banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 10:09:54 (+0700) | #1 | 243872
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Trong tháng 7 năm 2011 này, HVA bị ít nhất là ba trận DDoS khá nặng. Thông qua những thông tin đã thu thập được trong quá trình điều tra và sự hỗ trợ của các bạn bè thành viên, tôi tạm thông báo một số chi tiết quan trọng như sau:

- Có tính chất tương tự như con vecebot mà securedWorks đã công bố hồi cuối tháng 10 năm 2010: http://www.secureworks.com/research/threats/vecebot/?threat=vecebot. Con bot dùng để tấn công HVA cũng nhận chỉ thị từ một file cấu hình xml như con vecebot.

- Con bot dùng để tấn công HVA cũng sử dụng hàng loạt các User-Agent giả mạo để qua mặt hệ thống cản lọc. Những User-Agent được sử dụng y hệt như những User-Agent đã từng tấn công các trang web và các blogs "lề trái". Theo nguồn tin chưa kiểm chứng, vietnamnet cũng đã từng bị DDoS với cùng tính chất như trên.

- Con bot này cũng có thể được khởi động hoặc ngưng lại một cách dễ dàng và nhanh chóng. Điều này biểu hiện qua hiện tượng DDoS đột ngột xảy ra và đột ngột ngưng lại.

Trong khi chờ đợi thu thập thêm thông tin để đối chiếu và kiểm chứng. Tôi tạm công bố một số thông tin như trên. Hãy đón xem các thông tin khác sẽ được cập nhật. Xin cám ơn các anh chị em đã nhanh chóng thu thập và cung cấp những thông tin cực kỳ quý giá.

PS: HVA chắc chắn sẽ tiếp tục bị DDoS nhằm "bịt miệng" những công bố xuyên qua phân tích và RE.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 11:41:56 (+0700) | #2 | 243880
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Thôi thì để em công bố luôn. Các anh STL đọc xong topic này thì close ngay cái host đang ra lệnh DDOS HVA nhé. Coi chừng tụi em chơi trò "Gậy ông đập lưng ông đấy".
Bạn cao thủ trẻ tuổi giấu mặt PM cho em sáng nay:

anh ạ, anh chắc còn nhớ vụ GoogleCrashHandle , cái vụ mà em post bên xxxxxx forum, bạn xxxxx đòi giải thích, em tức nên không post nữa... smilie

Thực ra cái file ấy, nó còn nhiều chỗ hay lắm. Con ấy nó download về một con khác , chính nó là thủ phạm DDoS Vietnamnet. Nhưng vì đang tức nên em chả viết tiếp.

Hồi ấy, cũng rảnh nên em có làm thử 1 cái , mà em bắt chước ở đây
https://zeustracker.abuse.ch/

đại khái là tool để track, để theo dõi các mạng botnet, tuy không được hoành tránh như người ta nhưng em cũng sướng lắm smilie)

Trong con đó có 1 cái link, là http://penop.net/top.jpg, hồi đó không tải được, nhưng mà mấy hôm nay tự nhiên lại thấy báo có mẫu mới, về giải mã ra ( xor 0x19 theo byte ) thì được 1 link khác để tải cái con VB này về http://penop.net/images01.gif

Chính con VB này đang DoS HVA, anh và các anh HVA xem thế nào, dập được server của nó thì tốt quá !

Em gửi anh bộ mẫu, cùng cái file cấu hình, file giải mã cấu hình, anh xem thử xem

UserAgent : An0nym0453

http://direct.aliasx.net/xc.jpg <<< Link tải file cấu hình của nó, là định dạng XML
http://direct.aliasx.net/xv.jpg <<< File này ghi ngày giờ, để làm gì thì em chịu

Link mẫu: http://ifile.it/q13g05h

Pass giải nén là: "5D1DCCDA70433CFC795F6D03459B258D"
 

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 11:45:11 (+0700) | #3 | 243881
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tiếp:

Chính là cái file viết bằng VB ấy ạ : AcrobatUpdater.exe. Nó làm nhiệm vụ tân công.

Kịch bản thế này ạ:

Nó vào cái http://direct.aliasx.net/xc.jpg để tải file cấu hình này về. File này được mã hoá, thuật toán XOR thôi nhưng cũng không đơn giản lắm.

Sau đó Bot sử dụng các lớp để parse XML, lấy thông tin, UserAgent, .... rồi tấn công, giống như 1 người dùng bình thường duyệt web và click vào link ấy. Em chỉ hiểu cách nó tấn công là mô phỏng trình duyệt và người dùng lướt web, chứ chống lại thế nào thì em chịu, không có kinh nghiệm.

còn http://direct.aliasx.net/xv.jpg là file chứa ngày giờ, chẳng hiểu để làm gì

2 thằng này anh phải dùng UserAgent là An0nym0453 thì mới lấy được nhé. Dùng cái khác là nó trả về mã 403 ngay smilie

Cái phức tạp của con này là dùng VB để code, đọc thấy oải. Sau 1 tối ngồi không, em cũng RCE xong.

Code giải mã file cấu hình đây, cũng không dài, nhưng chả hiểu hôm qua lơ mơ thế nào em viết thiếu 1 chỗ, nên nếu giải mã vẫn sai đôi chút, giờ thì chắc chắn rồi.

Hệ thống tracker trên máy em vẫn định kì download cái file cấu hình và tìm sự thay đổi, nếu có em lại báo anh biết. Hiện giờ nó vẫn tấn công HVA

Em có ý này, nếu mà các anh có thể xâm nhập được vào cái direct.aliasx.net. hay mình up file cấu hình của mình lên, với target chính là direct.aliasx.net. Cho các bạn ấy biết thế nào là bị DDoS 1 lần. Gậy ông đập lưng ông mà smilie

Code:

#include <Windows.h>
#include <stdio.h>

int main(int argc, char* argv[])
{
FILE *f; int i;
char *pBuffer;
long lSize;
int iKeySize;
char szKey[] = "!asDPSk!@sakkf#!@kskdk12#@!#231saad2asdsD"; //key giai ma
char szOutPut[MAX_PATH] = "";

if ((argc <2) || (argc >3 ))
{
printf("Usage: Decode <Encrypted> <Result>");
exit(1);

}
if (argc == 2)
{
strcpy(szOutPut, "Decoded.txt");
}
else strncpy(szOutPut, argv[2],MAX_PATH);

f = fopen(argv[1], "rb"); //doc file da ma hoa

if (f)
{
fseek(f, 0, SEEK_END);
lSize = ftell(f);
fseek(f, 0, SEEK_SET);

pBuffer = new char[lSize];
if(pBuffer)
{
fread((char*)pBuffer, lSize, 1, f);

iKeySize = lstrlenA(szKey);
for (i = 0; i < lSize; ++i)
{
pBuffer[i] ^= szKey[(i%iKeySize+1)%iKeySize ]; //giai ma file
}
}
fclose(f);


if (pBuffer)
{
f = fopen(szOutPut, "wb");
if (f)
{
fwrite((char*)pBuffer, lSize, 1, f); // ghi lai noi dung da giai ma
fclose(f);
}
else printf("Can not open output file.");
free(pBuffer);
}
}
else printf("Can not open input file.");
return 0;
}
 
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 11:52:56 (+0700) | #4 | 243882
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tiếp:
File AcrobatReader.exe có file size = 282624 bytes. Viết = VB 6, nhưng lại build trên máy Win7 64bit. Build date: 16/06/2011, 04:18:01.
Bất cứ bà con nào đang xem topic này, search ngay trên máy mình file trên, cùng các file AdobeUpdater.exe, wcsntfy.* (tức tất cả các file wcsntfy, đuôi là gì không care), kill process và xoá ngay lập tức. Tool xoá: IceSword, GMER, Unlocker, Rootkit Unhooker....
Thà giết lầm còn hơn bỏ sót anh em. Nếu lỡ trùng file tốt, không sao. Dẹp mấy cái auto update Exe đi, autorun chỉ làm chậm máy, chiếm connection.

Và đề nghị anh em post danh sách các file trên lên các blog, forum # để tuyên truyền, khuyên, giúp đỡ mọi người khác, quen hay không quen cũng không sao: Tìm và diệt ngay các file này.


Và đây là nội dung file .xml ra lệnh của tụi STL:
Code:
<?xml version="1.0" encoding="UTF-8"?>
<anonymous maxCrawling="100" resolveTimeout="0" connectionTimeout="10000" sendTimeout="15000" receiveTimeout="90000">
	<useragents><![CDATA[Mozilla/5.0 (Windows; U; Windows NT 5.2; zh-TW; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100809 Fedora/3.6.7-1.fc14 Firefox/3.6.7
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 CentOS/3.6-3.el5.centos Firefox/3.6.7
Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.7) Gecko/20100713 Firefox/3.6.7 GTB7.1
Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.2.7) Gecko/20100713 Firefox/3.6.7 (.NET CLR 3.5.30729)
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 (.NET CLR 3.5.30729)
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6
Mozilla/5.0 (Windows; U; Windows NT 6.1; pt-PT; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6
Mozilla/5.0 (Windows; U; Windows NT 6.1; it; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 ( .NET CLR 3.5.30729)
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 (.NET CLR 3.5.30729)
Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 GTB7.1
Mozilla/5.0 (Windows; U; Windows NT 6.0; nl; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6
Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 ( .NET CLR 3.5.30729;
Mozilla/5.0 (Windows; U; MSIE 9.0; WIndows NT 9.0; en-US))
Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; Media Center PC 6.0; InfoPath.3; MS-RTC LM 8; Zune 4.7)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Zune 4.0; InfoPath.3; MS-RTC LM 8; .NET4.0C; .NET4.0E)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Zune 4.0; Tablet PC 2.0; InfoPath.3; .NET4.0C; .NET4.0E)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 5.1; Trident/5.0)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; Media Center PC 4.0; SLCC1; .NET CLR 3.0.04320)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SLCC1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.2; SLCC1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 2.0.50727)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.0; Trident/4.0; InfoPath.1; SV1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 3.0.04506.30)
Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.0; Trident/4.0; FBSMTWB; .NET CLR 2.0.34861; .NET CLR 3.0.3746.3218; .NET CLR 3.5.33652; msn OptimizedIE8;ENUS)
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.2; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; Media Center PC 6.0; InfoPath.2; MS-RTC LM 8)
Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00
Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.62 Version/11.00
Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00
Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Chrome/10.0.613.0 Safari/534.15
Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.10 Chromium/10.0.613.0 Chrome/10.0.613.0 Safari/534.15
Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15
Mozilla/5.0 (Windows; U; Windows NT 6.1; de-DE) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.224 Safari/534.10
Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_8; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.224 Safari/534.10
Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10]]></useragents>
	<headers>
		<item id="Firefox" enabled="yes">
			<item name="Host" value=""/>			
			<item name="User-Agent" value=""/>
			<item name="Accept" value="text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8"/>
			<item name="Accept-Language" value="en-us,en;q=0.5"/>
			<item name="Accept-Encoding" value=""/>
			<item name="Accept-Charset" value="ISO-8859-1,utf-8;q=0.7,*;q=0.7"/>
			<item name="Keep-Alive" value="300"/>
			<item name="Connection" value="keep-alive"/>
		</item>
		<item id="MSIE" enabled="yes">
			<item name="Accept" value="image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*"/>
			<item name="Accept-Language" value=" en-us"/>
			<item name="Accept-Encoding" value=""/>
			<item name="User-Agent" value=""/>
			<item name="Host" value=""/>
			<item name="Connection" value="Keep-Alive"/>
		</item>
		<item id="Opera" enabled="yes">
			<item name="User-Agent" value=""/>
			<item name="Host" value=""/>			
			<item name="Accept" value="text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1"/>
			<item name="Accept-Language" value="en-US,en;q=0.9"/>
			<item name="Accept-Charset" value="iso-8859-1, utf-8, utf-16, *;q=0.1"/>
			<item name="Accept-Encoding" value=""/>
			<item name="Connection" value="Keep-Alive"/>
		</item>
		<item id="Chrome" enabled="yes">
			<item name="Host" value=""/>
			<item name="Connection" value="keep-alive"/>
			<item name="Accept" value="application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5"/>
			<item name="User-Agent" value=""/>
			<item name="Accept-Encoding" value=""/>
			<item name="Accept-Language" value="en-US,en;q=0.8"/>
			<item name="Accept-Charset" value="ISO-8859-1,utf-8;q=0.7,*;q=0.3"/>
		</item>
		<item id="Safari" enabled="yes">
			<item name="Host" value=""/>			
			<item name="User-Agent" value=""/>
			<item name="Accept" value="application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5"/>
			<item name="Accept-Language" value="en-US"/>
			<item name="Accept-Encoding" value=""/>
			<item name="Connection" value="keep-alive"/>
		</item>
	</headers>
	<targets>
<item enabled="0" threads="1" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/hvaonline/forums/list.html" keepCookies="1" crawling="1" referer="/"/>
<item enabled="0" threads="3" delay="5" method="GET" protocol="http" host="www.boxitvn.net" port="80" uri="/" keepCookies="1" crawling="1"/>
<item enabled="1" threads="5" delay="5" method="GET" protocol="http" host="danlambaovn.blogspot.com" port="80" uri="/" keepCookies="1" crawling="1"/>
<item enabled="0" threads="3" delay="5" method="GET" protocol="http" host="boxitvn.wordpress.com" port="80" uri="/" keepCookies="1" crawling="1"/>
		</targets>
</anonymous>


Các bạn để ý tới 4 dòng cuối cùng, đấy là danh sách các website nạn nhân của tui này, và HVA ta vừa bị tụi nó thêm vào. Muốn DDOS website nào, nó chỉ cần set enabled=1 lên là tiêu em !
Vậy ngoài HVA ta ra, còn boxitvn.net, danlambaovn.blogspot.com và boxitvn.wordpress.com cùng chung số phận.

useragents tag chính là random UserAgent của con bot của tụi "Sống chết theo lệnh" này.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 12:12:11 (+0700) | #5 | 243884
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
File xv.jpg chỉ vỏn vẹn dòng text này:
Code:
2011-07-20 16:28:52

Ê, đệ tử, xem trong file xv.jpg nè, tao ra lệnh mày đúng hay quá giờ đó là stop tấn công với các chỉ dẩn từ xc.jpg nghe chưa.
Dạ thưa sếp STL, em nghe lệnh. Thằng chủ nhân cái máy này nó không biết đâu, nó là zoombies của "Sống chết theo lệnh" tụi mình mà, he he !!!???

File Exe bot + config của nó em post ở đây: http://www.mediafire.com/?c57bbuc7iwq3ca4
Trong file này còn có file Decode.exe và source Decode.cpp để decode nội dung file xc.jpg ra file .xml để bà con xem. File IDA 61 database chứa thông tin disassembly của con AcrobatUpdater.exe, file images01.gif là chính là file AcrobatUpdater.exe với toàn bộ nội dung đã bị xor với 0x19.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 12:29:37 (+0700) | #6 | 243888
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Hiện giờ botnet này đang tấn công blog danlambaovn ở các URL sau:

http://danlambaovn.blogspot.com/
http://danlambaovn.blogspot.com/2011/07/bat-tay-nhau-thang-7.html
http://danlambaovn.blogspot.com/p/vuot-tuong-lua.html
http://danlambaovn.blogspot.com/2011/07/nguyen-thai-hoc-foundation-chien-dich.html
http://danlambaovn.blogspot.com/2011/07/nguyen-thai-hoc-foundation-chien-dich.html#more
http://danlambaovn.blogspot.com/2011/07/nguyen-thai-hoc-foundation-chien-dich.html#disqus_thread
http://danlambaovn.blogspot.com/2011/07/tay-chay-san-pham-trung-quoc-mot-chien.html
http://danlambaovn.blogspot.com/2011/07/tay-chay-san-pham-trung-quoc-mot-chien.html#more
http://danlambaovn.blogspot.com/2011/07/tay-chay-san-pham-trung-quoc-mot-chien.html#disqus_thread
http://danlambaovn.blogspot.com/2011/07/thu-gui-nhung-nguoi-viet-nam-yeu-nuoc.html
http://danlambaovn.blogspot.com/2011/07/thu-gui-nhung-nguoi-viet-nam-yeu-nuoc.html#more


Zombies connect đến: 174.142.132.185 ở cổng 80 và liên lạc với 2 files: xv.jpgxc.jpg. Người dùng bình thường không thể truy cập trực tiếp vào 2 files này. Chỉ có zombies với giá trị "User-Agent" đặc biệt mới có thể truy cập và nhận mệnh lệnh.

Khi con malware này được cấy vào máy, có ít nhất là 3 registry keys được điều chỉnh:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe"

[HKEY_CURRENT_USER\Volatile Environment]
CURRENT = "2011-07-20 16:28:52"
DATA = 5D 4C 3C 3D 3F 4B 57 25 01 12 02 04 08 1E 03 71 45 43 49 44 0E 5F 51 4C 24 48 4D 55 0E 13 26 35 27 49 0A 43 4C 5A 7E 4E 1D 00 1D 2B 3E 2A 06 4E 35 00 41 06 0A 1E 60 53 21 1C 1F 02 0A 0C 0C 10 12 70 11 01 12 41 54 00 0E 0D 12 57 35 1A 09 16 2B 54 15.....

nhằm mục đích thực hiện ngay công tác "tàn phá" khi máy được khởi động.

Con malware này còn connect đến 1 địa chỉ của google: 74.125.47.132, không biết để làm gì?

What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 12:56:40 (+0700) | #7 | 243890
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Trên danlambao blog đã có bài trả lời về đợt DDOS này của tụi STL: http://danlambaovn.blogspot.com/2011/07/than-gui-cac-bac-cam.html
Bị đánh bắt đầu vào ngày 19 hôm kia. Kinh thật !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 13:14:57 (+0700) | #8 | 243893
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Thử phân tích ở góc độ khác (network capturing) thì thấy:




(để ý cái "User-Agent" đặc biệt).

Sau đó thì nhận chỉ thị:




Hoá ra 74.125.47.132 là IP của google đang host cái blog của danlambaovn.


Thật ra với lượng traffic ập vào HVA, chỉ cần wwwect đến "mother" thì chỉ cần 30 giây là "mother" chết queo nhưng ai lại đi làm như vậy hở? smilie
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 13:43:14 (+0700) | #9 | 243896
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Ngoài việc xoá AcrobatUpdater.exe, bà con nên giúp đỡ lẫn nhau để diệt trừ tận gốc cái vấn nạng DDOS này bằng cách up file AcrobatUpdater.exe lên các AV mà các bạn đang dùng.
Càng nhiều AV nhận dạng ra đám bot này thì mấy cái host kia sẽ dần dần vô dụng và tui nó sẽ phải shutdown host thôi.

Tới chiều này, 3:06 PM, máy tui với KIS 2011 vừa manual cập nhật, vẫn không detect được AcrobatUpdater.exe là virus, là bot. Bởi vậy bà con không nên thắc mắc là tại sao AV của mình không phát hiện ra.
Như tui đã nói ở trên, con bot này khá mới, compile và build vào ngày 16/06/2011, tức vào thời gian các topic về RCE "mèo què" của STL trên HVA ta bắt đầu tiến triển và được chú ý.

Lần này tụi STL lại quay sang code = VB, em cũng không hiểu nữa, dùng VC++ với Java chán rồi à. Khi nào dùng Delphi vậy ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 14:41:36 (+0700) | #10 | 243901
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Dành cho bạn nào thắc mắc về việc làm sao xoá con malware này.

Hãy tìm trong C:\Program Files\Adobe\Updater6\ và nếu có file AcrobatUpdater.exe thì hãy làm những việc sau:

1. Vào trang web này để tải md5sum tool về: http://www.pc-tools.net/win32/md5sums/ rồi xả nén nó ra.

2. Kéo file AcrobatUpdater.exe để chồng lên file md5sums.exe để lấy giá trị hash của file AcrobatUpdater.exe.

3. Nếu giá trị hash là d517e448e15f3ea3b0405b7679eccfd7 thì đích thị nó là thủ phạm.

4. Xoá nó ngay.

5. Vào registry và xoá các key sau:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe"

[HKEY_CURRENT_USER\Volatile Environment]
CURRENT = "2011-07-20 16:28:52"
DATA = 5D 4C 3C 3D 3F 4B 57 25 01 12 02 04 08 1E 03 71 45 43 49 44 0E 5F 51 4C 24 48 4D 55 0E 13 26 35 27 49 0A 43 4C 5A 7E 4E 1D 00 1D 2B 3E 2A 06 4E 35 00 41 06 0A 1E 60 53 21 1C 1F 02 0A 0C 0C 10 12 70 11 01 12 41 54 00 0E 0D 12 57 35 1A 09 16 2B 54 15


What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/07/2011 14:46:11 (+0700) | #11 | 243903
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]

TQN wrote:

Các bạn để ý tới 4 dòng cuối cùng, đấy là danh sách các website nạn nhân của tui này, và HVA ta vừa bị tụi nó thêm vào. Muốn DDOS website nào, nó chỉ cần set enabled=1 lên là tiêu em !
Vậy ngoài HVA ta ra, còn boxitvn.net, danlambaovn.blogspot.com và boxitvn.wordpress.com cùng chung số phận.

useragents tag chính là random UserAgent của con bot của tụi "Sống chết theo lệnh" này. 


Em cũng là độc giả của bên danlambaovn. bên đó cũng mới thông báo hôm trước là bị DDoS rất nặng, và em cũng đoán là do tụi chó STL làm. ai dè anh em bên HVA RE ra mấy cái liên quan đến DDoS HVA cũng lòi ra thủ phạm DDoS danlambaovn.
danlambaovn có sử dụng blogspot của google. vậy nếu bên STL tiếp tục DDoS với cường độ mạnh thì bên danlambaovn nên thông báo và nhờ google giúp đỡ hay làm như nào để chống? vì đây là sử dụng blog của google nên chắc không được động vào server của google smilie hay là băng thông của google rất lớn nên bọn STL DDoS sẽ không "Xi nhê".
PS: Việc STL DDoS danlambaovn càng chứng tỏ tụi này được Government thuê ... hoặc là được mấy thằng tầu đào tạo để về đánh người nhà?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 10:55:14 (+0700) | #12 | 243906
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Chiều qua up mẫu cho Kaspersky Lab, sáng nay thằng KIS nhà em sau khi lệnh nó update, nó đã nhai mất tiêu mẫu AcrobatUpdater.exe rồi. Phải vào năn nỉ nó để nó nhả ra lại smilie

Em cũng mệt mỏi và chán ngán cái đám khùng điên STL này quá rồi. Tui nó như đám chó điên, giờ đang lồng lộn cắn phá lung tung hết smilie

Em chỉ sợ từ chiều qua tới giờ, tụi nó cày như trâu để viết con bot mới, đặt ở host mới, hy sinh 2 cái host kia và thằng Adobe/AcrobatUpdater.exe này, lệnh cho ông nội nằm vùng down bot mới về.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 11:16:34 (+0700) | #13 | 243907
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
STL sử dụng bot này tấn công theo hành vi duyệt web của người bình thường, thật là không đỡ được.
Kĩ thuật sử dụng trong Bot này khá hay, hiện tại em chưa nghĩ ra cách gì để chống lại. Các bác admin có hướng nào để phòng trống không? Nó giả danh 1 người dùng nhé

p/s: @phanledaivuong : Government nào thì không biết chứ Government của VN chắc chắn chả bao giờ làm thế. Như bản thân mình thì mình cũng không thích trang danlambaovn và chả bao giờ đọc.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 11:19:05 (+0700) | #14 | 243908
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Hè hè, từ 5 giờ chiều giờ VN ngày 21/7/2011 đến khoàng trưa nay (khoảng 16 tiếng), HVA bị "ăn đòn khoảng 95 triệu cú đấm.

Chơi kiểu huy động gần hết bandwidth và IP của VN để đấm một cái site như HVA thì đúng là "no fair" smilie.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 11:32:29 (+0700) | #15 | 243909
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
@TQN: cứ để họ ra bot mới anh ạ. Lại có sample và tiếp tục RCE. STL nếu làm các bot này, nói 1 cách khách quan là khá hiệu quả vì các lý do sau:

- Không bị AV phát hiện: Hầu hết như thế, cứ bot nào mới ra là chả AV nào bắt được mặc dù các công nghệ Emulator hay Heuristic theo quảng cáo của các hãng là cũng ghê gớm lắm. Có thể là chém gió chăng ??

- Bot hoạt động hiệu quả: Chỉ cần sửa file cấu hình là bot có thể dừng hoặc tấn công ngay lập tức. Tấn công ồ ạt với số lượng lớn. Mặc dù server đã có các phương án bảo mật khá công phu nhưng họ vẫn đạt mục đích.

Nói thế không phải là khen họ giỏi hay tài, nhưng nhìn ở góc độ kĩ thuật thì phải công nhận là hiệu quả.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 11:33:37 (+0700) | #16 | 243910
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tui thì không đứng về bên nào cả, bên nào làm sai thì lên tiếng đã kích. "Trong chính có tà, trong tà có chính", như Đông Phương Bất Bại hồi xưa thôi.

Việc STL là của ai, ai nuôi, ai ra lệnh thì tới bây giờ vẫn nằm trong vòng bí mật, có người biết cũng không dám nói. Bổn phận của chúng ta, dân làm IT, kỹ thuật, chỉ nên đơn thuần phân tích, RE, truy lùng dấu vết của tụi nó. Còn việc sau đó nữa thì có người khác lo, hay không lo thì cũng phải chịu.

Nếu chỉ vì sợ hãi tui nó hay thế lực đứng sau tụi nó mà chúng ta phải im lặng trước các hành động dơ bẩn, thối nát, không giống ai, không giống nước nào trên thế giới (trừ vài nước) thì chính ta đã vô tình im lặng, tiếp tay cho chúng phá hoại nền IT, cuộc sống, Internet của nước nhà, chính là tiếp tay cho tội ác.

Tới bây giờ, chúng ta vẫn làm đúng, vẫn không đụng chạm đến ai cả. Nếu có ai đó hô lên, ê, tụi HVA kia, mày đụng chạm đến tao thì chính hắn đang phơi bày bộ mặt thật, chân tướng thật của hắn, của thế lực đứng sau hắn ra.

Chỉ mong các admin HVA chân cứng đá mềm, tiếp tục đấu tranh chống lại đại dịch này.

Còn về tại sao các mẫu bot của tụi nó vẫn không bị phát hiện, theo ý em:
1. VN ta là vùng trũng về IT của thế giới. Các tổ chức bảo mật, AVs nghe tới VN ta là ngán, là lơ luôn. Sống chết mặc bay.
2. Có bao nhiêu người dùng có bản quyền của các AVs để upload mẫu mà họ nghi ngờ lên các AVs đấy. Toàn là dùng cờ rắc, dùng key chùa, key lậu. Có bao nhiêu người dùng có khả năng phân tích kỹ thuật để nghi ngờ file đó là STL's "mèo què".
3. Sự "nổ", sự thổi phồng quá đáng, sự im lặng, bao che của nhiều tổ chức An ninh mạng, các AVs trong nước có thẩm quyền. Đôi khi họ muốn diệt, nhưng vì lý do gì đó mà họ không được diệt đám "mèo què" này.
4. Sự vô cảm, sống chết mặc bay. Em bỏ công lên các forum em tham gia, hô hào bà con tự tìm diệt, up mẫu, vậy mà chỉ nhận được các reply vô cảm cực kỳ, đông ke !

Tới bây giờ, em mới thấy buồn và nãn cho cái nghề IT, nền IT của nước nhà. Em bỏ nghề là đúng !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 11:41:10 (+0700) | #17 | 243911
tran_tien
Member

[Minus]    0    [Plus]
Joined: 28/05/2005 09:40:09
Messages: 16
Location: AFCVN
Offline
[Profile] [PM] [WWW]
Chỉ không hiểu lý do mà trong list nạn nhân, lại thấy có cả blogspot.com và wordpress.com ? Attacker ko hiểu đc là khó có thể takedown các địa chỉ này sao ?

//. Các bác độc giả độc giếc của cái mớ gì đó, đừng lái topic theo quan điểm chính trị của các bác nhé, topic theo em là thuần kỹ thuật.
Ngoại trừ bạn đến từ một hành tinh xa xôi, thông tin "Từ" của bạn quá dài.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 11:54:20 (+0700) | #18 | 243912
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Để chống lại các STL bot kiểu này, em chỉ chợt nghỉ vài ý kiến này:
1. Các user phải cài firewall chặn và lọc các gói tin đi ra.
2. Cập nhật và dùng các AVs nổi tiếng trên thế giới, đừng dùng các AV "nổ", không chừng dùng các AV "nổ" đó còn nuôi dưỡng thêm cho đám STL's "mèo què"
3. Patch trình duyệt của mình đang dùng để UserAgent là random string. Cái này thì hơi khó với user bình thường.
4. Kiểm soát chặc chẽ các autoruns. Cái nào nghi ngờ thì upload lên VirusTotal, CWSandbox, ThreadExpert ngay.

Còn về phía server thì có mấy anh admin lo, em không biết smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 12:11:12 (+0700) | #19 | 243913
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
Em có ý kiến thế này, hiện tại e cũng đang làm 1 site 1 ngày có khoảng 100k lượt truy cập.
Em muốn giúp đỡ mọi người - những người dính bot bằng cách lất IP của client xem web em và so sánh với đống IP mà HVA đã public. Ông nào nằm trong dải IP đó thì sẽ được suggest chạy 1 phần mềm kiểm tra và diệt hết cái đống virus của STL.

Về phần mềm kiểm tra thì em không có khả năng viết rồi, vậy nhờ anh TQN hoặc ai đó viết vậy. Tốt nhất là có thể update được (phòng khi STL ra mẫu mới thì quất luôn).

Mong được góp chút sức.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 12:20:54 (+0700) | #20 | 243914
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cảm ơn lequi ! Chỉ cần các AVs update và diệt các con bot của STL thì hiệu quả hơn ct của tui viết hàng trăm lần (lâu rồi không code, lụt nghề rồi), Bạn nên phổ biến tin tức các file bot đấy trên website của bạn để bà con tự tìm diệt = tay hay AV.
2 acoustics89: Giỏi cái cục xxx. Source mấy cái VB class đó có đầy trên mạng. Vd: Google mấy cái cxxx gì đ1o trong AcrobatUpdater.exe là ra ngay. Tụi STL chỉ là tụi đạo code, copy & paster thôi. Còn kỹ thuật mới thì có đám quan thầy ngoại bang của tụi nó đút, mớm cho. Em nói đúng không mấy anh STL, có thấy nhục không ?????
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 12:21:30 (+0700) | #21 | 243915
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
Em có thể code 1 cái tool để hỗ trợ việc remove mẫu này khỏi máy. Đợi mấy hôm nữa em up.
Vì mẫu chạy trên win nên tool cũng chỉ chạy trên win thôi
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 12:35:30 (+0700) | #22 | 243916
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
@TQN: Em cũng có dịp đi sửa máy cho vài người bạn, người thân. Đa phần là họ không rành rọt mấy về AV. Nếu mình làm 1 phần mềm chỉ cần họ Run 1 cái, chạy chạy mấy cái progress bar, quét xong hiện cái thông tin đã diệt được em abcd xyz gì đó là họ đã vui lắm lắm rồi. Đợi mấy AVs update thì lúc đó đám STL lại sinh ra mẫu khác thì mình khó chủ động smilie.

Site em chuyên về giải trí, nên số người biết đến vấn đề này chắc cũng không nhiều. Em có thông báo thì cũng không mấy ngừời biết đường diệt.

@acoustics89: Nếu vậy thì tuyệt quá, ông a code sớm sớm tý, em suggest 1 vài chức năng cần thêm như:
- Tự động cập nhập
- Có thể chạy trên windows 7, không biết virus của tụi này có chạy được trên win 7 không, vì win 7 em đang dùng phân quyền khá tốt, mún thao tác trong ổ C (thư mục program files) và registry đều phải dưới quyền administrator.
- Sau khi quét xong nếu máy đang kết nối internet thì sẽ report "Đã quét được xxxx virus, IP: xxx.xxx.xxx.xxx, tên virus này nọ". Có thể chức năng này không cần, nhưng biết đâu sau này nó sẽ có ích.
- Thêm nữa là chặn luôn mấy URL, IP nghi ngờ của đám STL.

Em xin hết.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 14:10:13 (+0700) | #23 | 243919
totden
Member

[Minus]    0    [Plus]
Joined: 07/10/2008 02:37:47
Messages: 17
Offline
[Profile] [PM]
Theo em nghĩ là không nên viết tool, trước e thấy có mấy vụ post tool đã fake lên rồi.
Con này mới build, vậy nhờ bot nào để nó phát tán nhanh dữ vậy, có cách nào phát hiện để dẹp nó tận gốc đc ko ah?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 15:53:48 (+0700) | #24 | 243922
texudo
Member

[Minus]    0    [Plus]
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
[Profile] [PM]
http://www.threatexpert.com/report.aspx?md5=d517e448e15f3ea3b0405b7679eccfd7

Mình thấy trên Threatexpert rồi, không biết KIS submit hay là TQN or Conmale submit.

Btw, với việc đưa lên đây thì các trình AV sẽ update nhanh thôi, tốt hơn nhiều so với việc viết cái tool remove nó.


Giá mà BKAV update nhanh thì tốt, vì BKAV rất phổ biến ở các Computers của nhà nước (một số lượng khá lớn). smilie

------------------------------------------------------------------------------

Bạn AVIRA sẽ đưa cái này vào bản update tiếp theo (chắc ngày mai) - Avira ở VN dùng hơi nhiều:


AcrobatUpdater.exe MALWARE

The file 'AcrobatUpdater.exe' has been determined to be 'MALWARE'.Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 20:16:41 (+0700) | #25 | 243928
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Cách upload mẫu ;
Avirar : đơn giản về hiệu quả nhanh
vào trang http://analysis.avira.com/samples/index.php, điền thông tin cá nhân và upload mẫu, đợi báo cáo.

Kaspersky các loại phiên bản và phiên bản cờ Vietnamese
http://support.kaspersky.com/virlab/helpdesk.html Đọc và làm theo hướng dẫn.

Mcafee
https://www.webimmune.net/ Đọc và làm theo hướng dẫn.

Dành cho những ai sài các gói phần mềm an ninh của Microsoft kể cả free và commercial
https://www.microsoft.com/security/portal/Submission/Submit.aspx

http://www.mywot.com/wiki/Malware_submission
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 21:03:13 (+0700) | #26 | 243930
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
File config mới của tụi STL này tại host direct.aliasx.net giờ đã xoá hết các host target ở cuối file, chỉ còn lại dòng trêu chọc này:
Code:
<targets>
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="Postmodenism_tiep_tuc_viet_ky_su.[^.^]" port="80" uri="/" keepCookies="1" crawling="1" referer=""/>
</targets>

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 21:27:27 (+0700) | #27 | 243932
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Đã submit thêm lên Microsoft

https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=61a88685-cf9e-46c6-9598-ba63aac7fefa&n=1

-------------------------------

Nếu có ý định lọt vào các máy chủ điều khiển thì thứ sẽ làm không phải là wwwect các luồng DDoS về "motherland" mà ra lệnh cho lũ bot down về một cái malware remover và một cái firewall dc remote control
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 21:35:20 (+0700) | #28 | 243933
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Em vừa mới quét thử penop.net thì thấy nó down rồi, không lấy top.jpg được.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 22/07/2011 22:41:22 (+0700) | #29 | 243934
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
Giống hệt hồi trước mà anh, cứ dùng xong là lại disable cái penop. Bây giờ tiếp tục chờ đợi vậy
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/07/2011 04:47:26 (+0700) | #30 | 243937
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

TQN wrote:
Tui thì không đứng về bên nào cả, bên nào làm sai thì lên tiếng đã kích. "Trong chính có tà, trong tà có chính", như Đông Phương Bất Bại hồi xưa thôi.

Việc STL là của ai, ai nuôi, ai ra lệnh thì tới bây giờ vẫn nằm trong vòng bí mật, có người biết cũng không dám nói. Bổn phận của chúng ta, dân làm IT, kỹ thuật, chỉ nên đơn thuần phân tích, RE, truy lùng dấu vết của tụi nó. Còn việc sau đó nữa thì có người khác lo, hay không lo thì cũng phải chịu.

Nếu chỉ vì sợ hãi tui nó hay thế lực đứng sau tụi nó mà chúng ta phải im lặng trước các hành động dơ bẩn, thối nát, không giống ai, không giống nước nào trên thế giới (trừ vài nước) thì chính ta đã vô tình im lặng, tiếp tay cho chúng phá hoại nền IT, cuộc sống, Internet của nước nhà, chính là tiếp tay cho tội ác.

Tới bây giờ, chúng ta vẫn làm đúng, vẫn không đụng chạm đến ai cả. Nếu có ai đó hô lên, ê, tụi HVA kia, mày đụng chạm đến tao thì chính hắn đang phơi bày bộ mặt thật, chân tướng thật của hắn, của thế lực đứng sau hắn ra.

Chỉ mong các admin HVA chân cứng đá mềm, tiếp tục đấu tranh chống lại đại dịch này.

Còn về tại sao các mẫu bot của tụi nó vẫn không bị phát hiện, theo ý em:
1. VN ta là vùng trũng về IT của thế giới. Các tổ chức bảo mật, AVs nghe tới VN ta là ngán, là lơ luôn. Sống chết mặc bay.
2. Có bao nhiêu người dùng có bản quyền của các AVs để upload mẫu mà họ nghi ngờ lên các AVs đấy. Toàn là dùng cờ rắc, dùng key chùa, key lậu. Có bao nhiêu người dùng có khả năng phân tích kỹ thuật để nghi ngờ file đó là STL's "mèo què".
3. Sự "nổ", sự thổi phồng quá đáng, sự im lặng, bao che của nhiều tổ chức An ninh mạng, các AVs trong nước có thẩm quyền. Đôi khi họ muốn diệt, nhưng vì lý do gì đó mà họ không được diệt đám "mèo què" này.
4. Sự vô cảm, sống chết mặc bay. Em bỏ công lên các forum em tham gia, hô hào bà con tự tìm diệt, up mẫu, vậy mà chỉ nhận được các reply vô cảm cực kỳ, đông ke !

Tới bây giờ, em mới thấy buồn và nãn cho cái nghề IT, nền IT của nước nhà. Em bỏ nghề là đúng ! 


Đừng nản em.

Ở thời điểm này, có rất nhiều người đồng cảm với việc làm của mình và cũng có rất nhiều người phỉ nhổ những trò tồi bại nhưng họ không công khai biểu lộ. Nếu mình không làm thì có lẽ chẳng có ai làm hết.

Những biện pháp mình làm ở đây đa phần nằm trong diện "reactive" chớ không phải "proactive" bởi vì mình chẳng có một cơ quan hoặc tổ chức nào để nhờ cậy hết. Tuy vậy, nó cũng góp phần làm sạch một phần nào đó tính nhớp nhúa. Biện pháp duy nhất là cảnh sát Canada, FBI Mỹ và nhà nước VN phối hợp thộp cổ đám phá hoại trong bóng tối này và cho mỗi ông một chục xấp lịch để đếm là yên chuyện.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
2 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|