Theo DLB : Theo một số thành viên trên diễn đàn HVA Online, có thể nhóm tin tặc này chính là nhóm Sinh Tử Lệnh nổi tiếng với trò ném đá giấu tay. Máy chủ đặt bên CHINA nhưng chuyên phá hoại và ăn cắp mật khẩu của các trang Web, Blog người Việt.-Đã trị được mã độc chèn trên Unikey
Mã độc này được CMC InfoSec đặt tên là Trojan-Downloader.Win32.FakeUnikey.1. Sau khi cài đặt thành công, mã độc sẽ cài đặt dịch vụ vào máy người dùng, sau đó tải thêm các mã độc khác và biến máy tính bị lây nhiễm trở thành máy tính thuộc mạng máy tính ma dưới sự kiểm soát của hacker.
Theo ông Nguyễn Hoàng Giang - CisLab cho biết "ít nhất malware đã được đưa lên mạng từ 23-1-2012 hoặc có thể là trước đó, số lượng người dùng bị lừa tải phần mềm unikey có chứa mã độc là rất lớn".
Mã độc này được phát tán qua việc chèn mã độc vào phần mềm Unikey sau khi chiếm quyền kiểm sát hoàn toàn website unikey.org trong những tháng đầu năm 2012. Tin tặc đã trỏ các đường dẫn tải phần mềm Unikey về một website được làm giả của tin tặc ở trang web phần mềm SourceForge.net. Các file của phần mềm Unikey trên website này đều chứa phần mềm độc hại trojan.
Tác giả Unikey - Phạm Kim Long cho biết, trang web http://unikey.vn/vietnam/ cũng là giả mạo, để đảm bảo chương trình sạch, mọi người hãy download bộ cài Unikey từ kho chính của sf.net không bị hack ở địa chỉ http://sf.net/projects/unikey.
Trojan-Downloader.Win32.FakeUnikey.1, đã được CMC InfoSec cập nhật vào cơ sở dữ liệu của CMC Anvirus / CMC Internet Security. Người dùng có thể download bộ cài phần mềm tại trang chủ của hãng: www.cmcinfosec.com, hoặc download công cụ tại: http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip
CMC Infosec
-Mã độc "đồn trú" trên Unikey
Giao diện công cụ quét mã độc trên Unikey của CMC Infosec - Ảnh do CMC cung cấp |
Cụ thể, khi người dùng tải về bộ gõ Unikey từ trang chủ Unikey.org, thay vì nhận được một ứng dụng "sạch" thì thay vào đó là một ứng dụng giả mạo kèm mã độc (dạng trojan). Hay nói chính xác, tin tặc đã "chuyển tiếp" lệnh tải về của người dùng đến một trang web giả mạo phần mềm Unikey và cung cấp bản tải về là một phần mềm chứa mã độc.
Trong thông cáo báo chí phát đi chiều 2.3 (một ngày sau khi sự cố liên quan đến Unikey được phát hiện), công ty CMC Infosec đã cung cấp một công cụ tải về miễn phí mà qua đó có thể loại bỏ mã độc này. Người dùng có thể tải về công cụ này từ địa chỉ http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip.
Trao đổi với phóng viên Thanh Niên Online, ông Võ Đỗ Thắng - Giám đốc trung tâm đào tạo an ninh mạng ATHENA - cho biết đây thực chất là một hình thức cấy trojan vào phần mềm, do đó khi người dùng tải về phần mềm (trong trường hợp này là Unikey) thì cũng sẽ tải về trojan. Khi phần mềm được cài vào máy tính, máy tính đương nhiên dính trojan.
"Đây là một kỹ thuật đánh lừa người sử dụng. Máy tính nhiễm trojan sẽ bị điều khiển bởi tin tặc và điều này có thể gây hậu quả khôn lường", ông Thắng nhận định.
An Huy
>> Tin tặc công khai các lỗi bảo mật của BKAV
>> Website của BKAV bị tin tặc "viếng thăm
>> Đã tìm ra nghi phạm tấn công website Bkav
>> Anonymous sẽ đánh sập internet vào ngày 31.3?
>> Tin tặc phá hoại bầu cử Nga
>> Đến lượt CIA "muối mặt" vì Anonymous
...
Bộ gõ tiếng Việt Unikey bị chèn mã độc hạiDân Trí
Đã có công cụ kiểm tra và “trị” bản Unikey dính mã độcThông tin công nghệ
Đã trị được mã độc giả dạng phần mềm UnikeyHà Nội Mới
ICT News
tất cả 12 bài viết »-
Ngó con virus thấy ớn, thôi thì cẩn tắc vô áy náy, ..
Thư Xin Lỗi của Hội Chuyên Gia Việt Nam BBCCác tác giả của phần mềm VPS thừa nhận "lượng định sai mức độ hệ trọng" của việc tin tặc phá hoại chương trình.
( thận trọng vói tất cả các phần mềm gõ tiếng Việt, vietkey, unikey., có đưa giải pháp về một phần mềm ảo, nhưng ngó không quen ......)
Thư Ngỏ của Hội Chuyên Gia Việt Nam về việc Nhu Liệu VPSkey bị tin tặc nhiễm virus
Tháng Tư 2, 2010
Kính gửi quý độc giả của trang web Hội Chuyên Gia Việt Nam (vps.org) và các bạn đang sử dụng VPSKeys.Vừa rồi có những bản tin đề cập đến việc Google lên tiếng về việc các trang mạng Việt Nam bị tin tặc tấn công. Trong các bản tin đó công ty phòng chống virus McAfee có nhắc đến việc trang web VPS.ORG bị xâm nhập và VPSKeys bị gài malware, và liên kết việc VPSKeys với các đợt tấn công DoS của tin tặc trong thời gian gần đây.
Chúng tôi xin được trình bày như sau về sự việc:Ban kỹ thuật của HCGVN khám phá ra có sự xâm nhập của tin tặc vào trang web vào ngày 22 tháng 1, 2010. Tin tặc dùng các IP 125.234.5.26 (viettel.vn) và 203.162.3.165 (vdc.com.vn) để xâm nhập. Tin tặc lợi dụng lỗ hổng an ninh trong một script upload bài lên web để gài ấn bản VPSKeys có virus. Ngay sau đó ban kỹ thuật đã xóa bỏ các nhu liệu có virus này ra khỏi server, vá lại các lỗ hổng an ninh trên server.
Ấn bản chính thức của nhu liệu VPSKeys là ấn bản 4.3. Khổ (filesize) của gói VPSKeys 4.3 tãi từ trên web xuống là 1,351,777 byte. Chương trình vpskeys.exe sau khi cài đặt xong trong máy khổ là 102,400 byte. Nếu quý vị đang dùng VPSKeys 4.3, xin kiểm lại khổ (filesize) của chương trình vpskeys.exe đúng là 102,400 byte thì quý vị đang dùng đúng ấn bản tốt.
Nhu liệu VPSKeys trên trang nhà của Hội Chuyên Gia Việt Nam vẫn an toàn để download. Nếu quý vị có nghi ngại gì về ấn bản VPSKeys đang có, xin download lại ấn bản chính thức trên trang nhà của HCGVN.
Ngoài ra HCGVN đang hợp tác liên lạc với Google và McAfee để tìm hiểu thêm về các vụ tin tặc tấn công DoS bằng các máy zombie từ Việt Nam.
Ban Kỹ Thuật
Hội Chuyên Gia Việt Nam
Theo lượng giá của công ty McAfee thì tin tặc xâm nhập vào trang web vps.org vào khoảng cuối năm 2009. Do đó nếu quý vị nào có tải nhu liệu VPSKeys từ trang web vps.org xuống trong khoảng thời gian từ 11/2009 đến hết 1/2010, xin rà soát lại máy của mình để loại trừ virus, nếu có.
Theo đánh giá của công ty McAfee từ trước đến nay thì nhu liệu VPSKeys vẫn là một nhu liệu an toàn để sử dụng. (xin xem link của McAfee advisor:www.siteadvisor.com/sites/vps.org/downloads/17181923/).
Ấn bản VPSKeys hiện thời trên trang nhà vps.org là ấn bản tốt, theo lượng giá của McAfee. Tuy nhiên để quý vị thật sự an tâm, đây là những chỉ số để nhận dạng nhu liệu nguyên thủy của chúng tôi:
VPSKeys43.exe download từ trang vps.org sẽ có:
- Filesize: 1,351,777 byte,
- MD5 Checksum : 69b6071e1cebf2dc0849e94b4ad7d414
- Sau khi cài đặt xong, program Vpskeys.exe, có filesize = 102,400 byte
Hội Chuyên Gia Việt Nam là tập hợp của những chuyên gia Việt Nam tự nguyện đóng góp thời giờ, công sức cho những việc ích lợi cho cộng đồng. Chúng tôi phản đối những hành vi phá hoại của tin tặc, đặc biệt là những phá hoại đến từ Việt Nam. Chúng tôi đang hợp tác với các công ty liên hệ trong việc này và những công ty chuyên truy tìm nguồn gốc các tin tặc. Chúng tôi cũng sẽ hợp tác tối đa với các cơ quan công quyền có trách nhiệm điều tra và phòng chống tin tặc tại các nước đang có phân hội HCGVN hoạt động.
Trần Hữu Nhân
Tổng Thư Ký Hội Chuyên Gia Việt Nam
Email: contact@vps.org
Web: www.vps.org
<<<::: cảnh báo nhỏ của riêng ttngbt, nếu gần đây tự nhiên unikey bị lỗi, mà tải bản mới về thì cũng nên cẩn thận, phần mềm chống virus của ttngbt báo là unikey là virus... cũng nên cẩn thận các phần mềm gõ tiếng Việt nếu tải về gần đây. Các phần mềm tải trước đây thì không sao ??? . Nên cẩn thận hơn >>>
Những chương trình Gỡ/Chống virus miễn phí
Tin tặc tấn công các website tiếng Việt đã liên tục xẩy ra từ cuối năm 2009 cho đến nay bằng nhiều hình thức nhưng gần đây phương thức DoS hay DDoS được tin tặc sử dụng thường xuyên.Trước đây, đa số các cuộc tấn công bằng DoS hay DDoS ở mức độ thấp, ngắn hạn, nhưng bắt đầu từ tháng 12 năm 2009, liên tiếp nhiều trang web bị tấn công với quy mô lớn về cường độ và thời gian, có khi tin tặc cùng một lúc tấn công nhiều trang web, trong đó có trang nhà www.danchimviet.com như các bạn đã biểt. Gần đây Google và McAfee đã công bố chi tiết về một đợt đánh phá sử dụng mã độc nhắm vào các nhà bất đồng chính kiến tại Việt Nam cùng những Websites độc lập của người Việt tại Hải Ngoại.
Việc chống đỡ Dos hay còn được gọi là DDos, phần lớn nhờ vào những người xử dụng máy vi tính cá nhân. Tôi hy vọng với những chương trình Gỡ/Chống virus cùng các loại phần mềm gián điệp miễn phí được đề cập sau đây sẽ giúp chúng ta lấy lại quyền tư do ngôn luận, ít nhất trên không gian ảo [the World Wide Web]
Phần giới thiệu những chương trình Gỡ/Chống virus.
Phần mềm diệt virus cung cấp một hàng rào bảo vệ thiết yếu để chống lại rất nhiều loại virus. Trong quá khứ, các chương trình chống virus chỉ phát hiện virus và chương trình chống gián điệp chỉ làm công viềc phát hiện gián điệp nhưng ngày nay các chương trình Gỡ/Chống virus và phần mềm gián điệp trở thành một. Chương trình Gở/Chống hiện nay có khả năng phát hiện tất cả các hình thức xâm nhập của phần mềm độc hại vào máy vi tính cá nhân.
Phần mềm độc hại bao gồm virus, trojan, sâu, spyware, adware, dialers, keyloggers và các mối đe dọa rootkit được dùng để thực hiện các hoạt động gián điệp trên máy vi tính của bạn. Với sự gia tăng theo tỉ lệ phân trong phần mềm độc hại, các chương trình Gỡ/Chống virus không thể theo kịp với tất cả các phát hiện của nó. Tuy nhiên việc cài nhiều hơn một loại Gỡ/Chống virus trong máy vi tính của bạn, có thể gây ra xung đột giữa những chương trình Gỡ/Chống và làm giảm đi khả năng phòng thủ của các chương trình Gỡ/Chống này. Vì vậy, tôi đề nghị bạn chỉ chọn một trong số những chương trình Gỡ/Chống virus. Thêm vào đó, bạn có thể gia tăng khả năng phòng vệ của mình bằng cách sử dụng các phần mềm bảo mật khác.
Sau đây là một vài chương trình chống virus miễn phí có khả năng bảo vệ máy vi tính của bạn khỏi các mối đe dọa virus và các loại phần mềm độc hại khác.
Avira AntiVir Personal Edition là lựa chọn hàng đầu của những người xử dụng máy vi tính cho các phần mềm chống virus miễn phí. AntiVir xử dụng rất nhẹ một phần của bộ nhớ và tỷ lệ phát hiện các phần mềm độc hại lại rất xuất sắc, tốt hơn so với hầu hết chương trình Gỡ/Chống virus khác dựa trên các xét nghiệm. Tuy nhiên, Avira AntiVir Personal Edition lại có vài khuyết điểm nhỏ.
Avira AntiVir Personal Edition (free version) không bao gồm chức năng xem xét trang web hoặc e-mail; [những chức năng này chỉ có trong phiên bản pay version]. Việc thiếu chức năng xem xét e-mail không thực sự là một bất lợi, nó chỉ có nghĩa là AntiVir sẽ không cảnh báo bạn về các email bị nhiễm virus trước khi bạn mở chúng. Tuy nhiên, câu hỏi ở đây là, bạn có nên mở một email bị nhiễm virus không?, AntiVir vẫn sẽ có những kích hoạt thích ứng ngay sau khi bạn vô tình mở nhầm một email bị nhiễm virus, do đó không có nghĩa là bạn không được bảo vệ từ những email bị nhiễm trùng. Thứ hai, AntiVir có quảng cáo xuất hiện trên window cập nhật, bạn cũng có thể vô hiệu hóa các quảng cáo này. Cuối cùng, AntiVir giới hạn thời gian kích hoạt, vì thế bạn sẽ phải đăng ký định kỳ.
Microsoft Security Essentials [MSE], là chương trình diệt virus miễn phí do Microsoft phát hành. MSE có một giao diện tươi mát và trẻ trung, với vài lựa chọn dễ gây nhầm lẫn cho người sử dụng. Tỷ lệ phát hiện virus cao, đặc biệt là khả năng phát hiện rootkit.Microsoft Security Essentials là sự lựa chọn tốt nhất cho đại chúng, vì sự tương tác cần thiết của người sử dụng. Nó tự động cập nhật và loại bỏ các mối đe dọa. Không cần thiết phải đăng ký.
Những nhược điểm chính của MSE là tốc độ chậm chạp khi càn quét và thời gian cần để MSE loại bỏ virus. Lưu ý rằng Microsoft Security Essentials đòi hỏi một bản sao Windows chính để cài đặt.
Avast! Antivirus (http://www.avast.com/security-software-home-office) cũng là một chương trình Gỡ/Chống virus miễn phí tuyệt vời mà nhiều người đã sử dụng qua rất thích. Khả năng phát hiện virus ngang bằng với AntiVir. Avast có tính năng bật nhất, với khả năng toàn thời gian thực dụng, bao gồm cả xem xét website, email, IM, P2P và lá chắn mạng, xem xét ngay trong thời gian máy bạn khởi động, Avast nhẹ và có khả năng kích hoạt mau lẹ.Trên đây là những chương trình chống virus miễn phí xuất sắc có thể giúp bạn Gỡ/Chống virus thay thế các sản phẩm thương mại lớn được dùng để chống virus trên thị trường.
Bạn cũng có thể sử dụng một trong những antiviruses nói trên để thiết lập lịch trình quét dọn trên máy vi tính của bạn, cho hàng ngày, hàng tuần …
Lưu Ý:
Avira AntiVir Personal Edition: Trong quá trình cài đặt, dưới “Chọn Cài đặt Kiểu” chọn “Custom”, và dưới “untick” Cài đặt thành phần “AntiVir Guard”.
Avast! Home Edition: Trong quá trình cài đặt, dưới “Cấu hình” chọn “Custom”, và untick tất cả các mục dưới “Resident Bảo vệ”.
Ngoài việc bảo vệ máy vi tính của bạn khỏi các mối đe dọa virus và các loại phần mềm độc hại khác. Vượt tường lửa để đến với những trang web truyền thông tự do cũng đã là những cố gắng không ngừng nghĩ của các bạn đọc trong nước. Đàn Chim Việt đề nghị các bạn nếu cần có thể tham khảo phương cách vượt tường lửa tại những websites sau đây:
http://danluan.org/node/244
http://bringfacebookback.wordpress.com/
http://us.dongtaiwang.com/home_en.php (trang mạng này do những thành viên Trung Hoa Tư Do thực hiện)
Hay vào Trang mạng có tên http://proxy.org ở đây có gần đến 30 ngàn địa chỉ proxy để vượt tường lửa và danh sách proxy được cập nhật liên tục.
Chúc bạn may mắn và hẹn gặp lại trên www.danchimviet.com . Để cập nhật trang nhà ĐCV bạn hãy đánh Key F5.
© Đàn Chim Việt Online.
George Kurtz – Đợt tấn công vi tính nhằm vào những người sử dụng tiếng ViệtĐông Hiến dịch
Chắc nhiều độc giả đã đọc bài trên Google blog post về các cuộc tấn công nhằm vào máy vi tính của những người sử dụng tiếng Việt và nhiều thứ tiếng khác. Con bọ xâm nhập, do McAfee phát hiện trong quá trình điều tra vụ Aurora, đã lũng đoạn các máy vi tính của nạn nhân trong một cuộc tấn công có biểu hiện của động cơ chính trị. McAfee đã và đang trao đổi kết quả từng bước với Google theo sát với diễn tiến của cuộc điều tra.
Những kẻ tấn công tạo ra con bọ bằng cách nhằm trước vào những người sử dụng tiếng Việt và cài phần mềm theo dõi được ngụy tạo dưới vỏ bọc phần mềm hỗ trợ ngôn ngữ tiếng Việt. Bộ gõ được biết đến với tên gọi VPS Keys là phần mềm khá thông dụng trong giới sử dụng Windows tiếng Việt, cho phép người dùng bỏ dấu chính xác khi dùng các ứng dụng của Windows.
Bộ mã điều khiển bọ được ngụy trang dưới vỏ bọc phần mềm bàn phím đã được tải về các máy tính cá nhân, để sau khi xâm nhập được máy tính của nạn nhân sẽ kết hợp với con bọ, trở thành công cụ có thể điều khiển từ xa thông qua một hệ thống kiểm soát và điều khiển đặt trên khắp thế giới, được truy cập chủ yếu từ các địa chỉ IP đặt tại Việt Nam.
Bộ gõ ngụy tạo này, được McAfee đặt tên là W32/VulcanBot, liên kết máy tính bị xâm nhập với một mạng lưới các máy tính nạn nhân khác. Trong quá trình điều tra về con bọ xâm nhập, chúng tôi phát hiện được khoảng mười hai hệ thống/lệnh điều khiển và kiểm soát trên mạng lưới các máy tính bị xâm nhập. Máy chủ điều khiển và kiểm soát các mạng lưới này được truy cập chủ yếu từ các địa chỉ IP đặt tại Việt Nam.
Vi rút Tơ-roa đã cài đặt các phần mềm có mục đích xấu trong danh sách dưới đây vào các máy tính bị nhiễm:
* %UserDir%\Application Data\Java\jre6\bin\jucheck.exe
* %UserDir%\Application Data\Java\jre6\bin\zf32.dll
* %UserDir%\Application Data\Microsoft\Internet Explorer\Quick Launch\VPSKEYS 4.3.lnk
* %RootDir%\Program Files\Adobe\AdobeUpdateManager.exe
* %RootDir%\Program Files\Java\jre6\bin\jucheck.exe
* %RootDir%\Program Files\Microsoft Office\Office11\OSA.exe
* %SysDir%\mscommon.inf
* %SysDir%\msconfig32.sys
* %SysDir%\zf32.dll
* %SysDir%\Setup\AdobeUpdateManager.exe
* %SysDir%\Setup\jucheck.exe
* %SysDir%\Setup\MPClient.exe
* %SysDir%\Setup\MPSvc.exe
* %SysDir%\Setup\OSA.exe
* %SysDir%\Setup\wuauclt.exe
* %SysDir%\Setup\zf32.dll
Những file này, khi được khởi động, sẽ tự động liên kết với các trang chủ dưới đây:
* google.homeunix.com
* tyuqwer.dyndns.org
* blogspot.blogsite.org
* voanews.ath.cx
* ymail.ath.cx
-----
Bài Phân Tích Về Virus Trên Trang www.thtndc.org
Diễn đàn X-Cafe by businesshoa --Bài Phân Tích Về Virus Trên Trang www.thtndc.orgĐọc bản PDF online tại đây http://www.scribd.com/doc/18539139/P...e-WwwthtndcOrg , đầy đủ hình ảnh hướng dẫn, màu mè.
Dưới đây chỉ có tếch không, không có ảnh :D
Ngày 08/08/2009, hackers đã đánh phá website của Tập Hợp Thanh Niên Dân Chủ www.thtndc.org. và Tạp chí Phía Trước www.phiatruoc.net
Trong một số trường hợp, người xem có thể bị hackers mời gọi cài đặt một số virus vào máy mà không biết, các chương trình này có thể đánh cắp, xóa bỏ thông tin cá nhân.
Tài liệu dưới đây do thành viên THTNDC biên soạn nhằm phân tích các kỹ thuật hackers đã sử dụng, cách hoạt động của virus, biện pháp khắc phục.
Mời các bạn xem và góp ý trao đổi thêm với ban Kỹ Thuật tại thtndc@gmail.com, hoặc với tác giả Trần Chinh Nhân tran.chinh.nhan@gmail.com
Tài liệu dành cho người sử dụng nắm rõ về hệ điều hành Windows.
1 DẤU HIỆU NHẬN BIẾT VIRUS
Trước khi tiến hành, hãy chỉnh Windows Explorer có thể show ra các file có thuộc tinh ẩn (hidden) và thuộc thính hệ thống (system) bằng cách vô Windows Explorer >> chọn Tools/Folder Option >> chọn tab View. Chọn show hidden files and folders và bỏ chọn hide protected operation system files (recommended).
Sau đó Kiểm tra sự tồn tại của các files sau:
c:\drv\cp.vbs
c:\drv\chatpols.exe
c:\drv\cpolsvc.exe
c:\drv\cpol.exe
và
mobsynch.exe;
MSASCui32.exe;
MSASCui.exe;
services32.exe;
svchost32.exe;
wuauclt32.exe;
mobsync32.exe
Trong 2 thư mục C:\WINDOWS\system32 và C:\WINDOWS\system32\Setup
!!! NẾU MÁY TINH CÓ CHỨA MỘT SỐ TRONG CÁC FILE TRÊN THÌ MÁY TINH ĐÃ BỊ NHIỄM VIRUS!
Ngoài ra virus còn lưu 1 file nữa dưới ngụy trang dưới dạng một Windows Service của Yahoo là Yahoo Auto Updater.
Kiểm tra bằng cách kiểm tra sự tồn tại của file sau :
C:\Program Files\Yahoo!\Messenger\YUpdater.exe
Hoặc có thể vào Control Panel/Administrative Tool/Services, kiểm tra xem service này có tồn tại và đã được start hay không.
2 Cách thức hoạt động của virus.
Cách thức virus lây nhiễm vào máy tính nạn nhân có thể thay đổi và rất đa dạng. Dưới đây là cách thức hacker đã tiến hành đối với www.thtndc.org.
Trang chủ www.thtndc.org bị mất quyền kiểm soát, hacker sẽ chèn 2 đoạn mã vào trang chủ, 2 đoạn mã này có chứ năng tương tự nhau.
Đoạn mã thứ nhất được viết bằng VBSCRIPT có chức năng download 2 file CPOL.JPG và CPOLSVC.JPG từ http://www.dndhd.org/cpol.jpg và http://www.dndhd.org/cpolsvc.jpg
Đây là 2 file .exe nhưng có đuôi là .jpg để ngụy trang.
Sau đó đổi đuôi 2 files này thành .exe và thực thi 2 file này nhằm lây nhiễm virus vào máy người dùng.
Đoạn mã thứ hai chứa các lênh DOS thông thường để tạo tập tin C:\drv\cp.vbs
Tập tin CP.VBS này khi thực thi sẽ download 2 file CPOL.JPG và CPOLSVC.JPG từ http://www.dndhd.org/cpol.jpg và http://www.dndhd.org/cpolsvc.jpg
Đoạn mã thứ 2 này chính là các lênh DOS được nhúng trong tham sô truyền cho 1 JAVA APPLET có tên là CHATROOMCLIENT.JAR. JAVA APPLET này sẽ thực thi đoạn mã DOS được truyền vào nhằm tạo C:\drv\cp.vbs
Process = Runtime.getRuntime().exec(s);
Sau đó C:\drv\cp.vbs sẽ được thực thi. Và CP.VBS hoạt động tương tự như đoạn mã thứ nhất đó là download 2 file CPOL.JPG và CPOLSVC.JPG từ http://www.dndhd.org/cpol.jpg và http://www.dndhd.org/cpolsvc.jpg. Sau đó đổi đuôi 2 files này thành .exe và thực thi 2 file này nhằm lây nhiễm virus vào máy người dùng.
Mục đích của việc sử dụng JAVA APPLET là trong trường hợp người dùng không dùng trinh duyệt Internet Explorer thì đoạn mã thứ nhất không được thực thi >>> đoạn mã thứ nhất vô tác dung. Nhưng nếu người dùng sử dụng trinh duyệt khác và có hỗ trợ JAVA thì đoạn mã thứ 2 này sẽ được thực thi và virus vẫn được lây nhiễm vào máy tính.
Files CPOL.EXE khi thực thi sẽ tạo ra các file sau:
mobsynch.exe;
MSASCui32.exe;
MSASCui.exe;
services32.exe;
svchost32.exe;
wuauclt32.exe;
mobsync32.exe
Trong C:\WINDOWS\system32 và C:\WINDOWS\system32\Setup
Sau đó CPOL.EXE sẽ trao quyền điều khiển cho MSASCui32.exe, MSASCui32.exe sau đó sẽ chạy SERVICES32.EXE, MOBSYNCH.EXE, WUAUCLT32.EXE
Các tiến trình này được ngụy trang dưới dạng Windows Update Manager for NT, MS Synchronization Manager, Services and Controller app, Windows Defender UI. Nên bình thường rất khó phát hiện ra chúng.
Tất cả các tiến trinh trên đều có thể gọi lẫn nhau, nếu 1 trong các tiến trinh trên bị kill thì tiến trình còn lại sẽ tạo tại lại nó nên dù người dung có tắt đi 1 tiến trình thì cũng không ảnh hưởng gì.
Ngoài ra các tiến trinh này còn tạo các khóa trong registry nhằm kích hoạt chính nó mỗi khi máy tính khỏi động. Các khóa sau sẽ được tạo trong registry.
Trong
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Antispyware Services"="C:\\WINDOWS\\system32\\MSASCui32.exe"
"Microsoft Synchronization Manager"="C:\\WINDOWS\\system32\\mobsync32.exe"
"Windows Update Manager"="C:\\WINDOWS\\system32\\wuauclt32.exe"
Trong [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Antispyware Services"="C:\\WINDOWS\\system32\\MSASCui32.exe"
"Microsoft Synchronization Manager"="C:\\WINDOWS\\system32\\mobsync32.exe"
"Windows Update Manager"="C:\\WINDOWS\\system32\\wuauclt32.exe"
Trong
[HKEY_USERS\S-1-5-21-1780768457-1098002935-3264248638-1006\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Antispyware Services"="C:\\WINDOWS\\system32\\MSASCui32.exe"
"Microsoft Synchronization Manager"="C:\\WINDOWS\\system32\\mobsync32.exe"
"Windows Update Manager"="C:\\WINDOWS\\system32\\wuauclt32.exe"
Trong các tiến trình trên thì MSASCUI32.EXE và WUAUCLT32.EXE sẽ đóng vai trò liên lạc tới máy chủ thu thập dữ liệu và điều khiển của chủ nhân virus này. Còn SERVICES32.EXE, MOBSYNCH.EXE sẽ đóng vai trò bảo vệ cho MSASCui32.exe và WUAUCLT32.EXE một khi chúng bị kill.
MSASCUI32.EXE và WUAUCLT32.EXE sẽ tạo kết nối tới
59.36.101.217 (dmv00138.lunarservers.com)
209.200.238.221 (dmv00058.lunarservers.com)
Qua 1 trong 2 cổng tại server là 8585 và 2121
Giao thức là TCP
LUNARSERVERS.COM là một nhà cung cấp dịch vụ chuyên cho thuê server,
ngoài ra MSASCui32.exe có khả năng còn liên lạc đến các server sau:
danchimviet.dnsalias.org:8585
yahoo.blogdns.net:8585
voanews.ath.cx:8585
ymail.ath.cx:8585
MSASCUI32.EXE và WUAUCLT32.EXE có thể sẽ thu thập thông tin cá nhân, thông tin bảo mật từ máy người dùng để chuyển tới server hoăc có thể nhận chỉ thị từ server để thực hiên theo yêu cầu của chủ nhân virus.
File CPOLSVC.EXE khi thực thi sẽ tự động tạo 1 file ngụy trang dưới dạng trình update của Yahoo Messenger nằm trong C:\Program Files\Yahoo!\Messenger\YUpdater.exe
Sau đó CPOLSVC.EXE sẽ cài đặt YUPDATER.EXE dưới dạng 1 Windows Service. Tên là Yahoo Auto Updater.
YUPDATER.EXE cũng thiết lập kết nối tơi
59.36.101.217 (dmv00138.lunarservers.com)
209.200.238.221 (dmv00058.lunarservers.com)
Qua 1 trong 2 cổng tại Server là 8585 và 2121
Và có chức năng tương tự như MSASCui32.exe
Mục đích của việc cài đặt thêm YUpdater.exe dưới dạng Windows Service của Yahoo là nhằm tránh bị chương trinh Anti Virus phát hiện.
Toàn bộ mã nguồn virus được viết bằng Visual Basic 6 có sử dụng thư viện Winsock để giao tiếp mạng. Virus này hoạt đông tương tự virus từ trang www.mangykien.net nhưng cách thức lây nhiễm về máy có khác đôi chút.
3 Cách khắc phục virus
Trước tiên cần kill các process virus đang chạy đó là MSASCUI32.EXE, SERVICES32.EXE, MOBSYNCH.EXE, WUAUCLT32.EXE. phải kill MSASCUI32.EXE vì MSASCui32.exe là cha của 3 process còn lại và đồng thời kill luôn 3 process còn lại.
Do MSASCui32.exe có thể không nhìn thấy được trong Task Manager và chúng ta cần phải kill đông loạt các tiến trinh trên cùng một lúc nên chúng ta cần 1 công cụ khác để làm điều này.
Cách đơn giản nhất là dùng phần mềm Procexp download tại http://technet.microsoft.com/en-us/s.../bb896653.aspx (link từ Microsoft.com có thể bảo đảm)
Sau khi chay Procexp, chúng ta sẽ thấy các process virus như hình sau. Click chuột phải vô MSASCui32.exe >>> chọn Kill Process Tree. Tự động 3 process con của nó cũng sẽ bị kill.
Sau đó vào Control Panel/Administrative Tool/Services, Stop và disable Service Yahoo Auto Updater.
Hoặc có thể uninstall service này luôn băng cách tải công cụ installutil.exe từ Microsoft
Sau đó chạy lệnh sau để uninstall : installutil /u YUpdater.exe
Sau đó xóa các file virus trong các thư mục sau:
c:\drv\cp.vbs
c:\drv\chatpols.exe
c:\drv\cpolsvc.exe
c:\drv\cpol.exe
và
mobsynch.exe;
MSASCui32.exe;
MSASCui.exe;
services32.exe;
svchost32.exe;
wuauclt32.exe;
mobsync32.exe
Trong 2 thư mục C:\WINDOWS\system32 và C:\WINDOWS\system32\Setup
Và xóa C:\Program Files\Yahoo!\Messenger\YUpdater.exe
Cuối cung là xóa các khóa sau trong registry.
Trong
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Antispyware Services"="C:\\WINDOWS\\system32\\MSASCui32.exe"
"Microsoft Synchronization Manager"="C:\\WINDOWS\\system32\\mobsync32.exe"
"Windows Update Manager"="C:\\WINDOWS\\system32\\wuauclt32.exe"
Trong [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Antispyware Services"="C:\\WINDOWS\\system32\\MSASCui32.exe"
"Microsoft Synchronization Manager"="C:\\WINDOWS\\system32\\mobsync32.exe"
"Windows Update Manager"="C:\\WINDOWS\\system32\\wuauclt32.exe"
Chinh Nhân
Thành viên Tập Hợp Thanh Niên Dân Chủ
tran.chinh.nhan@gmail.com
-------
<<::: coi xem có bị nhiễm không ??? nhìn virus thấy ớn ... >>>>----
Tàu Panama đâm chìm tàu cá Việt Nam Bee Ngay sau khi bị đâm chìm, 6 thuyền viên của tàu cá đã kịp thời thoát ra ngoài và được các tàu cá khác gần đó cứu sống. Tàu nước ngoài đâm chìm tàu cá Việt Nam, 1 người chết Theo Cảng vụ hàng hải Vũng Tàu, một thuyền viên bị tử vong, 6 thuyền viên còn lại đã được các tàu cá khác cứu sống trong vụ một tàu cá Việt Nam bị một tàu nước ngoài đâm chìm lúc 14g10 ngày 1-4 tại vùng biển Bà Rịa - Vũng Tàu. Báo điện tử ĐCSVN lập cơ quan đại diện phía Nam (VietNamNet) - Cơ quan thường trú của báo tại TP.HCM sẽ phản ánh hoạt động của lãnh đạo Đảng và Nhà nước tại địa phương. Phó Thủ tướng Phạm Gia Khiêm tiếp đại biểu dự Diễn đàn Việt - Trung VOV Chiều 2/4, tại Trụ sở Trung ương Đảng, ông Phạm Gia Khiêm, Ủy viên Bộ Chính trị, Phó Thủ tướng kiêm Bộ trưởng Ngoại giao đã tiếp thân mật các đại biểu tham dự Diễn đàn Nhân dân Việt - Trung lần thứ nhất, diễn ra tại tỉnh Quảng Ninh từ 31/3 - 1/4. Lãnh đạo Quảng Ninh họp báo về vụ cướp than Bee Tỉnh Quảng Ninh đã giao cho Công an tỉnh Quảng Ninh lập chuyên án đấu tranh và sẽ có kết quả xử lý chậm nhất vào ngày 15/4. Đóng cửa văn phòng Fortis Bank Hà Nội (TBKTSG Online) - Ngân hàng lớn nhất Bỉ, Fortis Bank, đã được Thống đốc Ngân hàng Nhà nước đồng ý cho chấm dứt hoạt động văn phòng đại diện tại Hà Nội. (VnMedia) - Chỉ còn gần 200 ngày nữa, Thủ đô sẽ kỷ niệm 1.000 năm Thăng Long - Hà Nội. Lẽ ra đến lúc này, mọi công tác chuẩn bị của Hà Nội đã phải cơ bản hoàn tất, đặc biệt là các công trình giao thông trọng điểm được khởi công từ năm trước. Thế nhưng, trên thực tế, mới có 8/34 công trình giao thông trọng điểm hoàn thành. |
Nguyên nhân là do nắng nóng kéo dài, nhiệt độ và độ mặn trong ao tăng cao làm tôm bị sốc và chết.
Hộp xốp đựng thực phẩm đều được sản xuất từ vật liệu nhựa Polystyren xốp và các thành phần cấu tạo này không ảnh hưởng tới sức khỏe.
Các nhà lãnh đạo các quốc gia Đông Nam Á sẽ gặp gỡ với Trung quốc trong cuộc họp thượng đỉnh liên chính phủ của ủy hội sông Mê kông sẽ diễn ra vào ngày chủ nhật tới để bàn thảo về vấn đề sông Mekong.
“Chủ nghĩa đế quốc Pháp dám làm những gì?” Bee
“Chủ nghĩa đế quốc Pháp dám làm những gì?” Bee
Ngày 2/4/1969, Bác làm việc và nghe Bí thư thứ Nhất Lê Duẩn báo cáo một số vấn đề về công tác Đảng.
Campuchia trục xuất người Uighur xin tị nạn về Trung Quốc
Hoa Kỳ ngày hôm qua tuyên bố ngưng chuyến hàng cung cấp các xe quân sự cho Campuchia để trả đũa việc nước này trục xuất 20 người tị nạn Uighur về Trung quốc tháng 12 năm ngoái.
Counting the jobs lost to China
China offer on free-trade talks with India
Phái ôn hòa: "Giấc mơ ban ngày của vị đại tá Trung Quốc"
Counting the jobs lost to China
China offer on free-trade talks with India
China has offered to accelerate free trade agreement talks with India in a bid to balance a burgeoning trade relationship between two of Asia’s largest economies
Phái ôn hòa: "Giấc mơ ban ngày của vị đại tá Trung Quốc"
Sách Giấc mơ Trung Quốc của Lưu Minh Phúc đã gây ra một cuộc tranh luận sôi nổi ở Trung Quốc (TQ), người tán thành kẻ phản đối đều có. Tuần Việt Nam xin giới thiệu một số quan điểm để độc giả tham khảo.
TTO - Vụ bê bối rau cải chứa dư lượng thuốc trừ sâu quá cao ở tỉnh Hải Nam chưa giải quyết xong thì lại xuất hiện loại đậu hạt (đậu Hà Lan) giả ở thành phố Trường Sa và Hằng Dương, tỉnh Hồ Nam. Báo cáo của Cơ quan giám sát an toàn thực phẩm Hồ Nam cho biết ngày 31-3.
Loại đậu này có màu xanh bất thường và có mùi nặng, sau 20 phút nấu trong nước sôi đậu chưa chín nhưng nước nấu đậu ngả sang màu xanh đặc, báo cáo trên cho biết.
| Một cơ sở sản xuất đậu hạt. Số đậu này sẽ được tung ra thị trường nếu không bị cơ quan chức năng tạm giữ - Ảnh:xinhua |
Ngày 17-3, loại đậu giả này được phát hiện lần đầu tiên trong đợt kiểm tra sản phẩm an toàn trên thị trường nông sản ở thành phố Trường Sa. Từ ngày 17 đến 19-3 cơ quan chức năng đã điều tra và lần ra nguồn gốc xuất phát loại đậu giả này là từ thành phố Hằng Dương cùng tỉnh.
Giới chuyên gia về an toàn thực phẩm ở Bắc Kinh cho biết chất nhuộm màu xanh đã bị cấm trong sản xuất nông sản ở Trung Quốc do có khả năng gây ung thư, sự hấp thụ quá mức chất sodium metabisulphite có trong loại đậu này sẽ gây cản trở sự hấp thụ canxi của cơ thể con người. |
Hai cơ sở sản xuất đậu giả trên đã hoạt động trên ba năm cho đến lúc bị phát hiện.
Hiện tượng sản xuất đậu hạt giả này đã xuất hiện từ năm 2005, bình quân một cơ sở sản xuất nhỏ có thể cho ra đời 1.000kg/ngày với lợi nhuận rất cao. Trước đó loại đậu độc hại này đã được phát hiện ở tỉnh Quảng Đông.
