banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 14:50:41 (+0700) | #151 | 244199
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
@bolzano_1989 : gui bro mau virus nay

http://www.mediafire.com/?xyqk2z1jnp1zcd9

Con này mạo danh Avira GmbH

Bác xử lý giùm nhé
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 14:57:27 (+0700) | #152 | 244200
ptv_vbhp
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:16:44
Messages: 11
Offline
[Profile] [PM]
Đúng là ko phải hiền lành anh ạ ! Em cũng RE nó rồi thằng này chạy nhờ 2 cái thằng desktop vơi thằng thumbcache kia. 2 thằng đấy nó dùng để hỗ trợ download với giải mã cho các file mà thằng MS giả này down về và thực thi con VB giả. Hình thức dùng các thư viện riêng như kiểu 2 file trên có vẻ mới nhỉ ? smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 15:11:32 (+0700) | #153 | 244201
exception
Member

[Minus]    0    [Plus]
Joined: 10/07/2011 23:48:25
Messages: 15
Offline
[Profile] [PM]
Hình như 2 file trong http://www.mediafire.com/?xyqk2z1jnp1zcd9 bạn mv1098 gửi là virus Sality cơ mà, không phải của STL đâu.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 15:13:01 (+0700) | #154 | 244203
ptv_vbhp
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:16:44
Messages: 11
Offline
[Profile] [PM]
Ờ là trojan bị nhiễm sality hay sao ý ? em thấy bkav báo thế ??? Có phải của STL đâu smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 15:23:06 (+0700) | #155 | 244205
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Cái mẫu này em tính nhờ bro bolzano_1989 nghiên cứu giùm vì em cái CMC mà không diệt được.

Máy em đang bị nhiễm virus, đang tính làm chuột bạch để chạy mấy mẫu của STL ở trên mà cái Wireshark nó ko tương thích với card mạng của em
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 15:30:22 (+0700) | #156 | 244208
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Hì hì, sáng giờ đi lang thang, giờ mới về tới nhà. Topic này nhộn nhịp quá ha !
2 asaxin: các file trong mauboot.rar của cậu, tui đã kiểm tra kỹ, 100% sạch.
Còn một số file nữa, còn thiếu. Cậu bật view hidden files lên, hay dùng 7zip, WinRar, tìm và up hộ các file đó lên cái. Cố tìm và up, xoá file StaticCaches.dat. Thằng này đã ăn cắp toàn bộ Passwords của tui đó.

Em xin nhắc lại: bà con down dùng em cái tool Everything về cái: http://www.voidtools.com. Gọn, nhẹ, không cần install, tìm bất cứ file nào là trong tích tắc.

2 lequy: Máy cậu chắc chắn có thằng nằm vùng rồi. Bình tĩnh, từ từ mà làm. Đừng quét bằng AV. Tạm thời chịu khó hy sinh một chút, coi như làm việc thiện giúp đỡ anh em.

Các link đó đều thuộc host sandret mà anh conmale đã đề cập.

Bây giờ cứ để đó, lên mạng down SysInternals Suite, CurrPort, SmartSniff. Đọc help và tập dùng.
Chỉ cần nhiêu đó là đủ tìm ra "mèo què" rồi, không cần đao to búa lớn đâu.
Bất kỳ tool nào, mình hiểu nó 1 thì nó mang lại cho mình 1, hiểu 10 thì mang lại 10.
Tập trung vào Process Explorer và ProcMon, AutoRuns, TCPView. Đọc help cho kỹ.
Trong Process Explorer, check menu "Verify Image Signatures" trong Options menu.
Duyệt từng process trên upper panel, right click - Properties, click tab TCP/IP. Nếu thấy có connect tới link đó thì xem process đó có verify không (trong tab Image). Nếu không có verify => à à, mày là "mèo què". Còn có, verify từng Dll của process đó, cũng right click - Properties, Verify. Thằng nào không có verified thì up lên. Up lầm còn hơn bỏ sót.

Nghi ngờ process nào thì bật ProcMon lên, chỉ cho ProcMon filter chính process đó.

Chà, em viết xong, đọc lại thấy méo miệng luôn, lũng cũng quá, không biết lequy có hiểu không nhỉ ?

PS: À mà còn việc này nữa, MSHelpCenter.exe chính là virus. Nhưng nếu nó chỉ có một mình, thì có thể xem như nó clean, sạch sẽ. Nhưng nếu để nó nằm trong ổ của nó gồm MSHelpCenter.idx, thumbcache.db, _desktop.ini, thì tụi nó kết hợp lại thành ổ virus.
Đừng băn khoăn thắc mắc nó sạch hay không sạch. Ba cái trò viết EXE, DLL xong vào Resource Version, gõ gõ mấy cái Name, Company, Product fake của MS, Acrobat, Sun... xưa như trái đất rồi, mấy anh stl ?

Hỏi mấy anh stl nhé: Giả sử mấy anh dùng fake version info, tìm cách nào đó ăn cắp được signatures của MS và sign nó với PE của mấy anh, thì còn cách nào khác em biết được file PEs của mấy anh là mạo danh ? Dựa trên cái gì: pdb symbol, rich info, compiler/linker ver, coding style ?

À sẵn đây em nói luôn 1 bí mật nhé, toàn bộ file của Windows mà MS build đều dùng một internal compiler/linker riêng, không public như Visual Studio đâu. Nó có điểm nhận dạng rất đặc biệt, IDA signature apply vào thì từ 0 tới 0. Sinh code rất quái ! MS coder dùng xong mới trích vài phần public ra ngoài thông qua Visual Studio.

Còn jucheck.exe của nobita thì chắc chắn không phải virus của STL. File jucheck của nobita file file PE 32+, build mode 64bit, AMD, code của Sun coder đàng hoàng, rõ ràng minh bạch.
Mấy anh STL chắc chưa thử build virus của mấy anh ở 64bit, victim ít quá mà ăn thua gì !

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 15:41:14 (+0700) | #157 | 244210
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

mv1098 wrote:
@bolzano_1989 : gui bro mau virus nay

http://www.mediafire.com/?xyqk2z1jnp1zcd9

Con này mạo danh Avira GmbH

Bác xử lý giùm nhé 


Bạn nên gọi đến số 1900571244 để được tư vấn và hỗ trợ bởi CMC InfoSec nếu gặp bất cứ vấn đề gì với CMCIS, đặc biệt là bạn không nên cài virus vô máy tính làm việc của bạn để thử nghiệm virus, đặc biệt là virus của STL.

Bạn có thể tìm dùng tool diệt Sality của CMC:
http://support.cmclab.net/vn/tpmod/?dl
Phiên bản public mới nhất hiện tại:
http://support.cmclab.net/vn/tpmod/?dl=item44

Nếu có vấn đề gì nữa, bạn trao đổi với mình qua tin nhắn riêng để tránh làm loãng chủ đề này nhé.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 16:28:46 (+0700) | #158 | 244212
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

TQN wrote:

PS: À mà còn việc này nữa, MSHelpCenter.exe chính là virus. Nhưng nếu nó chỉ có một mình, thì có thể xem như nó clean, sạch sẽ. Nhưng nếu để nó nằm trong ổ của nó gồm MSHelpCenter.idx, thumbcache.db, _desktop.ini, thì tụi nó kết hợp lại thành ổ virus.  


Vậy thì có phải là virus -trojạn "BackDoor.Generic 12.APEB" nằm trong file MSHelpCenter.idx sẽ inject các malicious code vào trong file MSHelpCenter.exe, như tôi đã từng dự đoán à? Phải như thế không TQN?

Mải kiểm tra các master websites của STL (mong là đúng của STL) mất thời gian nhiều, nay kiểm lai xem có file nào là MSHelpCenter.exe trong các máy mình không? Kết quả là kiểm 3 máy cài WinXPSP3, 1may Windows7, 2 máy Win2K3 SP2 do chính mình quản lý, nhưng không thấy máy nào có cái file MSHelpCenter.exe cả. Lạ nhỉ? Các bạn thử kiểm máy mình có nó không?

Vậy thì cái file MSHelpCenter.exe này trên máy axasin lấy từ đâu ra?
Và nếu "khó" có nó như vậy, thì làm sao STL có thể dễ dàng tạo lập một mang lớn zombies tại VN với hàng trăm ngàn chiếc được? Càng lạ quá!
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 16:46:11 (+0700) | #159 | 244213
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
@PXMMRF: Vậy phiền anh gửi cho e qua email theo profile trên HVA (cafe...@yahoo.com). Em sẽ cài đặt và kiểm tra
@TQN: Em hiểu em hiểu, hehe, có điều ko biết lúc e xài được các công cụ trên thì bọn STL này có còn hay không.

P/S: Em là dân webmaster, hic, kiểu này xem ra em hơi mạo hiểm, vì nhiều thông tin (chủ yếu là email và server) của e chắc đã bị lộ. Nhưng không sao, của mình thì không ai dễ dàng lấy được. Em sẽ cố gắng sử dụng hết các tool để tổng hợp các thông tin cần thiết.

Sau loạt bài về STL, muốn học RCE quá đi mất, nhưng tiếc là hiểu biết về ASM của em = zero.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 16:54:59 (+0700) | #160 | 244214
[Avatar]
elt0m
Member

[Minus]    0    [Plus]
Joined: 24/07/2011 22:41:39
Messages: 23
Offline
[Profile] [PM]

PXMMRF wrote:

TQN wrote:

Vậy thì cái file MSHelpCenter.exe này trên máy axasin lấy từ đâu ra?
Và nếu "khó" có nó như vậy, thì làm sao STL có thể dễ dàng tạo lập một mang lớn zombies tại VN với hàng trăm ngàn chiếc được? Càng lạ quá! 


Mình kiểm tra máy mình Xp Sp3 cũng không có

PS: cái link này có thông tin gì chăng?

http://xml.ssdsandbox.net/view/9cefbb3d8dbee992f914aeecd7bff063

Mình thấy Submission Details date là 5/14/2011 11:24:01 PM





[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 16:56:47 (+0700) | #161 | 244215
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
Và chúc mừng các anh, cuối cùng em cũng search ra được 2 file: MsHelpCenter.idx và MsHelpCenter.exe (trời ơi smilie()




Mà em phát hiện ra 2 file này, em vui dã man.
Theo suy đoán của em, thì nguồn virus là đây: http://nethoabinh.com/showthread.php?t=315
Và rất rất nhiều các phần mềm khác trên trang này TOP google.
Hi vọng là em không làm mọi người đi sai hướng, cách đây khoảng vào lúc 1h AM ngày hôm nay, em đã tìm kiếm thử 2 file này nhưng hoàn toàn không có, vậy tại sao bây giờ lại có ???. Mà em có làm gì đâu chứ.

Lạ 1 điều là file unikey em setup vào máy (nếu như dự đoán là trước đây e chưa từng dính) ngày 24, thì các file này thấy ngày tạo ra lại là ngày 23, mà ngày 23 em nhậu tơi bời có biết gì đâu, mỗi pà chị em dùng máy smilie. Mà việc chỉnh sửa ngày tháng tạo ra file đối với mấy anh STL là quá quá dễ, em cũng làm được nữa (bằng AutoIT hehe).

Hay là em đã vô tình nói cho các anh STL kích hoạt nó lên. Và giờ các thông tin của em tiêu tùng hết, mấy anh STL ơi em là dân đen, đừng đụng đến công việc của em dùm smilie(.

Post sau e sẽ gửi cả đống file này lên.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 17:01:23 (+0700) | #162 | 244216
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
Đây đống file đây, em public ở đây luôn được chứ mọi người ?
http://www.mediafire.com/?k2g07c5792j7cbk
Máy em có cài KIS 2012, mọi người xem thử đây có phải là virus ko.

Nếu có ai muốn teamviewer vào máy em kiểm tra, rất sẵn lòng luôn.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 17:10:20 (+0700) | #163 | 244219
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
Em nghĩ đây đích thực là đống virus rồi, vì _desktop.ini gì mà đến 2,236 KB luôn. MS chắc hông tạo ra mấy file quỷ này, mà đọc file _desktop.ini thấy có dòng "!This program cannot be run in DOS mode". Thì ... bùn.

Mấy anh xúc tiến nhanh nào, em ko muốn sống chung với virus quá lâu đâu :-<
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 17:59:36 (+0700) | #164 | 244220
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
Mọi người đâu mất tiêu hết rồi smilie
Bây giờ thì MsHelpCenter.exe đã nằm trong list process của em, và có thêm 1 vài mẫu (thôi thì nhầm còn hơn bỏ sót)

Report: http://www.virustotal.com/file-scan/report.html?id=27bb621157b8f697db8db29b7c33e19210f817aeba22f15f1f2cc521d9393a7c-1311680402

File: http://www.mediafire.com/?ryrpp5zn13fja90
Scan Autorun: http://www.mediafire.com/?3l9jdtb3xdm5rxy
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 19:34:57 (+0700) | #165 | 244223
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Khônng sao đâu lequi, anh vẫn theo sát máy em mà.
Kệ cha tụi nó, châm một chút cũng không sao. Tui nó cũng update không kịp đâu.
Bây giờ anh chỉ còn mở có một mắt, sáng mai tính tiếp. Yên tâm nhé em ! MsHelpCenter. exe thì cũ rồi. Tưởng thằng nào mới !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 19:37:19 (+0700) | #166 | 244224
[Avatar]
asaxin
Member

[Minus]    0    [Plus]
Joined: 24/06/2007 13:11:27
Messages: 30
Offline
[Profile] [PM]

PXMMRF wrote:

TQN wrote:

PS: À mà còn việc này nữa, MSHelpCenter.exe chính là virus. Nhưng nếu nó chỉ có một mình, thì có thể xem như nó clean, sạch sẽ. Nhưng nếu để nó nằm trong ổ của nó gồm MSHelpCenter.idx, thumbcache.db, _desktop.ini, thì tụi nó kết hợp lại thành ổ virus.  


Vậy thì có phải là virus -trojạn "BackDoor.Generic 12.APEB" nằm trong file MSHelpCenter.idx sẽ inject các malicious code vào trong file MSHelpCenter.exe, như tôi đã từng dự đoán à? Phải như thế không TQN?

Mải kiểm tra các master websites của STL (mong là đúng của STL) mất thời gian nhiều, nay kiểm lai xem có file nào là MSHelpCenter.exe trong các máy mình không? Kết quả là kiểm 3 máy cài WinXPSP3, 1may Windows7, 2 máy Win2K3 SP2 do chính mình quản lý, nhưng không thấy máy nào có cái file MSHelpCenter.exe cả. Lạ nhỉ? Các bạn thử kiểm máy mình có nó không?

Vậy thì cái file MSHelpCenter.exe này trên máy axasin lấy từ đâu ra?
Và nếu "khó" có nó như vậy, thì làm sao STL có thể dễ dàng tạo lập một mang lớn zombies tại VN với hàng trăm ngàn chiếc được? Càng lạ quá! 


Chuẩn bị đi làm rồi, nhưng thấy còn nhiều thắc mắc của mọi người nên đã test thử.

Bên dưới là link download unikey, đây chính là file đã sinh ra 2 các file mà chú nói.
http://www.mediafire.com/?fee5d3428euao0k

Đây là bản unikey cháu download lâu lắm rồi không nhớ là download link. Sau khi cháu đã xóa đi các file virus MSHelpCenter.*, tắt Avira, Firewall, thử chạy lại thằng Unikey này để test thì nó là sinh các file virus MSHelpCenter. Như vậy đây chính là thằng đã tạo ra. Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra.

PS: Mình có nhớ ở đâu nói rằng (hình như trong diễn đàn này): Nếu bạn là người Việt Nam, sau khi cài xong Windows thì bạn sẽ làm gì? Tất nhiên là làm sao để máy mình có thể xài được tiếng Việt. Vậy thì việc tiếp theo bạn sẽ làm gì? Lên google search, download Unikey, Vietkey... Bọn STL này phải nói là thâm độc thiệt. Chúng nó cài malware lên PC của người Việt, rồi tiếp tay cho kẻ khác làm bậy. Làm sao ngẩng mặt nhìn mọi người đây.



No Signature
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 19:39:50 (+0700) | #167 | 244225
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Vậy thì biết làm gì bây giờ em, asaxin. Chỉ biết chửi tụi nó chứ làm sao bây giờ !
Nhưng không sao, còn nhiều anh em cao thủ RCE đang vạch mặt chúng. Em yên tâm !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 19:42:25 (+0700) | #168 | 244228
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
Tạm thời em nên làm gì để STL ko lấy được các thông tin từ máy em đây nhỉ ? Vì máy em có một số thông tin quan trọng smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 19:47:10 (+0700) | #169 | 244229
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
slt tới bây giờ chưa lòi rà một con "con mèo què" nào cho Linux, Unix.
Đúng không mấy anh stl, sự thật mất lòng nhé. Mấy anh tức không ? Làm gì được em ?
À mà sao mấy anh sao không dùn 1 tool hide IP, cho 1 thằng đăng ký HVA này, lên đây, tự xưng tao là stl nè, đối chất công bằng với anh em HVA ha ? Đã fake IP rồi thì thánh cũng tìm không ra mà !
Tới bây giờ, em cũng rất muốn chat với 1 thành viên trong team mấy anh. Nick YM của em mấy anh thừa biết mà ha !
Sau này, đừng đánh giá ai thấp, nữa mùa nữa nhé, mấy anh stl ! Thật sự, khi mấy anh nói với Hà Vy Thoại là em là thằng RCE nữa mùa, em sôi gan lắm.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 20:23:08 (+0700) | #170 | 244233
[Avatar]
rookey
Member

[Minus]    0    [Plus]
Joined: 01/06/2010 09:04:24
Messages: 22
Location: hồ chí minh
Offline
[Profile] [PM] [Yahoo!]
  Mải kiểm tra các master websites của STL (mong là đúng của STL) mất thời gian nhiều, nay kiểm lai xem có file nào là MSHelpCenter.exe trong các máy mình không? Kết quả là kiểm 3 máy cài WinXPSP3, 1may Windows7, 2 máy Win2K3 SP2 do chính mình quản lý, nhưng không thấy máy nào có cái file MSHelpCenter.exe cả. Lạ nhỉ? Các bạn thử kiểm máy mình có nó không?

Cái file MSHelpCenter.exe không có trong máy , e kiểm tra 3 máy: 2 win 7, 1 winxp sp3 mà chẳng thấy.
Những ai bị nhiễm mới có thì phải .
Thích nghi không có nghĩa là cơ hội,không có nghĩa là chống lại,mà là tìm cách vượt qua nó!
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 21:04:06 (+0700) | #171 | 244240
exception
Member

[Minus]    0    [Plus]
Joined: 10/07/2011 23:48:25
Messages: 15
Offline
[Profile] [PM]
lulz, STL = Sex Thuỳ Linh, Sống Tào Lao.

Coding như n00b thế này thì anh thất vọng với các chú quá.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 21:25:56 (+0700) | #172 | 244241
template
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 02:18:47
Messages: 16
Offline
[Profile] [PM]

TQN wrote:
slt tới bây giờ chưa lòi rà một con "con mèo què" nào cho Linux, Unix.
Đúng không mấy anh stl, sự thật mất lòng nhé. Tối nay em sương sương vài ba chai rồi, ngứa mồm lên chữi mấy anh chơi. Mấy anh tức không ? Làm gì được em ?
À mà sao mấy anh sao không dùn 1 tool hide IP, cho 1 thằng đăng ký HVA này, lên đây, tự xưng tao là stl nè, đối chất công bằng với anh em HVA ha ? Đã fake IP rồi thì thánh cũng tìm không ra mà !
Tới bây giờ, em cũng rất muốn chat với 1 thành viên trong team mấy anh. Nick YM của em mấy anh thừa biết mà ha !
Sau này, đừng đánh giá ai thấp, nữa mùa nữa nhé, mấy anh stl ! Thật sự, khi mấy anh nói với Hà Vy Thoại là em là thằng RCE nữa mùa, em sôi gan lắm. Mấy anh nên biết là tới bây giờ, em chỉ dùng 40% công lực của em để dò theo mấy anh thôi. Chỉ cần em ngồi lỳ máy 2 tháng trời, bất chấp tất cả, em sẽ mò tới tận ổ mấy anh !
Đố mấy anh: nhiều vụ em đã hack, đã quậy tới giờ, FBI vẫn tìm không ra ! Đố mấy anh là những vụ gì ? Anonymous, Lucifer là trò trẻ con với em ! 


Nếu có nhà tài trợ nào đó cho anh TQN 2 tháng lương để cơm gạo áo tiền thì hay biết mấy nhĩ.
Anh RE có nửa mùa hay không, có anh em Cviet, hva... này biết. Ở Việt Nam này cao thủ nhiều hay ko, giỏi đến mức nào thì tôi không biết. Nhưng với tôi, hiện nay anh đang là số 1 của làng CNTT VN
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 21:45:26 (+0700) | #173 | 244242
rang0
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:55:47
Messages: 19
Offline
[Profile] [PM]

asaxin wrote:

Chuẩn bị đi làm rồi, nhưng thấy còn nhiều thắc mắc của mọi người nên đã test thử.

Bên dưới là link download unikey, đây chính là file đã sinh ra 2 các file mà chú nói.
http://www.mediafire.com/?fee5d3428euao0k

Đây là bản unikey cháu download lâu lắm rồi không nhớ là download link. Sau khi cháu đã xóa đi các file virus MSHelpCenter.*, tắt Avira, Firewall, thử chạy lại thằng Unikey này để test thì nó là sinh các file virus MSHelpCenter. Như vậy đây chính là thằng đã tạo ra. Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra. 


Vậy là đã giải đáp hoàn toàn thắc mắc của anh PXMMRF về việc MSHelpCenter.exe và MSHelpCenter.idx được sinh ra từ đâu rồi smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 22:15:22 (+0700) | #174 | 244244
mapthulu
Member

[Minus]    0    [Plus]
Joined: 10/06/2011 12:16:42
Messages: 28
Offline
[Profile] [PM]
Bài trả lời của mình sẽ không ăn nhập gì đến những bài trên, nhưng vì sao thấy nó có nét giống giống nên mình đưa lên xem có được gì hay không.
Hôm nay server mình bị tấn công, nên mình lọc được vài thông tin
Code:
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET /highslide/highslide.css HTTP/1.1" 200 20399 "http://abcdef-site.com/" "-"
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET /clientscript/vbulletin-core.js?v=408 HTTP/1.1" 200 47757 "http://abcdef-site.com/" "-"
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET /highslide/highslide.min.js HTTP/1.1" 200 54296 "http://abcdef-site.com/" "-"
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET / HTTP/1.1" 302 0 "http://abcdef-site.com/" "-"

Không có user-agent, abcd... là domain mình đã ẩn
http://cC2.upanh.com/25.587.32753521.OoE0/1.png

http://cC5.upanh.com/25.587.32753524.bi30/2.png

http://www.stopforumspam.com/ipcheck/115.78.4.183
http://cC7.upanh.com/25.587.32753526.mkB0/3.png

Kiểm thử nguyenvietcam77 thì cũng ra nethoabinh
http://cC1.upanh.com/25.587.32753540.4vt0/5.png

Kiểm thử vài cái nữa thì ra user khác, vậy là IP động rồi
http://cC1.upanh.com/25.587.32753530.F8s0/4.png

sửa wrote:
Chỉnh lại cho đỡ kéo màn hình khi mọi người xem 
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 22:29:18 (+0700) | #175 | 244245
[Avatar]
crc32
Member

[Minus]    0    [Plus]
Joined: 03/10/2008 21:56:29
Messages: 31
Offline
[Profile] [PM]

TQN wrote:
...

Bây giờ cứ để đó, lên mạng down SysInternals Suite, CurrPort, SmartSniff. Đọc help và tập dùng.
Chỉ cần nhiêu đó là đủ tìm ra "mèo què" rồi, không cần đao to búa lớn đâu.
Bất kỳ tool nào, mình hiểu nó 1 thì nó mang lại cho mình 1, hiểu 10 thì mang lại 10.
Tập trung vào Process Explorer và ProcMon, AutoRuns, TCPView. Đọc help cho kỹ.
Trong Process Explorer, check menu "Verify Image Signatures" trong Options menu.
Duyệt từng process trên upper panel, right click - Properties, click tab TCP/IP. Nếu thấy có connect tới link đó thì xem process đó có verify không (trong tab Image). Nếu không có verify => à à, mày là "mèo què". Còn có, verify từng Dll của process đó, cũng right click - Properties, Verify. Thằng nào không có verified thì up lên. Up lầm còn hơn bỏ sót.
...
 

Nhờ anh TQN mà em vừa tìm được nguyên nhân vì sao khung search biến mất bấy lâu nay trên máy khi nhấn nút search chỉ còn chú cún ngồi quẩy đuôi đó là Worm/Win32.Polip.gen.

Con này núp trong file driver em tải trên site của Nvidia do Antiy-AVL phát hiện, kill ẻm một phát, nhấn nút search, khung search xuất hiện liền.



[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 06:37:18 (+0700) | #176 | 244253
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
File Unikey của asaxin và 2 file của lequy đã up lên đều ra virus của STL.
Đặc biệt thằng MSHelpCenter.* của lequy up lại khác với MsHelpCenter.* mà ta đã biết, size chỉ còn 2 MB (đã biết: gần 9MB).
Bây giờ em phải đi nữa rồi, chắc trưa hay chiều về mới tranh thủ phân tích.
accouris89, exception và các anh em khác phân tích tụi này nhé !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 07:20:37 (+0700) | #177 | 244255
ptv_vbhp
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:16:44
Messages: 11
Offline
[Profile] [PM]
Cái file Unikey mà bác asaxin em thấy bkav em đang dùng nó diệt rồi smilie) hài quá . Bkav mà cũng đã chém được rồi cơ đất smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 07:52:11 (+0700) | #178 | 244259
rang0
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:55:47
Messages: 19
Offline
[Profile] [PM]

TQN wrote:
File Unikey của asaxin và 2 file của lequy đã up lên đều ra virus của STL.
Đặc biệt thằng MSHelpCenter.* của lequy up lại khác với MsHelpCenter.* mà ta đã biết, size chỉ còn 2 MB (đã biết: gần 9MB).
Bây giờ em phải đi nữa rồi, chắc trưa hay chiều về mới tranh thủ phân tích.
accouris89, exception và các anh em khác phân tích tụi này nhé ! 


File MSHelpCenter.* của lequy là giống với mẫu mà asaxin up. File size khác nhau là vì phần "rác" chèn thêm vào được sinh ngẫu nhiên, còn thực ra file gốc chỉ có :

Code:
07/26/2011  11:04 PM           167,936          MsHelpCenter.exe
07/26/2011  11:04 PM            65,536          MsHelpCenter.idx
07/26/2011  11:04 PM            62,976          thumbcache.db
07/26/2011  11:04 PM            36,864          _desktop.ini
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 08:18:46 (+0700) | #179 | 244260
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

rang0 wrote:

asaxin wrote:

Chuẩn bị đi làm rồi, nhưng thấy còn nhiều thắc mắc của mọi người nên đã test thử.

Bên dưới là link download unikey, đây chính là file đã sinh ra 2 các file mà chú nói.
http://www.mediafire.com/?fee5d3428euao0k

Đây là bản unikey cháu download lâu lắm rồi không nhớ là download link. Sau khi cháu đã xóa đi các file virus MSHelpCenter.*, tắt Avira, Firewall, thử chạy lại thằng Unikey này để test thì nó là sinh các file virus MSHelpCenter. Như vậy đây chính là thằng đã tạo ra. Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra. 


Vậy là đã giải đáp hoàn toàn thắc mắc của anh PXMMRF về việc MSHelpCenter.exe và MSHelpCenter.idx được sinh ra từ đâu rồi smilie 


Ờ cảm ơn rang0 và đăc biệt là asaxin (tên em giống tên một cầu thủ Nga chơi cho Arsenal quá. Hì hì)
Nhưng mà chưa hết đâu rang0 ạ. Chưa hết ờ câu này của axasin:

Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra 


Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.

Note.
-Cái STL Master website-server mà tôi check từ thông tin của axasin chính là cái có quy mô khá hoành tráng, như tôi nói ở trên.
- Tôi bắt đầu "hy sinh' 2 máy cài Win7 và Win XP cho nhiễm STL virus vào xem nó thế nào. Hơi mất công và thời gian đây.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/07/2011 08:41:33 (+0700) | #180 | 244264
rang0
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:55:47
Messages: 19
Offline
[Profile] [PM]

PXMMRF wrote:


Ờ cảm ơn rang0 và đăc biệt là asaxin (tên em giống tên một cầu thủ Nga chơi cho Arsenal quá. Hì hì)
Nhưng mà chưa hết đâu rang0 ạ. Chưa hết ờ câu này của axasin:

Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra 


Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.
 


Có 2 nơi mà file fake unikey sẽ drop MSHelpCenter.* và các thư viện đi kèm đó là : hoặc %windir% hoặc %temp% tuỳ vào việc nó gọi OpenSCManager có thành công hay không.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
3 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|