|
|
Hồi xưa cũng bỏ công úp các mẫu mèo què của stl cho McAfee này. Cuối cùng, ghét, lơ luôn. Chậm đáp ứng, hay im ru không trả lời, hay cứ clean.
Y như trường hợp con Flame này.
|
|
|
Trong article này: http://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers
Các bạn nên chú ý câu này:
Flame’s modules together account for over 20MB. Much of these are libraries designed to handle SSL traffic, SSH connections, sniffing, attack, interception of communications and so on. Consider this: it took us several months to analyze the 500K code of Stuxnet. It will probably take year to fully understand the 20MB of code of Flame.
Thử đi rồi biết !
|
|
|
http://blogs.mcafee.com/mcafee-labs/spreading-the-flame-skywiper-employs-windows-update
Cũng trên blog của McAfee.
|
|
|
Việc RCE, phân tích đống này nên dành cho các tổ chức, công ty bảo mật lớn, các AVs làm. Người nghiệp dư bình thường làm không nổi đâu.
|
|
|
Vậy thì ignore nó đi, check cho nó không đòi update nữa lần sau.
Quá trình update bị lỗi nên lần sau, nó đòi update lại. Tìm file .log của quá trình update, đọc xem tại sao lỗi, fix = tay được không ?
|
|
|
Cao thủ thiệt, đào sâu tới hang cùng ngõ hẻm.
|
|
|
Trong đống mèo què vừa rồi, hình như là fake Unikey hay sao đó, có IWebLocator interface. Trong đống Flame này cũng có, cũng cùng coding style đó. Em nghi ngờ con Flame này là hàng tung của. Mẹ mấy thằng A.
|
|
|
Hèn gì sáng nay cái mày cùi ngoài kho này nó bắt cập nhật (update) cái crypt32.dll. Tính compare thử xem nó update cái gì, nhưng lu bu quá rồi thôi.
Giang hồ hiểm ác, đúng như phim kiếm hiệp hồi xưa em xem nói !
|
|
|
Không dám nói chắc, nhưng có cảm giác quen quen, và chưa bắt đầu rờ xxx em thử, chỉ mới đọc sơ sơ qua từ các phân tích trên Internet.
1. Cũng code = VC++, không thèm pack
2. Mạo danh MS, đặt vào những thư mục ít ai để ý như Temp, Documents And Settings, Program Files
3. Cách gọi qua lại, communicate giữa các PE file với nhau giống.
4. Export các hàm nhìn rất là standard, nai tơ.
5. Cách decrypt, decode các file data, các file .exe trong bụng hơi giông giống.
6. Cả một nhóm các file PE này mới được xem là virus, malwares, tách từng file ra thì mới xem thì vô hại.
7. Cũng có mục đích chính là ăn cắp thông tin, cũng hook voice Skype, lấy lung tung thứ từ mọi trình duyệt, chat... Chưa thấy code bật webcam và chụp. Đợi RCE.
Đứng ở phương diện coder sẽ thấy, các action trên hình như từ một team, group malwares coding mà ra.
Và nó cũng hơi khác Stuxnet, Duqu.
Nói chung là nhiều thứ nghi ngờ lắm. Có khi nào trong giới xh đen mạng có một tổ chức chuyên nhận đơn đặt hàng viết các loại virus/trojan/malwares như thế này.
|
|
|
Ủa, có gì mà phải cãi nhau dữ vậy ha. Bộ RCE chỉ để phân tích virus và cờ rắc phần mềm à ?
Đơn giản nè, trong open source hay close source, có nhiều cái tụi nó đóng kín như bưng ! Để tìm hiểu, làm sao nó làm được như vậy, các cậu phải có kiến thức RCE + lập trình. Để làm gì, phân tích, tái tạo lại source code ban đầu của nó, cho mày open source luôn đi, giấu làm gì !
RCE có ứng dựng rất rộng, hồi xưa tui đã nói: chỉ là một mãng nhỏ: dịch ngược source code, còn hardware, firmware... đủ thứ ware, softs thì sao ?
Còn cờ rắc, tui không bàn. Chỉ cần một vài cậu biết xài OllyDbg nhuần nhuyễn là cờ rắc được rồi. Chứ thực ra, hiểu quái gì thằng coder nó code đâu ?
|
|
|
Lạ 2 cái cậu beginner_hacker và ente2010 này, sao cứ gân cổ bào chữa cho cái đám viết trojan, mèo què này vậy trời. 100 thằng học, 10 thằng thành hắc cơ mũ trắng thì tốt, chỉ sợ 100 thằng thành mũ đen, đầu quân hết cho stl thì tụi em khổ.
|
|
|
Hiện giờ, em út của mình cứ đòi tui bật webcam lên để chat: "Anh cho em xem mặt đi". Em đâu biết rằng sau vụ stl, em tháo cái webcam "dụt" vô thùng rác rồi.
Malwares phản ánh nhận thức, ham muốn của con người.
|
|
|
Em đã nói rồi, cho em thì em không thèm xài, hàng eDict dùng toàn code của Tàu Khựa. Em cũng không thèm bẩn tay em, mất thời gian của em để RCE 100% mấy cái đồ của BKAV. Thời gian đó, em gọi rau cỏ của em đi KS qua đêm còn có lý hơn !
|
|
|
Đm nó chứ lỗi sơ ý về lập trình. Không thằng coder nào không biết cái hardcode username + pwd là như thế nào.
Mấy khách hàng tới xưỡng (kho) em, ai ham rẽ, em chỉ luôn: nè, hàng TQ nè, 95% chạy làng.
|
|
|
Như thế nào mới gọi là biết ? Tới bây giờ em cũng không dám nói lãnh vực em thấy mình rành là "biết" ?!
|
|
|
Và khi già, răng yếu, răng rụng rồi thì nhai, gặm sẽ không nổi nữa. Như em bây giờ
|
|
|
Hì hì, anh không thiếu tiền mấy cái đó đâu em, chỉ bằng chiều giờ anh giải khác = Ken lon thôi (bỏ 33 rồi, uống tuột men quá).
Để tối anh về dùng ADSL ở nhà down về, ráp lại, xem thử nhen. Anh không hứa trước.
|
|
|
Em sẽ đăng ký một lớp, lúc giải lao, em sẽ truyền thêm kinh nghiệm Đông Phương Bất Bại của em khi đi gặt, hái rau cõ, nhưng nuôi thì em không truyền được, vì em không có tay nuôi.
|
|
|
Ặc ặc, gần 500MB, em down về xong là hết tiền cái 3G của em luôn.
|
|
|
Chỉ là SMS trojan thôi. Hầu hết các AV đã chụp nó.
|
|
|
Em chỉ là "sư xài kỹ" thôi, không dám bàn luận với "thẠc sĨ". Chỉ cần bạn tìm đọc lại các bài phân tích, ký sự về các trận DDoS vào HVA trong 1 thời gian dài vừa qua, trong mấy năm qua thì cũng kiếm được một "đống" thông tin rồi để xào nấu cho luận văn ThS rồi.
|
|
|
Úp lên đâu đó đi, tự dưng em thấy ngứa nghề forensics, muốn thử xem sao.
|
|
|
Sách nào mrro đề cập, em đều có hết, đã đọc qua hết. Kinh, sợ em chưa !
Hì hì, nhưng mỗi cuốn đọc được một vài trang rồi quăng luôn, giờ mất tiêu rồi, chắc là ở chổ mấy bà ve chai (em thường in ra rồi nằm đọc để ngủ).
Hầu hết kt RCE của em đều học trên các forums, các articles. Không có sách nào hết, down về đầy ổ cứng cho vui thôi
|
|
|
Khác chứ em, trang VT chỉ dùng các online AV để quét, còn trang anh úp thì giống như X-Ray, tự gởi mẫu tới 1 loạt các AV.
Tốt nhất, sau vài ngày, vào VT kiểm tra lại, nếu vẫn còn có những AV không nhận ra thì mình mail, up qua submit form, có gì đâu ? Tốn một chút công mà đập được đám này thì sá gì. Chi phí, thời gian bỏ ra không bằng chầu nhậu mà !
|
|
|
Đá mấy thằng nhóc này một phát,chứ hỏi làm gì tốn hơi !
|
|
|
Lại hù doạ nữa rồi, tmd !
|
|
|
Không sao đâu em, vớt được bao nhiêu thì vớt, gởi cho ba chục thằng, 10 thằng tóm là OK rồi, 20 thằng còn lại, mình xem thằng nào phổ biến nhất, upload bằng mail.
|
|
|
Code của con này có nhiều cái hay lắm đấy. Bà con chat = FB coi chừng, nó lấy hết nội dung chat đấy, cái này em mới gặp. Code VC++ 2003 nên rất dễ phân tích. Đọc vui lắm. Mà hình như con này đang còn trong giai đoạn test hay sao mà nhiều hàm ThreadProc đã viết xong rồi, dài ngoằng, nhưng nghĩ sao thằng coder lại cho return một phát ngay đầu hàm luôn.
Tới lúc này, KAV và MS Security Essential không quét ra em bé đi kèm trong bụng. Em vừa submit lại.
|
|
|
|
|
|
|