@Phân tích virus SafeSys

Tên virus : SafeSys
Loại : autorun, lây file
Mức độ : nguy hiểm, ai không có kinh nghiệm xin chớ vọc
Khuyến cáo : khi sử dụng máy ảo để chạy thử virus phải tắt hết những đường share với máy thật -> ko khéo máy thật dính thì lại càng nguy !
Thông tin thêm : virus có khả năng qua mặt deepfreeze nhưng phải cần quyền admin, quyền limit thì virus này cũng chịu thua.

--------------------------

Quá trình tấn công của virus :
- Tạo ra file "Program Files\sNiu.dll". Sau đó dùng Rundll32 để kích hoạt file này với Entry Point là MyDllEntry. Mình cũng chưa rõ tác dụng của dll này để làm gì.
- Tạo ra một driver với tên ngẫu nhiên và phần mở rộng là ".tmp", nằm trong thư mục "DOCUMENTS AND SETTINGS\\LOCAL SETTINGS\Temp". Driver này được đăng ký với tên là DogKiller. Đây là driver chủ chốt của virus. Virus sử dụng driver này để ghi file trực tiếp lên ổ cứng và qua mặt DeepFreeze.
- Tạo ra một driver với tên ngẫu nhiên, phần mở rộng là ".fon" và copy vào thư mục "windows\Fonts". Driver này có mục đích hỗ trợ driver chính.
- Từ mức driver, virus tạo file autorun.inf và copy chính nó vào các ổ đĩa. Sau đó nó copy thêm một bản nữa vào "Program Files\Common Files". Đây là file mà virus đăng ký chạy cùng win với khoá "HKLM\Software\Microsoft\Windows\CurrentVersion\Ru n"
- Cũng từ driver, virus sửa lại nội dung của file "Windows\System\spoolsv.exe". Đây là dịch vụ quản lý share máy in của win. Khi đã kiểm soát được dịch vụ này, virus có thể lây lan rất nhanh qua mạng LAN, bởi vì đa số mạng LAN đều xài máy in share. Ngoài ra, virus còn lợi dụng spoolsv để gọi lại nó trong trường hợp bị kill.
- Đăng ký một lô các khoá "Image Execution Options" để chặn các av nổi tiếng và các tool như IceSword, Autoruns, ....

Quá trình kích hoạt virus :
- Virus được kích hoạt qua 2 đường : khởi động file "SafeSys.exe" cùng với win và gọi bởi dịch vụ dỏm "spoolsv.exe". Tham số truyền vào khi virus khởi động cũng rất khả nghi ""c:\program files\common files\safesys.exe" -SSDT". Mình cũng chưa phân tích kỹ xem virus cần tham số này để làm gì.
- Khi đã khởi động xong, virus sẽ gọi tiến trình "windows\system32\svchost.exe" của win và inject code vào tiến trình này. Tiến trình này giờ đã trở thành virus và nó sẽ gọi thêm một tiến trình giống như vậy để bảo vệ lẫn nhau. Khi xong việc, SafeSys sẽ tự kết thúc. Phần việc còn lại là của svchost.
- Tiến trình svchost bị nhúng code sẽ thực hiện các công việc phá hoại và lây lan của virus. Ngoài ra nó còn liên tục kiểm tra ( khoảng sau 5 giây ) xem có tồn tại các tool như Icesword, autoruns,... hay ko, nếu có nó sẽ kill ngay. Mèo cũng chưa phân tích xem nó kill IS như thế nào.

Mẩu virus do bạn cafe.kfc cung cấp. Bạn nào muốn thì cứ liên hệ bạn ấy. Mình xin nhắc lại : virus này rất nguy hiểm và dai dẳng !

Mỏi tay quá, khi nào rảnh mình sẽ viết tiếp về cách diệt.

File đính kèm dưới đây là file spoolsv.exe bị virus chích.
http://www.mediafire.com/?txdc0ggx3jc




//-----------------
Edit by FD:
Đính chính chút: Đây không phải là virus lây file, mà là virus ghi đè file hệ thống.
[meoconlongvang]

Hic mom men mãi search đc cách kill em này .. post lên các bạn tham khảo

Mới đây, đã có 1 con Virus cực mạnh xuất hiện, gây khốn đốn cho nhiều anh em phòng Net - phải thức khuya để cài đi cài lại, tắt reset router... Hôm nay mình xin nêu những đặc điểm chính của con virus này và cách diệt nó (Safesys.exe)

Đặc điểm :
- Đường lây nhiễm : Qua USB hoặc các trang web độc hại.
- Khi được kích hoạt sẽ ghi một đoạn mã độc vào BootSector của ổ cứng (điều này làm nhiều anh em lầm tưởng là máy tính của mình bị virus xuyên thủng băng). Nói dễ hiểu là nếu máy của bạn đóng băng, bạn vẫn sẽ bị nhiễm con này nếu kích hoạt nó.
- Đoạn mã độc ghi vào BootSector trên có khả năng gọi kết nối internet ngoài Dos và duy trì kết nối đó. (Đây chính là đường lây nhiễm LAN và Online). Nhưng các bạn yên tâm, nó không phải ăn Router (modem) của bạn, nên bạn ko cần reset lại router làm gì, mà chỉ cần tắt router đi thôi là OK rồi !
- Một đoạn REG được ghi vào HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run --> để có thể chạy vào lúc khởi động Windows.
- Một file Safesys.exe được lưu trong C:\Program Files\Common Files để có thể lây nhiễm qua USB và nằm chờ thời trong ấy để có thể hoàn hành trở lại một lần nữa.

Cách diệt :
1. Tắt router.
2. Boot bằng đĩa Hiren --> Vào Dos --> đánh lệnh fdisk/mbr (lệnh này để làm lại bootsector cho ổ cứng) ==> nếu máy tính của bạn đang đóng băng, chỉ cần chạy tới đây là OK rồi, khởi động lại máy và vào windows bình thường.
3. Khởi động lại máy, vào Safemod của Windows --> vào Regedit xoá keyname Safesys tại : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
4. Dùng trình tìm kiếm của windows để search file (tất cả các file, kể cả file ẩn) (Lưu ý bạn nên set folder option của mình là hiện tất cả các file, kể cả phần mở rộng và tập tin hệ thống). Tìm kiếm lần lượt và xoá sạch đi những file Aurorun.inf, Safesys.exe trên tất cả các ổ đĩa.
5. Vào C:\Program Files\Common Files xoá file Safesys.exe còn lại

Vậy là sạch rồi đó, bạn đã diệt đựoc virus Safesys.exe này.

Chú ý : Virus Safesys.exe này khi nhiễm vào máy tính, đã truy vấn gọi nhiều virus khác trên mạng đến cùng phá nên mình không biết có thể diệt tận gốc rễ của nó chưa. Chúng ta nên chờ bác Quảng ra tay, chờ Bkis tìm hiểu thấu đáo và đưa ra cách diệt.


Còn đây là cách chặn nó

Các bác tránh nó cho các máy như sau ( không cần Antivirus )

1. Start -- > Run --> gõ vào Gpedit.msc.
2. Computer Configuration --->Windows Settings -->Click chuột phải nhánh Software Restriction Policies , chọn Create New Policies
Nó sẽ xổ ra 2 menu con, trong đó có menu Additional Rules
3. Click chuột phải vào Additional Rules, chọn New Hash Rule
ở ô File hash bạn copy đoạn này vô: c3d5b136c6997a23669a79fccc2c185a:49094:32771

ở ô File infomation Copy đoạn này vô:
SafeSys.exe
48 KB
3/3/2009 6:58:08 PM

ở ô Security level để mặc định là : Disallowed


P/s : Cách diệt thì tớ chưa test còn cách chống thì test rồi ... cool ^_^
[duymaster]

p/s:Phải xóa spoolsv đi thì mới hết. Sau khi xóa xong thì kiếm spoolsv của máy sạch chép lên nếu ko thì sẽ ko dùng được máy in.
[meoconlongvang]

Dạo này cu này có vẻ nổi quá. Trên 4rum có rất nhiều bài nói về nó nhưng chưa nói cách diệt chi tiết. Mình chỉ gom góp, lượm lặt + bổ sung một tí cho thành bài hoàn chỉnh thôi. Sau đây là cách diệt :

Công cụ chính : procexp và autorun.
Các bước thực hiện :
- Các bạn đổi tên các tool kể trên thành tên bất kỳ để virus ko nhận ra.
- Rút hết dây mạng ra khỏi máy.
- SafeSys có thể qua mặt deepfreeze nên ai có deepfreeze thì hãy gỡ bỏ nó.
- Khởi động vào win và chờ cho tất cả các tiến trình chạy hết, cứ kiên nhẫn chờ cho đến khi máy ko còn đọc gì nữa.
- Chạy procexp, các bạn sẽ thấy 2 tiến trình svchost.exe tự gọi nhau, chúng nằm phía dưới tiến trình explorer.exe. Các bạn suspend một con và kill con còn lại. Sau đó kill con đã bị suspend.
- Xóa file "\program files\common files\safesys.exe"
- Xóa các file "autoruns.inf" và "safesys.exe" trên tất cả ổ đĩa.
- Xóa file "windows\system32\spoolsv.exe" và chép file sạch ( đính kèm ) vào. Đây là file quản lý máy in bị virus chích, mất nó sẽ ko dùng máy in được.
- Reboot máy.
[meoconlongvang]

- Virusvn.com -