Vncert công bố 4 mã độc cần ngăn chặn khẩn cấp

Chủ đề trong danh mục 'Bảo mật' được đăng bởi binhminhitc, 4/8/16.

Chia sẻ trang này

Thêm chủ đề của binhminhitc
  1. binhminhitc

    binhminhitc Quản trị viên

    Ngày tham gia:
    1/6/16
    Bài viết:
    34
    Đã được thích:
    9
    Điểm thành tích:
    8
    Giới tính:
    Nam
    Nghề nghiệp:
    IT
    Nơi ở:
    Ha Noi
    Trang chủ:
    Thực hiện Thông tư 27/2011/TT-BTTTT về điều phối các hoạt động ứng cứu sự cố mạng Internet Việt Nam, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - VNCERT vừa phát đi công văn khẩn cấp số 3 yêu cầu các lãnh đạo đơn vị chỉ đạo các đơn vị thuộc phạm vi quản lý thực hiện một số việc nêu trong công văn dưới đây.

    Các bước cần thực hiện ngay, gồm có:
    1. Theo dõi và ngăn chặn kết nối đến các tên miền sau:
    • playball.ddns.info
    • nvedia.ddns.info
    • air.dcsvn.org
    2. Rà quét hệ thống và xóa các thư mục – tập tin mã độc có kích thước tương ứng.

    a) C:\Program Files\Common Files\McAfee\McAfee.exe (137.28 KB)
    - MD5: 884D46C01C762AD6DDD2759FD921BF71
    - SHA-1: D201B130232E0EA411DAA23C1BA2892FE6468712
    b) C:\Program Files\Common Files\McAfee\McUtil.dll (3.50 KB)
    - MD5: C52464E9DF8B3D08FC612A0F11FE53B2
    - SHA-1: E464D10AD93600232D7A24856D69F00510949A40
    c) C:\Windows\system32\DiskMgers.dll (85.00 KB)
    - MD5: 9BF793EF195CC62F8A61093F77B03158
    - SHA-1:46844B0ACF2BB67ADBF2304A61BE07738D2DDD64
    d) Tập tin “diskperf.exe”: tìm tất cả các file trong ổ Hệ điều hành có:
    - MD5: 29E656E1256FC998B7CE8494656B3EF8
    - SHA-1: 8C073B63D85CBF48BD742A62C7A59EEB064DA74D

    Media này không hiển thị với bạn. Vui lòng Đăng ký hoặc Đăng nhập. Media này không hiển thị với bạn. Vui lòng Đăng ký hoặc Đăng nhập. Media này không hiển thị với bạn. Vui lòng Đăng ký hoặc Đăng nhập.
     
    binhminhitc, 4/8/16
    #1
  2. binhminhitc

    binhminhitc Quản trị viên

    Ngày tham gia:
    1/6/16
    Bài viết:
    34
    Đã được thích:
    9
    Điểm thành tích:
    8
    Giới tính:
    Nam
    Nghề nghiệp:
    IT
    Nơi ở:
    Ha Noi
    Trang chủ:
    - Tạo 1 file batch với logic như sau:
    1. check trong thư mục mà vncert thông báo xem có các file bị nghi ngờ không ? Nếu có => xuất thông tin ra file text ( tốt nhất là dùng lệnh >> %computername%.txt để đặt tên file)
    2. sử dụng certutil để check mã hash của các file này => ghi đè thông tin lên file text
    3. (nên) xuất luôn lệnh ipconfig /all
    4. quẳng file text lên ổ chung.
    5. người quản trị truy cập ổ chung, nếu thấy xuất hiện file text => đã có máy nhiễm
    ==> Trên GPO bác ốp file batch xuống là xong :)
    Bên cạnh đó, trong bản mềm công văn có nhắc đến 3 tên miền khả nghi, em xử lý như này:
    - Trên dns tạo bản ghi cho 3 tên miền (trong bản mềm công văn ấy) trỏ về 1 ip a.b.c.d . Trên Firewall thực hiện deny mọi trafic đến a.b.c.d => thao tác này để lọc xem có máy nào kết nối 3 địa chỉ khả nghi không.
     
    binhminhitc, 5/8/16
    #2

Chia sẻ trang này