banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thủ thuật reverse engineering RCE và vô hiệu hoá VB.NET virus (của STL à ?)  XML
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 11:40:23 (+0700) | #31 | 243127
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cảm ơn anh conmale đã lên tiếng. Bà con đừng hùa nhau vào chửi rũa tohoangvu. Biết đâu chính tohoangvu cũng là nạn nhân của STL hay ai khác thì sao.
Cái thằng giấu mặt là thằng này nè: 123.21.140.237
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 11:45:50 (+0700) | #32 | 243129
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]

conmale wrote:
Tối hôm qua tớ ngồi phân tích và điều tra sâu hơn thì thấy chưa hẳn "tohoangvu" là thành viên của nhóm STL bởi vì có những thông tin chưa xác thực. Bởi vậy, nếu bà con đè "tohoangvu" ra mà chửi khi chưa xác định một cách tuyệt đối thì e oan uổng. Tớ không loại trừ trường hợp chính hòm thư của "tohoangvu" bị thuổng và danh tánh của "tohoangvu" bị sử dụng nhằm mục đích đánh lạc hướng (nếu bị điều tra).

Còn con virus mới "nóng hổi" (12 tháng 5 năm 2011) TQN vừa thảy lên, anh download thử thì bị clamav thộp cổ (lạ thiệt) smilie.


 



Em quét bằng jotti thì cũng có thông báo virus nhưng có điều 1 số AVR ko phát hiện đc

http://virusscan.jotti.org/vn/scanresult/1c483cc00f186ffee337745aa7ca92e724733dbc
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 12:17:17 (+0700) | #33 | 243132
thewall456
Member

[Minus]    0    [Plus]
Joined: 09/03/2007 10:25:11
Messages: 1
Offline
[Profile] [PM]
Rất hay, cái bọn khốn sống chết theo lệnh này lâu nay làm mưa làm gió, chúng tưởng đâu thiên hạ điều dưới cơ của chúng cả! bọn này suốt một thời gian dài là nỗi lo ngại cũng như khinh bỉ của nhiều blogger.

Cảm ơn anh đã phơi bày cái bộ mặt điểu giả, xảo quyệt, vô liêm sĩ của bọn nó ra ánh sáng!
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 12:22:05 (+0700) | #34 | 243134
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Kết quả scan trên cái IP trên:
Code:
21/tcp   open  ftp     GlobespanVirata ftpd 1.0
23/tcp   open  telnet  Zoom ADSL modem telnetd X5 GS Ver 2.1.0
8701/tcp open  unknown


IP này vẫn sống tới giờ, tụi nó tính thách thức anh em hacker mũ trắng HVA đấy.
Kiểu này em phải lôi cái Metaxploit gì đó ra mà chiến rồi.

Người có liên hệ với hộp mail tuonglaivietnam2010@gmail.com (2010 chứ không phải 2015 nhe bà con) là tranmongvu@gmail.com, cũng là một nhân vật lề trái.

Em đang tìm cách đi đường vòng để chiếm hộp mail trên đấy, mấy anh STL. Lấy được cái 2010 là lòi ra tụi anh hết. Cái 2015 toàn info của victims, xem chán "bỏ xừ", mấy anh xoá hết hộ em cũng được, em "đông ke".
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 12:36:22 (+0700) | #35 | 243135
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
Có hàng của bác TQN từ đêm, ngồi buồn em download về, chán chả thi lại đại học nữa, em ngồi RE cho vui.

Lần này phải công nhận là khá cao tay khi các bạn STL đem con VR đi phát tán dạng file giả icon doc.

Kịch bản nó như sau: Chạy file doc giả, nó dump ra 1 đống file trong đó có 2 file svchost.exe trong thư mục %windir% ( chứ không phải system32 nhé) là giả mạo. Đồng thời đi kèm nó là 1 DLL: svcph.dll

1 file sys tên là sysaiudor.sys có nhiệm vụ ẩn tiến trình và key trong registry, vì thằng svchost.exe có ghi 1 key run là Network balancing trong HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Nội dung chính của bộ "mèo" ( bắt chước bác TQN chút smilie ) toàn chứa trong resource ,cần phải được giải mã. Thôi thì em giải mã tý chút
Bọn này dùng smtp của yahoo( lại đổi rồi, chắc chán gmail )

trong đó có 2 email đáng chú ý:
xuann28@yahoo.com
ngnamhungntt@gmail.com
 

Vì thế bạn nào mà gặp dấu hiệu trên, có file, có key thế kia thì mau tìm cách loại bỏ

Em ngồi hóng cao nhân tiếp
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 16:00:22 (+0700) | #36 | 243143
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

acoustics89 wrote:
Có hàng của bác TQN từ đêm, ngồi buồn em download về, chán chả thi lại đại học nữa, em ngồi RE cho vui.

Lần này phải công nhận là khá cao tay khi các bạn STL đem con VR đi phát tán dạng file giả icon doc.

Kịch bản nó như sau: Chạy file doc giả, nó dump ra 1 đống file trong đó có 2 file svchost.exe trong thư mục %windir% ( chứ không phải system32 nhé) là giả mạo. Đồng thời đi kèm nó là 1 DLL: svcph.dll

1 file sys tên là sysaiudor.sys có nhiệm vụ ẩn tiến trình và key trong registry, vì thằng svchost.exe có ghi 1 key run là Network balancing trong HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Nội dung chính của bộ "mèo" ( bắt chước bác TQN chút smilie ) toàn chứa trong resource ,cần phải được giải mã. Thôi thì em giải mã tý chút
Bọn này dùng smtp của yahoo( lại đổi rồi, chắc chán gmail )

trong đó có 2 email đáng chú ý:
xuann28@yahoo.com
ngnamhungntt@gmail.com
 

Vì thế bạn nào mà gặp dấu hiệu trên, có file, có key thế kia thì mau tìm cách loại bỏ

Em ngồi hóng cao nhân tiếp 


---> thật ra không phải "kỳ này" đâu bồ mà từ 2010, các bạn STL đã phát tán trojan kiểu này rồi. Đặc biệt, đối với những đối tượng "quan trọng" họ rất kiên nhẫn và cẩn thận bằng cách chỉ gởi mail đến từng người, từng địa chỉ e-mail cụ thể chớ không gởi hàng loạt. Lớ ngớ chủ quan 1 tí là dính chấu ngay.

Như tớ đã nhận định từ hồi 2010, STL hầu như không penetrate các hệ thống trực tiếp mà họ chỉ chơi trojan để chôm password và thông tin cá nhân. Đây là trò chơi hạ đẳng nhưng lại effective nhất bởi vì nguyên tắc bảo mật nằm ở chỗ: your strongest defense is as weak as your weakest point. Phương pháp làm việc của họ là phát tán trojan đến một số đối tượng họ cho là "chủ chốt". Dạng đối tượng "chủ chốt" thì e-mail của họ thường có sẵn trên mạng. Từ chỗ "trồng" trojans đến các đối tượng "chủ chốt" họ nắm bắt được các quan hệ xã hội, địa chỉ liên lạc và vô số thông tin khác, từ đó họ tiếp tục phát tán rộng ra. Phần lớn các bloggers bị tấn công và chiếm giữ blogs (được gọi một cách đầy thẩm quyền như STL thường gọi là "thu hồi"smilie là đi xuyên phương pháp này. Phần còn lại, các email râu ria khác thì bị phán tán để biến thành zombies cho mục đích tạo DDoS.

Phải nói rằng STL là nhóm đầu tiên ở VN dành rất nhiều thời gian, tiền bạc, công sức, khả năng và thậm chí... thủ đoạn để thực hiện những "chiến dịch lừng lẫy" smilie . Dù muốn dù không, dù đẹp đẽ hay xấu xí, dù vinh quang hay bẩn thỉu, những việc làm này đã đi vào lịch sử CNTT VN. Hãnh diện hay hổ thẹn thì tuỳ cách nhìn mà cảm nhận.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 20:55:05 (+0700) | #37 | 243156
cr4zyb0y
Member

[Minus]    0    [Plus]
Joined: 27/05/2010 11:50:30
Messages: 51
Offline
[Profile] [PM]
cái ip 123.21.140.237 admin/admin dô đc mà ta
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 21:15:06 (+0700) | #38 | 243159
cr4zyb0y
Member

[Minus]    0    [Plus]
Joined: 27/05/2010 11:50:30
Messages: 51
Offline
[Profile] [PM]
chủ thuê bao vnpt của ip 123.21.140.237 là ngokiennam / megavnn1


Device Information

Firmware Version

:
1.0.2 Build 080513 Rel.58514

MAC Address

:
00:23:cd:c8:95:50 


lúc mình vào thì có 1 cái máy đang sài là

wujianan-PC 192.168.1.100 00-24-1D-88-E4-79 








còn đây là hai cái video : http://www.mediafire.com/?znh340c70id3jac

còn tohoangvu có bị mất mail không thì không biết. vì mình sms với ảnh thì ảnh nói là "are you hacker my email", nhưng mình hỏi là email nào thì ảnh lại lờ đi ...
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 21:23:03 (+0700) | #39 | 243162
cr4zyb0y
Member

[Minus]    0    [Plus]
Joined: 27/05/2010 11:50:30
Messages: 51
Offline
[Profile] [PM]
và một điều nữa, có thể ip 123.21.140.237 đã được assign cho 1 user khác của vnpt .


tuy nhiên, có 1 cặp ip + time thì hiển nhiên công an nếu muốn túm thèn STL đó thì cũng không phải là điều gì quá khó khăn.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 21:54:01 (+0700) | #40 | 243165
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Hì hì, vậy là cái modem của cậu ngokiennam này đặt default pasword rồi, phải không cr4zyb0y ?
Còn cái tên wujianan này nữa, đặc sệt tàu khựa !
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 22:04:56 (+0700) | #41 | 243168
deux
Member

[Minus]    0    [Plus]
Joined: 12/03/2003 03:07:20
Messages: 4
Offline
[Profile] [PM]
Chết chửa, mấy bạn STL giã đúng chỗ ngứa của anh TQN. Lâu ngày vào đây thấy anh vẫn còn hăng hái quá ^^.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 22:20:57 (+0700) | #42 | 243169
cr4zyb0y
Member

[Minus]    0    [Plus]
Joined: 27/05/2010 11:50:30
Messages: 51
Offline
[Profile] [PM]

TQN wrote:
Hì hì, vậy là cái modem của cậu ngokiennam này đặt default pasword rồi, phải không cr4zyb0y ?
Còn cái tên wujianan này nữa, đặc sệt tàu khựa ! 


default anh, em đổi nó rồi, nếu ai cần thì pri message cho mình.

nếu giả thiết của em về ip đó đã assign cho 1 user khác, không phải của tụi STL thì cũng không có gì khai thác, ngược lại thì chém thôi smilie)
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 22:21:16 (+0700) | #43 | 243170
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Hì hì, cảm ơn deux, lâu quá không gặp em, khoẻ chứ, công việc ra sao ?
Tại vì anh ghét cái đám này chơi trò dơ bẩn, hoành hoành bá đạo, uy hiếp mọi người, lên mặt coi mọi người không ra gì, lại còn tấn công anh nữa. Lại lên giọng chê anh RCE nữa mùa. Anh chỉ là nữa mùa, không = các pro, expert khác, nhưng cũng góp chút công sức nhỏ nhỏ, bớt thời gian nhậu nhẹt, em út để vạch mặt đám này.
Tính anh là vậy, thấy chướng tai gai mắt là phang liền. Lên công trình nhiều lúc cãi nhau muốn đập lộn với tụi GS A luôn, nhưng sau đó tụi nó hiểu thì kết anh lắm. Lần nào lên cũng kêu anh đi nhậu smilie
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 22:23:39 (+0700) | #44 | 243171
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
@cr4zyb0y

Đây là dải ip động của VNPT khi nghi án reset modem thì ip này đã chuyển cho 1 khách hàng khác của VNPT. với hành vi của bạn sẽ bị qui vào tội truy cập trái phép thông tin khách hàng của VNPT, tự nhiên lòng tốt của bạn sẽ thành rắc rối cho bạn có thể là cho người khác, vui lòng không public những thông tin trên lên đây.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 22:31:07 (+0700) | #45 | 243172
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]

TQN wrote:
Hì hì, vậy là cái modem của cậu ngokiennam này đặt default pasword rồi, phải không cr4zyb0y ?
Còn cái tên wujianan này nữa, đặc sệt tàu khựa ! 


Ở SG thì người Hoa sinh sống rất nhiều chuyện có người lấy tên tiếng Hoa chuyện bình thường TQN à, không nên quy kết 1 việc gì khi chưa rõ. nhất là với những người làm những công việc phân tích và kỹ thuật
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 22:34:15 (+0700) | #46 | 243173
ptminh20
Member

[Minus]    0    [Plus]
Joined: 10/11/2009 12:47:28
Messages: 16
Offline
[Profile] [PM]
báo cáo các bác là những hình ảnh trong bài ni bị "lên dĩa" hết rồi. fix lại nhanh nhanh bac TQN ơi
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 22:40:01 (+0700) | #47 | 243174
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]

TQN wrote:
Cảm ơn anh conmale đã lên tiếng. Bà con đừng hùa nhau vào chửi rũa tohoangvu. Biết đâu chính tohoangvu cũng là nạn nhân của STL hay ai khác thì sao.
Cái thằng giấu mặt là thằng này nè: 123.21.140.237 

Một ai đó dùng dịch vụ VNPT kiểu quay số ADSL để có được cái IP này. Có thể biết được IP này của ai nếu VNPT tự giác kiểm tra.

Còn nếu IP đó là trung gian , do "tên kia" lợi dụng sơ hở của người bị hại để trục lợi thì chỉ còn đường tới máy "nạn nhân" để khảo sát hiện trạng.
PS: Mọi thứ không rõ ràng thì được cho là một kịch bản, cho nên đừng suy diễn nhiều để kịch bản này thành sự thật.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 22:43:30 (+0700) | #48 | 243176
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
2 mv1098: Cái VNPT và cái modem đó có tính năng tranfer, hiển thị IP qua thằng người Hoa ở chổ khác xa lắc xa lơ à.
La vậy, em cũng đang dùng VNPT nè, nãy giờ nghe anh nói, em vào cái modem em, lục tới lục lui toàn ra IP mấy cái mấy trong nhà em không à. Sao lạ vậy, chả lẽ VNPT transfer IP của mình cho thằng nào khác lạ hoắc ở huyện #, tỉnh # thì nó alo cho mình à ?
Hay là thằng cha wujianan cùng ngồi trong cái nhà đó, cùng dùng chung cái modem đó để ra Internet ??. Cậu xem lại cái hình đi: DHCP IP Pool nhé. Modem nó cấp IP trong cái LAN đó cho thằng tàu khựa wujianan rành rành ra đó.
Cậu thừa biết vậy mà còn hù doạ em với bạn crazyboy nữa. Hu hu, em sợ quá !
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 22:53:10 (+0700) | #49 | 243177
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Cái IP đó nằm trong một cái 123.21.128.0/20. Vẫn tính được IP 123.21.140.237 nằm trong sub vừa kể, xem tiếp cái sub đó của ai thì lại có tiếp một vài thông tin(không xác thực).
http://www.robtex.com/route/123.21.128.0-20---proxy-registered-route-object.html
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 23:06:20 (+0700) | #50 | 243178
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]

TQN wrote:
Cảm ơn anh conmale đã lên tiếng. Bà con đừng hùa nhau vào chửi rũa tohoangvu. Biết đâu chính tohoangvu cũng là nạn nhân của STL hay ai khác thì sao.
Cái thằng giấu mặt là thằng này nè: 123.21.140.237 


TQN không hiểu vấn đề hay là vờ không hiểu để chọc mình smilie

cái ip 192.168.x.x là cái ip modem cấp cho các máy client cắm vào nó ( ip LAN ), còn cái ip 123.21.140.237 là do ISP cấp cho modem của khách hàng khi kết nối vào internet ( ip WAN )

Mà các thuê bao ADSL thường là IP động chứ không phải ip tĩnh nên khi reset modem thì ISP sẽ cũng cấp 1 ip mới chứ không phải ip cũ nữa.

Bác truy cập vào trang http://checkmyip.com/ xem ip của mình là gì, sau đó reset modem, clear cache của trình duyệt rồi vào lại trang đó bác sẽ thấy ip thay đổi

ps: lúc đầu bác vào check port có để ý nó là modem Zoom X5 không, giờ nó là modem TP-Link khác hoàn toàn, không lẽ anh ta thay luôn cả modem

[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 23:14:24 (+0700) | #51 | 243179
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Về trình độ hack thì STL không là gì cả, cũng "phình phường" thôi. Chúng cũng dùng Meta gì đó với đống thông tin về softwares cài trên máy nạn nhân để cài các exploit đã công bố trên mạng.
Còn về kỹ thuật xài keylog và trojan thì đúng là tụi này cũng giỏi thiệt (cái này em khen thiệt à nhe ). Dùng rất nhiều các kỹ thuật lập trình chưa phổ biến lắm trong giới viết malware phổ thông (hàng chợ), nắm rất vững Windows, nắm tương đối sâu (nhưng chưa kỹ) về Win API, biết rõ các thư mục ngõ ngách của Windows để đặt "meo que" file, info data vào đó.
Gần như 100% các nạn nhân bị chúng hack đa số đều dùng FireFox và IE, chúng tích hợp các thư viện building của chính FireFox và IE để lấy tất tần tật mọi history, bookmark, username, password của mọi thứ trên máy nạn nhân. Vì vậy, việc chúng chiếm đoạt, hack các website, blog sau khi đã biết password là chuyện nhỏ (em cũng làm được mà smilie). Việc lấy các thông tin về file video, file hình ảnh, Yahoo log chat... được thực hiện sau khi chúng biết và đã có thông tin gần như đầy đủ của nạn nhân về mọi thứ trên máy nạn nhân. Chúng sẽ viết tiếp các module lấy các file mà chúng muốn xem, đặt các file text trên server của chúng, ra lệnh là nếu IP của máy này trùng với IP tao ra lệnh thì mày lấy file này, file kia up về cho tao.

Vậy thôi, ăn cắp giỏi thiệt, cũng đầu tư tiền của, công sức nhiều thiệt đó.

2 mv1098: thì em nói cái IP của cái máy thằng tàu đó chứ. Thằng này nằm rành rành trong LAN đó mà.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 23:15:42 (+0700) | #52 | 243181
cr4zyb0y
Member

[Minus]    0    [Plus]
Joined: 27/05/2010 11:50:30
Messages: 51
Offline
[Profile] [PM]

mv1098 wrote:

TQN wrote:
Cảm ơn anh conmale đã lên tiếng. Bà con đừng hùa nhau vào chửi rũa tohoangvu. Biết đâu chính tohoangvu cũng là nạn nhân của STL hay ai khác thì sao.
Cái thằng giấu mặt là thằng này nè: 123.21.140.237 


TQN không hiểu vấn đề hay là vờ không hiểu để chọc mình smilie

cái ip 192.168.x.x là cái ip modem cấp cho các máy client cắm vào nó ( ip LAN ), còn cái ip 123.21.140.237 là do ISP cấp cho modem của khách hàng khi kết nối vào internet ( ip WAN )

Mà các thuê bao ADSL thường là IP động chứ không phải ip tĩnh nên khi reset modem thì ISP sẽ cũng cấp 1 ip mới chứ không phải ip cũ nữa.

Bác truy cập vào trang http://checkmyip.com/ xem ip của mình là gì, sau đó reset modem, clear cache của trình duyệt rồi vào lại trang đó bác sẽ thấy ip thay đổi

ps: lúc đầu bác vào check port có để ý nó là modem Zoom X5 không, giờ nó là modem TP-Link khác hoàn toàn, không lẽ anh ta thay luôn cả modem

 


không đọc những gì mình viết trên kia à, mình có nói rỏ ràng 2 giả thiết nếu ip 123.21.140.237 đã/chưa assign cho thèn khác thì tình huống sẽ khác mà.

còn vi phạm pháp luật mẹ gì mình không care, vì mấy anh công an mạng chả quan tâm gì tới mấy cái mình làm đâu smilie , nếu có thì đập tụi STL có ích hơn. tội phát tán malware là đi tù như chơi ấy chứ nhỉ smilie
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 23:26:52 (+0700) | #53 | 243182
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
À mà em quên và thắc mắc một điều này, ai biết giải đáp giùm em cái: Trong 95% các "mèo què" của đám STL này, tụi nó đều code = C++, dùng VC++ 2008, 2010. Số máy và bản instal VS phải từ 3, 4 máy trở lên (dựa trên MS Rich Info).
Nhưng tự dưng không không lại có thằng hứng chí lại port các native lib code qua VB.NET, rồi dùng VS 2005 để viết à ? Hay là anh này lúc trước là VB coder, giờ bị sếp ra lệnh code "meo "què" = C++, anh này nằng nặc: dạ không, em không code C++ đâu, em code VB.NET luôn nha ! Sếp ừ, và cuối cùng anh bị lộ smilie
Giả định của em đó, góp vui và xả "sờ trét" cho bà con luôn. Căng thẳng quá rồi mà smilie
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 09/07/2011 23:32:12 (+0700) | #54 | 243183
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]

cr4zyb0y wrote:

không đọc những gì mình viết trên kia à, mình có nói rỏ ràng 2 giả thiết nếu ip 123.21.140.237 đã/chưa assign cho thèn khác thì tình huống sẽ khác mà.

còn vi phạm pháp luật mẹ gì mình không care, vì mấy anh công an mạng chả quan tâm gì tới mấy cái mình làm đâu smilie , nếu có thì đập tụi STL có ích hơn. tội phát tán malware là đi tù như chơi ấy chứ nhỉ smilie 


Mình chỉ nói trên tinh thần đóng góp y kiến thôi chứ không có hù doạ gì cả, ở VN thì chẳng có chuyện gì mà không xảy ra được, người Trung Quốc có câu "Chuyện lớn hoá nhỏ, chuyện nhỏ thành không" còn VN thì ngược lại "Chuyện bé xé ra to", cận thận là hơn.

Nếu đúng là ip đó của 1 người khác thì bạn rõ ràng đã sai còn gì.

Không phải người ta không quan tâm, mà là chưa đến lúc người ta "quan tâm" thôi.

Cẩn tắc vô áy náy...

PS : đây là chuyện ngoài lề, nên để bác TQN tập chung vào chuyên môn thì hơn

Chúc bác TQN sớm phát hiện thêm những tình tiết mới, đọc mấy thứ về kỹ thuật em thích lắm.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 10/07/2011 00:07:30 (+0700) | #55 | 243185
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]

TQN wrote:
À mà em quên và thắc mắc một điều này, ai biết giải đáp giùm em cái: Trong 95% các "mèo què" của đám STL này, tụi nó đều code = C++, dùng VC++ 2008, 2010. Số máy và bản instal VS phải từ 3, 4 máy trở lên (dựa trên MS Rich Info).
Nhưng tự dưng không không lại có thằng hứng chí lại port các native lib code qua VB.NET, rồi dùng VS 2005 để viết à ? Hay là anh này lúc trước là VB coder, giờ bị sếp ra lệnh code "meo "què" = C++, anh này nằng nặc: dạ không, em không code C++ đâu, em code VB.NET luôn nha ! Sếp ừ, và cuối cùng anh bị lộ smilie
Giả định của em đó, góp vui và xả "sờ trét" cho bà con luôn. Căng thẳng quá rồi mà smilie
 


Như phân tích của bác ở các bài viết trên malware do nhóm này viết là tổng hợp dựa trên các thư viện malware undocuments chứ không phải theo 1 project đúng nghĩa.

Theo em thì cái undocuments lib mới viết trên VB.NET nên mấy bác ý mới phải viết = VB.NET.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 11/07/2011 11:40:39 (+0700) | #56 | 243238
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đã có bằng chứng 1 thằng tàu khựa đứng sau đám "Sống chết theo lệnh" này.
Bà con nào có số đt của tui làm ơn không share cho bất cứ ai nhé.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 11/07/2011 17:45:38 (+0700) | #57 | 243272
[Avatar]
rongchaua
Elite Member

[Minus]    0    [Plus]
Joined: 19/01/2003 04:09:23
Messages: 124
Offline
[Profile] [PM]
@TQN: Khi anh viết bằng C#/VB.NET hiển nhiên anh được bảo vệ dưới vỏ bọc của .NET Framework nên các trình antivirus khó lòng nhận ra được. Mà thực ra các tác vụ viết bằng C++ đều "có thể" rewrite lại được bằng C# (tuỳ theo trình độ hiểu biết về API của developer) thì ko có lý do gì mà không viết malware trên .NET Framework trong khi Vista/7 hiện đang trở nên phổ biến.

Ví dụ một link http://rongchaua.net/blog/c-low-level-hook-keyboard-to-write-a-simple-keylogger/ . Khi viết cái keylogger này thì thằng Avira không thể nhận diện được, còn bây giờ thì em cũng không biết là nó nhận ra chưa.

Chưa kể là nếu viết dựa trên .NET Framework 2.0 thì chắc có lẽ exploit được leo thang đặc quyền nữa vì security của nó thấp hơn hẳn so với các phiên bản hiện tại <-- Đây chỉ là phỏng đoán của em do trong quá tình phát triển phần mềm thấy sự khác biệt giữa các phiên bản Framework với nhau. Không phải là khẳng định và không có ví dụ chứng minh.
Thân.
My website: http://rongchaua.net
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 12/07/2011 08:12:33 (+0700) | #58 | 243289
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cảm ơn rongchaua !
Kết quả RCE file .exe mạo danh .doc đó lòi ra rất nhiều thông tin lý thú.
File doc.exe này cũng được viết = VC++ 2010, không dùng các kỹ thuật giống như đám "meo què" trước của STL. Rich ID của VC++ của máy thằng này cũng khác. Chỉ tập trung vào keylog và spy IE info. Thằng này lại khoái dùng C++, viết toàn class và dùng CString class cho thao tác string hết.
Nếu chỉ nhìn qua như vậy, có thể có bạn sẽ nói: ồ, vậy là thằng doc.exe này là của team khác. Em cũng đã nghĩ vậy, nhưng đi sâu vào phân tích thì lòi ra cùng 1 ổ.
Tới bây giờ, tui có thể nói chính xác: STL là một đội (1 công ty ???), gồm 2, 3 team tham gia viết malwares. Số thành viên của mỗi team khoãng 3, 4 người.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 12/07/2011 10:17:59 (+0700) | #59 | 243303
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Càng lạc vô "mê hồn trận" của STL càng thấy khủng smilie

Lụm được mấy tấm hình thấy cũng lý thú nên thảy lên cho bà con coi chơi:



(email account và password embedded trong trojan "tha tu do cu huy ha vu")



(Người xài hàng tàu ".cn" hay người tàu xài hàng tàu đây?)



(câu hỏi bí mật đúng là bí mật "bà cô mà em ưa thích là ai").
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 12/07/2011 10:33:09 (+0700) | #60 | 243307
[Avatar]
chiro8x
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]
Chà công nghệ phát triển có khác giờ mọi người có thể viết virus trên nền các framework nữa. Chắc có virus viết bằng java và python nữa, nghe sao giống cái phong cách viết virus bằng autoit quá. Sau này sẽ có phong trào nhà nhà viết virus bằng VB.NET smilie.

Mà sao nói nhóm này là nhóm bí mật mà lộ liểu thế này nhỉ smilie. Hay là bít mật một cách lộ liểu smilie.
while(1){}
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|