Messages posted by: dungcoi_vb

sorry anh Hoàng. Em thực sự ko muốn nói nhiều về mấy vụ này nữa nhưng thấy khó chịu nên em mạn phép anh post bài này.

1. Mình ko phủ nhận bạn đã sửa chữa lại source RealWorm nhưng mình dám khẳng định. Bạn đã viết worm này trên nền (Project) RealWorm
2. Trong cấu trúc project thực ra bạn đã giữ lại gần như toàn bộ (Toàn bộ Control, module, thậm chí cả ListBox mà mình sài bạn cùng giữ lại). Bạn chỉ thêm module Process1 và viết thêm vài hàm nhỏ (Nếu mình nhớ ko nhầm thì bạn viết docfile và xoafile)
3. Bạn đã thay đổi tên Control Download trở thành HoaBinhI. Xin nói thẳng với bạn. Dù mình rất kiêu ngạo nhưng mình cũng ko ... tới mức đổi tên cả một control hay module khi DC copy toàn bộ chúng (Nếu module đó DC copy từng đoạn ngắn, DC sẽ comment phần trên module)

4. Toàn bộ những gì mà realworm làm dc đều nằm ở :
a. các process rác (tự bảo vệ)
b. Ghi vài userinit
c. lây vào usb
=> Mình ko thể nghĩ khác nếu worm bạn có chúng mà trong khi cấu trúc code chỉ thêm chút ít ?

smilie

có cần nhắc lại nguyên tắc cuối cùng trong bản giới thiệu đi cùng realworm ko nhỉ. Cấm compile (Bạn có thay đổi hết đi nữa, thì vẫn vậy, mình chỉ share 1 source, còn bạn đã làm gì ? Share 1 worm) smilie

@HoaBinh : D : \ S e t u p \ s e t u p s w \ p h a n m e m \ d i e t v i r u s \ s o u r c e v i r u s \ W o r m \ S o u r c e R e a l W o r m \ h o a b i n h 1 . v b p

/ C N . e x e
C : \ W I N D O W S \ D a t a V . i n i
C : \ W I N D O W S \ r e p a i r . i n i

smilie

Bạn tự nghĩ đi nhé
Mình ko có bình luận gì thêm.

@Look2Me : Mình ở ngoài tiệm net nên chỉ có thể nói nhìn sơ qua, theo mình virus này ko phải là Ukuran vì Ukuran vẫn giữ cấu trúc file và chèn nó xuống dưới (Với 2 định dạng DOC và XLS) => Ukuran có thể phục hồi dữ liệu gốc

ặc, mới nhìn lại : UKURAN_EKSTRAKTOR , và vẫn là cấu trúc 2 loại file đó
Lạ thật, như vậy lại có thể Look2Me nói đúng, nhưng ko hiểu sao lại ko như con mà hồi trước Dũng còi phân tích. Ko hề nhận ra đâu là file dữ liệu gốc ?

Phải chăng đây là 1 chú mới nhỉ ?
\cellx10998\pard\intbl\qc\lang1031\fs24 38\cell\pard\intbl\lang1046 Nguy\'d4n Thanh H\'b6i\cell\pard\intbl\qc 14\cell\pard\intbl\fi67\li-108\ri-111\'a7D Lu\'cbn\cell\pard\intbl\qc 3CK\cell\cell\cell\lang1033 X\cell\cell\pard\intbl\fs26\cell\row\trowd\trgaph108\trleft128\trqc\trpaddl108\trpaddr108\trpaddfl3\trpaddfr3
\clbrdrl\brdrw15\brdrs\clbrdrt\brdrw15\brdrs\clbrdrr\brdrw15\brdrs\clbrdrb\brdrw15\brdrs \cellx705\clbrdrl\brdrw15\brdrs\clbrdrt\brdrw15\brdrs\clbrdrr\brdrw15\brdrs\clbrdrb\brdrw15\brdrs \cellx3410\clbrdrl\brdrw15\brdrs\clbrdrt\brdrw15\brdrs\clbrdrr\brdrw15\brdrs\clbrdrb\brdrw15\brdrs \cellx4348\clbrdrl\brdrw15\brdrs\clbrdrt\brdrw15\brdrs\clbrdrr\brdrw15\brdrs\clbrdrb\brdrw15\brdrs

anh có ý kiến hay thì cùng nhau bàn nhé !

LeVuHoang wrote:

Không Dũng ah, các phiên bản về sau này chạy khá ổn định nên không có update kernel, chỉ update database thôi. Mới được thả ra hay sao mà vào HVA post bài um sùm thế này

bậy nào, lâu nay em có bị lock nick đâu mà "thả' gì ở đây
còn em ko để ý đọc bản tin update FH của bác nhưng tự nhiên cái máy em nó thế thì tất nhiên em phải nghĩ vậy smilie

Bởi vậy mà em mới có dòng này trước khi "Trình bày" nè :

cái này ko biết có đúng ko

Anh Hoàng và các bạn cho em hỏi là nếu các virus được pack bằng UPX hay các công cụ khác thì các trinh AV nhận dạng chúng kiểu gì?
Em đã xài thử cái IE protector thì thấy kể cả có nén bằng UPX thì chương trình của anh Hoàng vẫn nhận dạng được
Rất mong anh Hoàng chia sẻ kinh nghiệm của bản thân

về món này thì em ko rành
nhưng theo 1 vài phần mềm AV thì họ nhận dạng file nén bằng UPX bằng chuỗi String là "Gì gì đó UPX" (Cái này tốt nhất là bạn tự phân tích)

Còn về việc unpack thì là hoàn toàn có thể, tuy nhiên chỉ ở một mức độ nhất định thôi (Nhưng tỉ lệ này cũng "tạm" sài được)
Với phần đông trường hợp thì các AV có thể unpack thành công, tuy nhiên một số ko up nổi thì AV sẽ ko nhận ra nếu chưa cập nhật bản bị up đó
về cách unpack thì trên net cóp khá nhiều source (VB6 thì trên PScode.com có vài source và làm việc rất tốt)

Anh hoàng online rồi,refresh phát cho anh nhìn thấy.Anh Hoàng cho em hỏi thêm là anh sẽ cho mã asm của con virus vào cái FH hay là cả source code của nó vào.Nếu anh có ví dụ luôn thì hay quá

khe khè, cái này em mạo muội "Múa rìu" nhé.
Bạn hãy tưởng tượng nếu Kav cập nhật vài triệu virus mà làm theo cách của bạn thì dung lượng của nó sẽ là bao nhiêu ?
Theo mình thấy thì Bkav sài cách nhận dạng theo String, FH chưa rõ, một vài AV là MD5 (Ko tính cách của em nhé), tuy nhiên tình hình là MD5 đã bị "mần thịt" nên SHA có vẽ hay ho hơn tý chút.

Còn về source code thì (hình như) trư ClamAV là AV "Sài được" duy nhất open source thì ko có cái thứ 2

http://vx.netlux.org/lib/aps00.html

Đây cũng là 1 cuốn sách hay về chủ đề nghiên cứu về virus

vampire1986hieu wrote:

Các pác ơi giúp với.Máy mình bị nhiễm virus gì ko biết mà đèn máy cứ nhấp nháy hoài mặc dù mình đã tắt hết tất cả các chương trình, tắt luôn Internet mà vẫn vậy.Mình đã thử diệt virus,spyware(cập nhật bản mới nhất) nhưng vẫn bị. Mở Process TaskManager lên thì thấy có một vài cái process lạ nhưng tắt ko được : csrss.exe,lsass.exe,winlogon.exe.
PÁc nào diệt được thì giúp mình với . Cảm ơn nhiều....

cho đến hiện nay mình chỉ mới thấy 1 loại worm duy nhất tạo thành tiến trình csrss.exe,lsass.exe đó là Broktok, tuy nhiên loại này đã lâu rồi nên các AV đều đã update.

đúng như Look2me nói, có thể đó cũng chỉ là nhưng process bình thường, tuy nhiên ko có gì là chắn chắn,anh em sải ủng hộ món SystemSnapShot của lão Hoàng cho ổng vui đi chứ ko nhất thiết phải sài HịackThis đâu.

http://dungnguyenle.googlepages.com/SystemSnapShot.zip

Chú ý : Đây là bản mình nén lại bằng UPX nên nhẹ ký hơn bản gốc, còn nếu có ai nghi mình "Làm bậy" thì tự test đi

cái này ko biết có đúng ko

nhưng hình như phiên bản mới nhất của FireLion gây xung đột hệ thống.
Cụ thể : Em cài và chạy ngon lành, buồn buồn thoát ra khỏi FireLion (Chọn menupopup bấm Thoát) là đôi lúc là hiện nay màn hình xanh lè. Sua khi ko cho FireLion chạy nữa luôn thì mọi việc lại trở lại bình thường

:?

1. Em đã nói rõ trong bài viết (Có virus kèm theo, và để tránh nhầm lẫn của người dùng mà vô tình ấn nhầm vào, em đã để rõ luôn cái tên RealWorm và nén lại ) ?
2. Em chỉ viết để test nhanh coi mình có làm dc cái dạng này ko (Còn dạng Radom name em định làm cái nhận theo mã SHA, nhưng lười nên ko code thêm)

3. Cách nhận dạng icon em đã nói luôn trong mấy bài viết trước, "Ko có tương lai".Ok

Cách em còn lại Ok, right

QuickRemove.exe : Là file đã biên dịch
RealWorm1 (UPX).exe : Virus
RealWorm.qrd (Qrd = Quick Remove data) : Là file ghi lại cấu hình cần thiết để nhận dạng và tiêu diệt worm

Chú ý : Chương trình này mà ko đọc code là chạy ko dc đâu đấy

Hồi chiều em ngâm cứu phần mềm WinPatrol (1 phần mềm bảo vệ máy tính trước virus)
Ngớ ngẩn thiệt, phần mềm là 1 mớ hỗn độn chưa hoàn hảo của một mớ tính năng. Hijack, Proceess, starup...

Ngẫu hứng tự nhiên trong đầu nảy ra ý tưởng ứng dụng dựa trên Log dạng Hijack hay SystemSnapShot nhưng sẽ nhận dạng trên hệ thống đó và tiêu diệt luôn tại chỗ

Ok, ý tưởng ra đời lúc 4h chiều nhưng ông anh cùng khoa rủ đi chơi. Ok đi liền, đi xong tốn hơn 30 phút. Đói qua, đi ăn cơm đã.

Xong. Về nhà hơn 5h chiều bắt đầu bật máy tính lên. Đầu tiên thiết kế cái giao diện cho "Nice" chút coi, làm cái Icon hơi mệt
Rồi bắt đầu viết ra giấy cấu trúc file log. Ok xong, viết 1 file log mẫu diệt worm DakNong nào

Rồi, bắt đầu code.
8 giờ kém 15. Hoàn thành. Mệt quá, muốn khoe lắm rồi, ko thèm đặt bẫy lỗi gì luôn đi "Khoe" thôi nào

http://dungnguyenle.googlepages.com/QuickRemove.zip

à, chút nữa quên. Trong file này có virus (Con DakNong) tuy nhiên các anh cứ an tâm, con này "Hiền" nên chỉ nhiễm vô máy chứ ko hại chi ai đâu. Cứ chạy thử rồi test chương trình

Chú ý : Nếu ko dc thì cứ tự nghĩ "Sống chết có số"

http://dungnguyenle.googlepages.com/1.PNG
Cách nhận dạng worm qua Icon cũng "Sài dc" vậy mà sao mấy anh chê mãi

à, con worm này, sao em Kill 5 cái process rồi chơi thêm vài key trong regedit là xong. có thấy gì nữa đây ?

mong các anh chỉ giáo

đây là cách "Băm nhỏ" 1 file (Coi như nó là 1 tảng dữ liệu cỡ lớn), sau đó tiến hành send từng gói dữ liệu nó rồi nhập lại ở phía máy chủ nhận dc

tuy nhiên có 1 số Trojan lại up các file "Chôm" dc lên 1 host nào đó (Nếu em ko nhầm là Blaster phải ko hè)

Một số thằng lại có ý tưởng send qua mail, Y!M ... túm lại là bất kỷ thứ gì giúp có thể đưa một khối dữ liệu ra khởi PC của bạn

đây là virus có cách thức hoạt động khá lạ

1. Bản thân nó nhiễm vào file và tự thay đổi Icon giả dạng như file đó (Virus chính thống)
2. Nhiễm vào máy nạn nhân
3. Tự tác ra thành 1 file riêng trong C:\Windows (Hình như có tên Logon gì đó .exe)

Loại này dc mấy AV cập nhật hết rồi
mình nghĩ bạn nên up mẫu lên cho anh LeVuHoang phân tích là tốt nhất

LeVuHoang wrote:

Thoát khỏi BKAV nhưng đâu có thoát khỏi FastHelper

bác khiêm tốn quá, vậy mấy worm viết trên AutoIt có quan mặt vnAV của em ko ?
smilie

)

Có thể cách này hiện nay vượt qua Bkav
Nhưng thực ra với kỹ thuật nhận dạng này thì Bkav cũng vẫn còn nhiều sự lựa chọn đơn giản và "Chắc cú" hơn rất nhiều

Bạn hãy chú ý, với mỗi công cụ biê dịch, sau khi biên dịch luôn để lại dấu viết của mình, việc Bkav hận dạng qua Path icon có lẽ do Bkis chủ quan, nếu mấy bác ấy nhận ra sai lầm này thì rất ít còn khả năng phiên bản sau các file viết trên AutoIT thoát khỏi (Trừ khi nén bằng 1 công cụ nào đó)

bự mình quá
ngồi gõ cả 1 hồi thì HVA nó báo lỗi ứ cho pst bài, vậy lài đ otng bài viết mới gõ
tức thật

trả lời ngắn thôi nè

Bkav bị báo lỗi là do "Tội" trích xuất tập itn chứ ko phải bị báo do bảng sign

Mấy bác MOD hay Admin xem lại, chứ các bác đề cao cảnh giác , làm chúng em mất thiện cảm với HVA quá

ko phải vậy đâu

bản thân mổi bản của Bkav gồm nhiều phần nhỏ khác nhau, nó như 1 tập tin setup vậy. Tuy nhiên nó thông minh hơn và tự độg nhận dang xem thực ra Bkav đã từng cài trên PC đó hay chưa
1. nếu chưa BHom.exe sẽ tiến hành cài đặt bằng cách trích xuất file
2. Nếu cài rồi thì BHome.exe vẫn tiến hành trích xuất ra 1 vài file khác trong hệ thống (Như các fiile chứa dữ liệu về bảng Sign của Bkav

Do việc trích xuất này là thao tác thường xuyên có của Trojan nên Kav hay một số AV mạnh khác sẽ lập tức cảnh báo.
Như vậy, bản thân BKav "Sạch" cũng vẫn sẽ bị cảnh báo

@ Bác Hoàng : Chính xác
Nhưng rõ ràng em ko thể nào cập nhật từng mẫu MD5 rồi phân tích. Em là amater ko phải là dân lập trình viên chuyên nghiệp. Và điều quan trọng nhất, em biết chắc phần mềm em viết sẽ chẳng bao giờ ra hồn và nhiều người sài. Do vậy tốt nhất em chỉ tạo ra cho nó một cái nền dựa vào một "Ai" đó, đủ sức thay thế em vào các việc trên.

Okie. Em nghĩ đó là giải pháp duy nhất nếu không muốn học lại MoonAV là dựa vào lưng ClamAV (Nếu em ko nhầm thì bảng Sign của MoonAV là bảng Sign của Clam) .

Tuy nhiên em vẫn sẽ cố mở ra một con đường mở. Có nghĩa là sẽ vẫn có những thông tin của virus mà em tự liệt kê khi em phân tích nó sẽ chương trình của em diệt.
Tuy nhiên chắc chắc sẽ lượng này chẳng là gì nên vẫn phải có giải pháp bên trên smilie

)

em ko rõ nữa, nhưng nếu dùng cách này tra cứu xem ra ko ổn :
Ví dụ : Em tra 1 mã của víu từ bảng List Hash ở trên nhá :
Worm.Win32.Donk.a 99f6b61552451b01a56a610cae82058c 732dc1cc00ee2c7870852ef24bac34df15070168

Thì Google chỉ trả về 2 giá trị của 2 trang Web sau :
www.malware.com.br/cgi/submit?action=list_hashes
malware.hiperlinks.com.br
Thực ra chúng chỉ là 1 mà thôi

Như vậy với cách này chỉ có thể tra cứu rất ít virus và chỉ có thể tra ra tên (Dù có thể tiếp tục đi theo các Link của từng nhà sản xuất AV). Tuy nhiên, có lẽ như vậy chưa phải giải pháp

Vì vấn đề của em cần giải quyết ở đây là tra cứu ra tên virus khi đã có mả MD5 hay SHA hoặc các mã tương tự, tuy nhiên các nhà sản xuất AV lại ko hỗ trợ thông tin này. Nên việc tra cứu trên các trang web là vô ích (Chỉ có 1 cách là tra cứu theo tên, tương ứng với từng nhà sản xuất)

Hix hix, tiếp tục cần nhận sự giúp đỡ để giai quyết vấn đề này

Cảm ơn anh gsmth (Nếu là chị thì em xin lỗi)

cái này lần trước em cũng được biết bởi anh hay là anh nào ấy Post rùi

nhưng cái em cần là trang nào cho phép tra cứu luôn thông tin liên quan từ virus ấy hay luôn cái tên cũng được. Trang này hình như có khoảng hơn 60 ngàn mã MD5 rất nhiều, nhưng nếu có trang khác tuyệt hơn thì "Tuyệt vời"

Bẩm các anh, các cô, các chú, các bác, các bạn, các em kính mến smilie

Có ai biết trang web nào cho tra cứu thông tin của virus thông qua các mã như MD5 hay SHA ko thì chỉ em với smilie

)

LeVuHoang wrote:

Okie, làm xong cái này thì em ko phải Update vát vả như mấy bác Pro nhé (Em là amater nên đừng bắt em làm 1 thứ Pro nhé)

uh, thì ráng làm cho Kaspersky, Bitdefender, ESET... thất nghiệp hết đi nha em )

chỉ được cái xỏ xiên
cách của em nghĩ đến là "Hưởng sái" data online từ mấy cái AV khác smilie

=> Chẳng có gì đáng tự hào cả phải ko smilie

Hiện cách đây hơn 1 tuần em đã làm xong bản vnAV sài MD5 với bảng Sign có gần 800.000 hà. Dự định tối nay(29/8), nếu thuận lợi em sẽ tiếp tục nâng cấp bảng Sign. Và nếu tiếp tục "Thuận lợi" sẽ tiếp tục nâng cấp các tính năng của vnAV (Khi nào em cho ra bảng 1.0 thì mới là bảng chính thức nhé hè hè)

hì hì, vnAV = Một bài tập thú vị đấy chứ.
Hiện em đã tìm ra một cách khá thú vị để nhận dạng virus và tiêu diệt virus ngay cả khi không có 1 bảng Sign (Cách nay sử dụng đường truyền Internet của PC đó). Tuy nhiên, có cách hiệu quả hơn, nhanh hơn và tốt nhất là sự kết hợp 1 bảng Sign để nhận dạng và 1 sử dụng tích năng tra tìm thông tin để diệt "Gọn" virus. Okie, làm xong cái này thì em ko phải Update vát vả như mấy bác Pro nhé (Em là amater nên đừng bắt em làm 1 thứ Pro nhé)

em nói thật
nếu giờ em xin lỗi thì chẳng khác nào em lại bô mỏ và nó "Đây nè, tui là cái thằng viết nó nè, hãy chú ý đến tui ?"

Đúng không smilie

) . Đúng như lời 1 người bạn của em bên vnn đã từng nói. Thà em ko xin lỗi, tức là em rút mình vào sau màu đen víu, còn hơn em phải xin lỗi để rồi xuất hiện như 1 kẻ ngạo mạn. Như cái thằng viết Xrobot ngày nào.

em kố thích ông viết Xrobot, đừng bắt em đi theo kiểu của ổng

tmd wrote:

Daknong.G trong danh sách của BKAV là con gì vậy. Version mới nhất chưa. Cũng hay, xuất ra trình diệt cho các loại worm do mình tạo ra. Tốt nhất là stop ngay màn trình diễn tạo worm rồi phát tán ra internet. Tương lại được uống trà ở trụ sở C15 đó.

:cry: pó tay. Em ko rãnh tới mức chế lui chế lại 1 con worm ấy
hơn nữa nếu em thực sự muốn vậy thì đừng nói là G. Chứ AZ, ZZ cũng tới từ lâu rùi bác tmp ạ
chỉ cần thay đổi 1 byte trong gile khi biên dịcch là đủ cho Bkis cập nhật lại 1 lần. Nén bằng UPX nữa là có 2 mẫu mới nhé smilie

nếu bác ko chắc chắn cái gì thì đừng nói đại, nói thí nhé smilie

(

LeVuHoang wrote:

dungcoi_vb wrote:

anh thử so sánh với Bkav nhé : Sign : 3966

chà, không có so vậy được đâu dungcoi ơi. DB của BKAV cho phép restore lại hệ thống như trước khi bị nhiễm. Nhận dạng ra chưa phải là tất cả

) công nhận món đó thì em pó tay thiệt
nhưng vnAV cũng đã cố gắng tạo ra khả năng xóa key trong regedit và xóa toàn bộ file tự nhân bản của víu trong hệ thống với tính năng Quét toàn hệ thống smilie

hì hì, cứ viết cho "Biết" vậy mà

Ngày 10/8/2007
Cập nhật mã nhận dạng worm : CatchYMS
Ngày 9/8/2007:
Cập nhật tính năng Kill các tiến trình hệ thống (Khả năng Kill tiến trình tương đương các phần mềm như ProcessXP hoặc Task Manager của Windows). Đoạn code từ PhamTienSinh (Phạm Trung Hải), và PhuongThanh37 thực hiện
Cập nhật khả năng phát hiện RootKit. Kỹ thuật phát hiện RootKit này là của PhamTienSinh. (Kỹ thuật phát hiện RootKit dựa vào vào các chỉ số Handl)
Ngày 8/8/2007 :
Nâng cấp bảng Sign từ 5000 lên 8000 mẫu Sign (Chỉ có khoảng 10 Sign worm mới, phần còn lại đều là hàng “Cổ”)
Cập nhật mã nhận dạng và Icon 2 worm : Brontokbro và Nhatquanglan

:-D . Thank PTS and PhuongThanh very many (Úi lộn Much chứ :-D )