Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	30/05/2012 16:59:16 (+0700) \| #1 \| 264293

miyumi2
Member

Joined: 11/03/2012 15:33:55
Messages: 57
Offline

"...Flame còn tinh vi và nguy hiểm gấp 20 lần so với Stuxnet."
"...có thể phải mất 10 năm để hiểu được mọi hoạt động mà Flame có thể gây ra."

- http://vnmedia.vn/VN/cong-nghe/tin-tuc/35_295631/phat_hien_ma_doc_chuyen_doc_trom_email.html
- http://www.wired.com/threatlevel/2012/05/flame/
- http://www.forbes.com/sites/timworstall/2012/05/29/the-real-flame-wars-w32-flamer-found-all-over-the-middle-east/

Phân tích kỹ thuật:

http://www.crysys.hu/skywiper/skywiper.pdf

Con này đã phát tán cách đây từ 5 đến 8 năm, chủ yếu ở khu vực Trung Đông, đặc biệt là Iran, sử dụng tới 5 giải thuật mã hóa, 3 kỹ thuật nén dữ liệu và ít nhất 5 định dạng (format) lưu trữ khác nhau, ngoài ra còn sử dụng cơ sở dữ liệu SQLite 3.6 để lưu trữ thông tin đánh cắp được.

Khả năng của mã độc Flame:
- Kích hoạt micrô của các máy tính bị nhiễm Flame và ghi lại các cuộc đàm thoại Skype cũng như cuộc nói chuyện của những người gần đó.
- Chụp màn hình các email và tin nhắn tức thời cũng như các hoạt động khác.
- Bật kết nối Bluetooth, quét tên và số điện thoại liên lạc ghi trên thiết bị.
- Quét mạng để dò tìm tên và mật khẩu đăng nhập.
- Xóa các tệp tin để xóa sạch dấu vết tồn tại của chúng.
(VnMedia)

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	03/06/2012 06:38:39 (+0700) \| #2 \| 264486

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Chưa biết bên trong có những "em bé" nào nhưng nhìn cái kích thước (20Mb) thì thấy loại này không thể phát tán hàng loạt được. Tính "ẩn" của nó quá thấp bởi vì download 1 gói 20Mb và cài 1 gói 20Mb một cách lặng lẽ thì hơi lạ.

What bringing us together is stronger than what pulling us apart.

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	03/06/2012 07:56:32 (+0700) \| #3 \| 264491

chiro8x
Member

Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline

conmale wrote:

Chưa biết bên trong có những "em bé" nào nhưng nhìn cái kích thước (20Mb) thì thấy loại này không thể phát tán hàng loạt được. Tính "ẩn" của nó quá thấp bởi vì download 1 gói 20Mb và cài 1 gói 20Mb một cách lặng lẽ thì hơi lạ.

Nó có bộ kit và virus installer kèm theo mà smilie

while(1){}

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	03/06/2012 08:46:14 (+0700) \| #4 \| 264498

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

chiro8x wrote:

conmale wrote:

Chưa biết bên trong có những "em bé" nào nhưng nhìn cái kích thước (20Mb) thì thấy loại này không thể phát tán hàng loạt được. Tính "ẩn" của nó quá thấp bởi vì download 1 gói 20Mb và cài 1 gói 20Mb một cách lặng lẽ thì hơi lạ.

Nó có bộ kit và virus installer kèm theo mà .

Bởi vậy, tính "steath" của con virus này càng giảm.

What bringing us together is stronger than what pulling us apart.

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	03/06/2012 08:47:49 (+0700) \| #5 \| 264499

miyumi2
Member

Joined: 11/03/2012 15:33:55
Messages: 57
Offline

http://www.mediafire.com/?9kve51vuczzf5rt
(pass là mã hex viết liền của tên file, bỏ .ext)

Dump of file 00004784.dl:
Code:

3    0 0000E94B QDInit
4    1 0000E94B SetObjectDescriptor
1      0001A817 [NONAME]
2      000206A3 [NONAME]

Dump of file 296e04abb00ea5f18ba021c34e486746:
Code:

1    0 00001077 RpcNsBindingInit

Dump of file 37c97c908706969b2e3addf70b68dc13:
Code:

2    0 0019DDFC CPlApplet
3    1 0019DE26 DDEInit
4    2 0000108E DDEnumCallback
5    3 00064BF4 GetAuthMechanism
6    4 0019DE71 InprocServer
7    5 000F42C9 QueryValueEx
8    6 000011DE SetAuthMechanism
1    7 000011D6 SetEnumStructure
9    8 000012AD ValueEnumCallback

Dump of file advnetcfg.ocx:
Code:

3    0 000030F0 DisableTBS
2    1 00002E9D EnableTBS
1    2 000033A4 UpdateTBSList

Dump of file advnetcfg2.ocx:
Code:

3    0 00002B99 DisableTBS
2    1 000029EE EnableTBS
1    2 00002DBD UpdateTBSList

Dump of file msglu32.ocx:
Code:

4    0 0000501E QDInit
3    1 000050B2 QDRunW
5    2 00004FDB SetObjectDescriptor
1      000083C0 [NONAME]
2      00008485 [NONAME]

Dump of file mssecmgr.ocx:
Code:

2    0 0019DDFC CPlApplet
3    1 0019DE26 DDEInit
4    2 0000108E DDEnumCallback
5    3 00064BF4 GetAuthMechanism
6    4 0019DE71 InprocServer
7    5 000F42C9 QueryValueEx
8    6 000011DE SetAuthMechanism
1    7 000011D6 SetEnumStructure
9    8 000012AD ValueEnumCallback

Dump of file nteps32.ocx:
Code:

4    0 00008A44 CreateABHList
14    1 0000B79A CreatePGHDict
7    2 00003E10 DisableDLV
12    3 0000B359 DisableOFR
2    4 000085A4 DisableSHR
6    5 00003D71 EnableDLV
11    6 0000B106 EnableOFR
1    7 00008480 EnableSHR
5    8 00008A89 FreeABHData
3    9 00008942 GetSML
13    A 0000B6D3 GetWPF
10    B 0000657D ReadVBInfo
8    C 000040A8 RestoreSMLData
9    D 0000653A WriteVBInfo

Dump of file soapr32.ocx:
Code:

1    0 00001077 RpcNsBindingInit

Nhìn sơ qua giống 1 application hơn là 1 virus smilie

Các file đều để nguyên xi (compile bằng Microsoft Visual C++), không có pack, trừ các "em bé" trong bụng đã được crypt, version info đều ghi giả mạo Microsoft Corporation.

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	03/06/2012 09:48:07 (+0700) \| #6 \| 264505

xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline

conmale wrote:

Chưa biết bên trong có những "em bé" nào nhưng nhìn cái kích thước (20Mb) thì thấy loại này không thể phát tán hàng loạt được. Tính "ẩn" của nó quá thấp bởi vì download 1 gói 20Mb và cài 1 gói 20Mb một cách lặng lẽ thì hơi lạ.

Em nghĩ dòng virus này được thiết kế để thực hiện targeted attack hơn là để lây lan, nó sẽ được cài đặt bởi một đặc vụ tình báo giống như trường hợp stuxnet, hơn nữa quá trình reverse con này chưa hoàn tất ( 20MB bị mã hoá và obfuscated tới tận răng chứ không ít ) nên có thể con này được dùng như một bàn đạp để tấn công sâu rộng vào toàn bộ một mạng máy tính được bảo mật, do đó nó phải tích hợp 1 lô các tính năng hạng nặng để thu thập mọi thông tin tình báo có thể

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	03/06/2012 12:39:20 (+0700) \| #7 \| 264510

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Không dám nói chắc, nhưng có cảm giác quen quen, và chưa bắt đầu rờ xxx em thử, chỉ mới đọc sơ sơ qua từ các phân tích trên Internet.
1. Cũng code = VC++, không thèm pack
2. Mạo danh MS, đặt vào những thư mục ít ai để ý như Temp, Documents And Settings, Program Files
3. Cách gọi qua lại, communicate giữa các PE file với nhau giống.
4. Export các hàm nhìn rất là standard, nai tơ.
5. Cách decrypt, decode các file data, các file .exe trong bụng hơi giông giống.
6. Cả một nhóm các file PE này mới được xem là virus, malwares, tách từng file ra thì mới xem thì vô hại.
7. Cũng có mục đích chính là ăn cắp thông tin, cũng hook voice Skype, lấy lung tung thứ từ mọi trình duyệt, chat... Chưa thấy code bật webcam và chụp. Đợi RCE.
Đứng ở phương diện coder sẽ thấy, các action trên hình như từ một team, group malwares coding mà ra.
Và nó cũng hơi khác Stuxnet, Duqu.
Nói chung là nhiều thứ nghi ngờ lắm. Có khi nào trong giới xh đen mạng có một tổ chức chuyên nhận đơn đặt hàng viết các loại virus/trojan/malwares như thế này.

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	03/06/2012 15:20:08 (+0700) \| #8 \| 264519

chiro8x
Member

Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline

(pass là mã hex viết liền của tên file, bỏ .ext)

Bồ ơi tớ làm như bồ nói rồi sao wrong password nhỉ, tớ có PM bồ rồi.

while(1){}

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	03/06/2012 15:37:02 (+0700) \| #9 \| 264522

miyumi2
Member

Joined: 11/03/2012 15:33:55
Messages: 57
Offline

chiro8x wrote:

Bồ ơi tớ làm như bồ nói rồi sao wrong password nhỉ, tớ có PM bồ rồi.

HEX chữ hoa nhe các bạn

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	03/06/2012 15:38:26 (+0700) \| #10 \| 264523

chiro8x
Member

Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline

miyumi2 wrote:

chiro8x wrote:

Bồ ơi tớ làm như bồ nói rồi sao wrong password nhỉ, tớ có PM bồ rồi.

HEX chữ hoa nhe các bạn

Làm mất công tắt cái máy ảo smilie

tụt cảm xúc quá .
Nói nhỏ là vẫn còn khả năng worng password nếu ai muốn giải nén nó, hãy chú ý vào cái "HEX chử hoa" chứ không phải "chử hoa xong hex".

while(1){}

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	03/06/2012 16:50:49 (+0700) \| #11 \| 264524

sasser01052004
Member

Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline

miyumi2 wrote:

chiro8x wrote:

Bồ ơi tớ làm như bồ nói rồi sao wrong password nhỉ, tớ có PM bồ rồi.

HEX chữ hoa nhe các bạn

Mèn ơi, làm người ta brute gần chết

Ask me why, don't ask me what.

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	03/06/2012 23:17:19 (+0700) \| #12 \| 264563

chiro8x
Member

Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline

sasser01052004 wrote:

miyumi2 wrote:

chiro8x wrote:

Bồ ơi tớ làm như bồ nói rồi sao wrong password nhỉ, tớ có PM bồ rồi.

HEX chữ hoa nhe các bạn

Mèn ơi, làm người ta brute gần chết

Tớ phải PM lão đấy :"> tớ còn upcase rồi tính hex mới hài.

while(1){}

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	04/06/2012 18:03:29 (+0700) \| #13 \| 264633

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Trong đống mèo què vừa rồi, hình như là fake Unikey hay sao đó, có IWebLocator interface. Trong đống Flame này cũng có, cũng cùng coding style đó. Em nghi ngờ con Flame này là hàng tung của. Mẹ mấy thằng A.

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	04/06/2012 22:42:06 (+0700) \| #14 \| 264644

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

Phân tích con này tốn nhiều thời gian và dài hơi:
Jumping Into the Flames of Skywiper | McAfee Labs Blog
http://blogs.mcafee.com/mcafee-labs/jumping-in-to-the-flames-of-skywiper

Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	05/06/2012 09:42:32 (+0700) \| #15 \| 264663

sasser01052004
Member

Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline

Cái con flame này sao "lộ" thế nhỉ, mấy cái file Lib, ocx của nó đã mười mấy mê rồi

"...Flame còn tinh vi và nguy hiểm gấp 20 lần so với Stuxnet."
"...có thể phải mất 10 năm để hiểu được mọi hoạt động mà Flame có thể gây ra."

Chưa RCE mà thấy cái bộ dll và ocx của nó là thấy ............... rồi

Theo thói quen viết virus hay botnet cuả mình và 1 số bạn khác thì sau khi đã viết hoàn chỉnh virus thì sẽ park lại để giảm dung lượng và tăng tính "steath" như anh conmale nói.

Bạn nào có IDA pro không cho tớ xin dùng ké với, demo hết hạn rồi smilie

(

IDA pro 6.1 dùng cái này được không nhỉ: http://www.mediafire.com/?llmi516wrdggesd

Sợ chưa RCE đã bị trojan nó RCE mình rồi

Ask me why, don't ask me what.

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	05/06/2012 10:18:18 (+0700) \| #16 \| 264666

sasser01052004
Member

Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline

http://www.rt.com/news/flame-virus-cyber-war-536/

Đây là bài được viết về cuộc phỏng vấn với chuyên gia Vitaly Kamlyuk Kamluk thuộc Kaspersky Lab về virus flame:

Flame may be the most powerful computer virus in history, and a nation-state is most likely to blame for unleashing it on the World Wide Web.Kaspersky's chief malware expert Vitaly Kamlyuk shared with RT the ins and outs of Stuxnet on steroids.

Iran appears to be the primary target of the data-snatching virus that has swept through the Middle East, though other countries have also been affected.The sheer complexity of the virus and its targets has led Moscow-based Kaspersky Lab to believe a state is behind the attack.

Kaspersky first spotted the virus in 2010, though it may have been wrecking havoc on computer systems for many years.Vitaly Kamlyuk told RT how his company discovered it, just what makes Flame so significant, features of the virus that could point towards its creator, and why we all lose out in this intensifying cyber-war.

RT: So, how did you spot the malware, was it a planned investigation, or did it come by surprise?

Vitaly Kamlyuk: It was by surprise. We were initially searching for a [different form of] malware. We were aware of the malware that had spread throughout the Middle East, attacked hundreds of computers and wiped their hard drives, making the systems unbootable after that. It was actually after an inquiry from the International Telecommunications Union, which is a part of the United Nations, who actually asked us to start conducting research. When we started looking for this mysterious malware in the Middle East, we discovered this suspicious application that turned out to be even more interesting than the initial target of our search.

RT: According to one of your experts, 'Flame' does not appear to cause physical damage, so why has it been dubbed the most hazardous cyber-attacks in history?

VK: It’s actually on the same level as the notoriously known Stuxnet and Duqu [attacks], because we suspect that there is a nation state behind the development of this cyber attack, and there are reasons for that. This application doesn’t fit into any of the existing groups of developed cyber attack tools. There are currently three groups. There are traditional cyber criminals who are hunting users’ data (like log-ins and passwords) to access bank accounts over the Internet and steal money, send spam, or conduct dubious attacks.This [Flame] doesn’t fit into the group of traditional cyber criminal malware. Also, it doesn’t fit into the activists’ malware who are using typically free and open source tools to attack computers on the Internet. And the third known group [at this time] is nation-states.

RT: What makes this malware different from all other Spyware programs and what damage can it do?

VK: It’s pretty advanced – one of the most sophisticated [examples of] malware we’ve ever seen. Even its size – it’s over 20 megabytes if you sum up all the sizes of the modules that are part of the attacking toolkit. It’s very big compared to Stuxnet, which was just hundreds of kilobytes of code: it’s over 20 megabyes. And the Stuxnet analysis took us several months, so you can imagine that a full analysis of this threat may take us up to a year. So we think it is one of the most sophisticated malware [programs] out there.

It’s also quite unique in the way it steals information. It’s possible to steal different types of information with the help of this spyware tool. It can record audio if a microphone is attached to the infected system, it can do screen captures and transmit visual data. It can steal information from the input boxes when they are hidden behind asterisks, password fields; it can get information from there.Also it can scan for locally visible Bluetooth devices if there is a Bluetooth adapter attached to the local system.

RT: Is there a connection between this new cyber threat and previous large-scale virus attacks?

VK: We are trying to compare and find similarities between this development and previous [ones] of course, but there are so few of them – Stuxnet or Duqu mostly. There is no reliable relation between Stuxnet and Flame as we call it…they are completely different. Because Stuxnet was a small application developed for a particular target with the specific objective to interact with industrial control systems and break them down. And Flame is a universal attacking tool kit used mostly for cyber espionage. So there are so things that [Flame] shares in common with Stuxnet and Duqu, and these are the vulnerabilities that are used by both [types of] malware. Probably one malware simply copied vulnerabilities from the other malware program when they were published.

RT: So this means that cyber warfare is evolving rapidly, and 'Flame' vividly confirms this trend. Can less technologically developed nations resist such attacks, or is it game over for them?

VK: It’s never game over in this area, because even if the country isn’t technologically developed in this area, it doesn’t prevent them from cooperating with organizations like ours and with private companies in the security industry that can provide them with valuable pieces of information which can actually result in the discovery of such threats. And when we discover such threats, we permanently add them to antivirus databases, and users from those nations can use freely available trial tools and commercial antivirus [software] to protect their systems.

RT: This enormous stratum of data that 'Flame' can gather, who would need it and is it really possible to analyze such an avalanche of information?

VK: First of all, when we’re talking about the size of data that is to be analyzed, we know that the attackers do not infect as many victims as possible. Their resources are limited; it seems that they understand that. They are keeping the number of infected machines more or less the same. So it’s the same level. When they finish analyzing data that has been stolen from one network, they remove the malware and switch to another.So we think that it’s still possible the extract only the data they are interested in.

RT: So can we call this a cyber war, and if so?

VK: Stuxnet and Duqu were bright examples of cyber weapons which could even physically destroy infrastructure, and this [Flame] is a continuation of this story. So this is another development in this roe which continues in addition to Stuxnet and Duqu.There are also nation stations supporting [these] developments. We think that cyber warfare has been going on for years already. People were just probably not aware of it because cyber warfare has a unique feature: it’s hidden. Nobody knows when cyber warfare operations are going on. This is the key feature of it.

RT: Who is behind these cyber attacks?

VK: Like with Stuxnet and Duqu, it’s currently unclear who is behind it. It’s very hard to find out who is behind it because when we try to follow the traces, who controls the application – it connects to the command and control centers – it turns out to be… dozens or even more servers spread around different countries around the world. More than 80 or 90 domains are associated with those servers. Most of them are registered with fake identities. So they’re pretty well protected and hidden. So it is unclear who is behind that, and we try not to speculate who could be behind such attacks. We try to base it on pure facts like the language we extract from the code. In this case, we only found traces of good English used inside the code.

RT: So who do you think is winning this war?

VK: I think that humanity is losing to be honest, because we are fighting between each other instead of fighting against global problems which everyone faces in their lives.

Ask me why, don't ask me what.

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	05/06/2012 11:09:15 (+0700) \| #17 \| 264677

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Việc RCE, phân tích đống này nên dành cho các tổ chức, công ty bảo mật lớn, các AVs làm. Người nghiệp dư bình thường làm không nổi đâu.

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	05/06/2012 12:01:51 (+0700) \| #18 \| 264684

sasser01052004
Member

Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline

VK: I think that humanity is losing to be honest, because we are fighting between each other instead of fighting against global problems which everyone faces in their lives.

Em thấy đoạn này ổng nói đúng nhất: sau cái gọi là chiến tranh mạng này thì con người chính là thứ thua thiệt nhất

Ask me why, don't ask me what.

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	05/06/2012 16:03:13 (+0700) \| #19 \| 264702

chiro8x
Member

Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline

sasser01052004 wrote:

Theo thói quen viết virus hay botnet cuả mình và 1 số bạn khác thì sau khi đã viết hoàn chỉnh virus thì sẽ park lại để giảm dung lượng và tăng tính "steath" như anh conmale nói.

Lần đầu tiên trong đời em thấy khái niệm park (trong tin học) bao lâu nây em chỉ mới làm quen với khái niệm pack.

Lần đầu tiên em thấy người ta sử dụng các packer phổ biến để pack virus và trojan. Anh conmale nói là "stealth" not "steath", và ảnh cũng không nói là dùng packer để pack. Lập trình virus khi ở một mức độ khác sẽ phải tự viết, tự định nghĩa các phương thức encrypt và decrypt dữ liệu. Cũng như pack virus của mình một cách thủ công. Một vấn đề nữa ngay khi lập trình cũng phải chú ý, như việc lựa chọn compiler, linker, cách viết mã sao cho tối giản về kích thước và hiệu quả (tôi chưa nói là tối ưu).Ngoài ra còn cần hide process id, anti-degbug, obfuscate...suy nghĩ theo kiểu virus Autoit thì ảo quá.

while(1){}

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	05/06/2012 16:24:57 (+0700) \| #20 \| 264705

monads
Member

Joined: 21/03/2012 04:13:31
Messages: 17
Offline

Bạn sasser01052004 thỉnh thoảng chém tí cho nguy hiểm ấy mà smilie

, chiro8x thông cảm.

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	05/06/2012 16:45:45 (+0700) \| #21 \| 264707

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Trong article này: http://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers
Các bạn nên chú ý câu này:

Flame’s modules together account for over 20MB. Much of these are libraries designed to handle SSL traffic, SSH connections, sniffing, attack, interception of communications and so on. Consider this: it took us several months to analyze the 500K code of Stuxnet. It will probably take year to fully understand the 20MB of code of Flame.

Thử đi rồi biết !

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	05/06/2012 18:50:45 (+0700) \| #22 \| 264710

sasser01052004
Member

Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline

chiro8x wrote:

sasser01052004 wrote:

Theo thói quen viết virus hay botnet cuả mình và 1 số bạn khác thì sau khi đã viết hoàn chỉnh virus thì sẽ park lại để giảm dung lượng và tăng tính "steath" như anh conmale nói.

Lần đầu tiên trong đời em thấy khái niệm park (trong tin học) bao lâu nây em chỉ mới làm quen với khái niệm pack.

Lần đầu tiên em thấy người ta sử dụng các packer phổ biến để pack virus và trojan. Anh conmale nói là "stealth" not "steath", và ảnh cũng không nói là dùng packer để pack. Lập trình virus khi ở một mức độ khác sẽ phải tự viết, tự định nghĩa các phương thức encrypt và decrypt dữ liệu. Cũng như pack virus của mình một cách thủ công. Một vấn đề nữa ngay khi lập trình cũng phải chú ý, như việc lựa chọn compiler, linker, cách viết mã sao cho tối giản về kích thước và hiệu quả (tôi chưa nói là tối ưu).Ngoài ra còn cần hide process id, anti-degbug, obfuscate...suy nghĩ theo kiểu virus Autoit thì ảo quá.

^^!
Viết nhầm, tiếng anh tớ dỏm số 1 luôn á.
Tớ rất ghét lập trinh virus hay cái gì đó bằng AutoIT, thậm chí ác cảm với bạn nào đó dùng autoIT luôn á, vì bản thân của nó rất cồng kềnh.

Bạn sasser01052004 thỉnh thoảng chém tí cho nguy hiểm ấy mà smilie , chiro8x thông cảm.

Hj hj, mai chắc xin làm admin của chém gió chấm info

Ask me why, don't ask me what.

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	06/06/2012 05:44:40 (+0700) \| #23 \| 264727

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Tính "stealth" của malware không phải chỉ ở khía cạnh nó được "pack" như thế nào mà còn rất nhiều khía cạnh khác nhau. Thật ra, kỹ thuật "pack" là để làm khó một chút những tay kỹ thuật còn đối với người dùng bình thường thì họ không biết và không quan tâm đến "pack".

Tính "stealth" của malware nằm ở nó càng ẩn, càng khó bị phát hiện càng tốt. Một trong những nguyên tắc căn bản nhất của "stealth" là kích thước. Kích thước càng nhỏ càng ít bị phát hiện. Kế tiếp là cách lẩn trốn trong mớ dữ liệu hay binaries hay libraries thông thường bằng cách sử dụng tên na ná.

Ở khía cạnh kỹ thuật, tính "stealth" nằm ở chỗ ẩn giấu những động tác độc hại theo kiểu "ném đá giấu tay", ví dụ chính con malware ấy không làm gì trực tiếp độc hại nhưng nó "đẻ" ra thêm một cái gì khác và cái gì khác ấy "gọi" thêm dăm ba thứ vô hại khác để thực hiện hành động độc hại. Thực hiện xong thì tự huỷ khỏi memory (chẳng hạn).

Xét ra mớ mèo què của "mấy anh ấy" gần đây thuộc dạng khá stealth đó. Bước lây nhiễm đã là khá stealth (giả làm xml file chẳng hạn) rồi sau đó mới rename thành một thứ na ná đồ xịn nhưng chính bản thân nó cũng chưa làm cái gì độc hại mà phải mượn thêm dăm ba thứ khác. Chỉ có điều, có giấu, có ém đến cỡ nào thì đến một điểm nào đó mọi sự vẫn lộ ra mồn một bởi vì những thứ stealth ấy dù cố gắng đến mấy vẫn nằm trong giới hạn của OS, vẫn sử dụng những cơ chế OS cung cấp và cho phép.

What bringing us together is stronger than what pulling us apart.

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	06/06/2012 06:31:11 (+0700) \| #24 \| 264729

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

Phần mềm chống virus của Webroot đã phát hiện thành phần của Flame từ ngày 1 tháng 3 năm 2010.
~ZFF042.TMP, Prevx
http://www.prevx.com/filenames/X835863115482163633-X1/Z-~ZFF042.TMP.html

The filename ~ZFF042.TMP was first seen on Mar 1 2010 in the following geographical region of the Webroot community:

Iran, Islamic Republic of on Mar 1 2010

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	06/06/2012 10:23:02 (+0700) \| #25 \| 264737

vd_
Member

Joined: 06/03/2010 03:05:09
Messages: 124
Offline

Mikko Hypponen của F-Secure có nói mẫu Flame đã được report từ 2010, tuy nhiên vì Flame sử dụng lib phổ thông, và nhìn giống như 1 soft bình thường nên không bị phát hiện. Nói 1 cách khác, nếu virus/trojan càng giống 1 phần mềm bình thường thì sẽ có khả năng tránh bị phát hiện thay vì phải cố gắng pack, encrypt hoặc làm khác người :/

http://www.wired.com/threatlevel/2012/06/internet-security-fail/

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	06/06/2012 10:38:08 (+0700) \| #26 \| 264739

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Hồi xưa cũng bỏ công úp các mẫu mèo què của stl cho McAfee này. Cuối cùng, ghét, lơ luôn. Chậm đáp ứng, hay im ru không trả lời, hay cứ clean.
Y như trường hợp con Flame này.

[News] Chiến tranh mạng với trojan W32.Flame, độc gấp 20 lần Stuxnet	06/06/2012 12:11:50 (+0700) \| #27 \| 264743

sasser01052004
Member

Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline

TQN wrote:

Hồi xưa cũng bỏ công úp các mẫu mèo què của stl cho McAfee này. Cuối cùng, ghét, lơ luôn. Chậm đáp ứng, hay im ru không trả lời, hay cứ clean.
Y như trường hợp con Flame này.

Họ ngoảnh mặt làm ngơ hả anh

Flame’s modules together account for over 20MB. Much of these are libraries designed to handle SSL traffic, SSH connections, sniffing, attack, interception of communications and so on. Consider this: it took us several months to analyze the 500K code of Stuxnet. It will probably take year to fully understand the 20MB of code of Flame.

Cái câu này nghe "khủng" quá, phải phân tích 500 ngàn code Stuxnet mới bằng 1 con Flame. Vài tháng nhân với 500k ra bao lâu nhỉ

Ask me why, don't ask me what.

Go to:

Users currently in here
1 Anonymous