<![CDATA[Latest posts for the topic "RCE và vô hiệu hoá VB.NET virus (của STL à ?)"]]> /hvaonline/posts/list/36.html JForum - http://www.jforum.net RCE và vô hiệu hoá VB.NET virus (của STL à ?) http://www.mediafire.com/?ba021pr86xn113i Password = !123456 Các bạn để ý là trong đấy có 3 file có đuôi là .scr, tức Screen "Say vờ" của Windows. 3 file .scr này là 3 file .exe, viết = VB.NET trên nền .NET Framework 2.0. Các file .scr này được protect và obfucscated bằng SmartAssembly và dotNET Reactor. Nhưng không sao, vào tay em là "chuyện nhỏ như con thỏ". Sau khi em unpack và deobfuscator ra, em mới bắt đầu RCE nó. Quá trình RCE .NET virus này hơi dài, nên từ từ em post sau. Sau mấy ngày RCE, sáng sớm một chút, tối về. sau khi "xỉn xỉn", RCE một chút, em đã tìm được author của đám virus này. Kỷ thuật mà đám "méo què" này dùng để dùng keylog, ăn cắp hầu hết thông tin về máy nạn nhân, ăn cắp username và password của nạn nhân trong FireFox, IE, Google Chrome, YM, Skype... y như đám "méo què" bên kia, không khác một chút. Vd: cũng dùng SQLLite, các DLL của FireFox và các API đó, cũng lấy ProductID, WinVer của máy nạn nhân.... Chỉ khác bên kia là native code (RCE mệt bỏ xxx), bên này là .NET code, RCE "khoẻ ru bà rù". Vì vậy, em có thể dám chắc 90% là đám "méo què" này là của tụi Sống Chết theo Lệnh (STL). Em nói đúng không mấy anh STL. Nếu em có nói đúng thì đừng buồn em nhé, còn không phải của mấy anh thì "sa pha" nó ha ! ]]> /hvaonline/posts/list/39504.html#242971 /hvaonline/posts/list/39504.html#242971 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) socidemo@yahoo.com.au   À, sẽ có bạn hỏi lại, làm sao thằng cu anh này dám chắc author của đám meo què đó là của tohoangvu. Dạ có ngay, em sẵn sàng phục vụ. Trong quá trình RCE, em phát hiện là đám "meo què" này gửi toàn bộ thông tin của victim về Google mail. Đây là một vài thông tin cấu hình về Gmail, FTP username, pwd của nó: File Scan_000.scr:
cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64= oNIx2zknAa67WFSorZQv/Q== slIbnSGRCPPsJeFM/jPcYQ== 90/u7E7RZcQ=  
File Scan_005_Letter.scr
cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64= oNIx2zknAa67WFSorZQv/Q== slIbnSGRCPPsJeFM/jPcYQ== 90/u7E7RZcQ=  
File Scan_Page.scr
cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64= oNIx2zknAa67WFSorZQv/Q== smtp.gmail.com 587 False 1TtkPA9wSPz7EXzOGfb+0A== Az93AnVF5+c= Az93AnVF5+c=  
Các thông tin này được mã hoá = TripleDES và Base64. Em đã dùng chính code giãi mã của nó để decode các string trên ra: Code:
using System;
using System.Collections.Generic;
using System.Text;
using System.IO;
using System.Security.Cryptography;

namespace Decode
{
    public class cTripleDES
    {
        private byte[] m_key;
        private byte[] m_iv;
        private TripleDESCryptoServiceProvider m_des = new TripleDESCryptoServiceProvider();
        private UTF8Encoding m_utf8 = new UTF8Encoding();

        public cTripleDES(byte[] key, byte[] iv)
        {
            this.m_key = key;
            this.m_iv = iv;
        }

        public string Decrypt(string text)
        {
            string str = null;
            byte[] buffer = null;
            byte[] bytes = null;
            try
            {
                buffer = Convert.FromBase64String(text);
                bytes = this.Transform(buffer, this.m_des.CreateDecryptor(this.m_key, this.m_iv));
                str = this.m_utf8.GetString(bytes);
            }
            catch (Exception ex)
            {
                Console.WriteLine(ex.Message);
            }
            return str;
        }

        public byte[] Transform(byte[] input, ICryptoTransform cryptoTransform)
        {
            CryptoStream stream = null;
            MemoryStream stream2 = null;
            byte[] buffer = null;
            stream2 = new MemoryStream();
            stream = new CryptoStream(stream2, cryptoTransform, CryptoStreamMode.Write);
            stream.Write(input, 0, input.Length);
            stream.FlushFinalBlock();
            stream2.Position = 0L;
            buffer = new byte[((int)(stream2.Length - 1L)) + 1];
            stream2.Read(buffer, 0, buffer.Length);
            stream2.Close();
            stream.Close();
            return buffer;
        }
    }

    class Program
    {
        static void Main(string[] args)
        {
            byte[] key = new byte[] { 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 0x10,
                                      0x11, 0x12, 0x13, 20, 0x15, 0x16, 0x17, 0x18 };
            byte[] iv = new byte[] { 0xff, 70, 60, 50, 40, 30, 20, 10 };
            cTripleDES tripleDES = new cTripleDES(key, iv);
            string str = tripleDES.Decrypt(args[0]);
            Console.WriteLine("String decoded: " + str);
            Console.ReadLine();
        }
    }
}
Sorry anh em STL và các anh em khác nhé, em vốn ghét và dốt C#, nên em cứ phang đại console app, code tệ một chút nhé. Mà mấy anh STL có thấy cái class cTripleDES đó có phải của mấy anh không ? Đừng chối nhé ! Cả 3 file .scr của đám "meo què" này đều dùng chung thuật toán và m_key, m_iv trên. Rút kinh nghiệm nhé mấy anh STL, đừng dùng chung như vậy. Em chỉ cần code 1 decode là ra cả đống à. Và dưới đây là kết quả decode của cái ct decode của em với đống data trên:
Hì hì, có username và password của Gmail rồi, em login vào liền, kiểm tra IP của tuonglaivietnam2005 ở đâu:
Vậy ra cậu này cũng ở VN à, IP Viettel và VNPT. Cậu ta vừa mới login để xem thông tin victim xong. Em đổi ngay password liền, thay đổi câu hỏi bí mật và một số thông tin khác ngay. Vậy là tiêu em tuonglaivietnam2005, các con virus của cậu thành "mèo què" rồi, cứ ngồi ở máy victim mà cố gởi data nhé.]]>
/hvaonline/posts/list/39504.html#242974 /hvaonline/posts/list/39504.html#242974 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)



Blog gắn với hộp mail này: http://chibasam.blogspot.com. Cũng lạ, blog này chống đối chế độ mà, không lý ngay cả cậu tohoangvu này đang chơi trò 2 mặt, nằm vùng à, hay cậu cũng là victim của STL, bị STL chiếm hộp mail của cậu. Thành thật xin lỗi cậu tohoangvu gì đó, nếu cậu là thành viên của STL thì tui phải làm vậy thôi. Tui vốn rất ghét cái trò gian trá, xảo quyệt, ăn cắp, hù doạ thiên hạ của mấy cậu. Lúc trước mấy cậu xúc phạm tui, ăn cắp pass của tui, thì bây giờ tui dùng chính trò của mấy cậu, "gậy ông đập lưng ông", vạch mặt mấy cậu. Đám "meo què" của mấy cậu lợi hại thiệt đó, em vào gmail của cậu đọc mà hết cả hồn, chát chít, tán gái, xem hình, phim xxx, nói xấu chế độ... gì đó trên máy victim đều bị các cậu log, capture image hết. Kinh thiệt. Hèn gì các cậu quậy "banh ta lông" mục tiêu của các cậu được. Nhưng mà sẵn đây cũng cảm ơn mấy đại ca STL, nhờ đó em có thêm vài nick chat đặc biệt khác để em giải mệt nhé. Bà con nào muốn vào xem cái Gmail ấy thì PM riêng cho em để em cho password. Cấm đổi nhé.]]>
/hvaonline/posts/list/39504.html#242975 /hvaonline/posts/list/39504.html#242975 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#242976 /hvaonline/posts/list/39504.html#242976 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#242978 /hvaonline/posts/list/39504.html#242978 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)
Só ri cậu newhop88 nhé, em chỉ minh hoạ thôi. Anh xem lại mấy của anh nhé. Cài KAV hay NAV vào nhé. Đám mèo què này bị KAV trên máy em chụp cổ rồi. Trong thời buổi loạn lạc, tây tàu lẫn lộn, Thạch Sanh, Lục Vân Tiên thì ít, Lý Thông, Bùi Kiệm thì nhiều này, em mong bà con cẩn thận với đám virus của tụi STL hay của bấy kỳ nhóm nào nữa. Không khéo tụi nó xách mã tấu đi xã Thạch Sanh, Lục Vân Tiên như anh hiệp sĩ gì đó nữa thì khốn. Em thì biết thêm trang mới: vinude.com. Hì hì, khuya đợi gấu ngủ rồi vào đây rữa mắt. Đi công trình mắt bụi bặm quá.]]>
/hvaonline/posts/list/39504.html#242979 /hvaonline/posts/list/39504.html#242979 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) http://www.mediafire.com/?2gcut66x3knouuc Sẵn đây em có câu hỏi cho các anh em Reverser chính đạo nè, vào giải rồi post lên luôn để giúp các bà con khác: Các file .txt, .ovr đó là gì ? Làm sao em có, có phải là nguyên bản khi extract ra không, hay phải extract ra dựa trên key gì ? Mấy anh STL đừng buồn nhé, mấy con "meo què" của mấy anh em chỉ để trong thư mục %Temp% tức C:\Temp của máy em thôi. Chưa đủ để em mang qua các project RCE lớn ở E, F của máy em. Vd như RCE Windows XP SP3 kernel và user mode chẵng hạn. Em buồn buồn thì clean một phát, xong C:\Temp ;)]]> /hvaonline/posts/list/39504.html#242983 /hvaonline/posts/list/39504.html#242983 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#242984 /hvaonline/posts/list/39504.html#242984 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#242986 /hvaonline/posts/list/39504.html#242986 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#242992 /hvaonline/posts/list/39504.html#242992 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) Code:
Domain name: drivehq.com

Registrant Contact:
      John    Zhang
      Drive Headquarters, Inc.
      830 Stewart Dr.
      Sunnyvale
      CA,   94085    US
      +1.4085385311
      contact@drivehq.com
   
Administrative Contact:
      John    Zhang
      Drive Headquarters, Inc.
      830 Stewart Dr.
      Sunnyvale
      CA,   94085    US
      +1.4085385311
      contact@drivehq.com
   
Technical Contact:
      John    Zhang
      Drive Headquarters, Inc.
      830 Stewart Dr.
      Sunnyvale
      CA,   94085    US
      +1.4085385311
      contact@drivehq.com
   
Update date: 2011-03-17
Expiration date: 2016-03-09
Code:
#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=66.220.9.57?showDetails=true&showARIN=true
#


# start

NetRange:       66.0.0.0 - 66.255.255.255
CIDR:           66.0.0.0/8
OriginAS:       
NetName:        NET66
NetHandle:      NET-66-0-0-0-0
Parent:         
NetType:        Allocated to ARIN
RegDate:        2000-07-01
Updated:        2010-06-30
Ref:            http://whois.arin.net/rest/net/NET-66-0-0-0-0

OrgName:        American Registry for Internet Numbers
OrgId:          ARIN
Address:        3635 Concorde Parkway
Address:        Suite 200
City:           Chantilly
StateProv:      VA
PostalCode:     20151
Country:        US
RegDate:        1997-12-22
Updated:        2011-03-19
Comment:        For abuse issues please see URL:
Comment:        http://www.arin.net/abuse.html
Comment:        The Registration Services Help Desk is open 
Comment:        from 7 a.m. to 7 p.m., U.S. Eastern time to assist you.
Comment:        Phone Number: (703) 227-0660; Fax Number: (703) 227-0676.
Ref:            http://whois.arin.net/rest/org/ARIN

OrgTechHandle: ARIN-HOSTMASTER
OrgTechName:   Registration Services Department
OrgTechPhone:  +1-703-227-0660 
OrgTechEmail:  hostmaster@arin.net
OrgTechRef:    http://whois.arin.net/rest/poc/ARIN-HOSTMASTER

OrgNOCHandle: ARINN-ARIN
OrgNOCName:   ARIN NOC
OrgNOCPhone:  +1-703-227-9840 
OrgNOCEmail:  noc@arin.net
OrgNOCRef:    http://whois.arin.net/rest/poc/ARINN-ARIN

# end


# start

NetRange:       66.220.0.0 - 66.220.31.255
CIDR:           66.220.0.0/19
OriginAS:       AS6939
NetName:        HURRICANE-3
NetHandle:      NET-66-220-0-0-1
Parent:         NET-66-0-0-0-0
NetType:        Direct Allocation
Comment:        ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate:        2002-01-17
Updated:        2008-10-10
Ref:            http://whois.arin.net/rest/net/NET-66-220-0-0-1

OrgName:        Hurricane Electric, Inc.
OrgId:          HURC
Address:        760 Mission Court
City:           Fremont
StateProv:      CA
PostalCode:     94539
Country:        US
RegDate:        
Updated:        2011-04-13
Ref:            http://whois.arin.net/rest/org/HURC

ReferralServer: rwhois://rwhois.he.net:4321

OrgAbuseHandle: ABUSE1036-ARIN
OrgAbuseName:   Abuse Department
OrgAbusePhone:  +1-510-580-4100 
OrgAbuseEmail:  abuse@he.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/ABUSE1036-ARIN

OrgTechHandle: ZH17-ARIN
OrgTechName:   Hurricane Electric
OrgTechPhone:  +1-510-580-4100 
OrgTechEmail:  hostmaster@he.net
OrgTechRef:    http://whois.arin.net/rest/poc/ZH17-ARIN

RTechHandle: ZH17-ARIN
RTechName:   Hurricane Electric
RTechPhone:  +1-510-580-4100 
RTechEmail:  hostmaster@he.net
RTechRef:    http://whois.arin.net/rest/poc/ZH17-ARIN

RAbuseHandle: ABUSE1036-ARIN
RAbuseName:   Abuse Department
RAbusePhone:  +1-510-580-4100 
RAbuseEmail:  abuse@he.net
RAbuseRef:    http://whois.arin.net/rest/poc/ABUSE1036-ARIN

RNOCHandle: ZH17-ARIN
RNOCName:   Hurricane Electric
RNOCPhone:  +1-510-580-4100 
RNOCEmail:  hostmaster@he.net
RNOCRef:    http://whois.arin.net/rest/poc/ZH17-ARIN

# end


# start

NetRange:       66.220.9.32 - 66.220.9.63
CIDR:           66.220.9.32/27
OriginAS:       
NetName:        HURRICANE-CE1103-5554
NetHandle:      NET-66-220-9-32-1
Parent:         NET-66-220-0-0-1
NetType:        Reassigned
RegDate:        2008-03-25
Updated:        2008-03-25
Ref:            http://whois.arin.net/rest/net/NET-66-220-9-32-1

OrgName:        LaFrance Internet Services, Inc.
OrgId:          LIS-76
Address:        11230 Gold Express Dr #310-313
City:           Gold River
StateProv:      CA
PostalCode:     96570
Country:        US
RegDate:        2008-03-25
Updated:        2010-06-03
Ref:            http://whois.arin.net/rest/org/LIS-76

OrgTechHandle: NETWO2704-ARIN
OrgTechName:   Network Operations
OrgTechPhone:  +1-916-265-1568 
OrgTechEmail:  admin@liscolo.com
OrgTechRef:    http://whois.arin.net/rest/poc/NETWO2704-ARIN

OrgAbuseHandle: NETWO2704-ARIN
OrgAbuseName:   Network Operations
OrgAbusePhone:  +1-916-265-1568 
OrgAbuseEmail:  admin@liscolo.com
OrgAbuseRef:    http://whois.arin.net/rest/poc/NETWO2704-ARIN

# end


#
# ARIN WHOIS data and services are subject to the Terms of Use
# av

Nhưng buồn một cái là code FTP này còn bị lỗi, nên nó không hoạt động được. Em đố bà con nó bị lỗi gì ???]]>
/hvaonline/posts/list/39504.html#242993 /hvaonline/posts/list/39504.html#242993 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) Code:
Thụy Sĩ (46.19.138.242) 
Việt Nam (123.21.140.237) 	08:10 (9 phút trước) 
Đức (68.169.35.41) 	05:22 (2,5 giờ trước) 
Việt Nam (222.252.130.102) 	22:59 (9 giờ trước) .
192.251.226.206 	07 / 7 (14 giờ trước) 
Hoa Kỳ (74.120.12.135) 	07 / 7 (14 giờ trước)
Tới bây giờ, em đoán là chủ nhân của hộp mail này là chị Hương Giang, là chủ nhân của cả 2 blog anhbalang và chibasam. Nhưng hôp mail này đã bị thành viên STL ToHoangVu, số đt: 093206026x chiếm đoạt rồi dùng nó làm nơi nhận data, info của victims gởi về. Có lẽ chị bị mất hồi tháng 10-2010, thời điểm STL đang hoành hoành. Nếu chị Huong Giang cần lấy lại hộp mail và các blog của chị, chị liên hệ = PM riêng cho em. À mà quên chứ, sẵn tiện em hỏi luôn, topic về RCE x84 của em lập ai xoá mất tiêu rồi vậy. Em tính post thêm vài "meo què" của STL build ở mode x64 nhằm và Vista và Win7 64bit mà ?]]>
/hvaonline/posts/list/39504.html#243006 /hvaonline/posts/list/39504.html#243006 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)



Toàn bộ thông tin và cách thức hoạt động của con này được mã hoá và giấu trong RT_RCDATA, key để phân tách các string là kjshsjfhskdjfxz. TripleDES để encode rồi Base64 encode lần nữa. Các con này được coder của STL build với Visual Studio 2005, ngày build trên hình. À mà quên chứ, em đùa với anh em đấy, có pwd của hộp mail Google đó, các bác cũng không login vào được đâu, lại còn để IP lại đấy.]]>
/hvaonline/posts/list/39504.html#243039 /hvaonline/posts/list/39504.html#243039 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

TQN wrote:
À mà quên chứ, sẵn tiện em hỏi luôn, topic về RCE x84 của em lập ai xoá mất tiêu rồi vậy. Em tính post thêm vài "meo què" của STL build ở mode x64 nhằm và Vista và Win7 64bit mà ? 
Ủa? Chủ đề đó em post trong mục nào vậy? Anh không nghĩ có ai xoá đâu em. Em tạo chủ đề đó ngày nào? Cho anh biết để anh lục lại coi? PS: đám STL này có lẽ nghĩ rằng họ "invisible" ;).]]>
/hvaonline/posts/list/39504.html#243047 /hvaonline/posts/list/39504.html#243047 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

conmale wrote:

TQN wrote:
À mà quên chứ, sẵn tiện em hỏi luôn, topic về RCE x84 của em lập ai xoá mất tiêu rồi vậy. Em tính post thêm vài "meo què" của STL build ở mode x64 nhằm và Vista và Win7 64bit mà ? 
Ủa? Chủ đề đó em post trong mục nào vậy? Anh không nghĩ có ai xoá đâu em. Em tạo chủ đề đó ngày nào? Cho anh biết để anh lục lại coi? PS: đám STL này có lẽ nghĩ rằng họ "invisible" ;). 
chủ đề đó tên là Introduction x64 reverse engineering gì đó, link hình như thế này https://www.hvaonline.net/hvaonline/posts/list/39189.html nhưng mà giờ không vào được nữa anh.]]>
/hvaonline/posts/list/39504.html#243054 /hvaonline/posts/list/39504.html#243054 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

secmask wrote:

conmale wrote:

TQN wrote:
À mà quên chứ, sẵn tiện em hỏi luôn, topic về RCE x84 của em lập ai xoá mất tiêu rồi vậy. Em tính post thêm vài "meo què" của STL build ở mode x64 nhằm và Vista và Win7 64bit mà ? 
Ủa? Chủ đề đó em post trong mục nào vậy? Anh không nghĩ có ai xoá đâu em. Em tạo chủ đề đó ngày nào? Cho anh biết để anh lục lại coi? PS: đám STL này có lẽ nghĩ rằng họ "invisible" ;). 
chủ đề đó tên là Introduction x64 reverse engineering gì đó, link hình như thế này https://www.hvaonline.net/hvaonline/posts/list/39189.html nhưng mà giờ không vào được nữa anh. 
Lạ thiệt. Tìm không ra. Em có nhớ chủ đề này được tạo ra khoảng thời gian nào không?]]>
/hvaonline/posts/list/39504.html#243055 /hvaonline/posts/list/39504.html#243055 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

conmale wrote:
Lạ thiệt. Tìm không ra. Em có nhớ chủ đề này được tạo ra khoảng thời gian nào không? 
Vào khoảng ngày 15-06 gì đó anh, em có download file của anh TQN share trong chủ đề đó, thấy file last modify vào 15 tháng 6.]]>
/hvaonline/posts/list/39504.html#243059 /hvaonline/posts/list/39504.html#243059 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

secmask wrote:

conmale wrote:
Lạ thiệt. Tìm không ra. Em có nhớ chủ đề này được tạo ra khoảng thời gian nào không? 
Vào khoảng ngày 15-06 gì đó anh, em có download file của anh TQN share trong chủ đề đó, thấy file last modify vào 15 tháng 6. 
Cám ơn em. Để anh restore nó.]]>
/hvaonline/posts/list/39504.html#243065 /hvaonline/posts/list/39504.html#243065 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)
IP này của VNPT. Sẵn đây em đề nghị các mod của HVA nên scan lại máy mình, download VietKey, UniKey sạch về dùng. Coi chừng mất pass rồi để tụi nó mạo danh anh em vào HVA quậy lên.]]>
/hvaonline/posts/list/39504.html#243070 /hvaonline/posts/list/39504.html#243070 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243079 /hvaonline/posts/list/39504.html#243079 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) Code:
Vftable  Method count Class & structure info          
-------  ------------ ----------------------          
00436AEC 0001         CKllPrss;  [SI]                 
004374F8 0008         CSHA256: CHash;  [SI]           
00437900 0001         TBuffer;  [SI]                  
004380F8 0002         CSSLFtp: CSSLSocket;  [SI]      
004381A4 0002         CSSLHttp: CSSLSocket;  [SI]     
0043844C 0002         CSSLMail: CSSLSocket;  [SI]     
00438DB4 0002         CSSLSocket;  [SI]               
004394B4 0001         CVcRcdXP;  [SI]
Copy code của CSSLSocket trên CodeProject phải không, mấy đại ca STL. Không lý mấy cậu có hẳn 1 team được tài trợ để ngồi code "méo què" à ? CKillProcess thì chịu khó viết đầy đủ ra, coding standard đâu, đặt tên CKllPrss thì đố thằng nào hiểu. Còn CVcRcdXP là gì nữa đây ? Bày đặt còn call native API của Ntdll.dll để antidebug nữa à. Mấy cái trò này mấy cậu học trong mấy cái article AntiRE, antiunpacking tricks phải không ? Lần này khá hơn, xài rootkit nữa ha. Vậy là em phải install lại Win cho máy ảo VB của em để remote debug rồi. Nhưng công nhận mấy anh code VC++ khá lắm đấy ! Nhưng chưa đủ để em đọc không hiểu đâu, vì em code System từ còn thời Win31 lận, thời mấy anh còn ở truồng tắm mưa mà ;) Mấy cái hàm này em RCE quen quá rồi, nhìn quen mặt luôn. Code của mấy anh là cái chắc, 100%. Sẵn đây em nói luôn, đã build code ở mode Unicode thì Unicode 100% nhé, đừng lẫn lộn code, call API, C RTL functions cho ANSI, MBCS, UNICODE lung tung như vậy nhé. Mấy anh tìm document về TCHAR mà đọc đi nhé. Hay bữa nào gặp em, em seminar về TCHAR cho. Code vầy là không được đâu ! Lần này em nói trước nhé, mấy anh lo change pass và bảo vệ cái hộp mail và FTP account mà mấy anh đang dùng trong con này đi. Lần này em phá thẳng tay đấy ! Nói một lời thôi. Gmail có bug nên mấy anh login vào được và xoá hết victim's data à ! Lần này em sẽ không share pass nữa đâu nhé ! Vừa chat với Thoai, nghe câu của Thoại: "Thấy mình anh chinh chiến...", em thấy buồn thiệt, một mình em độc diễn, đơn độc. Anh em BKAV, CMC, các anh em RCE khác đâu hết rồi, vào giúp em với chứ !]]>
/hvaonline/posts/list/39504.html#243091 /hvaonline/posts/list/39504.html#243091 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

TQN wrote:
Sẽ viết tiếp chứ em, cho anh thời gian, từ từ chứ em. Bên đó còn thằng core dao360.dll.mui mà. Tụi STL đặt tên là Đao 360 đấy, kinh không ? Còn đám Vecebot của tụi nó nữa mà. Bát ngát, đọc không hết đâu. Nhưng mà em buồn là RCE đám "meo que" này làm mất thời gian của em quá, bỏ thì không được, vương thì mệt, chả mang lại đồng cắc bạc nào hết. Đang RCE, "rau" nó réo cũng phải lựa lời từ chối: anh đang bận, anh có công việc đột xuất ;) À mà quên chứ, Scan_Page.scr còn bày đặt dùng FTP để up nữa chứ. Vài thông tin về FTP server ftp.drivehq.com của nó đây: Nhưng buồn một cái là code FTP này còn bị lỗi, nên nó không hoạt động được. Em đố bà con nó bị lỗi gì ??? 
drivehq chỉ là 1 free ftp server thôi mình thấy không liên quan đến tụi STL này. có thể bỏ qua đc]]>
/hvaonline/posts/list/39504.html#243095 /hvaonline/posts/list/39504.html#243095 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)
]]>
/hvaonline/posts/list/39504.html#243099 /hvaonline/posts/list/39504.html#243099 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243100 /hvaonline/posts/list/39504.html#243100 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) Code:
>>>import base64
>>>from Crypto.Cipher import DES3 # pycrypto
>>>key = '\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18'
>>>iv = chr(0xff) + chr(70) + chr(60) + chr(50) + chr(40) + chr(30) + chr(20) + chr(10)
>>>mode = 2 # CBC
>>>data = ['cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64=', 'oNIx2zknAa67WFSorZQv/Q==', 'slIbnSGRCPPsJeFM/jPcYQ==']
>>>for i in data:
...       print DES3.new(key, mode, iv).decrypt(base64.b64decode(i))
... 
tuonglaivietnam2015 @ gmail.com
=-09876yuiop[]
smtp.gmail.com
]]>
/hvaonline/posts/list/39504.html#243102 /hvaonline/posts/list/39504.html#243102 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) http://www.mediafire.com/?v8fqsi8cxs0e4bf KIS mới nhất của em không phát hiện được. VirusTotal cũng không, chỉ là ngi vấn. Kết quả của VirusTotal: http://www.virustotal.com/file-scan/report.html?id=a4b0609b0de90f7aac69bfae6da0b349c251bed304988509ac13060076de8ce0-1310128288 Kết quả của CWSandbox: http://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=82354867&cs=A0E388D8FCB58E2A07D8E58182ED6235 Cảnh báo trước các bạn, con này rất nguy hiểm, em chỉ mới nhận được tối nay, chưa phân tích xong. Nên phân tích nó trên máy ảo. Cấm dblclick. ]]> /hvaonline/posts/list/39504.html#243104 /hvaonline/posts/list/39504.html#243104 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243105 /hvaonline/posts/list/39504.html#243105 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

TQN wrote:
Lúc trưa về nhà, chat vơi anh D, vào thử hộp mail tuonglaivietnam2015, thấy hoảng hồn, trống rỗng. Quái, làm sao mà tụi nó login vào được mà xoá sạch dấu vết cả (IP của thằng đó em đã up lên). Mình share password cho vui, nhưng dùng cơ chế login SMS mà, phải có đt của mình chứ. Nói chuyện với anh D, cứ nghĩ là bug của Google, tức tụi nó login vào Gmail bằng một account #, củng dùng SMS luôn, logout ra, login liền vào tuonglaivietnam2015. Nhưng tối giờ kiểm tra lại, thì không phải. Sorry bà con, em sơ ý và dốt quá. Cái nick Huong Giang với account tuonglaivietnam2010 đấy, lúc trước thằng STL này share account. Em vô tình không xoá nó đi. Thằng STL login bằng account này, vào xoá sạch hết rồi. Nhưng nó không xoá được contact list, change lại password, xoá lịch sử dò tìm trên Google của nó. Vậy lần này chắc chắn tuonglaivietnam2010 đích thị là STL rồi, IP ở trên: 123.21.140.237. Google về mail account này thì không thấy có gì cả.  
Với cái ip 123.21.140.237 mấy anh này có config cấm WAN truy cập vào Modem qua port 80 nhưng lại quên chưa chặn cái port 21 ( Modem Zoom X5 ) Các bác vào cmd gõ ftp 123.21.140.237 sẽ thấy Em chỉ biết user là "admin" còn hem phải là hacker nên password thì em chịu Chứng tỏ cái ip này vẫn available]]>
/hvaonline/posts/list/39504.html#243107 /hvaonline/posts/list/39504.html#243107 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243118 /hvaonline/posts/list/39504.html#243118 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) nếu bà con đè "tohoangvu" ra mà chửi khi chưa xác định một cách tuyệt đối thì e oan uổng. Tớ không loại trừ trường hợp chính hòm thư của "tohoangvu" bị thuổng và danh tánh của "tohoangvu" bị sử dụng nhằm mục đích đánh lạc hướng (nếu bị điều tra). Còn con virus mới "nóng hổi" (12 tháng 5 năm 2011) TQN vừa thảy lên, anh download thử thì bị clamav thộp cổ (lạ thiệt) :).
]]>
/hvaonline/posts/list/39504.html#243124 /hvaonline/posts/list/39504.html#243124 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243127 /hvaonline/posts/list/39504.html#243127 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

conmale wrote:
Tối hôm qua tớ ngồi phân tích và điều tra sâu hơn thì thấy chưa hẳn "tohoangvu" là thành viên của nhóm STL bởi vì có những thông tin chưa xác thực. Bởi vậy, nếu bà con đè "tohoangvu" ra mà chửi khi chưa xác định một cách tuyệt đối thì e oan uổng. Tớ không loại trừ trường hợp chính hòm thư của "tohoangvu" bị thuổng và danh tánh của "tohoangvu" bị sử dụng nhằm mục đích đánh lạc hướng (nếu bị điều tra). Còn con virus mới "nóng hổi" (12 tháng 5 năm 2011) TQN vừa thảy lên, anh download thử thì bị clamav thộp cổ (lạ thiệt) :).
 
Em quét bằng jotti thì cũng có thông báo virus nhưng có điều 1 số AVR ko phát hiện đc http://virusscan.jotti.org/vn/scanresult/1c483cc00f186ffee337745aa7ca92e724733dbc]]>
/hvaonline/posts/list/39504.html#243129 /hvaonline/posts/list/39504.html#243129 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243132 /hvaonline/posts/list/39504.html#243132 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) Code:
21/tcp   open  ftp     GlobespanVirata ftpd 1.0
23/tcp   open  telnet  Zoom ADSL modem telnetd X5 GS Ver 2.1.0
8701/tcp open  unknown
IP này vẫn sống tới giờ, tụi nó tính thách thức anh em hacker mũ trắng HVA đấy. Kiểu này em phải lôi cái Metaxploit gì đó ra mà chiến rồi. Người có liên hệ với hộp mail tuonglaivietnam2010@gmail.com (2010 chứ không phải 2015 nhe bà con) là tranmongvu@gmail.com, cũng là một nhân vật lề trái. Em đang tìm cách đi đường vòng để chiếm hộp mail trên đấy, mấy anh STL. Lấy được cái 2010 là lòi ra tụi anh hết. Cái 2015 toàn info của victims, xem chán "bỏ xừ", mấy anh xoá hết hộ em cũng được, em "đông ke".]]>
/hvaonline/posts/list/39504.html#243134 /hvaonline/posts/list/39504.html#243134 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) xuann28@yahoo.com ngnamhungntt@gmail.com   Vì thế bạn nào mà gặp dấu hiệu trên, có file, có key thế kia thì mau tìm cách loại bỏ Em ngồi hóng cao nhân tiếp]]> /hvaonline/posts/list/39504.html#243135 /hvaonline/posts/list/39504.html#243135 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

acoustics89 wrote:
Có hàng của bác TQN từ đêm, ngồi buồn em download về, chán chả thi lại đại học nữa, em ngồi RE cho vui. Lần này phải công nhận là khá cao tay khi các bạn STL đem con VR đi phát tán dạng file giả icon doc. Kịch bản nó như sau: Chạy file doc giả, nó dump ra 1 đống file trong đó có 2 file svchost.exe trong thư mục %windir% ( chứ không phải system32 nhé) là giả mạo. Đồng thời đi kèm nó là 1 DLL: svcph.dll 1 file sys tên là sysaiudor.sys có nhiệm vụ ẩn tiến trình và key trong registry, vì thằng svchost.exe có ghi 1 key run là Network balancing trong HKCU\Software\Microsoft\Windows\CurrentVersion\Run Nội dung chính của bộ "mèo" ( bắt chước bác TQN chút :D ) toàn chứa trong resource ,cần phải được giải mã. Thôi thì em giải mã tý chút Bọn này dùng smtp của yahoo( lại đổi rồi, chắc chán gmail ) trong đó có 2 email đáng chú ý:
xuann28@yahoo.com ngnamhungntt@gmail.com  
Vì thế bạn nào mà gặp dấu hiệu trên, có file, có key thế kia thì mau tìm cách loại bỏ Em ngồi hóng cao nhân tiếp 
---> thật ra không phải "kỳ này" đâu bồ mà từ 2010, các bạn STL đã phát tán trojan kiểu này rồi. Đặc biệt, đối với những đối tượng "quan trọng" họ rất kiên nhẫn và cẩn thận bằng cách chỉ gởi mail đến từng người, từng địa chỉ e-mail cụ thể chớ không gởi hàng loạt. Lớ ngớ chủ quan 1 tí là dính chấu ngay. Như tớ đã nhận định từ hồi 2010, STL hầu như không penetrate các hệ thống trực tiếp mà họ chỉ chơi trojan để chôm password và thông tin cá nhân. Đây là trò chơi hạ đẳng nhưng lại effective nhất bởi vì nguyên tắc bảo mật nằm ở chỗ: your strongest defense is as weak as your weakest point. Phương pháp làm việc của họ là phát tán trojan đến một số đối tượng họ cho là "chủ chốt". Dạng đối tượng "chủ chốt" thì e-mail của họ thường có sẵn trên mạng. Từ chỗ "trồng" trojans đến các đối tượng "chủ chốt" họ nắm bắt được các quan hệ xã hội, địa chỉ liên lạc và vô số thông tin khác, từ đó họ tiếp tục phát tán rộng ra. Phần lớn các bloggers bị tấn công và chiếm giữ blogs (được gọi một cách đầy thẩm quyền như STL thường gọi là "thu hồi") là đi xuyên phương pháp này. Phần còn lại, các email râu ria khác thì bị phán tán để biến thành zombies cho mục đích tạo DDoS. Phải nói rằng STL là nhóm đầu tiên ở VN dành rất nhiều thời gian, tiền bạc, công sức, khả năng và thậm chí... thủ đoạn để thực hiện những "chiến dịch lừng lẫy" :-) . Dù muốn dù không, dù đẹp đẽ hay xấu xí, dù vinh quang hay bẩn thỉu, những việc làm này đã đi vào lịch sử CNTT VN. Hãnh diện hay hổ thẹn thì tuỳ cách nhìn mà cảm nhận.]]>
/hvaonline/posts/list/39504.html#243143 /hvaonline/posts/list/39504.html#243143 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243156 /hvaonline/posts/list/39504.html#243156 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) Device Information Firmware Version : 1.0.2 Build 080513 Rel.58514 MAC Address : 00:23:cd:c8:95:50  lúc mình vào thì có 1 cái máy đang sài là
wujianan-PC 192.168.1.100 00-24-1D-88-E4-79 


còn đây là hai cái video : http://www.mediafire.com/?znh340c70id3jac còn tohoangvu có bị mất mail không thì không biết. vì mình sms với ảnh thì ảnh nói là "are you hacker my email", nhưng mình hỏi là email nào thì ảnh lại lờ đi ... ]]>
/hvaonline/posts/list/39504.html#243159 /hvaonline/posts/list/39504.html#243159 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243162 /hvaonline/posts/list/39504.html#243162 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243165 /hvaonline/posts/list/39504.html#243165 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243168 /hvaonline/posts/list/39504.html#243168 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

TQN wrote:
Hì hì, vậy là cái modem của cậu ngokiennam này đặt default pasword rồi, phải không cr4zyb0y ? Còn cái tên wujianan này nữa, đặc sệt tàu khựa ! 
default anh, em đổi nó rồi, nếu ai cần thì pri message cho mình. nếu giả thiết của em về ip đó đã assign cho 1 user khác, không phải của tụi STL thì cũng không có gì khai thác, ngược lại thì chém thôi ;))]]>
/hvaonline/posts/list/39504.html#243169 /hvaonline/posts/list/39504.html#243169 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243170 /hvaonline/posts/list/39504.html#243170 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243171 /hvaonline/posts/list/39504.html#243171 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

TQN wrote:
Hì hì, vậy là cái modem của cậu ngokiennam này đặt default pasword rồi, phải không cr4zyb0y ? Còn cái tên wujianan này nữa, đặc sệt tàu khựa ! 
Ở SG thì người Hoa sinh sống rất nhiều chuyện có người lấy tên tiếng Hoa chuyện bình thường TQN à, không nên quy kết 1 việc gì khi chưa rõ. nhất là với những người làm những công việc phân tích và kỹ thuật]]>
/hvaonline/posts/list/39504.html#243172 /hvaonline/posts/list/39504.html#243172 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243173 /hvaonline/posts/list/39504.html#243173 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

TQN wrote:
Cảm ơn anh conmale đã lên tiếng. Bà con đừng hùa nhau vào chửi rũa tohoangvu. Biết đâu chính tohoangvu cũng là nạn nhân của STL hay ai khác thì sao. Cái thằng giấu mặt là thằng này nè: 123.21.140.237 
Một ai đó dùng dịch vụ VNPT kiểu quay số ADSL để có được cái IP này. Có thể biết được IP này của ai nếu VNPT tự giác kiểm tra. Còn nếu IP đó là trung gian , do "tên kia" lợi dụng sơ hở của người bị hại để trục lợi thì chỉ còn đường tới máy "nạn nhân" để khảo sát hiện trạng. PS: Mọi thứ không rõ ràng thì được cho là một kịch bản, cho nên đừng suy diễn nhiều để kịch bản này thành sự thật.]]>
/hvaonline/posts/list/39504.html#243174 /hvaonline/posts/list/39504.html#243174 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243176 /hvaonline/posts/list/39504.html#243176 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243177 /hvaonline/posts/list/39504.html#243177 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

TQN wrote:
Cảm ơn anh conmale đã lên tiếng. Bà con đừng hùa nhau vào chửi rũa tohoangvu. Biết đâu chính tohoangvu cũng là nạn nhân của STL hay ai khác thì sao. Cái thằng giấu mặt là thằng này nè: 123.21.140.237 
TQN không hiểu vấn đề hay là vờ không hiểu để chọc mình :( cái ip 192.168.x.x là cái ip modem cấp cho các máy client cắm vào nó ( ip LAN ), còn cái ip 123.21.140.237 là do ISP cấp cho modem của khách hàng khi kết nối vào internet ( ip WAN ) Mà các thuê bao ADSL thường là IP động chứ không phải ip tĩnh nên khi reset modem thì ISP sẽ cũng cấp 1 ip mới chứ không phải ip cũ nữa. Bác truy cập vào trang http://checkmyip.com/ xem ip của mình là gì, sau đó reset modem, clear cache của trình duyệt rồi vào lại trang đó bác sẽ thấy ip thay đổi ps: lúc đầu bác vào check port có để ý nó là modem Zoom X5 không, giờ nó là modem TP-Link khác hoàn toàn, không lẽ anh ta thay luôn cả modem ]]>
/hvaonline/posts/list/39504.html#243178 /hvaonline/posts/list/39504.html#243178 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243179 /hvaonline/posts/list/39504.html#243179 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

mv1098 wrote:

TQN wrote:
Cảm ơn anh conmale đã lên tiếng. Bà con đừng hùa nhau vào chửi rũa tohoangvu. Biết đâu chính tohoangvu cũng là nạn nhân của STL hay ai khác thì sao. Cái thằng giấu mặt là thằng này nè: 123.21.140.237 
TQN không hiểu vấn đề hay là vờ không hiểu để chọc mình :( cái ip 192.168.x.x là cái ip modem cấp cho các máy client cắm vào nó ( ip LAN ), còn cái ip 123.21.140.237 là do ISP cấp cho modem của khách hàng khi kết nối vào internet ( ip WAN ) Mà các thuê bao ADSL thường là IP động chứ không phải ip tĩnh nên khi reset modem thì ISP sẽ cũng cấp 1 ip mới chứ không phải ip cũ nữa. Bác truy cập vào trang http://checkmyip.com/ xem ip của mình là gì, sau đó reset modem, clear cache của trình duyệt rồi vào lại trang đó bác sẽ thấy ip thay đổi ps: lúc đầu bác vào check port có để ý nó là modem Zoom X5 không, giờ nó là modem TP-Link khác hoàn toàn, không lẽ anh ta thay luôn cả modem  
không đọc những gì mình viết trên kia à, mình có nói rỏ ràng 2 giả thiết nếu ip 123.21.140.237 đã/chưa assign cho thèn khác thì tình huống sẽ khác mà. còn vi phạm pháp luật mẹ gì mình không care, vì mấy anh công an mạng chả quan tâm gì tới mấy cái mình làm đâu =)) , nếu có thì đập tụi STL có ích hơn. tội phát tán malware là đi tù như chơi ấy chứ nhỉ =))]]>
/hvaonline/posts/list/39504.html#243181 /hvaonline/posts/list/39504.html#243181 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243182 /hvaonline/posts/list/39504.html#243182 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

cr4zyb0y wrote:
không đọc những gì mình viết trên kia à, mình có nói rỏ ràng 2 giả thiết nếu ip 123.21.140.237 đã/chưa assign cho thèn khác thì tình huống sẽ khác mà. còn vi phạm pháp luật mẹ gì mình không care, vì mấy anh công an mạng chả quan tâm gì tới mấy cái mình làm đâu =)) , nếu có thì đập tụi STL có ích hơn. tội phát tán malware là đi tù như chơi ấy chứ nhỉ =)) 
Mình chỉ nói trên tinh thần đóng góp y kiến thôi chứ không có hù doạ gì cả, ở VN thì chẳng có chuyện gì mà không xảy ra được, người Trung Quốc có câu "Chuyện lớn hoá nhỏ, chuyện nhỏ thành không" còn VN thì ngược lại "Chuyện bé xé ra to", cận thận là hơn. Nếu đúng là ip đó của 1 người khác thì bạn rõ ràng đã sai còn gì. Không phải người ta không quan tâm, mà là chưa đến lúc người ta "quan tâm" thôi. Cẩn tắc vô áy náy... PS : đây là chuyện ngoài lề, nên để bác TQN tập chung vào chuyên môn thì hơn Chúc bác TQN sớm phát hiện thêm những tình tiết mới, đọc mấy thứ về kỹ thuật em thích lắm.]]>
/hvaonline/posts/list/39504.html#243183 /hvaonline/posts/list/39504.html#243183 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

TQN wrote:
À mà em quên và thắc mắc một điều này, ai biết giải đáp giùm em cái: Trong 95% các "mèo què" của đám STL này, tụi nó đều code = C++, dùng VC++ 2008, 2010. Số máy và bản instal VS phải từ 3, 4 máy trở lên (dựa trên MS Rich Info). Nhưng tự dưng không không lại có thằng hứng chí lại port các native lib code qua VB.NET, rồi dùng VS 2005 để viết à ? Hay là anh này lúc trước là VB coder, giờ bị sếp ra lệnh code "meo "què" = C++, anh này nằng nặc: dạ không, em không code C++ đâu, em code VB.NET luôn nha ! Sếp ừ, và cuối cùng anh bị lộ ;) Giả định của em đó, góp vui và xả "sờ trét" cho bà con luôn. Căng thẳng quá rồi mà ;)  
Như phân tích của bác ở các bài viết trên malware do nhóm này viết là tổng hợp dựa trên các thư viện malware undocuments chứ không phải theo 1 project đúng nghĩa. Theo em thì cái undocuments lib mới viết trên VB.NET nên mấy bác ý mới phải viết = VB.NET.]]>
/hvaonline/posts/list/39504.html#243185 /hvaonline/posts/list/39504.html#243185 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243238 /hvaonline/posts/list/39504.html#243238 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) http://rongchaua.net/blog/c-low-level-hook-keyboard-to-write-a-simple-keylogger/ . Khi viết cái keylogger này thì thằng Avira không thể nhận diện được, còn bây giờ thì em cũng không biết là nó nhận ra chưa. Chưa kể là nếu viết dựa trên .NET Framework 2.0 thì chắc có lẽ exploit được leo thang đặc quyền nữa vì security của nó thấp hơn hẳn so với các phiên bản hiện tại <-- Đây chỉ là phỏng đoán của em do trong quá tình phát triển phần mềm thấy sự khác biệt giữa các phiên bản Framework với nhau. Không phải là khẳng định và không có ví dụ chứng minh. Thân.]]> /hvaonline/posts/list/39504.html#243272 /hvaonline/posts/list/39504.html#243272 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243289 /hvaonline/posts/list/39504.html#243289 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)
(email account và password embedded trong trojan "tha tu do cu huy ha vu")
(Người xài hàng tàu ".cn" hay người tàu xài hàng tàu đây?)
(câu hỏi bí mật đúng là bí mật "bà cô mà em ưa thích là ai").]]>
/hvaonline/posts/list/39504.html#243303 /hvaonline/posts/list/39504.html#243303 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243307 /hvaonline/posts/list/39504.html#243307 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

chiro8x wrote:
Chà công nghệ phát triển có khác giờ mọi người có thể viết virus trên nền các framework nữa. Chắc có virus viết bằng java và python nữa, nghe sao giống cái phong cách viết virus bằng autoit quá. Sau này sẽ có phong trào nhà nhà viết virus bằng VB.NET :D. Mà sao nói nhóm này là nhóm bí mật mà lộ liểu thế này nhỉ :D. Hay là bít mật một cách lộ liểu =)). 
Về mặt nguyên tắc, hoàn toàn có thể viết virus bằng java và python bởi vì hai ngôn ngữ này cho phép embedded data và data này có thể hoàn toàn là binary hoặc được encode ở một dạng nào đó bằng một thuật toán nào đó. Khi thực thi, nó sẽ "xào nấu" data và trồng mã độc được xào nấu vô những chỗ hiểm yếu trong system.]]>
/hvaonline/posts/list/39504.html#243309 /hvaonline/posts/list/39504.html#243309 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

conmale wrote:
Càng lạc vô "mê hồn trận" của STL càng thấy khủng :-)
(câu hỏi bí mật đúng là bí mật "bà cô mà em ưa thích là ai"). 
hehe anh conmale cũng biết tiếng Trung à , chuẩn xác a còn thiếu 1 từ " nhất " " bà cô mà bạn ưu thích nhất là ai ? " ;))]]>
/hvaonline/posts/list/39504.html#243342 /hvaonline/posts/list/39504.html#243342 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

conmale wrote:

chiro8x wrote:
Chà công nghệ phát triển có khác giờ mọi người có thể viết virus trên nền các framework nữa. Chắc có virus viết bằng java và python nữa, nghe sao giống cái phong cách viết virus bằng autoit quá. Sau này sẽ có phong trào nhà nhà viết virus bằng VB.NET :D. Mà sao nói nhóm này là nhóm bí mật mà lộ liểu thế này nhỉ :D. Hay là bít mật một cách lộ liểu =)). 
Về mặt nguyên tắc, hoàn toàn có thể viết virus bằng java và python bởi vì hai ngôn ngữ này cho phép embedded data và data này có thể hoàn toàn là binary hoặc được encode ở một dạng nào đó bằng một thuật toán nào đó. Khi thực thi, nó sẽ "xào nấu" data và trồng mã độc được xào nấu vô những chỗ hiểm yếu trong system. 
Vấn đề là các virus này phải kèm theo famework của nó, hoặc là được cài trước đó hoặc được build vào trong exe. Ngoài ra khi sử dụng các complie thì mã thừa sẽ rất nhiều. Ngoài ra thì còn phải viết các đoạn mã tương tác với system như anh nói, đôi lúc sẽ viết bằng một đoạn mã assembler, vậy việc viết một chương trình bằng assembler ngay từ đầu :-/ có tốt hơn không ?.]]>
/hvaonline/posts/list/39504.html#243367 /hvaonline/posts/list/39504.html#243367 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

chiro8x wrote:
Vấn đề là các virus này phải kèm theo famework của nó, hoặc là được cài trước đó hoặc được build vào trong exe. Ngoài ra khi sử dụng các complie thì mã thừa sẽ rất nhiều. Ngoài ra thì còn phải viết các đoạn mã tương tác với system như anh nói, đôi lúc sẽ viết bằng một đoạn mã assembler, vậy việc viết một chương trình bằng assembler ngay từ đầu :-/ có tốt hơn không ?. 
Mình nghĩ rằng bạn chưa phân biệt được điểm khác nhau giữa Assembly và Assembler.]]>
/hvaonline/posts/list/39504.html#243387 /hvaonline/posts/list/39504.html#243387 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)
2.
3.
4.
Hình số 4 khó xác định được chính xác bao nhiêu bản VC++. Thông tin về Rich Info, các bạn xem ở đây: http://www.ntcore.com/files/richsign.htm]]>
/hvaonline/posts/list/39504.html#243399 /hvaonline/posts/list/39504.html#243399 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243406 /hvaonline/posts/list/39504.html#243406 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243410 /hvaonline/posts/list/39504.html#243410 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243439 /hvaonline/posts/list/39504.html#243439 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

exception wrote:
Ủa, đám VC++ đó anh TQN reverse hết rồi, còn gì nữa đâu :D BTW, code của bọn này như rác. Chắc mới học lập trình. Copy+Paste kiddies. 
Nghe mùi thuốc súng quá đi. PS: em xin lỗi off topic của bác TQN tí, bài phân tích của bác rất hay. Thân.]]>
/hvaonline/posts/list/39504.html#243444 /hvaonline/posts/list/39504.html#243444 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243454 /hvaonline/posts/list/39504.html#243454 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243457 /hvaonline/posts/list/39504.html#243457 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) TRAO ĐỔI THÊM VỀ IP 123.21.140.237 CỦA NHÓM STL- MỘT CÁCH TIẾP CẬN KHÁC Về IP này các bạn đã có một số ý kiến đáng tham khảo, như sau:

TQN wrote:
Cảm ơn anh conmale đã lên tiếng. Bà con đừng hùa nhau vào chửi rũa tohoangvu. Biết đâu chính tohoangvu cũng là nạn nhân của STL hay ai khác thì sao. Cái thằng giấu mặt là thằng này nè: 123.21.140.237  

cr4zyb0y wrote:
chủ thuê bao vnpt của ip 123.21.140.237 là ngokiennam / megavnn1 ........................... MAC Address 00:23:cd:c8:95:50 lúc mình vào thì có 1 cái máy đang sài là wujianan-PC 192.168.1.100 00-24-1D-88-E4-79  


.................................

mv1098 wrote:
@cr4zyb0y Đây là dải ip động của VNPT khi nghi án reset modem thì ip này đã chuyển cho 1 khách hàng khác của VNPT. với hành vi của bạn sẽ bị qui vào tội truy cập trái phép thông tin khách hàng của VNPT, tự nhiên lòng tốt của bạn sẽ thành rắc rối cho bạn có thể là cho người khác, vui lòng không public những thông tin trên lên đây. 

TQN wrote:
2 mv1098: Cái VNPT và cái modem đó có tính năng tranfer, hiển thị IP qua thằng người Hoa ở chổ khác xa lắc xa lơ à. La vậy, em cũng đang dùng VNPT nè, nãy giờ nghe anh nói, em vào cái modem em, lục tới lục lui toàn ra IP mấy cái mấy trong nhà em không à. Sao lạ vậy, chả lẽ VNPT transfer IP của mình cho thằng nào khác lạ hoắc ở huyện #, tỉnh # thì nó alo cho mình à ? Hay là thằng cha wujianan cùng ngồi trong cái nhà đó, cùng dùng chung cái modem đó để ra Internet ??. Cậu xem lại cái hình đi: DHCP IP Pool nhé. Modem nó cấp IP trong cái LAN đó cho thằng tàu khựa wujianan rành rành ra đó. Cậu thừa biết vậy mà còn hù doạ em với bạn crazyboy nữa. Hu hu, em sợ quá !  
Tôi có một số ý kiến, nhận xét như sau: 1- IP 123.21.140.237 đúng là một IP quan trọng, như nhận định của TQN. Nó nhiều khả năng là trung tâm thu nhận các thông tin nhóm STL gửi đến và từ đó chuyển các yêu cầu, lệnh đến các thành viên. 2- Có một số website kiểm tra IP trên mạng xác định đây là một IP tĩnh (WAN static IP), như website CBL, chuyên kiểm tra các website/IP phát tán virus, trojan hay spam trên mạng. Cho đến ngày trước ngày TQN phát hiện ra đia chỉ IP 123.21.140.237 là của STL, thì website CBL nói trên vẫn còn xác nhân IP này là nơi chuyên phân tán virus, trojan và được coi như là một "open proxy"
3- Tuy vậy, tôi vẫn xác định IP 123.21.140.237 chỉ là một IP đông (WAN dynamic IP). Có nghĩa là nó có thể được gán cho bất kỳ khách hàng/modem nào trong dải IP 123.21.140.0/254 do một DSLAM của VDC-VNPT quản lý 4- Tuy nhiên ta thấy một điều chắc chắn là thành viên (có thể là thành viên rất quan trọng) của STL đã từng sử dung IP 123.21.140.237, hay đã từng được VDC (ISP) gán cho địa chỉ IP này trong một thời gian khá dài trước đây. Chúng ta cũng cần thấy rằng nếu ta thường xuyên kiểm tra và kiểm tra trong các thời điểm khác nhau (sáng sơm, trưa, chiều, nửa đêm) tất cả các máy/modem nằm trong dải IP123.21.140.0/254 nói trên, sẽ thấy chỉ có khoảng trên dưới 100 máy (modem/computer) là "alive" (nối mang), số còn lai, hơn nửa còn lại là "dead" (không nối mạng). Số máy nối mạng (mà ISP phải cung cấp dịch vụ) ít hơn nhiều khả năng cung cấp sẵn có của nó. Vì thế nếu thành viên STL luôn cắm điện và bật modem lên liên tục qua các ngày thì modem của hắn ta luôn được giữ đia chỉ IP123.21.140.237. Thậm chí ngay cả khi ngắt điện hay reboot modem, thì vẫn nhiều khả năng modem của STL vẫn được cấp địa chỉ IP 123.21.140. 237 như cũ (vì ISP đang thừa thãi IP động dư trữ, như nói ở trên). 5- Còn một điểm rất quan trong nữa là nếu thành viên STL áp dụng thường xuyên kết nôi "Bridge mode" cho modem, thì khả năng "mất " IP động cũ (123.21.140. 237) càng khó xảy ra. Vì với Bridge mode thì dòng dữ liệu (hay gọi là dòng packet cho nó... khó hiểu để doạ ai đó... hi hì) từ Internet vào sẽ không qua NAT của modem, có thể coi như bỏ qua modem và vào thẳng một router nối sau modem hay đến thẳng máy tính (computer). Lúc này WAN dynamic IP (123.21.140. 237) từ DSLAM sẽ đươc cấp, gán thẳng cho card mạng (NIC) của computer (chứ không phải cho modem, như khi áp dung PPPoE mode) và muốn truy cập Internet thì user phải đánh username và password do ISP cấp để truy câp ADSL ngay trên một cửa sổ máy tính, chứ không phải trên modem (Ngoài Win XP, để áp dụng Bridge mode, một sô HDH khác phải cài các phần mềm hỗ trợ). Chúng ta để ý kỹ còn sẽ thấy thêm là ngoài Bridge mode thành viên STL còn áp dụng RFC 1483 cho nhiều máy/kết nối. (Xin xem lai hình post trên của bạn cr4zyb0y. Cám ơn cr4zyb0y nhiều) Tai sao như vậy?. Đây chính là vấn đề thú vị. Nhưng vấn đề này ta sẽ thảo luận sau. 6- Câu hỏi đặt ra là tại sao STL lai dùng một WAN dynamic IP để liên lạc, thông tin mà không dùng một static IP, khi mà thuê một static IP chỉ mất thêm vài trăm ngàn một tháng, trong khi STL chắc chắn có sự hỗ trợ nhiều mặt, hỗ trợ tài chính dồi dào, thoải mái từ một nước ngoài (repeat: from one big foreign country). Câu trả lời là: dù có những nhược điểm rõ ràng về nhiều mặt, nhưng WAN dynamic IP lại có một ưu điểm tuyệt đối là giữ được bí mật cho người dủng, rất khó truy tìm dấu vết họ, vì moi người có thể có nhận định là: Không thể căn cứ vao đia chỉ IP động để bắt tội cho ai được, vì IP này có thể được gán cho bất kỳ ai trong pham vi dãy IP do một DSLAM quản lý. Nhưng đó là nhận định chưa đúng trong 1 số trường hợp, như tôi nói ở trên. Ngoài ra với kỹ thuật sử dụng Dynamic domain system (hệ thống tên miền năng động) thì STL hoàn toàn có thể thiết lập một website sử dụng WAN dynamic IP. Website này có nhiệm vụ thu thập thông tin và ra lệnh hành đông cho mạng botnet mà STL đã thiết lập. Rất kín đáo, bí mật, vì chỉ cần dùng dynamic domain loại miễn phí (free) là xong. Thưc ra STL đã làm điều này và tôi cũng đã nói đến điều đó trong topic" Sinh tử lệnh, một số thông tin về nhóm này" trong box "Những thảo luận khác" forum HVA này. 7- Khi dùng Dynamic IP thì có thể giấu đươc thân phận, như đã nói ở trên. Nhưng trong đời không có gì là kín tuyệt đối vì người dùng dễ bị lộ hiệu (model) của modem-router kết nối với IP và quan trong hơn là MAC address của modem-router này. Như chúng ta có thể đã biết, chỉ cần truy câp với đia chỉ thí dụ như http://123.21.140. 237 là ta có thể truy cập đến cửa sổ đăng nhập vào modem cũng như biết hiệu của nó (đôi khi có thể phải dùng các OS và hoặc các browser khác nhau). Check thẳng vào nó thì còn có nhiều thông tin hơn. Tôi cho rằng khi anh TQN phát hiện ra đia chỉ IP 123.21.140. 237 thì STL thấy động vội đổi modem từ ZoomX5 sang TP-LINK để xoá dấu vết liên quan đến thiết bị sử dụng. Tuy nhiên có thể do vội nên họ chưa kip thay đổi password vào modem, vẫn để chế độ măc định. Sau đó có thể do bạn cr4zyb0y thay đổi password vào modem và (phải) reboot lại hệ thống nên đia chỉ IP động của modem TP-LINK lúc đó thay đổi. Không loại trừ khả năng STL cố tình thay đổi IP đông cho modem Nhưng địa chỉ mới cũng bắt buộc phải nằm trong dải IP IP 123.21.140. 0/254. Không thể nào khác. Hiên nay trên dải IP nói trên có một modem hiêu HUAWEI có configuration về service và PVC0, PCV1, PVC2.... y hệt như trên TP-LINK với việc sử dung các Bridge mode kèm RFC 1483. STL có lẽ lai đổi modem một lần nữa.
Xin chú ý RFC 2684 ra đời thay thế RFC 1483 8-Cũng như vậy, trên dải IP 115.75.108.0/254 cũng hiện đang có một modem TP-LINK TD-8817 model, cài đặt cấu hình y hệt như modem TP-LINK (hay HUAWEI) trên dải IP 123.21.140. 0/254 Chú ý là anh TQN phát hiện ra 2 IP động mà STL đã dùng để phát tán virus, trojan, liên lac....là 123.21.140. 237 115.75.108.86, chứ không phải chỉ có 123.21.140. 237 ................ (Còn tiếp- Bài viết sau tôi sẽ đề cập đến Bridge mode với RFC 1483 mà STL đã áp dung cho nhiều máy trong mang LAN của họ) ]]>
/hvaonline/posts/list/39504.html#243472 /hvaonline/posts/list/39504.html#243472 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

PXMMRF wrote:
Câu trả lời là: dù có những nhược điểm rõ ràng về nhiều mặt, nhưng WAN dynamic IP lại có một ưu điểm tuyệt đối là giữ được bí mật cho người dủng, rất khó truy tìm dấu vết họ, vì moi người có thể có nhận định là: Không thể căn cứ vao đia chỉ IP động để bắt tội cho ai được, vì IP này có thể được gán cho bất kỳ ai trong pham vi dãy IP do một DSLAM quản lý.  
=> Không tuyệt đối đâu bác PXMMRF, tuy WAN IP được cấp động nhưng cấp cho thuê bao nào và thời điểm nào đều được ISP log hết. Vấn đề là ai có thẩm quyền để yêu cầu ISP cấp cái log này thôi ạ. Suy ra, nếu cuộc chiến này không phải đơn độc anh TQN mà có sự phối hợp nữa thì sẽ dễ dàng hơn. Vấn đề là tại sao tới giờ không ai lên tiếng phối hợp cả (em đoán vậy vì qua cách phân tích của anh TQN thì vẫn đang có nhiều chỗ phải suy đoán). Như vậy, "from one big foreign country" cũng chỉ là giả thuyết (có phần chưa thuyết phục) thôi ạ.]]>
/hvaonline/posts/list/39504.html#243480 /hvaonline/posts/list/39504.html#243480 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243488 /hvaonline/posts/list/39504.html#243488 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243492 /hvaonline/posts/list/39504.html#243492 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

exception wrote:
Mình thấy bàn luận public việc truy tìm mấy thằng ôn STL này không có lợi lắm. Bọn nó chỉ cần vào đây, xem chúng ta biết những gì và tìm cách ứng phó trước.  
Không, cũng cần phải nói ra đôi diều sự thật, để moi người biết. Cũng để điều chỉnh lại cho đúng một số nhận định sai lầm, cho rằng STL là công an mạng VN, như một bài viết gần đây, đăng tải trên BBC http://bbc.com). Các bác BBC là không ít lúc mắc sai lầm, đăc biệt khi bàn về các vấn đề liên quan đến kỹ thuật mạng, IT. Hì hì Công an của một đất nước, bất kỳ đất nước nào, với quyền hạn trong tay, họ không bao giờ làm những việc tẩn mẩn như STL đã làm vừa qua. Muốn không cho truy cập đến một website nào đó, họ chỉ cần làm một việc đơn giản là vô hiệu hoá DNS truy cập đến website này là xong. (Các ISP hầu hết trong tay họ hay họ có thể quản lý được) Những thủ đoạn cài mã độc, lấy cắp password, tạo mạng botnet (cũng từ thủ đoạn trôm password..), tung tin nói xấu cá nhân một cách hèn hạ... vốn tốn rất nhiều thời gian, công sức, tiền bạc... và chỉ có thể thực hiện bởi những người làm theo lệnh, làm vì tiền mà thôi (tiền này từ ngoại bang đấy). Phân tích thật kỹ, nghĩ đi nghĩ lại, các bạn có thể hiểu động cơ và mục đích của những việc làm của STL thời gian vừa qua. Nếu nghĩ là STL là một nhóm cực đoan, ghét những người dân chủ (lề trái) thì chắc là bạn đã nhầm. STL nguy hiểm hơn ta nghĩ. Tôi đang nói về vận mệnh của quốc gia trong tình hình hiện nay. To: exception Không phải HVA chúng tôi đã nói hết các thông tin ra đâu. Cũng chỉ một phần thôi ]]>
/hvaonline/posts/list/39504.html#243493 /hvaonline/posts/list/39504.html#243493 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243496 /hvaonline/posts/list/39504.html#243496 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243499 /hvaonline/posts/list/39504.html#243499 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

hvthang wrote:

PXMMRF wrote:
=> Không tuyệt đối đâu bác PXMMRF, tuy WAN IP được cấp động nhưng cấp cho thuê bao nào và thời điểm nào đều được ISP log hết. Vấn đề là ai có thẩm quyền để yêu cầu ISP cấp cái log này thôi ạ.  
To bác PX: em đồng ý với bạn hvthang ở chỗ màu vàng. Nếu có gì khác, mong bác góp ý và chia sẻ thêm.
5- Còn một điểm rất quan trong nữa là nếu thành viên STL áp dụng thường xuyên kết nôi "Bridge mode" cho modem, thì khả năng "mất " IP động cũ (123.21.140. 237) càng khó xảy ra. Vì với Bridge mode thì dòng dữ liệu (hay gọi là dòng packet cho nó... khó hiểu để doạ ai đó... hi hì) từ Internet vào sẽ không qua NAT của modem, có thể coi như bỏ qua modem và vào thẳng một router nối sau modem hay đến thẳng máy tính (computer). Lúc này WAN dynamic IP (123.21.140. 237) từ DSLAM sẽ đươc cấp, gán thẳng cho card mạng (NIC) của computer (chứ không phải cho modem, như khi áp dung PPPoE mode) và muốn truy cập Internet thì user phải đánh username và password do ISP cấp để truy câp ADSL ngay trên một cửa sổ máy tính, chứ không phải trên modem (Ngoài Win XP, để áp dụng Bridge mode, một sô HDH khác phải cài các phần mềm hỗ trợ).  
Bác PX, em đã từng nghĩ đến trường hợp họ (STL) gán thẳng (static) cái IP 123.21.140.237 cho card mạng luôn. Em nghĩ rằng nếu họ lỡ bị mất kết nối khoảng vài giây (mất nguồn modem chẳng hạn) thì xác suất để cho ISP cấp cái IP 123.21.140.237 cho khách hàng khác sẽ không cao. Vì thế, họ có thể giữ cái IP đó một thời gian dài. Vài lời chia sẻ, em đang chờ bài phân tích RFC 1483 của bác ;) Thân]]> /hvaonline/posts/list/39504.html#243500 /hvaonline/posts/list/39504.html#243500 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243503 /hvaonline/posts/list/39504.html#243503 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

exception wrote:
Nói đi nói lại, thực ra STL là người của ai thì mọi người cũng lờ mờ đoán ra rồi. Nhưng chẳng lẽ một nhóm được đầu tư tiền bạc, thời gian như thế mà lại làm ra các sản phẩm "gà mờ" như thế sao (qua các bài phân tích của anh TQN)? Có lẽ tiền của người đầu tư rơi nhầm chỗ rồi thì phải :lolz Nhưng thôi, quay lại chủ đề kỹ thuật, anh TQN cho em xin ít mẫu xem nào. Sẵn tiện đang free không có gì phải làm đây.  
bác đoán là ai vậy, em thì chịu. còn chiện vung tiền, đầu tư nhìu mà sản phẩm gà mờ như bác nói thì ngoài đường thiếu gì, hay là bác hiện không ở VN :-?]]>
/hvaonline/posts/list/39504.html#243505 /hvaonline/posts/list/39504.html#243505 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

hvthang wrote:
@bác PXMMRF: việc STL đổi modem để xoá dấu vết như bác lập luận có phần chưa thoả đáng. Em thì nghĩ đơn giản là WAN IP của STL đã là động thì giá trị 123.21.140.237 không còn ý nghĩa gì nữa sau khi họ reset modem. IP đó có thể vẫn "sống" nhưng nó đã được cấp cho một thuê bao khác và thuê bao đó dùng modem khác. Trong trường hợp vẫn IP đó và modem khác nhưng vẫn thực hiện các hành vi của STL thì mới có cơ sở để tạm thời kết luận là họ thay modem (em chưa tìm được chi tiết đó trong bài phân tích của anh TQN). 
Trong trường hợp áp dung WAN Dynamic IP thì dấu vết điểm chỉ (print point) của một người trên mạng sẽ là loại thiết bị họ dùng và quan trong hơn là MAC address của thiết bị đó. Như là một người đi trên đường đội mũ bịt mặt (lấy cớ là ô nhiễm) thì dấu vết nhận biết là loại xe gắn máy anh ta đi và quan trong hơn là biển số của xe. Trong system log của DSLAM (của ISP) có thể ghi IP động và MAC address của modem của các user tại từng thời điểm. Vì vậy cơ quan điều tra hay ISP có thể dễ dàng tìm ta IP động mới của user, căn cứ MAC address của modem. Vì vậy muốn an toàn thì kẻ gây án phải đổi thiết bị (tức là đổi MAC address). Chưa kể trước khi kẻ gây án đổi IP động thì đã có người theo rõi và ghi đươc MAC address của thiết bị rồi. Khi đó không cần xem system log của DSLAM, mà chỉ cần rà xoát trên mạng. Cũng cần phải lưu ý là tuy STL dùng IP động nhưng lai muốn giữ IP không thay đổi trong 1 thời gian dài để tiên liên hệ (để mạng botnet có thể gửi thông tin về IP này). Đó cũng có khía cạnh mâu thuẫn giữa cần bí mật và muốn có sự tiện lơi. Việc giữ IP động cho hệ thống của STL trong một thời gian đủ dài bằng cách nào thì tôi đã viết và bạn DLKC dưới đây đã bổ sung một cách khá thông minh rồi đấy. To DLKC: Vấn đề là cơ quan điều tra sẽ ít nghi hay không để ý đến các user dùng hay được cấp IP động (như là ít người nghi kẻ đi bộ sẽ có thể cướp tiệm vàng ấy). Còn đã nghi rồi thì tìm ra dễ thôi, như DLKC đã viết. ]]>
/hvaonline/posts/list/39504.html#243511 /hvaonline/posts/list/39504.html#243511 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

PXMMRF wrote:
Trong trường hợp áp dung WAN Dynamic IP thì dấu vết điểm chỉ (print point) của một người trên mạng sẽ là loại thiết bị họ dùng và quan trong hơn là MAC address của thiết bị đó. Như là một người đi trên đường đội mũ bịt mặt (lấy cớ là ô nhiễm) thì dấu vết nhận biết là loại xe gắn máy anh ta đi và quan trong hơn là biển số của xe. Trong system log của DSLAM (của ISP) có thể ghi IP động và MAC address của modem của các user tại từng thời điểm. Vì vậy cơ quan điều tra hay ISP có thể dễ dàng tìm ta IP động mới của user, căn cứ MAC address của modem. Vì vậy muốn an toàn thì kẻ gây án phải đổi thiết bị (tức là đổi MAC address). Chưa kể trước khi kẻ gây án đổi IP động thì đã có người theo rõi và ghi đươc MAC address của thiết bị rồi. Khi đó không cần xem system log của DSLAM, mà chỉ cần rà xoát trên mạng.  
MAC cũng quan trọng nhưng đâu quan trọng bằng username và password của phiên kết nối đó bác PXMMRF. Đây mới là căn cứ có cơ sở để xác thực một đối tượng nhận được IP vào một thời điểm nào đó của ISP. Em nghĩ căn cứ này mới đủ mạnh. MAC hoàn toàn có thể đổi được nếu quay số từ máy tính (not modem), trước đây một số ISP fix MAC address với tài khoản (thay modem phải gọi điện mới vào mạng được) nhưng giờ họ không làm thế nữa. Trong hầu hết trường hợp, tài khoản thuê bao và đường line vật lý thì đã được ISP fix.]]>
/hvaonline/posts/list/39504.html#243512 /hvaonline/posts/list/39504.html#243512 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

hvthang wrote:

PXMMRF wrote:
Trong trường hợp áp dung WAN Dynamic IP thì dấu vết điểm chỉ (print point) của một người trên mạng sẽ là loại thiết bị họ dùng và quan trong hơn là MAC address của thiết bị đó. Như là một người đi trên đường đội mũ bịt mặt (lấy cớ là ô nhiễm) thì dấu vết nhận biết là loại xe gắn máy anh ta đi và quan trong hơn là biển số của xe. Trong system log của DSLAM (của ISP) có thể ghi IP động và MAC address của modem của các user tại từng thời điểm. Vì vậy cơ quan điều tra hay ISP có thể dễ dàng tìm ta IP động mới của user, căn cứ MAC address của modem. Vì vậy muốn an toàn thì kẻ gây án phải đổi thiết bị (tức là đổi MAC address). Chưa kể trước khi kẻ gây án đổi IP động thì đã có người theo rõi và ghi đươc MAC address của thiết bị rồi. Khi đó không cần xem system log của DSLAM, mà chỉ cần rà xoát trên mạng.  
MAC cũng quan trọng nhưng đâu quan trọng bằng username và password của phiên kết nối đó bác PXMMRF. Đây mới là căn cứ có cơ sở để xác thực một đối tượng nhận được IP vào một thời điểm nào đó của ISP. Em nghĩ căn cứ này mới đủ mạnh. MAC hoàn toàn có thể đổi được nếu quay số từ máy tính (not modem), trước đây một số ISP fix MAC address với tài khoản (thay modem phải gọi điện mới vào mạng được) nhưng giờ họ không làm thế nữa. Trong hầu hết trường hợp, tài khoản thuê bao và đường line vật lý thì đã được ISP fix. 
Tất nhiên là nếu ISP mà điều tra một user thuê bao của mình thì làm sao user thoát được (thí dụ điều tra về việc trốn trả tiền thuê bao chẳng hạn). Nhưng ở đây đang nói về điều tra chuyện khác cơ, chuyện phát tán virus và trojạn chẳng hạn. Khi đó thì các website khảo sát mạng online chỉ có thể xác định được IP của black-hat hacker và cao cấp hơn là MAC address của thiết bị nó đang dùng thôi chứ. Làm sao họ biết đươc username và password vào ADSL của hắn ta, mà thưc sự cũng không cần biết. Ngoài ra nếu một ISP muốn điều tra-kết tội một user vì chuyện phát tán virus, trojan, spam (dù rất ít khi ISP làm việc này trong thưc tế) thì cũng phải bắt được tang chứng, vật chứng chứ (modem+server chứa đầy virus+ danh sách nạn nhân thông kê trong server....). Không thì đâu có chứng cớ buộc tội. Xác định đúng thủ phạm là việc khó, nhưng lấy được bằng chứng để có thể kết tội họ về các hành động xấu trên mạng thưc ra khó hơn nhiều Ngoài ra ở nước ngoài các ISP cho phép user đổi password và username vào ADSL. Còn ở ta thì không quản được, nên cấm luôn. Hì hì ]]>
/hvaonline/posts/list/39504.html#243516 /hvaonline/posts/list/39504.html#243516 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243518 /hvaonline/posts/list/39504.html#243518 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) còn chiện vung tiền, đầu tư nhìu mà sản phẩm gà mờ như bác nói thì ngoài đường thiếu gì, hay là bác hiện không ở VN 
Đâu cần ở VN cũng có thể biết được chuyện này mà ;) Bàn luận xong ở đây thì STL cũng đã: vứt modem, đổi địa chỉ nhà, huỷ hợp đồng và biến mất. Sao không xông thẳng tới VNCERT, đề nghị ISP cung cấp tin tức tội phạm. Vậy có phải là hay ko?]]>
/hvaonline/posts/list/39504.html#243519 /hvaonline/posts/list/39504.html#243519 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) http://www.mediafire.com/?tz745o0f678w8 Và có bạn từ bên CMC sau khi gởi toàn bộ mẫu virus đó cho CMC đã PM thông báo cho tui CMC đã cập nhật và diệt được đám "mèo què" đó. Chân thành cảm ơn CMC và bạn. ]]> /hvaonline/posts/list/39504.html#243521 /hvaonline/posts/list/39504.html#243521 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

exception wrote:
Nói đi nói lại, thực ra STL là người của ai thì mọi người cũng lờ mờ đoán ra rồi. Nhưng chẳng lẽ một nhóm được đầu tư tiền bạc, thời gian như thế mà lại làm ra các sản phẩm "gà mờ" như thế sao (qua các bài phân tích của anh TQN)? Có lẽ tiền của người đầu tư rơi nhầm chỗ rồi thì phải :lolz Nhưng thôi, quay lại chủ đề kỹ thuật, anh TQN cho em xin ít mẫu xem nào. Sẵn tiện đang free không có gì phải làm đây.  
@exception : TQN đánh giá vậy, tôi cũng không biết những người đã phân tích các mẫu này đánh giá như thế nào ? Nhưng cá nhân tôi thì không đánh giá họ ở mức "gà mờ" như vậy. "exception" đã phân tích chưa ??? Là người học kĩ thuật, sao không tự làm đi, lời nói sao lại dựa theo chính kiến của người khác vậy exception ??? Không biết ngượng ah` :-O ]]>
/hvaonline/posts/list/39504.html#243522 /hvaonline/posts/list/39504.html#243522 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) xuann28@yahoo.com có liên quan tới một thằng cha bên tàu, đuôi .cn. Chủ nhân xuann28@yahoo.com xuan28@yahoo.com.vn là một, và email tạo thằng xuan28@yahoo.com.vn là từ một thằng tàu khựa. Địa chỉ xuann28@yahoo.com (các bạn chú ý, xuann , có 2 chữ n nhé) nằm chình ình trong file Exe giả doc sau khi được decode. Và người decode nó là cao thủ giấu mặt và làm giỏi, nhanh hơn thằng già như tui. Cảm ơn bạn trẻ nhé, tuổi trẻ tài cao, cố lên nữa nhé ! 2 Nguyễn Văn Tú: cậu có hỏi tại sao tui nghi ngờ cậu là thành viên STL không ? Cậu hảy trả lời câu hỏi của tui: làm sao cậu biết được Yahoo mail của tui. Tui rất, rất hiếm cho ai là người lạ, không quen biết, chưa từng gặp mặt mail Yahoo của tui, và tui rất hiếm khi chát với ai. Yahoo mail của TQN tui lộ ra hai lần: 1. Lần HVA bị STL lấy được danh sách thành viên và post lên trang sinh tử phập phù. 2. Lần tui bị dính malware của STL, các cậu login vào HVA = account của tui và post Yahoo mail của tui lên. Cậu nói, cậu theo dõi topic RCE của tui, trong đó tui đã cố tình trương chình ình cái mail google của tui lên, nếu cậu không biết gì về tui, thì tại sao cậu không gỡi cho tui theo cái Gmail đấy, mà lại gởi tới cái Yahoo Mail !]]> /hvaonline/posts/list/39504.html#243524 /hvaonline/posts/list/39504.html#243524 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243527 /hvaonline/posts/list/39504.html#243527 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243529 /hvaonline/posts/list/39504.html#243529 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243531 /hvaonline/posts/list/39504.html#243531 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243533 /hvaonline/posts/list/39504.html#243533 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243541 /hvaonline/posts/list/39504.html#243541 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

TQN wrote:
2 micros3ll: Về trình độ code VC++, API, các thành viên của STL phải nói là rất khá, khá hơn rất nhiều VN newbie virus coder. Nhưng so với virus các virus nổi tiếng của Nga, code của con Stuxnet, TDL3/4 rootkit... thì các coder STL còn xa mới theo kịp. Bà con nào down CMC về test thử với đống malwares tui đã úp ở mediafire. Tui thật tình chưa biết mặt mũi CMC ra sao cả. Các bạn có để ý kỹ, đọc kỹ 3 bức hình và bài post của anh conmale không ? Tài khoản Yahoo Mail của xuann28@yahoo.com có liên quan tới một thằng cha bên tàu, đuôi .cn. Chủ nhân xuann28@yahoo.com xuan28@yahoo.com.vn là một, và email tạo thằng xuan28@yahoo.com.vn là từ một thằng tàu khựa. Địa chỉ xuann28@yahoo.com (các bạn chú ý, xuann , có 2 chữ n nhé) nằm chình ình trong file Exe giả doc sau khi được decode. Và người decode nó là cao thủ giấu mặt và làm giỏi, nhanh hơn thằng già như tui. Cảm ơn bạn trẻ nhé, tuổi trẻ tài cao, cố lên nữa nhé ! 2 Nguyễn Văn Tú: cậu có hỏi tại sao tui nghi ngờ cậu là thành viên STL không ? Cậu hảy trả lời câu hỏi của tui: làm sao cậu biết được Yahoo mail của tui. Tui rất, rất hiếm cho ai là người lạ, không quen biết, chưa từng gặp mặt mail Yahoo của tui, và tui rất hiếm khi chát với ai. Yahoo mail của TQN tui lộ ra hai lần: 1. Lần HVA bị STL lấy được danh sách thành viên và post lên trang sinh tử phập phù. 2. Lần tui bị dính malware của STL, các cậu login vào HVA = account của tui và post Yahoo mail của tui lên. Cậu nói, cậu theo dõi topic RCE của tui, trong đó tui đã cố tình trương chình ình cái mail google của tui lên, nếu cậu không biết gì về tui, thì tại sao cậu không gỡi cho tui theo cái Gmail đấy, mà lại gởi tới cái Yahoo Mail ! 
Thêm thông tin về cái nick xuann28 nó vẫn available và đang online, có 2 trường hợp 1 là chủ nhân của nó login vào để chat chít 2 là con malware nó log vào để làm nhiệm vụ]]>
/hvaonline/posts/list/39504.html#243543 /hvaonline/posts/list/39504.html#243543 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

conmale wrote:
Càng lạc vô "mê hồn trận" của STL càng thấy khủng :-) Lụm được mấy tấm hình thấy cũng lý thú nên thảy lên cho bà con coi chơi:
(email account và password embedded trong trojan "tha tu do cu huy ha vu")
(Người xài hàng tàu ".cn" hay người tàu xài hàng tàu đây?)
(câu hỏi bí mật đúng là bí mật "bà cô mà em ưa thích là ai"). 
Anh conmale ơi hình như cái của anh khác với cái của em check được đây là thông tin forgot password của 2 cái email trên

]]>
/hvaonline/posts/list/39504.html#243545 /hvaonline/posts/list/39504.html#243545 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

mv1098 wrote:
Anh conmale ơi hình như cái của anh khác với cái của em check được đây là thông tin forgot password của 2 cái email trên

 
Dễ hiểu thôi bồ. Lúc bồ check thì thông tin đã được người làm chủ hòm thư thay đổi.]]>
/hvaonline/posts/list/39504.html#243549 /hvaonline/posts/list/39504.html#243549 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) ngnamhungntt@gmail.com. Còn hình của anh conmale là của hộp mail xuan28@yahoo.com.vn Và hộp mail xuann28 còn sống thì có thể là do ai đó đọc topic này đã nhanh chân chiếm hộp mail đó với pass 123456*7(). Tới giờ tui cũng không vào hộp mail đó với pass đó được. Gởi mấy bạn STL link này, đọc chơi cho vui trong khi theo dõi topic này: http://toiphammaytinh.blogspot.com/2011/03/quy-dinh-toi-pham-may-tinh-trong-bo.html Nhưng còn cái tội bán nước, làm tay sai cho ngoại bang thì tội đó nặng lắm nhé, tử hình còn chưa xong đâu, còn thanh danh cha mẹ, bà con, dòng họ nữa. Ê, nhà ông/bà đó có con/cháu xxx bán nước cho xxx đấy !]]> /hvaonline/posts/list/39504.html#243572 /hvaonline/posts/list/39504.html#243572 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

TQN wrote:
@ mv1098: mv1098 thì check hộp mail ngnamhungntt@gmail.com. Còn hình của anh conmale là của hộp mail xuan28@yahoo.com.vn Và hộp mail xuann28 còn sống thì có thể là do ai đó đọc topic này đã nhanh chân chiếm hộp mail đó với pass 123456*7(). Tới giờ tui cũng không vào hộp mail đó với pass đó được. Gởi mấy bạn STL link này, đọc chơi cho vui trong khi theo dõi topic này: http://toiphammaytinh.blogspot.com/2011/03/quy-dinh-toi-pham-may-tinh-trong-bo.html Nhưng còn cái tội bán nước, làm tay sai cho ngoại bang thì tội đó nặng lắm nhé, tử hình còn chưa xong đâu, còn thanh danh cha mẹ, bà con, dòng họ nữa. Ê, nhà ông/bà đó có con/cháu xxx bán nước cho xxx đấy ! 
Cái email xuann28 đã bị khoá tạm thời, nhưng sắp tới nó sẽ bị khoá vĩnh viễn thôi Nếu TQN phát hiện thêm cái email nào khác cho mình xin cái screenshot nhé, giúp anh em 1 tay cho mấy em malware không biết gửi hàng về đâu hihihi Đây là 2 link report id của yahoo và gmail vi phạm luật như phát tán virus, spam... etc http://help.yahoo.com/l/us/yahoo/mail/yahoomail/abuse.html http://help.yahoo.com/l/us/yahoo/mail/yahoomail/spam.html http://mail.google.com/support/bin/request.py?contact_type=abuse]]>
/hvaonline/posts/list/39504.html#243585 /hvaonline/posts/list/39504.html#243585 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) http://wuyuzhen.wordpress.com/2011/07/12/the-short-life-and-hard-times-of-a-linux-virus/ Em chả biết thằng này là Hoa hay Tàu nữa, google với "Yu Zhen" "nartcogn" lòi ra một đống thú vị về cu này, học vật lý, lại đi tìm hiểu về virus, bảo mật, hack hiếc, viết blog thì lúc tiếng Việt, lúc tiếng Anh, lúc tiếng tàu khựa. Post nhạc lên nhaccuatui thì toàn là nhạc Hoa, hình thì toàn là thư pháp của tàu, hình ảnh diễn viên Hồng Kông. Thằng này sao rành tiếng Việt quá vậy ha ? Hâm mộ Lưu Đức Hoa và Châu Tấn, là thành viên của một vài diễn đàn Game Online. Thằng này chắc còn nhỏ nên mới khoái mấy cái game online đó. Em thì chỉ thích Huỳnh Nhật Hoa (Độc Cô Cầu Bại) và Châu Tinh Trì (vua hài HK thôi).
Cao thủ giấu mặt cho tui pass vào hộp mail xuann28@yahoo.com, phát hiện điều thú vị về cu này:
IP của thằng này, Viettel: 125. 234.57.41 lúc gởi cái mail này cho xuann28, 9h:45 - Thứ Bảy - Ngày 26/03/2011:
Em thì em chả biết chief V là ai. Tiếp tục, em down file transfer_ldv về xem, kinh thật, nhân vật ldv này (nào đó) đang bị tui nó theo dõi. File transfer_ldv ở đây: http://www.mediafire.com/?2qvhnyg9fo7awgs Trong đó, nội dung file LDV mail mới đáng chú ý, nhân vật LDV này bị tui STL cài "méo què" từ lâu:
Không biết bà con nghĩ sao chứ em thì nghĩ thằng "Wu Yu Zhen" "nartcogn@gmail.com" đích thị là thằng STL đúng nghĩa, tàu khựa đúng nghĩa. PS: à mà quên, nhân vật ngnamhungntt@gmail.com gì đó nữa, cẩn thận cái hộp mail của anh nhé ! Em cũng suy nghĩ nhiều, chắc em dùng chính "mèo què" của mấy anh gởi cho mấy anh (sau khi đã modify, patch, cài thêm rootkit) để mấy anh dính chấu. "Gậy ông đập lưng ông" đấy, nhớ "Nam Mộ Dung", Mộ Dung Phục không. Nhưng em nghĩ lại, chơi vậy bẩn quá, không quân tử. Nhưng ai cấm em, lúc em xỉn lên, nóng lên, em gởi cho mấy anh thì sao, vì mail của mấy anh em cũng nắm được kha khá rồi mà ?]]>
/hvaonline/posts/list/39504.html#243670 /hvaonline/posts/list/39504.html#243670 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) Code:
wuyuzhen.wordpress.com is no longer available.
]]>
/hvaonline/posts/list/39504.html#243687 /hvaonline/posts/list/39504.html#243687 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) http://vn.360plus.yahoo.com/nartcogn
]]>
/hvaonline/posts/list/39504.html#243688 /hvaonline/posts/list/39504.html#243688 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) nartcogn@gmail.com. Xài Viettel, IP thuộc dãi 125. 234.57.xxx. Dãi IP này bà con có thấy quen không ? PS: Đúng là không có đau mắt nào bằng đau mắt do hàn, nhức kinh khũng, nhiều lúc muốn móc con mắt ra. Bà con nào vô tình nhìn hồ quang hàn thì tối về, mắt sẽ rất xốn. Nhìn đâu cũng thấy mờ mờ như có khói, nhìn đèn thì xốn lắm. Nó sẽ bắt đầu đau từ 10h trở đi, đau nhất là tầm 12-1h, qua 2, 3h sáng là hết nhức. Không có thuốc nào nhỏ hết lúc đó. Chỉ có đấp khăn lạnh hay chườm đá thôi. Tối qua nó quần em tới gần 3h mới thiếp đi. Mà em đau như vầy cũng gần chục lần rồi, cũng không quen được.]]> /hvaonline/posts/list/39504.html#243689 /hvaonline/posts/list/39504.html#243689 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) Code:
http://www.xmind.net/share/nartcogn/planning-study/
Google Cache vẫn lưu 1 bài viết của cậu này trên wordpress của tác giả Hương Giang Code:
http://webcache.googleusercontent.com/search?q=cache:8L8rMPmAehAJ:wuyuzhen.wordpress.com/2009/11/27/%E2%80%9Cm%E1%BB%95-x%E1%BA%BB%E2%80%9D-v%E1%BA%A5n-d%E1%BB%81-bi%E1%BB%83n-dong/+nartcogn&cd=28&hl=vi&ct=clnk&gl=vn&source=www.google.com.vn
Xem thêm

TQN wrote:
/hvaonline/posts/list/0/39504.html#243006 
]]>
/hvaonline/posts/list/39504.html#243691 /hvaonline/posts/list/39504.html#243691 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) Theo anh thì phần mềm nào mà máy tính nào của người Việt chắc chắn sẽ cài?? ngoại trừ Windows ra thì là các bộ gõ tiếng Việt đúng không ạ smilie . Theo thói quen thì khi anh muốn 1 phần mềm thì cái đầu tiên anh nghĩ đến là gì, chắc chắn là anh dùng các trang như Google để tìm đúng không ạsmilie Bọn chúng đánh vào đặc điểm này của người dùng smilie Link download Unikey thường từ các trang download soft của VN ta, bạn em sau khi cài lại máy, nó tải về để gõ tiếng Việt. link này nằm trong 10 link đầu tiên google.com.vn trả về nên bạn em bị dính cũng không có gì là lạ. Không biết chúng còn thêm phần mềm nào trên đó tương tự hay không, nhưng em nghĩ số lượng không ít đâu. Kịch bản nó hoạt động thế này: Sau khi chạy cái Unikey giả(>500KB), nó cài đặt cái Team Viewer giả và patch lại file Unikey cũ (chỉ còn 256KB). Anh nếu có tải về thì thử chạy trong máy ảo mà xem, bạn ấy anti máy ảo, sandbox, hiện thông báo như đúng rồi smilie. Ban đầu em cũng bị lừa, may mà tỉnh táo, kéo vào IDA luôn. Theo em thì có lẽ người có account để up file lên đây cũng bị như anh, nghĩa là bị cài keylogger , sau đó mất password, khả năng trang này bị lỗi là rất thấp. Vào thời điểm em lấy mẫu thì đã có 7017740 tải nó về, cứ mỗi ngày có trung bình 2000 lượt tải về. Chính vì việc bọn chúng dùng cách này để phát tán bot, em càng nghi ngờ là STL anh ạ, Anh đọc code thì sẽ thấy, cũng quen thuộc lắm. Và cách thức patch như thế, fake ngon như thế, chắc là STL làm. Quả là thâm độc và có tính toán. Unikey thì chả ai nghi ngờ gì cả, người dùng thì mấy ai vào trang chủ để download, tiện đâu download đấy thôi Hi vọng có thể vạch mặt bọn này.   Cảm ơn em nhé, mạn phép và xin lỗi em đã up một phần PM của em lên đây. Không giận anh chứ ! Em thì em biết chắc mấy cái Unikey, Vietkey bị patch và attach "mèo què" rồi. Em thì không dùng Vietkey, dùng Unikey down ở homepage sourceforge của Unikey, đã RCE kiểm tra. Em thì bị dính "mèo què" của STL hồi cái tối xỉn xỉn, double click cái file .doc của anh conmale gởi hồi năm ngoái. Tụi nó lấy toàn bộ Firefox username và password của em qua 2 file msdata.vxd và StaticCache.dat. Lúc đó nó chưa phá em sau khi đã có thông tin về em, nhưng tới khi em viết topic RCE "mèo què" của tụi nó, tụi nó mới lôi lại thông tin đó mà phá em. Em xin nhắc lại, toàn bộ bà con đang đọc topic này, remote ngay cái Unikey, Vietkey bà con đang dùng, lên Unikey homepage download lại, cài Comodo Firewall free ngay ! Còn một điều nữa, với anh em Reverser lùn thủ như em hay cao thủ như Kaspersky: Bọn STL thường drop PE file giả danh các đuôi vô hại khác như .dat, .db... vào thư mục "Documents and Settings". Các bạn dùng PEiD hay ExeInfoPE, ProtectionID quét ngay thư mục này, chỉ decect PE file, recursive tất cả các thư mục con. Lưu kết quả lại, dùng IDA, OllyDbg hay Reflector kiểm tra từng file ngay. Nếu có thằng nào khả nghi thì up lên cho bà con reversers khác tham khảo. Đặc biệt chú ý các PE pack = PE Compact. Tụi STL khoái dùng PE Compact lắm. PS: Giờ mắt em vẫn còn sưng húp, sáng nay ở nhà ngồi tám, hết đau thì còn bắt điện cho cái máy em và sếp em mới chế xong. Gần 2 tháng. Mua máy của tàu 90 chai, máy Ý 320 chai, em và sếp em tự làm hết, chắc khoãn 15 chai là tối đa. Kệ, mình ít tiền, làm được thì làm, gói gém, không = máy mua nhưng vẫn chạy được, làm được trong yêu cầu của mình là được rồi, bà con nhỉ ! Hì hì, vì vậy em cũng thấy mình giỏi về cơ khí và chế tạo máy lắm chứ ! Mấy thằng lính của em nghỉ việc qua chổ khác làm về gặp mình, khen một câu làm mình khoái: Chưa ở đâu em làm gặp anh GĐ như anh, cái gì cũng làm được hết, tự làm như thợ hết, sống tình cảm với lính, nóng tính, không phải là phang liền, phang xong thì thôi, không để bụng. Bởi vậy lính em đi đâu cũng quay về hết Nhớ hồi offline HVA năm nào, em vừa lên chợ sắt Tân Thành, rinh về một cây vitme dài, một cái bánh răng tổ chãng, ghé vào nhà hàng luôn. Xong, gần gục, cũng na hai cục sắt đó về tới nhà. Lúc đó anh em HVA có thấy không ha ?]]> /hvaonline/posts/list/39504.html#243692 /hvaonline/posts/list/39504.html#243692 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) http://www.mediafire.com/?a88agagqtfogcr8 Reflector: http://www.mediafire.com/?kiii3iyfxowzfhg Bản IDA v6.1 leak vừa qua gây xôn xao cộng đồng cracker, reverser, security. Cảm ơn Sporawk.]]> /hvaonline/posts/list/39504.html#243697 /hvaonline/posts/list/39504.html#243697 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) Unikey, Vietkey... down từ các trang không phải trang chủ về. Search các file TeamViewer.exe có size = 65536 byte và uxtheme.manifest, size = 103,424 bytes. Xoá ngay hai ông nội này ngay lập tức, bằng mọi cách. Tụi STL này sao cứ lợi dụng, núp bóng uxtheme.* hoài vậy ha ! PS: Mắt đã đau, ngồi máy sáng giờ, xót quá. Em xin tạm nghĩ !]]> /hvaonline/posts/list/39504.html#243699 /hvaonline/posts/list/39504.html#243699 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243707 /hvaonline/posts/list/39504.html#243707 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243708 /hvaonline/posts/list/39504.html#243708 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243709 /hvaonline/posts/list/39504.html#243709 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) http://www.mediafire.com/?tz745o0f678w8 Tới bây giờ, với tên tuổi, name, email address, IP của các thành viên STL mà Công An chúng ta không chụp tụi nó, còn chờ đợi thì thiệt là lạ ??????????????????????????????????????????????????????????????????]]> /hvaonline/posts/list/39504.html#243710 /hvaonline/posts/list/39504.html#243710 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

TQN wrote:
Tới bây giờ, với tên tuổi, name, email address, IP của các thành viên STL mà Công An chúng ta không chụp tụi nó, còn chờ đợi thì thiệt là lạ ?????????????????????????????????????????????????????????????????? 
Tại sao Công An phải bắt tụi nó vậy anh TQN ?]]>
/hvaonline/posts/list/39504.html#243711 /hvaonline/posts/list/39504.html#243711 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243714 /hvaonline/posts/list/39504.html#243714 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243715 /hvaonline/posts/list/39504.html#243715 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

TQN wrote:
Em hỏi vậy thì anh cũng "ngọng" luôn. Nếu CA không bắt tụi nó vì lý do nào đó thì em chịu, và cũng phải tạm dừng cái chuyện RCE này luôn ;) 
Đơn giản thôi vấn đề là STL không bị phát hiện bởi các đơn vị bảo mật chính thống như VNCERT hay BKIS của anh Quảng Bomb mà bởi 1 thành viên của diễn đàn hacker mới buồn. Buồn nhất là vụ anh Quảng vác tù và hàng tổng đi hack server giùm anh Hàn Quốc, mà vụ STL có ảnh hưởng đến cộng đồng người Việt lớn như vậy mà không thấy anh ý phản ứng gì.]]>
/hvaonline/posts/list/39504.html#243718 /hvaonline/posts/list/39504.html#243718 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243719 /hvaonline/posts/list/39504.html#243719 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243720 /hvaonline/posts/list/39504.html#243720 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243722 /hvaonline/posts/list/39504.html#243722 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) Vào thời điểm em lấy mẫu thì đã có 7017740 tải nó về, cứ mỗi ngày có trung bình 2000 lượt tải về.   Em buồn nhất là câu này, số lượng người nhiễm "mèo què" của STL cực lớn, vậy mà không ai ra tay ngăn chặn cả. BKAV thì im ru bà rù, CMC thì giờ mới cập nhật. Trong khi đó tụi nó code mẫu mới liên tục. Sức em có hạn, làm sao mà phân tích, công bố hết đám mẫu của tụi nó.]]> /hvaonline/posts/list/39504.html#243730 /hvaonline/posts/list/39504.html#243730 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) sự ngờ vực lẫn nhau. Những trò chơi của STL đẩy người ta tới chỗ chẳng có ai còn có thể tin ai được nữa vì tất cả đều có thể là giả dối, nguỵ tạo và lường gạt.]]> /hvaonline/posts/list/39504.html#243739 /hvaonline/posts/list/39504.html#243739 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243747 /hvaonline/posts/list/39504.html#243747 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243750 /hvaonline/posts/list/39504.html#243750 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)
]]>
/hvaonline/posts/list/39504.html#243752 /hvaonline/posts/list/39504.html#243752 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243753 /hvaonline/posts/list/39504.html#243753 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243756 /hvaonline/posts/list/39504.html#243756 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243766 /hvaonline/posts/list/39504.html#243766 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

zxc232 wrote:
Rất cám ơn HVA và "hiệp sỹ" TQN. Nếu bạn có thể post lên đây bản Unikey sạch cho mọi người tải về thì hay quá. 
Bạn có thể vào các trang chủ của phần mềm để tải về bản mới nhất và "sạch". Trong các bài viết trước anh TQN đã nói rõ rồi Để tải Unikey thì vào trang chủ www.unikey.org để tải về! - Ky0 -]]>
/hvaonline/posts/list/39504.html#243768 /hvaonline/posts/list/39504.html#243768 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) https://sourceforge.net/projects/unikey/files/unikey-win/4.0%20RC2/unikey40RC2-1101-win32.zip/download Một mẫu nữa của STL (hắc hay bạch thì em chưa biết) vừa được em up lên thư mục STL Virus ở mediafile: http://www.mediafire.com/myfiles.php#tz745o0f678w8 File này cũng y như file Nguyễn Văn Lý, file .exe mạo danh .doc (icon của WinWord). Build date thì cũ hơn: 18-12-2010, 10:23:29. Source sau khi RCE ra gần như 95% giống với file NVL, chỉ khác config data. Config data của file này sau khi được giải mã: Code:
F1TPSRVRA=
F3TPURNS=
F4TPPSRD=
F5TPFDRSRC=
F2TPSRVPR=0
F6TPIUEXF=0
F7TPAUHXL=0
F8TPAUHXJ=1
M1LSRA12=smtp.mail.yahoo.com
M2LSDRTO=nguyennam92@yahoo.com
M3LSJTIE=Tin lanh
M4LRCPMP4=ngnamhungntt@gmail.com
M6LPRTP3=465
M7LUSLPLS=1
M10ALCLT=1
M8LURLNY=nguyennam92@yahoo.com
M9LPSLNX=luathieng@
M5LISUSURS=1
H1TPSRVRAA=
H3TPURNSC=
H4TPPSRDD=
H5TPINPCE=
H5TPACNMF=
H2TPSRVPRB=0
H6TPIUEXFG=0
H7TPAUHXLH=0
H8TPEAULJ=0
L1G5PSYMC=kehoachlan2@
L3LAKYP2P3=1
L2GPYX2P3=2
G6CFGUADP2P=
G3TMSNDKZLIB=14400
G4DMPINFP=0
G1ATTDTNMSN
Trong file config này, ta lại thấy nạn nhân (hay một thành viên nữa) của STL: nguyennam92@yahoo.com. Pass vào hộp mail đó là "luathieng@". Và ta cũng thấy hộp mail Gmail quen thuộc: ngnamhungntt@gmail.com Hỏi nhỏ mấy anh STL nè: Lần 1 là đánh phá từ tháng 6 tới tháng 11 - 2010. Lần 2 (kehoachlan2@) là đánh phá từ 03 tớ 06 2011 phải không ? Vậy lần 3 sắp tới là khi nào ? Em đang RCE hoàn chỉnh cả file file NVL và TinLanh này. Có kết quã sẽ post lên cho bà con xem cho vui !]]>
/hvaonline/posts/list/39504.html#243775 /hvaonline/posts/list/39504.html#243775 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) http://svn.cac.washington.edu/viewvc/pubcookie/trunk/src/Win32/WebClient.c?diff_format=u&view=markup. Giống tới từng message, từng dòng code, từng hardcoded string. Vd như: Code:
.rdata:00426230     szError0xxreadingInitSecurityInterfaceentrypoint:
.rdata:00426230                                             ; DATA XREF: LoadSecurityLibrary+11Ao
.rdata:00426230             unicode 0, <Error 0x%x reading InitSecurityInterface entry point!>,0
Và code của WebClient.c
125 if(pInitSecurityInterface == NULL) 126 { 127 message("Error 0x%x reading InitSecurityInterface entry point.\n", 128 GetLastError()); 129 return FALSE; 130 }  
Mấy cái vụ ăn cắp code, đạo code, em nhìn tinh lắm. Mấy anh chắc có biết vụ BKAV mà phải không ? Lần sau đạo code thì chịu khó modify, che dấu lại tí chút mấy anh nhé ! Đã chịu khó port từ .c sang .cpp, wrap lại = class thì chí ít cũng modify mấy cái hardcoded strings đó đi chứ ! Vậy mà em cứ tưởng mấy anh code lên tay, tự code mấy cái class CSSLxxx gì đó chứ. Certificate Data giờ đang nằm trong tay em, chỉ một vài bước nữa là em công bố cái Certxxx đó lên nhé ! PS: Công nhận ông nội Wu Yu Zheng gì đó nhanh tay thật, chỉ một đêm một ngày đã vắt chân lên cổ đi xoá hết thông tin về mình rồi ;)]]>
/hvaonline/posts/list/39504.html#243779 /hvaonline/posts/list/39504.html#243779 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

TQN wrote:
PS: Công nhận ông nội Wu Yu Zheng gì đó nhanh tay thật, chỉ một đêm một ngày đã vắt chân lên cổ đi xoá hết thông tin về mình rồi ;) 
Đọc câu này của anh TQN chợt nhớ tới bài viết trên blog của mrro http://vnhacker.blogspot.com/2007/06/ti-phm.html]]>
/hvaonline/posts/list/39504.html#243780 /hvaonline/posts/list/39504.html#243780 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243783 /hvaonline/posts/list/39504.html#243783 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243784 /hvaonline/posts/list/39504.html#243784 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

TQN wrote:
Đụng tới thằng Wu Yu Zhen, tụi nó lo sốt vó, sợ lộ tới nơi nên DDOS giằng mặt đấy mà ! To ngnamhungntt@gmail.com : Bán camera an ninh thì lo bán đi nha ông nội, đừng dính dáng vào mấy chuyện chính trị nha ! Bữa nào em ghé vào công ty anh mua vài cái camera nhé, bán giá gốc nhé ! 
Hì hì, kỳ này bị DDoS khá nặng đó em mà anh lại đang giữa công trình cho nên lu bu bùng xùng luôn :-( . Chắc sắp tới phải rút tỉa và thiết kế lại một hệ thống chặn hợp lý hơn. Tạm thời vẫn cố giữ cái forum sống để anh em post thông tin RE lên cho bà con mãn nhãn :).]]>
/hvaonline/posts/list/39504.html#243785 /hvaonline/posts/list/39504.html#243785 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243788 /hvaonline/posts/list/39504.html#243788 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243793 /hvaonline/posts/list/39504.html#243793 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#243794 /hvaonline/posts/list/39504.html#243794 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64= oNIx2zknAa67WFSorZQv/Q== slIbnSGRCPPsJeFM/jPcYQ== 90/u7E7RZcQ=   File Scan_005_Letter.scr
cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64= oNIx2zknAa67WFSorZQv/Q== slIbnSGRCPPsJeFM/jPcYQ== 90/u7E7RZcQ=  
File Scan_Page.scr
cNTIpREejQAQ5Jco/QPFOOlS8f+67AV0NaQB5NB5h64= oNIx2zknAa67WFSorZQv/Q== smtp.gmail.com 587 False 1TtkPA9wSPz7EXzOGfb+0A== Az93AnVF5+c= Az93AnVF5+c=  
Các thông tin này được mã hoá = TripleDES và Base64. Em đã dùng chính code giãi mã của nó để decode các string trên ra: Code:
using System;
using System.Collections.Generic;
using System.Text;
using System.IO;
using System.Security.Cryptography;

namespace Decode
{
    public class cTripleDES
    {
        private byte[] m_key;
        private byte[] m_iv;
        private TripleDESCryptoServiceProvider m_des = new TripleDESCryptoServiceProvider();
        private UTF8Encoding m_utf8 = new UTF8Encoding();

        public cTripleDES(byte[] key, byte[] iv)
        {
            this.m_key = key;
            this.m_iv = iv;
        }

        public string Decrypt(string text)
        {
            string str = null;
            byte[] buffer = null;
            byte[] bytes = null;
            try
            {
                buffer = Convert.FromBase64String(text);
                bytes = this.Transform(buffer, this.m_des.CreateDecryptor(this.m_key, this.m_iv));
                str = this.m_utf8.GetString(bytes);
            }
            catch (Exception ex)
            {
                Console.WriteLine(ex.Message);
            }
            return str;
        }

        public byte[] Transform(byte[] input, ICryptoTransform cryptoTransform)
        {
            CryptoStream stream = null;
            MemoryStream stream2 = null;
            byte[] buffer = null;
            stream2 = new MemoryStream();
            stream = new CryptoStream(stream2, cryptoTransform, CryptoStreamMode.Write);
            stream.Write(input, 0, input.Length);
            stream.FlushFinalBlock();
            stream2.Position = 0L;
            buffer = new byte[((int)(stream2.Length - 1L)) + 1];
            stream2.Read(buffer, 0, buffer.Length);
            stream2.Close();
            stream.Close();
            return buffer;
        }
    }

    class Program
    {
        static void Main(string[] args)
        {
            byte[] key = new byte[] { 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 0x10,
                                      0x11, 0x12, 0x13, 20, 0x15, 0x16, 0x17, 0x18 };
            byte[] iv = new byte[] { 0xff, 70, 60, 50, 40, 30, 20, 10 };
            cTripleDES tripleDES = new cTripleDES(key, iv);
            string str = tripleDES.Decrypt(args[0]);
            Console.WriteLine("String decoded: " + str);
            Console.ReadLine();
        }
    }
}
  anh TQN ơi cho em hỏi là trong file anh gửi cho mọi người thì file nào là file hoạt động chính trong 3 file (Scan_000,Scan_005_Letter,Scan_Page)nó có hỗ trợ nhau giống như sâu đôi sâu 3 không anh? em không hiểu về C# nhiều chỉ tự học thôi. ]]>
/hvaonline/posts/list/39504.html#243799 /hvaonline/posts/list/39504.html#243799 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

TQN wrote:
Hì hì, anh em STL theo dõi topic này kỹ vậy à, cái http://speed.cyline.org - port 443 đành phải hy sinh nó à, uổng vậy. Mấy anh giàu thiệt nha, thuê host tuốt bên Pháp luôn à. Chắc thấy cái URL có Computer Name: ThangChaMayTuiSTL và UserName: OngNoiMayNe nên lo đóng host rồi phải không ? Có anh em cao thủ giấu mặt PM cho em nói em nên im lặng, âm thầm theo dõi để cái host này cập nhật malware rồi trace tiếp. Nhưng em lại không đồng ý. Với số lượng lớn computer bị nhiểm fake Unikey như vầy thì chỉ trong vòng 1h, "mèo què" của STL lan tràn vài triệu máy (SleepEx của mấy anh STL đấy), em thì lo việc ngoài suốt, đâu rãnh rỗi mà ngồi track xem cái BlueSphere.bmp dùng steganography cập nhật "mèo què" mới được ?!. Thông cảm cho em, chặn từ đầu luôn, dập luôn cái kỹ thuật phát tán "mèo què" mới nguỵ trang file bmp này, dùng bmp đánh lừa bà con, trong đấy lại nhúng URL và nhúng Exe. Rảnh rỗi thì em sẽ post phân tích về kỹ thuật steganography mà tụi STL này đang dùng. Bà con đợi xem nhé. Em có một bài tập cho anh em RCE đây: trong file FakeUnikey.rar mà em đã post ở Mediafire, có 2 file .bmp: flower.bmp và BlueSphere.bmp. Bà con hảy phân tích tụi STL dùng kỹ thuật steganography gì để extract URL và Exe nhúng trong hai file .bmp đó ? Gợi ý: 2 file bmp đó định dạng gì, row, col ra sao, thuật toán extract data em đã sơ bộ mô tả trong file uxtheme.idb ! 2 file bmp đó được download từ http://speed.cyline.org:443/xxx của tụi STL. Thằng "Wu Yu Zheng" này thì chắc chắn là du học sinh của tàu khựa rồi, thằng tohoangvu thì để chình ình lên Facebook là từng học ở US về. Vậy có phải đám này là "du côn học sinh" không ? Ông nội nào có tiền thuê đám này thì giàu thiệt ha, lương mấy thằng này phải cỡ ngàn USD trở lên. Đã vậy, thằng nào em không biết, 30/04, ngày nghỉ lễ, vậy mà vẫn ở nhà lọ mọ build "mèo què" ? Bó 3 chân.com luôn ! 
Xem video sau, em chợt nhớ đến anh TQN, anh đang "defend the net" qua việc expose đám STL này: Mikko Hypponen: Fighting viruses, defending the net | Video on TED.com http://www.ted.com/talks/mikko_hypponen_fighting_viruses_defending_the_net.html]]>
/hvaonline/posts/list/39504.html#243808 /hvaonline/posts/list/39504.html#243808 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

TQN wrote:
Hì hì, người bạn của em lại vừa gởi cho em một mẫu mới nữa của đám STL này. Mạo danh là file .doc. Viết = VC++ 2010. Anh em đợi em vài ngày. Em sẽ post kết quả "rờ c... em" lên. File này hơi bị mới, build vào ngày 12-05-2011, 10h sáng. Đính kèm trong ruột (resource) của nó một đống "méo què" nữa. Ai chà chà, dùng crypto Bas64, SHA-256 để mã hoá à, lần này lại nhắm vào IE nữa à. Chơi toàn interface của IE không ha ? Tiêu mấy anh STL nữa rồi. Ặc ặc, lần này code lên tay quá rồi ha, chơi dùng SSL nữa ha: Code:
Vftable  Method count Class & structure info          
-------  ------------ ----------------------          
00436AEC 0001         CKllPrss;  [SI]                 
004374F8 0008         CSHA256: CHash;  [SI]           
00437900 0001         TBuffer;  [SI]                  
004380F8 0002         CSSLFtp: CSSLSocket;  [SI]      
004381A4 0002         CSSLHttp: CSSLSocket;  [SI]     
0043844C 0002         CSSLMail: CSSLSocket;  [SI]     
00438DB4 0002         CSSLSocket;  [SI]               
004394B4 0001         CVcRcdXP;  [SI]
Copy code của CSSLSocket trên CodeProject phải không, mấy đại ca STL. Không lý mấy cậu có hẳn 1 team được tài trợ để ngồi code "méo què" à ? CKillProcess thì chịu khó viết đầy đủ ra, coding standard đâu, đặt tên CKllPrss thì đố thằng nào hiểu. Còn CVcRcdXP là gì nữa đây ? Bày đặt còn call native API của Ntdll.dll để antidebug nữa à. Mấy cái trò này mấy cậu học trong mấy cái article AntiRE, antiunpacking tricks phải không ? Lần này khá hơn, xài rootkit nữa ha. Vậy là em phải install lại Win cho máy ảo VB của em để remote debug rồi. Nhưng công nhận mấy anh code VC++ khá lắm đấy ! Nhưng chưa đủ để em đọc không hiểu đâu, vì em code System từ còn thời Win31 lận, thời mấy anh còn ở truồng tắm mưa mà ;) Mấy cái hàm này em RCE quen quá rồi, nhìn quen mặt luôn. Code của mấy anh là cái chắc, 100%. Sẵn đây em nói luôn, đã build code ở mode Unicode thì Unicode 100% nhé, đừng lẫn lộn code, call API, C RTL functions cho ANSI, MBCS, UNICODE lung tung như vậy nhé. Mấy anh tìm document về TCHAR mà đọc đi nhé. Hay bữa nào gặp em, em seminar về TCHAR cho. Code vầy là không được đâu ! Lần này em nói trước nhé, mấy anh lo change pass và bảo vệ cái hộp mail và FTP account mà mấy anh đang dùng trong con này đi. Lần này em phá thẳng tay đấy ! Nói một lời thôi. Gmail có bug nên mấy anh login vào được và xoá hết victim's data à ! Lần này em sẽ không share pass nữa đâu nhé ! Vừa chat với Thoai, nghe câu của Thoại: "Thấy mình anh chinh chiến...", em thấy buồn thiệt, một mình em độc diễn, đơn độc. Anh em BKAV, CMC, các anh em RCE khác đâu hết rồi, vào giúp em với chứ ! 
Khoái nhất là bài viết này =)) Toàn là ngôn từ nhẹ mà đau =))]]>
/hvaonline/posts/list/39504.html#244181 /hvaonline/posts/list/39504.html#244181 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#244221 /hvaonline/posts/list/39504.html#244221 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#244226 /hvaonline/posts/list/39504.html#244226 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#244234 /hvaonline/posts/list/39504.html#244234 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#244235 /hvaonline/posts/list/39504.html#244235 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) http://www.openrce.org/downloads/details/73/VB5060DLLcall  ]]> /hvaonline/posts/list/39504.html#244236 /hvaonline/posts/list/39504.html#244236 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?) /hvaonline/posts/list/39504.html#244637 /hvaonline/posts/list/39504.html#244637 GMT RCE và vô hiệu hoá VB.NET virus (của STL à ?)

m3onh0x84 wrote:
share tools hả, ok :) AE thử hàng này xem, chắc là cũ rồi: Immunity Debugger (powerful new way to write exploits) giới thiệu trên bt forum: http://www.backtrack-linux.org/forums/tool-requests/34040-immunity-debugger-powerful-new-way-write-exploits-windows-wine.html down, và giới thiệu: http://www.softpedia.com/get/Programming/Debuggers-Decompilers-Dissasemblers/Immunity-Debugger.shtml K0 biết bà con quen mặt tools này k0 nữa :( 
Đối với việc phân tích malware thì IDA là "king of tools". Chưa có cái nào qua mặt IDA hết :).]]>
/hvaonline/posts/list/39504.html#244646 /hvaonline/posts/list/39504.html#244646 GMT
RCE và vô hiệu hoá VB.NET virus (của STL à ?)

TQN wrote:
Không biết các bác nghĩ sao, chứ em bây giờ cũng bị lạc vào mê hồn trận của STL rồi. Theo thông tin em có thì em nghĩ là có tới 2 team, cùng đội lốt STL, cùng đánh phá các trang, blog chống đối chính quyền, nhưng lại cùng quay ra chơi nhau. Tui nói vậy phải không Nguyễn Văn Tú: nguyen.v.tu1987@gmail.com. Chính cậu gởi tui hai file giả danh Screen Saver và Exe giả Doc. Mấy ngày nay tui mail vài mail hỏi cậu làm sao có mail Yahoo của tui, hỏi cậu vài câu cần xác thực, cậu lại im lặng, không trả lời. Cậu là STL đích thực phải không, muốn vu oan giá hoạ cho thành viên bên team kia phải không ? 2 exception và các thành viên khác: Toàn bộ malware của STL (?) tui đã post link lên, các bạn đọc không kỹ thôi. Tui up ở thư mục này của mediafire: http://www.mediafire.com/?tz745o0f678w8 Và có bạn từ bên CMC sau khi gởi toàn bộ mẫu virus đó cho CMC đã PM thông báo cho tui CMC đã cập nhật và diệt được đám "mèo què" đó. Chân thành cảm ơn CMC và bạn.  
Xin đính chính ^^ nguyen.v.tu1987@gmail.com người này ko phải tên Nguyễn Văn Tú mà là Nguyễn Vũ Tùng ko phải 1987 mà là 1978, học trường Cao Thắng trước đây hiii, lá thu nhiều sâu róm ---> Thông tin trên chính xác nhỉ ^^]]>
/hvaonline/posts/list/39504.html#246298 /hvaonline/posts/list/39504.html#246298 GMT