Messages posted by: elt0m

tranhuuphuoc wrote:

tôi dùng bash script viết 1 đoạn code nhỏ để tự động backup các thư mục, tập tin mà tôi mong muốn sau đó dùng crontab nhét nó vào, quy định thời gian và dùng rsync để nó backup đến remote server mà tôi quy định

Bạn có thể chia sẻ đoạn script đó được không?
Mình cũng đang tìm hiểu về Centos.

Cảm ơn nhiều!

bolzano_1989 wrote:

Tôi xem nhanh qua các log bạn elt0m thì thấy cần thu thập những file độc hại sau từ bạn elt0m hay bất cứ bạn nào có các file này trên máy tính:
C:\Windows\Installer\MSIDC92.tmp
%AppData%\HTML Help\help.dat
%Temp%\tmp2349230A98.tmp
%SystemRoot%\system32\c6to4.dll
%SystemRoot%\system32\wbem\rdpuser.mof
%UserProfile%\Local Settings\Application Data\Microsoft\CrashReport\drwtsn32.exe
%UserProfile%\Local Settings\Application Data\Microsoft\CrashReport\DrWatson.dll
%UserProfile%\Local Settings\Application Data\Microsoft\CrashReport\DrWatson.cfg
%ProgramFiles%\Common Files\microsoft shared\Stationery\cversions.2.db
%SystemRoot%\inf\ndiscap64.inf
%SystemRoot%\CSC\Starter.xml
%AppData%\Mozilla\profile.ini
%AppData%\Microsoft\Office\OrgDB01.pip

Một số file lạ, có thể chứa mã độc hại:
C:\Windows\Twunk001.MTX
C:\Windows\Twain001.Mtx
C:\Windows\UAExcel.dll
C:\Windows\UWeb.exe
C:\Windows\UAWord.dll
C:\Windows\UAPoint.dll
C:\Windows\UCode.dll
C:\Windows\System32\unrar.dll
C:\Windows\unins000.exe
C:\Windows\unins000.dat

Các file có dạng sau cũng cần được thu thập:
Các file có phần mở rộng file là .tmp trong thư mục %Temp% (trong trường hợp ở máy bạn là: C:\Users\Administrator\AppData\Local\Temp )

Thư mục ẩn sau cũng cần được thu thập:
C:\EQTKA
[2012/04/07 23:33:51 | 000,377,269 | RHS- | C] () -- \EQTKA

Người nước ngoài cũng nhiễm virus của stl, cũng có biểu hiện như chủ topic:
http://www.hackforums.net/showthread.php?tid=2833850
Theo log được gửi ở link diễn đàn hackforums.net trên thì cách đây 1 tuần, file này vẫn còn hoạt động liên tục mỗi lần máy tính được khởi động:
http://pastebin.com/HeJrdu7N

SRV - [2009-11-06 20:24:22 | 000,116,224 | --S- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\c6to4.dll -- (Irmon)

Đã gửi vào PM cho bolzano_1989 rồi nhé!

elt0m

TQN wrote:

Cậu có thể Ghost với compress high ổ C: của cậu rồi úp lên đâu đó giùm tui được không. Vì tôi biết, ngoài c6to4.dll, thì còn một loạt các mèo khác đã nằm sâu trong ngóc ngách máy cậu.

Anh TQN!

Tình hình ổ chạy System của em khi Ghost High Compress lên đến 12G smilie

(chia thành 60 files mỗi file 200M)
Nếu anh có thể download em sẽ up lên mediafire.

elt0m

Mình sẽ cố gắng thu thập các file bạn yêu cầu, hoặc mình sẽ ghost toàn bộ ổ C:\ up lên mediafire

bolzano_1989 wrote:

Theo tôi thì việc gửi các log public lên forum thế này đã đánh động đám stl và chúng đã tiến hành xóa dấu vết rồi.
Đây cũng là lí do mà bạn khi chạy TCPView thì không còn thấy process explorer.exe connect đến các IP lạ ở trên nữa. Trong tình hình stl đã kịp tẩu thoát, có lẽ chỉ còn hi vọng có ai đó đã lưu ảnh đĩa và có thể trích xuất các file trên ra được để điều tra tiếp thôi.

Có lẽ vậy, lúc đầu mình chỉ nghi ngờ thôi nên đã public các thông tin đó, ngay sau đó thì process explorer.exe không thấy chạy nữa và file c6to4.dll cũng lập tức biến mất mà không tìm thấy nữa, mặc dù trong file log autorunsc có ghi nhận các file này.

Up ảnh mình chụp màn hình ngày 29/8/2012 lúc process explorer.exe vẫn đang connect tới IP 111.90.150.183

Khi chạy Internet Explorer, bạn sẽ thấy trang chủ là 1 trang web của Tàu: http://www.2345.com/?751
Bạn có biết từ trước đến giờ đã có những phần mềm có nguồn gốc liên quan đến Trung Quốc được cài đặt ở máy tính này không?

Mình rất ít khi dùng IE, gần như không dùng.
Còn phần mềm Trung Quốc hoặc liên quan đến Trung Quốc thì không bao giờ dùng, có một phần mềm khi đọc log thấy có vẻ Trung Quốc là UltraISO, để mình kiểm tra kỹ, nếu đúng là nguồn gốc hoặc của Trung Quốc, lập tức sẽ thay thế!

[Cập nhật file có vẻ Trung Quốc]

UltraISO
HKCR\CLSID\{AD392E40-428C-459F-961E-9B147782D099}
ISOShell
(Verified) SHENZHEN YIBO DIGITAL SYSTEMS DEVELOPMENT CO. LTD.
1.0.0.2
c:\program files\ultraiso\isoshell.dll
2b6f2c334112e238143ed509bcc5cdb2 (MD5)
871ac70dd77ca64cf55bf589423864702b60c3a4 (SHA-1)
d6635ca4c1462cacc1c345fc10a019124680980179dfc67e6e82f9ba41507d20 (SHA-256)

elt0m

TQN wrote:

2 elt0m: bạn up lộn file rồi.

Sorry, em sửa lại rồi nhé!

http://www.mediafire.com/?e0v4peihbnn23eh

elt0m

TQN wrote:

2 elt0m: Thank cậu. File đó là prefetch của Windows rồi, không phải file virus, chứng tỏ nó đã từng cversions.2.db đã từng được run trên máy cậu.
Cậu up dùng tui file MSIDC92.tmp nữa nhé, run như service, sao lại có đuôi .tmp

file MSIDC92.tmp đây anh ơi!

C:\Windows\Installer\MSIDC92.tmp
http://www.mediafire.com/?e0v4peihbnn23eh

elt0m

bolzano_1989 wrote:

Chào bạn elt0m, bạn hãy thực hiện từng bước một theo đúng tuần tự và chuẩn xác các bước sau, có gì khó khăn cứ nói nhé, nhiều hôm nay bận nhưng mình sẽ theo vụ này đến cùng. Bọn này ngày càng tinh vi. Từ giờ trở đi, ở chủ đề này, khi được yêu cầu scan để lấy log với các công cụ, bạn vui lòng đổi tên file .exe công cụ thành tên iExplore.exe hoặc firefox.exe trước khi chạy file với quyền administrator.

Thực hiện tắt các chương trình giả lập CD với DeFogger theo hướng dẫn sau:
http://support.cmclab.net/vn/index.php?topic=6533.0

Thực hiện scan và gửi log Rootkit Unhooker, RootRepeal, GMER cho mình theo đúng trình tự các hướng dẫn sau:
Hướng dẫn scan và gửi log Rootkit Unhooker:
http://support.cmclab.net/vn/index.php?topic=6527.0
Hướng dẫn scan và gửi log RootRepeal:
http://support.cmclab.net/vn/index.php?topic=6372.0
Hướng dẫn scan và gửi log GMER với tên file ngẫu nhiên:
http://support.cmclab.net/vn/index.php?topic=6422.msg33887#msg33887

Sau đó khởi động lại máy tính rồi scan và gửi log OTL, boot log với Process Monitor cho mình theo các hướng dẫn sau:
Hướng dẫn scan và gửi log OTL:
http://support.cmclab.net/vn/index.php?topic=6593.0
Hướng dẫn scan và gửi boot log với Process Monitor:
http://support.cmclab.net/vn/index.php?topic=7636.0

@ bolzano_1989

Mình gửi bạn các report bạn yêu cầu qua PM nhé
Riêng RootRepeal mình không tìm thấy bản chạy Win7, toàn báo lỗi, do vậy không thực hiện được

elt0m

TQN wrote:

Lạ nhỉ, tui vừa phân tích xong file rdpuser.mof này, nhiệm vụ nó cũng chỉ là tìm và load một trong 2 file PE sau lên:
1. Program Files\Common Files\microsoft shared\Stationery\cversions.2.db
6. XXX\Application Data\Protect\History.db
Cậu elt0m cố gắng tìm lại thử, dùng tool Everything: www.voidtools.com, hay search lại trong các bản Ghost của cậu thử !

Hi anh TQN!
[1] đây nhé: http://www.mediafire.com/?d9edy8sh8hembmd
Nhưng em tìm bằng Evething thấy nó ở C:\ProgramData\Microsoft\Windows\Caches\cversions.2.db

Còn file [6] thì không thấy mà chỉ thấy bọn này

C:\Windows\Prefetch\AgGlFaultHistory.db
C:\Windows\Prefetch\AgGlFgAppHistory.db
C:\Windows\Prefetch\AgGlGlobalHistory.db

anh xem thử
elt0m

TQN wrote:

Lạ nhỉ, tui vừa phân tích xong file rdpuser.mof này, nhiệm vụ nó cũng chỉ là tìm và load một trong 2 file PE sau lên:
1. Program Files\Common Files\microsoft shared\Stationery\cversions.2.db
6. XXX\Application Data\Protect\History.db
Cậu elt0m cố gắng tìm lại thử, dùng tool Everything: www.voidtools.com, hay search lại trong các bản Ghost của cậu thử !

OK! anh! Nhưng ngày mai em mới thực hiện được, đó là máy ở cơ quan làm việc!

elt0m

TQN wrote:

Nếu trên máy các bạn có c6to4.dll, các bạn tìm giúp chúng tôi các file sau và up lên mediafire giúp:
1. X:\WINDOWS\ehome\skinbeta.wmz
2. X:\Documents and Settings\XXX\Local Settings\Application Data\Microsoft Help\MValidator.Lck
3. X:\WINDOWS\ehome\skinbeta.wmz
4. X:\Windows\system32\wbem\rdpuser.mof
5. X:\Program Files\Common Files\microsoft shared\Stationery\cversions.2.db
6. X:\Documents and Settings\XXX\Application Data\Protect\History.db

Mẫu c6to4.dll này chính là mẫu trong bộ QTTask hồi xưa. 100%. Nhưng nguồn QTTask thì rõ ràng đã bị kill, không biết victim bị dính đám này từ thằng chủ chốt nào, IDM hay fake Unikey chăng ?

Then en bét rì ga !

Em dùng Win7 thấy có mỗi thằng này
4. X:\Windows\system32\wbem\rdpuser.mof

Cứ up lên anh xem thử: http://www.mediafire.com/?wr3xs7ykvorkgj2

TQN wrote:

File này có thể có thuộc tính Hidden, cậu dùng WinRAR, 7Zip hay Total Commander để tìm.
Hoặc dùng các lệnh DOS sau:
cd \Windows\system32
attrib -r -h -s c6to4.dll
dir c6to4.dll
copy c6to4 xxx

anh TQN!

Chắc nó ra đi mất rồi

C:\Windows\System32>attrib -r -h -s c6to4.dll
File not found - c6to4.dll

còn file FFSJSHL.dll đây anh: http://www.mediafire.com/?qp5hacbhmcdefvr

Lẽ ra em ngắt ổ cứng chạy System ngay khi có nghi ngờ thì tốt!

elt0m

Hi anh TQN!
sorry bolzano_1989 vì chưa thực hiện được các yêu cầu trước đó của cậu, vì mình mới đi công tác về

File 1. c:\windows\system32\c6to4.dll em không tìm thấy nữa rồi, mặc dù check lại trong file autorunsc_result.txt em gửi cho bolzano_1989 thì có thấy nó, không biết có phải nó chạy ẩn hay không? hay là nó ra đi cùng file Explorer.exe kia rồi??????

Đây là file 2. c:\windows\system32\ffsj\ffsjshl.dll em scan trên Virustotal:

https://www.virustotal.com/file/8972bef8e20cadd3d2e4586319ab88bbd97446095203c027e1fd4c0bf0d7d015/analysis/

Đây là file report: ProcessExplorer: http://www.mediafire.com/view/?r256a2x8bpvdy9h
và cả Process Hacker nữa nhé: http://www.mediafire.com/view/?ykr00d32boa9ups

Ngoài ra em có check thằng Font Vietnam trên máy có đường dẫn là C:\Windows\unvise32.exe trên Virustotal có kết quả như sau:
https://www.virustotal.com/file/4634b6d3f4e43bf9004d883ce56b6e569b59a5656582c2629f1c9ab9a0f91db6/analysis/
(sorry vì vừa xong em lại gỡ phần mềm Font Vietnam ra khỏi máy đang nghi ngờ có malware, nhưng em dùng 1 máy khác có ghost bản tương tự để check lại)

Còn ghost ổ C:\ thì em sẽ up lên mediafire sau nhé!

elt0m

OK! bolzano_1989

Mình sẽ thực hiện các bước bạn yêu cầu, có kết quả sẽ gửi sớm

Nhưng thật lạ là từ khi mình report thông tin lên HVA và gửi mẫu cho bolzano_1989 thì tạm thời mấy hôm nay chạy TCPViewer không thấy Explorer.exe connect đến các IP đó nữa, quái quỷ thật!
Có thể máy mình đã bị remote vì thấy nó connect qua cổng 443, mà thực tế mình cũng mở cổng remote để giải quyết một số công việc.
Nhưng thôi, cứ mạo hiểm vậy, trên máy mình có nhiều dữ liệu những toàn công việc không, chẳng có gì liên quan đến tài chính, tiền nong, chính trị gì cả.... mặc dù ghost lại máy mất có 10'.

Thanks all!

elt0m

Trong trường hợp này, bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989

Đây là các file log bạn yêu cầu

http://www.mediafire.com/?tp437qimu3l0ghd

Qua theo dõi, mình nhận thấy file Explorer.exe có vẻ không chạy start up, mà chỉ khi mình duyệt explorer hoặc duyệt một thứ gì đó nó mới hiển thị, từ hôm qua đến nay thì chỉ thấy connect đến địa chỉ 111.90.150.183

Ip này cũng đã bị anh TQN nghi ngờ trong một topic:
/hvaonline/posts/list/1110/39641.html

Mong các bạn tiếp tục kiểm tra giúp mình nhé, xem có phải là biến thể malware mới của stl hay ko?

t0m

Xin bà con kiểm tra và trả lời giúp hiện tượng lạ sau:
Mình đang dùng Windows 7 bản ultimate
Khi kiểm tra qua TCPView thì nhận thấy Explorer.exe connect đến các địa chỉ 111.90.150.183, 124.217.231.213..

explorer.exe 1496 TCP elt0m 50221 124.217.231.213 https ESTABLISHED
explorer.exe 3776 TCP elt0m 50963 111.90.150.183 https ESTABLISHED

Nhưng khi mình check file Explorer.exe trên totalvirus thì không thấy nhiễm virus gì
Đây là file Explorer.exe mình up lên mediafire:
http://www.mediafire.com/?d8otc78hoixcohp

Mong các bạn kiểm tra giúp xem đó có phải là virus hoặc malware... gì không nhé!

Cảm ơn nhiều!

t0m

Plugin-Container của firefox cũng là một nguyên nhân nếu bạn chưa disable nó!

Em có một câu hỏi lạc đề liên quan đến | 26 chữ vàng |
Tại sao ông bạn vàng Trung Quốc không có điện chúc mừng Quốc Khánh nước ta 2-9 vừa rồi!
Xem thêm:
http://quechoa.info/2011/09/13/bao-nhan-dan-noi-h%E1%BA%B3n-hoi-d%E1%BA%A5y/

Theo em:
STL= DDOS + ăn cắp + lừa đảo + hack + phá hoại + bạn vàng ====>>>> dân tộc lâm nguy

Có lẽ các ông bạn vàng kia + lũ rác rưởi STL đã có câu trả lời rồi nhỉ?

Cảm ơn các bác conmale, TQN, PXMMRF...và các thành viên của HVA đã giúp tôi mở mang kiến thức và có những cách phòng vệ khỏi bọn Sờ Ti Lợn này, bọn này đúng là rác rưởi!
Tôi biết mình đang spam nhưng khi đọc các vấn đề kỹ thuật và tâm huyết của các bác, cảm thấy thán phục vì nhiệt huyết dành cho cộng đồng, mặc dù các anh cũng phải bươn trải cơm-áo-gạo-tiền.

Vài lời gửi đến các anh!
Chúc mọi điều tốt đẹp đến với các anh và HVA!

elt0m (thành viên rất cũ mà cũng rất mới)

tuongtoan201 wrote:

Đây là lần đầu em viết bài lên diễn đàn nên rất mong nhận được sự chỉ giáo của mọi người
Em có một câu hỏi thế này:
Em thường hay vắng nhà và rất muốn làm sao thiết lập cho máy mình khi mở sẽ tự chụp lại màn hình và lưu vào một khu vực xác định sẵn và làm sao để biết được trong một ngày máy tính đã được bật bao lần không biết làm sao mong mọi người giúp đỡ!
Em xin thank nhiều !
Nhân tiện mọi người chỉ cho em cách thank bài ở đây với em đọc thấy nhiều bài hay muốn thank cái nhưng lại không thấy mong mọi người bảo giùm!

Bạn dùng 1 phần mềm spy: vừa keylog, vừa capture màn hình, khỏi lo
Hoặc không thì dùng Macro cũng là một giải pháp

Tốt nhất là convert sang flash, đây có lẽ là cách hữu hiệu nhất tại thời điểm này để cho phép chỉ đọc, không cho in ấn, chỉnh sửa!
Còn nếu không thì như các bạn đã nói ở trên, convert sang dạng ảnh, sau đó convert sang PDF để tránh tình trạng sửa nội dung, nhưng nếu dùng các phần mềm nhận dạng (OCR) thì cách này cũng không thực sự khả thi!

TQN wrote:

Ặc ặc, đọc tới đây mà không biết stl là gì à ?
stl = sinh tử lệnh = sống chết theo lệnh !?
stl # STL: C++ Standard Template Library nhé. Chớ nhầm lẫn là tụi coder C++ khắp thế giới nhảy vào phang đấy.

xin lỗi spam tý nhé!

Theo mình lũ này phải gọi là: Sờ Ti Lợn (STL) mới đúng! smilie

PXMMRF wrote:

TQN wrote:

Vậy thì cái file MSHelpCenter.exe này trên máy axasin lấy từ đâu ra?
Và nếu "khó" có nó như vậy, thì làm sao STL có thể dễ dàng tạo lập một mang lớn zombies tại VN với hàng trăm ngàn chiếc được? Càng lạ quá!

Mình kiểm tra máy mình Xp Sp3 cũng không có

PS: cái link này có thông tin gì chăng?

http://xml.ssdsandbox.net/view/9cefbb3d8dbee992f914aeecd7bff063

Mình thấy Submission Details date là 5/14/2011 11:24:01 PM