Khẩn cấp: Mọi người nên đọc theo list các decode string của secmask và kiểm tra trên máy mình ngay. Nếu có file nào giống trong list trên và là PE file thì xoá ngay lập tức. 

TQN wrote:

Khẩn cấp: Mọi người nên đọc theo list các decode string của secmask và kiểm tra trên máy mình ngay. Nếu có file nào giống trong list trên và là PE file thì xoá ngay lập tức. 

Không lẽ lủ virus đó được ra lệnh để huỷ data trên HDD ?. 

chiro8x wrote:

TQN wrote:

Khẩn cấp: Mọi người nên đọc theo list các decode string của secmask và kiểm tra trên máy mình ngay. Nếu có file nào giống trong list trên và là PE file thì xoá ngay lập tức. 

Không lẽ lủ virus đó được ra lệnh để huỷ data trên HDD ?. 

Hôm nay mới thấy cái ý kiến khá nhảm này. Bồ chỉ sợ bị huỷ data trên HDD thôi sao? Vậy nếu data không bị huỷ mà bị đánh cắp hay chính máy của bồ được dùng làm zombie để phá hoại người khác thì không sao? 

Nó ngủ rồi thì để nó ngủ đi em, đánh thức nó dậy làm chi, khổ lắm. 

Tiếp tục nào anh em, ta sẽ đi tiếp với wbmain.dll.
File này nguyên bản được pack = PE Compact. Em đã manual unpack nó ra, dể dàng, do tụi STL này không biết cách dùng các plugin của PE Compact. File đã unpack là file em đã up lên mediafire. Em chỉ nhớ hồi mấy tháng trước em cách ly nó từ thư mục <Windows\Sytem32\Wbem".
Bà con vào thử thư mục này, thấy có file wbmain.dll này không. Tụi này nhét malware của nó tuốt trong đó.
Còn cơ chế load của nó thì em sorry, lúc em cách ly, em quên ghi lại nó được load như thế nào. Bà con thông cảm cho em nhé.
Thằng wbmain.dll này là một trong những thằng chính, làm nhiệm vụ download các đống malware khác về.
À, tư dưng em nghĩ: không lý VN ta có những thằng giấu mặt viết malware khá vậy à. Ai là sư phụ của STL vậy, mấy đại ca ? Cho em đi theo học sư phụ đó với, bỏ nghề buôn bán VLXD luôn (tụi mày nói trật lất về cái nghề chính của tao rồi);
File này lại do thằng khác trong đám STL viết, thằng này lại viết theo kiểu thuần C++ hơn thằng viết hardkbd.dll. Nó không chơi khai báo local buffer bự tổ chảng mà lại dùng operator new để alloc memory.
Thằng viết hardkbd.dll thì dùng đồ mới, VS 2010, Linker version = 10.0, build vào ngày 03/05/2010, 08:43.
Còn thằng viết wbmain.dll thì dùng VS 2008, linker verison = 9.0, build vào ngày 06/08/2010, 04:03.
MS Rich data hiển thị thông tin về compiler, linker, lib version của VS mà 2 thằng coder của STL dùng như sau:

Đây là MS Rich data của hardkbd.dll:

Đây là MS Rich data của wbmain.dll:

Thằng code hardkbd.dll lại hớ hênh, build với debug info, không xoá debug info nên thư mục source code của nó còn nằm chình ình trong file dll:

Bà con gấu gồ với key: CyberGame thì sẽ tìm ra điều thú vị. Không lẽ có dính đến học viên của Aptech à ????

Qua debug info của hardkbd.dll, ta có thể kết luận, thằng coder STL này create project với name là ieframe.dll, sau đó nó mới đổi tên ieframe.dll thành hardkdb.dll và ieframe.ocx. Vậy chắc có lẽ ieframe.ocx không cần nữa, nhưng nếu ai đó up cho tui thì tốt.

Trong wbmain.dll, STL coder này dùng một số hàm API WinHttp rất ít dùng, ít phổ biến (thậm chí em khi còn là coder cũng không biết tới, chỉ biết WinInet API, sau này search tới search lui mới biết). Các hàm WinHttp này nằm trong Winhttp.dll, khi build include Winhttp.h và link với Winhttp.lib:

Và HTTP header của nó:

Google với key WinHttpOpen, chỉ những trang tiếng Việt, nó cho ta topic (theo tui là chính xác nhất, cả Gecko gì đó luôn): http://forums.congdongcviet.com/showthread.php?p=202006#post202006

Không biết lequochoang2 này là ai, và sorry Kevin Hoàng nhé, em có dính dáng gì không ?
À mà quên, cái Gecko string này chỉ là 1 trong 1 đống Gecko string của tụi nó, từ từ em post sau.
Thằng coder wbmain.dll này dùng tá lã hết, copy code hả em, khi thì dùng socket API, khi thì dùng WinHttp API. Em chả hiểu nổi nữa.

Bà con đừng giận em câu giờ, câu bài nhé, thích thì em mới làm thôi. Cái của nợ dll, exe này em có từ năm ngoái lân, nhưng chưa bao giờ RCE xong xuôi, ra đầu ra đũa cả. Bây giờ mới móc ra mà làm, post lên !

Sao có mình em độc diễn vầy nè, buồn quá ! Bà con reversers khác vào tham gia cho vui chứ ! 

Bây giờ em cũng mệt rồi, nên em chỉ nói ngắn gọn các công đoạn của shellcode:
1. Tạo URL string.
2. Tạo API name bằng cách mov từng DWORD API name vào buffer.
3. Lấy PEB address, duyệt module link list để lấy kernel32.dll base address
4. Scan export table của kernel32.dll để lấy address của GetProcAddress
5. Download file image.jpg về %Temp%\randomname
6. Nếu download thành công, call CreateProcess với param là file jpg đó. File đó thực chất là file exe, mở đường cho download một loạt malware khác của mấy "ông nội" STL về máy victim (lại victim nữa, nhắc lại niềm đau của em).
7. Nếu download không thành công, TerminateProcess luôn (WinWord đi luôn).