banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 06:25:36 (+0700) | #631 | 245721
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Semperidem wrote:
http://www.mediafire.com/?fbffz39h68qm7wu
Em xin lỗi vì hôm qua đưa không kịp thời. đây là goopdate.dll của em, em chưa zip ạ.smilie 


Cám ơn em. Đã download và đang phân tích.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 10:05:18 (+0700) | #632 | 245728
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

Semperidem wrote:
http://www.mediafire.com/?fbffz39h68qm7wu
Em xin lỗi vì hôm qua đưa không kịp thời. đây là goopdate.dll của em, em chưa zip ạ.smilie 


File này là của Google, không phải virus STL.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 10:51:32 (+0700) | #633 | 245730
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

ivanst wrote:

......................................
- E vừa quét xong = BK pro + kis 2012 up date ngày hôm nay : 23/8/2011 luôn với 2 file anh TQN up lên MF là AcrobatUpdater_20_08_2011 và 15_8_2011 => Kis không ho he gì 2 file này cả , BK thì phang đc 1 em 15_8 còn 20_8 thì im re . Các file cũ của anh TQN up lên em chưa thử nên không biết như thế nào

- Em không quảng cáo hay làm gì đó BKis đâu nhé  


Anh TQN mới đây đã RCE và uplpad lên mang 2 file virus của STL:
- AcrobatUpdater_15_08_2011
- AcrobatUpdater_20_08_2011

Tôi đã thử nghiệm trên thưc tế file (process) AcrobatUpdater.exe lấy từ AcrobatUpdater_20_08_2011 sau khi unzipped. Đây là một DDoS tool (virus) của STL đang tiến hành DDoS vào HVA. Tôi đã thông báo kết quả thử nghiệm chi tiết trong topic này. Khi tôi thử thì Avira không detect đươc AcrobatUpdater.exe này là virus-trojan.

Còn hôm nay thì Avira đã detect đươc, cụ thể như sau

Avira updated 24-8-2011 phát hiện

- AcrobatUpdater.exe (20-8) là Trojan TR/VB.AGS.3
- images01.gif (20-8- file đi kèm AcrobatUpdater.exe) cũng là TR/VB.AGS.3

- AcrobatUpdater.exe (15-8) là Trojan TR/VB.alf.2
- images01.gif (15-8- file đi kèm AcrobatUpdater.exe) cũng là TR/VB.alf.2

Kaspersky antivirus updated 23-8-2011 (hôm qua) thì không phát hiện ra virus trong tất cả 4 file nói trên. McAfee version 8.8 Enterprise cũng vậy, như KAS.

Tôi đã hoàn tất kết quả thử nghiệm một DDoS tool mới của STL là SbieSvc.exe (đi kèm với SbieMgm.dll) và dự kiến đặt tên nó là TRJ/hvadetec-2. Có những điểm thú vị, các bạn đón đọc

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 11:03:42 (+0700) | #634 | 245732
Semperidem
Member

[Minus]    0    [Plus]
Joined: 28/11/2010 08:09:40
Messages: 14
Offline
[Profile] [PM]
- Cảm ơn anh Conmale. smilie
- Anh Bolzano_1989 coi luôn giùm em file googlecrashhandler.exe luôn nha anh.
Link đây ạ: http://www.mediafire.com/file/ql94xm0w3fs9gmg/GoogleCrashHandler.exe
- Hôm nay em thấy file này mới xuất hiện: GoogleCrashHandler.exe-0BB7A0D9.pf , em không biết có liên quan gì không nên up lên luôn, đây là link:
http://www.mediafire.com/file/kndjsmdp8pf6ok2/GOOGLECRASHHANDLER.EXE-0BB7A0D9.pf
- Đây là file goopdate.dll em đưa link lên lại: http://www.mediafire.com/file/fbffz39h68qm7wu/goopdate.dll

Cảm ơn mọi người.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 11:29:00 (+0700) | #635 | 245733
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]
Hôm nay sáng dạy, phải vào đọc mấy trang tin tức 1 cái. Chả lẽ lại lên vnexpress.net đọc mấy cái truyện cười, hay lên 24h.com.vn đọc mấy cái truyện tình dục smilie thế là thôi ta lớn rồi phải đọc thông tin tình hình đất nước smilie
vô ngay danlambaovn


Code:
Our systems have detected unusual traffic from your computer network. Please try your request again later. Why did this happen?


IP address: 1.55.112.150
Time: 2011-08-24T03:58:34Z
URL: http://danlambaovn.blogspot.com/2011/08/yeu-nuoc-chan-chinh-thanh-ra-phan-ong.html


giật mình không biết máy mình có bị virus STL không vậy, căn bản con lap em dùng thì thằng bạn suốt ngày vào mấy trang web linh tinh, mình thì cũng ít khi dùng toàn ra ngoài quán. bật wireshark lên thì thấy.


Bật thử task manager lên thì thấy.



em không có kinh nghiệm về kiểm tra virus lắm, không biết máy em có bị dính hàng của Sờ Ti Lợn không mấy anh nhỷ, nhưng tìm trong máy không thấy mấy cái Adobe Update với Google Chrome.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 11:39:26 (+0700) | #636 | 245734
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau:

Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/

Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line)
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/

Hướng dẫn scan và gửi log TCPView
http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/

Lưu ý:
Mình chỉ nhận xem các file log cho các máy tính có triệu chứng nhiễm virus của STL rõ ràng.
Các bạn có thể dùng tắt tất cả các trình duyệt web trên máy, sau đó TCPView, SmartSniff hay các chương trình tương tự để xác định máy tính của bạn có kết nối tự động đến một trong các website sau hay không:

1. http://danlambaovn.blogspot.com
2. http://www.aihuuphuyen.org
3. http://nguoiduatinkami.wordpress.com
4. http://vrvradio.com
5. http://aotrangoi.com
6. http://viettan.org
7. http://dangviettan.wordpress.com
8. http://radiochantroimoi.com
9. http://radiochantroimoi.wordpress.com
10. http://vietnamnet.vn
11.  


Nếu có thì bạn vui lòng ghi rõ website nào mà máy tính của bạn đang tự động kết nối đến vì mình chỉ kiểm tra cho các máy nào có dấu hiệu nhiễm virus của STL.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 11:49:01 (+0700) | #637 | 245735
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

Semperidem wrote:
- Cảm ơn anh Conmale. smilie
- Anh Bolzano_1989 coi luôn giùm em file googlecrashhandler.exe luôn nha anh.
Link đây ạ: http://www.mediafire.com/file/ql94xm0w3fs9gmg/GoogleCrashHandler.exe
- Hôm nay em thấy file này mới xuất hiện: GoogleCrashHandler.exe-0BB7A0D9.pf , em không biết có liên quan gì không nên up lên luôn, đây là link:
http://www.mediafire.com/file/kndjsmdp8pf6ok2/GOOGLECRASHHANDLER.EXE-0BB7A0D9.pf
- Đây là file goopdate.dll em đưa link lên lại: http://www.mediafire.com/file/fbffz39h68qm7wu/goopdate.dll

Cảm ơn mọi người.
 


Đấy đều là các file lành cả, không phải virus STL đâu smilie .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 12:01:53 (+0700) | #638 | 245737
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

phanledaivuong wrote:
Hôm nay sáng dạy, phải vào đọc mấy trang tin tức 1 cái. Chả lẽ lại lên vnexpress.net đọc mấy cái truyện cười, hay lên 24h.com.vn đọc mấy cái truyện tình dục smilie thế là thôi ta lớn rồi phải đọc thông tin tình hình đất nước smilie
vô ngay danlambaovn


Code:
Our systems have detected unusual traffic from your computer network. Please try your request again later. Why did this happen?


IP address: 1.55.112.150
Time: 2011-08-24T03:58:34Z
URL: http://danlambaovn.blogspot.com/2011/08/yeu-nuoc-chan-chinh-thanh-ra-phan-ong.html


giật mình không biết máy mình có bị virus STL không vậy, căn bản con lap em dùng thì thằng bạn suốt ngày vào mấy trang web linh tinh, mình thì cũng ít khi dùng toàn ra ngoài quán. bật wireshark lên thì thấy.
....................................................
Bật thử task manager lên thì thấy.
.......................................

em không có kinh nghiệm về kiểm tra virus lắm, không biết máy em có bị dính hàng của Sờ Ti Lợn không mấy anh nhỷ, nhưng tìm trong máy không thấy mấy cái Adobe Update với Google Chrome. 


Máy em chắc chắn là nhiễm Virus-DDos tool của STL, loai TRJ/hvadetec-2, hay variant của nó.
Nhìn tên các máy mục tiêu (vietan.org) và những lỗi xảy ra trong quá trình kết nối-tấn công DDoS là thấy rõ vài vấn đề. Tôi sẽ phân tích kỹ trong bản báo cáo thử nghiệm sắp tới.

Các DDoS tool của STL thường là các Hiden process nên trên Task manager của Windows có thể không thấy. Ngoài ra việc tìm ra các folder-file lạ trong hệ thống cũng không dễ. Vì máy ta thường cài rất nhiều application và các DDoS tool-virus STL luôn mạo tên hoặc dùng tên file "thấy quen quen thế nào ấy". Hì hì


The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 12:32:55 (+0700) | #639 | 245739
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

phanledaivuong wrote:
Hôm nay sáng dạy, phải vào đọc mấy trang tin tức 1 cái. Chả lẽ lại lên vnexpress.net đọc mấy cái truyện cười, hay lên 24h.com.vn đọc mấy cái truyện tình dục smilie thế là thôi ta lớn rồi phải đọc thông tin tình hình đất nước smilie
vô ngay danlambaovn


Code:
Our systems have detected unusual traffic from your computer network. Please try your request again later. Why did this happen?


IP address: 1.55.112.150
Time: 2011-08-24T03:58:34Z
URL: http://danlambaovn.blogspot.com/2011/08/yeu-nuoc-chan-chinh-thanh-ra-phan-ong.html


giật mình không biết máy mình có bị virus STL không vậy, căn bản con lap em dùng thì thằng bạn suốt ngày vào mấy trang web linh tinh, mình thì cũng ít khi dùng toàn ra ngoài quán. bật wireshark lên thì thấy.

Bật thử task manager lên thì thấy.

em không có kinh nghiệm về kiểm tra virus lắm, không biết máy em có bị dính hàng của Sờ Ti Lợn không mấy anh nhỷ, nhưng tìm trong máy không thấy mấy cái Adobe Update với Google Chrome. 


Em khoan động đậy gì cái máy nha. Chắc chắn máy em bị nhiễm rồi. Cứ làm theo hướng dẫn mà bolzabo_1989 đưa ra và gởi thông tin lên đây.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 13:20:39 (+0700) | #640 | 245744
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]

bolzano_1989 wrote:
Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau:

Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/

Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line)
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/

Hướng dẫn scan và gửi log TCPView
http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/
 


Đây là file log em đã scan như anh hướng dẫn.

Code:
http://www.mediafire.com/?h5pm1q12r1h2ycm


Hiện tại em đang ở trường, nên trước khi scan log với TCPView em có kiểm tra lại với Wireshark thì không thấy máy mình kết nối tới viettan.org nữa, mặc dù từ lúc scan log wireshark kia xong em tắt máy tính và đến trường luôn, không động chạm gì đến hệ thống. Nếu cần scan lại log TCPView khác thì khi về nhà em sẽ scan lại với TCPView rồi gửi log lên sau
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 13:32:39 (+0700) | #641 | 245745
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

phanledaivuong wrote:

bolzano_1989 wrote:
Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau:

Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/

Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line)
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/

Hướng dẫn scan và gửi log TCPView
http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/
 


Đây là file log em đã scan như anh hướng dẫn.

Code:
http://www.mediafire.com/?h5pm1q12r1h2ycm


Hiện tại em đang ở trường, nên trước khi scan log với TCPView em có kiểm tra lại với Wireshark thì không thấy máy mình kết nối tới viettan.org nữa, mặc dù từ lúc scan log wireshark kia xong em tắt máy tính và đến trường luôn, không động chạm gì đến hệ thống. Nếu cần scan lại log TCPView khác thì khi về nhà em sẽ scan lại với TCPView rồi gửi log lên sau 


Không thấy gì đáng ngờ. Chỉ có cái unikeyNT kia không biết có phải là đồ xịn không.

Tí nữa về, thử chạy lại TCPView coi thử nhe em? Nếu có bất cứ kết nối nào ra ngoài cũng chộp hết (và nhớ đừng khởi động bất cứ trình duyệt nào hết).
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 14:10:53 (+0700) | #642 | 245753
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Nhiều khả năng là nó đây rồi:
c:\program files\kaspersky lab\kaspersky password manager\de_stpass_.exe
Bạn gửi file này gấp cho mình qua địa chỉ email sau:



CMC InfoSec sẽ cập nhật mầm virus này sớm nhất có thể sau khi xác nhận đây là virus.

Anh chị em kiểm tra nếu trong máy tính nào có file ở đường dẫn trên, vui lòng gửi cho mình và anh TQN gấp, xin cảm ơn.

@anh conmale: File Unikeynt kia là file gốc của Unikey, chúng ta không cần phải lo.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 14:57:26 (+0700) | #643 | 245757
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]

bolzano_1989 wrote:
Nhiều khả năng là nó đây rồi:
c:\program files\kaspersky lab\kaspersky password manager\de_stpass_.exe
Bạn gửi file này gấp cho mình qua địa chỉ email sau:



CMC InfoSec sẽ cập nhật mầm virus này sớm nhất có thể sau khi xác nhận đây là virus.

Anh chị em kiểm tra nếu trong máy tính nào có file ở đường dẫn trên, vui lòng gửi cho mình và anh TQN gấp, xin cảm ơn.

@anh conmale: File Unikeynt kia là file gốc của Unikey, chúng ta không cần phải lo. 


đây là bản crack Kaspersky Password Manager Premium của thằng bạn em chính tay nó Crack. nó đưa cho em dùng. không biết nó có gửi "hàng" vào máy em không smilie
Code:
http://www.mediafire.com/?3fh3xpfejqcbusx


em đã send email cho anh file này.



EDIT tránh spam

conmale wrote:

Không thấy gì đáng ngờ. Chỉ có cái unikeyNT kia không biết có phải là đồ xịn không.
Tí nữa về, thử chạy lại TCPView coi thử nhe em? Nếu có bất cứ kết nối nào ra ngoài cũng chộp hết (và nhớ đừng khởi động bất cứ trình duyệt nào hết). 


Vào sáng nay tự dưng thấy FF bị treo nên mới tắt đi scan thử bằng Wireshark và thấy có viettan.org nên em mới thấy lạ, vì em chưa vào site này bao giờ. mấy trang thông tin tự do em vào chỉ có danlambaovn.blogspot.com và X-cafevn.org (trang này là nhờ Sờ Ti Lợn hack rồi đi rêu rao nên em mới biết đề vào đọc bài, X-cà có khi phải cám ơn STL đã PR giúp).

Chiều nay vừa về nhà bật máy tính lên, tắt hết firefox. yahoo, tắt luôn cả cái protect của avast rồi em dùng wireshark để capture network lại thì không thấy cái viettan.org nào nữa smilie
Code:
http://www.mediafire.com/?7bb0oxqxfhroi89


Đây là log TCPView khi em scan tại nhà

Code:
http://www.mediafire.com/?22c34bgzj7vnt31


Nếu như máy em không bị virus mà vì lý do nào đó mà tự nhiên sáng nay capture bằng wireshark lại lòi ra mấy cái packet NBNS đến viettan.org mà làm mất thời gian của nhiều anh em trên hva thì em xin lỗi smilie hì hì.



Thông tin mới nhất:

Đang post bài này lên, tự dưng làm trái ý anh conmale để Firefox và bật 4 tab:



rồi em bật Wireshark thì túm được 1 đống packet send tới viettan.org, may là có cái log này, không lại mang tiếng là đồng bọn của STL cố tình gây mất thời gian của anh em HVA thì chết. FF của em rất hay bị đơ, sử dụng khoảng 1 -> 2 phút thậm chí có thể ngắn hơn là bị not responding liên tục. chắc là do cái này ...

Log wireshark:
Code:
http://www.mediafire.com/?ykv5h6di1kmv50m


Log mới với Autotuns, Autorunsc và TCPView cho anh bolzano_1989:

Code:
http://www.mediafire.com/?zm5serhuk3bwfxe

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 16:33:09 (+0700) | #644 | 245761
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Bạn đừng gửi log Autoruns ở máy tính của bạn nữa, mà gửi 2 log sau cho mình OTL và OTS, bạn hãy bật tất cả những gì mà bạn vừa sử dụng khi nãy, tái lập lại hiện tượng kết nối đến các website lạ kia rồi scan và gửi log:

Hướng dẫn scan và gửi log OTL
http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-otl/

Hướng dẫn scan và gửi log OTS
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-ots/

Mình tin là máy tính của bạn không bị nhiễm virus của nhóm STL smilie .
Mình thấy có một khả năng lớn là có máy tính khác trong cùng mạng nội bộ của bạn bị nhiễm virus STL hoặc là một số người trong cùng mạng của bạn đang vào website viettan.org .
Tốt nhất là bạn scan và gửi log Autoruns và Autorunsc ở tất cả các máy đang chạy trong cùng mạng khi xảy ra hiện tượng này cho mình, nhớ đánh số để phân biệt các log cùng máy tính đi kèm và việc truy tìm mẫu virus thuận tiện cho bạn smilie .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 17:48:48 (+0700) | #645 | 245763
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
Như đã thấy, chúng ta đã thử nghiệm thưc tế, phân tích 2 DDoS tool của STL. Hôm nay tôi xin thông báo kết quả thử nghiệm thưc tế và phân tích DDoS tool thứ 3 của mạng STL bot. Có thể tạm goi đây là các DDoS tool điển hình (typical) của STL.

DDoS tool thứ nhất là MSHelpCenter.exe. File (process) này (cùng với một số file khác) đươc tạo lập từ một file Unikey (bị cài lén virus), khi người dùng cài nó vào máy. File Unikey có virus được download từ trên mạng. Tuy nhiên sau khi đươc tạo lập, file MSHelpCenter.exe này thưc tế không tạo ra được các kết nối- tấn công DDoS vào các máy mục tiêu. Hiện tượng này có lẽ xuất phát từ việc file có những lỗi (bug) sau khi được STL soạn thảo hay cải tiến từ một file khác.

DDoS tool thứ hai của STL là AcrobatUpdater.exe. File (process) này đươc giấu (embedded) trong một file ảnh, download về từ một webserver do STL quản lý. File nào của STL đã được cài sẵn trong máy, đóng vai trò một Trojan-downloader để download file ảnh nói trên về máy nạn nhân, thì còn cần được kiểm tra thêm. Khi được cài vào máy, file AcrobatUpdater.exe tạo lập một đường dẫn riêng trong thư mục C/WINDOWS/Program Files/ (trong Win XP và Win 2K3...), cũng như tự copy mình vào thư mục "Startup" để khởi động cùng với Windows khi nó start (boot) hay restart và tạo lập các (2) registry liên quan.
Ngay khi được cài vào máy hay ngay sau khi Windows restart, AcrobatUpdater.exe khởi phát ngay quá trình tấn công DDoS vào các webserver của HVA với nhịp độ tấn công khá nhanh và khá mạnh, khoảng từ 4-10 packets (SYN type-62Bytes)/giây. Trong quá trình DDoS thì STL bot cũng kết nối đến master webserver của STL, download về máy nạn nhân một file ảnh, để update DDoS tool. DDoS tool này được HVA đặt tên là TRJ/hvadetec-1.

DDoS tool AcrobatUpdater.exe này dường như STL soạn thảo để "ưu tiên" tấn công DDoS vào một mục tiêu duy nhất là HVA, chỉ riêng HVA mà thôi.
TRong khi thì DDoS tool thứ ba của STL là SbieSvc.exe thì lai được bố trí để DDoS vào nhiều mục tiêu trong cùng một lúc (thí dụ danlambao, viettan....). Chúng tôi DDoS tool này của STL là TRJ/hvadetec-2.

Như vậy ít nhất là còn một DDoS tool điển hình nữa của STL đã và đang tấn công vào trang mạng vietnamnet.vn. Như trường hợp HVA, có lẽ DDoS tool này cũng được bố trí để chỉ "ưu tiên" tấn công vào vietnamnet.vn, chỉ mình vietnamnet.vn mà thôi. Khi có kết quả thử nghiệm thưc tế DDoS tool này chúng tôi sẽ đặt tên cho nó là TRJ/hvadetec-3. Dĩ nhiên là STL có thể điều khiển các DDoS tool thay đổi muc tiêu. Nhưng tình hình những tháng vừa qua là được STL bố trí, dàn xếp như vậy

Mô tả quá trình gây nhiễm, kích hoạt của DDoS tool SbieSvc.exe (TRJ/hvadetec-3) và các đăc điểm của nó như sau:

1- (còn tiếp)

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 19:29:27 (+0700) | #646 | 245767
hailua_online
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:56:09
Messages: 30
Offline
[Profile] [PM]

bolzano_1989 wrote:
Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau:

Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/

Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line)
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/

Hướng dẫn scan và gửi log TCPView
http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/
 

Đây là 3 file lần lượt theo thứ tự trên kiểm tra giùm em với có bị nhiễm virut ko thanks.
http://www.mediafire.com/?9qb9w359wqaoco6
http://www.mediafire.com/?q0zfn30rcnehias
http://www.mediafire.com/?cqqul3dk23blwrw
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 20:26:51 (+0700) | #647 | 245774
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

hailua_online wrote:

bolzano_1989 wrote:
Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau:

Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/

Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line)
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/

Hướng dẫn scan và gửi log TCPView
http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/
 

Đây là 3 file lần lượt theo thứ tự trên kiểm tra giùm em với có bị nhiễm virut ko thanks.
http://www.mediafire.com/?9qb9w359wqaoco6
http://www.mediafire.com/?q0zfn30rcnehias
http://www.mediafire.com/?cqqul3dk23blwrw
 


Các file log của máy bạn đều ổn smilie .
Máy tính của bạn có kết nối tự động đến website nào trong các website sau không?
1. http://danlambaovn.blogspot.com
2. http://www.aihuuphuyen.org
3. http://nguoiduatinkami.wordpress.com
4. http://vrvradio.com
5. http://aotrangoi.com
6. http://viettan.org
7. http://dangviettan.wordpress.com
8. http://radiochantroimoi.com
9. http://radiochantroimoi.wordpress.com
10. http://vietnamnet.vn
11.
 
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 21:01:56 (+0700) | #648 | 245776
vndncn
Member

[Minus]    0    [Plus]
Joined: 21/08/2006 10:38:00
Messages: 77
Offline
[Profile] [PM]
Hôm nay em nhận được email của Avira:

Dear Sir or Madam,

Thank you for your email to Avira's virus lab.
Tracking number: INC00807098.

A listing of files alongside their results can be found below:
File ID Filename Size (Byte) Result
26259831 SbieSvc.exe 43 KB CLEAN


Please find a detailed report concerning each individual sample below:
Filename Result
SbieSvc.exe CLEAN

The file 'SbieSvc.exe' has been determined to be 'CLEAN'.Our analysts did not discover any malicious content.

Alternatively you can see the analysis result here:
http://analysis.avira.com/samples/details.php?uniqueid=8p5gphI11Ydy4IRxYOwTpZ1fpEjW0j8p&incidentid=807098

An overview of all your submissions can be found here:
http://analysis.avira.com/samples/details.php?uniqueid=8p5gphI11Ydy4IRxYOwTpZ1fpEjW0j8p

Please note: If you have specific questions please address them to support@avira.com

Kind regards
Avira Virus Lab

Thời điểm giờ em không vào được http://vietnamnet.vn/ . Có ai vô được không mọi người? Em dùng mạng FPT.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 21:10:30 (+0700) | #649 | 245777
cayaoanh830
Member

[Minus]    0    [Plus]
Joined: 13/06/2011 09:34:01
Messages: 37
Location: Nowhere
Offline
[Profile] [PM] [Email] [Yahoo!]

vndncn wrote:

Thời điểm giờ em không vào được http://vietnamnet.vn/ . Có ai vô được không mọi người? Em dùng mạng FPT. 

Vào được nhưng chậm.
...Yesterday - Today - Tomorrow...
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 21:28:12 (+0700) | #650 | 245778
hailua_online
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:56:09
Messages: 30
Offline
[Profile] [PM]

bolzano_1989 wrote:

hailua_online wrote:

bolzano_1989 wrote:
Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau:

Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/

Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line)
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/

Hướng dẫn scan và gửi log TCPView
http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/
 

Đây là 3 file lần lượt theo thứ tự trên kiểm tra giùm em với có bị nhiễm virut ko thanks.
http://www.mediafire.com/?9qb9w359wqaoco6
http://www.mediafire.com/?q0zfn30rcnehias
http://www.mediafire.com/?cqqul3dk23blwrw
 


Các file log của máy bạn đều ổn smilie .
Máy tính của bạn có kết nối tự động đến website nào trong các website sau không?
1. http://danlambaovn.blogspot.com
2. http://www.aihuuphuyen.org
3. http://nguoiduatinkami.wordpress.com
4. http://vrvradio.com
5. http://aotrangoi.com
6. http://viettan.org
7. http://dangviettan.wordpress.com
8. http://radiochantroimoi.com
9. http://radiochantroimoi.wordpress.com
10. http://vietnamnet.vn
11.
 
 


Máy em chỉ tự động vào mỗi thôi ạ
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/08/2011 21:30:26 (+0700) | #651 | 245779
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]

bolzano_1989 wrote:
Bạn đừng gửi log Autoruns ở máy tính của bạn nữa, mà gửi 2 log sau cho mình OTL và OTS, bạn hãy bật tất cả những gì mà bạn vừa sử dụng khi nãy, tái lập lại hiện tượng kết nối đến các website lạ kia rồi scan và gửi log:

Hướng dẫn scan và gửi log OTL
http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-otl/

Hướng dẫn scan và gửi log OTS
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-ots/

Mình tin là máy tính của bạn không bị nhiễm virus của nhóm STL smilie .
Mình thấy có một khả năng lớn là có máy tính khác trong cùng mạng nội bộ của bạn bị nhiễm virus STL hoặc là một số người trong cùng mạng của bạn đang vào website viettan.org .
Tốt nhất là bạn scan và gửi log Autoruns và Autorunsc ở tất cả các máy đang chạy trong cùng mạng khi xảy ra hiện tượng này cho mình, nhớ đánh số để phân biệt các log cùng máy tính đi kèm và việc truy tìm mẫu virus thuận tiện cho bạn smilie


Em đã send log OTL và OTS qua email của anh rồi.
Em dùng Wifi chùa smilie tự dưng nhắm mắt mơ mơ màng màng đoán được cái wifi hàng xóm để dùng smilie đỡ tốn tiền mạng smilie nên chắc là không thể scan các máy khác cho anh được. thôi thì thằng khác bị kệ nó vậy :-< chạy sang nhà nó nó lại tắt wifi đi thì khổ smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 08:26:34 (+0700) | #652 | 245800
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Sáng nay, kiểm tra lại thử target DDOS của mấy anh stl, thấy mấy anh đã loại danlambao.blogspot.vn ra khỏi danh sách.
Tới giờ, content của backgrounds.jpg: http://net.iadze.com/backgrounds.jpg và showthread.php: http://net.iadze.com/showthread.php đã hoàn toàn giống nhau.
Danh sách các site đang bị DDOS:
Code:
http://www.aihuuphuyen.org
 http://nguoiduatinkami.wordpress.com
 http://vrvradio.com
 http://aotrangoi.com
 http://viettan.org
 http://dangviettan.wordpress.com
 http://radiochantroimoi.com
 http://radiochantroimoi.wordpress.com
 http://chutungo.wordpress.com
 http://nguoivietphanlan.forumotion.com
 http://exodusforvietnam.wordpress.com


Sao không đốt danlambao nữa mấy anh ? Chán rồi à !
Hiện tại, sau khi kiểm tra các file GoogleCrashHandler.exe và dll mà các bạn gởi lên, tôi tạm xác định đấy là các file sạch của Google, và xin lỗi các bạn.
Nếu các bạn kiểm tra các file đó có Digital Signature của Google thì có thể "tạm" yên tâm, không cần upload.
Vậy là tới đây chúng ta vẫn chưa tìm được mẫu đang ddos Vietnamnet.
Mong bà con tiếp tục dùng TCPView và SmartSniff: http://www.nirsoft.net/utils/smsniff.html để tiếp tục monitor và tìm exe nào đang ddos Vietnamnet.

PS: 2 hailua_online: Cậu up giùm tôi các file này nhé:
1. c:\program files\common files\adobe\switchboard\switchboard.exe
2. c:\program files\internet download manager\idman.exe
Cảm ơn trước.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 10:35:00 (+0700) | #653 | 245813
[Avatar]
angel_of_devil
Member

[Minus]    0    [Plus]
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
[Profile] [PM]
Ngưng vì đốt Google thì chỉ có nhận phần thua, STL là cái j mà đòi đập Google smilie
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 12:06:50 (+0700) | #654 | 245820
1visao
Member

[Minus]    0    [Plus]
Joined: 12/06/2004 19:33:00
Messages: 6
Offline
[Profile] [PM]
chắc đây là mẫu mới của đám Malware Sinh tử lệnh, TQN cần file gì để mình gửi
dùng tcpview bắt được .




chuyển qua proxy thì thấy liên tục gửi request đến địa chỉ vietnamnet





Địa chỉ download file ituneshelp


http://www.mediafire.com/?my3ge2sqvnlno76


13:20 pm , sau khi post bài này đã ngưng gửi request tới Vietnamnet , thêm vào đó thấy được mấy địa chỉ lạ

http://daily.leteaks.com/index.txt?
http://wide.ircop.cn/index.txt?
http://pref.firebay.cn/index.txt?
http://link.susaks.com/index.txt?


2 bolzano_1989: đây là mấy file log lấy được bằng cách scan OTL , OTS .

http://www.mediafire.com/?5rh2d5a4yhtdh2h

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 12:29:26 (+0700) | #655 | 245821
hailua_online
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:56:09
Messages: 30
Offline
[Profile] [PM]

TQN wrote:
Sáng nay, kiểm tra lại thử target DDOS của mấy anh stl, thấy mấy anh đã loại danlambao.blogspot.vn ra khỏi danh sách.
Tới giờ, content của backgrounds.jpg: http://net.iadze.com/backgrounds.jpg và showthread.php: http://net.iadze.com/showthread.php đã hoàn toàn giống nhau.
Danh sách các site đang bị DDOS:
Code:
http://www.aihuuphuyen.org
 http://nguoiduatinkami.wordpress.com
 http://vrvradio.com
 http://aotrangoi.com
 http://viettan.org
 http://dangviettan.wordpress.com
 http://radiochantroimoi.com
 http://radiochantroimoi.wordpress.com
 http://chutungo.wordpress.com
 http://nguoivietphanlan.forumotion.com
 http://exodusforvietnam.wordpress.com


Sao không đốt danlambao nữa mấy anh ? Chán rồi à !
Hiện tại, sau khi kiểm tra các file GoogleCrashHandler.exe và dll mà các bạn gởi lên, tôi tạm xác định đấy là các file sạch của Google, và xin lỗi các bạn.
Nếu các bạn kiểm tra các file đó có Digital Signature của Google thì có thể "tạm" yên tâm, không cần upload.
Vậy là tới đây chúng ta vẫn chưa tìm được mẫu đang ddos Vietnamnet.
Mong bà con tiếp tục dùng TCPView và SmartSniff: http://www.nirsoft.net/utils/smsniff.html để tiếp tục monitor và tìm exe nào đang ddos Vietnamnet.

PS: 2 hailua_online: Cậu up giùm tôi các file này nhé:
1. c:\program files\common files\adobe\switchboard\switchboard.exe
2. c:\program files\internet download manager\idman.exe
Cảm ơn trước. 


Hai file đó nằm trong này anh.
http://www.mediafire.com/?b8t7784kbhaub4d
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 12:37:24 (+0700) | #656 | 245823
[Avatar]
angel_of_devil
Member

[Minus]    0    [Plus]
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
[Profile] [PM]
Mình vừa load về check, viustotal có mỗi Kaspersky nhận diện:
Kaspersky 9.0.0.837 2011.08.25 Trojan.Win32.Diple.acxu

Tra thông tin về chú này:
Threat Name Trojan.Win32.Diple
Category TrojanCategory information
Level HighLevel information
Advice Remove
Description
Release Date Feb 11 2011
Last Updated Feb 11 2011
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 12:55:51 (+0700) | #657 | 245825
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

1visao wrote:
chắc đây là mẫu mới của đám Malware Sinh tử lệnh, TQN cần file gì để mình gửi
dùng tcpview bắt được .

chuyển qua proxy thì thấy liên tục gửi request đến địa chỉ vietnamnet


Địa chỉ download file ituneshelp


http://www.mediafire.com/?my3ge2sqvnlno76


13:20 pm , sau khi post bài này đã ngưng gửi request tới Vietnamnet , thêm vào đó thấy được mấy địa chỉ lạ

http://daily.leteaks.com/index.txt?
http://wide.ircop.cn/index.txt?
http://pref.firebay.cn/index.txt?
http://link.susaks.com/index.txt?



 



Ha ha, hoan hô 1visao smilie

Cái này là đích thị con nai vàng tấn công vietnamnet rồi. Sẽ cập nhật thêm thông tin.

Các bạn CMC có bị đám bot tấn công không? Có IP (cho leased line) nào là 183.91.14.15 và 183.91.14.15 của CMCTI.vn đang sử dụng mà bị đập không?

Thêm:

Hoá ra 183.91.14.15 thuộc infrastructure của CMCTI.vn và IP này dùng để host tuanvietnam.vietnamnet.vn. Còn 183.91.14.11 thì host vef.vn.

Ngoài ra, vietnamnet.vn bị đánh vào 2 IP khác nhau (2 A records: 123.30.133.166 và 117.103.197.249). Còn vietnamweek.net host ở bên Mỹ (209.160.52.52) cũng chịu chung số phận.

Botnet này đánh vô tất cả các sites quan trọng của vietnamnet.


Cập nhật:

Tất cả zombies của botnet này hiện trỏ về master ở 200.74.244.198. IP này thuộc Panama. Nếu cần chặn, vncert có thể phối hợp các ISP để chặn ngay trên ISP level.

Hiện giờ chỉ có mỗi Kaspersky nhận diện con trojan này là: Trojan.Win32.Diple.acxu.


PS: sẵn tiện thông báo luôn cho công luận biết là nhóm thành viên HVA lộ diện trong việc phân tích và truy tìm malware của stl thường xuyên bị đe doạ bằng nhiều cách khác nhau. Hành vi phạm pháp và vô đạo đức bằng kỹ thuật nay bắt đầu chuyển sang hướng đe doạ. Xin thông báo để bà con rõ mức độ tồi tệ của sự việc.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 13:19:40 (+0700) | #658 | 245830
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Mình cũng đang ngờ ngợ:
1. Down của 1visao về, KIS chụp cổ hết.
2. Bạn 1visao join HVA từ 12/06/2004, tới giờ mới chỉ có 1 bài post.
Dù gì, cũng cảm ơn 1visao. Đang analyze nó, tạm tắt KIS.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 13:33:05 (+0700) | #659 | 245831
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
http://daily.leteaks.com/index.txt?
http://wide.ircop.cn/index.txt?
http://pref.firebay.cn/index.txt?
http://link.susaks.com/index.txt?

4 cái domain này dns vào afraid.org và sitelutions.com như mấy con domain trước của STL

3 em đều trong tình trạng clientTransferProhibited

riêng em firebay.cn thì có chút info

Domain Name: firebay.cn
ROID: 20080211s10001s67686910-cn
Domain Status: ok
Registrant ID: ct2vkafo9jfsvst
Registrant Organization: 许士鎏 ( Liu, Xu Shi )
Registrant Name: 许士鎏 ( Liu, Xu Shi )
Registrant Email: stan@canadaad.com
Sponsoring Registrar: 北京新网互联科技有限公司 ( Beijing Innovative Linkage Technology Co., Ltd. )
Name Server:ns1.dns.com.cn
Name Server:ns2.dns.com.cn
Name Server:ns2.afraid.org
Name Server:ns1.afraid.org
Registration Date: 2008-02-11 11:39:41
Expiration Date: 2012-02-11 11:39:41
Dnssec Deployment: N
 
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 13:40:53 (+0700) | #660 | 245832
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
whois thằng canadaad.com


Registrant:
SHILIU XU @mocis.com +1.4167321430
MOCIS INC.
SUITE 507, 45 GRENOBLE DR.
NORTH YORK,ONTARIO,CA M3C 1C4


Domain Name:canadaad.com
Record last updated at 2010-11-01 12:45:14
Record created on 2002/1/17
Record expired on 2012/1/17


Domain servers in listed order:
ns1.dns-diy.net ns2.dns-diy.net

Billing Contactor:
name: SHILIU XU
mail: @mocis.com tel: +1.4167321430
org: MOCIS INC.

address: SUITE 507, 45 GRENOBLE DR.
city: NORTH YORK
,province: ONTARIO
,country: CA
postcode: M3C 1C4
 


whois nốt mocis.com


Registrant:
shiliu xu @public.guangzhou.gd.cn +1.4167321430
MOCIS INC.
SUITE 507, 45 GRENOBLE DR.
TORONTO,ONTARIO,CA M3C 1C4


Domain Name:mocis.com
Record last updated at 2011-05-27 15:17:06
Record created on 2004/7/9
Record expired on 2012/7/9
 
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
3 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|