[Hỏi đáp] HVA nhiễm Trojan JS/Kryptik.AMG

Go down

[Hỏi đáp] HVA nhiễm Trojan JS/Kryptik.AMG

Bài gửi by Admin on Thu Sep 13, 2018 10:35 pm

whitesnow19
Member
[Minus] 0 [Plus]
Joined: 08/10/2010 03:42:19
Bài gởi: 54
Offline
[Profile] [PM]
Hiện tại Eset 7 trên máy mình luôn báo hvaonline.net nhiễm JS/Kryptik.AMG và cấm truy cập.
Biểu hiện này có lẽ chỉ có ở trang chủ. Mình vào qua Google cũng bị nhưng khi vào trực tiếp các chuyên mục khác thì không thấy bị cảnh báo gì.
Mong các lão đại giải thích giùm.

OS: Windows XP SP 3
AV: Eset AntiVirus 7

p/s: Nếu có bài viết đăng rồi xin mod inbox link cho mình nhé
[Up] [Print Copy]


[Hỏi đáp] HVA nhiễm Trojan JS/Kryptik.AMG 17/07/2014 00:14:56 (+0700) | #2 | 281034
[Avatar]
bolzano_1989
Journalist
[Minus] 0 [Plus]
Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline
[Profile] [PM]
Câu hỏi này anh conmale và ban quản trị đã trả lời không biết bao nhiêu lần rồi, từ diễn đàn cho đến nhóm trên Facebook mà bạn vẫn còn đặt câu hỏi mà không tự vận động bản thân tìm hiểu nhỉ?
Thôi thi tôi viết cho bạn an tâm vậy.
Ở thời điểm này, khi tôi truy cập vào địa chỉ hvaonline.net thì tôi nhận được 1 file html với nội dung là 1 file JavaScript sau (được tôi lưu vào máy tôi với tên hvaonline.js):
http://pastebin.com/LsBQw9Dp

Copy nội dung sau chứa nội dung cần được unescape trong file trên:
http://pastebin.com/Xgyc212B
vào 1 dịch vụ/công cụ cho phép bạn unescape chuỗi trên (như trang http://www.motobit.com/util/url-decoder.asp hoặc http://www.utilities-online.info/urlencode/ ) thì bạn sẽ thấy kết quả là file html có nội dung sau:
http://pastebin.com/BZa8PKPr

Trong nội dung html được decode này, tôi không thấy bất cứ nội dung nào có thể gây hại cho máy bạn cả. Tuy nhiên, khi upload file hvaonline.js này lên và scan với dịch vụ của VirusTotal thì nhận được kết quả sau:
Code:
Detection ratio: 2 / 53
Analysis date: 2014-07-16 16:52:11 UTC ( 1 minute ago )
ESET-NOD32 JS/Kryptik.AMG 20140716
Rising HTML:Exploit.HTML.Mht.am!134091 20140716

Link kết quả scan:
Code:
https://www.virustotal.com/en/file/862029444ef2412481bc16bc08c5bc9c7c17c66799e95558c1b75c52e464bb2e/analysis/1405529531/


Tuy nhiên khi lưu nội dung được decode (unescape) ở trên vào 1 file html mà tôi đặt là hvaonline_decoded.html và upload lên VirusTotal để kiểm tra thì không có antivirus nào phát hiện mã độc cả (bao gồm chính ESET-NOD32) smilie .
Link kết quả scan:
Code:
https://www.virustotal.com/en/file/5dfa9b1cc11906f53aa4986be696a7f1cc19442e8c7084aa919a6438e5c473e7/analysis/1405532765/


Vậy nên ta có thể kết luận kết quả scan của ESET cho thấy phần mềm này thực hiện việc đánh giá mức độ an toàn của 1 website tương đối cẩu thả, có thể gây lúng túng cho người dùng và tất nhiên là bạn cũng không nên tạo thêm 1 chủ đề với nội dung "HVA nhiễm Trojan JS/Kryptik.AMG" nữa nhé smilie .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY

Admin
Admin

Tổng số bài gửi : 69
Join date : 13/09/2018

Xem lý lịch thành viên http://hvaonline.forumvi.com

Về Đầu Trang Go down

Về Đầu Trang

- Similar topics

 
Permissions in this forum:
Bạn không có quyền trả lời bài viết