Một dạng fish khá mới - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

Một dạng fish khá mới

[Discussion] Một dạng fish khá mới	15/04/2012 19:56:34 (+0700) \| #31 \| 261444

miyumi2
Member

Joined: 11/03/2012 15:33:55
Messages: 57
Offline

Tình cờ em gu-gồ được mấy link chứa cùng 1 con trojan, download về xem thử thấy cùng 1 nguồn từ "Russia mercenaries" với info.exe:

bannersintpro.org/files/97d19
ligaworldtraders.org/files/97d19
perskitest.org/files/97d19
tartcompanyltd.com/files/97d19

http://www.mediafire.com/download.php?sf59eb1m6txlbb8
Pass: 123

Kết hợp với kết quả RCE của anh TQN thì có thể thấy sự việc như thế này: "ai đó" đã thuê "Russia mercenaries" phát tán trojan (exe hoặc dll), khi nhận được file này thì hacker Nga sẽ nhúng trojan này vào exe engine của họ, engine này có chức năng che dấu trojan của của người thuê (bằng cách hook 1 số hàm API đặc biệt như đã capture ở trên: NtQueryDirectoryFile, NtVdmControl, NtResumeThread,...), sau đó thì họ dùng BlackHole Exploit Kit hoặc các bộ Kit khác để phát tán "sản phẩm cuối cùng" qua mail phishing web, facebook...

[Discussion] Một dạng fish khá mới	15/04/2012 20:09:52 (+0700) \| #32 \| 261445

miyumi2
Member

Joined: 11/03/2012 15:33:55
Messages: 57
Offline

SpyEye steals your data. Even in a limited account
http://www.prevx.com/blog/149/SpyEye-steals-your-data-Even-in-a-limited-account.html
It is a new toolkit called SpyEye.

After this it injects its code inside all the processes it could get access. In every infected process it hooks the following Windows APIs:

CryptEncrypt,LdrLoadDll,NtEnumerateValueKey,NtQueryDirectoryFile,NtResumeThread,NtVdmControl

This allows the trojan to hide its folder and its registry key from the user's eyes and antivirus software, implementing user mode rootkit techniques.

Inside browser processes, the trojan hooks even the following APIs:

TranslateMessage,send,HttpSendRequestA,HttpSendRequestW,InternetCloseHandle

By doing so, it's able to steal all sensitive data going out through the browser session, even SSL encrypted web pages. Using this technique it is even able to conceptually bypass classic anti-keyloggers that encrypt keystrokes.

Win32/Spy.SpyEye.B
http://www.eset.eu/encyclopaedia/win32-spy-spyeye-b-trojan-pincav-shd-backdoor

[Discussion] Một dạng fish khá mới	15/04/2012 23:36:13 (+0700) \| #33 \| 261456

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Đợt vừa rồi, file 1st.rar của BKAV có file xin.exe. Lúc đó tui thấy cũng là lạ, tại sao lại là Delphi, dùng KOL library. KOL library gần như VN, TQ không bao giờ xài, chỉ toàn là 99% là tụi Nga xài. Mục đích KOL để tạo file .exe build = Delphi nhỏ, nhanh. Lúc đó em RCE lại nữa chừng rồi thôi.
Không lý hồi xưa anh PXMMRF có nói là stl có dính dáng tới hacker mafia Nga à ? Và có dấu hiệu stl cấu kết với thế giới ngầm, giang hồ mạng của Nga à. Vụ này thì mệt đây, tui Nga code trâu bò lắm. Tui cũng phải kêu là sư phụ luôn.

[Discussion] Một dạng fish khá mới	16/04/2012 09:11:35 (+0700) \| #34 \| 261470

minhhath
Member

Joined: 22/11/2010 10:03:38
Messages: 91
Location: Team unknow
Offline

Đọc bài về kỹ thuật cứ như truyện kiếm hiệp thích thật em thích hvaonline nhất mấy bài kỹ thuật như thế này, vì tất cả các 4rum khác không mấy ai đưa bài viết như thế này đâu smilie

[Discussion] Một dạng fish khá mới	02/06/2012 22:55:06 (+0700) \| #35 \| 264472

anhtuanhb
Member

Joined: 01/06/2012 05:28:34
Messages: 3
Offline

This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.

Go to:

Users currently in here
2 Anonymous