Thử nghiệm chương trình diệt Virus mới

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

Thử nghiệm chương trình diệt Virus mới

[Question] Re: Thử nghiệm chương trình diệt Virus mới	17/05/2007 06:43:18 (+0700) \| #31 \| 59625

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Đó là bởi vì con worm này gặp các Anti Virus của Vietnam nên cố tình shutdown máy.
Bạn có thể dùng công cụ Reboot Detector theo dõi để biết thêm...

[Question] Thử nghiệm chương trình diệt Virus mới	17/05/2007 07:18:24 (+0700) \| #32 \| 59627

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

tmd wrote:

mod thử với loại inject .dll vào explorer.exe và các .exe khác đi. Mẫu là http://forum.spywareterminator.com/Default.aspx?g=posts&t=1524
Cái thứ .dll này nó chích thêm vào danh sách load .dll của .exe . file lây nhiểm để tạo .dll này thì tui ko thấy, chỉ thấy khi nó đã inject vào tùm lum thứ rồi.

Do chỉ có file .dll nên Hoàng không thể cho nó inject được smilie

[Question] Thử nghiệm chương trình diệt Virus mới	17/05/2007 10:05:23 (+0700) \| #33 \| 59649

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Nên ad mẫu các loại exploit thông dụng nhất trong vòng 3 năm trở lại đây. Bao gồm exploit xử lý file văn bản, ảnh, html, ...
Link mấy cái exploit .ani
http://forum.spywareterminator.com/Default.aspx?g=posts&t=1591
Mẫu của mấy loại malware hàng top ở VN hiện tai , người ta không biết lấy mẫu nên quá ít nguồn. Mấy anh nghiên cứu code của forum ko tiếp xúc với TG nên chẳng có thông tin gì. Còn mẫu lây qua USB thì NHIỀU.

=== sorry, Hoàng nhấn nhầm nút Edit :-|

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...

[Question] Thử nghiệm chương trình diệt Virus mới	17/05/2007 12:06:09 (+0700) \| #34 \| 59668

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Nên ad mẫu các loại exploit thông dụng nhất trong vòng 3 năm trở lại đây.

hi, hiện nay chỉ có mình Hoàng phát triển dự án. Nên add các loại exploit trong vòng 3 năm là điều... không thể smilie

).
Và Hoàng chỉ handle dự án khi có thời gian rãnh smilie

Bao gồm exploit xử lý file văn bản, ảnh, html, ...
Link mấy cái exploit .ani
http://forum.spywareterminator.com/Default.aspx?g=posts&t=1591

Hoàng đã add code chống IE tự thực thi mấy mã độc hại rồi, người dùng sẽ được hỏi.
Screenshot:

Mẫu của mấy loại malware hàng top ở VN hiện tai , người ta không biết lấy mẫu nên quá ít nguồn. Mấy anh nghiên cứu code của forum ko tiếp xúc với TG nên chẳng có thông tin gì. Còn mẫu lây qua USB thì NHIỀU.

Thế nên mục tiêu hàng đầu là diệt các loại malware của VN trước

[Question] Thử nghiệm chương trình diệt Virus mới	17/05/2007 12:39:29 (+0700) \| #35 \| 59670

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Mod ad mấy loại exploit nội trong năm đi. Các loại top malware trong các tháng từ đầu năm tới giờ.Mẫu thì lúc nào có , gửi vào trong này. Nguồn thì ai có gì gữi vào trong đây. Ban đầu chắc phải tự tìm mẫu mà update trước rồi.

[Question] Thử nghiệm chương trình diệt Virus mới	17/05/2007 15:10:06 (+0700) \| #36 \| 59684

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

tmd wrote:

Mod ad mấy loại exploit nội trong năm đi. Các loại top malware trong các tháng từ đầu năm tới giờ.Mẫu thì lúc nào có , gửi vào trong này. Nguồn thì ai có gì gữi vào trong đây. Ban đầu chắc phải tự tìm mẫu mà update trước rồi.

Hầu hết các malware của VN hiện nay đều được viết bằng AutoIt. FastHelper detect ra đó tmd, các loại AutoIt viết sau này chương trình cũng có thể tự động nhận dạng mà không cần phải cập nhật database. Chương trình sẽ cảnh báo người dùng với tên là: AutoIt.General

[Question] Re: Thử nghiệm chương trình diệt Virus mới	17/05/2007 16:46:43 (+0700) \| #37 \| 59689

kamikazeq
Member

Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline

Gửi cho bạn mẫu này.
http://s14.turboupload.com/f/1799456/1179347609/e25ab1f229453df563dc4a24c401d5a3/Quarantine.rar không được thì dùng http://www.yourfilehost.com/media.php?cat=other&file=Quarantine.rar

Con ncscv32.exe này inject vào nhiều kiểu đuôi lắm *.COM *.EXE *.PIF *.SCR , *.asp *.aspx *.htm *.html *.jsp *.php

Mới vừa lụm nó lại từ chương trình cứu dữ liệu, thấy hình như trình AntiVir PE không thèm ngó tới nó nữa (không hiểu).

IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g

[Question] Thử nghiệm chương trình diệt Virus mới	17/05/2007 19:07:16 (+0700) \| #38 \| 59693

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Mới vừa lụm nó lại từ chương trình cứu dữ liệu, thấy hình như trình AntiVir PE không thèm ngó tới nó nữa (không hiểu).

Tại vì các file đã recover của bạn bị hư. Nội dung không còn đúng nữa nên AntiVir bỏ qua là điều dễ hiểu smilie

[Question] Thử nghiệm chương trình diệt Virus mới	18/05/2007 03:16:02 (+0700) \| #39 \| 59797

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Lần này lại một mẫu keylogger đã chế biến lại + một con worm kill antivirus software. Thứ này do Việt Nam nghĩ ra. Buồn một cái là mấy cái con này đã bị nước ngoài list lâu, BKAV còn chưa update. smilie

. Còn nhiều mẫu nửa kinh dị mà BKAV ko update.

http://www.yourfilehost.com/media.php?cat=other&file=sytem32.rar
Mẫu con Viking, tên khác là Polip , con này lây qua .exe và có nhiều tác động kinh dị khác.Và một con worm nhon nhỏ Tui thử và lãnh đủ. file hiện diện là rundll132(có người hỏi con này rồi) và BKAV cũng ko cập nhật.

http://www.yourfilehost.com/media.php?cat=other&file=malware2.zip

Một mẫu viking khác, tổng cộng 2 con khác nhau

http://www.yourfilehost.com/media.php?cat=other&file=everest.rar
smilie

[Question] Thử nghiệm chương trình diệt Virus mới	18/05/2007 14:05:56 (+0700) \| #40 \| 59948

AH
Member

Joined: 28/09/2006 12:27:58
Messages: 89
Location: trong bụng mẹ
Offline

Hoàng ơi !!! sao tôi ko down được, bạn có thể gửi vô mail của tui dùm ko ngay3thang5@yahoo.com

[Question] Thử nghiệm chương trình diệt Virus mới	18/05/2007 18:42:57 (+0700) \| #41 \| 59971

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

@tmd: Chắc Hoàng chỉ update mấy con gần đây và có số lượng lây nhiễm nhiều thôi. Chứ sức người có hạn smilie

[Question] Thử nghiệm chương trình diệt Virus mới	19/05/2007 02:47:13 (+0700) \| #42 \| 60075

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Mod nên update dòng Polip, hảng thì đặt là viking, hảng khác đặt là philis. Nó lây thẳng qua .exe file thực thi, file .tmp . Dính qua hàng crack, qua P2P. Hiện tại nó là phong trào.

[Question] Thử nghiệm chương trình diệt Virus mới	19/05/2007 07:17:12 (+0700) \| #43 \| 60158

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Cái trang http://www.offensivecomputing.net này có nói nhiều về sample, soft đi sau nên cập nhật vài con quen thuộc. Nó có sẳn hết.

[Question] Thử nghiệm chương trình diệt Virus mới	19/05/2007 18:53:13 (+0700) \| #44 \| 60226

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Đã update treat Viking và 1 số mẫu khác.

[Question] Thử nghiệm chương trình diệt Virus mới	20/05/2007 00:48:27 (+0700) \| #45 \| 60284

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Viking/polip/philis hay ... dòng này lây thẳng vào .exe không cần biết nó là tiện ích hay HDH. Nó đã lây vào rồi-> GHOST, cài mới->Quét toàn ổ cứng. Quả là kinh dị.
Nó còn down thứ khác về máy. smilie

[Question] Thử nghiệm chương trình diệt Virus mới	20/05/2007 04:05:21 (+0700) \| #46 \| 60328

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Setup Package 5.2.2: Kernel 5.2.2, Database 05/19/2007 02:38 PM
1. Kernel 5.2.2: Remove Viking.1/Worm/Win32 variants
2. Database: 05/19/2007 02:38 PM
+ MulDrop.1/Trojan/Win32
+ Primo.1/Trojan/Win32

Thường thì các file bị infected vẫn có thể khôi phục lại được nhưng hơi phức tạp. Nên các AV deleted đi luôn, điển hình là AVG mà Hoàng đã sử dụng để kiểm tra smilie

[Question] Thử nghiệm chương trình diệt Virus mới	20/05/2007 04:36:56 (+0700) \| #47 \| 60341

gsmth
Elite Member

Joined: 15/02/2007 13:25:36
Messages: 749
Offline

Thường thì các file bị infected vẫn có thể khôi phục lại được nhưng hơi phức tạp. Nên các AV deleted đi luôn nếu không mua bản Pro của nó, điển hình là Norton Security Scan mà gsmth đã sử dụng để kiểm tra smilie

[Question] Thử nghiệm chương trình diệt Virus mới	20/05/2007 06:46:23 (+0700) \| #48 \| 60358

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

hì hì, đây là sự khác biệt giữa bản Home & Pro của AVG:
Code:

Free 24/7 technical support	yes	yes	no
High-speed downloads	yes	yes	no
Consent for commercial use	yes	yes	no
Anti-Virus	yes	yes	yes
Anti-Spyware	yes	no	no
Anti-Spam	yes	no	no
Firewall	yes	no	no
Multiple languages

http://free.grisoft.com/doc/avg-anti-virus-free/lng/us/tpl/v5

Không khác Scan Engine giữa bản free và không free smilie

[Question] Thử nghiệm chương trình diệt Virus mới	20/05/2007 06:52:49 (+0700) \| #49 \| 60360

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Thấy anh TQN đang đọc topic, chắc sẽ có nhiều góp ý smilie

[Question] Thử nghiệm chương trình diệt Virus mới	20/05/2007 10:26:29 (+0700) \| #50 \| 60385

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

BKAV hiện tại bó tay với rất nhiều malware đang lây lan. Không hiểu BKISS đang làm gì với mấy ẻm đó.

[Question] Thử nghiệm chương trình diệt Virus mới	20/05/2007 10:29:32 (+0700) \| #51 \| 60386

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Mod nên update con polip A và học Polip. Dòng fujacks cũng đáng lưu ý, nó lây qua file .html...

[Question] Thử nghiệm chương trình diệt Virus mới	22/05/2007 11:44:26 (+0700) \| #52 \| 60812

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Mấy dòng Polips và Viking này kinh thật. Hầu hết các AV đều delete chứ không khôi phục lại file gốc.

[Question] Thử nghiệm chương trình diệt Virus mới	22/05/2007 13:13:13 (+0700) \| #53 \| 60829

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

mod có update con đó chưa hẩy,variant của 2 dòng đó nhiều lắm.

[Question] Re: Thử nghiệm chương trình diệt Virus mới	22/05/2007 14:42:26 (+0700) \| #54 \| 60846

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Soft của mod hình như quét lầm 5 file thành viking.1

Bao gồm cb32.exe wb32.exe của netmeeting(trong program files và dllcache) và một file cagicon.exe trong installer\{90.....} Hầu như cài máy nào cũng báo lầm 5 cái file này)

[Question] Thử nghiệm chương trình diệt Virus mới	22/05/2007 17:51:07 (+0700) \| #55 \| 60872

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

checked, thank tmd.
Code:

22/05/2007:
Chương trình quét nhầm 2 file:

    C:\Program Files\NetMeeting\cb32.exe
    C:\Program Files\NetMeeting\wb32.exe

Bị nhiễm loại virus Viking.1. Bạn nên bỏ qua 2 tập tin này (uncheck) hoặc add vào "Chứng thực" để không quét nhầm.

Hoàng chưa cập nhật con Polip, sẽ cố gắng cập nhật sớm.
Sau đây là kết quả check Polip của 1 số AV khác.
AntiVir:

Avast:

PC Tools:

và cuối cùng là BKAV smilie

[Question] Thử nghiệm chương trình diệt Virus mới	23/05/2007 01:59:59 (+0700) \| #56 \| 60958

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Công nhận BKAV lẹt đẹt sau lưng các anh lớn cả vài tháng. Con viking từ năm ngoái, polip từ năm ngoái, qqpass của Tàu cũng năm ngoái. Tới năm nay mới update. Làm cho vô số bạn yêu "cây nhà lá vườn" thất vọng và lảnh đạn. hế hế.

[Question] Re: Thử nghiệm chương trình diệt Virus mới	23/05/2007 03:23:39 (+0700) \| #57 \| 60986

pocolo152
Member

Joined: 12/01/2007 23:42:37
Messages: 40
Offline

Có bác nào dùng bản trả tiền của BKAV chưa. Em nghe mấy thằng bạn em nói nó mạnh hơn so với các bản Free ko bít có đúng không.
Chán thật 50 tỉ của nhân dân đóng một năm chỉ được thế này thôi à :cry:
Con trojan hôm qua em gửi ở topic "Có bác nào gặp con này chưa"
Nó chỉ quét đươc *.dll còn file *.exe sinh ra nó thì quét mãi cùng chẳng được :cry:
=> Bác LeVuHoang cố lên sau này làm đối trọng với BKAV smilie

[Question] Thử nghiệm chương trình diệt Virus mới	23/05/2007 06:04:54 (+0700) \| #58 \| 61029

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

BKIS không phải chỉ có BKAV mà còn có eOffice và các dự án khác nữa. Có lẽ BKAV chưa được quan tâm đúng mức thôi.
Hoàng sẽ cố gắng update trong thời gian sớm nhất.

Thanks

[Question] Re: Thử nghiệm chương trình diệt Virus mới	25/05/2007 06:47:18 (+0700) \| #59 \| 61422

quanghabk
Member

Joined: 14/10/2005 10:12:11
Messages: 24
Offline

Em mới dùng thử AV của bác Hoàng rùi, em có mấy ý kiến đóng góp thế này smilie

) :
+Bác không nên lấy file size làm yếu tố quyết định để quét, cách này tuy nhanh nhưng dễ nhầm lắm, bao nhiêu file có size trùng nhau mà(vd 2 file cb32.exe,wb32.exe mà bạn tmd nói bị chết oan do có size = item72 smilie

). Bác thử thay cái này bằng MD5 xem sao
+Đa số các file bác lấy có 5 byte để kiểm tra là hơi ít(các AV khác tối thiểu cũng 30-50 byte), chắc bác sợ tăng db smilie

)
+Tính năng phát hiện autoit của bác chuẩn thật, nhưng có phải cái nào cũng là virus đâu, may mà bác còn hiện list, không thì chết bao nhiêu file của em smilie

)

Ngoài ra em rất khoái tính năng chặn process từ khi khởi tạo của bác, cái này pro thật :wink: . Bác xem còn gì hay hay tích hợp vào AV nhanh nhanh cho anh em xài nhé smilie

)

[Question] Thử nghiệm chương trình diệt Virus mới	25/05/2007 15:46:59 (+0700) \| #60 \| 61490

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

+Bác không nên lấy file size làm yếu tố quyết định để quét, cách này tuy nhanh nhưng dễ nhầm lắm

Không chỉ quét filesize, còn có quét signature nữa cơ mà. Nếu đúng file size mới quét signature.

Bác thử thay cái này bằng MD5 xem sao

Quét MD5 không thích hợp cho variants có filesize khác nhau.
Tuy nhiên, nếu bạn đã reverse engineer chương trình (hoặc db) thì cũng biết là Hoàng cũng có quét MD5 đó chứ hả smilie

vd 2 file cb32.exe,wb32.exe mà bạn tmd nói bị chết oan do có size = item72

Không phải trùng filesize, mà do Hoàng lấy nhầm đoạn mã nên mới bị trường hợp này. Trong database mới Hoàng đã chỉnh lại chỗ này và không còn bị quét nhầm nữa (vẫn sử dụng Engine cũ).

Bị nhiễm loại virus Viking.1. Bạn nên bỏ qua 2 tập tin này (uncheck) hoặc add vào "Chứng thực" để không quét nhầm.
Ngoài ra, bạn có thể down file data mới nhất (05/23/2007 04:14 PM) về cập nhật cho chương trình để tránh lỗi trên.

+Đa số các file bác lấy có 5 byte để kiểm tra là hơi ít(các AV khác tối thiểu cũng 30-50 byte), chắc bác sợ tăng db

Như Hoàng đã nói ở trên, không chỉ signature mà còn kết hợp với filesize nữa.

+Tính năng phát hiện autoit của bác chuẩn thật, nhưng có phải cái nào cũng là virus đâu, may mà bác còn hiện list, không thì chết bao nhiêu file của em

Bạn có thể add vào mục Chứng thực. Lần sau chương trình sẽ không quét ra nữa. Còn nếu bạn không biết AutoIt là gì thì xoá đi chắc cũng không thành vấn đề smilie

Bác xem còn gì hay hay tích hợp vào AV nhanh nhanh cho anh em xài nhé

Các tính năng cơ bản có lẽ là đủ rồi. Mục tiêu trước mắt là tìm diệt các loại mã độc hại đang phát tán tại Vietnam smilie

.

Thank quanghabk đã góp ý.

Go to:

Users currently in here
2 Anonymous