banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 20:44:48 (+0700) | #241 | 244397
[Avatar]
crc32
Member

[Minus]    0    [Plus]
Joined: 03/10/2008 21:56:29
Messages: 31
Offline
[Profile] [PM]
"Microsoft đã phối hợp với các doanh nghiệp, trường đại học và chính quyền Mỹ thực hiện chiến
dịch B107 tiêu diệt Rustock, một trong những mạng botnet lớn và nguy hiểm nhất hành tinh."

Hi vọng một mình HVA cũng có thể tiêu diệt mạng botnet lớn nhất Việt Nam hiện nay!
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 20:46:32 (+0700) | #242 | 244398
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
Bây giờ chưa có mẫu mới hả anh, vẫn cái kia nó dos, lại còn post dòng này, bực quá.
Code:
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/hvaonline/posts/list/210/39641.html#244332" keepCookies="1" crawling="1" referer="Hey Postmodernism, When you config HVA like X-Cafe?"/>


mà tên em dễ viết như thế mà anh TQN lúc thì accxxxx ( chắc đang nghĩ đến từ account )
lúc thì acourxxx smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 21:03:35 (+0700) | #243 | 244399
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]

crc32 wrote:
"Microsoft đã phối hợp với các doanh nghiệp, trường đại học và chính quyền Mỹ thực hiện chiến
dịch B107 tiêu diệt Rustock, một trong những mạng botnet lớn và nguy hiểm nhất hành tinh."

Hi vọng một mình HVA cũng có thể tiêu diệt mạng botnet lớn nhất Việt Nam hiện nay!
 

Muốn làm chiến dịch như vậy thì phải có sự phối hợp giữa "TQN" và "người bị dính chưỡng" và "chính phủ"
1. NGười dính chưỡng cung cấp thông tin lây nhiễm để "TQN" cập nhật thông tin. Yêu cầu tính tự giác .
2. "TQN" viết tool cập nhật liên tục các mẫu.
3. Tiến hành dùng TOOL của "TQN" để quét trên diện rộng hệ thống dính chưỡng.
4. Tiến hành theo dõi diện rộng việc tung chưỡng của sờ tờ lờ. Từ ISP, từ nạn nhân khốn khỗ HVA, từ các nạn nhân có nghi ngờ bị sờ tờ lờ quất khác.
5. Cùng nhau hạ quyền user xuống dưới mức át mi nít chây sần. Và thay đổi tư duy sài account.
6. Liên tục đăng tin khuyến nghị để mọi người biết để tham gia diệt zombies.
...
Ý cùn cá nhân.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 21:05:48 (+0700) | #244 | 244400
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Ủa, nick của em là TQN thì cứ viết là TQN: T = Thằng, Q = Cu, N = Anh, chứ cớ tại sạo cứ kẹp em trong cặp ngoặc kép "" chi vậy ha ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 21:22:02 (+0700) | #245 | 244403
[Avatar]
mechk
Member

[Minus]    0    [Plus]
Joined: 26/01/2007 18:07:00
Messages: 49
Location: đâu
Offline
[Profile] [PM] [Yahoo!]
Trong bộ font setup của mình có chú vietkey này, đã check trên virustotal, kết quả là dính chấu:
http://www.virustotal.com/file-scan/report.html?id=7d78ed62e1ff3729f33601a177c6fcc4e0d5bd8c0b6369fbf03773a8fac4e596-1311865002

Đây là kết quả phân tích mới nhất. Mình có thử đáp nó vào máy ảo và cả máy thật để kiểm tra lại xem có kết nối nào lạ ko, nhưng đều ko run được (có thể do OS của mình là Win7 64)

Mình cũng ko chắc lắm có phải là virus của stl ko, RCE thì mù tịt smilie, cho vào hex editor thì chỉ đọc được dòng Cannot run in dos mode gì gì đó. Up lên các bác rảnh thì xem qua nhé smilie

http://www.mediafire.com/?o45llc19dat4964
sắp !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 22:48:51 (+0700) | #246 | 244409
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
tunghoang xem và cập nhật lại đường link mediafire tải mẫu Unikey và log của bạn nhé.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 28/07/2011 23:14:18 (+0700) | #247 | 244412
[Avatar]
tunghoang
Member

[Minus]    0    [Plus]
Joined: 07/12/2004 06:36:50
Messages: 5
Offline
[Profile] [PM]
Autoruns: http://www.mediafire.com/?m65441j2z1b94mz
Unikey: http://www.mediafire.com/?ejodr9dwxs1dwnn
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 00:41:25 (+0700) | #248 | 244415
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

TQN wrote:

.....................
Debug, trace, capture packet của nó, ra thông tin thằng host mới của STL:

Host: second.dinest.net
IP: 193.106.175.68
User-Agent: An0nym0453
xv.jpg: 2011-07-28 09:46:58
xc.jpg: <targets><item enabled="1" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/" keepCookies="1" crawling="1" referer=""/></targets>


.....................................
PS: Chỉ sơ ý bỏ qua một host trong MsHelpCenter.exe mà tụi nó nhanh chân dùng host kia liền. MsHelpCenter.exe, BackupSvc.exe mang trong người nó 2-4 địa chỉ host để download file exe bot về. Host này down không được thì nhảy tới host khác.
Cái này cũng chính là cái chủ quan của em và accxxx89 (thông cảm, tên khó nhớ quá)

 


Đây là master webserver mới đang điều khiển cuộc tấn công DDoS vào HVA.Từ 9h sáng đến khoảng 6.30 chiều nay, HVA bị tấn công nặng nề. Sử dung cả 2 đường cáp quang của VNPT và một kết nối 3G, mà tôi không thể nào vao đươc HVA post bài.

Sự phát hiện kịp thời các master website đang in-charge (đang làm nhiệm vụ điều khiền mang bot) là một điều rất quan trong, để có biện pháp ứng phó kịp thời.
Đúng là webserver có tên miền second.dinest.net cho đến giờ này còn đang điều khiển mạng STL bot. Mang bot đang tập trung tấn công vào HVA. Tuy nhiên khoảng sau 6.30 chiều nay master webserver này thỉnh thoảng có lúc ngừng một thời gian.

Webserver second.dinest.net này có một số đăc điểm cần lưu ý:

1-rất it file trong hdocs (bình thường chỉ có 1 file index.html trống rỗng dung lượng chỉ khoảng 1KB và 1,2 file ảnh .jpg. Đây là các file ảnh nhúng vào các lệnh điều khiển mang bot , được mã hoá. Dung lương các file này cũng nhỏ, chỉ vài chục KB.) Nhưng webserver này sử dụng hẳn một IP tĩnh riêng cho nó (193.106.175.168). Trên webserver, như tôi đã viết, chỉ hosting 1 website duy nhất là master website, điều khiển mang bot. Quả thật là nhóm STL lắm tiền nhiều của. STL thường thiết lập các webserver chỉ chứa một website. trong đó cũng rất ít dữ liệu (file), chỉ dùng với mục đích điều khiển mang bot hay thu thập, lấy cắp thông tin cá nhân của người dung thông qua mang bot

2- Webserver second.dinest.net này cài Linux Debian, web server là Apache 2.2.9 (Note: version Apache mới nhất là 2.2.17, như đang cài trên các webserver tôi quản lý). Webserver này chỉ thường xuyên mở 2 cổng là 80 TCP HTTP và công 22 SSH TCP (service SSH-2.0 OPENSSH_5.1p1 Debian-5). Rất khó mới tìm ra được các service tại các cổng. Service SSH thỉ STL dùng để remote control webserver này từ xa (từ xa là từ VN hay TQ chẳng hạn)

3-Có một điều đặc biệt là webserver này mở rất nhiều cổng UDP mà tôi không hiểu lý do từ đâu. Có lúc tôi thấy webserver mở tới 22 cổng UDP (có cả công 53 UDP dùng config. DNS). Tôi chắc là họ chưa có kinh nghiệm trong việc bảo mật webserver và config. nó. Việc này sẽ mang đến những hậu quả không ngờ cho các bác STL. Như thế nào thì không tiện nói, hay không nên nói.

4- Đúng như anh conmale đã viết, webserver này đặt tai Nga (Russian). Vị trí địa lý của nó là ở gần giữa nước Nga, gần Mông cổ hơn cưc bắc Nga và ở phía Đông Bắc tỉnh Krasnoiac. Xin em bản đồ.





Thêm một bằng chứng về sự liên hệ của STL với một số thành phần Nga. Nhưng mối liên hệ này không có gì đáng nói so với một môi liên hệ khác với Nga, mà tôi đã nói ở trên.

Tuy nhiên dải IP 193.106.175.0-193.106.175.255 lai có thể do một công ty Pháp sở hữu. Có thể công ty Pháp này đầu tư vào miền trung nước Nga, một vùng còn chậm phát triển. Có thể TQ cũng tham đầu tư liên doanh với Pháp, xây dựng các kết cấu hạ tâng IT tai đây.

5- Domain second.dinest.net là subdomain của domain dinest.net. Nhưng không chỉ có subdomain này,
mà còn những subdomain khác. Chúng là:

- fpt.dinest.net
IP 67.19.72.202
- irc.dinest.net
IP 67.19.72.202
- mail.dinest.net
IP 67.19.72.202
- www.dinest.net
IP 67.19.72.202
- blog.dinest.net
Ip 98.124.253.253
 


Các subdomain này có thể là do các chiến hữu của STL quản lý, chính xác hơn là của các cấp lãnh đạo. Dễ dàng nhận thấy subdomain mail.dinest.net là quan trong nhất. Tại đây một mailserver được thiết lâp, dùng cho việc liên hệ trong khối.

6- Webserver second.dinest.net được cấu hình để các kết nối từ trình duyệt của các user-nạn nhân từ các máy zombie của họ đến webserver là các persistent connection (hay còn gọi keep-alive connection). Điều này giup cho các bot trong zombie dễ dàng, nhanh chóng liên hệ với webserver và nhận lệnh lấy cắp thông tin cá nhân, tấn công DDoS các muc tiêu trên mang. Điều này anh conmale cũng đã đề câp trong một post phía trên.

7- Trước webserver second.dinest.net STL còn đặt một server cài phần mềm "NGINX"(đọc là en-din-x), nhằm phòng và hạn chế tác hại của quá trình phản công DDoS vào webserver (second.dinest.net). Biện pháp này vừa qua Vietnamnet.net cũng đã áp dụng khi bị tán công DDoS dồn dâp trên mạng. (Chắc cũng là do STL tấn công thôi. Ở Việt nam, ngoài STL thì không ai có đủ tìền bạc, nhân lực, thời gian và trình độ kiến thức tạo lập được 1 mạng zombies-bot với hàng trăm ngàn máy, đặt trong nước ngoài nước, tấn công DDoS liên tục, năng nề vào Vietnamnet. Lý do Vietnamnet bị STL tấn công là do đây là tờ báo lề phải duy nhất dám chửi, phê phán khá mạnh mẽ hành động, ngang ngược bá quyền của TQ mà thôi. Các báo khác luôn tìm cách né tránh)
"NGINX" do một chuyên viên IT người Nga soạn thảo ra. Hiêu quả thưc tế của phần mềm-application này trong việc chống DDoS còn đang đươc bàn cãi. Chưa có công ty Mỹ nào dùng "NGINX" cả. Thưc tế "NGINX" cũng đã gây ra một vài trục trặc trên mang. Tôi cũng đã có một bài viết phân tích cụ thể hơn về "NGINX" tai topic " Sinh tử lênh.......", trong box "Những thảo luận khác"

Chúng ta đã nắm đươc các thông tin cần thiết về master webserver second.dinest.net và nhiều webserver khác của STL. Chúng vẫn có những điểm yếu. Chúng ta cần và hoàn toàn có thể phát hiện ra các master webserver của STL sớm, ngay từ khi chúng khởi đông các cuộc tấn công DDoS trên mạng, nhằm phá hủy kết cấu hạ tầng và hoạt đông thông tin mang của cộng đồng, đất nước. Bằng các cách thức từ đơn giản nhất, ai cũng có thể làm, đến các phương thức tinh vi nhất (nhiều hàm lượng trí tuệ), trong một tâp thể HVA đồng tâm hiệp lực vì công đồng, đất nước, chúng ta có thể sẽ bẻ gẫy hay hạn chế tối đa tác hai của các cuộc tấn công DDoS trên mang của STL. Không thể để STL tự tung tự tác, như ở chỗ không người, muốn hạ nhục ai thì hạ, muốn cho website nào ngừng thì phải ngừng.

Tôi sẽ gừi anh conmale một số biện pháp cần thiết, mang tính sáng tạo của người VN-"nghèo nhưng không ngu và hèn", để bàn bạc thưc hiện cùng với các bạn.(Không thể bàn công khai trên forum)


The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 05:14:39 (+0700) | #249 | 244416
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Đám STL này càng quậy, tớ càng có cảm giác đây là một đám người không biết tuổi tác ra sao nhưng lại rất tự ái, hiếu thắng và nhỏ nhen. Có hàng loạt những biểu hiện của những con người hành động không phải vì mục tiêu to lớn mà chỉ muốn trả đũa bằng mọi cách, biểu hiện của những người chưa trưởng thành.

Công bố chiến công của các bạn STL luôn để các bạn bớt bực dọc và tự ái nhá. Hôm qua lần đầu tiên các bạn làm treo con server của HVA bên nhánh bên Nhật đó. Có lẽ traffic đi từ Việt Nam được route đến con server bên Nhật nhiều hơn vì nó "short path". Dù gì đi chăng nữa, các bạn vẫn chưa thể chơi HVA đến mức thê thảm như vietnamnet trước đây. Các bạn đã vài lần dốc toàn lực của botnet để dập HVA, một forum vô vụ lợi và "self-funded" nhưng kết quả ra sao thì ai cũng thấy rồi đó.

Các bạn STL muốn kiến tạo cái gì với hàng loạt những hành động đầy phạm pháp và vô đạo đức? Nếu các bạn cho rằng vì "chính nghĩa" bảo vệ niềm tin và chế độ của các bạn mà phải làm như vậy thì các bạn hãy nghĩ lại xem: niềm tin và chế độ ấy tốt đẹp đến mức nào khi được một đám người "bảo vệ" bằng những hành động như các bạn đã và đang làm? Tổng kết lại thì các bạn đã làm gì? Các bạn ăn cắp, mạo danh, phá hoại tài sản của người khác, bôi nhọ hết người này đến người khác, phát tán và sử dụng những phương tiện độc hại. Trên mạng, hoạt động của các bạn có đầy đủ các biểu hiện như một nhóm "tin tặc" mũ đen đúng nghĩa, có nghĩa là các bạn cố giấu danh tánh, di chuyển liên tục và sử dụng những dịch vụ nổi tiếng đen tối và độc hại. Các bạn không nhận thấy rằng cả giới IT lẫn không IT đang phỉ nhổ và khinh bỉ các bạn hay sao?

Nước Việt Nam và người Việt Nam chưa hề suy đồi đến mức dẫn đến đa số ủng hộ các bạn. Bởi vậy, những việc làm của các bạn chỉ làm tệ hại hơn niềm tin và hình ảnh các bạn đang cố bảo vệ. Về khía cạnh kỹ thuật, các bạn thừa biết rằng từ nay về sau, mỗi khi các bạn tung ra một con malware và bắt đầu phá hoại thì lúc lấy những thành viên ở HVA này sẽ theo sát các bạn. Hãy tự nhìn lại những gì mình làm để sau này, khi nghĩ lại còn thấy có một chút tự hào thay vì xấu hổ và nhục nhã, ngoại trừ trường hợp các bạn cho rằng những việc làm của các bạn là chính nghĩa, đạo đức và ích lợi thì không kể.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 06:17:20 (+0700) | #250 | 244417
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Microsoft là nhóm thứ nhì hồi âm (lúc 10:12pm giờ VN) về con "AcrobatUpdater.exe":

The Microsoft Malware Protection Center (MMPC) has investigated the following file(s) which we received on 7/28/2011 3:18:31 AM Pacific Time.
Below is the determination for your submission.

========
Submission ID MMPC11072810468966

Submitted Files
=============================================
AcrobatUpdater.exe [Worm:Win32/Rebhip.A] 
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 06:43:46 (+0700) | #251 | 244418
[Avatar]
.lht.
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline
[Profile] [PM]
Anh conmale full stress với STl rùi kìa smilie)
Bọn nó phá, cũng không thể phá mãi.
Càng phá bọn nó càng nhục, nhục rồi đến lúc nội bộ lục cục mà tan rã smilie)

Vụ này làm cho các thành viên trong HVA mệt mỏi, sau vụ này liệu anh TQN, conmale, PXMMRF, ... có định đi nghỉ mát không các anh ?
Trash from trash is the place for new good things ~
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 08:48:26 (+0700) | #252 | 244428
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

.lht. wrote:
Anh conmale full stress với STl rùi kìa smilie)
Bọn nó phá, cũng không thể phá mãi.
Càng phá bọn nó càng nhục, nhục rồi đến lúc nội bộ lục cục mà tan rã smilie)

Vụ này làm cho các thành viên trong HVA mệt mỏi, sau vụ này liệu anh TQN, conmale, PXMMRF, ... có định đi nghỉ mát không các anh ? 


Cũng không có gì mệt mỏi đâu em. Cùng lắm thì HVA bị gián đoạn khi này, khi kia thôi. Chắc member cũng thông cảm vì ai cũng có công việc, trách nhiệm, đời sống riêng nữa smilie .

HVA cứ đường đường chính chính còn những kẻ phá hoại cứ tiếp tục chui nhủi. Mỗi lần bị động ổ là lại mất server, mất tên miền, tốn kém.... Những trò phá hoại không thấy kết quả gì mà chỉ mang tiếng nhục vào thân. Đến một lúc nào đó, những con người "ảo" lẩn trốn đằng sau những trò phá hoại được "bạch hoá" thì sẽ sống với ai?

Ngay lúc này, lại là mấy trò đấm vô /hvaonline/forums/list.html và /hvaonline/portal/list.html và mà không biết mệt. Nghĩ cũng lạ.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 09:00:11 (+0700) | #253 | 244431
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
Riêng em thì nghĩ đám này cũng chẳng tiêu tốn bao nhiêu tiền bạc vào chi phí server, domain đâu.
Bọn này làm được những trò nhơ như thế này, thì việc dùng tiền của người khác mua server, domain đâu phải là khó smilie.

P/S: Rồi đâu sẽ vào đấy, chỉ khi không làm thì người khác mới không biết, đi đêm có ngày gặp ma mà smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 09:36:35 (+0700) | #254 | 244434
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Lại thêm một biến thể mới nữa của AcrobatUpdater.exe xuất hiện, mới sáng nay.

Thêm nữa, quan trong:
Host speed.cyline.org đã được stl ra lệnh sống dạy.
Thằng nằm vùng uxtheme.manifest được lệnh down 2 file bmp từ file này.
Cách đây thời gian ngắn, em đã post link của nó, nay sinh phép post lại:

Code:
URL1: http://speed.cyline.org:443/flower.bmp?g={1CD70F27-EA66-4812-834C-FB39AE2DC170}&c=1&v=1&tf=312218282815&tr=312218282861&t=312218282864&p=2&e=0&n=ThangChaMayTuiSTL&u=OngNoiMayNe&lfhbbnwdbywxlineyegfswjxylrktvvfjqlr=vznmbfhxpgocvojqhosgdbenhrjtnglagonsvca

URL2: http://speed.cyline.org:443/BlueSphere.bmp?dl=1&oyeerpsaahqumkthxeswvwlfdxpizmffsfk=njhkmdjqlnkwmrofymzmxgqf


uxtheme.manifest giải mã flower.bmp cho ra link BlueSphere. Giãi mã tiếp BlueSphere.bmp cho ra 1 exe rỗng.

Hôm nay, 29_07_2011, cũng flower.bmp đó, uxtheme.manifest giải mã cho ra:
Code:
http://speed.cyline.org:443/plxzyin0fx.bmp


Cái bóng này bự bà cố luôn, giải mã ra 1 exe như Fake Unikey 1, nhưng trong resource lại chưa có gì ?
Hết hàng rồi à mấy anh stl ? Hay đang đợi coder code đống "mèo què" khác !

Toàn bộ em up ở đây:
1. FakeUnikey_29_07_2011: http://www.mediafire.com/?k29pqgh8mym4oja
2. AcrobatUpdater_29_07_2011: http://www.mediafire.com/?xzbmds3fob2q39s
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 10:49:38 (+0700) | #255 | 244443
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Các bạn STL cứ nhè URI "/" mà đập hoài vậy? Tớ vừa huy động thêm 1 con server bên Đức có 1000Mbit line đấy. Các bạn cứ tha hồ mà nhắm vào "/" để đập smilie .

Vừa kiểm lại logs thì thấy zombie cho "AcrobatUpdater.exe" đi từ các IP thuộc châu Âu, Nga, Ukraine, Mỹ, Úc (ngoài các bạn láng giềng như Hàn, Nhật và TQ). Các anti-viruses đã cập nhật def của họ để nhai sống con "AcrobatUpdater.exe" rồi. Trong vòng 1, 2 ngày tới những con này sẽ bị nhai sống từ các máy cập nhật def đều đặn.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 10:54:25 (+0700) | #256 | 244444
rang0
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:55:47
Messages: 19
Offline
[Profile] [PM]
Cùng chào đón 1 server mới của STL nào :

Code:
http://map.priper.info:8080


Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/07/2011 11:01:51 (+0700) | #257 | 244445
template
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 02:18:47
Messages: 16
Offline
[Profile] [PM]
Bọn này chỉ làm việc theo lệnh của bọn tàu khựa, "Sống chết theo lệnh" mà, chúng làm việc dơ bẩn để có đồng tiền dơ bẩn thôi.

Phải đập cho chúng 1 trận, còn không là chúng cứ sống chết theo lệnh mãi.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 16:11:37 (+0700) | #258 | 244452
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

rang0 wrote:
Cùng chào đón 1 server mới của STL nào :

Code:
http://map.priper.info:8080


Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org) 


Domain này (map.priper.info) đã bị suspended
This Account Has Been Suspended 


Domain-website này: "speed.cyline.org", vẫn đang active. Nhưng nhiều lúc kết nôi đến website này rất châm (slow connection)
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 16:32:43 (+0700) | #259 | 244453
LlyKil
Member

[Minus]    0    [Plus]
Joined: 22/01/2008 18:33:58
Messages: 16
Offline
[Profile] [PM]
Cuối cùng HVA đã "dựng" 1 cái firewall như mình mong đợi smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 17:28:48 (+0700) | #260 | 244455
texudo
Member

[Minus]    0    [Plus]
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
[Profile] [PM]
Thanks GOD (TQN, Conmale, PXMMRF ...and HVA team)...HVA ONLINE again smilie

Mấy ngày qua vào HVA ma không được, nghĩ chắc vẫn bị DDOS nặng nề lắm.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 17:30:18 (+0700) | #261 | 244456
ivanst
Member

[Minus]    0    [Plus]
Joined: 18/06/2007 11:36:11
Messages: 20
Offline
[Profile] [PM]
Bác com ơi , vào site bây giờ vừa khó , vừa lằng nhằng , nhiều khi hiện ra lỗi khó hiểu quá
Mong các cao thủ tiếp tục phân tích,tìm cách bem các con virut vừa ddos HVA trong 3 ngày vừa qua
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 17:39:29 (+0700) | #262 | 244457
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

ivanst wrote:
Bác com ơi , vào site bây giờ vừa khó , vừa lằng nhằng , nhiều khi hiện ra lỗi khó hiểu quá
Mong các cao thủ tiếp tục phân tích,tìm cách bem các con virut vừa ddos HVA trong 3 ngày vừa qua  


Đã có thông báo về sự "lằng nhằng" rồi. Hy vọng bồ dành chút thời gian để đọc thông báo. Cám ơn.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 20:43:39 (+0700) | #263 | 244465
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tụi stl đã chính thức tắt nguồn ra lệnh tấn công HVA và lên tiếng thương lượng:
Chiều nay khi HVA hoạt động trở lại, em tranh thủ check thử cái host second.dinest.net xem nó còn sống không. trong khi mấy cái khác thì closed hàng loạt. Check xong, tính post lên HVA liền, mắc cười muốn bể bụng, nhưng phải đưa "heo sữa" đi xem phim nên giờ mới post. Tối giờ cứ mắc cười hoàismilie

Dùng Fiddler, em request file xv.jpg từ second.dinest.net, ra kết quả: 2011-07-31 21:55:20.
À vậy là còn sống, ra lệnh đám bot AcrobatUpdater.exe config mới đã có ngày hôm qua. Tụi mày lên down về, làm theo lệnh.

Em down tiếp xc.jpg, Decode.exe ra, ra dòng thú vị sau trong item targets (chỉ có một mình target là HVA chúng ta thôi):
Code:
<targets>
        <item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80"
            rootURI="/"
            uri="/hvaonline/forums/list.html"
            keepCookies="1"
            crawling="1"
            referer="We don't want to did that but Postmodernism forced we! Don't touch us anymore, please!"/>
    </targets>


Hì hì, vậy stl hacker đã set enabled=0 cho HVA chúng ta. Các bạn đọc kỹ dòng referer nhé. Tiếng Anh em thì dốt, nói thì như cọp nhai đậu phộng, đọc thì cứ phang như tiếng Việt, nên em cứ thắc mắc ở chổ: "forced we" ? "forced we" hay "forced us" bà con ! Em nhớ mang máng là "forced us" mới đúng chứ ?

Lại mắc cười ở chổ, lúc trước, mấy anh stl hoành hoành bá đạo, đánh phá lung tung, vỗ ngực hênh hoang, coi trời bằng vung, chơi trò "bạch hoá" hèn hạ, làm nhục, bêu xấu hết người này tới người khác, "force" người ta tới đường cùng. Vậy lúc đó mấy anh có nghĩ tới lúc này không, khi mấy anh bị các hắc cơ mũ trắng, không mũ, mất mũ như anh em HVA "phọt" lại, "dầu hắc hoá" mấy anh không ? Bây giờ mấy anh lên tiếng năn nỉ, please nữa à !
Chắc là chỉ tiêu đánh phá, "ổn định chính trị" của mấy anh không đạt, bị xếp dập, phạt, trừ lương phải không mấy anh ? Tội nghiệp !

PS: À, mà mấy anh cũng thâm thật, miệng thì nói "em không muốn" vậy mà "em" cứ phang DDOS hoài hoài, hết đợt này tới đợt khác vậy à. Mấy anh gian xão giống tàu khựa vậy à ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 20:59:56 (+0700) | #264 | 244466
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
@anh TQN

enabled="0" có nghĩa là họ dừng lại để cho anh post thông báo của họ lên HVA

"Don't touch us anymore, please!" có nghĩa là đừng động đến chúng tôi không thì hậu quả khôn lường, đây là lời đe doạ chứ không phải xin xỏ gì cả.

smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 21:06:04 (+0700) | #265 | 244467
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Vậy à, vậy thì em phải thu xếp đi học "In lit" lại rồi.
Em dùng Google Translate, dịch nó ra thành vậy, vậy tại Google đó chứ:

Chúng tôi không muốn làm điều đó nhưng Postmodernism bắt buộc chúng tôi ! Không chạm vào chúng tôi nữa, xin vui lòng!
 

Nếu hăm doạ thì chúng ta phải tiếp tục thôi, chứ không lẽ vì lời hăm doạ, vì DDOS mà chúng ta phải dừng lại à !
Mấy hôm nay, không vào HVA được, tiếp tục RCE cho xong các đống "mèo què" của stl từ hồi trước tới giờ.
Bắt đầu bằng Vecebot, file icon.dat của nó chứa thông tin về DDOS config của tụi nó vào xcafe hồi đó, tương tự như xc.jpg và xv.jpg bây giờ.
File icon.dat được mã hoá đơn giản hơn, chỉ bằng xor từng byte trong file với 0x1F. Sau khi xor lại với 0x1F, lòi ra hai host cũ hồi đó của stl:
Code:
safebrowser.dyndns.org/photos/safebrowser1.gif
safebrowsing.dyndns-blog.com/photos/safebrowser1.gif

Cũng lại là host trên dyndns.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 21:09:32 (+0700) | #266 | 244468
ga_cum06
Member

[Minus]    0    [Plus]
Joined: 04/05/2008 19:01:15
Messages: 29
Offline
[Profile] [PM]
Nói chung là dù có thế nào , dù có tấn công hay ko tấn công vào Hva thì STL đã tuyên chiến với cộng đồng mạng rồi. Có hăm doạ hay Pờ lì năn nỉ đi nữa thì cũng không thể ngừng cuộc chiến này được smilie. e nghĩ chắc giờ đây có khá nhiều ng đang âm thầm theo dõi và tìm cách tiêu diệt STL th smilie..... nhớ có câu ngày xưa xem phim chưởng "Đạo cao 1 thước ma cao 1 trượng " smilie nhưng cũng luôn có câu "Tà không thể thắng chính " smilie

Bác TQN có mail hay gì cho em phát em xin bác vài thứ cái ạ smilie) nói ở đây ko tiện smilie)
...Ước mơ xây trường học cho trẻ em nghèo Việt Nam
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 21:48:42 (+0700) | #267 | 244474
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
@anh TQN em dịch theo ý tứ ngữ nghĩa thôi chứ không dịch sát nghĩa như anh smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 22:25:15 (+0700) | #268 | 244477
[Avatar]
~simon~
Member

[Minus]    0    [Plus]
Joined: 20/12/2006 15:46:42
Messages: 58
Location: nơi bắt đầu
Offline
[Profile] [PM]
Em đọc đến đây cũng biết được phần nào công sức của mọi người trong vụ này,hiểu được một phần câu chuyện ,nhưng thắc mắc mãi chữ STL nghĩa là gì nghĩ hoài không ra ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 22:30:17 (+0700) | #269 | 244478
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Ặc ặc, đọc tới đây mà không biết stl là gì à ?
stl = sinh tử lệnh = sống chết theo lệnh !?
stl # STL: C++ Standard Template Library nhé. Chớ nhầm lẫn là tụi coder C++ khắp thế giới nhảy vào phang đấy.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 22:42:20 (+0700) | #270 | 244479
[Avatar]
angel-pc
Member

[Minus]    0    [Plus]
Joined: 01/01/2011 01:15:32
Messages: 63
Offline
[Profile] [PM]
Facebook của bọn nó nè:

http://www.facebook.com/pages/Sinh-T%E1%BB%AD-L%E1%BB%87nh/157466794320222

Ai có căm thù thì vào đó mặc sức chữi smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
2 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|