1. http://rock.yokiz.com/faq.php
2. http://nat.iwct.net/faq.php
3. http://web.zicur.com/faq.php
4. http://drive.nicpad.com/faq.php

5. http://ser.vailsx.com/index.php
6. http://lava.intraxs.net/index.php
7. http://fak.actcas.com/index.php 

- Không “vẽ đường cho hươu chạy” thì làm sao có yếu tố kĩ thuật để mạt sát, chửi bới… tùm lum trong diễn đàn vậy. Chưa xét về yếu tố mục đích của họ là gì , chỉ xét về mặt kĩ thuật thôi đi… cho dù có là người đi trước, hay giỏi hơn người ta mấy mươi lần đi chăng nữa. Tôi đâu có phản đối việc TQN đã từng đưa ra 2 chủ đề phân tích kĩ thuật VX của STL, phải không ??? Nhưng dựa vào đó để mà đánh giá các vấn đề khác… không phải là khiến cho người ta muốn “ọe” hay sao ???
 

Tội nghiệp TQN.

Trên thế gian này có ba loại người:

1. Loại có trí tuệ và có liêm sỉ.
2. Loại không có trí tuệ nhưng có liêm sỉ.
3. Loại có trí tuệ nhưng không có liêm sỉ.

Những con người có liêm sỉ thường không cần được khuyên bảo hoặc chỉ cần nói một lần là xong. Riêng với những con người không có liêm sỉ thì có chẻ đầu ra đổ vào hàng xe tải lời khuyên cũng vô ích bởi vì thiểu liêm sỉ thì thiếu chất xúc tác để dung nạp lẽ phải, để tiếp nhận cái thiện. Huống hồ chi, "sống chết theo lệnh" thì lại càng khó mà nói chuyện phải quấy.

Một vết thương ung mủ không mổ xẻ ra để rửa cho sạch vi trùng mà che đậy để "ổn định" thì chẳng mấy chốc nó sẽ lan ra và sẽ làm hoại thư cả một cơ thể. Trên thế gian này, từ cổ chí kim, sự thật luôn luôn tồn tại. 

tôi xin có một vài ý ciến như sau :

a) STL là một tổ chức tội phạm việt nam sống dưới những tên cơ quan, tổ chức.
b) Chẳng có thàng tàu khựa nào tham gia vào vụ DDOS với mailwale made in Viêt cộng này cả .
c) Theo tôi kô nên sử dụng các phần mềm diệt virus trong nước, vì bạn thử nghĩ xem bao nhiêu người có thể ngờ rằng, nằm sâu thẳm trong linh hồn những phần mềm "bảo vệ" đó là vài dòng lệnh quản lý và điều hành mọi điều thuộc về bạn. ngay sau khi bạn click install ? .

>> trong một cuộc chiến, mọi bên đều có lý do; đúng, sai, phải trái = chịu!!! 

Hu hu bà con ơi !
Ai giúp giùm em cái, mẫu mới của tụi stl mà em âm thầm RCE nó mấy ngày nay thì tới giờ, sau khi có kết quả, không lòi ra bằng chứng nào là mẫu đó là bot đang DDOS HVA ta ! Nó cứ đè danlambao.blogspot mà phang !
 

Vì vậy vào ngày 1-8-2011 tôi phát hiện ra domain ripper.info bị suspended, thì có thể trong một hai ngay sau đó STL vẫn còn tận dụng đươc domain nay để active website map.ripper.info.

Tuy nhiên đến ngày 3-8 (hôm qua) thì domain này đã trỏ đến một trang của website của công ty SEDO

Trang chủ của website của công ty SEDO:
http://www.sedo.com/uk/home/welcome/?tracked=1&partnerid=20293&language=e

Đây là trang của SEDO thông báo bán ripper.info:
http://www.sedo.com/search/details.php4?domain=ripper.info&trackingRequestId=16343907&tracked=1&partnerid=20293&language=e

 

Trước: map.priper.info [91.121.221.222]
Hôm nay : map.priper.info [208.115.200.206]

Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ? 

rang0 wrote:

Cùng chào đón 1 server mới của STL nào :

Code:

http://map.priper.info:8080

Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org) 

Domain này (map.priper.info) đã bị suspended

This Account Has Been Suspended 

Domain-website này: "speed.cyline.org", vẫn đang active. Nhưng nhiều lúc kết nôi đến website này rất châm (slow connection) 

http://www.mediafire.com/?bdk5fvj8bf8k6nr

- sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/)
 

Ờ cảm ơn rang0 và đăc biệt là asaxin (tên em giống tên một cầu thủ Nga chơi cho Arsenal quá. Hì hì)
Nhưng mà chưa hết đâu rang0 ạ. Chưa hết ờ câu này của axasin:

Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra 

Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.
 

File Unikey của asaxin và 2 file của lequy đã up lên đều ra virus của STL.
Đặc biệt thằng MSHelpCenter.* của lequy up lại khác với MsHelpCenter.* mà ta đã biết, size chỉ còn 2 MB (đã biết: gần 9MB).
Bây giờ em phải đi nữa rồi, chắc trưa hay chiều về mới tranh thủ phân tích.
accouris89, exception và các anh em khác phân tích tụi này nhé ! 

07/26/2011 11:04 PM 167,936 MsHelpCenter.exe
07/26/2011 11:04 PM 65,536 MsHelpCenter.idx
07/26/2011 11:04 PM 62,976 thumbcache.db
07/26/2011 11:04 PM 36,864 _desktop.ini

Chuẩn bị đi làm rồi, nhưng thấy còn nhiều thắc mắc của mọi người nên đã test thử.

Bên dưới là link download unikey, đây chính là file đã sinh ra 2 các file mà chú nói.
http://www.mediafire.com/?fee5d3428euao0k

Đây là bản unikey cháu download lâu lắm rồi không nhớ là download link. Sau khi cháu đã xóa đi các file virus MSHelpCenter.*, tắt Avira, Firewall, thử chạy lại thằng Unikey này để test thì nó là sinh các file virus MSHelpCenter. Như vậy đây chính là thằng đã tạo ra. Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra. 

1 -Service, process nào download các file MSHelpCenter.exe về máy hoăc process nào inject malicious code vào file này?? ( Ngay từ lúc đầu file MSHelpCenter.exe có bị nhúng virus hay không?)

2- Virus-Trojạn nằm trong file MSHelpCenter.idx có quan hệ tác động gì đến file MSHelpCenter.exe, khi nào, tiến trình xảy ra theo trình tự thế nào khi máy bị nhiễm virus?

3- File đầu tiên gây nhiễm cho máy user mà user download về trên mạng (thí dụ Vietkey, Unikey....) là file nào trong trường hợp này.? Dĩ nhiên không phải là chính các file MSHelpCenter.exe hay MSHelpCenter.idx, vì dung lượng của chúng quá lơn, mà cũng chẳng ai lai cần download chúng về làm gì cả

Vậy bạn có ý kiến thế nào về những vấn đề tôi đang thắc mắc, để tôi có thể giải toả và có kết luận cuối cùng cho mình?? 

int __stdcall wWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPWSTR lpCmdLine, int nShowCmd)
{
int v4; // eax@0
unsigned int v6; // [sp-10h] [bp-38h]@1
HANDLE hObject; // [sp+0h] [bp-28h]@12
DWORD ThreadId; // [sp+4h] [bp-24h]@12
WCHAR v9; // [sp+8h] [bp-20h]@4
LPCWSTR lpFileName; // [sp+Ch] [bp-1Ch]@4
unsigned int *v11; // [sp+10h] [bp-18h]@1
int v12; // [sp+18h] [bp-10h]@1
int (__cdecl *v13)(int, PVOID, int); // [sp+1Ch] [bp-Ch]@1
unsigned int v14; // [sp+20h] [bp-8h]@1
int v15; // [sp+24h] [bp-4h]@1
int v16; // [sp+28h] [bp+0h]@1

v13 = _except_handler4;
v12 = v4;
v14 = __security_cookie ^ (unsigned int)&unk_4126C8;
v6 = (unsigned int)&v16 ^ __security_cookie;
v11 = &v6;
v15 = 0;
SetUnhandledExceptionFilter(TopLevelExceptionFilter);
if ( lstrlenW(lpCmdLine) <= 3 )
{
if ( !lstrlenW(lpCmdLine) )
{
ThreadId = 0;
hObject = CreateThread(0, 0x80000u, StartAddress, 0, 0, &ThreadId);
CloseHandle(hObject);
create_bot();
}
}
else
{
if ( *lpCmdLine == '-' && lpCmdLine[2] == ' ' )
{
v9 = lpCmdLine[1];
lpFileName = lpCmdLine + 3;
switch ( v9 )
{
case 'd':
delete_file(lpFileName);
break;
case 'r':
create_process(lpFileName, &CommandLine, 0);
break;
case 'b':
create_new_process(lpFileName, 0);
break;
}
}
}
return 0;
} 

lstrcpyW(&SubKey, L"softw");
lstrcatW(&SubKey, L"are\\micr");
lstrcpyW((LPWSTR)&v6, L"kjewoopipo");
lstrcatW(&SubKey, L"osoft\\w");
lstrcpyW((LPWSTR)&v6, L"rewfe");
lstrcatW(&SubKey, L"indo");
lstrcatW(&SubKey, L"ws\\");
lstrcatW(&SubKey, L"Microsoft Help Center");
RegCreateKeyExW(HKEY_CURRENT_USER, &SubKey, 0, 0, 0, 0xF003Fu, 0, &hKey, &dwDisposition);
cbData = 2000;
v12 = RegQueryValueExW(hKey, ValueName, 0, &Type, (LPBYTE)Data, &cbData);
if ( v12 )
{
v1 = lstrlenW((LPCWSTR)Data);
RegSetValueExW(hKey, ValueName, 0, 1u, (const BYTE *)Data, 2 * v1);
}
RegCloseKey(hKey);

Tuy nhiên tôi chỉ xác nhân là cái file MSHelpCenter.exe (nằm trong một folder có tên là "MSHelpCenter"- being zipped) mà bạn asaxin upload lên Mediafire vừa qua là không có virus thôi (nhưng file MSHelpCenter.idx, cũng trong folder nói trên, là có virus rõ ràng).
Tôi không biết và không đề cập đến tất cả các file MSHelpCenter.exe khác