Dấu hiệu chung của lây nhiễm phần mềm độc hại

<div dir="ltr" style="text-align: left;" trbidi="on"> <div style="background-color: white; box-sizing: border-box; color: #404040; font-family: 'Helvetica Neue', Helvetica, Arial, sans-serif; font-size: 14px; line-height: 20px; margin-bottom: 10px; text-align: justify;"> <strong style="box-sizing: border-box; color: black;">Có một số dấu hiệu hoặc triệu chứng chỉ ra rằng máy tính của bạn có thể đã bị lây nhiễm. Nếu bạn bắt đầu để ý những điều kỳ lạ xảy ra trên máy tính của bạn hãy kiểm tra lại máy tính.</strong></div> <div style="background-color: white; box-sizing: border-box; color: #404040; font-family: 'Helvetica Neue', Helvetica, Arial, sans-serif; font-size: 14px; line-height: 20px; margin-bottom: 10px; text-align: justify;"> Dưới đây là một số hiện tượng mà bạn có thể gặp</div> <ol style="background-color: white; box-sizing: border-box; color: #404040; font-family: 'Helvetica Neue', Helvetica, Arial, sans-serif; font-size: 14px; line-height: 20px; margin-bottom: 10px; margin-top: 0px;"> <li style="box-sizing: border-box;">Tin nhắn, hình ảnh, hoặc các tín hiệu âm thanh bất thường;</li> <li style="box-sizing: border-box;">Khay đĩa CD-ROM tự động đóng mở;</li> <li style="box-sizing: border-box;">Chương trình bắt đầu chạy mà không có lệnh của bạn;</li> <li style="box-sizing: border-box;">Thông điệp được hiển thị thông báo rằng một trong những chương trình của bạn đang cố gắng truy cập Internet mà không có lệnh của bạn.</li> <li style="box-sizing: border-box;">Khi đó, có khả năng là máy tính của bạn đã bị nhiễm phần mềm độc hại.</li> </ol> <div style="background-color: white; box-sizing: border-box; color: #404040; font-family: 'Helvetica Neue', Helvetica, Arial, sans-serif; font-size: 14px; line-height: 20px; margin-bottom: 10px; text-align: justify;"> Dấu hiệu khác khi địa chỉ email của bạn bị lây nhiễm mã độc:</div> <ol style="background-color: white; box-sizing: border-box; color: #404040; font-family: 'Helvetica Neue', Helvetica, Arial, sans-serif; font-size: 14px; line-height: 20px; margin-bottom: 10px; margin-top: 0px;"> <li style="box-sizing: border-box;">Bạn bè hoặc đồng nghiệp của bạn nói với bạn về việc  nhận được email gửi từ hòm mail của bạn mà bạn không hề gửi;</li> <li style="box-sizing: border-box;">Có rất nhiều tin nhắn không có địa chỉ người gửi và tiêu đề trong hộp thư của bạn.</li> </ol> <div style="background-color: white; box-sizing: border-box; color: #404040; font-family: 'Helvetica Neue', Helvetica, Arial, sans-serif; font-size: 14px; line-height: 20px; margin-bottom: 10px; text-align: justify;"> Phải thừa nhận rằng những dấu hiệu này không phải luôn luôn liên quan đến sự hiện diện của các phần mềm độc hại. Chúng có thể xảy ra do những nguyên nhân khác. Ví dụ, vấn đề với các email lạ có thể là kết quả của việc ai đó gửi email bị lây nhiễm tới địa chỉ người gửi từ một số máy tính khác, không nhất thiết của bạn.</div> <div style="background-color: white; box-sizing: border-box; color: #404040; font-family: 'Helvetica Neue', Helvetica, Arial, sans-serif; font-size: 14px; line-height: 20px; margin-bottom: 10px; text-align: justify;"> Ngoài ra còn có những dấu hiệu gián tiếp của việc lây nhiễm phần mềm độc hại trên máy tính của bạn:</div> <ol style="background-color: white; box-sizing: border-box; color: #404040; font-family: 'Helvetica Neue', Helvetica, Arial, sans-serif; font-size: 14px; line-height: 20px; margin-bottom: 10px; margin-top: 0px;"> <li style="box-sizing: border-box;">PC của bạn thường xuyên bị treo;</li> <li style="box-sizing: border-box;">Tất cả mọi thứ chạy chậm lại khi khởi động một chương trình;</li> <li style="box-sizing: border-box;">Hệ điều hành không khởi động;</li> <li style="box-sizing: border-box;">Các tập tin và thư mục bị mất hoặc hỏng;</li> <li style="box-sizing: border-box;">Ổ cứng hoạt động quá mức (ánh sáng trên mặt trước case nhấp nháy thường xuyên);</li> <li style="box-sizing: border-box;">Có vấn đề xảy ra với Microsoft Internet Explorer (ví dụ nó bị đóng băng hoặc không đáp ứng với các lệnh).</li> </ol> <div style="background-color: white; box-sizing: border-box; color: #404040; font-family: 'Helvetica Neue', Helvetica, Arial, sans-serif; font-size: 14px; line-height: 20px; margin-bottom: 10px; text-align: right;"> <span style="box-sizing: border-box; text-decoration: underline;"><strong style="box-sizing: border-box; color: black;">Kaspersky</strong></span></div> </div>

Dấu hiệu chung của lây nhiễm phần mềm độc hại

Có một số dấu hiệu hoặc triệu chứng chỉ ra rằng máy tính của bạn có thể đã bị lây nhiễm. Nếu bạn bắt đầu để ý những điều kỳ lạ xảy ra trên...

Read More »

Biến thể Zeus nhắm mục tiêu hơn 150 ngân hàng trên thế giới

<p class="text-justify"> <p><strong>Một chủng mới của Trojan ngân hàng Zeus đã được phát hiện, với một tập tin cấu hình nhắm đến hơn 150 ngân hàng và 20 hệ thống thanh toán chủ yếu ở các quốc gia ở châu Âu.</strong></p> <p>Phần mềm độc hại, được đặt tên là Chthonic, dựa trên một phương pháp mới để tải các module của nó và đang phổ biến ở Anh và Tây Ban Nha. Lây nhiễm cũng đã được phát hiện ở các nước châu Âu khác, mặc dù với số lượng thấp hơn, trên các máy tính ở Ý, Đức, Pháp, Bulgaria và Ireland.</p> <p>Theo dữ liệu từ Kaspersky, trong danh sách các nước bị ảnh hưởng nhất, Mỹ đứng ở vị trí thứ ba, tiếp theo là Nga và Nhật Bản.</p> <p>Nó được phát tán tới các nạn nhân thông qua bot Andromeda, cũng như thông qua một khai thác cho một lỗ hổng (CVE-2014-1761) trong Microsoft Office, thường phát tán qua email.</p> <p><strong>H</strong><strong>ầ</strong><strong>u h</strong><strong>ế</strong><strong>t c</strong><strong>á</strong><strong>c module ph</strong><strong>ầ</strong><strong>n m</strong><strong>ề</strong><strong>m </strong><strong>độ</strong><strong>c h</strong><strong>ạ</strong><strong>i t</strong><strong>ươ</strong><strong>ng th</strong><strong>í</strong><strong>ch v</strong><strong>ớ</strong><strong>i c</strong><strong>á</strong><strong>c h</strong><strong>ệ</strong><strong> th</strong><strong>ố</strong><strong>ng 64-bit</strong></p> <p>Các nhà nghiên cứu cho biết Trojan ngân hàng mới kết hợp với chương trình mã hóa từ các chủng khác của Zeus, cũng như một máy ảo được tìm thấy trong phần mềm độc hại ZeusVM và KINS. Hơn nữa, đã quan sát được trình mã hóa tương tự trong mối đe dọa Andromeda chịu trách nhiệm về việc tạo ra các botnet cùng tên.</p> <p>Có vẻ như Chthonic có phương pháp mới để tải các module độc hại, các nhà nghiên cứu cho biết. Điều này đạt được thông qua một module chính tiến hành tải về tất cả các thành phần khác của phần mềm độc hại, sau đó nó bắt đầu tải chúng. Thuật toán AES được sử dụng để mã hóa.</p> <p>Trong phân tích phần mềm độc hại, các chuyên gia bảo mật từ Kaspersky nhận thấy rằng hầu hết các thành phần phần mềm độc hại tương thích với cả hai nền tảng 32-bit và 64-bit.</p> <p>Khả năng của Chthonic bao gồm thu thập thông tin hệ thống, đánh cắp mật khẩu từ hệ thống thông qua phần mềm độc hại Pony, ghi lại hoạt động máy tính (keylogger), lây nhiễm web, lấy ủy quyền, và truy cập từ xa vào máy tính bị xâm nhập qua phần mềm máy tính để bàn từ xa VNC.</p> <p><strong>Kh</strong><strong>ô</strong><strong>ng ph</strong><strong>ả</strong><strong>i t</strong><strong>ấ</strong><strong>t c</strong><strong>ả</strong><strong> nh</strong><strong>ữ</strong><strong>ng n</strong><strong>ỗ</strong><strong> l</strong><strong>ự</strong><strong>c t</strong><strong>ấ</strong><strong>n c</strong><strong>ô</strong><strong>ng </strong><strong>đề</strong><strong>u th</strong><strong>à</strong><strong>nh c</strong><strong>ô</strong><strong>ng</strong></p> <p>Dựa trên kỹ thuật man-in-the-middle, Trojan chặn thông tin liên lạc từ máy con đến ngân hàng mục tiêu và sửa đổi các trang web được tải trong trình duyệt để thu được thông tin ngân hàng nhạy cảm (chi tiết đăng nhập, PIN, mật khẩu) từ các nạn nhân.</p> <p>Một báo cáo từ Kaspersky giải thích, “Điều đáng chú ý là, mặc dù số lượng lớn các mục tiêu trong danh sách, nhiều đoạn mã được Trojan sử dụng để thực hiện lây nhiễm web có thể không còn được sử dụng, vì các ngân hàng đã thay đổi cấu trúc các trang của họ và trong một số trường hợp , cả tên miền cũng vậy”.</p> <p>Chthonic là kết quả của mã Zeus bị rò rỉ trên các diễn đàn ngầm. Điều này cho phép các tội phạm khác nhau dùng cùng phiên bản phần mềm độc hại.</p> <p style="text-align: right;"><span style="text-decoration: underline;"><strong>Softpedia</strong></span></p>

Biến thể Zeus nhắm mục tiêu hơn 150 ngân hàng trên thế giới

Một chủng mới của Trojan ngân hàng Zeus đã được phát hiện, với một tập tin cấu hình nhắm đến hơn 150 ngân hàng và 20 hệ thống thanh toán ch...

Read More »

Malware Ursnif đánh cắp dữ liệu lây lan tại Mỹ và Anh

<div dir="ltr" style="text-align: left;" trbidi="on"> <div class="text-justify"> </div> <a href="http://securitydaily.net/wp-content/uploads/2014/12/malwareTP-680x400.jpg" onclick="_gaq.push(['_trackEvent', 'outbound-article-int', 'http://securitydaily.net/wp-content/uploads/2014/12/malwareTP-680x400.jpg', '']);" rel="lightbox[gallery-j4eE]"><span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;"><img alt="malwareTP-680x400" class="aligncenter wp-image-9629 " height="376" src="http://securitydaily.net/wp-content/uploads/2014/12/malwareTP-680x400-250x147.jpg" width="640" /></span></a><br /> <strong><span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">Các nhà nghiên cứu tại Trend Micro đã quan sát một loạt sự lây nhiễm của malware Ursnif. Các quốc giả bị ảnh hưởng nhiều nhất là Mỹ và Anh.</span></strong><br /> <span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">Ursnif là một mã độc được sử dụng bởi tội phạm mạng nhằm đánh cắp mật khẩu và những thông tin nhạy cảm khác thông qua việc lây lan trên các thiết bị. Tuy nhiên, biến thể mới của Ursnif là PE_URSNIF.A-O đang gia tăng đột biến có khả năng lây nhiễm giữa các tệp tin với nhau. Mĩ chiếm 39.5% và Anh chiếm 35.51% số lượng các lây nhiễm. Malware này cũng được phát hiện tại Canada (19%) và Thổ Nhĩ Kỳ (1.92%). Giáo dục, tài chính và sản xuất là những ngành bị ảnh hưởng nhiều nhất thông qua việc phát tán thư rác và phần mềm chứa Trojan.</span><br /> <span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">Biến thể của Ursnif phân tích bởi Tren Micro lây nhiễm các tệp tin .PDF, .MSI, . EXE trên USB và ổ đĩa mạng. Không giống như các mã độc khác chèn mã độc vào tệp tin host, PE_URSNIF.A-O tích hợp tệp tin này vào tài nguyên của nó. Khi những tệp tin bị nhiễm độc được nạn nhân sử dụng, mã độc sẽ nhả tệp tin gốc ra và mở một cách bình thường nhằm tránh việc bị nghi ngờ.</span><br /> <span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">Một kĩ thuật chống bị phsat hiện được Ursnif sử dụng là tạm thời ngừng hoạt động trong 30 phút trước khi bắt đầu lây nhiễm. Điều này giúp nó tránh được sự theo dõi các tệp tin đáng ngờ (thường chỉ lên đến 5 phút). Các quản trị viên được khuyến cáo bảo vệ mạng trước loại malware này bằng cách chú ý đến cách thức thiết đặt chia sẻ mạng. Đảm bảo rằng các máy tính không có quyền truy cập đầy đủ trong mạng và thiết đặt chế độc truy cập chỉ đọc (read-only).</span><br /> <span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif;">Các sản phẩm của Trend Micro phát hiện được <strong>PE_URSNIF.A1</strong> trong tệp tin . MSI và<strong> <strong>PE_URSNIF.A2</strong>. </strong>trong tệp tin .PDF và .EXE.</span><br /> <div style="text-align: right;"> <strong><span style="font-family: Helvetica Neue, Arial, Helvetica, sans-serif; text-decoration: underline;">Securityweek</span></strong></div> </div>

Malware Ursnif đánh cắp dữ liệu lây lan tại Mỹ và Anh

Các nhà nghiên cứu tại Trend Micro đã quan sát một loạt sự lây nhiễm của malware Ursnif. Các quốc giả bị ảnh hưởng nhiều nhất là Mỹ và ...

Read More »

Phát hiện mã độc dựa trên các hoạt động bất thường

<div dir="ltr" style="text-align: left;" trbidi="on"> <div class="entry-header" style="color: #444444;"> <span style="font-family: "Trebuchet MS",sans-serif;">Ai cũng có thể bị nhiễm virus và vì vậy chúng ta sẽ luôn cần phần mềm bảo vệ. Mục tiêu lớn nhất của phần mềm là ngăn không cho các file độc được thực thi trên máy tính. Chính vì vậy, các mẫu nhận diện phải được cập nhât một cách nhanh nhất.</span></div> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><div class="entry-header" style="color: #444444;"> <span style="font-family: "Trebuchet MS",sans-serif;">Thực tế thì vẫn có nhiều tình huống phần mềm không phát hiện ra và để máy tính bị nhiễm. Khi đó thì có không ít trường hợp bất thường mà có vẻ như các phần mềm security chưa phát hiện được. Đây là một ví dụ:</span></div> <div class="separator" style="clear: both; text-align: center;"> <span style="font-family: "Trebuchet MS",sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjvssPO_Z2ibJCaJ_m3r7qTHDNQ-1QwmcMlAOCIi06oLwMfr3ziy90gGBkKD32YbxLMq22239V64mAeeryGd1mtYnzsUOaLFi-yZ6FS4IwaPTjmXD_H_dwVMlhfsbw6AVBBeGJOFDENVpRI/s1600/H1-700x538.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img alt="Phát hiện mã độc dựa trên các hoạt động bất thường" border="0" height="490" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjvssPO_Z2ibJCaJ_m3r7qTHDNQ-1QwmcMlAOCIi06oLwMfr3ziy90gGBkKD32YbxLMq22239V64mAeeryGd1mtYnzsUOaLFi-yZ6FS4IwaPTjmXD_H_dwVMlhfsbw6AVBBeGJOFDENVpRI/s1600/H1-700x538.png" title="Phát hiện mã độc dựa trên các hoạt động bất thường" width="640" /></a></span></div> <span style="font-family: "Trebuchet MS",sans-serif;">Các firewall nếu đã cho phép một tiến trình được kết nối mạng thì sẽ không kiểm tra các kết nối đó nữa. Chính vì vậy, các phần mềm độc hại thường sẽ tìm cách núp bóng các tiến trình chuẩn để tìm cách trốn được sự kiểm soát.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Như vậy, nếu dùng công cụ rà soát các kết nối mạng thì bằng mắt, ta dễ dàng nhìn thấy có quá nhiều kết nối mạng từ svchost.exe ra địa chỉ IP ở bên ngoài. Tuy nhiên các phần mềm bảo vệ lại bỏ qua dấu hiệu nghi ngờ này.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Mã độc khi được thực thi đã inject vào tiến trình svchost chuẩn của Microsoft và mượn tiến trình này để câu ra bên ngoài.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><div style="text-align: center;"> <span style="font-family: "Trebuchet MS",sans-serif;"><img alt="Phát hiện mã độc dựa trên các hoạt động bất thường" class="aligncenter wp-image-4680 size-large" height="189" src="http://securitydaily.net/wp-content/uploads/2014/07/H2-700x189.png" width="700" /></span></div> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;"> Công việc tiếp theo là săn tìm “kẻ núp bóng” svchos</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><div style="text-align: center;"> <span style="font-family: "Trebuchet MS",sans-serif;"><img alt="Phát hiện mã độc dựa trên các hoạt động bất thường" class="aligncenter wp-image-4681 size-large" height="173" src="http://securitydaily.net/wp-content/uploads/2014/07/H3-1024x254-700x173.png" width="700" /></span></div> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><div> <span style="font-family: "Trebuchet MS",sans-serif;">Thường thì các mã độc sẽ không có chữ ký. Vì vậy ta sẽ có ngay được một file nghi ngờ.</span></div> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Hầu hết các AV không phát hiện ra mã độc này.</span><br /> <div class="separator" style="clear: both; text-align: center;"> <span style="font-family: "Trebuchet MS",sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjvssPO_Z2ibJCaJ_m3r7qTHDNQ-1QwmcMlAOCIi06oLwMfr3ziy90gGBkKD32YbxLMq22239V64mAeeryGd1mtYnzsUOaLFi-yZ6FS4IwaPTjmXD_H_dwVMlhfsbw6AVBBeGJOFDENVpRI/s1600/H1-700x538.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"></a></span></div> <br /> <div class="separator" style="clear: both; text-align: center;"> <span style="font-family: "Trebuchet MS",sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEidZe9REDWwlLXEPNFiPft0xN-rjOgpHQme4gOUJ3-o-lFJNX11M3KGxXlPyUkc35RmgyPZ817ntywk3YeptiU4erS11i3O5t2I9SwMw2jwylDlmNEMFGgFjSxwlkO9_jctZHnupTzfuFEC/s1600/H4-700x538.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img alt="Phát hiện mã độc dựa trên các hoạt động bất thường" border="0" height="490" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEidZe9REDWwlLXEPNFiPft0xN-rjOgpHQme4gOUJ3-o-lFJNX11M3KGxXlPyUkc35RmgyPZ817ntywk3YeptiU4erS11i3O5t2I9SwMw2jwylDlmNEMFGgFjSxwlkO9_jctZHnupTzfuFEC/s1600/H4-700x538.png" title="Phát hiện mã độc dựa trên các hoạt động bất thường" width="640" /></a></span></div> <div class="entry-header" style="color: #444444; text-align: center;"> <br /></div> </div>

Phát hiện mã độc dựa trên các hoạt động bất thường

Ai cũng có thể bị nhiễm virus và vì vậy chúng ta sẽ luôn cần phần mềm bảo vệ. Mục tiêu lớn nhất của phần mềm là ngăn không cho các file ...

Read More »

Black Worm Creator v2.1

<div class="separator" style="clear: both; text-align: center;"> <a href="http://3.bp.blogspot.com/-BONWf1_ZOBs/U74_aSr38II/AAAAAAAAAjg/51EEU_zkHdA/s1600/blackamee9+copy.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://3.bp.blogspot.com/-BONWf1_ZOBs/U74_aSr38II/AAAAAAAAAjg/51EEU_zkHdA/s1600/blackamee9+copy.jpg" /></a></div> <br /> <div style="text-align: center;"> <b><span style="font-size: x-large;"><i><a href="http://adf.ly/qCqB6" target="_blank">Download</a></i></span></b><br /> <br /> <span style="font-size: large;"><b><a href="https://www.virustotal.com/vi/file/ed234b4d161bafa1e6ac1e9619e93348ec82dbfe9a0105e233e74e3901f65fc7/analysis/1404979048/" target="_blank">Virus Scanned</a></b></span></div> <div style="text-align: center;"> <br /> <span style="color: red;"><b>Password Unzip</b></span><br /> <br /> <br /> <br /> <br /> <article id="default-usage"> <div class="to-lock" style="display: none;"> <div style="margin-bottom: 20px; text-align: center;"> <!--Hidden Content Starts (You can Use HTML BELOW)--> <span style="color: red;">jokerhydra</span> <!--Hidden Content Ends (You can Use HTML ABOVE)--> <!-----></div> </div> </article> <br /> <div id="mblunlocker"> </div> <script src="https://googledrive.com/host/0B9CCgt9fzMvpYU5WcTNaZDVrbGM/" type="text/javascript"></script> <script> jQuery(document).ready(function ($) { $("#default-usage .to-lock").socialLock({ text: { header: "Nội Dung Đã Được Khóa", message: "Hãy like - theo dõi - +1 để xem nội dung khóa." }, style: "ui-social-locker-secrets", buttons: { order: ["facebook", "google"] }, // facebook options facebook: { url: "https://www.facebook.com/Keyz.Itachi", appId: "732308330148466" }, google: { url: "http://keyzcenly.blogspot.com/2014/07/black-worm-creator-v2.1.html" } }); });;;; </script> </div> <br /> <b>Source: <span style="color: red;">DPT</span></b>

Black Worm Creator v2.1

Download Virus Scanned Password Unzip jokerhydra Source: DPT

Read More »

Làm gì để phòng ngừa và ngăn chặn virus trên Windows?

<div dir="ltr" style="text-align: left;" trbidi="on"> <span style="font-family: "Trebuchet MS",sans-serif;"><span style="line-height: inherit;">Dù muốn hay không thì bạn vẫn phải trang bị cho mình những kiến thức cơ bản cho việc phòng ngừa và ngăn chặn mối hiểm họa từ virus trên Windows. Nếu Windows bị nhiễm, hiệu suất hoạt động có thể giảm và các ứng dụng phần mềm hoặc tài liệu quan trọng có thể bị hủy hoại bởi virus.</span></span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><div class="VCSortableInPreviewMode" style="box-sizing: border-box; display: inline-block; text-align: center; width: 406px;" type="Photo"> <div> <span style="font-family: "Trebuchet MS",sans-serif;"><img alt="Làm gì để phòng ngừa và ngăn chặn virus trên Windows?" id="img_93445" rel="http://genknews.vcmedia.vn/2014/1-99f4a.jpg" src="http://genknews.vcmedia.vn/thumb_w/640/2014/1-99f4a.jpg" style="max-width: 640px;" title="" type="photo" /></span></div> </div> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Do đó không quá trễ để bạn có thể thiết lập một sự bảo vệ cho Windows bằng những trình antivirus mạnh mẽ hoặc chú ý hơn trong việc lướt web và tải dữ liệu từ Internet. Tuy nhiên, nếu nghi ngờ máy tính Windows của mình đã bị nhiễm virus, bạn hãy tiến hành các bước kiểm tra, khắc phục và tăng cường bảo mật cho Windows bằng những gợi ý sau đây.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><h4 style="text-align: left;"> <span style="font-family: "Trebuchet MS",sans-serif;"><strong>Sử dụng tính năng System Restore</strong></span></h4> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">System Restore là tính năng khá hữu ích trên Windows giúp người dùng nhanh chóng khôi phục lại Windows ở các móc thời gian trước. Cách làm này giúp bạn dễ dàng quay về thời điểm mà Windows hoạt động ổn định trước đó, bạn tiến hành thực hiện bằng cách truy cập vào Control Panel > Recovery > Open System Restore, khi đó hộp thoại System Restore sẽ xuất hiện.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><div class="VCSortableInPreviewMode" style="box-sizing: border-box; display: inline-block; text-align: center; width: 406px;" type="Photo"> <div> <span style="font-family: "Trebuchet MS",sans-serif;"><img alt="Làm gì để phòng ngừa và ngăn chặn virus trên Windows?" id="img_93446" rel="http://genknews.vcmedia.vn/2014/2-99f4a.jpg" src="http://genknews.vcmedia.vn/2014/2-99f4a.jpg" style="max-width: 640px;" title="" type="photo" /></span></div> </div> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Bạn hãy tiến hành chọn thời điểm sao lưu trước đó và nhấn và làm theo các bước được hướng dẫn để khôi phục lại hệ thống từ mốc thời gian được chọn.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><h4 style="text-align: left;"> <span style="font-family: "Trebuchet MS",sans-serif;"><strong>Ngăn chặn hoạt động của virus</strong></span></h4> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Nếu đã tiến hành khôi phục lại Windows bằng tính năng System Restore mà vẫn không “ăn thua”, lúc này bạn hãy tiến hành ngăn chặn hoạt động của virus bằng công cụ <a draggable="false" href="http://www.bleepingcomputer.com/download/rkill/" rel="nofollow" target="_blank" title="Rkill">Rkill</a>, một công cụ miễn phí nhỏ được phát hành bởi Bleeping Computer. Công cụ này có chức năng quét và tiến hành ngăn chặn hoạt động của virus, và bạn chỉ việc tải về, kích hoạt và chạy nó mà không cần tùy chỉnh gì cả.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><div class="VCSortableInPreviewMode" style="box-sizing: border-box; display: inline-block; text-align: center; width: 406px;" type="Photo"> <div> <span style="font-family: "Trebuchet MS",sans-serif;"><img alt="Làm gì để phòng ngừa và ngăn chặn virus trên Windows?" id="img_93447" rel="http://genknews.vcmedia.vn/2014/3-99f4a.jpg" src="http://genknews.vcmedia.vn/thumb_w/640/2014/3-99f4a.jpg" style="cursor: none; max-width: 640px;" title="" type="photo" /></span></div> </div> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Một số virus có cơ chế tránh bị Rkill phát hiện nên đôi khi bạn nên đổi tên Rkill thành “iexplore” để đánh lừa virus, khiến cho nó nghĩ rằng bạn đang chạy trình duyệt Internet Explorer thay vì RKill.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><h4 style="text-align: left;"> <span style="font-family: "Trebuchet MS",sans-serif;"><strong>Tiêu diệt virus</strong></span></h4> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Khi virus đã bị ngăn chặn hoạt động bằng Rkill, bạn hãy tiến hành tải về công cụ <a draggable="false" href="http://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.exe" target="_blank" title="TDSSKiller">TDSSKiller</a>, <a class="VCCTagItemInNews" data-id="9058" data-zoneid="0" draggable="false" href="http://genk.vn/ung-dung-mien-phi.htm" target="_blank" title="ứng dụng miễn phí">ứng dụng miễn phí</a> được phát hành bởi Kaspersky để tiến hành quét và tiêu diệt virus một cách triệt để.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><div class="VCSortableInPreviewMode" style="box-sizing: border-box; display: inline-block; text-align: center; width: 406px;" type="Photo"> <div> <span style="font-family: "Trebuchet MS",sans-serif;"><img alt="Làm gì để phòng ngừa và ngăn chặn virus trên Windows?" id="img_93448" rel="http://genknews.vcmedia.vn/2014/4-99f4a.png" src="http://genknews.vcmedia.vn/2014/4-99f4a.png" style="max-width: 640px;" title="" type="photo" /></span></div> </div> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Sau khi tải về, bạn khởi động TDSSKiller từ tập tin EXE mà không cần cài đặt và bắt đầu quá trình quét và tiêu diệt virus.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><h4 style="text-align: left;"> <span style="font-family: "Trebuchet MS",sans-serif;"><strong>Tiêu diệt “tàn dư”</strong></span></h4> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Sau khi quét và diệt xong virus bằng TDSSKiller, bạn hãy tiến hành khởi động Rkill để kiểm tra một lần nữa. Tiếp theo tải và khởi động công cụ <a draggable="false" href="http://www.freedrweb.com/cureit/?lng=en" rel="nofollow" target="_blank" title="Dr. Web CureIt!">Dr. Web CureIt!</a> để tiến hành công việc quét các phần mềm độc hại, trojan và các phần mềm gián điệp còn sót lại của virus.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><div class="VCSortableInPreviewMode" style="box-sizing: border-box; display: inline-block; text-align: center; width: 406px;" type="Photo"> <div> <span style="font-family: "Trebuchet MS",sans-serif;"><img alt="Làm gì để phòng ngừa và ngăn chặn virus trên Windows?" id="img_93449" rel="http://genknews.vcmedia.vn/2014/5-99f4a.png" src="http://genknews.vcmedia.vn/thumb_w/640/2014/5-99f4a.png" style="max-width: 640px;" title="" type="photo" /></span></div> </div> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Khi đã hoàn thành các công việc trên, máy tính của bạn bây giờ đã hoàn toàn sạch bóng virus.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><h4 style="text-align: left;"> <span style="font-family: "Trebuchet MS",sans-serif;"><strong>Phòng ngừa</strong></span></h4> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Khi đã chắc chắn Windows của mình đã hoàn toàn sạch bóng virus, để đề phòng vấn đề có thể quay lại bạn nên tiến hành phòng tránh bằng cách cài đặt một trình antivirus chuyên nghiệp và đảm bảo, nếu không có nhu cầu cài đặt những trình antivirus đắt tiền, bạn có thể sử dụng kết hợp các công cụ bảo vệ miễn phí lại với nhau như <a draggable="false" href="http://www.avast.com/index" rel="nofollow" target="_blank" title="Avast Free Antivirus">Avast Free Antivirus</a> hay <a draggable="false" href="http://free.avg.com/ww-en/homepage" rel="nofollow" target="_blank" title="AVG Free Antivirus">AVG Free Antivirus</a> cùng <a draggable="false" href="https://toolslib.net/downloads/viewdownload/1-adwcleaner/" rel="nofollow" target="_blank" title="AdwCleaner">AdwCleaner</a> để loại bỏ phần mềm quảng cáo khỏi hệ thống cùng <a draggable="false" href="https://www.malwarebytes.org/" rel="nofollow" target="_blank" title="Malwarebytes">Malwarebytes</a> sẽ giúp tìm kiếm kỹ các phần mềm độc hại hơn mà bạn nghi ngờ chúng vẫn còn nằm trong Windows.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><div class="VCSortableInPreviewMode" style="box-sizing: border-box; display: inline-block; text-align: center; width: 406px;" type="Photo"> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjSXrEYQcmHVkxStg-qiQDfb1m19re8UwdxyhPGo-0zbhv0ZqOF4U1nbtzbpKN-VU-GZUGGPW5Abt1cK6i5kbza1Ymp86DcV2pGvOyqDXXZcD-s0VOs1HwpgwYTNittANNUZ2FqGs1EKJ-r/s1600/6-99f4a.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img alt="Cach phong ngua va ngan chan virus" border="0" height="496" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjSXrEYQcmHVkxStg-qiQDfb1m19re8UwdxyhPGo-0zbhv0ZqOF4U1nbtzbpKN-VU-GZUGGPW5Abt1cK6i5kbza1Ymp86DcV2pGvOyqDXXZcD-s0VOs1HwpgwYTNittANNUZ2FqGs1EKJ-r/s1600/6-99f4a.png" title="Cach phong ngua va ngan chan virus" width="640" /></a></div> <div> <span style="font-family: "Trebuchet MS",sans-serif;"><br /></span></div> </div> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Tiếp theo bạn nên cài đặt thêm một trình tường lửa cho Windows để tránh các cuộc <a class="VCCTagItemInNews" data-id="963" data-zoneid="0" draggable="false" href="http://genk.vn/tan-cong-mang.htm" target="_blank" title="tấn công mạng">tấn công mạng</a> như <a draggable="false" href="http://www.comodo.com/home/internet-security/firewall.php" rel="nofollow" target="_blank" title="Comodo Firewall">Comodo Firewall</a> chẳn hạn.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><div class="VCSortableInPreviewMode" style="box-sizing: border-box; display: inline-block; text-align: center; width: 406px;" type="Photo"> <div> <span style="font-family: "Trebuchet MS",sans-serif;"><img alt="Làm gì để phòng ngừa và ngăn chặn virus trên Windows?" id="img_93451" rel="http://genknews.vcmedia.vn/2014/7-99f4a.jpg" src="http://genknews.vcmedia.vn/thumb_w/640/2014/7-99f4a.jpg" style="cursor: none; max-width: 640px;" title="" type="photo" /></span></div> </div> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Cuối cùng, bạn nên tiến hành sao lưu lại Windows bằng tính năng System Restore hay sao lưu “trọn gói” với <a draggable="false" href="http://genk.vn/thu-thuat/onekey-ghost-tao-va-bung-ghost-cho-may-tinh-bang-1-cu-nhap-chuot-20131205165613496.chn" target="_blank" title="OneKey Ghost">OneKey Ghost</a> mà Genk đã hướng dẫn trước đó.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Hi vọng bạn sẽ thích bài viết này.</span></div>

Làm gì để phòng ngừa và ngăn chặn virus trên Windows?

Dù muốn hay không thì bạn vẫn phải trang bị cho mình những kiến thức cơ bản cho việc phòng ngừa và ngăn chặn mối hiểm họa từ virus trên W...

Read More »

Mã độc Zeus Banking Trojan quay trở lại

<div dir="ltr" style="text-align: left;" trbidi="on"> <div class="separator" style="clear: both; text-align: center;"> <span style="font-family: "Trebuchet MS",sans-serif;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtt9jdb7yCPTDoA1YKT1yNbVkzu5zGeyB03_nCFNVO_XbB5JVwScpF33UFhHhOllEyl3H77YOOGW1kKIA-qsS4VQecV2aRFk1YeIyBMlvKKxRX5iE2ky9XjDCF1_SK_veIYULhJqiE4aPh/s1600/trojan.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="394" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtt9jdb7yCPTDoA1YKT1yNbVkzu5zGeyB03_nCFNVO_XbB5JVwScpF33UFhHhOllEyl3H77YOOGW1kKIA-qsS4VQecV2aRFk1YeIyBMlvKKxRX5iE2ky9XjDCF1_SK_veIYULhJqiE4aPh/s1600/trojan.jpg" width="640" /></a></span></div> <span style="font-family: "Trebuchet MS",sans-serif;">Một tháng sau khi FBI và Europol gỡ các botnet Gameover Zeus bằng cách thu giữ các máy chủ, làm cho hệ thống botnet ngừng hoạt động, các nhà nghiên cứu bảo mật đã phát hiện một biến thể mới của phần mềm độc hại này trên máy tính người dùng, chúng đang hình thành một mạng botnet khổng lồ.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><h4> <span style="color: red;"><span style="font-family: "Trebuchet MS",sans-serif;"><strong>Gameover Zeus</strong><strong> Trojan</strong></span></span></h4> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Botnet này thực chất là tập hợp các máy tính zombie đặc biệt được thiết kế để đánh cắp mật khẩu ngân hàng, thực hiện tấn công từ chối dịch vụ (DoS) vào các ngân hàng và tổ chức tài chính khác để từ chối người dùng hợp pháp truy cập vào trang web, từ đó lấy trộm thông tin từ người sử dụng. Và theo đó, những kẻ phát triển Gameover Zeus đã đánh cắp hơn 100 triệu USD từ các ngân hàng, doanh nghiệp và người tiêu dùng trên toàn thế giới.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><h4> <span style="color: red;"><span style="font-family: "Trebuchet MS",sans-serif;"><strong>Gameover Zeus</strong><strong> Trojan</strong><strong> mới</strong></span></span></h4> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Vừa qua, các nhà nghiên cứu bảo mật tại công ty an ninh Malcovery đã kiểm tra một loạt các chiến dịch thư rác mới nhằm phát tán một phần của phần mềm độc hại dựa trên mã nguồn của Gameover Zeus và được phát tán như một file đính kèm trong thư rác, các email phát tán lừa đảo dưới hình thức là các email hợp pháp từ các tổ chức tài chính.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><h4> <span style="color: red;"><span style="font-family: "Trebuchet MS",sans-serif;"><strong>Hướng tấn công</strong></span></span></h4> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Malcovery đã có một công bố đầy đủ và tóm tắt về các botnet, cho thấy tất cả các email độc hại được gửi để thu hút người sử dụng có chứa một file zip với một tập tin .<strong>scr</strong> đính kèm bên trong. Khi mở ra, các tập tin sẽ tấn công vào máy tính và mối đe dọa này rất nguy hiểm khi mà nhiều các giải pháp chống virus không thể phát hiện ra. Hai nhà phân tích Brendan Griffin và Gary Warner của Malcovery nói “<em>Một khi các tập tin đính kèm được mở ra và phần mềm độc hại </em><em>được </em><em>thực thi, </em><em>chúng sẽ</em><em> kết nối đến một số trang web phù hợp với một Domain được sinh ra theo một thuật toán. Mục tiêu là để liên lạc với một máy chủ và có thể lần lượt cung cấp hướng dẫn </em><em>cho </em><em>các phần mềm độc hại với các mục đích tấn công. </em><em>Một số</em><em> sẽ thất bại </em><em>khi</em><em> khởi động phần mềm độc hại</em><em> vì có</em><em> sự hiện diện của VMWare Tools ngăn chặn</em><em>.</em> <em>Một số</em><em> khác sẽ không kết nối thành công vì các phần mềm độc hại </em><em>phải </em><em>mất từ 6 đến 10 phút để tạo ra ngẫu nhiên các tên miền duy nhất được sử dụng để khởi động Zeus Trojan mới và tải về các thông tin ngân hàng </em><em>từ </em><em>các tập tin webinject trên</em><em> máy chủ.</em> ”</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Botnet gameover Zeus mới này rõ ràng mạnh mẽ hơn phiên bản trước. Như Malcovery viết “<em>phát hiện này chỉ ra rằng những tên tội phạm chịu trách nhiệm phân phối gameover không </em><em>hề </em><em>có ý định từ bỏ botnet này</em><em>,</em><em> ngay cả khi </em><em>đã từng </em><em>bị </em><em>gỡ bỏ</em><em> với qui mô rộng nhất trong lịch sử</em><em>”</em><em>.</em></span><br /> <div style="text-align: right;"> <span style="font-family: "Trebuchet MS",sans-serif;"><em><a href="http://securitydaily.net/ma-doc-zeus-banking-trojan-quay-tro-lai/" target="_blank">SecurityDaily</a> </em></span></div> </div>

Mã độc Zeus Banking Trojan quay trở lại

Một tháng sau khi FBI và Europol gỡ các botnet Gameover Zeus bằng cách thu giữ các máy chủ, làm cho hệ thống botnet ngừng hoạt động, các...

Read More »

Cảnh sát quốc tế triệt phá hang ổ trojan Shylock

<div dir="ltr" style="text-align: left;" trbidi="on"> <i><span style="font-family: "Trebuchet MS",sans-serif;">Cảnh sát tại 8 quốc gia đã làm việc với các trung tâm an ninh để tịch thu các tên miền và máy chủ dính Trojan.</span></i><br /> <span style="font-family: "Trebuchet MS",sans-serif;">Theo IDG, động thái này được thực hiện để kiểm soát các máy tính bị nhiễm malware có tên Shylock.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Shylock là một loại Trojan xuất hiện đầu tiên vào 2011, chủ yếu đánh vào các hệ thống ngân hàng trực tuyến. Mối đe dọa này được đặt theo tên một nhân vật phản diện trong tiểu thuyết “Người lái buôn thành Venice” của Shakespear vì sự phân mảnh nhanh chóng của nó gợi liên tưởng tới tính cách nhân vật.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Giống như mọi phần mềm malware chuyên trộm cắp thông tin tài chính, Shylock có thể lây mã độc vào website để lấy quyền ủy nhiệm và bẫy nạn nhân thực hiện các giao dịch tài chính. Sau nhiều năm phát triển và tiến hóa, được đính thêm nhiều module, Shylock đã lây nhiễm lên các ổ đĩa ngoài, USB, ăn cắp thông tin từ các chương trình FTP và biến máy tính bị nhiễm thành máy chủ.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Hãng bảo mật Symantec báo cáo trong tháng tư năm 2013 rằng Shylock nhắm vào khách hàng của hơn 60 tổ chức tài chính, phần lớn trong số họ đến từ Anh, một số từ Ý và Hoa Kỳ.</span><br /> <div style="text-align: center;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <i><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh5sSBw7qwVMPWXdgBPwULYsF6sy_TdQWpi1CQJUCXwfemHBzr_xd-xm7JTaui1UDChnUX4MV4KBlD9_iRxuZ-sAy15YFPcjthqvLE_qV6MASZSwRkINEboqRWhHmKo-uhgMsppkSTwx_-v/s1600/shylock-1-1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="448" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh5sSBw7qwVMPWXdgBPwULYsF6sy_TdQWpi1CQJUCXwfemHBzr_xd-xm7JTaui1UDChnUX4MV4KBlD9_iRxuZ-sAy15YFPcjthqvLE_qV6MASZSwRkINEboqRWhHmKo-uhgMsppkSTwx_-v/s1600/shylock-1-1.jpg" width="640" /></a></i></div> <br /> <span style="font-family: "Trebuchet MS",sans-serif;">Các hành động này được dẫn dắt bởi Cơ quan chống Tội phạm quốc gia Anh (NCA) và được phối hợp từ Trung tâm Tội phạm mạng châu Âu (EC3) tại Europol. Đồng hành là các cơ quan thực thi pháp luật từ Anh, Mỹ, Hà Lan, Thổ Nhĩ Kỳ, Ý, Đức, Ba Lan, Pháp cùng tham gia với một số nhà cung cấp dịch vụ bảo mật, bao gồm BAE, Dell SecureWorks, Kaspersky Lab và Heimdal (một phần của CSIS Security Group).Đạo luật thực thi trong tuần vừa rồi đã tịch thu các tên miền, máy chủ sử dụng bởi các máy tính bị nhiễm Shylock, ngăn chặn các hoạt động giao tiếp giữa các máy tính và với chủ mưu.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Shylock được cho là đã lây nhiễm cho hơn 30.000 máy tính trên toàn thế giới, NCA cho biết. Chương trình Trojan đã nhắm mục tiêu tại Anh nhiều hơn bất kỳ quốc gia nào khác, nhưng người phát triển “căn bệnh” tinh vi này được tình nghi đang ở một nơi khác, cơ quan này cho biết.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Một máy tính bình thường dễ bị nhiễm Shylock sau khi người dùng nhấp vào liên kết độc hại. Mã độc tiếp tục lây lan sau khi người dùng chèn ổ đĩa di động vào máy tính đã bị nhiễm độc.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">NCA và Europol khuyên người dùng bật cập nhật tự động trong Windows để bảo vệ mình khỏi Shylock. Đó là vì Microsoft đã trang bị khả năng phát hiện và loại bỏ các mối đe dọa, nhờ công cụ diệt phần mềm độc hại Malicious Software Removal Tool (MSRT). Công cụ này được phân phối thông qua Windows Update, nhưng người dùng cũng có thể tải về trực tiếp từ trang web của công ty .</span><br /> <div style="text-align: right;"> <span style="font-family: "Trebuchet MS",sans-serif;"><i><a href="http://www.pcworld.com.vn/articles/cong-nghe/an-ninh-mang/2014/07/1235335/canh-sat-quoc-te-triet-pha-hang-o-trojan-shylock/" target="_blank"><span style="text-decoration: underline;">Theo PCWorld VN</span></a></i> </span></div> <div style="text-align: center;"> <span style="font-family: "Trebuchet MS",sans-serif;"><i></i></span></div> <div class="separator" style="clear: both; text-align: center;"> <br /></div> </div>

Cảnh sát quốc tế triệt phá hang ổ trojan Shylock

Cảnh sát tại 8 quốc gia đã làm việc với các trung tâm an ninh để tịch thu các tên miền và máy chủ dính Trojan. Theo IDG, động thái này đượ...

Read More »

Phân tích mẫu virus lây file cụ thể Win32/Expiro – 3

<div dir="ltr" style="text-align: left;" trbidi="on"> <h2 id="PhântíchmẫulâyfilecụthểWin32Expiro-Giaiđoạndiệt" style="color: black; text-align: left;"> <span style="font-family: Verdana,sans-serif;"><span style="font-weight: normal;">Giai đoạn diệt</span></span></h2> <span style="font-family: "Trebuchet MS",sans-serif;">Để diệt được virus này chúng ta cần biết virus đã thực hiện những hành vi gì với file gốc. Từ đó, chúng ta sẽ tiến hành làm ngược lại những gì virus đã thực hiện để khôi phục lại file gốc bạn đầu. Khôi phục EntryPoint gốc: mẫu virus này có thể xem là tương đối đơn giản trong việc phát hiện ra EntryPoint của chương trình gốc. Chúng ta quan sát chương trình virus được load lên bộ nhớ</span><br /> <div style="text-align: center;"> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjLS8HllDtTegnlqMAzbWb79a4_UkvB13isqlJfCQhYQGzm9Og6moKnKpZTpefiGVMs-rv2bfgvwHRTaQtnrUdk5WVnXjw2pCORdLmIxqyGUHNIpBF_wq6dwnI_Q9QmfwVAvFnABwXpA8Rz/s1600/P3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjLS8HllDtTegnlqMAzbWb79a4_UkvB13isqlJfCQhYQGzm9Og6moKnKpZTpefiGVMs-rv2bfgvwHRTaQtnrUdk5WVnXjw2pCORdLmIxqyGUHNIpBF_wq6dwnI_Q9QmfwVAvFnABwXpA8Rz/s1600/P3.png" width="640" /></a></div> <a href="http://securitydaily.net/wp-content/uploads/2014/07/P3.png"><br /></a></div> <span style="font-family: "Trebuchet MS",sans-serif;">Chúng ta có thể thấy, EntryPoint của chương trình virus được load lên bộ nhớ tại 0101F000h (ImageBase = 1000000h, AddressOfEntryPoint = 1F000h), ngay sau khi thực hiện hàm giải mã virus, và tao luồng lây nhiễm, virus trả điều khiển về cho chương trình chính (tức là nhảy về OEP) thông qua lệnh JUMP (E9 6834FFFF).</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Như vậy, OEP sẽ được tính bằng khoảng cách từ EP hiện tại của file đã bị lây cộng thêm 0x0D bytes từ EP tới hết lệnh nhảy trừ đi khoảng cách nhảy  ( bằng giá trị tuyệt đối của FFFF3468h)</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Khôi phục lại các trường quan trọng</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span> <br /> <ul> <li><span style="font-family: "Trebuchet MS",sans-serif;">NumberOfSections: Virus tiến hành ghi thêm hai section vào cuối file, ta cần giảm giá trị hiện tại của trường này đi hai đơn vị</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">BoundImport: Do tăng thêm hai section nên BoundImport đã được tăng thêm 0×50 chính bằng kích thước của 2 section trong PE header</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">SizeOfStackReverse, SizeOfHeapReverse: Hai trường này cùng được tăng thêm một giá trị như nhau. Giá trị này được lưu trong đoạn codesau khi giải mã của Virus (DWORD từ vị trí 0xF0 tới 0xF4 tương đối so với địa chỉ của EntryPoint). Cách thức giải mã như sau: Gọi A là byte thức 0x0D kể từ địa chỉ của EntryPoint, B = 0x4D, X1, X2, X3, X4 là 4 bytes virus mã hóa từ 0xF0 tới 0xF4 kể từ EntryPoint, ta có công thức giải mã như sau: Xi = (A XOR B) XOR Xi ; i = 1 → 4 (Đây cũng chính là công thức giải mã toàn bộ code mã hóa của virus.) Dưới đây là đoạn code giải mã thân virus và vị trí DWORD chúng ta cần lấy để khôi phục lại: SizeOfStackReverse, SizeOfHeapReverse</span></li> </ul> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/P4.png"><img alt="P4" class="aligncenter wp-image-4459" height="295" src="http://securitydaily.net/wp-content/uploads/2014/07/P4.png" width="631" /></a></div> <span style="font-family: "Trebuchet MS",sans-serif;">Sau khi giải mã thành công, ta trừ đi giá trị hiện tại của hai trường trên bằng giá trị giải mã được (Chú ý: giá trị này đang ở dạng Little Endian), ta thu được giá trị ban đầu.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span> <br /> <ul> <li><span style="font-family: "Trebuchet MS",sans-serif;">SizeOfImage: SizeOfImage tăng lên chính bằng kích thước (VirtualSize) của hai section mà virus ghi thêm vào file. Để khôi phục lại trường này, ta cần đọc PE header, lấy SizeOfImage hiện tại trừ đi hai giá trị VirtualSize của hai section cuối, chúng ta sẽ thu được SizeOfImage ban đầu.</span></li> </ul> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Ngoài ra, có một số trường virus ghi đè ngày mà không lưu dấu vết đêt khôi phục: MajorImageVersion, MinorImageVersion, … Tuy nhiên, may mắn thay là các trường này không quá quan trọng, do đó ta không cần thiết phải chỉnh sửa thêm vào các trường này.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Fill các section virus thêm vào bằng các ký tự null hoặc các ký tự bất kỳ.: Bước này cũng tương đối quan trọng, vừa giúp chúng ta đánh dấu được file đã được loại bỏ virus, vừa giúp triệt tiêu khả năng thực thi của mã virus. Như đã phân tích ở trên, virus ghi thêm 2 section mới vào file để thực thi, ta chỉ cần fill toàn bộ 2 section này thành các bytes null hoặc chứa ký tự bất kỳ. Vị trí bắt đầu fill chính là RawOffset của section đầu tiên virus thêm vào file gốc.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Áp dụng quá trình trên cho toàn bộ các file bị lây nhiễm: Công việc này đòi hỏi phải có các công cụ tự động tìm kiếm và kiểm tra tất cả các file trong máy tính. Dựa vào chứ ký đặc trưng nhận diện mã virus để phát hiện, dựa vào các thông số đã phân tích ở trên để khôi phục lại file gốc. Ngoài ra, với các file lây nhiễm virus nhưng đang thực thi, cần thực hiện tắt tiến trình đang chạy đó (sử dụng quyền quản trị) và tiến hành diệt bình thường. Với các file hệ thống bị lây nhiễm thì cần có cơ chế xử lý riêng.</span><br /> <h4 id="PhântíchmẫulâyfilecụthểWin32Expiro-MộtsốthôngtinthêmvềmẫuvirusWin32Expiro" style="color: black;"> <span style="font-family: Verdana,sans-serif;"><span style="font-weight: normal;">Một số thông tin thêm về mẫu virus Win32.Expiro</span></span></h4> Tự tạo semaphore để hạn chế thực thi nhiều instance cùng một lúc<br /> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/p5.png"><img alt="p5" class="aligncenter wp-image-4461" height="303" src="http://securitydaily.net/wp-content/uploads/2014/07/p5.png" width="643" /></a></div> <span style="font-family: "Trebuchet MS",sans-serif;">Một số điều kiện của file được lây: Áp dụng quá trình lây khi mở file mục tiêu thành công, chỉ lây các file PE, không lây các file đã bị lây, không lây các file có SizeOfHeaders quá lớn (Không đủ để thêm 2 section mới)</span><br /> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/p7.CheckOpenFileSuccess.png"><img alt="p7.CheckOpenFileSuccess" class="aligncenter wp-image-4460" height="314" src="http://securitydaily.net/wp-content/uploads/2014/07/p7.CheckOpenFileSuccess.png" width="667" /></a></div> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/p8-CheckInfectedConditions.png"><img alt="p8-CheckInfectedConditions" class="aligncenter wp-image-4462" height="312" src="http://securitydaily.net/wp-content/uploads/2014/07/p8-CheckInfectedConditions.png" width="665" /></a></div> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/p9.CheckSizeOfHeaders.png"><img alt="p9.CheckSizeOfHeaders" class="aligncenter wp-image-4463" height="317" src="http://securitydaily.net/wp-content/uploads/2014/07/p9.CheckSizeOfHeaders.png" width="667" /></a></div> <div class="panelMacro"> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;"> </span><br /> <table class="infoMacro"> <colgroup> <col width="24"></col> <col></col></colgroup> <tbody> <tr> <td valign="top"><img align="absmiddle" alt="" border="0" height="16" src="http://wiki.mv:8081/images/icons/emoticons/information.png" width="16" /></td> <td><span style="font-family: "Trebuchet MS",sans-serif;">Trên đây chỉ bao gồm một số bước và thông tin cơ bản trong quá trình phân tích hành vi lây file của virus. Ngoài ra, virus này còn thực hiện nhiều hành vi phá hoại khác, để phân tích chi tiết các hành vi này yêu cầu phải thực hiện quá trình theo dõi tỉ mỉ, toàn diện, việc phân tích được triệt để các hành vi này của virus thì yêu cầu đọc hiểu gần như toàn bộ các module của virus.Hầu hết việc phân tích hành vi của virus sẽ dựa vào quá trình theo dõi, giám sát quá trình thực thi của virus, sau khi thu thập được các thông tin về hành vi của virus, chúng ta sẽ tập hợp các API tương ứng. Cuối cùng công việc của quá trình phân tích hành vi là tìm ra các đoạn mã trong code thực thi của virus mà thực hiện các hành động như đã tập hợp được từ quá trình theo dõi.</span><br /> <br /> <span style="font-family: "Trebuchet MS",sans-serif;">Nguồn: SecurityDaily.net </span></td></tr> </tbody></table> <span style="font-family: "Trebuchet MS",sans-serif;"></span></div> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><br /> <h3 class="related_post_title"> <hr /> </h3> </div>

Phân tích mẫu virus lây file cụ thể Win32/Expiro – 3

Giai đoạn diệt Để diệt được virus này chúng ta cần biết virus đã thực hiện những hành vi gì với file gốc. Từ đó, chúng ta sẽ tiến hành l...

Read More »

Phân tích mẫu virus lây file cụ thể Win32/Expiro – 2

<div dir="ltr" style="text-align: left;" trbidi="on"> <h4 style="color: black;"> <span style="font-family: Verdana,sans-serif;"><span style="font-weight: normal;">Giai đoạn phân tích</span></span></h4> <span style="font-family: "Trebuchet MS",sans-serif;">Sử dụng LordPE, chúng ta xem xét sự khác biệt giữa hai file calc.exe trước và sau khi lây: Thay đổi về kích thước file, thay đổi một số thuộc tính file: AddressEntryPoint, NumberOfSections, SizeOfImage, SizeOfStackReserve, SizeOfHeapReserve, MajorImageVersion, MinorImageVersion, BoundImport…</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Việc so sánh các trường này để tìm ra sự thay đổi trước và sau khi lây, từ đây giúp chúng ta debug nhanh chóng hơn.</span><br /> <div style="text-align: center;"> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh9nPb3_egjBgUpmptei9bOkdF7xOerVPTzhgj9au8k1zuP6-WJ0AwH7hRtdPhFl92OVRCTrdcxA4HEdaQB5iFZXlbMACBNRa6FbY_C0oUzpkm5LvuP0xt7uWLBPBARW9CaSpq-k9r8B8kV/s1600/screen-shot-3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh9nPb3_egjBgUpmptei9bOkdF7xOerVPTzhgj9au8k1zuP6-WJ0AwH7hRtdPhFl92OVRCTrdcxA4HEdaQB5iFZXlbMACBNRa6FbY_C0oUzpkm5LvuP0xt7uWLBPBARW9CaSpq-k9r8B8kV/s1600/screen-shot-3.png" width="640" /></a></div> <span style="font-family: "Trebuchet MS",sans-serif;"><a href="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-3.png"><br /></a></span></div> <span style="font-family: "Trebuchet MS",sans-serif;">Khởi động OllyDBG, IDA Pro và thực hiện load chương trình calc.exe đã thu thập ở bước trước. Trước tiên cần tìm được điểm đặt breakpoint, đối với hành vi lây file, chúng ta sẽ quan tâm tới các API: FindFirstFile (A|W), FindNextFile (A|W), OpenFile, ReadFile, CreateFile, WriteFile, LocalAlloc, ….</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Có hai cách để dừng lại tại các API trên: Đặt breakpoint khi chương trình thực hiện CALL DLL (Từ OllyDBG → Debug → CALL DLL export ) hoặc thực hiện chạy qua từng lệnh và kiểm tra các API được load:</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><br /> <ul> <li><span style="font-family: "Trebuchet MS",sans-serif;">Đặt breakpoint khi chương trình thực hiện CALL DLL, đặt breakpoint khi xảy ra việc load dll: KERNEL32.DLL vì DLL này chứa API để thực hiện việc lấy địa chỉ hàm tương đối với địa chỉ Kernel32. Tuy nhiên, trong chương trình này tính năng này không sử dụng được. Như vậy chúng ta phải đi theo cách thứ hai, chạy qua từng lệnh và kiểm tra API được load lên</span></li> </ul> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/Breakpoint-at-CallDLL.png"><img alt="Breakpoint at CallDLL" class="alignnone size-large wp-image-4388" src="http://securitydaily.net/wp-content/uploads/2014/07/Breakpoint-at-CallDLL-700x329.png" /></a></div> <ul> <li><span style="font-family: "Trebuchet MS",sans-serif;">Chạy qua từng lệnh và kiểm tra API được load lên (Từ OllyDBG → Plugins→ Command Line → Command Line *1* hoặc trong cửa sổ code của OllyDBG, click chuột phải →  Search for →  <span style="color: black;"> All itermodular calls *2*</span>). Hai chức năng này sẽ giúp liệt kê tất cả các API được nạp lên theo chương trình tại thời điểm hiện tại. Do các API được hệ thống sẽ được mô tả cụ thể theo tên DLL + tên API nên từ đây chúng ta sẽ dễ dàng tìm kiếm các API mình quan tâm để thiết lập các breakpoints.</span></li> </ul> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><br /> <ul> <li><span style="font-family: "Trebuchet MS",sans-serif;"> </span><ul> <li><span style="font-family: "Trebuchet MS",sans-serif;">Nếu sử dụng cách số *1*, tại cửa sổ hiện ra, chúng ta gõ: bpx + API cần tìm, plugins này sẽ giúp liệt kê các API đã được load:</span></li> </ul> </li> </ul> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/BreakPoint-by-manual.png"><img alt="BreakPoint by manual" class="alignnone size-large wp-image-4389" src="http://securitydaily.net/wp-content/uploads/2014/07/BreakPoint-by-manual-700x329.png" /></a></div> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-3.1.png"><img alt="screen-shot-3.1" class="alignnone size-large wp-image-4390" src="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-3.1-700x330.png" /></a></div> <ul> <li> <ul> <li><span style="font-family: "Trebuchet MS",sans-serif;">Nếu sử dụng cách số <b>*2</b>*, chúng ta sẽ chỉ cần xem danh sách các API đã được load lên:</span></li> </ul> </li> </ul> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-3.11.png"><img alt="screen-shot-3.1" class="alignnone size-large wp-image-4391" src="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-3.11-700x330.png" /></a></div> <span style="font-family: "Trebuchet MS",sans-serif;">Sau khi đã thực hiện chạy qua từng lệnh (Dùng <b>F8</b>) và kết hợp với quá trình kiểm tra như trên. Sau một thời gian<b> “to tay”</b>, chúng ta sẽ tới được các API cần thiết (FindFirstFileA, FindNextFileA, OpenFile, LocalAlloc, ReadFile, WriteFile):</span><br /> <div style="text-align: center;"> <span style="font-family: "Trebuchet MS",sans-serif;"><a href="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-7.png"><img alt="screen-shot-7" class="alignnone size-large wp-image-4422" src="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-7-700x318.png" /></a></span></div> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Chúng ta tiến hành đặt breakpoint tại tất cả các đoạn mã gọi tới các API mà chúng ta quan tâm. Ở đây, tôi quan tâm tới các hành vi: FindFirstFileA, FindNextFileA, CreateFile, ReadFile, WriteFile, LocalAlloc vì đây là các API có liên quan trực tiếp tới quá trình tìm, sửa file, tức là nó sẽ được virus sử dụng để thực hiện hành vi lây nhiễm lên các file khác trong hệ thống:</span><br /> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/SetBreakPoint.png"><img alt="SetBreakPoint" class="alignnone size-large wp-image-4392" src="http://securitydaily.net/wp-content/uploads/2014/07/SetBreakPoint-700x329.png" /></a></div> <span style="font-family: "Trebuchet MS",sans-serif;">Sau khi đặt breakpoint xong, chúng ta tiến hành chạy <b>F9. </b>Lúc này, OllyDBG sẽ tự động thực thi các lệnh cho tới khi gặp các breakpoints hoặc khi chương trình kết thúc. Sau một thời gian chạy, OllyDBG dừng lại ở hàm FindFirstFileA (tuyệt vời), chúng ta tiến hành Debug (Có thể qua từng lệnh F8 hoặc F9) và tới được được đoạn mã virus tìm đến thư mục đã bẫy ở Desktop, và tiếp theo nó tìm được file: calc.exe để lây nhiễm.</span><br /> <div style="text-align: center;"> <span style="font-family: "Trebuchet MS",sans-serif;"><a href="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-8.png"><img alt="screen-shot-8" class="alignnone size-large wp-image-4393" src="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-8-700x319.png" /></a></span></div> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-10.png"><img alt="screen-shot-10" class="alignnone size-large wp-image-4394" src="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-10-700x319.png" /></a></div> <span style="font-family: "Trebuchet MS",sans-serif;">Như vậy, chúng ta đã xác định được đoạn mã bắt đầu tìm kiếm các tài nguyên để lây nhiễm, bước tiếp theo virus sẽ lây nhiễm cụ thể vào file, do đó, nó sẽ cần mở file này. Do chúng ta đã đặt breakpoint tại hàm mở file (CreateFile), chúng ta tiếp tục chạy F9 để chương trình tới được đoạn mã này.  Bắt đầu đoạn mã này chính là đoạn bắt đầu virus thực hiện hành vi lây vào file, vì vậy chúng ta cần phân tích kỹ để xem virus chỉnh sửa và thay đổi những gì trên file để có thể xây dựng hàm diệt.</span><br /> <div style="text-align: center;"> <span style="font-family: "Trebuchet MS",sans-serif;"><a href="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-11.png"><img alt="screen-shot-11" class="alignnone size-large wp-image-4395" src="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-11-700x319.png" /></a></span></div> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Sau khi mở file thành công, virus lấy kích thước file thông qua hàm GetFileSize, sau đó thực hiện cấp phát một vùng nhớ (LocalAlloc) để load toàn bộ file lên vùng nhớ đó, từ đó, virus tiến hành chỉnh sửa file.</span><br /> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-12.png"><img alt="screen-shot-12" class="alignnone size-large wp-image-4396" src="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-12-700x320.png" /></a></div> <div style="text-align: center;"> <span style="font-family: "Trebuchet MS",sans-serif;"><a href="http://securitydaily.net/wp-content/uploads/2014/07/LoadSrcFileToMem.png"><img alt="LoadSrcFileToMem" class="alignnone size-large wp-image-4397" src="http://securitydaily.net/wp-content/uploads/2014/07/LoadSrcFileToMem-700x330.png" /></a></span></div> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Trong cửa sổ dưới đây chúng ta sẽ có cái nhìn tổng quan về các khối lệnh và sơ đồ luồng nằm trong hàm diệt. Do đây là mẫu virus tương đối đơn giản nên chúng ta chỉ cần IDA để xem thông tin sơ bộ trong hàm, không cần đi sâu hơn ở mức đồng bộ giữa việc chạy chương trình trên OllyDBG và IDA để tìm hiểu chi tiết từng đoạn mã.</span><br /> <div style="text-align: center;"> <span style="font-family: "Trebuchet MS",sans-serif;"><a href="http://securitydaily.net/wp-content/uploads/2014/07/calc_map.png"><img alt="calc_map" class="alignnone size-large wp-image-4398" src="http://securitydaily.net/wp-content/uploads/2014/07/calc_map-700x393.png" /></a></span></div> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Từ đoạn này, tôi tiến hành theo dõi vùng nhớ mà chương trình được nạp lên, mã virus bắt đầu thực hiện việc đọc PE header và thay đổi các tham số. Trước tiên nó đọc một số trường trong PE Header</span><br /> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-16.png"><img alt="screen-shot-16" class="alignnone size-large wp-image-4399" src="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-16-700x330.png" /></a></div> <span style="font-family: "Trebuchet MS",sans-serif;">Virus tiến hành một số thay đổi trên file gốc trên vùng nhớ:</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><br /> <ul> <li><span style="font-family: "Trebuchet MS",sans-serif;">Thay đổi BoundImport để tăng thêm section</span></li> </ul> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-17.png"><img alt="screen-shot-17" class="alignnone size-large wp-image-4400" src="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-17-700x309.png" /></a></div> <ul> <li><span style="font-family: "Trebuchet MS",sans-serif;">Thay đổi cờ cho vùng nhớ mới để biến nó thành vùng mã có thể thực thi</span></li> </ul> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-18.png"><img alt="screen-shot-18" class="alignnone size-large wp-image-4401" src="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-18-700x318.png" /></a></div> <ul> <li><span style="font-family: "Trebuchet MS",sans-serif;">Tăng số section trong PE Header khi thêm mới 1 section</span></li> </ul> <div style="text-align: center;"> <span style="font-family: "Trebuchet MS",sans-serif;"><a href="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-19.1.png"><img alt="screen-shot-19.1" class="alignnone size-large wp-image-4402" src="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-19.1-700x329.png" /></a></span></div> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Tiếp tục debug đoạn chương trình này, chúng ta thấy virus tiến hành thay đổi một số trường  khác tương đối quan trọng khác</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><br /> <ul> <li><span style="font-family: "Trebuchet MS",sans-serif;">Thay đổi SizeOfImage theo kích thước VirtualSize của section virus vừa ghi thêm vào</span></li> </ul> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/ChangeSizeOfImage.png"><img alt="ChangeSizeOfImage" class="alignnone size-large wp-image-4403" src="http://securitydaily.net/wp-content/uploads/2014/07/ChangeSizeOfImage-700x328.png" /></a></div> <div> <ul> <li><span style="font-family: "Trebuchet MS",sans-serif;">Ghi lại EntryPoint mới để trỏ tới mã thực thi của virus, thay đổi SizeOfHeapReserve, SizeOfStackReserve, MajorImageVersion, MinorImageVersion…</span></li> </ul> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/ChangeOtherItems.png"><img alt="ChangeOtherItems" class="alignnone size-large wp-image-4404" src="http://securitydaily.net/wp-content/uploads/2014/07/ChangeOtherItems-700x329.png" /></a></div> </div> <div class="separator" style="clear: both; text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-19.2.png" style="margin-left: 1em; margin-right: 1em;"><img alt="screen-shot-19.2" class="alignnone size-large wp-image-4405" src="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-19.2-700x327.png" /></a></div> <span style="font-family: "Trebuchet MS",sans-serif;">Sau quá trình chỉnh sửa các trường trong file, virus tiến hành ghi nội dung file calc.exe đã được chỉnh sửa sang một file có tên: calc.ivr trong cùng thư mục, sau đó, nó thực hiện Copy đè nội dung của file calc.ivr lên file gốc và xóa bỏ file calc.ivr đi. Quá trình lây nhiễm hoàn tất.</span><br /> <div style="text-align: center;"> </div> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-20end.png"><img alt="screen-shot-20(end)" class="alignnone size-large wp-image-4406" src="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-20end-700x329.png" /></a></div> <br /> <br /> <span style="font-family: "Trebuchet MS",sans-serif;">Nguồn: SecurityDaily.Net</span></div>

Phân tích mẫu virus lây file cụ thể Win32/Expiro – 2

Giai đoạn phân tích Sử dụng LordPE, chúng ta xem xét sự khác biệt giữa hai file calc.exe trước và sau khi lây: Thay đổi về kích thước fi...

Read More »

Phân tích mẫu virus lây file cụ thể Win32/Expiro – 1

<div dir="ltr" style="text-align: left;" trbidi="on"> <h3 id="PhântíchmẫulâyfilecụthểWin32Expiro-Chuẩnbịmôitrường"> <span style="font-weight: normal;"><span style="font-family: Verdana,sans-serif;">Chuẩn bị môi trường</span></span></h3> <ol> <li><span style="font-family: "Trebuchet MS",sans-serif;">Chuẩn bị máy ảo Windows XP 32 bit. Máy gồm 2 ổ logic: C, E. Lý do cần máy ảo có ít nhất 2 ổ logic như trên là vì một số loại virus lây nhiễm thông qua các ổ chứ không lây trong ổ hiện tại.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Danh sách các file mồi, sử dụng để cho virus lây nhiễm: calc.exe, cmd.exe, NOTEPAD.exe và file cài đặt notepad++.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Các file mồi được đặt ở cùng thư mục, nhân bản trên hai ổ logic và trên Desktop.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Chạy ProcessMon để theo dõi các chương trình, tiến trình. Vì chỉ cần theo dõi hành vi lây file nên ta chỉ cần sử dụng ProcessMon trong bộ công cụ Sysinternal là đủ.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Các chương trình debugger, disasembler: OllyDBG, IDA Pro </span></li> </ol> <div style="text-align: center;"> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhEsxT3Ru-EOV4NvGiWtRqlXldQFLXgoO8YE6MySX0rEjSWTJxmkQsuMsjMA-5XoNu_ENak7rUm0jrcH3B6q2VTahvNkaqyPtGG5nxEbZzYw9hk9RugNY2Z8wMWH-Z-nFNkKjqffAMB92DU/s1600/screen-shot-1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="152" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhEsxT3Ru-EOV4NvGiWtRqlXldQFLXgoO8YE6MySX0rEjSWTJxmkQsuMsjMA-5XoNu_ENak7rUm0jrcH3B6q2VTahvNkaqyPtGG5nxEbZzYw9hk9RugNY2Z8wMWH-Z-nFNkKjqffAMB92DU/s1600/screen-shot-1.png" width="320" /></a></div> <a href="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-1.png"><br /></a></div> <h3 id="PhântíchmẫulâyfilecụthểWin32Expiro-Giaiđoạntheodõi"> <span style="font-weight: normal;"><span style="font-family: Verdana,sans-serif;">Giai đoạn theo dõi</span></span></h3> <span style="font-family: "Trebuchet MS",sans-serif;">Đầu tiên, chúng ta snapshot máy ảo có đầy đủ các công cụ trên để dễ dàng quay lại với môi trường sạch ban đầu. Chạy ProcessMon sau đó chạy mẫu virus cần phần tích, chúng ta thực hiện quá trình Filter trên ProcessMon theo tên mẫu virus vừa chạy (Win32.Expiro.exe) và Filter theo hành vi (Ở đây chúng ta quan tâm tới hành vi WriteFile).</span><br /> <br /> <div style="text-align: center;"> <a href="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-2.png"><img alt="screen-shot-2" class="aligncenter size-large wp-image-4335" height="480" src="http://securitydaily.net/wp-content/uploads/2014/07/screen-shot-2-700x525.png" width="640" /></a></div> <span style="font-family: "Trebuchet MS",sans-serif;">Như chúng ta thấy ở hình vẽ trên đây, virus Win32.Expiro đã tiến hành lây vào thư mục chứa các file mồi trên Desktop trước tiên. Như vậy, chúng ta sẽ tập trung theo hướng này, tập trung vào việc dùng các file mồi ở Desktop để debug lây file nhanh chóng.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Trước khi thực hiện bước tiếp theo, chúng ta cần thực hiện một số công việc sau:</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><br /> <ol> <li><span style="font-family: "Trebuchet MS",sans-serif;">Thu thập lại các mẫu đã bị lây do chạy virus từ các bước trên. Ở đây, tôi thu thập lại mẫu calc.exe (Để tăng độ chính xác cần thu thập nhiều mẫu hơn nhằm tạo ra sự đối sánh hoàn chỉnh giữa các mẫu) và sẽ sử dụng chính mẫu này để phục vụ quá trình debug tiếp theo. Mục đích của việc sử dụng chính file cacl.exe bị lây nhiễm để phục vụ quá trình debug là do:</span></li> </ol> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><br /> <ol><ul> <li><span style="font-family: "Trebuchet MS",sans-serif;">Chúng ta đã có đầy đủ thông tin về file gốc ban đầu: kích thước, giá trị các trường trong  PE, …</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Dễ dàng so sánh sự khác biệt giữa hai file để tốc độ debug nhanh chóng hơn</span></li> </ul> <li><span style="font-family: "Trebuchet MS",sans-serif;">Quay lại trạng thái cho máy ảo như trước khi chạy mẫu virus, sau đó chúng ta copy mẫu virus vừa thu được (calc.exe) vào môi trường này.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Như vậy, sau giai đoạn theo dõi, chúng ta đã thu thập được mẫu virus, biết được một phần đặc tính lây lan của nó để phục vụ cho quá trình phân tích dễ dàng và nhanh chóng hơn. </span></li> </ol> <span style="font-family: "Trebuchet MS",sans-serif;"><br /></span> <i><span style="font-family: "Trebuchet MS",sans-serif;">Nguồn: SecurityDaily.Net</span></i></div>

Phân tích mẫu virus lây file cụ thể Win32/Expiro – 1

Chuẩn bị môi trường Chuẩn bị máy ảo Windows XP 32 bit. Máy gồm 2 ổ logic: C, E. Lý do cần máy ảo có ít nhất 2 ổ logic như trên là vì mộ...

Read More »

Phân tích và tìm diệt mã độc

<h3 id="Mộtsốkỹthuậtpháthiệnvàphântíchmãđộc-♦Kỹthuậtphântíchdiệtmãđộc"> <span style="color: blue;"><span style="font-weight: normal;"><span style="font-family: Verdana,sans-serif;"><span style="font-size: large;">Phân tích mã độc như thế nào?</span></span></span></span></h3> <span style="font-family: "Trebuchet MS",sans-serif;">Việc phát hiện, phân tích mã độc đòi hỏi quá trình theo dõi liên tục và lặp đi lặp lại. Nếu thực hiện trên hệ thống thiết bị thật sẽ mất rất nhiều công sức và không thể kiểm soát một cách chặt chẽ và rất khó khăn để thực hiện một cách liền mạch. Vì trong quá trình phát hiện và phân tích, các chương trình mã độc có thể làm chết toàn bộ hệ thống, cô lập debugger và disasembler, trong trường hợp đó muốn tiếp tục phân tích cần khôi phục lại toàn bộ hệ thống. Đối với hệ thống thật, quá trình đó mất rất nhiều thời gian. Do đó, để phát hiện, phân tích và diệt mã độc, máy ảo là một môi trường rất lý tưởng, mặc dù trong một số trường hợp, các mã độc có thể phát hiện ra máy ảo và dừng chạy chương trình, tuy nhiên trường hợp này hoàn toàn có thể khắc phục được bằng một số thay đổi trong mã nhị phân của mã độc.</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Như vậy, cần thiết lập một cấu hình máy ảo với đầy đủ các bộ công cụ cần thiết phục vụ cho quá trình theo dõi, phát hiện, phân tích và diệt. Qua quá trình làm việc chúng tôi nhận thấy hiện nay đa phần các mẫu virus vẫn sử dụng  32 bit trên nền windows, do đó, một môi trường lý tưởng sử dụng cho trường hợp này là cài đặt một máy ảo sử dụng hệ điều hành Windows XP 32 bit, trên máy tính này, chúng ta cài đặt các bộ công cụ sau:</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span> <ul> <li><span style="font-family: "Trebuchet MS",sans-serif;">Nhóm các công cụ phục vụ mục đích theo dõi, giám sát: TCPView, AutoRun, ProcessMon, WireShark, ProcessExplorer</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Nhóm các công cụ phục vụ phân tích: IDA Pro, OllyDBG, LordPE, Hex Editor Neo, 010 Editor, Notepad++</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Nhóm các công cụ môi trường: trình duyệt (Chrome, Firefox), bộ công cụ microsoft word, outlook, …</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Danh sách một số file, chương trình mồi: notepad.exe, calc.exe, cmd.exe, một số file cài đặt của notepad++, python, hex editor, …</span></li> </ul> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Sau khi cài đặt đầy đủ các bộ công cụ trên, chúng ta tạo một bản snapshot cho cấu hình này để phục vụ cho các lần theo dõi, kiểm tra, phát hiện và phân tích mã độc.</span><br /> <br /> <h3> <span style="color: blue;"><span style="font-weight: normal;"><span style="font-family: Verdana,sans-serif;">Phân tích mã độc để xác định cách thức và hành vi</span></span></span></h3> <div class="panelMacro"> <span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;"><b><i>“Đối với các mẫu không phải virus (trojan, adware, worm, …) hoặc các mẫu không cần phân tích mà chỉ cần theo dõi hành vi tác động lên hệ thống thì chỉ cần dừng lại ở bước phân tích qua các công cụ giám sát</i></b></span></span></div> <span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;"> </span></span> <div class="panelMacro"> <span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;"><b><i>Đối với các mẫu virus (có hành vi lây file) hoặc các mẫu khác cần phân tích để lấy các đoạn mã cụ thể, cần thực hiện Giai đoạn phân tích để lấy các thông tin chi tiết hơn”</i></b></span></span></div> <span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;"> </span></span><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;">Sau giai đoạn theo dõi và phát hiện mã độc, chúng ta đã có các thông tin cơ bản liên quan tới mẫu cần phân tích: Các tài nguyên mẫu  tác động tới: các file, thư mục, key trên thanh ghi, cách thức hoạt động cơ bản (Hình thức, cách thức và trình tự lây lan, phá hoại). Nhiệm vụ của việc phân tích nhằm: Tìm ra triệt để các hành vi phá hoại, phân tích để diệt mẫu toàn diện nhất.</span></span><br /> <span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;"> </span></span> <ul> <li><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;">Phân tích cách thức lây file để diệt: </span></span><ul> <li><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;"><b>Dùng chương trình mồi:</b> Sử dụng ProcessMon, chúng ta theo dõi được thư mục nào là thư mục đầu tiên mà mẫu cần phân tích, đưa các chương trình mồi vào và theo dõi sự thay đổi của chương trình mồi. Nếu chương trình mồi bị thay đổi, ta chuyển sang bước tiếp theo, nếu không, ta thay thế bằng các chương trình mồi khác và tiếp tục thử khi chọn được chương trình mồi hợp lý.</span></span></li> <li><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;"><b>Tìm các API quan tâm: </b>Snapshot lại máy ảo về trạng thái ban đầu khi chưa chạy mẫu cần theo dõi, đưa chương trình mồi chưa bị lây nhiễm vào thư mục tìm được ở bên trên. Mục đích: tìm ra đoạn mã thực hiện lây file nhanh nhất có thể. Tiến hành chạy mẫu cần phân tích bằng OllyDBG (sử dụng <b>F8</b> để chạy từng câu lệnh). Chú ý theo dõi quá trình load các thư viện từ hệ thống. Khi các thư viện chứa các API cho việc thao tác tới file: FindFistFile, FindNextFile, CreateFile, CreateFileMapping, WriteFile, … thì dừng lại, tìm các đoạn mã có gọi các API:  FindFistFile, FindNextFile, CreateFile, OpenFile, WriteFile và đặt <b>break point </b>tại các đoạn mã này. Sau đó sử dụng câu lệnh <b>F9 </b>để di chuyển tới vị trí đặt break point. Nếu phát hiện ra file đang được thao tác chính là chương trình mồi thì đoạn mã tương ứng tìm được chính là đoạn mã bắt đầu thực hiện quá trình lây file.</span></span></li> <li><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;"><b>Xác định đoạn mã kiểm tra lây nhiễm:</b> Đoạn mã giữa hai API: FindFirstFile (Tìm file đầu tiên), CreateFile(mở file để đọc) là đoạn mã có thực hiện việc kiểm tra một số điều kiện ban đầu cho file bị lây nhiễm, cần debug và kiểm tra đoạn này để phục vụ cho quá trình diệt mẫu.</span></span></li> <li><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;"><b>Xác định đoạn mã lây file:</b> Đoạn mã giữa hai API: CreateFile, CreateFileMapping (mở file để đọc) và WriteFile (lệnh cuối cùng ghi nội dung lên file vì nhiều mã virus thực hiện ghi file nhiều lần) là đoạn mã thực hiện tính toán và sửa file. Để có thể tiến hành diệt mẫu và tiến hành chỉnh sửa file này về trạng thái như file gốc ban đầu, cần phân tích kỹ đoạn mã trên để xem cách mà mẫu thực hiện tính toán và chỉnh sửa file gốc. Vì đây là đoạn mã Asembly nên muốn nhanh chóng thực hiện việc phân tích đoạn mã này có một số thủ thuật sau: </span></span><ul> <li><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;">Kiến thức về các lệnh, cấu trúc lệnh, cách thực hiện lệnh, gọi hàm trong Asembly</span></span></li> <li><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;">Thông tin về kiến trúc file PE, các thành phần, vị trí các thành phần của file PE. (Tôi sẽ viết bài về cấu trúc của PE file)</span></span></li> <li><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;">Theo dõi hàm CreateFileMapping, vì hàm này sẽ load file gốc lên 1 vùng nhớ mới, sau đó có thể thực hiện chỉnh sửa trên vùng nhớ này hoặc tiếp tục copy ra các vùng nhớ khác rồi chỉnh sửa.</span></span></li> </ul> </li> </ul> </li> <li><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;">Phân tích các hành vi </span></span><ul> <li><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;">Dựa vào các hành vi cần theo dõi từ giai đoạn kiểm tra, theo dõi và phát hiện chúng ta sẽ lựa chọn các API tương ứng </span></span><ul> <li><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;">Tương tác tới registry, có các API: RegCloseKey, RegOpenKeyEx, RegQueryInfoKey, RegQueryValueEx…</span></span></li> <li><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;">Tương tác tới các trình duyệt để lấy Cookie: các API tương tác tới file, đồng thời quan sát thư mục liên quan tới browser</span></span></li> <li><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;">Mở cổng hậu, tạo các socket kết nối: WSAStartup, WSASocket, WSAConnect, WSAAccept, WSASend, WSARecv…</span></span></li> </ul> </li> <li><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;">Từ các hành vi này, ta tiến hành đặt các <b>break point </b>tại các API quan tâm và tìm được vị trí các đoạn mã mong muốn</span></span></li> </ul> </li> </ul> <span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;"> </span></span><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;"><b>Phân tích để diệt mã độc</b></span></span><br /> <span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;"> </span></span> <div class="panelMacro"> <span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;"><b><i>“Giai đoạn này chỉ áp dụng cho các mẫu có hành vi lây file (tức là các virus), đối với các mẫu khác không thực hiện lây file chúng ta chỉ cần giai đoạn  sau đó thực hiện xoá trực tiếp.”</i></b></span></span><br /> <span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;">Quá trình phân tích chúng ta đã làm rõ được cơ chế lây file của mẫu: các loại file bị lây (để diệt toàn bộ file, tránh bỏ sót file), cách thức lây file cụ thể (chỉnh sửa trường nào trong file, ghi thêm nội dung vào vị trí nào trong file, lấy lại địa chỉ Entry Point gốc (Original Entry Point – OEP), … ). Ở giai đoạn này, chúng ta chỉ cần làm ngược lại các bước mà mẫu đã làm với từng file cụ thể: xác định lại OEP, chỉnh sửa lại các trường trong PE Header, xoá bỏ các phần dữ liệu bị mẫu ghi thêm vào file gốc.</span></span></div> <span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;"> </span></span><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;">Lấy lại OEP là một bước quan trọng, có thể thực hiện theo cách như sau:</span></span><br /> <span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;"> </span></span> <ul> <li><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;">Tìm giá trị OEP được virus ghi lại file gốc. Cách này dễ nhưng ít gặp vì hầu hết các virus đều có thiết lập các thay đổi và tính toán lại OEP thay vì lưu nguyên OEP vào file cũ.</span></span></li> <li><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;">Dựa vào OEP của file bị lây để dự đoán và tìm OEP. Cách thức ở đây là ta sẽ tìm vị trí nhảy về OEP của chương trình đã bị lây. Từ đây ta sẽ tìm được vị trí tương đối của nó so với đầu file tức là khi file gốc chuẩn bị được lây được load trên bộ nhớ cùng với virus, ta sẽ biết được địa chỉ của lệnh trỏ về OEP. Tiến hành đặt breakpoint tại địa chỉ này và theo dõi sự thay đổi giá trị trên vùng địa chỉ đó, như vậy ta sẽ lần ra được vị trí tính toán và ghi địa chỉ trả về OEP</span></span></li> </ul> <span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;"> </span></span><span style="font-size: small;"><span style="font-family: "Trebuchet MS",sans-serif;">Để diệt tận gốc (toàn bộ các file bị lây nhiễm) cần có công cụ tự động dò tìm, phát hiện các file các file đã bị lây nhiễm dựa vào các đặc điểm nhận dạng được xác định ở giai đoạn phân tích.</span></span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"></span><br /> <h3> <span style="color: blue;"><span style="font-weight: normal;"><span style="font-family: Verdana,sans-serif;">Lưu ý</span></span></span></h3> <ul> <li><span style="font-family: "Trebuchet MS",sans-serif;">Đối với các loại mẫu lây file hệ thống đòi hỏi có các kỹ thuật phân tích và xử lý riêng.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Đối với các mẫu đa hình và siêu đa hình, tức là mã nhận diện tự động thay đổi sau mỗi lần lây nhiễm, quá trình phát hiện sẽ phức tạp hơn vì không thể sử dụng các mẫu nhận diện cố định. Để có thể phát hiện các loại mẫu này, cần sử dụng một cơ chế mới: M<b>áy trạng thái</b>. Nguyên nhân, với các mẫu đa hình, siêu đa hình, giai đoạn đầu tiên khi chạy nó cần có đoạn code giải mã để giải mã đoạn code mã hoá thân virus sau đó mới trả về điều khiển cho chương trình. Toàn bộ các mã sau đoạn giải mã được gọi là trạng thái ổn định của virus, đoạn code giải mã chính là đoạn đa hình. Để phát hiện được virus đa hình, siêu đa hình cần thực thi và kiểm tra các mẫu trong máy trạng thái, nếu sau một thời gian hoặc một số lượng câu lệnh nhất định mà đạt tới được trạng thái ổn định thì tức là mẫu đó chính là một mẫu đa hình, siêu đa hình.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Quá trình diệt sẽ phải dựa vào trình tự phân tích mẫu bằng tay.</span></li> </ul> <span style="font-family: "Trebuchet MS",sans-serif;"> </span><span style="font-family: "Trebuchet MS",sans-serif;">Ngoài ra, để tránh quá trình bị phân tích, dịch ngược, virus còn trang bị thêm cho nó một số kỹ thuật để che giấu bản thân: kỹ thuật pack và anti debug, anti máy ảo. Cần nắm được các kỹ thuật này để có thể vượt qua trong quá trình phân tích lấy hành vi và phân tích để diệt:</span><br /> <span style="font-family: "Trebuchet MS",sans-serif;"> </span> <ul> <li><span style="font-family: "Trebuchet MS",sans-serif;"><b>Kỹ thuật mã hóa (Pack):</b> Pack là kỹ thuật mã hóa để làm giảm kích thước file, che giấu mã thật của virus. Với việc sử dụng pack, virus sẽ phải mã hóa và lưu toàn bộ header và nội dung file lại, đồng thời cung cấp hàm giải mã để giải mã thông tin lên bộ nhớ và khôi phục trạng thái các thanh ghi cũng như OEP. Điểm mấu chốt của sử dụng pack đó là khi bắt đầu chương trình, virus sẽ phải thực hiện unpack, lúc này trạng thái các thanh ghi sẽ được bảo vệ bằng cách đẩy toàn bộ vào stack (PUSHAD). Quá trình giải mã thành công, trạng thái các thanh ghi sẽ được khôi phục trở lại (POPAD), sau đó sẽ có lệnh chuyển điều khiển về OEP. Như vậy Unpack chính là việc tìm được chương trình ở trạng thái giải mã thành công.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;"><b>Kỹ thuật Anti:</b> Anti anti debugger & VM: một số virus sử dụng các kỹ thuật anti debugger & VM  để tránh bị phân tích, dịch ngược. Nguyên tắc thực hiện là virus sẽ sử dụng một số API được cung cấp để phát hiện ra virus đang được chạy dưới các debugger hoặc môi trường máy ảo. Có rất nhiều tình huống có thể xảy ra trong trường hợp này nhưng nhìn chung chương trình sẽ không thể chạy trên máy ảo hoặc không thể chạy thông qua debugger. Để vượt qua ta có nhiều phương pháp khác nhau. Trước tiên cần kiểm tra thông tin về PE header xem có sự khác biệt lớn gì hay không. Sau đó cần tìm ra đoạn mã antidebugger, anti VM và tiến hành chỉnh sửa để có thể vượt qua được đoạn mã anti đó. Hầu hết các phương pháp anti đều cố gắng tạo ra các Exception nếu không có debugger để EIP trỏ tới cấu trúc SEH được sắp xếp trước nhằm khôi phục quyền điều khiển, nếu có debugger thì Exception sẽ không xảy ra và debugger bị phát hiện. Một số phương pháp sử dụng để phát hiện có debugger: </span><ul> <li><span style="font-family: "Trebuchet MS",sans-serif;">Sử dụng hàm IsDebuggerPresent.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Kiểm tra cờ NtGlocalFlag.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Đặt cờ kiểm tra Hardware breakpoint.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Tìm lớp Windows của OllyDBG.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Sử dụng Int3.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Phát hiện memory breakpoint sử dụng PAGE_GAURD.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Kiểm tra thông qua NtQueryInformationProcess.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Phát hiện thông qua các plugin của IDA: OllyInvisible, HideDebugger.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Phát hiện bằng cách tìm kiếm xâu OLLY.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Anti Process Dump.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Tính toán chênh lệnh thời gian khi thực thi 1 lệnh để xác định được quá trình debug.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Dựa vào LDR Module: nếu debug ở mức user mode, bộ nhớ được cấp phát sẽ kết thúc bằng: 0xFEEEFEEE.</span></li> <li><span style="font-family: "Trebuchet MS",sans-serif;">Thay đổi cờ EFLAGS sẽ có khả năng tạo ra Exception, thông qua đó có thể detect được debugger.</span></li> </ul> </li> </ul> <span style="font-family: "Trebuchet MS",sans-serif;"> </span> <blockquote> <span style="font-family: "Trebuchet MS",sans-serif;">Trong bài tiếp theo tôi sẽ tiến hành phân tích một mẫu Virus cụ thể theo đúng trình tự như đã trình bày ở các bước trong bài viết này</span></blockquote> <span style="font-family: "Trebuchet MS",sans-serif;"> Nguồn: SecurityDaily.Net</span><br /> <h3 id="Mộtsốkỹthuậtpháthiệnvàphântíchmãđộc-♦Kỹthuậtpháthiệnmãđộc"> <span style="color: blue;"><span style="font-weight: normal;"><span style="font-family: Verdana,sans-serif;">Tài liệu tham khảo</span></span></span></h3> <ul> <li><span style="font-size: x-small;"><span style="font-family: "Trebuchet MS",sans-serif;"><a href="http://www.techrepublic.com/blog/10-things/10-ways-to-detect-computer-malware/">http://www.techrepublic.com/blog/10-things/10-ways-to-detect-computer-malware/</a></span></span></li> <li><span style="font-size: x-small;"><span style="font-family: "Trebuchet MS",sans-serif;"><a href="http://technet.microsoft.com/en-US/sysinternals/bb469930">http://technet.microsoft.com/en-US/sysinternals/bb469930</a></span></span></li> <li><span style="font-size: x-small;"><span style="font-family: "Trebuchet MS",sans-serif;"><a href="http://thelegendofrandom.com/blog/archives/2100">http://thelegendofrandom.com/blog/archives/2100</a></span></span></li> <li><span style="font-size: x-small;"><span style="font-family: "Trebuchet MS",sans-serif;"><a href="http://resources.infosecinstitute.com/anti-debugging-and-anti-vm-techniques-and-anti-emulation/">http://resources.infosecinstitute.com/anti-debugging-and-anti-vm-techniques-and-anti-emulation/</a></span></span></li> </ul>

Phân tích và tìm diệt mã độc

Phân tích mã độc như thế nào? Việc phát hiện, phân tích mã độc đòi hỏi quá trình theo dõi liên tục và lặp đi lặp lại. Nếu thực hiện trên ...

Read More »