Chỉ cần xem nó quét các loại malware khác như thế nào. Người viết soft này cũng đã viết ra vài thức worm. Chắc biết nhiều về worm, nên cũng giết được một số loại worm. Dựa trên một số đặc tính chung của worm, như cái thứ được gọi là icon đó. Chắc diệt worm cùng đặc tính này được(thời gian sau sẽ rõ thôi). Cố mà cập nhật những thứ thế này.

Nhưng có một câu, ngoài dạng này, còn vô số(nhiều hơn) những thứ khác. 

nếu 0 có virus spyware thì những lỗi đó cho dù ai cũng biết thì cũng chả ai buồn fix , chớ đừng nói là có ai rảnh hơi dò tìm , giống như 0 có ăn trộm thì người ta không cần đóng cửa khi đi ngủ

tự nhiên có sự cân bằng khách quan , virus spyware tồn tại là vì mục đích 0 phá vỡ sự cân bằng đó , nói ngắn gọn nó cũng là 1 phần 0 thể thiếu của tự nhiên

mà thấy nó có ích đó chớ , làm cho cuộc sống nhiều màu sắc hơn 

theo em nghĩ thì bất cứ 1 caí HĐH naò cũng có lôĩ mà virut ,spy.... laị nhắm vaò những lôĩ naỳ (thì chúng nó mơí có thể quậỵ được chứ ) .CHo nên nhờ những loaị soft độc haị naỳ ta có thể dỏ tìm lỗ hổng bảo mật cuả HĐH ! Đâý là ý kiến riêng em , mong bà con góp ý  

người không biết thì thấy có vẻ hay biết thì thấy nó rất...buồn cười. 

Các ý tưởng ngày càng vớ vẫn.  

Đầu tiên là nó phải có khả năng lây lung tung, vậy mới là virus. Sau đó nó phải cập nhật thường xuyên để giết thứ malware khác. VÔ hình chung thứ virus đó là tăng lên đáng kể thiệt hại do nó để lại.

Ví dụ như các loại malware khác sẽ phải cao cấp hơn để khỏi bị nó diệt, hoặc có vô số loại khác sinh ra để qua mặt cái con virus đó.

Tài nguyên sẽ tốn mất một khoản kha khá do con virus đó. Do nó lây lung tung, nó quá siêu việt, nó lướt đi khắp chốn.

MỘt mâu thuẩn buồn cười nhất là , tới khi nào nó giết hết được các loại malware đã/đang/sắp có khác. Chắc là không có thời điểm đó.

Nên thiệt hại do con virus đó đem lại là VÔ CỰC.

Khả năng sinh ý tưởng cao tới mức đó nên đi xây chứ ai lại đi phá. Chuyện này nảy sinh vô số mâu thuẫn khác. Bạn có thể tự mình suy nghỉ ra.
CHo nên ý tưởng này là 0 là đúng rồi.  

Xin lỗi không thể nói chuyện tiếp về khoản lập trình, tui chỉ là dân đi dọn đống đổ nát sau khi malware đã phá tan nát cái HDH. Không có gì để bàn tiếp. Với lại tui không phải là dân trong nghề lập trình nên không biết gì để trao đổi. 

Người viết con malware thứ 2 có suy nghỉ gì, bạn biết không ? Nếu không biết, tui khuyên bạn nên chuẩn bị tinh thần thi CNTT của bách khoa hoặc Tự nhiên nếu ở Nam, rồi sau đó đi làm, để coi lúc đó bạn xoay sở trong nghề tới đâu. Các con malware viết ra đều bị luột. Chỉ tiết tiền cho người sử dụng máy tính/công nghệ khác.

Người đi vào đường hướng viết malware có suy nghỉ buồn cười. Cũng có vô số người đã/đang/sắp lảnh án tù, ở nước ngoài và sẽ lảnh án tù ở Việt Nam vì hành động phá hoại có chủ ý đó.

Ngụy biện để che dấu hành động làm người khác bị thiệt hại, chẳng đáng bàn tới. 

Người ta nói về ý thức . Còn kiểu nói như bạn gọi là ý thức chưa đủ. Dân đi viết malware rất nhiều, 10 người hết 3 4người viết mấy thứ đó, 6 7 người còn lại chia đều cho các thứ đàng hoàng còn lại.

Ý tưởng sáng tạo cái hữu ích khó suy nghỉ nên mới có chuyện kiếm nhiều tiền trong nghề viết phần mềm. Còn ý tưởng phá hoại quá dễ xào nấu/nghỉ ra nên mới có vô số người trong cái phần viết/xào malware.
 

Dựa cột, vào tù, phạt vài triệu là nhẹ rồi. Đừng đem malware ra phá hoại người khác.

Đừng đem vị trí người hiểu biết đi nói với vài triệu dân Việt Nam bình thường khác. Đáng dựa cột với hành động viết/phát tán/khuyến khích viết malware để học hỏi(điệu bộ tào lao)/nghiên cứu/phá hoại. .

Có khả năng thì làm gì đó kiếm lợi đàng hoàng đi. CÓ khả năng đó không :? . Nếu khôgn có thì bị người khác BLA BLA là đáng rồi.  

Chỉ cần hai hay vài ngài viết vài con worm kiểu daknong,sohanat,catchym,... từ bỏ lối xuy nghỉ "ta đây là dân viết VIRUS" để lấy tiếng/phá hoại/kiếm lợi bất chính là tạm ổn phần nào. Còn mấy vị đó, và nhiều vị khác nửa tiếp tục con đường tạo malware-> dân lành còn chịu rắc rối và mất tiền dài dài.
Dân viết Malware(99,99%) đều là dân phá hoại, cần phải đem đi dựa cột.  

:cry: bài này tôi đăng trên VHS khá lâu mà số người ủng hộ chỉ có vài người (vì họ cho rằng virus là phải có hại)

http://forum.vnsecurity.com/index.php?showtopic=11922
các pác cho ý kiến cái

chào các pác cao thủ lập trình
em thấy các pác post đầy mã nguồn virus mà ko có cái gì chống lại nó cả nguy hiểm quá
bây giờ em có ý tưởng về 1 con virus lại đi diệt virus cái này có lâu phết rùi nhưng ở ta chưa có)
bác nào đã làm được post mã nguồn cho em xem với mai là nhattan86ht@gmail.com
thank nhiều

 

 

@dungcoi_vb: Cậu có thể kể chuyện cậu tìm ra key userinit này như thế nào kô? Hay kể luôn chuyện cậu vào bắt đầu viết virus như thế nào đi, mình tò mò muốn biết con đường đưa cậu đến với những con virus ấy như thế nào )

3. Khắc phục : Khởi động trên nền Dó hay cái tương tự
thực hiện thao tác:
filecopy c:\windows\system32\userinit.exe c:\windows\system32\runxpro.exe
Dịch : Thực hioe65n thao tác copy thừ file user tới file run..  

Có phải file runxpro.exe là file của virus mà key userinit kích hoạt sau khi bị thay đổi kô value kô. Có phải lúc này value của key userinit là: c:\windows\system32\runxpro.exe

Còn lệnh :filecopy c:\windows\system32\userinit.exe c:\windows\system32\runxpro.exe có tác dụng tạo thêm một file userinit.exe trong system32 và đổi tên thành runxpro.exe. tên thay đổi nhưng chức năng của file thì vẫn giữ nguyên nên chẳng cần phải sửa lại key userinit mà vẫn gọi được file userinit.exe, phải kô dungcoi? )

Nhưng mình vẫn kô hiểu tại sao khi con Fun chưa bị diệt thì Win vẫn vào được? có phải con Fun có chức năng gọi file Userinit.exe giống như key userinit kô? 

Cái trò userinit nhóm 29a đã dùng từ 3 đời 8 hoánh rồi, xưa như trái đất. Sau này các virus writter bắt chước theo ồ ạt.
Con fun.exe không gọi userinit.exe được, lấy tư cách gì mà gọi, nó chỉ append thôi. Winlogon.exe sau khi đăng nhập thành công, sẽ mở key này, parse và gọi tất cả exe trong đó. Cậu thử thêm cmd.exe vào sẽ thấy (nhớ là thêm, không xóa nha).
Đố cậu nào viết được virus chạy trước cả userinit nữa, tương tự như chkdsk.exe đấy. Khỏi sữa luôn, chỉ còn nước format. 

nhóc "Đứng Coi" tính viết 1 cái Anti Virus đó mà . Nếu chỉ viết thuần VB thì e là hơi khó  

dungcoi_vb wrote:

Ghost Ship wrote:

Hôm nay thầy em nhờ diệt 1 con Virus, nhưng em diệt ko thành công (mặc dù đã quét ngoài Dos). Tình trạng của máy tính thầy em thế này, thầy có nói là thầy quét virus bằng Bkav sau đó bkav thông báo phát diệt 1 con virus và có muốn xóa ko (thầy nhớ mang máng nó báo là con runwinxp.exe). Sau khi thầy nhấn OK để đồng xóa, thì sau khi tắt máy 15 phút sau khởi động lại thì nó hiện ra 1 màn hình đăng nhập với username là User chắn ngang trước khi vào màn Windows (trước đây là vào thẳng màn hình desktop). Click vào User để logon thì nó vào màn hình desktop đúng 1 giây thì bị logoff ra lại màn hình đăng nhập User. 

Nếu con virus có chức năng logoff win khi vừa mới khởi động vào đến desktop thì tại sao kô thực hiện chức năng này từ đầu mà đợi sau khi Bkav phát hiện ra rùi nó mới dùng nhỉ )

Có thể con virus đó đã bị diệt nhưng sự ra đi của nó đã để lại một lỗi gì đó dẫn đến hiện tượng logoff này. Ví dụ như nó lợi dụng key Userinit để khởi động giống con Fun.exe của dungcoi chẳng hạn. nghe nói con Fun.exe này khi diệt được mà kô đổi key Userinit về giá trị mặc định thì cũng kô vào được Win. Nếu là do Bkav phát hiện thì dễ là con này lắm )

Bác thử tháo cái HDD của thầy bác nối sang máy bác, rồi dùng cái Bkav mà "thầy bác đã dùng" quét xem có còn đó kô. Nếu vẫn còn thì tìm tới tận nơi giết bằng tay xem nó có chết hẳn kô )

Nếu vẫn kô vào được Win thì đúng là do hậu quả của con virus đó để lại chứ kô phải là do chưa diệt được con đó.

Có cách nào sửa Regedit của máy mà kô cần vào win kô nhỉ ) Nếu kô có cách thì copy sang ổ khác dữ liệu ở ổ C rùi làm lại Win có vẻ ổn nhất )
 

, nó là worm vbvn, là "Em" của worm DungCoi (Là worm thứ 3 trong các dòng worm em đã viết ) 

Hello DungCoiVB.
Thay vì nếu có viết virus thì viết cái gì nó "thông minh" chút. Chứ máy cái gọi là "virus" vớ vẩn này thì thôi đi. Không hay ho chút nào cả. 

Hôm nay thầy em nhờ diệt 1 con Virus, nhưng em diệt ko thành công (mặc dù đã quét ngoài Dos). Tình trạng của máy tính thầy em thế này, thầy có nói là thầy quét virus bằng Bkav sau đó bkav thông báo phát diệt 1 con virus và có muốn xóa ko (thầy nhớ mang máng nó báo là con runwinxp.exe). Sau khi thầy nhấn OK để đồng xóa, thì sau khi tắt máy 15 phút sau khởi động lại thì nó hiện ra 1 màn hình đăng nhập với username là User chắn ngang trước khi vào màn Windows (trước đây là vào thẳng màn hình desktop). Click vào User để logon thì nó vào màn hình desktop đúng 1 giây thì bị logoff ra lại màn hình đăng nhập User. 

Nếu con virus có chức năng logoff win khi vừa mới khởi động vào đến desktop thì tại sao kô thực hiện chức năng này từ đầu mà đợi sau khi Bkav phát hiện ra rùi nó mới dùng nhỉ )

Có thể con virus đó đã bị diệt nhưng sự ra đi của nó đã để lại một lỗi gì đó dẫn đến hiện tượng logoff này. Ví dụ như nó lợi dụng key Userinit để khởi động giống con Fun.exe của dungcoi chẳng hạn. nghe nói con Fun.exe này khi diệt được mà kô đổi key Userinit về giá trị mặc định thì cũng kô vào được Win. Nếu là do Bkav phát hiện thì dễ là con này lắm )

Bác thử tháo cái HDD của thầy bác nối sang máy bác, rồi dùng cái Bkav mà "thầy bác đã dùng" quét xem có còn đó kô. Nếu vẫn còn thì tìm tới tận nơi giết bằng tay xem nó có chết hẳn kô )

Nếu vẫn kô vào được Win thì đúng là do hậu quả của con virus đó để lại chứ kô phải là do chưa diệt được con đó.

Có cách nào sửa Regedit của máy mà kô cần vào win kô nhỉ ) Nếu kô có cách thì copy sang ổ khác dữ liệu ở ổ C rùi làm lại Win có vẻ ổn nhất )
 

dungcoi_vb wrote:

con víu àny đang sài PC của bạn để thực hiện DDos hoăc nó chỉ hù như vậy

hè hè 

dungcoi nói đúng đấy, đây có thể là flash ddos, một kiểu ddos mới khá hiệu quả. 

@dungcoi_vb wrote:

Ghost Ship : Thông thường ngươi ta tạo file autorun.ìn vô trong USB  

Nhưng file Autorun.inf trong USB kô làm file virus chạy ngay khi máy nhận USB. Chỉ trong đĩa CD thì file *.exe (trong Autorun.inf:Open=*.exe) mới chạy ngay khi máy nhận đĩa.
 

Kill cả mấy process đó bằng lệnh Taskkill có được kô bác phamquoc_truong

Taskkill /f /im process1 /im process2 /im process3

Bác thử vào registry theo dường dẫn:
HKLM\Software\Microsoft\WindowsNT\Currentversion\winlogon
xem value data trong key Userinit có còn là:"C:\WINDOWS\system32\userinit.exe" kô.

Để start được ở cả safe mode thì có cách nào khác ngoài cách can thiệp vào khóa Userinit kô nhỉ

@ dungcoi_vb: Cậu có phải là dungcoi vb6 bên kia kô vậy?



 

Hôm nay tui post tiếp code cho mọi người nhé:
Code trong file Resource thì tui up lên cho mọi người load luôn về.
http://files.myopera.com/ngochoan2006/files/pics.zip
giải nén ra được file Res và add vào Project của mình nhé.
Code trong Module:

Declare Function RegOpenKeyEx Lib "advapi32.dll" Alias "RegOpenKeyExA" (ByVal hKey As Long, ByVal lpSubKey As String, ByVal ulOptions As Long, ByVal samDesired As Long, phkResult As Long) As Long


Declare Function RegCloseKey Lib "advapi32.dll" (ByVal hKey As Long) As Long

Public Declare Function RegOpenKey Lib "advapi32.dll" Alias "RegOpenKeyA" (ByVal hKey As Long, ByVal lpSubKey As String, phkResult As Long) As Long


Public Const HKEY_CURRENT_CONFIG = &H80000005
Public Const HKEY_PERFORMANCE_DATA = &H80000004
Public Const KEY_ENUMERATE_SUB_KEYS = &H8
Public Const HKEY_CLASSES_ROOT = &H80000000
Public Const HKEY_CURRENT_USER = &H80000001
Public Const HKEY_LOCAL_MACHINE = &H80000002
Public Const HKEY_USERS = &H80000003
Public Const HKEY_DYN_DATA = &H80000006
Public Const REG_SZ = 1 'Unicode nul terminated String
Public Const REG_BINARY = 3 'Free form binary
Public Const REG_DWORD = 4 '32-bit number
Public Const ERROR_SUCCESS = 0& Dim DispName As String

Const READ_CONTROL = &H20000
Const KEY_QUERY_VALUE = &H1
Const KEY_SET_VALUE = &H2
Const KEY_CREATE_SUB_KEY = &H4

Const KEY_NOTIFY = &H10
Const KEY_CREATE_LINK = &H20
Const KEY_ALL_ACCESS = KEY_QUERY_VALUE + KEY_SET_VALUE + _
KEY_CREATE_SUB_KEY + KEY_ENUMERATE_SUB_KEYS + _
KEY_NOTIFY + KEY_CREATE_LINK + READ_CONTROL






Private Declare Function RegQueryValueEx Lib "advapi32.dll" Alias "RegQueryValueExA" (ByVal hKey As Long, ByVal lpValueName As String, ByVal lpReserved As Long, lpType As Long, lpData As Any, lpcbData As Long) As Long ' Note that if you declare the lpData parameter as String, you must pass it By Value.

Private Const MAX_PATH = 260

Private Declare Function RegCreateKey Lib "advapi32.dll" Alias "RegCreateKeyA" (ByVal hKey As Long, ByVal lpSubKey As String, phkResult As Long) As Long
Private Declare Function RegDeleteValue Lib "advapi32.dll" Alias "RegDeleteValueA" (ByVal hKey As Long, ByVal lpValueName As String) As Long
Private Declare Function RegSetValueEx Lib "advapi32.dll" Alias "RegSetValueExA" (ByVal hKey As Long, ByVal lpValueName As String, ByVal Reserved As Long, ByVal dwType As Long, lpData As Any, ByVal cbData As Long) As Long

Public Sub SaveString(hKey As Long, strPath As String, strValue As String, strData As String)
Dim Ret
'Create a new key
RegCreateKey hKey, strPath, Ret
'Save a string to the key
RegSetValueEx Ret, strValue, 0, REG_SZ, ByVal strData, Len(strData)
'close the key
RegCloseKey Ret
End Sub

Public Function RGGetKeyValue(hKey As Long, SubKey As String, ValueName As String, Optional Default As String = "")

Dim lngRet As Long
Dim lngResult As Long
Dim sData As String

lngRet = RegOpenKeyEx(hKey, SubKey, 0, KEY_ALL_ACCESS, lngResult)
If lngRet = ERROR_SUCCESS Then
sData = String(128, vbNullChar)

lngRet = RegQueryValueEx(lngResult, ValueName, 0, REG_SZ, ByVal sData, Len(sData))

If Not lngRet = ERROR_SUCCESS Then RGGetKeyValue = Default: Exit Function
RGGetKeyValue = Left(sData, InStr(1, sData, vbNullChar) - 1)
RegCloseKey lngResult
Else
RGGetKeyValue = Default
End If
End Function

Chốc nữa tui giải thích các câu lệnh, tóm lại module này dùng để tạo, đọc ghi các giá trị trong Regedit.
Thế nhé bây giờ tui đi có chuyện một chút.