| |
|
|
Chà, lần đầu tiên Dũng còi nghe đến môn học "Virus máy tính" đó nha
Nè, "Virus toàn tập" tài liệu tui viết về VIrus trên VB6 nè :
http://diendan.vietnamnet.vn/message_view.asp?forumid=53&msgid=20070304091917666688&page=1
Mấy anh MOD có ko "Ưng" em thì cũng đừng del bài viết của em nha, tội lắm 
|
 |
|
|
hì hì
đựoc một "Người nổi" tiếng như anh IQ "Hỏi thăm" thì sao em ko trả lời đựoc chứ
Để em phân tích : Thực ra các file Fun.exe và dc.exe và cả sviq.exe đều được 2 dòng worm YMDungCoi (Tên gốc là DungCoi) và dòng worm DakNong (Tên gốc là RealWorm) sử dụng
Tuy nhiên, trong worm DungCoi phạm phải một lỗi code chí tử khiến cho RAM bị ngốn kinh khủng và nguyên tắc bảo vệ của nó cũng thấp hơn rất nhiều so với ReamWorm
Cách phân biệt cơ bản của worm DungCoi và RealWorm là kiểm tra Key Userinit trong Regedit (Đọc bài viết "Virus toàn tập" để hiểu về key này nhá) hoặc kiểm tra khả năng "Tự bảo" vệ của sviq.exe
Còn về file NDM = Nội Dung Mail . Đây là file chỉ có worm DungCoi tạo ra với mục đích gửi mail tới nạn nhân kết tiếp thông qua OE của PC đó
Cách diệt cụ thể của worm DungCoi là Kill hàng loạt file và xóa nó cộng với xóa thêm vài key. Nếu bạn lười thì sài cái Remove DungCoi tui viết hồi trước nè : http://rapidshare.com/files/19484036/Remove_DungCoi.zip.html
Diệt ReamWorm cũng tương tự cũng có thể dùng Remove DungCoi để tiêu diệt, tuy nhiên sau đó cần phải phục hồi lại Key UserInit theo bằng dự liệu file path như sau : C:\Windows\System32\Userinit.exe
Okie. Good luke. Bi giờ có lẽ các bạn đã biết tui là cái gì của mấy con worm này rùi chứ
hì hì
|
|
|
|
hì hì
con worm này hoạt động ngay cả trong Safe mode đó vậy vị ạ
cách duy nhất duyệt nó là sài một chương trình kill process hàng loạt, sau đó phục hồi file Userinit.exe đã bị worm thay đổi dữ liệu trong regedit
Đọc mấy cái àny mà tham khảo nè : http://www.google.com.vn/search?num=100&hl=vi&as_qdr=all&q=fun.exe%2Bdc.exe&meta=
http://diendan.vietnamnet.vn/message_view.asp?forumid=53&msgid=20070304091917666688&page=1
Chúc may mắn
|
|
|
|
kienmanowar wrote:
dungcoi_vb wrote:
con worm fun.exe yếu như con sên vậy mà mấy vậy cứ nói gì phức tạp vậy :
1. www.Bkav.com.vn
2. http://www.fortiguardcenter.com/ve?vid=317648
3. http://www.trendmicro-middleeast.com/smb/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=3&VName=WORM_AGENT.KIC
4. http://msn.ahnlab.com/info_virus_view.asp?list=/virus_info_list.asp&seq=6831
5. http://acc.moe.go.kr/virus_view.asp?list=/newvirus.asp&seq=6831
6. http://virusinfo.prevx.com/pxparall.asp?PX5=44c31263003243cfe0f800a3dc352000ccefde6c&psection=filepath
Good luke
Cái này không phải là phức tạp hay là không mà vấn đề là ở chỗ nếu như bạn là người dính đầu tiên và trên các site khác chưa có thông tin về cách diệt thì thử hỏi bạn làm thế nào? Tôi dám cá chắc là bạn sẽ hoang mang vì bạn đâu biết mức độ nguy hiểm của nó. Topic lập ra để giúp bạn gì đó remove virus ra khỏi hệ thống do đó nếu bạn có lòng thì nên chia sẻ kinh nghiệm để hỗ trợ. Chẳng ai dám phát biểu một con virus là yếu như con sên khi người ta chưa biết tí gì về nó đâu  )
Best Regards
kienmanowar
Anh bạn biết con worm này là ai viết ko mà anh ạn nói tui ko "Biết" về nói
Chính xác, nó là một worm yếu như sên, và tệ hơn cả vậy  )
|
|
|
|
con worm fun.exe yếu như con sên vậy mà mấy vậy cứ nói gì phức tạp vậy :
1. www.Bkav.com.vn
2. http://www.fortiguardcenter.com/ve?vid=317648
3. http://www.trendmicro-middleeast.com/smb/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=3&VName=WORM_AGENT.KIC
4. http://msn.ahnlab.com/info_virus_view.asp?list=/virus_info_list.asp&seq=6831
5. http://acc.moe.go.kr/virus_view.asp?list=/newvirus.asp&seq=6831
6. http://virusinfo.prevx.com/pxparall.asp?PX5=44c31263003243cfe0f800a3dc352000ccefde6c&psection=filepath
Good luke
|
|
|
|
dầu tiên cần có một phần mềm kiểm tra coi ácc chươnbg tr2inh khởi động
ok . Hoặc vào thăNGR egedit kim tra các key víu hay sài để khởi động dểdc 1xa 9ịn hđườgn dẫn. Ok. tiếp tục là tìm cách endtask nếu ko được khởid 9ộng với chế ôộ S Fe mode rùi xoá file
nếu vẫn ko thành công tức là víu đã nhiễm vào các file loại này rất khóc hịu cáh tốt nhứ clà tải ăn ti víu mới nưức mớic ậ phnực, nếu ko diệt được th2i gửi chú víu đó cho họ "kHÁM" CUỐI CÙNBG TIẾP TỤC CẬP NHẬT OKOKO
|
|
|
|
http://vipviet.googlepages.com/ChieuThucLapTrinh.doc
Chúc may mắn
|
|
|
|
chà THE LAST LEAF bên cau lạc bộ VB cũng qua đây sao, hahaha
à bài viết nảy lấy từ www.conmaz.com , anh trên kia ko lấy cho ví dụ là vì kỹ thuật này rất khó hỉu và cao siêu (Tui nghĩ là vậy). Các huynh có biết tên chủ dề bài viết là gì ko " Háck hệ điều hành đó" thay vì nó dùng các hàm API nó lại đi vào thẳng cấu trúc truyền dữ liệu (Quá khó phải ko?)
|
|
|
|
chà ko biết có phải ông là anh Lê vũ Hoàng thi Olimpia đó ko, tui hâm một nhắm.
À về víu thì chíhn xác tui đã hoàn thành (Trên VB đàng hoàn), tuy nhiên mún tìmh ỉu6 tm5o chút về lây nhiễm file, tui vẫn chưa hiểu được đoạn "Nhảy" tới mộvt ỉ ít akc1h trong File Ễ chứ còn chèn file thì quá đơn giản.
mong mấy vị viện trợ
|
|
|
|
:?: :?:
Cho em hỏi cách thức (Và Code mẫu đơn gảin thui) về việc virsu lây nhiễm sang ácc fiel thực thi như EXE chẳng hạn
À quên code VB nha
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
