English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk  XML
  [Analyzing]   Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk 23/04/2012 07:43:38 (+0700) | #1 | 261881
miyumi2
Member
[Minus]    0    [Plus]
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
[Profile] [PM]
Thấy anh TQN đang phân tích em này (post trên FB) nên mình cũng xin được tham gia 1 tí cho vui smilie
http://www.mediafire.com/?1ecnlmadgdacsda
http://www.mediafire.com/download.php?9bo57outrj3ds7h 

Dùng công cụ "mì ăn liền" ra được 1 số kết quả:
http://anubis.iseclab.org/?action=result&task_id=1fb329ad44e85331455b2eb38b97922f9&format=html
- HTTP Conversations:
From ANUBIS:1029 to 66.220.158.11:80 - [facebook.com]
Request: GET /
Response: 301 "Moved Permanently"
Request: POST /ajax/chat/settings.php?__a=1
Response: 200 "OK"
Request: POST /ajax/chat/buddy_list.php?__a=1
Response: 200 "OK"
From ANUBIS:1030 to 69.171.242.74:80 - [www.facebook.com]
Request: GET /
Response: 200 ""
 

Kết hợp với data-mining:

 


Tổng hợp các kết quả trên có thể dự đoán tóm tắt các hoạt động của em này như sau:
1. Khi chạy sẽ tự copy vào c:\windows\iqs.exe, đặt registry để tự chạy mỗi khi khởi động máy

2. Mở firewall cho file iqs.exe (đặt tên là Microsoft Firevall Engine và MSN Messenger)

3. Tắt service wuauserv (Window Update), chắc là để vô hiệu hóa tool MRT của Microsoft

4. Vô hiệu hoá các phần mềm anti-virus (Kaspersky, Microsoft Esstential - Windows Defender, AntiVir, Avira, AVG), cách đơn giản là sử dụng hàm API NtTerminateProcess để end task tắt tiến trình process.

5. Tìm các window của các chương trình chat (là ICQ, YIM, GTalk) để lấy danh sách nick chat (sử dụng Windows API: FindWindow, GetWindowText,...), Facebook thì dùng API để gửi HTTP request (POST, GET) và sử dụng Windows API truy cập vào HTML DOM (Internet Explorer_Server, DocObject, IEFrame,...) để lấy dữ liệu, sau đó gửi tất cả về "nơi xa", có thể là compiler.r-t-x.com, hoặc 1 host khác tùy theo master server, cũng có thể kết nối thông qua 1 proxy server 74.208.228.202:5050 để gửi dữ liệu.
Tham khảo API FB:
- http://security.stackexchange.com/questions/3570/facebook-spam-phishing-attempt
- http://www.phpkode.com/source/s/facebook-chat/facebook.class.php
- http://imfreedom.org/wiki/Facebook

6. Tự động gửi link lây lan đến các bạn chat trong danh sách (maybe).

7. Đặt lại Trang chủ (Homepage) của các trình duyệt Chrome, Firefox, Internet Explorer, cụ thể đặt link nào thì mình chưa có test tiếp. 


Các hoạt động khác như truy cập history của chương trình chat, history của trình duyệt, chỉnh sửa tham số TCP/IP (Winsock) trên Windows, hook hệ thống... có hay không và cụ thể làm những gì thì mình chưa có thời gian phân tích tiếp.
[Up] [Print Copy]
  [Analyzing]   Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk 23/04/2012 21:35:02 (+0700) | #2 | 261940
[Avatar]
 quygia128
Member
[Minus]    0    [Plus]
Joined: 15/07/2009 20:50:28
Messages: 119
Location: Somewhere
Offline
[Profile] [PM] [WWW]
Hehe, cảm ơn lão nhiều good quá. Tiếp tục phát huy để em học hỏi với.

Em dow em nó về KIS la làng, rồi del luôn lão ơi. 2 bữa rồi chưa update cho KIS, rõ ràng nó đã nhận dạng bé này lâu rồi.
.::Mới bắt đầu trên con đường dài::.
.::Super Newbiez::.
[Up] [Print Copy]
  [Analyzing]   Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk 24/04/2012 12:31:44 (+0700) | #3 | 261972
TQN
Elite Member
[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Code của con này có nhiều cái hay lắm đấy. Bà con chat = FB coi chừng, nó lấy hết nội dung chat đấy, cái này em mới gặp. Code VC++ 2003 nên rất dễ phân tích. Đọc vui lắm. Mà hình như con này đang còn trong giai đoạn test hay sao mà nhiều hàm ThreadProc đã viết xong rồi, dài ngoằng, nhưng nghĩ sao thằng coder lại cho return một phát ngay đầu hàm luôn.
Tới lúc này, KAV và MS Security Essential không quét ra em bé đi kèm trong bụng. Em vừa submit lại.
[Up] [Print Copy]
  [Analyzing]   Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk 24/04/2012 15:50:48 (+0700) | #4 | 261988
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

TQN wrote:
Code của con này có nhiều cái hay lắm đấy. Bà con chat = FB coi chừng, nó lấy hết nội dung chat đấy, cái này em mới gặp. Code VC++ 2003 nên rất dễ phân tích. Đọc vui lắm. Mà hình như con này đang còn trong giai đoạn test hay sao mà nhiều hàm ThreadProc đã viết xong rồi, dài ngoằng, nhưng nghĩ sao thằng coder lại cho return một phát ngay đầu hàm luôn.
Tới lúc này, KAV và MS Security Essential không quét ra em bé đi kèm trong bụng. Em vừa submit lại. 


Sophos quét ra rồi em.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk 24/04/2012 16:55:40 (+0700) | #5 | 261993
duavaianhmakhoc
Member
[Minus]    0    [Plus]
Joined: 14/06/2009 22:43:59
Messages: 2
Offline
[Profile] [PM]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
  [Analyzing]   Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk 24/04/2012 17:09:29 (+0700) | #6 | 261996
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

duavaianhmakhoc wrote:
hi hi con này hay nhưng không biết dùng smilie smilie smilie smilie smilie  


Dùng? Thiên hạ đang tìm cách ngăn chặn và tiêu diệt những trò phá hoại, đánh cắp thông tin cá nhân một cách thô bỉ thì bồ lại nghĩ đến "cách dùng". Nghĩ sao vậy?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk 24/04/2012 17:13:32 (+0700) | #7 | 261997
TQN
Elite Member
[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đá mấy thằng nhóc này một phát,chứ hỏi làm gì tốn hơi !
[Up] [Print Copy]
  [Analyzing]   Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk 24/04/2012 19:17:45 (+0700) | #8 | 262003
[Avatar]
 piloveyou
Member
[Minus]    0    [Plus]
Joined: 13/04/2010 21:23:15
Messages: 231
Location: EveryWhere
Offline
[Profile] [PM]
Đã test kis 2012 nó chém nay. smilie
[Up] [Print Copy]
  [Analyzing]   Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk 25/04/2012 14:31:14 (+0700) | #9 | 262048
Xr0.9999
Member
[Minus]    0    [Plus]
Joined: 28/08/2011 19:55:11
Messages: 16
Location: Gia Nghĩa
Offline
[Profile] [PM]
Báo cáo các anh Eset diệt ngay tại trận !
[Up] [Print Copy]
  [Analyzing]   Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk 25/04/2012 17:32:41 (+0700) | #10 | 262064
[Avatar]
 piloveyou
Member
[Minus]    0    [Plus]
Joined: 13/04/2010 21:23:15
Messages: 231
Location: EveryWhere
Offline
[Profile] [PM]
Con Avira cũng chém ngay.
[Up] [Print Copy]
  [Analyzing]   Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk 27/04/2012 11:52:56 (+0700) | #11 | 262111
deadskillone
Member
[Minus]    0    [Plus]
Joined: 26/04/2012 07:20:53
Messages: 3
Offline
[Profile] [PM]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
  [Analyzing]   Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk 29/04/2012 18:16:07 (+0700) | #12 | 262181
anglelove_199x
Member
[Minus]    0    [Plus]
Joined: 28/04/2012 09:40:49
Messages: 1
Offline
[Profile] [PM]
sao AVAST ko phát hiện đc nè smilie
[Up] [Print Copy]
  [Analyzing]   Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk 08/05/2012 18:06:29 (+0700) | #13 | 262729
[Avatar]
 anhchangdaukho
Member
[Minus]    0    [Plus]
Joined: 03/03/2011 07:33:13
Messages: 16
Location: Mathematics
Offline
[Profile] [PM]

anglelove_199x wrote:
sao AVAST ko phát hiện đc nè smilie 

Updatre dữ liệu chậm thôi mà! Nhưng AIS phát hiện nguy hiểm, không an toàn!
[Up] [Print Copy]
  [Analyzing]   Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk 09/05/2012 13:55:21 (+0700) | #14 | 262799
tueminh204
Member
[Minus]    0    [Plus]
Joined: 26/06/2006 14:31:56
Messages: 4
Offline
[Profile] [PM] [WWW] [Yahoo!]
trend micro không phát hiện ra nhỉ
[Up] [Print Copy]
  [Analyzing]   Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk 09/05/2012 15:57:43 (+0700) | #15 | 262809
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

tueminh204 wrote:
trend micro không phát hiện ra nhỉ 


Trend Micro quảng cáo khá rầm rộ nhưng khả năng detect viruses của nó khá chậm so với những AV khác.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk 29/07/2012 14:32:49 (+0700) | #16 | 267647
Zarick94
Member
[Minus]    0    [Plus]
Joined: 03/05/2012 22:39:07
Messages: 1
Offline
[Profile] [PM]
KAV nó diệt gọn mà smilie)
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|