|
|
bolzano_1989 wrote:
PXMMRF wrote:
Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe
Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà
original name: MsHelpCenter.exe
internal name: (cũng là) MsHelpCenter.exe
file version.: 6.1.7600.16385
MD5 : 915e9432ca9414a771071ee0cc115930
SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d
ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
File size : 9332736 bytes
OK?
Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned :
http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090
Nó đây nè bolzano_1989 ạ
Chú ý trong folder có tên là MsHelpCenter mà bạn asaxin upload lên Mediafire có 2 file: MsHelpcenter.exe và MsHelpCenter.idx. File MsHelpCenter.idx mới có Trojan còn file kia MsHelpCenter.exe (.exe file-fice chạy) thì lai là 1 file nguyên thuỷ của MS.
Bản phân tích của MsHelpCenter.exe đây nè:
|
|
|
Đúng rồi có một Trojạn nằm trong file MsHelpCenter.idx , như tôi nói ở trên
Đây là một trojạn khá mới, vì các virus DAT file của F-secure chỉ mới update vào cuối tháng 5 năm 2011.
Trình Avira AntiVir cài trong máy của tôi không phát hiện được trojan này khi download nó từ Mediafire về, dù Avira để ở chế độ Guard:active. Tuy nhiên scan thẳng vào file thì phát hiện ra.
Còn trình McAfee (enterprise) cũng cài trên máy tôi thì không phát hiện ra gì, dù scan thẳng vào file
Avira gọi nó là TR/Dropper.Gen4, còn F-secure gọi là Backdoor.Generic.649884, AVG gọi là Dropper.Generic3.BNIS, Avas goi Win32:Malware-gen... vân vân.
Riêng SpyRemove thì gọi với tên dài BackDoor.Generic 12.APEB ,mô tả nó như một trojan-backdoor nguy hiểm chay trong hệ thống cho phép hacker thâm nhập từ xa vào các máy bị nhiễm trojan trên mạng. BackDoor.Generic 12.APEB sử dụng một chương trình cho phép download về máy nhiễm trojan các file nguy hiểm từ trên mạng. Trojan này cũng có một keylogger thu thập các thông tin cá nhân từ máy nạn nhân (bị nhiễm Trojan) gửi đến các webserver của hacker...
Vậy trojan này chính là công cụ download Adobeupdater.exe và các file tương tự khác từ Master websites về máy nạn nhân (chứ không phải là MsHelpCenter.exe ). Các bạn kiểm tra kỹ sẽ thấy.
|
|
|
acoustics89 wrote:
nhưng mấy anh ơi, bài toán lại bắt đầu lại rồi : MsHelpCenter.exe
Câu hỏi: ai tải cái và các file kia về ??
Trả lời nốt câu này mới ổn ??
Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe
Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà
original name: MsHelpCenter.exe
internal name: (cũng là) MsHelpCenter.exe
file version.: 6.1.7600.16385
MD5 : 915e9432ca9414a771071ee0cc115930
SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d
ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
File size : 9332736 bytes
OK?
---------
Tôi cho rằng có lẽ một trojạn nhất định phải nằm trong file MsHelpCenter.idx ấy. [8.8 MB- Modified: (chắc bởi STL) Friday, December 31, 2010, 9:34:38 AM]
Có lẽ trojạn embedded trong file này (trojạn thuôc loại Downloader-Dropper trojạn gì đó) mới được dùng để download Adobeupdater.exe về chứ.
Kiểm tra sơ bộ thì dường như vậy.
Nhưng để kiểm tra kỹ hơn, vì đang bận check cái webserver (master website) mà asaxin cung cấp.
Đây chắc là master website chứa Adobeupdater.exe nhúng trong một image file .jpg
Các file khác -desktop.ini, thumb.... thì theo tôi không cần quan tâm
|
|
|
acoustics89 wrote:
nobitapm wrote:
PXMMRF wrote:
2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau:
- AdobeUpdateManager.exe
- jucheck.exe (process giả update Java)
- OSA.exe
Chúng nằm ở các directories sau:
Program Files\Adobe\AdobeUpdateManager.exe
Program Files\Java\jre6\bin\jucheck.exe
Program Files\Microsoft Office\Office11\OSA.exe
Chúng cũng là thành phần của Trojan-bot đấy
3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả
Thank you in advance.
E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên.
Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w
Mẫu này không phải virus, bạn yên tâm nhé
Hì hì.
Nó là thành phần của virus W32/VulcaBot của STL đấy.
Tham khảo kỹ lai McAfee blog tại:
http://blogs.mcafee.com/corporate/cto/vietnamese-speakers-targeted-in-cyberattack
Đây là trường hợp "a Trojan horse masquerading as jucheck.exe" (Trojan hay virus đeo mặt nạ giả danh jucheck.exe). Vì jucheck.exe nguyên mẫu trong java là file chính thức của application này dùng để kiểm tra và nhắc nhở user update cho Java. Tác giả các virus thường dùng tên của một service hay tên file chính thức của OS, application để làm người dùng bối rối và tránh bị detect trong một số trường hợp.
Trong trường hợp này ta phải kiểm tra kỹ với cách sau:
1- Kiểm tra xem file có digitally signed bởi Sun Microsystems, Inc không? Đây là yêu cầu quan trong và chính xác nhất
2 -Kiểm tra vị trí của file trong các directory xem có đúng không?
jucheck.exe chính thức, nguyên bản phải nằm ở directory sau:
C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe.
Trong đó phần jre1.6.0_01 là tuỳ theo version của Java.
Nếu jucheck.exe. nằm ở location dưới đây như McAfee đã viết ở blog trên:
C:\Program Files\Java\jre6\bin\jucheck.exe
thì jucheck.exe có thể vẫn là virus nếu máy bạn không đang cài Version mới nhất của Java. Trong trường hợp cài version mới nhất của Java thì Jucheck.exe có dung lượng là 422 KB (trên nên Win7)
Nhưng nếu jucheck.exe lại nằm hay còn nằm ở các location sau:
C:\Windows\System32\
C:\Program Files\Common Files\
hay
C:\Users\AppData\Local\Temp\
và đặc biệt là
C:\Windows\jucheck.exe
Thì rất nhiều khả năng jucheck.exe là virus của STL
Tôi chưa kiểm tra file jucheck.exe mà bạn nobitapm upload lên mediafire là file thật hay giả (vì bận kiểm việc khác)
Xin bạn kiểm tra lại kỹ hơn
Thưc tế cũng không đơn giản như ta nghĩ, nhất là với STL. C' est la vie mà
|
|
|
lequi wrote:
@PXMMRF: Em sẽ kiểm tra các thông tin anh cần, và có 1 vài lưu ý là các thông tin e để trên đều liên quan đến DNS của Google, vì các thông tin trên tổng hợp trong quá trình bắt các packet gửi qua IP 8.8.8.8 (ngày mai em sẽ dump và gửi cho a vài chi tiết).
Hôm nay em cũng có dạo qua các site, và down bộ unikey từ link: http://nethoabinh.com/showthread.php?t=315
Quét file này trên virustotal: http://www.virustotal.com/file-scan/report.html?id=02b3b347ff00c8bdcad7e4c557a41f36e4af110658aea57557fab2c0bd641b1e-1311508169
OK! Cám ơn ban lequi. File UnikeySetup này có virus-trojan đấy, dù rằng một số Antivirus nổi tiếng như McAfee Antivirus Enterprise (newest version- up to date) không phát hiện ra
Tôi sẽ ngâm cứu nó.
Ngoài ra xin ban gửi Cache file của whireshark liên quan, cached từ máy của bạn vừa qua
Again thank you!
|
|
|
lequi wrote:
Em vừa vọc vài thứ trong máy, có lòi ra mấy URL (via whireshark):
http://tongfeirou.dyndns-web.com/banner1.png?cpn=<COMPUTER USERNAME> (404)
https://biouzhen.dyndns-server.com/banner1.png?cpn=<COMPUTER USERNAME> (403 nginx)
với User-Agent đều là:
Gozilla_2/General (??)
Đang tiếp tục vọc tiếp ...
1- Bạn lequi, tôi đã có đủ thông tin về 2 website (dynamic domain system) này rồi.
Nhưng đề nghị bạn cung cấp thêm các thông tin cần thiết sau đây:
- Tên Service, process trong hệ thống kích hoạt các kết nối Internet (Internet connection) đến các URL nói trên?
(Có phải Service Name là wuauservcom và process là wuauclt.exe hay không? Cũng có nghĩa là trong C\ProgramFiles\Common Files của máy bạn có xuất hiện một folder mới (bình thường không có) tên là "Windows Update Components", trong folder này có các file: wuauclt.exe, wuauserv.dll và UsrClass.ini hay không? Chú ý là nôi dung trong UsrClass.ini được XOR-encrypted, ghi đia chỉ của master website. Trong trường hơp của ban, chúng phải là http://tongfeirou.dyndns-web.com và http://biouzhen.dyndns-server.com. Có đúng như vậy không?
Các file wuauclt.exe, wuauserv.dll cũng còn phải nằm ở C\WINDOWS\system32\setup nữa. )
- Chúng là các process riêng biệt hay chỉ một process kích hoạt kết nối đến cả hai URL nói trên?
- Có service, process nào kích hoạt kết nối liên tục đến hvaonline.net hay tienve.org không? (tức là service này đang DDoS đến HVA)
2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau:
- AdobeUpdateManager.exe
- jucheck.exe (process giả update Java)
- OSA.exe
Chúng nằm ở các directories sau:
Program Files\Adobe\AdobeUpdateManager.exe
Program Files\Java\jre6\bin\jucheck.exe
Program Files\Microsoft Office\Office11\OSA.exe
Chúng cũng là thành phần của Trojan-bot đấy
3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả
Thank you in advance.
|
|
|
TQN wrote:
Đây là 1 phần đoạn mail của bạn trẻ cao thủ gởi cho tui. Post lên đây để anh em đọc cho vui:
Về vấn đề mẫu, thì phải xuất phát từ GoogleCrashHandle ạ. Em có mẫu ấy từ bạn xxx trên xxx, cái này chắc anh đã biết. Sau khi nghiên cứu, em viết tracker cho nó, thì tải được 1 file cũng code bằng VB sau đó không lâu, tên là Jucheck.exe. Mẫu này em có từ cái hồi xxx cơ mà. Y hệt cái AcrobatUpdater luôn, chỉ có Icon là của bạn Java Update. Chính nó tấn công vietnamnet.
Mẫu này luôn truy cập để tải về file tại địa chỉ http://penop.net/top.jpg
đọc code thì thấy nó giải mã với thuật toán xor theo byte, key là 0x19. nhưng ngặt nỗi hồi đó không tải được, link chết.
Hệ thống botnet tracker của em thì chạy liên tục, lúc nào cũng định kì download các link, có mẫu mới là notify luôn.
tơi đúng hôm HVA bị dos thì có hàng mới của top.jpg , về giải mã ra thì được cái link http://penop.net/images01.gif , đó chính là mẫu virus viết bằng VB hiện giờ đang hoành hành, cũng xor 0x19 theo byte. khi chạy , tên nó là AcrobatUpdater. Hôm đó thấy file cấu hình của nó, em đã định bảo anh ngay nhưng lại không vào HVA được
Tất cả các mẫu botnet em có được, em đều đưa vào tracker của em hết, nhiều mẫu nó phải lâu lắm rồi, tưởng chết rồi, thế mà 1 ngày đẹp trời là nó sống lại và có hàng
Khoe với anh: cái tracker này em viết cũng lâu rồi, nhưng chỉ để cho vui thôi ạ, nếu không em cũng chả có mẫu mới Đó là nguồn mẫu duy nhất của em đấy. Còn tình cờ gặp mấy cái như fake Unikey, cái đấy ăn may. đưa vào tracker mấy hôm thì thấy link die
Bạn trẻ này đóng vai trò quan trọng nhất trong việc dò tìm và phân tích đám malwares của STL. Tui chỉ là người phát ngôn của Bộ dò tìm STL thôi. "Tui kịch liệt lên án STL"
2 anh PXMMRF: Tại sao bây giờ VNCERT, BKAV, CMC, báo chí... vẫn im ru bà rù ????
Như tôi đã viết, STL dự phòng rất nhiều master websites và đặt ở nhiều nơi trên thế giới. Có thể dễ dàng thay thế các master mới khi những cái cũ bị phát hiện.
Như vừa rồi khi thấy TQN phát hiện ra các master website http://penop.net/ hay http://direct.aliasx.net, thì STL lập tưc inactive (vô hiệu hoá ) chúng. Khi tôi biết thông tin của TQN, tôi check thẳng vào chúng, không cần quan ngại gì, thì website này đã inactive mất rôi. Đương nhiên các file .jpg hay btm đặt tai webroot không thể tìm thấy.
Tuy nhiên scenario (kịch bản) cụ thể sẽ như sau:
- STL đọc thông tin phát hiện của TQN về các master website
(Không ít thành viên STL đang chăm chú đọc các bài viết của TQN, kể cả bài tôi đang viết nữa .Hì hì)
- STL không inactive ngay các master website, mà duy trì chúng trong một thời gian nào đó, ngắn nhưng đủ dài để các bot update các thông tin mới về muc tiêu DDoS mới cũng như đia chỉ mới của master website (đia chỉ cũ đã lộ thì STL sẽ bỏ đi)
- Do các bot tại hàng trăm ngàn zombies thường xuyên, tự động liên hệ với master website (cũ) và các kết nối ấy là persistent connection (keep-alive) nên chỉ trong một thời gian ngắn, có thể tối đa là 60 sec (với IE 6-7-8) hay 115 sec (với FireFox4-5) hay hơn một chút là trình duyệt của máy zombies đã giúp bot update được các thông tin mới về Master websites (tên miền, IP address). Muc tiêu tấn công DDoS có thể STL không cần thay đổi, như trường hợp HVA vừa rồi.
- Sau đó thì STL mới chính thức thay đổi Master website
Ta hình dung có một cuộc chay đua giữa HVA (TQN-conmale) và STL trong chuyện này. TQN phát hiện master website, STL thay đổi master website, TQN lai phát hiện...vv.
Nhưng tôi tin rằng lão conmale tuy già cả nhưng thường vẫn chạy nhanh hơn. Hì hì
------------
VNCERT: Biên chế ít, nên chỉ có thể quản lý mạng theo kiểu hành chính thôi
BKAV: Đang tập trung vào diệt virus nên có thể không tập trung vào RCE kỹ lưỡng và với mục đích như TQN. Vả lại theo tôi họ không giỏi RCE như TQN.
CMC: do bác Triệu trần Đức, Admin cũ của HVA, là TGD. Họ đang rất quan tâm đến các bài viết về Trojan của STL và đang viết các DAT file diệt các Trojan này. Nói chung, theo tôi họ rất tán đồng và ủng hộ HVA
Báo chí: Đến ta (HVA) mà phải tốn nhiều thời gian, công sức và phải có kiến thức sâu về RCE thì mới discover được đám Bot của STL, thì cánh báo chí sao làm được, biết được. Nhưng chắc họ cũng phải còn nghe ngóng, tìm hiểu thông tin thêm chứ, rồi mới viết bài. Cũng còn một đôi vấn đề chính chúng ta (HVA) cũng còn chưa hoàn toàn thống nhất cơ mà.
|
|
|
piloveyou wrote:
Sao lại chỉ có có bác TQN & conmale một mình một chuột chống đỡ vậy chứ?
1- Đâu chỉ có TQN và conmale, còn cả tôi -PXMMRF- nữa mà. Tôi cũng đã viết một số bài đấy chứ. Hì hì. Liên quan đấn STL, không chỉ có topic này mà còn những topic khác năm rải rác ở các box khác trong forum: "RCE", "Những thảo luận khác"....
Ngoài ra đứng sau các HVA Admin. còn có khá nhiều Mod. và member khác. Secmac vừa qua chẳng viết một bài khá hay là gì.
Có điều là TQN đã viết ra quá nhiều thông tin rất có giá trị. Chúng tôi cũng phải có thời gian để nghiền ngẫm nôi dung, mới viết bổ sung được. Vả lai cũng quá bận công viêc mưu sinh, nuôi con ăn học... nên nhiều khi phải tranh thủ thời gian. Có đêm phải thức đến 1-2 h nghiền ngẫm, khai triển những phát hiện của TQN. Tôi cũng vừa phải đi công tác Hà nôi tới hơn 1 tuần.
TQN wrote:
Tình cờ em đọc được bài này, mời bà con đọc thử và suy nghĩ: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1
2- Xác đinh nhân thân của STL là một việc tốn nhiều thời gian, công sức, phải qua nhiều năm. Không thể từ một sự kiện (event) mà tìm ra được. Những dự đoán của TQN là đúng. Sự xác định của bạn "phanledaivuong" liên quan đến STL, ở một post phía trên, cũng là đúng.
Thưc ra tôi đã theo dõi các hiện tượng khá lạ (sau này chúng dường như mang tên STL) từ khi domains: pavietnam.net và pavietnam.com bị chiếm đoat quyền sử dung. Gọi là lạ, vì tôi thấy đây là một hành đông lấy cắp domain tinh vi, chuyên nghiệp, có liên quan đến một tổ chức mafia IT có trình độ cao của Nga (Russian). Có dịp tôi sẽ nói thêm về tổ chức tội phạm này. Hiện tại có những bằng chứng rõ ràng là STL vẫn còn liên quan đến tổ chức tôi phạm nói trên. Đây là một tổ chức hoạt đông rất rộng trên mạng, nhưng nó lai không có một website-server chính thức nào để có cơ sở truy tìm dấu vết.
Nếu các bạn đọc kỹ các bài viết của tôi về STL (bên ngoài và trong box BQT HVA), sẽ thấy từ khá lâu tôi đã xác định chúng là ai, do ai chỉ đạo, trả tiền....Và điều này ngày càng rõ. Rõ ràng là mọi việc đều cần thời gian dài để mọi người thấy rõ.
Các bạn có thể tham khảo các comment của tôi (PXMMRF-HVA và PHAM XUAN MAI) về vấn đề liên quan tại bài viết trên McAfee blog: "Vietnamese Speakers Targeted In Cyberattack"
http://blogs.mcafee.com/corporate/cto/vietnamese-speakers-targeted-in-cyberattack
Khi đó tôi đã xác định tác giả của W32/VulcanBot là Chinese hacker, mà cụ thể là là STL
3- Tôi đồng ý với một số nhận định trong bài viết của bạn "CHIẾN SĨ AN NINH" tại:
http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1
Quả thưc lưc lượng AN NINH thì làm việc vất vả, luôn phải đối phó với hiểm nguy, khá trong sạch, vì ít có cơ hôi tham nhũng. Nhưng tất nhiên cũng không phải không có một vài cá nhân, trường hợp không hay. Các trường hơp này tuy ít về số lượng, nhưng nếu có thì quy mô và tác hại lại rất lớn. Cũng có trường hợp có người giải quyết vấn đề một cách manh đông, thiếu suy nghĩ chín chắn. Tuy nhiên điều nay cơ bản là tôi đồng ý với ý kiến của bạn "CHIẾN SĨ AN NINH".
Nhưng điều tôi không đồng ý là: thưc ra theo tôi "Không có bất cứ một thoả thuận nào giữa TQ và VN về hỗ trợ lẫn nhau trong an ninh và bảo vệ mạng truyền thông quốc gia". Có nhiều lý do, trong đó có lý do này. Trước các năm 80, Internet chưa có tại TQ và Việt nam. Chẳng ai lai đi bàn và ký kết các hiệp đinh liên quan đến mạng truyền thông. Sau các năm 80 thì hậu quả của các trận chiến TQ xâm lược VN năm 1979, trận chiến Trường sa 1988... rất nặng nề. Hai bên có nhiều bất đồng, chỉ "bằng mặt mà không bằng lòng", luôn luôn dò xét và canh chừng lẫn nhau. Một hiệp định quan trọng về thông tin, bảo mật như vậy rất khó được đề cập.
Tôi có hỏi một vài người bạn cùng học phổ thông, nay đang đảm nhân một vài chức vụ nào đó ở lưc lương ưu tú nhất của lưc lượng AN NINH, về sự hiện diện nếu có về một hiệp định như vậy. Câu trả lời của họ là "Không-Dứt khoát là Không"
4- Về mặt Trojan, Bot thì trong một quá trình lịch sử dài STL sử dụng nhiều loai Trojan khác nhau để lấy cắp thông tin và tấn công DDoS trên mạng: từ W32/VulcaBot (vào khoảng các tháng đầu năm 2010), đến VeceBot (vào khoảng các tháng cuối năm 2010) và loại Trojan hiện nay mà anh TQN đang phân tích một cách rõ ràng và khá hay, tạm gọi là "STLBot".
Các Trojan này đều có những điểm khá giống nhau và đươc cải tiến dần từ một số nguồn. Nguồn đầu tiên có lẽ là đươc viết ra từ các hacker Nga, trong tổ chức Mafia IT Nga tôi nói ở trên.
Điểm giống nhau là chúng đều được "nhúng" (embedded) vào các phần mềm hay tool thông dung mà rất nhiều, hay hầu hết người Việt nam thường dùng hay phải dùng: thí dụ VPSKeys hay Vietkey2000-2002 (trường hơp W32/VulcaBot), Vietkey2007, Unikey4.x...(trường hơp Vecebot hay các STL bot sau này).
Các phần mềm, tool này được đưa lên một số website VN để tiện download, trong đó có cả website đặt TQ, hoặc STL thâm nhập vào website VN (từ việc lấy cắp mật mã truy cập website) và nhúng trojan vào. Vì vậy số máy VN và nước ngoài (của bà con Việt kiều) bị nhiễm "STLBot" rất lớn
Các trojan trong các máy bị nhiễm mã đôc thường xuyên, tự động liên hệ với một số website để update thông tin, cấu trúc và địa chỉ tấn công DDoS...
STL sử dụng rất nhiều website loai này (tạm gọi là Master websites) và đặt ở rất nhiều nơi trên TG: Mỹ, Anh, Pháp, TQ, Việt nam..... Master website có khi chỉ là một website hosting ở webserver của một công ty dịch vụ web nào đó, có thể đặt trên một webserver riêng do chính STL quản lý (bỏ tiền ra mua, thuê), có thể là các webserver lưu động sử dụng hệ thống tên miền năng động (dynamic domain system) chạy wifi miễn phí....
STL đã tốn rất nhiều thời gian, công sức, tiền bạc (sự tốn kém đến mức kinh ngạc nếu ta thử tính toán, cộng lại các khoản chi phí) để làm việc phát tán virus, lấy cắp password email, quản lý website, blog, tấn công DDoS trên mạng, deface nhiều website...
Ai tổ chức và chi tiền cho việc này. Điều này nay đã khá rõ
5- Để chống lại các cuộc tấn công DDoS trên mạng một cách hữu hiệu, điều quan trong nhất và biện pháp duy nhất trong tình hình hiện nay, theo tôi, là phải tìm mọi cách phát hiện ra các Master website chỉ huy, điều khiển mạng bot và nhanh chóng vô hiệu chúng với mọi phương tiện có thể, cần thiết.
Điều trớ trêu là việc tìm ra các Master websites thưc ra lại không khó khăn gì. Chỉ cần người sử dụng máy tính (bị nhiễm bot và trở thành một zombie) biết được đia chỉ kết nối mà bot liên hệ đến, thông qua một chương trình kiểm soát thường xuyên các kết nối từ máy mình với mạng Internet, là xong.
Trong khi trên mang có tới hàng trăm ngàn máy tính, hay nhiều hơn, đang bị nhiễm bot và trở thành các zombies
|
|
|
hvthang wrote:
PXMMRF wrote:
Trong trường hợp áp dung WAN Dynamic IP thì dấu vết điểm chỉ (print point) của một người trên mạng sẽ là loại thiết bị họ dùng và quan trong hơn là MAC address của thiết bị đó.
Như là một người đi trên đường đội mũ bịt mặt (lấy cớ là ô nhiễm) thì dấu vết nhận biết là loại xe gắn máy anh ta đi và quan trong hơn là biển số của xe.
Trong system log của DSLAM (của ISP) có thể ghi IP động và MAC address của modem của các user tại từng thời điểm. Vì vậy cơ quan điều tra hay ISP có thể dễ dàng tìm ta IP động mới của user, căn cứ MAC address của modem. Vì vậy muốn an toàn thì kẻ gây án phải đổi thiết bị (tức là đổi MAC address).
Chưa kể trước khi kẻ gây án đổi IP động thì đã có người theo rõi và ghi đươc MAC address của thiết bị rồi. Khi đó không cần xem system log của DSLAM, mà chỉ cần rà xoát trên mạng.
MAC cũng quan trọng nhưng đâu quan trọng bằng username và password của phiên kết nối đó bác PXMMRF. Đây mới là căn cứ có cơ sở để xác thực một đối tượng nhận được IP vào một thời điểm nào đó của ISP.
Em nghĩ căn cứ này mới đủ mạnh. MAC hoàn toàn có thể đổi được nếu quay số từ máy tính (not modem), trước đây một số ISP fix MAC address với tài khoản (thay modem phải gọi điện mới vào mạng được) nhưng giờ họ không làm thế nữa.
Trong hầu hết trường hợp, tài khoản thuê bao và đường line vật lý thì đã được ISP fix.
Tất nhiên là nếu ISP mà điều tra một user thuê bao của mình thì làm sao user thoát được (thí dụ điều tra về việc trốn trả tiền thuê bao chẳng hạn).
Nhưng ở đây đang nói về điều tra chuyện khác cơ, chuyện phát tán virus và trojạn chẳng hạn. Khi đó thì các website khảo sát mạng online chỉ có thể xác định được IP của black-hat hacker và cao cấp hơn là MAC address của thiết bị nó đang dùng thôi chứ. Làm sao họ biết đươc username và password vào ADSL của hắn ta, mà thưc sự cũng không cần biết.
Ngoài ra nếu một ISP muốn điều tra-kết tội một user vì chuyện phát tán virus, trojan, spam (dù rất ít khi ISP làm việc này trong thưc tế) thì cũng phải bắt được tang chứng, vật chứng chứ (modem+server chứa đầy virus+ danh sách nạn nhân thông kê trong server....). Không thì đâu có chứng cớ buộc tội. Xác định đúng thủ phạm là việc khó, nhưng lấy được bằng chứng để có thể kết tội họ về các hành động xấu trên mạng thưc ra khó hơn nhiều
Ngoài ra ở nước ngoài các ISP cho phép user đổi password và username vào ADSL. Còn ở ta thì không quản được, nên cấm luôn. Hì hì
|
|
|
hvthang wrote:
@bác PXMMRF: việc STL đổi modem để xoá dấu vết như bác lập luận có phần chưa thoả đáng. Em thì nghĩ đơn giản là WAN IP của STL đã là động thì giá trị 123.21.140.237 không còn ý nghĩa gì nữa sau khi họ reset modem. IP đó có thể vẫn "sống" nhưng nó đã được cấp cho một thuê bao khác và thuê bao đó dùng modem khác.
Trong trường hợp vẫn IP đó và modem khác nhưng vẫn thực hiện các hành vi của STL thì mới có cơ sở để tạm thời kết luận là họ thay modem (em chưa tìm được chi tiết đó trong bài phân tích của anh TQN).
Trong trường hợp áp dung WAN Dynamic IP thì dấu vết điểm chỉ (print point) của một người trên mạng sẽ là loại thiết bị họ dùng và quan trong hơn là MAC address của thiết bị đó.
Như là một người đi trên đường đội mũ bịt mặt (lấy cớ là ô nhiễm) thì dấu vết nhận biết là loại xe gắn máy anh ta đi và quan trong hơn là biển số của xe.
Trong system log của DSLAM (của ISP) có thể ghi IP động và MAC address của modem của các user tại từng thời điểm. Vì vậy cơ quan điều tra hay ISP có thể dễ dàng tìm ta IP động mới của user, căn cứ MAC address của modem. Vì vậy muốn an toàn thì kẻ gây án phải đổi thiết bị (tức là đổi MAC address).
Chưa kể trước khi kẻ gây án đổi IP động thì đã có người theo rõi và ghi đươc MAC address của thiết bị rồi. Khi đó không cần xem system log của DSLAM, mà chỉ cần rà xoát trên mạng.
Cũng cần phải lưu ý là tuy STL dùng IP động nhưng lai muốn giữ IP không thay đổi trong 1 thời gian dài để tiên liên hệ (để mạng botnet có thể gửi thông tin về IP này). Đó cũng có khía cạnh mâu thuẫn giữa cần bí mật và muốn có sự tiện lơi.
Việc giữ IP động cho hệ thống của STL trong một thời gian đủ dài bằng cách nào thì tôi đã viết và bạn DLKC dưới đây đã bổ sung một cách khá thông minh rồi đấy.
To DLKC: Vấn đề là cơ quan điều tra sẽ ít nghi hay không để ý đến các user dùng hay được cấp IP động (như là ít người nghi kẻ đi bộ sẽ có thể cướp tiệm vàng ấy).
Còn đã nghi rồi thì tìm ra dễ thôi, như DLKC đã viết.
|
|
|
exception wrote:
Mình thấy bàn luận public việc truy tìm mấy thằng ôn STL này không có lợi lắm. Bọn nó chỉ cần vào đây, xem chúng ta biết những gì và tìm cách ứng phó trước.
Không, cũng cần phải nói ra đôi diều sự thật, để moi người biết.
Cũng để điều chỉnh lại cho đúng một số nhận định sai lầm, cho rằng STL là công an mạng VN, như một bài viết gần đây, đăng tải trên BBC http://bbc.com). Các bác BBC là không ít lúc mắc sai lầm, đăc biệt khi bàn về các vấn đề liên quan đến kỹ thuật mạng, IT. Hì hì
Công an của một đất nước, bất kỳ đất nước nào, với quyền hạn trong tay, họ không bao giờ làm những việc tẩn mẩn như STL đã làm vừa qua. Muốn không cho truy cập đến một website nào đó, họ chỉ cần làm một việc đơn giản là vô hiệu hoá DNS truy cập đến website này là xong. (Các ISP hầu hết trong tay họ hay họ có thể quản lý được)
Những thủ đoạn cài mã độc, lấy cắp password, tạo mạng botnet (cũng từ thủ đoạn trôm password..), tung tin nói xấu cá nhân một cách hèn hạ... vốn tốn rất nhiều thời gian, công sức, tiền bạc... và chỉ có thể thực hiện bởi những người làm theo lệnh, làm vì tiền mà thôi (tiền này từ ngoại bang đấy).
Phân tích thật kỹ, nghĩ đi nghĩ lại, các bạn có thể hiểu động cơ và mục đích của những việc làm của STL thời gian vừa qua. Nếu nghĩ là STL là một nhóm cực đoan, ghét những người dân chủ (lề trái) thì chắc là bạn đã nhầm. STL nguy hiểm hơn ta nghĩ. Tôi đang nói về vận mệnh của quốc gia trong tình hình hiện nay.
To: exception
Không phải HVA chúng tôi đã nói hết các thông tin ra đâu. Cũng chỉ một phần thôi
|
|
|
TRAO ĐỔI THÊM VỀ IP 123.21.140.237 CỦA NHÓM STL- MỘT CÁCH TIẾP CẬN KHÁC
Về IP này các bạn đã có một số ý kiến đáng tham khảo, như sau:
TQN wrote:
Cảm ơn anh conmale đã lên tiếng. Bà con đừng hùa nhau vào chửi rũa tohoangvu. Biết đâu chính tohoangvu cũng là nạn nhân của STL hay ai khác thì sao.
Cái thằng giấu mặt là thằng này nè: 123.21.140.237
cr4zyb0y wrote:
chủ thuê bao vnpt của ip 123.21.140.237 là ngokiennam / megavnn1
...........................
MAC Address
00:23:cd:c8:95:50
lúc mình vào thì có 1 cái máy đang sài là
wujianan-PC 192.168.1.100 00-24-1D-88-E4-79
.................................
mv1098 wrote:
@cr4zyb0y
Đây là dải ip động của VNPT khi nghi án reset modem thì ip này đã chuyển cho 1 khách hàng khác của VNPT. với hành vi của bạn sẽ bị qui vào tội truy cập trái phép thông tin khách hàng của VNPT, tự nhiên lòng tốt của bạn sẽ thành rắc rối cho bạn có thể là cho người khác, vui lòng không public những thông tin trên lên đây.
TQN wrote:
2 mv1098: Cái VNPT và cái modem đó có tính năng tranfer, hiển thị IP qua thằng người Hoa ở chổ khác xa lắc xa lơ à.
La vậy, em cũng đang dùng VNPT nè, nãy giờ nghe anh nói, em vào cái modem em, lục tới lục lui toàn ra IP mấy cái mấy trong nhà em không à. Sao lạ vậy, chả lẽ VNPT transfer IP của mình cho thằng nào khác lạ hoắc ở huyện #, tỉnh # thì nó alo cho mình à ?
Hay là thằng cha wujianan cùng ngồi trong cái nhà đó, cùng dùng chung cái modem đó để ra Internet ??. Cậu xem lại cái hình đi: DHCP IP Pool nhé. Modem nó cấp IP trong cái LAN đó cho thằng tàu khựa wujianan rành rành ra đó.
Cậu thừa biết vậy mà còn hù doạ em với bạn crazyboy nữa. Hu hu, em sợ quá !
Tôi có một số ý kiến, nhận xét như sau:
1- IP 123.21.140.237 đúng là một IP quan trọng, như nhận định của TQN. Nó nhiều khả năng là trung tâm thu nhận các thông tin nhóm STL gửi đến và từ đó chuyển các yêu cầu, lệnh đến các thành viên.
2- Có một số website kiểm tra IP trên mạng xác định đây là một IP tĩnh (WAN static IP), như website CBL, chuyên kiểm tra các website/IP phát tán virus, trojan hay spam trên mạng. Cho đến ngày trước ngày TQN phát hiện ra đia chỉ IP 123.21.140.237 là của STL, thì website CBL nói trên vẫn còn xác nhân IP này là nơi chuyên phân tán virus, trojan và được coi như là một "open proxy"
3- Tuy vậy, tôi vẫn xác định IP 123.21.140.237 chỉ là một IP đông (WAN dynamic IP). Có nghĩa là nó có thể được gán cho bất kỳ khách hàng/modem nào trong dải IP 123.21.140.0/254 do một DSLAM của VDC-VNPT quản lý
4- Tuy nhiên ta thấy một điều chắc chắn là thành viên (có thể là thành viên rất quan trọng) của STL đã từng sử dung IP 123.21.140.237, hay đã từng được VDC (ISP) gán cho địa chỉ IP này trong một thời gian khá dài trước đây. Chúng ta cũng cần thấy rằng nếu ta thường xuyên kiểm tra và kiểm tra trong các thời điểm khác nhau (sáng sơm, trưa, chiều, nửa đêm) tất cả các máy/modem nằm trong dải IP123.21.140.0/254 nói trên, sẽ thấy chỉ có khoảng trên dưới 100 máy (modem/computer) là "alive" (nối mang), số còn lai, hơn nửa còn lại là "dead" (không nối mạng). Số máy nối mạng (mà ISP phải cung cấp dịch vụ) ít hơn nhiều khả năng cung cấp sẵn có của nó.
Vì thế nếu thành viên STL luôn cắm điện và bật modem lên liên tục qua các ngày thì modem của hắn ta luôn được giữ đia chỉ IP123.21.140.237. Thậm chí ngay cả khi ngắt điện hay reboot modem, thì vẫn nhiều khả năng modem của STL vẫn được cấp địa chỉ IP 123.21.140. 237 như cũ (vì ISP đang thừa thãi IP động dư trữ, như nói ở trên).
5- Còn một điểm rất quan trong nữa là nếu thành viên STL áp dụng thường xuyên kết nôi "Bridge mode" cho modem, thì khả năng "mất " IP động cũ (123.21.140. 237) càng khó xảy ra. Vì với Bridge mode thì dòng dữ liệu (hay gọi là dòng packet cho nó... khó hiểu để doạ ai đó... hi hì) từ Internet vào sẽ không qua NAT của modem, có thể coi như bỏ qua modem và vào thẳng một router nối sau modem hay đến thẳng máy tính (computer). Lúc này WAN dynamic IP (123.21.140. 237) từ DSLAM sẽ đươc cấp, gán thẳng cho card mạng (NIC) của computer (chứ không phải cho modem, như khi áp dung PPPoE mode) và muốn truy cập Internet thì user phải đánh username và password do ISP cấp để truy câp ADSL ngay trên một cửa sổ máy tính, chứ không phải trên modem (Ngoài Win XP, để áp dụng Bridge mode, một sô HDH khác phải cài các phần mềm hỗ trợ).
Chúng ta để ý kỹ còn sẽ thấy thêm là ngoài Bridge mode thành viên STL còn áp dụng RFC 1483 cho nhiều máy/kết nối. (Xin xem lai hình post trên của bạn cr4zyb0y. Cám ơn cr4zyb0y nhiều) Tai sao như vậy?. Đây chính là vấn đề thú vị. Nhưng vấn đề này ta sẽ thảo luận sau.
6- Câu hỏi đặt ra là tại sao STL lai dùng một WAN dynamic IP để liên lạc, thông tin mà không dùng một static IP, khi mà thuê một static IP chỉ mất thêm vài trăm ngàn một tháng, trong khi STL chắc chắn có sự hỗ trợ nhiều mặt, hỗ trợ tài chính dồi dào, thoải mái từ một nước ngoài (repeat: from one big foreign country).
Câu trả lời là: dù có những nhược điểm rõ ràng về nhiều mặt, nhưng WAN dynamic IP lại có một ưu điểm tuyệt đối là giữ được bí mật cho người dủng, rất khó truy tìm dấu vết họ, vì moi người có thể có nhận định là: Không thể căn cứ vao đia chỉ IP động để bắt tội cho ai được, vì IP này có thể được gán cho bất kỳ ai trong pham vi dãy IP do một DSLAM quản lý. Nhưng đó là nhận định chưa đúng trong 1 số trường hợp, như tôi nói ở trên.
Ngoài ra với kỹ thuật sử dụng Dynamic domain system (hệ thống tên miền năng động) thì STL hoàn toàn có thể thiết lập một website sử dụng WAN dynamic IP. Website này có nhiệm vụ thu thập thông tin và ra lệnh hành đông cho mạng botnet mà STL đã thiết lập. Rất kín đáo, bí mật, vì chỉ cần dùng dynamic domain loại miễn phí (free) là xong. Thưc ra STL đã làm điều này và tôi cũng đã nói đến điều đó trong topic" Sinh tử lệnh, một số thông tin về nhóm này" trong box "Những thảo luận khác" forum HVA này.
7- Khi dùng Dynamic IP thì có thể giấu đươc thân phận, như đã nói ở trên. Nhưng trong đời không có gì là kín tuyệt đối vì người dùng dễ bị lộ hiệu (model) của modem-router kết nối với IP và quan trong hơn là MAC address của modem-router này. Như chúng ta có thể đã biết, chỉ cần truy câp với đia chỉ thí dụ như http://123.21.140. 237 là ta có thể truy cập đến cửa sổ đăng nhập vào modem cũng như biết hiệu của nó (đôi khi có thể phải dùng các OS và hoặc các browser khác nhau). Check thẳng vào nó thì còn có nhiều thông tin hơn.
Tôi cho rằng khi anh TQN phát hiện ra đia chỉ IP 123.21.140. 237 thì STL thấy động vội đổi modem từ ZoomX5 sang TP-LINK để xoá dấu vết liên quan đến thiết bị sử dụng. Tuy nhiên có thể do vội nên họ chưa kip thay đổi password vào modem, vẫn để chế độ măc định. Sau đó có thể do bạn cr4zyb0y thay đổi password vào modem và (phải) reboot lại hệ thống nên đia chỉ IP động của modem TP-LINK lúc đó thay đổi. Không loại trừ khả năng STL cố tình thay đổi IP đông cho modem
Nhưng địa chỉ mới cũng bắt buộc phải nằm trong dải IP IP 123.21.140. 0/254. Không thể nào khác.
Hiên nay trên dải IP nói trên có một modem hiêu HUAWEI có configuration về service và PVC0, PCV1, PVC2.... y hệt như trên TP-LINK với việc sử dung các Bridge mode kèm RFC 1483. STL có lẽ lai đổi modem một lần nữa.
Xin chú ý RFC 2684 ra đời thay thế RFC 1483
8-Cũng như vậy, trên dải IP 115.75.108.0/254 cũng hiện đang có một modem TP-LINK TD-8817 model, cài đặt cấu hình y hệt như modem TP-LINK (hay HUAWEI) trên dải IP 123.21.140. 0/254
Chú ý là anh TQN phát hiện ra 2 IP động mà STL đã dùng để phát tán virus, trojan, liên lac....là 123.21.140. 237 và 115.75.108.86, chứ không phải chỉ có 123.21.140. 237
................
(Còn tiếp- Bài viết sau tôi sẽ đề cập đến Bridge mode với RFC 1483 mà STL đã áp dung cho nhiều máy trong mang LAN của họ)
|
|
|
TQN wrote:
Không có gì đâu anh, svchost.exe là Service Host Control Process. Nó quản lý việc khởi tạo, run, stop... tất cả các service trong Windows.
ipripv6.dll đăng ký nó như một service DLL, run trong process memory space của svchost.exe
Service Name: Iprip
Service cmdline: %SystemRoot%\System32\svchost.exe -k netsvcs
ServiceDLL: path của chính nó, ipripv6.dll
......................
OK! Thanks
TQN và các bạn tham khảo bản phân tích này. Tôi ghi chú các bình luận của mình từ 31-5-2011, định post lên để các bạn tham khảo thêm cho vui, nhưng vì bận thảo luận cái việc Hacker VN vs Hacker Tầu từ ngày 1-6-2011 cho đến nay nên quên khuấy. Nay xin post lại
|
|
|
TQN wrote:
Tối qua nhậu quắc cần câu, giờ mệt quá, ở nhà, mở ipripv6.idb với IDA 61, switch debugger qua Local Bochs debugger, PE mode, decode một loạt các string của nó. Quá đã, chỉ cần Set IP ở các địa chỉ call hàm Decode, trace mấy phát, lòi ra hết. Bochs chạy êm ru, không trục trặc gì cả.
Decode xong mới phát hiện STL còn dùng một keylog dll khác, xem trong hình các bạn sẽ thấy: CDRWapi.dll. Nếu ipripv6.dll detect có hardkdb.dll trong Windows\ime directory thì load nó, còn không thì load %AppData%\Microsoft\Windows Media\CDRWapi.dll.
File này máy em không có, bà con ai có share em với. Hay là STL chưa release ? Thôi, mấy anh STL có nó thì gởi vào hộp mail Google hay Yahoo của em một bản với
1- TQN kiểm tra kỹ lại xem khi decode LoadWbmainDLL+2C9 thì nó ra một service nằm trong system32 là "svchost.exe" (System32/svchost.exe) hay là svchost.exe -k netsves
Vì svchost.exe là một service gốc trong Windows, nó chuyên dùng cho một số dịch vụ quan trong của chính Windows
Xin tham khảo lại bài viết liên quan của mình tại trang 2 của chính topic này:
Theo tôi, nếu gặp những khó khăn như trên, có thể nghĩ đến một cách tiếp cận khác. (sau đó có thể quay lai cách tiếp cận cũ)
Các file .dll (hardkbd.dll- keylogger và wbmain.dll-downloader) mà chúng ta đang disassembling có những mối liên hệ với một service quan trong mà Trojan thiết lập mới trong hệ thống, có nhiệm vụ tạo socket kết nối Internet với máy chủ -website của hacker, để chuyển thông tin lấy cắp và nhận lệnh (thí dụ website smartshow.info)
Service này, trong các malicious tool (ware) của STL hay của các Chinese hacker khác thường là "iprip", tiến trình của nó là svchost.exe -k netsves (chú ý phân biệt với svchost.exe gốc của Windows-local service)
Vì bận quá, nên tôi chưa có thời gian phân tích kỹ 2 file dll nói trên và cho chay file virus.doc trên máy thật. Vả lại có phân tích thì cũng không bằng TQN được. Tuy nhiên đã socket spying sơ qua file tiến trình svchost.exe -k netsves nói trên
2- Ngoài ở đây "Set IP" thì IP là IP gì theo ý TQN?
|
|
|
andrewsvu wrote:
Cảm ơn <<quanta>> đã trả lời và cho gợi ý. Nhưng :
Server 2: Chạy Apache : tôi đã cấu hình VirtualHost ...nếu chạy website trên Server 2 thì ko có vấn đề.
Nhưng trong phần VirtualHost có mục documentroot tôi sẽ phải xử lý sao?
Server 1 : Chạy IIS mở port 8080.. chạy localhost thì okie nhưng chạy từ ngoài internet thì chỉ vào website chính theo cấu hình của Apache thôi...
Xin Mod chỉ dùm.. làm sao dùng Mod_proxy để wwwect qua được....
Rất mong được giúp đỡ.
Chân thành cảm ơn.
Client bên ngoài muốn truy cập vào IIS (Win2008) thay vì Apache (cài trên CentOS5.5) phải thay đổi command
Thí dụ vào vào Apache là http://yourwebsite.com, thì muốn vào IIS phải là:http://yourwebsite.com:8080 (vì bạn đã cài IIS và active nó tại cổng 8080 của máy, cũng như mở cổng 8080-8080 trên modem-router khi NAT)
- Update CentOS lên CentOS 5.6 (version mới ban hành)
|
|
|
THÔNG TIN VỀ DOMAIN SMARTSHOW.INFO VÀ WEBSERVER HOSTING WEBSITE SMARTSHOW.INFO
Như các bạn đã biết, anh TQN sau khi disassembling các malicious file của nhóm STL đã phát hiện ra
trojan nhúng trong các file này có một service sử dụng để mở một Internet socket kết nối đến một website có tên miền là smartshow.info. Website đóng vai trò tiếp nhận các thông tin mà trojan lấy cắp từ máy nạn nhân, cũng như gửi đến trojan các lệnh (command) mới.
Khi anh TQN phát hiện ra smartshow.info thì website này đã không còn active (hiện diện) trên mạng, cho đến nay. Do vậy không thể biết được trước đó website này được hosting trên webserver nào và đặt ở đâu.
Tuy nhiên bằng một vài kỹ thuật riêng, kèm với đôi chút kinh nghiêm, chúng tôi đã tìm ra IP của webserver trước đó đã hosting website smartshow.info của nhóm STL, cũng như vị trí đặt webserver này.
(Thông tin về webserver chúng tôi tìm ra khoảng nửa ngày sau bài viết công bố tìm thấy tên domain smartshow.info của anh TQN, nhưng giờ mới tiện đăng)
A- Trước hết cập nhật thông tin mới của domain smartshow.info
Ngày hôm nay 17-6-2011 whois information của domain như sau:
Domain ID32531112-LRMS
Domain Name:SMARTSHOW.INFO
Created On:22-Apr-2010 11:06:53 UTC
Last Updated On:02-Jun-2011 03:00:28 UTC
Expiration Date:22-Apr-2012 11:06:53 UTC
Sponsoring Registrar:OnlineNIC, Inc. (R170-LRMS)
Status:CLIENT HOLD
Status:CLIENT TRANSFER PROHIBITED
Status:PENDING DELETE RESTORABLE
Status:HOLD
Registrant ID:OLNI_196680_0_0
Registrant Name:Domain ID Shield Service
Registrant Organizationomain ID Shield Service CO., Limited
Registrant Street1:1102-1103,11/F,Kowloon Bldg.,555 Nathan Rd.,Mongkok,Kowloon
Registrant Street2:
Registrant Street3:
Registrant City:Hong Kong
Registrant State/Province:Hong Kong
Registrant Postal Code:999077
Registrant Country:CN
Những điểm chú ý trong information:
1- Địa chỉ người đăng ký domain là ở Kowloon, Hong công. Ở Hồng công có hai khu là khu Hồng công và Kowloon, như trước đây TP HCM có hai khu là Sài gòn và Chợ lớn. Khu Hong công là trung tâm thương mại, hiện đại, còn Kowloon thì cách Hong công một eo biển, là khu kém phát trển hơn, chủ yếu là sản xuất nhỏ, nông nghiệp và sát với Trung hoa lục địa
2- Domain này mua dịch vụ bảo vệ thông tin, nên một số thông tin trên whois đươc giấu, thí dụ địa chỉ email của người sở hữu domain.
3- Điểm quan trong nhất là domain này dù chưa hết hạn nhưng đang bị registrar đưa vào trang thái: PENDING DELETE RESTORABLE
Trang thái (status) này được hiểu là: không đươc cập nhật, thay đổi (update) thông tin của domain trong thời gian tới, ít nhật là trong 40 ngày tới. Sau đó registrar sẽ tiếp tục giữ domain ở trang thai này thêm 30 ngày (và rồi có thể bán lại cho người khác...)
B- Webserver đã từng hosting website smartshow.info
Webserver này có IP tĩnh là 173.45.73.121, computer name (host name) là 79.49.2d.static.xlhost.com. Công ty xlhost.com quản lý webserver này
IP tĩnh nói trên do công ty sau đây quản lý và địa chỉ của nó:
OrgName: eNET Inc. (Tên công ty)
Address: 3000 East Dublin Granville Rd.
City: Columbus
StateProv: OH
PostalCode: 43231
Country: US
Địa chỉ trên đây (Columbus, OH. USA) cũng chính là địa chỉ địa lý đặt webserver đã từng hosting website smartshow.info của nhóm STL
(Còn tiếp)
|
|
|
thaovn wrote:
http://www.domaintools.com/research/whois-history/?q=SMARTSHOW.INFO&page=results&submit=Look+up
Các lần change whois info của nó , anh em nào có thẻ tín dụng thì mua cai pro account check giùm sẽ ra chi tiết !
2007
2007-11-05
2008
2008-04-14
2008-04-27
.............
2010-04-23
2010-11-30
2011
2011-01-22
2011-03-18
2011-04-20
.........
2011-05-31
Mua thế nào được cái Pro account. Giá là 10 USD cho 01(một) ngày và chỉ được xem 01(một) domain (whois history) mà thôi. Hì hì
To TQN: anh sẽ post lên các thông tin về SMARTSHOW. INFO ( IP, webserver, Location...). Đã có thông tin từ lâu nhưng bận quá (bận cái vụ Hacker VN vs Hacker Tầu) nên chưa post lên được.
Sorry
|
|
|
conmale wrote:
.
....................................................
2. VulcanBot trong thời hoạt động trỏ về 7 hosts khác nhau, trong đó có một dynamic host sử dụng dyn dns có tên là: tyuqwer.dyndns.org. Theo cache lưu của nhiều nơi trên Internet, tyuqwer.dyndns.org có IP là 112.78.5.79, một IP thuộc "Công ty Cổ phần Dich vụ dữ liệu Trực tuyến" có văn phòng chính ở Q.3, TPHCM.
...........................................................
4. Domain name: update-adobe.com hiện do đám onlineNIC ở HK, CN quản lý. STL đã dời hầu hết các tên miền quan trọng của họ về registrar này ở CN. Nếu đám tạo VulcanBot này cũng chọn OnlineNIC này để lưu trú như STL thì quả là thú vị .
PS: Ngân ơi, để anh gởi em thêm vài món khá mới để em RE tiếp cho vui cửa vui nhà .
(2) Bọn này (chắc là STL) hơi buồn cười. Sử dụng tên miền năng động (dynamic system domain -dynamic host)
cho một webserver cốt là để có thể thiết lập một webserver với một WAN dynamic IP, khi không có một WAN static IP. Đây cũng là cách để giấu (một cách hiệu quả) vị trí địa lý đặt webserver. Thế mà các bác ấy lại config. "dyndns update (IP) soft" với một IP tĩnh, dù rằng trên soft nói trên cũng có option này. Ngu ngơ quá đi thôi. Chắc phải vào HVA forum đọc thêm vài bài.
(4) Trụ sở tại HK (China) của các bác này còn có những chuyện bí mật khác. Hì hì
Registrar của cái domain SMARTSHOW.INFO của STL mà TQN mới phát hiện ra cũng là OnlineNIC
|
|
|
TQN wrote:
hardkbd.dll thì em đã up cho Kaspersky lab để phân tích rồi. Em cũng gởi kèm file IDA .idb của em luôn.
Tiếp theo, chúng ta sẽ tiếp tục với đám bot của tụi STL này. Đám bot này Zorro gởi cho tui, không biết sao Zorro lại dính nó. Và chắc chắn đám bot này là của tụi STL, không chạy đi đâu được. Dưới đây là file config của đám bot này:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd";>
<html xmlns=\"http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="description" content="Diễn đàn X-Cafe - Tôn trọng sự khác biệt trên tinh thần duy lý">
<link rel=StyleSheet href="/verification/verification.css" type="text/css" media="screen,print">
<title>Dien dan X-cafe - Ton trong su khac biet tren tinh thanh duy ly</title>
</head>
<body>
<div id="outer">
<div id="header"><h1>Diễn đàn X-Cafe - Tôn trọng sự khác biệt trên tinh thần duy lý</h1></div>
<div id="main">
<form action="/verification/index_captcha.php" method="GET">
<input type="hidden" name="auth_key" value="94d3fa0375ca9e22b54f431051c797d2">
<input type="submit" value="Bấm vào đây để đi tiếp">
</form>
</div>
</div>
</body>
</html>
KAV đã phát hiện ra toàn bộ wscntfy.* này là Vecebot, vì vậy em phải tạm tắt KAV
Mục đích cuối cùng của em là tìm cho ra thằng nào up msdata.vxd chứa keypress của em lên cho tụi STL để nó hai lần vào lấy account HVA, Yahoo của em.
Các file .vxd là của Microsoft, sản phẩm của lão Bill Gate từ những năm 95, 96 gì đó và chúng đã có trong Windows 95, 98.... Tuy nhiên tôi không thấy Microsoft có "ban hành" một file .xvd nào có tên là msdata. Rõ ràng đây là một file của STL, như TQN đã nhận định.
File .xvd thuộc loai file liên quan đến "Virtual Device Driver" (nhưng sao Ms không đặt đuôi file là .vdd nhỉ?. Hì hì). File này hỗ trợ việc chạy một file .exe trong một quá trình liên quan đến Device Drivers, thí dụ quá trình cài đặt các Driver của một số hardware trên hệ thống hay update driver trên mang.
Trong Win XP (SP3) và Win 2K3 của tất cả các máy tôi đang dủng và cài đặt, config. cho anh em cơ quan ... tôi không thấy sự hiện diện của file msdata.vxd. (Mà hầu hết hay tất cả các Win này đều là dùng chùa cả ... Hì hì. Nghèo nên không đủ tiền mua). Tôi chỉ thấy có file là dsound.vxd. File này dường như cần thiết để chứng tỏ hệ thống có thể cài đươc vào một loai GAME nào đó (DX game chăng?)
TQN xem vừa qua có cài một soft. (có crack) nào đó mà quá trình cài có liên quan đến Virtual Device Driver không?
Thí dụ một chương trình tạo máy ảo trên nền Windows chẳng hạn?
(Dường như STL biết tìm cách mời chào những món hàng cao cấp cho những người có kỹ thuật cao cấp và chỉ chờ cơ hôi họ quá bận bịu vì công việc, nên có lúc vô tình dùng món hàng độc. Thâm như T... là vậy)
|
|
|
TQN wrote:
Tính post tiếp nhưng tới lúc decode xong lại thấy ngờ ngợ, hình như là, khoãng 50%, wbmain.dll có lẽ không phải của STL, nhưng cũng có thể. Bà con ai nhớ cái: www.adobe-upgrade.com và AdobeUpdateManager.exe không ?
AdobeUpdateManager.exe hình như là 1 con Bot, còn server adobe-upgrade.com thì down lâu rồi, whois, google không thấy. Không lẽ tui đi sai hướng.
Hiện tại trong đống virus database lưu trên máy tui, thấy rõ 2 trường phái coding khác nhau. Version của 2 đám này cũng lung tung hết, không xác định được.
Nếu thật là sai hướng thì xin lỗi anh em, đã làm mất thời gian của anh em theo dõi tọpic này.
AdobeUpdateManager.exe có nhúng vào một bot. Việc này McAfee phát hiện cách đây khoảng nửa năm gì đó. McAfee có thông báo trên một blog của họ và tôi có hai ý kiến trong phần comment.
wbmain.dll thì Kaspersky đã phát hiện cách đây vài tháng gì đó và phân loại nó là một downloader Trojan (Trojan.Downloader.Win32.Agent.ffxc), PE compact file. Hãng Ikarus cũng đã detect ra con này trước đây.
Hardkbd.dll và wbmain.dll đã xuất hiện từ năm 2007 (tác giả đầu tiên có lẽ là các hacker Mỹ hay Nga) và đươc sử dung như một file "thông dụng-hiệu quả" để nhét vào nhiều loai Trojan khác nhau. STL và các hacker Trung quốc nói chung thích "sử dụng" các file này và cải tiến chúng trong quá trình sử dụng. Thí dụ gần đây chúng đưa vào các "Keymaker" để tạo ra các key-serial no. dùng cho 1 chương trình cài đặt VM (máy ảo) trên một hệ thống Windows.
Gần đây AntiVir (tác già phần mềm nổi tiếng Antivirus Avira) và hãng Dr.Web (một hãng IT và Antivirus đang lên của Nga-Liên xô cũ) cũng đã detect ra Hardkbd.dll như là một Trojan
Quá trình compile và disassembling hai file dll nói trên của TQN khá hay và mang lại nhiều thông tin hữu ích. Cám ơn TQN
|
|
|
TQN wrote:
Tính post tiếp nhưng tới lúc decode xong lại thấy ngờ ngợ, hình như là, khoãng 50%, wbmain.dll có lẽ không phải của STL, nhưng cũng có thể. Bà con ai nhớ cái: www.adobe-upgrade.com và AdobeUpdateManager.exe không ?
AdobeUpdateManager.exe hình như là 1 con Bot, còn server adobe-upgrade.com thì down lâu rồi, whois, google không thấy. Không lẽ tui đi sai hướng.
Hiện tại trong đống virus database lưu trên máy tui, thấy rõ 2 trường phái coding khác nhau. Version của 2 đám này cũng lung tung hết, không xác định được.
Nếu thật là sai hướng thì xin lỗi anh em, đã làm mất thời gian của anh em theo dõi tọpic này.
AdobeUpdateManager.exe có nhúng vào một bot. Việc này McAfee phát hiện cách đây khoảng nửa năm gì đó. McAfee có thông báo trên một blog của họ và tôi có hai ý kiến trong phần comment.
wbmain.dll thì Kaspersky đã phát hiện cách đây vài tháng gì đó và phân loại nó là một downloader Trojan (Trojan.Downloader.Win32.Agent.ffxc), PE compact file. Hãng Ikarus cũng đã detect ra con này trước đây.
Hardkbd.dll và wbmain.dll đã xuất hiện từ năm 2007 và đươc sử dung như một file "thông dụng-hiệu quả" để nhét vào nhiều loai Trojan khác nhau. STL và các hacker Trung quốc nói chung thích "sử dụng" các file này và cải tiến chúng trong quá trình sử dụng. Thí dụ gần đây chúng đưa vào các "Keymaker" để tạo ra các key-serial no. dùng cho 1 chương trình cài đặt VM (máy ảo) trên một hệ thống Windows.
Gần đây AntiVir (tác già phần mềm nổi tiếng Antivirus Avira) và hãng Dr.Web (một hãng IT và Antivirus đang lên của Nga-Liên xô cũ) cũng đã detect ra Hardkbd.dll như là một Trojan
Quá trình compile và disassembling hai file dll nói trên của TQN khá hay và mang lại nhiều thông tin hữu ích. Cám ơn TQN
|
|
|
quangredlight wrote:
Hi bác TQN
em đọc cái decode thì chỉ biết nó decode ra 6 cái địa chỉ , và dùng 1 hàm để lấy random 1 trong 6 cái đấy và connect gửi thông tin lên, xor 0x1D
cái decode này em ko phân tích IDA được, toàn cho vào máy ảo rồi Olly thôi, đang ngồi hóng các cao thủ cho giải pháp decode nó, thật sự đọc cái decode này mà phát điên luôn ý, rối kinh khủng
Giờ máy em đang điên điên , chắc phải cài lại win rồi mới làm tiếp được
Theo tôi, nếu gặp những khó khăn như trên, có thể nghĩ đến một cách tiếp cận khác. (sau đó có thể quay lai cách tiếp cận cũ)
Các file .dll (hardkbd.dll- keylogger và wbmain.dll-downloader) mà chúng ta đang disassembling có những mối liên hệ với một service quan trong mà Trojan thiết lập mới trong hệ thống, có nhiệm vụ tạo socket kết nối Internet với máy chủ -website của hacker, để chuyển thông tin lấy cắp và nhận lệnh (thí dụ website smartshow.info)
Service này, trong các malicious tool (ware) của STL hay của các Chinese hacker khác thường là "iprip", tiến trình của nó là svchost.exe -k netsves (chú ý phân biệt với svchost.exe gốc của Windows-local service)
Vì bận quá, nên tôi chưa có thời gian phân tích kỹ 2 file dll nói trên và cho chay file virus.doc trên máy thật. Vả lại có phân tích thì cũng không bằng TQN được. Tuy nhiên đã socket spying sơ qua file tiến trình svchost.exe -k netsves nói trên
(Bận quá, đang mắc nợ 2 bài mà chưa viết được, thông tin thì đã đủ. Sorry)
|
|
|
|
|
|
|