banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 31/08/2011 11:47:07 (+0700) | #811 | 246289
o.O.o
Member

[Minus]    0    [Plus]
Joined: 15/07/2011 00:36:59
Messages: 28
Offline
[Profile] [PM]

PXMMRF wrote:

crc32 wrote:
Tin buồn cho stl là AVAST! cũng vừa mới chộp cổ mớ malwares trong iTunes.rar. 


Nó chộp iTunesHelper.exe từ sáng sớm hôm qua (30-8-2011), khi tôi thử nghiệm lai quá trình DDoS vào mục tiêu.
Bây giờ muốn thử nghiệm một số bot-DDoS tool của STL phải "chiều" chúng như "chiều vong". Phải disable Antivir guard, có lúc phải disable cả Avira, hạ hết Firewall, cẩn thận disable cả McAfee on-access scan, disable cả các chương trình dự đoán có thể conflict với nó....để STL bot có thể nhiễm được vào máy của mình. Hì hì

TQN wrote:
http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn
Kể ra up cũng khá nhiều, và hầu hết đã bị Avira chụp hết, ngay cả cái IAStor cũng đã được đưa vào danh sách.
Avira số 1, KAV+MS số 2. Bỏ công sức ra viết mail cũng đáng. 


crc32 wrote:
Tin buồn cho stl là AVAST! cũng vừa mới chộp cổ mớ malwares trong iTunes.rar. 


Cho đến sáng nay (31.8.2011-9.00AM) Avira vẫn chưa detect đươc các files trong "IAStore_26_08_2011.zip" (gồm 5 file .dll và 1 file .exe sau khi extracted) là virus, TQN ạ!

 


Ủa sao ngộ vậy ta, em sử dụng Avast 6 up date mới nhất sao không detect được "IAStore_26_08_2011.zip" (gồm 5 file .dll và 1 file .exe sau khi extracted) là virus
Sau khi giải nén và scan thì nó im ru luôn?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 31/08/2011 12:15:44 (+0700) | #812 | 246290
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

TQN wrote:

PS: Ngày hôm qua tình cờ đọc một bài viết của đám 29A public trên mạng, tụi nó đã có thể extract digital signature từ 1 file sạch và ghép vào 1 file malware của tụi nó. Thằng Nga này còn cung cấp source C + exe luôn.
Bởi vậy, không tin cái gì được cả. Thời buổi đão lộn ! 


Em nghĩ việc qua mặt việc kiểm tra digital signature này chỉ có thể thực hiện được một khi malware đã được thực thi, có phải đúng như vậy không anh smilie ?
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 31/08/2011 12:25:52 (+0700) | #813 | 246292
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Không em, tụi virus writer sau khi compile, build ra file virus, malware thì sẽ dùng tool đó để attach good digital signature vào file virus, malware, không cần chính virus, malware đó được run.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 31/08/2011 14:24:46 (+0700) | #814 | 246297
[Avatar]
secmask
Elite Member

[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]
Em tưởng mấy tool verify digital signature nó phải checksum cả image nữa chứ nhỉ, chứ kiểm tra mỗi cái phần thẻ digital sig không thì dính đòn cũng phải.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 31/08/2011 15:40:52 (+0700) | #815 | 246299
rang0
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:55:47
Messages: 19
Offline
[Profile] [PM]
Đúng rồi, quá trình sign file pe bao giờ cũng phải có cert chứa private key (thường là RSA > 1024 bits), và SHA or MD5 của file được dùng làm hash. Làm sao mà trích xuất nội dung chữ kí từ một file sạch đem attach vào file malware mà vẫn verified được nhỉ ? Nếu được thì các công ty cung cấp chữ kí số còn tồn tại làm gì nữa !.

Hôm nay hay một vài hôm trước, một công ty cung cấp chữ kí số vừa bị hack và mất một loạt các certs (giống với vụ đã xảy ra với Comodo từ hồi tháng 5 vừa rồi). Việc các hacker ăn cắp được các chữ kí số là rất nguy hiểm, điển hình như vụ Stuxnet.

Code:
http://www.theregister.co.uk/2011/08/30/google_chrome_certificate_blacklist/
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 31/08/2011 17:12:11 (+0700) | #816 | 246302
cino
Member

[Minus]    0    [Plus]
Joined: 29/11/2010 00:50:44
Messages: 37
Offline
[Profile] [PM]
Nếu không có private key thì không thể sign được chữ ký đúng, private key là do CA nắm giữ. Khi đem extract digital signature từ 1 file "sạch" thì chỉ gom được thông tin của thằng chủ và public key của nó mà thôi.
Việc virus maker tự ký lại file malware thì dĩ nhiên là khả thi, nhưng chữ kí (lại) đó sẽ không được trust bởi CA.

Em tưởng mấy tool verify digital signature nó phải checksum cả image nữa chứ nhỉ, chứ kiểm tra mỗi cái phần thẻ digital sig không thì dính đòn cũng phải. 

Digital signature đính trên file nào thì sẽ dựa trên one-way hash của file đó để verify.
Ví dụ, Microsoft cần kí lên file iexplore.exe, họ sẽ one-way hash file đó thành M, và dùng private key (K) của mình (do CA cung cấp) để mã hoá M thành D, D chính là chữ kí số sẽ đính kèm theo iexplore.exe để xác nhận chủ nhân của nó là Microsoft.Code:
D = Digest[M, K]


Khi bác muốn kiểm tra iexplore.exe của mình có phải do Microsoft kí hay không, bác dùng Public key (P) dựa trên certificate từ trusted CA đã nói để giải mã cái D đính kèm ở trên (là chữ kí số của IE) thành M', nếu M' có kết quả giống với one-way hash của iexplore.exe đang sử dụng thì chữ kí đó được tin cậy.

Mọi thông tin về thuật toán one-way hash, chủ sở hữu, public key, thời gian hiệu lực... đều gói trong một giấy chứng nhận gọi là digital certificate sở hữu bởi một CA hợp pháp. (Dĩ nhiên bác cũng có thể tạo được giấy chứng nhận của riêng mình, nhưng sẽ chẳng ai tin bác là đứa nào hết)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 31/08/2011 17:42:04 (+0700) | #817 | 246305
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

TQN wrote:
Không em, tụi virus writer sau khi compile, build ra file virus, malware thì sẽ dùng tool đó để attach good digital signature vào file virus, malware, không cần chính virus, malware đó được run. 


Vậy vấn đề ở đây nằm ở các tool verify code signature rồi, không rõ hiện những tool verify code signature nào có thể bị qua mặt bởi cái tool attach good digital signature kia vậy anh?
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 31/08/2011 18:42:15 (+0700) | #818 | 246306
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Theo em được biết thì con Stuxnet được signed by Realtek


[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 31/08/2011 20:08:32 (+0700) | #819 | 246309
vd_
Member

[Minus]    0    [Plus]
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
[Profile] [PM]
@mv1098
Việc stuxnet có được private key của Realtek chưa ai dám truy xét thêm vì ai cũng đoán là việc làm của những tổ chức không nên đụng vào smilie Biết đâu Realtek tự nguyện dâng private key smilie
( xem thêm http://www.wired.com/threatlevel/2011/07/how-digital-detectives-deciphered-stuxnet/all/1 )

Tui đồng ý với ý kiến của cino, trừ phi có private key, không thì không thể sign một binary mà kiểm tra trust chain thấy valid được.

Việc có private key thì có thể thông qua việc hack root CA (ví dụ DigitNoTar.nl gần đây, hoặc Comodo trước đó) để tạo ra chứng chỉ số và sign vào chứng chỉ số đó.

@TQN rất cảm ơn anh về nỗ lực làm trong sạch môi trường IT Việt nam.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 31/08/2011 20:27:33 (+0700) | #820 | 246311
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Có thông tin mới là Google cũng mới bị mất digital certificate

http://vn.news.yahoo.com/ch%E1%BB%A9ng-ch%E1%BB%89-s%E1%BB%91-c%E1%BB%A7a-google-l%E1%BB%8Dt-v%C3%A0o-tay-072614132.html

@vd_

nhìn vào hình thì thấy được app đc sign ở Nga hoặc mấy nước LX cũ, mà báo chí nói do US làm. Cái này mình cũng chỉ là suy luận thôi
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 31/08/2011 21:46:31 (+0700) | #821 | 246315
TMT102
Member

[Minus]    0    [Plus]
Joined: 30/09/2010 11:11:08
Messages: 5
Offline
[Profile] [PM]

 
Đây là chuyện nhức nhối và đây là chuyện cần phải thay đổi tận gốc. Như em đã có lần nhận xét rằng, những vết thương ung mủ không chịu chữa trị thì dần dần sẽ dẫn đến hoại thư cho cả một cơ thể là vậy. Bịnh thành tích là hội chứng của sự mặc cảm, sự sợ hãi sự thật và thói quen che đậy. Những căn bịnh này dần dần sẽ huỷ hoại sự thật, huỷ hoại đức tính trung thực, huỷ hoại lòng dũng cảm đối diện với thiếu sót để thay đổi và phát triển. Đây không phải là chuyện đùa nữa rồi.

Điều này lằm tôi rất buồn . Làm thế nào mà thay đổi tận gốc được đây . Không nhẽ bảo tôi tự chặt chân mình đi à ? Cái điều tôi sợ nhất là phải nhổ cái cây ấy đi và trồng cây khác . Lại đau đầu .
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 31/08/2011 21:48:13 (+0700) | #822 | 246316
[Avatar]
Sherlockok
Member

[Minus]    0    [Plus]
Joined: 27/06/2006 21:01:31
Messages: 17
Offline
[Profile] [PM]
Vừa thấy comodo báo trong máy có thằng iastordatamgrsvc.exe connect tới ip 119.153.92.110 . Đây có phải malware đã nêu không ạ ? Có cần mình upload lên không ? Cám ơn!
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 31/08/2011 22:59:16 (+0700) | #823 | 246318
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

Sherlockok wrote:
Vừa thấy comodo báo trong máy có thằng iastordatamgrsvc.exe connect tới ip 119.153.92.110 . Đây có phải malware đã nêu không ạ ? Có cần mình upload lên không ? Cám ơn! 


Virus chắc chắn đó bạn ơi, IP kia ở tận PESHAWAR, PAKISTAN.
Bạn cứ upload file lên đi.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/09/2011 05:41:58 (+0700) | #824 | 246323
[Avatar]
Sherlockok
Member

[Minus]    0    [Plus]
Joined: 27/06/2006 21:01:31
Messages: 17
Offline
[Profile] [PM]

bolzano_1989 wrote:

Sherlockok wrote:
Vừa thấy comodo báo trong máy có thằng iastordatamgrsvc.exe connect tới ip 119.153.92.110 . Đây có phải malware đã nêu không ạ ? Có cần mình upload lên không ? Cám ơn! 


Virus chắc chắn đó bạn ơi, IP kia ở tận PESHAWAR, PAKISTAN.
Bạn cứ upload file lên đi. 

http://www.mediafire.com/?aezh4rtiubv476k
http://www.mediafire.com/?dt4j25v4953w46f
http://www.mediafire.com/?q7l5ihx8x7t03nl
http://www.mediafire.com/?g112gycu83jz339
http://www.mediafire.com/?d42pd48l3ekidqb
http://www.mediafire.com/?1p92q8ww04trxuh
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/09/2011 07:42:55 (+0700) | #825 | 246332
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

TMT102 wrote:


Đây là chuyện nhức nhối và đây là chuyện cần phải thay đổi tận gốc. Như em đã có lần nhận xét rằng, những vết thương ung mủ không chịu chữa trị thì dần dần sẽ dẫn đến hoại thư cho cả một cơ thể là vậy. Bịnh thành tích là hội chứng của sự mặc cảm, sự sợ hãi sự thật và thói quen che đậy. Những căn bịnh này dần dần sẽ huỷ hoại sự thật, huỷ hoại đức tính trung thực, huỷ hoại lòng dũng cảm đối diện với thiếu sót để thay đổi và phát triển. Đây không phải là chuyện đùa nữa rồi. 


Điều này lằm tôi rất buồn . Làm thế nào mà thay đổi tận gốc được đây . Không nhẽ bảo tôi tự chặt chân mình đi à ? Cái điều tôi sợ nhất là phải nhổ cái cây ấy đi và trồng cây khác . Lại đau đầu . 


Vấn đề nằm ở chỗ chấp nhận để cái cây ấy sống dở, chết dở, đang bị ung rữa dần dần để rồi một lúc nào đó nó sẽ ngã nhào hay là đốn cái cây đã bị bệnh nặng ấy đi để trồng cây khác hay không thôi.

Bạn chặt chân bạn hoàn toàn khác việc bạn chặt một cái cây bị ung hoại. Bạn đau đầu vì thấy cái cây ấy đang ung rữa hơn là bạn đau đầu vì phải chặt cái cây đang bị ung rữa? Nếu bạn thấy việc chặt nó đau đầu hơn là việc ngồi nhìn nó ung rữa thì đừng chặt.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/09/2011 08:02:27 (+0700) | #826 | 246333
Iwwaty
Member

[Minus]    0    [Plus]
Joined: 30/08/2011 21:19:43
Messages: 7
Offline
[Profile] [PM]
Anh bozalno_1989 xem hộ em log này với, em đã scan theo hướng dẫn của anh.

http://www.mediafire.com/?l34farrkbldu7av
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/09/2011 08:26:04 (+0700) | #827 | 246334
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Iwwaty wrote:
Anh bozalno_1989 xem hộ em log này với, em đã scan theo hướng dẫn của anh.

http://www.mediafire.com/?l34farrkbldu7av 


Nhìn vô là thấy ngay mấy ông này:
"C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"
c:\windows\system32\themeservice.dll
c:\windows\system32\drivers\netaapl64.sys
c:\program files (x86)\ati technologies\ati.ace\core-static\atiacm64.dll
c:\program files\common files\ati technologies\multimedia\atimpenc64.dll


Bồ upload mấy ông này lên xem sao?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/09/2011 08:31:32 (+0700) | #828 | 246336
thinh191
Member

[Minus]    0    [Plus]
Joined: 25/08/2007 16:07:21
Messages: 13
Offline
[Profile] [PM]
Sáng nay ghost lại bản ghost win XP để test thử thì thấy AV báo phát hiện:

file:G:\WINDOWS\GoogleCrashHandler.exe
Trojan:Win32/Sisron
từ trước đến giờ vẫn dùng bản ghost này mà ko thấy báo, hoá ra nó nằm ở trong bản ghót này lâu ròi
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/09/2011 08:36:00 (+0700) | #829 | 246338
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

thinh191 wrote:
Sáng nay ghost lại bản ghost win XP để test thử thì thấy AV báo phát hiện:

file:G:\WINDOWS\GoogleCrashHandler.exe
Trojan:Win32/Sisron
từ trước đến giờ vẫn dùng bản ghost này mà ko thấy báo, hoá ra nó nằm ở trong bản ghót này lâu ròi 


Bồ coi thử created date của con này là ngày tháng năm nào vậy?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/09/2011 08:59:05 (+0700) | #830 | 246339
Iwwaty
Member

[Minus]    0    [Plus]
Joined: 30/08/2011 21:19:43
Messages: 7
Offline
[Profile] [PM]

conmale wrote:

Iwwaty wrote:
Anh bozalno_1989 xem hộ em log này với, em đã scan theo hướng dẫn của anh.

http://www.mediafire.com/?l34farrkbldu7av 


Nhìn vô là thấy ngay mấy ông này:
"C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"
c:\windows\system32\themeservice.dll
c:\windows\system32\drivers\netaapl64.sys
c:\program files (x86)\ati technologies\ati.ace\core-static\atiacm64.dll
c:\program files\common files\ati technologies\multimedia\atimpenc64.dll


Bồ upload mấy ông này lên xem sao? 


Chào anh Conmale,
Cảm ơn anh đã quan tâm đến em, đây là những file anh yêu cầu.

http://www.mediafire.com/?ba9ugwab9ec70je

File Adobelmsvc.exe em không upload được vì tối qua em đã uninstall toàn bộ những gì liên quan đến Adobe ( trừ flash plugin ) rồi nên file này không còn tồn tại nữa.
Chúc anh và mọi người có 1 ngày tốt lành.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/09/2011 10:57:32 (+0700) | #831 | 246348
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
2 thinh191: Cậu up lên mediafire file GoogleCrashHandler.exe đó được không ? Thằng này nhiều biến thể lắm (như AcrobatUpdater.exe vậy).
2 Iwwaty: An tâm, toàn là file PE-64bit hết, stl chưa code "meo que" cho Win64 đâu, ít khán giả lắm !
Kaspersky đã reply cho em:

IAStorCommon.dll,
IAStorDataMgr.dll,
IAStorUIHelper.dll,
iTunesHelper-tray.exe_,
SmartPin.dll,
SysInftLib.dll

No malicious code were found in these files.

IAStorDataMgrSvc.exe- Trojan-Downloader.Win32.Agent.tbhb

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

ituneshelper.exe_ - Trojan.Win32.Diple.acxu
k113.css - Backdoor.Win32.Agent.bqwm

.......................
.......................

Regards, Dmitry Kirsanov
Virus Analyst, Kaspersky Lab.
 

Cái đống dll đi kèm của IAStor nó cứ khăng khăng với em là file sạch. Vậy cũng không sao, vì nếu IAStorDataMgrSvc.exe bị thịt rồi thì cái đống dll đó vô dụng.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/09/2011 10:57:42 (+0700) | #832 | 246349
texudo
Member

[Minus]    0    [Plus]
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
[Profile] [PM]
Đến ngày hôm nay thì IAStore_26_08_2011.zip mới bị duy nhất một trình AV phát hiện có virus, còn các trình AV khác chưa phát hiện được. Mình mới test qua VirusTotal và Jotti.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/09/2011 11:03:14 (+0700) | #833 | 246350
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Iwwaty wrote:

conmale wrote:

Iwwaty wrote:
Anh bozalno_1989 xem hộ em log này với, em đã scan theo hướng dẫn của anh.

http://www.mediafire.com/?l34farrkbldu7av 


Nhìn vô là thấy ngay mấy ông này:
"C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"
c:\windows\system32\themeservice.dll
c:\windows\system32\drivers\netaapl64.sys
c:\program files (x86)\ati technologies\ati.ace\core-static\atiacm64.dll
c:\program files\common files\ati technologies\multimedia\atimpenc64.dll


Bồ upload mấy ông này lên xem sao? 


Chào anh Conmale,
Cảm ơn anh đã quan tâm đến em, đây là những file anh yêu cầu.

http://www.mediafire.com/?ba9ugwab9ec70je

File Adobelmsvc.exe em không upload được vì tối qua em đã uninstall toàn bộ những gì liên quan đến Adobe ( trừ flash plugin ) rồi nên file này không còn tồn tại nữa.
Chúc anh và mọi người có 1 ngày tốt lành. 


Ông nội Adobelmsvc.exe là đáng ngờ nhất mà bồ đã cho nó đi rồi thì đành chịu.

Ông nội themeservice.dll cũng có những biểu hiện khá đáng ngờ nhưng thiếu đầu, thiếu đuôi thì cũng khó xác định được.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/09/2011 11:16:51 (+0700) | #834 | 246351
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tới ngày hôm nay, ngoài Avira hồi báo và cập nhật nhanh nhất, tóm hết 100%, thì lần lượt có các reply sau:
1. Symantec: thất vọng ông này nhất, vẫn dùng hệ thống phân tích tự động, báo về là clean hết.
2. Sophos: Chỉ bắt đám iTunes*.exe và k113.cs, còn trọn bộ IAStor thì clean
3. AVG: cũng như Sophos.
4. Fortinet: cũng như AVG và Sophos
5. Kaspersky: tôi đã post ở trên.
6. MS + McAfee + FSecure....: chưa có kết quả.

Quan trọng nhất theo tôi là Avira, Kaspersky và MS. Vì theo tôi, đây là 3 AV phổ biến nhất ở VN ta, ngoài CMC và BKAV. Windows Defender, MSE thì hầu như máy nào cài Vista hay Win7 đều có, nhưng sợ là bà con không cập nhật hay cập nhật không được vì xxx.
Bà con nào đang dùng Windows Defender, MSE mà không auto update được, nên chịu khó lên homepage của Windows Defender, download bản database update về: http://www.microsoft.com/security/portal/Definitions/ADL.aspx#top
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/09/2011 11:48:51 (+0700) | #835 | 246352
Iwwaty
Member

[Minus]    0    [Plus]
Joined: 30/08/2011 21:19:43
Messages: 7
Offline
[Profile] [PM]
Máy em có cài KIS update thường xuyên và dùng 64bit nên chắc cũng không đáng ngại. Dạo này máy có mấy triệu chứng lạ nên post lên nhờ các anh kiểu tra hộ.
Cảm ơn anh Conmale và anh TQN đã quan tâm.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/09/2011 11:55:56 (+0700) | #836 | 246354
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
RCE = Reverse Code Engineering: kỹ thuật đão ngược, hay dịch ngược. Là một mãng trong RE: Reverse Engineering.
RE gồm rất nhiều mãng con: hardware, firmware, code (software).
Nói nôm na, tháo rời một cái máy ra, xem nó được chế tạo ra sao, lắp ráp và vận hành ra sao cũng là RE, nhưng đây là RE hardware, máy móc. TQ ăn cắp công nghệ máy bay, tàu chiến của nước ngoài, cũng 1 phần dùng RE.
Kinh nghiệm của em: tháo thì dể, nhưng lắp lại cho đúng, không dư bù lon ốc vít, chạy được thì khó. Vì vậy em chọn RE code, software smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/09/2011 11:58:58 (+0700) | #837 | 246355
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Để các bạn tìm được link, mail để upload virus, malware, tui xin post link này: http://www.mywot.com/wiki/Malware_submission
Hiện tại tôi cũng theo trang này mà up mẫu thôi, chịu khó đi từ trên xuống dưới.
Không biết có ai ở Vietnamnet đang đọc bài không, có thể cho anh em HVA và mọi người biết tình hình DDOS vào Vietnamnet có giãm đi chưa ! Tôi nghĩ là giãm đáng kể rồi vì hầu hết các AV đã cập nhật iTunesHelper*.exe và kill nó.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/09/2011 12:31:24 (+0700) | #838 | 246361
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Iwwaty wrote:
Máy em có cài KIS update thường xuyên và dùng 64bit nên chắc cũng không đáng ngại. Dạo này máy có mấy triệu chứng lạ nên post lên nhờ các anh kiểu tra hộ.
Cảm ơn anh Conmale và anh TQN đã quan tâm. 


Không hẳn đâu em. Dòng Windows XP trở lên dùng 64-bit vẫn có khả năng backward compatible với 32-bit. Bởi vậy 32-bit apps (và malware) vẫn có thể tấn công như thường.

Cách dễ nhất để thu hẹp phạm vi nguyên nhân các triệu chứng lạ là nên dùng portmon và processmon http://technet.microsoft.com/en-us/sysinternals/bb896644) để theo dõi xem cái gì đi vô, đi ra máy mình. Từ đó xác định được processes / binaries nào có khả năng là nguyên nhân tạo "triệu chứng lạ".

Nếu bà con tìm thấy được những triệu chứng lạ và có thể thu thập thông tin đồng thời cung cấp luôn nguồn gốc của những chương trình "lạ" ấy từ đâu ra thì càng tốt (ví dụ: vừa cài thêm soft download ở xyz..., vừa mở file đính kèm từ email...).
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/09/2011 12:49:53 (+0700) | #839 | 246363
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Kết quả quét iTunesHelper.exe với VirusTotal, đã force reanalyze lại:
http://www.virustotal.com/file-scan/report.html?id=aa94d29cbe97b61e9200b52f540dfed24e3f8321de0960824a041141452d34ec-1314858850
Hơn một nữa AV đã tóm cổ em nó.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/09/2011 15:37:47 (+0700) | #840 | 246372
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Hi Iwwaty, anh conmale đã xem cho bạn rồi nhé smilie .

conmale wrote:

Iwwaty wrote:
Máy em có cài KIS update thường xuyên và dùng 64bit nên chắc cũng không đáng ngại. Dạo này máy có mấy triệu chứng lạ nên post lên nhờ các anh kiểu tra hộ.
Cảm ơn anh Conmale và anh TQN đã quan tâm. 


Không hẳn đâu em. Dòng Windows XP trở lên dùng 64-bit vẫn có khả năng backward compatible với 32-bit. Bởi vậy 32-bit apps (và malware) vẫn có thể tấn công như thường.

Cách dễ nhất để thu hẹp phạm vi nguyên nhân các triệu chứng lạ là nên dùng portmon và processmon http://technet.microsoft.com/en-us/sysinternals/bb896644) để theo dõi xem cái gì đi vô, đi ra máy mình. Từ đó xác định được processes / binaries nào có khả năng là nguyên nhân tạo "triệu chứng lạ".

Nếu bà con tìm thấy được những triệu chứng lạ và có thể thu thập thông tin đồng thời cung cấp luôn nguồn gốc của những chương trình "lạ" ấy từ đâu ra thì càng tốt (ví dụ: vừa cài thêm soft download ở xyz..., vừa mở file đính kèm từ email...). 


Tiếc là Portmon không hỗ trợ Windows 64-bit.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
2 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|