VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Những thảo luận khác

VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	26/07/2013 02:50:17 (+0700) \| #151 \| 277768

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

File bat killstlbot.cmd được cập nhật liên tục để kill và delete các mẫu mèo què mới phát hiện. Link download vẫn cố định như cũ. Bà con chịu khó download lại và scan trên máy mình, máy người thân, bạn bè, cơ quan....
Link download: http://www.mediafire.com/download/pg4hs72x1ifs7z3

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	26/07/2013 06:26:47 (+0700) \| #152 \| 277769

tncong88
Member

Joined: 15/02/2007 17:33:29
Messages: 8
Offline

To quygia128:
Em đã tắt KIS và restore các file mà KIS đã xoá, đóng gói lên đây:
Code:

http://www.mediafire.com/download/6g68sb6arl12j61/TuneUp.xxx.zip

Chúng nằm ở các thư mục như hình bên dưới nha anh, em copy vào chung 1 thư mục để nén, có 2 file cùng tên nhưng nằm ở 2 thư mục khác nhau nên khi chuyển vào em thêm số 1 vào tên file.

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	26/07/2013 09:56:33 (+0700) \| #153 \| 277776

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Sao file của tncong88 TuneUpxxx trên mediafire bị block rồi.
Do mediafire nhận diện được là virus hay do ai report ?

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	26/07/2013 13:41:11 (+0700) \| #154 \| 277794

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

tncong88, bạn đặt password file nén khi gửi lên MediaFire.
Bạn gửi link vào hộp mail hvaddosresponseteam@gmail.com thì hay hơn, chân rết stl không report được.

Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	26/07/2013 15:06:46 (+0700) \| #155 \| 277799

rongchaua
Elite Member

Joined: 19/01/2003 04:09:23
Messages: 124
Offline

Bên báo Đức hôm 25.07 vừa rồi có bài đăng báo nói OrbitDownloader cũng tham gia DoS các IP tại Việt Nam (cái này anh em trong REA chắc đã đọc, post lên đây cho mọi người cùng biết)

http://www.heise.de/newsticker/meldung/Warnung-vor-Orbit-Downloader-1923667.html

Lược dịch (xin lỗi tiếng Việt không giỏi, tiếng Đức lại càng không, nên dịch ý thôi anh em thông cảm)

Cảnh báo về Orbit Downloader
Nếu bạn đang cài tiện ích quản lý download Orbit Downloader trên máy thì nên gỡ bỏ ứng dụng này ngay lập tức. Công cụ miễn phí này đang tham gia tấn công mạng trực tiếp vào nhiều địa chỉ IP ở Việt Nam ngay khi ứng dụng được khởi động.

Theo nguồn tin từ công ty bảo mật Cyberoam, heise Security đã tiến hành phân tích cho thấy rằng trong một khoảng thời gian ngắn, công cụ này đã gởi hàng triệu gói tin SYN đến các địa chỉ IP 118.69.172.112 và 118.69.172.247 với các địa chỉ nguồn gởi giả mạo. Như vậy cũng không quá khó để xác định rằng công cụ này đang thực hiện một cuộc tấn công SYN-Flood làm quá tải các hệ thống bị tấn công hay còn gọi là tấn công từ chối dịch vụ (DoS). Ngoài ra, mục tiêu nhắm đến của Orbit Downloader rõ ràng là các IP đến từ Việt Nam.

Tấn công SYN-Flood cũng gây ra các tác tại ngay trong mạng nội bộ (LAN). Các thiết bị mạng phải trung chuyển các gói tin liên tục cũng có thể dẫn đến tình trạng quá tải. Như khi heise Security tiến hành kiểm tra với phiên bản hiện tại 4.1.1.18, môi trường mạng dùng để kiểm tra đã nhanh chóng quá tải sau một thời gian ngắn và bắt buộc phải khởi động lại Router. Công cụ chỉ ngừng tấn công khi người dùng đóng cửa sổ chương trình và hoàn toàn thoát khỏi ứng dụng ở Tray.

Theo phân tích của trang VirusTotal (kiểm thử với nhiều chương trình antivirus) thì chỉ 2 trong 46 chương trình antivirus có "nhận định" về ứng dụng này. Trong khi Esset nhận diện chương trình cài đặt của Orbit Downloader là Adware với mã Win32/OpenCandy thì Kaspersky thông báo "not-a-virus:NetTool.Win32.GushUnleashed.a"

Lý do edit: Bổ sung đoạn cuối (do dịch giữa chừng vợ kêu đi chợ)

My website: http://rongchaua.net

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	26/07/2013 15:28:52 (+0700) \| #156 \| 277800

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

Như vậy đã rõ.

File-service tạm 1489AFE4.TMP nằm tại thư mục C:\WINDOWS\TEMP\1489AFE4.TMP (trong máy của tncong88) đã create và kích hoạt hai file-service SEARCHINDEXER.EXE và SEARCHFOLDER.DLL, cùng nằm tại thư mục C:\PROGRAM FILES\COMMON FILES\MICROSOFT\.
File-service SEARCHFOLDER.DLL đã load các dữ liệu tấn công DDoS lên memory (mục tiêu tấn công [tuoitre.vn, vietnamnet.vn...], User Agents...) để file-service SEARCHINDEXER.EXE thưc thi việc tấn công DDoS trên mạng.

Câu hỏi đặt ra là file-service nào create và kích hoạt file-service tạm 1489AFE4.TMP nói trên?
Đó chính là file-service TUNEUPSYSTEMSTATUSCHECK.EXE. File này nằm tại thư mục C:\WINDOWS\TEMP\TUNEUPSYSTEMSTATUSCHECK.EXE, cùng thư mục với 1489AFE4.TMP. File này có dung lượng khoảng 6KB trên máy của tncong88 (dung lượng có thể thay đổi theo thời gian).

Chú ý là TUNEUPSYSTEMSTATUSCHECK.EXE tạo ra và kích hoạt 1489AFE4.TMP, rồi 1489AFE4.TMP lại tạo ra và kích hoạt SEARCHINDEXER.EXE và SEARCHFOLDER.DLL, đồng thời SEARCHINDEXER.EXE cũng lại kích hoạt SEARCHFOLDER.DLL( thêm)

Vậy thì file-service TUNEUPSYSTEMSTATUSCHECK.EXE ở đâu và được cái gì tạo ra?

TUNEUPSYSTEMSTATUSCHECK.EXE là một service-file trong phần mềm "TuneUp Utilities' do công ty "TuneUp Software" ( www.tune-up.com) cung cấp. Tên file này nếu được viết tách ra từng từ, thì tự nó đã giải thích chức năng và công dụng của file: TuneUp System Status Check.

"TuneUp Utilities" có nhiều version, như 9.0.2000.15- năm 2010, 12.0.3600.104-năm 2012, 13.0.3020.7 -năm 2013.... Trong TuneUp (nguyên bản) thì TUNEUPSYSTEMSTATUSCHECK.EXE nằm ở thư mục \PROGRAMFILES\TuneUp Utilities 201x và có dung lượng khác nhau tuỳ theo version, thí dụ trong TuneUp Utilities 2010, version 9.0.2000.15, file có dung lượng là khoảng 316KB

Những file TUNEUPSYSTEMSTATUSCHECK.EXE giả mạo sẽ có dung lượng khác biệt và nằm ở các thư mục khác với thư mục (mặc định) nói trên. Thí dụ trong máy của tncong88, file này nằm ở C:\WINDOWS\TEMP\TUNEUPSYSTEMSTATUSCHECK.EXE.

Trên mạng hiện nay có những website cho download miễn phí TuneUp Utilities 2013, version 13.0.3020.7 kèm theo crack hay serial No., như http://thuthuat.chiplove.biz/tag/TuneUp-Utilities/ hay http://www.pkgames.net/2013/04/free-download-tuneup-utilities-2013.html .. với số lần download được ghi nhận là rất nhiều(trên dưới 50.000 lần). Có nhiều khả năng TUNEUPSYSTEMSTATUSCHECK.EXE giả mạo được cài cắm vào trong các software này.

Chúng ta cần trở lại trường hợp của "cặp đôi" mDNSResponder.exe - mdnsNSP.dll(?) kể cả cặp đôi btwdins.exe-btwdins.dll để áp dụng cách phân tích trên và cố tìm ra ngọn nguồn của sự kiện. Rất tiếc files mDNSResponder.exe - mdnsNSP.dll(?) trong folder-phần mềm "Bonjour" (giả mạo) trên máy tncong88 đã bị xoá mất rồi!

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	26/07/2013 15:52:57 (+0700) \| #157 \| 277801

hen
Member

Joined: 25/03/2004 03:57:10
Messages: 0
Offline

TQN wrote:

Bạn down lại file killstlbot.cmd đi, nó cũng kill thêm một con nữa.
File SearchIndexer.exe và các dll chính hãng của MS trong thư mực WinSxS thì khi mở = notepad sẽ không có chữ MZ đầu tiên. Các file đó là sạch.

Hi TQN, file của trên máy của em có chữ MZ đầu tiên. Em phải xử lý như thế nào vậy anh? IP của em không có trong danh sách trên trang http://www.antibotnet.tk/

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	26/07/2013 15:58:42 (+0700) \| #158 \| 277802

tncong88
Member

Joined: 15/02/2007 17:33:29
Messages: 8
Offline

Em xin gửi lại file TuneUp nếu việc này vẫn còn cần thiết cho các anh "nghiên cứu khoa học" smilie

Code:

https://mega.co.nz/#!pJcGDACK!Q8alPmiMM3AuKpM5RJU65HPqrHUDdKjafjOtVl1-2ac

Theo như anh PXMMRF nói thì những file này chỉ tạo ra khi cài TuneUp Utilities đúng không ạ? Nhưng em nhớ là em chưa từng cài phần mềm này vào trong máy, vậy nó từ đâu tạo ra ?

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	26/07/2013 16:14:18 (+0700) \| #159 \| 277803

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Đó đang là câu hỏi của tui luôn đó bạn, tìm chưa ra. Có thể từ vụ Unikey bị fake trang download trên sourceforge.net

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	26/07/2013 17:38:51 (+0700) \| #160 \| 277806

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

tncong88 wrote:

Em xin gửi lại file TuneUp nếu việc này vẫn còn cần thiết cho các anh "nghiên cứu khoa học"
Code:
https://mega.co.nz/#!pJcGDACK!Q8alPmiMM3AuKpM5RJU65HPqrHUDdKjafjOtVl1-2ac
Theo như anh PXMMRF nói thì những file này chỉ tạo ra khi cài TuneUp Utilities đúng không ạ? Nhưng em nhớ là em chưa từng cài phần mềm này vào trong máy, vậy nó từ đâu tạo ra ?

Cám ơn tncong88 đã upload file. File cũ bị blocked vì mediafire.com phát hiện là bên trong có virus. Lần sau em zip, đặt password là xong (nhưng đừng quên thông báp pass.)

Về nguyên tắc file TUNEUPSYSTEMSTATUSCHECK.EXE giả mạo có thể được cài cắm vào bất cứ phần mềm độc hai nào, downloaded trên mạng. Tuy nhiên nếu cài vào TuneUp Utilities thì sẽ ít bị người dùng nghi ngờ vì trong TuneUp Utilities cũng có một service TUNEUPSYSTEMSTATUSCHECK.EXE chính chủ.(như em đã vừa tỏ ra nghi ngờ đấy thôi!)

Tôi vùa download trên mạng TuneUp Utilities, để thử kiểm tra xem sao.

tncong88, em thử kiểm tra lại cái IDM 6.x (+ crack) hình như mới được em download về và cài đặt trong máy xem thế nào?. Hì hì.

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	26/07/2013 20:39:46 (+0700) \| #161 \| 277810

tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline

Chắc chắn còn nhiều "em bé" trốn trong những phần mềm crack, lậu, không có bản quyền nữa, chứ chẳng phải chỉ có Unikey, Tuneup Utility, mDNSResponder,...Bà con download nên download từ trang chủ của phần mềm, không download qua trang trung gian nào đó, hạn chế dùng phần mềm không có bản quyền.

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	27/07/2013 10:15:44 (+0700) \| #162 \| 277819

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

Tôi đang chuẩn bị lai các tài liệu khảo sát trên mạng để định kỳ (chậm nhất là 2 ngày 1 lần) báo cáo cho các bạn tình trạng, tình hình hoạt động của các Master sever điều khiển tấn công DDoS vào một số trang mạng lớn của VN.

Chúng ta buộc phải "lật ngửa ván bài" để chơi với bọn hacker này. Có những lý do khác nhau, nhưng một trong các lý do chính là việc chúng ta có thể giúp các báo mạng ngăn chăn hay hạn chế tác dụng phá hoai do bọn hacker gây ra hay không, tuỳ thuộc vào sức mạnh và trí tuệ của toản thể thành viên HVA cũng như cộng đồng mạng. Trong bối cảnh như vậy, "cuộc chiến" về phía ta buộc phải công khai về phương hướng, cách thức phòng thủ, chỉ có thể giữ kín một vài chiến thuật nào đó.

Cuộc chiến tự vệ theo tôi cũng mới chỉ là bắt đâu.

Có vẻ "mệt" và "căng" nhỉ? Thôi để giảm stress, xin viết hầu các bạn một chuyện vui vui.
-----------

Một tình tiết vui vui trong buổi hôi đàm giữa Chủ tịch Trương tấn Sang và Tổng thống Obama tại Nhà Trắng, theo tường thuật của báo "The New York Times" mới đây.

Xin được dịch thoát cho lọn nghĩa:

"Vượt qua những thủ tục đã qui định tại phòng lễ tân Nhà Trắng, đã có một giây phút ứng khẩu bất ngờ. Khi người phiên dịch chính thức của buổi hội đàm nói rằng Tổng thống Obama "đã nhận lời mời của Chủ tịch Trương tấn Sang sang thăm Việt nam", Chủ tịch Trương tấn Sang đã chỉnh lại lời dịch: Ngài Obama nói rằng ông ấy "đã cam kết làm hết sức mình để đến Việt nam"

Nguyên văn:

"Despite the formality of the Oval Office setting, there were unscripted moments. When the official interpreter said Mr. Obama had accepted Mr. Sang’s invitation to visit Vietnam, Mr. Sang corrected him, saying Mr. Obama had pledged to “try his best” to get there."

Xem tại: http://www.nytimes.com/2013/07/26/world/asia/obama-and-vietnams-leader-pledge-deeper-ties.html?pagewanted=all&_r=0

Hì hì.

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	27/07/2013 15:26:12 (+0700) \| #163 \| 277821

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

Bạn nào kiếm được trên máy file fsssvc.exe ở đường dẫn như sau thì upload nguyên thư mục tên Google cho mình qua tin nhắn riêng nhé:
%USERPROFILE%\Local Settings\Application Data\Google\fsssvc.exe
Trên máy bị nhiễm sẽ có value FAMILY SAFETY trong khoá Run:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\FAMILY SAFETY = %USERPROFILE%\Local Settings\Application Data\Google\fsssvc.exe

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	27/07/2013 19:42:53 (+0700) \| #164 \| 277824

thegunner2401
Member

Joined: 20/07/2011 06:35:07
Messages: 2
Offline

TQN wrote:

Bạn down lại file killstlbot.cmd đi, nó cũng kill thêm một con nữa.
File SearchIndexer.exe và các dll chính hãng của MS trong thư mực WinSxS thì khi mở = notepad sẽ không có chữ MZ đầu tiên. Các file đó là sạch.

Các file SearchIndexer.exe trong WinSxS của em khi edit bằng Notepad thì thấy có MZ ở đầu. Liệu có gì không ổn không anh? Kể cả file SearchFolder.dll cũng vậy.

Go to:

Users currently in here
1 Anonymous