banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Một dạng fish khá mới  XML
  [Discussion]   Một dạng fish khá mới 15/04/2012 19:56:34 (+0700) | #31 | 261444
miyumi2
Member

[Minus]    0    [Plus]
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
[Profile] [PM]
Tình cờ em gu-gồ được mấy link chứa cùng 1 con trojan, download về xem thử thấy cùng 1 nguồn từ "Russia mercenaries" với info.exe:
bannersintpro.org/files/97d19
ligaworldtraders.org/files/97d19
perskitest.org/files/97d19
tartcompanyltd.com/files/97d19
 

http://www.mediafire.com/download.php?sf59eb1m6txlbb8
Pass: 123


 


Kết hợp với kết quả RCE của anh TQN thì có thể thấy sự việc như thế này: "ai đó" đã thuê "Russia mercenaries" phát tán trojan (exe hoặc dll), khi nhận được file này thì hacker Nga sẽ nhúng trojan này vào exe engine của họ, engine này có chức năng che dấu trojan của của người thuê (bằng cách hook 1 số hàm API đặc biệt như đã capture ở trên: NtQueryDirectoryFile, NtVdmControl, NtResumeThread,...), sau đó thì họ dùng BlackHole Exploit Kit hoặc các bộ Kit khác để phát tán "sản phẩm cuối cùng" qua mail phishing web, facebook...
[Up] [Print Copy]
  [Discussion]   Một dạng fish khá mới 15/04/2012 20:09:52 (+0700) | #32 | 261445
miyumi2
Member

[Minus]    0    [Plus]
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
[Profile] [PM]
SpyEye steals your data. Even in a limited account
http://www.prevx.com/blog/149/SpyEye-steals-your-data-Even-in-a-limited-account.html
It is a new toolkit called SpyEye.
After this it injects its code inside all the processes it could get access. In every infected process it hooks the following Windows APIs:

CryptEncrypt,LdrLoadDll,NtEnumerateValueKey,NtQueryDirectoryFile,NtResumeThread,NtVdmControl

This allows the trojan to hide its folder and its registry key from the user's eyes and antivirus software, implementing user mode rootkit techniques.

Inside browser processes, the trojan hooks even the following APIs:

TranslateMessage,send,HttpSendRequestA,HttpSendRequestW,InternetCloseHandle

By doing so, it's able to steal all sensitive data going out through the browser session, even SSL encrypted web pages. Using this technique it is even able to conceptually bypass classic anti-keyloggers that encrypt keystrokes.  


Win32/Spy.SpyEye.B
http://www.eset.eu/encyclopaedia/win32-spy-spyeye-b-trojan-pincav-shd-backdoor
[Up] [Print Copy]
  [Discussion]   Một dạng fish khá mới 15/04/2012 23:36:13 (+0700) | #33 | 261456
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đợt vừa rồi, file 1st.rar của BKAV có file xin.exe. Lúc đó tui thấy cũng là lạ, tại sao lại là Delphi, dùng KOL library. KOL library gần như VN, TQ không bao giờ xài, chỉ toàn là 99% là tụi Nga xài. Mục đích KOL để tạo file .exe build = Delphi nhỏ, nhanh. Lúc đó em RCE lại nữa chừng rồi thôi.
Không lý hồi xưa anh PXMMRF có nói là stl có dính dáng tới hacker mafia Nga à ? Và có dấu hiệu stl cấu kết với thế giới ngầm, giang hồ mạng của Nga à. Vụ này thì mệt đây, tui Nga code trâu bò lắm. Tui cũng phải kêu là sư phụ luôn.
[Up] [Print Copy]
  [Discussion]   Một dạng fish khá mới 16/04/2012 09:11:35 (+0700) | #34 | 261470
[Avatar]
minhhath
Member

[Minus]    0    [Plus]
Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline
[Profile] [PM]
Đọc bài về kỹ thuật cứ như truyện kiếm hiệp thích thật em thích hvaonline nhất mấy bài kỹ thuật như thế này, vì tất cả các 4rum khác không mấy ai đưa bài viết như thế này đâu smilie
[Up] [Print Copy]
  [Discussion]   Một dạng fish khá mới 02/06/2012 22:55:06 (+0700) | #35 | 264472
anhtuanhb
Member

[Minus]    0    [Plus]
Joined: 01/06/2012 05:28:34
Messages: 3
Offline
[Profile] [PM] [Email] [Yahoo!]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
2 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|