Putty dính virus

sasser01052004 — GMT

Em thấy putty dính virus, khí vào putty thì nó creat file PUTTYmgr.exe Anh chị phân tích xem nó làm gì giúp em http://www.mediafire.com/download.php?jpi8llx1g2eght2 pass là: hva

Putty dính virus

TQN — GMT

Cậu úp luôn file PUTTYmgr.exe giùm.

Putty dính virus

bolzano_1989 — GMT

Chưa xem file bạn gửi nhưng theo triệu chứng bạn miêu tả thì tui biết đây là dòng lây file Ramnit.

Putty dính virus

t0nytuy3n — GMT

Mình cũng có ý nghĩ giống chủ pic

Putty dính virus

sasser01052004 — GMT

@TQN ở trong đó có file đó rồi anh

Putty dính virus

acoustics89 — GMT

Confirm với bolzano_1989: bạn nói đúng, nó là mẫu Ramnit. MSE nhận diện là dòng Ramnit.J Bài phân tích về dòng virus này thì rất nhiều trên mạng, không biết bạn muốn tìm hiểu phần nào? Mình mô tả sơ lược vậy: Mẫu được pack bằng nhiều lớp, thứ tự từ ngoài vào trong là UPX, manual packer( phong cách Spaghetti code, rất khó chịu), 1 lớp UPX nữa. Lớp code trong cùng chả rõ build bằng trình biên dịch nào, Anh chị nào biết thì chỉ em với Sau đó thì sẽ có các hành vi như : lây file (exe, html), Lây vào usb ( file autorun và tạo các shortcut khai thác lỗ hổng) Có 4 shortcut, có lẽ nhiều bạn mới đọc sẽ thắc mắc vì sao là 4 mà không phải 1. đó là vì trên mỗi hệ điều hành, cần 1 dạng đường dẫn khác nhau, và ramnit cần tương thích với tất cả phiên bản của windows. Code:

Windows7:

\\.\STORAGE#Volume#_??_USBSTOR#Disk&Ven_____USB&Prod_FLASH_DRIVE&Rev_#12345000100000000173&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~*.exe

Windows Vista:

\\.\STORAGE#Volume#1&19f7e59c&0&_??_USBSTOR#Disk&Ven_____USB&Prod_FLASH_DRIVE&Rev_#12345000100000000173&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~*.exe

Windows XP, Windows Server 2003 and Windows 2000:

\\.\STORAGE#RemovableMedia#8&1c5235dc&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~*.exe

một file CPL chứa thông tin về icon của shortcut. khi explorer gọi Shell32.LoadCPLModule, các shortcut độc sẽ chạy virus. Có 2 module mở cổng lắng nghe kết nối từ bên ngoài module thứ nhất mở cổng 4678, hiện đang bị disable. có lẽ người code chưa hoàn thiện tính năng này module thứ 2 mở cổng 21, khiến máy nạn nhân thành 1 ftp server. username và password của ftp server này giống nhau, được hardcode trong virus, gồm 9 kí tự. Mình cài đặt mẫu virus này lên máy ảo trong mạng local của mình, và dùng file zilla để truy cập. Mình đưa ra kết luận, những máy tính bị virus rất có thể sẽ bị mất mát dữ liệu Ramnit kết nối tới 1 loạt server theo giao thức http để cập nhật và thực thi lệnh, chụp ảnh màn hình (? - tính năng này mình đang phân tích ) và 2 lệnh kos, dml , không hiểu để làm gì Phương án: bạn có thể dùng phần mềm diệt virus quét toàn bộ máy, nếu không thì cài lại win cho nhanh. Máy tính nhiễm lây file rồi diệt mất nhiều thời gian hơn cài lại đấy

Latest posts for the topic "Putty dính virus"

Putty dính virus

Putty dính virus

Putty dính virus

Putty dính virus

Putty dính virus

Putty dính virus