English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Hỏi cách thức hoạt động của virus chỉ có 1 file autorun.inf  XML
  [Question]   Hỏi cách thức hoạt động của virus chỉ có 1 file autorun.inf 23/10/2009 10:38:03 (+0700) | #1 | 196459
nh0ck0n10b
Member
[Minus]    0    [Plus]
Joined: 11/10/2009 00:00:27
Messages: 5
Offline
[Profile] [PM]
Có 1 loại virus trong USB mà nó chỉ có mỗi một file autorun.inf Nội dung của nó đã bị encrypt (Nên hok đọc được)
EM thắc mắc không hiểu nó hoạt động kiểu gì, mà chỉ cần mỗi một files autorun.inf được

Link download: http://www.downloadtaxi.com/d/1256222060

[Up] [Print Copy]
  [Question]   Hỏi cách thức hoạt động của virus chỉ có 1 file autorun.inf 23/10/2009 12:07:36 (+0700) | #2 | 196462
[Avatar]
 bolzano_1989
Journalist
[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
File đó là file autorun.inf của Conficker thôi.
Một mình nó không tự chạy được.

Mình vừa đơn giản hóa nội dung nó:
[autorun]
action=Open folder to view files
icon=%systemroot%\system32\shell32.dll,4
shellexecute=rundll32.exe .\recycler\jwgkvsq.vmx
useautoplay=1
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Hỏi cách thức hoạt động của virus chỉ có 1 file autorun.inf 23/10/2009 12:39:31 (+0700) | #3 | 196465
nguyenduchung
Member
[Minus]    0    [Plus]
Joined: 04/01/2007 17:46:56
Messages: 6
Location: bình long bình phước
Offline
[Profile] [PM]
mình vừa down về thử
một file thì kiếm đâu jwgkvsq.vmx để chạy nhỉ?
[Up] [Print Copy]
  [Question]   Hỏi cách thức hoạt động của virus chỉ có 1 file autorun.inf 23/10/2009 20:37:14 (+0700) | #4 | 196474
[Avatar]
 kamikazeq
Member
[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
[Đoán mò]
Chủ topic có để ý là path của file mầm nằm trong Recycler nhưng mò vào tìm không ra vì bị thuộc tính của Recycler dẫn sang thùng rác tạm.
Muốn mò vào được tới nơi thì dùng Winrar hoặc các trình File Manager khác ví như XYplorer.
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Hỏi cách thức hoạt động của virus chỉ có 1 file autorun.inf 23/10/2009 21:36:12 (+0700) | #5 | 196479
[Avatar]
 HiTnRuN
Member
[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
Nếu cắm USB vào máy sạch và để chế độ hiển thị file ẩn (hidden file) và file hệ thống (system file) bạn sẽ thấy trên USB đó có thêm 1 folder RECYCLER. Buồn cười thật, trên USB mà bác Bill cũng đặt thùng rác ư smilie , đích thị là virus giả danh rồi.

Hai chuyên gia bol và kami đưa ra thông tin ngắn gọn vì đã quá nhàm chán với việc nói đi nói lại nhiều lần vấn đề cỏn con này smilie
shellexecute=rundll32.exe .\recycler\jwgkvsq.vmx
Autorun trỏ đường dẫn đến file cần thực thi nằm trong thùng rác làm chúng ta lầm tưởng chỉ có 1 file autorun.inf. Tuy nhiên đối với các dòng virus dùng file autorun.inf, cài Autorun Eater cũng tạm ổn đối với đa số người dùng.
icon=%systemroot%\system32\shell32.dll,4
cái nì có thể học tập để đổi icon của các ổ cứng, ổ USB nếu thích. Chỉ cần thay số 4 bằng các số khác hoặc thay trực tiếp icon=butterfly.ico, tất nhiên là trên USB của bạn phải có hình butterfly smilie
[Up] [Print Copy]
  [Question]   Hỏi cách thức hoạt động của virus chỉ có 1 file autorun.inf 24/10/2009 03:56:10 (+0700) | #6 | 196515
[Avatar]
 bolzano_1989
Journalist
[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Recycle Bin hoàn toàn không có tác dụng lưu giữ file sau khi xóa bằng phím "Delete" đối với các ổ đĩa di động được như USB...
Mọi người có thể thẳng tay xóa các thư mục của Recycle Bin ( RECYCLED , RECYCLER , $Recycle.Bin ) trong trường hợp trên.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Hỏi cách thức hoạt động của virus chỉ có 1 file autorun.inf 24/10/2009 09:36:37 (+0700) | #7 | 196538
[Avatar]
 freeze_love
Member
[Minus]    0    [Plus]
Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline
[Profile] [PM] [Email]

bolzano_1989 wrote:
File đó là file autorun.inf của Conficker thôi.
Một mình nó không tự chạy được.

Mình vừa đơn giản hóa nội dung nó:
[autorun]
action=Open folder to view files
icon=%systemroot%\system32\shell32.dll,4
shellexecute=rundll32.exe .\recycler\jwgkvsq.vmx
useautoplay=1 

ĐOạn cam cam đó bạn có thể giải thích được không? Nó phải dùng rundll32.exe. Với lại, file Autorun.inf của nó nó mã hóa thế thì nó chạy = cách nào nhỉ?
do{
học đến điên;
}while (sống);
[Up] [Print Copy]
  [Question]   Hỏi cách thức hoạt động của virus chỉ có 1 file autorun.inf 24/10/2009 11:15:26 (+0700) | #8 | 196547
[Avatar]
 bolzano_1989
Journalist
[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

freeze_love wrote:

bolzano_1989 wrote:
File đó là file autorun.inf của Conficker thôi.
Một mình nó không tự chạy được.

Mình vừa đơn giản hóa nội dung nó:
[autorun]
action=Open folder to view files
icon=%systemroot%\system32\shell32.dll,4
shellexecute=rundll32.exe .\recycler\jwgkvsq.vmx
useautoplay=1 

ĐOạn cam cam đó bạn có thể giải thích được không? Nó phải dùng rundll32.exe. Với lại, file Autorun.inf của nó nó mã hóa thế thì nó chạy = cách nào nhỉ? 


freeze_love đã tìm hiểu gì rồi ?
freeze_love thử tìm hiểu và chia sẻ với mọi người xem.
Ví dụ: rundll32.exe là gì, hoạt động thế nào... ?
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Hỏi cách thức hoạt động của virus chỉ có 1 file autorun.inf 25/10/2009 04:32:43 (+0700) | #9 | 196592
nh0ck0n10b
Member
[Minus]    0    [Plus]
Joined: 11/10/2009 00:00:27
Messages: 5
Offline
[Profile] [PM]
File đó là file autorun.inf của Conficker thôi.
Một mình nó không tự chạy được.

Mình vừa đơn giản hóa nội dung nó:
[autorun]
action=Open folder to view files
icon=%systemroot%\system32\shell32.dll,4
shellexecute=rundll32.exe .\recycler\jwgkvsq.vmx
useautoplay=1 


Nếu nội dung của nó chỉ là như vậy thì em có hiểu.. Nhưng anh đã đơn giản hóa nội dung của nó bằng cách nào vậy smilie. NÓ đã được mã hóa kiểu gì mà windows vẫn có thể hiểu được nội dung của nó. Hay đơn giản nó chỉ thêm các nội dung thừa, vô dụng để làm rối mắt chúng ta mà không làm ảnh hưởng tới nội dung chính của nó (Không phải là mã hóa nội dung) :-s


 [AUTorUN

; ÅA¯˜ölÜŠq¦…tÎKVWœý¸¤¬
 AcTION  =Open folder to view files

 icon = %syStEmrOot%\sySTEM32\sHELL32.Dll ,4
shelLExECUte =RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn  




[Up] [Print Copy]
  [Question]   Hỏi cách thức hoạt động của virus chỉ có 1 file autorun.inf 25/10/2009 04:34:17 (+0700) | #10 | 196593
[Avatar]
 kamikazeq
Member
[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
Nói là "mã hóa" cho vui vậy thôi chứ thực ra nó ghi "bừa" thêm để tạo "rác" khiến Anti đọc khó khăn hơn.
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|