PXMMRF wrote:

Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe
Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà
original name: MsHelpCenter.exe
internal name: (cũng là) MsHelpCenter.exe
file version.: 6.1.7600.16385
MD5 : 915e9432ca9414a771071ee0cc115930
SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d
ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
File size : 9332736 bytes
OK?
 

Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned :
http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090 

nhưng mấy anh ơi, bài toán lại bắt đầu lại rồi : MsHelpCenter.exe
Câu hỏi: ai tải cái và các file kia về ??

Trả lời nốt câu này mới ổn ?? 

nobitapm wrote:

PXMMRF wrote:

2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau:

- AdobeUpdateManager.exe
- jucheck.exe (process giả update Java)
- OSA.exe
Chúng nằm ở các directories sau:

Program Files\Adobe\AdobeUpdateManager.exe
Program Files\Java\jre6\bin\jucheck.exe
Program Files\Microsoft Office\Office11\OSA.exe

Chúng cũng là thành phần của Trojan-bot đấy

3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả

Thank you in advance.

 

E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên.
Gửi anh PXMMRF mẫu file jucheck.exe Code:

http://www.mediafire.com/?wpbh40voy00k87w

 

Mẫu này không phải virus, bạn yên tâm nhé 

@PXMMRF: Em sẽ kiểm tra các thông tin anh cần, và có 1 vài lưu ý là các thông tin e để trên đều liên quan đến DNS của Google, vì các thông tin trên tổng hợp trong quá trình bắt các packet gửi qua IP 8.8.8.8 (ngày mai em sẽ dump và gửi cho a vài chi tiết).

Hôm nay em cũng có dạo qua các site, và down bộ unikey từ link: http://nethoabinh.com/showthread.php?t=315
Quét file này trên virustotal: http://www.virustotal.com/file-scan/report.html?id=02b3b347ff00c8bdcad7e4c557a41f36e4af110658aea57557fab2c0bd641b1e-1311508169 

Em vừa vọc vài thứ trong máy, có lòi ra mấy URL (via whireshark):

http://tongfeirou.dyndns-web.com/banner1.png?cpn=<COMPUTER USERNAME> (404)
https://biouzhen.dyndns-server.com/banner1.png?cpn=<COMPUTER USERNAME> (403 nginx)
 

với User-Agent đều là:

Gozilla_2/General (??) 

Đang tiếp tục vọc tiếp ... 

Đây là 1 phần đoạn mail của bạn trẻ cao thủ gởi cho tui. Post lên đây để anh em đọc cho vui:

Về vấn đề mẫu, thì phải xuất phát từ GoogleCrashHandle ạ. Em có mẫu ấy từ bạn xxx trên xxx, cái này chắc anh đã biết. Sau khi nghiên cứu, em viết tracker cho nó, thì tải được 1 file cũng code bằng VB sau đó không lâu, tên là Jucheck.exe. Mẫu này em có từ cái hồi xxx cơ mà. Y hệt cái AcrobatUpdater luôn, chỉ có Icon là của bạn Java Update. Chính nó tấn công vietnamnet.

Mẫu này luôn truy cập để tải về file tại địa chỉ http://penop.net/top.jpg
đọc code thì thấy nó giải mã với thuật toán xor theo byte, key là 0x19. nhưng ngặt nỗi hồi đó không tải được, link chết.

Hệ thống botnet tracker của em thì chạy liên tục, lúc nào cũng định kì download các link, có mẫu mới là notify luôn.
tơi đúng hôm HVA bị dos thì có hàng mới của top.jpg , về giải mã ra thì được cái link http://penop.net/images01.gif , đó chính là mẫu virus viết bằng VB hiện giờ đang hoành hành, cũng xor 0x19 theo byte. khi chạy , tên nó là AcrobatUpdater. Hôm đó thấy file cấu hình của nó, em đã định bảo anh ngay nhưng lại không vào HVA được

Tất cả các mẫu botnet em có được, em đều đưa vào tracker của em hết, nhiều mẫu nó phải lâu lắm rồi, tưởng chết rồi, thế mà 1 ngày đẹp trời là nó sống lại và có hàng

Khoe với anh: cái tracker này em viết cũng lâu rồi, nhưng chỉ để cho vui thôi ạ, nếu không em cũng chả có mẫu mới Đó là nguồn mẫu duy nhất của em đấy. Còn tình cờ gặp mấy cái như fake Unikey, cái đấy ăn may. đưa vào tracker mấy hôm thì thấy link die
 

Bạn trẻ này đóng vai trò quan trọng nhất trong việc dò tìm và phân tích đám malwares của STL. Tui chỉ là người phát ngôn của Bộ dò tìm STL thôi. "Tui kịch liệt lên án STL"

2 anh PXMMRF: Tại sao bây giờ VNCERT, BKAV, CMC, báo chí... vẫn im ru bà rù ???? 

Sao lại chỉ có có bác TQN & conmale một mình một chuột chống đỡ vậy chứ? 

Tình cờ em đọc được bài này, mời bà con đọc thử và suy nghĩ: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1 

PXMMRF wrote:

Trong trường hợp áp dung WAN Dynamic IP thì dấu vết điểm chỉ (print point) của một người trên mạng sẽ là loại thiết bị họ dùng và quan trong hơn là MAC address của thiết bị đó.
Như là một người đi trên đường đội mũ bịt mặt (lấy cớ là ô nhiễm) thì dấu vết nhận biết là loại xe gắn máy anh ta đi và quan trong hơn là biển số của xe.

Trong system log của DSLAM (của ISP) có thể ghi IP động và MAC address của modem của các user tại từng thời điểm. Vì vậy cơ quan điều tra hay ISP có thể dễ dàng tìm ta IP động mới của user, căn cứ MAC address của modem. Vì vậy muốn an toàn thì kẻ gây án phải đổi thiết bị (tức là đổi MAC address).
Chưa kể trước khi kẻ gây án đổi IP động thì đã có người theo rõi và ghi đươc MAC address của thiết bị rồi. Khi đó không cần xem system log của DSLAM, mà chỉ cần rà xoát trên mạng.
 

MAC cũng quan trọng nhưng đâu quan trọng bằng username và password của phiên kết nối đó bác PXMMRF. Đây mới là căn cứ có cơ sở để xác thực một đối tượng nhận được IP vào một thời điểm nào đó của ISP.

Em nghĩ căn cứ này mới đủ mạnh. MAC hoàn toàn có thể đổi được nếu quay số từ máy tính (not modem), trước đây một số ISP fix MAC address với tài khoản (thay modem phải gọi điện mới vào mạng được) nhưng giờ họ không làm thế nữa.

Trong hầu hết trường hợp, tài khoản thuê bao và đường line vật lý thì đã được ISP fix. 

@bác PXMMRF: việc STL đổi modem để xoá dấu vết như bác lập luận có phần chưa thoả đáng. Em thì nghĩ đơn giản là WAN IP của STL đã là động thì giá trị 123.21.140.237 không còn ý nghĩa gì nữa sau khi họ reset modem. IP đó có thể vẫn "sống" nhưng nó đã được cấp cho một thuê bao khác và thuê bao đó dùng modem khác.
Trong trường hợp vẫn IP đó và modem khác nhưng vẫn thực hiện các hành vi của STL thì mới có cơ sở để tạm thời kết luận là họ thay modem (em chưa tìm được chi tiết đó trong bài phân tích của anh TQN). 

Mình thấy bàn luận public việc truy tìm mấy thằng ôn STL này không có lợi lắm. Bọn nó chỉ cần vào đây, xem chúng ta biết những gì và tìm cách ứng phó trước.  

Cảm ơn anh conmale đã lên tiếng. Bà con đừng hùa nhau vào chửi rũa tohoangvu. Biết đâu chính tohoangvu cũng là nạn nhân của STL hay ai khác thì sao.
Cái thằng giấu mặt là thằng này nè: 123.21.140.237  

chủ thuê bao vnpt của ip 123.21.140.237 là ngokiennam / megavnn1
...........................
MAC Address
00:23:cd:c8:95:50

lúc mình vào thì có 1 cái máy đang sài là

wujianan-PC 192.168.1.100 00-24-1D-88-E4-79  

@cr4zyb0y

Đây là dải ip động của VNPT khi nghi án reset modem thì ip này đã chuyển cho 1 khách hàng khác của VNPT. với hành vi của bạn sẽ bị qui vào tội truy cập trái phép thông tin khách hàng của VNPT, tự nhiên lòng tốt của bạn sẽ thành rắc rối cho bạn có thể là cho người khác, vui lòng không public những thông tin trên lên đây. 

2 mv1098: Cái VNPT và cái modem đó có tính năng tranfer, hiển thị IP qua thằng người Hoa ở chổ khác xa lắc xa lơ à.
La vậy, em cũng đang dùng VNPT nè, nãy giờ nghe anh nói, em vào cái modem em, lục tới lục lui toàn ra IP mấy cái mấy trong nhà em không à. Sao lạ vậy, chả lẽ VNPT transfer IP của mình cho thằng nào khác lạ hoắc ở huyện #, tỉnh # thì nó alo cho mình à ?
Hay là thằng cha wujianan cùng ngồi trong cái nhà đó, cùng dùng chung cái modem đó để ra Internet ??. Cậu xem lại cái hình đi: DHCP IP Pool nhé. Modem nó cấp IP trong cái LAN đó cho thằng tàu khựa wujianan rành rành ra đó.
Cậu thừa biết vậy mà còn hù doạ em với bạn crazyboy nữa. Hu hu, em sợ quá !  

Không có gì đâu anh, svchost.exe là Service Host Control Process. Nó quản lý việc khởi tạo, run, stop... tất cả các service trong Windows.
ipripv6.dll đăng ký nó như một service DLL, run trong process memory space của svchost.exe
Service Name: Iprip
Service cmdline: %SystemRoot%\System32\svchost.exe -k netsvcs
ServiceDLL: path của chính nó, ipripv6.dll

......................
 

Tối qua nhậu quắc cần câu, giờ mệt quá, ở nhà, mở ipripv6.idb với IDA 61, switch debugger qua Local Bochs debugger, PE mode, decode một loạt các string của nó. Quá đã, chỉ cần Set IP ở các địa chỉ call hàm Decode, trace mấy phát, lòi ra hết. Bochs chạy êm ru, không trục trặc gì cả.

Decode xong mới phát hiện STL còn dùng một keylog dll khác, xem trong hình các bạn sẽ thấy: CDRWapi.dll. Nếu ipripv6.dll detect có hardkdb.dll trong Windows\ime directory thì load nó, còn không thì load %AppData%\Microsoft\Windows Media\CDRWapi.dll.

File này máy em không có, bà con ai có share em với. Hay là STL chưa release ? Thôi, mấy anh STL có nó thì gởi vào hộp mail Google hay Yahoo của em một bản với  

Theo tôi, nếu gặp những khó khăn như trên, có thể nghĩ đến một cách tiếp cận khác. (sau đó có thể quay lai cách tiếp cận cũ)

Các file .dll (hardkbd.dll- keylogger và wbmain.dll-downloader) mà chúng ta đang disassembling có những mối liên hệ với một service quan trong mà Trojan thiết lập mới trong hệ thống, có nhiệm vụ tạo socket kết nối Internet với máy chủ -website của hacker, để chuyển thông tin lấy cắp và nhận lệnh (thí dụ website smartshow.info)

Service này, trong các malicious tool (ware) của STL hay của các Chinese hacker khác thường là "iprip", tiến trình của nó là svchost.exe -k netsves (chú ý phân biệt với svchost.exe gốc của Windows-local service)

Vì bận quá, nên tôi chưa có thời gian phân tích kỹ 2 file dll nói trên và cho chay file virus.doc trên máy thật. Vả lại có phân tích thì cũng không bằng TQN được. Tuy nhiên đã socket spying sơ qua file tiến trình svchost.exe -k netsves nói trên 

Cảm ơn <<quanta>> đã trả lời và cho gợi ý. Nhưng :


Server 2: Chạy Apache : tôi đã cấu hình VirtualHost ...nếu chạy website trên Server 2 thì ko có vấn đề.

Nhưng trong phần VirtualHost có mục documentroot tôi sẽ phải xử lý sao?


Server 1 : Chạy IIS mở port 8080.. chạy localhost thì okie nhưng chạy từ ngoài internet thì chỉ vào website chính theo cấu hình của Apache thôi...

Xin Mod chỉ dùm.. làm sao dùng Mod_proxy để wwwect qua được....

Rất mong được giúp đỡ.

Chân thành cảm ơn.
 

Domain ID32531112-LRMS
Domain Name:SMARTSHOW.INFO
Created On:22-Apr-2010 11:06:53 UTC
Last Updated On:02-Jun-2011 03:00:28 UTC
Expiration Date:22-Apr-2012 11:06:53 UTC
Sponsoring Registrar:OnlineNIC, Inc. (R170-LRMS)
Status:CLIENT HOLD
Status:CLIENT TRANSFER PROHIBITED
Status:PENDING DELETE RESTORABLE
Status:HOLD
Registrant ID:OLNI_196680_0_0
Registrant Name:Domain ID Shield Service
Registrant Organizationomain ID Shield Service CO., Limited
Registrant Street1:1102-1103,11/F,Kowloon Bldg.,555 Nathan Rd.,Mongkok,Kowloon
Registrant Street2:
Registrant Street3:
Registrant City:Hong Kong
Registrant State/Province:Hong Kong
Registrant Postal Code:999077
Registrant Country:CN 

OrgName: eNET Inc. (Tên công ty)
Address: 3000 East Dublin Granville Rd.

City: Columbus

StateProv: OH

PostalCode: 43231

Country: US 

http://www.domaintools.com/research/whois-history/?q=SMARTSHOW.INFO&page=results&submit=Look+up

Các lần change whois info của nó , anh em nào có thẻ tín dụng thì mua cai pro account check giùm sẽ ra chi tiết !

2007
2007-11-05

2008
2008-04-14
2008-04-27
.............
2010-04-23

2010-11-30

2011
2011-01-22
2011-03-18
2011-04-20
.........
2011-05-31 

.
....................................................
2. VulcanBot trong thời hoạt động trỏ về 7 hosts khác nhau, trong đó có một dynamic host sử dụng dyn dns có tên là: tyuqwer.dyndns.org. Theo cache lưu của nhiều nơi trên Internet, tyuqwer.dyndns.org có IP là 112.78.5.79, một IP thuộc "Công ty Cổ phần Dich vụ dữ liệu Trực tuyến" có văn phòng chính ở Q.3, TPHCM.

...........................................................

4. Domain name: update-adobe.com hiện do đám onlineNIC ở HK, CN quản lý. STL đã dời hầu hết các tên miền quan trọng của họ về registrar này ở CN. Nếu đám tạo VulcanBot này cũng chọn OnlineNIC này để lưu trú như STL thì quả là thú vị .


PS: Ngân ơi, để anh gởi em thêm vài món khá mới để em RE tiếp cho vui cửa vui nhà . 

hardkbd.dll thì em đã up cho Kaspersky lab để phân tích rồi. Em cũng gởi kèm file IDA .idb của em luôn.
Tiếp theo, chúng ta sẽ tiếp tục với đám bot của tụi STL này. Đám bot này Zorro gởi cho tui, không biết sao Zorro lại dính nó. Và chắc chắn đám bot này là của tụi STL, không chạy đi đâu được. Dưới đây là file config của đám bot này:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd";>
<html xmlns=\"http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="description" content="Diễn đàn X-Cafe - Tôn trọng sự khác biệt trên tinh thần duy lý">
<link rel=StyleSheet href="/verification/verification.css" type="text/css" media="screen,print">
<title>Dien dan X-cafe - Ton trong su khac biet tren tinh thanh duy ly</title>
</head>
<body>
<div id="outer">
<div id="header"><h1>Diễn đàn X-Cafe - Tôn trọng sự khác biệt trên tinh thần duy lý</h1></div>
<div id="main">
<form action="/verification/index_captcha.php" method="GET">
<input type="hidden" name="auth_key" value="94d3fa0375ca9e22b54f431051c797d2">
<input type="submit" value="Bấm vào đây để đi tiếp">
</form>
</div>
</div>
</body>
</html>
 

KAV đã phát hiện ra toàn bộ wscntfy.* này là Vecebot, vì vậy em phải tạm tắt KAV
Mục đích cuối cùng của em là tìm cho ra thằng nào up msdata.vxd chứa keypress của em lên cho tụi STL để nó hai lần vào lấy account HVA, Yahoo của em. 

Tính post tiếp nhưng tới lúc decode xong lại thấy ngờ ngợ, hình như là, khoãng 50%, wbmain.dll có lẽ không phải của STL, nhưng cũng có thể. Bà con ai nhớ cái: www.adobe-upgrade.com và AdobeUpdateManager.exe không ?

AdobeUpdateManager.exe hình như là 1 con Bot, còn server adobe-upgrade.com thì down lâu rồi, whois, google không thấy. Không lẽ tui đi sai hướng.

Hiện tại trong đống virus database lưu trên máy tui, thấy rõ 2 trường phái coding khác nhau. Version của 2 đám này cũng lung tung hết, không xác định được.

Nếu thật là sai hướng thì xin lỗi anh em, đã làm mất thời gian của anh em theo dõi tọpic này. 

Tính post tiếp nhưng tới lúc decode xong lại thấy ngờ ngợ, hình như là, khoãng 50%, wbmain.dll có lẽ không phải của STL, nhưng cũng có thể. Bà con ai nhớ cái: www.adobe-upgrade.com và AdobeUpdateManager.exe không ?

AdobeUpdateManager.exe hình như là 1 con Bot, còn server adobe-upgrade.com thì down lâu rồi, whois, google không thấy. Không lẽ tui đi sai hướng.

Hiện tại trong đống virus database lưu trên máy tui, thấy rõ 2 trường phái coding khác nhau. Version của 2 đám này cũng lung tung hết, không xác định được.

Nếu thật là sai hướng thì xin lỗi anh em, đã làm mất thời gian của anh em theo dõi tọpic này. 

Hi bác TQN

em đọc cái decode thì chỉ biết nó decode ra 6 cái địa chỉ , và dùng 1 hàm để lấy random 1 trong 6 cái đấy và connect gửi thông tin lên, xor 0x1D

cái decode này em ko phân tích IDA được, toàn cho vào máy ảo rồi Olly thôi, đang ngồi hóng các cao thủ cho giải pháp decode nó, thật sự đọc cái decode này mà phát điên luôn ý, rối kinh khủng

Giờ máy em đang điên điên , chắc phải cài lại win rồi mới làm tiếp được