[Analyzing] RCE đám virus của Sinh Tử Lệnh. |
11/07/2011 12:26:50 (+0700) | #121 | 243243 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Khẩn cấp: Mọi người nên đọc theo list các decode string của secmask và kiểm tra trên máy mình ngay. Nếu có file nào giống trong list trên và là PE file thì xoá ngay lập tức. |
|
|
|
|
[Analyzing] RCE đám virus của Sinh Tử Lệnh. |
11/07/2011 15:43:36 (+0700) | #122 | 243261 |
|
chiro8x
Member
|
0 |
|
|
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
|
|
TQN wrote:
Khẩn cấp: Mọi người nên đọc theo list các decode string của secmask và kiểm tra trên máy mình ngay. Nếu có file nào giống trong list trên và là PE file thì xoá ngay lập tức.
Không lẽ lủ virus đó được ra lệnh để huỷ data trên HDD ?. |
|
while(1){} |
|
|
|
[Analyzing] RCE đám virus của Sinh Tử Lệnh. |
01/09/2011 12:36:36 (+0700) | #123 | 246362 |
|
micr0vnn
Member
|
0 |
|
|
Joined: 29/06/2006 15:52:34
Messages: 67
Offline
|
|
pó chíu... ko phải đân RCE pó ... cố cxung không thể hiểu |
|
|
|
|
[Analyzing] RCE đám virus của Sinh Tử Lệnh. |
01/09/2011 14:30:47 (+0700) | #124 | 246364 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
chiro8x wrote:
TQN wrote:
Khẩn cấp: Mọi người nên đọc theo list các decode string của secmask và kiểm tra trên máy mình ngay. Nếu có file nào giống trong list trên và là PE file thì xoá ngay lập tức.
Không lẽ lủ virus đó được ra lệnh để huỷ data trên HDD ?.
Hôm nay mới thấy cái ý kiến khá nhảm này. Bồ chỉ sợ bị huỷ data trên HDD thôi sao? Vậy nếu data không bị huỷ mà bị đánh cắp hay chính máy của bồ được dùng làm zombie để phá hoại người khác thì không sao? |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Analyzing] RCE đám virus của Sinh Tử Lệnh. |
21/02/2012 02:28:48 (+0700) | #125 | 254698 |
|
chiro8x
Member
|
0 |
|
|
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
|
|
conmale wrote:
chiro8x wrote:
TQN wrote:
Khẩn cấp: Mọi người nên đọc theo list các decode string của secmask và kiểm tra trên máy mình ngay. Nếu có file nào giống trong list trên và là PE file thì xoá ngay lập tức.
Không lẽ lủ virus đó được ra lệnh để huỷ data trên HDD ?.
Hôm nay mới thấy cái ý kiến khá nhảm này. Bồ chỉ sợ bị huỷ data trên HDD thôi sao? Vậy nếu data không bị huỷ mà bị đánh cắp hay chính máy của bồ được dùng làm zombie để phá hoại người khác thì không sao?
Em đâu có làm gì đâu mà sợ anh, chỉ toàn tài liệu.
@Hôm nay mới đọc kĩ hết lại, nhìn mấy đoạn code disasm thấy nãn quá, đã bỏ công viết virus rồi cũng không làm luôn mấy cái hàm decrypt string cho ra hồn. Coding chắp vá xem cũng hại não. Mà SLT dạo này chìm nhỉ chẳng thấy nữa !. Mấy idol này lặn nhanh quá, chắc mấy anh đang đợi một lần xuất hiện chói loá, với những kiến thức vừa được dạy. |
|
while(1){} |
|
|
|
[Analyzing] RCE đám virus của Sinh Tử Lệnh. |
21/02/2012 06:09:26 (+0700) | #126 | 254703 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Nó ngủ rồi thì để nó ngủ đi em, đánh thức nó dậy làm chi, khổ lắm. |
|
|
|
|
[Analyzing] RCE đám virus của Sinh Tử Lệnh. |
21/02/2012 10:17:28 (+0700) | #127 | 254727 |
|
chiro8x
Member
|
0 |
|
|
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
|
|
|
|
[Analyzing] RCE đám virus của Sinh Tử Lệnh. |
09/04/2012 12:57:25 (+0700) | #128 | 261069 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
TQN wrote:
Tiếp tục nào anh em, ta sẽ đi tiếp với wbmain.dll.
File này nguyên bản được pack = PE Compact. Em đã manual unpack nó ra, dể dàng, do tụi STL này không biết cách dùng các plugin của PE Compact. File đã unpack là file em đã up lên mediafire. Em chỉ nhớ hồi mấy tháng trước em cách ly nó từ thư mục <Windows\Sytem32\Wbem".
Bà con vào thử thư mục này, thấy có file wbmain.dll này không. Tụi này nhét malware của nó tuốt trong đó.
Còn cơ chế load của nó thì em sorry, lúc em cách ly, em quên ghi lại nó được load như thế nào. Bà con thông cảm cho em nhé.
Thằng wbmain.dll này là một trong những thằng chính, làm nhiệm vụ download các đống malware khác về.
À, tư dưng em nghĩ: không lý VN ta có những thằng giấu mặt viết malware khá vậy à. Ai là sư phụ của STL vậy, mấy đại ca ? Cho em đi theo học sư phụ đó với, bỏ nghề buôn bán VLXD luôn (tụi mày nói trật lất về cái nghề chính của tao rồi);
File này lại do thằng khác trong đám STL viết, thằng này lại viết theo kiểu thuần C++ hơn thằng viết hardkbd.dll. Nó không chơi khai báo local buffer bự tổ chảng mà lại dùng operator new để alloc memory.
Thằng viết hardkbd.dll thì dùng đồ mới, VS 2010, Linker version = 10.0, build vào ngày 03/05/2010, 08:43.
Còn thằng viết wbmain.dll thì dùng VS 2008, linker verison = 9.0, build vào ngày 06/08/2010, 04:03.
MS Rich data hiển thị thông tin về compiler, linker, lib version của VS mà 2 thằng coder của STL dùng như sau:
Đây là MS Rich data của hardkbd.dll:
Đây là MS Rich data của wbmain.dll:
Thằng code hardkbd.dll lại hớ hênh, build với debug info, không xoá debug info nên thư mục source code của nó còn nằm chình ình trong file dll:
Bà con gấu gồ với key: CyberGame thì sẽ tìm ra điều thú vị. Không lẽ có dính đến học viên của Aptech à ????
Qua debug info của hardkbd.dll, ta có thể kết luận, thằng coder STL này create project với name là ieframe.dll, sau đó nó mới đổi tên ieframe.dll thành hardkdb.dll và ieframe.ocx. Vậy chắc có lẽ ieframe.ocx không cần nữa, nhưng nếu ai đó up cho tui thì tốt.
Trong wbmain.dll, STL coder này dùng một số hàm API WinHttp rất ít dùng, ít phổ biến (thậm chí em khi còn là coder cũng không biết tới, chỉ biết WinInet API, sau này search tới search lui mới biết). Các hàm WinHttp này nằm trong Winhttp.dll, khi build include Winhttp.h và link với Winhttp.lib:
Và HTTP header của nó:
Google với key WinHttpOpen, chỉ những trang tiếng Việt, nó cho ta topic (theo tui là chính xác nhất, cả Gecko gì đó luôn): http://forums.congdongcviet.com/showthread.php?p=202006#post202006
Không biết lequochoang2 này là ai, và sorry Kevin Hoàng nhé, em có dính dáng gì không ?
À mà quên, cái Gecko string này chỉ là 1 trong 1 đống Gecko string của tụi nó, từ từ em post sau.
Thằng coder wbmain.dll này dùng tá lã hết, copy code hả em, khi thì dùng socket API, khi thì dùng WinHttp API. Em chả hiểu nổi nữa.
Bà con đừng giận em câu giờ, câu bài nhé, thích thì em mới làm thôi. Cái của nợ dll, exe này em có từ năm ngoái lân, nhưng chưa bao giờ RCE xong xuôi, ra đầu ra đũa cả. Bây giờ mới móc ra mà làm, post lên !
Sao có mình em độc diễn vầy nè, buồn quá ! Bà con reversers khác vào tham gia cho vui chứ !
Lạ thật, một ảnh anh TQN gửi ở trên đã bị xóa rồi:
http://img830.imageshack.us/img830/7923/hardkbddbginfo.gif
Chắc ban quản trị forum phải tiếp tục backup các ảnh anh TQN đã gửi lên rồi.
Theo mình biết thì hiện tại vẫn có nơi ở Việt Nam đang tiếp tục tuyển các lập trình viên đang hoặc đã từng viết malware, trojan, virus,...
Nhu cầu này bức thiết đến nỗi cho phép làm việc từ xa nữa .
Bài sau cũ rồi, tình cờ đọc được:
Tác giả virus VLove là sinh viên FPT Aptech
http://fpt.aptech.edu.vn/chitiet.php?id=616 |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
|