Phân tích tính chất vài trận DDoS HVA vừa qua.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

Phân tích tính chất vài trận DDoS HVA vừa qua.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 03:51:03 (+0700) \| #301 \| 244573

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

He he, sáng nay grep awk sed mớ logs thì thấy các bạn STL "thử" lung tung smilie

. Công nhận secure website để kiddies không phá phách bậy bạ thì không khó nhưng secure website để khỏi bị DDoS kiểu "crawler" thì mệt thiệt.

Cái "hiệu lệnh" xml của các bạn STL có những limitation (hoặc flaw) không nhỏ nhưng có điều, tớ chả rảnh để viết thêm một ký sự DDoS HVA cho nên các bạn tự mà phân tích những limitation ấy smilie

. Ngay cả những con zombies cũng bị những limitation khác. Nếu webserver bị DDoS mà respond một dạng packet có nội dung nhất định nào đó thì có thể làm "teo" con zombie và teo máy chạy zombie (nhưng có lẽ các bạn không quan tâm mấy con zombies bị treo), các bạn chỉ quan tâm đến việc có zombies để phá hoại mà thôi, phải không nào? smilie

What bringing us together is stronger than what pulling us apart.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 08:25:15 (+0700) \| #302 \| 244580

rang0
Member

Joined: 25/07/2011 10:55:47
Messages: 19
Offline

Nhân bài báo cáo "Operation Shady RAT" của McAfee, phía Symantec cũng đưa ra một bản báo cáo, mà nếu đọc thì mọi người sẽ thấy nó cũng giống như những gì đang diễn ra ở HVA :

Code:

http://www.symantec.com/connect/blogs/truth-behind-shady-rat

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 10:34:48 (+0700) \| #303 \| 244589

acoustics89
Member

Joined: 08/07/2011 10:17:19
Messages: 50
Offline

rang0 wrote:

Nhân bài báo cáo "Operation Shady RAT" của McAfee, phía Symantec cũng đưa ra một bản báo cáo, mà nếu đọc thì mọi người sẽ thấy nó cũng giống như những gì đang diễn ra ở HVA :

Code:
http://www.symantec.com/connect/blogs/truth-behind-shady-rat

kiểu mô tả này khá giống với googleCrashHandle trước đây, duy chỉ có điều không dùng steganography. file cấu hình hồi đó rất thô sơ, không xml

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 12:21:01 (+0700) \| #304 \| 244592

trycatch
Member

Joined: 07/12/2010 20:00:36
Messages: 15
Offline

rang0 wrote:

Nhân bài báo cáo "Operation Shady RAT" của McAfee, phía Symantec cũng đưa ra một bản báo cáo, mà nếu đọc thì mọi người sẽ thấy nó cũng giống như những gì đang diễn ra ở HVA :

Code:
http://www.symantec.com/connect/blogs/truth-behind-shady-rat

Tin tức trên viet.rfi.fr
http://www.viet.rfi.fr/chau-a/20110804-tin-tac-trung-quoc-tan-cong-tu-my-den-viet-nam

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 12:24:39 (+0700) \| #305 \| 244593

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

THÔNG BÁO KẾT QUẢ KIỂM TRA THỰC TẾ CÁC MẪU VIRUS-TROJAN CỦA STL

Như viết ở post trên, tôi đã thiết lập một server (loại nhỏ) riêng, chuyên dùng để kiểm tra các virus-trojan của STL. Server cài hai OS: WinXPSP3 và Win2K3SP2. Cách thức kiểm tra như sau:

- Cài các mẫu virus mà bạn lequi, axasin, TQN và các bạn khác cung cấp vào server.
- Disable on-access scan hay guard của các trình antivirus để virus không bị delete hay bị vô hiệu hoá khi khởi chạy.
- Theo rõi Activities của virus thông qua firewall và sau đó áp dụng chế độ "Allow" hay "Trust this process", để không ngăn trở quá trình virus thâm nhập vào hệ thống
- Kiểm tra việc virus thiết lập các file mới, tạo lập các directory mới trong hệ thống, xoá các registry cũ và tạo lập các registry mới hay thay đổi value của registry....
- Kiểm tra kỹ quá trình kết nối trên mạngdo virus tạo lập, các thông số của quá trình kết nối (port , TCP/UDP protocol, RX-TX....) , địa chỉ IP và host name-domain của destination (mục tiêu kết nối)...
- Phân tích các gói tin (packet) của quá trình kết nối này
- Check thẳng vào các master webserver-website để có thêm thông tin....

Kết quả thì nhiều và cần được sắp xếp lại một cách hệ thống. Vì vậy tôi chỉ thông báo tóm tắt các kết quả sau.

1- File Unikey mà bạn lequi cung cấp (bạn cũng cho đó là malicios Unikey- nó có nhiệm vụ download từ mạng các malicious file MsHelpcenter.exe và MSHelpCenter.idx... về máy zombies) thưc ra không phải là một virus-trojan. Khi cho nhiễm vào máy, ngoài những file liên quan, không thấy xuất hiện các file lạ-nghi ngờ, các registry lạ và không tạo ra bất cứ kết nốimang nào (theo rõi trong 2 ngày). Tôi nhớ dường như bạn range0 cũng đã có ý kiến ờ 1 post trong topic nay, xác định đây không phải là virus-trojan.

Vậy thì thưc tế Unikey nào khác trên mạnghay một file khác mới là virus trojan của STL khi nhiễm vào máy sẽ khởi phát quá trình download các file MSHelpCenter.* hay các malicious khác về máy?

2- File AdobeUpdater.exe (do TQN cung cấp ngày 28-7-2011) đúng là một virus-trojan của STL. Khi cho nhiễm vào máy, virus này tạo lập một số file mới và directory trong hệ thống. Đồng thời AdobeUpdater.exe xoá môt số registry của hệ thống và thiết lập các registry mới, cần cho việc khởi chạy sau khi hệ thống được restart. Xem hình ảnh đính kèm. Ngay sau khi được kích hoạt AdobeUpdater.exe đã tạo một kết nối Internet đến đia chỉ IP: 193.106.175.68:80, đây chính là IP tĩnh của webserver second.dinest.net của STL, mà tôi đã kiểm tra và phân tích kỹ ở post trên. Điều này hoàn toàn phù hợp với kết luận của TQN và bạn acoustics89, công bố ở các post trên, trong topic này.

Có hai điểm cần lưu ý thêm:

- Khi đươc kích hoạt (click chuột vào AdobeUpdater.exe) thì lập tức AdobeUpdater.exe tạo ra một kết nôi đến second.dinest.net, như nói ở trên. Nhưng sau đó kết nối ngừng và không có file (data file hay image file) nào được download về máy. Có lẽ lúc này second.dinest.net tạm thời không cỏn đươc giao nhiêm vụ làm một master webserver-website nữa?
Sau một lần kết nôi như vậy, trong liên tục 1 ngày sau đó, AdobeUpdater.exe không tự đông khởi tao một lần kết nối mạng nào khác nũa.

- Thưc ra AdobeUpdater.exe đã bị Avira antivirus phát hiện ra ngay khi nó đươc copy từ một USB vào testing server của tôi hoặc khi giải nén nó trên server. Vì vậy nếu một user nào cài Avira antivirus (free edition) và up to date, thì AdobeUpdater.exe không thể nhiễm vào máy hay kích hoạt trong máy. McAfee Antivirus version 8.8 thì không phát hiện ra AdobeUpdater.exe, kể cả khi scan trực tiếp vào file
Xin xem hình ảnh

Avira antivirus (guard enabled) phát hiện ra AdobeUpdater.exe ngay khi nó đang được copy vào máy

Be noted: Bác conmale ơi. Tôi đã resize các file ảnh upload để đạt chiều ngang nhỏ hơn 500pixels, như yêu cầu. Nhưng như vậy chữ trên hình quá nhỏ, rất khó đọc. Theo kinh nghiệm thưc tế của tôi, có thể upload file hình ảnh có chiều ngang lên tới 750, thậm chí 800 pixels vẫn không có vấn đề gì, khung hình forum không hề bị phá vỡ. vÌ vậy nên hạn chế max là 800 pixels, thay vì 500 pixels. Mong bác xem lại. Cam ơn

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 12:55:20 (+0700) \| #306 \| 244595

Vanxuanemp
Member

Joined: 02/08/2005 04:31:37
Messages: 63
Location: Thôn Đoài
Offline

@anh Conmale: Có cách nào dùng gậy ông đập lưng ông không, chứ chả lẽ chịu trận mãi thế này khó chịu thật. Ngoài phân tích và update cho các AV thì cũng phải đập lại cho tơi bời chứ!?

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 13:26:46 (+0700) \| #307 \| 244597

trycatch
Member

Joined: 07/12/2010 20:00:36
Messages: 15
Offline

Vanxuanemp wrote:

@anh Conmale: Có cách nào dùng gậy ông đập lưng ông không, chứ chả lẽ chịu trận mãi thế này khó chịu thật. Ngoài phân tích và update cho các AV thì cũng phải đập lại cho tơi bời chứ!?

Đâu cần làm vậy bạn, nếu muốn làm vậy thì các anh ý đã làm lâu rồi. Anh em member chia sẻ thông cảm cho sự vất vả của các anh admin và các anh RCE qua đó học hỏi các anh ý. Chứ còn mình ko hèn như STL phải không bạn. :d

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 13:28:53 (+0700) \| #308 \| 244598

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Mình mà DDOS đập lại các server đó thì CA Vietnam ta còng đầu tụi mình liền đấy, đừng dại !
Chỉ có tụi nó được quyền DDOS thôi, anh em có hiểu không ha ? smilie

2 kết quả phân tích của Avira:
1. http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=792743
2. http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=796552

Tự dưng bây giờ em khoái Avira quá, submit mẫu nào là "mèo què" mẫu đấy, còn ông nội KIS em đang dùng thì tới giờ nhét nguyên cái thư mục Virus vào miệng nó, nó cứ bảo clean.
Đã vậy sáng nay update xong, nó kêu em nên nhả cái file AcrobatUpdater.exe từ Quarranty ra nữa chứ. Bó tay luôn. Bỏ công submit cho KIS nhiều hơn mới tức chứ.
Nhưng thôi, em còn tiếc 370 ngàn, còn hơn mười tháng nữa, ráng xài cho hết, tiết kiệm, thời buổi lạm phát, khó khăn, hỗn loạn mà ....!!!???

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 14:13:51 (+0700) \| #309 \| 244599

phanledaivuong
Member

Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline

acoustics89 wrote:

Bây giờ chưa có mẫu mới hả anh, vẫn cái kia nó dos, lại còn post dòng này, bực quá.
Code:
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/hvaonline/posts/list/210/39641.html#244332" keepCookies="1" crawling="1" referer="Hey Postmodernism, When you config HVA like X-Cafe?"/>
mà tên em dễ viết như thế mà anh TQN lúc thì accxxxx ( chắc đang nghĩ đến từ account )
lúc thì acourxxx

Mấy cái này thằng này không hiểu sao mà suốt ngày Postmodernism smilie

. Chúng nó nên chuyển từ "Postder" sang "Commu". lol.
Chắc mình phải lập 2pic báo mình là Postdernism. cái truyện cách đây 1 năm mà suốt ngày lôi ra :-< tiểu nhân ...

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 14:42:54 (+0700) \| #310 \| 244600

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Vanxuanemp wrote:

@anh Conmale: Có cách nào dùng gậy ông đập lưng ông không, chứ chả lẽ chịu trận mãi thế này khó chịu thật. Ngoài phân tích và update cho các AV thì cũng phải đập lại cho tơi bời chứ!?

Hì hì, đập lại thì không khó nhưng làm như vậy thì có khác gì bọn họ đâu em? Ở một góc độ nào đó, anh cũng cám ơn họ đã tạo điều kiện để táy máy thêm và tìm cách kiện toàn + tối ưu hệ thống. Trong quá trình làm, anh cũng học thêm được nhiều điều bổ ích và lý thú. Đặc biệt cảm ơn các anh em kỹ thuật trực tiếp tham gia và các anh em không trực tiếp tham gia kỹ thuật đã động viên, hỗ trợ mọi mặt.

Bọn họ đang chơi một trò chơi tồi tệ và tự đẩy mình càng lúc càng xa và đó chính là chiêu "tự đập" vậy smilie

What bringing us together is stronger than what pulling us apart.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 16:01:43 (+0700) \| #311 \| 244601

trycatch
Member

Joined: 07/12/2010 20:00:36
Messages: 15
Offline

Giờ này có lẽ HVA vẫn đang bị ddos anh Conmale nhỉ, em mới check lại cái second.dinest.net thì thấy đã trỏ sang 1 IP khác là 46.166.147.48 ở Ru.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 16:44:16 (+0700) \| #312 \| 244602

tranvanminh
HVA Friend

Joined: 04/06/2003 06:36:35
Messages: 516
Location: West coast
Offline

Mỗi lần HVA gặp nạn là chạy ra một đống anh em, chiến hữu rút đao tương trợ.

HVA nên bị DDOS nhiều thì mới nhộn nhịp, xôm tụ được.

(mình không nói nhảm nha, mình đang phân tích tính chất vài trận DDoS HVA vừa qua à )

smilie

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 18:19:29 (+0700) \| #313 \| 244603

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Em công nhận mấy anh stl giàu thiệt nha, lại nhiều quân nữa nha ! Chắc nước nào cũng có quân nằm vùng của mấy anh phải không ?
Ngày hôm nay, anh lại cho cái host speed.cyline.org sống lại à ! Hệ thống tracker của em chụp liền à. File flower.bmp và plxzyin0fx.bmp của mấy anh lại thay đổi nữa rồi. Thử xem sao ?
À, uxtheme.manifest sẽ download flower.bmp về từ cái speed.cyline.org, rồi uxtheme.manifest decode flower.bmp ra URL của plxzyin0fx.bmp
plxzyin0fx.bmp lần này khác trước, sau khi được giải mã, nó sẽ extract ra máy của victim thành 2 file:
1. TeamViewer_Desktop.exe
2. themeui.manifest

Bà con nào thấy có 2 file này trên máy thì chắc chắn máy bà con vẫn còn uxtheme.manifest và TeamViewer.exe giả mạo. Xin vui lòng kill & del tất cả 4 file trên giùm !

Em nghĩ là mấy anh nên cho cái host speed.cyline.org giải nghệ, về hưu cho rồi. Còn tiếc gì nó nữa ha !

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 18:35:27 (+0700) \| #314 \| 244604

acoustics89
Member

Joined: 08/07/2011 10:17:19
Messages: 50
Offline

trycatch wrote:

Giờ này có lẽ HVA vẫn đang bị ddos anh Conmale nhỉ, em mới check lại cái second.dinest.net thì thấy đã trỏ sang 1 IP khác là 46.166.147.48 ở Ru.

truy cập thử vào http://second.dinest.net/
nó hiện lên trang có 3 chữ lạnh lùng vãi: WTF smilie

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 18:42:07 (+0700) \| #315 \| 244606

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

WTF = "What the fuck" hay "What the fun" ha !
Mệt mấy anh stl quá, làm em phải bò đi gấu gồ nữa. Mấy anh biết em dốt "In lít" mà !

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 19:21:18 (+0700) \| #316 \| 244610

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Mới nói cái flower.bmp và plxzyin0fx.bmp có 1 câu mà mấy anh vội vàng modify 2 file này bằng một mớ 00 bytes à, mấy anh stl.
Mấy anh ngồi trực topic này cũng mệt ha ! Giờ em đi chơi đã, đợi tracker của em báo mấy anh vừa change cái gì trong 2 file này.
Tracker code = "đen phi" của em thừa thông minh để biết mấy anh modify cái gì mà ! Xem thường thằng em này quá mấy anh "sống chết theo lệnh", "sờ ti lợn"... ơi !
Em nói rồi, shutdown cái speed.cyline.org được rồi mà !
Biết mấy anh cũng căm mấy anh em HVA lắm, nhưng làm gì được ha ! Ai biểu mấy anh cứ phải trốn chui, trốn nhủi trong bóng tối không dám ra mặt, vỗ ngực xưng tên ha !

PS: Trong team mấy anh có một thằng coder code C++, STL khá lắm đấy, em cũng khen là giỏi. Nhưng nhắn với nó đừng đi ăn cắp, bê nguyên xi code từ mấy open source nữa nhé ! Em là em biết hết đấy ! Với lại nhắn với nó, code cho thống nhất, WinAPI thì WinAPI hết, pure C, pure Sock API thì pure Sock API hết, code "nửa mùa", chắp vá vậy, em khó chịu lắm, em vừa "rờ xxx em" vừa chửi thằng đó đấy ! Mấy anh không tin, hỏi thằng đó có phải thằng code GoogleCrashHandler với một đống "mèo què" dùng string của Standard Template Libray không ?
Trong team của mấy anh, chỉ có mình thằng này là rành về C++, còn mấy thằng khác cứ wchar_t wzBuf[Bự bà cố luôn] rồi memset, memcpy, lstrcpyw, lstrlenw... tá lã hết !

À mà quên, đố mấy anh stl nè: 3 ^ 5 ^ 7 = ?. Đừng chơi code mã hoá bằng kiểu đó nữa nhé, hay hỏi thằng coder đó nó có hiểu gì không mà cứ đi cắm cúi code xor encode kiểu đó. Em share cho mấy anh cái IDC script để decode 1 block of memory trong IDA luôn:
Code:

static UIXorBlock()
{
    auto len = 0;
    auto value = 0;
    auto step = 0;

    auto eaStart = SelStart();
    if (BADADDR == eaStart)
    {
        eaStart = ScreenEA();
    }
    else
    {
        len = SelEnd() - eaStart;
    }

    eaStart = AskAddr(eaStart, "Enter the start address to xor");
    if (BADADDR == eaStart)
    {
        Message("Invalid address !\n");
        return;
    }

    len = AskLong(len, "Enter the count of bytes to xor");
    if (-1 == len)
    {
        Message("Invalid len of block !\n");
        return;
    }

    value = AskLong(0, "Enter the value to xor");
    if (-1 == value)
    {
        Message("Invalid xor value !\n");
        return;
    }

    step = AskLong(1, "Number of bytes for every step ?");
    if (step < 1)
    {
        Message("Invalid step !\n");
        return;
    }

    auto ea = eaStart;
    while (ea < eaStart + len)
    {
        if (1 == step)
        {
            PatchByte(ea, Byte(ea) ^ value);
        }
        else if (2 == step)
        {
            PatchWord(ea, Word(ea) ^ value);
        }
        else
        {
            PatchDword(ea, Dword(ea) ^ value);
        }

        ea = ea + step;
    }
}

Lần sau đừng có chơi mã hoá = Xor nữa nhé !
2 anh em HVA: yên tâm, chỉ nói một nữa thôi, một nữa là bí mật. Với lại thông cảm, tiếng Anh em "cùi bắp" lắm, nên mấy cái msg trên chắc chắn là sai Vô ca bu la ry (vocabulary) (lúc trước bà cô tiếng Anh của em cứ phạt em hoài vì cái tội đọc tiếng Anh như tiếng Việt này) smilie

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 19:46:27 (+0700) \| #317 \| 244611

.lht.
Member

Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline

conmale wrote:

He he, sáng nay grep awk sed mớ logs thì thấy các bạn STL "thử" lung tung . Công nhận secure website để kiddies không phá phách bậy bạ thì không khó nhưng secure website để khỏi bị DDoS kiểu "crawler" thì mệt thiệt.

Cái "hiệu lệnh" xml của các bạn STL có những limitation (hoặc flaw) không nhỏ nhưng có điều, tớ chả rảnh để viết thêm một ký sự DDoS HVA cho nên các bạn tự mà phân tích những limitation ấy . Ngay cả những con zombies cũng bị những limitation khác. Nếu webserver bị DDoS mà respond một dạng packet có nội dung nhất định nào đó thì có thể làm "teo" con zombie và teo máy chạy zombie (nhưng có lẽ các bạn không quan tâm mấy con zombies bị treo), các bạn chỉ quan tâm đến việc có zombies để phá hoại mà thôi, phải không nào?

Ý anh là: No Response 204, Not found 404, Service temporarily overloaded 502, ... để đánh lừa bot hay anh làm "crash" nó ?
Bật mí được không anh smilie

Trash from trash is the place for new good things ~

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 19:51:41 (+0700) \| #318 \| 244612

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Tụi stl code bot ồ ạt mà quên nguyên tắc "secure coding", muốn làm bot crash thì dể lắm đấy .lht. à ! Nhưng máy của victim crash chứ có phải máy tụi nó đâu, nên tụi nó "đông ke" !

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 19:56:53 (+0700) \| #319 \| 244613

.lht.
Member

Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline

TQN wrote:

Tụi stl code bot ồ ạt mà quên nguyên tắc "secure coding", muốn làm bot crash thì dể lắm đấy .lht. à ! Nhưng máy của victim crash chứ có phải máy tụi nó đâu, nên tụi nó "đông ke" !

Ohm ... Chắc lại sơ hở phần đọc reponse trả về dẫn đến crash dạng bufferflow và treo luôn máy smilie

)

Trash from trash is the place for new good things ~

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	05/08/2011 20:03:02 (+0700) \| #320 \| 244614

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

2 tranvanmin: Phân tích tính chất của mấy đợt DDOS vừa rồi thì chưa đâu. Xong hết rồi mới có, giờ thì chỉ tán phét thôi smilie

Mình gặp tvm một lần rồi, hy vọng anh em, bạn bè tvm không có ai đang làm cho stl. Nếu có thì mai mốt gặp nhau đi nhậu "khó" nói chuyện lắm !

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	07/08/2011 08:57:31 (+0700) \| #321 \| 244684

whitesnow19
Member

Joined: 08/10/2010 03:42:19
Messages: 54
Offline

Không biết có phải em lo xa không mà hôm nay vừa đọc xong bài viết của các anh, em liền test thằng Unikey Vista em đang dùng. Kết quả scan trên virusTotal ra là 1/40 nhưng không biết có phải có em bé không. Các anh xem qua giúp em:
UnikeyVista smilie

1/40)
http://www.virustotal.com/file-scan/report.html?id=e77ce23ccf401273cb01233d0f63600a4efcfce9576f66c2b20dfa85ec9d95b7-1312684524
unikey40RC2-1101-win32.zip (Bản này download ở trang chủ Unikey.org): (3/40) có trojan)
http://www.virustotal.com/file-scan/report.html?id=eaff3879e980449f844bddd84a85375f013d11527af6b1dbc7c9e858dd7034e6-1312685430

Kiểu này thì em biết xài bộ gõ nào đây?

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	07/08/2011 10:40:13 (+0700) \| #322 \| 244685

tanviet12
Member

Joined: 10/05/2010 12:15:15
Messages: 138
Location: TP - HCM
Offline

Bản tải link nào chứ mình download trên Unikey.org và scan bằng virustotal đâu phát hiện "mèo què" hay '"tròi gián" nào đâu.

Kết quả: http://www.virustotal.com/file-scan/report.html?id=aba5c0bff0442597ff8743b4fe7d28de945b78be01eb88fc4a95cadd1fbee409-1312691552

BTV
fb.com/buitanviet

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	07/08/2011 11:20:59 (+0700) \| #323 \| 244688

whitesnow19
Member

Joined: 08/10/2010 03:42:19
Messages: 54
Offline

tanviet12 wrote:

Bản tải link nào chứ mình download trên Unikey.org và scan bằng virustotal đâu phát hiện "mèo què" hay '"tròi gián" nào đâu.

Kết quả: http://www.virustotal.com/file-scan/report.html?id=aba5c0bff0442597ff8743b4fe7d28de945b78be01eb88fc4a95cadd1fbee409-1312691552

Hix.Mình quên nói rõ là bản này mình tải lâu rồi, gần 3 tháng rồi. Nhưng chắc chắn là mình đã tải ở Unikey.org. Chắc có lẽ bên đó đã update bản mới. Mình không biết đây có phải là STL không nên mình cứ up lên cho các anh test xem thử.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	07/08/2011 12:31:42 (+0700) \| #324 \| 244692

Vanxuanemp
Member

Joined: 02/08/2005 04:31:37
Messages: 63
Location: Thôn Đoài
Offline

whitesnow19 wrote:

Hix.Mình quên nói rõ là bản này mình tải lâu rồi, gần 3 tháng rồi. Nhưng chắc chắn là mình đã tải ở Unikey.org. Chắc có lẽ bên đó đã update bản mới. Mình không biết đây có phải là STL không nên mình cứ up lên cho các anh test xem thử.

Chưa bao giờ có bản Unikey Vista cả, bạn hãy vào trực tiếp trang Unikey.org down lại nhé. Bản Unikey Vista là bản mod lại từ code của Unikey 3.6 (hoặc nếu không nhầm thì còn cũ hơn). Đừng là người tiếp tay cho STL khi không bao giờ down soft từ chính homepage!

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	07/08/2011 13:12:53 (+0700) \| #325 \| 244693

whitesnow19
Member

Joined: 08/10/2010 03:42:19
Messages: 54
Offline

Vanxuanemp wrote:

whitesnow19 wrote:

Hix.Mình quên nói rõ là bản này mình tải lâu rồi, gần 3 tháng rồi. Nhưng chắc chắn là mình đã tải ở Unikey.org. Chắc có lẽ bên đó đã update bản mới. Mình không biết đây có phải là STL không nên mình cứ up lên cho các anh test xem thử.

Chưa bao giờ có bản Unikey Vista cả, bạn hãy vào trực tiếp trang Unikey.org down lại nhé. Bản Unikey Vista là bản mod lại từ code của Unikey 3.6 (hoặc nếu không nhầm thì còn cũ hơn). Đừng là người tiếp tay cho STL khi không bao giờ down soft từ chính homepage!

Xin lỗi bạn nhé! Có vẻ như bạn chưa đọc kỹ bài viết của mình. Trong bài viết ghi rõ là mình tải bản Unikey4RC tại trang chủ. Trong phần comment trên mình chỉ giải thích cho bạn trên hiểu là bản đó mình đã tải lâu rồi. Chỉ vì muốn nhờ các anh giúp phân tích xem thử có phải virus STL nên mình mới post lên đây. Có gì không phải bạn bỏ qua nhé

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	07/08/2011 14:42:02 (+0700) \| #326 \| 244694

mv1098
Member

Joined: 18/07/2009 14:19:13
Messages: 119
Offline

@whitesnow19

Mình vừa download unikey40RC2-1101-win32.zip ở Unikey.org về và đây là phân tích của virustotal

http://www.virustotal.com/file-scan/report.html?id=cf352e5e66bc33d170d42a67daa88c0b0a3f8de74fcbc8d2943c031234b7a826-1312706045

PS : check md5 của 2 file khác nhau hoàn toàn, như vậy file của bạn đã bị sửa.

Có thể máy của bạn đã nhiễm virus hoặc giả là có người add virus vào file unikey40RC2-1101-win32.zip của bạn smilie

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	07/08/2011 15:00:50 (+0700) \| #327 \| 244695

latlaobao
Member

Joined: 24/06/2011 08:50:43
Messages: 11
Offline

whitesnow19 wrote:

Không biết có phải em lo xa không mà hôm nay vừa đọc xong bài viết của các anh, em liền test thằng Unikey Vista em đang dùng. Kết quả scan trên virusTotal ra là 1/40 nhưng không biết có phải có em bé không. Các anh xem qua giúp em:

whitesnow19 wrote:

Xin lỗi bạn nhé! Có vẻ như bạn chưa đọc kỹ bài viết của mình. Trong bài viết ghi rõ là mình tải bản Unikey4RC tại trang chủ. Trong phần comment trên mình chỉ giải thích cho bạn trên hiểu là bản đó mình đã tải lâu rồi. Chỉ vì muốn nhờ các anh giúp phân tích xem thử có phải virus STL nên mình mới post lên đây. Có gì không phải bạn bỏ qua nhé
[/qoute]

Có mâu thuẩn gì ở đây không??

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	07/08/2011 16:10:01 (+0700) \| #328 \| 244697

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Mấy anh stl học lại kỹ thuật code dùng zlib đi nhé ! Em khuyên thành thật ấy.
Dùng zlib từ đó tới giờ mà không biết cách uncompress trên memory à ? Ai lại đi chơi lấy buffer zip ghi vào temp file rồi dùng hàm của zlib uncompress, rồi lại ghi vào temp file khác, rồi lại đọc lên.
Lúc em RCE, em nói quái, sao đi lòng vòng vầy nè ? Cuối cùng "thì ra em đã hiểu", mấy anh chỉ biết dùng mấy hàm zlib cho file thôi !
Cho em rút lại lời khen thằng coder C++ của mấy anh nhé, code vầy tệ lắm. Gặp em là team leader của nó thì em sạc nó thẵng tay rồi.

PS: Làm cái gì mà căm danlambaovn.blogspot.com thế, DDOS hoài không chán à ?

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	07/08/2011 16:17:57 (+0700) \| #329 \| 244698

crc32
Member

Joined: 03/10/2008 21:56:29
Messages: 31
Offline

TQN wrote:

PS: Làm cái gì mà căm danlambaovn.blogspot.com thế, DDOS hoài không chán à ?

Em tự hỏi, blogspot của Google thì làm sao mà stl "đốt" nổi , mà "đốt" mãi thế?

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	07/08/2011 18:52:55 (+0700) \| #330 \| 244704

sourcefire
Member

Joined: 29/02/2008 12:09:50
Messages: 2
Offline

hic hôm nay đọc được bài này, kiểm tra lại file unikey của mình và download lại từ trên trang chủ về thì thấy dung lượng khác nhau, kiểm tra trên virustotal thì được report thế này, không biết có phải của STL không nữa:
http://www.virustotal.com/file-scan/report.html?id=9852b3c19f9cca4aa35c16f2cc54911a54c0aa7d13d232fa5adb6a62918260dc-1312720738

Đây là nguyên mẫu file unikey, nhờ các bạn kiểm tra xem phải của STL không?
http://www.megaupload.com/?d=FLM02K3G
File này mình nhớ là trước đây cũng down từ trang chủ unikey, nhưng không biết là có phải thực sự bị dính STL không nữa.

Go to:

Users currently in here
1 Anonymous