banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Putty dính virus  XML
  [Discussion]   Putty dính virus 09/10/2012 19:31:12 (+0700) | #1 | 270013
[Avatar]
sasser01052004
Member

[Minus]    0    [Plus]
Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline
[Profile] [PM]
Em thấy putty dính virus, khí vào putty thì nó creat file PUTTYmgr.exe
Anh chị phân tích xem nó làm gì giúp em



http://www.mediafire.com/download.php?jpi8llx1g2eght2

pass là: hva
Ask me why, don't ask me what.
[Up] [Print Copy]
  [Discussion]   Putty dính virus 10/10/2012 10:13:01 (+0700) | #2 | 270031
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cậu úp luôn file PUTTYmgr.exe giùm.
[Up] [Print Copy]
  [Discussion]   Putty dính virus 10/10/2012 13:48:38 (+0700) | #3 | 270038
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Chưa xem file bạn gửi nhưng theo triệu chứng bạn miêu tả thì tui biết đây là dòng lây file Ramnit.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Discussion]   Putty dính virus 11/10/2012 06:24:53 (+0700) | #4 | 270055
t0nytuy3n
Member

[Minus]    0    [Plus]
Joined: 10/04/2012 22:21:54
Messages: 1
Offline
[Profile] [PM]
Mình cũng có ý nghĩ giống chủ pic
[Up] [Print Copy]
  [Discussion]   Putty dính virus 11/10/2012 19:25:17 (+0700) | #5 | 270082
[Avatar]
sasser01052004
Member

[Minus]    0    [Plus]
Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline
[Profile] [PM]
@TQN ở trong đó có file đó rồi anh
Ask me why, don't ask me what.
[Up] [Print Copy]
  [Discussion]   Putty dính virus 14/10/2012 12:50:00 (+0700) | #6 | 270170
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
Confirm với bolzano_1989: bạn nói đúng, nó là mẫu Ramnit.

MSE nhận diện là dòng Ramnit.J

Bài phân tích về dòng virus này thì rất nhiều trên mạng, không biết bạn muốn tìm hiểu phần nào?
Mình mô tả sơ lược vậy:
Mẫu được pack bằng nhiều lớp, thứ tự từ ngoài vào trong là UPX, manual packer( phong cách Spaghetti code, rất khó chịu), 1 lớp UPX nữa. Lớp code trong cùng chả rõ build bằng trình biên dịch nào, Anh chị nào biết thì chỉ em với

Sau đó thì sẽ có các hành vi như : lây file (exe, html), Lây vào usb ( file autorun và tạo các shortcut khai thác lỗ hổng)
Có 4 shortcut, có lẽ nhiều bạn mới đọc sẽ thắc mắc vì sao là 4 mà không phải 1. đó là vì trên mỗi hệ điều hành, cần 1 dạng đường dẫn khác nhau, và ramnit cần tương thích với tất cả phiên bản của windows.
Code:
Windows7:

\\.\STORAGE#Volume#_??_USBSTOR#Disk&Ven_____USB&Prod_FLASH_DRIVE&Rev_#12345000100000000173&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~*.exe

Windows Vista:

\\.\STORAGE#Volume#1&19f7e59c&0&_??_USBSTOR#Disk&Ven_____USB&Prod_FLASH_DRIVE&Rev_#12345000100000000173&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~*.exe

Windows XP, Windows Server 2003 and Windows 2000:

\\.\STORAGE#RemovableMedia#8&1c5235dc&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~*.exe

một file CPL chứa thông tin về icon của shortcut. khi explorer gọi Shell32.LoadCPLModule, các shortcut độc sẽ chạy virus.

Có 2 module mở cổng lắng nghe kết nối từ bên ngoài
module thứ nhất mở cổng 4678, hiện đang bị disable. có lẽ người code chưa hoàn thiện tính năng này
module thứ 2 mở cổng 21, khiến máy nạn nhân thành 1 ftp server. username và password của ftp server này giống nhau, được hardcode trong virus, gồm 9 kí tự.
Mình cài đặt mẫu virus này lên máy ảo trong mạng local của mình, và dùng file zilla để truy cập. Mình đưa ra kết luận, những máy tính bị virus rất có thể sẽ bị mất mát dữ liệu

Ramnit kết nối tới 1 loạt server theo giao thức http để cập nhật và thực thi lệnh, chụp ảnh màn hình (? - tính năng này mình đang phân tích ) và 2 lệnh kos, dml , không hiểu để làm gì

Phương án: bạn có thể dùng phần mềm diệt virus quét toàn bộ máy, nếu không thì cài lại win cho nhanh. Máy tính nhiễm lây file rồi diệt mất nhiều thời gian hơn cài lại đấy
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|