Messages posted by: acoustics89

TQN wrote:

Thậm chí như Avira vừa rồi, update đống BackupSvc lên, còn report cho em như sau:
http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=791390
Clean sạch hết, mà là Trojan.Downloader 100% đấy. Bó tay. Em cạch, không dám tin tưởng 100% vào các AVs nữa.

Em nhìn cái link của anh mà em buồn cười quá smilie

Cười như điên lúc nửa đêm.

Như em nói đó, công nghệ tạo ra malware đang đi trước chúng ta, và các hãng AV. Các hãng cứ quảng cáo mình lắm tài, nhiều công nghệ tiên tiến nhưng mà đấy, submit mẫu cho thì lai bảo clean. Đến cả AV cài trên máy, hook kinh hoàng, driver đủ kiểu, Chữ kí chữ cọt, Emulator, Heuristic, điện toán đám ma... mà có ăn thua đâu Nói chung là lởm như nhau thôi, chả cái AV nào tốt, lại còn chậm máy, thi thoảng lại dở chứng . Nhìn log của các bạn như KIS thì nản, dài dòng, tuỳ chọn vô biên nhưng mà để làm gì, vô dụng cả thôi smilie

Em quen dùng cái av em thích nhất là VMWare, duyệt web vô tư,download thì toàn từ trang chủ, check kĩ, crack thì toàn RCE ra, xem patch thế nào, thì code lại, keygen cũng thế....Nói chung là an toàn tuyệt đối.

Tất nhiên có bác sẽ nói em phải đầu tư RAM với ổ cứng, nhưng mà các bác ạ, dùng AV thì cũng thế thôi, như bạn BIT, sắp lên 1GB database rồi đấy, bạn nào chả chiếm ram, tương đương máy ảo thôi. Trong máy ảo em có cả Microsoft Word nhé smilie

Bận quá, giờ mới mò vào xem được, topic tăng nhanh quá. Hay bây giờ thành lập 1 đội đi ạ, phân công ai phân tích cái gì. Chứ bây giờ ví dụ như em tải cái bộ Backup của bạn Lequi về phân tích cũng mất công, vì đa số anh em khác làm rồi.
nhưng kể ra làm 1 đội cũng khó, vì đa phần anh em dùng thời gian rảnh để làm, có người bận lúc này lúc khác

Các anh có ý kiến gì để làm việc hiệu quả hơn không

Bộ MSHelpCenter mới và cũ không khác nhau:
Kịch bản thế này:
- Fake Unikey dump ra bộ "mèo" MSHelpCenter, với size nhỏ.
- Fake Unikey vỗ béo đám "mèo" này cho béo hơn, size lớn hơn ( tăng lên tới 9MB ). Việc này không khó vì chỉ cần nới rộng kích thước resource rồi ghi 0 vào. Đám mèo này béo nên khó up lên các trang quét virus trực tuyến. Mỗi lần chạy size này lại khác nhau, nếu lấy chữ ký của file không cẩn thận hoặc chỉ diệt theo MD5 thì chưa chắc đã quét được hết đám "mèo".
- Fake Unikey sửa lại file Unikey.exe ban đầu, thành file exe thật. xoá sạch dấu vết.

@TQN: hôm trước em bảo mà , bọn này code thì ít mà toàn sh!t bên trong

Chắc anh TQN định nhắc đến bạn này : Dmitry Friesen

Em toàn dùng máy ảo để desassembling code , tất cả đều trong máy ảo cả. Máy ảo em tự cài từ đầu, các phần mềm bên trong cũng qua kiểm duyệt hết rồi

Bây giờ đơn giản là anh dùng 1 chương trình Hex editor, jump đến các offset trong file MSHelpCenter.exe như em nói xem có đúng là nó thế hay không, chương trình hex editor nào cũng được. Nếu nó đúng, thì đó là 1 bằng chứng, 1 ví dụ về việc : các av bây giờ cũng chưa phải quá mạnh, việc tin tưởng vào nó là hơi phiêu lưu và mạo hiểm. Mặc dù đã được trang bị các công nghệ như emulator, Heurristic, thì vẫn không thể tin tưởng được. Có thể là 1 chiêu marketing của các AV...

Và bây giờ, công nghệ tạo ra malware đang đi trước chung ta 1 bước. Hiện thực đáng sợ này bao giờ mới chấm dứt đây

là người viết các kết quả phân tích; Em tự tin vào cái mà em lần ra, em tự tin và khẳng định nó là virus ạ. Cho dù các phần mềm khác có đưa kết quả clean đi nữa, em vẫn chỉ tin vào Olly và IDA.

trong MSHelpCenter.exe

File Offset 000136B0h: G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD

địa chỉ của hàm decode :401B30h

Hàm download : 4015B0h

Ngoài ra còn hàm này để ghi key trong registry:4017F0h
Cái xâu bị cắt vụn ra, tránh emulator, dò string của các av, liệu có coder nào rảnh đến mức cắt như thế không ạ

@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi

nhưng mấy anh ơi, bài toán lại bắt đầu lại rồi : MsHelpCenter.exe
Câu hỏi: ai tải cái MsHelpCenter.exe và các file kia về ?? smilie

Trả lời nốt câu này mới ổn ??

Thank bộ mẫu của bạn asaxin. Đây là mẫu mới chưa gặp bao giờ, tuy cũng hơi giống với mẫu cũ mình có, mình vừa reverse xong, chia sẻ với các bạn

Trước tiên là về Tác dụng của các file
C:\MsHelpCenter.pdb >>> chịu, mình không có file này
c:\windows\microsoft help\thumbcache.db >>> Thư viện hỗ trợ download thôi
c:\windows\microsoft help\_desktop.ini >> thư viện chứa hàm sinh xâu ngẫu nhiên, hàm giải mã DecodeStr, nói chung là Utility Library
c:\windows\microsoft help\MsHelpCenter.idx >> chưa xong, post sau

MsHelpCenter.exe >> CHịu trách nhiệm tải cái adobe lởm về để chạy.

G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD chứa đường dẫn được mã hoá, key là n / 123 = 456. Thuật toán mã hoá thì mình chưa xem kĩ nhưng thiết nghĩ không cần lắm vì xâu này cố định rồi. nó sau khi giải mã ra là http://poxxf.com/flash.swf , tải file này về với User Agent là Gozilla_2/Default.

cái link để download là http://poxxf.com/flash.swf?cpn=<User name>

Lại vào đọc code tiếp , thấy nó giải mã file này bằng 1 thuật toán decode khác, em cũng chả hiểu lắm, nó làm gì thì mình làm thế

Code:

#include <stdio.h>
#include <conio.h>
#include <windows.h>
int main(int argc, char *argv[])
{
FILE *f; int i;
long lSize;
char *pBuffer, *p;
char v24,v23;
int v7 = 0;
char szOutPut[MAX_PATH] = "";
if ((argc <2) || (argc >3 ))
{
printf("Usage: Decode <Encrypted> <Result>");
exit(1);
}
if (argc == 2)
{
strcpy(szOutPut, "Decoded.txt");
}
else strncpy(szOutPut, argv[2],MAX_PATH);
f = fopen(argv[1], "rb"); //doc file da ma hoa
if (f)
{
fseek(f, 0, SEEK_END);
lSize = ftell(f);
fseek(f, 0, SEEK_SET);
pBuffer =(char*) malloc(lSize+1024);
if(pBuffer)
{
p = (char *)pBuffer+ 4;
memset(pBuffer, 0, lSize+1024);
fread((char*)pBuffer, lSize, 1, f);
for ( i = 8; i < lSize; ++i )
{
v24 = p[v7 % 4];
v23 = pBuffer[i];
v23 = (v24 ^ v23) % 256;
pBuffer[i] = v23;
v7++;
//v8 += v23 * v7++ % 7;
}
}
fclose(f);
if (pBuffer)
{
f = fopen(szOutPut, "wb");
if (f)
{
fwrite((char*)pBuffer, lSize, 1, f); // ghi lai noi dung da giai ma
fclose(f);
}
else printf("Can not open output file.");
delete[] pBuffer ;
}
}
else printf("Can not open input file.");
return 0;
}

giải mã xong thì được xâu : http://poxxf.com/images.gif, lại tải về với User Agent là Gozilla_2/Default

thấy nhiều kí tự 0x19 ở đầu file quá nhỉ, dung lượng lại lớn ( 282624 bytes) , cho vào Hex workshop XOR phát, may thì được luôn mà không thì đọc code tiếp smilie

Xor xong thì nó ra cái AdobeUpdate giả. Có lẽ đến đây, anh em đã biết thủ phạm tải cái adobe giả về

Hóng mẫu, có mẫu mới thì em post tiếp, nếu không thì em đi ngủ smilie

A ha, lại là MsHelpCenter.exe smilie

Nếu thế bạn lấy luôn các file sau cùng 1 lượt cho tiện, đỡ up nhiều
MsHelpCenter.idx
thumbcache.db
_desktop.ini
cùng thư mục cả đấy, tổng cộng tầm 10MB, code thì ít mà toàn sh!t bên trong

TQN wrote:

Ặc ặc, acoustics90 lại xúi bậy rồi. Chờ asaxin up lên thằng nào down AcrobeUpdater.exe về chứ. Phải có thằng down về thì mới có AcrobatUpdater.exe.
Vấn đề anh đang suy nghĩ và tìm kiếm chính là thằng giấu mặt này nè !

Uh. em quên béng mất. Không hiểu thằng nào là thằng đầu tiên tải cái này nhỉ, theo em biết thì Jucheck tải về, nhưng có thể nó đi theo đường khác lắm.

lequi wrote:

@PXMMRF: Em sẽ kiểm tra các thông tin anh cần, và có 1 vài lưu ý là các thông tin e để trên đều liên quan đến DNS của Google, vì các thông tin trên tổng hợp trong quá trình bắt các packet gửi qua IP 8.8.8.8 (ngày mai em sẽ dump và gửi cho a vài chi tiết).

Hôm nay em cũng có dạo qua các site, và down bộ unikey từ link: http://nethoabinh.com/showthread.php?t=315
Quét file này trên virustotal: http://www.virustotal.com/file-scan/report.html?id=02b3b347ff00c8bdcad7e4c557a41f36e4af110658aea57557fab2c0bd641b1e-1311508169

Mình vừa check bộ Unikey setup này , cho đến giờ phút post bài này, file đó là file sạch. Bạn yên tâm nhé

@asaxin: về file Acrobatupdate: mẫu bạn đưa đúng là mẫu của STL mà anh em đang bàn đến, nhưng tiếc là bây giờ, mẫu naỳ cũng không còn giá trị vì STL không còn update file cấu hình nữa

Mình đã check thư mục temp của bạn, không còn file nào khác là virus. Bạn theo hướng dẫn của anh conmale mà xoá hết các key registry, xoá file của nó là được

nobitapm wrote:

PXMMRF wrote:

2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau:

- AdobeUpdateManager.exe
- jucheck.exe (process giả update Java)
- OSA.exe
Chúng nằm ở các directories sau:

Program Files\Adobe\AdobeUpdateManager.exe
Program Files\Java\jre6\bin\jucheck.exe
Program Files\Microsoft Office\Office11\OSA.exe

Chúng cũng là thành phần của Trojan-bot đấy

3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả

Thank you in advance.

E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên.
Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w

Mẫu này không phải virus, bạn yên tâm nhé

piloveyou wrote:

Sao lại chỉ có có bác TQN & conmale một mình một chuột chống đỡ vậy chứ?

2 bác ấy không đơn độc đâu, còn có Scrutiny System của em nữa smilie

)

Giống hệt hồi trước mà anh, cứ dùng xong là lại disable cái penop. Bây giờ tiếp tục chờ đợi vậy

Em có thể code 1 cái tool để hỗ trợ việc remove mẫu này khỏi máy. Đợi mấy hôm nữa em up.
Vì mẫu chạy trên win nên tool cũng chỉ chạy trên win thôi

@TQN: cứ để họ ra bot mới anh ạ. Lại có sample và tiếp tục RCE. STL nếu làm các bot này, nói 1 cách khách quan là khá hiệu quả vì các lý do sau:

- Không bị AV phát hiện: Hầu hết như thế, cứ bot nào mới ra là chả AV nào bắt được mặc dù các công nghệ Emulator hay Heuristic theo quảng cáo của các hãng là cũng ghê gớm lắm. Có thể là chém gió chăng ??

- Bot hoạt động hiệu quả: Chỉ cần sửa file cấu hình là bot có thể dừng hoặc tấn công ngay lập tức. Tấn công ồ ạt với số lượng lớn. Mặc dù server đã có các phương án bảo mật khá công phu nhưng họ vẫn đạt mục đích.

Nói thế không phải là khen họ giỏi hay tài, nhưng nhìn ở góc độ kĩ thuật thì phải công nhận là hiệu quả.

STL sử dụng bot này tấn công theo hành vi duyệt web của người bình thường, thật là không đỡ được.
Kĩ thuật sử dụng trong Bot này khá hay, hiện tại em chưa nghĩ ra cách gì để chống lại. Các bác admin có hướng nào để phòng trống không? Nó giả danh 1 người dùng nhé

p/s: @phanledaivuong : Government nào thì không biết chứ Government của VN chắc chắn chả bao giờ làm thế. Như bản thân mình thì mình cũng không thích trang danlambaovn và chả bao giờ đọc.

Có hàng của bác TQN từ đêm, ngồi buồn em download về, chán chả thi lại đại học nữa, em ngồi RE cho vui.

Lần này phải công nhận là khá cao tay khi các bạn STL đem con VR đi phát tán dạng file giả icon doc.

Kịch bản nó như sau: Chạy file doc giả, nó dump ra 1 đống file trong đó có 2 file svchost.exe trong thư mục %windir% ( chứ không phải system32 nhé) là giả mạo. Đồng thời đi kèm nó là 1 DLL: svcph.dll

1 file sys tên là sysaiudor.sys có nhiệm vụ ẩn tiến trình và key trong registry, vì thằng svchost.exe có ghi 1 key run là Network balancing trong HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Nội dung chính của bộ "mèo" ( bắt chước bác TQN chút smilie

) toàn chứa trong resource ,cần phải được giải mã. Thôi thì em giải mã tý chút
Bọn này dùng smtp của yahoo( lại đổi rồi, chắc chán gmail )

trong đó có 2 email đáng chú ý:

xuann28@yahoo.com
ngnamhungntt@gmail.com

Vì thế bạn nào mà gặp dấu hiệu trên, có file, có key thế kia thì mau tìm cách loại bỏ

Em ngồi hóng cao nhân tiếp