Đăng Nhập
Tìm kiếm
Top posting users this month
No user |
Thống Kê
Hiện có 1 người đang truy cập Diễn Đàn, gồm: 0 Thành viên, 0 Thành viên ẩn danh và 1 Khách viếng thăm Không
Số người truy cập cùng lúc nhiều nhất là 58 người, vào ngày Wed Aug 02, 2017 7:50 pm
Cập nhật thông tin về các "Dòng virus lây file nguy hiểm"
SeHTF :: Câu lạc bộ An ninh mạng for Security 2TVN :: Góc nhìn hệ thống by Security 2TVN :: An ninh máy tính by Security 2TVN
Trang 1 trong tổng số 1 trang
25042010
Cập nhật thông tin về các "Dòng virus lây file nguy hiểm"
+ Virus.Win32.Virut.ce:
Cách thức lây nhiễm:
Khi virus được kích hoạt, nó sẽ hook tất cả các hàm sau của các tiến trình đang chạy trên hệ thống:
o ZwDeviceIoControlFile
o ZwCreateFile
o ZwOpenFile
o ZwCreateProcess
o ZwCreateProcessEx
o ZwQueryInformationProcess
Chính vì vậy khi một tiến trình đang chạy, nếu nó gọi các hàm CreateFile để mở một file exe, scr thì file được mở cũng sẽ bị nhiềm virus. Virus sẽ kiểm tra các file, nếu tên của file bắt đầu bằng “WINC”, “WCUN”, “WC32”, “PSTO” thì virus sẽ bỏ qua và không lây nhiễm.
Cách thức phá hoại:
Sau khi hook các process trong hệ thống, virus sẽ inject một remote thread vào process winlogon.exe. Thread này sẽ kết nối vào những trang web của kẻ phát tán virus và down các phần mềm độc hại khác về máy và thực thi.
Ngoài các file có khả năng thực thi thông thường như exe, scr. Thì Virus.Win32.Virut.Ce còn tìm các file có đuôi php, asp, htm để chèn vào các iframe có chứa đường link dẫn đến các trang web độc hại mà chứa các đoạn mã nguy hiểm
Không những thế virus sẽ tìm các ổ cứng di động được gắn vào máy tính bị nhiễm và tạo các file autorun vào các ổ cứng đó.
Cách thưc biến đổi của virus:
- Thân virus được chia thành nhiều đoạn, khi lây nhiễm vào một file thì thứ tự các đoạn này sẽ được xáo trộn một cách ngẫu nhiên, do đó tạo ra các đoạn mã virus khác nhau với mỗi file bị lây khác nhau.
- Ngoài việc biến đổi code của nó virut này còn chèn thêm rất nhiều mã rác vào code thật để làm tăng khó khăn cho người phân tích.
Cách kiểm tra xem máy đã bị nhiễm virus hay chưa:
Có nhiều dấu hiệu có thể nhận biết được rằng một máy đã bị nhiễm Virut.Ce, một trong các dấu hiệu để nghi ngờ là:
- Khi bị nhiễm virus thì máy tính chậm hơn bình thường
- Cắm usb vào máy thì thấy xuất hiện các file autorun.inf
- Có thể sử dụng CodeWalker để quét các process đang chạy trong hệ thống. Nếu tất cả các process đều bị hook các hàm như đã nêu ở trên thì là máy tính đang bị nhiễm virus.
- Hiện tại CMC đang phát triển và hoàn thiện Tool diệt virus này.
Cách thức lây nhiễm:
Khi virus được kích hoạt, nó sẽ hook tất cả các hàm sau của các tiến trình đang chạy trên hệ thống:
o ZwDeviceIoControlFile
o ZwCreateFile
o ZwOpenFile
o ZwCreateProcess
o ZwCreateProcessEx
o ZwQueryInformationProcess
Chính vì vậy khi một tiến trình đang chạy, nếu nó gọi các hàm CreateFile để mở một file exe, scr thì file được mở cũng sẽ bị nhiềm virus. Virus sẽ kiểm tra các file, nếu tên của file bắt đầu bằng “WINC”, “WCUN”, “WC32”, “PSTO” thì virus sẽ bỏ qua và không lây nhiễm.
Cách thức phá hoại:
Sau khi hook các process trong hệ thống, virus sẽ inject một remote thread vào process winlogon.exe. Thread này sẽ kết nối vào những trang web của kẻ phát tán virus và down các phần mềm độc hại khác về máy và thực thi.
Ngoài các file có khả năng thực thi thông thường như exe, scr. Thì Virus.Win32.Virut.Ce còn tìm các file có đuôi php, asp, htm để chèn vào các iframe có chứa đường link dẫn đến các trang web độc hại mà chứa các đoạn mã nguy hiểm
Không những thế virus sẽ tìm các ổ cứng di động được gắn vào máy tính bị nhiễm và tạo các file autorun vào các ổ cứng đó.
Cách thưc biến đổi của virus:
- Thân virus được chia thành nhiều đoạn, khi lây nhiễm vào một file thì thứ tự các đoạn này sẽ được xáo trộn một cách ngẫu nhiên, do đó tạo ra các đoạn mã virus khác nhau với mỗi file bị lây khác nhau.
- Ngoài việc biến đổi code của nó virut này còn chèn thêm rất nhiều mã rác vào code thật để làm tăng khó khăn cho người phân tích.
Cách kiểm tra xem máy đã bị nhiễm virus hay chưa:
Có nhiều dấu hiệu có thể nhận biết được rằng một máy đã bị nhiễm Virut.Ce, một trong các dấu hiệu để nghi ngờ là:
- Khi bị nhiễm virus thì máy tính chậm hơn bình thường
- Cắm usb vào máy thì thấy xuất hiện các file autorun.inf
- Có thể sử dụng CodeWalker để quét các process đang chạy trong hệ thống. Nếu tất cả các process đều bị hook các hàm như đã nêu ở trên thì là máy tính đang bị nhiễm virus.
- Hiện tại CMC đang phát triển và hoàn thiện Tool diệt virus này.
Admin- Chủ Tịch Se S2T
- Con Giáp :
Tuổi giáp Trung Hoa :
Tổng số bài gửi : 1481
Điểm Se S2T : 88055
Sinh Nhật : 03/11/1990
Tham gia ngày : 27/08/2009
Tuổi : 33
Đến từ : Äồng Há»›i City
Sở thích : Máy tÃnh, Soft, AV....
Tính hài hước : Bình thÆ°á»ng
Huy chương
Sức mạnh:
(100/100)
Điểm SeS2T:
(50/50)
Similar topics
» Quét và xóa các virus nguy hiểm Thường ngày, chúng ta chỉ nghe về một loại virus mới và nguy hiểm
» Smart Virus Remover "Trị" 50 loại virus USB
» Hiểm họa Fake Folder hình thức không mới nhưng đang là phổ biến và rất nguy hiểm
» Thông tin cập nhật mẫu virus của CMCAV Bản MegaSecurity 2010 cập nhật ngày 23/04/2010
» Công cụ loại bỏ phần mềm nguy hiểm
» Smart Virus Remover "Trị" 50 loại virus USB
» Hiểm họa Fake Folder hình thức không mới nhưng đang là phổ biến và rất nguy hiểm
» Thông tin cập nhật mẫu virus của CMCAV Bản MegaSecurity 2010 cập nhật ngày 23/04/2010
» Công cụ loại bỏ phần mềm nguy hiểm
Permissions in this forum:
Bạn không có quyền trả lời bài viết