19/9/2018 [CẢNH BÁO] Downmienphi.

com phát tán Virus thông qua file Crack - Blogger K7

[CẢNH BÁO] Downmienphi.com phát tán Virus thông qua le Crack

(https://3.bp.blogspot.com/-
tvZvd1uH0_A/WK6wUXaBGyI/AAAAAAAACMg/zk_H_wZCH1cU3ntAP3jr8Uza3RAXxU7NACLcB/s1600/Untitled.png)

Chapter 1: Từ Video của Linkneverdie

Xin chào các bạn
Hôm qua 22/2/2017 tôi có xem được video Cảnh báo Website downmienphi.com của Admin
trang http://www.linkneverdie.com/ (http://www.linkneverdie.com/) về việc file từ trang downmienphi.com bị nhiễm Virus

Tôi bèn vô thẳng trang web thì

http://codek7.blogspot.com/2017/08/canh-bao-downmienphicom-phat-tan-virus.html 1/16
19/9/2018 [CẢNH BÁO] Downmienphi.com phát tán Virus thông qua file Crack - Blogger K7

(https://4.bp.blogspot.com/-slh_50v1dtw/WK6xBJhmAKI/AAAAAAAACMo/LWVw9-
VpXQYyy0wsucC8oXpJiWn0o4iaACLcB/s1600/B%25E1%25BA%25A3o%2Btr%25C3%25AC.png)

What the fuck!!!

Chapter 2: Lấy mẫu Virus

Tôi bèn vô Link Never Die Community (Group trên Facebook của LND) và tôi cũng Post vô chính gr của tôi (Linux Team
Việt Nam) hỏi xem ai còn file Crack đã down từ trang này ko. May quá 1 member của group tôi đã cung cấp cho tôi file
crack

(https://2.bp.blogspot.com/-27w_dJV0iwg/WK6xrhcMzbI/AAAAAAAACMw/Z1qt9oG30r0TAlgjSmcK_kkwhEqWRDjGQCL
cB/s1600/Xin%2Bfile.png)

http://codek7.blogspot.com/2017/08/canh-bao-downmienphicom-phat-tan-virus.html 2/16
19/9/2018
Tôi đã Teamviewer máy bạn đó và lấy[CẢNH
đc 3BÁO]
mẫuDownmienphi.com phát1tán
(2 File Crack và fileVirus
zipthông
còn qua file Crack
nguyên - Blogger
chưa K7
giải nén, tất cả đều tải từ
downmienphi.com)

(https://2.bp.blogspot.com/-
Bvu2c7IVUzM/WK6x1eHWt6I/AAAAAAAACM0/pta9g0u8YSQv94bT9CwhdNMNg412zDnowCLcB/s1600/L%25E1%25B
A%25A5y%2Bm%25E1%25BA%25ABu.png)

OK, vậy chúng ta đã có Virus bắt đầu Test trên lab nào

Chapter 3: Test Virus trên máy ảo

Máy ảo tôi dùng để test Virus có cấu hình như dưới đây

http://codek7.blogspot.com/2017/08/canh-bao-downmienphicom-phat-tan-virus.html 3/16
19/9/2018 [CẢNH BÁO] Downmienphi.com phát tán Virus thông qua file Crack - Blogger K7

(https://1.bp.blogspot.com/-
UBXX7nPAA1w/WK6yQbxAFUI/AAAAAAAACM8/t1lxJ7qG4GEELQnwIM1wagr7jJmPlXnJwCLcB/s1600/M%25C3%25A
1y%2B%25E1%25BA%25A3o.png)

Và tôi đã tắt Firewall, UAC, Gỡ bỏ hoàn toàn diệt Virus để đảm bảo Virus đc phát tán thuận lợi nhất và ko gặp bất cứ trở
ngại nào

http://codek7.blogspot.com/2017/08/canh-bao-downmienphicom-phat-tan-virus.html 4/16
19/9/2018 [CẢNH BÁO] Downmienphi.com phát tán Virus thông qua file Crack - Blogger K7

(https://2.bp.blogspot.com/-
UsmHlzk4et8/WK6yiXC7hOI/AAAAAAAACNE/mBs4jkDVbrozeRgMstK864oMI5g6pWHIQCLcB/s1600/B1.png)

Khi tôi chạy File Crack lên. Điều đầu tiên tôi đã nhận ra là Crack đã bị làm lại. Tự làm ra crack thì tôi chắc downmienphi
ko đủ trình, vậy chắc là down crack trên mạng rồi bào chế lại

http://codek7.blogspot.com/2017/08/canh-bao-downmienphicom-phat-tan-virus.html 5/16
19/9/2018 [CẢNH BÁO] Downmienphi.com phát tán Virus thông qua file Crack - Blogger K7

(https://1.bp.blogspot.com/-qCl2F-
n748Q/WK6ywzP84TI/AAAAAAAACNI/w5vPVXNrfvUlJDrN9YogDpfLdHIlXn8RwCLcB/s1600/B5.png)

Sau khi Crack thành công,tôi khởi động lại máy ảo

http://codek7.blogspot.com/2017/08/canh-bao-downmienphicom-phat-tan-virus.html 6/16
19/9/2018 [CẢNH BÁO] Downmienphi.com phát tán Virus thông qua file Crack - Blogger K7

(https://2.bp.blogspot.com/-
sikzsAetHh8/WK6y6QrJWTI/AAAAAAAACNQ/lPp8x50vazoJAzmtdZX1PjQUsaLRvhO8wCLcB/s1600/B7.png)

Thời gian tôi chạy Crack là tối ngày 22/2/2017. Các bạn ghi nhớ nhé
Chapter 4: Xuất hiện task nguy hiểm trong Task Manager
Task đó chính là Explorer.exe *32

http://codek7.blogspot.com/2017/08/canh-bao-downmienphicom-phat-tan-virus.html 7/16
19/9/2018 [CẢNH BÁO] Downmienphi.com phát tán Virus thông qua file Crack - Blogger K7

(https://4.bp.blogspot.com/-
I6GBGWcKkvA/WK6zSPoV0UI/AAAAAAAACNY/6n_xu_lFlkcnho5flly13OhO1oh0LPUBgCLcB/s1600/Task%2Bnguy%2B
hi%25E1%25BB%2583m%2B1.png)

Tôi sẽ mở vị trí của file đó lên

http://codek7.blogspot.com/2017/08/canh-bao-downmienphicom-phat-tan-virus.html 8/16
19/9/2018 [CẢNH BÁO] Downmienphi.com phát tán Virus thông qua file Crack - Blogger K7

(https://2.bp.blogspot.com/-z9fu_WBfBAs/WK6zXoYA-nI/AAAAAAAACNc/XYaio-
ddtykSGpFZ1PIqrM9xQXzoeuvWACLcB/s1600/Task%2BNguy%2Bhi%25E1%25BB%2583m%2B2.png)

Vâng, vậy hoàn toàn ko phải là explorer,exe gốc của Windows. Bạn hãy chú ý vào icon của file icsys.icn.exe với icon
của File crack như ở hình dưới đây. Chúng rất giống nhau phải không ạ. Và thời gian đc tạo ra đúng là tối 22/2/2017
thật. Vậy chính xác đó là do Crack kia tạo ra rồi

http://codek7.blogspot.com/2017/08/canh-bao-downmienphicom-phat-tan-virus.html 9/16
19/9/2018 [CẢNH BÁO] Downmienphi.com phát tán Virus thông qua file Crack - Blogger K7

(https://2.bp.blogspot.com/-SXewnwuOJsk/WK60CSaMfQI/AAAAAAAACNk/-
QaT5WOjAXY9NtmjWMMnd3zzeBaBZXNRACLcB/s1600/B2.png)

Chapter 4: Virus đó do ai tạo ra?????

Hiện tại có 2 giả thuyết
Giả thuyết 1: Virus cho chính Admin của Website gắn vào
Sau khi quét Virus thì tôi phát hiện Virus đó thuộc loại Win32/Mofksys.B một loại metamorphic (Virus siêu đa hình)

Thông tin về nó: https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?

Name=Virus:Win32/Mofksys.B (https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?
Name=Virus:Win32/Mofksys.B)

Virus siêu đa hình (metamorphic virus) là thế hệ mới của họ virus đa hình. Thế hệ virus mới này đã "nâng cấp" khả năng
đa hình bằng cách lai tạo và kết hợp nhiều kiểu đa hình khác nhau trong cùng một virus. Virus siêu đa hình khi lây
nhiễm sẽ tự động biến đổi, lai tạp, hình thành các thế hệ virus F1, F2, F3... Fn, với n là một số không xác định. Sau mỗi
lần lai tạp, khả năng phát hiện của các phần mềm diệt virus đối với loại virus này càng giảm đi. Chính vì thế, virus siêu
đa hình có thể qua mặt được hầu hết các phần mềm diệt virus không có cơ chế quét sâu. Nếu phần mềm chỉ sử dụng
các bộ mẫu nhận diện cố định để tìm các virus đa hình hoặc siêu đa hình thì sẽ không thể tìm đủ các "hình" của virus,
dẫn tới diệt không triệt để. Một số virus siêu đa hình điển hình: virus Vetor, Sality…

Tôi đã thấy ít nhất là 3 người bị nhiễm virus đó quét file Crack bằng Windows Defener nó ra con virus đó rồi
http://codek7.blogspot.com/2017/08/canh-bao-downmienphicom-phat-tan-virus.html 10/16
19/9/2018 [CẢNH BÁO] Downmienphi.com phát tán Virus thông qua file Crack - Blogger K7

(https://4.bp.blogspot.com/-fRGM7bcV0QU/WK61iTXEraI/AAAAAAAACN0/tjqKTgDYIRAB-
-5PbnWCbl9WjD25mXhbgCLcB/s1600/Nhi%25E1%25BB%2585m%2BVirus.jpg)

Ảnh của 1 bạn bị nhiễm Virus trên Group của Link Never Die

Chắc tới đây có 1 số bạn hỏi Crack nào mà AV chả nhận là Virus?
Vâng tôi biết, nhưng các bạn cứ lên mạng download thử 1 số tool crack về đi, sau đó bật AV lên và quét nó bằng AV
xem nó phát hiện nó là Virus nào

Giả dụ đây là AV quét 1 tool crack Windows

http://codek7.blogspot.com/2017/08/canh-bao-downmienphicom-phat-tan-virus.html 11/16
19/9/2018 [CẢNH BÁO] Downmienphi.com phát tán Virus thông qua file Crack - Blogger K7

(https://4.bp.blogspot.com/-
uce_crZtpf8/WK7FomELHSI/AAAAAAAACOg/x8UsOGtr_8cXawsqWEfsygOJfUqwDeUCwCLcB/s1600/2017-02-
23_172004.png)

Giả thuyết 2: Theo chính Admin trang này

http://codek7.blogspot.com/2017/08/canh-bao-downmienphicom-phat-tan-virus.html 12/16
19/9/2018 [CẢNH BÁO] Downmienphi.com phát tán Virus thông qua file Crack - Blogger K7

(https://3.bp.blogspot.com/-6S8YmHDjSJc/WK62uJoPXqI/AAAAAAAACOA/KTLHiQpMopIOLWjKI6ig--
tM6Ez2NMGPwCLcB/s1600/F1.png)

Thứ nhất: Ông để cho máy mem nhiễm Virus siêu đa hình mà ông không xin lỗi thì đã ko chấp nhận đc rồi
Thứ hai: Thật khó tin để ông làm được 1 trang web to vậy mà không xài tới VPS. Tôi lạy ông

http://codek7.blogspot.com/2017/08/canh-bao-downmienphicom-phat-tan-virus.html 13/16
19/9/2018 [CẢNH BÁO] Downmienphi.com phát tán Virus thông qua file Crack - Blogger K7

(https://3.bp.blogspot.com/-xOLSL-g3-

os/WK63LuRJKxI/AAAAAAAACOE/q2o2vkH44yYrouYdeGUKW3hk0ATi2IFTACLcB/s1600/F2.png)

Thứ ba: Ông làm Admin 1 website mà ông để máy ông nhiễm Virus siêu đa hình, vậy thì ông để hacker nó móc túi hết
database website à

Vì vậy mình khuyên các bạn nên cạch mặt trang này ngay từ bây giờ.

Cách phòng chống

B1: Dùng AntiVirus Full Scan lại máy, cái này có thể mất tầm 3-4h
B2: Gõ bỏ hoàn toàn các phần mềm đã crack bằng crack của downmienphi (Bạn nên gỡ bằng 1 trình gỡ chuyên dụng
như Revo Uninstaller hoặc Iobit Uninstaller

Tốt hơn hết, vì đây là Virus siêu đa hình nên các bạn nên cài lại (Hoặc Ghost) Windows cho thật sự sạch sẽ

http://codek7.blogspot.com/2017/08/canh-bao-downmienphicom-phat-tan-virus.html 14/16
19/9/2018
Bonus [CẢNH
thêm link Virus cho các chuyên BÁO]xẻ
gia mổ Downmienphi.com phát tán Virus thông qua file Crack - Blogger K7

: https://mega.nz/#!WYA2nbqR!044C7uEOV4Aa_S9M2Rtvg3lQy06idxPBmDErwjm6pjo
(https://mega.nz/#!WYA2nbqR!044C7uEOV4Aa_S9M2Rtvg3lQy06idxPBmDErwjm6pjo)

Cập nhật thêm ngày 25/2/2017

Lại 1 bằng chứng nữa chứng tỏ giả thuyết 1 là đúng, Admin trang web nói một đằng làm 1 nẻo, hắn ta nói vậy mà hiện
giờ nick Admin đang bị block comment

(https://2.bp.blogspot.com/-
RTQwa_oXKfQ/WLF4ueuu0mI/AAAAAAAACOw/CVlob5mS4v4j8VPTiCmrssYGW3T_rjrYQCLcB/s1600/2017-02-
25_192614.png)

Bằng chứng Nick Admin bị Block Comment

http://codek7.blogspot.com/2017/08/canh-bao-downmienphicom-phat-tan-virus.html 15/16
19/9/2018 [CẢNH BÁO] Downmienphi.com phát tán Virus thông qua file Crack - Blogger K7

(https://3.bp.blogspot.com/-1QOGO7EZh9U/WLF5M5LhiXI/AAAAAAAACO0/sQc2iIwdeTEKgViCeO4uRvc17ReahsXzgC
LcB/s1600/2017-02-25_193118.png)

Cảm ơn các bạn đã đón xem

Never miss our latest news, subscribe here for free

Email address... Submit

http://codek7.blogspot.com/2017/08/canh-bao-downmienphicom-phat-tan-virus.html 16/16