User Tag List

+ Trả lời chủ đề
Hiện kết quả từ 1 tới 4 của 4

Chủ đề: DIỆT MAGIC-PS 1.5 NHƯ THẾ NÀO, Cấu tạo và cách nó kích hoạt trong H/T

  1. #1
    HUT's Student
    Tham gia ngày
    Feb 2004
    Bài gửi
    153

    Mặc định DIỆT MAGIC-PS 1.5 NHƯ THẾ NÀO, Cấu tạo và cách nó kích hoạt trong H/T

    Vào http://www.hvaonilne.net tôi xin Copy+paste ở đây cho các bạn bàn luận

    Thưc vậy ,khi các bạn download Trojan này về máy mình , save nó ở 1 nơi nào đó ,ngay cả trên đĩa A ,thì rất nhiều trưòng hơp máy bạn bị nhiễm Magic-PS 1.5 . Vì nguồn download( thưòng từ 1 trang Web )sẽ vô cùng rông rãi và " thiện chí " với bạn bằng cách cung cấp luôn cho bạn cả hai con Magic-PS 1.5. ( Xin 1 mà đưọc 2, sướng thật ) . Môt " con " đi vào chỗ bạn chỉ định save , còn con kia vào trong Internet Temporary Files . Có trang Web ( của Arâp ) còn tân tình và chu đáo phục vụ khách hàng hơn nữa - bằng cách cài vào máy bạn 1 script ngay khi bạn vừa kết nối với trang Web , rồi sau đó nếu bạn nhấp chuột download con Magic-PS 1.5 về máy thì nó tiếp tục tặng con thứ hai cho bạn như nói ở trên . Script này sẽ kich hoạt mở file thưc thi của Magic- PS 1.5 . Con Magic-PS 1.5 này thế là đưọc ra đời và hoạt động sớm ngay trong máy bạn . Còn con kia thật hẩm hiu , vì nó còn phải chờ đợi để đưọc dùng theo ý bạn


    ( Thât y như mở môt trang Web tìm crack cho 1 softwares ,thì đưọc tặng hàng loạt ,liên tục các hình ảnh "thích ghê người ")


    Trojan này còn có tên khác là :
    MultiDropper-FQ ???(theo McAfee) , nhưng thưc tế McAfee lại không có môt tài liệu nào nói về MultiDropper-FQ . Ngoài ra dùng McAfee update Data Virus File mới nhất cũng không phát hiện đưoc PS 1,5 đang nhiễm trong máy . Dường như McAfee lúng túng hay không chú ý về vấn đề liên quan đến Trojan này

    Cần chú ý là hầu như không có công ty Antivirus nổi tiếng nào lại dùng tên Magic- PS1.5 ( tên này có lẽ do tác gỉa tạo ra nó đặt tên rồi sau đó tuyên truyền khuyến cáo sử dụng trên mạng )và thưc ra cho đến hôm nay (11.2.04) cũng chưa có công ty nào công bố 1 biện pháp diệt Magic-PS 15 ( riêng Magic-PS 1.1 ,1,41 .1.42 thì đã có ) , nên việc tìm hiểu rất khó khăn . Vì vậy tôi phải " hy sinh " cho nhiễm nó vào máy , cài các OS khác nhau , để nhân dạng nó . Các tên Aliases trên đây chỉ là kết qủa qúa trình tìm hiểu sau này .

    Cách

  2. #2
    HUT's Student
    Tham gia ngày
    Feb 2004
    Bài gửi
    153

    Mặc định

    Cách thức hoạt động của Trojan và cách diệt nó
    Trojan Magic -PS 1.5 ( cũng như các variant trưóc của nó như PS 1beta ,PS-1.1 , PS-1.41 ,PS-1,42 ... ) là những Dropper , bản thân chúng là một chưong trình hoàn thiên , loại stand-alone

    Thực tế ta cần phân biệt 2 loại file chứa PS1.5 thừong có sẵn trên mạng để download . Môt file có tên là Magic _PS_ 15.zip ( 32,9 KB , giải nén khoãng 37 KB ) và file kia là PS_15_ .exe ( 60,8 KB )Cũng có thể tạm gọi là 2 variant là PS1.5 A và PS-1,5 B cho dễ phân biệt

    Loại PS-1,5 A ( zipped 32,9 KB ) thì " an toàn " cho ngừoi sử dụng . Nghĩa là sau khi download về , giải nén sẽ xuất hiện 1 file Magic_ PS_15 exe với 1 Icon chữ MPS mầu đỏ kèm 1 file Readme ( khoảng 1KB ) nôi dung không có gì . SAu khi click vào file Magic _PS_1.5 thì 1 giao diện quen thuôc ( giống như của Magic_Ps _1.42) hiện ra , Nhưng không có file thành phần cơ bản nào của Magic _PS 1,5 đựoc cài vào máy ngừoi sử dụng .( như vậy máy vẫn an toàn )

    Sau khi chọn tên cho file sẽ đựoc cài đặt trên máy nạn nhân , chọn biểu tựong cho file này (no icon , JPG hay software ) ,Binding nếu muốn , chọn tên cho file gửi đến máy nạn nhân và click MPS creator ( thiết lâp MPS ) thì sẽ xuất hiện môt file dùng để gửi đến nạn nhân , tên file thừong chọn là Sender.exe ( có thể chọn nhiều tên khác ).
    Nếu ngừoi " sử dung-khai thác " Trojan vô tình click vào file sender.exe thì máy của mình lập tức nhiễm các file của Trojan . Đó thừong là các file :

    1 - regsvr .exe ( cũng có thể là svchost.exe ... tuỳ việc ta đã lưa chọn 1 cách vô tình 1 tên nào đó trong list tên file để dặt tên cho file cài đặt vào máy } File này là file quan trọng nhất đựoc coi là file cơ bản nhất vì nó sẽ tư xcopy để gắn vào các Registry giúp cho Iworm đựoc kích hoạt sau mỗi lần restart hệ thống . File này dung lưong khoảng 12,3 KB nằm ở directory C/WiNNT ( với Win 2000 ,ở C/Windows với XP )

    2 - Ms Agent 32,exe ( 12,3 KB ) đây là file chủ yếu dùng để thưc thi môt số service ,yêu cầu do ta lưa chọn( chọn ngay trên giao diện của PS 1.5 ) trong đó có việc chính là lấy Password . File ở đừong dẫn C/WiNNT/system 32

    3- Perflib-Perfdata ...... ( 16 KB ) tại C/WiNNT /System 32 , Đây là file lưu trữ các dữ liệu lấy cắp từ hệ thống

    4 - PIF (0 kB ) nằm ở C/WiNNT đây là file dư trữ
    Chú ý là con số cuối của tên file Perflib-Perfdata thí dụ Perflib-Perfdata 49c , đựoc ngừoi viết Trojan cho thay đổi sau mỗi lần restart máy , lấy 1 con số ngẫu nhiên , nhằm cho việc theo rõi kiểm soát bảo mật khó khăn .

    5- NTMSJRLN ( 1,46 KB ) nằm ở C/WiNNT/systèm 32/NtmsData - file này hỗ trơ việc lưu dữ liệu . Chú ý là file thứ 5 chỉ xuất hiện sau lần khởi đông lại đầu tiên
    6- Sender.exe (12.3 KB ) file này do ta click MPS creator tạo ra ,như đã nói ở trên , thừong nằm ở C/Documents settings/Administrator /Local settings/Temp ( có khi nằm ngay ở đĩa A nếu ta dạng save Magic_PS_1;5 trong đĩa mềm và từ đó kích hoạt mở PS 1,5 )
    7-MPS mmtask0.exe ( 37 KB) bản copy lại toàn bộ Trojan , cũng lưu tại C/Documents settings/Administrator /Local settings/Temp

    Đối với Trojan Magic- PS 1,5 B ( file 60,8 KB )thì tình hình khác hẳn . File Iworm download về là 1 file thực thi ( *.exe ) Magic_PS_15. exe . Ngay sau khi ta vừa click mở file thì môt giao diện" Magic -PS " quen thuộc giống như trên đã nói hiện ra NHUNG ĐỒNG THỜi MỘT TROJAN PS-!5 khác ( tạm gọi như vậy cho dễ hiểu ) đã lập tức đựoc cài vào máy của mình ,, Do tác gỉa viết Iworm đã chọn lưa sẵn cho nạn nhân càc option nên trong máy xuất hiện các file sau
    *- svchost ,exe ( file này hoàn toàn giống file regsvr ,exe nói trên , cũng nằm ở C/WinNT , chĩ mang tên khác , Tên này do ngừoi viết Iworm "chọn hộ " cho ta rồi )
    * Các file còn lại ( số 2, 3,4 ,5 .6 .7 cũng giống như trừong hợp PS1,5 A nói trên - về tên dung lưong , vi trí trong directory )

    Ngoài 7 file cơ bản nói trên , riêng PS-1.5 B còn có thêm môt file thứ 8 là
    mmtask1.exe , ( 12,3 KB )nằm o C/WinNT /sytem 32 , Đừng nhầm với file "default " của Windows đó là file mmtask .exe cũng nằm ở directory này . Ngoài ra cũng chú ý đừng nhầm giữa hai file có tên hoàn toàn trùng nhau " svchost ,exe " . Môt của Windows , cái kia của Trojan . Nhưng svchost ,exe của Windows nằm ở
    C/WinNT /sytem 32

  3. #3
    HUT's Student
    Tham gia ngày
    Feb 2004
    Bài gửi
    153

    Mặc định

    Những chú ý khi remove Magic- PS 1,5 khỏi máy

    1 - Do chưa công ty quốc tế nào c6ng bố 1 chưong trình quét Trojan này nên ta phài diệt nó " bằng tay" ( Tôi dư định bàn với LVH viết 1 Magic-PS 1.5 removing Tool , 1 c/t quét Trojan này loại Stand-alone )

    2 Mở các directory của hệ thống , tìm các file cơ bản của TRojan đã nói kỹ ở trên và delete các files này , Môt số file như regsvr ,exe ,svchost ,exe thừong không delete đựoc ngay . Cut và paste file vào 1 vi trí khác ( như Mydocument chẳng hạn )- rồi Restart lại máy để sau đó có thể delete chúng .

    3- Do ngừoi cài Trojan vào máy mình có thể chọn tuỳ thích 1 tên trong khoảng 18 tên để đặt cho file sẽ cài đặt vào máy mình , nên phải tìm kiểm tra từng tên , trứoc hết hãy tìm với regsvr ,exe và svchost ,exe , sau đó là các tên khác . ( xem kỹ danh sách tên trong giao diện pS 1,5 và ghi lại ). Xin nhớ là chỉ có file số 1 và file số 6 - như đánh số thứ tự ở trên- là tên có thể thay đổi mà thôi .

    4- Kiểm tra các registry dứoi đây và xóa chúng ( nếu có ) . Đó là các rEgistry do Trojan tạo ra trên hệ thống

    KEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion\Run "Svchost" = "%Windir%/Svchost.exe"

    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run "Svchost" = "%Windir%/Svchost.exe"

    Chú ý là file kich hoạt gắn vào registry trừong hơp này là " Svchost.exe" , nhưng thưc tế có thể là tên 1 file trong 18 tên file nói trên . Ngoài ra không đưọc xóa nhầm môt registry liên quan đến "Svchost.exe" của HDH Windows dùng để kich hoạt process "Svchost "khi khởi đông máy


    5 - Ngừoi là nạn nhân thưc sự của Trojan này có thể diệt Trojan theo đúng hứong dẫn nói trên ( "Nạn nhân " ở đây là người bị hacker tìm cách cài Trojan vào máy của họ . Máy đó sẽ nhiễm Trojan khi họ click vào file Sender.exe nói trên . File này để trần hay đưọc nguy trang dấu kín)

    6 - Cần nhắc lại là nhiều tên file thành phần của Trojan giống hay gần giống tên file nguyên thủy của các HĐH Windows . Vì vậy cần kiểm tra kỹ tên , dung lưong , vi trí trưóc khi xóa , Nếu xóa nhầm thì có thể không sử dụng đựoc máy về cơ bản . Thí dụ xóa nhầm file Svchost.exe của Windows thì khi muốn kết nối với Internet sẽ không thể mở cổng 135 ,do đó không tài nào nối mạng đựoc .

    7- Dù Trojan PS1.5 cài trong máy nạn nhân nhiều file , có môt số file thay đổi tên - tuỳ theo ý thích của hacker- hay đổi tên phần đuôi ( như Perflib-Perfdata ), tên File của Trojan lại trùng hay gần giống tên các file chủ chốt của Windows nên ta khó khăn trong việc loại Trojan PS1.5 ra khỏi máy ,nhưng File cơ bản của Trojan này là file số 1 - thưòng có tên là Svchost.exe hay regsvr .exe , có thể có tên khác như nói ở trên . File này có thể gọi là Trojan carrier . Nếu tìm diệt đưọc file này thì Trojan đã bị vô hiệu hóa về cơ bản

    Ghi chu:

    Các file dứoi đây có thể thay đổi dung lựong từ 12.3 KB đến 16 KB , tuỳ theo Hacker chọn lưa cho Trojan gửi vào máy nạn nhân có ít hay nhiều tính năng . Nếu chi chọn tính năng lấy cắp Yahoo passwort và Autostart thì dung liưong các file chỉ là 12.3 KB , còn nếu chọn toàn bô tính năng thì dung lưong của mỗi File là 16 KB :

    - regsvr .exe ( hay svchost.exe ... hay bất cứ tên nào trong 18 tên files mà hacker có thể chon lưa cho file cài vào trong máy nạn nhân )

    - Sender.exe ( hay sex.exe .... hay bất cứ tên nào trong 36 tên files mà hacker có thể chon lưa cho file gửi cùng Yahoo message )

    - Ms Agent 32,exe- mmtask1.exe

    Cũng tưong tư như trên file MPS mmtask0.exe có thể có dung lưong từ 37 KB đến 40 KB

  4. #4
    hung_t1981
    Guest

    Mặc định

    Hay lắm
    PS magic được rất nhiều người sử dụng với mục đích không tốt.
    Chuyên thó pass của bà con.

+ Trả lời chủ đề

Thông tin chủ đề

Users Browsing this Thread

Hiện có 1 người đọc bài này. (0 thành viên và 1 khách)

Chủ đề tương tự

  1. Boulevard magic
    Gửi bởi cáo đeo nơ trong mục Jazz - Soul - Other
    Trả lời: 1
    Bài cuối: 21-06-2006, 12:52 PM
  2. Magic boulevard_Francoise feldman
    Gửi bởi sweetgrass trong mục Jazz - Soul - Other
    Trả lời: 1
    Bài cuối: 13-04-2004, 09:47 AM
  3. Make Email magic with Outlook express
    Gửi bởi Aprilsnow trong mục Các vấn đề CNTT khác
    Trả lời: 6
    Bài cuối: 26-12-2002, 10:35 PM

Từ khóa (Tag) của chủ đề này

Quyền viết bài

  • Bạn không thể gửi chủ đề mới
  • Bạn không thể gửi trả lời
  • Bạn không thể gửi file đính kèm
  • Bạn không thể sửa bài viết của mình


About svBK.VN

    Bách Khoa Forum - Diễn đàn thảo luận chung của sinh viên ĐH Bách Khoa Hà Nội. Nơi giao lưu giữa sinh viên - cựu sinh viên - giảng viên của trường.

Follow us on

Twitter Facebook youtube