Chapter 1: Từ Video của Linkneverdie
Xin chào các bạn
Hôm qua 22/2/2017 tôi có xem được video Cảnh báo Website downmienphi.com của Admin trang http://www.linkneverdie.com/ về việc file từ trang downmienphi.com bị nhiễm Virus
Tôi bèn vô thẳng trang web thì
Chapter 2: Lấy mẫu Virus
Tôi bèn vô Link Never Die Community (Group trên Facebook của LND) và tôi cũng Post vô chính gr của tôi (Linux Team Việt Nam) hỏi xem ai còn file Crack đã down từ trang này ko. May quá 1 member của group tôi đã cung cấp cho tôi file crack
Tôi đã Teamviewer máy bạn đó và lấy đc 3 mẫu (2 File Crack và 1 file zip còn nguyên chưa giải nén, tất cả đều tải từ downmienphi.com)
OK, vậy chúng ta đã có Virus bắt đầu Test trên lab nào
Chapter 3: Test Virus trên máy ảo
Máy ảo tôi dùng để test Virus có cấu hình như dưới đây
Và tôi đã tắt Firewall, UAC, Gỡ bỏ hoàn toàn diệt Virus để đảm bảo Virus đc phát tán thuận lợi nhất và ko gặp bất cứ trở ngại nào
Khi tôi chạy File Crack lên. Điều đầu tiên tôi đã nhận ra là Crack đã bị làm lại. Tự làm ra crack thì tôi chắc downmienphi ko đủ trình, vậy chắc là down crack trên mạng rồi bào chế lại
Sau khi Crack thành công,tôi khởi động lại máy ảo
Thời gian tôi chạy Crack là tối ngày 22/2/2017. Các bạn ghi nhớ nhé
Chapter 4: Xuất hiện task nguy hiểm trong Task Manager
Task đó chính là Explorer.exe *32
Tôi sẽ mở vị trí của file đó lên
Vâng, vậy hoàn toàn ko phải là explorer,exe gốc của Windows. Bạn hãy chú ý vào icon của file icsys.icn.exe với icon của File crack như ở hình dưới đây. Chúng rất giống nhau phải không ạ. Và thời gian đc tạo ra đúng là tối 22/2/2017 thật. Vậy chính xác đó là do Crack kia tạo ra rồi
Chapter 4: Virus đó do ai tạo ra?????
Hiện tại có 2 giả thuyết
Giả thuyết 1: Virus cho chính Admin của Website gắn vào
Sau khi quét Virus thì tôi phát hiện Virus đó thuộc loại Win32/Mofksys.B một loại metamorphic (Virus siêu đa hình)
Thông tin về nó: https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Virus:Win32/Mofksys.B
Virus siêu đa hình (metamorphic virus) là thế hệ mới của họ virus đa hình. Thế hệ virus mới này đã "nâng cấp" khả năng đa hình bằng cách lai tạo và kết hợp nhiều kiểu đa hình khác nhau trong cùng một virus. Virus siêu đa hình khi lây nhiễm sẽ tự động biến đổi, lai tạp, hình thành các thế hệ virus F1, F2, F3... Fn, với n là một số không xác định. Sau mỗi lần lai tạp, khả năng phát hiện của các phần mềm diệt virus đối với loại virus này càng giảm đi. Chính vì thế, virus siêu đa hình có thể qua mặt được hầu hết các phần mềm diệt virus không có cơ chế quét sâu. Nếu phần mềm chỉ sử dụng các bộ mẫu nhận diện cố định để tìm các virus đa hình hoặc siêu đa hình thì sẽ không thể tìm đủ các "hình" của virus, dẫn tới diệt không triệt để. Một số virus siêu đa hình điển hình: virus Vetor, Sality…
Tôi đã thấy ít nhất là 3 người bị nhiễm virus đó quét file Crack bằng Windows Defener nó ra con virus đó rồi
Ảnh của 1 bạn bị nhiễm Virus trên Group của Link Never Die
Chắc tới đây có 1 số bạn hỏi Crack nào mà AV chả nhận là Virus?
Vâng tôi biết, nhưng các bạn cứ lên mạng download thử 1 số tool crack về đi, sau đó bật AV lên và quét nó bằng AV xem nó phát hiện nó là Virus nào
Giả dụ đây là AV quét 1 tool crack Windows
Giả dụ đây là AV quét 1 tool crack Windows
Giả thuyết 2: Theo chính Admin trang này
Thứ nhất: Ông để cho máy mem nhiễm Virus siêu đa hình mà ông không xin lỗi thì đã ko chấp nhận đc rồi
Thứ hai: Thật khó tin để ông làm được 1 trang web to vậy mà không xài tới VPS. Tôi lạy ông
Thứ ba: Ông làm Admin 1 website mà ông để máy ông nhiễm Virus siêu đa hình, vậy thì ông để hacker nó móc túi hết database website à
Vì vậy mình khuyên các bạn nên cạch mặt trang này ngay từ bây giờ.
Cách phòng chống
B1: Dùng AntiVirus Full Scan lại máy, cái này có thể mất tầm 3-4h
B2: Gõ bỏ hoàn toàn các phần mềm đã crack bằng crack của downmienphi (Bạn nên gỡ bằng 1 trình gỡ chuyên dụng như Revo Uninstaller hoặc Iobit Uninstaller
Tốt hơn hết, vì đây là Virus siêu đa hình nên các bạn nên cài lại (Hoặc Ghost) Windows cho thật sự sạch sẽ
Cách phòng chống
B1: Dùng AntiVirus Full Scan lại máy, cái này có thể mất tầm 3-4h
B2: Gõ bỏ hoàn toàn các phần mềm đã crack bằng crack của downmienphi (Bạn nên gỡ bằng 1 trình gỡ chuyên dụng như Revo Uninstaller hoặc Iobit Uninstaller
Tốt hơn hết, vì đây là Virus siêu đa hình nên các bạn nên cài lại (Hoặc Ghost) Windows cho thật sự sạch sẽ
Bonus thêm link Virus cho các chuyên gia mổ xẻ : https://mega.nz/#!WYA2nbqR!044C7uEOV4Aa_S9M2Rtvg3lQy06idxPBmDErwjm6pjo
Cập nhật thêm ngày 25/2/2017
Lại 1 bằng chứng nữa chứng tỏ giả thuyết 1 là đúng, Admin trang web nói một đằng làm 1 nẻo, hắn ta nói vậy mà hiện giờ nick Admin đang bị block comment
Bằng chứng Nick Admin bị Block Comment
Cảm ơn các bạn đã đón xem
Không có nhận xét nào:
Đăng nhận xét