Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	03/07/2012 21:58:46 (+0700) \| #1 \| 266044

xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline

Hiện nay có một số nguồn tin cảnh báo cho xnohat về các dịch vụ của Baidu mới thâm nhập thị trường VN có thể chứa malware. Ví dụ như:

Trang tìm kiếm: vn.hao123.com , vn.hao222.com
Phần mềm nghe nhạc TTPlayer: vn.qianqian.com,
Mạng xã hội trà đá quán tieba.baidu.com.vn, ahphim.com
Dự án Zhihao

phần mềm TTplayer và hao123client có một số hành vi bất thường như cố tình thay đổi trang chủ dịch vụ, cài đặt âm thầm một số thành phần vào máy ( không phải extract từ gói cài đặt ), và có chuyển nhiều dữ liệu tới một máy chủ đặt tại TQ.

Rất mong anh em cùng góp sức analysis các dịch vụ này của TQ để nếu như đây là các malware thật thì có chứng cứ kỹ thuật rõ ràng để cảnh báo cộng đồng

Bản cài đặt của 2 phần mềm trên có thể tải trực tiếp từ trang chủ của các dịch vụ này, hoặc tải từ gói copy dưới đây ( đóng gói ngày 3/7/2012 )

http://www.mediafire.com/?p5khdid6wja6qm3
pass: 123hva

Các anh em mới bắt đầu làm reverser nên cẩn trọng làm trong máy ảo, vì chúng ta chưa thể chắc chắn về tính xác thực của các thông tin về malware nhúng trong các dịch vụ của baidu nên cần chú ý cẩn trọng.

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	04/07/2012 06:31:24 (+0700) \| #2 \| 266065

warmoger
Member

Joined: 19/12/2005 10:39:33
Messages: 26
Offline

Nguồn tin ở đâu ra vậy Mod?

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	04/07/2012 07:01:49 (+0700) \| #3 \| 266067

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

warmoger wrote:

Nguồn tin ở đâu ra vậy Mod?

Nguồn tin từ HVA và từ các anh em reverse engineering của HVA.

What bringing us together is stronger than what pulling us apart.

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	04/07/2012 07:16:40 (+0700) \| #4 \| 266069

PHCM
Member

Joined: 25/02/2004 11:43:18
Messages: 13
Offline

warmoger wrote:

Nguồn tin ở đâu ra vậy Mod?

/hvaonline/posts/list/42745.html#266068

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	04/07/2012 07:59:13 (+0700) \| #5 \| 266071

nautilux
Member

Joined: 30/06/2009 16:03:52
Messages: 5
Offline

phát hiện 1 số file lạ
C:\Sandbox\Administrator\SandBox\drive\C\Windows\Downloaded Program Files\655368\SetupAx.dll

đây là file winint.ini
NUL=C:\Users\ADMINI~1\AppData\Local\Temp\nsg3ACA.tmp\
NUL=C:\Users\ADMINI~1\AppData\Local\Temp\nsnEAB7.tmp\

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	04/07/2012 08:32:43 (+0700) \| #6 \| 266075

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Đúng là trình installer của ttplayer có can thiệp và lấy thông tin của user để gởi đi. Tui đang phân tích tiếp, như giải trí thôi, nên không nhanh được.
Mấy cái file "lạ" đó, nautilux zip lại và up lên đi. Có thể các file đó là các module để play nhạc của ttplayer thôi.
Tập trung vào các dll module, các exe làm nhiệm vụ update của thằng ttplayer này.

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	04/07/2012 10:40:39 (+0700) \| #7 \| 266099

nautilux
Member

Joined: 30/06/2009 16:03:52
Messages: 5
Offline

trở lại với GDIPFONTCACHEV1.DAT không biết có dính không nữa

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	06/07/2012 14:27:30 (+0700) \| #8 \| 266310

chuabietcntt
Member

Joined: 10/08/2010 04:04:23
Messages: 1
Offline

Hôm qua thằng em lấy máy cà cái phần mềm xem phim là HiPlayer, trang chủ các trình duyệt bị chiếm bởi cái cái site ht2p://vn.hao123.com/?tn=hp_hp_310_hao123_vn
Mình gỡ cái phần mềm đó đi mà vẫn bị. Vào cài đặt trang chủ của các trình duyệt cả IE8, FF với cả Google Chrome đều không được mặc dù ra trang chủ Google nhưng nó tự động thêm 1 tab mới là cái trang chết tiệt kia. Quét virus với Avira free thì không thấy, híc. Lục tung Google cũng không thấy bài nào chỉ cách bỏ nó. Có bác nào biết cách bỏ nó làm ơn chỉ với

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	06/07/2012 23:22:31 (+0700) \| #9 \| 266342

thientm
Member

Joined: 25/07/2011 23:31:46
Messages: 80
Offline

chuabietcntt wrote:

Hôm qua thằng em lấy máy cà cái phần mềm xem phim là HiPlayer, trang chủ các trình duyệt bị chiếm bởi cái cái site ht2p://vn.hao123.com/?tn=hp_hp_310_hao123_vn
Mình gỡ cái phần mềm đó đi mà vẫn bị. Vào cài đặt trang chủ của các trình duyệt cả IE8, FF với cả Google Chrome đều không được mặc dù ra trang chủ Google nhưng nó tự động thêm 1 tab mới là cái trang chết tiệt kia. Quét virus với Avira free thì không thấy, híc. Lục tung Google cũng không thấy bài nào chỉ cách bỏ nó. Có bác nào biết cách bỏ nó làm ơn chỉ với

chrome : thử như này xem , chú ý phần mũi tên nhé

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	07/07/2012 15:03:10 (+0700) \| #10 \| 266366

0985649542
Member

Joined: 23/05/2012 02:15:52
Messages: 18
Offline

Đối với trường hợp của bạn, mình củng bị 1 lần, sau đó phải chụp lại cấu hình nhờ BKV phân tích kết quả là bị Trojan ẩn, nó tạo ra File ảo để cho chúng ta không tìm được bộ gỡ của nó, cuối cùng mình phải chạy lại win :-(

Thất bại là hạt giống của thành công

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	08/07/2012 09:32:45 (+0700) \| #11 \| 266389

denmilu
Member

Joined: 08/06/2011 23:49:17
Messages: 3
Offline

Mình thử Google để tìm link download hipplayer của baidu thì thấy có trên trang tải phần mềm.org, sau đó bấm get link thì thấy hiện ra trang ht2p://vn.hao123.com/?tn=hp_hp_310_hao123_vn mà mọi người hay nói
Anh em cẩn thận.

Chắc sẽ tiếp tục xem trang wweb hao123 kia làm gì khi người dùng truy cập vào nó
http://www.taiphanmem.org/download-hiplayer.html

Mình rất hứng thú với file của xnohat upload sẳn, nhưng không biết nó là nguyên gốc từ site Tàu hay bạn đã sửa đổi gì rồi?

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	08/07/2012 11:47:19 (+0700) \| #12 \| 266399

BlueMM
Member

Joined: 14/02/2012 05:11:33
Messages: 28
Offline

Báo Tuổi Trẻ ngày 8/7/2012:
http://nhipsongso.tuoitre.vn/Nhip-song-so/500754/Baidu-can-thiep-trai-phep-vao-may-tinh-o-VN.html

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	08/07/2012 11:47:54 (+0700) \| #13 \| 266400

tvv
Member

Joined: 03/06/2011 07:41:21
Messages: 55
Location: TP HCM
Offline

Mong các pro phân tích nhanh để lấy chứng cớ lên tiếng cảnh báo và tẩy chay Baidu này đi .

http://www.youtube.com/channel/UCDeTtfediXlQmnw1kdOeHEw?feature=mhee

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	09/07/2012 08:04:28 (+0700) \| #14 \| 266436

tdtv-bkt432
Member

Joined: 13/06/2012 02:14:06
Messages: 47
Location: /root/user...../null
Offline

làm ơn cho xin mẫu để gửi về các av để diệt

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	09/07/2012 09:43:34 (+0700) \| #15 \| 266441

quocbao9996
Member

Joined: 19/09/2011 20:34:11
Messages: 62
Location: 192.168.1.1
Offline

tdtv-bkt432 wrote:

làm ơn cho xin mẫu để gửi về các av để diệt

Lên trang chủ của nó mà down, tụi nó cho không trên đó đó

Đây là cụm chữ được thêm vào cuối mỗi thông điệp của bạn. Cụm chữ này không bắt buộc phải có và chỉ giới hạn tối đa 255 chữ cái.

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	09/07/2012 10:16:13 (+0700) \| #16 \| 266449

tdtv-bkt432
Member

Joined: 13/06/2012 02:14:06
Messages: 47
Location: /root/user...../null
Offline

Đã gửi mà không thấy phản hồi. smilie

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	09/07/2012 10:36:35 (+0700) \| #17 \| 266451

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

tdtv-bkt432 wrote:

Đã gửi mà không thấy phản hồi.

Cảnh cáo bồ lần cuối. Có gì đáng thảo luận thì thảo luận. Tránh chit chat trong các chủ để kỹ thuật.

What bringing us together is stronger than what pulling us apart.

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	10/07/2012 00:15:21 (+0700) \| #18 \| 266489

Ngo_Huy
Member

Joined: 24/10/2011 23:10:24
Messages: 16
Offline

Em vừa tìm thấy hai website,hiện tại ngoài TTplayer thì còn Baidu Player. Chúng nó có cả website riêng cho 2 cái này nữa.
http://vn.player.baidu.com/
và
http://vn.qianqian.com/tn84848401.html

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	10/07/2012 10:05:44 (+0700) \| #19 \| 266512

Vanxuanemp
Member

Joined: 02/08/2005 04:31:37
Messages: 63
Location: Thôn Đoài
Offline

Thêm một phần mềm mà anh em hay sử dụng là OneKey Ghost, phần mềm nay khi chạy kết nối đến 2 trang web là baidu.com và onkey.xxx gì đấy không nhớ, có lẽ đây cũng là một phần mềm trong bộ các phần mềm được phát tán có kèm theo trojan!! AE nào rev kính đề nghị thử check giúp xem với!

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	10/07/2012 15:35:11 (+0700) \| #20 \| 266532

tdtv-bkt432
Member

Joined: 13/06/2012 02:14:06
Messages: 47
Location: /root/user...../null
Offline

Vanxuanemp wrote:

Thêm một phần mềm mà anh em hay sử dụng là OneKey Ghost, phần mềm nay khi chạy kết nối đến 2 trang web là baidu.com và onkey.xxx gì đấy không nhớ, có lẽ đây cũng là một phần mềm trong bộ các phần mềm được phát tán có kèm theo trojan!! AE nào rev kính đề nghị thử check giúp xem với!

Cái này mới . Chứ mình dùng nó mãi có sao đâu

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	19/07/2012 16:13:44 (+0700) \| #21 \| 267111

EXG
Member

Joined: 01/03/2012 08:27:49
Messages: 2
Offline

Vanxuanemp wrote:

Thêm một phần mềm mà anh em hay sử dụng là OneKey Ghost, phần mềm nay khi chạy kết nối đến 2 trang web là baidu.com và onkey.xxx gì đấy không nhớ, có lẽ đây cũng là một phần mềm trong bộ các phần mềm được phát tán có kèm theo trojan!! AE nào rev kính đề nghị thử check giúp xem với!

OneKey Ghost có gì đâu ,mình dùng nhiều lần rồi thấy bình thường mà

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	23/07/2012 08:33:03 (+0700) \| #22 \| 267313

sasser01052004
Member

Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline

EXG wrote:

Vanxuanemp wrote:

Thêm một phần mềm mà anh em hay sử dụng là OneKey Ghost, phần mềm nay khi chạy kết nối đến 2 trang web là baidu.com và onkey.xxx gì đấy không nhớ, có lẽ đây cũng là một phần mềm trong bộ các phần mềm được phát tán có kèm theo trojan!! AE nào rev kính đề nghị thử check giúp xem với!

OneKey Ghost có gì đâu ,mình dùng nhiều lần rồi thấy bình thường mà

Sao bạn "thấy" nó bình thường. Nếu bạn dùng AV mà thấy nó không báo virus mà bạn cho đó là bình thường thì bạn lầm to. smilie

Ask me why, don't ask me what.

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	28/07/2012 23:57:10 (+0700) \| #23 \| 267636

boilacgia90
Member

Joined: 30/06/2011 22:39:50
Messages: 12
Location: tphcm
Offline

Khách quan mà nói thì TQ không có gì tốt đẹp!
Trong thời điểm nhạy cảm này khi mà tranh chấp đang diễn ra, chúng sẽ tìm mọi cách để vô hiệu hoá thông tin liên lạc, khống chế mạng máy tính của chúng ta. Do đó chúng ta phải hết sức cảnh giác. Đừng để chúng nó chiếm một máy...rồi đến nhiều máy... chỉ vì cái tính "thích cái mới". Chúng cũng có thể tiêm mã độc vào website của VN chứ, nhưng biết làm thế nào!? Thôi thì ta cũng tạm hạn chế bằng cách dùng Antivirus Internet Security (vd: NIS 2012 chẳng hạn) vậy.

p/s : Tôi có dùng eDict của BKAV và thấy có một tiến trình chạy hướng đến website TQ là textcapture.com. Bkav nó dùng SDK của thằng này cho sp của mình. Nhưng có lẽ, tôi cũng phải hạ thằng này thôi.

I want to become a hacker

[Discussion] Dịch vụ của Baibu tại VN TTPlayer và hao123 client có thể là malware ?	29/07/2012 07:42:10 (+0700) \| #24 \| 267638

chiro8x
Member

Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline

boilacgia90 wrote:

Khách quan mà nói thì TQ không có gì tốt đẹp!

Chính bản thân câu này nó phủ định toàn bộ ý kiến của bạn. Vấ đề bạn không khách quan tí nào. Dùng từ khách quan mà không hiểu nó là cái gì. Rồi mang cái chủ quan ra chỉ vào đó hét to: "khách quan mà nói" smilie

while(1){}

Go to:

Users currently in here
1 Anonymous