English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Trao đổi kinh nghiệm diệt dòng w32.Stration  XML
  [Question]   Trao đổi kinh nghiệm diệt dòng w32.Stration 09/02/2007 10:21:07 (+0700) | #1 | 40841
[Avatar]
 tmd
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Trước giờ gặp 1 lần Stration rồi, và diệt bằng tay con này. Nhưng tốc độ lây nó kinh dị quá, không ngăn được gì nhiều. Ai có xui xẻo gặp con này, trao đổi thêm kinh nghiệm diệt/ngăn/training để tránh gặp nó.

Nó tạo 1 file .dll tự tạo dịch vụ trong HDH windows, chạy smtp gửi mail chôm được trên máy nạn nhân về master. Rồi sau đó tiến hành gửi mail rác.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Trao đổi kinh nghiệm diệt dòng w32.Stration 13/02/2007 13:35:10 (+0700) | #2 | 41428
[Avatar]
 tban_thinh
Member
[Minus]    0    [Plus]
Joined: 11/12/2006 00:33:09
Messages: 35
Location: Behide Computer
Offline
[Profile] [PM]
Có phải nó không ông bạn:
It creates a copy of itself into the Windows directory:

* %WINDIR%\t2serv.exe ( 117363 bytes )

(Where %WinDir% usually refers to the c:\windows\ directory)

Then it drops the following files.

* %SYSTEMDIR%\rsmpmsim.exe ( 12288 bytes ) W32/Stration@MM virus
* %SYSTEMDIR%\cdoskbdu.dll ( 20480 bytes ) W32/Stration@MM virus
* %WINDIR%\t2serv.dll ( 6656 bytes ) W32/Stration@MM virus
* %SYSTEMDIR%\icaacsrs.dll ( 28672 bytes ) W32/Stration@MM virus
* %SYSTEMDIR%\e1.dll ( 8192 bytes ) W32/Stration@MM virus
* %WINDIR%\t2serv.wax

The dll files are injected into the process "explorer.exe". The worm the following registry keys.

* hkey_local_machine\software\microsoft\windows\currentversion\run
\t2serv="%WINDIR%\t2serv.exe s"
* hkey_local_machine\software\microsoft\windows nt\currentversion
\windows\appinit_dlls=" icaacsrs.dll e1.dll"
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|