Messages posted by: Look2Me

Vậy ý anh nói là: Yahoo có khả năng bị lấy pass (dưới dấu *) khi máy tính bị dính cái con mà có chức năng lấy pass dưới dấu * cho dù có đăng nhập kiểu thần thông gì đi chăng nữa à ?

PS: ở đây em không biết lập trình, em chỉ quan tâm vấn đề "sức mạnh" của chức năng "lấy pass dưới dấu *" mà thôi anh à.

Bạn tự code thì hoàn toàn có thể làm được. Perfectkeylogger thì sẽ khôngl àm đc. (đang nói với Y 8 trở lên)

Nếu là hệ thống windows bạn có thể dùng DFS.
Thân!

Tôi nghĩ cứ ở REA được rồi. HVA không cần mảng này vẫn sôi động mà.

banmebynight wrote:

Về loại vi rút này mình đã nghiên cứu sơ lược và đã thử trên máy của mình rồi:

1. Tính chất: Lây nhiễm mạnh qua USB flash.
2. Các file chủ chốt có thể thấy:
- _install.exe trong tất cả các thư mục có chứa file .exe trên ổ cứng ngoài ổ có hệ điều hành. Dùng phương pháp tìm kiếm trong các ổ đĩa xoá đi trước.
- Một file chủ chốt của vi rút này là calcs.exe hoặc cals.exe nằm trong thư mục x:\WINDOWS\system32 – Ghi chú: x là ổ đĩa mà bạn cài windows. Để xoá file này bạn có thể dùng Hiren Boot CD vào mini windows 98 hoặc các chương trình quản lý file trong DOS để xoá.
3. Tác động:
- Khởi động lại máy tính vào máy tính có thể máy sẽ tự động shutdown.
- Ta có thể bung file ghost ra hoặc cài lại máy.
- Vi rút này có thể làm ẩn Hide protected operating system files (Recommended) trong Folders Option.

Chúc các bạn thành công !

Sai hoàn toàn!
Bồ về nghiên cứu lại đi.

blueocean89 wrote:

Look2Me wrote:

cookie!

Hai nick của 2 user khác nhau login vẫn cùng cookie ạ? Vả lại, dùng hai trình duyệt khác nhau thì sao? huynh Look2Me chắc biết, chỉ giáo đệ nha. À với lại, nếu vậy [theo phỏng đoán thì code kia dùng cho mục đích detect cookie ạ? ...và sao lại bị trình AV chặn?] huynh Look2Me hoặc huynh nào biết rõ có thể chỉ giáo thêm ko ạ? [bon chen hỏi cho ra dùm chủ topic ]

1. Cookie đi với website, không phân biệt 2 hay n nick.
2. Trình duyệt khác nhau -> cookie khác nhau.
3. Đoạn code ntn tôi ko rõ nên ko biết mục đích của nó đc.
4. AV chặn vì: đó là site có mã độc . Easy cafe chặn vì đó là trang web đen smilie

Tóm lại theo tôi hiểu vấn đề ở đây là chủ topic không hiểu nên mô tả lung tung. Hãy đứng trên quan điểm của người làm 4rum làm sao để phát hiện 2 nick là của 1 người?
Có thể có vài cách nhưng đơn giản và được sử dụng nhiều nhất là sử dụng cookie.
Are u okie ?

cookie!

LeVuHoang wrote:

Đối với những bạn đã bị nhiễm virus (nói chung). Các bạn nên biết những điều sau đây:
1. Nếu là virus, thì sẽ không có process. Dò "process mới" là vô ích
2. Tại sao bạn cứ nhiễm đi nhiễm lại sau khi đã quét xong. Đó là do có thể chương trình diệt virus của bạn, khi cài vào máy bị nhiễm, cũng bị virus đính vào. Vì vậy, bạn có quét 1000 lần bằng chương trình bị nhiễm thì máy cũng bị nhiễm thôi. Trong trường hợp này, bạn nên rút ổ đĩa cứng gắn sang 1 máy *sạch* có chứa Anti Virus rồi quét.
3. Kết hợp nhiều AV khác nhau: KAV, AVG, Bit...

Hi LeVuHoang!
Khi Vxer nhận xét vậy tôi thấy cũng hơi nặng lời nên đã định reply lại ngay nhưng vì bận chút nên chưa kịp trả lời.
Hơn ai hết tôi hiểu để làm được một soft AVR tốt vất vả thế nào (vì tôi cũng đã từng làm nhưng thất bại). Thất bại đơn giản bởi không thể duy trì được.
Tôi cũng hiểu mục tiêu mà FastHelper hướng tới. Trên thế giới cũng có rất nhiều chương trình giống FastHelper đấy thôi. Chúng ta phải cân nhắc giữa các tính năng, thời gian, tiền bạc .... Để diệt một con PE có thể là 1 buổi, một ngày, 1 tuần hoặc hơn. Trong khi để diệt 1 con worm có thể chỉ tốn 30 min, thậm chí 10s (nhiều hãng diệt theo MD5 mà).
Tôi nghĩ Hoàng nên kiếm tài trợ hoặc lập nhóm, chứ cứ solo thế thì làm sẽ không thể làm tốt được => giải tán sớm.

// Mấy vấn đề về kỹ thuật.

1. Tôi nghĩ khái niệm virus bây giờ (ở VN dùng) đã được thay đổi để chỉ tất cả các phần mềm độc hại nói chung ( = malware ). Vì thế nếu bạn muốn nói về virus thuần chủng thì hãy gọi là "lây file" hay "virus truyền thống".
2. Khả năng AVR bị nhiễm virus là có thể, tuy nhiên theo tôi biết nhiều trường hợp là do biến thể mới của virus, hoặc do virus liên tục tạo ra 1 file (đã được nhận diện).
3. Việc kết hợp các soft AVR là điều tối kỵ. Nếu muốn quét bằng nhiều soft AVR thì hãy thử lần lượt từng cái một.

Bực mình quá! Xin lỗi mấy bồ chứ, các bồ ở trình độ nào mà đọc bài trên bảo là leech bài với chẳng quen quen. Nên tôn trọng người khác một tý. Nếu bạn thấy nghi ngờ là copy left thì làm ơn tìm rõ chứng cứ, tìm được bằng chứng cụ thể thì hãy nói. Còn không đề nghị ngồi yên mà nghe. Cho dù đó là bài leech đi chăng nữa, mong bạn reversing cứ post lên vì đơn giản là tôi đang muốn theo dõi.
Ghét cái bọn phá bĩnh diễn đàn.
Bức xúc.

Hi quang!
Làm chỗ đó rảnh rang àh! Làm tiếp cho tớ tính năng query database (nhập user+pass) nhé.
Xong thì PM!
Làm việc tốt nhé. Ra tết gặp. BB =;

Bí Danh NJ wrote:

Thử Symantec Endpoint Protection xem ! Hay dùng cả FireLion của bác Hoàng ấy ! Xem thử có hay hơn BKAV không ! Rồi còn con nào nhảy vào nữa không

@VXer:Symantec : .... diệt được rất nhiều virus, nhưng ... không thể diệt được con này smilie

FireLion : ngại quá nhỉ smilie

. Tất cả những con virus mà FireLion diệt được mọi người đều có thể diệt bằng tay dễ dàng smilie

Dù sao vẫn ủng hộ bác Hoàng. Làm soft AVR tốt đâu có dễ smilie

. Không riêng gì Vector, tất cả các virus lây file đều không nằm trong list của FireLion.

@all: có thằng KAV diệt được con này nhưng là: xóa hết tất cả các file. smilie

. Như vậy thì thà sống chung với lũ thì hơn.
Rất may đã có hàng nhà: Bkav diệt khá tốt con này smilie

.

Tôi nghĩ trong trường hợp của bạn (bị nhiễm 1 số lượng lớn máy) thì cách tốt nhất là: copy mẫu (nhớ nén+đặt password) và gửi cho các AVR để nhờ họ diệt cho. Đây là giải pháp tốt nhất, hợp lý nhất, và cũng gần như là duy nhất!!!
Ở trong nước bạn có thể gửi cho Bkav.

Việc học = nhận thức. Bản chất của nhận thức là sự "tự thân nhận thức". Do đó con đường học tập không có gì khác hơn là tự học.
Tuy nhiên người ta xây trường để làm gì, mở lớp để làm gì? Vì sao có thầy, vì sao có trò?
Đó là để giảm bớt khó khăn chông gai, giảm bớt sai lầm, thời gian ... trong việc tự nhận thức.
Như vậy nói một cách nào đó là nên đi học. Nếu không nên thì còn cố học để thi đại học làm gì? Sao không tự học một cái gì đó đi mà còn phải vào trường này trường nọ.
Tự học là cần thiết. Có thầy hướng dẫn là quý. Ỷ lại, dựa dẫm vào thầy là sai lầm.
Phải biết cân bằng giữa các yếu tố, phải nắm vững tố chất, khả năng của mình, đừng ngộ nhận, huyễn hoặc.
Nếu mình tư duy không tốt, nhận thức chậm thì rất cần các thầy hướng dẫn. Nếu mình lêu lổng, bỏ bê mất căn bản thì phải tự ôn luyện lại, trao đổi với bạn bè ... Nếu mình đủ tự tin, đủ kiên nhẫn, đủ sáng tạo thì tự học là tốt.
Còn chuyện mặc cảm thi trượt, mặc cảm này nọ chính là những rào cản lớn cản trở việc nhận thức của mình. Cái đó phải kiên quyết loại bỏ.

Reversing... wrote:

Cách để diệt virus: copy 1 file nào chứa virus ( kích cỡ càng lớn càng tốt), paste vào usb. Trong lúc đang copy nữa chừng thì bạn rút cái USB ra ngay lập tức, con virut đang chạy từ máy ra USB sẽ bị rớt ra ngoài . Sau đó bạn bắt nó bỏ vào bịch nilon, đem ra viện Pasteur cho mấy ổng xét nghiệm và cho nó uống một loại thuốc gì đó. Bạn đem về thả lại vô máy, con virus đã được uống thuốc sẽ truyền thuốc cho bạn tình của nó, cứ như vậy chúng sẽ bị dính thuốc hết và tới một thời gian nhất định, thuốc sẽ có tác dụng và virus sẽ bị chết hàng loạt

Ôi choài!
Làm ơn hướng dẫn người ta tử tế đi.

PhamTienSinh wrote:

Đối với ta, thế là đủ .

Mấy post cuối tương đối hay, đọc đến mấy bài của TMP đâm ra tụt cả hứng

Rất cần phải ghi rõ nguồn gốc! Đấy là quy định chung của diễn đàn áp dụng cho mọi người.

uhm, vậy ghi nguồn là từ internet là đc rồi...nếu không thể chi tiết hơn.

Chia sẻ quan điểm.

Mọi người đừng chấp nhặt câu chữ quá. Rõ ràng đây là 1 loạt bài viết có chủ điểm và khá hay. Và chắn chắn đây không phải là leech bài! Tiếc quá chủ topic bực mình bỏ đi rồi.

Phím CTRL bên trái!
Cái này ai tìm hiểu về Dead of Blue Screen thì sẽ thấy có rất nhiều tài liệu nói.
Để debug lỗi này phải thực hiện chế đệ kernel debug và sử dụng 2 máy.

bkis bên ddth là Tổng Giám Đốc bển VHS thì phải!
Hôm trước định mua cái domain bkis.com mới bít ^^
@gái quê: cái ảnh kia là bằng chứng đó thôi!
@bà chị hoàng yến xinh đẹp: cuốn Hacking Exposed Web 2.0 sắp phát hành nhưng em nghe nói đã có một số người có trong tay. Không hiểu bà chị có tình cờ có cuốn sách này không thì vui lòng gửi cho em một bản.
Thx vry much!

juypiter wrote:

hic hic...lại còn public nữa thì....
Bao giờ update vào FireLion đây hả bác Hoàng???

born2die wrote:

Sad but true: NEVER

Có nghĩa là không bao giờ smilie

younghacker wrote:

Chào mọi người , gia su ta nhiễm virut ở ổ Hệ điều hành, bất quá format cái ổ đấy rồi quét ngoài dos để diệt virut trên các ổ còn lại liệu có ổn không mấy huynh? hii

Câu trả lời là không!
Lý do: Các AV nước ngoài đã bó tay với virus này. Hầu hết đều không phát hiện được. Riêng KAV thì phát hiện được một số trường hợp nhưng lại xóa hết file exe trong máy. Chỉ có Bkav là diệt mà không xóa file. Tuy nhiên không phải lúc nào cũng diệt hết vì virus này có nhiều biến thể.
Dos không phải là vạn năng, thường chỉ có tác dụng khi ta muốn hiện các file ẩn (do rootkit chẳng hạn). Còn bình thường nó chẳng có tác dụng gì. Quên chuyện ra Dos để diệt virus đi. Rất vớ vẩn! Antivirus chạy trên nền Dos hầu như không có và không hiệu quả.

KZM wrote:

Có bác nào biết cách diệt con virus Virus.Win32.Virut.q (do KAV7 phát hiện, có thể có tên khác khi dùng chương trinh AV của hãng khác).
Em đã thử diệt =kav nhưng diệt xong thì không thể login windows.
Bác nào biết cách diệt mà không ảnh hưởng đến file exe thì share em với.

thank.

Bạn hãy sử dụng Bkav đi smilie

. Tôi thấy Bkav diệt con này khá tốt và không làm hỏng file .exe

C:\windows\system32\com Xóa hết các file có thuộc tính ẩn và sysem trong đó ( chủ yếu là 2 file lsass.exe và smss.exe)
xóa hết đi

Đường dẫn này còn tùy vào version của virus. Con mà mình gặp nằm trong Windows\Fonts\
(Chạy hijackthis là thấy ngay thôi mà)

Cái này mình đã từng làm rùi Mình vào Dos show hết những File trong c:\windows\system32\com thì nó vẫn thấy File lsass.exe và smss.exe Nhưng khi thực hiện lệnh xoá thì lại báo ko tìm thấy file này.---> tại sao lại như thế chả lẽ trong Dos mà nó vẫn chạy sao

File ẩn bạn phải xóa bằng: del filename /ah

Khi máy bạn bị hiện tượng này có nghĩa là:
1. Máy bạn đã bị nhiễm virus này. Khi đó sẽ phải diệt virus cho chính máy bạn. Sẽ nói sau.
2. Một máy nào đó trong mạng Lan bị nhiễm virus này và đầu độc ARP cho toàn mạng, giả mạo gateway, chặn giao thức HTTP... (xem lại mô tả trên bkav).
Khi đó: bạn thử đăng nhập vào giao diện web của modem, xác định Mac thật của modem (trong cấu hình có ghi).
Đặt ARP -s cho địa chỉ IP của modem ví dụ:
arp -s 192.168.1.1 00-aa-00-62-c6-09

Oki vậy là tạm ổn đối với máy bạn.

Trong trường hợp máy bạn bị nhiễm virus bạn thử xài Bkav xem (đây là virus Trung Của nên gần như chỉ có Bkav cập nhật mà thôi).
Trong trường hợp Bkav chưa cập nhật mẫu virus trên máy bạn, bạn có thể post log hijackthis lên đây mọi người sẽ giúp cho.
Con này diệt tay khá đơn giản. (Download load LSP fix để fix dll hook vào winsock)

Bạn thử tham khảo ở đây xem. Có vẻ không đúng lắm.
http://bkav.com.vn/tin_tuc_noi_bat/28/12/2007/2/1334/

Thông tin về virus chèn banner tiếng Trung Quốc (28/12/07)

Trong những ngày gần đây, rất nhiều người sử dụng Internet tại Việt Nam gặp phải hiện tượng: vào bất kì website nào thì đều thấy một banner tiếng Trung Quốc tự động chèn lên trên đầu trang web. Tại các cơ quan có hệ thống mạng nội bộ, hiện tượng này xảy ra đồng loạt trên tất cả các máy tính trong mạng, khiến cho các quản trị mạng lúng túng, không có cách giải quyết.

Kết quả nghiên cứu của chúng tôi cho thấy, hiện tượng này do loại virus có xuất xứ từ Trung Quốc W32.Dashfer.Worm – virus giả mạo Gateway gây ra. Bắt đầu bùng phát từ ngày 14/12/2007, tới nay đã có tới 14 biến thể của Dashfer xuất hiện và đã lây nhiễm trên 59.000 máy tính tại Việt Nam. Nguồn phát tán chủ yếu của virus này là qua các website chứa mã độc hại và qua đĩa USB.

Từ một máy tính nhiễm virus, Dashfer gửi gói tin theo giao thức ARP (giao thức phân giải địa chỉ) tới tất cả các máy tính khác trong cùng mạng để mạo danh là Gateway của hệ thống. Các kết nối ra Internet của tất cả các máy tính trong mạng lúc này sẽ bị lừa đi qua Gateway giả mạo trước rồi mới tới Gateway thật. Bằng cách này, Dashfer sẽ kiểm soát được toàn bộ quá trình trao đổi dữ liệu, chèn thêm banner, popup vào nội dung các trang web trước khi chúng được trả về cho máy tính của người sử dụng. Với cách giả mạo Gateway như vậy, không phải máy tính nào có hiện tượng bị chèn banner cũng là máy nhiễm virus, máy nhiễm virus chính là Gateway giả mạo.

Quá trình chèn banner, popup của virus Dashfer

Chúng tôi đã cập nhật những mẫu virus này vào phiên bản Bkav mới nhất. Nếu gặp những hiện tượng như mô tả trên, bạn có thể tải về phần mềm diệt virus Bkav từ địa chỉ www.bkav.com.vn để xử lý.

Như đã phân tích, đối với các cơ quan có hệ thống mạng, chỉ cần 1 máy tính bị nhiễm Dashfer thì tất cả các máy tính khác sẽ cùng gặp phải hiện tượng như vậy, cho dù máy tính đó không nhiễm virus. Chính vì thế, để giải quyết triệt để, bạn cần thực hiện quét virus cho toàn bộ các máy tính trong cơ quan mình.

Trong trường hợp không có điều kiện để quét virus cho tất cả các máy tính như nêu trên, bạn có thể xác định máy tính đang bị nhiễm virus, sau đó diệt trên máy này.

Cách xác định như sau:

1. Xác định địa chỉ của máy tính giả mạo bằng lệnh arp –a hoặc dùng một phần mềm quét mạng.

2. Dùng địa chỉ tìm được ở trên để tra cứu trên hệ thống switch, từ đó ra được vị trí vật lý của máy tính bị nhiễm virus.

3. Dùng Bkav để quét virus cho máy tính này.

Trung tâm An ninh mạng Bkis

Ừhm, tớ cũng nghĩ là Hoàng nhầm tí chút. Thiếu 1 chữ lạ. "Process lạ".
Firelion tích hợp thêm tính năng diệt keylogger àh.
Gud job!

Vâng đúng rồi. Phải cài game. Cái chính ở đây không phải là nó chạy cụ thể như thế nào mà là: liệu có 1 chương trình nào có thể làm được tính năng như thế. Tại sao lại làm được, làm như thế nào? Không cần cụ thể, không cần đúng, chỉ cần hợp lý.

chaien281985 wrote:

Thay vì ngôn ngữ góp ý đầy tính mỉa mai và châm chọc bạn hãy góp phần năng lực của mình cho diễn đàn bổ ích hơn. Bạn là một elite cơ mà

Tôi vẫn không thấy tmd trả lời các câu hỏi của tôi. Né tránh không phải là cách tốt!
Mình kém cỏi mong bạn tmd bỏ chút thời gian quý báu ra giúp đỡ tận tình 1 chút.
Câu hỏi nguyên văn của chủ topic:

Ai có cách tiêu diệt tạn gốc con này chỉ gium với! Thanks!

Có nghĩa là AVR phát hiện ra nhưng vì 1 lý do nào đó nên không diệt hết được.
Vậy xin bạn tmd với: "đọc lại những bài cũ" trên diễn đàn chỉ cho mình một cách "thông thường" để diệt con virus này với ạ!

PS: Tôi có đọc bài cũ của diễn đàn nhưng không "đọc lại" bài cũ của diễn đàn!

Tôi chỉ

vui vẻ với bạn thôi mà ... làm gì ... nóng thế.
Tôi chỉ cần biết:

Các cách diệt thông dụng diệt dòng virusđều dùng được với con này.

;
Có nghĩa là bạn không hiểu gì về con virus này rồi.
Bạn nói đúng là tôi không có đọc lại những gì post trước đây! Bởi tôi ngày nào cũng vào HVA và những vấn đề nào tôi quan tâm thì tôi đều cố dành thời gian để đọc. Dẫu có search trên toàn internet chứ không riêng gì HVA thì cái con Vector cũng không có là bao!

Tôi chỉ không hiểu bạn viết mấy dòng bâng quơ đó rốt cuộc người đọc sẽ thu được gì? Và bạn định diệt con virus này theo cách thông thường là ntn? ( cài lại máy không phải là diệt virus! )

LeVuHoang wrote:

Nó là virus thì cần gì process hả bạn ?

Bác nói vậy là sao smilie

Bữa nay bác phát biểu 1 câu ... ngố vậy smilie

(thần tượng xụp đổ ) :d

Con vector này thuộc loại rắn mặt. Nó không phải là polymorphic mà là metamorphic (siêu đa hình).
Gặp con này thì:
1. Format toàn bộ ổ cứng (hoặc xóa hết tất cả các file PE trong máy). Làm lại từ đầu.
2. Upload mẫu lên nhờ các AVR họ diệt cho: ví dụ: Bkav, NAV, KAV.

tmd wrote:

Đọc lại trong box virus,trojan,spyware,worm này, sẽ thấy vài chục bài có liên quan đến cách diệt những con đó. Chỉ sợ không siêng năng và không suy nghỉ.
PS: Vì sao.
Vì không phải ai cũng gặp con này, nên người ta dùng cách thông dụng.
Các cách diệt thông dụng diệt dòng virusđều dùng được với con này.
Chịu đọc forum và suy nghỉ là làm được.

Bác phán hay quá!
Thách bác diệt đấy smilie

mailhn wrote:

Máy em cũng đang dính con này, diệt = BKAV bản 1436 5/1/2008 báo là virus W32.Vetorl.PE <= nó lây cả vào bkav.exe cho nên càng quét càng lây tợn...

Bác nào có cách diệt không ạ... search cái tên W32.Vetorl.PE này trên net thì chẳng có kết quả nào chán (

Nếu vậy bạn hãy cắm ổ cứng vào 1 máy sạch có cài Bkav để diệt.
Gud luck!