banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thủ thuật reverse engineering RCE và vô hiệu hoá VB.NET virus (của STL à ?)  XML
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 18/07/2011 08:32:52 (+0700) | #121 | 243739
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Thật ra nếu cần điều tra và có sự giúp đỡ của ISP thì chỉ trong vòng 1 ngày là lòi ra tất cả mọi thứ nhưng rất tiếc, anh em HVA không có và không thể có sự giúp đỡ này. Bù vào đó, anh em HVA chỉ có thể công bố một số cảnh báo quan trọng để người dùng biết mà dè chừng. Anh em nào rảnh thì submit các biến thái của malware này đến những nhóm phát triển antiviruses thì càng tốt.

Trong trò chơi "chân chân giả giả" này cái thiệt hại ghê gớm nhất không phải là bị cài trojans, bị mất hòm thư hoặc bị bêu rếu một cách thô thiển mà là sự ngờ vực lẫn nhau. Những trò chơi của STL đẩy người ta tới chỗ chẳng có ai còn có thể tin ai được nữa vì tất cả đều có thể là giả dối, nguỵ tạo và lường gạt.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 18/07/2011 12:02:51 (+0700) | #122 | 243747
[Avatar]
RainbowMCVT2561
Member

[Minus]    0    [Plus]
Joined: 19/01/2010 19:18:30
Messages: 22
Offline
[Profile] [PM]
Chỉ biết hồi hộp theo dõi TQN tiếp tục chiến đấu, không giúp được gì cho TQN cả!
Coi đây là 1 bài xả street và TQN ngĩ sao và cảm thưởng như nào về cái này
http://danlambaovn.blogspot.com/2011/07/sinh-tu-lenh-bi-vach-mat.html :d
Đời còn dài ...Tương lai còn khốn nạn
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 18/07/2011 12:37:48 (+0700) | #123 | 243750
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Bài báo "mạng liều" cày cấy hay như thật. Từ phỏng đoán trên câu chữ thành nghi vấn . Rồi còn lấy tên tuổi để chỉ định danh nhân vật. Mấy anh nông dân này và các cu con buôn bài viết quả là "HAY VẬT VÃ".
PS: Viết báo chưa đúng thời điểm. Viết kiểu đó dễ gây nguy hiểm cho người điều tra sự việc.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 18/07/2011 13:07:00 (+0700) | #124 | 243752
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Khẳng định tohoangvu vẫn sử dụng nick yahoo và email socidemo@yahoo.com.au chứ không phải bị hack

Đám virus này được biết đến nhiều từ năm 2010 nhưng thầy giáo Gu Gồ thì cho thấy rằng bro To Hoang Vu này vẫn sử dụng nick socidemo và yahoo socidemo@yahoo.com.au cho đến ngày 28/01/2011
Sau đó mấy topic của bro này đã được sửa lại xoá hết thông tin đi

( thông tin được lưu trong cache của Google )

[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 18/07/2011 13:32:49 (+0700) | #125 | 243753
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Hì hì, anh em STL theo dõi topic này kỹ vậy à, cái http://speed.cyline.org - port 443 đành phải hy sinh nó à, uổng vậy. Mấy anh giàu thiệt nha, thuê host tuốt bên Pháp luôn à. Chắc thấy cái URL có Computer Name: ThangChaMayTuiSTL và UserName: OngNoiMayNe nên lo đóng host rồi phải không ?
Có anh em cao thủ giấu mặt PM cho em nói em nên im lặng, âm thầm theo dõi để cái host này cập nhật malware rồi trace tiếp. Nhưng em lại không đồng ý. Với số lượng lớn computer bị nhiểm fake Unikey như vầy thì chỉ trong vòng 1h, "mèo què" của STL lan tràn vài triệu máy (SleepEx của mấy anh STL đấy), em thì lo việc ngoài suốt, đâu rãnh rỗi mà ngồi track xem cái BlueSphere.bmp dùng steganography cập nhật "mèo què" mới được ?!. Thông cảm cho em, chặn từ đầu luôn, dập luôn cái kỹ thuật phát tán "mèo què" mới nguỵ trang file bmp này, dùng bmp đánh lừa bà con, trong đấy lại nhúng URL và nhúng Exe.
Rảnh rỗi thì em sẽ post phân tích về kỹ thuật steganography mà tụi STL này đang dùng. Bà con đợi xem nhé.

Em có một bài tập cho anh em RCE đây: trong file FakeUnikey.rar mà em đã post ở Mediafire, có 2 file .bmp: flower.bmp và BlueSphere.bmp. Bà con hảy phân tích tụi STL dùng kỹ thuật steganography gì để extract URL và Exe nhúng trong hai file .bmp đó ? Gợi ý: 2 file bmp đó định dạng gì, row, col ra sao, thuật toán extract data em đã sơ bộ mô tả trong file uxtheme.idb ! 2 file bmp đó được download từ http://speed.cyline.org:443/xxx của tụi STL.

Thằng "Wu Yu Zheng" này thì chắc chắn là du học sinh của tàu khựa rồi, thằng tohoangvu thì để chình ình lên Facebook là từng học ở US về. Vậy có phải đám này là "du côn học sinh" không ? Ông nội nào có tiền thuê đám này thì giàu thiệt ha, lương mấy thằng này phải cỡ ngàn USD trở lên.

Đã vậy, thằng nào em không biết, 30/04, ngày nghỉ lễ, vậy mà vẫn ở nhà lọ mọ build "mèo què" ? Bó 3 chân.com luôn !
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 18/07/2011 13:50:37 (+0700) | #126 | 243756
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
@ RainbowMCVT2561: Em chả cảm tưỡng gì cả, cách đây mấy ngày, em chỉ cần Gấu gồ: "HVA"+"Sinh Tu Lenh" là lòi ra một đống link dạng này.
Em đông ke: việc em RCE và vạch mặt tụi STL, em thấy là đúng, tụi nó làm bậy, làm sai, vạch mặt, vậy thôi. Còn nếu kết quả RCE của em có phục vụ cho bên nào thì tuỳ người ta chế biến, em không chịu trách nhiệm. Nói như dân CK của em: "Em chỉ mô tả, phân tích cái máy nó hoạt động ra sao. Còn dùng cái máy đó cho việc gì thì chuyện của người ta".
Người ta có thể là các nhóm người "lề trái", tụi STL, CA mạng VietNam ta, các tổ chức an ninh, antivirus...
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 18/07/2011 15:28:43 (+0700) | #127 | 243766
zxc232
Member

[Minus]    0    [Plus]
Joined: 18/07/2011 02:09:43
Messages: 1
Offline
[Profile] [PM]
Rất cám ơn HVA và "hiệp sỹ" TQN.
Nếu bạn có thể post lên đây bản Unikey sạch cho mọi người tải về thì hay quá.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 18/07/2011 16:00:36 (+0700) | #128 | 243768
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

zxc232 wrote:
Rất cám ơn HVA và "hiệp sỹ" TQN.
Nếu bạn có thể post lên đây bản Unikey sạch cho mọi người tải về thì hay quá. 


Bạn có thể vào các trang chủ của phần mềm để tải về bản mới nhất và "sạch".
Trong các bài viết trước anh TQN đã nói rõ rồi
Để tải Unikey thì vào trang chủ www.unikey.org để tải về!

- Ky0 -
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 19/07/2011 11:11:46 (+0700) | #129 | 243775
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
File UnikeyNT.exe trên máy tui down từ Unikey.org. Version 4.0 RC2 Build 091101 NT.
Size = 261,632 bytes
MD5 = B7FD76103054F562A11CE616D50A0611

File UKHook40.dll:
Size = 245,248 bytes
MD5 = 705966A7759553A80A209C42D1976BD5

Link download: https://sourceforge.net/projects/unikey/files/unikey-win/4.0%20RC2/unikey40RC2-1101-win32.zip/download

Một mẫu nữa của STL (hắc hay bạch thì em chưa biết) vừa được em up lên thư mục STL Virus ở mediafile:
http://www.mediafire.com/myfiles.php#tz745o0f678w8

File này cũng y như file Nguyễn Văn Lý, file .exe mạo danh .doc (icon của WinWord). Build date thì cũ hơn: 18-12-2010, 10:23:29.
Source sau khi RCE ra gần như 95% giống với file NVL, chỉ khác config data. Config data của file này sau khi được giải mã:
Code:
F1TPSRVRA=
F3TPURNS=
F4TPPSRD=
F5TPFDRSRC=
F2TPSRVPR=0
F6TPIUEXF=0
F7TPAUHXL=0
F8TPAUHXJ=1
M1LSRA12=smtp.mail.yahoo.com
M2LSDRTO=nguyennam92@yahoo.com
M3LSJTIE=Tin lanh
M4LRCPMP4=ngnamhungntt@gmail.com
M6LPRTP3=465
M7LUSLPLS=1
M10ALCLT=1
M8LURLNY=nguyennam92@yahoo.com
M9LPSLNX=luathieng@
M5LISUSURS=1
H1TPSRVRAA=
H3TPURNSC=
H4TPPSRDD=
H5TPINPCE=
H5TPACNMF=
H2TPSRVPRB=0
H6TPIUEXFG=0
H7TPAUHXLH=0
H8TPEAULJ=0
L1G5PSYMC=kehoachlan2@
L3LAKYP2P3=1
L2GPYX2P3=2
G6CFGUADP2P=
G3TMSNDKZLIB=14400
G4DMPINFP=0
G1ATTDTNMSN


Trong file config này, ta lại thấy nạn nhân (hay một thành viên nữa) của STL: nguyennam92@yahoo.com. Pass vào hộp mail đó là "luathieng@". Và ta cũng thấy hộp mail Gmail quen thuộc: ngnamhungntt@gmail.com

Hỏi nhỏ mấy anh STL nè: Lần 1 là đánh phá từ tháng 6 tới tháng 11 - 2010. Lần 2 (kehoachlan2@) là đánh phá từ 03 tớ 06 2011 phải không ? Vậy lần 3 sắp tới là khi nào ?

Em đang RCE hoàn chỉnh cả file file NVL và TinLanh này. Có kết quã sẽ post lên cho bà con xem cho vui !
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 19/07/2011 12:16:08 (+0700) | #130 | 243779
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Ặc ặc, chơi kỳ quá mấy anh STL (hắc or bạch ơi). Mấy anh lại đi đạo code người ta nữa rồi. Code của mấy anh giống y chang như WebClient.c của project này vầy: http://svn.cac.washington.edu/viewvc/pubcookie/trunk/src/Win32/WebClient.c?diff_format=u&view=markup.
Giống tới từng message, từng dòng code, từng hardcoded string. Vd như:
Code:
.rdata:00426230     szError0xxreadingInitSecurityInterfaceentrypoint:
.rdata:00426230                                             ; DATA XREF: LoadSecurityLibrary+11Ao
.rdata:00426230             unicode 0, <Error 0x%x reading InitSecurityInterface entry point!>,0

Và code của WebClient.c

125 if(pInitSecurityInterface == NULL)
126 {
127 message("Error 0x%x reading InitSecurityInterface entry point.\n",
128 GetLastError());
129 return FALSE;
130 }
 


Mấy cái vụ ăn cắp code, đạo code, em nhìn tinh lắm. Mấy anh chắc có biết vụ BKAV mà phải không ? Lần sau đạo code thì chịu khó modify, che dấu lại tí chút mấy anh nhé ! Đã chịu khó port từ .c sang .cpp, wrap lại = class thì chí ít cũng modify mấy cái hardcoded strings đó đi chứ !
Vậy mà em cứ tưởng mấy anh code lên tay, tự code mấy cái class CSSLxxx gì đó chứ. Certificate Data giờ đang nằm trong tay em, chỉ một vài bước nữa là em công bố cái Certxxx đó lên nhé !

PS: Công nhận ông nội Wu Yu Zheng gì đó nhanh tay thật, chỉ một đêm một ngày đã vắt chân lên cổ đi xoá hết thông tin về mình rồi smilie
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 19/07/2011 12:33:48 (+0700) | #131 | 243780
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]

TQN wrote:

PS: Công nhận ông nội Wu Yu Zheng gì đó nhanh tay thật, chỉ một đêm một ngày đã vắt chân lên cổ đi xoá hết thông tin về mình rồi smilie 


Đọc câu này của anh TQN chợt nhớ tới bài viết trên blog của mrro http://vnhacker.blogspot.com/2007/06/ti-phm.html
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 19/07/2011 13:19:08 (+0700) | #132 | 243783
cr4zyb0y
Member

[Minus]    0    [Plus]
Joined: 27/05/2010 11:50:30
Messages: 51
Offline
[Profile] [PM]
bọn STL cũng ghê gớm nhỉ, đánh giằng mặt cơ đấy smilie)

[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 19/07/2011 14:28:55 (+0700) | #133 | 243784
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đụng tới thằng Wu Yu Zhen, tụi nó lo sốt vó, sợ lộ tới nơi nên DDOS giằng mặt đấy mà !
To ngnamhungntt@gmail.com : Bán camera an ninh thì lo bán đi nha ông nội, đừng dính dáng vào mấy chuyện chính trị nha ! Bữa nào em ghé vào công ty anh mua vài cái camera nhé, bán giá gốc nhé !
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 19/07/2011 14:37:18 (+0700) | #134 | 243785
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

TQN wrote:
Đụng tới thằng Wu Yu Zhen, tụi nó lo sốt vó, sợ lộ tới nơi nên DDOS giằng mặt đấy mà !
To ngnamhungntt@gmail.com : Bán camera an ninh thì lo bán đi nha ông nội, đừng dính dáng vào mấy chuyện chính trị nha ! Bữa nào em ghé vào công ty anh mua vài cái camera nhé, bán giá gốc nhé ! 


Hì hì, kỳ này bị DDoS khá nặng đó em mà anh lại đang giữa công trình cho nên lu bu bùng xùng luôn smilie . Chắc sắp tới phải rút tỉa và thiết kế lại một hệ thống chặn hợp lý hơn. Tạm thời vẫn cố giữ cái forum sống để anh em post thông tin RE lên cho bà con mãn nhãn smilie.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 19/07/2011 16:23:47 (+0700) | #135 | 243788
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Anh em HVA ta ai cũng phải có công việc riêng ở ngoài, cuộc sống, gia đình riêng. Còn tụi nó thì có tài trợ, ăn lương, chỉ ngồi không làm mấy cái chuyện dơ bẩn, thối tha này. Vì vậy, chả trách nhiều lúc mình chậm chân hơn nó một bước.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 19/07/2011 22:58:11 (+0700) | #136 | 243793
nobitapm
Member

[Minus]    0    [Plus]
Joined: 21/07/2008 13:54:41
Messages: 5
Offline
[Profile] [PM]
anh TQN chắc tối nay nhậu xỉn quá rồi nên không thấy post bài ta ? smilie

PS : tại e ở xa, chứ ở SG là e mời anh đi bờ kè uống bia giải khác liền. smilie
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 19/07/2011 23:26:46 (+0700) | #137 | 243794
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Sử dụng trang robtex.com làm công cụ public trung gian kiểm tra vùng IP nào đốt chích HVA. Ví dụ như
118.68.144.0/20
FPT Telecom Company 66-68 Vo Van Tan Ho Chi Minh City Vietnam
AS18403
FPT-AS-AP FPT Telecom Company 66-68 Vo Van Tan Ho Chi Minh City Vietnam
Vì trong cái 118.68.114.0/20
bao gộn cái nguồn tấn công 118.68.147.189
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 20/07/2011 06:26:25 (+0700) | #138 | 243799
[Avatar]
minhhath
Member

[Minus]    0    [Plus]
Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline
[Profile] [PM]

File Scan_000.scr:

cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64=
oNIx2zknAa67WFSorZQv/Q==
slIbnSGRCPPsJeFM/jPcYQ==
90/u7E7RZcQ=
 


File Scan_005_Letter.scr

cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64=
oNIx2zknAa67WFSorZQv/Q==
slIbnSGRCPPsJeFM/jPcYQ==
90/u7E7RZcQ=
 


File Scan_Page.scr

cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64=
oNIx2zknAa67WFSorZQv/Q==
smtp.gmail.com
587
False
1TtkPA9wSPz7EXzOGfb+0A==
Az93AnVF5+c=
Az93AnVF5+c=
 


Các thông tin này được mã hoá = TripleDES và Base64. Em đã dùng chính code giãi mã của nó để decode các string trên ra:
Code:
using System;
using System.Collections.Generic;
using System.Text;
using System.IO;
using System.Security.Cryptography;

namespace Decode
{
    public class cTripleDES
    {
        private byte[] m_key;
        private byte[] m_iv;
        private TripleDESCryptoServiceProvider m_des = new TripleDESCryptoServiceProvider();
        private UTF8Encoding m_utf8 = new UTF8Encoding();

        public cTripleDES(byte[] key, byte[] iv)
        {
            this.m_key = key;
            this.m_iv = iv;
        }

        public string Decrypt(string text)
        {
            string str = null;
            byte[] buffer = null;
            byte[] bytes = null;
            try
            {
                buffer = Convert.FromBase64String(text);
                bytes = this.Transform(buffer, this.m_des.CreateDecryptor(this.m_key, this.m_iv));
                str = this.m_utf8.GetString(bytes);
            }
            catch (Exception ex)
            {
                Console.WriteLine(ex.Message);
            }
            return str;
        }

        public byte[] Transform(byte[] input, ICryptoTransform cryptoTransform)
        {
            CryptoStream stream = null;
            MemoryStream stream2 = null;
            byte[] buffer = null;
            stream2 = new MemoryStream();
            stream = new CryptoStream(stream2, cryptoTransform, CryptoStreamMode.Write);
            stream.Write(input, 0, input.Length);
            stream.FlushFinalBlock();
            stream2.Position = 0L;
            buffer = new byte[((int)(stream2.Length - 1L)) + 1];
            stream2.Read(buffer, 0, buffer.Length);
            stream2.Close();
            stream.Close();
            return buffer;
        }
    }

    class Program
    {
        static void Main(string[] args)
        {
            byte[] key = new byte[] { 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 0x10,
                                      0x11, 0x12, 0x13, 20, 0x15, 0x16, 0x17, 0x18 };
            byte[] iv = new byte[] { 0xff, 70, 60, 50, 40, 30, 20, 10 };
            cTripleDES tripleDES = new cTripleDES(key, iv);
            string str = tripleDES.Decrypt(args[0]);
            Console.WriteLine("String decoded: " + str);
            Console.ReadLine();
        }
    }
}


 

anh TQN ơi cho em hỏi là trong file anh gửi cho mọi người thì file nào là file hoạt động chính trong 3 file (Scan_000,Scan_005_Letter,Scan_Page)nó có hỗ trợ nhau giống như sâu đôi sâu 3 không anh?
em không hiểu về C# nhiều chỉ tự học thôi.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 20/07/2011 11:13:20 (+0700) | #139 | 243808
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

TQN wrote:
Hì hì, anh em STL theo dõi topic này kỹ vậy à, cái http://speed.cyline.org - port 443 đành phải hy sinh nó à, uổng vậy. Mấy anh giàu thiệt nha, thuê host tuốt bên Pháp luôn à. Chắc thấy cái URL có Computer Name: ThangChaMayTuiSTL và UserName: OngNoiMayNe nên lo đóng host rồi phải không ?
Có anh em cao thủ giấu mặt PM cho em nói em nên im lặng, âm thầm theo dõi để cái host này cập nhật malware rồi trace tiếp. Nhưng em lại không đồng ý. Với số lượng lớn computer bị nhiểm fake Unikey như vầy thì chỉ trong vòng 1h, "mèo què" của STL lan tràn vài triệu máy (SleepEx của mấy anh STL đấy), em thì lo việc ngoài suốt, đâu rãnh rỗi mà ngồi track xem cái BlueSphere.bmp dùng steganography cập nhật "mèo què" mới được ?!. Thông cảm cho em, chặn từ đầu luôn, dập luôn cái kỹ thuật phát tán "mèo què" mới nguỵ trang file bmp này, dùng bmp đánh lừa bà con, trong đấy lại nhúng URL và nhúng Exe.
Rảnh rỗi thì em sẽ post phân tích về kỹ thuật steganography mà tụi STL này đang dùng. Bà con đợi xem nhé.

Em có một bài tập cho anh em RCE đây: trong file FakeUnikey.rar mà em đã post ở Mediafire, có 2 file .bmp: flower.bmp và BlueSphere.bmp. Bà con hảy phân tích tụi STL dùng kỹ thuật steganography gì để extract URL và Exe nhúng trong hai file .bmp đó ? Gợi ý: 2 file bmp đó định dạng gì, row, col ra sao, thuật toán extract data em đã sơ bộ mô tả trong file uxtheme.idb ! 2 file bmp đó được download từ http://speed.cyline.org:443/xxx của tụi STL.

Thằng "Wu Yu Zheng" này thì chắc chắn là du học sinh của tàu khựa rồi, thằng tohoangvu thì để chình ình lên Facebook là từng học ở US về. Vậy có phải đám này là "du côn học sinh" không ? Ông nội nào có tiền thuê đám này thì giàu thiệt ha, lương mấy thằng này phải cỡ ngàn USD trở lên.

Đã vậy, thằng nào em không biết, 30/04, ngày nghỉ lễ, vậy mà vẫn ở nhà lọ mọ build "mèo què" ? Bó 3 chân.com luôn ! 


Xem video sau, em chợt nhớ đến anh TQN, anh đang "defend the net" qua việc expose đám STL này:
Mikko Hypponen: Fighting viruses, defending the net | Video on TED.com
http://www.ted.com/talks/mikko_hypponen_fighting_viruses_defending_the_net.html
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 26/07/2011 11:30:51 (+0700) | #140 | 244181
template
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 02:18:47
Messages: 16
Offline
[Profile] [PM]

TQN wrote:
Hì hì, người bạn của em lại vừa gởi cho em một mẫu mới nữa của đám STL này. Mạo danh là file .doc. Viết = VC++ 2010. Anh em đợi em vài ngày. Em sẽ post kết quả "rờ c... em" lên.
File này hơi bị mới, build vào ngày 12-05-2011, 10h sáng. Đính kèm trong ruột (resource) của nó một đống "méo què" nữa.
Ai chà chà, dùng crypto Bas64, SHA-256 để mã hoá à, lần này lại nhắm vào IE nữa à. Chơi toàn interface của IE không ha ? Tiêu mấy anh STL nữa rồi.
Ặc ặc, lần này code lên tay quá rồi ha, chơi dùng SSL nữa ha:
Code:
Vftable  Method count Class & structure info          
-------  ------------ ----------------------          
00436AEC 0001         CKllPrss;  [SI]                 
004374F8 0008         CSHA256: CHash;  [SI]           
00437900 0001         TBuffer;  [SI]                  
004380F8 0002         CSSLFtp: CSSLSocket;  [SI]      
004381A4 0002         CSSLHttp: CSSLSocket;  [SI]     
0043844C 0002         CSSLMail: CSSLSocket;  [SI]     
00438DB4 0002         CSSLSocket;  [SI]               
004394B4 0001         CVcRcdXP;  [SI]

Copy code của CSSLSocket trên CodeProject phải không, mấy đại ca STL. Không lý mấy cậu có hẳn 1 team được tài trợ để ngồi code "méo què" à ?

CKillProcess thì chịu khó viết đầy đủ ra, coding standard đâu, đặt tên CKllPrss thì đố thằng nào hiểu. Còn CVcRcdXP là gì nữa đây ?

Bày đặt còn call native API của Ntdll.dll để antidebug nữa à. Mấy cái trò này mấy cậu học trong mấy cái article AntiRE, antiunpacking tricks phải không ?

Lần này khá hơn, xài rootkit nữa ha. Vậy là em phải install lại Win cho máy ảo VB của em để remote debug rồi.

Nhưng công nhận mấy anh code VC++ khá lắm đấy ! Nhưng chưa đủ để em đọc không hiểu đâu, vì em code System từ còn thời Win31 lận, thời mấy anh còn ở truồng tắm mưa mà smilie

Mấy cái hàm này em RCE quen quá rồi, nhìn quen mặt luôn. Code của mấy anh là cái chắc, 100%.

Sẵn đây em nói luôn, đã build code ở mode Unicode thì Unicode 100% nhé, đừng lẫn lộn code, call API, C RTL functions cho ANSI, MBCS, UNICODE lung tung như vậy nhé. Mấy anh tìm document về TCHAR mà đọc đi nhé. Hay bữa nào gặp em, em seminar về TCHAR cho. Code vầy là không được đâu !

Lần này em nói trước nhé, mấy anh lo change pass và bảo vệ cái hộp mail và FTP account mà mấy anh đang dùng trong con này đi. Lần này em phá thẳng tay đấy ! Nói một lời thôi. Gmail có bug nên mấy anh login vào được và xoá hết victim's data à ! Lần này em sẽ không share pass nữa đâu nhé !

Vừa chat với Thoai, nghe câu của Thoại: "Thấy mình anh chinh chiến...", em thấy buồn thiệt, một mình em độc diễn, đơn độc. Anh em BKAV, CMC, các anh em RCE khác đâu hết rồi, vào giúp em với chứ ! 


Khoái nhất là bài viết này smilie Toàn là ngôn từ nhẹ mà đau smilie
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 26/07/2011 18:35:01 (+0700) | #141 | 244221
exception
Member

[Minus]    0    [Plus]
Joined: 10/07/2011 23:48:25
Messages: 15
Offline
[Profile] [PM]
Python script cho IDAPython, parse VB5/6 DllFunctionCall stubs để lấy api call cho IDA. Tui viết lâu lâu lôi ra xài lại với đống VB6 malware này. Nay share mọi người dùng reverse cho nhanh.

http://pastebin.com/WsAsMaB9
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 26/07/2011 19:41:39 (+0700) | #142 | 244226
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Exeption viết hay là dùng lại code của ai ! Đừng nói quá như vậy, em nhé. Anh nằm vùng trong giới RCE mà.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 26/07/2011 20:28:39 (+0700) | #143 | 244234
exception
Member

[Minus]    0    [Plus]
Joined: 10/07/2011 23:48:25
Messages: 15
Offline
[Profile] [PM]
Cái đơn giản như thế này thì cần gì phải "dùng lại code ai" hả anh smilie Đâu phải ai cũng là STL.

Mà anh thấy em nói quá ở điểm nào vậy?
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 26/07/2011 20:33:40 (+0700) | #144 | 244235
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
Chắc anh TQN định nhắc đến bạn này : Dmitry Friesen
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 26/07/2011 20:39:46 (+0700) | #145 | 244236
exception
Member

[Minus]    0    [Plus]
Joined: 10/07/2011 23:48:25
Messages: 15
Offline
[Profile] [PM]
@acoustics89:

Dmitry Friesen? IDC script này phải không bạn? Có điểm giống nhau nào thế?

http://www.openrce.org/downloads/details/73/VB5060DLLcall 
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 06/08/2011 05:39:58 (+0700) | #146 | 244637
m3onh0x84
Member

[Minus]    0    [Plus]
Joined: 29/11/2007 15:22:21
Messages: 467
Location: lang thang 4 biển
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN]
share tools hả, ok smilie AE thử hàng này xem, chắc là cũ rồi:
Immunity Debugger (powerful new way to write exploits)
giới thiệu trên bt forum:
http://www.backtrack-linux.org/forums/tool-requests/34040-immunity-debugger-powerful-new-way-write-exploits-windows-wine.html
down, và giới thiệu:
http://www.softpedia.com/get/Programming/Debuggers-Decompilers-Dissasemblers/Immunity-Debugger.shtml
K0 biết bà con quen mặt tools này k0 nữa smilie
1/ LÀM ƠN "Đọc kĩ hướng dẫn sử dụng trước khi dùng".
2/homepage: trước khi hỏi thì LÀM ƠN tìm kiếm. Vì để biết nhiều hơn thì ai cũng phải đọc "VỪNG ƠI MỞ RA"
Hỏi FAQ thì lên asking.vn mà hỏi
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 06/08/2011 11:39:31 (+0700) | #147 | 244646
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

m3onh0x84 wrote:
share tools hả, ok smilie AE thử hàng này xem, chắc là cũ rồi:
Immunity Debugger (powerful new way to write exploits)
giới thiệu trên bt forum:
http://www.backtrack-linux.org/forums/tool-requests/34040-immunity-debugger-powerful-new-way-write-exploits-windows-wine.html
down, và giới thiệu:
http://www.softpedia.com/get/Programming/Debuggers-Decompilers-Dissasemblers/Immunity-Debugger.shtml
K0 biết bà con quen mặt tools này k0 nữa smilie 


Đối với việc phân tích malware thì IDA là "king of tools". Chưa có cái nào qua mặt IDA hết smilie.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 31/08/2011 14:39:47 (+0700) | #148 | 246298
kprowin
Member

[Minus]    0    [Plus]
Joined: 08/06/2011 06:08:12
Messages: 1
Offline
[Profile] [PM]

TQN wrote:
Không biết các bác nghĩ sao, chứ em bây giờ cũng bị lạc vào mê hồn trận của STL rồi. Theo thông tin em có thì em nghĩ là có tới 2 team, cùng đội lốt STL, cùng đánh phá các trang, blog chống đối chính quyền, nhưng lại cùng quay ra chơi nhau.

Tui nói vậy phải không Nguyễn Văn Tú: nguyen.v.tu1987@gmail.com. Chính cậu gởi tui hai file giả danh Screen Saver và Exe giả Doc. Mấy ngày nay tui mail vài mail hỏi cậu làm sao có mail Yahoo của tui, hỏi cậu vài câu cần xác thực, cậu lại im lặng, không trả lời. Cậu là STL đích thực phải không, muốn vu oan giá hoạ cho thành viên bên team kia phải không ?

2 exception và các thành viên khác: Toàn bộ malware của STL (?) tui đã post link lên, các bạn đọc không kỹ thôi. Tui up ở thư mục này của mediafire: http://www.mediafire.com/?tz745o0f678w8

Và có bạn từ bên CMC sau khi gởi toàn bộ mẫu virus đó cho CMC đã PM thông báo cho tui CMC đã cập nhật và diệt được đám "mèo què" đó. Chân thành cảm ơn CMC và bạn.  




Xin đính chính ^^ nguyen.v.tu1987@gmail.com người này ko phải tên Nguyễn Văn Tú mà là Nguyễn Vũ Tùng ko phải 1987 mà là 1978, học trường Cao Thắng trước đây hiii, lá thu nhiều sâu róm ---> Thông tin trên chính xác nhỉ ^^
Đơn thuần tôi chỉ là người thích "Đọc"
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
2 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|