RCE đám virus của Sinh Tử Lệnh.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thủ thuật reverse engineering

RCE đám virus của Sinh Tử Lệnh.

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	19/06/2011 16:32:20 (+0700) \| #91 \| 241406

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Từ tháng 4 năm 2008 đến 2010, smartshow.info được georgiy-fedo@yandex.ru đăng ký và sử dụng. Từ 23 tháng 4 năm 2010, được một (người Hoa smilie

) có tên là Zhong Guo Jun đăng ký sử dụng.

Search "Zhong Guo Jun" ra khối thứ lý thú smilie

.

Với domain status: PENDING DELETE RESTORABLE thường là domain không renew cho nên bị "delete". Tuy nhiên, chuyện lý thú là domain smartshow.info này được update lần cuối là ngày 2 tháng 6 2011 và domain còn hiệu lực (đã trả tiền) đến 22 tháng 4 năm 2012 lận. Vậy "Status: PENDING DELETE RESTORABLE" là điều bí ẩn smilie

.

Tìm hiểu thêm thì registrar OnlineNIC, Inc là một registrar đã từng bị toà án Mỹ đưa ra toà phạt vạ rất nặng -1- và cũng là registrar bị than phiền nhiều nhất từ trước đến giờ. Registrar này hiện đang bị ICANN soi. Có ai còn nhớ vụ registrar registerfly.com không vậy? registerfly.com từng là một registrar rẻ tiền nhất và nổi tiếng nhất nhưng cũng không kém phần... bựa cho nên bị ICANN lột lon và sau một thời gian dãy giụa, registrar này biến mất.

-1- OnlineNIC bị phạt 33 triệu đô la vị tội "Cybersquatting" năm 2010. Hiện nay có hàng ngàn người đang phàn nàn OnlineNIC, trong đó có những lawsuits khá lớn.

What bringing us together is stronger than what pulling us apart.

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	23/06/2011 18:09:05 (+0700) \| #92 \| 241854

mv1098
Member

Joined: 18/07/2009 14:19:13
Messages: 119
Offline

TQN wrote:

NannedPipe, Nanned: các bạn có biết nghĩa hay phát âm của ngôn ngữ nào có từ Nanned này không ?
Em google hết thì chỉ thấy Google khuyên từ này: Nanning (Nam Ninh - Tàu khựa).

http://xml.ssdsandbox.net/view/6e24fe89052848420714b947fa890225

Đây là thông tin về 1 con malware mình thấy có những điểm tương tự như con malware trong phân tích của TQN, post lên đây cho mọi người tham khảo

TQN wrote:

À quên, em vẫn có nhu cầu IDA 6.x nhé, bà con nào có share cho em đi. 10 chầu nhậu, em út luôn.
PS: Hi rongchaua, lâu quá không gặp. Thấy em vào xem topic này anh vui lắm. Anh em REA. Vào giúp anh một tay đi. Khi nào tụi STL này code malware = .NET thì dành hết cho em nhé !

Mình đã gửi cho bro bản DIA 6.1 Pro qua hòm thư xxxxx66[@]hotmail.com rồi đó.

PS : nhớ quét virus trước khi sử dụng nhé bro

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	24/06/2011 06:36:03 (+0700) \| #93 \| 241928

mv1098
Member

Joined: 18/07/2009 14:19:13
Messages: 119
Offline

conmale wrote:

Từ tháng 4 năm 2008 đến 2010, smartshow.info được georgiy-fedo@yandex.ru đăng ký và sử dụng. Từ 23 tháng 4 năm 2010, được một (người Hoa ) có tên là Zhong Guo Jun đăng ký sử dụng.

Search "Zhong Guo Jun" ra khối thứ lý thú .

Với domain status: PENDING DELETE RESTORABLE thường là domain không renew cho nên bị "delete". Tuy nhiên, chuyện lý thú là domain smartshow.info này được update lần cuối là ngày 2 tháng 6 2011 và domain còn hiệu lực (đã trả tiền) đến 22 tháng 4 năm 2012 lận. Vậy "Status: PENDING DELETE RESTORABLE" là điều bí ẩn .

Tổng hợp thông tin về Zhong Guo Jun như sau:

Làm việc tại VNVN System Inc ( có thể là người sáng lập )

Địa chỉ:
14902 Moran Street
Westminster, CA 92683
US
Phone: 714-726-9966

Đây là 1 công ty chuyên về thiết kế web cho cộng đồng người Việt tại US

Website chính là vnvn.net

Các website liên quan: trungtam.com, vietherald.com, vnvn.net, vncyber.com ( cái này không biết có liên quan đến cái project cybergame trong phân tích của TQN không )

@anh conmale:

Trong trường hợp của domain smartshow.info, domain status đầy đủ thì có mấy trường hợp sau : CLIENT HOLD, CLIENT TRANSFER PROHIBITED, HOLD, PENDING DELETE RESTORABLE

nên chưa chắc nó đã là PENDING DELETE RESTORABLE

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	24/06/2011 06:52:40 (+0700) \| #94 \| 241930

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

mv1098 wrote:

conmale wrote:

Từ tháng 4 năm 2008 đến 2010, smartshow.info được georgiy-fedo@yandex.ru đăng ký và sử dụng. Từ 23 tháng 4 năm 2010, được một (người Hoa ) có tên là Zhong Guo Jun đăng ký sử dụng.

Search "Zhong Guo Jun" ra khối thứ lý thú .

Với domain status: PENDING DELETE RESTORABLE thường là domain không renew cho nên bị "delete". Tuy nhiên, chuyện lý thú là domain smartshow.info này được update lần cuối là ngày 2 tháng 6 2011 và domain còn hiệu lực (đã trả tiền) đến 22 tháng 4 năm 2012 lận. Vậy "Status: PENDING DELETE RESTORABLE" là điều bí ẩn .

Tổng hợp thông tin về Zhong Guo Jun như sau:

Làm việc tại VNVN System Inc ( có thể là người sáng lập )

Địa chỉ:
14902 Moran Street
Westminster, CA 92683
US
Phone: 714-726-9966

Đây là 1 công ty chuyên về thiết kế web cho cộng đồng người Việt tại US

Website chính là vnvn.net

Các website liên quan: trungtam.com, vietherald.com, vnvn.net, vncyber.com ( cái này không biết có liên quan đến cái project cybergame trong phân tích của TQN không )

@anh conmale:

Trong trường hợp của domain smartshow.info, domain status đầy đủ thì có mấy trường hợp sau : CLIENT HOLD, CLIENT TRANSFER PROHIBITED, HOLD, PENDING DELETE RESTORABLE

nên chưa chắc nó đã là PENDING DELETE RESTORABLE

Hì hì,

Thử tìm hiểu các domain names ở trên nằm ở đâu và tại sao vietherald.com lại nằm bên tận onlinenic.com của CN?

Địa chỉ của vnvn.net thì ở Westminter, CA nhưng tại sao địa chỉ của "Zhong Guo Jun" lại ở Kirkland tận tiểu bang WA? smilie

. Đó là chưa kể những chi tiết nằm trong địa chỉ và số điện thoại smilie

What bringing us together is stronger than what pulling us apart.

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	24/06/2011 07:15:27 (+0700) \| #95 \| 241932

mv1098
Member

Joined: 18/07/2009 14:19:13
Messages: 119
Offline

conmale wrote:

Địa chỉ của vnvn.net thì ở Westminter, CA nhưng tại sao địa chỉ của "Zhong Guo Jun" lại ở Kirkland tận tiểu bang WA? . Đó là chưa kể những chi tiết nằm trong địa chỉ và số điện thoại .

Việc người có địa chỉ ở tiểu bang A sang tiểu bang B sống và làm việc là chuyện bình thường ở US nên việc này cũng không là vấn đề.

Vấn đề theo em nghĩ địa chỉ ở WA là giả, em có sử dụng gmap với usps mà không tim ra địa chỉ cá nhân đó.

Việc bịa ra info khi đăng ký domain là điều rất đơn giản, registrar chỉ quan tâm cái credit card của khách hàng pay đều là được

Em có đăng ký hosting và domain tại GoDaddy mà chẳng thấy nó gửi cái billing nào về nhà cả.

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	25/06/2011 11:24:16 (+0700) \| #96 \| 242063

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Cảm ơn mv1098. Bản IDA 6.1 mà bạn mail cho tui tui đã có rồi. Đó là bản leak của Gu Tian Ren, Cai. Cha này là tàu khựa. Bản leak này được đưa lên đầu tiên ở ExeTools forum. Tui là VIP ở đó mà, có ngay.
Nhưng bản IDA 6.1 leak này thiếu rất nhiều file như: ida.key, idag.exe, idag64.exe, idaq64.exe.
Và nói luôn là một loạt các plugin phổ biến đang dùng cho IDA 5.5 leak lúc trước sẽ không run hay làm idaq.exe dump, vd: DarunGrim, TurboDiff, PatchDiff, IDAStealth, color_loop, x86emu...
Em phải bỏ mấy ngày ra build hay patch các plugin trên.

Quay lại tiếp về đám malware này, thời gian gần đây em không còn hứng thú với việc RCE đám "meo què" này nữa, cũng lu bu nhiều chuyện khác, nên topic đã dừng hơi lâu.
Tối qua nhậu quắc cần câu, giờ mệt quá, ở nhà, mở ipripv6.idb với IDA 61, switch debugger qua Local Bochs debugger, PE mode, decode một loạt các string của nó. Quá đã, chỉ cần Set IP ở các địa chỉ call hàm Decode, trace mấy phát, lòi ra hết. Bochs chạy êm ru, không trục trặc gì cả.

Decode xong mới phát hiện STL còn dùng một keylog dll khác, xem trong hình các bạn sẽ thấy: CDRWapi.dll. Nếu ipripv6.dll detect có hardkdb.dll trong Windows\ime directory thì load nó, còn không thì load %AppData%\Microsoft\Windows Media\CDRWapi.dll.

File này máy em không có, bà con ai có share em với. Hay là STL chưa release ? Thôi, mấy anh STL có nó thì gởi vào hộp mail Google hay Yahoo của em một bản với smilie

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	25/06/2011 12:03:09 (+0700) \| #97 \| 242065

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

TQN wrote:

Tối qua nhậu quắc cần câu, giờ mệt quá, ở nhà, mở ipripv6.idb với IDA 61, switch debugger qua Local Bochs debugger, PE mode, decode một loạt các string của nó. Quá đã, chỉ cần Set IP ở các địa chỉ call hàm Decode, trace mấy phát, lòi ra hết. Bochs chạy êm ru, không trục trặc gì cả.

Decode xong mới phát hiện STL còn dùng một keylog dll khác, xem trong hình các bạn sẽ thấy: CDRWapi.dll. Nếu ipripv6.dll detect có hardkdb.dll trong Windows\ime directory thì load nó, còn không thì load %AppData%\Microsoft\Windows Media\CDRWapi.dll.

File này máy em không có, bà con ai có share em với. Hay là STL chưa release ? Thôi, mấy anh STL có nó thì gởi vào hộp mail Google hay Yahoo của em một bản với

1- TQN kiểm tra kỹ lại xem khi decode LoadWbmainDLL+2C9 thì nó ra một service nằm trong system32 là "svchost.exe" (System32/svchost.exe) hay là svchost.exe -k netsves
Vì svchost.exe là một service gốc trong Windows, nó chuyên dùng cho một số dịch vụ quan trong của chính Windows
Xin tham khảo lại bài viết liên quan của mình tại trang 2 của chính topic này:

Theo tôi, nếu gặp những khó khăn như trên, có thể nghĩ đến một cách tiếp cận khác. (sau đó có thể quay lai cách tiếp cận cũ)

Các file .dll (hardkbd.dll- keylogger và wbmain.dll-downloader) mà chúng ta đang disassembling có những mối liên hệ với một service quan trong mà Trojan thiết lập mới trong hệ thống, có nhiệm vụ tạo socket kết nối Internet với máy chủ -website của hacker, để chuyển thông tin lấy cắp và nhận lệnh (thí dụ website smartshow.info)

Service này, trong các malicious tool (ware) của STL hay của các Chinese hacker khác thường là "iprip", tiến trình của nó là svchost.exe -k netsves (chú ý phân biệt với svchost.exe gốc của Windows-local service)

Vì bận quá, nên tôi chưa có thời gian phân tích kỹ 2 file dll nói trên và cho chay file virus.doc trên máy thật. Vả lại có phân tích thì cũng không bằng TQN được. Tuy nhiên đã socket spying sơ qua file tiến trình svchost.exe -k netsves nói trên

2- Ngoài ở đây "Set IP" thì IP là IP gì theo ý TQN?

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	25/06/2011 12:23:35 (+0700) \| #98 \| 242066

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Không có gì đâu anh, svchost.exe là Service Host Control Process. Nó quản lý việc khởi tạo, run, stop... tất cả các service trong Windows.
ipripv6.dll đăng ký nó như một service DLL, run trong process memory space của svchost.exe
Service Name: Iprip
Service cmdline: %SystemRoot%\System32\svchost.exe -k netsvcs
ServiceDLL: path của chính nó, ipripv6.dll
DisplayName: RIP Listener
Description: Provides automatic configuration for the 802.11 adapters
Code khởi tạo service này nằm ở hàm export DllCanUnloadNowA, VA = 10001860.

Còn hàm LoadWbmainDLL ở trên thì nó chỉ làm việc CreateProcess svchost.exe rồi dùng kỹ thuật remote load library: CreateRemoveThread, VirtualAllocEx và LoadLibrary để load wbmain.dll vào svchost.exe.

Set IP tức là set current IP: Intruction Pointer đấy anh !

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	25/06/2011 12:41:11 (+0700) \| #99 \| 242068

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

TQN wrote:

Không có gì đâu anh, svchost.exe là Service Host Control Process. Nó quản lý việc khởi tạo, run, stop... tất cả các service trong Windows.
ipripv6.dll đăng ký nó như một service DLL, run trong process memory space của svchost.exe
Service Name: Iprip
Service cmdline: %SystemRoot%\System32\svchost.exe -k netsvcs
ServiceDLL: path của chính nó, ipripv6.dll

......................

OK! Thanks

TQN và các bạn tham khảo bản phân tích này. Tôi ghi chú các bình luận của mình từ 31-5-2011, định post lên để các bạn tham khảo thêm cho vui, nhưng vì bận thảo luận cái việc Hacker VN vs Hacker Tầu từ ngày 1-6-2011 cho đến nay nên quên khuấy. Nay xin post lại

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	25/06/2011 20:32:36 (+0700) \| #100 \| 242105

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Cảm ơn anh PXMMRF. Các hình của anh đúng là các hành vi của ipripv6.dll bị caputre trong môi trường sandbox. Nhưng nó lại bỏ sót thằng quan trọng nhất trong đám "meo què" này: dao360.dll.mui. Thằng này chính là thằng nòng cốt, code dài nhất, lớn nhất, connect tới host chủ của STL để up msdata.vxd về đấy. Và hầu hết các online sandbox đều thiếu netword traffic capture. Đây chính là yếu tố quan trọng trong topic: RCE đám "meo què" của tụi STL này.
Em xin chắc chắn một câu, nhóm STL này gồm rất nhiều coder, tối thiểu là hai hay ba. Một coder bình thường phải code cật lực mới sinh ra được một đống "mèo que" như vậy. Khi RCE, em thấy coding style của tuị này rất lộn xộn, thằng thì chuyên xài Win32 API như File API, WinHTTP api, thằng khác thì lại chuyên dùng pure C, fclose, fread, fwrite, socket API pure, lại có thằng thì không không lại phang C++ với STL (Standard Template Library) vào.
Anh em không tin thì cứ kiểm tra hai file ipripv6.dll và dao360.dll.mui. Low address thì dùng Win32 API, high address thì lại pure C. Higher address thì của C/C++ RTL (cái này không bàn).
Còn một điều nữa, code của nhóm này duplicate rất nhiều, vô số kể. Em RCE mà phải bực cái mình. Mạnh thằng nào nấy code. Trong cùng 1 file DLL, có tới 2 hay 3 hàm cùng làm một công việc đó. Đứng theo phương diện coder như em, em biết, thằng xếp phân xuống, file dll này phải làm cái này cái kia. Một file dll thì có 2 hay 3 thằng viết trên nhiều file .c/.cpp khác nhau. Sau đó đem vào project, ráp và compile luôn, không review lại duplicate code.
Em nói đúng không mấy anh STL. Hay là em phải nói thẵng là "bad code". À mà quan trọng gì ha ? Ăn cắp mà, cần gì tốt, cần gì tinh vi, miễn là lấy được pass mail, blog của victim là được rồi ha ?!
Và thêm một điều nữa, đám "mèo què" này dùng rất nhiều kỹ thuật phải nói là thuộc loại cao cấp, undocument trong giới viết malware. Từ từ em sẽ post sau. Nhưng lạ một cái là là thỉnh thoảng em gặp những lỗi rất là ngớ ngẫn trong lập trình của tụi STL này. Không lý là tụi này copy code ở đâu đó hay dùng lib của ai đó cung cấp cho.
Em nói mấy anh STL không tin, em chỉ cho các anh nhé, vd nhỏ nhé, 1 vd nhỏ thôi, như các anh dùng Memory Mapping File API để map một file với read/write mode. Sau đó các anh lại operator new một memory buffer mới với size = GetFileSize của file config của mấy anh. Rồi mấy anh đi xor từng byte content trong memory allocated đó. Sau đó mấy anh lại memcpy vùng nhớ đã xor vào mapping memory. Code của ipirpv6.dll đấy. Mấy anh thấy có dư không, có ngớ ngẫn không ? Đã mapping file với write mode thì xor mẹ trên memory đó cho rồi, phải không mấy anh, còn bày vẽ cấp phát memory, copy, xor, rồi copy lại. Bởi vậy em mới nói, em mà làm review code của mấy anh thì mấy anh mệt với em rồi.

Còn một điều nữa, giờ em mới nhớ, năm 2010, trước khi bệnh dịch hạch STL bùng phát, trên các forum chuyên về virus, lập trình của VN ta, lại thấy các topic post tuyển dụng lập trình viên nghiên cứu, phát triển "meo què". Tới khoãng tháng 10, 11 thì chấm dứt. Các bạn tự Gú gồ sẽ thấy và thử suy nghĩ giùm em thử ???? Vd: virusvn, congdongcviet, fpt...

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	26/06/2011 00:11:59 (+0700) \| #101 \| 242116

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

hi anh TQN,
Anh có ý kiến gì về việc nhóm STL, khi thì code không chuẩn, khi thì dùng các undocumented không?
Các kỹ thuật undocumented này nếu không phổ biến thì STL từ đâu mà có?

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	26/06/2011 09:11:13 (+0700) \| #102 \| 242126

.lht.
Member

Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline

Theo như lht theo dõi các bài viết của anh TQN, mình cảm thấy STL là 1 nhóm "tạp nham" hơn là 1 nhóm làm việc có quy tắc rõ ràng, nhất là như anh TQN phân tích về coding style. Ở đây code dup nhiều, thừa thãi -> copy và paste rõ ràng -> code hiểu không kĩ mà lấy cái có sẵn để dùng.

Vậy thì để trả lời cho bạn LeVuHoang, mình nghĩ rất đơn giản ... Các hàm undocumented ở đây không hẳn là không có nhiều tài liệu về nó. Những bộ windows driver kit , windows nt source leaked, Wine và Reacos source là nguồn tài liệu dồi dào. Mà mình thấy trên mạng cũng có nhiều source example và các giải thích về các hàm undocument cũng không phải là không có smilie

)

Trash from trash is the place for new good things ~

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	26/06/2011 19:06:32 (+0700) \| #103 \| 242146

quangredlight
Member

Joined: 14/09/2008 18:52:09
Messages: 15
Offline

Ôi, bác TQN có PatchDiff, x86emu với IDA 6.1 thì cho em với, em thì chỉ cần cái đấy thôi, smilie

,ko có nó dùng bản 5.5 vẫn hơn, chưa kể cái HexRay còn chưa có bản mới, em là em kết mỗi cái đấy của IDA, debug bằng IDA em chịu, toàn đọc code với emu thôi ạ smilie

Mấy chỗ code mà bác nói là code lung tung ấy, em thì lại nghĩ khác. Cũng có thể bác đúng, mỗi người cắt lung tung rồi ghép vào, nhưng biết đâu cái kiểu copy lòng vòng lại là antiEmulator của các Av, code càng lung tung, emu làm càng rối, lỗi loạn lên, emu thì nhiều hãng làm nhưng có phải ai cũng chuẩn đâu . em là đang đoán thế ạ; smilie

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	28/06/2011 10:03:46 (+0700) \| #104 \| 242256

hoangphuvn
Member

Joined: 05/06/2009 11:18:44
Messages: 2
Location: Hải Phòng
Offline

Bạn TQN share cho mình x86emu và PatchDiff đc ko nhỉ? ^^

- Trường THPT Quang Trung -
| http://www.thptquangtrung.com/portal |

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	28/06/2011 10:44:34 (+0700) \| #105 \| 242267

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

x86emu: http://www.idabook.com/x86emu/index.html
PatchDiff: http://code.google.com/p/patchdiff2/

Kể từ IDA 5.5, SDK của nó đã được chuẩn hoá và đóng băng, thay đổi rất ít. Vì vậy các plugin, loader... của các ver từ IDA 5.5 trở đi đều dùng được trong bản mới hơn (em viết vầy có lũng cũng không ha ?)
Nếu các bạn đã có IDA 6.1 leak thì nên install thêm Bochs: http://bochs.sourceforge.net/. Debug với IDA 6.1 và Bochs đơn giản, thuận tiện hơn dùng x86emu.

Em đã tìm ra lý do tại sao em bị mất password 1 loạt như vậy. Lúc trước nghi ngờ tụi STL này chạy được ct FireFoxPassView (của NiroSoft) trên máy mình, nhưng không phải. Cứ nghĩ hoài làm sao tụi nó lấy được một loạt password như vây. Nhưng giờ đã phát hiện ra. Tụi này có riêng 1 DLL chỉ làm nhiệm vụ lấy Yahoo Profile List, Internet History, Firefox pass....
Các bạn download Everything: http://www.voidtools.com/, search file: StaticCache.dat trong %Documents and Settings%. Xoá nó ngay lập tức = Unlocker, GMER... Đây chính là 1 dll làm nhiệm vụ ăn cắp và ghi lại toàn bộ thông tin về rất nhiều thứ của victim. Tên gốc của nó là CollectInfo.dll. Em mất pass vì chính file dll này.
Đồng thời search file wab64.dll trong %Program Files%, xoá nó luôn. Tên nguyên thuỷ lúc coder STL build là sysclass.dll, cũng làm nhiệm vụ thu nhập thông tin về victim.
Pesudo-C code của hai thằng này em sẽ post sau.

Các bạn đang dùng Firefox nên dùng và đặt Master Password ngay. Nếu đã đặt Master Password thì các ct decrypt Firefox password sẽ vô dụng.

PS: Em nói đúng không mấy anh STL ?

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	28/06/2011 21:09:05 (+0700) \| #106 \| 242322

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Các bạn xem text string trong StaticCache.dat sẽ thấy tụi nó lấy cái gì trong máy của victim:
Code:

.rdata:10004100 Software
.rdata:10004118 \r\n\r\n========================= Application List ==========================\r\n
.rdata:100041B0 \r\n
.rdata:100041B8 SELECT DISTINCT moz_places.url, moz_bookmarks.title FROM moz_places LEFT JOIN moz_bookmarks WHERE (moz_bookmarks.fk == moz_places.id) AND (moz_bookmarks.title  IS NOT NULL);
.rdata:10004270 ========================= Firefox Favorite ==========================\r\n
.rdata:10004300 \t\t
.rdata:10004308 SELECT hostname FROM moz_logins
.rdata:10004328 SELECT encryptedUsername FROM moz_logins
.rdata:10004354 SELECT encryptedPassword FROM moz_logins
.rdata:10004380 %s
.rdata:10004388 ========================= Firefox Username ==========================\r\n
.rdata:10004418 SELECT moz_places.url,moz_places.title FROM moz_historyvisits LEFT JOIN moz_places ON moz_historyvisits.place_id=moz_places.id ORDER BY moz_historyvisits.visit_date DESC LIMIT 500
.rdata:100044D0 ========================= Firefox Last Visited ==========================\r\n
.rdata:10004568 NSS_Init
.rdata:10004574 NSSBase64_DecodeBuffer
.rdata:1000458C PK11_GetInternalKeySlot
.rdata:100045A4 PK11_Authenticate
.rdata:100045B8 PK11SDR_Decrypt
.rdata:100045C8 NSS_Shutdown
.rdata:100045D8 PK11_FreeSlot
.rdata:100045E8 sqlite3_initialize
.rdata:100045FC sqlite3_open
.rdata:1000460C sqlite3_prepare_v2
.rdata:10004620 sqlite3_step
.rdata:10004630 sqlite3_column_text
.rdata:10004644 sqlite3_finalize
.rdata:10004658 sqlite3_close
.rdata:10004668 \\Mozilla\\Firefox\\profiles.ini
.rdata:100046A4 Path
.rdata:100046B0 Profile0
.rdata:100046C8 %s\\Mozilla\\Firefox\\%s\\compatibility.ini
.rdata:10004718 LastPlatformDir
.rdata:10004738 Compatibility
.rdata:10004754 LastAppDir
.rdata:1000476C mozcrt19.dll
.rdata:10004788 sqlite3.dll
.rdata:100047A0 %s\\%s
.rdata:100047AC nspr4.dll
.rdata:100047C0 plc4.dll
.rdata:100047D4 plds4.dll
.rdata:100047E8 softokn3.dll
.rdata:10004804 nss3.dll
.rdata:10004818 %s\\Mozilla\\Firefox\\%s\\places.sqlite
.rdata:10004860 %s\\Mozilla\\Firefox\\%s\\signons.sqlite
.rdata:100048B0 Local Settings\\Software\\Microsoft\\Windows\\Shell\\MuiCache
.rdata:10004928 ========================= Recent Application List ==========================\r\n
.rdata:10004A18 \r\n\r\n========================= Yahoo Profile List ==========================\r\n
.rdata:10004AB8 Software\\Microsoft\\Internet Explorer\\TypedURLs
.rdata:10004B18 ========================= Internet Explorer History ==========================\r\n
.rdata:10004BBC url%i
.rdata:10004BC8 SeDebugPrivilege
.rdata:10004BEC explorer.exe
.rdata:10004C08 *.doc*
.rdata:10004C18 *.xls*
.rdata:10004C28 *.ppt*
.rdata:10004C38 *.txt
.rdata:10004C44 *.php*
.rdata:10004C54 *.asp*
.rdata:10004C64 *.au
.rdata:10004C70 ========================= File List ==========================\r\n
.rdata:10004CF4 %s
.rdata:10004CFC Windows
.rdata:10004D0C Program Files
.rdata:10004D28 $Recycle.Bin
.rdata:10004D44 ProgramData
.rdata:10004D5C Config.Msi
.rdata:10004D74 System Volume Information
.rdata:10004DA8 Recovery
.rdata:10004DBC MSOCache
.rdata:10004DD0 PerfLogs
.rdata:10004DE4 AppData
.rdata:10004DF4 All Users
.rdata:10004E08 Program Files (x86)
.rdata:10004E30 RECYCLER
.rdata:10004E44 %s\\*

Coder STL dùng chính các Dll của Firefox và sqlite3.dll để decode các username, password mà Firefox lưu lại.
Chúng tìm file profiles.ini rồi suy ra file compatibility.ini. Đọc file compatibility.ini để lấy Firefox install path, load một loạt các dll trên, GetProcAddress một loạt các function để decode rồi issus sql command cho sqlite3.dll, parse result trả về.
Source của decrypt Firefox password có đầy trên mạng, vd các bạn có thể Google với "NSSBase64_DecodeBuffer" sẽ ra một loạt kết quả.

Trong danh sách các file extension mà tuị này lấy, em không biết file .au là của cái gì, sao giống AutoIt quá vậy ? Bà con nào biết chỉ em với !

Vì file StaticCache.dat (CollectInfo.dll) này nhỏ, chỉ có vỏn vẹn 29 hàm, nhưng việc viết lại hoàn chỉnh C code của nó rất mất thời gian, nên em chỉ up lên mediafire file IDA61 idb, file StaticCache.dat và pesudo-C code mà HexRays tạo ra. Bà con nào biết lập trình C for Win có thể đọc file .c và hiểu được: http://www.mediafire.com/?ama8ftvsdo702w1

Tới gần đây, em vẫn tự hỏi: Quái, làm sao nó lấy được 1 loạt password như vậy được, mình có bao giờ gõ pwds vào đâu, Firefox tự làm hết mà. Không lý tụi này run được Firepassviewer trên máy em à. Tới chiều này, ngồi decode dao360.mui, mới lòi ra thêm một đống "meo què" của tụi STL này.

À, sẵn tiện nhắc lại, toàn bộ "mèo què s" của STL em up ở đây: http://www.mediafire.com/?tz745o0f678w8

Và các bạn có để ý là tới bây giờ, tổng số file malware ("meo què") của STL cài vào mấy victim đã là 12 file .dll, .mui, .ocx rồi. Một coder không thể code một đống meo què như vậy được. Chúng toàn xài VC++ 2008, 2010 không, build ở mode UNICODE hết.

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	28/06/2011 22:19:45 (+0700) \| #107 \| 242325

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Và dưới đây là 1 đoạn ct nhỏ code = Delphi để lấy Firefox passwords:
http://www.mediafire.com/?goj6zd0z3c1b2of
Các bạn so sánh với code C trong file StaticCache.c sẽ thấy nó giống ở chức năng và cách dùng hàm, cách gọi hàm APIs của Firefox, chỉ thiếu phần execute SQLite3 cmds để lấy bookmarks...

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	29/06/2011 06:49:19 (+0700) \| #108 \| 242335

mv1098
Member

Joined: 18/07/2009 14:19:13
Messages: 119
Offline

TQN wrote:

Trong danh sách các file extension mà tuị này lấy, em không biết file .au là của cái gì, sao giống AutoIt quá vậy ? Bà con nào biết chỉ em với !

Primary association: uLaw/AU Audio File
File classification: Audio
Mime type: audio/basic, audio/x-basic, audio/au, audio/x-au, audio/x-pn-au, audio/rmf, audio/x-rmf, audio/x-ulaw, audio/vnd.qcelp, audio/x-gsm, audio/snd
Identifying characters Hex: 2E 73 6E 64 00 00 00 , ASCII: .snd
Related links: IrfanView, AudioPlayer, FILExt CODEC and Video Player FAQ

Other applications associated with file type AU:
Audacity (Audio Block)Audacity is free, open source software for recording and editing sounds. It is available for Mac OS X, Microsoft Windows, GNU/Linux, and other operating systems. This association is classified as Audio. The identifying characters used for this association are - Hex: 64 6E 73 2E , ASCII: dns

Theo mình .AU3 hình như mới là định dạng của AutoIt

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	29/06/2011 12:16:09 (+0700) \| #109 \| 242353

ngocson2vn
Member

Joined: 28/04/2007 03:45:55
Messages: 16
Location: Phú Thọ
Offline

Chào bác TQN,

Em tìm thấy trong máy em (em dùng Windows 7 64bit) có hai file StaticCache.dat tại:
C:\Windows\Fonts\StaticCache.dat
C:\Windows\winsxs\amd64_microsoft-windows-font-staticcache_31bf3856ad364e35_6.1.7600.16385_none_3fd354fc52b76f63\StaticCache.dat

Vậy máy em có bị nhiễm đám virus này không ạ?

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	29/06/2011 13:02:42 (+0700) \| #110 \| 242355

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Cậu dùng PEiD check xem 2 file đó có phải là PE file không ?
StaticCache.dat của STL nằm trong \Documents and Settings\%User%\Application Data

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	29/06/2011 13:34:22 (+0700) \| #111 \| 242360

ngocson2vn
Member

Joined: 28/04/2007 03:45:55
Messages: 16
Location: Phú Thọ
Offline

Em đã check cả 2 files.
Rất may là không phải PE files bác ạ.

Em chờ để đọc các bài tiếp theo của bác.

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	30/06/2011 12:54:36 (+0700) \| #112 \| 242452

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Có một người tui không biết vừa gởi cho tui 1 số file mới mà theo người đó là virus mới của STL. Điều này tui không chắc.
Nhưng phân tích sơ bộ thì các file này được viết = VB.NET, protect = Smart Assembly và DotNet Reactor v4.x. Sau khi unpack chúng ra xong, thì thấy ngay đám malwares mới này cũng dùng các API và SQLite3 y như StaticCache.dat. Mục đích là ăn cắp user name và passwords của victim từ Google Chrome, FireFox, IE, GoogleTalk... và sưu tầm một loạt thông tin về máy của victim và dùng mail và FTP để gởi đi.

Bộ mấy con này của mấy anh STL à, sao mấy anh không viết = VC++ nữa mà chuyển dang dùng VB.NET. Vậy thì mấy anh càng chết nữa, càng dể lộ thông tin về mấy anh rồi.

Rongchaua ơi, vào đây giúp anh nè, có việc đúng chuyên môn về RE .NET của em đấy.

Bây giờ em phải đi gấp rồi, tối về em unpacked và deobfuscation xong rồi em up lên.

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	30/06/2011 22:02:01 (+0700) \| #113 \| 242501

maithangbs
Elite Member

Joined: 28/11/2007 21:39:53
Messages: 567
Location: Д.и.Р
Offline

Bác TQN bình tĩnh, bác không nghĩ là bọn Tung của có biết tiếng Việt à? Hoặc Có thằng nào ghét bác à?

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	01/07/2011 13:13:09 (+0700) \| #114 \| 242567

xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline

TQN wrote:

Có một người tui không biết vừa gởi cho tui 1 số file mới mà theo người đó là virus mới của STL. Điều này tui không chắc.
Nhưng phân tích sơ bộ thì các file này được viết = VB.NET, protect = Smart Assembly và DotNet Reactor v4.x. Sau khi unpack chúng ra xong, thì thấy ngay đám malwares mới này cũng dùng các API và SQLite3 y như StaticCache.dat. Mục đích là ăn cắp user name và passwords của victim từ Google Chrome, FireFox, IE, GoogleTalk... và sưu tầm một loạt thông tin về máy của victim và dùng mail và FTP để gởi đi.

Bộ mấy con này của mấy anh STL à, sao mấy anh không viết = VC++ nữa mà chuyển dang dùng VB.NET. Vậy thì mấy anh càng chết nữa, càng dể lộ thông tin về mấy anh rồi.

Rongchaua ơi, vào đây giúp anh nè, có việc đúng chuyên môn về RE .NET của em đấy.

Bây giờ em phải đi gấp rồi, tối về em unpacked và deobfuscation xong rồi em up lên.

Không khéo lão thành tester miễn phí cho các bạn STL đấy TQN à. Biết đâu các bạn này học được chút thâm bẩn của mấy bạn tàu rồi chăng ? smilie

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	01/07/2011 22:31:38 (+0700) \| #115 \| 242605

xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline

Tớ cũng dính StaticCache.dat , Dùng OllyDBG load lên ( máy ảo ) thì đúng là nó, nguyên con luôn, Reference Strings hoàn toàn như lão đưa.

Nhưng chỉ duy nhất file đó được tìm thấy, các file khác lão đề cập thì không thấy. Vậy chỉ 1 file DAT ( PE File ) đó thì làm sao dc load lên mà quậy phá lung tung dc lão ? Liệu còn file nào liên quan tới file này không lão ? Mong lão chỉ giúp để xử lý con này rốt ráo khỏi máy tớ.

Tớ ngoại đạo hoàn toàn về khoản RCE này smilie

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	04/07/2011 02:39:03 (+0700) \| #116 \| 242712

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

maithangbs wrote:

Bác TQN bình tĩnh, bác không nghĩ là bọn Tung của có biết tiếng Việt à? Hoặc Có thằng nào ghét bác à?

Hì hì, quả thực bọn tung của biết tiếng Việt mà chơi trò STL thì không có gì để nói. Chỉ có điều đám này là người Việt nhưng thích làm tung của và toàn lấy tên tung của và chơi trò STL mới là chuyện đáng nói.

What bringing us together is stronger than what pulling us apart.

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	09/07/2011 05:50:49 (+0700) \| #117 \| 243106

nong_dan1407
Member

Joined: 16/06/2011 08:34:00
Messages: 1
Offline

This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	09/07/2011 15:24:07 (+0700) \| #118 \| 243141

secmask
Elite Member

Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline

một ít em xem được từ dao360.dll
Code:

.code:10005174                 push    "%CSIDL_APPDATA%"   ; csidl
.code:10005176                 lea     ecx, [esp+630h+FileName] ; Load Effective Address
.code:1000517D                 push    ecx             ; pszPath
.code:1000517E                 push    ebx             ; hwnd
.code:1000517F                 mov     [esp+638h+NumberOfBytesWritten], ebx
.code:10005183                 call    ds:SHGetSpecialFolderPathW ; Indirect Call Near Procedure
.code:10005183
.code:10005189                 test    eax, eax        ; Logical Compare
.code:1000518B                 jnz     short loc_100051A5 ; Jump if Not Zero (ZF=0)
.code:1000518B
.code:1000518D                 pop     ebx
.code:1000518E                 mov     ecx, [esp+624h+var_4]
.code:10005195                 xor     ecx, esp        ; Logical Exclusive OR
.code:10005197                 call    check_esp       ; Call Procedure
.code:10005197
.code:1000519C                 add     esp, 624h       ; Add
.code:100051A2                 retn    8               ; Return Near from Procedure
.code:100051A2
.code:100051A5 ; ---------------------------------------------------------------------------
.code:100051A5
.code:100051A5 loc_100051A5:                           ; CODE XREF: sub_10005120+6Bj
.code:100051A5                 push    ebp
.code:100051A6                 push    edi
.code:100051A7                 lea     edx, [esp+630h+pMore] ; Load Effective Address
.code:100051AB                 push    edx
.code:100051AC                 mov     eax, offset sz2F0D4D010D1E1A0E207C300A1B0406060F110D2632 ; "2F0D4D010D1E1A0E207C300A1B0406060F110D2"...
.code:100051B1                 call    decryptString   ; \Identities\Thumbs.db

File thumbs.db này chứa dữ liệu thu thập, mã hoá bằng xor.

Code:

.code:1000527A                 mov     edi, [esp+630h+arg_0]
.code:10005281                 push    4               ; flProtect
.code:10005283                 push    1000h           ; flAllocationType
.code:10005288                 inc     edi             ; Increment by 1
.code:10005289                 push    edi             ; dwSize
.code:1000528A                 push    0               ; lpAddress
.code:1000528C                 call    ds:VirtualAlloc ; Reserves or commits a region of pages in the virtual address space of the calling process.
.code:1000528C                                         ; Memory allocated by this function is automatically initialized to zero, unless MEM_RESET is specified.
.code:1000528C
.code:10005292                 mov     ebx, eax
.code:10005294                 push    ebx
.code:10005295                 mov     ecx, esi
.code:10005297                 call    private_encrypt_xor ; Call Procedure

các string decode được từ dao360.dll

file IDA6.1 em đang phân tích ở đây http://www.mediafire.com/?3m3asb44lgfy3uk
Nhìn trong mớ string decode được thì còn vài file dll nữa chưa có trong chỗ anh TQN up lên, reverse đủ bộ chắc oải quá.

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	09/07/2011 21:21:17 (+0700) \| #119 \| 243161

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Anh chỉ biết nói một câu, good job, secmarsk. Em đã decode hết cho anh rồi.
Lúc đầu anh tính viết IDC hay IDAPython, hay C/C++ để decode cái đống string encoced này, nhưng nói thật là lười quá, tối là anh rảnh, nhưng đã "sương sương" mất tiêu rồi, thì làm sao code được.
Đúng là hậu sinh khả uý. Khen em n câu.
Đúng như anh đoán, thằng dao này là core của đám "mèo què" của STL này. Nó lấy thông tin từ msdata.vxd, StaticCache.dat để up lên.
Em còn thiếu cái IP, host mà nó up lên dùng smtp và ftp đấy. Thằng này nó dùng tới 3, 4 hàm decode lận.
Rảnh rổi thì post tutor làm sao em call được hàm decryptString của em nhé: AppCall, Bochs hay x86emu ?

[Analyzing] RCE đám virus của Sinh Tử Lệnh.	11/07/2011 10:22:08 (+0700) \| #120 \| 243231

secmask
Elite Member

Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline

Mấy chỗ nó kết nối http ra ngoài hình như đọc địa chỉ từ pipe, em chưa đụng tới mấy cái đó.
Em tay bo decode chỗ kia dùng olly thôi, em đang tính cách làm tool chạy decode kiểu này về sau dùng smilie

Go to:

Users currently in here
1 Anonymous