Messages posted by: dungcoi_vb

Luận án trên khá dài và hơi mô phạm, vì vậy mình xin được phép tóm lược để mọi người tiện theo dõi.

- Trước hết mời các bạn tham khảo bài viết của chính tác giả trên tạp chí "Tin học và Điều khiển học" tại topic sau:

[Thảo luận] Cơ chế máy học chuẩn đoán virus : http://virusvn.com/forum/showthread.php?t=710

smilie

Luận án : Tiếp cận máy học và hệ chuyên gia để nhận dạng, phát hiện virus máy tính [Thầy Trương Minh Nhật Quang]

Download :

http://virusvn.com/forum/showthread.php?p=10819

@libach135 :
"Tiện" thì dùng quách mây tool rồi cứ click vô mấy cái Option rồi bấm vào nút "Make virus"
Còn nếu thích Pro. Opcode mà chơi smilie

@lacazizi

Perl là ngôn ngữ lập trình hack mạnh

tmd wrote:

Chẳng sài gì, ngoài symantec client, vì nó cũng như các phần mềm khác, xóa bớt những gì được trojan thêm vào. Filemon log hay regmon log dài như vậy, muốn quan sát cũng phài ngồi đó nhìn nó search nó. Hoặc sài một cái phần mềm so sánh mà đi so sánh kiểu như examdiff,compare it,windiff,...

Thank anh. Để em Google.

Em vẫn thắc mắc tại sao anh bị về màu trắng smilie

Backdoor có thể là 1 chức năng của worm ỏ trojan mà smilie

1. Cách thức này thì dùng cách so mã MD5 như anh tmd nói là hay hơn
2. Là ở mỗi version OS lại có 1 số byte khác biệt giữa các app -> Áp dụng hông có ổn cả MD5, so sánh byte hay size

3. Anh tmd nói đúng đó, nhiều virus nhiễm vào mà ko làm tăng size, kỹ thuật này gọi là cave code thì phải smilie

@tuuttuut : smilie

Bạn đụng chạm mình hoài, mình nộp đơn xin vào Bkis là có nhưng đâu có nhận vào làm đâu smilie

1. Mình ko thích mấy cái AV kia người ta "giải thích" như bạn nói bạn ạ
2. Nói bạn đừng buồn, Explorer với một vài File Flash của nhà mình có nhiều bị KAV báo cáo là virus theo hành vi đấy (Khi đó máy mình sạch nhé), nó cảnh báo các hành tự trích xuất fike vào hệ thống với File Flash (Định dạng exe) còn explorer cảnh cáo gì đấy tương tự smilie

3. Bạn lấy 1 tập tin setup bình thường (Các app AV cũng ok) làm thử nghiệm như với link http://www.threatexpert.com/report.aspx?md5=88c18ae09eb813273d62481deba06043
Rồi so sánh smilie

@hacktood : Chắc bạn đang ở nước ngoài hay sao bạn rành vậy bạn ơi ? :0

---
smilie

Mô Phật
pagefile.pif + lsass.exe : Hix, nhìn quen qun mà ko nhớ con nào smilie

http://www.benhvientinhoc.com/dd/index.php?showtopic=59795 : Chắc em làm theo được smilie

Thêm vài mẫu virus cho bạn ngịch nè : http://www.box.net/shared/dsqr7fkcg4
Chúc bạn vui vẻ. Thích thì vô kho Sample trên virusvn.com tải cũng có vài thứ đấy smilie

@
a-squared 4.0.0.73 2009.01.16 PHISH.FraudTool.BachKhoa.A!IK
Ikarus T3.1.1.45.0 2009.01.16 PHISH.FraudTool.BachKhoa.A

Hai chú này nói là Bkav là dân lừa đảo -> hix, em ko tin

eSafe 7.0.17.0 2009.01.15 Suspicious File
McAfee 5496 2009.01.15 New malware.jm
McAfee+Artemis 5496 2009.01.15 New malware.jm
SecureWeb-Gateway 6.7.6 2009.01.16 Win32.Malware.gen!84 (suspicious)
Sunbelt 3.2.1835.2 2009.01.16 VIPRE.Suspicious

Nhận dạng theo hành vi -> Dek tính, vì nó chỉ là kiểu "chẩn đoán" chứ ko phải khẳng định.

http://www.threatexpert.com/report.aspx?md5=88c18ae09eb813273d62481deba06043 : Mở mấy tập tin cài đặt mấy chương trình cũng na ná hay nhiều nhiều info vậy mà smilie

http://www.jeteye.com/jetpak/aa8ea086-5599-4970-b9b3-4a2ff625eb07/ : Cú này thì em công nhận đúng thật smilie

ubuntu_gnu.linux wrote:

dungcoi_vb wrote:

2. Nếu em ko nhầm thì phần core tiến hành Scan file -> Kill nó thì quá trình scan file tê liệt

Em thấy kill xong nó lại sinh lại ngay tức thì mà (trừ khi dùng lệnh "net stop cmcis").

nó sinh lại nhưng việc quét virus (nếu đan xảy ra) đã kết thúc

hôm trước em mạo muội sài thử, sau đây là ý kiến của em :

A. Good :
1. Các file cảnh báo tự tạo thêm Tab vào Properties rất hay
2. Scan nhận dạng rất tốt
3. Chạy đơn giản (Dù hơi khó chịu phần Select thư mục), giao diện dễ sài.
4. Ít tốn memory

B. Bad :

1. Nhận dạng Heur nhầm lũ khũ smilie

2. Nếu em ko nhầm thì phần core tiến hành Scan file -> Kill nó thì quá trình scan file tê liệt smilie

Em chỉ biết chừng đó hà.

jofori89 wrote:

Có thể tìm cuốn Virus tin học huyền thoại và thực tế đọc thử xem.

http://www.box.net/shared/8v3g468ys4 : virus hthtt

Coi List ở đây nè : http://virusvn.com/forum/showthread.php?t=9

Mình dùng soft thông thường là ProcessXP có tính năng Verify Image Sign cũng có thể lọc ra những dll inject. Nhưng tính năng này khá chậm, đôi lúc làm đứng chương trình.

Hey.
Bài hướng dẫn chi tiết ở đây ;
http://virusvn.com/forum/showthread.php?t=228

Google luke nhé smilie

thấy cái topic này từ hồi nó mới được tạo. Sau đó là bài post của congminh.
Hôm nay vào lại thì số bài là 18 smilie

, nhiều ghê.

congminh923 wrote:

Theo luật hình sự, đồng phạm cũng nặng tội lắm, cho em "bình an" với.

Nghe sợ quá. Tớ đã xóa link rồi. Thật ra con worm này chỉ chui vào ổ C:\ thôi. Protect = Themida thì con worm từ 20 Kb thành mấy MB luôn.

Tui biết có một giáo trình cho viết Microsoft windows worm made in Viet Nam by young Vietnamese Hungry for Fame, tựa đề là "google.com.vn" cho dân viết worm bằng VB sành điệu. (không biết có đúng không nữa)

Bạn nói tui phải không? À, mà tên nick của bạn lạ quá. Sao tui thấy nó giống Themida Project (*.tmd).

sorry, mình đọc bài viết của bạn ko hiểu gì ráo. Bạn to và rõ hơn cho mình hiểu dc ko smilie

@tmp : Anh ưi, sách anh nói em google ko thấy smilie

http://www.box.net/shared/8v3g468ys4

Good luke smilie

Mình chỉ mới tiếp xúc với 2 con phát nhạc.
Một con là Mixa, một là LottoVN
Bạn đọc cách diệt từng con ở đây :
[Hướng dẫn] Diệt virus Mixa : http://virusvn.com/forum/showthread.php?t=186
[Hướng dẫn] Con virus phát nhạc (Lotovn.worm) : http://virusvn.com/forum/showthread.php?t=126

https://forums.symantec.com/syment/blog/article?message.uid=305325
Hay thật, thay vì đính kèm luôn vài email lại sử dụng lỗ hổng từ Windows Media để nhiễm vào máy nạn nhân : Microsoft Windows Media Player Plugin Buffer Overflow Vulnerability

https://forums.symantec.com/syment/blog/article?message.uid=305327
-
When applet.exe runs, it first makes a copy of itself as spooldr.exe in the Windows folder, and drops an embedded kernel driver in the System folder, as spooldr.sys. It also tries to infect a Windows device driver named kbdclass.sys. This is the loadpoint used by Peacomm. During the next reboot, the infected driver is loaded by Windows, as it should be—its role is to load spooldr.sys.

Spooldr.sys has several functionalities, and uses smart tricks to achieve its goals. First, it acts as a loader for the real Trojan, spooldr.exe, located in the Windows folder. To do that, it injects a shellcode-like routine in explorer.exe, responsible for creating a spooldr.exe process. The loading scheme is very clever: first, the driver locates kernel32 in memory by resolving the address of CloseHandle, and checking for the MZ magic around this value. It then resolves two APIs, VirtualProtect and WinExec. It builds and injects a small payload in explorer.exe, and hooks the import entry for PeekMessageW, an API frequently used by windowed applications (like Explorer). The hook points to the payload, so that when explorer calls PeekMessageW, it will be executed. The first thing the payload does is to unhook this import entry; it then creates the spooldr.exe process. The routine then jumps to the real PeekMessageW code to ensure normal application behavior – and to avoid crashing Explorer! This way, the threat does not have to create a remote thread in Explorer, a technique commonly used by middle-class malware and monitored by some security software.

It’s also responsible for hiding the newly created spooldr process, as well as any file beginning with spooldr (this is done by hooking the ZwQueryDirectoryFile system call). This way, the three files used by the Trojan – spooldr.exe, spooldr.sys and spooldr.ini, the peers list – will be hidden from the user’s eye.

The rootkit also protects the Trojan from third-party security software, such as firewalls or anti-virus. A kernel callback is setup, via PsSetLoadImageNotifyRoutine, to track process creation and eventually kill malware-unfriendly ones. It also locks two files, ntoskrnl.exe (the Windows kernel) and kbdclass.sys (the infected Windows driver). It seems the purpose of these locks is to prevent rootkit detectors to work, by forbidding them to open critical system files – and check differences with the ones loaded in memory, tampered with by the rootkit.

Though Peacomm functionalities haven’t changed, the mode of infection has been improved. The registry is now not used as a loading point, as Peacomm uses virus-like techniques to get its payload loaded by the system at startup.
-

smilie

[Hướng dẫn] Diệt virus Mixa : http://virusvn.com/forum/showthread.php?t=186
[Hướng dẫn]Khắc phục hiện tượng LogOff khi khởi động : http://virusvn.com/forum/showthread.php?t=194

Good luck

Merc wrote:

Buồn tình, ngồi nghịch, thấy luôn bạn dungcoi trong sig virr của Bit. Ngưỡng mộ ngưỡng mộ :

dungcoi.DL DL3tFontData SHELL33ÀŽØúŽÐ¸ |‹ P33ÀŽØúŽÐ¸ |‹àû P3¡—AD Áà£›AD WQ3 ....

Không biết con này là con nào của bạn Dũng còi nhỉ ...

bị AV nó túm cổ vô sign thì có chi mà "ngưỡng mộ" smilie

có thứ cóc nhái nào mà AV nó biết mà ko update đâu smilie

hoatle wrote:

e052b312a4ffd838e2ea4016096e40ca = C:\WINNT\TEMP\FX9D3D.EXE

@Cảm ơn Tool Tuyệt vời này của bác Hoàng.
@Hoatle : Bạn Copy mẫu này, nén lại up lên host nào đó để các bạn khác cùng nghiên cứu

http://virusvn.com/forum/showthread.php?t=61

Chúc bạn may mắn

1. ProcessXP Suspend từng process (Ko được Kill đấy)
Chỉ bắt nó đứng im thôi nhé
2 process đó là : 1.exe và 2000.exe
2. Sử dụng công cụ IceSword chỉnh lại giá trị gốc của key trong Registry ở
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\( Default) : "%1" %*
Chỉnh lại khóa UserInit và Shell trong registry.
3. Bật Autoruns xóa 2 key có path là 1.exe và 200.exe
4. Dùng http://www.bkav.com.vn/home/Download/FixAttrb.exe
Phục hồi tất cả tập tin-thư mục bị ẩn.
5. Dùng tính năng Search có sẵn của Windows Explorer để tìm tụi .exe có hình thư mục.
Del sạch
6. Total Comamader Kill sạch tụi autoruns.inf, loto.exe

7. Nhìn sơ qua.

Bản full bài viết : http://virusvn.com/forum/showthread.php?p=432#post432

http://virusvn.com/forum/showthread.php?t=61
Chúc bạn may mắn

Nhờ mod xáo dùm, bài viết trùng. mạng chậm quá nên ấn lộn

Nhờ mod xóa dùm, bài viết trùng. mạng chậm quá nên ấn lộn

Nhờ mod xóa dùm, bài viết trùng. mạng chậm quá nên ấn lộn

phongvan_khtn wrote:

@dungcoi_vb: phải nhóc dũng còi K07 bên toantin.org ko?

Okie, It's me
Uả, anh cũng là thành viên toantin.org à ?

Dấu hiệu :
1. Tạo file autoruns.inf (File này được thiết lập chế độ ẩn) trong USB với nội dung :
[AutoRun]
open=Secret.exe
;shell\open=Open(&O)
shell\open\Command=Secret.exe
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=Secret.exe
2. Sẽ thấy có sự xuất hiện của File Secret.exe trong USB ở thư mục gốc (Tập tin này ẩn), và file phimnguoilon.exe ở một thư mục con bất kỳ nào trong USB (Thư mục này không bị ẩn)
3. Xuất hiện 2 process lạ với những cái tên “không lạ” :

4. Xuất hiện những thay đổi trong key khởi động quan trọng là UserInit:

Tiêu diệt :
Cách 1 :
Dùng ProcessXP, Suspend cả 2 tiến trình userinit.exe và system.exe (Bạn đừng nhầm với các tiến trình hệ thống nhé, 2 tiến trình này có Icon giả Icon thư mục và có các path là : C:\windows\userinit.exe và c:\windows\system32\system.exe )

Okie. Sau đó bạn Kill từng tiến trình (Nhấn chuột phải và chọn Kill Process)

Bạn cũng có thể dùng các phần mềm cho phép kill cùng lúc nhiều tiến trình như Simple Kill Process (Bạn có thể tìm thấy trên VirusVN.com) hoặc PrcViewer để thực hiện việc này.

Khôi phục dữ liệu :
Do virus này ko thay đổi giá trị làm ngăn việc truy cập registry nên bạn vẫn có thể truy cập vào đây để chỉnh sửa nó :
Bạn chọn Start -> Run... -> regedit -> Bạn tìm địa chỉ : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, với nhãn UserInit và chỉnh sửa lại với gia trị là : c:\windows\system32\userinit.exe

Cách 2:
http://dungnguyenle.googlepages.com/QuickRemove.zip
Tài nó về, bạn Browse đến file Secret.qrd lưu trong thư mục Sample
Chọn Remove là Okie

Nếu máy bạn báo thiếu thư viên thì tải tập tin sau về và giải nén :
http://dungnguyenle.googlepages.com/Control.zip

Sau đó bạn có thể xóa các tập tin virus trong hệ thống (Nếu muốn). Và phục hồi các thuộc tính khác của hệ thống bằng VNFix (Bạn có thể tìm trên VirusVN.com)

Good Luke

mới test
vnAV vẫn nhận dạng được process khi bạn dùng phần mềm này ẩn process ấy đi smilie

Thậm chí nếu bạn dùng vnAV để quét hệ thống thì nó còn nhận ra file để HideProcess của chương trình này tạo trong thư mục hệ thống smilie