Đăng Nhập
Tìm kiếm
Top posting users this month
No user |
Thống Kê
Hiện có 3 người đang truy cập Diễn Đàn, gồm: 0 Thành viên, 0 Thành viên ẩn danh và 3 Khách viếng thăm Không
Số người truy cập cùng lúc nhiều nhất là 58 người, vào ngày Wed Aug 02, 2017 7:50 pm
Virus.Win32.Virut.ce
SeHTF :: Câu lạc bộ An ninh mạng for Security 2TVN :: Góc nhìn hệ thống by Security 2TVN :: An ninh máy tính by Security 2TVN :: Thông tin cập nhật Top Virus by Security 2TVN
Trang 1 trong tổng số 1 trang
22052010
Virus.Win32.Virut.ce
Virus.Win32.Virut.ce |
|
Cách thức lây nhiễm: Khi virus được kích hoạt, nó sẽ hook tất cả các hàm sau của các tiến trình đang chạy trên hệ thống: o ZwDeviceIoControlFile o ZwCreateFile o ZwOpenFile o ZwCreateProcess o ZwCreateProcessEx o ZwQueryInformationProcess Chính vì vậy khi một tiến trình đang chạy, nếu nó gọi các hàm CreateFile để mở một file exe, scr thì file được mở cũng sẽ bị nhiềm virus. Virus sẽ kiểm tra các file, nếu tên của file bắt đầu bằng “WINC”, “WCUN”, “WC32”, “PSTO” thì virus sẽ bỏ qua và không lây nhiễm. Cách thức phá hoại: Sau khi hook các process trong hệ thống, virus sẽ inject một remote thread vào process winlogon.exe. Thread này sẽ kết nối vào những trang web của kẻ phát tán virus và down các phần mềm độc hại khác về máy và thực thi. Ngoài các file có khả năng thực thi thông thường như exe, scr. Thì Virus.Win32.Virut.Ce còn tìm các file có đuôi php, asp, htm để chèn vào các iframe có chứa đường link dẫn đến các trang web độc hại mà chứa các đoạn mã nguy hiểm Không những thế virus sẽ tìm các ổ cứng di động được gắn vào máy tính bị nhiễm và tạo các file autorun vào các ổ cứng đó. Cách thưc biến đổi của virus: - Thân virus được chia thành nhiều đoạn, khi lây nhiễm vào một file thì thứ tự các đoạn này sẽ được xáo trộn một cách ngẫu nhiên, do đó tạo ra các đoạn mã virus khác nhau với mỗi file bị lây khác nhau. - Ngoài việc biến đổi code của nó virut này còn chèn thêm rất nhiều mã rác vào code thật để làm tăng khó khăn cho người phân tích. Cách kiểm tra xem máy đã bị nhiễm virus hay chưa: Có nhiều dấu hiệu có thể nhận biết được rằng một máy đã bị nhiễm Virut.Ce, một trong các dấu hiệu để nghi ngờ là: - Khi bị nhiễm virus thì máy tính chậm hơn bình thường - Cắm usb vào máy thì thấy xuất hiện các file autorun.inf - Có thể sử dụng CodeWalker để quét các process đang chạy trong hệ thống. Nếu tất cả các process đều bị hook các hàm như đã nêu ở trên thì là máy tính đang bị nhiễm virus. - Hiện tại CMC đang phát triển và hoàn thiện Tool diệt virus này. |
BS Se S2T- Chuyên viên an ninh Se S2T
- Con Giáp :
Tuổi giáp Trung Hoa :
Tổng số bài gửi : 797
Điểm Se S2T : 115494
Sinh Nhật : 03/11/1990
Tham gia ngày : 29/04/2010
Tuổi : 33
Đến từ : Thành Phố Hoa Hồng
Huy chương
Sức mạnh:
(100/100)
Điểm SeS2T:
(35/50)
Similar topics
» How to disinfect my computer from Virus.Win32.Sality 1.3.4.0
» How to disinfect a PC from Virus.Win32.Virut.ce, q (1.0.6.0)
» How to disinfect a PC from Virus.Win32.Virut.ce - Làm sao để xực con Virus.Win32.Virut.ce khỏi máy tính
» How to disinfect computer from the virus Win32.FunLove? - làm sao xực con Win32.FunLove ra khỏi máy tính
» Virus.Win32.Sality.Og
» How to disinfect a PC from Virus.Win32.Virut.ce, q (1.0.6.0)
» How to disinfect a PC from Virus.Win32.Virut.ce - Làm sao để xực con Virus.Win32.Virut.ce khỏi máy tính
» How to disinfect computer from the virus Win32.FunLove? - làm sao xực con Win32.FunLove ra khỏi máy tính
» Virus.Win32.Sality.Og
Permissions in this forum:
Bạn không có quyền trả lời bài viết