"...Flame còn tinh vi và nguy hiểm gấp 20 lần so với Stuxnet." "...có thể phải mất 10 năm để hiểu được mọi hoạt động mà Flame có thể gây ra."- http://vnmedia.vn/VN/cong-nghe/tin-tuc/35_295631/phat_hien_ma_doc_chuyen_doc_trom_email.html - http://www.wired.com/threatlevel/2012/05/flame/ - http://www.forbes.com/sites/timworstall/2012/05/29/the-real-flame-wars-w32-flamer-found-all-over-the-middle-east/ Phân tích kỹ thuật:
http://www.crysys.hu/skywiper/skywiper.pdfCon này đã phát tán cách đây từ 5 đến 8 năm, chủ yếu ở khu vực Trung Đông, đặc biệt là Iran, sử dụng tới 5 giải thuật mã hóa, 3 kỹ thuật nén dữ liệu và ít nhất 5 định dạng (format) lưu trữ khác nhau, ngoài ra còn sử dụng cơ sở dữ liệu SQLite 3.6 để lưu trữ thông tin đánh cắp được. Khả năng của mã độc Flame: - Kích hoạt micrô của các máy tính bị nhiễm Flame và ghi lại các cuộc đàm thoại Skype cũng như cuộc nói chuyện của những người gần đó. - Chụp màn hình các email và tin nhắn tức thời cũng như các hoạt động khác. - Bật kết nối Bluetooth, quét tên và số điện thoại liên lạc ghi trên thiết bị. - Quét mạng để dò tìm tên và mật khẩu đăng nhập. - Xóa các tệp tin để xóa sạch dấu vết tồn tại của chúng. (VnMedia)]]>
Chưa biết bên trong có những "em bé" nào nhưng nhìn cái kích thước (20Mb) thì thấy loại này không thể phát tán hàng loạt được. Tính "ẩn" của nó quá thấp bởi vì download 1 gói 20Mb và cài 1 gói 20Mb một cách lặng lẽ thì hơi lạ.Nó có bộ kit và virus installer kèm theo mà :*- .]]>
conmale wrote:Bởi vậy, tính "steath" của con virus này càng giảm.]]>
Chưa biết bên trong có những "em bé" nào nhưng nhìn cái kích thước (20Mb) thì thấy loại này không thể phát tán hàng loạt được. Tính "ẩn" của nó quá thấp bởi vì download 1 gói 20Mb và cài 1 gói 20Mb một cách lặng lẽ thì hơi lạ.Nó có bộ kit và virus installer kèm theo mà :*- .
Dump of file 00004784.dl: Code:Nhìn sơ qua giống 1 application hơn là 1 virus :) Các file đều để nguyên xi (compile bằng Microsoft Visual C++), không có pack, trừ các "em bé" trong bụng đã được crypt, version info đều ghi giả mạo Microsoft Corporation.]]>
Dump of file 296e04abb00ea5f18ba021c34e486746: Code:3 0 0000E94B QDInit 4 1 0000E94B SetObjectDescriptor 1 0001A817 [NONAME] 2 000206A3 [NONAME]
Dump of file 37c97c908706969b2e3addf70b68dc13: Code:1 0 00001077 RpcNsBindingInit
Dump of file advnetcfg.ocx: Code:2 0 0019DDFC CPlApplet 3 1 0019DE26 DDEInit 4 2 0000108E DDEnumCallback 5 3 00064BF4 GetAuthMechanism 6 4 0019DE71 InprocServer 7 5 000F42C9 QueryValueEx 8 6 000011DE SetAuthMechanism 1 7 000011D6 SetEnumStructure 9 8 000012AD ValueEnumCallback
Dump of file advnetcfg2.ocx: Code:3 0 000030F0 DisableTBS 2 1 00002E9D EnableTBS 1 2 000033A4 UpdateTBSList
Dump of file msglu32.ocx: Code:3 0 00002B99 DisableTBS 2 1 000029EE EnableTBS 1 2 00002DBD UpdateTBSList
Dump of file mssecmgr.ocx: Code:4 0 0000501E QDInit 3 1 000050B2 QDRunW 5 2 00004FDB SetObjectDescriptor 1 000083C0 [NONAME] 2 00008485 [NONAME]
Dump of file nteps32.ocx: Code:2 0 0019DDFC CPlApplet 3 1 0019DE26 DDEInit 4 2 0000108E DDEnumCallback 5 3 00064BF4 GetAuthMechanism 6 4 0019DE71 InprocServer 7 5 000F42C9 QueryValueEx 8 6 000011DE SetAuthMechanism 1 7 000011D6 SetEnumStructure 9 8 000012AD ValueEnumCallback
Dump of file soapr32.ocx: Code:4 0 00008A44 CreateABHList 14 1 0000B79A CreatePGHDict 7 2 00003E10 DisableDLV 12 3 0000B359 DisableOFR 2 4 000085A4 DisableSHR 6 5 00003D71 EnableDLV 11 6 0000B106 EnableOFR 1 7 00008480 EnableSHR 5 8 00008A89 FreeABHData 3 9 00008942 GetSML 13 A 0000B6D3 GetWPF 10 B 0000657D ReadVBInfo 8 C 000040A8 RestoreSMLData 9 D 0000653A WriteVBInfo
1 0 00001077 RpcNsBindingInit
Chưa biết bên trong có những "em bé" nào nhưng nhìn cái kích thước (20Mb) thì thấy loại này không thể phát tán hàng loạt được. Tính "ẩn" của nó quá thấp bởi vì download 1 gói 20Mb và cài 1 gói 20Mb một cách lặng lẽ thì hơi lạ.Em nghĩ dòng virus này được thiết kế để thực hiện targeted attack hơn là để lây lan, nó sẽ được cài đặt bởi một đặc vụ tình báo giống như trường hợp stuxnet, hơn nữa quá trình reverse con này chưa hoàn tất ( 20MB bị mã hoá và obfuscated tới tận răng chứ không ít ) nên có thể con này được dùng như một bàn đạp để tấn công sâu rộng vào toàn bộ một mạng máy tính được bảo mật, do đó nó phải tích hợp 1 lô các tính năng hạng nặng để thu thập mọi thông tin tình báo có thể]]>
Bồ ơi tớ làm như bồ nói rồi sao wrong password nhỉ, tớ có PM bồ rồi.HEX chữ hoa nhe các bạn]]>
chiro8x wrote:Làm mất công tắt cái máy ảo :( tụt cảm xúc quá . Nói nhỏ là vẫn còn khả năng worng password nếu ai muốn giải nén nó, hãy chú ý vào cái "HEX chử hoa" chứ không phải "chử hoa xong hex".]]>
Bồ ơi tớ làm như bồ nói rồi sao wrong password nhỉ, tớ có PM bồ rồi.HEX chữ hoa nhe các bạn
chiro8x wrote:Mèn ơi, làm người ta brute gần chết]]>
Bồ ơi tớ làm như bồ nói rồi sao wrong password nhỉ, tớ có PM bồ rồi.HEX chữ hoa nhe các bạn
miyumi2 wrote:Tớ phải PM lão đấy :"> tớ còn upcase rồi tính hex mới hài.]]>
chiro8x wrote:Mèn ơi, làm người ta brute gần chết
Bồ ơi tớ làm như bồ nói rồi sao wrong password nhỉ, tớ có PM bồ rồi.HEX chữ hoa nhe các bạn
Theo thói quen viết virus hay botnet cuả mình và 1 số bạn khác thì sau khi đã viết hoàn chỉnh virus thì sẽ park lại để giảm dung lượng và tăng tính "steath" như anh conmale nói.Lần đầu tiên trong đời em thấy khái niệm park (trong tin học) bao lâu nây em chỉ mới làm quen với khái niệm pack. Lần đầu tiên em thấy người ta sử dụng các packer phổ biến để pack virus và trojan. Anh conmale nói là "stealth" not "steath", và ảnh cũng không nói là dùng packer để pack. Lập trình virus khi ở một mức độ khác sẽ phải tự viết, tự định nghĩa các phương thức encrypt và decrypt dữ liệu. Cũng như pack virus của mình một cách thủ công. Một vấn đề nữa ngay khi lập trình cũng phải chú ý, như việc lựa chọn compiler, linker, cách viết mã sao cho tối giản về kích thước và hiệu quả (tôi chưa nói là tối ưu).Ngoài ra còn cần hide process id, anti-degbug, obfuscate...suy nghĩ theo kiểu virus Autoit thì ảo quá.]]>
Flame’s modules together account for over 20MB. Much of these are libraries designed to handle SSL traffic, SSH connections, sniffing, attack, interception of communications and so on. Consider this: it took us several months to analyze the 500K code of Stuxnet. It will probably take year to fully understand the 20MB of code of Flame.Thử đi rồi biết !]]>
sasser01052004 wrote:^^! Viết nhầm, tiếng anh tớ dỏm số 1 luôn á. Tớ rất ghét lập trinh virus hay cái gì đó bằng AutoIT, thậm chí ác cảm với bạn nào đó dùng autoIT luôn á, vì bản thân của nó rất cồng kềnh.
Theo thói quen viết virus hay botnet cuả mình và 1 số bạn khác thì sau khi đã viết hoàn chỉnh virus thì sẽ park lại để giảm dung lượng và tăng tính "steath" như anh conmale nói.Lần đầu tiên trong đời em thấy khái niệm park (trong tin học) bao lâu nây em chỉ mới làm quen với khái niệm pack. Lần đầu tiên em thấy người ta sử dụng các packer phổ biến để pack virus và trojan. Anh conmale nói là "stealth" not "steath", và ảnh cũng không nói là dùng packer để pack. Lập trình virus khi ở một mức độ khác sẽ phải tự viết, tự định nghĩa các phương thức encrypt và decrypt dữ liệu. Cũng như pack virus của mình một cách thủ công. Một vấn đề nữa ngay khi lập trình cũng phải chú ý, như việc lựa chọn compiler, linker, cách viết mã sao cho tối giản về kích thước và hiệu quả (tôi chưa nói là tối ưu).Ngoài ra còn cần hide process id, anti-degbug, obfuscate...suy nghĩ theo kiểu virus Autoit thì ảo quá.
Bạn sasser01052004 thỉnh thoảng chém tí cho nguy hiểm ấy mà smilie , chiro8x thông cảm.Hj hj, mai chắc xin làm admin của chém gió chấm info]]>
The filename ~ZFF042.TMP was first seen on Mar 1 2010 in the following geographical region of the Webroot community: Iran, Islamic Republic of on Mar 1 2010]]>
Hồi xưa cũng bỏ công úp các mẫu mèo què của stl cho McAfee này. Cuối cùng, ghét, lơ luôn. Chậm đáp ứng, hay im ru không trả lời, hay cứ clean. Y như trường hợp con Flame này.Họ ngoảnh mặt làm ngơ hả anh
Flame’s modules together account for over 20MB. Much of these are libraries designed to handle SSL traffic, SSH connections, sniffing, attack, interception of communications and so on. Consider this: it took us several months to analyze the 500K code of Stuxnet. It will probably take year to fully understand the 20MB of code of Flame.Cái câu này nghe "khủng" quá, phải phân tích 500 ngàn code Stuxnet mới bằng 1 con Flame. Vài tháng nhân với 500k ra bao lâu nhỉ ]]>