Messages posted by: trycatch

Không biết phải gửi bài này vào mục nào cho phù hợp. Bà con đọc thử link này xem finfisher này giống loại gì đã xảy ra ở Việt Nam và được thảo luận tại HVA.

http://www.bbc.co.uk/vietnamese/vietnam/2013/04/130417_uk_vietnam_spying_technology.shtml

Hnay vô tình mình biết được thông tin về bản eOffice client nhiễm virus, up lên đây để bà con cảnh giác.

link eOff client nhiễm: http://www.mediafire.com/?65sgdabalmubpf3

Anh chị em nào biết cách decompile file .cod thì chỉ cho tớ với!
File .cod là ứng dụng trên blackberry. Code thì bằng java, nhưng sau đó phải dùng tool của BB để dịch sang file .cod thì phải!?

TQN wrote:

Bà con ai biết, chữ "Bai" là gì, của ngôn ngữ nào không ??? Chữ "Bai" này em thấy lạ lắm, vì em biết coder Việt ta không bao giờ dùng chữ "Bai" để mô tả harddisk type và serial number ???

Tiếng Việt không dấu dịch ra là: Bài, Bái, Bại, Bải
Tàu dịch ra là 100
Anh dịch ra là : tạm biệt anh TQN, smilie

Bạn s3ll giỏi quá, kinh doanh đồ trang sức mà ngâm cứu thông tin trên các diễn đàn về virus kỹ quá. Xem ra bạn và anh TQN(trading vàng, smilie

) cùng nghề rồi, chỉ khác sàn giao dịch thôi. Bạn s3ll nên tập trung chuyên môn kinh doanh đồ trang sức thì hay hơn là bạn 'nhét chữ vào mồm' người khác.

thuypv wrote:

Ko vào được bạn à, thử hết rồi

mình dùng mạng của viettel

Ái chà, mình vẫn vào bình thường nhưng sau khi clear cookies thì không vào được nữa.

TQN wrote:

Bà con tạo một thư mục Tracker chẵng hạn, chép đoạn bat file này vào file tracker.bat. Lâu lâu mấy bác buồn buồn không biết làm gì thì Enter nó giùm em một cái.
Code:
@echo off
echo ===============================================================================
echo Download cac file trojan, bot va DDOS config files cua stl dang DDOS Vietnamnet
echo ===============================================================================
echo.
wget -t3 "http://wide.ircop.cn/index.txt?113" -O wide.ircop.cn_index.txt
wget -t3 "http://pref.firebay.cn/index.txt?113" -O pref.firebay.cn_index.txt
wget -t3 "http://daily.leteaks.com/index.txt?113" -O daily.leteaks.com_index.txt
wget -t3 "http://link.susaks.com/index.txt?113" -O link.susaks.com_index.txt
wget -t3 "http://option.drfound.net/k113.css"
pause
Đoạn bat này sẽ download các file trên về. Sau đó các bạn tạo thêm 1 thư mục chứa ngày tháng mà các bạn down các file trên về, vd: 26_08_2011, chép các file đã download được vào đó. Định kỳ compare một lần, nếu có thấy thay đổi nội dung một trong các file thì báo lên cho bà con biết giùm, còn giống hết thì xoá đi.

Cảm ơn bà con tham gia giúp theo dõi. Một mình em cứ chạy tracker 1 đống luôn, compare nữa thì mệt quá, code tool tự động thì lười, thôi thì chịu khó bat file vậy.

Hi TQN,
Chỉ trong vòng 1h vừa qua đã có sự thay đổi trong file pref.firebay.cn_index.txt
link: lúc 14h30: http://www.mediafire.com/?lq1cuttlt7etb2n
lúc 15h30: http://www.mediafire.com/?724ayc0ic5xa8c1

Hi anh em,
Mình nghĩ rằng, anh em nên tập trung chuyên môn RCE hay giúp đỡ các anh admin,TQN một tay chứ chúng ta không nên quan tâm nhiều các trang lề trái vì có thể nó sẽ làm ảnh hưởng đến HVA.

eicar wrote:

Thôi, em biết nói thế này thể nào các bác cũng xông vào chém, đã không giúp được gì lại còn thích phá thối. Nhưng thật ra là về sau em thấy các bác hơi cay cú, tất nhiên là cay cú cũng phải khi gặp các bạn phá hoại chuyên nghiệp thế này. Nhưng thái độ các bạn STL thế nào, các bác có biết được đâu, nên cứ tự bàn luận rồi tự sướng thế này em thấy gai mắt thì có ý kiến thôi.

Bạn có giỏi hoặc thích thảo luận về kỹ thuật thì ý kiến ý kò đừng ý kiến kiểu này. Bạn có biết thái độ của STL là gì không?Hay bạn là bạn của STL? Lặn đi cho nước nó trong.

Giờ này có lẽ HVA vẫn đang bị ddos anh Conmale nhỉ, em mới check lại cái second.dinest.net thì thấy đã trỏ sang 1 IP khác là 46.166.147.48 ở Ru.

Vanxuanemp wrote:

@anh Conmale: Có cách nào dùng gậy ông đập lưng ông không, chứ chả lẽ chịu trận mãi thế này khó chịu thật. Ngoài phân tích và update cho các AV thì cũng phải đập lại cho tơi bời chứ!?

Đâu cần làm vậy bạn, nếu muốn làm vậy thì các anh ý đã làm lâu rồi. Anh em member chia sẻ thông cảm cho sự vất vả của các anh admin và các anh RCE qua đó học hỏi các anh ý. Chứ còn mình ko hèn như STL phải không bạn. :d

rang0 wrote:

Nhân bài báo cáo "Operation Shady RAT" của McAfee, phía Symantec cũng đưa ra một bản báo cáo, mà nếu đọc thì mọi người sẽ thấy nó cũng giống như những gì đang diễn ra ở HVA :

Code:
http://www.symantec.com/connect/blogs/truth-behind-shady-rat

Tin tức trên viet.rfi.fr
http://www.viet.rfi.fr/chau-a/20110804-tin-tac-trung-quoc-tan-cong-tu-my-den-viet-nam

Theo dõi file anh Conmale thông báo (ddos_28-07-2011) thì có IP của cơ quan em(nhiều subnet) nên mình không biết cách xác định máy nào nhiễm malware của STL vì ko phải net admin chỉ là người dùng.
bạn nào có cách hay soft gì thì hướng dẫn mình với.
ps: báo cáo anh Conmale là file ddos-03-08-2011-uniq thì không có, nếu anh có cách gì thì mail cho em với nhé, em muốn góp chút gì đó để HVA giảm được tấn công ddos. E-mail và IP của em thì chắc anh thừa biết rồi. :d

mr.yeuquai wrote:

akay2605 wrote:

Nói nôm na là như thế này, ngân hàng sẽ phát cho bạn 1 thiết bị giống như usb có hiển thị số, thiết bị đó được lập trình theo giải thuật của ngân hàng, nó phải trùng với cách mà server quản lý acc tài khoản của bạn. Server và thiết bị đó đồng bộ hoá với nhau bằng thời gian.

Nhưng ý em hỏi là, làm thế nào để số trên cái như cái usb đấy và cái mà trên server quản lý trùng với nhau được khi mà số sinh ra là số ngẫu nhiên?

Như bạn quanta nói rồi, mình bổ sung thêm theo cách hiểu của mình.
Hiện nay Token key các NH dùng thường có 2 loại sinh mã:
1: sinh theo event(mỗi lần bấm để sinh mã), nhược điểm là nếu cho trẻ em chơi thì nhanh phải thay token vì loại này giới hạn số lần bấm.
2: Sinh mã theo thời gian thực, loại này bấm thoải mái. Nhược là server xác thực của NH vì 1 lý do nào đó mà sai giờ thì coi như tèo. :d