banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Bản tin cập nhật các Virus  XML
  [Question]   Bản tin cập nhật các Virus 06/07/2006 00:16:10 (+0700) | #1 | 4183
hoanganhloc
Elite Member

[Minus]    0    [Plus]
Joined: 05/04/2003 16:47:35
Messages: 28
Offline
[Profile] [PM]
Tại đây mình sẽ sưu tầm và post những thông tin liên wan đến các con Virus. Thông tin này được sưu tầm và cập nhật thường xuyên..
[Up] [Print Copy]
  [Question]   Bản tin cập nhật các Virus 06/07/2006 00:17:00 (+0700) | #2 | 4185
hoanganhloc
Elite Member

[Minus]    0    [Plus]
Joined: 05/04/2003 16:47:35
Messages: 28
Offline
[Profile] [PM]
Một số đặc điểm của virus W32.BeagleFG và W32.BeagleFH

Virus có icon giống icon của các file ảnh trong windows để đánh lừa người dùng. Khi được thực thi, virus cũng cho hiện lên một file ảnh với chữ "Error" để người dùng nghĩ rằng họ đơn giản chỉ vừa mở một file ảnh mà thôi.

Khi được kích hoạt, virus sẽ thực hiện các công việc sau:

1. Tạo thư mục hidn trong %UserProfile%\Local Settings\, rồi tạo ra 2 file ở thư mục này là hidn.exe (chính là bản sao của Virus) và m_hook.sys. Tạo file %SystemRoot%\error.gif là file ảnh với chữ Error trên nền trắng %SystemRoot%\temp.zip là file nén có password của virus.

2. Thêm value "drv_st_key" = "%UserProfile%\Local Settings\hidn\hidn.exe" sau vào key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run để được kích hoạt mỗi khi khởi động:

3. Tạo service có tên m_hook sử dụng file %UserProfile%\Local Settings\m_hook.sys đóng vai trò là Rootkit, ẩn các file do virus tạo ra, các tiến trình của virus...

4. Lấy danh sách các email trong các URL sau:

http://www.titanmotors.com/images/1/eml.phpphp
http://veranmaisala.com/1/eml.php
http://wklight.nazwa.pl/1/eml.php
http://yongsan24.co.kr/1/eml.php
http://accesible.cl/1/eml.php
http://hotelesalba.com/1/eml.php
http://amdlady.com/1/eml.php
http://inca.dnetsolution.net/1/eml.php
http://www.auraura.com/1/eml.php
http://avataresgratis.com/1/eml.php
http://beyoglu.com.tr/1/eml.php
http://brandshock.com/1/eml.php
http://www.buydigital.co.kr/1/eml.php
http://camaramafra.sc.gov.br/1/eml.php
http://camposequipamentos.com.br/1/eml.php
http://cbradio.sos.pl/1/eml.php
http://c-d-c.com.au/1/eml.php
http://www.klanpl.com/1/eml.php
http://coparefrescos.stantonstreetgroup.com/1/eml.php
http://creainspire.com/1/eml.php
http://desenjoi.com.br/1/eml.php
http://www.inprofile.gr/1/eml.php
http://www.diem.cl/1/eml.php
http://www.discotecapuzzle.com/1/eml.php
5. Thu thập địa chỉ trong máy người dùng bằng cách tìm trong tất cả các file có phận mở rộng là :

.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp

Virus cũng bỏ qua các địa chỉ e-mail có chứa một trong các chuỗi sau:

rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@

6. Gửi thư đến các địa chỉ thu thập được với cấu trúc như sau:

From (người gủi) và Subject (tiêu đề) là một trong các chuỗi sau:

Ales
Alice
Alyce
Andrew
Androw
Androwe
Ann
Anna
Anne
Annes
Anthonie
Anthony
Anthonye
Avice
Avis
Bennet
Bennett
Christean
Christian
Constance
Cybil
Daniel
Danyell
Dorithie
Dorothee
Dorothy
Edmond
Edmonde
Edmund
Edward
Edwarde
Elizabeth
Elizabethe
Ellen
Ellyn
Emanual
Emanuell
Ester
Frances
Francis
Fraunces
Gabriell
Geoffraie
George
Grace
Harry
Harrye
Henrie
Henry
Henrye
Hughe
Humphrey
Humphrie
Isabel
Isabell
James
Jane
Jeames
Jeffrey
Jeffrye
Joane
Johen
John
Josias
Judeth
Judith
Judithe
Katherine
Katheryne
Leonard
Leonarde
Margaret
Margarett
Margerie
Margerye
Margret
Margrett
Marie
Martha
Mary
Marye
Michael
Mychaell
Nathaniel
Nathaniell
Nathanyell
Nicholas
Nicholaus
Nycholas
Peter
Ralph
Rebecka
Richard
Richarde
Robert
Roberte
Roger
Rose
Rycharde
Samuell
Sara
Sidney
Sindony
Stephen
Susan
Susanna
Suzanna
Sybell
Sybyll
Syndony
Thomas
Valentyne
William
Winifred
Wynefrede
Wynefreed
Wynnefreede
To the beloved
I love you
Nội dung là một trong các tình huống sau:

Password: [file ảnh .gif]

Password - [file ảnh .gif]

archive password: [file ảnh .gif]

Zip password: [file ảnh .gif]

Password is [file ảnh .gif]

Password -- [file ảnh .gif]

The password is [file ảnh .gif]

Virus gửi kèm chính bản thân mình dưới dạng file nén .zip có password giải nén để trong [file ảnh.gif] và có tên ngẫu nhiên là một trong các chuỗi như phần From và Subject.

7. Tải các file sau về, lưu vào file %SysDir%\re_file.exe và cho thực thi file này:

http://ujscie.one.pl/777.gif
http://1point2.iae.nl/777.gif
http://appaloosa.no/777.gif
http://apromed.com/777.gif
http://arborfolia.com/777.gif
http://pawlacz.com/777.gif
http://areal-realt.ru/777.gif
http://bitel.ru/777.gif
http://yetii.no-ip.com/777.gif
http://art4u1.superhost.pl/777.gif
http://www.artbed.pl/777.gif
http://art-bizar.foxnet.pl/777.gif
http://www.jonogueira.com/777.gif
http://asdesign.cz/777.gif
http://ftp-dom.earthlink.net/777.gif
http://www.aureaorodeley.com/777.gif
http://www.autoekb.ru/777.gif
http://www.autovorota.ru/777.gif
http://avenue.ee/777.gif
http://www.avinpharma.ru/777.gif
http://ouarzazateservices.com/777.gif
http://stats-adf.altadis.com/777.gif
http://bartex-cit.com.pl/777.gif
http://bazarbekr.sk/777.gif
http://gnu.univ.gda.pl/777.gif
http://bid-usa.com/777.gif
http://biliskov.com/777.gif
http://biomedpel.cz/777.gif
http://blackbull.cz/777.gif
http://bohuminsko.cz/777.gif
http://bonsai-world.com.au/777.gif
http://bpsbillboards.com/777.gif
http://cadinformatics.com/777.gif
http://canecaecia.com/777.gif
http://www.castnetnultimedia.com/777.gif
http://compucel.com/777.gif
http://continentalcarbonindia.com/777.gif
http://ceramax.co.kr/777.gif
http://prime.gushi.org/777.gif
http://www.chapisteriadaniel.com/777.gif
http://charlesspaans.com/777.gif
http://chatsk.wz.cz/777.gif
http://www.chittychat.com/777.gif
http://checkalertusa.com/777.gif
http://cibernegocios.com.ar/777.gif
http://5050clothing.com/777.gif
http://cof666.shockonline.net/777.gif
http://comaxtechnologies.net/777.gif
http://concellodesandias.com/777.gif
http://www.cort.ru/777.gif
http://donchef.com/777.gif
http://www.crfj.com/777.gif
http://kremz.ru/777.gif
http://dev.jintek.com/777.gif
http://foxvcoin.com/777.gif
http://uwua132.org/777.gif
http://v-v-kopretiny.ic.cz/777.gif
http://erich-kaestner-schule-donaueschingen.de/777.gif
http://vanvakfi.com/777.gif
http://axelero.hu/777.gif
http://kisalfold.com/777.gif
http://vega-sps.com/777.gif
http://vidus.ru/777.gif
http://viralstrategies.com/777.gif
http://svatba.viskot.cz/777.gif
http://Vivamodelhobby.com/777.gif
http://vkinfotech.com/777.gif
http://vytukas.com/777.gif
http://waisenhaus-kenya.ch/777.gif
http://watsrisuphan.org/777.gif
http://www.ag.ohio-state.edu/777.gif
http://wbecanada.com/777.gif
http://calamarco.com/777.gif
http://vproinc.com/777.gif
http://grupdogus.de/777.gif
http://knickimbit.de/777.gif
http://dogoodesign.ch/777.gif
http://systemforex.de/777.gif
http://zebrachina.net/777.gif
http://www.walsch.de/777.gif
http://hotchillishop.de/777.gif
http://innovation.ojom.net/777.gif
http://massgroup.de/777.gif
http://web-comp.hu/777.gif
http://webfull.com/777.gif
http://welvo.com/777.gif
http://www.ag.ohio-state.edu/777.gif
http://poliklinika-vajnorska.sk/777.gif
http://wvpilots.org/777.gif
http://www.kersten.de/777.gif
http://www.kljbwadersloh.de/777.gif
http://www.voov.de/777.gif
http://www.wchat.cz/777.gif
http://www.wg-aufbau-bautzen.de/777.gif
http://www.wzhuate.com/777.gif
http://zsnabreznaknm.sk/777.gif
http://xotravel.ru/777.gif
http://ilikesimple.com/777.gif
http://yeniguntugla.com/777.gif
[Up] [Print Copy]
  [Question]   Re: Bản tin cập nhật các Virus 06/07/2006 00:29:55 (+0700) | #3 | 4190
hoanganhloc
Elite Member

[Minus]    0    [Plus]
Joined: 05/04/2003 16:47:35
Messages: 28
Offline
[Profile] [PM]
Một số đặc điểm của virus W32.BeagleDX.Worm

Khi được thực thi virus sẽ làm các việc sau:

1. Tạo bản sao của virus trong thư mục %System% dưới tên file "winhost.exe"

Virus cũng tạo bản sao của chính nó trong các thư mục có tên chứa xâu "shar" dưới các tên file sau :

12 year old Katia sucks and fucks me in lots of positions. (teen preteen anal cumshot sex young whore school lolita.avi <nhiều dấu cách>.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Doom3_nocd.exe
HalfLife2_noCD.exe
Kaspersky Antivirus 5.0
KAV 5.0
Lolita porn.avi <nhiều dấu cách> .exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Norton Antivirus, working Keygen.exe
nude lolita.jpg <nhiều dấu cách>.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe

2. Tạo giá trị trong khóa Run để virus được thực thi khi khởi động Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ "winhost.exe" = "%System%\winhost.exe"

3. Tìm kiếm địa chỉ email trong các file có phần tên mở rộng như sau :

.adb
.asp
.cfg
.dbx
.dhtm
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.sht
.shtm
.shtml
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml

Sau đó virus sẽ gửi email tới các địa chỉ tìm được, virus không gửi email tới các địa chỉ có chứa 1 trong các xâu kí tự sau :

@avp.
@foo
@hotmail.com
@iana
@messagelab
@microsoft
@msn.com
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
shar
sopho
spam
support
unix
update
winrar
winzip

Tiêu đề của email :

Changes..
Encrypted document
Fax Message
Forum notify
Incoming message
Notification
Protected message
Re:
Re: Document
Re: Hello
Re: Hi
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Re: Msg reply
RE: Protected message
RE: Text message
Re: Thank you!
Re: Thanks smilie
Re: Yahoo!
Site changes
Update

Nội dung email :

Attach tells everything.
Attached file tells everything.
Check attached file for details.
Check attached file.
Here is the file.
Message is in attach
More info is in attach
Pay attention at the attach.
Please, have a look at the attached file.
Please, read the document.
Read the attach.
See attach.
See the attached file for details.
Try this.
Your document is attached.
Your file is attached.

Nếu file đính kèm có dạng file nén, trong nội dung email sẽ có 1 trong những dòng sau kèm với file ảnh cho biết password để mở file, đây là một cách để virus qua mặt các dịch vụ mail có chế độ tự động quét virus:

For security reasons attached file is password protected. The password is <ảnh chứa password>

For security purposes the attached file is password protected. Password -- <ảnh chứa password>

Note: Use password <ảnh chứa password> to open archive.

Attached file is protected with the password for security reasons. Password
is <ảnh chứa password>

In order to read the attach you have to use the following password: <ảnh chứa password>

Archive password: <ảnh chứa password>

Password - <ảnh chứa password>

Password: <ảnh chứa password>

Tên file đính kèm :

Details.exe
Document.exe
Info.exe
Information.exe
Message.exe
MoreInfo.exe
Readme.exe
Sources.exe
text_document.exe
Updates.exe

4. Mở cổng TCP 9036 để nhận chỉ thị tấn công từ bên ngoài

5. Kết nối tới một số site để cập nhật bản virus mới:

http://hiphops.com
http://omy.ru/_old_img
http://yforum.ru
http://64.xxx.44.10
http://64.12.xxx.12
http://68.xx.54.122
.....

6. Đóng các tiến trình có tên sau :

AGENTSVR.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APLICA32.EXE
APVXDWIN.EXE
ATCON.EXE
ATGUARD.EXE
ATRO55EN.EXE
ATUPDATER.EXE
ATWATCH.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVCONSOL.EXE
AVGSERV9.EXE
AVLTMAIN.EXE
AVPROTECT9X.EXE
AVPUPD.EXE
AVSYNMGR.EXE
AVWUPD32.EXE
AVXQUAR.EXE
BD_PROFESSIONAL.EXE
BIDEF.EXE
BIDSERVER.EXE
BIPCP.EXE
BIPCPEVALSETUP.EXE
BISP.EXE
BLACKD.EXE
BLACKICE.EXE
BOOTWARN.EXE
BORG2.EXE
BS120.EXE
CCAPP.EXE
CCEVTMGR.EXE
CDP.EXE
CFGWIZ.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFIAUDIT.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET.EXE
CFINET32.EXE
CLEAN.EXE
CLEANER.EXE
CLEANER3.EXE
CLEANPC.EXE
CLEANPC.EXE
CMGRDIAN.EXE
CMGRDIAN.EXE
CMON016.EXE
CMON016.EXE
CPD.EXE
CPF9X206.EXE
CPFNT206.EXE
CWNB181.EXE
CWNTDWMO.EXE
DEFWATCH.EXE
DEPUTY.EXE
DPF.EXE
DPFSETUP.EXE
DRWATSON.EXE
DRWEBUPW.EXE
ENT.EXE
ESCANH95.EXE
ESCANHNT.EXE
ESCANV95.EXE
EXANTIVIRUS-CNET.EXE
FAST.EXE
FIREWALL.EXE
FLOWPROTECTOR.EXE
FP-WIN_TRIAL.EXE
FRW.EXE
FSAV.EXE
FSAV530STBYB.EXE
FSAV530WTBYB.EXE
FSAV95.EXE
GBMENU.EXE
GBPOLL.EXE
GUARD.EXE
GUARDDOG.EXE
HACKTRACERSETUP.EXE
HTLOG.EXE
HWPE.EXE
IAMAPP.EXE
IAMAPP.EXE
IAMSERV.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFW2000.EXE
IPARMOR.EXE
IRIS.EXE
JAMMER.EXE
KAVLITE40ENG.EXE
KAVPERS40ENG.EXE
KERIO-PF-213-EN-WIN.EXE
KERIO-WRL-421-EN-WIN.EXE
KERIO-WRP-421-EN-WIN.EXE
KILLPROCESSSETUP161.EXE
LDPRO.EXE
LOCALNET.EXE
LOCKDOWN.EXE
LOCKDOWN2000.EXE
LSETUP.EXE
LUALL.EXE
LUCOMSERVER.EXE
LUINIT.EXE
MCAGENT.EXE
MCUPDATE.EXE
MCUPDATE.EXE
MFW2EN.EXE
MFWENG3.02D30.EXE
MGUI.EXE
MINILOG.EXE
MOOLIVE.EXE
MRFLUX.EXE
MSCONFIG.EXE
MSINFO32.EXE
MSSMMC32.EXE
MU0311AD.EXE
NAV80TRY.EXE
NAVAPSVC.EXE
NAVAPW32.EXE
NAVDX.EXE
NAVSHEXT.DLL
NAVSTUB.EXE
NAVW32.EXE
NC2000.EXE
NCINST4.EXE
NDD32.EXE
NEOMONITOR.EXE
NETARMOR.EXE
NETINFO.EXE
NETMON.EXE
NETSCANPRO.EXE
NETSPYHUNTER-1.2.EXE
NETSTAT.EXE
NISSERV.EXE
NMAIN.EXE
NORTON_INTERNET_SECU_3.0_407.EXE
NPF40_TW_98_NT_ME_2K.EXE
NPFMESSENGER.EXE
NPROTECT.EXE
NPROTECT.EXE
NSCHED32.EXE
NTVDM.EXE
NUPGRADE.EXE
NVARCH16.EXE
NWINST4.EXE
NWTOOL16.EXE
OSTRONET.EXE
OUTPOST.EXE
OUTPOSTINSTALL.EXE
OUTPOSTPROINSTALL.EXE
PADMIN.EXE
PANIXK.EXE
PAVPROXY.EXE
PCC2002S902.EXE
PCC2K_76_1436.EXE
PCCIOMON.EXE
PCDSETUP.EXE
PCFWALLICON.EXE
PCFWALLICON.EXE
PCIP10117_0.EXE
PDSETUP.EXE
PERISCOPE.EXE
PERSFW.EXE
PF2.EXE
PFWADMIN.EXE
PINGSCAN.EXE
PLATIN.EXE
POPROXY.EXE
POPSCAN.EXE
PORTDETECTIVE.EXE
PPINUPDT.EXE
PPTBC.EXE
PPVSTOP.EXE
PROCEXPLORERV1.0.EXE
PROPORT.EXE
PROTECTX.EXE
PSPF.EXE
QCONSOLE.EXE
QSERVER.EXE
REGEDIT.EXE
REGEDT32.EXE
RESCUE.EXE
RESCUE32.EXE
RRGUARD.EXE
RSHELL.EXE
RULAUNCH.EXE
SAFEWEB.EXE
SAVSCAN.EXE
SBSERV.EXE
SETUP_FLOWPROTECTOR_US.EXE
SETUPVAMEEVAL.EXE
SFC.EXE
SGSSFW32.EXE
SHELLSPYINSTALL.EXE
SYMWSC.EXE
SYSEDIT.EXE
TAUMON.EXE
TAUSCAN.EXE
TRACERT.EXE
TRJSCAN.EXE
TRJSETUP.EXE
TROJANTRAP3.EXE
UNDOBOOT.EXE
UPDATE.EXE
VBCMSERV.EXE
VBCONS.EXE
VBUST.EXE
VIRUSMDPERSONALFIREWALL.EXE
W32DSM89.EXE
WATCHDOG.EXE
WEBSCANX.EXE
WHOSWATCHINGME.EXE
WINRECON.EXE
WNT.EXE
WRADMIN.EXE
WRCTRL.EXE
WSBGATE.EXE
WYVERNWORKSFIREWALL.EXE
XPF202EN.EXE
ZONALM2601.EXE
ZONEALARM.EXE
[Up] [Print Copy]
  [Question]   Bản tin cập nhật các Virus 06/07/2006 03:34:17 (+0700) | #4 | 4249
[Avatar]
Dungna
Member

[Minus]    0    [Plus]
Joined: 23/06/2004 01:49:41
Messages: 114
Location: .... mùa này vắ
Offline
[Profile] [PM] [WWW]
Ông Post cái này lên làm gì ??? Vào trang www.bkav.com.vn thì ai mà chẳng biết, post những cái ấy đâu có cần, hix
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|