Messages posted by "dungcoi_vb"

Luận án tiến sĩ của TS. Trương Minh Nhật Quang

dungcoi_vb — GMT

Luận án trên khá dài và hơi mô phạm, vì vậy mình xin được phép tóm lược để mọi người tiện theo dõi. - Trước hết mời các bạn tham khảo bài viết của chính tác giả trên tạp chí "Tin học và Điều khiển học" tại topic sau: [Thảo luận] Cơ chế máy học chuẩn đoán virus : http://virusvn.com/forum/showthread.php?t=710 :P

Luận án tiến sĩ của TS. Trương Minh Nhật Quang

dungcoi_vb — GMT

Luận án : Tiếp cận máy học và hệ chuyên gia để nhận dạng, phát hiện virus máy tính [Thầy Trương Minh Nhật Quang]

Download :

http://virusvn.com/forum/showthread.php?p=10819

Dùng ngôn ngữ nào để viết virus cho tiện lợi

dungcoi_vb — GMT

@libach135 : "Tiện" thì dùng quách mây tool rồi cứ click vô mấy cái Option rồi bấm vào nút "Make virus" Còn nếu thích Pro. Opcode mà chơi -:-) @lacazizi

Perl là ngôn ngữ lập trình hack mạnh

:-O O-) :x :-S #:S :/) ;)

Nhờ mọi người kiểm tra giùm con virus này

dungcoi_vb — GMT

tmd wrote:

Chẳng sài gì, ngoài symantec client, vì nó cũng như các phần mềm khác, xóa bớt những gì được trojan thêm vào. Filemon log hay regmon log dài như vậy, muốn quan sát cũng phài ngồi đó nhìn nó search nó. Hoặc sài một cái phần mềm so sánh mà đi so sánh kiểu như examdiff,compare it,windiff,...

Thank anh. Để em Google. Em vẫn thắc mắc tại sao anh bị về màu trắng :(

Re: worm hay trojan hay là BACKDOOR

dungcoi_vb — GMT

Backdoor có thể là 1 chức năng của worm ỏ trojan mà :-/

Re: Tool phát hiện máy có dính Virus lây file [Có/Không].

dungcoi_vb — GMT

1. Cách thức này thì dùng cách so mã MD5 như anh tmd nói là hay hơn 2. Là ở mỗi version OS lại có 1 số byte khác biệt giữa các app -> Áp dụng hông có ổn cả MD5, so sánh byte hay size 3. Anh tmd nói đúng đó, nhiều virus nhiễm vào mà ko làm tăng size, kỹ thuật này gọi là cave code thì phải :(

Re: BKAV đích thực là mã độc?

dungcoi_vb — GMT

@tuuttuut : :) Bạn đụng chạm mình hoài, mình nộp đơn xin vào Bkis là có nhưng đâu có nhận vào làm đâu :D 1. Mình ko thích mấy cái AV kia người ta "giải thích" như bạn nói bạn ạ 2. Nói bạn đừng buồn, Explorer với một vài File Flash của nhà mình có nhiều bị KAV báo cáo là virus theo hành vi đấy (Khi đó máy mình sạch nhé), nó cảnh báo các hành tự trích xuất fike vào hệ thống với File Flash (Định dạng exe) còn explorer cảnh cáo gì đấy tương tự :) 3. Bạn lấy 1 tập tin setup bình thường (Các app AV cũng ok) làm thử nghiệm như với link http://www.threatexpert.com/report.aspx?md5=88c18ae09eb813273d62481deba06043 Rồi so sánh :) @hacktood : Chắc bạn đang ở nước ngoài hay sao bạn rành vậy bạn ơi ? :0 --- :|

Re: Hướng dẫn tìm và diệt virus bằng tay

dungcoi_vb — GMT

Mô Phật pagefile.pif + lsass.exe : Hix, nhìn quen qun mà ko nhớ con nào :) http://www.benhvientinhoc.com/dd/index.php?showtopic=59795 : Chắc em làm theo được :D Thêm vài mẫu virus cho bạn ngịch nè : http://www.box.net/shared/dsqr7fkcg4 Chúc bạn vui vẻ. Thích thì vô kho Sample trên virusvn.com tải cũng có vài thứ đấy :)

Re: BKAV đích thực là mã độc?

dungcoi_vb — GMT

@ a-squared 4.0.0.73 2009.01.16 PHISH.FraudTool.BachKhoa.A!IK Ikarus T3.1.1.45.0 2009.01.16 PHISH.FraudTool.BachKhoa.A Hai chú này nói là Bkav là dân lừa đảo -> hix, em ko tin eSafe 7.0.17.0 2009.01.15 Suspicious File McAfee 5496 2009.01.15 New malware.jm McAfee+Artemis 5496 2009.01.15 New malware.jm SecureWeb-Gateway 6.7.6 2009.01.16 Win32.Malware.gen!84 (suspicious) Sunbelt 3.2.1835.2 2009.01.16 VIPRE.Suspicious Nhận dạng theo hành vi -> Dek tính, vì nó chỉ là kiểu "chẩn đoán" chứ ko phải khẳng định. http://www.threatexpert.com/report.aspx?md5=88c18ae09eb813273d62481deba06043 : Mở mấy tập tin cài đặt mấy chương trình cũng na ná hay nhiều nhiều info vậy mà :) http://www.jeteye.com/jetpak/aa8ea086-5599-4970-b9b3-4a2ff625eb07/ : Cú này thì em công nhận đúng thật :)

Re: Góp ý cho phần mềm diệt Virus mới (from thesun)

dungcoi_vb — GMT

ubuntu_gnu.linux wrote:

dungcoi_vb wrote:

2. Nếu em ko nhầm thì phần core tiến hành Scan file -> Kill nó thì quá trình scan file tê liệt :|
Em thấy kill xong nó lại sinh lại ngay tức thì mà (trừ khi dùng lệnh "net stop cmcis").

:D nó sinh lại nhưng việc quét virus (nếu đan xảy ra) đã kết thúc

Re: Góp ý cho phần mềm diệt Virus mới (from thesun)

dungcoi_vb — GMT

hôm trước em mạo muội sài thử, sau đây là ý kiến của em : A. Good : 1. Các file cảnh báo tự tạo thêm Tab vào Properties rất hay 2. Scan nhận dạng rất tốt 3. Chạy đơn giản (Dù hơi khó chịu phần Select thư mục), giao diện dễ sài. 4. Ít tốn memory B. Bad : 1. Nhận dạng Heur nhầm lũ khũ :) 2. Nếu em ko nhầm thì phần core tiến hành Scan file -> Kill nó thì quá trình scan file tê liệt :| Em chỉ biết chừng đó hà.

Re: Tìm Giáo Trình Lập Trình Virus

dungcoi_vb — GMT

jofori89 wrote:

Có thể tìm cuốn Virus tin học huyền thoại và thực tế đọc thử xem.

http://www.box.net/shared/8v3g468ys4 : virus hthtt Coi List ở đây nè : http://virusvn.com/forum/showthread.php?t=9

Re: how to show dll-injected ?

dungcoi_vb — GMT

Mình dùng soft thông thường là ProcessXP có tính năng Verify Image Sign cũng có thể lọc ra những dll inject. Nhưng tính năng này khá chậm, đôi lúc làm đứng chương trình.

Re: "This computer is being attacked" là sao ạ

dungcoi_vb — GMT

Hey. Bài hướng dẫn chi tiết ở đây ; http://virusvn.com/forum/showthread.php?t=228 Google luke nhé :)

Re: Tìm Giáo Trình Lập Trình Virus

dungcoi_vb — GMT

thấy cái topic này từ hồi nó mới được tạo. Sau đó là bài post của congminh. Hôm nay vào lại thì số bài là 18 :D, nhiều ghê.

congminh923 wrote:

Theo luật hình sự, đồng phạm cũng nặng tội lắm, cho em "bình an" với.
Nghe sợ quá. Tớ đã xóa link rồi. :D Thật ra con worm này chỉ chui vào ổ C:\ thôi. Protect = Themida thì con worm từ 20 Kb thành mấy MB luôn.
Tui biết có một giáo trình cho viết Microsoft windows worm made in Viet Nam by young Vietnamese Hungry for Fame, tựa đề là "google.com.vn" cho dân viết worm bằng VB sành điệu. (không biết có đúng không nữa)
Bạn nói tui phải không? À, mà tên nick của bạn lạ quá. Sao tui thấy nó giống Themida Project (*.tmd).

:^) sorry, mình đọc bài viết của bạn ko hiểu gì ráo. Bạn to và rõ hơn cho mình hiểu dc ko :D @tmp : Anh ưi, sách anh nói em google ko thấy :P

Re: TÌm hiểu về trojan +worm

dungcoi_vb — GMT

http://www.box.net/shared/8v3g468ys4 Good luke :)

Re: C0n virus có nhạc

dungcoi_vb — GMT

Mình chỉ mới tiếp xúc với 2 con phát nhạc. Một con là Mixa, một là LottoVN Bạn đọc cách diệt từng con ở đây : [Hướng dẫn] Diệt virus Mixa : http://virusvn.com/forum/showthread.php?t=186 [Hướng dẫn] Con virus phát nhạc (Lotovn.worm) : http://virusvn.com/forum/showthread.php?t=126

Re: [Thảo luận]: Storm worm botnet

dungcoi_vb — GMT

https://forums.symantec.com/syment/blog/article?message.uid=305325 Hay thật, thay vì đính kèm luôn vài email lại sử dụng lỗ hổng từ Windows Media để nhiễm vào máy nạn nhân : Microsoft Windows Media Player Plugin Buffer Overflow Vulnerability https://forums.symantec.com/syment/blog/article?message.uid=305327 - When applet.exe runs, it first makes a copy of itself as spooldr.exe in the Windows folder, and drops an embedded kernel driver in the System folder, as spooldr.sys. It also tries to infect a Windows device driver named kbdclass.sys. This is the loadpoint used by Peacomm. During the next reboot, the infected driver is loaded by Windows, as it should be—its role is to load spooldr.sys. Spooldr.sys has several functionalities, and uses smart tricks to achieve its goals. First, it acts as a loader for the real Trojan, spooldr.exe, located in the Windows folder. To do that, it injects a shellcode-like routine in explorer.exe, responsible for creating a spooldr.exe process. The loading scheme is very clever: first, the driver locates kernel32 in memory by resolving the address of CloseHandle, and checking for the MZ magic around this value. It then resolves two APIs, VirtualProtect and WinExec. It builds and injects a small payload in explorer.exe, and hooks the import entry for PeekMessageW, an API frequently used by windowed applications (like Explorer). The hook points to the payload, so that when explorer calls PeekMessageW, it will be executed. The first thing the payload does is to unhook this import entry; it then creates the spooldr.exe process. The routine then jumps to the real PeekMessageW code to ensure normal application behavior – and to avoid crashing Explorer! This way, the threat does not have to create a remote thread in Explorer, a technique commonly used by middle-class malware and monitored by some security software. It’s also responsible for hiding the newly created spooldr process, as well as any file beginning with spooldr (this is done by hooking the ZwQueryDirectoryFile system call). This way, the three files used by the Trojan – spooldr.exe, spooldr.sys and spooldr.ini, the peers list – will be hidden from the user’s eye. The rootkit also protects the Trojan from third-party security software, such as firewalls or anti-virus. A kernel callback is setup, via PsSetLoadImageNotifyRoutine, to track process creation and eventually kill malware-unfriendly ones. It also locks two files, ntoskrnl.exe (the Windows kernel) and kbdclass.sys (the infected Windows driver). It seems the purpose of these locks is to prevent rootkit detectors to work, by forbidding them to open critical system files – and check differences with the ones loaded in memory, tampered with by the rootkit. Though Peacomm functionalities haven’t changed, the mode of infection has been improved. The registry is now not used as a loading point, as Peacomm uses virus-like techniques to get its payload loaded by the system at startup. - :(

Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ

dungcoi_vb — GMT

[Hướng dẫn] Diệt virus Mixa : http://virusvn.com/forum/showthread.php?t=186 [Hướng dẫn]Khắc phục hiện tượng LogOff khi khởi động : http://virusvn.com/forum/showthread.php?t=194 Good luck

Re: Viết virus = vb6.0

dungcoi_vb — GMT

Merc wrote:

Buồn tình, ngồi nghịch, thấy luôn bạn dungcoi trong sig virr của Bit. Ngưỡng mộ ngưỡng mộ :
dungcoi.DL DL3tFontData SHELL33ÀŽØúŽÐ¸ |‹ P33ÀŽØúŽÐ¸ |‹àûP3¡—AD Áà£›AD WQ3 ....
Không biết con này là con nào của bạn Dũng còi nhỉ ...

bị AV nó túm cổ vô sign thì có chi mà "ngưỡng mộ" #:S có thứ cóc nhái nào mà AV nó biết mà ko update đâu :D

Re: Help Virus IE, Chạy cái gì cũng hiện lên IE hết

dungcoi_vb — GMT

hoatle wrote:

e052b312a4ffd838e2ea4016096e40ca = C:\WINNT\TEMP\FX9D3D.EXE

@Cảm ơn Tool Tuyệt vời này của bác Hoàng. @Hoatle : Bạn Copy mẫu này, nén lại up lên host nào đó để các bạn khác cùng nghiên cứu

Re: Virus secret.exe!!!!

dungcoi_vb — GMT

http://virusvn.com/forum/showthread.php?t=61 Chúc bạn may mắn

Re: lotovn.worm

dungcoi_vb — GMT

1. ProcessXP Suspend từng process (Ko được Kill đấy) Chỉ bắt nó đứng im thôi nhé 2 process đó là : 1.exe và 2000.exe 2. Sử dụng công cụ IceSword chỉnh lại giá trị gốc của key trong Registry ở HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\( Default) : "%1" %* Chỉnh lại khóa UserInit và Shell trong registry. 3. Bật Autoruns xóa 2 key có path là 1.exe và 200.exe 4. Dùng http://www.bkav.com.vn/home/Download/FixAttrb.exe Phục hồi tất cả tập tin-thư mục bị ẩn. 5. Dùng tính năng Search có sẵn của Windows Explorer để tìm tụi .exe có hình thư mục. Del sạch 6. Total Comamader Kill sạch tụi autoruns.inf, loto.exe 7. Nhìn sơ qua. Bản full bài viết : http://virusvn.com/forum/showthread.php?p=432#post432

Re: Hỏi cách diệt virus đã vào userinit.exe và system.exe?

dungcoi_vb — GMT

http://virusvn.com/forum/showthread.php?t=61 Chúc bạn may mắn

Re: đây là con virut gì? cách diẹt là thế nào?

dungcoi_vb — GMT

Nhờ mod xáo dùm, bài viết trùng. mạng chậm quá nên ấn lộn

Re: đây là con virut gì? cách diẹt là thế nào?

dungcoi_vb — GMT

Nhờ mod xóa dùm, bài viết trùng. mạng chậm quá nên ấn lộn

Re: đây là con virut gì? cách diẹt là thế nào?

dungcoi_vb — GMT

Nhờ mod xóa dùm, bài viết trùng. mạng chậm quá nên ấn lộn

Re: đây là con virut gì? cách diẹt là thế nào?

dungcoi_vb — GMT

phongvan_khtn wrote:

@dungcoi_vb: phải nhóc dũng còi K07 bên toantin.org ko? ;)

:D Okie, It's me Uả, anh cũng là thành viên toantin.org à ?

Re: đây là con virut gì? cách diẹt là thế nào?

dungcoi_vb — GMT

Dấu hiệu : 1. Tạo file autoruns.inf (File này được thiết lập chế độ ẩn) trong USB với nội dung : [AutoRun] open=Secret.exe ;shell\open=Open(&O) shell\open\Command=Secret.exe shell\open\Default=1 ;shell\explore=Manager(&X) shell\explore\Command=Secret.exe 2. Sẽ thấy có sự xuất hiện của File Secret.exe trong USB ở thư mục gốc (Tập tin này ẩn), và file phimnguoilon.exe ở một thư mục con bất kỳ nào trong USB (Thư mục này không bị ẩn) 3. Xuất hiện 2 process lạ với những cái tên “không lạ” :

4. Xuất hiện những thay đổi trong key khởi động quan trọng là UserInit:

Tiêu diệt : Cách 1 : Dùng ProcessXP, Suspend cả 2 tiến trình userinit.exe và system.exe (Bạn đừng nhầm với các tiến trình hệ thống nhé, 2 tiến trình này có Icon giả Icon thư mục và có các path là : C:\windows\userinit.exe và c:\windows\system32\system.exe ) Okie. Sau đó bạn Kill từng tiến trình (Nhấn chuột phải và chọn Kill Process) Bạn cũng có thể dùng các phần mềm cho phép kill cùng lúc nhiều tiến trình như Simple Kill Process (Bạn có thể tìm thấy trên VirusVN.com) hoặc PrcViewer để thực hiện việc này. Khôi phục dữ liệu : Do virus này ko thay đổi giá trị làm ngăn việc truy cập registry nên bạn vẫn có thể truy cập vào đây để chỉnh sửa nó : Bạn chọn Start -> Run... -> regedit -> Bạn tìm địa chỉ : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, với nhãn UserInit và chỉnh sửa lại với gia trị là : c:\windows\system32\userinit.exe Cách 2: http://dungnguyenle.googlepages.com/QuickRemove.zip Tài nó về, bạn Browse đến file Secret.qrd lưu trong thư mục Sample Chọn Remove là Okie Nếu máy bạn báo thiếu thư viên thì tải tập tin sau về và giải nén : http://dungnguyenle.googlepages.com/Control.zip Sau đó bạn có thể xóa các tập tin virus trong hệ thống (Nếu muốn). Và phục hồi các thuộc tính khác của hệ thống bằng VNFix (Bạn có thể tìm trên VirusVN.com) Good Luke

Re: Một công cụ giấu Process

dungcoi_vb — GMT

mới test vnAV vẫn nhận dạng được process khi bạn dùng phần mềm này ẩn process ấy đi :D Thậm chí nếu bạn dùng vnAV để quét hệ thống thì nó còn nhận ra file để HideProcess của chương trình này tạo trong thư mục hệ thống :D