banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/09/2011 07:44:27 (+0700) | #1111 | 247900
chipset
Member

[Minus]    0    [Plus]
Joined: 25/09/2011 08:54:11
Messages: 1
Offline
[Profile] [PM]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/09/2011 08:19:23 (+0700) | #1112 | 247901
[Avatar]
stf
Member

[Minus]    0    [Plus]
Joined: 23/04/2005 18:28:25
Messages: 15
Offline
[Profile] [PM]
Để xác định nhanh xem máy tính của mình có dính bot đang tấn công VietnamNet hay không, bạn có thể tắt hết trình duyệt (IE, FF, Chrome,...), chat yahoo, skype, zing,... rồi vào màn hình console (cmd.exe) chạy lệnh Code:
netstat
để xem danh sách các kết nối ra ngoài (ESTABLISHED), nếu thấy xuất hiện tên domain có .vn, hoặc dãy IP của Việt nam thì chạy tiếp các tool sniff để lấy thêm thông tin.

Trang kiểm tra thông tin về địa chỉ IP: http://all-nettools.com/toolbox/smart-whois.php

Danh sách các tool sniff: http://thedatalist.com/pages/Packet_Sniffing.htm (có thể sử dụng những tool khác với SmartSniff, Wireshark,... để mong STL chưa update code kịp smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/09/2011 09:15:08 (+0700) | #1113 | 247905
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Có một cách đơn giản nữa là dùng option "-o" trên Windows (từ Windows 2000 trở đi đã có option này) để xác định PID (process ID) của từng socket. Sau đó, dùng taskmanager và chỉnh trong "View" list để hiển thị giá tri PID rồi xem list của "Processes" trên taskmanager là biết ngay cái .exe nào có PID muốn xem.

Muốn nữa thì dùng mấy cái tool nho nhỏ như fport (http://www.mcafee.com/us/downloads/free-tools/fport.aspx) hay tcpview (http://technet.microsoft.com/en-us/sysinternals/bb897437) là thấy hết. Những tool nho nhỏ như vậy nhiều vô kể. Làm sao mà stl "check" cho hết được? Malware của stl mà chơi trò lock luôn task manager thì đích thị con nai vàng malware rồi. Không cần báo AV thì AV cũng tóm cổ ngay tại chỗ.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/09/2011 13:27:53 (+0700) | #1114 | 247913
batigol
Member

[Minus]    0    [Plus]
Joined: 28/02/2004 14:29:21
Messages: 4
Offline
[Profile] [PM]
Chào các anh.

Em cũng tò mò đọc các phân tích của các anh. Thì thấy chủ yếu là các anh nói về nguyên nhân, hiện tượng nhưng chưa thấy ai đưa ra biện pháp chống đỡ thiết thực cả?

@anh Conmale: theo anh thì ddos thì nên chống thế nào thì hiệu quả nhất ạ? em cũng có xem qua nhiều tài liệu nhưng chưa thấy biện pháp nào khả thi cả.

Vietnamnet có vẻ đã có giải pháp tốt cho vấn đề này. các anh thử vào xem? http://vietnamnet.vn
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/09/2011 14:42:10 (+0700) | #1115 | 247918
[Avatar]
_KjlL_
Member

[Minus]    0    [Plus]
Joined: 04/11/2009 21:21:46
Messages: 137
Offline
[Profile] [PM]
Vậy mình nghĩ bạn nên đọc lại từ page 1 có thấy bàn luận nhiều mà !
Ngoài b cũng có thể đọc thêm /hvaonline/posts/list/112.html
...
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/09/2011 14:42:44 (+0700) | #1116 | 247919
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

batigol wrote:
Chào các anh.

Em cũng tò mò đọc các phân tích của các anh. Thì thấy chủ yếu là các anh nói về nguyên nhân, hiện tượng nhưng chưa thấy ai đưa ra biện pháp chống đỡ thiết thực cả?

@anh Conmale: theo anh thì ddos thì nên chống thế nào thì hiệu quả nhất ạ? em cũng có xem qua nhiều tài liệu nhưng chưa thấy biện pháp nào khả thi cả.

Vietnamnet có vẻ đã có giải pháp tốt cho vấn đề này. các anh thử vào xem? http://vietnamnet.vn 


Làm sao mà đưa ra biện pháp nếu như không nắm rõ hệ thống vietnamnet có gì?

Chống hiệu quả nhất cho hệ thống bao gồm cái gì?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/09/2011 15:41:27 (+0700) | #1117 | 247926
batigol
Member

[Minus]    0    [Plus]
Joined: 28/02/2004 14:29:21
Messages: 4
Offline
[Profile] [PM]

conmale wrote:

batigol wrote:
Chào các anh.

Em cũng tò mò đọc các phân tích của các anh. Thì thấy chủ yếu là các anh nói về nguyên nhân, hiện tượng nhưng chưa thấy ai đưa ra biện pháp chống đỡ thiết thực cả?

@anh Conmale: theo anh thì ddos thì nên chống thế nào thì hiệu quả nhất ạ? em cũng có xem qua nhiều tài liệu nhưng chưa thấy biện pháp nào khả thi cả.

Vietnamnet có vẻ đã có giải pháp tốt cho vấn đề này. các anh thử vào xem? http://vietnamnet.vn 


Làm sao mà đưa ra biện pháp nếu như không nắm rõ hệ thống vietnamnet có gì?

Chống hiệu quả nhất cho hệ thống bao gồm cái gì? 


giả sử thế này anh nhé.
Hệ thống gồm 2 server, một firewall đặt trước, băng thông thi ko phải nghĩ nhưng performance của server thì phải nghĩ đó anh. làm sao để xử lý ddos mà vẫn đảm bảo cho valid user truy cập bình thường?


[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/09/2011 16:03:51 (+0700) | #1118 | 247928
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

batigol wrote:

conmale wrote:

batigol wrote:
Chào các anh.

Em cũng tò mò đọc các phân tích của các anh. Thì thấy chủ yếu là các anh nói về nguyên nhân, hiện tượng nhưng chưa thấy ai đưa ra biện pháp chống đỡ thiết thực cả?

@anh Conmale: theo anh thì ddos thì nên chống thế nào thì hiệu quả nhất ạ? em cũng có xem qua nhiều tài liệu nhưng chưa thấy biện pháp nào khả thi cả.

Vietnamnet có vẻ đã có giải pháp tốt cho vấn đề này. các anh thử vào xem? http://vietnamnet.vn 


Làm sao mà đưa ra biện pháp nếu như không nắm rõ hệ thống vietnamnet có gì?

Chống hiệu quả nhất cho hệ thống bao gồm cái gì? 


giả sử thế này anh nhé.
Hệ thống gồm 2 server, một firewall đặt trước, băng thông thi ko phải nghĩ nhưng performance của server thì phải nghĩ đó anh. làm sao để xử lý ddos mà vẫn đảm bảo cho valid user truy cập bình thường?


 


Mơ hồ quá em. Xử lý ddos nào? Có hàng ngàn biến thái của ddos. Chẳng có một giải pháp nào có thể áp dụng cho mọi trường hợp hết. Riêng với vietnamnet thì thông tin chính xác về topology cũng như các cơ cấu bên trong thì chẳng mấy ai biết và nếu có biết thì cũng biết theo kiểu "black box". Các thảo luận về giải pháp cho vietnamnet (với cấp độ biết kiểu "black box") thì đã có rẩt nhiều trên diễn đàn rồi. Em chịu khó tìm và đọc lại. Ngay trả trong chủ đề này cũng có mà em chưa đọc kỹ đó thôi.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 29/09/2011 16:08:05 (+0700) | #1119 | 247930
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Avira đã có tường trình về con QTTask.exe:

Filename Result
QTTask.dll MALWARE
The file 'QTTask.dll' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

Filename Result
QTTask.exe MALWARE
The file 'QTTask.exe' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

Filename Result
rdpuser.mof MALWARE
The file 'rdpuser.mof' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

Filename Result
rfc2616.exe MALWARE
The file 'rfc2616.exe' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

Filename Result
rwoqv.exe MALWARE
The file 'rwoqv.exe' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/09/2011 06:41:18 (+0700) | #1120 | 247939
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Các bản AV free mà bà con ta thường dùng còn MS Essentials, AVG và Avast. Mong bà con tiếp tục submit mẫu QTTask.zip cho các AntiVirus bà con đang dùng !
Bà con có thể theo list này để submit mẫu: http://www.mywot.com/wiki/Malware_submission
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/09/2011 07:13:11 (+0700) | #1121 | 247941
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Sophos thông báo kết quả analysis QTTask:

QTTask.dll -- clean
QTTask.exe -- clean
rdpuser.mof -- clean
rfc2616.exe -- identity created/updated (New detection Troj/Agent-TOZ)
rwoqv.exe -- identity created/updated (New detection Troj/Agent-TPA)

What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/09/2011 07:18:56 (+0700) | #1122 | 247942
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Microsoft thông báo kết quả QTTask.exe:

File Detection Status Alert Level
00591716EE0B2D17A7620C65D8773C65F4DFAD68 Trojan:Win32/Horsum.A Severe
E7F8258F22B7210DCA785D1040970097AAFC542C Trojan:Win32/Horsum.A Severe
7194E514AD58AE4BE6233CE1F00C8FF5EE29DCBE Trojan:Win32/Horsum.A Severe
7649A82681D9B8E2B656286F13BDD7E84537F005 Trojan:Win32/Horsum.A Severe
684EEF9918E11E648BF617FAF2A764AE42CEB433 Trojan:Win32/Temvekil.B Severe



Cả 5 files đều được xem là "severe".
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/09/2011 16:54:41 (+0700) | #1123 | 247982
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
AVG vừa thông báo kết quả QTTask.exe:

Files

".\QTTask.dll"
".\QTTask.exe"
".\rdpuser.mof"
".\rfc2616.exe"
".\rwoqv.exe"

are new trojans and will be detected in one of the next virus definitions updates.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/09/2011 17:29:16 (+0700) | #1124 | 247984
TMDTHBC
Member

[Minus]    0    [Plus]
Joined: 26/08/2011 04:43:07
Messages: 37
Offline
[Profile] [PM] [Email]
Lừa đảo trắng trợn. Không nhân cách của con người....

http://www.baomoi.com/Home/CNTT/ictpress.vn/Thanh-lap-ban-ho-tro-ung-cuu-VietNamNet/7083779.epi
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/09/2011 19:13:04 (+0700) | #1125 | 247986
weasel1026789
Member

[Minus]    0    [Plus]
Joined: 25/06/2011 23:51:19
Messages: 10
Offline
[Profile] [PM]

TMDTHBC wrote:
Lừa đảo trắng trợn. Không nhân cách của con người....

http://www.baomoi.com/Home/CNTT/ictpress.vn/Thanh-lap-ban-ho-tro-ung-cuu-VietNamNet/7083779.epi 


Ý bạn đang nói về stl đấy à? Đọc bài trong link bạn gửi xong mình thấy ngạc nhiên là với vncert và các cơ quan chức năng tham gia ứng cứu sao vẫn khó khăn vậy?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/09/2011 20:34:52 (+0700) | #1126 | 247989
[Avatar]
dietTC999
Member

[Minus]    0    [Plus]
Joined: 24/06/2011 08:46:05
Messages: 9
Offline
[Profile] [PM]
Mình hôm nay vào Vietnamnet mãi không được.
có phải là vẫn bị ddos không nhỉ?
Đời thay đổi khi chúng ta thay đổi!
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 30/09/2011 22:39:03 (+0700) | #1127 | 247999
TMDTHBC
Member

[Minus]    0    [Plus]
Joined: 26/08/2011 04:43:07
Messages: 37
Offline
[Profile] [PM] [Email]

weasel1026789 wrote:

TMDTHBC wrote:
Lừa đảo trắng trợn. Không nhân cách của con người....

http://www.baomoi.com/Home/CNTT/ictpress.vn/Thanh-lap-ban-ho-tro-ung-cuu-VietNamNet/7083779.epi 


Ý bạn đang nói về stl đấy à? Đọc bài trong link bạn gửi xong mình thấy ngạc nhiên là với vncert và các cơ quan chức năng tham gia ứng cứu sao vẫn khó khăn vậy? 


Mỉnh theo forum của HVA lâu lắm rồi, học hỏi mọi người khá nhiều ... Nhưng mình không nghĩ ... "trắng trợn và thô bỉ" đến thế.

CMC thì có bolzano đại diện ........ còn mấy cu vớ vẩn ... thế mà cũng tự hào đưa lên "báo".

@ TQN: công và sức của a mọi người biết nhưng mình không dằn đc lòng khi thấy điều vớ vẩn đó. TQN có khi nào a nghĩ chơi trò "gậy ông đập lưng ông".
Mình hiểu chỉ là đam mê nhưng phải lịch sự tí, còn vớ vẩn kiểu này thì .... smilie cho chết luôn đi. Một thằng chết thì cả làng cảnh giác và quan tâm.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/10/2011 01:05:49 (+0700) | #1128 | 248000
[Avatar]
thuypv
Member

[Minus]    0    [Plus]
Joined: 11/06/2008 12:25:57
Messages: 64
Offline
[Profile] [PM]
Em vừa đọc cái bài báo đó song, em đảm bảo là thằng tác giả viết bài báo đó có vào theo dõi HVA rất lâu rồi, dư mà lúc nó viết thì ko thèm đả động gì cả, nói thật mấy thằng mõ đó nhục thật

Mấy thằng mõ thì muôn đời vẫn mãi là mõ thôi mà

Theo em thì mặc kệ vietnamnet bị uýnh, cho nó chết luôn cho song, chúng nó nhờ mấy cơ quan chức năng mà lúc nào cũng miệng kêu to hơn là khả năng thì mặc kệ chúng nó, ko hiểu mấy thằng đó làm gì mà cả tháng nay vẫn ko thể nào vào được website
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/10/2011 08:28:47 (+0700) | #1129 | 248007
[Avatar]
Bướm Đêm
Member

[Minus]    0    [Plus]
Joined: 25/03/2008 18:30:01
Messages: 223
Location: Phố Hoa
Offline
[Profile] [PM]
Oops! Down toàn tập smilie tuanvietnam còn le lói http smilie
GZ tqf zìeq ˘ऐ xखc sड़e cav xন qrqr
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/10/2011 09:45:16 (+0700) | #1130 | 248011
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]

TMDTHBC wrote:

@ TQN: công và sức của a mọi người biết nhưng mình không dằn đc lòng khi thấy điều vớ vẩn đó. TQN có khi nào a nghĩ chơi trò "gậy ông đập lưng ông".
Mình hiểu chỉ là đam mê nhưng phải lịch sự tí, còn vớ vẩn kiểu này thì .... smilie cho chết luôn đi. Một thằng chết thì cả làng cảnh giác và quan tâm.  


Mình nghĩ anh TQN và các bác trong HVA "phân tích" malware stl không phải để đươc công nhận này nọ. Quan trọng là sự "sạch sẽ" của hệ thống mạng còn non trẻ ở VN. Tại CMC, VnCert, FPT ... đều có những thành viên gạo cội của HVA công tác ở những vị trí quan trọng. Có thể báo chí không đề cập đến nhưng những người làm kỹ thuật chân chính tại các đơn vị trên vẫn luôn theo dõi rút tỉa kinh nghiệm từ HVA, họ cảm thấy HVA có chất lượng, có ích lợi cho cộng đồng là ok rồi smilie

Có lẽ khi nào HVA trở thành 1 tổ chức hoặc một nhóm bảo mật có "danh chính ngôn thuận" tại VN thì trên các báo sẽ đề cập đến smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/10/2011 10:09:45 (+0700) | #1131 | 248014
[Avatar]
Vanxuanemp
Member

[Minus]    0    [Plus]
Joined: 02/08/2005 04:31:37
Messages: 63
Location: Thôn Đoài
Offline
[Profile] [PM] [WWW]

TQN wrote:

Ngày hôm qua em gặp mẫu của thằng Nga, dùng RPC để lây lan, em thiệt bó tay, té xỉu luôn ! Chả hiểu nó viết cái gì, vì về code nó đã là thằng coder cao tay hơn mình rồi ! Sau cùng, phải nhờ anh Gấu gồ, anh ấy chỉ ra là nó khai thác lổi của Print Spooler. 


Đề nghị TQN cung cấp thông tin về con khai thác cái Print Spooler này giúp với, hiện tại đang bị cái lỗi chắc là từ con này, mà ghost lại máy, cài lại win vẫn bị dính. Tks.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/10/2011 10:28:40 (+0700) | #1132 | 248015
phuongnvt
Member

[Minus]    0    [Plus]
Joined: 09/02/2011 03:35:39
Messages: 332
Offline
[Profile] [PM]

vikjava wrote:

TMDTHBC wrote:

@ TQN: công và sức của a mọi người biết nhưng mình không dằn đc lòng khi thấy điều vớ vẩn đó. TQN có khi nào a nghĩ chơi trò "gậy ông đập lưng ông".
Mình hiểu chỉ là đam mê nhưng phải lịch sự tí, còn vớ vẩn kiểu này thì .... smilie cho chết luôn đi. Một thằng chết thì cả làng cảnh giác và quan tâm.  


Mình nghĩ anh TQN và các bác trong HVA "phân tích" malware stl không phải để đươc công nhận này nọ. Quan trọng là sự "sạch sẽ" của hệ thống mạng còn non trẻ ở VN. Tại CMC, VnCert, FPT ... đều có những thành viên gạo cội của HVA công tác ở những vị trí quan trọng. Có thể báo chí không đề cập đến nhưng những người làm kỹ thuật chân chính tại các đơn vị trên vẫn luôn theo dõi rút tỉa kinh nghiệm từ HVA, họ cảm thấy HVA có chất lượng, có ích lợi cho cộng đồng là ok rồi smilie

Có lẽ khi nào HVA trở thành 1 tổ chức hoặc một nhóm bảo mật có "danh chính ngôn thuận" tại VN thì trên các báo sẽ đề cập đến smilie  


Theo anh em, Con đường nào cho HVA để trở thành "danh chính ngôn thuận" ?
Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó


[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/10/2011 11:13:22 (+0700) | #1133 | 248018
whitesnow19
Member

[Minus]    0    [Plus]
Joined: 08/10/2010 03:42:19
Messages: 54
Offline
[Profile] [PM]
Nếu các bạn để ý thì thấy vietnamnet.vn sau khi type sẽ được wwwect đến một trang chứa script để vào trang chủ. Nhưng em biết trong số các viewer đang xem bài viết nào có "trojan" stl. không biết em nên post lên đây url đó không?
Đã pm riêng anh conmale url này tuỳ anh xử lý.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/10/2011 11:55:48 (+0700) | #1134 | 248019
[Avatar]
quygia128
Member

[Minus]    0    [Plus]
Joined: 15/07/2009 20:50:28
Messages: 119
Location: Somewhere
Offline
[Profile] [PM] [WWW]
Đúng là đọc bài báo bức xúc không chịu được. Nếu anh TQN không phân tích và up mẫu cho các AV thì em nghĩ giờ này VNN chẳng vào được nữa chứ đừng nói là chậm, ý là đã diệt được 1 số lượng lớn malware của stl mà báo VNN bây giờ muốn vào cũng khó khăn. Chỉ thấy buồn.
Đưa vào bài báo bốn năm cái trung tâm bảo mật lớn như thế, xây dựng cả 1 ban ứng cứu mà lại phán 1 câu là không là đang tìm phương án khác.
Ngay bản thân họ là người bị tấn công mà cũng không biết đường khắc phục, không thể phân tích và vạch trần mạng bootnet này, em chỉ thấy lạ ở điểm này.
.::Mới bắt đầu trên con đường dài::.
.::Super Newbiez::.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/10/2011 14:49:50 (+0700) | #1135 | 248026
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Các bạn đừng bức xúc làm gì. Hãy nghĩ rằng vietnamnet cũng như các tờ báo khác có nỗi khổ hoặc giới hạn của họ. HVA từ khi chuyển hướng thành forum bảo mật chưa bao giờ có tiêu chí hoặc định hướng làm sao để nổi tiếng hoặc làm sao để có "nhiều khách". Chính vì vậy, HVA nghiêm túc trong thảo luận và nghiêm khắc trong việc điều hợp bài vở. Nói một cách khác, HVA tồn tại là vì nó mang lại được những ích lợi thiết thực cho cộng đồng chớ không phải vì tăng "rank" hoặc vì "có tiếng" một cách phù du. Những thứ "rank" hoặc "tiếng" nếu có thì cũng sẽ tàn nếu như không duy trì được chất lượng sinh hoạt.

Riêng việc HVA làm được gì với tình trạng đánh phá phi pháp trong thời gian qua, chính cộng đồng và từng cá nhân trong cộng động cảm nhận và chia xẻ. Đó mới là điều quan trọng và đáng quý. Cho dù có được "lên báo" một cách khiêng cưỡng hay không đúng sự thật thì cũng chẳng có mấy giá trị. HVA làm đúng hay làm sai, thời gian sẽ trả lời.

Trước mắt, nếu các bạn nghĩ rằng việc tung trojans để đánh cắp thông tin cá nhân, để "bạch hoá", để tạo botnets và để sử dụng máy tính của nạn nhân một cách phi pháp là những việc làm tồi bại và nên được ngăn chặn, hãy theo dõi máy của mình và cung cấp mẫu mã để HVA tiếp tục phân tích và gởi thông báo đến các AV để họ kịp thời phổ biến những bản cập nhật cần thiết giúp cho các nạn nhân không vô tình bị biến thành các zombies cho những mục đích xấu xa.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/10/2011 15:48:02 (+0700) | #1136 | 248030
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tiếp tục nhờ bà con kiểm tra, check, report baduse, badsite các host mang trong bụng của thằng Dao360.dll.mui hồi xưa:
Code:
Host                            IP                  Hosted
=====                           ==                  =======
educationuk.ath.cx              111.90.150.183      PIRADIUS NET, Malaysia
goldenftpserver.ftpaccess.cc    188.72.216.63       Santrex Internet Service, Germany
hackforums.blogdns.net          209.217.248.77      Landis Holdings Inc, USA - Texas
playgirl.mypets.ws              188.72.216.63       Santrex Internet Service, Germany
searchsecurity.selfip.info      111.90.150.183      PIRADIUS NET, Malaysia

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 02/10/2011 15:03:49 (+0700) | #1137 | 248055
[Avatar]
piloveyou
Member

[Minus]    0    [Plus]
Joined: 13/04/2010 21:23:15
Messages: 231
Location: EveryWhere
Offline
[Profile] [PM]

TQN wrote:
Các bản AV free mà bà con ta thường dùng còn MS Essentials, AVG và Avast. Mong bà con tiếp tục submit mẫu QTTask.zip cho các AntiVirus bà con đang dùng !
Bà con có thể theo list này để submit mẫu: http://www.mywot.com/wiki/Malware_submission 

Cái này được đó bác lên đó sưu tập ok đó.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 02/10/2011 15:53:07 (+0700) | #1138 | 248057
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Ngày hôm qua, sau khi em phân tích xong cversions.2.db, em dùng PatchDiff compare với IDA database của dao360.dll.mui, hai version mà em đã có. Phải nói là như anh chị em sinh đôi, giống nhau tới từng hàm, thứ tự hàm, thứ tự call. Chỉ khác nhau cái list mấy cái host để upload thông tin victim về, cách mã hoá, che giấu.... Nói chung là: chỉ là một code base ban đầu thôi.
Và em cũng thành thật xin lỗi anh em, cái tội hồ đồ, bộp chộp. Từ năm 2010, trong code của Dao360.dll.mui đã có code detect SmartSniff rồi. Chỉ khác là lúc đó detect trên WndClassName, còn cversions.2.db là WndName. Cờ thì đổi lại, TRUE->FALSE, tức là cái g_bNotSafeToConnect nguyên thuỷ là g_bSafeToConnect, vậy thôi. Giống nhau tới từng dòng if, while, for....
Điều này chứng tỏ gì vậy bà con, stl cạn kiệt mẫu và source "mèo què" rồi. Có bao nhiêu đó, chế đi chế lại, thêm mắm thêm muối, bớt đường, bột ngọt thôi smilie (RCE hoài, ngán quá !)

Bà con nhìn 2 cái list của mấy cái host của cversions.2.db và dao360.dll.mui, thấy không quan trọng, không quan tâm, không dính dáng gì tới mình. Lầm chết đấy, cái nguy hiểm nhất của tụi stl này là mấy cái host đó đấy. Bao nhiêu thông tin của "đã, đang, và sẽ" (tùm lum thì luôn, quá khứ, hiện tại, tương lai...) của các victim sẽ được up về đó đấy. Stl group sẽ dựa các thông tin trên các host đó mà muốn "bạch hoá" hay "tắm trắng" ai, hoàn toàn nằm trên các host đó đấy. Bao nhiêu cái host đó đủ để stl group hoành hoành giang hồ Internet, khủng bố, đánh phá, hù doạ, khống chế mấy năm nay ! Em nói đúng không mấy "đại ca" stl ? Em tự hỏi giờ trong 11 cái host đó, có cái nào còn lưu thông tin của "Thằng Cu Anh" này không ? Và bà con, anh em IT VN ta, hảy đặt trường hợp, tất tần tật thông tin của mình, của máy tính mình đang dùng, đều nắm trên 11 cái host đó, thì sao ? Anh em hảy tự hỏi mình và tự hành động đi! Muốn stl "tắm trắng" anh em không ? Nằm trên đó hết đấy ? !
Tới bây giờ, anh em HVA sẽ "tắm đen" lại mấy anh, locked mấy cái host đó, thì mấy anh stl sẽ thấy, "cao nhân tất hữu cao nhân trị", "núi này cao còn có núi khác cao hơn". Các anh em HVA, chỉ dám nhận mình là "lùn tịt nhân", là cái gò, cái ụ mối thấp lè tè thôi, đủ để mấy anh gặp nightmare rồi, còn bao nhiêu núi cao khác, đồi cao khác chưa ra mặt... mà nhảy vô, thì mấy anh chỉ dẹp tiệm luôn là vừa, nhớ nhé !

Sau khi các AVs cập nhật hết, các host trên bị locked hết, thử xem các anh còn "tắm trắng" ai được nữa, còn hù doạ, khủng bố, lên mặt với ai được nữa không ?

Em có lang thang trên các blog, forum, nghe đệ tử mấy anh hùng hồn tuyên bố, sẽ ra ver mới của "mèo què"'s stl, sẽ đập chết mấy ai chống đối mấy anh ! Ráng đợi cái ver mới đó, xem thử mấy anh có đủ sức quay mấy anh em HVA và RCE team của HVA này hay không ? Nói nhỏ nhé, còn khuya, mấy anh muốn code cái gì thì ai cũng đã biết từ lâu rồi, không qua nổi những kiến thức, tips, tricks, techniques đã phổ biến trên Internet đâu, vì coder của mấy anh chỉ giỏi đạo code, đạo ý tưởng thôi mà, phải không mấy anh stl ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 02/10/2011 19:58:02 (+0700) | #1139 | 248060
learningandlearning
Member

[Minus]    0    [Plus]
Joined: 06/08/2011 01:28:30
Messages: 9
Offline
[Profile] [PM]
Dạo này em thấy model mình chớp liên tục mặc dù không lên mạng. Bật Wireshark thì thấy những dòng xanh này liên tục. Không biết máy của em có vấn đề gì không?



@TQN: có cách nào dùng Wireshark mà malware stl không phát hiện được không anh?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/10/2011 06:35:51 (+0700) | #1140 | 248063
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Không sao cả bà con, code detect Wireshark của stl có bug, bug này giải thích như sau:
1. Khi Run wireshark.exe, nếu chưa start capture thì WindowName string của wireshark là: "The Wireshark Network Analyzer", lúc này hàm FindWindowW sẽ tìm ra và return TRUE, cờ global được set thành TRUE.
2. Khi ta start capture, WindowName của Wireshark sẽ thay đổi thành "Capturing from xxxx". Lúc này FindWindowW sẽ return FALSE, tìm không ra.

Em vừa download bản Wireshark v1.6.2 trên http://www.wireshark.org, run và test WindowName trên Wireshark đó.

Tóm lại, cuối cùng, ta chỉ cần đổi tên wireshark.exe thành tên khác, vd: wrshark.exe, thì toàn bộ đoạn code detect Wireshark của stl coder (group ?) sẽ vô dụng !

Còn để đề phòng cho các trường hợp detect khác, ngoài việc đổi tên wireshark.exe thành xxx.exe gì đó, các bạn nên dùng thêm 1 HexEditor (010 Editor chẳng hạn, bà con down tại đây http://www.exelab.ru) để find và replace Ansi string "The Wireshark Network Analyzer" thành chuổi khác, vd như em thì thay thành "The Sharkwire Analyzer Network" smilie

Đoạn thread code detect sniffers của stl coder:
Code:
int __stdcall Set_Privilege_And_Detect_Sniffers_Thread_Proc(LPVOID pParam)
{
    HANDLE hThread; // eax@1

    hThread = CreateThread(0, 0, EnableDebugAndShutdownPrivilege, 0, 0, 0);
    if (hThread)
        CloseHandle(hThread);

    while ( g_dwContinue )
    {
        if ( DetectWireshark() || DetectSmartSniff() || DetectEtherDPacketSniffer() )
        {
            g_bNotSafeToConnect = TRUE;
            Sleep(5000u); // ngủ 5s
        }
        else
        {
            g_bNotSafeToConnect = FALSE;
            Sleep(5000u);  // ngủ 5s
        }
    }
    return 0;
}

Cứ ngủ xong 5s, thức dậy, detecting tiếp, set cờ, lại ngủ tiếp. Bởi vậy có bà con có nói với em, sao "mèo đã què" rồi mà không cho ngủ hả anh ?! Ngủ hay không ngủ gì nó cũng ngốn và nóng CPU hết, vì đã code multithread mà cứ Sleep với loop liên tục thì bằng không ? Và không lẽ khi đang debug nó, mình phải ngủ theo nó à smilie Lại còn check đk trên global variables nữa chứ, tranh chấp hay detect sai là cái chắc (g_dwContine và g_bNotSafeToConnect). Mấy anh stl không biết dùng cơ chế Synchronize và WaitForxxx à ?
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
2 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|