"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่ค่อยได้มีการ update หรือทดสอบ virus ตัวใหม่ๆ เนื่องจากภาระหน้าที่การงาน"

Alert


Photobucket
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
How to remove Crypt0L0cker

1/31/2558

MSIL/Agent.PYO : Botnet นักเดินทาง


MSIL/Agent.PYO : Botnet นักเดินทาง

Posted on January 29, 2015 by welivesecurity in Malware

เมื่อเร็วๆ นี้ นักวิจัยของ ESET พบชิ้นส่วนของมัลแวร์ที่มีการกำหนดเป้าหมายอยู่ที่แบบฟอร์มการกรอกข้อมูลของ สถานกงสุลของประเทศโปแลนด์ซึ่งเป็นเอกสารสำหรับการสมัครขอวีซ่า

ชาวเบลาลุสที่ต้องการวีซ่าจำเป็นจะต้องกรอกแบบฟอร์มเพื่อนัดหมายกับสถาน กงสุลโดยแบบฟอร์มที่ยื่นไปจะต้องมีการระบุวันแบบเฉพาะเจาะจง (ตัวอย่างเช่นแบบฟอร์มสำหรับเดือนมกราคม 2015 จะต้องยื่นในช่วงวันที่ 20 และ 21 ธันวาคม)และจำนวนของการนัดหมายก็มีจำกัด ด้วยขั้นตอนการกรอกแบบฟอร์มนัดหมายที่ซับซ้อนทำให้หลายคนหันไปใช้สคริปต์การ กรอกแบบฟอร์มแบบอัตโนมัติแทนช่วยลดกระบวนการในการกรอกแบบฟอร์ม แม้ว่าราคาจะแพงกว่าการกรอกแบบฟอร์มด้วยมือก็ตามเพื่อการเอาชนะบอทเหล่านี้ สถานกงสุลได้เพิ่มระบบ CAPTCHA ในเว็บไซต์ของพวกเขาและจำกัดการเชื่อมต่อไปยังเซิร์ฟเวอร์สำหรับหมายเลขไอพี ในประเทศโปแลนด์และเบลาลุสเท่านั้น
ข้อความสีแดงในรูปด้านล่าง สามารถแปลได้ว่า “ใบสมัครลงทะเบียนอิเล็คทรอนิคส์สำหรับการยื่นขอวีซ่าสำหรับกงสุลใน Minsk, Grodno และ Brest สามารถดูได้ที่ https://by.e-konsulat.gov.pl เราแนะนำให้คุณเข้าเว็บพอร์ทัลที่ https://by.e-konsult.gov.pl ที่สามารถเข้าได้เฉพาะเครื่องคอมพิวเตอร์ที่มีหมายเลขไอพีของโปแลนด์และเบลาลุสเท่านั้น”
1-e-konsulat
มีบางคนตัดสินใจที่จะเดินหน้าไปยังขั้นตอนต่อไปและได้สร้างบอทเน็ตเฉพาะ ขึ้นมาเพื่อจุดประสงค์ในการกรอกแบบฟอร์มนี่คือที่ที่เราพบชิ้นส่วนของมัลแว ร์ MSIL/Agent.PYO กลับมาที่เรื่องของเรามัลแวร์นี้มีส่วนประกอบมากมาย ในส่วนของดาวน์โหลด (เราพบการใช้งาน 2 เวอร์ชั่นที่ต่างกันตัวหนึ่งเขียนด้วย C# อีกตัวเขียนด้วย C++) และองค์ประกอบหลัก ซึ่งชื่อเดิมคือ “Konsulat.RemoteClient”
การปฏิบัติการคือการทำให้วุ่นวายด้วย .NET Reactor แต่ก็มีการฝังโมดูลบางตัวเอาไว้ด้วย
2-remoteclientdlls
ข้อดีของโปรแกรม .NET ก็คือ หากไม่มีการป้องกันไว้ เราสามารถแยกส่วนประกอบด้วยเครื่องมืออย่าง JustDecomplie, Dotpeek หรือ ILSpy ในการสร้างโค้ดที่ค่อนข้างใกล้เคียงกับตัวต้นฉบับทั้งฟังก์ชั่นและชื่อของ ตัวแปร
3-decompiled
โปรแกรมที่ถูกแยกส่วนออกมาเป็นโมดูลที่แตกต่างกันซึ่งจะช่วยในการวิ เคราะห์ สำหรับตัวอย่าง โค้ดในแต่ละขั้นตอนสำหรับกระบวนการลงทะเบียนที่มีการแยกส่วนกันอยู่
4-regsteps
โค้ดที่รับผิดชอบหน้าที่ในกาสื่อสารกับเซิร์ฟเวอร์ C&C ถูกสร้างโดยใช้ WCF (Windows Communication Foundation) ซึ่งนี่คือกรอบที่ถูกใช้ในการสร้างเว็บเซอร์วิส ขั้นตอนการติดต่อกับอุปกรณ์ปลายทางมีดังนี้
net.tcp://37.28.153.162:26900/control
net.tcp://37.28.153.162:26900/log
http://37.28.153.162:7425/
4 วันก่อนที่จะเปิดให้ลงทะเบียน องค์ประกอบการดาวน์โหลดของ MSIL/Agent.PYO จะถูกกระจายผ่านทาง Nuclear Exploit Kit และมีเพียงคอมพิวเตอร์ที่อยู่ในเบลาลุสเท่านั้นสถิติจาก Bit.ly ลิงค์ที่ถูกใช้ในการเปลี่ยนเส้นทางแสดงให้เห็นว่ามีคอมพิวเตอร์มากกว่า 200,000 เครื่องที่ถูกเปลี่ยนเส้นทางโดยการใช้ประโยชน์จากช่องโหว่ใน 6 วันที่ผ่านมา
5-bitly
คาดกันว่าในวันที่ 20 และ 21 ธันวาคม บอทเริ่มมีการรับคำสั่งในการกรอกแบบฟอร์มลงทะเบียน ผู้พัฒนามัลแวร์ใช้ประโยชน์จากความวุ่นวายในการอัพเดตบอทเน็ต โดยจำนวนของเวอร์ชั่นมีการเปลี่ยนแปลงไปถึง 3 เวอร์ชั่นในสองวัน
Data                     Version
2014-12-20         1.5.24.0
2014-12-20         1.5.25.0
2014-12-22         1.5.29.0
2014-12-29         1.5.31.0
การตรวจสอบบอทเน็ตเผยให้เห็นว่า มีเครื่องคอมพิวเตอร์ประมาณ 300 เครื่องซึ่งเกือบทั้งหมดอยู่ในเบลาลุส ในช่วงกว่า 5 สัปดาห์ มีคอมพิวเตอร์กว่า 925 เครื่องทำการเชื่อมต่อกับบอทเน็ต ซึ่งเป็นที่น่าแปลกใจสำหรับบอทเน็ตที่มีจุดประสงค์แบบเฉพาะเจาะจงเราได้รวบ รวมข้อมูลและแจ้งไปยัง CERT-PL และ CERT-BY ทีมรับมือเหตุฉุกเฉินด้านคอมพิวเตอร์ในเบลาลุสและโปแลนด์
ตัวอย่างการวิเคราะห์
SHA1
Component
Detection name
01baf70db10c506a5ff7629a4a8a30416835769f Downloader Win32/TrojanDownloader.Agent.AZM
3a63b784b900688e55b8925cbead856f62535ada Downloader MSIL/Agent.PYO
80e49d21e314e17c8d99230444f77820c67318cb Updater MSIL/Agent.PYO
254e1ceaa44ce19570a6d4b0812d3b6081a48782 RemoteClient MSIL/Agent.PYO
welivesecurity
blog.eset.co.th
เขียนโดย ที่
ป้ายกำกับ: ,

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)

Information

==============================================
PeeTechFix >> JupiterFix
==============================================
Photobucket

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt
-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode

Popular Posts

  • AVDB-006 Update
    ------------------------------------------------------------------------- PeeTechFix-Win32/PSW.OnlineGames 2.0.5 AVDB-006 (update 20/10/2009...
  • Quick checklist for ransomware protection
    Instead, take the time see how to avoid ransomware attacks with this essential sheet. How many check marks can you score?
  • How to remove qkm.exe
    qkm.exe , herss.exe Files size 93.5 KB (95,744 bytes) MD5: 652FA41E1F599F3AFBD88B1D01F28241 SHA-1: 0DF2874A9D44873D7EF038F48C20CC229D7B447C ...
  • AVDB-013 Update
    16/11/2009 PeeTechFix-win32/PSW.OnlineGame 2.0.5 AVDB-013 ============================================= 39ua6nvk.cmd 3nh99cah.exe 82i.cmd 8...
  • Virus: Win32/Induc.A
    How to remove Win32/Induc.A (Detect by NOD32) Aliases: Virus.Win32.Induc.a (Kaspersky), W32/Induc (McAfee), Virus:Win32/Induc.A (Microsoft) ...
  • Virus Remove Tool
    Tool สำหรับ กำจัด virus ต่างๆ ------------------------------------------------------------------------- PeeTech Fix Tool + Other Virus Remo...
  • How to remove m.exe, herss.exe
    m.exe , herss.exe File size: 115319 bytes MD5: BDCC9DE9880F15A961A265CA7A11C2D4 ============================================== Aliases: a-sq...
  • How to remove 9rfpp.exe
    9rfpp.exe , nodqq.exe File size: 110080 bytes MD5 : 812fcfca131c043ccdf5d0fdab53c2b7 SHA1 : 9bec221ae1d8fa3e221f6dc21b408da9442829 46 =====...
  • AVDB-005 Update
    new update 05/10/2009 ! ------------------------------------------------------------------------ AVDB-005 (05/10/2009) ---------------------...
  • Malware Remove Tool and Utilities Tool
    #Malware Remove Tool# Process and Task Manager Tool 1. ExplorerXP Download link 1 hot !   2. Process Explorer Download link...