| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/07/2013 08:26:02 (+0700) | #121 | 277687 |
![[Avatar]](/hvaonline/images/avatar/a589486f05c1b9e27a8965c35a7d9b7a.jpg "[Avatar]")
|
tncong88
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 15/02/2007 17:33:29
Messages: 8
Offline
|
|
Em đã up các file SearchIndexer.exe tìm thấy trong máy ở bài trên rồi đó, còn khi tìm ở trong \Windows\System32\SearchIndexer.exe thì không thấy file nào là SearchIndexer.exe cả.
Cập nhật: Em vừa quét full máy bằng KIS 2013 và phát hiện có backdoor Win32/Agent.DC
Liệu có phải đây là lý do máy em bị nhiễm ? |
|
|
 |
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/07/2013 09:42:01 (+0700) | #122 | 277689 |
![[Avatar]](/hvaonline/images/avatar/3099a4ec6dc1da1e77c1b4070c7aa9b8.jpg "[Avatar]")
|
bolzano_1989
Journalist
|
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
Các bạn bị nhiễm virus tương tự tncong88 liên lạc mình để lấy mẫu virus nhé, đừng quét virus vội vì có thể làm mất mẫu trojan của stl.
Chỉ cần một mẫu được gửi cho HVA, rất nhiều người dùng máy tính VN khác sẽ được lợi. |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/07/2013 09:59:00 (+0700) | #123 | 277691 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
tncong88 wrote:
to n2tforever: Mình vào thư mục backup của KIS nhưng ko có gì cả. Có lẽ mình đã chọn KIS xoá hết rồi hay sao đó.
Đây là các thư mục có chứa file searchindexer.exe mà mình tìm được trong máy:
Một nằm tại C:\Program Files\Common Files\Microsoft và một loạt khác nằm tại C:\Windows\WinSxS
http://www.mediafire.com/download/qatdwiebekilfnk/Microsoft.zip
http://www.mediafire.com/download/gp5pd8dibmopadt/windowssearchengine.zip
Mình đã vào Control Panel tắt chức năng Windows Search và tắt cả service Winsearch nữa, và các kết nối ra bên ngoài đã hết.
Không biết tiếp theo sẽ là gì đây.
Mình ko rành về máy tính nên xin nói rõ là tình trạng xảy ra giống như mình đang upload một file gì đó ra bên ngoài vậy đó, thấy max tốc độ upload của đường truyền luôn.
File "SearchFolder.dll" nằm tai thư mục "C:\Program Files\Common Files\Microsoft " mà bạn tncong88 vừa upload lên mediafire.com là một Trojan (DLOADER.Troạn), theo xác định của công ty DrWeb (DrWeb là một công ty Antivirus của Nga). Tuy nhiên nó cũng đã qua mặt được hầu hết Antivirus khác kể cả Kaspersky và Avira. Xem hình minh hoạ.
Tôi dự đoán rằng SerchFolder.dll sẽ load lên memory của máy nhiễm độc các link kết nối đến vietnamnet.vn, tuoitre.vn.... Tuy nhiên việc disassembling file này sẽ được anh TQN và quygia128... làm rõ thêm.
File SearchIndexer.exe (giả mạoSearchIndexer.exe nguyên thuỷ của Windows ) sơ bộ chưa thấy có vấn đề gì (liên hệ với SearchFolder.dll), nhưng thực tế chính nó lại là service thưc thi các kết nối tấn công DDoS trên mạng vào vietnamnet.vn, tuoitre.vn.... .
"Cặp đôi hoàn hảo" SearchIndexer.exe-SearchFolder.dll có vẻ đang đóng vai trò như "cặp đôi" btwdins.exe-btwdins.dll. Hì hì
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/07/2013 10:01:54 (+0700) | #124 | 277692 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Xác nhận SearchIndexer.exe và SearchFolder.dll trên máy tncong88 là mèo què, đang DDoS VNN. Nó nằm trong thư mục C:\Program Files\Common Files\Microsoft
Và cũng dùng chung base VC++ source code với các mẫu btwdins.* và mDNSReponder.*
Theo cách đặt breakpoint cũ, trong file DLL, quygia128 tìm và show ngay các C&C server của thằng này nhé. Gấp. |
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/07/2013 11:43:37 (+0700) | #125 | 277693 |
n2tforever
Member
|
|
0 |
|
|
Joined: 01/07/2011 15:39:51
Messages: 92
Offline
|
|
000A0488 http://segment.bbf7.org/mouse.cur
000A04C8 http://sys.packtimes.info/mouse.cur
000A0508 http://mirror.originalcity.net/mouse.cur
000A0558 http://segment.bbf7.org/busy.cur
000A0598 http://sys.packtimes.info/busy.cur
000A05D8 http://mirror.originalcity.net/busy.cur
000A0618 http://segment.bbf7.org/hands.cur
000A0658 http://sys.packtimes.info/hands.cur
000A0698 http://mirror.originalcity.net/hands.cur
bổ xung:
000A1F88 http://lasted.detailsupp.org/mouse.cur
000A0868 http://assign.presge.net/mouse.cur
User Agent:
Code:
Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20130328 Firefox/19.0
|
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/07/2013 12:44:16 (+0700) | #126 | 277697 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
n2tforever wrote:
000A0488 http://segment.bbf7.org/mouse.cur
000A04C8 http://sys.packtimes.info/mouse.cur
000A0508 http://mirror.originalcity.net/mouse.cur
000A0558 http://segment.bbf7.org/busy.cur
000A0598 http://sys.packtimes.info/busy.cur
000A05D8 http://mirror.originalcity.net/busy.cur
000A0618 http://segment.bbf7.org/hands.cur
000A0658 http://sys.packtimes.info/hands.cur
000A0698 http://mirror.originalcity.net/hands.cur
User Agent:
Code:
Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20130328 Firefox/19.0
Sao nó nhiều Master servers (C&C) thế nhỉ? Kinh!
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/07/2013 13:32:33 (+0700) | #127 | 277700 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
Thưc ra nó chỉ có 3 Master server điều khiển quá trình DDoS vào vietnamnet.vn, tuoitre.vn...
(Một) website hosting trên từng Master server đều chứa 3 file :mouse.cur, hand.cur và busy.cur.
Chỉ có file mouse.cur được upload lên website http://segment.bbf7.org mà thôi.
Đây là link download file mouse.cur (15KB)
Và đây là "hình ảnh" của file "xem" bằng Notepad-unicode. Dày đặc chữ Tầu, nhưng trong đó là những hiden codes (Nhờ n2tforever decode).
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/07/2013 13:45:34 (+0700) | #128 | 277702 |
n2tforever
Member
|
|
0 |
|
|
Joined: 01/07/2011 15:39:51
Messages: 92
Offline
|
|
file sau decode đây bác PXM:
http://www.mediafire.com/?oho7o70dgcc0opu
trong này có lẫn cả đoạn javascript này, không biết các đại ca đihj làm gì :-ss
Code:
function getCookie()
{
var str = window.location.href;
var n1 = str.indexOf("ip=");
var missing_you = false;
if (n1 > 0)
{
n1 = n1 + 3;
str = str.substring(n1);
var n2 = str.indexOf("&");
if (n2 > 0)
{
str = str.substring(0, n2);
if (str.length > 0)
{
missing_you = true;
}
}
}
if (false == missing_you)
{
str = "127.0.0.1";
}
str = str + "dontmesswithus@1";
document.write("vietnamnet=" + calcMD5(str));
}
|
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/07/2013 15:16:27 (+0700) | #129 | 277708 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
Nội dung file "mouse.cur" mà n2tforever đã decoded ra rất dài, nếu in ra có lẽ phải khoảng trên dưới 20 trang giấy khổ A4. Tôi đã lược đi rất nhiều chi tiết để post lên đây những nội dung chính, giúp các bạn tiện theo dõi, kèm theo vài nhận xét.:
1- Hackers vẫn tập trung tấn công vào 3 mục tiêu quan trọng là: vietnamet.vn, dantri.com.vn, tuoitre.vn, trong đó "nặng nề nhất" là vietnamnet.vn
2. Hackers sử dụng các User Agents phù hợp với các HĐH Windows từ Win2000 đến Win server 2012 (từ Win NT 5.0 đến Win NT 6.2) cài trên các Desktop và Laptop, sử dụng nhiều loại trình duyệt.
Chúng cũng sử dụng các User Agents phù hợp với các iPod, iPhone, để tấn công vào các trang mạng chuyên dùng cho Smart phone, như "m.dantri.com.vn"
3-Chúng cũng bắt đầu tấn công vào các trang mạng chuyên về kinh tế, như http://vef.vn (Diễn đàn kinh tế Việt nam, thuộc Vietnamnet).
4-Chúng tấn công cả vào trang" Landing page" của vietnamnet.vn (trang này có embedded một text JavaScript, để kiểm tra cookie của user- xem thêm ở trang 3 của chính topic này).
(Cá nhân tôi thấy rằng việc đưa vào một landing page kèm JavaScript là không cần thiết trong việc chống DDoS. Tuy nhiên so với tuoitre.vn thì hệ thống của vietnamnet.vn gần đây lại vững vàng hơn- ít khi bị crashed kéo dài-. Nhưng đó lại từ một lý do-yếu tố khác, mà dường như gần đây các anh ở vietnamnet có tiếp thu 1 phần góp ý của tôi, đăng tải trong chính topic này. Sắp tới tôi sẽ có một bài viết liên quan đến vấn đề nêu trên)
-------------------------------------------------
GET / HTTP/1.1\r\nHost: vietnamnet.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8
http://vietnamnet.vn
<begin>Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1468.0 Safari/537.36
Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1467.0 Safari/537.36
Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1464.0 Safari/537.36
Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36
Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36<end>
...............................................................................
GET / HTTP/1.1\r\nHost: m.vietnamnet.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate\r\nAccept-Language: en-US,en;q=0.8
http://m.vietnamnet.vn
GET / HTTP/1.1\r\nHost: vef.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8
http://vef.vn
GET / HTTP/1.1\r\nHost: dantri.com.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8
http://dantri.com.vn
GET /s.c/phap-luat.htm HTTP/1.1\r\nHost: s.dantri.com.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nReferer: http://dantri.com.vn/\r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8
http://s.dantri.com.vn
/s.c/phap-luat.htm
GET / HTTP/1.1\r\nHost: m.dantri.com.vn\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nConnection: keep-alive
http://m.dantri.com.vn
<begin>Mozilla/5.0 (iPod; U; CPU iPhone OS 4_3_3 like Mac OS X; ja-jp) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8J2 Safari/6533.18.5
Mozilla/5.0 (iPod; U; CPU iPhone OS 4_3_1 like Mac OS X; zh-cn) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8G4 Safari/6533.18.5
Mozilla/5.0 (iPod; U; CPU iPhone OS 4_2_1 like Mac OS X; he-il) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148 Safari/6533.18.5
Mozilla/5.0 (iPhone; U; ru; CPU iPhone OS 4_2_1 like Mac OS X; ru) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148a Safari/6533.18.5
Mozilla/5.0 (iPhone; U; ru; CPU iPhone OS 4_2_1 like Mac OS X; fr) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148a Safari/6533.18.5
Mozilla/5.0 (iPhone; U; fr; CPU iPhone OS 4_2_1 like Mac OS X; fr) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148a Safari/6533.18.5
Mozilla/5.0 (iPhone; U; CPU iPhone OS 4_3_1 like Mac OS X; zh-tw) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8G4 Safari/6533.18.5
Mozilla/5.0 (iPhone; U; CPU iPhone OS 4_3 like Mac OS X; pl-pl) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8F190 Safari/6533.18.5
Mozilla/5.0 (iPhone; U; CPU iPhone OS 4_3 like Mac OS X; fr-fr) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8F190 Safari/6533.18.5
Mozilla/5.0 (iPhone; U; CPU iPhone OS 4_3 like Mac OS X; en-gb) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8F190 Safari/6533.18.5
Mozilla/5.0 (iPhone; U; CPU iPhone OS 4_2_1 like Mac OS X; ru-ru) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148 Safari/6533.18.5
Mozilla/5.0 (iPhone; U; CPU iPhone OS 4_2_1 like Mac OS X; nb-no) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148a Safari/6533.18.5<end>
GET / HTTP/1.1\r\nHost: thethao.vietnamnet.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8
http://thethao.vietnamnet.vn
<begin>Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1468.0 Safari/537.36
Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1467.0 Safari/537.36
Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1464.0 Safari/537.36
Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36
Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36<end>
GET / HTTP/1.1\r\nHost: tuanvietnam.vietnamnet.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8
http://tuanvietnam.vietnamnet.vn
GET / HTTP/1.1\r\nHost: vef.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8
http://vef.vn
GET / HTTP/1.1\r\nHost: clip.vietnamnet.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8
http://clip.vietnamnet.vn
GET / HTTP/1.1\r\nHost: tuoitre.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8
http://tuoitre.vn
GET /mvietnamnet2013/js/scriptv1-0-10.js HTTP/1.1\r\nHost: res.vietnamnet.vn\r\nUser-Agent: \r\nAccept: */*\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nReferer: http://m.vietnamnet.vn/
http://res.vietnamnet.vn
/mvietnamnet2013/js/scriptv1-0-10.js
GET /mvietnamnet2013/js/scriptv1-0-10.js HTTP/1.1\r\nHost: res.vietnamnet.vn\r\nUser-Agent: \r\nAccept: */*\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nReferer: http://m.vietnamnet.vn/\r\nReferer: {JAV}
http://res.vietnamnet.vn
/mvietnamnet2013/js/scriptv1-0-10.js
GET /mvietnamnet2013/css/style-v1-0-9.css HTTP/1.1\r\nHost: res.vietnamnet.vn\r\nUser-Agent: \r\nAccept: text/css,*/*;q=0.1\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nReferer: http://m.vietnamnet.vn/\r\nConnection: keep-alive
http://res.vietnamnet.vn
/mvietnamnet2013/css/style-v1-0-9.css
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/07/2013 18:11:02 (+0700) | #130 | 277719 |
chanhtrung
Member
|
|
0 |
|
|
Joined: 06/06/2011 21:48:50
Messages: 0
Offline
|
|
Gần đây máy em tốc độ tải cực kỳ chậm so với trước đây dù không điều chỉnh gì cả, em dùng VNPT, em search trên máy thì ra đống file này, hix, chắc bị nhiễm virus rồi quá!
[URL=http://s28.photobucket.com/user/chanhtrungnct/media/2013-07-24_190100_zps6b2262cf.png.html]
[/URL]
|
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/07/2013 18:27:03 (+0700) | #131 | 277721 |
chanhtrung
Member
|
|
0 |
|
|
Joined: 06/06/2011 21:48:50
Messages: 0
Offline
|
|
Em up các file này lên các anh xem giúp em có phải dính virus ko, em ko rành virus lắm, cảm ơn các anh! em ko tài nào copy nó ra vào 1 thư mục mà đủ hết các file (vì máy báo file giống nhau, nó tự replace và gộp lại chỉ còn 2 file) để nén lại được nên đành kéo thả từng file một vào MediaFire nên thành ra nhiều link như vậy, hix!
http://www.mediafire.com/download/70fp813z79b4s8o/SearchIndexer.exe(2).mui
http://www.mediafire.com/download/w3siouqe3td9ca7/SearchIndexer.exe.mui
http://www.mediafire.com/download/5g8e4yy54q96ryt/SearchIndexer(8).exe
http://www.mediafire.com/download/draa8affpxd3d6q/SearchIndexer(7).exe
http://www.mediafire.com/download/gqj62lgni3wr33z/SearchIndexer(6).exe
http://www.mediafire.com/download/hkoczegwi1f8uul/SearchIndexer(5).exe
http://www.mediafire.com/download/lze9j7fjwkzkb3u/SearchIndexer(4).exe
http://www.mediafire.com/download/t7j45fgij957u70/SearchIndexer(3).exe
http://www.mediafire.com/download/58btj2olnbav7hs/SearchIndexer(2).exe
http://www.mediafire.com/download/ybjh8fjs2d2bpvu/SearchIndexer.exe
|
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/07/2013 18:54:10 (+0700) | #132 | 277722 |
chanhtrung
Member
|
|
0 |
|
|
Joined: 06/06/2011 21:48:50
Messages: 0
Offline
|
|
| Kỳ lạ là em ko thể nào nén các thư mục chứa file searchindexer.exe trong C:\Windows\WinSxS được vì WinRAR lẫn 7Z đều báo lỗi! hix! copy từng cái ra ổ đĩa khác cũng không nén các thư mục này được! em dùng Win 8 32bit! hiện máy tải file và vào mạng rất chậm so với trước đây! |
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/07/2013 20:12:36 (+0700) | #133 | 277724 |
![[Avatar]](/hvaonline/images/avatar/1e4eba502e47f5317a37883c1acd639d.jpg "[Avatar]")
|
quygia128
Member
|
|
0 |
|
|
Joined: 15/07/2009 20:50:28
Messages: 119
Location: Somewhere
Offline
|
|
cảm ơn bạn chanhtrung, bạn rất nhiệt tình khi up các file này, mình gửi lên đây tool hashcs mình code lâu rồi nhưng chỉ để dùng 1 mình 
Download:
Code:
https://app.box.com/s/w6wmozoqkauyd6ovb63p
Bạn kéo thả file và tools để lấy mã hash, nếu nó trùng nhau thì bạn chỉ lấy 1 file duy nhất thôi.
@PXMMRF: với thắc mắc của anh em xin nói 1 chút xíu về cách hoạt động của mấy chú này:
1. Nó sẽ load file dll lên, nếu thành công thì tiến hành bước 2.
2. Nó sẽ ngủ với thời gian : 341746 ms vì vậy nếu không kiên nhẫn sẽ không thấy được việc nó làm trên hệ thông (ta nên đặt breakpoint tại hàm Sleep và patch thời gian để khỏi chờ đợi lâu)
3. Get file từ C&C server (ta có thể đặt file này trên localhost thay cho server thật, add domainname mà ta đã tìm được trong quá trình debug vào file host và trỏ về địa chỉ 127.0.0.1 để nó load file này lên memory (có thể đặt breakpoint ở hàm "recv" để xem qua trình decrypt))
4. Loop và CreateThread - CloseThread lien tục, quá trình này loop theo thời gian là 100ms
5.mỗi lần loop sẽ gửi truy vấn đến các mục tiêu ở port 80 thông qua hàm "getaddrinfo" trong WS2_32.dll của Windows, vì vậy ta Breatepoint ở 2 hàm : Sleep và getaddrinfo (trong module .dll) để xem quá trình này.
|
|
.::Mới bắt đầu trên con đường dài::.
.::Super Newbiez::. |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/07/2013 20:33:45 (+0700) | #134 | 277725 |
chanhtrung
Member
|
|
0 |
|
|
Joined: 06/06/2011 21:48:50
Messages: 0
Offline
|
|
Cảm ơn bạn quygia128, mình sẽ làm. Nhân tiện em vừa check lại log Avira thì thấy ngày 17 vừa qua em dính 3 con Malware này nữa ạ:
[URL=http://s28.photobucket.com/user/chanhtrungnct/media/2013-07-24_202421_zps851642b9.png.html]
[/URL]
@quygia128: mình đã kéo thả như bạn nói nhưng nó toàn báo thế này:
[URL=http://s28.photobucket.com/user/chanhtrungnct/media/2013-07-24_214448_zpsed4dfe3c.png.html]
[/URL]
|
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/07/2013 21:29:38 (+0700) | #135 | 277726 |
ga_cum06
Member
|
|
0 |
|
|
Joined: 04/05/2008 19:01:15
Messages: 29
Offline
|
|
| File SearchIndex trong máy em là 418k size on disk là 420k có khác so với của bác Mai??? |
|
| ...Ước mơ xây trường học cho trẻ em nghèo Việt Nam |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/07/2013 21:39:40 (+0700) | #136 | 277727 |
|
quygia128
Member
|
|
0 |
|
|
Joined: 15/07/2009 20:50:28
Messages: 119
Location: Somewhere
Offline
|
|
Lão đọc thông báo nhé!
Khắc phục: Có thể kéo 1 file khác vào (một file nào đó cũng được miễn sao tool hash được) sau đó kéo file muốn hash (file bị báo là không thể truy cập)
Tool không hỗ trợ Unicode vì vậy nếu file hay folder mà đặt theo Tiếng Việt thì cũng pó tay (chính vì thế nên mới không share tool này- chỉ code dùng cá nhân thôi) |
|
.::Mới bắt đầu trên con đường dài::.
.::Super Newbiez::. |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/07/2013 22:12:24 (+0700) | #137 | 277732 |
chanhtrung
Member
|
|
0 |
|
|
Joined: 06/06/2011 21:48:50
Messages: 0
Offline
|
|
Cảm ơn bác quygia128, em đã làm lại được! Đây là các thư mục chứa file SearchIndexer.exe trên máy em:
http://www.mediafire.com/download/7swdgp6zulj9d94/New_folder.7z |
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
25/07/2013 08:07:13 (+0700) | #138 | 277735 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Hiện tại, đến sáng nay, các mẫu bot, mèo què cụt gì đó của stl mà tui có, KAV/KIS đã bắt gọn, nhai xương hết.
Bà con nào đang dùng KAV/KIS nên chịu khó update và quét ngay sáng nay.
Có một mẫu tới thời điểm này chỉ có KAV/KIS và DrWeb bắt được.
Chia sẽ thông tin này, public nhanh nhé bà con |
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
25/07/2013 10:24:17 (+0700) | #139 | 277742 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
Thông báo sơ bộ về tình trạng 5 Master server mới phát hiện gần đây (cho đến nay HVA đã phát hiện 8 Master server mà hackers sử dụng để điều khiển các cuộc tấn công DDoS vào vietnamnet.vn, tuoitre.vn, dantri.com.vn)
1- segment.bbf7.org
Resolved (computer name-host name): 69-78-229-91.deltahost.com.ua
Địa chỉ IP tĩnh :91.229.78.69
Nơi đặt server: Ukraina
Tình trạng: mở cổng 80, nhưng không upload bất cứ file nào (như mouse.cur, busy.cur, hand.cur) lên website.
Truy cập rất khó.
2- mirror.originalcity.net
Resolved (computer name-host name): unallocated.barefruit.co.uk
Địa chỉ IP tĩnh : 92.242.132.13
Nơi đặt server: Anh quốc
Tình trạng: mở cổng 80, đã bị VDC chặn link truy cập và wwwect đến một website của VDC
3- Các (3) Master server còn lại: inactive (hacker tắt server)
sys.packtimes.info, lasted.detailsupp.org, assign.presge.net
(update time 10.45 AM July 25, 2013)
---------------------------------------------------------------------------
quigia128 wrote:
1. Nó sẽ load file dll lên, nếu thành công thì tiến hành bước 2.
2. Nó sẽ ngủ với thời gian : 341746 ms vì vậy nếu không kiên nhẫn sẽ không thấy được việc nó làm trên hệ thông (ta nên đặt breakpoint tại hàm Sleep và patch thời gian để khỏi chờ đợi lâu)
3. Get file từ C&C server (ta có thể đặt file này trên localhost thay cho server thật, add domainname mà ta đã tìm được trong quá trình debug vào file host và trỏ về địa chỉ 127.0.0.1 để nó load file này lên memory (có thể đặt breakpoint ở hàm "recv" để xem qua trình decrypt))
4. Loop và CreateThread - CloseThread lien tục, quá trình này loop theo thời gian là 100ms
5.mỗi lần loop sẽ gửi truy vấn đến các mục tiêu ở port 80 thông qua hàm "getaddrinfo" trong WS2_32.dll của Windows, vì vậy ta Breatepoint ở 2 hàm : Sleep và getaddrinfo (trong module .dll) để xem quá trình này.
Cảm ơn quigia128 đã chia sẻ thông tin thú vị. Rồi mỉnh sẽ bình luận chi tiết về việc này. Trước mắt thì theo mình ngủ trong 341746 ms (khoảng 5-6 phút) thì chỉ là "chợp mắt" thôi. Hì hì. Còn máy thử nghiệm của mình nó thức suốt đêm, suốt ngày nữa và được "uống" nhiều thứ thuốc tăng lưc cơ! Nó cũng được theo dõi từng phút, giây mọi diễn biến bằng nhiều phương tiện độc đáo đấy (thí dụ: hay hơn và độc đáo hơn WireShark 1.10.0). Còn rất nhiều điểm khác cần trao đổi thêm với quigia128. Phân tích của quigia128 là đúng, hay, nhưng lại chua đủ chi tiết cần thiết. Again thank.
----------------------------------------------
to: tncong88.
Trước hết xin cảm ơn bạn về những thông tin quý mà bạn đã cung cấp cho HVA.
Xin bạn upload lên mediafire.com file "Prefetch" trong máy của bạn. Với Win 7, file này nằm ở thư mục /Windows/Prefetch.
File này lưu lai nhiều thông tin về diễn biến của các service trong máy, liên quan đến service "SearchIndexer.exe" và cả "mDNSResponder.exe" (trong folder Bonjour-nằm tại Program Files/Common Files/ trước đây)...
File này không bị Antivirus xoá và có dung lượng khá lớn, cỡ vài chục MB hay hơn, gồm nhiều files.
Về "Prefetch" tôi xin post lại một đoạn trong tin nhắn gửi cho bạn 1visao mấy ngày trước để tncong88 tham khảo.
PXMMRF trong tin nhan 20-7-2013 gui 1visao wrote:
1visao thân,
Xin lỗi vì sáng nay bận họp, nên không trả lời ngay.
Về thư mục PCHEALTH trong máy người bạn tại thư muc Windows/.. là mình có 1 sự lầm lẫn. Máy mình có cài thử PC HEALTH Optimizer (để kiểm tra) và không hiểu tại sao PC HEALTH Optimizer lại ịnject được code vào file Prefech (của máy người bạn),mà 1visao upload lên mang. Thật lạ.
Việc phát hiện ra btwdins.exe và btwdins.dll là một thành quả quan trọng, nhưng thưc ra ta chỉ mới nắm được phần "ngọn". Nếu có một malicious soft. nào đó đươc download về máy nạn nhân và chính cái soft. này sẽ create (tạo ra) các file btwdins.* nói trên, thì nó mới là "gốc". Và cái "gốc" này có thể rename (đổi tên) các file nó sẽ tạo ra. Như vậy phần mềm scan btwdins.exe và btwdins.dll của CMC InfoSec sẽ tiêu, mất tác dụng.
Kiểm tra kỹ lại thì mình thấy btwdins.exe tương tác với hai (có thể nhiều hơn) file nghi ngờ
nằm tai thư mục:
C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.5512_X-WW_35D4CE83\COMCTL32.DLL
và: C:\Windows\WINDOWSSHELL.MANIFEST
File COMCTL32.DLL trong "WINSXS" (thường được gọi là "DLL Hell" [Địa ngục file DLL]) là file chính thức của Windows, nhưng không hiểu nó có bị nhiễm độc không?. 1visao kiểm tra với virustotal.com dùm.
File WINDOWSSHELL.MANIFEST (MANIFEST format) thường có chuyện, vì nó liên quan đến "Activation Contexts", 1visao cũng kiểm tra luôn (với virustotal.com).
Xin tncong88nhớ gửi File "Prefetch" nhé.
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
25/07/2013 13:48:26 (+0700) | #140 | 277746 |
|
tncong88
Member
|
|
0 |
|
|
Joined: 15/02/2007 17:33:29
Messages: 8
Offline
|
|
Toàn bộ file trong thư mục Prefetch em đã đóng gói vào rồi đây :
Code:
http://www.mediafire.com/download/i36ca4jtu6v7ptk/Prefetch.zip
|
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
25/07/2013 14:19:00 (+0700) | #141 | 277748 |
superbmt
Member
|
|
0 |
|
|
Joined: 16/08/2011 22:04:19
Messages: 35
Offline
|
|
Sau khi đọc một loạt bài các anh trên này, em cũng phát hiện ra máy đang có dấu hiệu na ná như của anh chanhtrung nhưng file SearchFolder.dll và file Searchindexer.exe đều nằm trong thư mục C:\Windows\WinSxS\. Chứ không phải nằm trong thư mục Systems
hiện em đang dùng bản ghost win 8 tải từ 1 diễn đàn, hổm rồi có check tool test từ web của anh Phúc thấy máy báo an toàn nên có phần chủ quan, vẫn không thấy máy tính kết nối mạng chậm, nhưng cũng xin tham khảo hỏi các anh thử có bị dính mèo què ko?
EM đã tải tool check của anh TQN
Hiện giờ máy em vẫn chưa cài đặt KIS để check và diệt, mong BQT xem cho em thử coi em có bị nhiễm không ạ, các file SearchFolder và Searchindexer em còn giữ. |
|
| ...lâu lâu nên làm một điều gì đó có ích... |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
25/07/2013 14:31:31 (+0700) | #142 | 277749 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Bạn down lại file killstlbot.cmd đi, nó cũng kill thêm một con nữa.
File SearchIndexer.exe và các dll chính hãng của MS trong thư mực WinSxS thì khi mở = notepad sẽ không có chữ MZ đầu tiên. Các file đó là sạch.
|
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Những thảo luận khác
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Email]](/hvaonline/templates/viet/images/icon_email.gif "[E-mai]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")