[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 13:03:13 (+0700) | #91 | 244098 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
asaxin nén và upload các file sau cho mình và anh TQN:
c:\windows\microsoft help\mshelpcenter.exe
Bạn gửi file cho mình qua địa chỉ email sau:
CMC InfoSec sẽ cập nhật mầm virus này sớm nhất có thể.
Anh chị em kiểm tra nếu trong máy tính nào có file ở đường dẫn trên, vui lòng gửi cho mình và anh TQN gấp, xin cảm ơn.
|
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 13:16:42 (+0700) | #92 | 244100 |
acoustics89
Member
|
0 |
|
|
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
|
|
Hóng mẫu, có mẫu mới thì em post tiếp, nếu không thì em đi ngủ
A ha, lại là MsHelpCenter.exe
Nếu thế bạn lấy luôn các file sau cùng 1 lượt cho tiện, đỡ up nhiều
MsHelpCenter.idx
thumbcache.db
_desktop.ini
cùng thư mục cả đấy, tổng cộng tầm 10MB, code thì ít mà toàn sh!t bên trong |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 13:23:40 (+0700) | #93 | 244102 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Theo 2 file Autoruns và ProcMon của Asaxin, mình thấy máy đang dính virus của STL của Asaxin cũng đang dùng WinXP SP3 (hay Win7) phải không ?
Nhờ Asaxin up các file sau trên máy của bạn:
1. C:\Windows\system32\Dwm.exe: file này XP SPxxx không bao giờ có !
2. C:\Windows\Fonts\StaticCache.dat: Lại là StaticCaches à, sao đặt trong Windows\Fonts
3. C:\Windows\System32\dllhost.exe: chưa biết, để em sigcheck và symchk.
4. C:\Program Files\quicktime\qttask.exe: Không chắc lắm, có thể file của QuickTime
5. c:\program files\internet download manager\idman.exe: bạn đang dùng bản crack của IDM phải không ?
6. C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
7. C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll
8. GoogleUpdate.exe: Mọi file luôn, cho dù nằm ở đâu !
9. wmpnscfg.exe: Mọi file, cho dù nằm ở đâu !
10. C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
11. c:\program files\common files\installshield\driver\1150\intel 32\idrivert.exe
12. c:\windows\microsoft help\mshelpcenter.exe
13. c:\program files\common files\sony shared\avlib\sptisrv.exe
File nào không có thì thôi, chịu khó chút nhé bạn !
|
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 13:24:07 (+0700) | #94 | 244103 |
|
asaxin
Member
|
0 |
|
|
Joined: 24/06/2007 13:11:27
Messages: 30
Offline
|
|
Mình đã gửi mẫu này cho bolzano_1989 và TQN trong tin nhắn riêng. |
|
No Signature |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 13:43:21 (+0700) | #95 | 244104 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Đã nhận được file của asaxin.
Đúng rồi,còn thiếu thumbcache.db và _desktop.ini nữa, asaxin bật chế độ view hidden file lên, tìm và up giùm 2 file đó.
Đích thị nằm vùng của STL rồi, không biết là mới hay cũ so với mẫu của acxxx89 ?
Chia sẽ với bà con luôn: http://www.mediafire.com/?0jomzjk727n7181. Password: malware |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 13:46:50 (+0700) | #96 | 244105 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
acoustics89 wrote:
Hóng mẫu, có mẫu mới thì em post tiếp, nếu không thì em đi ngủ
A ha, lại là MsHelpCenter.exe
Nếu thế bạn lấy luôn các file sau cùng 1 lượt cho tiện, đỡ up nhiều
MsHelpCenter.idx
thumbcache.db
_desktop.ini
cùng thư mục cả đấy, tổng cộng tầm 10MB, code thì ít mà toàn sh!t bên trong
Còn thiếu!
asaxin gửi thêm các file sau cho mình nhé:
C:\MsHelpCenter.pdb
c:\windows\microsoft help\thumbcache.db
c:\windows\microsoft help\_desktop.ini
c:\windows\microsoft help\MsHelpCenter.idx
TQN wrote:
Đã nhận được file của asaxin.
Đúng rồi,còn thiếu thumbcache.db và _desktop.ini nữa, asaxin bật chế độ view hidden file lên, tìm và up giùm 2 file đó.
Đích thị nằm vùng của STL rồi, không biết là mới hay cũ so với mẫu của acxxx89 ?
Chia sẽ với bà con luôn: http://www.mediafire.com/?0jomzjk727n7181. Password: malware
Em thấy còn thiếu MsHelpCenter.pdb . |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 13:53:05 (+0700) | #97 | 244106 |
|
asaxin
Member
|
0 |
|
|
Joined: 24/06/2007 13:11:27
Messages: 30
Offline
|
|
Trong thư mục c:\windows\microsoft help của mình chỉ có 2 file là .exe và idx đã gửi thôi, không còn file nào khác. |
|
No Signature |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 14:00:56 (+0700) | #98 | 244107 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
asaxin wrote:
Trong thư mục c:\windows\microsoft help của mình chỉ có 2 file là .exe và idx đã gửi thôi, không còn file nào khác.
Bạn chịu khó dùng GMER hay Winrar, tìm đến thư mục c:\windows\microsoft help\ rồi copy file.
Hiện cần 2 file sau để decrypt:
c:\windows\microsoft help\thumbcache.db
c:\windows\microsoft help\_desktop.ini |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 14:04:21 (+0700) | #99 | 244108 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Thằng ông nội coder của stl (viết thường mày luôn cho bỏ ghét) khi build mshelpcenter.idx lại để debuginfo sót lại trong .exe file:
G:\LiveUpdate\DummyLauncher\Release\DummyLauncher.pdb
Ái chà chà, hai file mshelpcenter.exe và mshelpcenter.idx "hơi bị xưa" rồi:
1.mshelpcenter.exe: build date: 27/12/2010, 10:21:59.
2. mshelpcenter.idx: 21/11/2010, 01:43:19 - thức khuya dữ vậy ha - tội nghiệp coder STL, cày như trâu bò ! Thằng code con gì đó ngày 30/04 còn không được đi chơi với em út, gia đình nữa !? |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 14:12:09 (+0700) | #100 | 244109 |
|
asaxin
Member
|
0 |
|
|
Joined: 24/06/2007 13:11:27
Messages: 30
Offline
|
|
Dấu kỹ quá, dùng winrar mới thấy ra.
c:\windows\microsoft help\thumbcache.db
c:\windows\microsoft help\_desktop.ini
http://www.mediafire.com/?8fxq7un19ardwfe
password: malware |
|
No Signature |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 14:21:37 (+0700) | #101 | 244111 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Hì hì, đủ file rồi đó acoustics89. Em RCE tiếp và tìm ra thằng website nào ra lệnh down AcrobeUpdater.exe về nhé. Giờ anh phải đi lang thang nữa rồi.
2 asaxin: Good job, tiếp tục chịu khó up các file mà tui đã list ở trên để kiểm tra luôn nhé !
Thank you very nhiều ! |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 14:24:22 (+0700) | #102 | 244112 |
|
asaxin
Member
|
0 |
|
|
Joined: 24/06/2007 13:11:27
Messages: 30
Offline
|
|
TQN wrote:
Hì hì, đủ file rồi đó acoustics89. Em RCE tiếp và tìm ra thằng website nào ra lệnh down AcrobeUpdater.exe về nhé. Giờ anh phải đi lang thang nữa rồi.
2 asaxin: Good job, tiếp tục chịu khó up các file mà tui đã list ở trên để kiểm tra luôn nhé !
Thank you very nhiều !
Đây là mẫu mà em tìm được trong máy: http://www.mediafire.com/?agsg6yco2amvle0
password: malware |
|
No Signature |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 14:32:39 (+0700) | #103 | 244115 |
acoustics89
Member
|
0 |
|
|
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
|
|
Thank bộ mẫu của bạn asaxin. Đây là mẫu mới chưa gặp bao giờ, tuy cũng hơi giống với mẫu cũ mình có, mình vừa reverse xong, chia sẻ với các bạn
Trước tiên là về Tác dụng của các file
C:\MsHelpCenter.pdb >>> chịu, mình không có file này
c:\windows\microsoft help\thumbcache.db >>> Thư viện hỗ trợ download thôi
c:\windows\microsoft help\_desktop.ini >> thư viện chứa hàm sinh xâu ngẫu nhiên, hàm giải mã DecodeStr, nói chung là Utility Library
c:\windows\microsoft help\MsHelpCenter.idx >> chưa xong, post sau
MsHelpCenter.exe >> CHịu trách nhiệm tải cái adobe lởm về để chạy.
G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD chứa đường dẫn được mã hoá, key là n / 123 = 456. Thuật toán mã hoá thì mình chưa xem kĩ nhưng thiết nghĩ không cần lắm vì xâu này cố định rồi. nó sau khi giải mã ra là http://poxxf.com/flash.swf , tải file này về với User Agent là Gozilla_2/Default.
cái link để download là http://poxxf.com/flash.swf?cpn=<User name>
Lại vào đọc code tiếp , thấy nó giải mã file này bằng 1 thuật toán decode khác, em cũng chả hiểu lắm, nó làm gì thì mình làm thế
Code:
#include <stdio.h>
#include <conio.h>
#include <windows.h>
int main(int argc, char *argv[])
{
FILE *f; int i;
long lSize;
char *pBuffer, *p;
char v24,v23;
int v7 = 0;
char szOutPut[MAX_PATH] = "";
if ((argc <2) || (argc >3 ))
{
printf("Usage: Decode <Encrypted> <Result>");
exit(1);
}
if (argc == 2)
{
strcpy(szOutPut, "Decoded.txt");
}
else strncpy(szOutPut, argv[2],MAX_PATH);
f = fopen(argv[1], "rb"); //doc file da ma hoa
if (f)
{
fseek(f, 0, SEEK_END);
lSize = ftell(f);
fseek(f, 0, SEEK_SET);
pBuffer =(char*) malloc(lSize+1024);
if(pBuffer)
{
p = (char *)pBuffer+ 4;
memset(pBuffer, 0, lSize+1024);
fread((char*)pBuffer, lSize, 1, f);
for ( i = 8; i < lSize; ++i )
{
v24 = p[v7 % 4];
v23 = pBuffer[i];
v23 = (v24 ^ v23) % 256;
pBuffer[i] = v23;
v7++;
//v8 += v23 * v7++ % 7;
}
}
fclose(f);
if (pBuffer)
{
f = fopen(szOutPut, "wb");
if (f)
{
fwrite((char*)pBuffer, lSize, 1, f); // ghi lai noi dung da giai ma
fclose(f);
}
else printf("Can not open output file.");
delete[] pBuffer ;
}
}
else printf("Can not open input file.");
return 0;
}
giải mã xong thì được xâu : http://poxxf.com/images.gif, lại tải về với User Agent là Gozilla_2/Default
thấy nhiều kí tự 0x19 ở đầu file quá nhỉ, dung lượng lại lớn ( 282624 bytes) , cho vào Hex workshop XOR phát, may thì được luôn mà không thì đọc code tiếp
Xor xong thì nó ra cái AdobeUpdate giả. Có lẽ đến đây, anh em đã biết thủ phạm tải cái adobe giả về
|
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 14:42:52 (+0700) | #104 | 244116 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Không biết nói lời nào nữa, quá trời good job luôn acoustics89 ! Em làm nhanh thiệt, anh thì cứ đi từng file, từng hàm của nó. Nên chậm hơn em nhiều.
Vậy là bà con đã biết thằng nằm vùng giấu mặt down AcrobatUpdater.exe về rồi nhé. Thủ phạm đây: MsHelpCenter.exe.
Bà con tuyên truyền mọi người quen biết, cộng đồng mạng nên nhanh tay xoá MsHelpCenter.* và cái thumbcache.db, _desktop.ini.
Cảm ơn acoustics89, asaxin, bolzano (theo thứ tự ABC nhé, không phân bì nhé) rất nhiều. Nhờ các bạn, một đám "mèo què" của stl nằm vùng đã bị bà con vạch mặt.
Và cũng nhờ mọi người, bà con cùng nhau tiếp tục úp các mẫu này cho các AV để các AV cập nhật và thịt cổ đám "mèo què" này: MS, KIS/KAV, Avira, AVG, Symantec, Trend...
Thịt xong đám mshelpcenter này và AcrobatUpdater.exe này, chắc chắn STL sẽ không còn nhiều "hàng" để chơi trò bẩn thỉu DDOS nữa.
Các bà con khác tiếp tục dùng Wireshark, CurPorts, SmartSniffs để tìm và up mẫu lên cho mọi người. Cũng có thể còn một (hay vài thằng nằm vùng nào đó nữa ) |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 15:04:08 (+0700) | #105 | 244119 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
acoustics89 wrote:
nobitapm wrote:
PXMMRF wrote:
2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau:
- AdobeUpdateManager.exe
- jucheck.exe (process giả update Java)
- OSA.exe
Chúng nằm ở các directories sau:
Program Files\Adobe\AdobeUpdateManager.exe
Program Files\Java\jre6\bin\jucheck.exe
Program Files\Microsoft Office\Office11\OSA.exe
Chúng cũng là thành phần của Trojan-bot đấy
3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả
Thank you in advance.
E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên.
Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w
Mẫu này không phải virus, bạn yên tâm nhé
Hì hì.
Nó là thành phần của virus W32/VulcaBot của STL đấy.
Tham khảo kỹ lai McAfee blog tại:
http://blogs.mcafee.com/corporate/cto/vietnamese-speakers-targeted-in-cyberattack
Đây là trường hợp "a Trojan horse masquerading as jucheck.exe" (Trojan hay virus đeo mặt nạ giả danh jucheck.exe). Vì jucheck.exe nguyên mẫu trong java là file chính thức của application này dùng để kiểm tra và nhắc nhở user update cho Java. Tác giả các virus thường dùng tên của một service hay tên file chính thức của OS, application để làm người dùng bối rối và tránh bị detect trong một số trường hợp.
Trong trường hợp này ta phải kiểm tra kỹ với cách sau:
1- Kiểm tra xem file có digitally signed bởi Sun Microsystems, Inc không? Đây là yêu cầu quan trong và chính xác nhất
2 -Kiểm tra vị trí của file trong các directory xem có đúng không?
jucheck.exe chính thức, nguyên bản phải nằm ở directory sau:
C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe.
Trong đó phần jre1.6.0_01 là tuỳ theo version của Java.
Nếu jucheck.exe. nằm ở location dưới đây như McAfee đã viết ở blog trên:
C:\Program Files\Java\jre6\bin\jucheck.exe
thì jucheck.exe có thể vẫn là virus nếu máy bạn không đang cài Version mới nhất của Java. Trong trường hợp cài version mới nhất của Java thì Jucheck.exe có dung lượng là 422 KB (trên nên Win7)
Nhưng nếu jucheck.exe lại nằm hay còn nằm ở các location sau:
C:\Windows\System32\
C:\Program Files\Common Files\
hay
C:\Users\AppData\Local\Temp\
và đặc biệt là
C:\Windows\jucheck.exe
Thì rất nhiều khả năng jucheck.exe là virus của STL
Tôi chưa kiểm tra file jucheck.exe mà bạn nobitapm upload lên mediafire là file thật hay giả (vì bận kiểm việc khác)
Xin bạn kiểm tra lại kỹ hơn
Thưc tế cũng không đơn giản như ta nghĩ, nhất là với STL. C' est la vie mà
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 15:53:00 (+0700) | #106 | 244121 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
TQN wrote:
Không biết nói lời nào nữa, quá trời good job luôn acoustics89 ! Em làm nhanh thiệt, anh thì cứ đi từng file, từng hàm của nó. Nên chậm hơn em nhiều.
Vậy là bà con đã biết thằng nằm vùng giấu mặt down AcrobatUpdater.exe về rồi nhé. Thủ phạm đây: MsHelpCenter.exe.
Bà con tuyên truyền mọi người quen biết, cộng đồng mạng nên nhanh tay xoá MsHelpCenter.* và cái thumbcache.db, _desktop.ini.
Cảm ơn acoustics89, asaxin, bolzano (theo thứ tự ABC nhé, không phân bì nhé) rất nhiều. Nhờ các bạn, một đám "mèo què" của stl nằm vùng đã bị bà con vạch mặt.
Và cũng nhờ mọi người, bà con cùng nhau tiếp tục úp các mẫu này cho các AV để các AV cập nhật và thịt cổ đám "mèo què" này: MS, KIS/KAV, Avira, AVG, Symantec, Trend...
Thịt xong đám mshelpcenter này và AcrobatUpdater.exe này, chắc chắn STL sẽ không còn nhiều "hàng" để chơi trò bẩn thỉu DDOS nữa.
Các bà con khác tiếp tục dùng Wireshark, CurPorts, SmartSniffs để tìm và up mẫu lên cho mọi người. Cũng có thể còn một (hay vài thằng nằm vùng nào đó nữa )
Hì hì, công nhận acoustics89 nhanh khiếp .
Anh nghĩ cái đống "mèo què" chưa hết đâu em. Theo anh thăm dò thì shells, hosts, domains.... còn nhiều lắm. Kỳ này phối hợp để "xin" vài cái địa chỉ thiệt thì hoạ may tình hình mới khác. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 16:09:23 (+0700) | #107 | 244123 |
acoustics89
Member
|
0 |
|
|
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
|
|
nhưng mấy anh ơi, bài toán lại bắt đầu lại rồi : MsHelpCenter.exe
Câu hỏi: ai tải cái MsHelpCenter.exe và các file kia về ??
Trả lời nốt câu này mới ổn ?? |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 16:13:43 (+0700) | #108 | 244124 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Kệ nó em, acoustics89. Tới đây là được rồi, vì MsHelpCenter.exe đã cũ rồi, từ tháng 12 năm ngoái, lại được hardcoded string poxxf.com. Nó nằm nằm vùng lâu rồi. Giờ cắt được nó là coi như cắt 1 tay của tụi stl rồi.
Chiều giờ ngồi nhà theo dõi topic này luôn. Ngoài trời đang mưa nữa, có lý do ngồi nhà hợp lý
|
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 16:33:23 (+0700) | #109 | 244125 |
thegunner2401
Member
|
0 |
|
|
Joined: 20/07/2011 06:35:07
Messages: 2
Offline
|
|
E lại thấy ba file jucheck.exe nằm trong các thư mục:
C:\Program Files\Adobe\Adobe Dreamweaver CS5\JVM\bin
C:\ProgramData\Adobe\CS5\jre\bin
C:\Program Files\Common Files\Java\Java Update
Vậy liệu có những file nào bất thường ko các A?
Nếu có thì E sẽ up lên để các A RE. |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 16:39:12 (+0700) | #110 | 244126 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
TQN wrote:
Kệ nó em, acoustics89. Tới đây là được rồi, vì MsHelpCenter.exe đã cũ rồi, từ tháng 12 năm ngoái, lại được hardcoded string poxxf.com. Nó nằm nằm vùng lâu rồi. Giờ cắt được nó là coi như cắt 1 tay của tụi stl rồi.
Chiều giờ ngồi nhà theo dõi topic này luôn. Ngoài trời đang mưa nữa, có lý do ngồi nhà hợp lý
Hì hì, trời này làm vài ve ở SG với anh em chắc có lý lắm đây. Sydney lạnh bỏ bu. Tối nay xuống còn có 3 độ.
Còn cái msHelpCenter.exe thì anh nghĩ có thể nó đi ra từ những con trojan nhỏ hơn tự động "call home" và download những binaries lớn hơn. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 16:43:43 (+0700) | #111 | 244127 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Đơn giản nhất cho mọi người tự kiểm tra là: open jucheck.exe = Notepad , search string MSVBVM60.DLL. Nếu có, nó chính là virus, còn không thì cho chắc ăn, up lên VirusTotal để check. |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 16:43:57 (+0700) | #112 | 244129 |
mv1098
Member
|
0 |
|
|
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
|
|
Đây là tiến trình chạy của em MsHelpCenter.exe
Code:
Set File Attributes: %SystemRoot%\Microsoft Help\thumbcache.db Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\thumbcache.db
Create File: %SystemRoot%\Microsoft Help\thumbcache.db
Set File Attributes: %SystemRoot%\Microsoft Help\thumbcache.db Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Set File Attributes: %SystemRoot%\Microsoft Help\_desktop.ini Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\_desktop.ini
Create File: %SystemRoot%\Microsoft Help\_desktop.ini
Set File Attributes: %SystemRoot%\Microsoft Help\_desktop.ini Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Set File Attributes: %SystemRoot%\Microsoft Help\MsHelpCenter.idx Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\MsHelpCenter.idx
Create File: %SystemRoot%\Microsoft Help\MsHelpCenter.idx
Set File Attributes: %SystemRoot%\Microsoft Help\MsHelpCenter.old Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\MsHelpCenter.old
Move File: %SystemRoot%\Microsoft Help\MsHelpCenter.exe to %SystemRoot%\Microsoft Help\MsHelpCenter.old
Set File Attributes: %SystemRoot%\Microsoft Help\MsHelpCenter.exe Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\MsHelpCenter.exe
Create File: %SystemRoot%\Microsoft Help\MsHelpCenter.exe
Set File Attributes: C:\MsHelpCenter.pdb Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: C:\MsHelpCenter.pdb
Create File: C:\MsHelpCenter.pdb
Set File Attributes: C:\MsHelpCenter.pdb Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Delete File: C:\80423577.rar
Move File: C:\80423577.exe to C:\80423577.rar
Set File Attributes: C:\80423577.rar Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Copy File: C:\MsHelpCenter.pdb to C:\80423577.exe
Open File: %SystemRoot%\AppPatch\sysmain.sdb
Open File: %SystemRoot%\AppPatch\systest.sdb
Open File: \Device\NamedPipe\ShimViewer
Open File: C:\
Find File: C:\80423577.exe
|
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 16:45:53 (+0700) | #113 | 244130 |
mv1098
Member
|
0 |
|
|
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
|
|
Ngoài ra còn thay rồi trong reg
Code:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Microsoft Help Center\DatabaseIndex = [REG_DWORD, value: 00000002]
HKEY_CURRENT_USER\Software\Microsoft\Windows\Microsoft Help Center\ContentHash = 470065006E006500720061006C00
|
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 17:11:22 (+0700) | #114 | 244131 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
acoustics89 wrote:
nhưng mấy anh ơi, bài toán lại bắt đầu lại rồi : MsHelpCenter.exe
Câu hỏi: ai tải cái và các file kia về ??
Trả lời nốt câu này mới ổn ??
Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe
Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà
original name: MsHelpCenter.exe
internal name: (cũng là) MsHelpCenter.exe
file version.: 6.1.7600.16385
MD5 : 915e9432ca9414a771071ee0cc115930
SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d
ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
File size : 9332736 bytes
OK?
---------
Tôi cho rằng có lẽ một trojạn nhất định phải nằm trong file MsHelpCenter.idx ấy. [8.8 MB- Modified: (chắc bởi STL) Friday, December 31, 2010, 9:34:38 AM]
Có lẽ trojạn embedded trong file này (trojạn thuôc loại Downloader-Dropper trojạn gì đó) mới được dùng để download Adobeupdater.exe về chứ.
Kiểm tra sơ bộ thì dường như vậy.
Nhưng để kiểm tra kỹ hơn, vì đang bận check cái webserver (master website) mà asaxin cung cấp.
Đây chắc là master website chứa Adobeupdater.exe nhúng trong một image file .jpg
Các file khác -desktop.ini, thumb.... thì theo tôi không cần quan tâm
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 17:48:08 (+0700) | #115 | 244135 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
PXMMRF wrote:
Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe
Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà
original name: MsHelpCenter.exe
internal name: (cũng là) MsHelpCenter.exe
file version.: 6.1.7600.16385
MD5 : 915e9432ca9414a771071ee0cc115930
SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d
ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
File size : 9332736 bytes
OK?
Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned :
http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090 |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 17:58:47 (+0700) | #116 | 244136 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
Đúng rồi có một Trojạn nằm trong file MsHelpCenter.idx , như tôi nói ở trên
Đây là một trojạn khá mới, vì các virus DAT file của F-secure chỉ mới update vào cuối tháng 5 năm 2011.
Trình Avira AntiVir cài trong máy của tôi không phát hiện được trojan này khi download nó từ Mediafire về, dù Avira để ở chế độ Guard:active. Tuy nhiên scan thẳng vào file thì phát hiện ra.
Còn trình McAfee (enterprise) cũng cài trên máy tôi thì không phát hiện ra gì, dù scan thẳng vào file
Avira gọi nó là TR/Dropper.Gen4, còn F-secure gọi là Backdoor.Generic.649884, AVG gọi là Dropper.Generic3.BNIS, Avas goi Win32:Malware-gen... vân vân.
Riêng SpyRemove thì gọi với tên dài BackDoor.Generic 12.APEB ,mô tả nó như một trojan-backdoor nguy hiểm chay trong hệ thống cho phép hacker thâm nhập từ xa vào các máy bị nhiễm trojan trên mạng. BackDoor.Generic 12.APEB sử dụng một chương trình cho phép download về máy nhiễm trojan các file nguy hiểm từ trên mạng. Trojan này cũng có một keylogger thu thập các thông tin cá nhân từ máy nạn nhân (bị nhiễm Trojan) gửi đến các webserver của hacker...
Vậy trojan này chính là công cụ download Adobeupdater.exe và các file tương tự khác từ Master websites về máy nạn nhân (chứ không phải là MsHelpCenter.exe ). Các bạn kiểm tra kỹ sẽ thấy.
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 19:01:23 (+0700) | #117 | 244139 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
bolzano_1989 wrote:
PXMMRF wrote:
Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe
Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà
original name: MsHelpCenter.exe
internal name: (cũng là) MsHelpCenter.exe
file version.: 6.1.7600.16385
MD5 : 915e9432ca9414a771071ee0cc115930
SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d
ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
File size : 9332736 bytes
OK?
Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned :
http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090
Nó đây nè bolzano_1989 ạ
Chú ý trong folder có tên là MsHelpCenter mà bạn asaxin upload lên Mediafire có 2 file: MsHelpcenter.exe và MsHelpCenter.idx. File MsHelpCenter.idx mới có Trojan còn file kia MsHelpCenter.exe (.exe file-fice chạy) thì lai là 1 file nguyên thuỷ của MS.
Bản phân tích của MsHelpCenter.exe đây nè:
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 19:25:41 (+0700) | #118 | 244141 |
texudo
Member
|
0 |
|
|
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
|
|
http://file.virscan.org/report/bf383219ec51b164e9b9c307426803a6.html
Không biết ai đã submit lên, nhưng trên VIRSCAN đã có mẫu này từ 21/07. Đúng những virus mà anh PXMMRF đã chỉ ra. |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 19:48:15 (+0700) | #119 | 244142 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Giờ rãnh rỗi, ngồi úp cái đống MsHelpCenter.* lên KIS, MS, Avira, Symantec. Mô tả bằng tiếng Anh khó quá. Thôi viết tiếng Việt rồi dùng Google Translate ra đại cho rồi. Hy vọng mấy thằng bên đó đọc hiểu được 50%.
Mấy anh STL chơi ác quá ha, nhét dump bitmap, dump resource data vào mấy cái file của mấy anh để mấy file đó bự bà cố luôn, 8-9 MB, để bà con khỏi úp lên các AV và các online scan phải không ?
Hồi chiều, ngồi tự hỏi: quái, tụi này không không nhét mấy cái "Background" Bmp Resource tới 8-9 MB vào file PE của tụi nó chi vầy ? Đọc code, debug, breakpoint đủ kiểu chả thấy nó đụng tới Bmp Resource gì cả !
Không sao, em remove mấy cái dump resource, dump bitmap đó đi, up tuốt. Giờ úp lại nè, nãy giờ úp 2 lần đều faild hết. File em đã úp cái đống đó lên tới 26MB.
Giờ up được rồi. File up chỉ còn 247 KB, chuyện nhỏ. Tụi này dùng giới hạn up file của các trang web submit sample của các AVs, thông thường là 8 MB.
|
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
25/07/2011 20:17:35 (+0700) | #120 | 244144 |
template
Member
|
0 |
|
|
Joined: 25/07/2011 02:18:47
Messages: 16
Offline
|
|
Cố gắng lên anh TQN, sẵn luyện TOEFL luôn
Bọn STL này gặp anh ai chứ gặp anh TQN thì nên đi ngủ sớm |
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|