|
|
covirut, tạm thời mong bạn đừng scan virus với phần mềm diệt virus nào cả vì sẽ mất dấu vết (tạm thời bạn đừng dùng máy tính bị nhiễm trojan này mà hãy sang một máy sạch khác, đổi pasword tất cả các tài khoản cần thiết ngay), mình muốn tìm thêm đám trojan nằm vùng ở máy tính của bạn, bạn hãy thực hiện theo bài viết hướng dẫn mình vừa gửi ở trên nhé .
|
|
|
Đây là bài viết được mình gửi lên diễn đàn HVAOnline vào cuối tháng 8 năm 2011 để giúp đỡ các bạn cung cấp thông tin điều tra thêm về trojan, virus của nhóm hacker stl, vấn nạn này vẫn đang rất thời sự nên mình gửi lại ở đây cho mọi người tham khảo:
Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau:
Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/
Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line)
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/
Hướng dẫn scan và gửi log TCPView
http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/
Lưu ý:
Mình chỉ nhận xem các file log cho các máy tính có triệu chứng nhiễm virus của stl rõ ràng.
Các bạn cần tắt tất cả các trình duyệt web trên máy, sau đó dùng phần mềm TCPView, SmartSniff hay các chương trình tương tự để xác định máy tính của bạn có kết nối tự động đến một trong các website sau hay các website nào khác hay không:
1. http://danlambaovn.blogspot.com
2. http://www.aihuuphuyen.org
3. http://nguoiduatinkami.wordpress.com
4. http://vrvradio.com
5. http://aotrangoi.com
6. http://viettan.org
7. http://dangviettan.wordpress.com
8. http://radiochantroimoi.com
9. http://radiochantroimoi.wordpress.com
10. http://vietnamnet.vn
11.
Nếu có thì khi gửi các file log cho mình, các bạn vui lòng ghi rõ website nào mà máy tính của bạn đang tự động kết nối đến vì mình chỉ kiểm tra cho các máy nào có dấu hiệu nhiễm virus của stl.
|
|
|
Mã độc "đồn trú" trên Unikey | Thanh Niên Online
http://www.thanhnien.com.vn/pages/20120302/ma-doc-don-tru-tren-unikey.aspx
02/03/2012 15:16
(TNO) Công ty bảo mật CMC Infosec nhận định mã độc đã được tin tặc "cấy" vào trang chủ Unikey.org từ giữa tháng 1.2012 trước khi tiến hành phát tán rộng rãi và khẳng định hiện đã có công cụ độc lập để loại bỏ mối nguy hại này trên máy tính người dùng.
Cụ thể, khi người dùng tải về bộ gõ Unikey từ trang chủ Unikey.org, thay vì nhận được một ứng dụng "sạch" thì thay vào đó là một ứng dụng giả mạo kèm mã độc (dạng trojan). Hay nói chính xác, tin tặc đã "chuyển tiếp" lệnh tải về của người dùng đến một trang web giả mạo phần mềm Unikey và cung cấp bản tải về là một phần mềm chứa mã độc.
Trong thông cáo báo chí phát đi chiều 2.3 (một ngày sau khi sự cố liên quan đến Unikey được phát hiện), công ty CMC Infosec đã cung cấp một công cụ tải về miễn phí mà qua đó có thể loại bỏ mã độc này. Người dùng có thể tải về công cụ này từ địa chỉ http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip .
Giao diện công cụ quét mã độc trên Unikey của CMC Infosec - Ảnh do CMC cung cấp
Trao đổi với phóng viên Thanh Niên Online, ông Võ Đỗ Thắng - Giám đốc trung tâm đào tạo an ninh mạng ATHENA - cho biết đây thực chất là một hình thức cấy trojan vào phần mềm, do đó khi người dùng tải về phần mềm (trong trường hợp này là Unikey) thì cũng sẽ tải về trojan. Khi phần mềm được cài vào máy tính, máy tính đương nhiên dính trojan.
"Đây là một kỹ thuật đánh lừa người sử dụng. Máy tính nhiễm trojan sẽ bị điều khiển bởi tin tặc và điều này có thể gây hậu quả khôn lường", ông Thắng nhận định.
An Huy
|
|
|
Bộ gõ Unikey bị nhúng mã độc, lây nhiễm lan rộng - Nhịp Sống Số - Tuổi Trẻ Online
http://nhipsongso.tuoitre.vn/Nhip-song-so/480307/Bo-go-Unikey-bi-nhung-ma-doc%C2%A0lay-nhiem-lan-rong%C2%A0.html
TTO - Sau khi chiếm quyền điều khiển website Unikey.org, tin tặc đã thay đổi địa chỉ tải bộ gõ tiếng Việt Unikey sang một địa chỉ giả mạo. Hơn 23.000 người dùng đã bị lây nhiễm mã độc và con số tiếp tục tăng nhanh.
Hack website, nhúng mã độc
Ngày 1-3, thành viên bolzano_1989 từ diễn đàn Hacker Vietnam (HVA Online) đã cảnh báo về website Unikey.org bị hacker chiếm quyền kiểm soát và chuyển hướng tải bộ gõ tiếng Việt Unikey sang một trang giả mạo do hacker này tạo ra.
Hacker đã rất tinh vi trong kỹ thuật đánh lừa các nạn nhân khiến họ không thể nào biết được mình đang truy cập vào một địa chỉ giả mạo gần giống với địa chỉ thật tại SourceForge.net, vô tư tải về bộ gõ Unikey đã có kèm mã độc. Cụ thể là hai địa chỉ: sourceforge.net/projects/unikey/ (thật) và sourceforge.net/projects/unjkey (giả), khác biệt ở chữ i và j.
Website Unikey.org bị chiếm quyền điều khiển và liên kết tải bộ gõ Unikey cũng bị đổi sang địa chỉ giả mạo sourceforge.net/projects/unjkey
Địa chỉ web giả mạo sourceforge.net/projects/unjkey, cung cấp bộ gõ Unikey có kèm mã độc
Unikey là bộ gõ tiếng Việt mã nguồn mở do tác giả Phạm Kim Long phát triển và cung cấp miễn phí sử dụng từ website Unikey.org. Unikey là một trong những phần mềm hỗ trợ gõ tiếng Việt trên máy tính dùng Windows được sử dụng rộng rãi nhất, bởi các tính năng như nhỏ gọn, tiện dụng, linh hoạt và không cần cài đặt.
Số lượt tải về mỗi ngày vào khoảng 3.000 lượt từ người dùng Việt khắp nơi trên thế giới (số liệu thống kê từ SourceForge, website cung cấp dịch vụ lưu trữ cho các phần mềm nguồn mở).
Ngay sau khi phát hiện vụ việc, nhóm quản trị HVA Online đã tích cực liên hệ tác giả Phạm Kim Long để xử lý. Ngày 2-3, SourceForge đã chính thức xóa sổ trang giả mạo và tác giả Phạm Kim Long cũng đã lấy lại được quyền điều khiển website Unikey.org. Tuy vậy, hậu quả của vụ tấn công có mục đích này rất nghiêm trọng.
Mối nguy hại rất lớn
Theo trao đổi với Nhịp Sống Số, từ phân tích của nhóm thành viên HVA Online cho thấy có thể xâu chuỗi đợt tấn công này với các đợt tấn công tương tự vào nhiều website Việt Nam trong năm 2011. Với cùng cách thức tương tự, chiếm website, rải mã độc, một nhóm hacker đang thu thập thêm số lượng "máy tính ma" (zombie), bổ sung vào đội quân botnet, phục vụ các chiến dịch tấn công từ chối dịch vụ DDoS.
"Khác với các đợt tấn công trước đây, đây là dạng tấn công vào nguồn, gần như chưa bao giờ xảy ra tại Việt Nam và cũng rất hiếm khi xảy ra trên thế giới. Qua đó cho thấy mức độ phức tạp của các đợt tấn công mới và năm 2012 sẽ đón nhận thêm nhiều cuộc tấn công tương tự", theo nhận định từ thành viên xnohat từ HVA Online.
Sau khi phân tích mã nguồn, nhóm điều tra từ HVA Online cũng cho biết loại mã độc được nhúng vào bộ gõ Unikey có cấu trúc tương tự loại mã độc được phát hiện trong các phần mềm lậu được phát tán trên nhiều website hay diễn đàn tại Việt Nam. Một số phần mềm lậu được nhiều người ưa chuộng tải về là IDM (Internet Download Manager) cũng bị "dính" mã độc trên và "rất khó bị phát hiện". Mã độc chỉ là một module nhỏ đóng vai trò downloader, sau khi lây nhiễm vào hệ thống sẽ chịu trách nhiệm tải thêm các module gây hại khác về máy tính nạn nhân tùy thuộc chủ đích của chủ nhân.
Trong năm 2011, các thành viên của HVA Online cũng phát hiện một số mã độc, tình nghi cùng một nhóm tội phạm phát tán, đã biến rất nhiều máy tính người dùng ở Việt Nam thành công cụ để tấn công DDoS vào các website có chủ đích. Thông tin ban đầu cho thấy tổ chức tội phạm này rất tinh vi và chuyên nghiệp. Hiện vẫn chưa thể truy vết được cụ thể.
Đáng lo ngại hơn, hầu hết người dùng đã tải về bộ gõ Unikey có nhiễm mã độc trên sourceforge.net trong khoảng thời gian từ ngày 30-1 đến 2-3-2012 đều không biết máy tính của mình đã nhiễm mã độc. Hơn nữa, do cấu trúc phân mảnh phức tạp của loại mã độc mới này chưa được các chương trình anti-virus phổ biến hiện nay nhận diện nên chúng vẫn ung dung sống trên máy nạn nhân.
Ngoài ra, bộ gõ Unikey nhiễm độc sẽ tiếp tục được phát tán một cách vô ý thông qua các chủ nhân của những website hay diễn đàn, họ đóng góp file đã tải về và đưa lên website của mình để những thành viên có thể tải về dùng. Trong khi đó, các kỹ thuật viên đã tải bộ Unikey nhiễm bẩn đưa chúng vào các phiên bản ghost để cài đặt nhanh nhiều máy tính (bản sao lưu Norton Ghost). Mức độ lây nhiễm sẽ phủ rộng hơn, phạm vi lan tỏa ở con số nhiều triệu máy tính.
Cách diệt "mã độc Unikey"
Công ty bảo mật CMC Infosec đã nhanh chóng đưa ra giải pháp loại bỏ mã độc "Unikey" này qua công cụ miễn phí có thể tải về tại đây ( http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip ).
Các thành viên HVA Online cũng đang tích cực gửi các bản mẫu mã độc mới đến những hãng bảo mật lớn để bổ sung chúng vào danh sách nhận diện của các trình anti-virus.
Bạn đọc cần lưu ý tải các phần mềm, tiện ích từ chính website của nhà cung cấp, không tải về từ các diễn đàn hay website cung cấp phần mềm lậu. Đại đa số chúng đều có nhúng mã độc nguy hại bên trong, có thể đánh cắp dữ liệu từ máy tính nạn nhân. Luôn cần sử dụng trình bảo mật anti-virus và cả tường lửa (firewall) khi thường xuyên dùng kết nối Internet.
THANH TRỰC
|
|
|
Anh chị em thành viên diễn đàn HVAOnline và bạn đọc cần chú ý là ngay sau khi quét virus với công cụ Trojan-Downloader.Win32.FakeUnikey.1 removal tool của CMC InfoSec, nếu đã phát hiện và diệt trojan của nhóm hacker stl xong thì anh chị em cần gấp rút cập nhật đầy đủ phần mềm diệt virus của máy tính, quét virus lại toàn bộ máy tính, khởi động lại máy tính rồi nhanh chóng đổi password cho các tài khoản quan trọng của bản thân (email, chat, facebook,...). Nếu có điều kiện, người dùng máy tính nên quét virus thêm với CMC Antivirus bản miễn phí hoặc CMC Internet Security bản quyền.
|
|
|
Đã trị được mã độc chèn trong phần mềm Unikey - PC World VN
http://www.pcworld.com.vn/articles/chuyen-muc/an-toan-thong-tin/2012/03/1230803/da-tri-duoc-ma-doc-chen-trong-phan-mem-unikey/
ND
Hãng bảo mật CMC InfoSec đã đưa ra bản cập nhật và phát hành công cụ loại trừ mã độc do hacker chèn trong phần mềm Unikey và đưa lên trang unikey.org sau khi nắm quyền kiểm soát trang này.
Mã độc này được CMC InfoSec đặt tên là Trojan-Downloader.Win32.FakeUnikey.1. Sau khi cài đặt thành công, mã độc sẽ cài đặt dịch vụ vào máy người dùng, sau đó tải thêm các mã độc khác và biến máy tính bị lây nhiễm trở thành máy tính thuộc mạng máy tính ma (botnet) dưới sự kiểm soát của hacker.
Công cụ diệt mã độc chèn trên Unikey.
Ông Nguyễn Hoàng Giang - CisLab - cho biết "ít nhất malware đã được đưa lên mạng từ 23/1/2012 hoặc có thể là trước đó, số lượng người dùng bị lừa tải phần mềm Unikey có chứa mã độc là rất lớn".
Mã độc này được phát tán qua việc chèn mã độc vào phần mềm Unikey sau khi chiếm quyền kiểm sát hoàn toàn website unikey.org trong những tháng đầu năm 2012. Tin tặc đã trỏ các đường dẫn tải phần mềm Unikey về một website được làm giả của tin tặc ở trang web phần mềm SourceForge.net. Các file của phần mềm Unikey trên website này đều chứa phần mềm độc hại trojan.
Tác giả Unikey - Phạm Kim Long cho biết, trang web http://unikey.vn/vietnam/ cũng là giả mạo. Để đảm bảo chương trình sạch, mọi người hãy download bộ cài Unikey từ kho chính của sf.net không bị hack ở địa chỉ http://sf.net/projects/unikey .
Trojan-Downloader.Win32.FakeUnikey.1, đã được CMC InfoSec cập nhật vào cơ sở dữ liệu của CMC Anvirus/CMC Internet Security. Người dùng có thể download bộ cài phần mềm tại trang chủ của hãng: www.cmcinfosec.com, hoặc download công cụ tại: http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip .
Tin tức từ các báo khác:
Đã trị được mã độc giả dạng phần mềm Unikey
http://hanoimoi.com.vn/newsdetail/Cong-nghe/540444/%C4%91a-tri-duoc-ma-doc-gia-dang-phan-mem-unikey.htm
VietNamNet - Website Unikey bị hack, cài lén virus | Website Unikey bi hack, cai len virus
http://vietnamnet.vn/vn/cong-nghe-thong-tin-vien-thong/62493/website-unikey-bi-hack--cai-len-virus.html
Đã có công cụ kiểm tra và "trị" bản Unikey dính mã độc | ICTPress
http://ictpress.vn/thoi-su-ict/da-co-cong-cu-tri-ban-unikey-dinh-ma-doc
Đã trị được mã độc chèn trên Unikey | ICTNews
http://ictnews.vn/home/Bao-mat/19/Da-tri-duoc-ma-doc-chen-tren-Unikey/100923/index.ict
Đã có công cụ kiểm tra và “trị” bản Unikey dính mã độc - Thông tin công nghệ
http://www.thongtincongnghe.com/article/33433
Bộ gõ tiếng Việt Unikey bị chèn mã độc hại - Sức mạnh số - Dân trí
http://dantri.com.vn/c119/s119-570799/bo-go-tieng-viet-unikey-bi-chen-ma-doc-hai.htm
Bộ gõ tiếng Việt Unikey bị chèn mã độc hại - XãLuận.com Tin Nóng
http://www.xaluan.com/modules.php?name=News&file=article&sid=351962
|
|
|
thanhsara wrote:
shift9x wrote:
xnohat wrote:
Công cụ Kiểm tra Unikey của bạn có nhiễm STL Virus
Đây là công cụ kiểm tra Phiên bản Unikey 4.0 RC 2 trên máy của bạn có bị nhiễm virus của bọn "Sinh Tử Lệnh" hay không
Tải về phiên bản dành cho máy dùng Windows 32 bit: http://www.mediafire.com/?r0pvbvslksr2wg0
Checksum: 66d24e692b2b988d150a5bc0d39e84e7
Tải về phiên bản dành cho máy dùng Windows 64 bit: http://www.mediafire.com/?nvb2qagil95526x
Checksum: e70a8f4747bcc106e87519bf84d4dd10
Cách dùng:
Copy file CheckUnikeySTLVirus-32bit.exe vào thư mục chứa chương trình Unikey ( chỗ có chứa file UnikeyNT.exe ). Kích chạy file CheckUnikeySTLVirus-32bit.exe ( hoặc CheckUnikeySTLVirus-64bit.exe nếu chạy trên Windows 64bit )
Chương trình này được tôi viết bằng AutoIt, chức năng chính là so sánh Checksum của phiên bản Unikey trên máy với phiên bản Unikey 4.0 RC2 thật của tác giả Phạm Kim Long.
Source chương trình: http://www.mediafire.com/?97gdzldi6a3333n
Kết quả sau khi kiểm tra bằng chương trình anh xnohat:
Mình cũng dính chấu rùi, mà dùng bản beta 4.0 cài từ lâu rùi mà ta
---------------------------
Bao dong !!!
---------------------------
May ban da nhiem virus cua stl trong file UKHook40.dll vui long cap nhat chuong trinh diet virus cua ban hoac tai ve CMC Antivirus tai:
http://www.cmcinfosec.com
DEBUG Ma Hash: CA5ABB185A7DCE5C8CB9EDAA3765DCE2
---------------------------
OK
---------------------------
Quyét bằng CMS mà lại náo thế này thì ý là sao
Code:
REPORT - CMC INTERNET SECURITY
Generated by cmccore.exe on 02/03/2012 4:55:43 CH
Session started on: 02/03/2012 4:55:42 CH Total Scanning Time: 00:00:00
Scanned total 22 files and 3 folders 0 files was FOUND to be infected
Scan for files in: "C:\Program Files\UniKey" Database 3341697 viruses
© CMC Information Security 2007-2012
Dựa trên thông tin mã hash mà công cụ của anh xnohat cung cấp thì trường hợp của bạn không sao cả, file đó là file sạch, do anh xnohat dựa trên một danh sách các file làm whitelist còn hạn chế nên đưa ra cảnh báo chưa chính xác thôi. CMC Internet Security cho kết quả quét như vậy là đúng rồi .
|
|
|
Lion~King wrote:
Ai có link tải http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip với ko download được chắc bị ddos
Hiện giờ mình tải được công cụ CMC Information Security's Trojan-Downloader.Win32.FakeUnikey.1 removal tool bình thường, bạn thử lại nhé .
|
|
|
JFS wrote:
bolzano_1989 wrote:
Công cụ diệt STL malware trong Unikey
Gửi đến các bạn thành viên diễn đàn HVAOnline và bạn đọc công cụ CMC.CleanFakeUnikey:
Code:
http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip
Kết quả scan với VirusTotal:
Code:
https://www.virustotal.com/file/5b351a784338bc27c01e23a2378aca9d4e5bf7ea2a37e00e4be9ba84f806743b/analysis/1330664621/
Với mọi góp ý về công cụ này (detection, removal, false positive,...), các bạn có thể gửi tại chủ đề này hoặc ở diễn đàn CMC InfoSec.
Ngoài ra, xin các bạn vui lòng không upload công cụ này đến các trang chia sẻ file để chia sẻ cho mọi người do có thể bị kẻ xấu lợi dụng, chèn mã độc hại vào công cụ này.
xnohat: thêm cái tiêu đề cho người dùng dễ kiếm
Chưa đc blozano ơi làm ơn kiểm tra lại , tool của B và Xnohat check không báo chứ virustotal báo đó !
Link đây : _https://www.virustotal.com/file/9b3610f28dafac29461bf4bd916f434887e6941e2d52c006829affb1f84f9b0e/analysis/
Trong trường hợp của bạn, file đấy là file sạch.
Kết quả scan với VirusTotal chỉ có thể được dùng để tham khảo thôi.
|
|
|
Công cụ diệt STL malware trong Unikey
Gửi đến các bạn thành viên diễn đàn HVAOnline và bạn đọc công cụ CMC.CleanFakeUnikey:
CMC Information Security's Trojan-Downloader.Win32.FakeUnikey.1 removal tool
Code:
http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip
Kết quả scan với VirusTotal:
Code:
https://www.virustotal.com/file/5b351a784338bc27c01e23a2378aca9d4e5bf7ea2a37e00e4be9ba84f806743b/analysis/1330664621/
Với mọi góp ý về công cụ này (detection, removal, false positive,...), các bạn có thể gửi tại chủ đề này hoặc ở diễn đàn CMC InfoSec.
Ngoài ra, xin các bạn vui lòng không upload công cụ này đến các trang chia sẻ file để chia sẻ cho mọi người do có thể bị kẻ xấu lợi dụng, chèn mã độc hại vào công cụ này.
xnohat: thêm cái tiêu đề cho người dùng dễ kiếm
|
|
|
Tác giả Unikey xin lỗi vì website bị hack dẫn tới phần mềm nhiễm độc | ICTNews
http://ictnews.vn/home/Bao-mat/19/Tac-gia-Unikey-xin-loi-vi-website-bi-hack-dan%C2%A0toi-phan-mem%C2%A0nhiem-doc/100904/index.ict
ICTnews - Anh Phạm Kim Long, tác giả phần mềm Unikey đã xác nhận thông tin website http://unikey.org đã bị hacker kiểm soát và dẫn đến đường link có phần mềm đã bị chèn mã độc.
Trao đổi với phóng viên ICTnews, anh Long cho biết, những người đã tải phần mềm từ unikey.org trong tháng 2 có thể bị ảnh hưởng. “Để đảm bảo chương trình sạch, mọi người hãy download từ kho chính của sf.net không bị hack ở địa chỉ http://sf.net/projects/unikey”, anh Long cho biết thêm.
Ngoài ra, tác giả của phần mềm Unikey cũng gửi lời xin lỗi đến những người sử dụng vì đã để xảy ra việc này.
Gần đây, website http://unikey.org của tác giả Phạm Kim Long đã bị kiểm soát bởi hacker cho đến rạng sáng ngày 1/3/2012. Tin tặc đã trỏ các đường dẫn tải phần mềm Unikey về một website được làm giả của tin tặc ở trang web phần mềm SourceForge.net. Các file của phần mềm Unikey được lưu giữ ở website này cho đến rạng sáng 1/3 đều chứa phần mềm độc hại trojan.
Hiện tại mọi người yên tâm dùng phần mềm Unikey được tải ở địa chỉ sau nhé :
http://sf.net/projects/unikey
|
|
|
Mình có liên lạc anh Phạm Kim Long và anh ấy đã xác nhận trang web sau không phải của anh ấy:
Bộ gõ tiếng Việt Unikey
Code:
http://unikey.vn/vietnam/
Mình vẫn giữ quan điểm mọi người không nên tải phần mềm Unikey từ những nguồn không được kiểm chứng như thế này.
|
|
|
Sao dạo gần đây thấy 1 số bạn thích tạo và bỏ chủ đề của các bạn vào mục "Thủ thuật reverse engineering" quá nhỉ?
|
|
|
conmale wrote:
Ky0 wrote:
vikjava wrote:
Làm luôn một thể cho tiện anh em RCE báo danh
- Ky0 -
Rút kinh nghiệm, anh em RCE đừng báo danh công cộng. Nếu thích tham gia, xin vui lòng PM đến tớ.
Anh conmale lập mailing list private luôn đi anh, cho email em vào luôn anh nhé .
|
|
|
vikjava wrote:
Vụ STL chúng ta khuyên nên vào trang chủ download các phần mềm. Giờ vào trang chủ cũng bị dính chưởng . Có khi nào là của mấy bác STL nữa không ta . Có lẽ nên thông báo rộng rãi cho cộng đồng, đồng thời tổ chức một chầu nhậu cho anh em RCE có sức làm việc
Có anh chị em nào ở HVA quen anh Phạm Kim Long không, em tình nguyện làm malware forensics miễn phí cho máy tính của anh ấy. Không loại trừ khả năng với tình trạng virus stl tràn lan khắp nơi hiện nay, anh Phạm Kim Long chẳng may đã đăng nhập tài khoản ở một trong những máy tính nằm trong mạng bot của stl.
Anh Phạm Kim Long nếu đọc được bài viết này có thể liên lạc em qua email:
, em sẽ giúp anh thực hiện malware forensics trên máy tính, truy tìm nguồn gốc và sự hiện diện virus.
Về điều tra, audit và bảo mật website http://unikey.org/ , anh cũng có thể tìm đến CMC InfoSec hoặc nhờ ban quản trị HVA tư vấn riêng.
|
|
|
conmale wrote:
bolzano_1989 wrote:
xnohat wrote:
Trong tuần qua đã có hơn 12.000 lượt tải bản Unikey giả mạo chứa Virus. Vậy sơ sơ là chúng đã có một mạng botnet khá khá rồi
Năm hạn roài,mới có 2 tháng đầu năm mà đủ thứ chuyện vậy nè
Đó chỉ mới là cho đến ngày 23/2/2012 thôi anh .
Trọn full bộ mẫu virus sẽ được mình gửi đến anh TQN và nhóm malware RCE của HVA.
Cảm ơn bolzano, em PM anh và gởi anh bộ này nhá?
Em đã gửi anh bộ file chưa được lọc rồi, có thể thừa do em chỉ tập trung gom mẫu thôi.
|
|
|
xnohat wrote:
Trong tuần qua đã có hơn 12.000 lượt tải bản Unikey giả mạo chứa Virus. Vậy sơ sơ là chúng đã có một mạng botnet khá khá rồi
Năm hạn roài,mới có 2 tháng đầu năm mà đủ thứ chuyện vậy nè
Đó chỉ mới là cho đến ngày 23/2/2012 thôi anh .
Trọn full bộ mẫu virus sẽ được mình gửi đến anh TQN và nhóm malware RCE của HVA.
|
|
|
Thông báo khẩn cùng thành viên diễn đàn HVAOnline và bạn đọc
Trong những ngày vừa qua, website http://unikey.org/ của tác giả Phạm Kim Long đã bị kiểm soát bởi hacker cho đến rạng sáng ngày 1/3/2012, tin tặc đã trỏ các link tải phần mềm Unikey về một website được làm giả của tin tặc ở trang web phần mềm Tự do mã nguồn mở SourceForge.net.
Các file của phần mềm Unikey được lưu giữ ở website này cho đến rạng sáng nay đều chứa phần mềm độc hại trojan.
Đây là trang web giả mạo của tin tặc:
Unikey Vietnamese Input Method
Code:
http://sourceforge.net/projects/unjkey/
Ảnh cho thấy website Unikey.org của tác giả Phạm Kim Long đã bị kiểm soát bởi hacker:
Các máy tính đã được cài đặt phần mềm Unikey chứa trojan này cần được quét virus với phần mềm chống virus được cập nhật dữ liệu mới nhất, mọi người có thể dùng phần mềm CMC Antivirus miễn phí hoặc CMC Internet Security bản quyền đã được cập nhật để diệt các phần mềm độc hại này kịp thời .
Xin hãy thông báo tin tức này cho gia đình, người thân và bạn bè của bạn được biết để tránh là nạn nhân của hacker.
Tham khảo từ diễn đàn CMC InfoSec:
[Thông báo] Trojan được chèn vào phần mềm Unikey ở website SourceForge.net
Code:
http://support.cmclab.net/vn/virus-research/(thong-bao)-trojan-duoc-chen-vao-phan-mem-unikey-o-website-sourceforge-net/
Cập nhật:
1/3/2012:
Hiện tại anh Phạm Kim Long đã report và tài khoản giả mạo của hacker đã bị xóa:
Code:
http://sourceforge.net/apps/trac/sourceforge/ticket/24601
Code:
http://sourceforge.net/users/unikeypklong
Trang chủ của project Unikey Vietnamese Input Method ở website SourceForge.net hiện đã được phục hồi và hoạt động trở lại bình thường (vào rạng sáng 1/3/2012, trang web này vẫn không thể truy cập được):
Code:
http://sourceforge.net/projects/unikey/
2/3/2012:
Link tải công cụ CMC.CleanFakeUnikey diệt stl malware trong Unikey:
CMC Information Security's Trojan-Downloader.Win32.FakeUnikey.1 removal tool
Code:
http://www3.cmcinfosec.com/downloads/tools/CMC.CleanFakeUnikey.zip
Với mọi góp ý về công cụ này (detection, removal, false positive,...), các bạn có thể gửi tại chủ đề này hoặc ở diễn đàn CMC InfoSec.
Ngoài ra, xin các bạn vui lòng không upload công cụ này đến các trang chia sẻ file để chia sẻ cho mọi người do có thể bị kẻ xấu lợi dụng, chèn mã độc hại vào công cụ này.
|
|
|
vd_ wrote:
@bolzano_1989
Tui đang nghĩ đến hướng indirect tiếp cận đến attacker. Ví dụ attacker nếu đủ khả năng thì sẽ xoá dấu vết bằng cách xoá máy ảo, trình duyệt v.v... Nhưng ở đây chúng ta chú ý là attacker còn thường xuyên vào các diễn đàn bàn về sự việc này để công bố và nghe ngóng, như vậy không lẽ mỗi lần post bài ở hva hay blogspot thì attacker (hoặc bạn của attacker) phải lặp lại hoàn toàn chu kỳ cài vm - tor - xoá vm v.v...
Theo mình thì một khi đã có ý định ra vào các diễn đàn nghe ngóng tình hình thì tuyệt đối không dùng máy tính ở nhà, cơ quan, hay bạn bè, người thân để nghe ngóng. Ngoài ra thì máy ảo VMware cho phép restore lại trạng thái có thể tin tưởng được rất nhanh và tiện lợi, mình thấy cũng chẳng mất công mấy. Quan trọng là attacker cần mã hóa file ảnh của máy ảo để công tác forensics khi tịch thu máy tính của attacker nếu có không cho được kết quả nào, khi nào cần dùng thì giải mã ra dùng lại. Chú ý là sau khi dùng xong thì phải xóa (secure delete) luôn file ảnh đĩa mà máy ảo đang dùng hiện hành để không còn chứng cứ trong máy attacker nữa, dữ liệu nếu có được lưu lại cũng phải được mã hóa nốt (trong một ổ đĩa ảo chẳng hạn).
Để thuận tiện hơn thì về sau (sau khi đã thâm nhập và thu thập dữ liệu thành công) và để tránh những nguy cơ mà mình không biết, cứ dùng một live cd chuyên dùng cho Penetration Testing (Pen-Test) như BackTrack, v.v. để duyệt web nghe ngóng diễn đàn, dữ liệu cần lưu thì cứ phải được mã hóa và lưu trong một ổ đĩa ảo.
Ngoài ra attacker cần tránh truy cập website, diễn đàn + có hành động gì liên quan đến victim vào lúc đêm hôm khuya vắng ít người dùng máy tính truy cập mạng.
|
|
|
Nó là SCKeyLog, các antivirus đều diệt được:
Antivirus scan for c924520266951974d9e62e30fa143792 at UTC - VirusTotal
https://www.virustotal.com/file/3d4d2e2407758280872b8d42a22803632b00888eb0d75dad42f65016f847148d/analysis/1330439087/
|
|
|
vd_ wrote:
@bolzano_1989
mrro có nói đến evercookie => browser của attacker sẽ bị mark bằng 1 cookie đặc biệt, nên nếu attacker ghé thăm các domain mà cxx control thì cxx có thể rút ra một số lượng thông tin kha khá.
Anh conmale cũng có nói đến social engineering, tui nghĩ trong trường hợp này social engineering sẽ hữu hiệu hơn là technical solution. Bởi vậy các bạn chém gió nên chém vừa vừa thôi ( xem phim Mỹ mấy ông cớm hay chơi chiêu hù mấy em giang hồ vặt rồi lượm lặt vòng vo sẽ đến trùm )
Bạn để ý mình nêu ở trên là chỉ dùng 1 bản Tor Browser Bundle để duyệt website victim (không dùng bất cứ trình duyệt nào khác để vào website victim), dùng xong thì xóa luôn . Chú ý là nên kết hợp thêm extension NoScript khi duyệt website thông thường (đặc biệt là các website và diễn đàn Việt Nam hay quốc gia mà attacker đang sinh sống thì không bao giờ allow JavaScript ).
Khi đã có ý định thăm dò bảo mật thì attacker có thể chạy Tor Browser Bundle trong máy ảo được setup riêng hoặc trong môi trường sandbox, dùng xong thì dọn dẹp sandbox luôn.
=> Đảm bảo website victim không lưu lại vết nào trong máy tính của attacker.
=> Khi truy cập các website khác bằng máy thật, không có vết nào để thu thập từ evercookie cả.
Giả sử C50 có kiểm soát được các forum hay website thông dụng để tạo và lấy được evercookie thì liệu họ có cơ sở nào để tạo được mối liên hệ giữa việc truy cập website khác (bằng trình duyệt thật thường dùng) với việc truy cập website victim như trên?
|
|
|
Lúc đầu bạn .lht. có đề cập đến việc chôm cookie dựa trên lỗi trình duyệt và ứng dụng web, sau đó bạn đã xóa
đi rồi, mình hoàn toàn đồng ý việc có thể xảy ra tình huống này. Bkav hay victim có thế lực hoàn toàn có thể bắt tay với những diễn đàn hay website thông dụng nào để chôm cookie người dùng trong giai đoạn điều tra tội phạm, tuy nhiên mình cho rằng việc làm này khá bẩn và vi phạm quyền riêng tư con người trầm trọng.
Gửi anh mrro:
mrro wrote:
giờ mới có thời gian xem chủ đề này một cách rốt ráo.
@conmale: bọn em có làm việc với nhóm Tor khi công bố BEAST và kết luận, đúng như anh nhận xét, Tor không bị ảnh hưởng bởi BEAST vì họ sử dụng miếng vá của OpenSSL từ đầu [1]. dẫu vậy thì ý của em không phải là nói đến độ an toàn của Tor. mời anh xem tiếp để rõ ý em.
@al0nex: cảm ơn vì bạn đã đưa ra một nhận xét rất thú vị: BKIS sẽ bỏ ra bao nhiêu tiền để truy lùng thủ phạm (và rốt cuộc sẽ thu lại được gì)?
@.lht.: phác thảo về cách phát hiện thủ phạm của bạn dùng Javascript cookie chính là điều mà mình muốn nói đến.
thực tế thì ngoài địa chỉ IP, sử dụng Tor hay không sử dụng Tor và Javascript cookie ra, còn có rất nhiều cách khác để một website có thể theo dõi được chúng ta. những kết quả nghiên cứu gần đây cho thấy rất khó để có thể trở nên ẩn danh hoàn toàn khi duyệt web [2] [3] [4].
điểm yếu cốt lõi, mà mình đã có lần đề cập, là attacker thường không có ý định xâm nhập trong những lần đầu tiên viếng thăm nạn nhân. dựa quan sát này và các kết quả nghiên cứu ở trên, người ta hoàn toàn có thể "đánh dấu" trình duyệt của attacker, để rồi khi attacker thực hiện tấn công, hoặc quay lại hiện trường để dò la tin tức, người ta có thể nhanh chóng nhận ra anh attacker này là ai trong quá khứ, mặc dù anh ấy đã cố tính đi xuyên qua Tor. nói nôm na là mặc dù đã che đi khuôn mặt, nhưng hình xăm trên tay hoặc giọng nói hoặc cử chỉ vẫn có thể tố cáo thủ phạm.
Nếu ngay từ khi bắt đầu dò thông tin về victim đến lúc quay lại hiện trường để dò la tin tức, mọi thông tin về trình duyệt đều được ngẫu nhiên hóa (randomize) thì làm sao tạo được mối liên hệ giữa những lần đầu tiên viếng thăm nạn nhân và lúc bắt đầu thăm dò nạn nhân cho đến các hoạt động về sau?
Nếu như attacker ngay từ đầu đã xác định mọi hành động đơn giản nhất từ việc thu thập thông tin liên quan đến bảo mật của victim đến các hành động về sau đều cần phải được thực hiện trong một máy ảo riêng với một trình duyệt riêng (ví dụ: Tor Browser Bundle) ở tiệm Cafe Internet/nơi có Public WiFi hoặc xuyên qua Tor network và không để lại một message nào ở website của victim thì ngoài thông tin về trình duyệt, còn có thể dựa vào thông tin nào khác để theo dõi người truy cập như mrro đề cập nữa không?
|
|
|
Lỗi vẫn còn anh conmale ơi.
|
|
|
Bạn save lại và gửi 1 file html đầy đủ lên đi.
|
|
|
Anh có bản full không, link trên chỉ có cho xem các đoạn video preview thôi .
|
|
|
Mình thấy việc các bạn không mở quá trình đăng ký thành viên diễn đàn không hay lắm (phải cung cấp họ tên, thông tin về bản thân):
Topic: Đăng ký | BKITSEC
http://bkitsec.vn/?topic=dang-ky
Để tham gia thảo luận trên diễn đàn, các bạn cần phải đăng ký cho mình một tên tham dự.
Việc đăng ký hết sức đơn giản, các bạn cần gửi thông tin theo mẫu sau về hộp thư admin at bkitsec dot vn :
Tên tham dự :
Họ :
Tên :
Giới thiệu sơ về bản thân :
Chúng tôi sẽ tạo tài khoản cho các bạn và gửi thông tin về hộp thư bạn dùng để gửi thông tin trên.
Thân chào !
Có lẽ đây là lí do:
Topic: Nội dung diễn đàn | BKITSEC
http://bkitsec.vn/?topic=n%e1%bb%99i-dung-di%e1%bb%85n-dan
Cũng chính vì những nguyên nhân trên mà nhóm quyết định chỉ cho đăng kí thông qua email, sẽ giúp cho tụi mình nắm được số liệu về các bạn, và tránh tình trạng đăng kí tràn lan mà không có chất lượng, tuy nhiên nếu như trong một thời gian dài các bạn không hoạt động ( không thảo luận, không đưa ra chủ đề..) thì tụi mình cũng sẽ có biện pháp xử lí hiệu quả, tất cả nhằm nâng cao chất lượng diễn đàn, tạo ra sân chơi hữu ích cho mọi người.
Topic: [1st Chal] Targeted Attack level 1 | BKITSEC
http://bkitsec.vn/?topic=1st-chal-targeted-attack-level-1
Chi tiết và challenges có trong mục Private cho members….
Có vẻ diễn đàn này sẽ là một diễn đàn đóng.
|
|
|
cr4zyb0y wrote:
có một luật ngầm của giới chơi wargame loại này là không bao giờ viết ra lời giải, hoặc để thông tin mật khẩu ra như bạn
Chào Tiến, cảm ơn góp ý của bạn, mình thấy vui là chính thôi, biết và nhớ mấy cái luật ngầm kia làm gì chứ .
|
|
|
Alex chan doi wrote:
IP máy mình là 192.168.31.1 và khi dùng Cain & Abel thì mình chỉ scan được đến các máy có ip 192.168.31.x. Mình muốn scan đến máy có ip 192.168.30.x nhưng không được. Xin ý kiến các bác với ạ.
Cain & Abel yêu cầu địa chỉ IP của máy bạn và địa chỉ IP của máy victim phải ở trong cùng một subnet. Hai dải địa chỉ IP mà bạn nêu trên khác địa chỉ subnet.
|
|
|
Giải Wargames Vortex - Level 0 ở địa chỉ
http://www.overthewire.org/wargames/vortex/vortex0.shtml
bằng Python:
Code:
import sys
from struct import *
from socket import *
mysocket = socket(AF_INET, SOCK_STREAM)
mysocket.connect(("vortex.labs.overthewire.org", 5842))
buffer_ = ''
while len(buffer_) < 16:
buffer_ = buffer_ + mysocket.recv(4)
print len(buffer_)
print buffer_
intlist = unpack("IIII", buffer_)
print intlist
result = sum(intlist)
print result
mysocket.send(pack("Q", result))
print mysocket.recv(10000)
Mình mạn phép bỏ kết quả của bạn bolzano_1989 - Ky0
|
|
|
tutk wrote:
latama wrote:
Mình thấy 2 bạn vulehcm và bolzano_1989 đều có những lí luận đúng đắn. Mình chỉ có ý kiến thế này, để trả lời cho câu hỏi đầu tiên bạn tutk đưa ra:
"Vậy tôi xài proxy để fake IP khi lướt web hay xài AV free như AVG, Avira, Avast thì hiệu quả (nhẹ máy mà vẫn bảo mật, chống virus tốt)" -> Xài AV là hiệu quả hơn.
Proxy đúng là có những khả năng làm được như bạn vulehcm nói nhưng để làm được điều đó thì khá phức tạp. Vậy tại sao ko dùng ngay AV??
Nếu bạn tutk muốn voc thì có thể tham khảo bài viết sau: http://www.free4vn.org/f103/t154344/
Như cái link latama đưa ra thì tôi nghĩ khả năng chống virus bằng proxy server hoàn toàn ổn đấy chứ, xài AV làm gì cho nặng máy ra!
Vậy thì bạn tự chịu mọi rủi ro cho sự mạo hiểm của bạn .
|
|
|
|
|
|
|