Messages posted by: TQN

Cảm ơn, đúng như tui dự đoán, thằng này khác, đã thay đổi so với thằng rdpuser.mof hồi xưa trong QTTask
File QTTask hồi đó tui đã up ở đây, password: infected
http://www.mediafire.com/?259kv56xit09c6b

Nếu trên máy các bạn có c6to4.dll, các bạn tìm giúp chúng tôi các file sau và up lên mediafire giúp:
1. X:\WINDOWS\ehome\skinbeta.wmz
2. X:\Documents and Settings\XXX\Local Settings\Application Data\Microsoft Help\MValidator.Lck
3. X:\WINDOWS\ehome\skinbeta.wmz
4. X:\Windows\system32\wbem\rdpuser.mof
5. X:\Program Files\Common Files\microsoft shared\Stationery\cversions.2.db
6. X:\Documents and Settings\XXX\Application Data\Protect\History.db

Mẫu c6to4.dll này chính là mẫu trong bộ QTTask hồi xưa. 100%. Nhưng nguồn QTTask thì rõ ràng đã bị kill, không biết victim bị dính đám này từ thằng chủ chốt nào, IDM hay fake Unikey chăng ?

Then en bét rì ga !

File này có thể có thuộc tính Hidden, cậu dùng WinRAR, 7Zip hay Total Commander để tìm.
Hoặc dùng các lệnh DOS sau:
cd \Windows\system32
attrib -r -h -s c6to4.dll
dir c6to4.dll
copy c6to4 xxx
sc stop 6to4
sc delete 6to4
del c6to4.dll /f

Cậu úp giúp tui lên mediafire các file sau:
1. c:\windows\system32\c6to4.dll
2. c:\windows\system32\ffsj\ffsjshl.dll

Hình như tui nhớ không lầm thì c6to4.dll là một file trong dây chuyền mèo què hồi năm 2010, 2011 của stl. Tôi không nhớ lắm, để tối về lục lại đống mẫu cũ.

Đúng rồi, nó: c6to4.dll đã được nêu tên ở đây: /hvaonline/posts/list/960/39641.html#247032

Cậu up lên VirusTotal xem thử bao nhiêu thằng nhận diện được, mẫu cũ hay mới.

Cậu có thể Ghost với compress high ổ C: của cậu rồi úp lên đâu đó giùm tui được không. Vì tôi biết, ngoài c6to4.dll, thì còn một loạt các mèo khác đã nằm sâu trong ngóc ngách máy cậu.
Cậu dùng ProcessExplorer của SysInternal, Process Hacker (Google) rồi save và up giùm các report.

Ráng học cho xong đi các bạn, đừng nghĩ ngợi gì lung tung. Nghề gì cũng có cái hay, cái sướng, cái cực cái khổ riêng của nó. Trên thế gian này không hề có cái nghề nào ngồi mát ăn bát vàng, đi lên như mũi tên cả, lúc nào cũng là đồ thị hình sin hay cos gì đó (quên mẹ nó rồi).
Ra trường rồi thì ráng cày, ráng phấn đấu, hạn chế đứng núi này trong núi nọ, ráng làm tốt, làm hết sức với công việc của mình. Công sức mình bỏ ra rồi từ từ sẽ được đền đáp, sẽ thấy cơ hội, con đường mới. Vạn sự bắt đầu nan, vạn nan đừng có nãn smilie

Ngay như tui đây, giờ làm vlxd, vài năm trước, gặp một số bạn bè, trung gia thôi trong giới địa ốc, xd, có nhà Phú Mỹ Hưng, có xe con, nói chuyện toàn tỷ tỷ, mình nghe choáng, buồn cho mình. Giờ gặp lại, tội, trốn nợ, trốn NH, bán hết, xe con, xe tay ga cũng bán, mua xe cũ đi, già, suy sụp, mất hết. Đời người nó vậy đó, lên voi xuống chó mấy hồi. Thời thế thay đổi một phát là đi tong. Hay bà con nhìn cái đám buôn vàng, buôn đô, chứng khoán thử xem, rồi sẽ thấy, cực thịnh là đại gia, xuống đáy là bần gia, tiểu gia còn đỡ.
Miễn sao là đủ sống, trung lưu, hạnh phúc với gia đình con cái là tốt lắm rồi. Chỉ cần tiểu gia hay trung gia là được rồi.
Chưa đi, thấy còn đường đó khó đi, cứ đứng ngoài mà than thì sẽ không bao giờ đi tới đích được. Người khác thành công hơn ta ở chổ: dám đi những con đường chưa ai đi, khó đi, hay đã đi rồi nhưng có cách đi riêng.
Nói vậy thôi, chỉ là góp thêm ý cho các bạn trẻ. Tuỳ các bạn suy nghĩ và quyết định. Tương lai của mình do mình quyết, mình làm, chứ không ai quyết và làm cho mình.
PS: Mxx, nay tỉnh, không bia, triết lý bà cố vậy ta !!??

Không phải cái gì cũng edit = Hex Editor được. Tuỳ cái, tuỳ trường hợp.

Nhảm. Phân tích xong cậu đọc có hiểu không ? Hay muốn bắt chước.

Chắc lại đánh vào mấy con PLC của Siemen. Mấy anh Iran mà thay hết đống này cũng tốn mớ tiền.

Tới bây giờ mà vẫn còn ra cái AcrobatUpdater.exe à, cắm đầu luôn. Heo mi !

Sáng CN, lười, chả muốn làm gì cả ! Thôi tám với anh em cho vui.
Các bạn ở đây chắc đa số là đều bị dính virus/trojan rồi, và cũng đã bị hành lên bờ xuống ruộng, format, mất dữ liệu... Lúc đó các bạn có nể phục thằng viết virus không, hay vừa sữa máy vừa chửi thằng đó. Chắc chắn thằng bị chửi (dù không biết mặt, tên) cũng sẽ bị tổn thọ.
Các bạn có nhớ vụ stl không, bản thân tôi và anh conmale bị dính mèo què của nó vì sơ ý trong quá trình phân tích (tui thì do xỉn). Bao nhiêu thông tin, tài khoản NH, nghề nghiệp, account HVA của tôi bị thằng nhóc nào đó trong team stl mang lên mạng, lên HVA này bêu riếu, làm trò cười, mất hết tất cả mấy hộp mail. Còn anh conmale thì bị vu khống, chụp mũ, HVA suýt bị gắn lệnh bài "sống chết phập phù". Vậy ở đây có ai ngưỡng mộ, thần tượng stl cốt đờ không ? Cho em biết với smilie

Viết virus, trojan chả được cái lợi lộc gì cả, chỉ bị căm ghét, ăn chửi thôi các bạn à. Nếu các bạn xác định là phải học để viết cho được một con virus, thì cuối cùng, con virus đó cũng sẽ chả ra cái gì cả, ngây ngô, ấu trĩ, vì các bạn học không tới nơi tới chốn, thiếu nền, thiếu kiến thức căn bản. Các bạn sẽ chỉ bằng mọi cách search trên Internet, copy code, pha chế cho ra một con virus thập cẩm, tả pín lù, tự hào đề vô: quờ rái tèn by tui thôi. Rồi sau đó thì sao ? Chán, được cái gì, làm cái gì nữa ?
Thay vào đó, tại sao các bạn không xác định là mình phải học cho vững, cho chắc đã. Học lập trình hệ thống trên Win, Unix, học về cấu trúc của hệ điều hành mình đang dùng, học về kỹ năn debug, disassembly, học kỹ năng RCE, forensics... Khi tới một mức độ nào đó, việc viết được một con virus bằng chính code của các bạn sẽ dể như trở bàn tay, vì lúc đó, với các bạn, nó cũng chỉ là một chương trình bình thường. Tới lúc đó, cho vàng các bạn cũng sẽ không thèm viết, vì các bạn sẽ tự thấy dành thời gian của mình để viết các chương trình khác có ích cho mình, cho xã hội còn tốt hơn nhiều.
Đồng thời, khi RCE, phân tích các con virus, các bạn sẽ thấy là mình đang làm việc có ích cho xã hội, được mọi người ủng hộ. Các bạn sẽ khinh bỉ, cười lên mũi trình độ và nhân cách của thằng virus coder.
Và khi cần, các bạn cũng có thể tham gia vào việc chống lại các cuộc tấn công của thế lực "là lạ", bằng cách phân tích, tìm nguồn, tìm hiểu hành vi phương thức tấn công, góp tay cùng các anh em làm network security khác.
Cũng tính viết nữa, nhưng dài, lười rồi. Bữa khác viết tiếp, bye, si du bờ gain.

Mai mốt em sẽ đi học ăn trộm để phòng chống ăn trộm, đi học thợ khoá để mớ khoá, rồi chế khoá chống thợ khoá.
Cầu trời để không bị bắt, bị đập, bị gông cổ lên CA phường.
Thế nhé, cứ cố mà cãi chày cãi chối.

RCE có gì hay, phổ biến, ứng dụng rộng rãi đâu mà cắm đầu vào nó. Tui nè, biết sơ sơ về RCE, giờ cũng là thằng thợ thôi chứ có gì đâu mà ham smilie

Cho em xin, giờ học SmallTalk làm gì vậy trời, để mốc meo chắc.

CNTT thì thiếu mẹ gì lãnh vực để học, nghiên cứu, 10 đời còn chưa hết. Vậy mà cố gân cổ bào chữa, cãi chày cãi chối, nguỵ biện cho cái việc viết virus, trojan.
Viết đi bạn. Viết xong gởi qua cho tui, tui test cho.

Anh em HVA cũng băn khoăn là mở các lớp dạy như thế thì sau khi tốt nghiệp, ông nào cũng thành bợm nhậu như tui hết thì khổ, và trong quá trình học, đi nhậu sau giờ học, trong giờ học hoài, tốn tiền, sức khoẻ...
Vì vậy nên tới giờ vẫn chưa mở được smilie

Có đi đâu, đi đằng nào đi nữa thì kernel32 và ntdll.dll cũng phải được Win load lên. Không có các API của nó thì chạy bằng cái gì.

Đúng là trình installer của ttplayer có can thiệp và lấy thông tin của user để gởi đi. Tui đang phân tích tiếp, như giải trí thôi, nên không nhanh được.
Mấy cái file "lạ" đó, nautilux zip lại và up lên đi. Có thể các file đó là các module để play nhạc của ttplayer thôi.
Tập trung vào các dll module, các exe làm nhiệm vụ update của thằng ttplayer này.

Hì hì, em là em rất dị ứng với mấy cậu đi đâu cũng lu loa: phải đi tắt đón đầu. Biết con mẹ gì mà đòi đi tắt. Còn đòi đứng trên vai người khổng lồ nữa chứ. Tha cho em mấy đại ca. Nói cái miệng thì giỏi không à, đxx làm được gì cả !
Chính vì những cái khẩu hiệu đi tắt đón đít, đứng trên xxx người khổn lồ này mà nền gd VN ta ngày càng lộ rõ bản chất gian dôi, bệnh thành tích, sĩ diện hão, xấu xa, che đậy... và nhồi nhét vào đầu học sinh, sinh viên cách sống gian trá, thủ đoạn, bất chấp tất cả để đạt mục đích.
Chưa bao giờ, từ lúc em biết mấy cái phố rùm về IT, những bài post kiểu làm giùm bài, làm bài có tiền, hack/crack có tiền nhiều như 2 năm vừa qua. Loạn hết rồi. Chán, shit.
Càng nói, càng tức, xxx viết nữa, về nhà làm vài lon thôi.

Em là bợm nhậu, không nát rượu, nên không dám nói vậy. Thằng nào nói phải viết virus/trojan mới diệt được virus/trojan thì cho phép em vả vào mồm nó một cái. Nói bậy, tào lao.
Nhớ hồi xưa thằng gmsth lu loa lên là em viết virus khi em đập đám BKAV của tụi nó !

Code rành rành, rõ ràng như ban ngày vậy mà còn đòi phân tích cái gì nữa trời !

Em cũng đang đọc source của Windows 3.1. Bà con ai còn giữ bản install Win3.1 không, share em một bản.
Hì hì, giờ đố thằng nào tìm ra !
Đôi khi em ở trên mây một chút đó mà, bà con thông cảm. Khi nào em bị té, bị quạt thì em mới tỉnh ngộ được. Thông cảm nhen bà con smilie

Mỗi lần đọc post của panfider, em toàn té ngữa. Nhiều lắm, thư viện C riêng nè, compiler riêng nè, RISC CPU gì đó riêng nè... giờ tới hệ điều hành riêng luôn. Tội em quá đại ca, đại ca leo xuống giùm cái. Cứ lo trèo lên trên mây không à. Nội cái code C cậu viết hay hỏi MFC dùng làm sao bên CViệt là em cũng biết ai rồi.
Vài lời nói thật, thông cảm !

Không phải chỉ mình con Duqu thôi đâu, đám mèo què của stl hồi xưa cũng đã có cái trò scan harddisk với mấy cái file .doc, .xls, .ppt, .wav, .jpeg.... 1 loạt, rồi cũng compress = zlib/gzip rồi up đi.

The attackers seem to have a high interest in PDF documents, Office and AutoCad drawings

Cái màn này thấy quen quá !