banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 07/08/2011 20:09:32 (+0700) | #331 | 244707
ivanst
Member

[Minus]    0    [Plus]
Joined: 18/06/2007 11:36:11
Messages: 20
Offline
[Profile] [PM]
http://www.virustotal.com/file-scan/report.html?id=20b7db27d61f14e8bd31d66971e20737d0a9287308b69eeb6f04bab6970015c9-1312701296
Thấy mấy bác quét unikey cũng quét thử cái nhưng sao toàn virut gì không biết nữa . Đang cài kis 2012 + Quảng Nổ bản quyền
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 07/08/2011 22:30:46 (+0700) | #332 | 244708
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]

crc32 wrote:

TQN wrote:

PS: Làm cái gì mà căm danlambaovn.blogspot.com thế, DDOS hoài không chán à ? 


Em tự hỏi, blogspot của Google thì làm sao mà stl "đốt" nổi , mà "đốt" mãi thế? 


Đến Google MJ nó còn Đốt cho đơ gần 1 ngày liền, huống chi là blogspot của Google. tiếc là sờ ti lợn chưa đủ trình và tiếng thôi.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 07/08/2011 23:17:42 (+0700) | #333 | 244710
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
2 ivanst: Unikey của bạn dính "mèo què" của stl rồi. May là cái đám bot này đã cũ và các host ra lệnh của nó không còn tồn tại nữa.
Cậu search thư mục BackupUtility, kill process BackupSvc.exe, xong xoá hết các file sau:
1. BackupSvc.exe
2. DbCompact.exe
3. DbEntry1.idx, DbEntry2.idx, DbEntry3.idx

Xong vào registry, search "BackupSvc", xoá các key và value đó đi. Khởi động lại máy, lên homepage của Unikey mà down về.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 07:18:32 (+0700) | #334 | 244716
ivanst
Member

[Minus]    0    [Plus]
Joined: 18/06/2007 11:36:11
Messages: 20
Offline
[Profile] [PM]
Thank pác TQN đã hỗ trợ . Nhưng mà em search trong WIN + regedit ko có các từ mà pác bảo + process .
Bản unikey này em lấy từ file ghost của gostep về . Em thấy unikey ghi ngày 19/4/2006 - Ghost là 29/7/2009 . Chắc tại em xài w7 nên nó ko support nên search ko ra .
Nếu nó đã là hàng cũ thì * BK pro + KIS bỏ qua cho nó ???
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 07:37:04 (+0700) | #335 | 244718
[Avatar]
mylove14129
Member

[Minus]    0    [Plus]
Joined: 27/04/2008 19:07:19
Messages: 106
Offline
[Profile] [PM]
setup unikey của mình : http://www.mediafire.com/?3xbcbcy99w39h49
quét thử bằng vr total thì báo tới 6 lận????
mình đang dùng avira( update thường xuyên, đã thử cài KIS + CMC mấy hôm trước quét cũng không thấy báo gì) + comodo firewall không thấy có biểu hiện bất thường gì cả.
Chẳng lẽ trong unikey mấy bác nhà ta có sử dụng tới lib nào mà AV nhận diện nhầm, mình thỉnh thoảng cũng bị trường hợp này. smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 07:40:05 (+0700) | #336 | 244719
[Avatar]
mylove14129
Member

[Minus]    0    [Plus]
Joined: 27/04/2008 19:07:19
Messages: 106
Offline
[Profile] [PM]
còn đây là bản unikey mới nhất trên trang chủ
http://www.virustotal.com/file-scan/report.html?id=cf8773ccfb08010e71134d2096831afd37d52113f402daac90ea717900fc2f8a-1312767260
Khả năng dự đoán của mình là đúng. Quả này thì "khó" rồi
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 07:52:08 (+0700) | #337 | 244720
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]

mylove14129 wrote:
còn đây là bản unikey mới nhất trên trang chủ
http://www.virustotal.com/file-scan/report.html?id=cf8773ccfb08010e71134d2096831afd37d52113f402daac90ea717900fc2f8a-1312767260
Khả năng dự đoán của mình là đúng. Quả này thì "khó" rồi 



Ở trên trang chủ của UniKey ( unikey.org ) không có file nào là Uk40BSetup.exe, chỉ có ver 3 mới có file setup ( .exe ) còn ver 4 chỉ là file zip mà thôi. không biết bro lấy từ trang chủ nào ?

PS : Xin mấy bro đừng chém gió tránh loãng chủ đề !!!
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 07:53:40 (+0700) | #338 | 244721
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Hôm qua có anh bạn ghé thăm làm vài chai. Anh ấy hỏi tại sao hiện tượng DDoS rộng lớn và dai dẳng xảy ra như vậy mà các cơ quan hữu trách vẫn hoàn toàn im lặng? Tớ đớ lưỡi, không trả lời được câu hỏi này. Đây cũng là câu hỏi TQN và nhiều member đã lặp đi lặp lại nhiều lần.

Hiện nay đám STL vẫn tiếp tục hì hụi tạo botnet khác và vẫn loay hoay với những biến thái mới cho con zombie đã có sẵn trong các máy con bị nhiễm malware. Ở Việt Nam có bao nhiêu nhóm kỹ thuật, có bao nhiêu cơ quan hữu trách, có bao nhiêu người dùng biết đến tình trạng này? Cách đây không lâu, vietnamnet bị tấn công dai dẳng và rồi mọi chuyện chìm lỉm. Tại sao? Chẳng lẽ không có ai biết được hoặc không có khả năng truy tìm và chấm dứt những hoạt động phi pháp này hay sao?

HVA đã đưa ra quá nhiều bằng chứng và thông tin cần thiết, việc còn lại đối với các cơ quan hữu trách có lẽ chẳng phải là việc khó khăn gì (ngoại trừ không muốn làm hoặc vì lý do nào khác thì không cần phải bàn).
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 09:01:51 (+0700) | #339 | 244722
[Avatar]
mylove14129
Member

[Minus]    0    [Plus]
Joined: 27/04/2008 19:07:19
Messages: 106
Offline
[Profile] [PM]

mv1098 wrote:

mylove14129 wrote:
còn đây là bản unikey mới nhất trên trang chủ
http://www.virustotal.com/file-scan/report.html?id=cf8773ccfb08010e71134d2096831afd37d52113f402daac90ea717900fc2f8a-1312767260
Khả năng dự đoán của mình là đúng. Quả này thì "khó" rồi 



Ở trên trang chủ của UniKey ( unikey.org ) không có file nào là Uk40BSetup.exe, chỉ có ver 3 mới có file setup ( .exe ) còn ver 4 chỉ là file zip mà thôi. không biết bro lấy từ trang chủ nào ?

PS : Xin mấy bro đừng chém gió tránh loãng chủ đề !!! 

Mình vừa down từ trang chủ đó http://www.unikey.org/. click vào Download UniKey 4.0 here link sang forum của unikey http://www.unikey.org/forum/viewtopic.php?t=1541, bấm vào cái UniKey 4.0 Standard Setup, for all Windows rồi chờ down từ source force nhé
P/S to mv1098 : nếu PS trên của bạn dành cho mình thì bạn nên tìm hiểu kỹ trước khi cm lại cho người khác.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 09:07:52 (+0700) | #340 | 244723
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
"Cập nhật ngày 17.1.2006: Đã có bản Beta 2 tại đây "

Đây là bản beta từ năm 2006 mà bạn nói là ver mới nhất. bạn chỉ biết download về nhưng bạn cũng không thèm đọc hay sao ý.

Ver mới nhất là UniKey 4.0 RC2

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 09:17:48 (+0700) | #341 | 244724
[Avatar]
angel_of_devil
Member

[Minus]    0    [Plus]
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
[Profile] [PM]
@all: e thấy bác conmale bảo Symantec chưa update mấy mẫu bác ý gửi. Em vào trang chủ Symantec check thì có vẻ vẫn chưa update, mà công ty thì xài SEPM smilie Có cách nào để thằng Symantec sớm tỉnh ngộ ko các bác nhỉ?
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 09:39:01 (+0700) | #342 | 244727
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

angel_of_devil wrote:
@all: e thấy bác conmale bảo Symantec chưa update mấy mẫu bác ý gửi. Em vào trang chủ Symantec check thì có vẻ vẫn chưa update, mà công ty thì xài SEPM smilie Có cách nào để thằng Symantec sớm tỉnh ngộ ko các bác nhỉ? 


Cách làm cho Symantec "tỉnh ngộ" là cách than phiền chính thức đến nó với vị thế khách hàng. Ví dụ, cứ nói với nó là bồ dùng Symantec và antivirus này không detect ra virus. Trong khi đó, dùng Avira thì Avira lại tóm được. Nói thêm với nó là nhiều người đã submit mẫu đến Symantec nhưng Symantec làm ngơ. Để cho đủ đô, doạ nó là công ty của bồ sẽ không dùng Symantec nữa nếu như Symantec vẫn có thái độ như vậy. Hù cái gì chớ hù vô túi tiền thì bố cu cậu nào cũng ngán smilie .
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 09:54:47 (+0700) | #343 | 244728
[Avatar]
angel_of_devil
Member

[Minus]    0    [Plus]
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
[Profile] [PM]
Ok anh, em sẽ thử xem "tốc độ" reply của Symantec nhanh đến cỡ nào smilie)
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 10:02:38 (+0700) | #344 | 244729
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

angel_of_devil wrote:
Ok anh, em sẽ thử xem "tốc độ" reply của Symantec nhanh đến cỡ nào smilie


Trong các antivirus thì tốc độ đón nhận, phân tích, xử lý và cập nhật virus def phải nói là:

1) Avira dẫn đầu.
2) Clamav đứng thứ nhì.
3) Sophos đứng thứ ba.
4) Microsoft đứng thứ tư.
5) McAfee đứng thứ năm.

Các nhóm còn lại thì rất lê thê, đàng đệ. Nhóm tệ nhất là nhóm Symantec. Có lẽ tụi này bự quá nên... "nâu ke" smilie.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 10:32:21 (+0700) | #345 | 244730
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Tôi xác nhận là trên trang chủ của Unikey.org , phiên bản mới nhất là

UniKey 4.0 RC2 (Build 091101 NT) - Phát hành ngày 1/11/2009 , Link Download được đưa lên tại trang Forum của Unikey (http://www.unikey.org/forum/viewtopic.php?f=7&t=2673), rồi từ đây người dùng sẽ được chuyển đến trang download tại Sourceforge.net với link download bản mới nhất:

https://sourceforge.net/projects/unikey/files/unikey-win/4.0%20RC2/unikey40RC2-1101-win32.zip/download

Các bạn có thể truy cập theo link sau để thấy toàn bộ các phiên bản tải về của Unikey

http://sourceforge.net/projects/unikey/files/unikey-win

File cài đặt mà bạn mylove14129 tải về có tên Uk40BSetup.exe , được tải về từ phân mục

http://sourceforge.net/projects/unikey/files/unikey-win/4.0-Beta/

Đây là bản beta của Unikey version 4, bản mới nhất phải là UniKey 4.0 RC2 (Build 091101 NT)

------------------------------

Về việc một số antivirus "ít tên tuổi" nhận diện Unikey ( sạch tải về từ Unikey.org ) là một loại Trojan, tôi có ý kiến như sau:

1. Unikey là phần mềm hỗ trợ gõ tiếng Việt trên hệ điều hành Windows, sử dụng phương pháp chặn bắt các message của hệ điều hành để nắm bắt sự kiện người dùng gõ phím. Trong khi đó, các keylogger cũng thường dùng cách này để ghi nhận các thao tác gõ phím của người dùng. Do đó, các antivirus ít tên tuổi sẽ dễ dàng nhầm lẫn Unikey là một keylogger . Đây là một điểm yếu trong thiết kế của Unikey. Các bạn có thể tham khảo thêm bằng cách đọc mã nguồn của Unikey để được rõ hơn

2. Các antivirus này ít tên tuổi sẽ ít được người dùng trong nước sử dụng và submit tình trạng nhận diện sai một phần mềm an toàn, nên antivirus đó không đưa unikey vào danh sách "white list", khiến nó dễ dàng bị hiểu lầm do lý do ở mục 1
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 10:54:33 (+0700) | #346 | 244731
[Avatar]
mylove14129
Member

[Minus]    0    [Plus]
Joined: 27/04/2008 19:07:19
Messages: 106
Offline
[Profile] [PM]
thanks xnohat,mv1098. Có lẽ do mình hơi vội vàng nên không để ý. Mục đích mình up lên chỉ là để cho thấy rằng hiện tại rất nhiều người cũng đang theo dõi topic này và đang dùng bản unikey đó, hoặc bản rc1, rc2,... gì gì đó mà up lên bị báo là vr thì cũng đừng nên quá lo lằng rằng máy tính bị dính vr của stl.
Và theo mình có lẽ cũng không nên tin tưởng quá mức vào lũ AV đang cài trên máy tính. Dù sao để phát hiện vr mới đa số các AV vẫn phải dùng kỹ thuật heuristics , trước khi phát tán vr coder đã phải test chán che để có thể che mắt được bọn AV này rồi.
P/s vấn đề này ngừng ở đây để khỏi làm loãng topic của a TQN
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 11:08:23 (+0700) | #347 | 244732
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

sourcefire wrote:
hic hôm nay đọc được bài này, kiểm tra lại file unikey của mình và download lại từ trên trang chủ về thì thấy dung lượng khác nhau, kiểm tra trên virustotal thì được report thế này, không biết có phải của STL không nữa:
http://www.virustotal.com/file-scan/report.html?id=9852b3c19f9cca4aa35c16f2cc54911a54c0aa7d13d232fa5adb6a62918260dc-1312720738

Đây là nguyên mẫu file unikey, nhờ các bạn kiểm tra xem phải của STL không?
http://www.megaupload.com/?d=FLM02K3G
File này mình nhớ là trước đây cũng down từ trang chủ unikey, nhưng không biết là có phải thực sự bị dính STL không nữa. 


Tôi đã download bản Unikey từ link trên và mở ra xem qua. Tôi chưa có thời gian thử nghiệm thưc tế và phân tích version của Unikey này. Tuy nhiên xét về "hình thức' các file, thì dường như nó giống như bản Unikey mà bạn axasin trước đây đã cung cấp, mà tôi đã kiểm tra và phân tích. Vì vậy nó có khả năng cũng bị nhiễm virus của STL.

Chiêu nay (nếu HVA forum không bị DDoS) tôi sẽ post lên chi tiết kiểm tra thưc tế Malicious Unikey mà bạn axasin đã gửi trước đây. Có nhiều điểm lý thú và kết quả kiểm tra thưc tế giúp ta trả lời được nhiều điểm còn thắc mắc, như vấn đề liên quan đến các file MsHelpCenter.* chẳng hạn.

Xin các bạn đón đọc

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 11:27:45 (+0700) | #348 | 244733
[Avatar]
Here i am
Member

[Minus]    0    [Plus]
Joined: 08/06/2011 09:21:09
Messages: 2
Offline
[Profile] [PM]
các bác kiểm tra cái java update này xem,vài ngày nó lại truy cập cái gì đấy cháu không biết,có thử nén lại nhưng không được nên phải upload nguyên cả thư mục
http://www.mediafire.com/#cgoo6id0e9qn0,1
sinh ra để được tự do
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 13:18:59 (+0700) | #349 | 244735
latlaobao
Member

[Minus]    0    [Plus]
Joined: 24/06/2011 08:50:43
Messages: 11
Offline
[Profile] [PM]

PXMMRF wrote:


Chiêu nay (nếu HVA forum không bị DDoS) tôi sẽ post lên chi tiết kiểm tra thưc tế Malicious Unikey mà bạn axasin đã gửi trước đây. Có nhiều điểm lý thú và kết quả kiểm tra thưc tế giúp ta trả lời được nhiều điểm còn thắc mắc, như vấn đề liên quan đến các file MsHelpCenter.* chẳng hạn.

Xin các bạn đón đọc

 

Em chỉ mong có bấy nhiêu à! Lời hứa của một Admin luôn có giá trị.Trình độ IT của em thì bằng dê rô nhưng em lại thích đọc những phân tích của các bác, đọc những bài phân tích của bác Conmale, "TQN= Than Quảng Ninh", PXMMRF em thấy sáng ra nhiều điều, sáng ở đây là từ một người mù có người cầm tay chỉ cho mình hướng đi nhưng đi đâu thì mình chưa biết vì mình đang " mù" mà. Đi đâu thì đi giữ cho mình một chữ "TÂM" là được.smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 13:32:29 (+0700) | #350 | 244737
ptv_vbhp
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:16:44
Messages: 11
Offline
[Profile] [PM]

conmale wrote:

angel_of_devil wrote:
Ok anh, em sẽ thử xem "tốc độ" reply của Symantec nhanh đến cỡ nào smilie


Trong các antivirus thì tốc độ đón nhận, phân tích, xử lý và cập nhật virus def phải nói là:

1) Avira dẫn đầu.
2) Clamav đứng thứ nhì.
3) Sophos đứng thứ ba.
4) Microsoft đứng thứ tư.
5) McAfee đứng thứ năm.

Các nhóm còn lại thì rất lê thê, đàng đệ. Nhóm tệ nhất là nhóm Symantec. Có lẽ tụi này bự quá nên... "nâu ke" smilie


Hức hức ... Tuy ko phải fan của Bác Quảng Nổ nhưng em cũng chẳng anti Quảng Nổ vì em cũng cài Bkav Pro. Thấy mẫu nào trên diễn đàn các bác up lên em thấy Bkav chém hết smilie Bác comale xếp vị trí cho công ty anh ý cái smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 13:39:35 (+0700) | #351 | 244739
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

ptv_vbhp wrote:

conmale wrote:

angel_of_devil wrote:
Ok anh, em sẽ thử xem "tốc độ" reply của Symantec nhanh đến cỡ nào smilie


Trong các antivirus thì tốc độ đón nhận, phân tích, xử lý và cập nhật virus def phải nói là:

1) Avira dẫn đầu.
2) Clamav đứng thứ nhì.
3) Sophos đứng thứ ba.
4) Microsoft đứng thứ tư.
5) McAfee đứng thứ năm.

Các nhóm còn lại thì rất lê thê, đàng đệ. Nhóm tệ nhất là nhóm Symantec. Có lẽ tụi này bự quá nên... "nâu ke" smilie


Hức hức ... Tuy ko phải fan của Bác Quảng Nổ nhưng em cũng chẳng anti Quảng Nổ vì em cũng cài Bkav Pro. Thấy mẫu nào trên diễn đàn các bác up lên em thấy Bkav chém hết smilie Bác comale xếp vị trí cho công ty anh ý cái smilie  


Tớ không có ý "xếp loại" công ty software antiviruses của Việt Nam. CMClab thì đã có người theo dõi và cập nhật virus def khá đều đặn rồi, còn BKIS thì tớ nhận nhiều phản hồi trái ngược nhau. Tớ thì không có BKIS "bờ rồ" để thử nghiệm cho nên không thể đánh giá nó được.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 13:40:14 (+0700) | #352 | 244740
latlaobao
Member

[Minus]    0    [Plus]
Joined: 24/06/2011 08:50:43
Messages: 11
Offline
[Profile] [PM]

ptv_vbhp wrote:

Hức hức ... Tuy ko phải fan của Bác Quảng Nổ nhưng em cũng chẳng anti Quảng Nổ vì em cũng cài Bkav Pro. Thấy mẫu nào trên diễn đàn các bác up lên em thấy Bkav chém hết smilie Bác comale xếp vị trí cho công ty anh ý cái smilie  

Nhân viên của bác Quang hỏi ở đây nhiều lắm, Bác ý không tranh thủ những phân tích ở đây thì sao xứng danh là Quang hỏi nô hỏi được. Tui mà là thầy bói,nhà ngoại cảm tui cũng đưa chân rết đến tận tận cùng đất nước ấy chứ. Forum này không đưa lính vào cũng phí tâm cơ smilie.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 13:59:40 (+0700) | #353 | 244741
[Avatar]
luoi_doc_sach
Member

[Minus]    0    [Plus]
Joined: 12/11/2007 18:17:00
Messages: 75
Location: thiên đàng
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]
Cho em hỏi câu này hơi trái lề xíu.
Giờ mấy cái unikey (và cả vietkey em vừa check) đều dính malware
giờ biết down ở đâu cái nào không bị nhiểm malware, trojan đây ạ???
Em thử down từ nhiều nguồn thì đều bị nhiễm hết @_@
Mà mấy cái Unikey này em xài lâu này, mà cả MSE, hay Avira, bitdefender đều không phát hiện ra.
Chỉ vừa nãy em lên virustotal.com check thì lại thấy ...
Nó có thực sự nguy hại lắm không ạ ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 14:04:37 (+0700) | #354 | 244742
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Hu hu bà con ơi !
Ai giúp giùm em cái, mẫu mới của tụi stl mà em âm thầm RCE nó mấy ngày nay thì tới giờ, sau khi có kết quả, không lòi ra bằng chứng nào là mẫu đó là bot đang DDOS HVA ta ! Nó cứ đè danlambao.blogspot mà phang !

Không lý thằng AcrobatUpdater.exe vẫn còn sống ? Hay có 1 bot mới, server mới của tụi stl ????????????

Mong bà con tình nguyện tiếp tục dùng SmartSniffs, WireShark monitor xem thằng .exe nào đang connect tới HVA ta: www.hvaonline.net (74.63.219.12, 88.198.119.5, 49.212.30.177).

PS: Tội nghiệp danlambao.blogspot.com: đang trong mục tiêu nhắm DDOS và phá hoại của tụi stl xấu xa này. Bà con nào cảnh báo chủ blog danlambao giùm !

Bạn Here I am up lại file java update của bạn giúp, có thể là mẫu mới của stl ! Gấp nhé !
Cảm ơn bạn !

Nếu chúng ta không xác định, tìm được con nằm vùng trên máy victim, con bot mới được down ở đâu về, và server mới nào của tụi nó ra lệnh DDOS, thì HVA chúng ta sẽ phải chịu DDOS dài dài, và mạng bot net mà tụi nó xây dựng ở VN ta sẽ ngày càng phình to ! Tới lúc nào đó mọi máy tính của VN đều là Zombie của tụi chó stl này hết ! (sorry anh em nhé, em bực quá rồi, tụi này mặt dày lắm, chửi vậy cũng chưa ăn thua đâu. Tụi nó còn tiếp tục chơi cái trò dơ bẩn, hèn hạ này hoài.)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 14:49:51 (+0700) | #355 | 244746
rang0
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:55:47
Messages: 19
Offline
[Profile] [PM]

TQN wrote:
Hu hu bà con ơi !
Ai giúp giùm em cái, mẫu mới của tụi stl mà em âm thầm RCE nó mấy ngày nay thì tới giờ, sau khi có kết quả, không lòi ra bằng chứng nào là mẫu đó là bot đang DDOS HVA ta ! Nó cứ đè danlambao.blogspot mà phang !
 


Kể cả có xác định được thì anh nghĩ có dập được không ạ ? Tốc độ cập nhật của các hãng av còn lâu hơn cả tụi nó update biến thể "mới". Lại thêm chuyện thử hỏi có bao nhiêu người biết được mình đang bị nhiễm và chương trình diệt virus trên máy họ có thể diệt được trước khi một mẫu mới được cập nhật.

Mà chả hiểu sao cánh báo chí im ru bà rù thế nhỉ ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 16:55:02 (+0700) | #356 | 244753
vndncn
Member

[Minus]    0    [Plus]
Joined: 21/08/2006 10:38:00
Messages: 77
Offline
[Profile] [PM]

conmale wrote:
Hôm qua có anh bạn ghé thăm làm vài chai. Anh ấy hỏi tại sao hiện tượng DDoS rộng lớn và dai dẳng xảy ra như vậy mà các cơ quan hữu trách vẫn hoàn toàn im lặng? Tớ đớ lưỡi, không trả lời được câu hỏi này. Đây cũng là câu hỏi TQN và nhiều member đã lặp đi lặp lại nhiều lần.

Hiện nay đám STL vẫn tiếp tục hì hụi tạo botnet khác và vẫn loay hoay với những biến thái mới cho con zombie đã có sẵn trong các máy con bị nhiễm malware. Ở Việt Nam có bao nhiêu nhóm kỹ thuật, có bao nhiêu cơ quan hữu trách, có bao nhiêu người dùng biết đến tình trạng này? Cách đây không lâu, vietnamnet bị tấn công dai dẳng và rồi mọi chuyện chìm lỉm. Tại sao? Chẳng lẽ không có ai biết được hoặc không có khả năng truy tìm và chấm dứt những hoạt động phi pháp này hay sao?

HVA đã đưa ra quá nhiều bằng chứng và thông tin cần thiết, việc còn lại đối với các cơ quan hữu trách có lẽ chẳng phải là việc khó khăn gì (ngoại trừ không muốn làm hoặc vì lý do nào khác thì không cần phải bàn). 


Chú conmale, vietnamnet.vn bị ddos, báo chí có thông tin, nhưng nói không điều tra ra được nguồn gốc tấn công(không biết thật hay giả nữa), người dân đen như chúng cháu không có thông tin nhiều, cứ nghĩ bị bọn THAHùng chơi khâm chứ.
Còn hvaonline.net bị ddos có đăng trên một số diễn đàn nổi tiếng như: hvaonline.net, forums.congdongcviet.com, ddth.com, diendantinhoc.vn, vn-zoom.com, ... có đăng về tình trạng ddos hva này, vậy mà không thấy báo chí, cơ quan 2n nào DÁM NÓI, THẬT BẤT CÔNG.
Cháu thường vào topic này và xem " Thông báo: về việc diễn đàn HVA bị gián đoạn sáng nay 14/7/2011"(khi HVA không bị ddos) để biết cách và cũng như nói cho mọi người biết về cách mà các anh và các chú HVA hướng dẫn để diệt malware STL( em cũng tìm Unikey và Winrar kô bị nhiễm malware, đã test trên virustotal gửi link cho mọi người). Thật may là các IP của Cty và ở nhà cháu không có trong danh sách IP ddos HVA. smilie

GIEO GÌ THÌ GẶT NẤY, MÌNH KHÔNG GẶT THÌ CON CHÁU MÌNH SẼ GẶT THAY CHO MÌNH ĐÓ MẤY ANH STL ẠH. MẤY ANH PHẢI NGHĨ CHO TƯƠNG LAI CON CHÁU CỦA MÌNH NỮA CHỨ, KHÔNG LẺ VÌ MÌNH MÀ CON CHÁU MÌNH PHẢI GÁNH CHỊU HẾT SAO. smilie
QUAY ĐẦU LỜ BỜ MẤY ANH STL ƠI. WELCOME CÁC ANH TRỞ VỀ CHÍNH NGHĨA.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 17:43:31 (+0700) | #357 | 244755
[Avatar]
Here i am
Member

[Minus]    0    [Plus]
Joined: 08/06/2011 09:21:09
Messages: 2
Offline
[Profile] [PM]

TQN wrote:
Hu hu bà con ơi !

Bạn Here I am up lại file java update của bạn giúp, có thể là mẫu mới của stl ! Gấp nhé !
Cảm ơn bạn !

 

đây bác ạ
http://www.mediafire.com/?cgoo6id0e9qn0
sinh ra để được tự do
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 18:05:55 (+0700) | #358 | 244756
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cảm ơn Here i am !
Máy bạn cài JRE: Java Runtime Enviroment nên các file .exe bạn đã up là 100% của Sun, có signature của Sun, là các .exe để check và update JRE.
Bạn yên tâm !

Hết việc làm, thất nghiệp, buồn quá, thôi show đoạn code decode mấy file jpg chứa mệnh lệnh DDOS danlambao.blogspot.com của mấy anh stl.

Các file .jpg này được mấy anh stl đặt ở hai host sau:
Code:
http://net.iadze.com/backgrounds.jpg
 http://net.iadze.com/fronts.jpg

 http://find.instu.net/backgrounds.jpg
 http://find.instu.net/fronts.jpg


Các server này dùng nginx, nếu các bạn download bình thường bằng trình duyệt thì sẽ không được. Các bạn nên dùng wget, Fiddler, putty... để down với User-Agent phải là:

Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13
 


Sau khi download về, các bạn chạy ct DecodeJPG.exe mà tui đã up ở đây để giải mã file .jpg đó ra thành file .gz, rồi dùng 7Zip hay WinRAR, WinZip mở ra. Trong file nén đó sẽ có file text chứa thông tin DDOS:

Code của DecodeJPG:
Code:
//---------------------------------------------------------------------------

#pragma hdrstop

#include <windows.h>
#include <stdio.h>
#include <stdlib.h>

#pragma argsused

//---------------------------------------------------------------------------

int GetOneXorByte(LPINT arrXor)
{
    int value1 = (arrXor[256] + 1) % 256;
    arrXor[256] = value1;

    int value2 = (arrXor[260] + arrXor[value1]) % 256;
    arrXor[260] = value2;

    int value3 = arrXor[value1];
    arrXor[value1] = arrXor[value2];
    arrXor[value2] = value3;
    return arrXor[(arrXor[arrXor[256]] + arrXor[arrXor[260]]) % 256];
}

int main(int argc, char* argv[])
{
    FILE *fIn = NULL;
    FILE *fOut = NULL;

    LPBYTE pJPGContent = NULL;
    LPBYTE pszData = NULL;
    BOOL bRetVal = FALSE;

    char szFileOut[MAX_PATH] = { '\0' };
    int arrXor[261] = { 0 };

    const char szKey[] = "0fb6f2f2dac443fd8beb5df3be320d36";
    int keyLen = strlen(szKey);

    printf("//-----------------------------------------------------------------------------------------\n");
    printf("// DecodeJPG: Decode the JPG files which are STL's DDOS C&C files\n");
    printf("// JPG files downloaded from the http://net.iadze.com/xxx.jpg and http://find.instu.net/xxx.jpg\n");
    printf("// RCE and coding by TQN (ThangCuAnh) - HVA Online Forum: www.hvaonline.net\n");
    printf("//-----------------------------------------------------------------------------------------\n\n");

    if (argc < 2)
    {
        printf("Usage: DecodeJPG JPGFile [Output File]");
        return EXIT_FAILURE;
    }

    char *szFileIn = argv[1];
    if (argc == 2)
    {
        char szDrive[_MAX_DRIVE] = { 0 };
        char szDir[_MAX_DIR] = { 0 } ;
        char szFName[_MAX_FNAME] = { 0 };
        _splitpath(szFileIn, szDrive, szDir, szFName, NULL);
        _makepath(szFileOut, szDrive, szDir, szFName, ".gz");
    }
    else
    {
        strncpy(szFileOut, argv[2], MAX_PATH);
    }

    fIn = fopen(szFileIn, "rb");
    if (NULL == fIn)
    {
        printf("Can not open input file: %s\n", szFileIn);
        return EXIT_FAILURE;
    }

    do
    {
        int i, value1, value2;

        fOut = fopen(szFileOut, "wb");
        if (NULL == fOut)
        {
            printf("Can not open output file %s\n", szFileOut);
            break;
        }

        fseek(fIn, 0, SEEK_END);
        int iJPGSize = ftell(fIn);
        fseek(fIn, 0, SEEK_SET);

        pJPGContent = (LPBYTE) malloc(iJPGSize);
        if (NULL != pJPGContent)
        {
            fread(pJPGContent, iJPGSize, 1, fIn);
        }
        else
        {
            printf("Not enought memory !\n");
            break;
        }

        pszData = (LPBYTE) malloc(iJPGSize);
        if (NULL == pszData)
        {
            printf("Nout enought memory for output buffer\n");
            break;
        }

        // Init arrXor
        for (i = 0; i < 256; ++i)
        {
            arrXor[i] = i;
        }
        arrXor[256] = arrXor[260] = 0;

        // Shuffle arr256
        while (1)
        {
            i = arrXor[256];
            if (i >= 256)
                break;
            value1 = (arrXor[260] + arrXor[i] + szKey[i % keyLen]) % 256;
            arrXor[260] = value1;
            value2 = arrXor[i];
            arrXor[i] = arrXor[value1];
            arrXor[value1] = value2;
            ++arrXor[256];
        }
        arrXor[256] = arrXor[260] = 0;

        // Xor loop
        for (i = 0; i < iJPGSize; ++i)
        {
            value1 = GetOneXorByte(arrXor);
            value2 = pJPGContent[i] ^ value1;
            pszData[i] = value2;
        }

        fwrite(pszData, iJPGSize, 1, fOut); // ghi lai noi dung da giai ma

        printf("Decode and extract data from JPG file %s to %s OK !\n", szFileIn, szFileOut);

        bRetVal = TRUE;
    } while (0);


    fclose(fIn);
    if (NULL != fOut)
    {
        fclose(fOut);
    }

    if (NULL != pJPGContent)
    {
        free(pJPGContent);
    }

    if (NULL != pszData)
    {
        free(pszData);
    }

    return bRetVal ? EXIT_SUCCESS : EXIT_FAILURE;
}
//---------------------------------------------------------------------------


Một số EXE, source C++, script của 010 Hex Editor để decode, extract data từ các "mèo què" của STL tui post ở đây:
http://www.mediafire.com/?5g7r7c8eme0wjp2
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 18:09:04 (+0700) | #359 | 244757
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

TQN wrote:
Hu hu bà con ơi !
Ai giúp giùm em cái, mẫu mới của tụi stl mà em âm thầm RCE nó mấy ngày nay thì tới giờ, sau khi có kết quả, không lòi ra bằng chứng nào là mẫu đó là bot đang DDOS HVA ta ! Nó cứ đè danlambao.blogspot mà phang !

Không lý thằng AcrobatUpdater.exe vẫn còn sống ? Hay có 1 bot mới, server mới của tụi stl ????????????

Mong bà con tình nguyện tiếp tục dùng SmartSniffs, WireShark monitor xem thằng .exe nào đang connect tới HVA ta: www.hvaonline.net (74.63.219.12, 88.198.119.5, 49.212.30.177).

PS: Tội nghiệp danlambao.blogspot.com: đang trong mục tiêu nhắm DDOS và phá hoại của tụi stl xấu xa này. Bà con nào cảnh báo chủ blog danlambao giùm !

Bạn Here I am up lại file java update của bạn giúp, có thể là mẫu mới của stl ! Gấp nhé !
Cảm ơn bạn !

Nếu chúng ta không xác định, tìm được con nằm vùng trên máy victim, con bot mới được down ở đâu về, và server mới nào của tụi nó ra lệnh DDOS, thì HVA chúng ta sẽ phải chịu DDOS dài dài, và mạng bot net mà tụi nó xây dựng ở VN ta sẽ ngày càng phình to ! Tới lúc nào đó mọi máy tính của VN đều là Zombie của tụi chó stl này hết ! (sorry anh em nhé, em bực quá rồi, tụi này mặt dày lắm, chửi vậy cũng chưa ăn thua đâu. Tụi nó còn tiếp tục chơi cái trò dơ bẩn, hèn hạ này hoài.) 


Theo như anh conmale thông báo thì những ngày gần đây mạng zombies tấn công vào HVA chủ yếu là đặt ở nước ngoài.

Như vậy là các user ở nước ngoài đã từng download về máy họ các software hay tool nào đó phổ biến, thông dụng và cần dùng ở nước đó, nhưng bị nhiễm virus của cấp trên của STL. Chúng sử dụng các Master webserver-website cũng đặt ở nước ngoài để update các bot, cho tấn công vào HVA.

Chỉ có một số nhỏ zombies đặt ở VN. Nhưng có lẽ những zombie này đã nhiễm STL virus từ lâu. Sau đó chúng được update để tấn công vào HVA cũng đã từ lâu và hiện nay chúng không được newly updated, nên cứ giữ configuration để tấn công vào HVA.

Vì vậy việc tìm ra Master- webserver hiện nay sẽ trở nên rất khó. Thôi thì ta phải mầy mò, cố gắng tìm hiểu, phân tích thêm vây.

Qua sự việc này chúng ta thấy người thiết lập và điều khiển mang bot ở nước ngoài (và đang cho tấn công vào HVA) rõ ràng không phải là các chú nhỏ VN, làm thuê cho STL hay các thành phần người VN trong nhóm STL. Chúng phải là các thành viên "quốc tế" của một tổ chức là cấp trên của STL, lãnh đạo STL. Nhiều khả năng là các bác người Hoa sống ở nước ngoài.


The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 08/08/2011 18:37:13 (+0700) | #360 | 244758
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

Here i am wrote:

TQN wrote:
Hu hu bà con ơi !

Bạn Here I am up lại file java update của bạn giúp, có thể là mẫu mới của stl ! Gấp nhé !
Cảm ơn bạn !

 

đây bác ạ
http://www.mediafire.com/?cgoo6id0e9qn0 


Cả 6 file bạn gửi đều không phải virus bạn nhé, file sạch cả đấy smilie .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|