VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Những thảo luận khác

VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	18/02/2011 19:32:27 (+0700) \| #61 \| 231344

canh_nguyen
Elite Member

Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline

PXMMRF wrote:

canh_nguyen wrote:

Anh LeVuHoang: Landing page là trang nào thế ạ

Landing page?
Ở đây Landing là: Land (mảnh đất, vùng đất...) + ing. Landing nghĩa là đáp xuống , hạ xuống , đi đến một vùng đất, mảnh đất nào đó. Máy bay hạ cánh là máy bay landing.

Còn trong công nghệ web thì landing page được hiểu là page hay URL đầu tiên mà các người truy cập web (visitor) được dẫn đến khi họ nhấp vào một link nào đó.
Trong trường hợp vietnamnet.vn thì quá trình sẽ là:
Khi người truy cập nhấp vào domain vietnamnet.vn, thay vì họ sẽ đươc dẫn đến trang chủ (trang mở đầu- có dung lượng download về máy người truy cập là khoảng 2.56 MB- không phải là khoảng 156 KB đâu nhé LeVuHoang ạ), như thường lệ, thì họ lại được dẫn đến 1 trang-URL mới tạo, có đia chỉ thí dụ là:
http://vietnamnet.vn/chkdd.html?vnnd=1297836801.11b2975ef912f5070da474aa6f58a8df (số và chữ của đuôi thay đổi tại mỗi lần truy cập)
Trang mới tạo nói trên chính là landing page.

Trong (source code) trang mới tạo này có nhúng một JavaScript (text JS) làm nhiệm vụ kiểm tra cookies của các browser của các user.
Như thế đấy.
Các bạn có muốn "xem kỹ" JavaScript này không?

Cảm ơn anh trả lời, em hiểu cái định nghĩa landing page, cái em thắc mắc là anh LVH nói chung chung chưa rõ được landing page là trang home (index.html) của VNN hay là cái trang cấp phát cookie(chkdd.html) nên em mới hỏi lại vì dung lượng trang chkdd.html có 726bytes thôi smilie

. Còn dung lượng từ index.html thì không thể có con số chính xác bởi nó phụ thuộc nhiều thứ.
Anh rảnh thì phân tích cái Js code ở trang chkdd.html cho em với nhé smilie

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	20/02/2011 18:35:12 (+0700) \| #62 \| 231494

Phó Hồng Tuyết
Member

Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline

PXMMRF wrote:

canh_nguyen wrote:

Anh LeVuHoang: Landing page là trang nào thế ạ

Landing page?
Ở đây Landing là: Land (mảnh đất, vùng đất...) + ing. Landing nghĩa là đáp xuống , hạ xuống , đi đến một vùng đất, mảnh đất nào đó. Máy bay hạ cánh là máy bay landing.

Còn trong công nghệ web thì landing page được hiểu là page hay URL đầu tiên mà các người truy cập web (visitor) được dẫn đến khi họ nhấp vào một link nào đó.
Trong trường hợp vietnamnet.vn thì quá trình sẽ là:
Khi người truy cập nhấp vào domain vietnamnet.vn, thay vì họ sẽ đươc dẫn đến trang chủ (trang mở đầu- có dung lượng download về máy người truy cập là khoảng 2.56 MB- không phải là khoảng 156 KB đâu nhé LeVuHoang ạ), như thường lệ, thì họ lại được dẫn đến 1 trang-URL mới tạo, có đia chỉ thí dụ là:
http://vietnamnet.vn/chkdd.html?vnnd=1297836801.11b2975ef912f5070da474aa6f58a8df (số và chữ của đuôi thay đổi tại mỗi lần truy cập)
Trang mới tạo nói trên chính là landing page.

Trong (source code) trang mới tạo này có nhúng một JavaScript (text JS) làm nhiệm vụ kiểm tra cookies của các browser của các user.
Như thế đấy.
Các bạn có muốn "xem kỹ" JavaScript này không?

Mình rất muốn, bác PXMMRF có thể cho mình tham khảo được không.

Về mặt tông quan nó không có tác dụng lớn. nhưng với Webmaster nó có giá trị rất lớn.

Rất mong nhận được phản hồi từ PXMMRF

"Một người thành công không có ý nghĩ đổ thừa thất bại do ...."

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	05/07/2013 08:46:09 (+0700) \| #63 \| 277190

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

Có vẻ Vietnamnet lại đang bị DDoS:

An error occurred.

Sorry, the page you are looking for is currently unavailable.
Please try again later.

If you are the system administrator of this resource then you should check the error log for details.

Faithfully yours, nginx.

Let's build on a great foundation!

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	06/07/2013 16:25:47 (+0700) \| #64 \| 277229

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

quanta wrote:

Có vẻ Vietnamnet lại đang bị DDoS:

An error occurred.

Sorry, the page you are looking for is currently unavailable.
Please try again later.

If you are the system administrator of this resource then you should check the error log for details.

Faithfully yours, nginx.

Đúng như quanta đã viết. Những ngày gần đây, đặc biệt là ngày 5/7/2013 (thứ Sáu) nhiều báo mạng của nhà nước đã bị tấn công Từ chối dịch vụ (DDoS) nặng nề. Nhiều báo mạng không truy cập được hay truy cập rất chậm. Báo mạng ITCnews (Cơ quan chủ quản: Bộ Thông tin và Truyền thông) hôm nay 6/7/2013 (thứ Bẩy) đã đăng tải bài viết có tiêu đề:"Hàng loạt báo điện tử lớn đang bị tấn công DDoS ?", tại link:
http://ictnews.vn/home/Bao-mat/19/Hang-loat-bao-dien-tu-lon-dang-bi-tan-cong-DDoS/110465/index.ict.
Bài viết nhận định:

"Ngày hôm qua 4/7, trên các trang diễn đàn và mạng xã hội như Facebook đã lan truyền thông tin về việc các trang báo điện tử lớn như Dantri, Vietnamnet, Tuổi Trẻ… đang bị tấn công từ chối dịch vụ với cường độ lớn khiến người dùng khó truy cập. Đến chiều ngày 5/7, khi phóng viên ICTnews truy cập vào trang web Dantri và Tuổi Trẻ thì đều gặp thông báo "Service Unavailable". Còn Vietnamnet thì việc tải trang web rất chậm và phải rất khó khăn thì mới có thể truy cập thành công.

Trao đổi với phóng viên ICTnews, đại diện các báo Vietnamnet, Dantri và Tuổi Trẻ cho biết, họ đang tiến hành tìm hiểu nguyên nhân sự việc và sẽ sớm thông báo trong thời gian tới.

Tuy nhiên, một số chuyên gia an ninh mạng cho rằng, có nhiều dấu hiệu cho thấy, đang có một cuộc tấn công từ chối dịch vụ nhắm vào các báo điện tử lớn ở Việt Nam. Một nguồn tin riêng của ICTnews cho biết, lượng truy cập báo điện tử Dantri vào ban ngày gấp khoảng 40 lần và ban đêm lên tới 100 lần so với những ngày trước đó. .........."

Thưc tế hôm qua tôi có theo dõi sự kiện này. Ngoài báo Dân trí, Tuổi trẻ, Vietnamnet còn có báo Thanh niên cũng bị tấn công DDoS nghiêm trọng. Có thể có thêm một vài tờ báo mạng lớn khác nữa cũng bị tấn công.
Riêng báo mạng thanhnien ngoài việc bị tấn công DDoS còn có một dấu hiệu đáng ngại nữa, mà tôi sẽ nói dưới đây.

Sáng hôm qua, 5/7/2013, rất khó truy cập đến trang chủ (trang mở đầu) cùa vietnamnet.vn. Có lúc một trang thông báo về "An error occurred" hiện ra, như hình chụp dưới đây.
Thông báo này cho biết trình tham gia quản lý website là NGINX mà vietnamnet cài đặt trong webserver và nó được sử dụng như một "cache proxy server", bị lỗi. Lỗi này có thể xác định trong nội dung của file "error log" của trình này (NGINX).
Khi click vào hyper link "error log" trên thông báo, thì trình duyệt của người truy cập được dẫn đến một trang website của chủ nhân viết phần mềm NGINX (người Nga-Russian), như hình minh hoạ dưới đây.

Còn về trang mạng báo thanhnien, ngoài việc không thể truy cập đến trang chủ (không một chi tiết nào của trang chủ hiện ra trên màn hình), như hình chụp dưới đây, thì trình SiteAdvisor của McAfee (cài đặt trong máy của tôi-PXMMRF) báo là trang chủ của thanhnien nhiễm mã độc, như các hình minh hoa dưới đây.
Tôi đã kiểm tra rất nhiều link ("sống") trên trang chủ của thanhnien để tìm ra link nào dẫn đến một website bên ngoài đang cài mã độc, nhưng chưa tìm ra, vì có quá nhiều link "sống" trên trang chủ thanhnien, không thể kiểm tra hết được.

Đây là điều báo mạng thanhnien cần rút kinh nghiệm là không nên có quá nhiều link (sống) trên trang chủ . Ngoài ra khi người truy cập nhấp vào một link trên trang chủ mà link này dẫn trình duyệt của người truy câp đến một website bên ngoài (mà thanh nien không quản lý), thì phải cho hiện lên một thông báo trên màn hình máy người truy cập với nội dung đại khái là "Xin lưu ý là bạn đang dời trang thanhnien.com.vn để truy cập đến một website bên ngoài, không do thanhnien.com.vn quản lý". Điều này các báo mạng lớn của các nước tiên tiến đều đã áp dụng.

(Tuy nhiên vào giờ này, khi truy cập vào thanhnien.com.vn, McAfee SiteAdvisor không còn báo là có mã độc nữa. Như vậy trang chủ đã sạch [clean].)

Sơ bộ chúng tôi có một vài nhận định sau:

- Việc tấn công đồng loạt cùng lúc vào nhiều trang mạng lớn đều của nhà nước phải do một tổ chức làm, sử dụng mạng bot, zombies khá lớn.
- Có khả năng nhóm SLT lại "tái xuất giang hồ" hay không? và họ đang sử dụng các DDoS tool (mã độc) mới và các mạng bot mới được thiết lập?

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	09/07/2013 07:40:45 (+0700) \| #65 \| 277305

1visao
Member

Joined: 12/06/2004 19:33:00
Messages: 6
Offline

không biết anh TQN còn hứng thú phân tích mẫu virus của STL ko ?
chắc con này lại là biến thể mới virus của STL.
AVG Free hiện quét ko ra.

http://www.mediafire.com/download/7969q832q4geny6/WIDCOMM.zip

em đang tính cài lại máy này.

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	09/07/2013 10:41:22 (+0700) \| #66 \| 277310

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

File WIDCOMM download từ link:
http://www.mediafire.com/download/7969q832q4geny6/WIDCOMM.zip mà bạn 1visao cung cấp có 3 file:

btwdins.dll 448 KB
btwdins 44KB
data.dat 1 KB

Trong đó btwdins là file thưc thi (.exe) là một application
File btwdins.dll là một application extension. Có thể khi bị kích hoạt, thì file btwdins sẽ kích hoạt btwdins.dll, nạp mã độc lên bộ nhớ và các directotry định trước (cần phải tiếp tục kiểm tra để khẳng định điều này đúng không?).

File btwdins.dll qua mặt được rất nhiều antivirus, nhưng vẫn bị Kaspersky và ClamAV phát hiện. Kaspersky phát hiện đây là Trojan "Backdoor.Win32.Cbot.pfe" (xem hình minh hoạ).
btwdns thì không có vấn đề gì

Những kết nối trên máy của 1visao ở post trên chứng tỏ đây là một DDoS tool (bot) đang tấn công trên mạng vào dantri, vietnamnet, tuoitre... (sẽ tiếp tục kiểm tra kỹ hơn).

TQN em đang ở đâu, vào disassembling con btwdins.dll này giúp cho. Cám ơn

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	09/07/2013 13:11:49 (+0700) \| #67 \| 277315

canh_nguyen
Elite Member

Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline

ế, nó len cả vào Bluetooth của Broadcom smilie

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	09/07/2013 14:23:54 (+0700) \| #68 \| 277316

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Bạn 1visao hay nhỉ, sao bạn đoán biết đây là mẫu của "sờ ti lợn" ? smilie

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	09/07/2013 14:28:39 (+0700) \| #69 \| 277317

1visao
Member

Joined: 12/06/2004 19:33:00
Messages: 6
Offline

Em không dám chắc , chỉ đoán thôi ,tại em có theo dõi suốt loạt bài phân tích của anh TQN về con Malware này , về cách thức lây lan , cũng như cách tấn công DDOS .

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	09/07/2013 14:36:30 (+0700) \| #70 \| 277318

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Ừ, đúng rồi, của sờ ti lợn đó. Một code base của con này đã được post năm 2011 rồi.
1. Viết = Visual C++, dùng lẫn lộn MFC, ATL và Standard Template Library
2. Dùng Zlib
3. Dùng Crypto++ library
4. Không pack
5. Giả mạo các phần mềm bình thường, đặt vào %Program Files% và %appdir% của user.
6. Cũng đăng ký chạy như serivce, làm nhiệm vụ chỉ load dll chính lên
7. Chỉ dll làm nhiệm vụ chính, DLLMain create thread MainThreadProc. MainThreadProc làm tất cả mọi chuyện.
8. Đặc biệt, có cái làm tui cười nãy giờ, vì nhớ lại hồi xưa: mã hoá = xor, chơi 3 xor 5 xor 7.

Gần như là 99% là mẫu đã úp và phân tích hồi đó, các bạn search chữ Crypto++ hay CryptoPP

Tui chỉ có thể suy đoán là các bot net này không phải chỉ có 1, có thể là có nhiều loại bot net như vậy. Bot net này die, tụi này sẽ ra lệnh cho bot net khác.

Đụng mấy cái Crypto này "quải" quá, trưa giờ có ngủ chút nào đâu :'(

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	09/07/2013 17:29:04 (+0700) \| #71 \| 277319

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Ẹc...

Hắn call các hàm:

WinHTTPConnect
WinHTTPOpen
WinHTTPSendRequest
WinHTTPOpenRequest
WinHTTPReadData
WinHTTPQueryDataAvailable
WinHTTPReceiveResponse

Chưa tìm ra nó gọi đi đâu smilie

What bringing us together is stronger than what pulling us apart.

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	10/07/2013 13:41:24 (+0700) \| #72 \| 277335

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

Trojan "Backdoor.Win32.Cbot.pfe" , một trong các DDoS tool (botnet) mà hacker "lạ" đang sử dụng để tấn công vào các trang mang lớn của nhà nước ta: Vietnamnet, Tuổi trẻ, Dân trí, Thanh niên..., là một biến thể (variant) của dòng Trojan "Backdoor.Win32.Cbot.x", như Backdoor.Win32.Cbot.k.

Trojan loại này được cài lén vào máy nạn nhân để hacker có thể kết nối từ xa và điều khiển máy của nạn nhân.
Hacker có thể chỉ thị cho Trojan tấn công DoS vào một mục tiêu theo chỉ định của hacker, đồng thời theo chỉ thị của hacker trojan có thể nhận, gửi, kích hoạt, xoá một số file của máy tính, cũng như gửi cho hacker file ghi lai diển biến trong máy tính (log file) và các thông tin riêng tư của người quản lý máy.

Đây không phải là loại Trojan mới. Các biến thể khác của nó đã bị nhiều trình Antivirus trên TG phát hiện và diệt từ cuối năm 2011. Tuy nhiên biến thể "Backdoor.Win32.Cbot.pfe" được hacker cải tiến, nên nhất thời qua mặt được hầu hết các trình Antivirus, trong đó có các phần mềm diệt virus nổi tiếng như Avira, McAfee, Norton, Bitdefender, AVG...

Tập thể anh em HVA đang cố gắng phân tích "cấu trúc" của Trojan và tìm ra các master webserver của hacker đang điều khiển từ xa Trojan (địa chỉ IP, tên miền, vị trí, hệ điều hành, trình quản lý web...), để góp phần ngăn chặn hiệu quả việc tấn công DDoS trên mạng hiện nay.

(To : 1visao. Bạn cố nhớ lai xem vì sao, khi nào và từ đâu bạn có file WIDCOMM trong máy của ban? Gần đây bạn có download một soft. hay một tiện ích nào trên mạng không? Xin ban cố nhớ và cung cấp thông tin. Cám ơn)

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	13/07/2013 06:16:26 (+0700) \| #73 \| 277393

1visao
Member

Joined: 12/06/2004 19:33:00
Messages: 6
Offline

Máy bị nhiễm là 1 máy trong 1 cty khác , em có nhờ hỏi thử người xài máy nhưng người đó cũng không biết bị lây nhiễm bởi phần mềm gì , và download ở đâu. Khi em remote vào thì thấy trên máy đã có download 1 số phần mềm "lạ" mà ko lạ.

ITOOLS
http://www.mediafire.com/download/ik4x9rcb2k3wk7b/iTools.zip
Unikey
http://www.mediafire.com/download/ofcb8fd9eaefi3y/UniKey_4.0.8.zip

Unikey em có xài tiện ích CheckUnikeySTLVirus-32bit.exe của anh TQN thì thấy có liên quan tới STL , nhưng ko dám chắc đó là biến thể mới hay không. Nhờ mọi người phân tích giùm.

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	13/07/2013 15:08:12 (+0700) \| #74 \| 277400

halh
Member

Joined: 22/01/2008 16:03:25
Messages: 26
Offline

Mình cung cấp thêm thông tin về mẫu mới khác với mẫu bác PXMMRF đã đưa.

đây là file bị dính.

http://www.mediafire.com/?yj4zbhn528zlve1,f0jess00xhan4nj

đây là file capture gói tin trong thời gian ngắn.

http://www.mediafire.com/?yj4zbhn528zlve1,f0jess00xhan4nj

và có vẻ như IP 91.109.24.149 là một trong những IP đứng sau

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	14/07/2013 10:30:16 (+0700) \| #75 \| 277410

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Bạn 1visao và bạn halh có thể zip tất cả các file trong thư mục Windows\Prefetch của máy bị dính btwdins.exe và btwdins.dll lên giúp anh em HVA được không.
Phân tích các prefetch files có thể tìm ra nguồn gốc lây nhiễm con bot này.

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	14/07/2013 23:46:47 (+0700) \| #76 \| 277435

xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline

halh wrote:

Mình cung cấp thêm thông tin về mẫu mới khác với mẫu bác PXMMRF đã đưa.

đây là file bị dính.

http://www.mediafire.com/?yj4zbhn528zlve1,f0jess00xhan4nj

đây là file capture gói tin trong thời gian ngắn.

http://www.mediafire.com/?yj4zbhn528zlve1,f0jess00xhan4nj

và có vẻ như IP 91.109.24.149 là một trong những IP đứng sau

Cám ơn bồ halh, đoạn sniff của bồ cực kỳ có giá trị. Nó giúp rất nhiều trong việc hiểu cách thực hiện DDoS lần này của chúng

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	15/07/2013 07:17:51 (+0700) \| #77 \| 277437

1visao
Member

Joined: 12/06/2004 19:33:00
Messages: 6
Offline

TQN wrote:

Bạn 1visao và bạn halh có thể zip tất cả các file trong thư mục Windows\Prefetch của máy bị dính btwdins.exe và btwdins.dll lên giúp anh em HVA được không.
Phân tích các prefetch files có thể tìm ra nguồn gốc lây nhiễm con bot này.

http://www.mediafire.com/download/yr8qdi0pyslplnv/Prefetch.zip

của Anh TQN

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	15/07/2013 16:11:09 (+0700) \| #78 \| 277452

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

Một vài thông tin hữu ích liên quan đến file WIDCOMM (WIDCOMM.zip) và các file btwdins.dll (448 KB), btwdns.exe (44KB).

1-Trước hết về WIDCOMM.

Đây là tên của một công ty đi tiên phong trong lĩnh vưc "Wireless Internet and Data Communication", đặc biệt là công nghệ "Bluetooth". Công ty có trụ sở tại 9645 Scranton Road, Suite 205, San Diego, CA 92121, United States (Mỹ).
Như ta đã biết "Bluetooth" là một chuẩn toàn cầu áp dụng trong việc kết nôi vô tuyến giữa hai cơ cấu (devices) của hai máy tính. Giống như kết nối theo giao thưc IP (Internet Protocol)-TCP, trong kết nối theo chuẩn Bluetooth, sẽ có một cơ cấu (trên một máy) đóng vai trò "client" và cơ cấu kia (trên máy kia) sẽ đóng vai trò "server". Tuy nhiên bất cứ device nào (trên một trong 2 máy) đều có thể đóng vai trò clinet hay server. Device nào gửi yêu cầu (request) trước, thì nó sẽ đóng vai trò client, còn device nhận yêu cầu sẽ được coi là server. Điều này không giống như trong giao thưc IP-TCP.

Vào những năm 2000-2001 công ty WIDCOMM đã cung cấp cho khách hàng một phần mềm "BTW software", hỗ trợ cho Bluetooth (kèm theo driver), tên file lấy là WIDCOMM.zip. BTW là tên một giải pháp "tích hợp khép kín" ("seamless intergration") trong công nghệ Bluetooth, do WIDCOMM sáng chế. Vì vậy trong "BTW sofware" có một số file có tên mở đầu bằng "btw". Trong các năm sau này, công ty Broadcom, sử dụng công nghệ của WIDCOMM, cung cấp thêm các version cải tiến (software+driver) cho Bluetooth, nhưng không dùng tên file là WIDCOMM nữa.

Máy tính của các hãng nổi tiếng như Dell, HP, Lenovo... thường sử dụng các device Bluetooth do công ty Broadcom cung cấp, sử dụng BTW software.
Khi cài trong máy tính, sofware này tạo các file có 3 từ đầu là "btw" tại thư muc Program Files (WinXP) như: btwdins.exe (358KB), btmcrcam.dll, btw_ci.dll, btwiacam.dll và btWmpPlugIn.dll (không hề có file nào có tên là btwdins.dll ở tất cả các version của BTW software)

2-Về các file btwdins.dll (448 KB), btwdins.exe (44KB).

Hacker đã tạo ra một file giả mạo file btwdins.exe (358KB)nguyên thuỷ bằng một file mới cũng có tên là btwdins.exe (nhưng dung lượng chỉ là 44KB) và tạo ra một file mới, chứa mã độc là: btwdins.dll. Chúng đưa thêm những file này vào một BTW software-driver nào đó để người sử dụng Bluetooth download trên mạng về máy mình và cài đặt. Có thể hacker đặt tên cho software-driver này là WIDCOMM (WIDCOMM.zip) trên mạng.

Chắc chắn có một mối liên hệ giữa file btwdins.exe (44KB) và btwdins.dll. Nhưng thử nghiệm trên thưc tế các file này (do bạn 1visao mới cung cấp) trên máy thử nghiệm ta lại thấy chúng không gây lây nhiễm mã độc vào máy và không tạo ra bất cứ kết nối Internet nào. Disassembling bằng IDA Pro(Free) và IDA Pro 6.1 cũng thấy có lẽ như vậy.

Vậy thì:

- Có phải là sau khi btwdins.exe (44KB) được kích hoạt (bằng user hay từ 1 soft. bên ngoài download từ mạng) và sau đó nó kích hoạt tiếp và "cải tạo" btwdins.dll, thì btwdins.exe sẽ tự xoá các một số thành phần của nó để trở thành "vô hại" hay không?

- Có phải là sau này btwdins.exe lại sẽ được "làm mới" khi máy zombie kết nối với mạng và một software hay script nào đó sẽ inject malicious code vào btwdins.exe để "cải tử hoàn sinh" nó hay không?

- Hay có một scenario nào khác?

--------------------------------
To: 1 visao:

- File Unikey 4.0.8 mà bạn cung cấp theo tôi là vô hại (clean)
- File iTools.exe thì quả có nhiều vấn đề. Đây là một file thưc thi trung gian để khởi phát một quá trình download nhiều software về máy, không chỉ iTools, mà có cả QTrax (music player) và 1-delta searching engine.... Trong quá trình download, máy của ta kết nối với hàng loạt webserver đặt tai TQ.
-Cuối cùng trong post đầu tiên của bạn trong box này, xin bạn cho biết tên service nào đã tạo kết nối với Tuổi trẻ, Dân trí. Chỉ thấy các kết nối, nhưng chưa thấy tên service, process tạo kết nối thông qua trình duyệt.

Xin bạn cho thêm thông tin. Thanks

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	15/07/2013 18:57:39 (+0700) \| #79 \| 277458

quygia128
Member

Joined: 15/07/2009 20:50:28
Messages: 119
Location: Somewhere
Offline

Trong file btwdins.dll thì em thấy có 1 số liên kết như sau(em copy luôn nguyên gốc trong dump memory):

CPU Stack
Address Value ASCII Comments
00DAE888 |00AF4FE0 àO¯. ; UNICODE "80"
00DAE88C |00DAE8F8 øèÚ.
00DAE890 \1000A1AC ¬¡. ; RETURN from WS2_32.getaddrinfo to btwdins_dll.1000A1AC
00DAE894 /00DAE94C LéÚ. ; ASCII "media.bulkweb.org"
00DAE898 |00DAFD50 PýÚ. ; ASCII "80"
00DAE89C |00DAE8B4 ´èÚ.
00DAE8A0 |00DAE924 $éÚ.
00DAE8A4 |89144D4F OM‰
00DAE8A8 |0016E868 hè. ; ASCII "http://media.bulkweb.org/search.thn"

CPU Stack
Address Value ASCII Comments
00DAFE7C \1001794B Ky ; RETURN from btwdins_dll.1000F8B0 to btwdins_dll.1001794B
00DAFE80 /0016E5D0 Ðå. ; ASCII "http://media.bulkweb.org/search.thn"
00DAFE84 |0016EA28 (ê. ; ASCII "GET /search.thn HTTP/1.1
Host: media.bulkweb.org
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.3.13) Gecko/20101203 Firefox/3.6.13

"
...
00DAFE98 |00CA20F0 ð Ê. ; ASCII "http://media.bulkweb.org/search.thn"
...
00DAFEB8 |0016E6C0 Àæ. ; ASCII "http://media.bulkweb.org/view.thn"
00DAFEBC |0016E760 `ç. ; ASCII "http://lovenet.contbiz.com/view.thn"
00DAFEC0 |0016E7B0 °ç. ; ASCII "GET {PATH} HTTP/1.1
Host: {HOST}
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.3.13) Gecko/20101203 Firefox/3.6.13

"
00DAFEC4 |0016E710 ç. ; ASCII "http://speak.checknik.com/view.thn"
00DAFEC8 |0016E620 æ. ; ASCII "http://speak.checknik.com/search.thn"
00DAFECC |0016E5D0 Ðå. ; ASCII "http://media.bulkweb.org/search.thn"
00DAFED0 |0016E670 pæ. ; ASCII "http://lovenet.contbiz.com/search.thn"
...
00DAFEF4 |0016EB28 (ë. ; ASCII "GET /view.thn HTTP/1.1
Host: media.bulkweb.org
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.3.13) Gecko/20101203 Firefox/3.6.13

"
00DAFEF8 |0016E7B0 °ç. ; ASCII "GET {PATH} HTTP/1.1
Host: {HOST}
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.3.13) Gecko/20101203 Firefox/3.6.13

"
00DAFEFC |0016E7B0 °ç. ; ASCII "GET {PATH} HTTP/1.1
Host: {HOST}
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.3.13) Gecko/20101203 Firefox/3.6.13

"
00DAFF00 |0016EA28 (ê. ; ASCII "GET /search.thn HTTP/1.1
Host: media.bulkweb.org
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.3.13) Gecko/20101203 Firefox/3.6.13

"
00DAFF04 |0016E7B0 °ç. ; ASCII "GET {PATH} HTTP/1.1
Host: {HOST}
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.3.13) Gecko/20101203 Firefox/3.6.13

"
00DAFF08 |0016E7B0 °ç. ; ASCII "GET {PATH} HTTP/1.1
Host: {HOST}
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.3.13) Gecko/20101203 Firefox/3.6.13

"
00DAFF0C |0016E5D0 Ðå. ; ASCII "http://media.bulkweb.org/search.thn"
00DAFF10 |0016E620 æ. ; ASCII "http://speak.checknik.com/search.thn"
00DAFF14 |0016E670 pæ. ; ASCII "http://lovenet.contbiz.com/search.thn"
00DAFF18 |0016E6C0 Àæ. ; ASCII "http://media.bulkweb.org/view.thn"
00DAFF1C |0016E710 ç. ; ASCII "http://speak.checknik.com/view.thn"
00DAFF20 |0016E760 `ç. ; ASCII "http://lovenet.contbiz.com/view.thn"

CPU Disasm
Address Hex dump Command Comments
1000A1A5 52 PUSH EDX
1000A1A6 FF15 E8910410 CALL DWORD PTR [<&WS2_32.getaddrinfo>]

Nhưng bây giờ nó đã không còn gì nữa rồi, có lẽ đã được tắt. tìm google về các host trên cũng chẳng thấy thông tin gì.

Cái quan trọng bây giờ là tìm ra File nào đã create 2 file (btwdins.exe và btwdins.dll) thằng đó mới là thằng kích hoạt đám "mèo què" này. Nhưng làm sao để có được nó thì quả thật là không thể với những thông tin chúng ta có được.

File btwdins.exe nó chỉ có nhiệm vụ load file btwdins.dll, nếu không có thì nó exit, nếu Load ok nó sẽ CreateThread mới và run trên hệ thống, File btwdins.exe không có hàm nào để kết nối ra ngoài.

.::Mới bắt đầu trên con đường dài::.
.::Super Newbiez::.

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	15/07/2013 20:44:05 (+0700) \| #80 \| 277461

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

http://lovenet.contbiz.com/search.thn
http://lovenet.contbiz.com/view.thn
http://media.bulkweb.org/search.thn
http://media.bulkweb.org/view.thn
http://speak.checknik.com/search.thn
http://speak.checknik.com/view.thn

quygia128 wrote:

Nhưng bây giờ nó đã không còn gì nữa rồi, có lẽ đã được tắt.

`http://speak.checknik.com/search.thn` vẫn còn đấy bạn: http://www.mediafire.com/download/r93ry0lu4c7axjo/search.thn

HTTP/1.1 200 OK
Server: Abyss
Date: Mon, 15 Jul 2013 13:43:42 GMT
Content-Type: application/octet-stream
Content-Length: 406
Last-Modified: Mon, 15 Jul 2013 07:45:18 GMT
Connection: keep-alive
Accept-Ranges: bytes

- Web server lạ gớm
- File này mới được modified sáng nay để bắt đầu một chiến dịch mới

quygia128 wrote:

tìm google về các host trên cũng chẳng thấy thông tin gì.

$ whois $(dig +short speak.checknik.com)
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '91.109.24.0 - 91.109.31.255'

% Abuse contact for '91.109.24.0 - 91.109.31.255' is 'abuse@leaseweb.de'

inetnum: 91.109.24.0 - 91.109.31.255
netname: NETDIRECT-NET
descr: Leaseweb Germany GmbH (previously netdirekt e. K.)
country: DE
admin-c: LSWG-RIPE
tech-c: LSWG-RIPE
status: ASSIGNED PA
mnt-by: NETDIRECT-MNT
mnt-lower: NETDIRECT-MNT
mnt-routes: NETDIRECT-MNT
source: RIPE # Filtered

person: RIPE Mann
address: Kleyerstrasse 79 / Tor 13
address: 60326 Frankfurt am Main
address: Germany
phone: +49 69 90556880
fax-no: +49 69 9055688-22
abuse-mailbox: abuse@leaseweb.de
nic-hdl: LSWG-RIPE
mnt-by: OCOM-MNT
source: RIPE # Filtered

% Information related to '91.109.16.0/20AS16265'

route: 91.109.16.0/20
descr: ORG-nA8-RIPE
origin: AS16265
org: ORG-nA8-RIPE
mnt-by: NETDIRECT-MNT
source: RIPE # Filtered

organisation: ORG-nA8-RIPE
org-name: Leaseweb Germany GmbH
org-type: LIR
address: Leaseweb Germany GmbH Kleyer Strasse 79 / Tor 13 60326 Frankfurt Germany
phone: +496990556880
fax-no: +4969905568822
mnt-ref: NETDIRECT-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
admin-c: LSWG-RIPE
admin-c: GJ907-RIPE
admin-c: SPW1-RIPE
abuse-c: LWGA-RIPE
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.66.3 (WHOIS3)

Let's build on a great foundation!

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	16/07/2013 00:09:41 (+0700) \| #81 \| 277463

xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline

Hiện giờ theo Dynamic Analysis thì có 3 C&C server

speak.checknik.com ( còn sống ) 13/5/2013
media.bulkweb.org ( đã tắt ) đăng ký ngày 13/5/2013
lovenet.contbiz.com ( đã tắt ) đăng ký ngày 18/5/2013

Cả 3 đều dùng clouddns , đặc biệt thằng checknik.com đang dùng thêm he.net

DNS1: ns1.cloudns.net
DNS2: ns2.cloudns.net
DNS3: ns2.he.net
DNS4: ns3.he.net
DNS5: ns4.he.net

Thuộc Hurrican Electric http://he.net/about_us.html công ty này có tiền sử chứa chấp mạng botnet Andromeda của đám hacker Nga :v

Mền thấy lo lo với dấu hiệu này smilie

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	16/07/2013 08:53:04 (+0700) \| #82 \| 277467

1visao
Member

Joined: 12/06/2004 19:33:00
Messages: 6
Offline

Hình ảnh trong bài post đầu tiên em capture được là ảnh chụp lúc máy bị nhiễm virus gửi request liên tục đến máy proxy bên em để truy cập tới 3 trang báo .( Máy này trước đó xài gateway trực tiếp kết nối internet qua modem ADSL , do mạng chậm nên họ nhờ em kiểm tra giùm )
Em thấy "lạ" nên em xin remote vào máy bên đó , chạy tiện ích TCPview thì thấy btwdins.exe liên tục gửi truy vấn tới các trang báo em nghi ngờ là mẫu virus STL , nên mới tìm đến thư mục và nén WIDCOMM.zip gửi lên nhờ mọi người bên HVA phân tích. Còn về nguồn lây nhiễm mấy hôm nay em cũng thử copy các tiện ích, phần mềm lấy từ máy đó về và lây nhiễm mọi cách vào máy ảo nhưng vẫn ko tìm được nguồn. smilie

Hôm qua em đã cập nhật AV , và xài tools của anh TQN kill con bot này cho máy đó rồi , nên không thể cung cấp gì thêm cho anh PXMMRF được nữa.

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	16/07/2013 12:14:25 (+0700) \| #83 \| 277473

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

Phát hiện của bạn quygia128 trong file hex dump trên đây theo tôi là rất quan trọng. Xin cám ơn bạn!
(Sao tôi đã "hex dump" main memory tập tin btwdins.dll một lần mà không ra thông tin này nhỉ? Hì hì)

Tôi đang check thẳng (không ngại ngần gì nữa) vào các webserver mà bạn quygia128 đã tìm ra. Thông tin sẽ thông báo cho các bạn.

To 1visao: Em đã cung cấp thông tin quan trọng rồi đó: service kích hoạt các kết nối tấn công vào các trang mạng Tuổi trẻ, Vietnamnet và Dân trí chính là "btwdins.exe"- 44kB (không phải một service khác mà btwdins.exe tạo ra)!

Vấn đề hiện nay chưa rõ là: Tại sao file thưc thi "btwdins.exe" mà 1 visao uploaded lên mediafire.com, khi download về máy (cùng với btwdins.dll), để thử nghiệm, lại không "phát huy tác dụng" gì cả, dù được kích hoạt bằng mọi cách. Nó đã bị thay đổi khi nào? Có phải khi process "btwdins.exe" bị 1visao kill (ngừng) hay không? Bằng cách nào nó sẽ được "tái sinh" sau này?...vân vân.

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	16/07/2013 16:02:18 (+0700) \| #84 \| 277478

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Do nó Sleep (ngủ) tới gần chục phúc đó anh PXM.
2 1visao: còn file btwdins.exe.cfg trong file zip, tại sao bạn xoá đi vậy ?
Trong thư mục Widcomm đó có 3 file: .exe, .dll, .cfg. Bạn đã zip hết thư mục đó lại, sau đó bạn lại xoá file .cfg đi.
Bạn đang làm ở cơ quan nào thế ?

Bạn dùng tcpview và msconfig để xem, kết luận btwdins.* (lúc 12g trưa) là mèo què, sau đó bạn chạy 7zip để nén lại vào lúc 3g chiều (ngày 12/07). Sau đó bạn xoá file .cfg đi ? Chi vậy ?

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	16/07/2013 16:08:55 (+0700) \| #85 \| 277479

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

quanta wrote:

http://lovenet.contbiz.com/search.thn
http://lovenet.contbiz.com/view.thn
http://media.bulkweb.org/search.thn
http://media.bulkweb.org/view.thn
http://speak.checknik.com/search.thn
http://speak.checknik.com/view.thn

quygia128 wrote:

Nhưng bây giờ nó đã không còn gì nữa rồi, có lẽ đã được tắt.

`http://speak.checknik.com/search.thn` vẫn còn đấy bạn: http://www.mediafire.com/download/r93ry0lu4c7axjo/search.thn

.......................

- Web server lạ gớm
- File này mới được modified sáng nay để bắt đầu một chiến dịch mới

quygia128 wrote:

tìm google về các host trên cũng chẳng thấy thông tin gì.

.............................

1- Đúng như quanta đã viết, webserver http://speak.checknik.com hiện vẫn online, đến giờ này. Tuy nhiên từ sáng nay nó đã "tắt' kết nối tại cổng 80-HTTP. Do vậy ta không thể dùng trình duyệt để truy cập đến trang này, như là ta đã làm được như vậy trong ngày 15/7/2013 (Thứ Hai). Có lẽ hacker đã nhanh chóng phản ứng sau bài viết của các bạn quygia128, quanta, xnohat, đặc biệt là quigia128.
Tuy nhiên webserver này lại đang mở cổng 21 FTP, nhưng lại không cho Anonymous login!
Điều gì đang xẩy ra?
Rõ ràng là 他们 (các cậu ấy) đang lúng túng tìm cách để Master servers (có bạn gọi là C&C) kết nối được với các zombies và update dữ liệu chứa trong các botnet, trong khi đã phải đóng cổng 80. Tuy nhiên để các botnet "biết đường" kết nối đến cổng 21 của Master servers thì lại phải update dữ liệu cho chúng. Nghĩa là có lúc vẫn phải mở cửa 80-HTTP đủ dài để cho hầu hết botnet trong rất nhiều zombies được "chỉnh huấn" (update). Rối rắm. Có vẻ hacker bị phá sản về chiến thuật (chiến thuật thôi nhé. Hì hì).

Webserver "speak.checknik.com", có IP tĩnh là 91.109.24.149 và đặt tai CHLB Đức.

2- Webserver lạ (mà không lạ) vì các lý do sau.

- Webserver có một IP tĩnh, là một server dùng riêng (dedicated), nhưng website chỉ có 1-2 files dung lượng nhỏ xíu. chúng chỉ chứa dữ liệu update cho các botnet trong các zombies. Không có trang chủ, trang mở đầu, hình ảnh gì hết.
- Webserver này được UP đến một server khác có tên miền là checknik.com nhưng cheknik.com lại không được created (với record A) và lai có tới 5 nameserver (máy chủ phân giải tên miền) hỗ trợ phân giải tên miền này (ns1.he.net, ns2.he.net, ns3.he.net, ns4.he.net, ns5.he.net). Có 4 trong 5 máy chủ tên miền nói trên có đia chỉ IP tĩnh hỗ trợ cả IPv4 và IPv6, đặt ở các lớp mạng khác nhau. Kết cấu hạ tầng mang này làm ta liên tưởng đến kết cấu mạng của NSA trong chương trình PRISM vừa qua hay sao ấy. Hì hì.

3- Thật hay khi quanta biết đươc thông tin trong file search.thn. Hacker thường phải cập nhật thông tin trong file nói trên thường xuyên, kể cả khi đóng port 80 và mở port 21 FTP

xnohat wrote:

Hiện giờ theo Dynamic Analysis thì có 3 C&C server
speak.checknik.com ( còn sống ) 13/5/2013
media.bulkweb.org ( đã tắt ) đăng ký ngày 13/5/2013
lovenet.contbiz.com ( đã tắt ) đăng ký ngày 18/5/2013

Cả 3 đều dùng clouddns , đặc biệt thằng checknik.com đang dùng thêm he.net
DNS1: ns1.cloudns.net
DNS2: ns2.cloudns.net
DNS3: ns2.he.net
DNS4: ns3.he.net
DNS5: ns4.he.net
Thuộc Hurrican Electric http://he.net/about_us.html công ty này có tiền sử chứa chấp mạng botnet Andromeda của đám hacker Nga :v

1-Cả 3 C&C đều được up về webserver có tên miền chính là checknik.com, bulkweb.org, contbiz.com. Các webserver này không được created với record A, nhưng được phân giải bởi 5 nameserver, như đã nói ở trên.

2-media.bulkweb.org và lovenet.contbiz.com hiện đã bị ngưng hoạt đông (hacker tắt), đúng như xnohat đã viết. Có thể (có thể thôi nhé) media.bulkweb.org thì "phụ trách' vietnamnet, còn lovenet.contbiz.com thì cho Dân trí, hết Dân trí thì có thể là đến Đất Việt (vẫn là có thể thôi nhé).

3. HURRICANE Electric là công ty quản lý Autonomous system (AS 6939) và Route, nhưng ISP của các webserver của hacker là Fremon, CA, USA.

4- Cái đáng lo nhất là hacker, muốn tấn công vào báo mạng VN lần này, lại thuê hacker Nga làm. Như tôi đã viết trong một hai bài viết trước đây trong forum HVA này là: có dấu hiệu đáng tin là STL đã từng hay đang hợp tác với một nhóm hacker rất nổi tiếng của Nga, trụ sở cũ tại Saint Peterbourg. Nếu lại đúng là nhóm này thì tôi xin ngả mũ khâm phục họ.

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	16/07/2013 16:40:44 (+0700) \| #86 \| 277485

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

TQN wrote:

Do nó Sleep (ngủ) tới gần chục phúc đó anh PXM.
2 1visao: còn file btwdins.exe.cfg trong file zip, tại sao bạn xoá đi vậy ?
Trong thư mục Widcomm đó có 3 file: .exe, .dll, .cfg. Bạn đã zip hết thư mục đó lại, sau đó bạn lại xoá file .cfg đi.
Bạn đang làm ở cơ quan nào thế ?

Bạn dùng tcpview và msconfig để xem, kết luận btwdins.* (lúc 12g trưa) là mèo què, sau đó bạn chạy 7zip để nén lại vào lúc 3g chiều (ngày 12/07). Sau đó bạn xoá file .cfg đi ? Chi vậy ?

Em nó quên thôi, trong bối cảnh khẩn trương tìm hiểu, khảo sát vừa phải lo post bài lên HVA, ai mà chẳng quên. Tôi cũng có lúc viết nhầm giữa btwdins.exe với btwdns.exe đấy. Mà TQN hỏi cứ như là an ninh ấy nhỉ!
1visao có công đầu trong việc đưa ra mối nghi ngờ đấy (Tôi chỉ là người xác định file btwdins.dll là mã độc, botnet trong file WIDCOMM.zip mà thôi). Hì hì.

Xin TQN upload lai file WIDCOMM.zip đầy đủ lên Medifire. Cám ơn TQN.

(Be noted: Quanta đừng sử dụng tiện ích "code", vì dễ gây vỡ page frame của trang, rất khó đọc trang. Nên dùng "quote". Vừa rồi mình có "chỉnh lại" bài viết của quanta đấy. Nhưng bây giờ...lại bị vỡ trang mất rồi)

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	16/07/2013 16:43:19 (+0700) \| #87 \| 277487

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

File đó em cũng down về từ 1visao mà, phân tích prefetch file cậu ta gởi mới thấy còn file .cfg nữa mà cậu ta xoá đi.

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	16/07/2013 18:43:36 (+0700) \| #88 \| 277490

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

TQN wrote:

File đó em cũng down về từ 1visao mà, phân tích prefetch file cậu ta gởi mới thấy còn file .cfg nữa mà cậu ta xoá đi.

Ờ đúng rồi File btwdins.exe trong máy của người bạn 1visao nằm tại thư mục \PROGRAM FILES\COMMON FILES\WIDCOMM\BTWDINS.EXE (ổ D). File btwdins.dll cũng nằm trong chính thư mục này.OS: WINXP. File BTWDINS.EXE được kích hoạt lần cuối vào ngày 13/7/2013 2:42:22 PM (giờ set trên máy người bạn).
BTWDINS.EXE vừa qua đã được kích hoạt nhiều lần

Chắc chắn 100% là BTWDINS.EXE đã kích hoạt btwdins.dll để load mã độc lên bộ nhớ, sau khi BTWDINS.EXE vừa được kích hoạt.

Tuy nhiên sau khi bị kích hoạt, BTWDINS.EXE còn kích hoạt rất nhiều file .dll khác nữa trong máy, không chỉ
btwdins.dll (như usp10.dl, shlwapi.dll, comctl32.dll, rpcrt4.dll vân vân, có tới khoảng 18 .dll file)
Không rõ ngoài btwdins.dll, còn có file .dll "lạ" nào khác tham gia vào quá trình nhiễm mã độc vào máy không nhỉ? Chắc cần thời gian ngâm cứu thêm

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	16/07/2013 18:47:59 (+0700) \| #89 \| 277491

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Chỉ có btwdins.dll là của sờ ti lợn thôi anh, còn mấy dll kia là dll của Windows (hệ thống).
Dùng BinDiff compare thì nó sẽ match hơn 95% với SbieMgm.dll hồi xưa.
Hồi đó stl coder release update liên tục nên em chưa rce, phân tích hết 100% các mẫu đó được, giờ gặp lại, re bài bản, từ đầu đến cuối nên hơi lâu.
Với lại giờ mệt, già, đuối, ngán "rầu" anh ơi smilie

[Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS	17/07/2013 01:17:38 (+0700) \| #90 \| 277503

n2tforever
Member

Joined: 01/07/2011 15:39:51
Messages: 92
Offline

search.thn (của mod quanta post bên trên) sau khi decode:
http://www.mediafire.com/?ct0rwtss4u3vc4f

Go to:

Users currently in here
1 Anonymous