English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Virus làm hỏng driver sound, driver máy in hay tự dưng lỗi  XML
  [Discussion]   Virus làm hỏng driver sound, driver máy in hay tự dưng lỗi 25/09/2009 06:48:13 (+0700) | #1 | 193928
[Avatar]
 kekhocdoi
Member
[Minus]    0    [Plus]
Joined: 15/09/2009 09:45:05
Messages: 168
Offline
[Profile] [PM] [Email] [Yahoo!]
Khi làm việc ở máy cơ quan mình phát hiện thấy thông báo lạ:
http://picasaweb.google.com/lh/photo/sfgwjoFRlFQOqH5r9bNpXw?feat=directlink
Ban đầu nghĩ là chỉ là một lỗi thông thường tắt đi xem như không có gì xảy ra, lại tiếp tục làm việc như thường. Tuy nhiên hôm sau khi đến cơ quan mới biết là loa ngoài của máy đó không nghe được. Mình đã kiểm tra device manager lạ thay thấy vẫn bình thường. Click vào biểu tượng loa dưới taskbar thấy báo lỗi. Mình vào xem xét nó trong control panel và phát hiện mục volume bị ẩn. Quyết định cài lại driver loa lại nghe được. Vài hôm sau lại mất tiếng và lần này thì máy in không hoạt động được nữa. Kiểm tra kết nối thấy không vấn đề. Hôm sau vào khởi động lại máy lúc nào cũng thấy cái thông báo yêu cầu cài driver.
Chụp vài cái Task manager xem qua: Dài quá phải chụp 2 cái
http://picasaweb.google.com/lh/photo/a12Ud257ySb3ymY4z_psiw?feat=directlink
http://picasaweb.google.com/lh/photo/-C--103QTxI3t_TOl7PxnQ?feat=directlink

Nhìn vào task mục application thấy chập chờn safesys (nghe nói đây là một con virus không biết thế nào). Kiểm tra registry, policy, msconfig vẫn vào được bình thường.
Sáng nay lục tìm các web vào google gõ:" Virus làm hỏng driver" và có được một số ý kiến đáng chú ý. Người nói là KIDO, người nói là safesys còn có nhiều người còn nói là do kavo.exe. Hix thấy tất cả đều khuyên cài lại Win nhưng có lẽ điều này không được vì mình không có thẩm quyền. Mình thực sự băn khoăn không biết là nhiễm virus gì đây và tính năng của nó là gì, có thể nào nhận ra nó được không? Mọi người ai biết gì về con này cùng nhau thảo luận giúp mình với nhé. Nhìn vào ảnh task và cho mình biết tại sao cùng là svchost.exe mà lại có cái không nằm cùng với những cái kia? đó có phải là virus không vì mình vẫn end nó được mà không hề bị lỗi phải khởi động lại máy giống mấy cái svchost.exe thông thường. Mong mọi người đóng góp ý kiến và giúp đỡ mình tìm giải pháp tối ưu.






Rất vui được làm quen, học hỏi, trao đổi,.. với tất cả mọi người
[Up] [Print Copy]
  [Discussion]   Virus làm hỏng driver sound, driver máy in hay tự dưng lỗi 25/09/2009 08:02:29 (+0700) | #2 | 193935
[Avatar]
 lacazizi
Member
[Minus]    0    [Plus]
Joined: 03/03/2009 19:58:22
Messages: 87
Offline
[Profile] [PM]
Hiện tại Virus làm hỏng Driver như bạn nói thì rất nhiều, không thễ xác định được nếu ko có mẫu. Các ý kiến trên có thễ là đúng, nếu là safesys thì virus có khả năng qua mặt deepfreeze nhưng phải cần quyền admin, quyền limit thì virus này cũng chịu thua.

Quá trình tấn công của virus :
- Tạo ra file "Program Files\sNiu.dll". Sau đó dùng Rundll32 để kích hoạt file này với Entry Point là MyDllEntry. Mình cũng chưa rõ tác dụng của dll này để làm gì.
- Tạo ra một driver với tên ngẫu nhiên và phần mở rộng là ".tmp", nằm trong thư mục "DOCUMENTS AND SETTINGS\<UserName>\LOCAL SETTINGS\Temp". Driver này được đăng ký với tên là DogKiller. Đây là driver chủ chốt của virus. Virus sử dụng driver này để ghi file trực tiếp lên ổ cứng và qua mặt DeepFreeze.
- Tạo ra một driver với tên ngẫu nhiên, phần mở rộng là ".fon" và copy vào thư mục "windows\Fonts". Driver này có mục đích hỗ trợ driver chính.
- Từ mức driver, virus tạo file autorun.inf và copy chính nó vào các ổ đĩa. Sau đó nó copy thêm một bản nữa vào "Program Files\Common Files". Đây là file mà virus đăng ký chạy cùng win với khoá "HKLM\Software\Microsoft\Windows\CurrentVersion\Ru n"
- Cũng từ driver, virus sửa lại nội dung của file "Windows\System\spoolsv.exe". Đây là dịch vụ quản lý share máy in của win. Khi đã kiểm soát được dịch vụ này, virus có thể lây lan rất nhanh qua mạng LAN, bởi vì đa số mạng LAN đều xài máy in share. Ngoài ra, virus còn lợi dụng spoolsv để gọi lại nó trong trường hợp bị kill.
- Đăng ký một lô các khoá "Image Execution Options" để chặn các av nổi tiếng và các tool như IceSword, Autoruns, ....

Còn con Kido như bạn nói trên là Conficker hiện nay.
[Up] [Print Copy]
  [Discussion]   Virus làm hỏng driver sound, driver máy in hay tự dưng lỗi 25/09/2009 19:08:41 (+0700) | #3 | 193977
[Avatar]
 kekhocdoi
Member
[Minus]    0    [Plus]
Joined: 15/09/2009 09:45:05
Messages: 168
Offline
[Profile] [PM] [Email] [Yahoo!]
Cảm ơn bạn.
Nhìn vào ảnh task có 1 svchost.exe sao nó không nằm cùng vùng với những cái kia? đó có phải là virus không vì mình vẫn end nó được mà không hề bị lỗi phải khởi động lại máy giống mấy cái svchost.exe thông thường.  
Rất vui được làm quen, học hỏi, trao đổi,.. với tất cả mọi người
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|