English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Giúp em diệt con này với các anh!  XML
  [Question]   Giúp em diệt con này với các anh! 23/09/2007 22:33:25 (+0700) | #1 | 86491
Nokia8800
Member
[Minus]    0    [Plus]
Joined: 21/07/2006 11:40:13
Messages: 6
Offline
[Profile] [PM]
Code:
Bkav1225 (14/09/2007) cập nhật lần thứ 1: Pefcoo, InfostealerG... 
 
Malware cập nhật mới nhất:

Tên malware: W32. Pefcoo.Worm 
Thuộc họ: W32. Pefcoo.Worm 
Loại: Worm 
Ngày phát hiện mẫu: 13/09/2007 
Kích thước: 8 Kb 
Mức độ phá hoại: Trung bình 
Nguy cơ:

Làm giảm mức độ an ninh của hệ thống. 
Lấy cắp password của các games online, các trình ftp... 
Đánh lừa người dùng mua chương trình diệt virus 
Hiện tượng:

Sửa registry. 
Hiện thông báo giả, đánh lừa người dùng mua chương trình diệt virus 
Cách thức lây nhiễm:

Lây nhiễm qua các trang web đen, các chương trình hack, crack 
Cách phòng tránh:

Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại 
Mô tả kỹ thuật:

Tạo ra các files: 
%sysdir%\cmcache.dll ( thư viện hook ăn cắp mậ khẩu) 
Tạo ra các bản sao của virus: 
%sysdir%\WinAvXX.exe 
%sysdir%\system.exe 
%sysdir%\print.exe 
%startmenu%\startup\autorun.exe 
Hook các hàm của thư viện winsock để lấy password : 
WSAConnect, 
connect 
send 
Hiện thông báo: "Windows Security Alert - Warning! Potential Spyware Operation", lừa người dùng vào trang http://avsystemcare.com/data/[removed] để mua phần mềm diệt virus 
Ghi vào registry: 
WinAVX = %sysdir%\WinAvXX.exe vào key HKLM\Software\Microsoft\Windows\CurrentVersion\Run 
WinAVX = %sysdir%\WinAvXX.exe vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run 
AppInit_DLLs=cmdcache.dll vào key HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows 

Bkav1179 (17/08/2007) cập nhật lần thứ 1: WinAV, RunAutoB... 
 
Malware cập nhật mới nhất:

Tên malware: W32.WinAV.Trojan 
Thuộc họ:W32.WinAV.Trojan 
Loại:Trojan 
Ngày phát hiện mẫu: 16/08/2007 
Kích thước: 16 KB 
Mức độ phá hoại: Trung bình 
Nguy cơ:

Làm giảm mức độ an ninh của hệ thống. 
Hiện tượng:

Sửa registry. 
Sửa file hosts. 
Hiện thông báo "Your computer is infected!" ở khay hệ thống. 
Hiện thông báo ""'Warning! Potential Spyware Operation!" và yêu cầu tải chương trình từ URL http://go.win[Removed].com/MTY2NjU=/2/6018/ax=1/ed=1/ex=1/348/ về hệ thống. 
Không truy nhập được một số website: www.kaspersky.com, www.viruslist.com, mcafee.com, avp.com, microsoft.com, ... 
Các trang mặc định, trang tìm kiếm của trình duyệt Internet Explorer bị sửa thành www.google.com hoặc www.google.com/ie 
Cách thức lây nhiễm:

Do malware khác download về. 
Phát tán qua các trang web độc hại. 
Cách phòng tránh: 

Không nên mở file không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat 
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại. 
Mô tả kỹ thuật:

Copy bản thân thành file 
%SysDir%\WinAvXX.exe 
%SysDir%\printer.exe 
%Startup%\System.exe 
%CommonStartup%\Autorun.exe 
Ghi giá trị
"WinAVX"="%SysDir%\WinAvXX.exe"
Vào key HKLM\Software\Microsoft\Windows\CurrentVersion\Run và HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus được tự động chạy khi khởi động hệ thống. 
Ghi giá trị
"Shell"="Explorer.exe %SysDir%\printer.exe"
Vào key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 
Tự động bypass firewall của Windows 
Sửa file hosts thành
192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 download.microsoft.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads.microsoft.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
...
để ngăn người sử dụng truy nhập vào các website trên 
Ghi các giá trị
"Start Page"="www.google.com"
"Search Page"="www.google.com"
"Default_Search_URL"="www.google.com/ie"
"Search Bar"="www.google.com/ie"
Vào key HKLM\Software\Microsoft\Internet Explorer\Main và HKCU\Software\Microsoft\Internet Explorer\Main


Nó làm mất Controlpanel (khi vào Start -> Settings-> không có biểu tượng controlpanel)của em, không chỉnh giờ cho đồng hồ được
nó hiện nên khi dup vào tgian ở thanh taskbar là:
Code:
Restrictions
This operation has been cancelled due to restrictions in effect on this computer. Please contact your system administrator.

Ở Desktop chuột phải để vào Properties cũng thế.

Thỉnh thoảng nó lại hiện lên:
Code:
Windows Security Alert
Warning! Potential Spyware Operation!
Your computer if making unauthorized copies of your system and Internet files. Run full scan now...

.............
[Up] [Print Copy]
  [Question]   Re: Help me con vius khỉ gió này cái mấy anh ơi ! 24/09/2007 00:02:38 (+0700) | #2 | 86508
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Đặt lại tiêu đề, nếu không bài này sẽ bị dời vào Trash.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|