Mẫu Virus xih9 - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

Mẫu Virus xih9

[Question] Mẫu Virus xih9	27/10/2008 11:59:59 (+0700) \| #1 \| 156757

channhua
Elite Member

Joined: 18/07/2003 04:49:28
Messages: 338
Offline

Hi all,

mình thấy virus mới này lây lang khá nhanh ko biết có là biến thể của dạng nào không ?, ko gây hiện tượng gì, chỉ có điều tìm chỗ nào cũng có.

Chắc anh em cũng dính còn này nhiều nhưng chắc ko thấy, vì nó tinh tế, đặt ở chế đệ "super hidden" nên rất khó quyét và nhìn thấy bằng mắt thường nếu chỉ dùng "show hidden files" bình thường.

Mình gửi mẫu lên cho các chuyên gia reverse nó thử xem con này làm gì?, mà thấy lây lan hơi bị nhiều.

file autorun của nó:
Code:

;LSLr9o35Ado8ropkHkk5DdwO3ZlAid3lAwswoiapd0rjDald0n3Dlja1Kw3iD2k1DKKjeL20kwAeawqwaslkia4q
[AutoRun]
;so34fsAs55A04O744LwaLKdL12qaoAwsDaK4ek
open=xih9.cmd
;i831AA5XorkjDoipwfKSCkaa04qAlZ083eiwoKwDe3SAaDikF1rlIkafJLD79JKJed3ida3ka1jw3cwscw45rl4
shell\open\Command=xih9.cmd
;eLC8aw4cIaSwkiei1ww7sXdwq2sqnLJfojAf4kdd220dSLAiis0q0r4lkOa
shell\open\Default=1
;dKaAlsw2awoCDke5l2DaLeko9Z57drlwk3Kjs09li1jLeki1Lfla7sj
shell\explore\Command=xih9.cmd
;

download mẫu ở đây

http://www.mediafire.com/download.php?jmnye2zmwz0

[Question] Re: Mẫu Virus xih9	27/10/2008 22:55:28 (+0700) \| #2 \| 156810

kamikazeq
Member

Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline

Con này là biến thể của ckvo (Kamsoft - biến thể đầu tiên mình gặp).

Nếu diệt thì qua /hvaonline/posts/list/24692.html#149343 down chạy là nó die à. Còn phân tích thì nhờ đại ka khác. smilie

IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g

[Question] Re: Mẫu Virus xih9	31/10/2008 10:16:23 (+0700) \| #3 \| 157076

longthanh
Member

Joined: 29/10/2008 23:00:02
Messages: 2
Offline

kamikazeq wrote:

Con này là biến thể của ckvo (Kamsoft - biến thể đầu tiên mình gặp).

Nếu diệt thì qua /hvaonline/posts/list/24692.html#149343 down chạy là nó die à. Còn phân tích thì nhờ đại ka khác.

Mình đã download chương trình diệt xih9 theo link của kamikazeq, xih9 chết nhăn răng. Cám ơn bạn rất nhiều smilie

Mình vẫn còn 1 vấn đề nhỏ, chưa giải quyết được tận gốc, là nó chỉ xóa được xih9, nhưng vẫn còn xót lại folder autorun.inf , nằm trong ổ C,D (không phải file autorun.inf). Minh thử xóa bằng tay, thì nó không cho. Chạy bản Bkav mới nhất, thì nó quét ra được

Bây giờ thì mình được khuyến mãi thêm mỗi ổ cứng 1 folder autorun.inf.bak. smilie

Cũng đã thử với

attrib -s -h -r -a c:\AUTORUN.INF
del c:\AUTORUN.INF

nhưng vẫn không thể nào xóa được.

Bây giờ mình phải làm thể nào để diệt mấy con này? Mong được các bạn hướng dẫn tiếp cho ah.

[Question] Re: Mẫu Virus xih9	31/10/2008 11:04:14 (+0700) \| #4 \| 157088

maithangbs
Elite Member

Joined: 28/11/2007 21:39:53
Messages: 567
Location: Д.и.Р
Offline

@longthanh: Không xóa được nhưng có báo lỗi gì không, post lên đây đi?
Khi không xóa được, sẽ có ít nhất 2 trường hợp sau:
- Định dạng HDD của bạn (cả C, D) là NTFS;
- Vẫn còn virus trong máy tính của bạn.

[Question] Re: Mẫu Virus xih9	31/10/2008 21:53:12 (+0700) \| #5 \| 157120

kamikazeq
Member

Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline

@longthanh:
_ Bạn qua đây /hvaonline/posts/list/25564.html#155205. Giải thích cho vấn đề thư mục autorun.inf
_ Mình thấy BKAV của bạn quét ra 1 đống (mấy file đó giống mầm sót lại nhỉ) !! Sau đó bạn quét lại có ra con nào nữa không ?
_ Xóa 1 cái gì đó bằng cái này cho mạnh mẽ http://ccollomb.free.fr/unlocker/unlocker1.8.7.exe. Cài vào, chạy chương trình. Khi xóa không được 1 cái gì đó, tự chương trình sẽ nhảy lên hỏi, bạn chọn Delete rồi OK.

PS: Bạn muốn xóa thư mục thì phải dùng lệnh xóa thư mục chứ, sao lại dùng DEL
Lệnh xóa thư mục đây: RD /s /q C:\autorun.inf

IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g

[Question] Re: Mẫu Virus xih9	01/11/2008 10:50:24 (+0700) \| #6 \| 157209

longthanh
Member

Joined: 29/10/2008 23:00:02
Messages: 2
Offline

Mình xin lỗi vì đã trả lời chậm trễ.

@maithangbs : Bạn đoán nguyện nhân chính xác. Mình vừa kiểm tra, định dạng 2 ổ C,D đúng là NTFS.
Nếu gặp trường hợp tương tự, không thể xóa thư mục nào đấy, thì có cách nào để xóa nó không? (ngoại trử cách chạy ra DOS dung lệnh RD smilie

)

@kamikazeq:
- mình vừa quét lại bằng Bkav, thì không thấy phát hiện virus nào nữa. ( không biết Bkav có đủ dùng không nhỉ? Vì từ lâu rồi máy mình không cài 1 chương trinh AV nào cả )
- lâu ngày không dùng, quên mất mấy cái lệnh MS-DOS. Mình google ra, cứ thế mà dùng, đã không để ý. Giờ thì mình đã xóa được hết các thư mục autorun.inf, autorun.inf.bak rồi smilie

- Thật sự cảm ơn bạn, vì sự giúp đỡ rất nhiệt tình của bạn.

Ah, bạn có thể giới thiệu 1 chương trình quét virus online nào được không? Mình muốn kiểm tra thử xem còn chú virus nào lang thang không ? smilie

[Question] Re: Mẫu Virus xih9	01/11/2008 11:38:25 (+0700) \| #7 \| 157215

kamikazeq
Member

Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline

Vấn đề xóa mạnh 1 cái gì đó, ngoài Unlocker ra, mình đánh giá cao trình Avenger.

IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g

Go to:

Users currently in here
1 Anonymous