[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
07/07/2011 13:46:10 (+0700) | #1 | 242971 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Hi anh em !
Tình hình là em xin lỗi đã dừng topic RCE đám "méo què" của STL bên kia hơi lâu. Anh em thông cảm, dạo này em lu bu nhiều việc quá, công trình đã nghiệm thu, còn làm lặt vặt, phải lo đi nhậu nhẹt, tìm công trình mới, rồi còn phải nuôi một mớ "rau cỏ" nữa. Vì vậy thời gian ngồi máy của em hơi bị ít đi. Gần đây sếp công ty mẹ vào dí em nữa.
Trưa nay em trốn ở nhà, ngồi post bài này. Post ngắn thôi, từ từ em post tiếp.
Số là gần đây có một bạn có gởi cho em một cục "méo què" nữa, theo bạn ấy là "mèo què" của tụi STL. Đám "meo què" này giã danh là các file .jpeg scan nói gì đó về cha Nguyễn Văn Lý gì đó, mà em có biết cha Lý này là gì đâu, vì em theo Phật Giáo và Ma giáo mà, nên em không care nó chữi rủa gì trong đó. Đám "meo què" này đang phát tán trong cộng động công giáo VN và Hải Ngoại. Bạn ấy nói nghi ngờ là của tụi STL. Em không dám chắc lắm.
File bạn ấy gởi cho em ở đây: http://www.mediafire.com/?ba021pr86xn113i
Password = !123456
Các bạn để ý là trong đấy có 3 file có đuôi là .scr, tức Screen "Say vờ" của Windows. 3 file .scr này là 3 file .exe, viết = VB.NET trên nền .NET Framework 2.0.
Các file .scr này được protect và obfucscated bằng SmartAssembly và dotNET Reactor. Nhưng không sao, vào tay em là "chuyện nhỏ như con thỏ". Sau khi em unpack và deobfuscator ra, em mới bắt đầu RCE nó.
Quá trình RCE .NET virus này hơi dài, nên từ từ em post sau. Sau mấy ngày RCE, sáng sớm một chút, tối về. sau khi "xỉn xỉn", RCE một chút, em đã tìm được author của đám virus này.
Kỷ thuật mà đám "méo què" này dùng để dùng keylog, ăn cắp hầu hết thông tin về máy nạn nhân, ăn cắp username và password của nạn nhân trong FireFox, IE, Google Chrome, YM, Skype... y như đám "méo què" bên kia, không khác một chút. Vd: cũng dùng SQLLite, các DLL của FireFox và các API đó, cũng lấy ProductID, WinVer của máy nạn nhân.... Chỉ khác bên kia là native code (RCE mệt bỏ xxx), bên này là .NET code, RCE "khoẻ ru bà rù".
Vì vậy, em có thể dám chắc 90% là đám "méo què" này là của tụi Sống Chết theo Lệnh (STL). Em nói đúng không mấy anh STL. Nếu em có nói đúng thì đừng buồn em nhé, còn không phải của mấy anh thì "sa pha" nó ha !
|
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
07/07/2011 14:11:34 (+0700) | #2 | 242974 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Tiếp tục nào, vì quá trình RCE đám "méo què" này hơi dài dòng, nên em sẽ bỏ qua khúc thân bài. Thân bài em post sau, em nhảy thẳng vào phần kết luận nhé, được không mấy bạn.
Sau khi RCE xong, em đã xác định được thông tin của author của đám .NET "mèo què" này. Author của nó là cậu
socidemo@yahoo.com.au
À, sẽ có bạn hỏi lại, làm sao thằng cu anh này dám chắc author của đám meo què đó là của tohoangvu.
Dạ có ngay, em sẵn sàng phục vụ. Trong quá trình RCE, em phát hiện là đám "meo què" này gửi toàn bộ thông tin của victim về Google mail. Đây là một vài thông tin cấu hình về Gmail, FTP username, pwd của nó:
File Scan_000.scr:
cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64=
oNIx2zknAa67WFSorZQv/Q==
slIbnSGRCPPsJeFM/jPcYQ==
90/u7E7RZcQ=
File Scan_005_Letter.scr
cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64=
oNIx2zknAa67WFSorZQv/Q==
slIbnSGRCPPsJeFM/jPcYQ==
90/u7E7RZcQ=
File Scan_Page.scr
cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64=
oNIx2zknAa67WFSorZQv/Q==
smtp.gmail.com
587
False
1TtkPA9wSPz7EXzOGfb+0A==
Az93AnVF5+c=
Az93AnVF5+c=
Các thông tin này được mã hoá = TripleDES và Base64. Em đã dùng chính code giãi mã của nó để decode các string trên ra:
Code:
using System;
using System.Collections.Generic;
using System.Text;
using System.IO;
using System.Security.Cryptography;
namespace Decode
{
public class cTripleDES
{
private byte[] m_key;
private byte[] m_iv;
private TripleDESCryptoServiceProvider m_des = new TripleDESCryptoServiceProvider();
private UTF8Encoding m_utf8 = new UTF8Encoding();
public cTripleDES(byte[] key, byte[] iv)
{
this.m_key = key;
this.m_iv = iv;
}
public string Decrypt(string text)
{
string str = null;
byte[] buffer = null;
byte[] bytes = null;
try
{
buffer = Convert.FromBase64String(text);
bytes = this.Transform(buffer, this.m_des.CreateDecryptor(this.m_key, this.m_iv));
str = this.m_utf8.GetString(bytes);
}
catch (Exception ex)
{
Console.WriteLine(ex.Message);
}
return str;
}
public byte[] Transform(byte[] input, ICryptoTransform cryptoTransform)
{
CryptoStream stream = null;
MemoryStream stream2 = null;
byte[] buffer = null;
stream2 = new MemoryStream();
stream = new CryptoStream(stream2, cryptoTransform, CryptoStreamMode.Write);
stream.Write(input, 0, input.Length);
stream.FlushFinalBlock();
stream2.Position = 0L;
buffer = new byte[((int)(stream2.Length - 1L)) + 1];
stream2.Read(buffer, 0, buffer.Length);
stream2.Close();
stream.Close();
return buffer;
}
}
class Program
{
static void Main(string[] args)
{
byte[] key = new byte[] { 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 0x10,
0x11, 0x12, 0x13, 20, 0x15, 0x16, 0x17, 0x18 };
byte[] iv = new byte[] { 0xff, 70, 60, 50, 40, 30, 20, 10 };
cTripleDES tripleDES = new cTripleDES(key, iv);
string str = tripleDES.Decrypt(args[0]);
Console.WriteLine("String decoded: " + str);
Console.ReadLine();
}
}
}
Sorry anh em STL và các anh em khác nhé, em vốn ghét và dốt C#, nên em cứ phang đại console app, code tệ một chút nhé. Mà mấy anh STL có thấy cái class cTripleDES đó có phải của mấy anh không ? Đừng chối nhé !
Cả 3 file .scr của đám "meo què" này đều dùng chung thuật toán và m_key, m_iv trên. Rút kinh nghiệm nhé mấy anh STL, đừng dùng chung như vậy. Em chỉ cần code 1 decode là ra cả đống à.
Và dưới đây là kết quả decode của cái ct decode của em với đống data trên:
Hì hì, có username và password của Gmail rồi, em login vào liền, kiểm tra IP của tuonglaivietnam2005 ở đâu:
Vậy ra cậu này cũng ở VN à, IP Viettel và VNPT. Cậu ta vừa mới login để xem thông tin victim xong.
Em đổi ngay password liền, thay đổi câu hỏi bí mật và một số thông tin khác ngay.
Vậy là tiêu em tuonglaivietnam2005, các con virus của cậu thành "mèo què" rồi, cứ ngồi ở máy victim mà cố gởi data nhé. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
07/07/2011 14:31:41 (+0700) | #3 | 242975 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Sau khi login vào mail Google của tuonglaivietnam2015, em capture một loạt thông tin của cậu này:
Blog gắn với hộp mail này: http://chibasam.blogspot.com.
Cũng lạ, blog này chống đối chế độ mà, không lý ngay cả cậu tohoangvu này đang chơi trò 2 mặt, nằm vùng à, hay cậu cũng là victim của STL, bị STL chiếm hộp mail của cậu.
Thành thật xin lỗi cậu tohoangvu gì đó, nếu cậu là thành viên của STL thì tui phải làm vậy thôi. Tui vốn rất ghét cái trò gian trá, xảo quyệt, ăn cắp, hù doạ thiên hạ của mấy cậu. Lúc trước mấy cậu xúc phạm tui, ăn cắp pass của tui, thì bây giờ tui dùng chính trò của mấy cậu, "gậy ông đập lưng ông", vạch mặt mấy cậu.
Đám "meo què" của mấy cậu lợi hại thiệt đó, em vào gmail của cậu đọc mà hết cả hồn, chát chít, tán gái, xem hình, phim xxx, nói xấu chế độ... gì đó trên máy victim đều bị các cậu log, capture image hết. Kinh thiệt. Hèn gì các cậu quậy "banh ta lông" mục tiêu của các cậu được.
Nhưng mà sẵn đây cũng cảm ơn mấy đại ca STL, nhờ đó em có thêm vài nick chat đặc biệt khác để em giải mệt nhé.
Bà con nào muốn vào xem cái Gmail ấy thì PM riêng cho em để em cho password. Cấm đổi nhé. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
07/07/2011 14:33:15 (+0700) | #4 | 242976 |
|
vikjava
Elite Member
|
0 |
|
|
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
|
|
Hi anh TQN,
Có cách nào đưa chú này vào "ăn cơm nhà nước" không anh? Mà anh "show" hết vậy không sợ "bức dây động rừng" ah. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
07/07/2011 14:45:33 (+0700) | #5 | 242978 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Hì hì, bức cái gì nữa mà bức, rành rành ra đó rồi. Hy vọng cậu tohoangvu này chỉ là victim của STL và bị STL lợi dụng.
Qua cái IP login đó, các cậu nghĩ đám STL này ở đâu vậy ?
Bữa nào rãnh rỗi, mời mấy anh em STL đi nhậu với em để tâm tình nhé. Chứ tình hình này là em còn tiếp tục RCE, vạch mặt mấy anh dài dài rồi. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
07/07/2011 15:03:06 (+0700) | #6 | 242979 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Và dưới đây là minh hoạ cho tình trạng của victim khi bị đám "mèo què" này capture được khi đang chát với em út:
Só ri cậu newhop88 nhé, em chỉ minh hoạ thôi. Anh xem lại mấy của anh nhé. Cài KAV hay NAV vào nhé. Đám mèo què này bị KAV trên máy em chụp cổ rồi.
Trong thời buổi loạn lạc, tây tàu lẫn lộn, Thạch Sanh, Lục Vân Tiên thì ít, Lý Thông, Bùi Kiệm thì nhiều này, em mong bà con cẩn thận với đám virus của tụi STL hay của bấy kỳ nhóm nào nữa.
Không khéo tụi nó xách mã tấu đi xã Thạch Sanh, Lục Vân Tiên như anh hiệp sĩ gì đó nữa thì khốn.
Em thì biết thêm trang mới: vinude.com. Hì hì, khuya đợi gấu ngủ rồi vào đây rữa mắt. Đi công trình mắt bụi bặm quá. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
07/07/2011 15:18:24 (+0700) | #7 | 242983 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Vì các scan_xxx.scr đều na ná như nhau, code dùng chung các lib, nên em chỉ up lên file đã unpack và deobfuscated của Scan_000.scr cùng source C# của nó mà Reflector sinh ra, cộng các file text chứa encode data mà các file .scr này dùng. Bà con cứ từ từ ngâm cứu nhé.
http://www.mediafire.com/?2gcut66x3knouuc
Sẵn đây em có câu hỏi cho các anh em Reverser chính đạo nè, vào giải rồi post lên luôn để giúp các bà con khác: Các file .txt, .ovr đó là gì ? Làm sao em có, có phải là nguyên bản khi extract ra không, hay phải extract ra dựa trên key gì ?
Mấy anh STL đừng buồn nhé, mấy con "meo què" của mấy anh em chỉ để trong thư mục %Temp% tức C:\Temp của máy em thôi. Chưa đủ để em mang qua các project RCE lớn ở E, F của máy em. Vd như RCE Windows XP SP3 kernel và user mode chẵng hạn. Em buồn buồn thì clean một phát, xong C:\Temp |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
07/07/2011 15:31:06 (+0700) | #8 | 242984 |
|
piloveyou
Member
|
0 |
|
|
Joined: 13/04/2010 21:23:15
Messages: 231
Location: EveryWhere
Offline
|
|
Khi nào bác post tiếp phần còn lại bác? |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
07/07/2011 15:34:19 (+0700) | #9 | 242986 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
07/07/2011 15:46:29 (+0700) | #10 | 242992 |
|
piloveyou
Member
|
0 |
|
|
Joined: 13/04/2010 21:23:15
Messages: 231
Location: EveryWhere
Offline
|
|
Bên kia RCE bác dừng lại không viết tiếp nữa à tiết quá. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
07/07/2011 15:50:51 (+0700) | #11 | 242993 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Sẽ viết tiếp chứ em, cho anh thời gian, từ từ chứ em. Bên đó còn thằng core dao360.dll.mui mà. Tụi STL đặt tên là Đao 360 đấy, kinh không ? Còn đám Vecebot của tụi nó nữa mà. Bát ngát, đọc không hết đâu.
Nhưng mà em buồn là RCE đám "meo que" này làm mất thời gian của em quá, bỏ thì không được, vương thì mệt, chả mang lại đồng cắc bạc nào hết. Đang RCE, "rau" nó réo cũng phải lựa lời từ chối: anh đang bận, anh có công việc đột xuất
À mà quên chứ, Scan_Page.scr còn bày đặt dùng FTP để up nữa chứ. Vài thông tin về FTP server ftp.drivehq.com
của nó đây:
Code:
Domain name: drivehq.com
Registrant Contact:
John Zhang
Drive Headquarters, Inc.
830 Stewart Dr.
Sunnyvale
CA, 94085 US
+1.4085385311
<a href="mailto:contact@drivehq.com">contact@drivehq.com</a>
Administrative Contact:
John Zhang
Drive Headquarters, Inc.
830 Stewart Dr.
Sunnyvale
CA, 94085 US
+1.4085385311
<a href="mailto:contact@drivehq.com">contact@drivehq.com</a>
Technical Contact:
John Zhang
Drive Headquarters, Inc.
830 Stewart Dr.
Sunnyvale
CA, 94085 US
+1.4085385311
<a href="mailto:contact@drivehq.com">contact@drivehq.com</a>
Update date: 2011-03-17
Expiration date: 2016-03-09
Code:
#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=66.220.9.57?showDetails=true&showARIN=true
#
# start
NetRange: 66.0.0.0 - 66.255.255.255
CIDR: 66.0.0.0/8
OriginAS:
NetName: NET66
NetHandle: NET-66-0-0-0-0
Parent:
NetType: Allocated to ARIN
RegDate: 2000-07-01
Updated: 2010-06-30
Ref: http://whois.arin.net/rest/net/NET-66-0-0-0-0
OrgName: American Registry for Internet Numbers
OrgId: ARIN
Address: 3635 Concorde Parkway
Address: Suite 200
City: Chantilly
StateProv: VA
PostalCode: 20151
Country: US
RegDate: 1997-12-22
Updated: 2011-03-19
Comment: For abuse issues please see URL:
Comment: http://www.arin.net/abuse.html
Comment: The Registration Services Help Desk is open
Comment: from 7 a.m. to 7 p.m., U.S. Eastern time to assist you.
Comment: Phone Number: (703) 227-0660; Fax Number: (703) 227-0676.
Ref: http://whois.arin.net/rest/org/ARIN
OrgTechHandle: ARIN-HOSTMASTER
OrgTechName: Registration Services Department
OrgTechPhone: +1-703-227-0660
OrgTechEmail: <a href="mailto:hostmaster@arin.net">hostmaster@arin.net</a>
OrgTechRef: http://whois.arin.net/rest/poc/ARIN-HOSTMASTER
OrgNOCHandle: ARINN-ARIN
OrgNOCName: ARIN NOC
OrgNOCPhone: +1-703-227-9840
OrgNOCEmail: <a href="mailto:noc@arin.net">noc@arin.net</a>
OrgNOCRef: http://whois.arin.net/rest/poc/ARINN-ARIN
# end
# start
NetRange: 66.220.0.0 - 66.220.31.255
CIDR: 66.220.0.0/19
OriginAS: AS6939
NetName: HURRICANE-3
NetHandle: NET-66-220-0-0-1
Parent: NET-66-0-0-0-0
NetType: Direct Allocation
Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate: 2002-01-17
Updated: 2008-10-10
Ref: http://whois.arin.net/rest/net/NET-66-220-0-0-1
OrgName: Hurricane Electric, Inc.
OrgId: HURC
Address: 760 Mission Court
City: Fremont
StateProv: CA
PostalCode: 94539
Country: US
RegDate:
Updated: 2011-04-13
Ref: http://whois.arin.net/rest/org/HURC
ReferralServer: rwhois://rwhois.he.net:4321
OrgAbuseHandle: ABUSE1036-ARIN
OrgAbuseName: Abuse Department
OrgAbusePhone: +1-510-580-4100
OrgAbuseEmail: <a href="mailto:abuse@he.net">abuse@he.net</a>
OrgAbuseRef: http://whois.arin.net/rest/poc/ABUSE1036-ARIN
OrgTechHandle: ZH17-ARIN
OrgTechName: Hurricane Electric
OrgTechPhone: +1-510-580-4100
OrgTechEmail: <a href="mailto:hostmaster@he.net">hostmaster@he.net</a>
OrgTechRef: http://whois.arin.net/rest/poc/ZH17-ARIN
RTechHandle: ZH17-ARIN
RTechName: Hurricane Electric
RTechPhone: +1-510-580-4100
RTechEmail: <a href="mailto:hostmaster@he.net">hostmaster@he.net</a>
RTechRef: http://whois.arin.net/rest/poc/ZH17-ARIN
RAbuseHandle: ABUSE1036-ARIN
RAbuseName: Abuse Department
RAbusePhone: +1-510-580-4100
RAbuseEmail: <a href="mailto:abuse@he.net">abuse@he.net</a>
RAbuseRef: http://whois.arin.net/rest/poc/ABUSE1036-ARIN
RNOCHandle: ZH17-ARIN
RNOCName: Hurricane Electric
RNOCPhone: +1-510-580-4100
RNOCEmail: <a href="mailto:hostmaster@he.net">hostmaster@he.net</a>
RNOCRef: http://whois.arin.net/rest/poc/ZH17-ARIN
# end
# start
NetRange: 66.220.9.32 - 66.220.9.63
CIDR: 66.220.9.32/27
OriginAS:
NetName: HURRICANE-CE1103-5554
NetHandle: NET-66-220-9-32-1
Parent: NET-66-220-0-0-1
NetType: Reassigned
RegDate: 2008-03-25
Updated: 2008-03-25
Ref: http://whois.arin.net/rest/net/NET-66-220-9-32-1
OrgName: LaFrance Internet Services, Inc.
OrgId: LIS-76
Address: 11230 Gold Express Dr #310-313
City: Gold River
StateProv: CA
PostalCode: 96570
Country: US
RegDate: 2008-03-25
Updated: 2010-06-03
Ref: http://whois.arin.net/rest/org/LIS-76
OrgTechHandle: NETWO2704-ARIN
OrgTechName: Network Operations
OrgTechPhone: +1-916-265-1568
OrgTechEmail: <a href="mailto:admin@liscolo.com">admin@liscolo.com</a>
OrgTechRef: http://whois.arin.net/rest/poc/NETWO2704-ARIN
OrgAbuseHandle: NETWO2704-ARIN
OrgAbuseName: Network Operations
OrgAbusePhone: +1-916-265-1568
OrgAbuseEmail: <a href="mailto:admin@liscolo.com">admin@liscolo.com</a>
OrgAbuseRef: http://whois.arin.net/rest/poc/NETWO2704-ARIN
# end
#
# ARIN WHOIS data and services are subject to the Terms of Use
# av
Nhưng buồn một cái là code FTP này còn bị lỗi, nên nó không hoạt động được. Em đố bà con nó bị lỗi gì ??? |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
07/07/2011 19:13:17 (+0700) | #12 | 243006 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Với các thông tin này, cậu tohoangvu nếu bị FBI chụp thì đừng trách em nhé. Cậu đang tấn công vào chính tài sản IT của US đấy. Nếu FBI nhận được thông tin của em, qua VN ta, yêu cầu tìm ra mấy thằng nhóc STL như cậu thì cậu chỉ có con đường chết nhé. Chính phủ VN ta bảo kê được cho cậu không, hay sắn sàng thí mấy con tốt nhép như cậu ? Hảy sáng mắt ra, đừng cuồng tín chế độ quá như vậy.
À mà quên, bất cứ con mèo què nào mà em chụp được, có xài Gmail thì password nguyên thuỷ của em sau khi login vào đó và đổi pass là: thăng cha mày xxx... Cố đoán cái xxx là gì nhé.
Anh em STL có tức không, có tức thì em xin lỗi nhé.
Sẵn tiện em share luôn password của hộp mail tuonglaivietnam2015@gmail.com luôn: thangchamaystl
Bà con nào vô xem được thì vô, cấm táy máy, lấy mấy thông tin nhạy cảm trong đó đi làm chuyện bậy bạ nhé.
Chủ nhân hộp mail này có tạo thêm một Wordpress Blog khác: anhbalang.wordpress.com, chỉ có 2 bài.
Danh sách các contact của chủ nhân hộp mail này em đã export ra và lưu lại.
Các IP vừa login vào hộp mail này:
Code:
Thụy Sĩ (46.19.138.242)
Việt Nam (123.21.140.237) 08:10 (9 phút trước)
Đức (68.169.35.41) 05:22 (2,5 giờ trước)
Việt Nam (222.252.130.102) 22:59 (9 giờ trước) .
192.251.226.206 07 / 7 (14 giờ trước)
Hoa Kỳ (74.120.12.135) 07 / 7 (14 giờ trước)
Tới bây giờ, em đoán là chủ nhân của hộp mail này là chị Hương Giang, là chủ nhân của cả 2 blog anhbalang và chibasam. Nhưng hôp mail này đã bị thành viên STL ToHoangVu, số đt: 093206026x chiếm đoạt rồi dùng nó làm nơi nhận data, info của victims gởi về. Có lẽ chị bị mất hồi tháng 10-2010, thời điểm STL đang hoành hoành. Nếu chị Huong Giang cần lấy lại hộp mail và các blog của chị, chị liên hệ = PM riêng cho em.
À mà quên chứ, sẵn tiện em hỏi luôn, topic về RCE x84 của em lập ai xoá mất tiêu rồi vậy. Em tính post thêm vài "meo què" của STL build ở mode x64 nhằm và Vista và Win7 64bit mà ? |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
08/07/2011 08:17:50 (+0700) | #13 | 243039 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Dòng virus này theo anh conmale là keylog / trojan Emissary. Và chắc là nó, vì file .exe của nó nguyên bản lúc đầu là EmiStub.exe
Vài thông tin của Scan_000.scr:
Toàn bộ thông tin và cách thức hoạt động của con này được mã hoá và giấu trong RT_RCDATA, key để phân tách các string là kjshsjfhskdjfxz. TripleDES để encode rồi Base64 encode lần nữa.
Các con này được coder của STL build với Visual Studio 2005, ngày build trên hình.
À mà quên chứ, em đùa với anh em đấy, có pwd của hộp mail Google đó, các bác cũng không login vào được đâu, lại còn để IP lại đấy. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
08/07/2011 09:30:52 (+0700) | #14 | 243047 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
TQN wrote:
À mà quên chứ, sẵn tiện em hỏi luôn, topic về RCE x84 của em lập ai xoá mất tiêu rồi vậy. Em tính post thêm vài "meo què" của STL build ở mode x64 nhằm và Vista và Win7 64bit mà ?
Ủa? Chủ đề đó em post trong mục nào vậy? Anh không nghĩ có ai xoá đâu em.
Em tạo chủ đề đó ngày nào? Cho anh biết để anh lục lại coi?
PS: đám STL này có lẽ nghĩ rằng họ "invisible" . |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
08/07/2011 10:21:11 (+0700) | #15 | 243054 |
|
secmask
Elite Member
|
0 |
|
|
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
|
|
conmale wrote:
TQN wrote:
À mà quên chứ, sẵn tiện em hỏi luôn, topic về RCE x84 của em lập ai xoá mất tiêu rồi vậy. Em tính post thêm vài "meo què" của STL build ở mode x64 nhằm và Vista và Win7 64bit mà ?
Ủa? Chủ đề đó em post trong mục nào vậy? Anh không nghĩ có ai xoá đâu em.
Em tạo chủ đề đó ngày nào? Cho anh biết để anh lục lại coi?
PS: đám STL này có lẽ nghĩ rằng họ "invisible" .
chủ đề đó tên là Introduction x64 reverse engineering gì đó, link hình như thế này https://www.hvaonline.net/hvaonline/posts/list/39189.html nhưng mà giờ không vào được nữa anh. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
08/07/2011 10:32:16 (+0700) | #16 | 243055 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
secmask wrote:
conmale wrote:
TQN wrote:
À mà quên chứ, sẵn tiện em hỏi luôn, topic về RCE x84 của em lập ai xoá mất tiêu rồi vậy. Em tính post thêm vài "meo què" của STL build ở mode x64 nhằm và Vista và Win7 64bit mà ?
Ủa? Chủ đề đó em post trong mục nào vậy? Anh không nghĩ có ai xoá đâu em.
Em tạo chủ đề đó ngày nào? Cho anh biết để anh lục lại coi?
PS: đám STL này có lẽ nghĩ rằng họ "invisible" .
chủ đề đó tên là Introduction x64 reverse engineering gì đó, link hình như thế này https://www.hvaonline.net/hvaonline/posts/list/39189.html nhưng mà giờ không vào được nữa anh.
Lạ thiệt. Tìm không ra. Em có nhớ chủ đề này được tạo ra khoảng thời gian nào không? |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
08/07/2011 10:53:13 (+0700) | #17 | 243059 |
|
secmask
Elite Member
|
0 |
|
|
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
|
|
conmale wrote:
Lạ thiệt. Tìm không ra. Em có nhớ chủ đề này được tạo ra khoảng thời gian nào không?
Vào khoảng ngày 15-06 gì đó anh, em có download file của anh TQN share trong chủ đề đó, thấy file last modify vào 15 tháng 6. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
08/07/2011 11:44:59 (+0700) | #18 | 243065 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
secmask wrote:
conmale wrote:
Lạ thiệt. Tìm không ra. Em có nhớ chủ đề này được tạo ra khoảng thời gian nào không?
Vào khoảng ngày 15-06 gì đó anh, em có download file của anh TQN share trong chủ đề đó, thấy file last modify vào 15 tháng 6.
Cám ơn em. Để anh restore nó. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
08/07/2011 12:24:56 (+0700) | #19 | 243070 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Từ sáng tới giờ, thành viên này của STL liên tục login vào hộp mail tuonglaivietnam2015:
IP này của VNPT.
Sẵn đây em đề nghị các mod của HVA nên scan lại máy mình, download VietKey, UniKey sạch về dùng. Coi chừng mất pass rồi để tụi nó mạo danh anh em vào HVA quậy lên. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
08/07/2011 15:12:41 (+0700) | #20 | 243079 |
cr4zyb0y
Member
|
0 |
|
|
Joined: 27/05/2010 11:50:30
Messages: 51
Offline
|
|
lão tohoangvu này gần nhà mình ở QN, để khi nào về offline sinh tử lệnh tám chơi.
xx |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
08/07/2011 19:20:08 (+0700) | #21 | 243091 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Hì hì, người bạn của em lại vừa gởi cho em một mẫu mới nữa của đám STL này. Mạo danh là file .doc. Viết = VC++ 2010. Anh em đợi em vài ngày. Em sẽ post kết quả "rờ c... em" lên.
File này hơi bị mới, build vào ngày 12-05-2011, 10h sáng. Đính kèm trong ruột (resource) của nó một đống "méo què" nữa.
Ai chà chà, dùng crypto Bas64, SHA-256 để mã hoá à, lần này lại nhắm vào IE nữa à. Chơi toàn interface của IE không ha ? Tiêu mấy anh STL nữa rồi.
Ặc ặc, lần này code lên tay quá rồi ha, chơi dùng SSL nữa ha:
Code:
Vftable Method count Class & structure info
------- ------------ ----------------------
00436AEC 0001 CKllPrss; [SI]
004374F8 0008 CSHA256: CHash; [SI]
00437900 0001 TBuffer; [SI]
004380F8 0002 CSSLFtp: CSSLSocket; [SI]
004381A4 0002 CSSLHttp: CSSLSocket; [SI]
0043844C 0002 CSSLMail: CSSLSocket; [SI]
00438DB4 0002 CSSLSocket; [SI]
004394B4 0001 CVcRcdXP; [SI]
Copy code của CSSLSocket trên CodeProject phải không, mấy đại ca STL. Không lý mấy cậu có hẳn 1 team được tài trợ để ngồi code "méo què" à ?
CKillProcess thì chịu khó viết đầy đủ ra, coding standard đâu, đặt tên CKllPrss thì đố thằng nào hiểu. Còn CVcRcdXP là gì nữa đây ?
Bày đặt còn call native API của Ntdll.dll để antidebug nữa à. Mấy cái trò này mấy cậu học trong mấy cái article AntiRE, antiunpacking tricks phải không ?
Lần này khá hơn, xài rootkit nữa ha. Vậy là em phải install lại Win cho máy ảo VB của em để remote debug rồi.
Nhưng công nhận mấy anh code VC++ khá lắm đấy ! Nhưng chưa đủ để em đọc không hiểu đâu, vì em code System từ còn thời Win31 lận, thời mấy anh còn ở truồng tắm mưa mà
Mấy cái hàm này em RCE quen quá rồi, nhìn quen mặt luôn. Code của mấy anh là cái chắc, 100%.
Sẵn đây em nói luôn, đã build code ở mode Unicode thì Unicode 100% nhé, đừng lẫn lộn code, call API, C RTL functions cho ANSI, MBCS, UNICODE lung tung như vậy nhé. Mấy anh tìm document về TCHAR mà đọc đi nhé. Hay bữa nào gặp em, em seminar về TCHAR cho. Code vầy là không được đâu !
Lần này em nói trước nhé, mấy anh lo change pass và bảo vệ cái hộp mail và FTP account mà mấy anh đang dùng trong con này đi. Lần này em phá thẳng tay đấy ! Nói một lời thôi. Gmail có bug nên mấy anh login vào được và xoá hết victim's data à ! Lần này em sẽ không share pass nữa đâu nhé !
Vừa chat với Thoai, nghe câu của Thoại: "Thấy mình anh chinh chiến...", em thấy buồn thiệt, một mình em độc diễn, đơn độc. Anh em BKAV, CMC, các anh em RCE khác đâu hết rồi, vào giúp em với chứ ! |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
08/07/2011 22:04:39 (+0700) | #22 | 243095 |
mv1098
Member
|
0 |
|
|
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
|
|
TQN wrote:
Sẽ viết tiếp chứ em, cho anh thời gian, từ từ chứ em. Bên đó còn thằng core dao360.dll.mui mà. Tụi STL đặt tên là Đao 360 đấy, kinh không ? Còn đám Vecebot của tụi nó nữa mà. Bát ngát, đọc không hết đâu.
Nhưng mà em buồn là RCE đám "meo que" này làm mất thời gian của em quá, bỏ thì không được, vương thì mệt, chả mang lại đồng cắc bạc nào hết. Đang RCE, "rau" nó réo cũng phải lựa lời từ chối: anh đang bận, anh có công việc đột xuất
À mà quên chứ, Scan_Page.scr còn bày đặt dùng FTP để up nữa chứ. Vài thông tin về FTP server ftp.drivehq.com
của nó đây:
Nhưng buồn một cái là code FTP này còn bị lỗi, nên nó không hoạt động được. Em đố bà con nó bị lỗi gì ???
drivehq chỉ là 1 free ftp server thôi mình thấy không liên quan đến tụi STL này. có thể bỏ qua đc |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
08/07/2011 22:24:56 (+0700) | #23 | 243099 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Ừ, cậu nói đúng. Cậu xem file source C# của Scan_000.scr mà tui dã úp lên mediafile sẽ thấy. STL coder dự tính dùng cả 2 cách để gởi thông tin của victim về, = Gmail và bằng FTP. Nhưng cu coder này lại chưa có FTP server riêng nên lấy đại cái drivehq để test. Thấy không ổn, cu này nhảy qua dùng Gmail, nhưng string drivehq lại không xoá và code dùng FTP vẫn còn. Cu cậu ta chỉ set dùng Gmail lên True, FTP xuống false là xong.
Tối nay, em google thấy 1 loạt các blog, trang mạng ở nước ngoài đăng tin về topic này, vd:http://www.rfa.org/vietnamese/in_depth/hackers-work-vn-police-07082011100751.html
RFA khẳng định tohoangvu là thành viên của STL.
Cái này thì em không đồng ý, em xin đính chính là xuyên suốt topic này, em chỉ nghi vấn tohoangvu thôi.
Thế các anh có nghĩ là, nếu tohoangvu cũng là victim của STL thì sao, bị STL ăn cắp hộp mail thì sao. Không không vu oan giá hoạ cho người ta, đăng thông tin, hình ảnh của người ta "chình ình" lên đấy thì mang tội chết, làm sao người ta còn làm ăn, nuôi sống vợ con ???
Trong cái contact list của tuonglaivietnam2015@gmail.com, ngoài 2 cái toquocghicong với tralomituxxx gì đó, các mail address khác trong 20 most contact list đều đa số của những người ở nước ngoài, những người "lề trái".
Đám STL này thường giả danh những người lề trái, trà trộn vào người Viêt hải ngoại và trong nước, gởi mail có đính kèm malware cho nạn nhân, giả dạng cũng là "lề trái", bất đồng, nói xấu chế độ. Các bạn xem hình minh hoạ sẽ thấy.
|
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
08/07/2011 23:09:24 (+0700) | #24 | 243100 |
quangredlight
Member
|
0 |
|
|
Joined: 14/09/2008 18:52:09
Messages: 15
Offline
|
|
Bác up file doc lên đi, có gì em RE cho vui, đang ngồi không cũng buồn ạ
|
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
08/07/2011 23:25:30 (+0700) | #25 | 243102 |
_bob
Member
|
0 |
|
|
Joined: 08/07/2011 12:04:37
Messages: 1
Offline
|
|
Cảm ơn bạn TQN đã "một mình một ngựa" chiến đấu với STL. Mình gửi một đoạn mã Python nhỏ để giải mã mấy chuỗi mà bạn TQN tìm ra gọi là "góp vui":
Code:
>>>import base64
>>>from Crypto.Cipher import DES3 # pycrypto
>>>key = '\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18'
>>>iv = chr(0xff) + chr(70) + chr(60) + chr(50) + chr(40) + chr(30) + chr(20) + chr(10)
>>>mode = 2 # CBC
>>>data = ['cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64=', 'oNIx2zknAa67WFSorZQv/Q==', 'slIbnSGRCPPsJeFM/jPcYQ==']
>>>for i in data:
... print DES3.new(key, mode, iv).decrypt(base64.b64decode(i))
...
tuonglaivietnam2015 @ gmail.com
=-09876yuiop[]
smtp.gmail.com
|
|
Alice, Where Art Thou? |
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
08/07/2011 23:55:43 (+0700) | #26 | 243104 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Cảm ơn bạn _bob đã vào góp vui. Bạn post đoạn code đó sớm sớm thì em khỏi mất công ngồi mày mò với cái Sì Sáp rồi
Đây bà con, con malware mới nhất, còn nóng hổi của STL đây (nhưng mà vào tay em thì thành "mèo què" mất thôi).
http://www.mediafire.com/?v8fqsi8cxs0e4bf
KIS mới nhất của em không phát hiện được. VirusTotal cũng không, chỉ là ngi vấn.
Kết quả của VirusTotal: http://www.virustotal.com/file-scan/report.html?id=a4b0609b0de90f7aac69bfae6da0b349c251bed304988509ac13060076de8ce0-1310128288
Kết quả của CWSandbox: http://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=82354867&cs=A0E388D8FCB58E2A07D8E58182ED6235
Cảnh báo trước các bạn, con này rất nguy hiểm, em chỉ mới nhận được tối nay, chưa phân tích xong. Nên phân tích nó trên máy ảo. Cấm dblclick.
|
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
09/07/2011 00:16:54 (+0700) | #27 | 243105 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Lúc trưa về nhà, chat vơi anh D, vào thử hộp mail tuonglaivietnam2015, thấy hoảng hồn, trống rỗng.
Quái, làm sao mà tụi nó login vào được mà xoá sạch dấu vết cả (IP của thằng đó em đã up lên). Mình share password cho vui, nhưng dùng cơ chế login SMS mà, phải có đt của mình chứ.
Nói chuyện với anh D, cứ nghĩ là bug của Google, tức tụi nó login vào Gmail bằng một account #, củng dùng SMS luôn, logout ra, login liền vào tuonglaivietnam2015.
Nhưng tối giờ kiểm tra lại, thì không phải. Sorry bà con, em sơ ý và dốt quá. Cái nick Huong Giang với account tuonglaivietnam2010 đấy, lúc trước thằng STL này share account. Em vô tình không xoá nó đi. Thằng STL login bằng account này, vào xoá sạch hết rồi. Nhưng nó không xoá được contact list, change lại password, xoá lịch sử dò tìm trên Google của nó.
Vậy lần này chắc chắn tuonglaivietnam2010 đích thị là STL rồi, IP ở trên: 123.21.140.237.
Google về mail account này thì không thấy có gì cả. |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
09/07/2011 06:49:56 (+0700) | #28 | 243107 |
mv1098
Member
|
0 |
|
|
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
|
|
TQN wrote:
Lúc trưa về nhà, chat vơi anh D, vào thử hộp mail tuonglaivietnam2015, thấy hoảng hồn, trống rỗng.
Quái, làm sao mà tụi nó login vào được mà xoá sạch dấu vết cả (IP của thằng đó em đã up lên). Mình share password cho vui, nhưng dùng cơ chế login SMS mà, phải có đt của mình chứ.
Nói chuyện với anh D, cứ nghĩ là bug của Google, tức tụi nó login vào Gmail bằng một account #, củng dùng SMS luôn, logout ra, login liền vào tuonglaivietnam2015.
Nhưng tối giờ kiểm tra lại, thì không phải. Sorry bà con, em sơ ý và dốt quá. Cái nick Huong Giang với account tuonglaivietnam2010 đấy, lúc trước thằng STL này share account. Em vô tình không xoá nó đi. Thằng STL login bằng account này, vào xoá sạch hết rồi. Nhưng nó không xoá được contact list, change lại password, xoá lịch sử dò tìm trên Google của nó.
Vậy lần này chắc chắn tuonglaivietnam2010 đích thị là STL rồi, IP ở trên: 123.21.140.237.
Google về mail account này thì không thấy có gì cả.
Với cái ip 123.21.140.237 mấy anh này có config cấm WAN truy cập vào Modem qua port 80 nhưng lại quên chưa chặn cái port 21
( Modem Zoom X5 )
Các bác vào cmd gõ ftp 123.21.140.237 sẽ thấy
Em chỉ biết user là "admin" còn hem phải là hacker nên password thì em chịu
Chứng tỏ cái ip này vẫn available |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
09/07/2011 10:33:56 (+0700) | #29 | 243118 |
|
minhhath
Member
|
0 |
|
|
Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline
|
|
đúng là trình độ em quá thấp kém đọc bài viết anh TQN mà em cảm thấy hay rất hay đáng em học hỏi rảnh POST tiếp anh nha |
|
|
|
|
[Analyzing] RCE và vô hiệu hoá VB.NET virus (của STL à ?) |
09/07/2011 11:02:47 (+0700) | #30 | 243124 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Tối hôm qua tớ ngồi phân tích và điều tra sâu hơn thì thấy chưa hẳn "tohoangvu" là thành viên của nhóm STL bởi vì có những thông tin chưa xác thực. Bởi vậy, nếu bà con đè "tohoangvu" ra mà chửi khi chưa xác định một cách tuyệt đối thì e oan uổng. Tớ không loại trừ trường hợp chính hòm thư của "tohoangvu" bị thuổng và danh tánh của "tohoangvu" bị sử dụng nhằm mục đích đánh lạc hướng (nếu bị điều tra).
Còn con virus mới "nóng hổi" (12 tháng 5 năm 2011) TQN vừa thảy lên, anh download thử thì bị clamav thộp cổ (lạ thiệt) .
|
|
What bringing us together is stronger than what pulling us apart. |
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|