---------------------------------------------------------

Chào mừng bạn đến với diễn đàn Công Nghệ Thông Tin CK08 Ca Mau Community College.
Hy vọng diễn đàn sẽ là nơi giao lưu học hỏi và chia sẽ niềm đam mê tri thức.
Chúc bạn một ngày an lành và vui vẻ và luôn thành công trong cuộc sống.
################################
Bạn có muốn phản ứng với tin nhắn này? Vui lòng đăng ký diễn đàn trong một vài cú nhấp chuột hoặc đăng nhập để tiếp tục.


 
Trang ChínhTìm kiếmĐăng kýĐăng Nhập

 

 Phân tích virus SafeSys

Go down 
Tác giảThông điệp
Admin
Administrotor
Administrotor
Admin

Tổng số bài gửi : 877
Join date : 24/07/2010

Phân tích virus SafeSys  Empty
Bài gửiTiêu đề: Phân tích virus SafeSys    Phân tích virus SafeSys  Icon_minitimeSun Mar 06, 2011 10:56 pm

Tên virus : SafeSys
Loại : autorun, lây file
Mức độ : nguy hiểm, ai không có kinh nghiệm xin chớ vọc
Khuyến cáo : khi sử dụng máy ảo để chạy thử virus phải tắt hết những đường share với máy thật -> ko khéo máy thật dính thì lại càng nguy !
Thông tin thêm : virus có khả năng qua mặt deepfreeze nhưng phải cần quyền admin, quyền limit thì virus này cũng chịu thua.

--------------------------

Quá trình tấn công của virus :
- Tạo ra file "Program Files\sNiu.dll". Sau đó dùng Rundll32 để kích hoạt file này với Entry Point là MyDllEntry. Mình cũng chưa rõ tác dụng của dll này để làm gì.
- Tạo ra một driver với tên ngẫu nhiên và phần mở rộng là ".tmp", nằm trong thư mục "DOCUMENTS AND SETTINGS\<UserName>\LOCAL SETTINGS\Temp". Driver này được đăng ký với tên là DogKiller. Đây là driver chủ chốt của virus. Virus sử dụng driver này để ghi file trực tiếp lên ổ cứng và qua mặt DeepFreeze.
- Tạo ra một driver với tên ngẫu nhiên, phần mở rộng là ".fon" và copy vào thư mục "windows\Fonts". Driver này có mục đích hỗ trợ driver chính.
- Từ mức driver, virus tạo file autorun.inf và copy chính nó vào các ổ đĩa. Sau đó nó copy thêm một bản nữa vào "Program Files\Common Files". Đây là file mà virus đăng ký chạy cùng win với khoá "HKLM\Software\Microsoft\Windows\CurrentVersion\Ru n"
- Cũng từ driver, virus sửa lại nội dung của file "Windows\System\spoolsv.exe". Đây là dịch vụ quản lý share máy in của win. Khi đã kiểm soát được dịch vụ này, virus có thể lây lan rất nhanh qua mạng LAN, bởi vì đa số mạng LAN đều xài máy in share. Ngoài ra, virus còn lợi dụng spoolsv để gọi lại nó trong trường hợp bị kill.
- Đăng ký một lô các khoá "Image Execution Options" để chặn các av nổi tiếng và các tool như IceSword, Autoruns, ....

Quá trình kích hoạt virus :
- Virus được kích hoạt qua 2 đường : khởi động file "SafeSys.exe" cùng với win và gọi bởi dịch vụ dỏm "spoolsv.exe". Tham số truyền vào khi virus khởi động cũng rất khả nghi ""c:\program files\common files\safesys.exe" -SSDT". Mình cũng chưa phân tích kỹ xem virus cần tham số này để làm gì.
- Khi đã khởi động xong, virus sẽ gọi tiến trình "windows\system32\svchost.exe" của win và inject code vào tiến trình này. Tiến trình này giờ đã trở thành virus và nó sẽ gọi thêm một tiến trình giống như vậy để bảo vệ lẫn nhau. Khi xong việc, SafeSys sẽ tự kết thúc. Phần việc còn lại là của svchost.
- Tiến trình svchost bị nhúng code sẽ thực hiện các công việc phá hoại và lây lan của virus. Ngoài ra nó còn liên tục kiểm tra ( khoảng sau 5 giây ) xem có tồn tại các tool như Icesword, autoruns,... hay ko, nếu có nó sẽ kill ngay. Mèo cũng chưa phân tích xem nó kill IS như thế nào.

Mẩu virus do bạn cafe.kfc cung cấp. Bạn nào muốn thì cứ liên hệ bạn ấy. Mình xin nhắc lại : virus này rất nguy hiểm và dai dẳng !

Mỏi tay quá, khi nào rảnh mình sẽ viết tiếp về cách diệt.

File đính kèm dưới đây là file spoolsv.exe bị virus chích.
mediafire.com ?txdc0ggx3jc




//-----------------
Edit by FD:
Đính chính chút: Đây không phải là virus lây file, mà là virus ghi đè file hệ thống.

Nguồn:vrvn
Về Đầu Trang Go down
https://cntt08.forumvi.com
 
Phân tích virus SafeSys
Về Đầu Trang 
Trang 1 trong tổng số 1 trang
 Similar topics
-
» [06022011][news] K-Pop: Virus kiện tụng bùng phát

Permissions in this forum:Bạn không có quyền trả lời bài viết
 :: Hacker - Virus :: Virus-
Chuyển đến