<![CDATA[Latest posts for the topic "Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk"]]> /hvaonline/posts/list/28.html JForum - http://www.jforum.net Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk http://www.mediafire.com/?1ecnlmadgdacsda http://www.mediafire.com/download.php?9bo57outrj3ds7h  Dùng công cụ "mì ăn liền" ra được 1 số kết quả:
http://anubis.iseclab.org/?action=result&task_id=1fb329ad44e85331455b2eb38b97922f9&format=html - HTTP Conversations: From ANUBIS:1029 to 66.220.158.11:80 - [facebook.com] Request: GET / Response: 301 "Moved Permanently" Request: POST /ajax/chat/settings.php?__a=1 Response: 200 "OK" Request: POST /ajax/chat/buddy_list.php?__a=1 Response: 200 "OK" From ANUBIS:1030 to 69.171.242.74:80 - [www.facebook.com] Request: GET / Response: 200 ""  
Kết hợp với data-mining:

 
Tổng hợp các kết quả trên có thể dự đoán tóm tắt các hoạt động của em này như sau:
1. Khi chạy sẽ tự copy vào c:\windows\iqs.exe, đặt registry để tự chạy mỗi khi khởi động máy 2. Mở firewall cho file iqs.exe (đặt tên là Microsoft Firevall Engine và MSN Messenger) 3. Tắt service wuauserv (Window Update), chắc là để vô hiệu hóa tool MRT của Microsoft 4. Vô hiệu hoá các phần mềm anti-virus (Kaspersky, Microsoft Esstential - Windows Defender, AntiVir, Avira, AVG), cách đơn giản là sử dụng hàm API NtTerminateProcess để end task tắt tiến trình process. 5. Tìm các window của các chương trình chat (là ICQ, YIM, GTalk) để lấy danh sách nick chat (sử dụng Windows API: FindWindow, GetWindowText,...), Facebook thì dùng API để gửi HTTP request (POST, GET) và sử dụng Windows API truy cập vào HTML DOM (Internet Explorer_Server, DocObject, IEFrame,...) để lấy dữ liệu, sau đó gửi tất cả về "nơi xa", có thể là compiler.r-t-x.com, hoặc 1 host khác tùy theo master server, cũng có thể kết nối thông qua 1 proxy server 74.208.228.202:5050 để gửi dữ liệu. Tham khảo API FB: - http://security.stackexchange.com/questions/3570/facebook-spam-phishing-attempt - http://www.phpkode.com/source/s/facebook-chat/facebook.class.php - http://imfreedom.org/wiki/Facebook 6. Tự động gửi link lây lan đến các bạn chat trong danh sách (maybe). 7. Đặt lại Trang chủ (Homepage) của các trình duyệt Chrome, Firefox, Internet Explorer, cụ thể đặt link nào thì mình chưa có test tiếp. 
Các hoạt động khác như truy cập history của chương trình chat, history của trình duyệt, chỉnh sửa tham số TCP/IP (Winsock) trên Windows, hook hệ thống... có hay không và cụ thể làm những gì thì mình chưa có thời gian phân tích tiếp.]]>
/hvaonline/posts/list/42023.html#261881 /hvaonline/posts/list/42023.html#261881 GMT
Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk /hvaonline/posts/list/42023.html#261940 /hvaonline/posts/list/42023.html#261940 GMT Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk /hvaonline/posts/list/42023.html#261972 /hvaonline/posts/list/42023.html#261972 GMT Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk

TQN wrote:
Code của con này có nhiều cái hay lắm đấy. Bà con chat = FB coi chừng, nó lấy hết nội dung chat đấy, cái này em mới gặp. Code VC++ 2003 nên rất dễ phân tích. Đọc vui lắm. Mà hình như con này đang còn trong giai đoạn test hay sao mà nhiều hàm ThreadProc đã viết xong rồi, dài ngoằng, nhưng nghĩ sao thằng coder lại cho return một phát ngay đầu hàm luôn. Tới lúc này, KAV và MS Security Essential không quét ra em bé đi kèm trong bụng. Em vừa submit lại. 
Sophos quét ra rồi em.]]>
/hvaonline/posts/list/42023.html#261988 /hvaonline/posts/list/42023.html#261988 GMT
Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk

duavaianhmakhoc wrote:
hi hi con này hay nhưng không biết dùng :( :-/ :x :D :D  
Dùng? Thiên hạ đang tìm cách ngăn chặn và tiêu diệt những trò phá hoại, đánh cắp thông tin cá nhân một cách thô bỉ thì bồ lại nghĩ đến "cách dùng". Nghĩ sao vậy?]]>
/hvaonline/posts/list/42023.html#261996 /hvaonline/posts/list/42023.html#261996 GMT
Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk /hvaonline/posts/list/42023.html#261997 /hvaonline/posts/list/42023.html#261997 GMT Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk /hvaonline/posts/list/42023.html#262003 /hvaonline/posts/list/42023.html#262003 GMT Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk /hvaonline/posts/list/42023.html#262048 /hvaonline/posts/list/42023.html#262048 GMT Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk /hvaonline/posts/list/42023.html#262064 /hvaonline/posts/list/42023.html#262064 GMT Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk /hvaonline/posts/list/42023.html#262181 /hvaonline/posts/list/42023.html#262181 GMT Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk

anglelove_199x wrote:
sao AVAST ko phát hiện đc nè :( 
Updatre dữ liệu chậm thôi mà! Nhưng AIS phát hiện nguy hiểm, không an toàn!]]>
/hvaonline/posts/list/42023.html#262729 /hvaonline/posts/list/42023.html#262729 GMT
Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk /hvaonline/posts/list/42023.html#262799 /hvaonline/posts/list/42023.html#262799 GMT Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk

tueminh204 wrote:
trend micro không phát hiện ra nhỉ 
Trend Micro quảng cáo khá rầm rộ nhưng khả năng detect viruses của nó khá chậm so với những AV khác.]]>
/hvaonline/posts/list/42023.html#262809 /hvaonline/posts/list/42023.html#262809 GMT
Trojan đánh cắp danh sách nick chat Facebook, ICQ, YIM, GTalk /hvaonline/posts/list/42023.html#267647 /hvaonline/posts/list/42023.html#267647 GMT