Virus gửi lời thách thức tới các chương trình diệt virus

Thảo luận trong 'An ninh mạng BKAV' bắt đầu bởi Bkav Support #ID:649, 10/8/11.

  1. Bkav Support #ID:649

    Bkav Support #ID:649 BKAV Support

    Tham gia ngày:
    20/9/10
    Bài viết:
    546
    Virus gửi lời thách thức tới các chương trình diệt virus


    Máy tính của bạn đã bị PHÁ HOẠI. Phần mềm diệt virus của bạn đâu rồi khi bạn cần dùng đến nó?….Hãy nhớ, bạn làm gì cũng vô ích thôi”. Đây là “thông điệp” gửi từ một loại virus mới do hệ thống HoneyPot của chúng tôi thu thập được trong thời gian gần đây.

    [​IMG]

    Nội dung “thông điệp” của virus

    Một khi hệ thống đã bị nhiễm virus này (Bkav nhận diện với tên W32.DownloadWinsLnr.Trojan), thư mục Windows sẽ bị khóa. Khi đó, người dùng sẽ không thể truy cập vào thư mục Windows, thậm chí các chương trình diệt virus cũng không thể quét và phát hiện virus ẩn náu trong đó khi chạy ở mức User mode.

    [​IMG]

    Thật ra, kỹ thuật mà DownloadWinsLnr sử dụng rất đơn giản. Virus chỉ cần phân quyền cho thư mục Windows, cấm tất cả các quyền truy cập đối với thư mục này. Tất nhiên ổ đĩa hệ thống phải có định dạng NTFS.

    [​IMG]

    Tuy nhiên, điều mà tác giả của virus này đã không lường tới là: Kernel mode không bị chi phối bởi hành động phân quyền này, và hầu hết các chương trình diệt virus đều có module hoạt động ở mức Kernel. Do đó, một khi mẫu virus đã được nhận diện, các phần mềm diệt virus sẽ dễ dàng gỡ bỏ nó ra khỏi hệ thống, mặc dù hậu quả để lại là thư mục Windows vẫn không thể truy cập được theo cách thông thường. Nhưng bạn đừng bận tâm, gặp tình huống này, hãy sử dụng công cụ dưới đây để đưa hệ thống về trạng thái trước khi bị nhiễm DownloadWinsLnr.

    Download công cụ

    Đỗ Khắc Cành – Bkav R&D

    Bkav Blog
     
  2. mozart_nht

    mozart_nht Blue is the colour Lão Làng GVN

    Tham gia ngày:
    12/12/08
    Bài viết:
    15,818
    Nơi ở:
    Hà Nội
    BKAV pro ko diệt đc con này sao? :-s
     
  3. 25251325zz

    25251325zz Mr & Ms Pac-Man Lão Làng GVN

    Tham gia ngày:
    2/8/07
    Bài viết:
    289
    Làm sao mà máy tính mình lại bị nhiễm con này được ? Từ Internet hay là ở đâu ra ?
     
  4. quadan

    quadan The Legend of Zelda Lão Làng GVN

    Tham gia ngày:
    1/8/09
    Bài viết:
    4,148
    Máy cá nhân thì toàn đăng nhập dưới dạng Admin chứ có mấy ai khoái lập thêm tài khoản nữa làm gì. Từ đây có thể suy ra: các AV khác hoàn toàn có khả năng diệt được virus này còn Bê Cạp thì cần xài Fix-Attribute-And-Permission ;))....chất lượng là đây
     
  5. [unnamed] is me

    [unnamed] is me Legend of Zelda

    Tham gia ngày:
    1/12/10
    Bài viết:
    951
    Nơi ở:
    nơi nào đó
    cần gì tool, các phần mềm diệt virus khác diệt nó ngay khi nó chưa kịp thực thi lệnh khóa thư mục window, chả lẽ bkav không thể diệt nó ngay mà chỉ diệt được sau khi nó đã khóa được thư mục window rồi à? cuối cùng lại phải dùng thêm tool để khắc phục hậu quả có phải là lãng phí thời gian không?
     
  6. Timon.03

    Timon.03 Mr & Ms Pac-Man Lão Làng GVN

    Tham gia ngày:
    25/4/10
    Bài viết:
    267
    Thì vẫn là diệt đc mà :>
     
  7. EST1982

    EST1982 Youtube Master Race

    Tham gia ngày:
    11/2/10
    Bài viết:
    23
    ôi đẹt :-o
    các tềnh iu bại não à
    người ta ghi lù lù như vậy mà còn cứ xoắn =))
    thêm muối đi các bợn
     
  8. Devide

    Devide T.E.T.Я.I.S

    Tham gia ngày:
    10/2/10
    Bài viết:
    562
    Nơi ở:
    BìnhTân-VL
    Con này là Bkav viết ra hay của ai ??????
     
  9. MrKhanh09

    MrKhanh09 Mega Man

    Tham gia ngày:
    1/12/10
    Bài viết:
    3,020
    Nơi ở:
    Hội Du Mục
    Về nhà luộc canh bỏ thêm 5kg muối đi bợn !
    Ngay từ cmt đầu người ta đã hỏi " Bkav bờ rồ không diệt được sao mà phải dùng tool khác " chứ éo phải hỏi cái câu đấy , xoắn vớ va vớ vẩn.
     
  10. aoe2009

    aoe2009 Youtube Master Race

    Tham gia ngày:
    5/10/10
    Bài viết:
    12
    bợn thiếu i ốt à? ko diệt được mà bk lại đưa ra tên virus là W32.DownloadWinsLnr.Trojan à?
    còn lý do tại sao phải dùng tool cũng có rành rành ra đây còn rì b-(

    bợn EST1982 cũng nên lượn đi chỗ khác chơi
    rúc vào đây với loại não cạn này thì sớm muộn cũng bị lây đới :))
     
  11. MrKhanh09

    MrKhanh09 Mega Man

    Tham gia ngày:
    1/12/10
    Bài viết:
    3,020
    Nơi ở:
    Hội Du Mục
    Quote cũng vớ vẩn !
    Vâng cái lí do đấy tôi éo mù mà bạn phải nhắc. Câu hỏi được đặt ra là " BKAV Pờ Rồ 2011 t0p 3 TG " có diệt được nó ngay khi nó xâm nhập vào máy không ? Hay chỉ phát hiện được cái tên của nó rồi để đó chờ... Tool khác. Trả lời câu lày rồi ta tính tiếp nhá
    P/s : Dạo này box toàn các trò tự sướng của các súp , thiếu những người thiển cận , não phẳng... Hy vọng 2 pạn trên giúp box vui hơn sinh khí hơn !
     
  12. Quang_Bomb

    Quang_Bomb Mr & Ms Pac-Man

    Tham gia ngày:
    4/10/10
    Bài viết:
    104
    Vâng, bkis luôn cầm nhầm công bố của người khác, thậm chí nó đã được công bố trước gần 1 năm.
    Copy from: http://vozforums.com/showthread.php?t=2272996

    Bị vạch mặt mấy chú bkis quê quá và chọn giải pháp muôn thuở: Lock thread.

    Nhục nhã và hèn hạ. Lần sau trước khi công bố cái gì nhớ sử dụng google xem đã có ai công bố chưa nhé.

    Lời bàn:
    Copy from http://forum.bkav.com.vn/showthread...oi-thach-thuc-toi-cac-chuong-trinh-diet-virus
     
    Chỉnh sửa cuối: 14/8/11
  13. MrKhanh09

    MrKhanh09 Mega Man

    Tham gia ngày:
    1/12/10
    Bài viết:
    3,020
    Nơi ở:
    Hội Du Mục
    Đệch mợ tin cổ à, làm mình hí hửng tiếp 2 cháu kia nhiệt tềnh.
    BKAV sẽ mãi là Bi Kịch AntiVirut Việt
     
  14. Bkav Support #ID:649

    Bkav Support #ID:649 BKAV Support

    Tham gia ngày:
    20/9/10
    Bài viết:
    546
    Chào bạn,

    Mẫu mà bạn đề cập đến không dùng kỹ thuật phân quyền cho thư mục, mẫu đó không phải mẫu virus được nói đến trong bài viết Virus gửi lời thách thức tới các chương trình diệt virus. Mẫu virus mà Bkav đề cập tới, khi phân quyền cho thư mục, thì ở Usermode sẽ không thể truy cập vào file hay thư mục đó được.

    Bạn có thể xem hình dưới đây để có thêm thông tin:

    [​IMG]

    Trên forum Voz, bạn có thể xem câu trả lời của bên mình tại đây http://vozforums.com/showpost.php?p=36043930&postcount=26
     
  15. Quang_Bomb

    Quang_Bomb Mr & Ms Pac-Man

    Tham gia ngày:
    4/10/10
    Bài viết:
    104
    Mình hỏi xoáy và bạn trả lời xoay nhưng nhạt phèo.
    Con virus đó đã công bố mã nguồn từ cách đây gần 1 năm và nó được một script kiddies chỉnh sửa vài dòng. Các AV khác tóm gọn với Heur, không phải do bkis phát hiện ra đâu mà do bkis quá lạc hậu nên giờ mới biết con đó.
    Đề nghị đi vào đúng vấn đề, không lảng tránh vớ vẩn.

    Rất giống kiểu con Y!M ngày xưa của Hainam Luke gì đó. Chỉ cần thay đổi 1 vài ký tự là bkav lại tịt, sau đó chọn giải pháp bắt tất cả các file Auto IT
     
    Chỉnh sửa cuối: 16/8/11
  16. luunhatnghia

    luunhatnghia T.E.T.Я.I.S

    Tham gia ngày:
    13/2/06
    Bài viết:
    544
    ơ thế nick quangbomb bên này vẫn sống à ? nản thật đấy các sup . chém khẩn cấp!
     
  17. MrKhanh09

    MrKhanh09 Mega Man

    Tham gia ngày:
    1/12/10
    Bài viết:
    3,020
    Nơi ở:
    Hội Du Mục
    Có nhân viên nào dám chém sếp của mình không =))
     
  18. hoang231185

    hoang231185 Youtube Master Race

    Tham gia ngày:
    22/10/08
    Bài viết:
    50
    :-o anh quảng mà phải đi xoắn thế này à :))
     
  19. playboy007

    playboy007 Youtube Master Race

    Tham gia ngày:
    1/10/10
    Bài viết:
    9
    Nơi ở:
    hải phòng

    Bạn có gắn scrip được không, gắn thử 1 đoạn khác cho bkav nó ngoắc ngoải xem nào???
     
  20. hoang231185

    hoang231185 Youtube Master Race

    Tham gia ngày:
    22/10/08
    Bài viết:
    50
    căng thẳng thía tềnh êu [-X
    nên ôn hòa để đôi bên cùng có lợi chứ :)
    mềnh thấy bk cũng có đề cao con này đâu
    con này chỉ mang tính chất doạ nạt, khổ cái những av ko có nhân như Alarm, CMC là tịt khi bị nhiễm thôi
    con này viết chơi thôi nhưng nếu máy đã nhiễm thì kiểu gì diệt xong cùng phải fix permission trên ổ C
    cái tool của bk xem ra cũng hữu dụng đó chứ :P
     

Chia sẻ trang này