banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Con trojan NTDELCT.COM và KAVO.EXE  XML
  [Question]   Con trojan NTDELCT.COM và KAVO.EXE 26/09/2007 13:51:25 (+0700) | #1 | 87082
[Avatar]
kieuphong87
Member

[Minus]    0    [Plus]
Joined: 29/07/2007 13:00:06
Messages: 19
Offline
[Profile] [PM]
Các bác ạ, tình hình là em mới cài thử ku Bitdefender vào máy thì thấy em nó scan ra 3 ,4 con gì đấy. Từ lúc đó máy chạy chậm hẳn, trước khi cài Bit máy chạy rất nhanh, ổn định. Tuy nhiên phiền nhất là khi vào My Computer, nháy vào biểu tượng ổ đĩa thì nó chờ 1 lúc rồi bật ra 1 em cửa sổ khác của ổ đĩa đấy, sau đó thì vào các thư mục con bình thường. Em cú quá, vào xem thế nào nhưng nó disable hết các tuỳ chọn show file ẩn với file hệ thống. Em lại phải dùng thằng em cưng Speed Commander, thì thấy thư mục gốc của mỗi ổ đĩa đều có 2 em Autorun.inf và ntdelect.com (not NTDETECT.COM). Bật em autorun thì thấy

Code:
[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com.
Lám sao bây giờ ạ, KAV 6.0 cũng kô phát hiện ra
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 26/09/2007 15:22:40 (+0700) | #2 | 87086
[Avatar]
Member VIP
Member

[Minus]    0    [Plus]
Joined: 27/07/2007 23:29:40
Messages: 1
Offline
[Profile] [PM]
Tui cũng mới bị nhiễm con Trojan này, thằng KAV 7 phát hiện nhưng không diệt sạch được hết, với lại khi diệt xong thì mở ổ đĩa nó hỏi OpenWith, xóa File AutoRun thì lại Search mà không Open. Thế mới đau, cuối cùng đành Format. :cry:
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 26/09/2007 23:10:35 (+0700) | #3 | 87145
[Avatar]
kieuphong87
Member

[Minus]    0    [Plus]
Joined: 29/07/2007 13:00:06
Messages: 19
Offline
[Profile] [PM]
Em diệt được rồi, đúng là Kav 7.0 còn chẳng phát hiện được con nào , kể cả bkav 24/9 update cũng ko phát hiện được nó,cứ mỗi lần bật lại win thì nó lại bảo lỗi ,bảo thiếu file kavo.exe....application error.Con viút này ngụy trang khá phết.Bên ngoài usb vẫn hiện open va explore Ở điểm này nó khá mạnh và đã thắng được nhiều thằng như em .Chú ý nha, kể cả khi cài lại win em kick chuot phải vảo các ổ khác dùng explore thì cũng bị dính virut lan 2. Tưởng bất lực cuối cùng thì đã có cách .Nếu ai ko thích diệt tay nhu các bac pro thi hãy dùng phần mềm AVIRA DOWN TỪ WWW.FREE-AV.COM. Đôi khi phần mềm miễn phí cũng rất tốt các bác ạ. Ko 1 phần mềm nào là tối ưu, mỗi cái có 1 thế mạnh của nó.Còn bác nào diêt = tay thì chỉ dạy em với .Chúc mọi người thành công
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 27/09/2007 04:15:16 (+0700) | #4 | 87196
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Hì con này dạo này phát tán rất kinh. Mang USB ra mấy quán in là kiểu gì cũng được tặng miễn phí chú này :lolsmilie

Con này ngoài cái Autorun kô làm hiện dọng Autoplay đậm trên đỉnh như bình thường thì cũng kô có gì đặc biệt. Diệt bằng tay rất đơn giản. smilie)

Nó tạo ra 2 file %Sysdir%\Kavo.exe và %Sysdir%\Kavo*.dll" (* ký thự này mình kô nhớ rõ )

Tạo một key trong HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để kích hoạt file Kavo.exe khi vào win.

Khi file Kavo.exe được kích hoạt nó sẽ inject file Kavo*.dll vào Process Explore.exe

Khi file Kavo*.dll được ijnect vào Process Explore.exe thì nó tác dụng:

- làm máy kô mở ẩn được bằng cách luôn để value '0' cho key "CheckedValue" trong HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\

Tạo Autorun và file ntdelect.com trong thư mục gốc của các ổ. Và +s +h cho mấy file này (nếu dùng lệnh attrib để -s -h thì nó lại + lại ngay sau vài giây. xóa cũng thế.)

Đó là các chức năng giúp nó phòng thủ còn các chức năng khác thì mình chưa biết smilie)

Diệt nó bằng tay như sau:

Vào Task Manager kill Process Explore.exe rồi lại Open lại để unload file Kavo*.dll ra khỏi Process Explore.exe --> làm virus ngưng hoạt động.(rất đơn giản smilie )

Bây giờ thì bạn mở khóa ẩn bằng cách vào regedit thay value của key "CheckedValue" thành '1' rồi vào folder options mở ẩn thường và ẩn System ra.

Tiếp theo là vào các ổ qua ô Address của Window Explore (dùng chuột sổ cái address xuống --> di chuột đến ổ cần vào --> click) chứ kô được vào bằng click đúp lên các ổ! để kô kích hoạt lại virus.
Sau khi vào được ổ thì Xóa 2 cái file Autorun.inf và ntdelect.com đi. Chú ý ở ổ C có ntdelect.com(chữ thường) của virus và NTDELECT.COM (chữ in hoa) của OS --> chỉ xóa ntdelect.com(chữ thường)

Tiếp theo vào vào xóa các file Kavo.exe và Kavo*.dll (trong System32, quái sao mình gõ %Sysdir% vào Run nó kô mở System32 ra nhỉ?)

Tiếp nữa là vào regedit xóa key "kava"="%Sysdir%\Kavo.exe" trong HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Restart lại máy --> xong smilie) Viết thì dài nhưng làm thì nhanh lắm smilie)

Vừa rồi gặp mấy con hay hay có vài cái muốn nhờ các pác phân tích code giúp để giải đáp mà ko có time smilie)

1. là con Auto.exe (tạo Autorun và file Auto.exe trong các ổ) Hijackthis kô thể thấy key kích hoạt của nó .(quên kô dùng SystemSnapShot của bác Hoàng để thử.)

2. Con gì mà lúc chạy thấy cả file .jpg, .zip, .txt, .reg, .doc (Blank.doc, Empty.jpg, Hole.ZIP, Zero.txt, Unoccupied.reg) trong list process. Nó làm riêng file .exe kô hiện ra đuôi. tạo file .exe có icon hình folder để lừa victim. --> Hôm trước mình vừa diệt xong nó nhưng lại bị nó lừa kích hoạt lại smilie có ai dính con này chưa? smilie

Tất cả mấy con trên KAV đều đã diệt được.
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 27/09/2007 04:35:34 (+0700) | #5 | 87200
[Avatar]
PhuongDT
Member

[Minus]    0    [Plus]
Joined: 19/04/2005 02:36:42
Messages: 41
Location: HVA
Offline
[Profile] [PM]
Phiên bản cao hơn của con này còn ăn cả Yahoo Messenger nữa đó, cứ log vào là bị exit YM ngay. Mang USB qua máy tính bị nhiễm là nó tự động copy các file Autorun.inf và file .exe vào, mà hiểm là khi click chuột phải nó ko hiện lên Autoplay :lolsmilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 27/09/2007 06:55:10 (+0700) | #6 | 87249
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

Ghost Ship wrote:
Hôm trước mình vừa diệt xong nó nhưng lại bị nó lừa kích hoạt lại smilie có ai dính con này chưa? smilie  

GS upload con này lên đây xem ?
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 27/09/2007 09:54:06 (+0700) | #7 | 87286
vangkhach
Member

[Minus]    0    [Plus]
Joined: 18/03/2007 12:03:42
Messages: 31
Location: vnISS
Offline
[Profile] [PM]

Tiếp theo vào vào xóa các file Kavo.exe và Kavo*.dll (trong System32, quái sao mình gõ %Sysdir% vào Run nó kô mở System32 ra nhỉ?)
 

Cái này là biến môi trường:
vào cmd gõ: echo %Sysdir%, nếu không hiện path thì do cậu chưa đặt biến -> có 2 cách đặt (WinXP):
1. System properties\Advanced\Environment variables\System variables\New
2. Vào đây đặt: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 27/09/2007 13:07:11 (+0700) | #8 | 87330
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

LeVuHoang wrote:

Ghost Ship wrote:
Hôm trước mình vừa diệt xong nó nhưng lại bị nó lừa kích hoạt lại smilie có ai dính con này chưa? smilie  

GS upload con này lên đây xem ? 

Nó đây pác Hoàng smilie) http://superupload.fire-lion.com/download.php?file=52c6228a3f8c868029d924460f8baf50

Đây là: http://www.bkav.com.vn/thong_tin_virus/?thread=3&cid=1012

Cách em diệt nó : Dùng IceSword kill liền một lượt cả 5 Process Blank.doc, Empty.jpg, Hole.ZIP, Zero.txt, Unoccupied.reg rồi vào xóa các file các key của nó (thế là xong) nhưng em vẫn chưa biết làm hiện lại đuôi của file .exe thế nào. Pác phan tích nó rồi giúp em với nhé smilie

vangkhach wrote:

Ghost Ship wrote:
Tiếp theo vào vào xóa các file Kavo.exe và Kavo*.dll (trong System32, quái sao mình gõ %Sysdir% vào Run nó kô mở System32 ra nhỉ?) 

Cái này là biến môi trường:
vào cmd gõ: echo %Sysdir%, nếu không hiện path thì do cậu chưa đặt biến -> có 2 cách đặt (WinXP):
1. System properties\Advanced\Environment variables\System variables\New
2. Vào đây đặt: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment 


thanks! giờ mình mới biết cái nầy smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 27/09/2007 14:48:19 (+0700) | #9 | 87339
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
con của GS up lên là 1 loại virus á. Nó infected vào file *.exe. GS về quét lại máy đi smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 27/09/2007 21:40:33 (+0700) | #10 | 87363
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

LeVuHoang wrote:
con của GS up lên là 1 loại virus á. Nó infected vào file *.exe. GS về quét lại máy đi smilie 

Chài đó là máy thằng bạn chứ kô phải máy em smilie Mà sao mô tả của BKAV kô nói nó ăn file .exe nhỉ?

BKAV wrote:
Nguy cơ:

* Làm giảm mức độ an ninh của hệ thống.
* Ăn cắp thông tin cá nhân.  


Mà em vừa quét cái USB hôm em mang sang nhà thằng đó (trong ấy có mấy file .exe hijackthis,IceSword,Procexp,...) nhưng kô thấy báo bị nhiễm.

Vừa đọc lại mô tả của BKAV. hóa ra thằng này làm ẩn cái đuôi .exe bằng cách:

BKAV wrote:
Sửa giá trị các key để không cho hiện các file hệ thống và file ẩn: HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\Advanced
HideFileExt = "1"  


Vậy là xong cái vụ ẩn đuôi .exe smilie)

Mấy lần trước mang USB tới máy bị virus tấn công file .exe em thấy các file .exe trong USB đều bị dính chỉ riêng file Procexp.exe kô bị. Kô hiểu vì sao? smilie)
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 27/09/2007 21:57:04 (+0700) | #11 | 87366
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Các malware sau này đều hướng và đã dùng kỹ thuật rootkit, cực kỳ nguy hiểm và khó diệt. Vì vậy không nên chơi với nó nếu bạn là tay mơ trong phân tích và diệt virus.
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 27/09/2007 22:42:38 (+0700) | #12 | 87381
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

ThangCuEm wrote:
Các malware sau này đều hướng và đã dùng kỹ thuật rootkit, cực kỳ nguy hiểm và khó diệt. Vì vậy không nên chơi với nó nếu bạn là tay mơ trong phân tích và diệt virus. 

Em có chủ động chơi với chúng nó đâu, chúng nó cứ lao vào em đấy chứ :lolsmilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 28/09/2007 00:47:22 (+0700) | #13 | 87424
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Code:
Mà em vừa quét cái USB hôm em mang sang nhà thằng đó (trong ấy có mấy file .exe hijackthis,IceSword,Procexp,...) nhưng kô thấy báo bị nhiễm.

Tuỳ vào cấu trúc của mỗi file .exe mà virus có infected vào hay không nữa. Có lẽ trên trang BKAV... đăng thiếu smilie
Con này khá nguy hiểm, BKAV phát hiện ra mà diệt không hết vì nó chạy quá nhiều tiến trình, nhiều tên file khác nhau.
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 28/09/2007 01:42:21 (+0700) | #14 | 87441
pocolo152
Member

[Minus]    0    [Plus]
Joined: 12/01/2007 23:42:37
Messages: 40
Offline
[Profile] [PM]

Ghotship wrote:
Đây là: Mô tả về nó của BKAV

Cách em diệt nó : Dùng IceSword kill liền một lượt cả 5 Process Blank.doc, Empty.jpg, Hole.ZIP, Zero.txt, Unoccupied.reg rồi vào xóa các file các key của nó (thế là xong) nhưng em vẫn chưa biết làm hiện lại đuôi của file .exe thế nào. Pác phan tích nó rồi giúp em với nhé  

Bồ trích dẫn lộn tiệm rùi. :lolsmilie
Code:
http://www.bkav.com.vn/thong_tin_virus/?thread=3&cid=1119

=> Đây là thông tin của BKiss về con kavo.exe.
Tui cũng đang dính chưởng với con này!!! Hôm qua diệt mãi ko được
%sysdir%\[random_name].dll ( thư viện hook password ) 

=> chẳng biết tính sao với cái này.
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 28/09/2007 02:02:19 (+0700) | #15 | 87447
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

pocolo152 wrote:

Ghotship wrote:
Đây là: Mô tả về nó của BKAV

Cách em diệt nó : Dùng IceSword kill liền một lượt cả 5 Process Blank.doc, Empty.jpg, Hole.ZIP, Zero.txt, Unoccupied.reg rồi vào xóa các file các key của nó (thế là xong) nhưng em vẫn chưa biết làm hiện lại đuôi của file .exe thế nào. Pác phan tích nó rồi giúp em với nhé  

Bồ trích dẫn lộn tiệm rùi. :lolsmilie
Code:
http://www.bkav.com.vn/thong_tin_virus/?thread=3&cid=1119

=> Đây là thông tin của BKiss về con kavo.exe.
Tui cũng đang dính chưởng với con này!!! Hôm qua diệt mãi ko được
%sysdir%\[random_name].dll ( thư viện hook password ) 

=> chẳng biết tính sao với cái này.
 

Tại Pác Hoàng bảo mình up con mình kể vào đây nên mới lộn tiệm chút smilie

Mình diệt con này mấy lần rồi. Chỉ cần Kill Process Explore.exe rồi mở lại là có thể mở ẩn và xóa Autorun, ntdelect.com, kavo.exe và Kavo0.dll. Còn mấy file kia mình kô tìm thấy. chắc đây là phiên bản mới của nó thì mới có mấy file này. Nó chỉ dùng một key để tư kích hoạt lúc vào Win, mà key này kô có tác dụng khi vào safe mode nên có thể vào safe mode để tìm và xóa hết file và key của nó.

%sysdir%\wincab.sys ( rootkit ) --> nó có tác dụng gì nhỉ?



[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 30/09/2007 10:04:57 (+0700) | #16 | 87929
mitut
Member

[Minus]    0    [Plus]
Joined: 29/09/2007 20:00:29
Messages: 1
Offline
[Profile] [PM]
Dùng RegRun mình đã dùng nó bản Platium và giệt thành công ^^
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 30/09/2007 10:43:31 (+0700) | #17 | 87938
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Một con rootkit bự chảng, bửa nay thứ này khá phổ biến. Các thư mục trên USB bị ẩn sạch, và cái thuộc tính ẩn đó khó chỉnh tại bình thường. Trường hợp , Ổ cứng được định dạng NTFS, windows XP có chế độ Data execution Prevetion được bật, windows sẽ cảnh báo khi cái file nt1detect(nó chạy) đó khi cắm USB vào máy.

Đâu dễ mà diệt cái con rootkit này.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 01/10/2007 22:12:27 (+0700) | #18 | 88163
trainer
Member

[Minus]    0    [Plus]
Joined: 14/01/2007 18:42:48
Messages: 3
Offline
[Profile] [PM]
huhu.. sau khi em dùng thằng ANTIVIR kill hết mấy con virus rồi thì cái đường dẩn vào ổ C, D,E cũng mất luôn. Bây giờ double click vào ổ C,D,E thì nó hiện ra cái bảng báo openwith, em phải chọn internet explore thì mới vào lại đc mấy ổ đĩa đó. Bác nào hướng dẫn em cách phục hồi lại đường dẫn mấy cái ổ đĩa đó đc ko ạ.
...còn nữa, em kill virus rồi... nhưng vẫn ko bật lại đc chức năng hidefile, em có vào HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/hidden em đã bật lại thành 1 nhưng vẫn ko đc. em ko chắc là còn virus ko vì scan lại thì ko còn nữa. các bác giúp em 1 tay với....!!!!!
[Locked] [Up] [Print Copy]
  [Question]   Con trojan NTDELCT.COM và KAVO.EXE 03/10/2007 11:33:50 (+0700) | #19 | 88434
[Avatar]
nhatminh1209
Member

[Minus]    0    [Plus]
Joined: 25/01/2005 08:55:11
Messages: 102
Offline
[Profile] [PM]

kieuphong87 wrote:
Các bác ạ, tình hình là em mới cài thử ku Bitdefender vào máy thì thấy em nó scan ra 3 ,4 con gì đấy. Từ lúc đó máy chạy chậm hẳn, trước khi cài Bit máy chạy rất nhanh, ổn định. Tuy nhiên phiền nhất là khi vào My Computer, nháy vào biểu tượng ổ đĩa thì nó chờ 1 lúc rồi bật ra 1 em cửa sổ khác của ổ đĩa đấy, sau đó thì vào các thư mục con bình thường. Em cú quá, vào xem thế nào nhưng nó disable hết các tuỳ chọn show file ẩn với file hệ thống. Em lại phải dùng thằng em cưng Speed Commander, thì thấy thư mục gốc của mỗi ổ đĩa đều có 2 em Autorun.inf và ntdelect.com (not NTDETECT.COM). Bật em autorun thì thấy

Code:
[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com.
Lám sao bây giờ ạ, KAV 6.0 cũng kô phát hiện ra 


Con Virus này tạo ra file của nó là Kavo.exe nằmtrong System32.
KAV 6.0 có diệt được. Tuy nhiên nó sẽ để lại 1 số hậu quả:
Không hiện Hidden File của Folder Options lên được (Nếu chuyển sang Show hidden file and folders thì khi đóng lại nó lại giấu file hidden như cũ).
Để hóa giải hoàn toàn, bồ vào Regedit, tìm khóa sau:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 


Delete cái khóa CheckedValue đi (thường khi bị nhiễm nó sẽ có giá trị là 2, REG_SZ).
Tạo 1 REG_DWORD mới cũng có khóa là CheckedValue. Cho nó giá trị là 1.
Vậy là OK.
Từ giờ ấy có thể làm hiện hidden file của nó lên (Nhớ uncheck cái Hide Protected Operating System Files). Xóa file autorun.inf đi.
OK. Máy chạy ngon lành :wink:
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 03/10/2007 22:18:47 (+0700) | #20 | 88472
[Avatar]
Look2Me
Member

[Minus]    0    [Plus]
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
[Profile] [PM]

tmd wrote:
Đâu dễ mà diệt cái con rootkit này.  

Con này cơ chế tự bảo vệ vẫn yếu xìu cái wincab.sys đâu có ẩn => vẫn kill manual ngon.
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 03/10/2007 23:38:36 (+0700) | #21 | 88479
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Biết quá rõ về nó thì nói dễ. Đa số người khác chẳng biết gì về nó, cũng không biết một số thứ khác về windows, cho dù có thông tin đi kèm theo, họ khó làm được. Biết wincab.sys gì gì đó thì nói gì nửa.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 04/10/2007 00:20:54 (+0700) | #22 | 88489
[Avatar]
Look2Me
Member

[Minus]    0    [Plus]
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
[Profile] [PM]

tmd wrote:
Biết quá rõ về nó thì nói dễ. Đa số người khác chẳng biết gì về nó, cũng không biết một số thứ khác về windows, cho dù có thông tin đi kèm theo, họ khó làm được. Biết wincab.sys gì gì đó thì nói gì nửa.  

Không biết là wincab.sys thì vẫn dễ dàng tìm ra nó. Đơn giản là con này tuy là rootkit nhưng nó lại không ẩn chính mình mà chỉ ẩn phần virus thôi, các kỹ thuật đều cũ, chẳng có sáng tạo. Vì thế tôi mới nói nó đơn giản. Không thể sánh với con storm được.
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 06/10/2007 23:28:31 (+0700) | #23 | 89038
hunger
Member

[Minus]    0    [Plus]
Joined: 06/10/2007 03:52:31
Messages: 4
Offline
[Profile] [PM]

trainer wrote:
huhu.. sau khi em dùng thằng ANTIVIR kill hết mấy con virus rồi thì cái đường dẩn vào ổ C, D,E cũng mất luôn. Bây giờ double click vào ổ C,D,E thì nó hiện ra cái bảng báo openwith, em phải chọn internet explore thì mới vào lại đc mấy ổ đĩa đó. Bác nào hướng dẫn em cách phục hồi lại đường dẫn mấy cái ổ đĩa đó đc ko ạ. 


Em cũng bị như bác nhưng em xử lý được rồi. Con kavo này đúng là thâm độc thật. Symantec bó tay, cứ bật lên là bị liệt. Bkav thì thông báo là diệt được rồi, nhưng thực ra nó vẫn sống nhăn răng, sống khỏe hơn là đằng khác, vì các lần sau Bkav quét không phát hiện thấy nó nữa. Diệt tay như các bác dạy cũng không lại, vì mỗi lần em làm hiển thị được các file lên, thì ngay sau đó mấy giây, nó lại làm lặn mất, em không kịp xóa, hoặc chỉ kịp xóa 1 file. Em down thằng Antivir về, thằng này ti toe đòi tóm cổ kavo, bị nó bật lại chết cứng, lại còn liệt luôn cả hệ thống, Shutdown cũng không được nữa. Em phải rút điện mới thoát được nó. Lúc cắm điện chạy lại vẫn thấy 2 bên đang giao tranh với nhau làm máy không thể nào hoạt động được.

Em lại phải rút điện, rồi cắm lại và vào Safe Mode dùng Antivir tìm diệt con kavo. Lần này thì Antivir tóm cổ được nó. Làm thịt xong, vào lại thì bị giống bác trainer. Em xử lý bằng cách vào Regedit, gán cho CheckedVersion giá trị 1, xong quay ra My Documents, bật hiển thị file hệ thống cùng đuôi file lên, dùng thanh địa chỉ để browse đến từng ổ, thấy ngay kẻ giấu mặt autorun.inf mà con kavo còn "cài" lại. Em del sạch bọn nó ở tất cả các ổ, rồi khởi động lại máy, vào Mycomputer bấm kép vào các ổ thấy hiện lên như thường. Y!M chạy ào ào.

Bác trainer không thay được giá trị của khóa CheckeVersion thì chắc là do chưa diệt được hết. Bác nên vào Safemode quét cho sạch. Tiện thể quét luôn cả USB cho tiệt nọc nó đi.

Diệt con này kỳ công, nhưng xong thì sướng, nhất là đối với thằng i tờ về IT như em.
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 07/10/2007 02:14:42 (+0700) | #24 | 89068
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

hunger wrote:
Diệt tay như các bác dạy cũng không lại, vì mỗi lần em làm hiển thị được các file lên, thì ngay sau đó mấy giây, nó lại làm lặn mất, em không kịp xóa, hoặc chỉ kịp xóa 1 file. 

Cậu có thể thuật lại chi tiết cậu đã:"Diệt tay như các bác dạy" là diệt như thế nào kô? Cậu có biết kill Process là thế nào kô ? Chỉ có những người chưa hiểu kill Process là gì thì mới kô diệt được con này theo những hướng dẫn ở trên. Hoặc con mà cậu nhiễm là phiên bản mới và nó kô inject vào process Explore.exe nữa.

Mình vẫn chưa biết con này dùng cái file .sys(rootkit) để làm gì. Mình tìm ở mấy máy mà mình đã diệt con này đều kô thấy cái file .sys ấy. Biết dùng rootkit mà lại chỉ dùng một key quá thông thường để tự kích hoạt. Dùng cái key ấy chẳng khác nào muốn thông báo:"lạy các cụ, kon ở chỗ này này, các cụ vào xóa con đi.":lolsmilie ) Nếu cái rookit kia quá khủng đến nỗi biết cái file kaov nằm ở đâu mà vẫn kô thể xóa được thì còn hiểu được là nó làm như vậy để thách thức, đằng này...

Lại còn kô có khả năng kích hoạt khi vào safe mode. Kô hiểu tên tác giả nghĩ gì. hay hắn chỉ biết tạo ra cái file .sys trắng để dọa rồ thiên hạ :lolsmilie

Có pác nào biết cái file .sys kia nó có tác dụng gì thì vào chia sẻ cho anh em biết với. Hay toàn mấy bố thấy mô tả là nó có file .sys thì cứ lên:"ối làng nước ơi! nó là rootkit đấy, kô phải hạng tầm thường đâu, kô dễ diệt đâu :cry:" mặc dù chả biết cái file ấy có tác dụng gì. :lolsmilie Nản !!! Pác Thang Cu Em đã phân tích con này chưa vậy? 4rum có những cao thủ như pác mà lại để topic này có tình trạng này hay sao? chán quá! :cry:

Mức độ chia sẻ thông tin ở đây quá thấp. Oài! đành chịu khó luyện dich món Eng léc để ra 4 rum nước ngoài đọc zậy :cry:
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 07/10/2007 02:22:49 (+0700) | #25 | 89069
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

Look2Me wrote:

tmd wrote:
Biết quá rõ về nó thì nói dễ. Đa số người khác chẳng biết gì về nó, cũng không biết một số thứ khác về windows, cho dù có thông tin đi kèm theo, họ khó làm được. Biết wincab.sys gì gì đó thì nói gì nửa.  

Không biết là wincab.sys thì vẫn dễ dàng tìm ra nó. Đơn giản là con này tuy là rootkit nhưng nó lại không ẩn chính mình mà chỉ ẩn phần virus thôi, các kỹ thuật đều cũ, chẳng có sáng tạo. Vì thế tôi mới nói nó đơn giản. Không thể sánh với con storm được. 

À đây rồi smilie) Tác dụng của file wincab.sys là "ẩn phần virus" nghĩa là ẩn phần nào vậy pác ? và còn này thì nó có mấy phần ? pác có thể giải thích giúp em được kô? Xin cám ơn pác trước smilie)
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 07/10/2007 04:07:40 (+0700) | #26 | 89073
hunger
Member

[Minus]    0    [Plus]
Joined: 06/10/2007 03:52:31
Messages: 4
Offline
[Profile] [PM]

Ghost Ship wrote:

Cậu có thể thuật lại chi tiết cậu đã:"Diệt tay như các bác dạy" là diệt như thế nào kô? Cậu có biết kill Process là thế nào kô ? Chỉ có những người chưa hiểu kill Process là gì thì mới kô diệt được con này theo những hướng dẫn ở trên. Hoặc con mà cậu nhiễm là phiên bản mới và nó kô inject vào process Explore.exe nữa. 
Thì em vào Task Manager => Process, chọn explore.exe rồi End Process nó đi. Xong em lại vào New Task dò đến explore.exe để mở lại. Em nghĩ em đã làm hiện được các file hệ thống lên, tức là lúc đấy nó không hoạt động nữa rồi, nhưng sau khi em xóa 1 file của nó, hoặc thậm chí chưa kịp xóa thì nó lại hoạt động tiếp.
Đấy là em cứ nghĩ nôm na vậy thôi. Có gì không đúng các bác dạy thêm.
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 07/10/2007 04:41:55 (+0700) | #27 | 89075
[Avatar]
Look2Me
Member

[Minus]    0    [Plus]
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
[Profile] [PM]
Chú hunger không biết thì thôi để bác ghost ship với bác tmd giảng cho mà nghe smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 07/10/2007 06:43:54 (+0700) | #28 | 89091
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]

hunger wrote:

Ghost Ship wrote:

Cậu có thể thuật lại chi tiết cậu đã:"Diệt tay như các bác dạy" là diệt như thế nào kô? Cậu có biết kill Process là thế nào kô ? Chỉ có những người chưa hiểu kill Process là gì thì mới kô diệt được con này theo những hướng dẫn ở trên. Hoặc con mà cậu nhiễm là phiên bản mới và nó kô inject vào process Explore.exe nữa. 
Thì em vào Task Manager => Process, chọn explore.exe rồi End Process nó đi. Xong em lại vào New Task dò đến explore.exe để mở lại. Em nghĩ em đã làm hiện được các file hệ thống lên, tức là lúc đấy nó không hoạt động nữa rồi, nhưng sau khi em xóa 1 file của nó, hoặc thậm chí chưa kịp xóa thì nó lại hoạt động tiếp.
Đấy là em cứ nghĩ nôm na vậy thôi. Có gì không đúng các bác dạy thêm. 

Đúng là cậu kô phải kô biết kill Process. Cũng kô phải con cậu nhiễm kô inject vào Process Explore. Nhưng chuyện kill process Explore rồi --> mở ẩn được rồi nhưng nó lại hoạt động lại ngay thì đúng là mình kô hiểu tại sao. Hay là sau khi kill process explore xong cậu lại vào các ổ bằng cách click đúp lên các ổ ???

hunger wrote:
Em lại phải rút điện, rồi cắm lại và vào Safe Mode dùng Antivir tìm diệt con kavo. Lần này thì Antivir tóm cổ được nó. Làm thịt xong, vào lại thì bị giống bác trainer 
Có phải lúc kill xong process Explore cậu cũng vào lại kiểu này đúng kô? (click đúp lên các ổ để vào) Nếu đúng thế thì nó thức dậy là phải rồi :lolsmilie

Look2Me wrote:
Chú hunger không biết thì thôi để bác ghost ship với bác tmd giảng cho mà nghe smilie 

Cha này đang đá đểu mình thì phải? sao ông kô giải thích cái phàn tui hỏi vậy? giấu nghề à? :?smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 07/10/2007 07:25:51 (+0700) | #29 | 89106
dungcoi_vb
Member

[Minus]    0    [Plus]
Joined: 29/06/2006 17:17:06
Messages: 100
Offline
[Profile] [PM]
http://dungnguyenle.googlepages.com/1.PNG
Cách nhận dạng worm qua Icon cũng "Sài dc" vậy mà sao mấy anh chê mãi

à, con worm này, sao em Kill 5 cái process rồi chơi thêm vài key trong regedit là xong. có thấy gì nữa đây ?

mong các anh chỉ giáo
[Locked] [Up] [Print Copy]
  [Question]   Re: Con trojan NTDELCT.COM và KAVO.EXE 07/10/2007 11:53:07 (+0700) | #30 | 89149
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Cài vmware cho windows, copy con malware nào đó vào. Muốn nghiên cứu kiểu gì đó cũng được. Chuyện tay nghề thực , hay chỉ là nói chơi chơi cho vui , bà con ta tự hiểu lấy.

Mấy phần mềm diệt virus, tui sài cái nào tui thấy hợp với cái máy của tui nhất.
Tới giờ này, tui vẫn phải tìm hiểu windows nó hoạt động như thế nào, và vẫn chơi tới đâu cả, vẫn còn tìm hiểu tiếp, chủ yếu là mình không có kiến thức lập trình. Bà con tìm hiểu malware qua biểu hiện mà mắt mình thấy được, chưa tìm hiểu tới mức nghiên cứu cách thức hoạt động của malware ở mức code.

Cứ tìm hiểu cách thức hoạt động , rồi thích post kết quả lên forum thảo luận. Hơi đâu lại hỏi ngược( như nick ghost ship kia) , bàn lùi, chê bai này nọ.

Các bác tìm hiểu windows tới một mức nhất định, các bác sẽ phải tiết kiệm lại lời nói "chê bai" "bới móc" "so đọ hiểu biết", tới mức các bác sẽ phải suy nghỉ lại chính khả năng của mình.

"Giảng đạo " tới đó thôi. Nói nhiều quá không tốt.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Locked] [Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|