[Discussion] Virus đa cấu hình tự động tải về máy |
09/04/2011 23:23:23 (+0700) | #1 | 235158 |
|
VTN_89
Member
|
0 |
|
|
Joined: 25/09/2006 21:47:01
Messages: 76
Offline
|
|
*Theo mình biết đây là virus đa cấu hình.
- Windown Firewall tự động off, luôn xuất hiện ipsec trong Programs and services ở Tab Exceptions.
- Nó tự tải về máy, nằm trong thư mục %Temp%, tên thì thay đổi khác nhau và tự động chạy trên Task Manager.
- Có một số con gây mất điều khiển một số tiến trình của windown:
+ Hidden files and folders
+ Dis Task manager.
+ ...
*Thao tác nhìn nhận virus
- Mình đã nén nó lại và đặt mật khẩu cho nó, sau đó vào task manager kick nó đi, nếu có tự tải về thì mình kéo thả vào tiếp mục nén, xóa nó và song song đó những con virus đó mình cũng khóa nó lại bằng một chương trình khác. (Thao tác này giúp mình khóa loại virus đó và sưu tầm liên tục nếu nó cứ tải về)
- Đặt điểm trên nói rằng virus nào cùng loại tự tải về đều bị khóa một cách tốt nhất dù nó có tên khác.
- Dòng CRC32 (trong hình ảnh nhiều màu sắc) nói lên nó thuộc virus loại nào. Và trong khi mình viết bài này thì nó không tự tải về nữa mới đâu chứ.
- Hiện tại mình đang thao tác trên chế độ Deep Freeze mở nên yên tâm khi khởi động.
- Ổ C và D không có file autorun nào và con virus nào.
*Khi đã nhận diện và khóa nó, và mình sẽ khóa các loại lại khi mở băng và ngắc mạng. Để khi đóng băng nó có tải về %temp% thì cũng không chạy trên task manager được.
*Khi đã khóa lại thì mình yên tâm với các loại vr này và tìm kiếm ở những lần sau xem nó còn tải về con nào loại khác không trước khi mình tìm ra hướng giải quyết ngoài cách ghost lại máy.
*Đang tìm cách trị tuyệt đối vì mình còn chưa biết tiến trình nào làm cho FW của mình tự off, có lẽ điều đó khiến cho vr tự tải về chăng ? Nếu trị liệu phần FW của hệ thống lại như ban đầu của Windown thì sẽ hết tự tải nữa không ? Mình đang có một số câu hỏi như vậy, anh em gần xa giúp mình trả lời một số câu hỏi và có suy luận nào giúp mình diệt nó bằng tay loại này không ?
File nén virus mà mình nói trong bài: pass giải nén là phím ` ( trước số 1 )
http://www.2shared.com/file/FCzpvzbv/Temp.html |
|
|
|
|
[Discussion] Virus đa cấu hình tự động tải về máy |
10/04/2011 05:48:52 (+0700) | #2 | 235164 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Cái file nào có ***kb.exe là Sality.At theo cách gọi của Avira. Mấy chục file chử cái liền nhau dung lượng 10k là Trojan Downloader cùng một loại. Cách lẹ nhất không cần suy nghĩ gì nhiều là đúc 1 đĩa Hiren boot mới có avira, internet rồi tiến hành quét. Không có nét thì làm theo hướng dẫn update offline bằng file download từ avira. Dùng đĩa boot antivirus từ các cty khác cũng được(toàn distro linux).
|
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Virus đa cấu hình tự động tải về máy |
10/04/2011 13:45:13 (+0700) | #3 | 235191 |
|
VTN_89
Member
|
0 |
|
|
Joined: 25/09/2006 21:47:01
Messages: 76
Offline
|
|
- phần kb là mình đặt tên cho dung lượng để phân biệt virus ở những con trước đó. Nhưng khi vào file nén thì nó do dung lượng to hơn một chút, điều đó đồng nghĩa với vô nghĩa.
- Mình đang tìm hiểu cách thức nó tải về theo phương pháp nào đó để chặn nó lại. Còn việc triệt tiêu khi dùng CD boot mình cũng làm được khi vào linux.
- Mình nghi ngờ là do tường lửa của windowns bị ảnh hưởng, nhưng chưa biết các trình nào của hệ thống có thể thay đổi đến tương lửa và mình muốn kiểm tra tất cả những gì liên quan và thao tác đến tường lửa. Ít nhiều kiếm trác một chút kinh nghiệm hoặc cao hơn là triệt bằng tay và tự tạo khán thể lau dài mà không phải dùng đến ổ CD. |
|
|
|
|
[Discussion] Virus đa cấu hình tự động tải về máy |
10/04/2011 14:13:58 (+0700) | #4 | 235197 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Cách thức tải về là có 1 thứ gì đó trình diệt không được cập nhật, kết nối tới đâu đó như ftp server , tải hàng về, chạy cái thứ đó lên.Tường lửa windows XP chăn có một chiều ra không 100% thì khó mà "chặn". Mình thích thứ khác windows firewall thì có zonealarm,comodo,...
Người ta nói nếu không hiểu registry thì đừng vọc vạch như trên mạng hướng dẫn mà không tạo system restore point.
PS: Windows mà mình nắm không đủ mức thì vẫn có thứ gì đó làm việc ngay trước mũi mà mình không biết.
Mã độc kết hợp giữa các tính năng tự thêm vào file thực thi, download cái gì đó về để chạy, và được lập trình luôn mới thì chặn bằng hiểu biết "cũ" là không có đủ.
Không có trình diệt, tường lửa, duyệt web tùm lum, chạy soft vô tội vạ -> có phòng kiểu gì cũng bị. Hiểu đơn giản nhất là mình "enter" chạy software làm sao thì mã độc do mình "cấp quyền" nó cũng thực thi được "lệnh" của nó y chang như mình. Nó không phải là con ma.
Tự thí nghiệm với mã độc có sẳn trên internet/ hay tình cờ "thấy" được nó trên windows mà không hiểu lập trình hệ thống, các biện pháp tìm hiểu như mấy vị viết phần mềm chống virus thì cũng tự rước hoạ. Ví dụ ở đây là "nén" file cá thể nhận biết bằng trình duyệt file mà mắt thấy.
Kết luận cuối, không tự chặn = tay mà không có sự can thiệp của phần mềm tự động hoặc chỉnh sửa thành phần hệ thống. Chặn bằng niềm tin thì có lẽ "được". Về chi tiết thì trên HVA,internet,sách có vô số.
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Virus%3aWin32%2fSality.AT#techdetails_link
Mỗi biến thể có thể khác nhau nhưng hình thức thì như nhau. Chặn "tay" sao hết.
Có sẳn sao không coi /hvaonline/posts/list/32029.html, sách tuơng tự cũng có, internet cũng có nói |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Virus đa cấu hình tự động tải về máy |
10/04/2011 23:51:42 (+0700) | #5 | 235227 |
|
tanviet12
Member
|
0 |
|
|
Joined: 10/05/2010 12:15:15
Messages: 138
Location: TP - HCM
Offline
|
|
Virus "đa cấu hình"? Nghe sao giống bản ghost quá. Có phải bạn đang nói đến virus "Siêu đa hình"? |
|
BTV
fb.com/buitanviet |
|
|
|
[Discussion] Virus đa cấu hình tự động tải về máy |
13/04/2011 15:02:28 (+0700) | #6 | 235371 |
|
sasser01052004
Member
|
0 |
|
|
Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline
|
|
virus đa cấu hình
Là cái gì vậy mình chưa nghe bao giờ. Bạn sử dụng sai trầm trọng các từ ngữ chuyên môn. Trong file temp.rar này có một con sysanti. Con này nghe nói xuyên được deepfreezer.
Trong trường hợp này, bạn nên sao lưu lại driver (bằng driver max) rồi cài lại windows. Chúc bạn thành công. |
|
Ask me why, don't ask me what. |
|
|
|
[Discussion] Virus đa cấu hình tự động tải về máy |
15/04/2011 15:33:28 (+0700) | #7 | 235513 |
|
VTN_89
Member
|
0 |
|
|
Joined: 25/09/2006 21:47:01
Messages: 76
Offline
|
|
- Virus siêu đa hình đính chính là vậy
- Con xuyên băng không ăn vào máy, mình khoá nó và kéo chơi xem sao thôi
- Mình quan tâm nhất là phần ipsec có lẽ ít ai hiểu về nó, nó có tác dụng tốt là gì xấu là gì ? và muốn ngắt hẵn nó khi lướt Net thì phải đụng đến thứ gì trong windowns ?
- Hiện tại mình đã khoá nó lại hết rùi, tuy vậy nó vẫn tự tải về máy nhưng không chạy đc ) nó chỉ hiện bản khoá của mình lên khi con vr tự tải về máy và tự chạy Điều đó chứng minh những con virus mình chặn không hoạt động được và ko thấy con virus nào khác hơn !
- Chỉ còn điểm nghi vấn là phần IPsec tại sao nó cứ hiện ra hoài và mình chưa biết tắt nó như thế nào ? Mình đã thực thi ở máy khác là tạo tài khoản con trong windown và dis nó trong msconfig (services) thế là nó không hiện nữa các pác suy luận chung xem sao nha.
|
|
|
|
|
[Discussion] Virus đa cấu hình tự động tải về máy |
15/04/2011 19:34:27 (+0700) | #8 | 235524 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
). Cái này gọi là tự nuôi cấy mã độc hồn nhiên. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Virus đa cấu hình tự động tải về máy |
16/04/2011 10:02:54 (+0700) | #9 | 235568 |
|
HoangTuNhaPhamVan
Member
|
0 |
|
|
Joined: 11/12/2010 19:38:22
Messages: 30
Location: Hải Dương
Offline
|
|
Con virus này mình đã test và đã bị lỗi hệ thống ở mấy chỗ (
Thứ mà bạn cần biết là ở chỗ này
http://www.minhloi.net/forum/threads/3012-Tim-hieu-ve-mau-Virus-Win32-Sality-ag
Con virus này đáng ghét phết
|
|
-‘๑’-•(¯`•» Hải «•´¯)•-‘๑’- |
|
|
|
[Discussion] Virus đa cấu hình tự động tải về máy |
17/04/2011 00:46:14 (+0700) | #10 | 235605 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
- Chỉ còn điểm nghi vấn là phần IPsec tại sao nó cứ hiện ra hoài và mình chưa biết tắt nó như thế nào ?
Cái gì bất thường thì phải suy nghĩ cho kỹ , có phải là mình tự cho là mình đang an toàn hay không ?Cái gì cũng dễ ăn như vậy thì lập trình virus trên windows để làm gì. Để chơi sao bạn.
Bà con thích dùng từ ngữ "nguy hiểm" trong khi mình đang trong tình trạng rất "nguy hiểm" |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Virus đa cấu hình tự động tải về máy |
17/04/2011 23:19:24 (+0700) | #11 | 235662 |
|
VTN_89
Member
|
0 |
|
|
Joined: 25/09/2006 21:47:01
Messages: 76
Offline
|
|
"tmd" trả lời có vẻ nguy hiểm Nếu bạn là con virus thì tôi chắc chắn bạn sẽ bị tôi khoá nữa đường, còn trong bài này mình hỏi thăm một số vấn đề là vì mình cũng đã khắc chế một nữa đoạn đường đi của virus chạy trên hệ thống bây giờ chỉ tìm cái gốc trong cái hốc Vui vẻ nhé, ai cũng học tập và thực hành bạn à á ả ã ạ â ă |
|
|
|
|
[Discussion] Virus đa cấu hình tự động tải về máy |
17/04/2011 23:48:51 (+0700) | #12 | 235663 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Hỏi ngược lại thế cái gì tự động chạy ngay trước mũi mà người dùng không biết tại sao nó chạy được ? Trường hợp cụ thể này là trường hợp của bạn đó ? Bạn nghĩ cái service đó là gì ?
Bạn nên để ý người khác góp ý cho bạn xem trong cái file temp.rar có những gì kìa. Trong đó có hai loại, sality.AT và 1 nhóm trojan downloader. Tui nghĩ bạn không nhận biết mình đang "khắc chế" loại mã độc nào trong hai loại trên.
Nếu bạn nói bạn đang khắc chế Sality.AT bằng cách sài Deep Freeze (chỉ phân vùng cài HDH windows) thì bạn cũng hồn nhiên thật. Tui đoán vậy thôi chứ có thể bạn đang chơi đùa với Sality.AT . Tui nghĩ nó đang khắc chế bạn thì đúng hơn. Tìm hiểu Polymorphic virus là gì nha, đồng thời tìm hiểu PE Virus là thứ gì luôn. Tui đang nói nguy hiểm đó bạn. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Virus đa cấu hình tự động tải về máy |
18/04/2011 00:11:12 (+0700) | #13 | 235664 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Đọc và hiểu sơ sơ được người ta nói gì trong cái link dưới để biết mình không nên nghịch với polymorphic virus với hiểu biết chưa đủ.
http://www.securelist.com/en/analysis/204792122/Review_of_the_Virus_Win32_Virut_ce_Malware_Sample.
How to disinfect a PC from Virus.Win32.Virut.ce, q
http://support.kaspersky.com/faq/?qid=208280756
How to disinfect my computer from Virus.Win32.Sality?
http://support.kaspersky.com/viruses/solutions?qid=208279889
Gần như mấy vị chuyên gia kaspersky này nói đủ để người dùng tự hiểu. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|