Nhận xét chủ quan: Mấy ông nội này hình như không thèm clear đoạn code của virus, chỉ xóa đoạn mã gọi để jump đến đoạn code virus thì phải. 

maithangbs wrote:

Nhận xét chủ quan: Mấy ông nội này hình như không thèm clear đoạn code của virus, chỉ xóa đoạn mã gọi để jump đến đoạn code virus thì phải. 

Thường thì kích cỡ đoạn code virus khoảng bao nhiêu vậy bạn , sao bạn đoán được là họ không clear đoạn code của virus hay vậy ? 

Đây là dòng lây file, đa hình! Thực sự cách làm trên là cách khôn ngoan! Em nghĩ tuy không khôi phục được hoàn toàn file cũ nhưng như vậy cũng là chống lây lan rồi! Thực sự mình nghĩ đó cũng coi như là diệt thành công!  

Con Polip này sử dụng kỹ thuật Entry-Point Obscuring tức là sẽ patch vào một lời gọi API để chuyển đến thực thi mã virus. Như bạn thấy ở trên thì ban đầu file bị nhiễm là một lệnh gọi đến code virus (E8 18 09 02 00) sau khi quét xong thì BKAV khôi phục lại lện gọi dến API ban đầu (FF 15 cc 22 41 00). Còn đoạn trên thì là sửa lại tên của section chứa virus thôi. Điều khó là làm sao BKAV phát hiện và biết Polip sửa lệnh call đến API nào để khôi phục lại cơ. 

BKAV clear ngay cái đoạn code để jump đến đoạn mã virus rồi thì làm sao mà "con" virus đó thực thi được (mặc dù vẫn còn đoạn mã virus đó trong file). Thế nên khi BKAV clear virus rồi mà vẫn còn antivirus phát hiện ra mẫu virus trong file (của bạn kamikazeq). 

maithangbs wrote:

BKAV clear ngay cái đoạn code để jump đến đoạn mã virus rồi thì làm sao mà "con" virus đó thực thi được (mặc dù vẫn còn đoạn mã virus đó trong file). Thế nên khi BKAV clear virus rồi mà vẫn còn antivirus phát hiện ra mẫu virus trong file (của bạn kamikazeq). 

Đúng là còn sót lại lè tè vài anh Anti phát hiện.
Vậy một vài Anti đó quá cẩn thận hay tại cái đám Anti nổi tiếng kia không thèm ngó ngàng (khi mã Virus không được gọi tới trong cấu trúc file exe đó) !?