banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... các file html bị dính mã độc  XML
  [Question]   các file html bị dính mã độc 18/03/2012 14:38:56 (+0700) | #1 | 259222
heobungbu96
Member

[Minus]    0    [Plus]
Joined: 27/02/2012 03:08:35
Messages: 6
Offline
[Profile] [PM]

Em download các file html từ web về, và hầu hết các file ấy đều bị dính mã này ở cuối trang. Dù em đã xoá, nhưng sau khi restar lại máy thì bị dính tiếp. Code đã bị mã hoá và được viết bởi VB.net Script và em không biết làm sao để dịch mã này
Các anh nào biết giải mã giùm em! Cảm ơn các anh trước.
Download: (những phần của web đã bị xoá chỉ còn mã độc thôi)
http://www.mediafire.com/?7g9t91khqnbgigv
[Up] [Print Copy]
  [Article]   các file html bị dính mã độc 18/03/2012 14:50:35 (+0700) | #2 | 259223
miyumi2
Member

[Minus]    0    [Plus]
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
[Profile] [PM]
Máy bạn bị nhiễm con Ramnit rồi.
Con này lợi hại ở chỗ nhiễm được cả .exe, .dll và .htm* nên cần phải diệt tận gốc, bạn nên cài format ổ C: cài lại Windows, xóa tất cả .exe, .dll, .htm, .vbs, .htt, .mht,... trên các ổ đĩa còn lại (có thể dùng Hirent Boot vào Mini Windows xóa cho an toàn trước khi cài Windows).
[Up] [Print Copy]
  [Question]   các file html bị dính mã độc 18/03/2012 14:54:34 (+0700) | #3 | 259224
heobungbu96
Member

[Minus]    0    [Plus]
Joined: 27/02/2012 03:08:35
Messages: 6
Offline
[Profile] [PM]
cảm ơn miyu

không còn các nào diệt con này ngoài format hết tất cả system hả bạn?
[Up] [Print Copy]
  [Question]   các file html bị dính mã độc 18/03/2012 16:25:28 (+0700) | #4 | 259226
hachoa59
Member

[Minus]    0    [Plus]
Joined: 11/09/2011 23:49:01
Messages: 9
Offline
[Profile] [PM]
Tớ cũng đã bị dính con Ramnit này, theo tớ biết con này mỗi Dll, các Func của nó rất lợi hại nên Format là tốt nhất. Bạn Backup dữ liệu sạch đi
[Up] [Print Copy]
  [Question]   các file html bị dính mã độc 18/03/2012 21:55:37 (+0700) | #5 | 259249
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Tớ biết một số phiên bản Ramnit CMC Antivirus/CMC Internet Security diệt tốt, bạn dùng thử xem sao, nhớ quét toàn máy 2, 3 lần và để chương trình diệt virus tự động xử lý smilie.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   các file html bị dính mã độc 19/03/2012 07:26:08 (+0700) | #6 | 259261
heobungbu96
Member

[Minus]    0    [Plus]
Joined: 27/02/2012 03:08:35
Messages: 6
Offline
[Profile] [PM]

bolzano_1989 wrote:
Tớ biết một số phiên bản Ramnit CMC Antivirus/CMC Internet Security diệt tốt, bạn dùng thử xem sao, nhớ quét toàn máy 2, 3 lần và để chương trình diệt virus tự động xử lý smilie


Mình chỉ sợ AV nó xoá hết file của mình thôi
Mình tính là cài lại hđh sau đó mở các file html dính mã độc = notepad rồi xoá mã đi! Còn các file exe, dll mình sẽ down lại bản sạch và cài lại đc k?
[Up] [Print Copy]
  [Question]   các file html bị dính mã độc 19/03/2012 07:42:10 (+0700) | #7 | 259263
miyumi2
Member

[Minus]    0    [Plus]
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
[Profile] [PM]

heobungbu96 wrote:

Mình chỉ sợ AV nó xoá hết file của mình thôi
Mình tính là cài lại hđh sau đó mở các file html dính mã độc = notepad rồi xoá mã đi! Còn các file exe, dll mình sẽ down lại bản sạch và cài lại đc k? 


Bạn làm vậy cũng được, bạn cẩn thận xóa hết mã độc trong các file .html, .htt (chỉ cần sót lại 1 file và vô tình chạy cũng đủ lây nhiễm trở lại hệ thống). Riêng .exe, .dll thì phải triệt để xóa bỏ và download lại file mới hoàn toàn.
[Up] [Print Copy]
  [Question]   các file html bị dính mã độc 19/03/2012 09:26:40 (+0700) | #8 | 259268
[Avatar]
maithangbs
Elite Member

[Minus]    0    [Plus]
Joined: 28/11/2007 21:39:53
Messages: 567
Location: Д.и.Р
Offline
[Profile] [PM] [Email] [Yahoo!]

heobungbu96 wrote:

Mình chỉ sợ AV nó xoá hết file của mình thôi
Mình tính là cài lại hđh sau đó mở các file html dính mã độc = notepad rồi xoá mã đi! Còn các file exe, dll mình sẽ down lại bản sạch và cài lại đc k? 


Mất công quá bạn ạ, máy cơ quan mình cũng dính con này Ramit.html, Ramit.inf, Symantec phát hiện nhưng không thể diệt tận gốc được. Mình cài KIS 2012 (giờ được dùng thử 30 ngày) quét sạch luôn.
[Up] [Print Copy]
  [Question]   các file html bị dính mã độc 20/03/2012 00:05:54 (+0700) | #9 | 259330
[Avatar]
chiro8x
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]
Bạn có thể cho mình mã nguồn đầy đủ được không ! bạn cắt xén vậy còn gì hàng họ nữa =.=!.
P/s: một số con virus dạng script khi kích thước của tệp thay đổi thì nó sẽ không thực thi được do nó dùng kích thước của tệp để làm xorkey =.=!.
while(1){}
[Up] [Print Copy]
  [Question]   các file html bị dính mã độc 20/03/2012 14:38:40 (+0700) | #10 | 259377
heobungbu96
Member

[Minus]    0    [Plus]
Joined: 27/02/2012 03:08:35
Messages: 6
Offline
[Profile] [PM]

chiro8x wrote:
Bạn có thể cho mình mã nguồn đầy đủ được không ! bạn cắt xén vậy còn gì hàng họ nữa =.=!.
P/s: một số con virus dạng script khi kích thước của tệp thay đổi thì nó sẽ không thực thi được do nó dùng kích thước của tệp để làm xorkey =.=!. 


mã độc trên mình trích đầy đủ rồi đó bạn à! phần mình xoá là code html bình thường không bị gì cả! ^^
Còn kích thước nguyên file có mã độc thì = kích thước mã độc + kích thước file html thôi smilie

P/s: cảm ơn các anh, các bạn về lời khuyên! smilie Mình đã cài lại window và xoá + download lại file.( K dám cài AV vì máy quá yếu ~~)
[Up] [Print Copy]
  [Question]   các file html bị dính mã độc 20/03/2012 15:01:34 (+0700) | #11 | 259382
[Avatar]
chiro8x
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]
=.=! Bạn không hiểu ý mình à ! ví dụ mã độc tự đọc vào file html rồi lấy một phần của file HTML để mã hoá hoặc làm kí tự thay thế sao bạn biết được trong khi bạn chưa giải mã được nó. Nếu bạn có toàn bộ nó thì hẵng nói chuyện nhé.
while(1){}
[Up] [Print Copy]
  [Question]   các file html bị dính mã độc 20/03/2012 19:00:22 (+0700) | #12 | 259391
miyumi2
Member

[Minus]    0    [Plus]
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
[Profile] [PM]

chiro8x wrote:
=.=! Bạn không hiểu ý mình à ! ví dụ mã độc tự đọc vào file html rồi lấy một phần của file HTML để mã hoá hoặc làm kí tự thay thế sao bạn biết được trong khi bạn chưa giải mã được nó. Nếu bạn có toàn bộ nó thì hẵng nói chuyện nhé. 

Bạn đổi tên file thành .vbs và xoá dòng đầu tiên:
Code:
SCRIPT Language=VBScript

và xoá tất cả dòng cuối từ chỗ:
Code:
Set WSHshell = CreateObject("WScript.Shell")


Xong chạy file .vbs sẽ sinh ra file svchost.exe, muốn biết hậu quả thế nào thì cứ double click! smilie
[Up] [Print Copy]
  [Question]   các file html bị dính mã độc 28/03/2012 17:54:43 (+0700) | #13 | 260150
[Avatar]
chiro8x
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]
Haizz ! mình muốn có mẩu của nó cơ. Giờ mình đưa ra một kịch bản thế này. Một file VBS đọc vào chính HTML chứa nó lấy ra n bytes là xor key sau đó giải mã một đoạn mã khác, hoặc dùng các kí tự trong HTML đó tạo ra bảng mã thay thế hoặc sữ dụng cho một giải thuật khác sao bạn biết được. Ngoài ra liệu svchost.exe đó có 2 bytes đầu tiên là MZ không ?. Mình chỉ đòi hỏi HTML chưa qua edit thôi. Bạn không cho thì cũng không cần nữa. Tớ tự kiếm.
while(1){}
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|