Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”
Lưu ý các kết quả cập nhật là của các đội gửi, chưa phải là kết quả của BTC.
Lưu ý các kết quả cập nhật là của các đội gửi, chưa phải là kết quả của BTC.
Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”
- Bắt đầu sunny
- Ngày bắt đầu
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”
Bn cũng bị như Exim và không remote được từ 10h
Bn cũng bị như Exim và không remote được từ 10h
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”
Đội Bắc Ninh đợi trong giây lát, BTC đang kiểm tra vấn đề.
Đội Bắc Ninh đợi trong giây lát, BTC đang kiểm tra vấn đề.
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”
C
ocument and SettingAllUserDRMemproxym.exe
- Virus này là dạng Virus an cắp thông tin truyền về Server định sẵn, biến máy tính thành boxnet
- Cách diệt thì có thể dung tools hoặc dùng tay, Mình xin mạn phép chia sẻ:
+ Dùng Autoruns, msconfig để xác định tiến trình và sẽ thấy như đường dẫn trên
+ Dung TCPView để xem Virus nó làm gì trên hệ thống
+ Dùng Autoruns chọn Jump to để chuyển đến key Virus và del nó
+ Dùng Autoruns hoặc Task Manager để kill tiến trình của Virus
+ Di chuyển Virus sang đường dẫn khác (Vidu: tao mot folder de move nó vào đó) và sau đó del bằng tay
+ Logoff máy tính hoặc Restart lại máy tính
+ Kiểm tra lại máy và tìm những key (nếu còn) còn xót trong registry
+ Dùng Tools Antivirus Scan lại máy tính
C
ocument and SettingAllUserDRMemproxym.exe- Virus này là dạng Virus an cắp thông tin truyền về Server định sẵn, biến máy tính thành boxnet
- Cách diệt thì có thể dung tools hoặc dùng tay, Mình xin mạn phép chia sẻ:
+ Dùng Autoruns, msconfig để xác định tiến trình và sẽ thấy như đường dẫn trên
+ Dung TCPView để xem Virus nó làm gì trên hệ thống
+ Dùng Autoruns chọn Jump to để chuyển đến key Virus và del nó
+ Dùng Autoruns hoặc Task Manager để kill tiến trình của Virus
+ Di chuyển Virus sang đường dẫn khác (Vidu: tao mot folder de move nó vào đó) và sau đó del bằng tay
+ Logoff máy tính hoặc Restart lại máy tính
+ Kiểm tra lại máy và tìm những key (nếu còn) còn xót trong registry
+ Dùng Tools Antivirus Scan lại máy tính
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”
Bách Việt xin chào các đội.
Bách Việt xin chào các đội.
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”
Chào đội BachViet, các bạn cập nhật kết quả làm bài tại Topic này nhé.
Chào đội BachViet, các bạn cập nhật kết quả làm bài tại Topic này nhé.
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”
Sở Thông tin và Truyền thông Quảng Ngãi:
Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định: Cocuments and SettingsAll UsersDRMemproxym.exe
Sở Thông tin và Truyền thông Quảng Ngãi:
Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định: C
ocuments and SettingsAll UsersDRMemproxym.exe
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”
Drill_QuangNgai lưu ý: mã độc gồm nhiều thành phần, không chỉ 1 file.
Drill_QuangNgai lưu ý: mã độc gồm nhiều thành phần, không chỉ 1 file.
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”
Update kết quả của đội Quảng Ngãi
________________________________
Các dấu hiệu bất thường trên máy tính: Máy tính chạy chậm.
Con đường lây lan của mã độc, cơ sở để xác định: Dùng tool Autostart program viewer phát hiện mã độc có hình icon giống chương trình diệt virus.
2. Cô lập, phân tích và lấy mẫu mã độc.
Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định: Cocuments and SettingsAll UsersDRMemproxym.exe
(đang cập nhật tiếp)
Update kết quả của đội Quảng Ngãi
________________________________
BÁO CÁO
RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị :Sở Thông tin và Truyền thông Quảng Ngãi
Tổng hợp kết quả:
1. Tiếp nhận, rà soát sơ bộ tình trạng.RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị :Sở Thông tin và Truyền thông Quảng Ngãi
Tổng hợp kết quả:
Các dấu hiệu bất thường trên máy tính: Máy tính chạy chậm.
Con đường lây lan của mã độc, cơ sở để xác định: Dùng tool Autostart program viewer phát hiện mã độc có hình icon giống chương trình diệt virus.
2. Cô lập, phân tích và lấy mẫu mã độc.
Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định: C
ocuments and SettingsAll UsersDRMemproxym.exe(đang cập nhật tiếp)
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”
Đội Quảng Ngãi có đề nghị sau khi kết thúc diễn tập có email hướng dẫn khắc phục cụ thể gởi các đội để học tập và phòng ngừa.
BTC xin trả lời, 11:30 BTC sẽ gửi mail gợi ý cho các đội tham gia diễn tập.
Đội Quảng Ngãi có đề nghị sau khi kết thúc diễn tập có email hướng dẫn khắc phục cụ thể gởi các đội để học tập và phòng ngừa.
BTC xin trả lời, 11:30 BTC sẽ gửi mail gợi ý cho các đội tham gia diễn tập.
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”
1. Tiếp nhận, rà soát sơ bộ tình trạng.
Các dấu hiệu bất thường trên máy tính:
+ Liên tục scan hệ thống mạng LAN (dải địa chỉ IP: 192.168.1.x)
+ Gửi dữ liệu liên tục đến Server có địa chỉ 118.70.80.143
Con đường lây lan của mã độc, cơ sở để xác định:
+ Người dùng tải ứng dụng không rõ nguồn gốc trên mạng Internet
+ Nhận fle giả mạo khi truy cập internet
+ Sử dụng USB nhưng không có biện pháp bảo đảm an toàn nên bị lay nhiễm Virus
2. Cô lập, phân tích và lấy mẫu mã độc.
Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định:
+ Dùng lệnh msconfig để xác định các file autostart bất thường trên máy hoặc phần mềm Autoruns để xác định Key đã cài vào registry
+ Dùng TcpView để kiểm tra Virus sẽ làm gì (Có Scan mạng LAN, Gửi dữ liệu...)
3. Xử lý mã độc trên máy tính bị lây nhiễm.
Tên các tiến trình của mã độc:
Thư mục Cocuments and SettingsAll UsersDRM
+ emproxy
+ drmv2.lic
+ drmv2.sst
Tại thư mục: Cocuments and SettingsAll UsersDRMemproxy có chứa các tệp nghi ngờ bị nhiễm mã độc: tệp m.exe; Các tệp iswfh; yslkmvy liên tục được tạo mới nếu xoá đi.
Key khởi động : emproxy
Xác định hành vi của mã độc: Lấy thông tin trên hệ thống gửi lại theo Server đã cài đặt trước đó.
4. Điều tra nguồn tấn công
Địa chỉ server điều khiển: 118.70.80.143
Tên các cơ quan chức năng khi cần trợ giúp:
+ Lãnh đạo phụ trách trực tiếp
+ Đội ứng cứu sự cố trên địa bàn.
+ Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT).
+ Các Trung tâm ứng cứu thành viên như BKAV....
+ Các cơ quan chuyên trách trên địa bàn tỉnh.
Các biện pháp đề xuất để phòng chống tấn công:
+ Dùng Proxy quản lý truy cập internet( ISA, Forefront)
+ Cài Antivirus có bản quyền như BKAV, KAS...
+ Hạn chế sử dụng USB trong hệ thống
+ Đưa ra quy chế sử dụng máy tính trong cơ quan
+ Sử dụng máy tính khoa học
BÁO CÁO
RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị : Sở Thông tin & Truyền thông Hải Dương
Tổng hợp kết quả:RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị : Sở Thông tin & Truyền thông Hải Dương
1. Tiếp nhận, rà soát sơ bộ tình trạng.
Các dấu hiệu bất thường trên máy tính:
+ Liên tục scan hệ thống mạng LAN (dải địa chỉ IP: 192.168.1.x)
+ Gửi dữ liệu liên tục đến Server có địa chỉ 118.70.80.143
Con đường lây lan của mã độc, cơ sở để xác định:
+ Người dùng tải ứng dụng không rõ nguồn gốc trên mạng Internet
+ Nhận fle giả mạo khi truy cập internet
+ Sử dụng USB nhưng không có biện pháp bảo đảm an toàn nên bị lay nhiễm Virus
2. Cô lập, phân tích và lấy mẫu mã độc.
Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định:
+ Dùng lệnh msconfig để xác định các file autostart bất thường trên máy hoặc phần mềm Autoruns để xác định Key đã cài vào registry
+ Dùng TcpView để kiểm tra Virus sẽ làm gì (Có Scan mạng LAN, Gửi dữ liệu...)
3. Xử lý mã độc trên máy tính bị lây nhiễm.
Tên các tiến trình của mã độc:
Thư mục C
ocuments and SettingsAll UsersDRM+ emproxy
+ drmv2.lic
+ drmv2.sst
Tại thư mục: C
ocuments and SettingsAll UsersDRMemproxy có chứa các tệp nghi ngờ bị nhiễm mã độc: tệp m.exe; Các tệp iswfh; yslkmvy liên tục được tạo mới nếu xoá đi.Key khởi động : emproxy
Xác định hành vi của mã độc: Lấy thông tin trên hệ thống gửi lại theo Server đã cài đặt trước đó.
4. Điều tra nguồn tấn công
Địa chỉ server điều khiển: 118.70.80.143
Tên các cơ quan chức năng khi cần trợ giúp:
+ Lãnh đạo phụ trách trực tiếp
+ Đội ứng cứu sự cố trên địa bàn.
+ Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT).
+ Các Trung tâm ứng cứu thành viên như BKAV....
+ Các cơ quan chuyên trách trên địa bàn tỉnh.
Các biện pháp đề xuất để phòng chống tấn công:
+ Dùng Proxy quản lý truy cập internet( ISA, Forefront)
+ Cài Antivirus có bản quyền như BKAV, KAS...
+ Hạn chế sử dụng USB trong hệ thống
+ Đưa ra quy chế sử dụng máy tính trong cơ quan
+ Sử dụng máy tính khoa học
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”
Chúc mừng đội Hải Dương đã hoàn thành bài diễn tập.
Chúc mừng đội Hải Dương đã hoàn thành bài diễn tập.
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”
BÁO CÁO
RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị : Ngân hàng Việt Nam Thương tín (Vietbank)
Tổng hợp kết quả:
1. Tiếp nhận, rà soát sơ bộ tình trạng.
Các dấu hiệu bất thường trên máy tính: vẫn vào web, mạng xã hội, gởi và nhận mail bình thường nhưng máy chạy chậm
Con đường lây lan của mã độc, cơ sở để xác định: lây lan sau khi check mail rồi mở file đính kèm “Ngân hàng BIDV - Thông báo thay đổi tài khoản”. Ngoài ra sử dụng USB nhưng không có biện pháp đảm bảo an toàn như cài chương trình antivirus
2. Cô lập, phân tích và lấy mẫu mã độc.
Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định: Cocuments and SettingsAll UsersDRMemproxym.exe
3. Xử lý mã độc trên máy tính bị lây nhiễm.
Tên các tiến trình của mã độc: svchost.exe PID 1384 (random PID mỗi lần chạy mới), rdpclip.exe. Kill bằng Autoruns hoặc Task Manager
Key khởi động : emproxy, xác định bằng Autoruns hoặc msconfig, delete bằng Autoruns
Xác định hành vi của mã độc: gởi dữ liệu ra server bên ngoài, theo dõi hệ thống mạng LAN
4. Điều tra nguồn tấn công
Địa chỉ server điều khiển: 118.70.80.143, xác định bằng Wireshark
Tên các cơ quan chức năng khi cần trợ giúp: Cấp trên trực tiếp, lãnh đạo đơn vị phụ trách về ATTT, VNCERT, BKAV
Các biện pháp đề xuất để phòng chống tấn công: Cài chương trình antivirus và internet security như KAV, KIS, BKAV. Hướng dẫn người dùng các biện pháp phòng tránh. Ban hành quy trình quy định phòng tránh và xử lý
BÁO CÁO
RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị : Ngân hàng Việt Nam Thương tín (Vietbank)
Tổng hợp kết quả:
1. Tiếp nhận, rà soát sơ bộ tình trạng.
Các dấu hiệu bất thường trên máy tính: vẫn vào web, mạng xã hội, gởi và nhận mail bình thường nhưng máy chạy chậm
Con đường lây lan của mã độc, cơ sở để xác định: lây lan sau khi check mail rồi mở file đính kèm “Ngân hàng BIDV - Thông báo thay đổi tài khoản”. Ngoài ra sử dụng USB nhưng không có biện pháp đảm bảo an toàn như cài chương trình antivirus
2. Cô lập, phân tích và lấy mẫu mã độc.
Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định: C
ocuments and SettingsAll UsersDRMemproxym.exe3. Xử lý mã độc trên máy tính bị lây nhiễm.
Tên các tiến trình của mã độc: svchost.exe PID 1384 (random PID mỗi lần chạy mới), rdpclip.exe. Kill bằng Autoruns hoặc Task Manager
Key khởi động : emproxy, xác định bằng Autoruns hoặc msconfig, delete bằng Autoruns
Xác định hành vi của mã độc: gởi dữ liệu ra server bên ngoài, theo dõi hệ thống mạng LAN
4. Điều tra nguồn tấn công
Địa chỉ server điều khiển: 118.70.80.143, xác định bằng Wireshark
Tên các cơ quan chức năng khi cần trợ giúp: Cấp trên trực tiếp, lãnh đạo đơn vị phụ trách về ATTT, VNCERT, BKAV
Các biện pháp đề xuất để phòng chống tấn công: Cài chương trình antivirus và internet security như KAV, KIS, BKAV. Hướng dẫn người dùng các biện pháp phòng tránh. Ban hành quy trình quy định phòng tránh và xử lý
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”
Agribank cung mong muon BTC gui huong dan de cho cac don vi danh gia lai qua trinh dien tap cua minh de RUT KINH NGHIEM Cam on BTC
Agribank cung mong muon BTC gui huong dan de cho cac don vi danh gia lai qua trinh dien tap cua minh de RUT KINH NGHIEM Cam on BTC
Comment
Re: Diễn tập An ninh mạng “Rà soát và xử lý phần mềm gián điệp trên máy tính”
Chúc mừng đội VietBank đã hoàn thành bài diễn tập, rất đầy đủ và chi tiết.Drill_VietBank;26719 đã viết:BÁO CÁO
RÀ SOÁT VÀ XỬ LÝ PHẦN MỀM GIÁN ĐIỆP TRÊN MÁY TÍNH
Tên đơn vị : Ngân hàng Việt Nam Thương tín (Vietbank)
Tổng hợp kết quả:
1. Tiếp nhận, rà soát sơ bộ tình trạng.
Các dấu hiệu bất thường trên máy tính: vẫn vào web, mạng xã hội, gởi và nhận mail bình thường nhưng máy chạy chậm
Con đường lây lan của mã độc, cơ sở để xác định: lây lan sau khi check mail rồi mở file đính kèm “Ngân hàng BIDV - Thông báo thay đổi tài khoản”. Ngoài ra sử dụng USB nhưng không có biện pháp đảm bảo an toàn như cài chương trình antivirus
2. Cô lập, phân tích và lấy mẫu mã độc.
Các file thành phần của mã độc (Đường dẫn, tên file), cách xác định: C
3. Xử lý mã độc trên máy tính bị lây nhiễm.
Tên các tiến trình của mã độc: svchost.exe PID 1384 (random PID mỗi lần chạy mới), rdpclip.exe. Kill bằng Autoruns hoặc Task Manager
Key khởi động : emproxy, xác định bằng Autoruns hoặc msconfig, delete bằng Autoruns
Xác định hành vi của mã độc: gởi dữ liệu ra server bên ngoài, theo dõi hệ thống mạng LAN
4. Điều tra nguồn tấn công
Địa chỉ server điều khiển: 118.70.80.143, xác định bằng Wireshark
Tên các cơ quan chức năng khi cần trợ giúp: Cấp trên trực tiếp, lãnh đạo đơn vị phụ trách về ATTT, VNCERT, BKAV
Các biện pháp đề xuất để phòng chống tấn công: Cài chương trình antivirus và internet security như KAV, KIS, BKAV. Hướng dẫn người dùng các biện pháp phòng tránh. Ban hành quy trình quy định phòng tránh và xử lý
Comment