Đăng Nhập
Tìm kiếm
Top posting users this month
| No user |
Thống Kê
Hiện có 2 người đang truy cập Diễn Đàn, gồm: 0 Thành viên, 0 Thành viên ẩn danh và 2 Khách viếng thăm Không
Số người truy cập cùng lúc nhiều nhất là 58 người, vào ngày Wed Aug 02, 2017 7:50 pm
Phân tích chi tiết về Conficker Worm
SeHTF :: Câu lạc bộ An ninh mạng for Security 2TVN :: Góc nhìn hệ thống by Security 2TVN :: An ninh máy tính by Security 2TVN
Trang 1 trong tổng số 1 trang
22052010
Phân tích chi tiết về Conficker Worm
Phân tích: Conficker Worm
Vài website của nó:
hgetmyip.org
getmyip.co.uk
checkip.dyndns.org
whatsmyipaddress.com
ahayw.info
ajcminmqpeu.com
anosb.biz
aqgcurmt.net
bdfbobhuls.com
bjmqxoxbmyq.org
bszeu.info
cfcpreiwtgx.net
cpfgbuwqv.biz
cukpubgb.net
dconkp.com
dpxzsrjhsn.org
dtyqryfi.biz
dviwvh.net
dwmpveim.info
dxnlypjjxp.biz
eaguzulxdr.org
ekrohmqa.info
eoblibwqaig.info
epvzvuah.info
ethogxkt.net
euwqeixq.biz
exxcpxm.net
eyjayqmwxxo.org
ezhvnjlvuk.org
fdzwsak.net
gatkcy.org
gceqy.info
ggcnqnr.info
gkmdbporqmp.biz
gmtgpb.org
guiahproe.info
gxepchol.net
gztql.net
haqrcz.com
hkqrhqev.com
hndrijmu.org
hvxmlcc.org
idahdfyojhz.com
ipbdwihw.info
iquvtfhm.net
irhtphctgn.com
ivouyvxaf.net
jfvyipo.info
jhhwydtk.com
jjbuafs.info
jptplynb.org
jutsyu.com
kagvjo.com
kfzksydrct.org
khvdkdjnrhr.biz
ktivtbse.net
lbori.com
ltxbrwfosrg.net
mhjhb.com
mtqcpiwod.biz
nsjmewgdb.com
ntshnjyxfh.net
nxphotp.com
ocykqj.biz
oenjrcaly.net
oororgpkbp.com
ozlqvnkiq.net
palrw.org
pmotqmf.com
pvuxb.info
qffszcfgyzn.org
qfoilcqp.com
qjafgfp.net
rfduzjbztg.biz
riuvunis.info
rlbidexd.org
rntbogfz.biz
rtkrhxsp.biz
ruolomicarp.org
rxytvgkapvw.biz
safxg.net
sdxkcnzcvhd.org
shbyxebiec.biz
srsoeggve.org
tbkmloh.net
tezjm.net
tilazlfn.com
tqlxquy.org
trxho.org
uiiwmmgr.com
upyuqxpmlxt.net
vdunf.net
vtewiyny.info
vuahzmvf.biz
vweoof.org
wkjhjr.com
xehlydgan.net
xmmzcsqm.biz
xtjejduc.org
xxwoteojg.biz
xytbvkrqhu.info
ybhufq.net
yenhbrt.biz
yfczve.info
ylfamhcgn.net
ylzbgyorfy.org
ysxbkquj.info
ythekdrar.net
yudxsol.org
yzbvrteij.biz
yzpjvpkdtq.biz
zjxuw.org
zpqhr.biz
zuuroktw.biz
zzkjecmf.com
Liệt kê các processes của nó nữa:
svchost.exe
explorer.exe
services.exe
Thay đỗi các khoá trong Regedit sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\explorer\Advanced\Folder\Hidden\SHO WALLCheckedValue = dword:00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, netsvcs = %Previous data% and %Random%
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\
DisplayName = %ServiceName%
Type = dword:00000020
Start = dword:00000002
ErrorControl = dword:00000000
ImagePath = “%SystemRoot%\system32\svchost.exe -k netsvcs”
ObjectName = “LocalSystem”
Description = %description%
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\[random]\Parameters
ServiceDll = %MalwarePath%
Gỡ bỏ những giá trị mà nó ghi vào sau:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\{random}\Parameters\”ServiceDll” = “Path to worm”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\{random}\”ImagePath” = %SystemRoot%\system32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters
“TcpNumConnections” = dword:0×00FFFFFE
Và cái này:
%System%\[Random].dll
%Program Files%\Internet Explorer\[Random].dll
%Program Files%\Movie Maker\[Random].dll
%All Users Application Data%\[Random].dll
%Temp%\[Random].dll
%System%\[Random].tmp
%Temp%\[Random].tmp
Hiện nay các tiệm Net coi như dính chắc nó, rõ nhất là thay đỗi trang chủ của IE hay FIRE.
Diệt nó như anh Quý đã nêu ra: [You must be registered and logged in to see this link.], ngoài ra nếu bạn sài anti thì lo cập nhật dữ liệu mới vào.
Mong mọi người quan sát và cung cấp thông tin đầy đủ và chính xác, nên tìm cách loại trừ nó trước khi nó xâm nhập vào máy tính của bạn.
Là một chú sinh ra với thuật toán khá phức tạp và luôn có nhiều biến thể mới, chỉ cần đầu tư công sức thì có ngay một phiên bản nữa gây đâu đầu các bác an ninh mạng thế giới. Thế nên để có một kết quả mong muốn đó là tìm ra anh khai sinh nó, cập nhật dùm mấy cái Tool của các hãng an ninh mạng trên thế giới. Nếu là Pro thì xin góp sức vào diệt con này nhé.
Vài website của nó:
hgetmyip.org
getmyip.co.uk
checkip.dyndns.org
whatsmyipaddress.com
ahayw.info
ajcminmqpeu.com
anosb.biz
aqgcurmt.net
bdfbobhuls.com
bjmqxoxbmyq.org
bszeu.info
cfcpreiwtgx.net
cpfgbuwqv.biz
cukpubgb.net
dconkp.com
dpxzsrjhsn.org
dtyqryfi.biz
dviwvh.net
dwmpveim.info
dxnlypjjxp.biz
eaguzulxdr.org
ekrohmqa.info
eoblibwqaig.info
epvzvuah.info
ethogxkt.net
euwqeixq.biz
exxcpxm.net
eyjayqmwxxo.org
ezhvnjlvuk.org
fdzwsak.net
gatkcy.org
gceqy.info
ggcnqnr.info
gkmdbporqmp.biz
gmtgpb.org
guiahproe.info
gxepchol.net
gztql.net
haqrcz.com
hkqrhqev.com
hndrijmu.org
hvxmlcc.org
idahdfyojhz.com
ipbdwihw.info
iquvtfhm.net
irhtphctgn.com
ivouyvxaf.net
jfvyipo.info
jhhwydtk.com
jjbuafs.info
jptplynb.org
jutsyu.com
kagvjo.com
kfzksydrct.org
khvdkdjnrhr.biz
ktivtbse.net
lbori.com
ltxbrwfosrg.net
mhjhb.com
mtqcpiwod.biz
nsjmewgdb.com
ntshnjyxfh.net
nxphotp.com
ocykqj.biz
oenjrcaly.net
oororgpkbp.com
ozlqvnkiq.net
palrw.org
pmotqmf.com
pvuxb.info
qffszcfgyzn.org
qfoilcqp.com
qjafgfp.net
rfduzjbztg.biz
riuvunis.info
rlbidexd.org
rntbogfz.biz
rtkrhxsp.biz
ruolomicarp.org
rxytvgkapvw.biz
safxg.net
sdxkcnzcvhd.org
shbyxebiec.biz
srsoeggve.org
tbkmloh.net
tezjm.net
tilazlfn.com
tqlxquy.org
trxho.org
uiiwmmgr.com
upyuqxpmlxt.net
vdunf.net
vtewiyny.info
vuahzmvf.biz
vweoof.org
wkjhjr.com
xehlydgan.net
xmmzcsqm.biz
xtjejduc.org
xxwoteojg.biz
xytbvkrqhu.info
ybhufq.net
yenhbrt.biz
yfczve.info
ylfamhcgn.net
ylzbgyorfy.org
ysxbkquj.info
ythekdrar.net
yudxsol.org
yzbvrteij.biz
yzpjvpkdtq.biz
zjxuw.org
zpqhr.biz
zuuroktw.biz
zzkjecmf.com
Liệt kê các processes của nó nữa:
svchost.exe
explorer.exe
services.exe
Thay đỗi các khoá trong Regedit sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\explorer\Advanced\Folder\Hidden\SHO WALLCheckedValue = dword:00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, netsvcs = %Previous data% and %Random%
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\
DisplayName = %ServiceName%
Type = dword:00000020
Start = dword:00000002
ErrorControl = dword:00000000
ImagePath = “%SystemRoot%\system32\svchost.exe -k netsvcs”
ObjectName = “LocalSystem”
Description = %description%
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\[random]\Parameters
ServiceDll = %MalwarePath%
Gỡ bỏ những giá trị mà nó ghi vào sau:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\{random}\Parameters\”ServiceDll” = “Path to worm”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\{random}\”ImagePath” = %SystemRoot%\system32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters
“TcpNumConnections” = dword:0×00FFFFFE
Và cái này:
%System%\[Random].dll
%Program Files%\Internet Explorer\[Random].dll
%Program Files%\Movie Maker\[Random].dll
%All Users Application Data%\[Random].dll
%Temp%\[Random].dll
%System%\[Random].tmp
%Temp%\[Random].tmp
Hiện nay các tiệm Net coi như dính chắc nó, rõ nhất là thay đỗi trang chủ của IE hay FIRE.
Diệt nó như anh Quý đã nêu ra: [You must be registered and logged in to see this link.], ngoài ra nếu bạn sài anti thì lo cập nhật dữ liệu mới vào.
Mong mọi người quan sát và cung cấp thông tin đầy đủ và chính xác, nên tìm cách loại trừ nó trước khi nó xâm nhập vào máy tính của bạn.
Là một chú sinh ra với thuật toán khá phức tạp và luôn có nhiều biến thể mới, chỉ cần đầu tư công sức thì có ngay một phiên bản nữa gây đâu đầu các bác an ninh mạng thế giới. Thế nên để có một kết quả mong muốn đó là tìm ra anh khai sinh nó, cập nhật dùm mấy cái Tool của các hãng an ninh mạng trên thế giới. Nếu là Pro thì xin góp sức vào diệt con này nhé.
BS Se S2T- Chuyên viên an ninh Se S2T
-
Con Giáp : 
Tuổi giáp Trung Hoa :
Tổng số bài gửi : 797
Điểm Se S2T : 115494
Sinh Nhật : 03/11/1990
Tham gia ngày : 29/04/2010
Tuổi : 33
Đến từ : Thành Phố Hoa Hồng
Huy chương
Sức mạnh:
(100/100)
Điểm SeS2T: (35/50)
Share this post on:
Similar topics» Conficker cài phần mềm diệt virus giả vào máy tính
» Phân tích và tìm kiếm driver cho máy tính trực tuyến
» Thông tin về sâu Conficker
» Phần mềm Violet 1.5 - Ai có thể giúp đỡ cung cấp cho phần mềm giáo viên này không?
» 7 điều nên biết để phòng tránh sâu Conficker
» Phân tích và tìm kiếm driver cho máy tính trực tuyến
» Thông tin về sâu Conficker
» Phần mềm Violet 1.5 - Ai có thể giúp đỡ cung cấp cho phần mềm giáo viên này không?
» 7 điều nên biết để phòng tránh sâu Conficker
Permissions in this forum:
Bạn không có quyền trả lời bài viết
