search.thn (của mod quanta post bên trên) sau khi decode:
http://www.mediafire.com/?ct0rwtss4u3vc4f 

GET /Chinh-tri-Xa-hoi/Phap-luat HTTP/1.1\r\nHost: tuoitre.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nReferer: http://tuoitre.vn/Chinh-tri-Xa-hoi\r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8
http://tuoitre.vn/Chinh-tri-Xa-hoi/Phap-luat
.........
GET / HTTP/1.1\r\nHost: dantri.com.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8
http://dantri.com.vn
...................
GET / HTTP/1.1\r\nHost: vietnamnet.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8
http://vietnamnet.vn 

File đó em cũng down về từ 1visao mà, phân tích prefetch file cậu ta gởi mới thấy còn file .cfg nữa mà cậu ta xoá đi. 

search.thn sau khi decode:
http://www.mediafire.com/?ct0rwtss4u3vc4f 

Máy chủ “đánh” báo điện tử tạm thời bị vô hiệu hóa

16/07/2013 | 15:30:00
http://www.vietnamplus.vn/Home/May-chu-danh-bao-dien-tu-tam-thoi-bi-vo-hieu-hoa/20137/206949.vnplus

Anh Nguyễn Hồng Phúc, một thành viên diễn đàn bảo mật HVA Online cho biết, sáng 16/7 máy chủ điều khiển mạng máy tính ma (botnet) tấn công một số báo điện tử ở Việt Nam như Dân trí, Tuổi trẻ, VietNamNet đã tạm thời bị vô hiệu hóa.

Đây là nỗ lực của diễn đàn HVA Online và cộng đồng mạng trong việc trợ giúp các trang báo điện tử Việt Nam trước cuộc tấn công lớn của tin tặc bằng hình thức DDoS trong suốt hai tuần qua.

Anh Phúc cho hay, khi biết các báo bị tấn công, HVA Online đã thực hiện việc theo dõi cuộc tấn công này bằng nhiều cách, trong đó có việc cung cấp một công cụ kiểm tra khả năng bị lây nhiễm mã độc tấn công DdoS.

Qua đó, người dùng có thể kiểm tra xem máy tính của mình có đang trở thành thành viên của mạng máy tính ma hay không thông qua www.antibotnet.tk. Nếu công cụ thông báo máy “Có nguy cơ bị nhiễm” cùng với dấu hiệu máy tính đang truy cập mạng chậm và trong vòng 10 ngày qua chưa khởi động lại modem thì nhiều khả năng máy tính của người dùng đã nằm trong mạng máy tính ma lớn nhất Việt Nam.

Trong trường hợp này, HVA Online đề nghị người dùng liên lạc về địa chỉ hvaddosresponseteam@gmail.com để được hướng dẫn cách lấy mẫu virus cũng như gỡ bỏ.


Độc giả có thể tự kiểm tra xem máy tính của mình có nằm trong mạng máy tính ma hay không theo hướng dẫn của HVA Online. (Ảnh: Vietnam+)

Vẫn theo anh Phúc, chính nhờ sự tích cực tham gia hỗ trợ của cộng đồng mạng mà HVA Online đã truy tìm ra mẫu virus, thực hiện phân tích mẫu thu thập được để truy tìm các máy chủ điều khiển tấn công các báo mạng trong thời gian qua. Và, HVA Online đã tìm được một số máy chủ phát lệnh tấn công được đặt tại Công ty Lease Web GmbH của Đức.

“Chúng tôi đã thông báo cho các nhà cung cấp dịch vụ về việc hosting của họ đang lưu trữ các máy chủ kiểm soát mạng máy tính ma ở Việt Nam. Đến sáng 16/7, các máy chủ ấy đã tạm thời bị vô hiệu hóa,” anh Phúc nói.

Tuy nhiên, vị chuyên gia này cho biết “cũng chưa xác định được nhà cung cấp dịch vụ vô hiệu hóa máy chủ, hay chính hacker làm việc này.”

Theo quan sát của phóng viên Vietnam+, hiện việc truy cập vào các báo điện tử đã khá dễ dàng. Tuy nhiên, việc hacker có quay trở lại tấn công vẫn là một nguy cơ thường trực.

HVA Online và cộng đồng mạng sẽ tiếp tục gửi mẫu virus đã thu thập được cho các đơn vị chống virus toàn cầu để thực hiện những bước cuối cùng trong việc tiêu diệt mạng máy tính ma này. 

Vietnam Plus 

n2tforever wrote:

search.thn sau khi decode:
http://www.mediafire.com/?ct0rwtss4u3vc4f 

n2tforever có thể viết một bài phân tích cho mình học hỏi thêm với được không? Cảm ơn. 

咴ꣾঐ尰爢焼죂Ꭓ潻蛎ᠬ暺䵇䮁雧็�დ꜕卩ֻ䮴़–孈㿲ﰊ譯텎̼台ﾎ㯯䋥ሻ돋ኲ꺪粗溵첢ㅶ蜻遧褖⢆ǎ⣓䟬带압腊緎⍷䮣︄佭弙辖ଝ풔茞푮䶨蹙ട誰ሱ胁䠷㎲ƨ岘ቒꉾꪘ銕࿆蘾훖嫇돉뇤툽☜푃芨饩톕피컾욏ࢠ걐喛䢇Оਫ਼ꗦ飘�⏠쮧씙᫗꭪惏ᦼ粲凨Ⴭ⸭⯤�տ៰ⴍ≫膢灗㻼ꛮ螘ཫ䤮툣暛P析櫗Ⳛ椚皡�ᑆ쓢埇튙潅⻺鳳幺眳즙⾷驭팾好愻ꇽ딀㻂鮰七鄑䞑껻ࡅꐤ驡珣♵❮⪘萁讲诶⎣瞺纭ﾳ䜤噔႕㽄㼑퐰㙄࿕쑫渿䰩 

@n2tforever: lão có thể nói rõ file "search.thn" được đặt ở đâu(khi download thành công) trong hệ thống không ?

Mình cũng đặt BreakPoint ở các hàm OpenFile, CreateFile... ngồi chờ rất lâu (sau đó patch thời gian của hàm Sleep thành 1000 ms để khỏi phải chờ đợi nó ngủ) nhưng không thấy nó load fie lên để Decrypt ^^. Mong lão chia sẽ chút về vấn đề này (Nó Encrypt bằng gì ?)

Cảm ơn lão trước.

File .cfg là một PE file, tối nay ngồi nghiên cứu em nó  

quanta wrote:

n2tforever wrote:

search.thn sau khi decode:
http://www.mediafire.com/?ct0rwtss4u3vc4f 

n2tforever có thể viết một bài phân tích cho mình học hỏi thêm với được không? Cảm ơn. 

Thế các bạn có ý kiến gì về những dòng ký tự này? Các bạn có biết nó từ đâu không?
Có điều gì không ổn phải không?

咴ꣾঐ尰爢焼죂Ꭓ潻蛎ᠬ暺䵇䮁雧็�დ꜕卩ֻ䮴़–孈㿲ﰊ譯텎̼台ﾎ㯯䋥ሻ돋ኲ꺪粗溵첢ㅶ蜻遧褖⢆ǎ⣓䟬带압腊緎⍷䮣︄佭弙辖ଝ풔茞푮䶨蹙ട誰ሱ胁䠷㎲ƨ岘ቒꉾꪘ銕࿆蘾훖嫇돉뇤툽☜푃芨饩톕피컾욏ࢠ걐喛䢇Оਫ਼ꗦ飘�⏠쮧씙᫗꭪惏ᦼ粲凨Ⴭ⸭⯤�տ៰ⴍ≫膢灗㻼ꛮ螘ཫ䤮툣暛P析櫗Ⳛ椚皡�ᑆ쓢埇튙潅⻺鳳幺眳즙⾷驭팾好愻ꇽ딀㻂鮰七鄑䞑껻ࡅꐤ驡珣♵❮⪘萁讲诶⎣瞺纭ﾳ䜤噔႕㽄㼑퐰㙄࿕쑫渿䰩 

Trong những dòng ký tự trên đây có nhiều (rất nhiều là khác) chữ Hoa (Chinese) rõ ràng, như 好, 七 vân vân 

quygia128 wrote:

@n2tforever: lão có thể nói rõ file "search.thn" được đặt ở đâu(khi download thành công) trong hệ thống không ?

Mình cũng đặt BreakPoint ở các hàm OpenFile, CreateFile... ngồi chờ rất lâu (sau đó patch thời gian của hàm Sleep thành 1000 ms để khỏi phải chờ đợi nó ngủ) nhưng không thấy nó load fie lên để Decrypt ^^. Mong lão chia sẽ chút về vấn đề này (Nó Encrypt bằng gì ?)

Cảm ơn lão trước.

File .cfg là một PE file, tối nay ngồi nghiên cứu em nó  

Hi lão search.thm này được tải về từ web server và nạp trực tiếp vào một buffer trong memory để xử lý chứ không tạo thành file. lão dựng một webserver giả rồi add một bản ghi ip - domain vào file host để lừa nó kết nối đến . sau đó đặt bp ở hàm read của ws2_32 rồi lần theo thôi. sơ qua thì dữ liệu trong search.thn này được nó encrypt 2 lần.
Đầu tiên khi nhận được search.thn nó sẽ dùng 1 thuật toán để decrypt lần 1 (dùng plugin scan thì là rc4 hay blowfish gì đó) được 1 khối dữ liệu có 2 byte đầu là 0x1F 0x8B cộng với những string tìm được trong dll => được compress bằng zlib, trace tiếp sẽ tới đoạn decode lần 2 để ra clean text.
Thực ra đầu tiên tìm ra cái clean này chủ yếu do may chứ k có kĩ thuật gì cả, mình search string trong dll thì thấy có mấy cái mặt "^_^" , "@_@" , ">_<" ngộ quá nên đặt bp thử ai dè chúng luôn cái hàm tách tring token (mấy cái mặt kia là separator =]] ) nên tóm được cái clean text luôn

P/S: cái file cfg kia cùng checksum với btwdins.exe nó là một thôi
 

Hình như đoạn text này là do bác mở search.thn ở chế độ unicode. Ý bác là file này là một file thuần text hay sao ạ ?  

n2tforever wrote:

quygia128 wrote:

@n2tforever: lão có thể nói rõ file "search.thn" được đặt ở đâu(khi download thành công) trong hệ thống không ?

Mình cũng đặt BreakPoint ở các hàm OpenFile, CreateFile... ngồi chờ rất lâu (sau đó patch thời gian của hàm Sleep thành 1000 ms để khỏi phải chờ đợi nó ngủ) nhưng không thấy nó load fie lên để Decrypt ^^. Mong lão chia sẽ chút về vấn đề này (Nó Encrypt bằng gì ?)

Cảm ơn lão trước.

File .cfg là một PE file, tối nay ngồi nghiên cứu em nó  

Hi lão search.thm này được tải về từ web server và nạp trực tiếp vào một buffer trong memory để xử lý chứ không tạo thành file. lão dựng một webserver giả rồi add một bản ghi ip - domain vào file host để lừa nó kết nối đến . sau đó đặt bp ở hàm read của ws2_32 rồi lần theo thôi. sơ qua thì dữ liệu trong search.thn này được nó encrypt 2 lần.
Đầu tiên khi nhận được search.thn nó sẽ dùng 1 thuật toán để decrypt lần 1 (dùng plugin scan thì là rc4 hay blowfish gì đó) được 1 khối dữ liệu có 2 byte đầu là 0x1F 0x8B cộng với những string tìm được trong dll => được compress bằng zlib, trace tiếp sẽ tới đoạn decode lần 2 để ra clean text.
Thực ra đầu tiên tìm ra cái clean này chủ yếu do may chứ k có kĩ thuật gì cả, mình search string trong dll thì thấy có mấy cái mặt "^_^" , "@_@" , ">_<" ngộ quá nên đặt bp thử ai dè chúng luôn cái hàm tách tring token (mấy cái mặt kia là separator =]] ) nên tóm được cái clean text luôn

P/S: cái file cfg kia cùng checksum với btwdins.exe nó là một thôi
 

Yep. Chính xác. cái lần giải mã thứ 2 là gzip deflate. Lần thứ 1 mình đoán là một kiểu mã hoá dòng, vì không thìm thấy hằng số nào trong đó cả. Hàm encrypt thứ nhất mình thấy có 2 chỗ đáng nghi. 1 là giải mã file config, 2 là cập nhật. Trước ghi gọi hàm encrypt thứ nhất, có 2 hàm khác để init đầu buffer đầu ra.

Không rõ bạn có lưu ý hàm __tzset bị sai không?? 

Hình ảnh trong bài post đầu tiên em capture được là ảnh chụp lúc máy bị nhiễm virus gửi request liên tục đến máy proxy bên em để truy cập tới 3 trang báo .( Máy này trước đó xài gateway trực tiếp kết nối internet qua modem ADSL , do mạng chậm nên họ nhờ em kiểm tra giùm )
Em thấy "lạ" nên em xin remote vào máy bên đó , chạy tiện ích TCPview thì thấy btwdins.exe liên tục gửi truy vấn tới các trang báo em nghi ngờ là mẫu virus STL , nên mới tìm đến thư mục và nén WIDCOMM.zip gửi lên nhờ mọi người bên HVA phân tích. Còn về nguồn lây nhiễm mấy hôm nay em cũng thử copy các tiện ích, phần mềm lấy từ máy đó về và lây nhiễm mọi cách vào máy ảo nhưng vẫn ko tìm được nguồn.
Hôm qua em đã cập nhật AV , và xài tools của anh TQN kill con bot này cho máy đó rồi , nên không thể cung cấp gì thêm cho anh PXMMRF được nữa. 

Chào mọi người.
Máy mình xài win 8 pro, Avast.
Dạo gần đây khi vào mạng khá chập chờn. Bật Avast thìlúc vào được lúc lại ko.
Tắt Avast thì vào bình thuòng nhưng modem lúc nào cũng nhấp nháy như đang up hay down dữ liệu gì đó mặc dù đã tắt hết các trình duyệt, các torrent...
Mình dùng lệnh netstat để xem thì thấy thế này, xem link:
Code:

http://pastebin.com/vqFSH66q

Mình ko biết về mạng nên mọi người cho hỏi là máy mình có kết nối gì lạ không ?
Mình đã check ở http://www.antibotnet.tk thì báo là máy an toàn.
Mong mọi người giúp đỡ. 

http://www.mediafire.com/?spx4gjjs16nd15b 

http://www.mediafire.com/download/qatdwiebekilfnk/Microsoft.zip
http://www.mediafire.com/download/gp5pd8dibmopadt/windowssearchengine.zip