DefaceVR Tailong DFVr 1. Các ví dụ 1.1. Mixa 1.2. Worm.Win32.AutoRun.eee(Global.exe) 1.3. Gaobot 1.4. Backdoor.CAY 1.5. Hacker Defender 1.6. Look2Me 1.7. Small Dropper/Qoologic Thay lời kết - Tham khảo DefaceVR Tailong DFVr 1. Các Ví dụ 1.1. Mixa Con virus này sẽ làm những việc sau Làm ẩn hệ thống. Tạo khóa autorun.inf Chạy các dịch vụ Con virus này sẽ tạo ra các file c:\Autorun.inf %System%\restart.scf %AppData%\Microsoft\Windows Media\9.0\WMSDKNSD.XML c:\Mixa_I.exe %Windir%\Mixa.exe %System%\systemio.exe %System%\mui\0416\log.mp3 Với %System% là thư mục c:\windows Chạy lệnh tasklist từ cửa sổ dòng lệnh CMD sẽ thấy Khi chạy lệnh Wmic process list sẽ thấy ñường dẫn của con virus DefaceVR Tailong DFVr Và ñây là khi chạy lệnh wmic process list brief Dưới ñây là sử dụng Process Explorer ñể hiện thông tin về nó (và ta có thể chuột phải chọn tiến trình ñó và Kill luôn) DefaceVR Tailong DFVr ðây là sử dụng ICESword ñể hiện nó(ta có thể tắt tiến trình ñó luôn bằng cách chọn Terminate Process) Rồi ta chạy Autoruns ñể kiểm tra xem còn khóa nào khởi chạy trong Regedit hay không, và tìm ñường dẫn của file chứa trong khóa regedit ñó. DefaceVR Tailong DFVr Nhìn Autoruns ta thấy có 2 khóa ñược virus tạo thành là userinit và khóa Run. Nhìn ñường dẫn thì thấy có một file khác ngoài file mixa.exe(nằm trong c:\windows) là file systemio.exe(nằm ở c:\windows\system32) Hoặc ta có thể sử dụng công cụ wsyscheck ñể kiểm tra toàn diện + kill + xóa Dưới ñây là xem tiến trình chạy rồi kill Selected Process luôn Tiến ñến bạn nhẩy ñến tab Safe Check Active File ñể kiểm tra còn có file nào ñược khởi chạy từ regedit nữa không. Ta thấy rõ 4 file là 2 file autorun.inf, và 2 file thực thi mixa.exe, systemio.exe  Khi ñã Kill Process thì bạn hãy chọn Fix DefaceVR Tailong DFVr Rồi bây giờ tới bước xóa các file ñó. Bạn nhẩy tới tab Explorer kiểm tra các nơi chính ñể phát hiện file ẩn C:\, C:\windows, D:\, c:\windows\system32 Kiểm tra C:\ thấy file autorun.inf và mixa_l.exe chuột phải vào Flush Delete ngay. Cũng tương tự ta kiểm tra ổ D cũng thấy 2 file là autorun.inf, mixa_l.exe Tiếp ñến ta kiểm tra ở C:\windows thấy ngay file mixa.exechọn Flush Delete luôn DefaceVR Tailong DFVr Kiểm tra C:\windows\system32 (bạn tích chọn Only Show Hide Files chỉ xem những file ẩn) Ta thấy ngay chú systemoio.exe -Flush delete ngay Thế là chú Mixa này teo Bước nữa là bạn vẫn chạy Wsyscheck vào menu Tools ñể sửa lại việc ẩn(Fix Hide File Show), sửa lại chế ñộ safe mode(Fix Boot Safe Mode), dọn dẹp các file trong temp(Clear Temp File), xóa các file autorun.inf ở các ổ ñĩa ñi(Clear Autorun.inf) Và khởi ñộng lại máy DefaceVR Tailong DFVr Xem thêm ở ñây http://www.threatexpert.com/report.aspx?uid=21a19a21-1222-439f-a537-02ced0271a2a http://vil.nai.com/vil/content/v_150495.htm 1.2. Worm.Win32.AutoRun.eee (Global.exe) Con này hàng Trung Quốc Các file nó tạo ra là c:\MS-DOS.com C:\Windows\Fonts\Fonts.exe C:\Windows\Fonts\tskmgr.exe C:\Windows\Help\microsoft.hlp C:\Windows\Media\rndll32.pif C:\Windows\pchealth\Global.exe C:\Windows\pchealth\helpctr\binaries\HelpHost.com C:\Windows\system\KEYBOARD.exe C:\Windows\system32\dllcache\Default.exe C:\Windows\system32\dllcache\Global.exe C:\Windows\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe C:\Windows \system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe C:\Windows\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe C:\Windows\system32\dllcache\svchost.exe C:\Windows\system32\drivers\drivers.cab.exe C:\Windows\system32\regedit.exe Chạy lệnh wmic process list ở cửa sổ dòng lệnh ta thấy DefaceVR Tailong DFVr Còn nếu ta sử dụng lệnh Tasklist sẽ rất khó nhìn và phát hiện ñường dẫn. Vì nó có tiến trình svchost.exe trùng tên với tiến trình hệ thống Con virus này không cho chạy các chương trình như autoruns, processxp. Chỉ ñơn thuần là thực thi việc khởi chạy file virus từ file autoruns, processxp… ở khóa Image File Execution Options chứ chưa thực thi sâu vào. Ta nghĩ ñến việc thay tên chúng (thay autoruns thành tên khác như testtt1, thay processxp thành testt2 chẳng hạn). Chỉ khi nào virus cấm chạy chương trình thực thi ở khóa (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options) thì ta mới có thể thay tên ñể chạy tiếp. Còn có nhiều cách cấm chạy một chương trình khác Sau ñó ta chạy Process explorer. Chọn Viewchọn Select column tích vào chọn Verified Signer(xác minh chữ ký) và chọn Image Path(xem ñường dẫn). Và vào (Options  chọn Verify Images Signatures) Nhìn vào hình dưới ta sẽ thấy có các tiến trình ñang chạy là keyboard.exe, fonts.exe, Global.exe, system.exe, Svchost.exe với các ñường dẫn khác lạ nằm ngoài ñường dẫn hệ thống chính, và không ñược xác minh chữ ký. Vì ñây có nhiều tiến trình chạy cùng lúc nên ta chọn phương pháp tạm dừng tiến DefaceVR Tailong DFVr trình(Suspend). Khi tạm dừng tiến trình thì tiến trình ñó sẽ chuyển sang màu nâu như hình dưới mình ñã tạm dừng tiến trình Ta sử dụng tiếp ICESword ñể xem thế nào [...]... • Thay ñ i ng d ng d a trên các tool ñã ñư c s d ng Xem thêm ñây http://www.ca.com/us/securityadvisor/virusinfo /virus. aspx?id= 432 64 Các ti n trình ‘Closes’ khi m Process Explorer Tailong DFVr DefaceVR ðúng như là Process Explorer m thì ti n trình c a virus ‘closes’ ðây là cách thay ñ i – ti n trình virus v n ñang ch y nhưng nó b n M t file DLL ñư c tiêm nhi m vào trong process explorer Tailong DFVr... http://www.threatexpert.com/report.aspx?md5=14710877a18cd8c6700927e8de0708dc http://www.hacker-soft.net/article/article/47/ 232 .html 1 .3 Gaobot Gaobot/Agobot là m t công c bot IRC mã m ñư c thi t k ñ lây lan qua nhi u máy s d ng Windows Ngu n Gaobot là cơ s cho h Phatbot c a h th ng bots – m t s h u h t ñư c tích h p công ngh bot s d ng qua IRC Gaobot có m t vài công ngh ch ng l i vi c remove mà ñư c tích h p tinh vi hơn worm Anti-Removal techniques: Công ngh ch... • Có th n các ti n trình • Có th n các khóa regedit • Có th n các c ng TCP/UDP • Có th n ñĩa mà ñư c s d ng Tailong DFVr DefaceVR Thông tin thêm: http://www.threatexpert.com/report.aspx?md5=a310a5acc8873dd79eae9 737 4bc18dc2 Process Explorer không nhìn th y gì c Và thư ng xuyên x y ra thông báo l i IceSword hi n m t vài ti n trình n Tailong DFVr DefaceVR Có nhi u ti n trình không th hi n th trong Process... các file và ti n trình c a nó Backdoor.CAY s d ng m t vài công ngh ngăn c n n và ngăn c n remove Công ngh ch ng l i remove (anti-removal) • Tiêm DLLs vào Explorer • n ti n trình ch y chính n thư m c và file t Explorer • Thông tin thêm: http://vil.nai.com/vil/content/v_101 037 .htm Xem nh ng file DLL ñã b infect (tiêm nhi m) Tailong DFVr DefaceVR Ch ra rõ ràng vi c tiêm nhi m các file DLL vào ti n trình... ñư ng d n trên Sau khi ñã t t ñư c các ti n trình r i thì b n có th nhìn vào các ñư ng d n trên và tìm ñ n xóa các file ñó ñi Ho c ta ch c n dùng công c wsyscheck Tailong DFVr DefaceVR Xem ti n trình - tích ch n nh ng ti n trình mu n t t r i t t cùng lúc R i nh y ñ n tab Explorer vào các khóa chính tìm các file exe, vbs, com, hlp n, và xóa ñi (ch hi n nh ng file n t c là tích ch n ch ñ Only Show Hide...DefaceVR Và ta th y các ti n trình c a virus cũng ñư c ICESword hi n ra r t rõ ràng (v i bi u tư ng thư m c và bi u tư ng bàn tay chia s ) Ti p ñ n ta ch c n gi CTRL và ch n các ti n trình mu n t t r i ch n Terminate Process th là các ti n... Look2Me s d ng vi c gán thêm m t khóa G b t t c các quy n ưu tiên Tailong Notify khi Winlogon b t ñ u kh i ch y khóa Notify DFVr DefaceVR 1.7 Small Dropper/Qoologic Qoologic là m t trong s các chương trình virus qu ng cáo ph c t p lây nhi m qua Internet Nó tiêm nhi m các file DLL vào trong m i ti n trình c a ngư i dùng Nó cũng n các ti n trình khác c a nó và các file c a nó B i vì m i ti n trình s th c thi... hi n th t Autoruns Tailong DFVr DefaceVR ðây là cách mà Gaobot kh i ch y khi boot vào máy tính(phương pháp s d ng d phòng nh m m c ñích tái t o l i) D ch v c a con Gaobot ñư c hi n t c a s Services Snap-In M t khóa ñư c hi n trong d ch v c a con Gaobot T m d ng(Suspend) Gaobot Tailong DFVr DefaceVR Ch n Suspend(T m d ng) ñ d ng ti n trình Gaobot ñang ch y mà chưa gi t nó ði u này cho phép ta remove d . C:Windowssystem32dllcacheRecycler.{645FF04 0-5 08 1-1 01B-9F0 8-0 0AA002F954E}Global.exe C:Windows system32dllcacheRecycler.{645FF04 0-5 08 1-1 01B-9F0 8-0 0AA002F954E}svchost.exe C:Windowssystem32dllcacheRecycler.{645FF04 0-5 08 1-1 01B-9F0 8-0 0AA002F954E}system.exe. http://www.threatexpert.com/report.aspx?uid=21a19a2 1-1 22 2-4 39 f-a 53 7-0 2ced0271a2a http://vil.nai.com/vil/content/v_150495.htm 1.2. Worm.Win32.AutoRun.eee (Global.exe) Con này hàng Trung Quốc Các file nó tạo ra là c:MS-DOS.com. C:Windowssystem32dllcacheRecycler.{645FF04 0-5 08 1-1 01B-9F0 8-0 0AA002F954E}system.exe C:Windowssystem32dllcachesvchost.exe C:Windowssystem32driversdrivers.cab.exe C:Windowssystem32 egedit.exe Chạy