Mar 11, 2009
70 Views

Phân tích virus SafeSys

Written by

Tên virus : SafeSys
Loại : autorun, lây file
Mức độ : nguy hiểm
Khuyến cáo : khi sử dụng máy ảo để chạy thử virus phải tắt hết những đường share với máy thật -> ko khéo máy thật dính thì lại càng nguy !
Thông tin thêm : virus có khả năng qua mặt deepfreeze nhưng phải cần quyền admin, quyền limit thì virus này cũng chịu thua.

Đặc điểm :
– Đường lây nhiễm : Qua USB hoặc các trang web độc hại.
– Khi được kích hoạt sẽ ghi một đoạn mã độc vào BootSector của ổ cứng (điều này làm nhiều anh em lầm tưởng là máy tính của mình bị virus xuyên thủng băng). Nói dễ hiểu là nếu máy của bạn đóng băng, bạn vẫn sẽ bị nhiễm con này nếu kích hoạt nó.
– Đoạn mã độc ghi vào BootSector trên có khả năng gọi kết nối internet ngoài Dos và duy trì kết nối đó. (Đây chính là đường lây nhiễm LAN và Online). Nhưng các bạn yên tâm, nó không phải ăn Router (modem) của bạn, nên bạn ko cần reset lại router làm gì, mà chỉ cần tắt router đi thôi là OK rồi !
– Một đoạn REG được ghi vào HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun –> để có thể chạy vào lúc khởi động Windows.
– Một file Safesys.exe được lưu trong C:Program FilesCommon Files để có thể lây nhiễm qua USB và nằm chờ thời trong ấy để có thể hoàn hành trở lại một lần nữa.

————————–

Quá trình tấn công của virus :
– Tạo ra file “Program FilessNiu.dll”. Sau đó dùng Rundll32 để kích hoạt file này với Entry Point là MyDllEntry. Mình cũng chưa rõ tác dụng của dll này để làm gì.
– Tạo ra một driver với tên ngẫu nhiên và phần mở rộng là “.tmp”, nằm trong thư mục “DOCUMENTS AND SETTINGS<UserName>LOCAL SETTINGSTemp”. Driver này được đăng ký với tên là DogKiller. Đây là driver chủ chốt của virus. Virus sử dụng driver này để ghi file trực tiếp lên ổ cứng và qua mặt DeepFreeze.
– Tạo ra một driver với tên ngẫu nhiên, phần mở rộng là “.fon” và copy vào thư mục “windowsFonts”. Driver này có mục đích hỗ trợ driver chính.
– Từ mức driver, virus tạo file autorun.inf và copy chính nó vào các ổ đĩa. Sau đó nó copy thêm một bản nữa vào “Program FilesCommon Files”. Đây là file mà virus đăng ký chạy cùng win với khoá “HKLMSoftwareMicrosoftWindowsCurrentVersionRu n”
– Cũng từ driver, virus sửa lại nội dung của file “WindowsSystemspoolsv.exe”. Đây là dịch vụ quản lý share máy in của win. Khi đã kiểm soát được dịch vụ này, virus có thể lây lan rất nhanh qua mạng LAN, bởi vì đa số mạng LAN đều xài máy in share. Ngoài ra, virus còn lợi dụng spoolsv để gọi lại nó trong trường hợp bị kill.
– Đăng ký một lô các khoá “Image Execution Options” để chặn các av nổi tiếng và các tool như IceSword, Autoruns, ….

Quá trình kích hoạt virus :
– Virus được kích hoạt qua 2 đường : khởi động file “SafeSys.exe” cùng với win và gọi bởi dịch vụ dỏm “spoolsv.exe”. Tham số truyền vào khi virus khởi động cũng rất khả nghi “”c:program filescommon filessafesys.exe” -SSDT”. Mình cũng chưa phân tích kỹ xem virus cần tham số này để làm gì.
– Khi đã khởi động xong, virus sẽ gọi tiến trình “windowssystem32svchost.exe” của win và inject code vào tiến trình này. Tiến trình này giờ đã trở thành virus và nó sẽ gọi thêm một tiến trình giống như vậy để bảo vệ lẫn nhau. Khi xong việc, SafeSys sẽ tự kết thúc. Phần việc còn lại là của svchost.
– Tiến trình svchost bị nhúng code sẽ thực hiện các công việc phá hoại và lây lan của virus. Ngoài ra nó còn liên tục kiểm tra ( khoảng sau 5 giây ) xem có tồn tại các tool như Icesword, autoruns,… hay ko, nếu có nó sẽ kill ngay.

Các file mới được tạo thành:

c:AutoRun.inf. Kích thước:169 bytes
%ProgramFiles%Common FilesSafeSys.exe
c:SafeSys.exe. Kích thước:50.320 bytes

%Windir%TempTemporary Internet FilesContent.IE5�DW1MO35desktop.ini
%Windir%TempTemporary Internet FilesContent.IE5CPQRGHUJdesktop.ini
%Windir%TempTemporary Internet FilesContent.IE5desktop.ini
%Windir%TempTemporary Internet FilesContent.IE5MBOMW6J8desktop.ini
%Windir%TempTemporary Internet FilesContent.IE5WOJ8IYZOdesktop.ini. Kích thước:67 bytes
%Windir%TempTemporary Internet FilesContent.IE5index.dat. Kích thước:32.768 bytes

Các thư mục mới được tạo thành:

%Windir%TempCookies
%Windir%TempHistory
%Windir%TempHistoryHistory.IE5
%Windir%TempTemporary Internet Files
%Windir%TempTemporary Internet FilesContent.IE5
%Windir%TempTemporary Internet FilesContent.IE5�DW1MO35
%Windir%TempTemporary Internet FilesContent.IE5CPQRGHUJ
%Windir%TempTemporary Internet FilesContent.IE5MBOMW6J8
%Windir%TempTemporary Internet FilesContent.IE5WOJ8IYZO

Tạo các khoá registry:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360hotfix.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360rpt.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360Safe.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360safebox.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360tray.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsadam.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAgentSvr.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAntiArp.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAppSvc32.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsarvmon.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAutoGuarder.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsautoruns.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavgrssvc.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAvMonitor.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.com
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsCCenter.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsccSvcHst.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsFileDsty.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsfindt2005.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsFTCleanerShell.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsHijackThis.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIceSword.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsiparmo.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIparmor.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIsHelp.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsisPwdSvc.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskabaload.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKaScrScn.SCR
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKASMain.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKASTask.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAV32.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVDX.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVPFW.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVSetup.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVStart.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskillhidepid.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKISLnchr.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKMailMon.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKMFilter.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKPFW32.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKPFW32X.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKPFWSvc.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKRegEx.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKRepair.COM
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKsLoader.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVCenter.kxp
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKvDetect.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvfw.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKvfwMcl.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVMonXP.kxp
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVMonXP_1.kxp
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvol.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvolself.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKvReport.kxp
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVScan.kxp
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVSrvXP.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVStub.kxp
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvupload.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvwsc.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKvXP.kxp
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKvXP_1.kxp
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKWatch.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKWatch9x.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKWatchX.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsloaddll.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsMagicSet.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmcconsol.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmmqczj.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmmsk.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsNAVSetup.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsnod32krn.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsnod32kui.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsPFW.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsPFWLiveUpdate.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsQHSET.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRas.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRav.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavCopy.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavMon.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavMonD.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavStore.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavStub.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsravt08.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavTask.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRegClean.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsrfwcfg.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRfwMain.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsrfwolusr.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsrfwProxy.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsrfwsrv.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRsAgent.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRsaupd.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRsMain.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsrsnetsvr.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRSTray.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsruniep.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssafebank.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionssafeboxTray.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssafelive.exe
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun]
SafeSys = "%ProgramFiles%Common FilesSafeSys.exe"
so that SafeSys.exe runs every time Windows starts
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360hotfix.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360rpt.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360Safe.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360safebox.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360tray.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsadam.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAgentSvr.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAntiArp.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAppSvc32.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsarvmon.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAutoGuarder.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsautoruns.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavgrssvc.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAvMonitor.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.com]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsCCenter.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsccSvcHst.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsFileDsty.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsfindt2005.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsFTCleanerShell.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsHijackThis.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIceSword.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsiparmo.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIparmor.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIsHelp.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsisPwdSvc.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskabaload.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKaScrScn.SCR]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKASMain.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKASTask.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAV32.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVDX.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVPFW.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVSetup.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVStart.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskillhidepid.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKISLnchr.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKMailMon.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKMFilter.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKPFW32.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKPFW32X.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKPFWSvc.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKRegEx.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKRepair.COM]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKsLoader.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVCenter.kxp]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKvDetect.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvfw.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKvfwMcl.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVMonXP.kxp]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVMonXP_1.kxp]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvol.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvolself.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKvReport.kxp]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVScan.kxp]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVSrvXP.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVStub.kxp]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvupload.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvwsc.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKvXP.kxp]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKvXP_1.kxp]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKWatch.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKWatch9x.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKWatchX.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsloaddll.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsMagicSet.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmcconsol.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmmqczj.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmmsk.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsNAVSetup.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsnod32krn.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsnod32kui.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsPFW.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsPFWLiveUpdate.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsQHSET.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRas.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRav.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavCopy.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavMon.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavMonD.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavStore.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavStub.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsravt08.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavTask.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRegClean.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsrfwcfg.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRfwMain.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsrfwolusr.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsrfwProxy.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsrfwsrv.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRsAgent.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRsaupd.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRsMain.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsrsnetsvr.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRSTray.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsruniep.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssafebank.exe]
Debugger = "ntsd -d"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionssafeboxTray.exe]
Debugger = "ntsd -d"

log scan sơ qua của avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteRepair(9);
QuarantineFile('C:Program FilesMSIPC Alert 4NTGLM7X.sys','');
QuarantineFile('H:autorun.inf','');
QuarantineFile('E:SafeSys.exe','');
QuarantineFile('E:autorun.inf','');
QuarantineFile('D:SafeSys.exe','');
QuarantineFile('C:SafeSys.exe','');
QuarantineFile('C:autorun.inf','');
QuarantineFile('C:Program FilesCerienceRepliGoRepliGoIEBar.dll','');
QuarantineFile('C:Program FilesCerienceRepliGoRepliGoIEHelper.dll','');
QuarantineFile('avldr.dll','');
QuarantineFile('mcenspc.dll','');
QuarantineFile('C:WINDOWSsystemjjxzwzjy090301.e xe','');
QuarantineFile('C:WINDOWSsystem32alimoto32.exe' ,'');
QuarantineFile('C:WINDOWSsystem32306438F.dll','' );
QuarantineFile('C:Program FilesMSIPC Alert 4PCAlert4.exe','');
QuarantineFile('C:Program FilesCommon FilesSafeSys.exe','');
QuarantineFile('C:WINDOWSFontsxfjid.fon','');
QuarantineFile('C:WINDOWSFontswxsgb.fon','');
QuarantineFile('C:WINDOWSFontsuxobi.fon','');
QuarantineFile('C:WINDOWSFontsueugt.fon','');
QuarantineFile('C:WINDOWSFontstvvhg.fon','');
QuarantineFile('C:WINDOWSFontstsnun.fon','');
QuarantineFile('C:WINDOWSsystem32Driverssddriv er.sys','');
QuarantineFile('C:WINDOWSfontsnaks.sys','');
QuarantineFile('C:WINDOWSFontsjdnth.fon','');
QuarantineFile('C:WINDOWSFontsgculd.fon','');
QuarantineFile('C:WINDOWSFontsewkoj.fon','');
QuarantineFile('C:WINDOWSFontsefipu.fon','');
QuarantineFile('C:DOCUME~1IvanovLOCALS~1Temp~ qdcme.tmp','');
QuarantineFile('C:WINDOWSsystem32Driversaliimz .sys','');
QuarantineFile('C:WINDOWSFontsxcqcj.fon','');
QuarantineFile('C:WINDOWSsystem32driverssymlcb rd.sys','');
QuarantineFile('C:WINDOWSsystem32driversOreans .sys','');
QuarantineFile('C:WINDOWSsystemjjxzbjcj32dl.dll ','');
QuarantineFile('C:WINDOWSsystem32sysdlmy.dll',' ');
QuarantineFile('C:WINDOWSsystem32oegndjle.dll', '');
QuarantineFile('C:WINDOWSsystem32ndhodmip.dll', '');
QuarantineFile('C:WINDOWSsystem32gbfmbpol.dll', '');
QuarantineFile('C:WINDOWSsystem32fmmdidjf.dll', '');
QuarantineFile('C:WINDOWSsystem32F65BDEC7.dll', '');
QuarantineFile('C:WINDOWSsystem32E1384213.dll', '');
QuarantineFile('C:WINDOWSsystem32alimoto32.dll' ,'');
QuarantineFile('C:WINDOWSsystem3291C7DF6D.dll', '');
QuarantineFile('C:WINDOWSfontsuwoszwcw.dll','') ;
QuarantineFile('C:WINDOWSFontsaxkxtjgd.dll','') ;
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
DeleteService('tvvhg');
DeleteService('tsnun');
DeleteService('jdnth');
DeleteService('gculd');
DeleteService('uxobi');
DeleteService('ueugt');
DeleteService('xfjid');
DeleteService('wxsgb');
DeleteService('xcqcj');
DeleteService('ewkoj');
DeleteService('efipu');
DeleteService('naks');
DeleteFile('C:WINDOWSfontsnaks.sys');
DeleteFile('C:WINDOWSsystem3291C7DF6D.dll');
DeleteFile('C:WINDOWSsystem32E1384213.dll');
DeleteFile('C:WINDOWSsystem32F65BDEC7.dll');
DeleteFile('C:WINDOWSsystem32fmmdidjf.dll');
DeleteFile('C:WINDOWSsystem32gbfmbpol.dll');
DeleteFile('C:WINDOWSsystem32ndhodmip.dll');
DeleteFile('C:WINDOWSsystem32oegndjle.dll');
DeleteFile('C:WINDOWSFontsaxkxtjgd.dll');
DeleteFile('C:WINDOWSfontsuwoszwcw.dll');
DeleteFile('C:WINDOWSFontsxcqcj.fon');
DeleteFile('C:WINDOWSFontsefipu.fon');
DeleteFile('C:WINDOWSFontsewkoj.fon');
DeleteFile('C:WINDOWSFontsgculd.fon');
DeleteFile('C:WINDOWSFontsjdnth.fon');
DeleteFile('C:WINDOWSFontstsnun.fon');
DeleteFile('C:WINDOWSFontstvvhg.fon');
DeleteFile('C:WINDOWSFontsueugt.fon');
DeleteFile('C:WINDOWSFontsuxobi.fon');
DeleteFile('C:WINDOWSFontswxsgb.fon');
DeleteFile('C:WINDOWSFontsxfjid.fon');
DeleteFile('C:WINDOWSsystem32306438F.dll');
DeleteFile('C:WINDOWSsystem32alimoto32.exe');
DeleteFile('C:WINDOWSsystem32sysdlmy.dll');
DeleteFile('C:WINDOWSsystemjjxzwzjy090301.exe') ;
DeleteFile('mcenspc.dll');
DeleteFile('C:autorun.inf');
DeleteFile('C:SafeSys.exe');
DeleteFile('D:SafeSys.exe');
DeleteFile('E:autorun.inf');
DeleteFile('E:SafeSys.exe');
DeleteFile('H:autorun.inf');
DeleteFile('H:SafeSys.exe');
DeleteFile('C:WINDOWSsystemjjxzbjcj32dl.dll');
DeleteFile('C:Program FilesCommon FilesSafeSys.exe');
ExecuteRepair(6);
ExecuteRepair(8);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end..

_______________________
Cách diệt :
1. Tắt router.
2. Boot bằng đĩa Hiren –> Vào Dos –> đánh lệnh fdisk/mbr (lệnh này để làm lại bootsector cho ổ cứng) ==> nếu máy tính của bạn đang đóng băng, chỉ cần chạy tới đây là OK rồi, khởi động lại máy và vào windows bình thường.
3. Khởi động lại máy, vào Safemod của Windows –> vào Regedit xoá keyname Safesys tại : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun
4. Dùng trình tìm kiếm của windows để search file (tất cả các file, kể cả file ẩn) (Lưu ý bạn nên set folder option của mình là hiện tất cả các file, kể cả phần mở rộng và tập tin hệ thống). Tìm kiếm lần lượt và xoá sạch đi những file Aurorun.inf, Safesys.exe trên tất cả các ổ đĩa.
5. Vào C:Program FilesCommon Files xoá file Safesys.exe còn lại
6. Con này còn dùng rawdisk để ghi đè bản thân vào spoolsv.exe nữa. Phải xóa luôn file này đi. Rồi tìm 1 file sạch copy lại
Vậy là sạch rồi đó, bạn đã diệt đựoc virus Safesys.exe này.
___________________________
Còn đây là cách chặn nó

Các bác tránh nó cho các máy như sau ( không cần Antivirus )

1. Start — > Run –> gõ vào Gpedit.msc.
2. Computer Configuration —>Windows Settings –>Click chuột phải nhánh Software Restriction Policies , chọn Create New Policies
Nó sẽ xổ ra 2 menu con, trong đó có menu Additional Rules
3. Click chuột phải vào Additional Rules, chọn New Hash Rule
ở ô File hash bạn copy đoạn này vô: c3d5b136c6997a23669a79fccc2c185a:49094:32771

ở ô File infomation Copy đoạn này vô:
SafeSys.exe
48 KB
3/3/2009 6:58:08 PM

ở ô Security level để mặc định là : Disallowed

đừng quên để quyền limit cho máy nhá ^^!

Article Tags:
· · · ·
Article Categories:
Virut/Trojan
    http://linholiver.com

    https://linholiver.com/diary/about/