banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Image File Execution Options,kiểu phá mới của worm,trojan.  XML
  [Question]   Image File Execution Options,kiểu phá mới của worm,trojan. 10/04/2007 03:54:57 (+0700) | #1 | 52746
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Mới thấy một con trojan có tên là QQpass.hs . Ban đầu không biết nó như thế nào, theo cách thường làm, kiểm tra process bình thường thấy severe.exe, conime.exe. Sau đó thấy thêm winlist.exe trong file autorun.inf, oso.exe hx1.bat. Gỏ regedit, ... chạy một số soft đều báo không thấy đường dẫn tới file đó. Kỳ lạ hơn là autoruns của sysinternal báo Image File Execution Options dẫn tới một file avipit.exe cho một vài cái file lạ hoắc như ravmon.exe , một số tên file soft vừa báo lỗi.

Thông tin này mới biết thêm từ google
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.com
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.com
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NOD32.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe" 


Coi như regedit, msconfig, folder Options, và một số software đều không chạy khi dính con trojan này. Icesword,seem,... đều bị dính. May mắn là gmer, processxp,autoruns ko bị. Process chính của con trojan không thấy được bằng processxp.

Chỉ cần để autorun , cắm usb vào là dính liền.

Lên mạng mới thấy tính năng Image File Execution Options của windows để xác định loại soft nào để chạy mở các loại file mở rộng khác nhau như trong cái link
http://www.osix.net/modules/article/?id=781 
nói.

Nên chú ý với loại phá hoại này

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Image File Execution Options,kiểu phá mới của worm,trojan. 10/04/2007 06:55:20 (+0700) | #2 | 52788
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe 


Hoặc nó muốn bất kỳ thằng diệt virus nào có trên thế giới không chạy được. Nó thêm vào như cái icesword, thế là xong.

Con này từ Trung Quốc, nên nó ngăn một số trình duyệt từ Trung Quốc, bao gồm icesword. Con này mà viết bởi mấy ma Việt Nam, -> ngăn sạch trơn các trình diệt trên TG.
Hy vọng không có anh em nào chơi xấu đồng bào. Cách ngăn chặn hữu hiệu là tắt autoplay của USB.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Image File Execution Options,kiểu phá mới của worm,trojan. 12/04/2007 00:33:36 (+0700) | #3 | 53112
theory1
Member

[Minus]    0    [Plus]
Joined: 15/04/2006 14:59:07
Messages: 24
Offline
[Profile] [PM]
vậy làm sao để khôi phục được regedit,msconfig...chạy được??
[Up] [Print Copy]
  [Question]   Re: Image File Execution Options,kiểu phá mới của worm,trojan. 12/04/2007 12:47:12 (+0700) | #4 | 53217
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*.exe
"Debugger" = "%SystemRoot%\system32\drivers\avipit.exe"


Theo tui hiểu thì key trên có tác dụng khi ta mở file *.exe thì file đó sẽ kô dược chạy mà file avipit.exe trong %SystemRoot%\system32\drivers\ sẽ chạy thay thế.

avipit.exe chỉ là file nguồn của malware này, nó có tác dụng cài và khởi động các file thực thi của malware này vào hệ thống. nên mỗi lần ta mở một ứng dụng đã bị malware này cho vào danh sách giống như *.exe kia thì tương đương với một lần ta kích hoạt cho file avipit.exe kia hoạt động. Đó chỉ là một cách kích hoạt cho malware hoạt động thôi.

File avipit.exe sau khi cài và khởi động malware thì nó lại tự kết thúc hoạt động nên kô tìm thấy process của nó trong processxp, mà chỉ thấy các file vừa được cài và khởi động của malware này (severe.exe, conime.exe)

Nếu regedit, msconfig, folder Options bị khóa thì con này cũng thường thôi.

Chỉ cần để autorun , cắm usb vào là dính liền.  


Cắm USB sạch vào máy nhiễm malware thì USB có thể bị malware copy file nguồn và Auturun.inf vào USB ngay lập tức.

Còn cắm USB kô sạch (có chứa nguồn malware và file Autorun.inf của malware đó) vào máy thì malware trong USB kô thể bị kích hoạt ngay nếu người dùng kô kích đúp lên USB(sự kiện làm file Auturun.inf trong USB hoạt động)
[Up] [Print Copy]
  [Question]   Image File Execution Options,kiểu phá mới của worm,trojan. 13/04/2007 01:36:19 (+0700) | #5 | 53289
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
"
Còn cắm USB kô sạch (có chứa nguồn malware và file Autorun.inf của malware đó) vào máy thì malware trong USB kô thể bị kích hoạt ngay nếu người dùng kô kích đúp lên USB(sự kiện làm file Auturun.inf trong USB hoạt động) "

Có bao giờ thử chưa , dám bật AUTORUN lên rồi cắm USB có dính virus vào chưa. Chắc chưa bao giờ dám. Nổ thì to mà cứ chê bà con là GÀ.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Image File Execution Options,kiểu phá mới của worm,trojan. 13/04/2007 01:51:42 (+0700) | #6 | 53293
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
tmd
"
Còn cắm USB kô sạch (có chứa nguồn malware và file Autorun.inf của malware đó) vào máy thì malware trong USB kô thể bị kích hoạt ngay nếu người dùng kô kích đúp lên USB(sự kiện làm file Auturun.inf trong USB hoạt động) "

Có bao giờ thử chưa , dám bật AUTORUN lên rồi cắm USB có dính virus vào chưa. Chắc chưa bao giờ dám. Nổ thì to mà cứ chê bà con là GÀ.  


Máy của tôi chưa bao giờ tắt chế độ AUTORUN, hầu như ngày nào cũng có USB mang đến cắm. Đa số USB đều có malware và file Autorun.inf bên trong, nhưng chưa bao giờ tôi bị nhiễm nếu kô click đúp vào USB.

Những gì tôi nói đều được thấy qua thực tế. Ai chưa thử làm vì nhát gan thì đừng có bật lại như đúng rồi như thế.
[Up] [Print Copy]
  [Question]   Image File Execution Options,kiểu phá mới của worm,trojan. 13/04/2007 02:08:14 (+0700) | #7 | 53296
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Double Click, Open, Explore, autoplay trên context menu của trình duyệt Explorer(right click) có làm cho khả năng autoplay của windows chạy không ?.

Máy không cài trình diệt, tắc Autorun, cắm usb vào -> có lây vào không ?

Nếu biết thì trả lời, không biết thì có thể nổ để bà con góp ý. Từ lúc ban đầu vào là thấy củ chuối một nải rồi.

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Image File Execution Options,kiểu phá mới của worm,trojan. 13/04/2007 02:39:36 (+0700) | #8 | 53303
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Double Click, Open, Explore, autoplay trên context menu của trình duyệt Explorer(right click) có làm cho khả năng autoplay của windows chạy không ?.

Máy không cài trình diệt, tắc Autorun, cắm usb vào -> có lây vào không ?

Nếu biết thì trả lời, không biết thì có thể nổ để bà con góp ý. Từ lúc ban đầu vào là thấy củ chuối một nải rồi.  


tôi đã từng làm và thấy những thao tác làm file Autorun.inf trong USB hoạt động --> virus được kích hoạt --> máy nhiễm virus là:
+Double Click trực tiếp lên USB.
+Right click vào "Autoplay" hoặc "Play" trên context menu của USB.

Còn kô làm file Autorun.inf hoạt động là:
+Right click vào Open, Explore trên context menu của USB.

Tất cả nhưng thao tác trên đều được thực hiện khi chưa tắt chế độ Autorun

Máy không cài trình diệt, tắc Autorun, cắm usb vào -> có lây vào không ? 


Viết rõ một tí, đặt vấn đề cũng lủng cà lủng củng thế này thì B ai hiểu nổi mà trả lời .

Tạm hiểu là: Máy không cài trình diệt, kô tắt Autorun, cắm usb có Autorun.inf và malware vào -> malware có bị kich hoạt kô?

Tôi khẳng định là: máy kô bị lây. Chưa bao giờ tôi thấy malware bị kích hoạt ngay khi cắm USB vào máy. Còn tương lai thì chưa biết thế nào smilie)

Chưa thử thì đừng có quá tự tin bật lại như thế. Tôi còn thấy ông củ chuối từ gốc tới ngọn luôn đấy.

Chán ! Ko có ông PRO bào biết về vấn đề này hay sao? Hay là thấy cãi nhau vui quá nên cứ để như thế cho BOX nó xôm smilie)
[Up] [Print Copy]
  [Question]   Image File Execution Options,kiểu phá mới của worm,trojan. 13/04/2007 03:03:54 (+0700) | #9 | 53305
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Còn kô làm file Autorun.inf hoạt động là:
+Right click vào Open, Explore trên context menu của USB. 



Kể cả làm như vầy cũng chạy autorun. Cứ vào MSDN của microsoft hoặc coi đâu đó để biết. Đi hỏi để chỉ trích/móc kiểu "gà săn Pro" thì bà con GÀ ngợp hết. Gà ở đâu ra mà Pro Gà quá.

Chán ! Ko có ông PRO bào biết về vấn đề này hay sao? Hay là thấy cãi nhau vui quá nên cứ để như thế cho BOX nó xôm 
Pro như vậy rồi cần gì hỏi ai nửa. smilie)
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Image File Execution Options,kiểu phá mới của worm,trojan. 13/04/2007 04:46:03 (+0700) | #10 | 53323
theory1
Member

[Minus]    0    [Plus]
Joined: 15/04/2006 14:59:07
Messages: 24
Offline
[Profile] [PM]
vào google tìm được bài viết này khá hay
http://forums.techguy.org/security/555737-need-help-virus-spyware.html
[Up] [Print Copy]
  [Question]   Image File Execution Options,kiểu phá mới của worm,trojan. 13/04/2007 04:51:08 (+0700) | #11 | 53324
theory1
Member

[Minus]    0    [Plus]
Joined: 15/04/2006 14:59:07
Messages: 24
Offline
[Profile] [PM]

tmd wrote:
Còn kô làm file Autorun.inf hoạt động là:
+Right click vào Open, Explore trên context menu của USB. 



Kể cả làm như vầy cũng chạy autorun. Cứ vào MSDN của microsoft hoặc coi đâu đó để biết. Đi hỏi để chỉ trích/móc kiểu "gà săn Pro" thì bà con GÀ ngợp hết. Gà ở đâu ra mà Pro Gà quá.

Chán ! Ko có ông PRO bào biết về vấn đề này hay sao? Hay là thấy cãi nhau vui quá nên cứ để như thế cho BOX nó xôm 
Pro như vậy rồi cần gì hỏi ai nửa. smilie

hơi đâu mà trách "gà săn Pro" làm gì,để công mà phục hồi regedit.
[Up] [Print Copy]
  [Question]   Image File Execution Options,kiểu phá mới của worm,trojan. 13/04/2007 04:55:38 (+0700) | #12 | 53325
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Cái đó là làm ăn chuyên nghiệp, Hijackthis hay mấy cái tool kia là bình thường đối với Tây, còn Vn là đồ dỏm cả. Con trojan mà topic đó kể tới là con trong topic này tui tám. Thấy Tây làm tốt chưa.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Image File Execution Options,kiểu phá mới của worm,trojan. 13/04/2007 05:00:02 (+0700) | #13 | 53327
theory1
Member

[Minus]    0    [Plus]
Joined: 15/04/2006 14:59:07
Messages: 24
Offline
[Profile] [PM]

tmd wrote:
Cái đó là làm ăn chuyên nghiệp, Hijackthis hay mấy cái tool kia là bình thường đối với Tây, còn Vn là đồ dỏm cả. Con trojan mà topic đó kể tới là con trong topic này tui tám. Thấy Tây làm tốt chưa. 

đúng rồi.họ fix xong rồi nhưng với trường hợp riêng đó thôi.
tmd có cách nào giúp phục hồi regedit không vậy,cứu bồ mới?
[Up] [Print Copy]
  [Question]   Re: Image File Execution Options,kiểu phá mới của worm,trojan. 13/04/2007 05:18:37 (+0700) | #14 | 53335
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Còn kô làm file Autorun.inf hoạt động là:
+Right click vào Open, Explore trên context menu của USB.



Kể cả làm như vầy cũng chạy autorun. Cứ vào MSDN của microsoft hoặc coi đâu đó để biết. Đi hỏi để chỉ trích/móc kiểu "gà săn Pro" thì bà con GÀ ngợp hết. Gà ở đâu ra mà Pro Gà quá.  


Điên với cha này quá! Tôi chả cần phải xem ở quái đâu hết. Thực tế hàng nghìn lần tôi đã từng làm như vậy và chưa có lần nào làm Autorun hoạt động. Còn ông chỉ giỏi sớt với sít còn chưa có lần nào dám làm như vậy. Kô dám thử vậy mà dám "cong cớn" cãi như đúng rồi ấy. Sao lại có loại người Chí phèo như vậy. Đã gà lại còn bảo thủ đúng là hết thuốc chữa.

tư duy thì gà, vậy mà cũng dám nói đến mấy chữ "làm ăn chuyên nghiệp", nực cười quá đi

Có cái regedit bị khóa mà cũng kô search nổi cách phục hồi vậy mà cũng đòi ngồi nói chuyện. Đúng là chả biết trời cao đất dầy là gì!! kô còn gì để nói nữa
[Up] [Print Copy]
  [Question]   Image File Execution Options,kiểu phá mới của worm,trojan. 13/04/2007 05:51:08 (+0700) | #15 | 53342
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Điên với cha này quá! Tôi chả cần phải xem ở quái đâu hết. Thực tế hàng nghìn lần tôi đã từng làm như vậy và chưa có lần nào làm Autorun hoạt động. Còn ông chỉ giỏi sớt với sít còn chưa có lần nào dám làm như vậy. Kô dám thử vậy mà dám "cong cớn" cãi như đúng rồi ấy. Sao lại có loại người Chí phèo như vậy. Đã gà lại còn bảo thủ đúng là hết thuốc chữa.  


Quả là suy từ bụng ta ra bụng người.

tư duy thì gà, vậy mà cũng dám nói đến mấy chữ "làm ăn chuyên nghiệp", nực cười quá đi

Có cái regedit bị khóa mà cũng kô search nổi cách phục hồi vậy mà cũng đòi ngồi nói chuyện. Đúng là chả biết trời cao đất dầy là gì!! kô còn gì để nói nữa  


COn người thế này sao mà tốt nổi, Gà săn Pro, Pro nào dám giao lưu.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|