tìm google (phân tích virus SafeSys)
---------------------------
Tên virus : SafeSys
Loại : autorun, lây file
Mức độ : nguy hiểm, ai không có kinh nghiệm xin chớ vọc
Khuyến cáo : khi sử dụng máy ảo để chạy thử virus phải tắt hết những đường share với máy thật -> ko khéo máy thật dính thì lại càng nguy !
Thông tin thêm : virus có khả năng qua mặt deepfreeze nhưng phải cần quyền admin, quyền limit thì virus này cũng chịu thua.

---------------------------

Quá trình tấn công của virus:
- Tạo ra file "Program Files\sNiu.dll". Sau đó dùng Rundll32 để kích hoạt file này với Entry Point là MyDllEntry. Mình cũng chưa rõ tác dụng của dll này để làm gì.
- Tạo ra một driver với tên ngẫu nhiên và phần mở rộng là ".tmp", nằm trong thư mục "DOCUMENTS AND SETTINGS\\LOCAL SETTINGS\Temp". Driver này được đăng ký với tên là DogKiller. Đây là driver chủ chốt của virus. Virus sử dụng driver này để ghi file trực tiếp lên ổ cứng và qua mặt DeepFreeze.
- Tạo ra một driver với tên ngẫu nhiên, phần mở rộng là ".fon" và copy vào thư mục "windows\Fonts". Driver này có mục đích hỗ trợ driver chính.
- Từ mức driver, virus tạo file autorun.inf và copy chính nó vào các ổ đĩa. Sau đó nó copy thêm một bản nữa vào "Program Files\Common Files". Đây là file mà virus đăng ký chạy cùng win với khoá "HKLM\Software\Microsoft\Windows\CurrentVersio n\Ru n"
- Cũng từ driver, virus sửa lại nội dung của file "Windows\System\spoolsv.exe". Đây là dịch vụ quản lý share máy in của win. Khi đã kiểm soát được dịch vụ này, virus có thể lây lan rất nhanh qua mạng LAN, bởi vì đa số mạng LAN đều xài máy in share. Ngoài ra, virus còn lợi dụng spoolsv để gọi lại nó trong trường hợp bị kill.
- Đăng ký một lô các khoá "Image Execution Options" để chặn các av nổi tiếng và các tool như IceSword, Autoruns, ....

Quá trình kích hoạt virus :
- Virus được kích hoạt qua 2 đường : khởi động file "SafeSys.exe" cùng với win và gọi bởi dịch vụ dỏm "spoolsv.exe". Tham số truyền vào khi virus khởi động cũng rất khả nghi ""c:\program files\common files\safesys.exe" -SSDT". Mình cũng chưa phân tích kỹ xem virus cần tham số này để làm gì.
- Khi đã khởi động xong, virus sẽ gọi tiến trình "windows\system32\svchost.exe" của win và inject code vào tiến trình này. Tiến trình này giờ đã trở thành virus và nó sẽ gọi thêm một tiến trình giống như vậy để bảo vệ lẫn nhau. Khi xong việc, SafeSys sẽ tự kết thúc. Phần việc còn lại là của svchost.
- Tiến trình svchost bị nhúng code sẽ thực hiện các công việc phá hoại và lây lan của virus. Ngoài ra nó còn liên tục kiểm tra ( khoảng sau 5 giây ) xem có tồn tại các tool như Icesword, autoruns,... hay ko, nếu có nó sẽ kill ngay. Mèo cũng chưa phân tích xem nó kill IS như thế nào.

Mẩu virus do bạn cafe.kfc cung cấp. Bạn nào muốn thì cứ liên hệ bạn ấy. Mình xin nhắc lại: virus này rất nguy hiểm và dai dẳng !

Mỏi tay quá, khi nào rảnh mình sẽ viết tiếp về cách diệt.

Download: mẫu vr: pass giải nén: 1
http://www.4shared.com/file/ZvUUYouM/vr-SafeSys-51kb.html
or
http://4share.ws/file/dp4b0ag59/vr-SafeSys-51kb.rar.html
or
http://www.mediafire.com/?95go9n5i9yg1u5p