Messages posted by: quanghabk

nbthanh wrote:

Từ đầu đến giờ chúng ta nói 'bản quyền" là nói về cái multiple license và quyền distribution.

Tóm lại mấy bro vẫn không thể tưởng tượng nổi họ đã mua multiple license đúng không ? cũng như bro đã từng không thể tưởng tượng họ đã mua license winrar để dẫn đến "sự hiểu nhầm đáng tiếc" như bác Quảng phát biểu

nbthanh wrote:

quanghabk wrote:

mrro wrote:

[

Thậm chí, cứ cho rằng họ đã có mua "Multiple USAGE license" (điều này là không tưởng, như phân tích về giá cả mà anh TQN đã nói từ đầu topic)

Đây chính là mấu chốt vấn đề. Khi phát hiện ra RAR trong BKAV, không ai tưởng tượng nổi là BKAV có thể mua bản quyền sử dụng RAR, kết quả là hàng loạt các bài "tố" BKAV ra đời chỉ vì do không tưởng tượng nổi đó.

Nhưng kết quả cuối cùng là: BKAV đã làm cái điều mà không ai tưởng đấy, MUA bản quyền sử dụng RAR.

Nếu đã không thể tưởng tượng, hình dung nổi những điều đã có thật => tốt nhất đừng CỐ gắng để tưởng tượng và võ đoán nữa. Kết quả sẽ CHẢ ĐI ĐẾN ĐÂU.

Bạn đừng cố ý hiểu nhầm vấn đề: mua license sử dụng và mua multiple usage license để phân phối là 2 cái hoàn toàn khác nhau! Nhưng cái "cố ý" hiểu nhầm vấn đề như thế mới là "chả đi đến đâu"

Bạn đừng cố tưởng tượng, vì bạn có CỐ cũng không tưởng tượng ra được gì đâu smilie

. Ngay từ đầu, có ai tưởng tượng là họ mua bản quyền đâu smilie

mrro wrote:

[

Thậm chí, cứ cho rằng họ đã có mua "Multiple USAGE license" (điều này là không tưởng, như phân tích về giá cả mà anh TQN đã nói từ đầu topic)

Đây chính là mấu chốt vấn đề. Khi phát hiện ra RAR trong BKAV, không ai tưởng tượng nổi là BKAV có thể mua bản quyền sử dụng RAR, kết quả là hàng loạt các bài "tố" BKAV ra đời chỉ vì do không tưởng tượng nổi đó.

Nhưng kết quả cuối cùng là: BKAV đã làm cái điều mà không ai tưởng đấy, MUA bản quyền sử dụng RAR.

Nếu đã không thể tưởng tượng, hình dung nổi những điều đã có thật => tốt nhất đừng CỐ gắng để tưởng tượng và võ đoán nữa. Kết quả sẽ CHẢ ĐI ĐẾN ĐÂU.

@Vxer: đúng là event đấy bạn ạ.Con này được phát triển dựa trên virus ThankstoDarwin của BlueOwl, nghiên cứu nó cũng học được khối điều đấy

Bạn tmd nói có vẻ đơn giản quá nhỉ.Mình nói thật nhé, chuyên gia xịn cũng chưa chắc diệt tận gốc được con này đâu, bởi vì ngoài mấy lí do như Look2Me,Vxer nói thì còn 1 lý do nữa là: code nguyên bản con này đã được public (phiên bản VT_4) ,nên nó biến thể ác liệt hơn rất nhiều so với thông thường.

Ghost Ship wrote:

Cậu đọc cái gì? ở đâu? Cậu có biết những file thế nào thì sẽ bị lây kô?

Mình đọc code dạng assembly của nó, đã đủ chắc chắn chưa? mình ko có thời gian để xem sâu hơn, mà việc nó thích lây vào những file nào cũng chẳng quan trọng,quan trọng là lấy thông tin trong code để phục hồi lại được file bị lây,ok?

Cậu có thể nói cho mọi người biết cậu đã thử kích hoạt con này trên máy của cậu chưa kô?

Nếu chưa chạy thì mình dám nói sao, đừng hỏi những câu thừa như vậy

nếu rồi thì cậu đã diệt nó như thế nào? đó mới là những thông tin có ích bạn thân mến ạ! rất vui vì sự đóng góp ý kiến của bạn, hi vọng bạn sẽ có những reply chứa đựng nhiều thông tin có ích hơn!

Mình đã viết tool quét phần worm và phục hồi file bị lây dựa trên những thông tin mà mình tìm được trong code, và test ok trên máy mình.Mình cũng đã đưa ra những thông tin đó trên forum, vậy đã chứa đựng thông tin có ích chưa hả bạn?

Tui kô khẳng định là "hết" mà tui khẳng định là: "tui đã diệt được nó và những file mà tui hay động đến thì chưa bị nhiễm vì dung lượng những file đó ko bị thay đổi so với lúc con này chưa vào máy"

Cậu diệt được trên máy cậu rồi thì tốt thôi,mà mình nói "bạn khẳng định" cũng chỉ là 1 cách hỏi thôi bạn ạ, đừng quá chấp nhặt câu chữ như vậy

Bạn chắc chắn nó ko lây file trên máy bạn à smilie

,Mình chưa đọc kĩ,nhưng ko phải bạ file nào nó cũng lây đâu.Bạn chỉ cần căn cứ các file khi quét xong thì không thay đổi kích thước là khẳng định hết à.Giả sử KAV chưa quét được hết thì sao.

tmd wrote:

Con này là họ worm, đâu phải họ virus.

Bác nào bảo không phải là virus lây file thì xem thử cái file này xem nhé:
http://superupload.fire-lion.com/download.php?file=255a5c52abaa3030cdf3e4b8f4e945cc

nó là file WinHex.exe bị lây đó.Các bác so sánh xem đoạn đầu của nó có khác gì file LSASS.EXE không, hoặc chạy thẳng xem nó có sinh ra mấy file SMSS.exe,pagefile.pif ko.Còn ai biết diassembly thì thử mở file này,xref 1 hàm fopen bất kì xem smilie

@GS: bạn ko diệt được theo kiểu worm bình thường vì khi chạy những file nhiễm thì nó lại sinh ra như cũ thôi smilie

Quai rồi , bạn ko diệt được theo kiểu thường vì con này con có module lây file. Kĩ thuật lây thì cũng bình thường thôi, nó nhét file bị lây vào trong file virus gốc(từ byte 0x19008, byte 0x19000 là để kích thước file cũ), nhưng phải cái nó mã hóa từ byte 545 đến byte 102389 trong file gốc(cứ cách 23 byte nó lại not 1 fát) nên khôi phục hơi khó 1 chút. Bác nào thích viết tool diệt thì viết theo thông tin ấy smilie

Ấy là em nói đơn giản vậy thôi, còn đến khi tìm hiểu được đến thay EP rồi thì chuyện thêm section mới hoặc chỉnh lại VirtualSize , RawSize của section chỉ là chuyện nhỏ

Muốn viết virus lây file bạn phải biết qua Assembly(32), cách lấy địa chỉ và sử dụng các hàm API, cấu trúc của PE file. smilie

. Trong PE header có 1 trường là Entry Point, là điểm bắt đầu thực hiện chương trình. Bạn chỉ cần đính thêm code virus vào file, thay đổi EntryPoint của file bị lây thành địa chỉ bắt đầu đoạn code đó là ok smilie

File boot.exe này khủng thật, nó tập trung khá nhiều kĩ thuật: rootkit, worm (lây qua USB và LAN), lây file đa hình(tuy kĩ thuật đa hình còn hơi kém smilie

) ). Khi chạy nó sẽ tạo file $WINDOWS/linkinfo.dll(của Windows là trong system32), $SYSDIR/driver/nvmini.sys, Rsboot.sys
Thằng linkinfo.dll inject vào trong process của explorer, đảm nhận công việc của worm và lây file, còn thằng nvmini.sys và Rsboot.sys đảm phần rootkit, ẩn file và process, nên bạn đặt tên file gì là boot.exe, autorun.inf hay nvmini.sys thì cũng không được đâu smilie

-))
Bạn có thể làm theo cách của faheel cũng được, nếu không thì down bkav về quét cho đỡ mệt(file boot.txt bkav phát hiện là W32.AcluE.Worm thì chắc cũng xử được mấy file bị lây) :cry: smilie

-))

danvac wrote:

tất nhiên em đã làm sẽ có tính toán để diệt nó lúc cần thiết chứ

Bạn sẽ diệt nó bằng cách nào? lại viết 1 virus khác để đi diệt virus mà bạn đã phát tán à? hay là viết 1 AV tử tế? nếu thế viết 1 cái AV ngay từ đầu có phải hơn không? AV với virus install vào máy người dùng chỉ khác nhau một điểm: người dùng có biết hay không mà thôi.Mọihành động cài đặt vào máy người dùng mà người ta không biết đều là bất hợp pháp, bạn ạ.Mình nghĩ bạn nên viết 1 cái AV chính cống như bác Hoàng, hơn là lấy "luật rừng" để trị "luật rừng"

@ThangCuEm: modify mấy file đó thì có gì khó đâu bác? Với những cái kiểu Userinit, hoặc Explorer thì khỏi cần bàn smilie

) . Còn với những cái kiểu Winlogon hay Kernel32.dll thì cũng có mấy cách(đơn giản như ngày xưa hay dùng API: MoveFileEx với Option: MOVEFILE_DELAY_UNTIL_REBOOT là được mà bác) smilie

)

Thế thì viết 1 con lây file, lây vào mấy cái ấy là được smilie

)

ThangCuEm wrote:

Đố cậu nào viết được virus chạy trước cả userinit nữa, tương tự như chkdsk.exe đấy. Khỏi sữa luôn, chỉ còn nước format.

Viết 1 cái driver được không bác? smilie

Có thể máy của bạn đã bị nhiễm virus lây file rồi, chắc con này tính toán sai gì đấy nên làm hỏng cấu trúc của file.Bạn có thể up 1 file bị báo như thế lên chỗ nào đấy rồi gửi link cho mình được không?, hoặc gửi trực tiếp vào mail cho mình: quanghabk@yahoo.com, mình sẽ cố gắng giúp bạn smilie

.

LeVuHoang wrote:

Đã test, đâu có bị đâu ?

Còn đây là kết quả của em:

@tmd: máy của mình không bao giờ bị nhiễm virus cả. smilie

)

[quote=

vd 2 file cb32.exe,wb32.exe mà bạn tmd nói bị chết oan do có size = item72

Không phải trùng filesize, mà do Hoàng lấy nhầm đoạn mã nên mới bị trường hợp này. Trong database mới Hoàng đã chỉnh lại chỗ này và không còn bị quét nhầm nữa (vẫn sử dụng Engine cũ).

Em chưa thử db mới, nhưng với cái em đã dùng ,em đã thử tạo 1 file trắng (toàn byte 0) có kích thước = 12288byte, chương trình của bác vẫn bảo là virus mà smilie

), bác thử xem sao.

Em mới dùng thử AV của bác Hoàng rùi, em có mấy ý kiến đóng góp thế này smilie

) :
+Bác không nên lấy file size làm yếu tố quyết định để quét, cách này tuy nhanh nhưng dễ nhầm lắm, bao nhiêu file có size trùng nhau mà(vd 2 file cb32.exe,wb32.exe mà bạn tmd nói bị chết oan do có size = item72 smilie

). Bác thử thay cái này bằng MD5 xem sao
+Đa số các file bác lấy có 5 byte để kiểm tra là hơi ít(các AV khác tối thiểu cũng 30-50 byte), chắc bác sợ tăng db smilie

)
+Tính năng phát hiện autoit của bác chuẩn thật, nhưng có phải cái nào cũng là virus đâu, may mà bác còn hiện list, không thì chết bao nhiêu file của em smilie

)

Ngoài ra em rất khoái tính năng chặn process từ khi khởi tạo của bác, cái này pro thật :wink: . Bác xem còn gì hay hay tích hợp vào AV nhanh nhanh cho anh em xài nhé smilie

)

big-bird wrote:

Nói chính xác là máy đã bị nhiễm Virus W32 Bronktot.

Không phải Brontok đâu bạn smilie

) .Sâu brontok không bao giờ dùng Script.

Máy của bạn có khả năng bị nhiễm virus lây file rồi. Các loại virus lây file mà thêm vào section cũ chứ không mở section mới rất hay làm hỏng file setup -> file chạy rồi tắt luôn.
Bạn gửi 1 file setup không chạy được cho mình được không? mail: quanghabk@yahoo.com

dungcoi_vb wrote:

hiệu quả thì đúng, nhưng mới thì ko hề

Mình nói mới nghĩa là đây là cách làm mới hiệu quả hơn so với cách truyền thống thôi, smilie

) chứ không phải là thời gian xuất hiện mới.
À, có phải cậu đang có dự án LovePN gì phải không? Bao giờ xong share cho mọi người dùng với nhé.

dungcoi_vb wrote:

con víu àny đang sài PC của bạn để thực hiện DDos hoăc nó chỉ hù như vậy

hè hè

dungcoi nói đúng đấy, đây có thể là flash ddos, một kiểu ddos mới khá hiệu quả.