SeHTF
Chào mừng các bạn ghé thăm Se 2nt
Để dễ dàng trong việc tham khảo ý kiến mọi người thì các bạn cần đọc thông tin về nội quy cũng như là phải có một tài khoản cá nhân trên 4rum. Mong rằng sau một ngày làm việc căng thẳng thì Se2nt sẽ là điểm đến cho các bạn cùng giải toả stress nhé.
Nếu các bạn có vấn đề gì có thể liên hệ qua Yahoo : anhlinh01678914801 và TV để được tư vấn và hỗ trợ.
Đăng Nhập

Quên mật khẩu

Tìm kiếm
 
 

Display results as :
 


Rechercher Advanced Search

Top posting users this month

Thống Kê
Hiện có 1 người đang truy cập Diễn Đàn, gồm: 0 Thành viên, 0 Thành viên ẩn danh và 1 Khách viếng thăm

Không

Số người truy cập cùng lúc nhiều nhất là 58 người, vào ngày Wed Aug 02, 2017 7:50 pm

W32.Mytob.KC

Go down

15062011

Bài gửi 

W32.Mytob.KC





W32.Mytob.KC





11:05 | 27.05.2011







Mô tả

Khi W32.Mytob.KC hoạt động nó thực hiện các công việc sau:

- Copy chính nó thành một tệp: %System%\Phantom.exe; %Windir%\Phantom.exe

Chú ý:

%System% là chỉ thư mục system32 của win2000, winxp, win2003 hoặc chỉ thư mục system của win95, win98, winMe
%Windir là chỉ thư mục cài đặt windows thường là C:\Windows, C:\WinNT
%Temp% là thư mục temp của windows C:\Windows\Temp hoặc C:\WinNT\Temp


Thêm các giá trị

"Shell" = "Explorer.exe Phantom.exe"
"userinit" = "userinit.exe Phantom.exe"


- Vào Registry

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Tạo ra mutex để cho phép chỉ một phiên bản virus hoạt động trên máy tính nạn nhân.

[Phantom]

Lấy thông tin về địa chỉ email từ những tệp có đuôi sau: wab, .adb , .tbb, .dbx,.asp, .php, .sht, .htm, .xml, .cgi, .jsp, .txt

Tránh việc gửi chính nó tới các địa chỉ email có chứa các xâu ký tự sau:


 .gov

 .mil

 abuse

 accoun

 acketst

 admin

 anyone

 arin.

 avp

 berkeley

 borlan

 bsd

 bugs

 certific

 contact

 example

 feste

 fido

 foo.

 fsf.

 gnu

 gold-certs

 google

 gov.

 help

 tanford.e

 the.bat

 nodomai

 noone

 not

 nothing

 ntivi

 page

 panda

 pgp

 postmaster

 privacy

 rating

 rfc-ed

 ripe.

 root

 ruslis

 samples

 secur

 sendmail

 service

 site

 soft

 somebody

 someone

 sopho

 spam

 spm

 submit

 iana

 ibm.com

 icrosof

 icrosoft

 ietf

 info

 inpris

 isc.o

 isi.e

 kernel

 linux

 listserv

 master

 math

 mit.e

 mozilla

 mydomai

 no

 nobody

 unix

 usenet

 utgers.ed

 webmaster

 www

 you

 your

 support


Kiểm tra các địa chỉ máy chủ email có phần đầu như sau:


 mx

 mail

 smtp

 mx1

 mxs

 mail1

 relay

 ns

 gate


- Dùng các địa chỉ email thu thập được để phát tán chính nó.

- Mở backdoor và kết nối tới máy chủ IRC và URL SmallPhantom.3322.org và đợi lệnh tấn công từ xa của hacker.

127.0.0.1 jiangmin.com
127.0.0.1
www.jiangmin.com
127.0.0.1 Update2.JiangMin.com
127.0.0.1 Update3.JiangMin.com
127.0.0.1 rising.com.cn
127.0.0.1
www.rising.com.cn
127.0.0.1 online.rising.com.cn
127.0.0.1 iduba.net
127.0.0.1
www.iduba.net
127.0.0.1 kingsoft.com
127.0.0.1 db.kingsoft.com
127.0.0.1 scan.kingsoft.com
127.0.0.1 kaspersky.com.cn
127.0.0.1
www.kaspersky.com.cn
127.0.0.1 symantec.com.cn
127.0.0.1
www.symantec.com.cn
127.0.0.1
www.symantec.com
securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1
www.sophos.com
127.0.0.1 sophos.com
127.0.0.1
www.mcafee.com
127.0.0.1 mcafee.com
liveupdate.symantecliveupdate.com
127.0.0.1
www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1
www.f-secure.com


127.0.0.1 nai.com
127.0.0.1
www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1
www.pandaguard.com
127.0.0.1 pandasoftware.com
127.0.0.1
www.pandasoftware.com
127.0.0.1
www.trendmicro.com
127.0.0.1
www.grisoft.com
127.0.0.1
www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1
www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1
www.amazon.com
127.0.0.1
www.amazon.co.uk
127.0.0.1
www.amazon.ca
127.0.0.1
www.amazon.fr
127.0.0.1
www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1
www.moneybookers.com
127.0.0.1
www.ebay.com

Khoá không cho máy tính kết nối tới các trang web bảo mật bằng cách thay đổi thông số trong file





- Ghi lại tất cả các thao tác trên bàn phím vào tệp C:\Shell.sys 7. Dùng các địa chỉ email

- Thu thập được để phát tán chính nó.

CÁCH DIỆT

-
Tắt chế độ System Restore của hệ thống bởi vì chương trình diệt virus
không quét được thông tin trên phần Restore của Windows.


-
Xoá các khoá trong registry. Các giá trị cần xoá đã liệt kê ở trên
(Trước khi xóa registry bước quan trọng cần thiết là sao lưu trước khi
xóa)





Những gì tốt nhất chỉ có tại Se 2NT:

-------------------------------------------------------------------------------
LÆ°u ý các bạn tham gia: Chỉ các Link có sá»± đảm bảo của Se S2T má»›i có sá»± há»— trợ từ BQT khi phần mềm có sá»± cố. Hiện nay thì chỉ má»™️t số ít phần mềm ở Se S2T được mang tem này Ä‘a số các link sá»­ dụng link tại site chủ bài do vậy việc há»— trợ này chỉ áp dụng cho thành viên có từ 10 bài viết trở lên áp dụng cho mọi phần mềm.

.


Admin
Admin
Chủ Tịch Se S2T
Chủ Tịch Se S2T

Nam Con Giáp : Scorpio
Tuổi giáp Trung Hoa : Horse
Tổng số bài gửi : 1481
Điểm Se S2T : 88055
Sinh Nhật : 03/11/1990
Tham gia ngày : 27/08/2009
Tuổi : 28
Đến từ : Đồng Há»›i City
Sở thích : Máy tính, Soft, AV....
Tính hài hước : Bình thường

Huy chương
Sức mạnh:
100/100  (100/100)
Điểm SeS2T:
50/50  (50/50)

Về Đầu Trang Go down

Share this post on: diggdeliciousredditstumbleuponslashdotyahoogooglelive

 
Permissions in this forum:
Bạn không có quyền trả lời bài viết