]
  [Question]   virus tự đổi tên 01/02/2010 16:43:57 (+0700) | #3 | 204343
narita11188
Member

[Minus]    0    [Plus]
Joined: 27/01/2010 12:27:39
Messages: 10
Offline
[Profile] [PM]
thế bi giờ diệt nó như thế nào ạ smilie( . MỆt mỏi quá. 2 năm nay mới dính 1 con này . Máy thỉnh thoảng giật cho 1 phát . Ức chế T_T . Nghe nhạc cũng không yên . THỉnh thoảng lag lag smilie(
Bạn nào giúp mình với smilie( smilie( Nó phá cả file anti virus. Cuối tuần này , nếu không có ai giúp được . Mình có lẽ phải mang ổ đến nhà bạn nhờ quét hộ rồi cài lại win ....
Help me pls....
Đúng như bạn thinh_monova đã phân tích
À , nó có hẳn 1 chuỗi kí tự . để random tên. Nên đến giờ mình cũng chẳng biết tên thật em nó là gì hu hu hu ....
toàn nick name T_T
Giúp mình đi mà . .... .... plz plz plz ....
[Up] [Print Copy]
  [Question]   virus tự đổi tên 02/02/2010 07:16:17 (+0700) | #4 | 204381
[Avatar]
VTN_89
Member

[Minus]    0    [Plus]
Joined: 25/09/2006 21:47:01
Messages: 76
Offline
[Profile] [PM]
cho tôi xin link download con vr đi bạn, tôi thử diệt nó cho ! chúc bạn vui.
[Up] [Print Copy]
  [Question]   virus tự đổi tên 02/02/2010 09:16:44 (+0700) | #5 | 204389
narita11188
Member

[Minus]    0    [Plus]
Joined: 27/01/2010 12:27:39
Messages: 10
Offline
[Profile] [PM]
hì. Uh. Tiếc là virus máy mình giờ không còn nữa smilie(
Cảm ơn bạn rất nhiều. Đã xác định nó là 1 con hỗn hợp Bao gồm 1 trojan và sality ..... Dùng avira free quét rồi , chưa yên tâm lắm. Chắc cho thêm em kas quét nữa smilie) .
Bkav home phò quá , quét mãi chả ra cái j ^^
[Up] [Print Copy]
  [Question]   virus tự đổi tên 02/02/2010 09:19:38 (+0700) | #6 | 204390
narita11188
Member

[Minus]    0    [Plus]
Joined: 27/01/2010 12:27:39
Messages: 10
Offline
[Profile] [PM]
Mình để link down virus ở trên cùng ý . Chả biết có down đc nữa không. Chẳng dám thử T_TCode:
http://www.mediafire.com/?sharekey=ec40ee9e0252272dd8f14848abf485dd5e6a4a80614d6205d9ecd7d091ba63d2

link con trojan gốc còn sót lại ,. CHịu không kill dc nó . chả hiểu đc T_T
[Up] [Print Copy]
  [Question]   virus tự đổi tên 03/02/2010 07:41:23 (+0700) | #7 | 204447
[Avatar]
VTN_89
Member

[Minus]    0    [Plus]
Joined: 25/09/2006 21:47:01
Messages: 76
Offline
[Profile] [PM]
Bạn cứ nghĩ đơn giản vấn đề rằng bạn là người tạo ra vr,... tất nhiên ý tôi là bạn có thể kiểm soát tốt nó không bị nó đánh bật.
- Để làm được điều đó quả thật không dễ dàng, tuy nhiên bạn có thể sống chung với vr không? bạn hãy là một con vr trước đã rồi hãy sống chung với nó. Nếu bạn suy luận tốt đôi khi bạn không cần diệt nó mà chỉ cần ở chung là thoải mái, không lo âu gì cả smilie chỉ sợ bạn không can đảm thôi ^^hehehe.
[Up] [Print Copy]
  [Question]   virus tự đổi tên 03/02/2010 13:29:36 (+0700) | #8 | 204465
hackerngheo
Member

[Minus]    0    [Plus]
Joined: 15/08/2009 19:47:29
Messages: 45
Offline
[Profile] [PM]
tui thử rồi máy có cài đóng băng nó lm2 may chậm thiệt tui khỡi động lại rồi dùng avg quét diệt hết rồi, bạn thữ cài lại win rồi cài chương trìng diệt vỉut avg là ok smilie smilie smilie smilie smilie smilie smilie
[Up] [Print Copy]
  [Question]   virus tự đổi tên 04/02/2010 06:53:12 (+0700) | #9 | 204519
narita11188
Member

[Minus]    0    [Plus]
Joined: 27/01/2010 12:27:39
Messages: 10
Offline
[Profile] [PM]
Vấn đề đặt ra là Avira vẫn còn báo Còn trojan trong máy . FIle tabletextservice.exe trong window NT . , Adobeupdater.exe,... NÓ cứ báo . Mình không rõ có phải trojan không.
Nhưng đoán là không phải .
Cảm ơn các bạn đã góp ý . smilie .
Tái bút : Sống chung thì đơn giản thôi. Học cách chấp nhận. Lúc đầu thì hơi khó khăn nhưng chắc 1 thời gian sẽ quen . Mà quen ở chung với đống rác .....sẽ không thấy bẩn. LIệu đấy có phải 1 sự lựa chọn đúng ?
Câu hỏi đc dành cho bạn VNT_89
[Up] [Print Copy]
  [Question]   virus tự đổi tên 04/02/2010 06:54:29 (+0700) | #10 | 204520
narita11188
Member

[Minus]    0    [Plus]
Joined: 27/01/2010 12:27:39
Messages: 10
Offline
[Profile] [PM]
May cho bạn , là trên chỉ là 1 mẫu nhỏ của nó. COn trojan gốc có khả năng phá bung deepfreze smilie
Cảm ơn bạn đã test hộ mình :X:X:X:X
[Up] [Print Copy]
  [Question]   virus tự đổi tên 06/02/2010 15:58:39 (+0700) | #11 | 204663
[Avatar]
VTN_89
Member

[Minus]    0    [Plus]
Joined: 25/09/2006 21:47:01
Messages: 76
Offline
[Profile] [PM]

narita11188 wrote:
Vấn đề đặt ra là Avira vẫn còn báo Còn trojan trong máy . FIle tabletextservice.exe trong window NT . , Adobeupdater.exe,... NÓ cứ báo . Mình không rõ có phải trojan không.
Nhưng đoán là không phải .
Cảm ơn các bạn đã góp ý . smilie .
Tái bút : Sống chung thì đơn giản thôi. Học cách chấp nhận. Lúc đầu thì hơi khó khăn nhưng chắc 1 thời gian sẽ quen . Mà quen ở chung với đống rác .....sẽ không thấy bẩn. LIệu đấy có phải 1 sự lựa chọn đúng ?
Câu hỏi đc dành cho bạn VNT_89 


- Vr thì nhỏ bé, nếu nói nó là rác thì không thể đâu ! Chẵng qua phương pháp đó là cách tốt nhất cho những ai không tin vào soft scan vr như mình smilie Mình chỉ dùng soft quét khi cần thiết lắm thôi ! Chứ vr cũng là phần sống còn của dân IT mà ^^ Nên Thanks nó đi chứ ^^
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|