banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/07/2011 23:08:37 (+0700) | #61 | 244047
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

lequi wrote:

Em vừa vọc vài thứ trong máy, có lòi ra mấy URL (via whireshark):
http://tongfeirou.dyndns-web.com/banner1.png?cpn=<COMPUTER USERNAME> (404)
https://biouzhen.dyndns-server.com/banner1.png?cpn=<COMPUTER USERNAME> (403 nginx)
 

với User-Agent đều là:
Gozilla_2/General (??) 


Đang tiếp tục vọc tiếp ... 


1- Bạn lequi, tôi đã có đủ thông tin về 2 website (dynamic domain system) này rồi.
Nhưng đề nghị bạn cung cấp thêm các thông tin cần thiết sau đây:

- Tên Service, process trong hệ thống kích hoạt các kết nối Internet (Internet connection) đến các URL nói trên?

(Có phải Service Name là wuauservcom và process là wuauclt.exe hay không? Cũng có nghĩa là trong C\ProgramFiles\Common Files của máy bạn có xuất hiện một folder mới (bình thường không có) tên là "Windows Update Components", trong folder này có các file: wuauclt.exe, wuauserv.dll và UsrClass.ini hay không? Chú ý là nôi dung trong UsrClass.ini được XOR-encrypted, ghi đia chỉ của master website. Trong trường hơp của ban, chúng phải là http://tongfeirou.dyndns-web.com http://biouzhen.dyndns-server.com. Có đúng như vậy không?
Các file wuauclt.exe, wuauserv.dll cũng còn phải nằm ở C\WINDOWS\system32\setup nữa. )

- Chúng là các process riêng biệt hay chỉ một process kích hoạt kết nối đến cả hai URL nói trên?

- Có service, process nào kích hoạt kết nối liên tục đến hvaonline.net hay tienve.org không? (tức là service này đang DDoS đến HVA)

2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau:

- AdobeUpdateManager.exe
- jucheck.exe (process giả update Java)
- OSA.exe
Chúng nằm ở các directories sau:

Program Files\Adobe\AdobeUpdateManager.exe
Program Files\Java\jre6\bin\jucheck.exe
Program Files\Microsoft Office\Office11\OSA.exe

Chúng cũng là thành phần của Trojan-bot đấy

3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả

Thank you in advance.





The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 00:26:46 (+0700) | #62 | 244048
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
@PXMMRF: Em sẽ kiểm tra các thông tin anh cần, và có 1 vài lưu ý là các thông tin e để trên đều liên quan đến DNS của Google, vì các thông tin trên tổng hợp trong quá trình bắt các packet gửi qua IP 8.8.8.8 (ngày mai em sẽ dump và gửi cho a vài chi tiết).

Hôm nay em cũng có dạo qua các site, và down bộ unikey từ link: http://nethoabinh.com/showthread.php?t=315
Quét file này trên virustotal: http://www.virustotal.com/file-scan/report.html?id=02b3b347ff00c8bdcad7e4c557a41f36e4af110658aea57557fab2c0bd641b1e-1311508169
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 06:07:35 (+0700) | #63 | 244050
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

lequi wrote:
@PXMMRF: Em sẽ kiểm tra các thông tin anh cần, và có 1 vài lưu ý là các thông tin e để trên đều liên quan đến DNS của Google, vì các thông tin trên tổng hợp trong quá trình bắt các packet gửi qua IP 8.8.8.8 (ngày mai em sẽ dump và gửi cho a vài chi tiết).

Hôm nay em cũng có dạo qua các site, và down bộ unikey từ link: http://nethoabinh.com/showthread.php?t=315
Quét file này trên virustotal: http://www.virustotal.com/file-scan/report.html?id=02b3b347ff00c8bdcad7e4c557a41f36e4af110658aea57557fab2c0bd641b1e-1311508169 


OK! Cám ơn ban lequi. File UnikeySetup này có virus-trojan đấy, dù rằng một số Antivirus nổi tiếng như McAfee Antivirus Enterprise (newest version- up to date) không phát hiện ra
Tôi sẽ ngâm cứu nó.
Ngoài ra xin ban gửi Cache file của whireshark liên quan, cached từ máy của bạn vừa qua

Again thank you!

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 06:10:35 (+0700) | #64 | 244051
Nesbit
Member

[Minus]    0    [Plus]
Joined: 26/06/2011 14:06:24
Messages: 2
Offline
[Profile] [PM]
Xin lỗi mọi người, cho em xen ngang một tí.

conmale wrote:

Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe? 

Nếu STL thâm nhập trang web của Adobe và thay file trên đó bằng file của nó liệu có được không anh? Đó là một giả thiết thôi smilie, coi bộ không khả thi (nhưng với trang web của Unikey thì chắc là có thể anh nhỉ, trang đó lâu lắm rồi không update. Em nhắc tới Unikey vì thấy trong các topic của anh TQN).
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 07:21:09 (+0700) | #65 | 244054
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Dạo qua một vòng thì thấy số lượng các link cho phép tải unikey và vietkey từ những trang upload miễn phí (như megaupload) nhiều vô kể. Thử download vài cái xuống kiểm nghiệm thì 10/10 là malware smilie.

Có những diễn đàn chính admin của diễn đàn ấy quảng bá và phát tán những malware này (có chủ ý hoặc vô tình vì không biết).

Đúng là một bức tranh xám xịt.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 09:19:43 (+0700) | #66 | 244065
[Avatar]
asaxin
Member

[Minus]    0    [Plus]
Joined: 24/06/2007 13:11:27
Messages: 30
Offline
[Profile] [PM]
Chào mọi người, theo phân tích của anh conmale thì mình biết chắc chắn máy mình đã bị dính virus của STL.








Sau khi mình xoá Acrobatupdate.exe và xoá hết registry và dùng chương trình Avira thì Avira phát hiện ra trojan trong hình dưới và Acrobatupdate không chạy nữa. Nếu mình tắt chương trình Avira đi thì nó lại chạy trở lại.





Mình có thể cung cấp những gì cho diễn đàn để diệt con virut này.




No Signature
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 09:31:36 (+0700) | #67 | 244067
nobitapm
Member

[Minus]    0    [Plus]
Joined: 21/07/2008 13:54:41
Messages: 5
Offline
[Profile] [PM]

PXMMRF wrote:

2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau:

- AdobeUpdateManager.exe
- jucheck.exe (process giả update Java)
- OSA.exe
Chúng nằm ở các directories sau:

Program Files\Adobe\AdobeUpdateManager.exe
Program Files\Java\jre6\bin\jucheck.exe
Program Files\Microsoft Office\Office11\OSA.exe

Chúng cũng là thành phần của Trojan-bot đấy

3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả

Thank you in advance.

 


E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên.
Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 09:39:49 (+0700) | #68 | 244068
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

asaxin wrote:
Chào mọi người, theo phân tích của anh conmale thì mình biết chắc chắn máy mình đã bị dính virus của STL.








Sau khi mình xoá Acrobatupdate.exe và xoá hết registry và dùng chương trình Avira thì Avira phát hiện ra trojan trong hình dưới và Acrobatupdate không chạy nữa. Nếu mình tắt chương trình Avira đi thì nó lại chạy trở lại.





Mình có thể cung cấp những gì cho diễn đàn để diệt con virut này.




 


Khởi động lại Windows ở chế độ safe mode hoặc boot vào bằng Hiren cd rồi xoá hết nội dung trong c:\windows\tmp và c:\windows\temp
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 09:48:31 (+0700) | #69 | 244070
[Avatar]
asaxin
Member

[Minus]    0    [Plus]
Joined: 24/06/2007 13:11:27
Messages: 30
Offline
[Profile] [PM]
Cảm ơn anh conmale.

@all: đây là link Acrobatupdate: http://www.mediafire.com/?cqaybxjc88g4riq
@bolzano_1989: mình đã gửi email cho bạn. đây link download: http://www.mediafire.com/?o9nwgu69x7tde22

pasword extract: malware
No Signature
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 09:48:41 (+0700) | #70 | 244071
tv_X
Member

[Minus]    0    [Plus]
Joined: 17/05/2005 03:39:32
Messages: 1
Offline
[Profile] [PM]
Ồ!
Kiểm tra các bộ gõ vietkey2007 mà mình thường dùng và thường cài cho mọi người khi check trên http://www.virustotal.com thì dính dày đặc trojan và backdoor

đầy là 2 chương trình vietkey 2007 tiêu biểu:

http://www.virustotal.com/file-scan/report.html?id=438175b61d7f81c99b11a6c2e6ba20b98340f3a308731b889ad4bd1c2a34b939-1311091197


http://www.virustotal.com/file-scan/report.html?id=9495bd9f8fd9b0421615baeafd52e81a5c63e4003215a7c23bf5d97e59807d5d-1308413546

Vậy mà Avira, câp nhật hàng ngày không phát hiện được

khiếp thế, remove khẩn cấp!


[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 09:50:54 (+0700) | #71 | 244072
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Trước khi bạn asaxin xoá các file trong c:\windows\tmp và c:\windows\temp, xin bạn tạm thời tắt Avira rồi nén lại các thư mục này và gửi mình qua địa chỉ email sau để CMC Antivirus được cập nhật:




Xin cảm ơn.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 10:41:56 (+0700) | #72 | 244073
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

TQN wrote:
Chết là chết trong thời gian ngắn đó đấy anh PXM. Tụi nó sẽ cập nhật bot mới lập tức, setup URL download mới lập tức, hy sinh AcrobatUpdater và các URL cũ. Mình sẽ vẫn bị đánh tiếp.
File config mới xc.jpg đã không ra lệnh tắt DDOS vào HVA, mà chỉ thay = dòng trêu chọc đó. Một lượng Bot lớn còn lại vẫn theo config cũ mà dập vào HVA ta.

Đúng là nhức đầu. Giờ ta có dập được cái host direct.aliasx.net thì vẫn bị DDOS, chỉ còn nước tận diệt các bot còn tồn tại và nhanh chóng tìm ra bot mới.

Nếu ISP can thiệp, tui nghĩ họ nên firewall 2 host penop.net và direct.aliasx.net.

Bà con nào phát hiện AcrobatUpdater.exe mình và biết cách dùng Wireshark, CommView, TCPView hay SmartSniff (của Nirosoft) có thể giúp mọi người bằng cách: đừng xoá AcrobatUpdater.exe theo dõi thử AcrobatUpdater.exe connect tới host nào, URL ra sao, UserAgent như thế nào ?
 


Từ hôm qua đến giờ, mỗi lần em bật máy lên là liên tục mỗi phút, máy em tự động check và download (nếu có thể) các file từ các địa chỉ mà anh đã gửi ở trên cùng 2 địa chỉ khác ở các host của STL mà em có.
Anh chị em nếu phát hiện các địa chỉ file khác mà virus của đám STL tải về có thể gửi cho em qua tin nhắn riêng để em cùng theo dõi phụ.
Ngặt nỗi, em không có máy online 24/24 để theo dõi liên tục mọi lúc đám virus STL này.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 11:08:21 (+0700) | #73 | 244075
[Avatar]
rookey
Member

[Minus]    0    [Plus]
Joined: 01/06/2010 09:04:24
Messages: 22
Location: hồ chí minh
Offline
[Profile] [PM] [Yahoo!]
Xin chào mọi người, em theo dõi topic này ngay từ đầu cũng như các topic mà anh TQN đề cập tới STL.
Việc đọc các kỹ thuật phân tích các mẫu virus và cách hoạt động của nó khiến em rất thích tham gia, rất tò mò vì em cũng là it (học năm 3).Mấy anh phân tích rùi post lên cho tất cả mọi người xem và tham gia.Nhưng em chắc có nhiều người như em muốn cùng phân tích và tham gia vào thảo luận chủ đề nhưng kiến thức mà REC mấy mẫu đó thì không có mà chỉ bít đọc code thôi.
Nay em có ý kiến này : trong quá mấy anh RCE mấy mẫu virus đó thì tốn rất nhiều thời gian mà không được đồng lương nào mà vì nền it nước nhà, chống lại kể xấu phá hoại và giúp mọi người phòng tránh thì nhờ máy anh chi thêm tí thời gian gõ lại cách RCE, các tools đã sử dụng,những vấn đề gặp phải khi RCE và cách xử lý để thành công, xem đó là một tài liệu quí giá rồi đưa lên diễn đàn kết quả cũng như file tài liệu đó cho mọi người tham khảo học hỏi.Việc đó coi như đàn anh dạy lại cho đàn em, chúng ta cùng hiểu biếu hơn.
Ý em nêu như trên mấy anh thấy thế nào ạ.
Những gì em nói đầu là mong muốn thật lòng của em nếu có gì không hợp lệ thì mấy anh bỏ qua.
Cám ơn.
Thích nghi không có nghĩa là cơ hội,không có nghĩa là chống lại,mà là tìm cách vượt qua nó!
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 11:12:02 (+0700) | #74 | 244076
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Khoan khoan asaxin !
Cảm ơn cậu, đã chụp được rồi. Cậu up luôn mấy cái file .msi trong thư mục Temp đó luôn.
Vấn đề quan trọng nhất bây giờ là xem thằng nào sinh ra mấy cái file .msi đó (.exe giả đuôi .msi: Microsoft Installer).
Tạm tắt Avira đi, run FileMon hay ProcMon của SysInternal lên, xem thằng process nào sinh ra mấy cái giả danh đó. Up thằng exe đó lên, và up luôn hình các dll mà thằng process đó dùng luôn.
Thằng đó là thằng nằm vùng đấy, chính nó down AcrobatUpdater.exe về để bot !
Gấp, khẩn cấp, làm ngay, anh em đang chờ thộp cổ thằng nằm vùng giấu mặt này !
Wireshark không hiển thì process connect được, cậu asaxin down ngay TCPView (SysInternals) hay CurrPorts, SmartSniff của NirSoft: http://www.nirsoft.net về.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 11:21:33 (+0700) | #75 | 244077
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

TQN wrote:
Khoan khoan asaxin !
Cảm ơn cậu, đã chụp được rồi. Cậu up luôn mấy cái file .msi trong thư mục Temp đó luôn.
Vấn đề quan trọng nhất bây giờ là xem thằng nào sinh ra mấy cái file .msi đó (.exe giả đuôi .msi: Microsoft Installer).
Tạm tắt Avira đi, run FileMon hay ProcMon của SysInternal lên, xem thằng process nào sinh ra mấy cái giả danh đó. Up thằng exe đó lên, và up luôn hình các dll mà thằng process đó dùng luôn.
Thằng đó là thằng nằm vùng đấy, chính nó down AcrobatUpdater.exe về để bot !
Gấp, khẩn cấp, làm ngay, anh em đang chờ thộp cổ thằng nằm vùng giấu mặt này !
Wireshark không hiển thì process connect được, cậu asaxin down ngay TCPView (SysInternals) hay CurrPorts, SmartSniff của NirSoft: http://www.nirsoft.net về. 


Hì hì, anh bậy thiệt. Sáng giờ lung tung công việc nên anh trả lời asaxin theo quán tính mà quên bà nó chuyện kêu asaxin lưu lại mấy miếng rác đó. Hy vọng asaxin chưa xoá nó smilie .
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 11:25:03 (+0700) | #76 | 244079
thegunner2401
Member

[Minus]    0    [Plus]
Joined: 20/07/2011 06:35:07
Messages: 2
Offline
[Profile] [PM]
Sao hiện tại E vào internet (bằng cả Chrome và FireFox), nhất là vào HVAonline
Check CurPorts đều thấy kết nối đến thutin.tienve.org:80 mà thằng Process là Trình duyệt?
E nên làm thế nào bây h? (Newbie nên ko biết gì, các A thông cảm).smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 11:26:11 (+0700) | #77 | 244080
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Nếu bạn asaxin gặp khó khăn trong việc dùng Process Monitor, bạn có thể gửi boot log với Process Monitor, mình sẽ xem và hướng dẫn chi tiết cho bạn.

Hướng dẫn scan và gửi boot log với Process Monitor
http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-boot-log-v7899i-process-monitor/
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 11:27:26 (+0700) | #78 | 244081
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

thegunner2401 wrote:
Sao hiện tại E vào internet (bằng cả Chrome và FireFox), nhất là vào HVAonline
Check CurPorts đều thấy kết nối đến thutin.tienve.org:80 mà thằng Process là Trình duyệt?
E nên làm thế nào bây h? (Newbie nên ko biết gì, các A thông cảm).smilie 


thutin.tienve.org và www.hvaonline.net chạy trên cùng 1 IP cho nên đây là chuyện bình thường, chẳng có gì phải ngại hết.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 11:55:50 (+0700) | #79 | 244082
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]

nobitapm wrote:

PXMMRF wrote:

2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau:

- AdobeUpdateManager.exe
- jucheck.exe (process giả update Java)
- OSA.exe
Chúng nằm ở các directories sau:

Program Files\Adobe\AdobeUpdateManager.exe
Program Files\Java\jre6\bin\jucheck.exe
Program Files\Microsoft Office\Office11\OSA.exe

Chúng cũng là thành phần của Trojan-bot đấy

3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả

Thank you in advance.

 


E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên.
Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w

 


Mẫu này không phải virus, bạn yên tâm nhé
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 11:57:39 (+0700) | #80 | 244083
[Avatar]
wỷnhỏ
Member

[Minus]    0    [Plus]
Joined: 27/06/2011 11:26:17
Messages: 7
Offline
[Profile] [PM] [WWW]
smilie....hjx.tình hình dạo này nhiều máy nhiễm virus of bọn STL quá mấy a nhỉ
e cứ download linh tinh mà k bít có nhiễm cái gì k vì kaspersky bản quyền nhà e e quét mà chẳng thấy báo gì
mà bác TQL đóng góp nhiều như vậy mà sao mấy bác Admin k cho bác TQL lên MOD hay Smod ạ???
ai cũng nhiệt tình và tốt như mấy bác thì hay biết mấy.....e thì gà quá smilie(smilie(smilie(
I want to make friend with you...smiliesmiliesmilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:03:51 (+0700) | #81 | 244085
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Không sao đâu quỷ nhỏ, anh còn đề nghị anh conmale cho anh xuống member bình thường kìa.
Nâng cấp cho anh thì có trả lương được cho anh không ? Chỉ cần ai đó gởi anh vài thùng để uống lai rai trong lúc RCE đám "mèo què" của STL thôi !

Sáng giờ lang thang An Sương, QL 1, xa lộ Hà nội, thấy buồn: kinh tế VN ta năm nay khó khăn quá, nhiều công ty, cửa hàng dẹp tiệm, trả mặt bằng, làm ăn khó khăn, lạm phát tăng cao, lãi suất NH tăng, đứng hết.

Anh PXM cũng bên SX-KD, có đồng ý với em là năm nay tình hình vậy không ? Vậy mà đám bán nước, tay sai ngoại bang như STL còn "quậy" lên nữa !

Bây giờ chỉ ngồi chờ asaxin chụp được thằng nằm vùng giấu mặt và up lên để anh em ta chặn hết đường DDOS của tụi nó !

2 Nobitapm: file jucheck.exe đó của em là file sạch, chính hãng Sun, bảo hành đàng hoàng. Máy em install Win7 64bit à ?

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:06:17 (+0700) | #82 | 244086
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
@asaxin: về file Acrobatupdate: mẫu bạn đưa đúng là mẫu của STL mà anh em đang bàn đến, nhưng tiếc là bây giờ, mẫu naỳ cũng không còn giá trị vì STL không còn update file cấu hình nữa

Mình đã check thư mục temp của bạn, không còn file nào khác là virus. Bạn theo hướng dẫn của anh conmale mà xoá hết các key registry, xoá file của nó là được
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:08:56 (+0700) | #83 | 244088
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Ặc ặc, acoustics90 lại xúi bậy rồi. Chờ asaxin up lên thằng nào down AcrobeUpdater.exe về chứ. Phải có thằng down về thì mới có AcrobatUpdater.exe chứ. Không lẽ nó tự sinh ra à !
Vấn đề anh đang suy nghĩ và tìm kiếm chính là thằng giấu mặt này nè ! Có lẽ nó không thể là GoogleCrashHandler hay wcsntfy.* hay bất cứ gì. Nó là thằng giấu mặt từ trước giờ mà ta không biết.
Kịch bản của nó như vầy nè: Định kỳ kiểm tra một website nào đó và chắc chắn website này ta chưa biết, download 1 file cấu hình về, parse, parse xong lại down con bot (mạo danh AcrobatUpdater) về.
Down AcrobatUpdater về, extract vào thư mục temp, lấy đuôi là .msi, name thì GetTempName, copy vào %Program Files% thành AcrobatUpdater.exe, ShellExecute hay CreateProcessA/W nó, rồi xoá file .msi mạo danh đi.
Em nói đúng không mấy thằng "Sống chết theo lệnh", nói sai thì em xin ngừng uống bia lon 1 ngày (bà xã em cũng mừng luôn !!!???). Chính vì vậy mà đống file trong Temp của asaxin đã up lên chả có file .msi nào cả. Xoá mẹ nó hết rồi mà ! Mấy anh là coder, em cũng từng là coder, mấy anh nghĩ gì thì em cũng nghĩ như vậy !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:12:26 (+0700) | #84 | 244089
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]

lequi wrote:
@PXMMRF: Em sẽ kiểm tra các thông tin anh cần, và có 1 vài lưu ý là các thông tin e để trên đều liên quan đến DNS của Google, vì các thông tin trên tổng hợp trong quá trình bắt các packet gửi qua IP 8.8.8.8 (ngày mai em sẽ dump và gửi cho a vài chi tiết).

Hôm nay em cũng có dạo qua các site, và down bộ unikey từ link: http://nethoabinh.com/showthread.php?t=315
Quét file này trên virustotal: http://www.virustotal.com/file-scan/report.html?id=02b3b347ff00c8bdcad7e4c557a41f36e4af110658aea57557fab2c0bd641b1e-1311508169 


Mình vừa check bộ Unikey setup này , cho đến giờ phút post bài này, file đó là file sạch. Bạn yên tâm nhé
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:13:55 (+0700) | #85 | 244090
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]

TQN wrote:
Ặc ặc, acoustics90 lại xúi bậy rồi. Chờ asaxin up lên thằng nào down AcrobeUpdater.exe về chứ. Phải có thằng down về thì mới có AcrobatUpdater.exe.
Vấn đề anh đang suy nghĩ và tìm kiếm chính là thằng giấu mặt này nè ! 


Uh. em quên béng mất. Không hiểu thằng nào là thằng đầu tiên tải cái này nhỉ, theo em biết thì Jucheck tải về, nhưng có thể nó đi theo đường khác lắm.

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:20:15 (+0700) | #86 | 244092
nobitapm
Member

[Minus]    0    [Plus]
Joined: 21/07/2008 13:54:41
Messages: 5
Offline
[Profile] [PM]

acoustics89 wrote:

nobitapm wrote:
E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên.
Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w
 

Mẫu này không phải virus, bạn yên tâm nhé 

Thanks bạn acoustic89. smilie

TQN wrote:
2 Nobitapm: file jucheck.exe đó của em là file sạch, chính hãng Sun, bảo hành đàng hoàng. Máy em install Win7 64bit à ? 

Cảm ơn anh TQN. Win7 64bit đúng rồi đó anh smilie. Do e không rành về IT nên không biết kiểm tra file sạch hay virus. smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:27:23 (+0700) | #87 | 244093
[Avatar]
asaxin
Member

[Minus]    0    [Plus]
Joined: 24/06/2007 13:11:27
Messages: 30
Offline
[Profile] [PM]
Tiếc quá, mình xoá hết rồi, mới ăn cơm xong. Hồi sáng có chạy chương trình cports và smsniff nhưng không chụp hình của nó. smilie
No Signature
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:31:47 (+0700) | #88 | 244094
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

asaxin wrote:
Tiếc quá, mình xoá hết rồi, mới ăn cơm xong. Hồi sáng có chạy chương trình cports và smsniff nhưng không chụp hình của nó. smilie 


Bạn cứ gửi boot log với Process Monitor đi smilie .
Hướng dẫn scan và gửi boot log với Process Monitor
http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-boot-log-v7899i-process-monitor/


Gửi log Autoruns nữa:
Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:41:59 (+0700) | #89 | 244096
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
2 asaxin: Bạn chỉ mới xoá AcrobatUpdater.exe và mấy file .msi linh tinh trong thư mục %Temp%. Nhưng thằng downloader giấu mặt vẫn chắc chắn tồn tại 100% trên máy của bạn.
Yên tâm, cứ từ từ nghiền ngẫm và tìm ra thằng giấu mặt này. Mấy anh STL đang đọc topic này cũng đang tự hỏi trong máy bạn, thằng giấu mặt, nằm vùng là thằng nào ? Làm sao cho nó biến mất đây ? Ai biểu code "mèo què" cho cố vô rồi giờ không biết máy nào nhiểm A, máy nào nhiểm B... Em hướng dẫn nhé: chỉ cần modify source một chút thôi, cho thằng nằm vùng gởi về, ê, tao là Ver xxx nè, file name xxx nè, mấy anh build em vào ngày x, giờ Y nè. Rồi theo file config mà thằng nằm vùng down về, mấy anh ra lệnh: à mày, ver x, name Y phải không, mày làm theo lệnh tao như vầy vầy nè ! Mấy anh không làm kiểu đó thì bây giờ chính mấy anh cũng rối, phải không mấy anh em STL ?
Cùng là người VN cả mà, thương nhau, đùm bọc nhau, chứ ai muốn dồn mấy anh vào đường cùng đâu !? Quay đầu là bờ mà, phải không mấy anh "Theo Lệnh Sống Chết", ăn lương ngoại bang, "rước voi về dày mã tổ", củng là "mồ mả ông bà nội mấy anh". Chứ không lý có thằng tàu khựa nào biết và đọc về nhật ký chống DDOS của anh conmale ???!!!

Bạn asaxin cứ bình tĩnh, từ từ mà làm: manh mối con giấu mặt, nằm vùng thì bây giờ chỉ có trên mấy bạn thôi ! Bạn yên tâm, nó vẫn tồn tại và sống nhăn răn 100%. Và nó cũng không thể tự xoá được. STL chưa viết một dòng code nào cho .exe tự xoá cả. Toàn nhờ thằng .exe khác xoá nó. Bạn tìm ra được con giấu mặt đấy thì giúp biết bao nhiêu cho mọi anh em đang đọc topic này, giúp cho mọi người đang tìm, vạch mặt đám bán nước, theo ngoại bang này.

Nếu bạn tìm được đích thị thằng nằm vùng đó, em sẽ chỉ cần bỏ ra 3h RCE là lòi ra master website mới của mấy thằng STL này (mẹ nó, mình tôn sùng STL: Standard Template Library của C++, do bao guru C++ viết ra, mà giờ viết tắt phải chịu viết cái tên thối tha, dơ bẩn của tụi "Sống chết theo lệnh" này).
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 12:48:40 (+0700) | #90 | 244097
[Avatar]
asaxin
Member

[Minus]    0    [Plus]
Joined: 24/06/2007 13:11:27
Messages: 30
Offline
[Profile] [PM]
hi bolzano_1989,

Mình để file Process Monitor và autorun trong link dưới:

http://www.mediafire.com/?0n270j9v6jknqje

password: malware

@TQN: vậy để từ từ em nghiền ngẫm, vì máy em dính trojan là laptop chạy Windows, còn máy duyệt web chạy linux. Ai muốn xoá mấy file trong laptop máy em cũng khó.
No Signature
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|