banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thủ thuật reverse engineering RCE và vô hiệu hoá VB.NET virus (của STL à ?)  XML
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 14/07/2011 17:21:15 (+0700) | #91 | 243527
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
@PXMMRF: Username để truy cập thì hông đổi được, chứ password thì có thể đổi bình thường.
@mv1098: Mình đoán lượng upload sẽ nhiều hơn, vì zombies sẽ liên tục kết nối và gửi request liên tục đến "IP đó"
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 14/07/2011 17:44:21 (+0700) | #92 | 243529
cadaochoem
Member

[Minus]    0    [Plus]
Joined: 29/08/2008 11:25:45
Messages: 57
Offline
[Profile] [PM]
sao đồng chí đó không PM vào inbox cho TQN nhỉ, làm vậy để không lộ mặt và bị nhận diện dễ dàng vậy.
nếu chú ấy là STL thì quả thật là quá lơ là sơ hở
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 14/07/2011 18:29:18 (+0700) | #93 | 243531
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
PM thì càng chết, cadaochoem à ? Thử suy nghĩ đi: nick, IP, time đều bị các admin HVA ta lần ra hết.
Nếu đám STL này là đám phản động, bán nước, theo ngoại bang thì từ các IP đấy, tụi này đã bị tóm cổ hết rồi, trong vòng 12h. Nhưng vì lấn cấn chuyện gì đấy (chuyện lớn, dân ngu cu đen như em không biết), nên đám STL A hay B này vẫn chưa bị sờ tới.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 14/07/2011 18:52:42 (+0700) | #94 | 243533
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Em đã có chút thông tin của khách hàng đầu tiên sử dụng IP trên tính từ thời điểm TQN công bố, nhưng chắc không public đc nhiều.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 14/07/2011 21:42:32 (+0700) | #95 | 243541
kelieumang2
Member

[Minus]    0    [Plus]
Joined: 09/08/2003 00:50:00
Messages: 37
Offline
[Profile] [PM]
Nhưng anh TQN nghi ngờ tụi STL cố chơi nhau thì em không hiểu!
Không lẽ tung hoả mù?
VD : STL là đám "điệp viên" của tụi tàu đi, trà trộn (hay thuê) đám coder VN, bị anh TQN (hay ai đó phát hiện), không lẽ tụi nó "hy sinh 1 team"?


PS : Thật nể phục (về kỹ thuật và tính cách) anh TQN!
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 14/07/2011 23:33:04 (+0700) | #96 | 243543
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]

TQN wrote:
2 micros3ll: Về trình độ code VC++, API, các thành viên của STL phải nói là rất khá, khá hơn rất nhiều VN newbie virus coder. Nhưng so với virus các virus nổi tiếng của Nga, code của con Stuxnet, TDL3/4 rootkit... thì các coder STL còn xa mới theo kịp.

Bà con nào down CMC về test thử với đống malwares tui đã úp ở mediafire. Tui thật tình chưa biết mặt mũi CMC ra sao cả.

Các bạn có để ý kỹ, đọc kỹ 3 bức hình và bài post của anh conmale không ? Tài khoản Yahoo Mail của xuann28@yahoo.com có liên quan tới một thằng cha bên tàu, đuôi .cn. Chủ nhân xuann28@yahoo.com xuan28@yahoo.com.vn là một, và email tạo thằng xuan28@yahoo.com.vn là từ một thằng tàu khựa.

Địa chỉ xuann28@yahoo.com (các bạn chú ý, xuann , có 2 chữ n nhé) nằm chình ình trong file Exe giả doc sau khi được decode. Và người decode nó là cao thủ giấu mặt và làm giỏi, nhanh hơn thằng già như tui. Cảm ơn bạn trẻ nhé, tuổi trẻ tài cao, cố lên nữa nhé !

2 Nguyễn Văn Tú: cậu có hỏi tại sao tui nghi ngờ cậu là thành viên STL không ? Cậu hảy trả lời câu hỏi của tui: làm sao cậu biết được Yahoo mail của tui. Tui rất, rất hiếm cho ai là người lạ, không quen biết, chưa từng gặp mặt mail Yahoo của tui, và tui rất hiếm khi chát với ai.
Yahoo mail của TQN tui lộ ra hai lần:
1. Lần HVA bị STL lấy được danh sách thành viên và post lên trang sinh tử phập phù.
2. Lần tui bị dính malware của STL, các cậu login vào HVA = account của tui và post Yahoo mail của tui lên.

Cậu nói, cậu theo dõi topic RCE của tui, trong đó tui đã cố tình trương chình ình cái mail google của tui lên, nếu cậu không biết gì về tui, thì tại sao cậu không gỡi cho tui theo cái Gmail đấy, mà lại gởi tới cái Yahoo Mail ! 


Thêm thông tin về cái nick xuann28 nó vẫn available và đang online, có 2 trường hợp

1 là chủ nhân của nó login vào để chat chít

2 là con malware nó log vào để làm nhiệm vụ
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 14/07/2011 23:54:14 (+0700) | #97 | 243545
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]

conmale wrote:
Càng lạc vô "mê hồn trận" của STL càng thấy khủng smilie

Lụm được mấy tấm hình thấy cũng lý thú nên thảy lên cho bà con coi chơi:



(email account và password embedded trong trojan "tha tu do cu huy ha vu")



(Người xài hàng tàu ".cn" hay người tàu xài hàng tàu đây?)



(câu hỏi bí mật đúng là bí mật "bà cô mà em ưa thích là ai"). 


Anh conmale ơi hình như cái của anh khác với cái của em check được

đây là thông tin forgot password của 2 cái email trên






[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 15/07/2011 08:23:06 (+0700) | #98 | 243549
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

mv1098 wrote:

Anh conmale ơi hình như cái của anh khác với cái của em check được

đây là thông tin forgot password của 2 cái email trên






 


Dễ hiểu thôi bồ. Lúc bồ check thì thông tin đã được người làm chủ hòm thư thay đổi.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 15/07/2011 12:06:02 (+0700) | #99 | 243572
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
@ mv1098: mv1098 thì check hộp mail ngnamhungntt@gmail.com. Còn hình của anh conmale là của hộp mail xuan28@yahoo.com.vn
Và hộp mail xuann28 còn sống thì có thể là do ai đó đọc topic này đã nhanh chân chiếm hộp mail đó với pass 123456*7(). Tới giờ tui cũng không vào hộp mail đó với pass đó được.
Gởi mấy bạn STL link này, đọc chơi cho vui trong khi theo dõi topic này: http://toiphammaytinh.blogspot.com/2011/03/quy-dinh-toi-pham-may-tinh-trong-bo.html
Nhưng còn cái tội bán nước, làm tay sai cho ngoại bang thì tội đó nặng lắm nhé, tử hình còn chưa xong đâu, còn thanh danh cha mẹ, bà con, dòng họ nữa. Ê, nhà ông/bà đó có con/cháu xxx bán nước cho xxx đấy !
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 15/07/2011 13:44:40 (+0700) | #100 | 243585
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]

TQN wrote:
@ mv1098: mv1098 thì check hộp mail ngnamhungntt@gmail.com. Còn hình của anh conmale là của hộp mail xuan28@yahoo.com.vn
Và hộp mail xuann28 còn sống thì có thể là do ai đó đọc topic này đã nhanh chân chiếm hộp mail đó với pass 123456*7(). Tới giờ tui cũng không vào hộp mail đó với pass đó được.
Gởi mấy bạn STL link này, đọc chơi cho vui trong khi theo dõi topic này: http://toiphammaytinh.blogspot.com/2011/03/quy-dinh-toi-pham-may-tinh-trong-bo.html
Nhưng còn cái tội bán nước, làm tay sai cho ngoại bang thì tội đó nặng lắm nhé, tử hình còn chưa xong đâu, còn thanh danh cha mẹ, bà con, dòng họ nữa. Ê, nhà ông/bà đó có con/cháu xxx bán nước cho xxx đấy ! 


Cái email xuann28 đã bị khoá tạm thời, nhưng sắp tới nó sẽ bị khoá vĩnh viễn thôi

Nếu TQN phát hiện thêm cái email nào khác cho mình xin cái screenshot nhé, giúp anh em 1 tay cho mấy em malware không biết gửi hàng về đâu hihihi

Đây là 2 link report id của yahoo và gmail vi phạm luật như phát tán virus, spam... etc

http://help.yahoo.com/l/us/yahoo/mail/yahoomail/abuse.html

http://help.yahoo.com/l/us/yahoo/mail/yahoomail/spam.html

http://mail.google.com/support/bin/request.py?contact_type=abuse
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 16/07/2011 19:55:36 (+0700) | #101 | 243670
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tối nay em đau mắt quá, hồi sáng ngồi hàn có lúc quên mang kính, choá loà, giờ mắt sưng húp. Tính post bài mà không được, nhức mắt quá. Thôi, ráng nhắm mắt này mắt kia mà post, tối nay chườm đá là cái chắc rồi.
Google tình cờ ra cái này, bà con xem thử anh em "Thằng Cu Em" nào trong HVA ta đã tìm ra cu này: http://wuyuzhen.wordpress.com/2011/07/12/the-short-life-and-hard-times-of-a-linux-virus/
Em chả biết thằng này là Hoa hay Tàu nữa, google với "Yu Zhen" "nartcogn" lòi ra một đống thú vị về cu này, học vật lý, lại đi tìm hiểu về virus, bảo mật, hack hiếc, viết blog thì lúc tiếng Việt, lúc tiếng Anh, lúc tiếng tàu khựa. Post nhạc lên nhaccuatui thì toàn là nhạc Hoa, hình thì toàn là thư pháp của tàu, hình ảnh diễn viên Hồng Kông. Thằng này sao rành tiếng Việt quá vậy ha ? Hâm mộ Lưu Đức Hoa và Châu Tấn, là thành viên của một vài diễn đàn Game Online. Thằng này chắc còn nhỏ nên mới khoái mấy cái game online đó. Em thì chỉ thích Huỳnh Nhật Hoa (Độc Cô Cầu Bại) và Châu Tinh Trì (vua hài HK thôi).



Cao thủ giấu mặt cho tui pass vào hộp mail xuann28@yahoo.com, phát hiện điều thú vị về cu này:


IP của thằng này, Viettel: 125. 234.57.41 lúc gởi cái mail này cho xuann28, 9h:45 - Thứ Bảy - Ngày 26/03/2011:



Em thì em chả biết chief V là ai.

Tiếp tục, em down file transfer_ldv về xem, kinh thật, nhân vật ldv này (nào đó) đang bị tui nó theo dõi. File transfer_ldv ở đây: http://www.mediafire.com/?2qvhnyg9fo7awgs
Trong đó, nội dung file LDV mail mới đáng chú ý, nhân vật LDV này bị tui STL cài "méo què" từ lâu:



Không biết bà con nghĩ sao chứ em thì nghĩ thằng "Wu Yu Zhen" "nartcogn@gmail.com" đích thị là thằng STL đúng nghĩa, tàu khựa đúng nghĩa.

PS: à mà quên, nhân vật ngnamhungntt@gmail.com gì đó nữa, cẩn thận cái hộp mail của anh nhé ! Em cũng suy nghĩ nhiều, chắc em dùng chính "mèo què" của mấy anh gởi cho mấy anh (sau khi đã modify, patch, cài thêm rootkit) để mấy anh dính chấu. "Gậy ông đập lưng ông" đấy, nhớ "Nam Mộ Dung", Mộ Dung Phục không. Nhưng em nghĩ lại, chơi vậy bẩn quá, không quân tử. Nhưng ai cấm em, lúc em xỉn lên, nóng lên, em gởi cho mấy anh thì sao, vì mail của mấy anh em cũng nắm được kha khá rồi mà ?
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 17/07/2011 07:31:44 (+0700) | #102 | 243687
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
@TQN

Rút dây động rừng rồi hehe. Tên này tự sướng đã xoá blog của mình phi tang rồi thì phải

Code:
wuyuzhen.wordpress.com is no longer available.

[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 17/07/2011 07:43:55 (+0700) | #103 | 243688
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Ngay cả blog trên yahoo của đồng chí này cũng đã đc clear sạch sẽ

http://vn.360plus.yahoo.com/nartcogn


[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 17/07/2011 07:45:02 (+0700) | #104 | 243689
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Không sao đâu em, động hay không động gì cũng được, không quan trong. Chả lẽ biết nó mà không công bố lên để nó tự tung, tự tác à. CA không sờ nó thì cộng đồng mạng cũng biết tới nó, phỉ nhổ nó. Giờ ai cũng đã biết nó là Wu Yu Zhen, mail là: nartcogn@gmail.com. Xài Viettel, IP thuộc dãi 125. 234.57.xxx. Dãi IP này bà con có thấy quen không ?

PS: Đúng là không có đau mắt nào bằng đau mắt do hàn, nhức kinh khũng, nhiều lúc muốn móc con mắt ra.
Bà con nào vô tình nhìn hồ quang hàn thì tối về, mắt sẽ rất xốn. Nhìn đâu cũng thấy mờ mờ như có khói, nhìn đèn thì xốn lắm. Nó sẽ bắt đầu đau từ 10h trở đi, đau nhất là tầm 12-1h, qua 2, 3h sáng là hết nhức. Không có thuốc nào nhỏ hết lúc đó. Chỉ có đấp khăn lạnh hay chườm đá thôi. Tối qua nó quần em tới gần 3h mới thiếp đi.
Mà em đau như vầy cũng gần chục lần rồi, cũng không quen được.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 17/07/2011 07:58:26 (+0700) | #105 | 243691
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Theo cái bảng này thì em thấy cậu này khả năng là người Việt

Code:
http://www.xmind.net/share/nartcogn/planning-study/


Google Cache vẫn lưu 1 bài viết của cậu này trên wordpress của tác giả Hương Giang
Code:
http://webcache.googleusercontent.com/search?q=cache:8L8rMPmAehAJ:wuyuzhen.wordpress.com/2009/11/27/%E2%80%9Cm%E1%BB%95-x%E1%BA%BB%E2%80%9D-v%E1%BA%A5n-d%E1%BB%81-bi%E1%BB%83n-dong/+nartcogn&cd=28&hl=vi&ct=clnk&gl=vn&source=www.google.com.vn


Xem thêm

TQN wrote:
/hvaonline/posts/list/0/39504.html#243006 



[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 17/07/2011 08:38:27 (+0700) | #106 | 243692
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Bà con admin kiềm tra gium em xem cai mail nartcogn@gmail.com là cùa mem nào cùa HVA ta. Em vừa đăng lúc tối qua là cậu ta đọc liền, lo nhày di xoá các thông tin của cậu ta liền.
Cậu này nghiên cứu về Linux, hack hiếc dữ lắm. Chắc chắn cũng là mem của HVA.
Cậu ta chỉ mới xoá mấy cái bờ lốc của cậu ta trên Wordpress và Yahoo, nhưng còn một loạt khác. Bà con nhanh tay Gấu gồ: "Yu Zhen"+"nartcogn". Cậu ta là người gốc Hoa hay tàu khựa qua đây học, làm việc ? Viết toàn tiếng tàu !
Cậu ta xoá cái "bờ lốc" Wordpress của cậu ta, nhưng cậu ta quên rằng toàn bộ bài viết của cậu ta đã bị Gấu gồ cache hết. Mời bà con Gấu gồ tiếp: "wuyuzhen.wordpress.com" để xem các bài viết của cậu này.

PS: Lần này cậu chạy đằng trời nhé !

Có thêm một cao thủ trẻ tuổi, tài giỏi, xin giấu mặt đã tham gia. Đây là một đoạn PM của cậu ta gởi cho tui lúc trước, em xin post lên để bà con ta biết về thủ đoạn hèn hạ của tụi này.

Theo anh thì phần mềm nào mà máy tính nào của người Việt chắc chắn sẽ cài?? ngoại trừ Windows ra thì là các bộ gõ tiếng Việt đúng không ạ smilie . Theo thói quen thì khi anh muốn 1 phần mềm thì cái đầu tiên anh nghĩ đến là gì, chắc chắn là anh dùng các trang như Google để tìm đúng không ạsmilie

Bọn chúng đánh vào đặc điểm này của người dùng smilie

Link download Unikey thường từ các trang download soft của VN ta, bạn em sau khi cài lại máy, nó tải về để gõ tiếng Việt. link này nằm trong 10 link đầu tiên google.com.vn trả về nên bạn em bị dính cũng không có gì là lạ. Không biết chúng còn thêm phần mềm nào trên đó tương tự hay không, nhưng em nghĩ số lượng không ít đâu.

Kịch bản nó hoạt động thế này: Sau khi chạy cái Unikey giả(>500KB), nó cài đặt cái Team Viewer giả và patch lại file Unikey cũ (chỉ còn 256KB). Anh nếu có tải về thì thử chạy trong máy ảo mà xem, bạn ấy anti máy ảo, sandbox, hiện thông báo như đúng rồi smilie. Ban đầu em cũng bị lừa, may mà tỉnh táo, kéo vào IDA luôn.

Theo em thì có lẽ người có account để up file lên đây cũng bị như anh, nghĩa là bị cài keylogger , sau đó mất password, khả năng trang này bị lỗi là rất thấp. Vào thời điểm em lấy mẫu thì đã có 7017740 tải nó về, cứ mỗi ngày có trung bình 2000 lượt tải về.

Chính vì việc bọn chúng dùng cách này để phát tán bot, em càng nghi ngờ là STL anh ạ, Anh đọc code thì sẽ thấy, cũng quen thuộc lắm. Và cách thức patch như thế, fake ngon như thế, chắc là STL làm. Quả là thâm độc và có tính toán. Unikey thì chả ai nghi ngờ gì cả, người dùng thì mấy ai vào trang chủ để download, tiện đâu download đấy thôi

Hi vọng có thể vạch mặt bọn này.
 


Cảm ơn em nhé, mạn phép và xin lỗi em đã up một phần PM của em lên đây. Không giận anh chứ !

Em thì em biết chắc mấy cái Unikey, Vietkey bị patch và attach "mèo què" rồi. Em thì không dùng Vietkey, dùng Unikey down ở homepage sourceforge của Unikey, đã RCE kiểm tra.

Em thì bị dính "mèo què" của STL hồi cái tối xỉn xỉn, double click cái file .doc của anh conmale gởi hồi năm ngoái. Tụi nó lấy toàn bộ Firefox username và password của em qua 2 file msdata.vxd và StaticCache.dat. Lúc đó nó chưa phá em sau khi đã có thông tin về em, nhưng tới khi em viết topic RCE "mèo què" của tụi nó, tụi nó mới lôi lại thông tin đó mà phá em.

Em xin nhắc lại, toàn bộ bà con đang đọc topic này, remote ngay cái Unikey, Vietkey bà con đang dùng, lên Unikey homepage download lại, cài Comodo Firewall free ngay !

Còn một điều nữa, với anh em Reverser lùn thủ như em hay cao thủ như Kaspersky: Bọn STL thường drop PE file giả danh các đuôi vô hại khác như .dat, .db... vào thư mục "Documents and Settings". Các bạn dùng PEiD hay ExeInfoPE, ProtectionID quét ngay thư mục này, chỉ decect PE file, recursive tất cả các thư mục con. Lưu kết quả lại, dùng IDA, OllyDbg hay Reflector kiểm tra từng file ngay. Nếu có thằng nào khả nghi thì up lên cho bà con reversers khác tham khảo. Đặc biệt chú ý các PE pack = PE Compact. Tụi STL khoái dùng PE Compact lắm.

PS: Giờ mắt em vẫn còn sưng húp, sáng nay ở nhà ngồi tám, hết đau thì còn bắt điện cho cái máy em và sếp em mới chế xong. Gần 2 tháng. Mua máy của tàu 90 chai, máy Ý 320 chai, em và sếp em tự làm hết, chắc khoãn 15 chai là tối đa. Kệ, mình ít tiền, làm được thì làm, gói gém, không = máy mua nhưng vẫn chạy được, làm được trong yêu cầu của mình là được rồi, bà con nhỉ !
Hì hì, vì vậy em cũng thấy mình giỏi về cơ khí và chế tạo máy lắm chứ ! Mấy thằng lính của em nghỉ việc qua chổ khác làm về gặp mình, khen một câu làm mình khoái: Chưa ở đâu em làm gặp anh GĐ như anh, cái gì cũng làm được hết, tự làm như thợ hết, sống tình cảm với lính, nóng tính, không phải là phang liền, phang xong thì thôi, không để bụng. Bởi vậy lính em đi đâu cũng quay về hết
Nhớ hồi offline HVA năm nào, em vừa lên chợ sắt Tân Thành, rinh về một cây vitme dài, một cái bánh răng tổ chãng, ghé vào nhà hàng luôn. Xong, gần gục, cũng na hai cục sắt đó về tới nhà. Lúc đó anh em HVA có thấy không ha ?
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 17/07/2011 09:58:54 (+0700) | #107 | 243697
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Vì có nhiều anh em RE PM cho em hỏi về IDA và Reflector, em xin up lên bản IDA và Reflector em đang dùng. Biết up vậy là vi phạm bản quyền, nhưng các bản này đã bị leak đầy trên mạng, bản của em chỉ là tập hợp, sưu tầm và cũng mong giúp một tay cho các anh Reversers khác công cụ để phân tích các "mèo què" của STL.
Bản IDA em đang dùng được nâng cấp từ thời IDA 4.x tới giờ là 6.1. Trong đó có hầu hết các plugin nổi tiếng, hữu dụng cho IDA, các signature file em sưu tầm và tự tạo, các IDCScript và IDAPython script hay, các document em sưu tầm.
IDA61: http://www.mediafire.com/?a88agagqtfogcr8
Reflector: http://www.mediafire.com/?kiii3iyfxowzfhg

Bản IDA v6.1 leak vừa qua gây xôn xao cộng đồng cracker, reverser, security. Cảm ơn Sporawk.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 17/07/2011 12:59:52 (+0700) | #108 | 243699
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tới trưa nay, sau 1 lúc RCE mẫu mới của STL, em xin nhắc lại lần nữa: Các bạn remote ngay Unikey, Vietkey... down từ các trang không phải trang chủ về. Search các file TeamViewer.exe có size = 65536 byte và uxtheme.manifest, size = 103,424 bytes. Xoá ngay hai ông nội này ngay lập tức, bằng mọi cách.
Tụi STL này sao cứ lợi dụng, núp bóng uxtheme.* hoài vậy ha !
PS: Mắt đã đau, ngồi máy sáng giờ, xót quá. Em xin tạm nghĩ !
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 17/07/2011 18:10:46 (+0700) | #109 | 243707
nobitapm
Member

[Minus]    0    [Plus]
Joined: 21/07/2008 13:54:41
Messages: 5
Offline
[Profile] [PM]
Đọc bài của bác TQN hấp dẫn quá, mặc dù không phụ giúp được gì cho bác thôi thì chúc bác mau hết đau mắt để mà tiếp tục RCE và post bài cho mọi người theo dõi nhé. Mong bài của bác từng ngày. smilie
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 17/07/2011 18:21:06 (+0700) | #110 | 243708
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cảm ơn nobitapm. Em chỉ cần giúp mọi người Google rồi post thông tinh search được về những thành viên STL lên Internet cho mọi người biết được rồi.
Còn giúp hơn nữa thì gởi cho anh vài két Ken để anh giải khát khi ngồi máy. Có men vô RCE mới xung, post bài mới dạn tay smilie

Chiều giờ ngồi RCE một mẫu mới của STL của một cao thủ giấu mặt gởi tới. Đích thị là của STL, còn mới tinh, nóng hổi. Build date gồm: 30/04/2011, 03/05/2011. 09/05/2011. Coding style y chang, dùng pure C và API là chính, không dùng C++, thỉnh thoãng dùng operator new [] và delete []. Nhưng lạ là trojan down về máy victim lại có build date "hơi bị cũ": 04/09/2010. Toàn bộ build = VC ++ 2008.
Hết "mèo què" để install vào máy nạn nhân rồi à, đợi viết tiếp hay dừng lại để chuyển qua VB .NET, VC++ 2011 à ?
Code lên tay lắm đó, tới giờ dùng kỹ thuật mới rồi à: steganography, che giấu URL và emmbed PE EXE file trong file ảnh à, mấy đại ca STL ? Nhưng tiếc là steganography em biết và code từ 7-8 năm trước rồi.

Lần này, thằng coder của STL lại quên xoá Debug Info trong file EXE, thư mục source của nó: I:\MarsWar\ClientDll\Release\ClientDll.pdb. Thằng coder này đích thị là thằng coder của hardkdb.dll, toàn để source trong mấy thư mục dành code auto GameOnline.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 17/07/2011 18:31:35 (+0700) | #111 | 243709
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Mr TQN sau khi có các mẫu của STL, bác upload cho các team phát hiện mã độc của Avirar,Avast,AVG,Kas,McAfee,Microsoft,.... để họ update database.Coi như làm phúc cho dân không biết gì hết để tự vệ.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 17/07/2011 18:33:15 (+0700) | #112 | 243710
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
2 tmd: Toàn bộ "mèo què"s của STL em đã úp lên mediafire. Bà con úp giùm em, chứ một mình em ngồi up à ? Nghe bạn bên CMC nói CMC đã update và diệt hết đám "mèo què"s đó rồi. Còn bà con "Sứ giả cãi thiện chiến" của BKAV đâu, sao không mau lấy mẫu đó gởi cho mấy "cao thủ" BKAV đi ? Virus rành rành đấy, file .idb cũng có luôn, còn không mau update đi ??????????????

Toàn bộ malware của tụi này em đã up ở (nhắc lại): http://www.mediafire.com/?tz745o0f678w8

Tới bây giờ, với tên tuổi, name, email address, IP của các thành viên STL mà Công An chúng ta không chụp tụi nó, còn chờ đợi thì thiệt là lạ ??????????????????????????????????????????????????????????????????
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 17/07/2011 19:32:19 (+0700) | #113 | 243711
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]

TQN wrote:


Tới bây giờ, với tên tuổi, name, email address, IP của các thành viên STL mà Công An chúng ta không chụp tụi nó, còn chờ đợi thì thiệt là lạ ?????????????????????????????????????????????????????????????????? 


Tại sao Công An phải bắt tụi nó vậy anh TQN ?
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 17/07/2011 19:39:19 (+0700) | #114 | 243714
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Em hỏi vậy thì anh cũng "ngọng" luôn. Nếu CA không bắt tụi nó vì lý do nào đó thì em chịu, và cũng phải tạm dừng cái chuyện RCE này luôn smilie
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 17/07/2011 19:47:30 (+0700) | #115 | 243715
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Trong cái đám file trong link tổng hợp trên vẫn còn một số chưa được KIS nhận diện. Mấy chua còn lại là spy, bị nhận diện hueristic,...
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 17/07/2011 20:25:49 (+0700) | #116 | 243718
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]

TQN wrote:
Em hỏi vậy thì anh cũng "ngọng" luôn. Nếu CA không bắt tụi nó vì lý do nào đó thì em chịu, và cũng phải tạm dừng cái chuyện RCE này luôn smilie 


Đơn giản thôi vấn đề là STL không bị phát hiện bởi các đơn vị bảo mật chính thống như VNCERT hay BKIS của anh Quảng Bomb mà bởi 1 thành viên của diễn đàn hacker mới buồn.

Buồn nhất là vụ anh Quảng vác tù và hàng tổng đi hack server giùm anh Hàn Quốc, mà vụ STL có ảnh hưởng đến cộng đồng người Việt lớn như vậy mà không thấy anh ý phản ứng gì.
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 17/07/2011 20:26:32 (+0700) | #117 | 243719
[Avatar]
angel-pc
Member

[Minus]    0    [Plus]
Joined: 01/01/2011 01:15:32
Messages: 63
Offline
[Profile] [PM]
Thằng này hình như tên Ngô Ngọc Trân
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 17/07/2011 20:30:07 (+0700) | #118 | 243720
[Avatar]
angel-pc
Member

[Minus]    0    [Plus]
Joined: 01/01/2011 01:15:32
Messages: 63
Offline
[Profile] [PM]
Võ Ngọc Trân hay Vũ Ngọc Trân thì đúng hơn
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 17/07/2011 20:31:05 (+0700) | #119 | 243722
[Avatar]
WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline
[Profile] [PM]
Wow, mới 1 tháng đi chơi không vào mà bác TQN đã làm ra nhiều thứ hay ho quá, productive ghê. thật là bái phục.

Không biết làm gì giúp bác gú gồ cu nartcogn thì thấy rất nhiều dấu vết ở các forum:
www.tinhte.vn
www.vn-zoom.com
www.intermark.honglinhsoft.com
hacao.com
Đáng chú ý là cu cậu có post bài ở đây năm 2007
http://www.tinhte.vn/phan-mem-tien-ich-100/huong-dan-activate-repligo-reader-v1-1-bang-winhex-277895/index3.html

Nếu liên hệ admin của mấy trang này xin cái IP biết đâu lòi ra tận nhà vì thời điểm 3 năm về trước chắc là vẫn chưa "cẩn thận" che dấu vết như bây giờ.
-- w~ --
[Up] [Print Copy]
  [Analyzing]   RCE và vô hiệu hoá VB.NET virus (của STL à ?) 18/07/2011 07:17:05 (+0700) | #120 | 243730
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]

Vào thời điểm em lấy mẫu thì đã có 7017740 tải nó về, cứ mỗi ngày có trung bình 2000 lượt tải về.
 

Em buồn nhất là câu này, số lượng người nhiễm "mèo què" của STL cực lớn, vậy mà không ai ra tay ngăn chặn cả. BKAV thì im ru bà rù, CMC thì giờ mới cập nhật. Trong khi đó tụi nó code mẫu mới liên tục. Sức em có hạn, làm sao mà phân tích, công bố hết đám mẫu của tụi nó.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|