/hvaonline/posts/list/28.html JForum - http://www.jforum.net /hvaonline/posts/list/1029.html#4183 /hvaonline/posts/list/1029.html#4183 GMT virus W32.BeagleFG và W32.BeagleFH Virus có icon giống icon của các file ảnh trong windows để đánh lừa người dùng. Khi được thực thi, virus cũng cho hiện lên một file ảnh với chữ "Error" để người dùng nghĩ rằng họ đơn giản chỉ vừa mở một file ảnh mà thôi. Khi được kích hoạt, virus sẽ thực hiện các công việc sau: 1. Tạo thư mục hidn trong %UserProfile%\Local Settings\, rồi tạo ra 2 file ở thư mục này là hidn.exe (chính là bản sao của Virus) và m_hook.sys. Tạo file %SystemRoot%\error.gif là file ảnh với chữ Error trên nền trắng %SystemRoot%\temp.zip là file nén có password của virus. 2. Thêm value "drv_st_key" = "%UserProfile%\Local Settings\hidn\hidn.exe" sau vào key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run để được kích hoạt mỗi khi khởi động: 3. Tạo service có tên m_hook sử dụng file %UserProfile%\Local Settings\m_hook.sys đóng vai trò là Rootkit, ẩn các file do virus tạo ra, các tiến trình của virus... 4. Lấy danh sách các email trong các URL sau: http://www.titanmotors.com/images/1/eml.phpphp http://veranmaisala.com/1/eml.php http://wklight.nazwa.pl/1/eml.php http://yongsan24.co.kr/1/eml.php http://accesible.cl/1/eml.php http://hotelesalba.com/1/eml.php http://amdlady.com/1/eml.php http://inca.dnetsolution.net/1/eml.php http://www.auraura.com/1/eml.php http://avataresgratis.com/1/eml.php http://beyoglu.com.tr/1/eml.php http://brandshock.com/1/eml.php http://www.buydigital.co.kr/1/eml.php http://camaramafra.sc.gov.br/1/eml.php http://camposequipamentos.com.br/1/eml.php http://cbradio.sos.pl/1/eml.php http://c-d-c.com.au/1/eml.php http://www.klanpl.com/1/eml.php http://coparefrescos.stantonstreetgroup.com/1/eml.php http://creainspire.com/1/eml.php http://desenjoi.com.br/1/eml.php http://www.inprofile.gr/1/eml.php http://www.diem.cl/1/eml.php http://www.discotecapuzzle.com/1/eml.php 5. Thu thập địa chỉ trong máy người dùng bằng cách tìm trong tất cả các file có phận mở rộng là : .wab .txt .msg .htm .shtm .stm .xml .dbx .mbx .mdx .eml .nch .mmf .ods .cfg .asp .php .pl .wsh .adb .tbb .sht .xls .oft .uin .cgi .mht .dhtm .jsp Virus cũng bỏ qua các địa chỉ e-mail có chứa một trong các chuỗi sau: rating@ f-secur news update anyone@ bugs@ contract@ feste gold-certs@ help@ info@ nobody@ noone@ kasp admin icrosoft support ntivi unix bsd linux listserv certific sopho @foo @iana free-av @messagelab winzip google winrar samples abuse panda cafee spam pgp @avp. noreply local root@ postmaster@ 6. Gửi thư đến các địa chỉ thu thập được với cấu trúc như sau: From (người gủi) và Subject (tiêu đề) là một trong các chuỗi sau: Ales Alice Alyce Andrew Androw Androwe Ann Anna Anne Annes Anthonie Anthony Anthonye Avice Avis Bennet Bennett Christean Christian Constance Cybil Daniel Danyell Dorithie Dorothee Dorothy Edmond Edmonde Edmund Edward Edwarde Elizabeth Elizabethe Ellen Ellyn Emanual Emanuell Ester Frances Francis Fraunces Gabriell Geoffraie George Grace Harry Harrye Henrie Henry Henrye Hughe Humphrey Humphrie Isabel Isabell James Jane Jeames Jeffrey Jeffrye Joane Johen John Josias Judeth Judith Judithe Katherine Katheryne Leonard Leonarde Margaret Margarett Margerie Margerye Margret Margrett Marie Martha Mary Marye Michael Mychaell Nathaniel Nathaniell Nathanyell Nicholas Nicholaus Nycholas Peter Ralph Rebecka Richard Richarde Robert Roberte Roger Rose Rycharde Samuell Sara Sidney Sindony Stephen Susan Susanna Suzanna Sybell Sybyll Syndony Thomas Valentyne William Winifred Wynefrede Wynefreed Wynnefreede To the beloved I love you Nội dung là một trong các tình huống sau: Password: [file ảnh .gif] Password - [file ảnh .gif] archive password: [file ảnh .gif] Zip password: [file ảnh .gif] Password is [file ảnh .gif] Password -- [file ảnh .gif] The password is [file ảnh .gif] Virus gửi kèm chính bản thân mình dưới dạng file nén .zip có password giải nén để trong [file ảnh.gif] và có tên ngẫu nhiên là một trong các chuỗi như phần From và Subject. 7. Tải các file sau về, lưu vào file %SysDir%\re_file.exe và cho thực thi file này: http://ujscie.one.pl/777.gif http://1point2.iae.nl/777.gif http://appaloosa.no/777.gif http://apromed.com/777.gif http://arborfolia.com/777.gif http://pawlacz.com/777.gif http://areal-realt.ru/777.gif http://bitel.ru/777.gif http://yetii.no-ip.com/777.gif http://art4u1.superhost.pl/777.gif http://www.artbed.pl/777.gif http://art-bizar.foxnet.pl/777.gif http://www.jonogueira.com/777.gif http://asdesign.cz/777.gif http://ftp-dom.earthlink.net/777.gif http://www.aureaorodeley.com/777.gif http://www.autoekb.ru/777.gif http://www.autovorota.ru/777.gif http://avenue.ee/777.gif http://www.avinpharma.ru/777.gif http://ouarzazateservices.com/777.gif http://stats-adf.altadis.com/777.gif http://bartex-cit.com.pl/777.gif http://bazarbekr.sk/777.gif http://gnu.univ.gda.pl/777.gif http://bid-usa.com/777.gif http://biliskov.com/777.gif http://biomedpel.cz/777.gif http://blackbull.cz/777.gif http://bohuminsko.cz/777.gif http://bonsai-world.com.au/777.gif http://bpsbillboards.com/777.gif http://cadinformatics.com/777.gif http://canecaecia.com/777.gif http://www.castnetnultimedia.com/777.gif http://compucel.com/777.gif http://continentalcarbonindia.com/777.gif http://ceramax.co.kr/777.gif http://prime.gushi.org/777.gif http://www.chapisteriadaniel.com/777.gif http://charlesspaans.com/777.gif http://chatsk.wz.cz/777.gif http://www.chittychat.com/777.gif http://checkalertusa.com/777.gif http://cibernegocios.com.ar/777.gif http://5050clothing.com/777.gif http://cof666.shockonline.net/777.gif http://comaxtechnologies.net/777.gif http://concellodesandias.com/777.gif http://www.cort.ru/777.gif http://donchef.com/777.gif http://www.crfj.com/777.gif http://kremz.ru/777.gif http://dev.jintek.com/777.gif http://foxvcoin.com/777.gif http://uwua132.org/777.gif http://v-v-kopretiny.ic.cz/777.gif http://erich-kaestner-schule-donaueschingen.de/777.gif http://vanvakfi.com/777.gif http://axelero.hu/777.gif http://kisalfold.com/777.gif http://vega-sps.com/777.gif http://vidus.ru/777.gif http://viralstrategies.com/777.gif http://svatba.viskot.cz/777.gif http://Vivamodelhobby.com/777.gif http://vkinfotech.com/777.gif http://vytukas.com/777.gif http://waisenhaus-kenya.ch/777.gif http://watsrisuphan.org/777.gif http://www.ag.ohio-state.edu/777.gif http://wbecanada.com/777.gif http://calamarco.com/777.gif http://vproinc.com/777.gif http://grupdogus.de/777.gif http://knickimbit.de/777.gif http://dogoodesign.ch/777.gif http://systemforex.de/777.gif http://zebrachina.net/777.gif http://www.walsch.de/777.gif http://hotchillishop.de/777.gif http://innovation.ojom.net/777.gif http://massgroup.de/777.gif http://web-comp.hu/777.gif http://webfull.com/777.gif http://welvo.com/777.gif http://www.ag.ohio-state.edu/777.gif http://poliklinika-vajnorska.sk/777.gif http://wvpilots.org/777.gif http://www.kersten.de/777.gif http://www.kljbwadersloh.de/777.gif http://www.voov.de/777.gif http://www.wchat.cz/777.gif http://www.wg-aufbau-bautzen.de/777.gif http://www.wzhuate.com/777.gif http://zsnabreznaknm.sk/777.gif http://xotravel.ru/777.gif http://ilikesimple.com/777.gif http://yeniguntugla.com/777.gif ]]> /hvaonline/posts/list/1029.html#4185 /hvaonline/posts/list/1029.html#4185 GMT Một số đặc điểm của virus W32.BeagleDX.Worm Khi được thực thi virus sẽ làm các việc sau: 1. Tạo bản sao của virus trong thư mục %System% dưới tên file "winhost.exe" Virus cũng tạo bản sao của chính nó trong các thư mục có tên chứa xâu "shar" dưới các tên file sau : 12 year old Katia sucks and fucks me in lots of positions. (teen preteen anal cumshot sex young whore school lolita.avi .exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Doom3_nocd.exe HalfLife2_noCD.exe Kaspersky Antivirus 5.0 KAV 5.0 Lolita porn.avi .exe Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Norton Antivirus, working Keygen.exe nude lolita.jpg .exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe 2. Tạo giá trị trong khóa Run để virus được thực thi khi khởi động Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ "winhost.exe" = "%System%\winhost.exe" 3. Tìm kiếm địa chỉ email trong các file có phần tên mở rộng như sau : .adb .asp .cfg .dbx .dhtm .eml .htm .html .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .sht .shtm .shtml .stm .tbb .txt .uin .wab .wsh .xls .xml Sau đó virus sẽ gửi email tới các địa chỉ tìm được, virus không gửi email tới các địa chỉ có chứa 1 trong các xâu kí tự sau : @avp. @foo @hotmail.com @iana @messagelab @microsoft @msn.com abuse admin anyone@ bsd bugs@ cafee certific contract@ feste free-av f-secur gold-certs@ google help@ icrosoft info@ kasp linux listserv local news nobody@ noone@ noreply ntivi panda pgp postmaster@ rating@ root@ samples shar sopho spam support unix update winrar winzip Tiêu đề của email : Changes.. Encrypted document Fax Message Forum notify Incoming message Notification Protected message Re: Re: Document Re: Hello Re: Hi Re: Incoming Message RE: Incoming Msg RE: Message Notify Re: Msg reply RE: Protected message RE: Text message Re: Thank you! Re: Thanks :) Re: Yahoo! Site changes Update Nội dung email : Attach tells everything. Attached file tells everything. Check attached file for details. Check attached file. Here is the file. Message is in attach More info is in attach Pay attention at the attach. Please, have a look at the attached file. Please, read the document. Read the attach. See attach. See the attached file for details. Try this. Your document is attached. Your file is attached. Nếu file đính kèm có dạng file nén, trong nội dung email sẽ có 1 trong những dòng sau kèm với file ảnh cho biết password để mở file, đây là một cách để virus qua mặt các dịch vụ mail có chế độ tự động quét virus: For security reasons attached file is password protected. The password is <ảnh chứa password> For security purposes the attached file is password protected. Password -- <ảnh chứa password> Note: Use password <ảnh chứa password> to open archive. Attached file is protected with the password for security reasons. Password is <ảnh chứa password> In order to read the attach you have to use the following password: <ảnh chứa password> Archive password: <ảnh chứa password> Password - <ảnh chứa password> Password: <ảnh chứa password> Tên file đính kèm : Details.exe Document.exe Info.exe Information.exe Message.exe MoreInfo.exe Readme.exe Sources.exe text_document.exe Updates.exe 4. Mở cổng TCP 9036 để nhận chỉ thị tấn công từ bên ngoài 5. Kết nối tới một số site để cập nhật bản virus mới: http://hiphops.com http://omy.ru/_old_img http://yforum.ru http://64.xxx.44.10 http://64.12.xxx.12 http://68.xx.54.122 ..... 6. Đóng các tiến trình có tên sau : AGENTSVR.EXE ANTI-TROJAN.EXE ANTIVIRUS.EXE ANTS.EXE APIMONITOR.EXE APLICA32.EXE APVXDWIN.EXE ATCON.EXE ATGUARD.EXE ATRO55EN.EXE ATUPDATER.EXE ATWATCH.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVCONSOL.EXE AVGSERV9.EXE AVLTMAIN.EXE AVPROTECT9X.EXE AVPUPD.EXE AVSYNMGR.EXE AVWUPD32.EXE AVXQUAR.EXE BD_PROFESSIONAL.EXE BIDEF.EXE BIDSERVER.EXE BIPCP.EXE BIPCPEVALSETUP.EXE BISP.EXE BLACKD.EXE BLACKICE.EXE BOOTWARN.EXE BORG2.EXE BS120.EXE CCAPP.EXE CCEVTMGR.EXE CDP.EXE CFGWIZ.EXE CFIADMIN.EXE CFIAUDIT.EXE CFIAUDIT.EXE CFIAUDIT.EXE CFINET.EXE CFINET.EXE CFINET32.EXE CLEAN.EXE CLEANER.EXE CLEANER3.EXE CLEANPC.EXE CLEANPC.EXE CMGRDIAN.EXE CMGRDIAN.EXE CMON016.EXE CMON016.EXE CPD.EXE CPF9X206.EXE CPFNT206.EXE CWNB181.EXE CWNTDWMO.EXE DEFWATCH.EXE DEPUTY.EXE DPF.EXE DPFSETUP.EXE DRWATSON.EXE DRWEBUPW.EXE ENT.EXE ESCANH95.EXE ESCANHNT.EXE ESCANV95.EXE EXANTIVIRUS-CNET.EXE FAST.EXE FIREWALL.EXE FLOWPROTECTOR.EXE FP-WIN_TRIAL.EXE FRW.EXE FSAV.EXE FSAV530STBYB.EXE FSAV530WTBYB.EXE FSAV95.EXE GBMENU.EXE GBPOLL.EXE GUARD.EXE GUARDDOG.EXE HACKTRACERSETUP.EXE HTLOG.EXE HWPE.EXE IAMAPP.EXE IAMAPP.EXE IAMSERV.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSSUPPNT.EXE ICSUPP95.EXE ICSUPPNT.EXE IFW2000.EXE IPARMOR.EXE IRIS.EXE JAMMER.EXE KAVLITE40ENG.EXE KAVPERS40ENG.EXE KERIO-PF-213-EN-WIN.EXE KERIO-WRL-421-EN-WIN.EXE KERIO-WRP-421-EN-WIN.EXE KILLPROCESSSETUP161.EXE LDPRO.EXE LOCALNET.EXE LOCKDOWN.EXE LOCKDOWN2000.EXE LSETUP.EXE LUALL.EXE LUCOMSERVER.EXE LUINIT.EXE MCAGENT.EXE MCUPDATE.EXE MCUPDATE.EXE MFW2EN.EXE MFWENG3.02D30.EXE MGUI.EXE MINILOG.EXE MOOLIVE.EXE MRFLUX.EXE MSCONFIG.EXE MSINFO32.EXE MSSMMC32.EXE MU0311AD.EXE NAV80TRY.EXE NAVAPSVC.EXE NAVAPW32.EXE NAVDX.EXE NAVSHEXT.DLL NAVSTUB.EXE NAVW32.EXE NC2000.EXE NCINST4.EXE NDD32.EXE NEOMONITOR.EXE NETARMOR.EXE NETINFO.EXE NETMON.EXE NETSCANPRO.EXE NETSPYHUNTER-1.2.EXE NETSTAT.EXE NISSERV.EXE NMAIN.EXE NORTON_INTERNET_SECU_3.0_407.EXE NPF40_TW_98_NT_ME_2K.EXE NPFMESSENGER.EXE NPROTECT.EXE NPROTECT.EXE NSCHED32.EXE NTVDM.EXE NUPGRADE.EXE NVARCH16.EXE NWINST4.EXE NWTOOL16.EXE OSTRONET.EXE OUTPOST.EXE OUTPOSTINSTALL.EXE OUTPOSTPROINSTALL.EXE PADMIN.EXE PANIXK.EXE PAVPROXY.EXE PCC2002S902.EXE PCC2K_76_1436.EXE PCCIOMON.EXE PCDSETUP.EXE PCFWALLICON.EXE PCFWALLICON.EXE PCIP10117_0.EXE PDSETUP.EXE PERISCOPE.EXE PERSFW.EXE PF2.EXE PFWADMIN.EXE PINGSCAN.EXE PLATIN.EXE POPROXY.EXE POPSCAN.EXE PORTDETECTIVE.EXE PPINUPDT.EXE PPTBC.EXE PPVSTOP.EXE PROCEXPLORERV1.0.EXE PROPORT.EXE PROTECTX.EXE PSPF.EXE QCONSOLE.EXE QSERVER.EXE REGEDIT.EXE REGEDT32.EXE RESCUE.EXE RESCUE32.EXE RRGUARD.EXE RSHELL.EXE RULAUNCH.EXE SAFEWEB.EXE SAVSCAN.EXE SBSERV.EXE SETUP_FLOWPROTECTOR_US.EXE SETUPVAMEEVAL.EXE SFC.EXE SGSSFW32.EXE SHELLSPYINSTALL.EXE SYMWSC.EXE SYSEDIT.EXE TAUMON.EXE TAUSCAN.EXE TRACERT.EXE TRJSCAN.EXE TRJSETUP.EXE TROJANTRAP3.EXE UNDOBOOT.EXE UPDATE.EXE VBCMSERV.EXE VBCONS.EXE VBUST.EXE VIRUSMDPERSONALFIREWALL.EXE W32DSM89.EXE WATCHDOG.EXE WEBSCANX.EXE WHOSWATCHINGME.EXE WINRECON.EXE WNT.EXE WRADMIN.EXE WRCTRL.EXE WSBGATE.EXE WYVERNWORKSFIREWALL.EXE XPF202EN.EXE ZONALM2601.EXE ZONEALARM.EXE ]]> /hvaonline/posts/list/1029.html#4190 /hvaonline/posts/list/1029.html#4190 GMT /hvaonline/posts/list/1029.html#4249 /hvaonline/posts/list/1029.html#4249 GMT