| |
|
|
|
hiện tại có công cụ có thể decode lại các file đó cho dù có passphrase. cứ search sẽ thấy, chắc hầu hết mọi người hiện tại decode bằng cách đó
|
 |
|
|
|
Em decode và có dùng AutoIt để viết mấy cái file fix lại cái con VR này nhưng k biết làm thế nào để đưa file fix đó lên đây được, nhờ mọi người chỉ bảo. (file exe)
|
|
|
|
Ollydbg là một chương trình thường dùng cho các cracker, antivirus writer ...(???) đại khái là để phân tích xem 1 chương trình nó làm gì. Bạn chỉ thấy code thôi. phiên bản AutoIt 2.x thì dùng Ollydbg để xem stack sẽ thấy passphrase còn phiên bản AutoIt 3.x thì thấy nói là nó dùng thêm thuật toán nén file và mã hoá.
Có công cụ decode đấy nhưng tui k dám nói đâu vì thế sợ có người lợi dụng viết VR. nếu thích thì search là thấy ngay.
|
|
|
|
sunwoo wrote:
tôi cần tìm chương trình ấy vì muốn quảng cáo cho nhiều người biết về web của tôi . Hôm trước tôi thấy có người sữ dụng nó đễ send quảng cáo . Vậy bạn nào có xin up load cho minh 1 bản nhá !
Thank you very much
Đề nghị xem mục Virus. Kevin Dương người quảng cáo web bằng VR gửi mess qua Y!M đã bị xử lý. Loại chương trình này rất vớ vẩn, hãy lo làm trang web của mình thật tốt thì sẽ có người vào thôi.
|
|
|
|
Đọc code mấy con AutoIt mới thấy các đồng chí sài lại chẳng có chút sáng tạo nào cả, vẫn bài bản như cũ, k có gì tiến bộ, sáng tạo. chỉ có đồng chí nghĩ ra gaixinh và đồng chí cải biển random cái mess là có sáng tạo thôi. Hy vọng mấy chú đú đởn đừng viết mấy con như thế này nữa mà làm mất công trả lời của các bác ligh.phoenix, ......
Tuy nhiên, cũng phải cảm ơn các bác, nhờ vụ này mà em biết AutoIt nó hay đến thế, mở mắt được nhiều thứ.Hỳ hục tìm kiếm, thử nghiệm cuối cùng cũng khôn ra.
Các bác sao không dùng chính autoit để viết chương trình diệt VR trên Y!M đi nhỉ :? . Công cụ này viết cái đó cũng dễ mà. 
|
|
|
|
Lại thêm 1 chú mới xuất hiện, đúng là công cụ tốt vào tay người xấu = đại phá hoại.
Code:
HOT HOT HOT !!! Toan nhung girl xinh cua cac truong PTTH !!! hxxp://www.traoluumoi.com/YMBEST/
Các bác cao thủ xin chỉ giúp cho anh em phương pháp chung để khử cái bọn này đi với, khó chịu quá. Làm ơn chỉ cho em biết làm cách nào để biết con VR đó nó ghi những gì vào registry... đừng bảo em là đọc mã ASM nhé, em chịu  (
|
|
|
|
[Mô tả]
- Ngay khi vào site trên, file guitangban.exe sẽ được thực thi. Đây là một virus viết bằng autoit, có các chức năng sau:
- Đặt các value trong registry:
lQ đã remove code phá hoại.
Đề nghị các anh ban quản trị diễn đàn để lại mấy cái đoạn mà VR nó ghi vào registry lại chứ xoá hết đi thì bọn em làm sao mà biết nó ghi gì vào registry mà xoá.Xoá gì thì xoá nhưng đừng xoá mấy đoạn đó chứ, bọn em k biết dịch ngược mã để tìm code nó là gì mà xoá đâu. Bạn em nhiều người k dùng BKAV nên k biết nó ghi gì vào registry thế thì làm sao mà gỡ nó đi đc.
Một chút ngu ý xin các bác quan tâm. Thanks !
|
|
|
|
hoangtu_saint wrote:
tôi chỉ xin nói 1 câu rằng: nếu ai có ý định phá hoại thì cũng đừng làm ảnh hưởng đến vietnam tất cả,mình là người vietnam thì phải đi phá các nước khác chứ đừng phá nước mình,phá các nước khác để họ biết đến vietnam.PHẢI CÓ TINH THẦN DÂN TỘC!!!!!!!!!
Hoan nghênh ý kiến này. PHẢI CÓ TINH THẦN DÂN TỘC CHỨ ! Các bác cứ việc viết VR, cứ việc hack, cứ thoải mái crack nhưng nên phá của bọn nước ngoài cho anh em được nhờ. cho bọn nó biết thế nào là Việt Nam chứ quanh quẩn mấy cái của VN thì làm ăn gì.
|
|
|
|
Xem và download AutoIt tại đây http://www.autoitscript.com/autoit3/
Người ta 2 tháng lập trình được VR trên 1 công cụ mới là bởi vì người ta có nền tảng kến thức vững rồi, chứ chưa vững thì hẫy đợi đấy !
|
|
|
|
dqt wrote:
Em bị nhiễm 2 con này mà ko có cách nào giải quyết được . Các bác giúp em . Em tự mở được Regedit , trang chủ và Task Manager rồi nhưng vẫn chưa xong . Con ở trong http://www.maybaygiay.tk vẫn còn và liên tục thêm vào Favourites những trang web dưới dạng VIETNAMNET và dẫn đến trang http://www.maybaygiay.tk . Còn http://sanvuichoi.com thì tự động gửi tin nhắn link chứa virus qua YM của em , em dùng các chương trình như BKAV và McAfee mới nhất cũng ko cái nào có tác dụng . Xin các bác chỉ giáo em cách tiêu diệt với hoặc cho em cách giải quyết nóng cái tự động gửi tin nhắn qua YM cũng được , thanks !!!! 
Làm ơn xem lại, 2 link đó tui vào k thấy gì cả, hic.
|
|
|
|
|
Nghe nói có loại VR tống tiền qua Int, không biết cái này có phải là biến thể của nó không !hic
|
|
|
|
NickLuck wrote:
Cám ơn các bác đã hướng dẩn.
Bác nào có tài liệu về code virus xưa và nay cho mình xin với
Ở đây có code 1 vài con VR Xưa và nay nhưng chủ yếu viết bằng ASM rất khó.
http://vx.netlux.org/
Chúc vui và đừng gửi VR cho tui
|
|
|
|
Bạn vào Registry, theo đường dẫn sau
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System
Đặt khoá disabletaskmgr=0x00000000(0)
Chúc vui !
|
|
|
|
|
Tôi thấy cái file bot.exe này đích thực là làm bằng AutoIt v3 rồi, lại mang cái hình ảnh icon giả dạng thế thì chắc chắn là VR rồi, đề nghi các cáo thủ Luke, light.phoenix, Jamesmr...... tham gia cho anh em được học hỏi với
|
|
|
|
regnhac wrote:
Tôi hoàn toàn đồng ý với nhận định của Bác jamesmr. tôi cũng bị dzính cái con http://nhut.be ...he he...tôi chộp về "nghiên cíu" thấy nhiều cái hay hay trong đó. Nó khai thác lỗi tràn bộ điệm...hehehe...thực sự cũng biết "tí tí" nên mạo mụi viết vài dòng....tui đã đọc qua đoạn mã bác Luke rồi..thật sự bác ấy có ý tốt share để anh em hiểu.cai anh chang viet con Vrs add tren site nhut.be cũng chẳng ác ý gì lắm. tôi nghĩ giống như thử nghiệm hay đại loại gì đó..... Còn Vr funny.exe tui chưa biết nhiều...
Bác ơi, làm ơn gửi cho tôi con này với, máy tôi hôm trước vừa lỡ tay xoá mất rồi. Thanks.
|
|
|
|
Với trình độ của tui thì tui cứ kiểm tra Registry và msconfig để phát hiện cái nào xuất xứ không rõ ràng mà lại đòi khởi động là tôi kill nó, thế thôi. Tôi kiểm tra xuất xứ trên máy tính, các chương trình đã cài đặt vào máy tính, kiểm tra các process đang chạy (Thường thì phần mềm quen thuộc nhiều nên nhìn cũng thấy quen mắt) Tuy vậy nếu đặt tên giống tên ctrình gốc thì cũng xin chịu.
Ngoài ra tôi có cài đặt IDM nên khi VR gaixinh được gửi đến thì tôi cũng k bị dính (vì IDM hiện lên thông báo yêu cầu xác nhận download 1 file exe).
Túm lại theo tôi là cứ phải chọc phá máy, chỉnh sửa nghịch ngợm thì mới hiểu nhiều và biết cách phát hiện, khắc phục.
Đề nghị xem thêm ở http://www.vnhacker.org/hvaonline/posts/list/3297.html
Rất mong được các pro chỉ giáo
|
|
|
|
|
Vào trang www.farstone.com để down virtualDriver là chương trình tạo ổ CD ảo, serial thì serch trên mạng đầy (Nhưng đừng chọn phiên bản mới nhất kẻo nó serch k thấy)
|
|
|
|
úi, Xin lỗi nhé tôi đọc chưa kỹ. Nếu bạn muốn dừng lại 1 chút thì hàm Sleep của bạn phải có giá trị tương đối lớn. Ví dụ
Send("Thu nghiem chuong trinh moi.{ENTER}Vui ve chut di bo teo{ENTER}")
Sleep(500)
Send("+{UP 2}")
Sleep(5000)
Hoặc bạn phải có 1 đoạn code để yêu cầu người nhận phải nhập chữ hoặc xác nhận gì đó rồi mới thực thi tiếp.
|
|
|
|
|
Tôi chạy thử rồi có thấy vấn đề gì đâu, chạy ngon lành kể cả khi build ra file exe
|
|
|
|
Thành thật mà nói bác Luke đáng được biểu dương vì tinh thần nâng cao trình độ IT trong cộng đồng. Tui cũng rất may mắn khi thoát đc lần tấn công đầu tiên của gaixinh nhưng k biết làm cách nào giúp bạn bè gỡ nó ra, phải đến khi đọc xong bài của bác Luke tôi mới biết đc và nhắc nhở mọi ng đc chính xác.Nhờ bác luke mà tôi cũng hiểu đc AutoIt là công cụ tốt ntn. Mọi người đều phải chịu trách nhiệm trước những hành vi của mình, việc sử dụng và phát tán VR là do mỗi cá nhân, phải tự chịu & đừng quy kết trách nhiệm cho người khác.
Tuy nhiên các bác cho em hỏi là làm thế nào mọi người lại có được code của VR này, nếu mà phân tích được code từ file exe của nó thì chỉ bảo em với
|
|
|
|
Qua vụ này mới thấy dân nhà ta ham làm VR thật  và cũng có nhiều người thiếu cảnh giác ghê ( . Trước thì con VR còn lấy phần mở rộng là.jpg.exe còn bây giờ là .exe thế mà vẫn dính rất nhiều. Tôi vào thử cái trang đó thấy nó đã khoá lại vì bị down load vượt cả giới hạn 2GB. Nghĩa là khoảng 5000 máy bị nhiễm (Tôi ước tính con này khoảng 400K - tôi chưa có mẫu con này). Bác Luke đưa code lên rất thiện chí mà có người lợi dụng, k hiểu chú này có sợ bị phạt k nhẩy  . Hic hơi nhiều xiền đấy.
|
|
|
|
Rất cảm ơn Can_tho_city đã đưa đoạn code này lên, giúp tôi học hỏi được nhiều.Tuy nhiên theo tôi việc đưa code VR lên diễn đàn này là rất hấp dẫn, nhưng với mục đích dùng để học hỏi thì không nên đưa ra những đoạn code phá hoại nghiêm trọng như xoá file ... như vậy thì đã vô tình tiếp tay cho người khác phá hoại, đi ngược lại tôn chỉ của diễn đàn này. Tôi nghĩ chỉ nên đưa lên các đoạn code, phương pháp làm sao cho VR của mình tồn tại được lâu, khó bị phát hiện... thì hơn, như bác luke đưa code VR lên mà xoá đoạn mã nguy hiểm ấy.
Rất mong được sự góp ý thêm.
|
|
|
|
|
Theo tui thì keylog là 1 chương trình có mục đích chính là dùng để ghi nhận lại hoạt động của bàn phím.nó có thể lây lan (Nếu kết hợp với mã lây lan của Virus) nhưng mục đích chính vẫn là ghi nhận hoạt động của bàn phím, nếu lây lan rộng thì chủ nhân của nó không thể kiểm soát đuợc nguồn thông tin đưa đến --> chức năng keylog bị hạn chế, chức năng virus đuợc thể hiện mạnh --> gọi nó là virus có chức năng ghi lại thông tin chứ không còn gọi là keylog nữa.
|
|
|
|
Luke wrote:
Còn 2 phương án nữa để qua mặt msconfig
1: win.bat
2: rootkit
Xin hỏi là win.bat thì đặt ở đâu? và rootkit là cái gì thế?
Thanks
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
