banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 13:03:13 (+0700) | #91 | 244098
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
asaxin nén và upload các file sau cho mình và anh TQN:
c:\windows\microsoft help\mshelpcenter.exe

Bạn gửi file cho mình qua địa chỉ email sau:



CMC InfoSec sẽ cập nhật mầm virus này sớm nhất có thể.

Anh chị em kiểm tra nếu trong máy tính nào có file ở đường dẫn trên, vui lòng gửi cho mình và anh TQN gấp, xin cảm ơn.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 13:16:42 (+0700) | #92 | 244100
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
Hóng mẫu, có mẫu mới thì em post tiếp, nếu không thì em đi ngủ smilie

A ha, lại là MsHelpCenter.exe smilie smilie

Nếu thế bạn lấy luôn các file sau cùng 1 lượt cho tiện, đỡ up nhiều
MsHelpCenter.idx
thumbcache.db
_desktop.ini
cùng thư mục cả đấy, tổng cộng tầm 10MB, code thì ít mà toàn sh!t bên trong
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 13:23:40 (+0700) | #93 | 244102
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Theo 2 file Autoruns và ProcMon của Asaxin, mình thấy máy đang dính virus của STL của Asaxin cũng đang dùng WinXP SP3 (hay Win7) phải không ?
Nhờ Asaxin up các file sau trên máy của bạn:
1. C:\Windows\system32\Dwm.exe: file này XP SPxxx không bao giờ có !
2. C:\Windows\Fonts\StaticCache.dat: Lại là StaticCaches à, sao đặt trong Windows\Fonts
3. C:\Windows\System32\dllhost.exe: chưa biết, để em sigcheck và symchk.
4. C:\Program Files\quicktime\qttask.exe: Không chắc lắm, có thể file của QuickTime
5. c:\program files\internet download manager\idman.exe: bạn đang dùng bản crack của IDM phải không ?
6. C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
7. C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll
8. GoogleUpdate.exe: Mọi file luôn, cho dù nằm ở đâu !
9. wmpnscfg.exe: Mọi file, cho dù nằm ở đâu !
10. C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
11. c:\program files\common files\installshield\driver\1150\intel 32\idrivert.exe
12. c:\windows\microsoft help\mshelpcenter.exe
13. c:\program files\common files\sony shared\avlib\sptisrv.exe

File nào không có thì thôi, chịu khó chút nhé bạn !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 13:24:07 (+0700) | #94 | 244103
[Avatar]
asaxin
Member

[Minus]    0    [Plus]
Joined: 24/06/2007 13:11:27
Messages: 30
Offline
[Profile] [PM]
Mình đã gửi mẫu này cho bolzano_1989 và TQN trong tin nhắn riêng.
No Signature
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 13:43:21 (+0700) | #95 | 244104
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đã nhận được file của asaxin.
Đúng rồi,còn thiếu thumbcache.db và _desktop.ini nữa, asaxin bật chế độ view hidden file lên, tìm và up giùm 2 file đó.
Đích thị nằm vùng của STL rồi, không biết là mới hay cũ so với mẫu của acxxx89 ?
Chia sẽ với bà con luôn: http://www.mediafire.com/?0jomzjk727n7181. Password: malware
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 13:46:50 (+0700) | #96 | 244105
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

acoustics89 wrote:
Hóng mẫu, có mẫu mới thì em post tiếp, nếu không thì em đi ngủ smilie

A ha, lại là MsHelpCenter.exe smilie smilie

Nếu thế bạn lấy luôn các file sau cùng 1 lượt cho tiện, đỡ up nhiều
MsHelpCenter.idx
thumbcache.db
_desktop.ini
cùng thư mục cả đấy, tổng cộng tầm 10MB, code thì ít mà toàn sh!t bên trong 


Còn thiếu!

asaxin gửi thêm các file sau cho mình nhé:
C:\MsHelpCenter.pdb
c:\windows\microsoft help\thumbcache.db
c:\windows\microsoft help\_desktop.ini
c:\windows\microsoft help\MsHelpCenter.idx

TQN wrote:
Đã nhận được file của asaxin.
Đúng rồi,còn thiếu thumbcache.db và _desktop.ini nữa, asaxin bật chế độ view hidden file lên, tìm và up giùm 2 file đó.
Đích thị nằm vùng của STL rồi, không biết là mới hay cũ so với mẫu của acxxx89 ?
Chia sẽ với bà con luôn: http://www.mediafire.com/?0jomzjk727n7181. Password: malware 

Em thấy còn thiếu MsHelpCenter.pdb .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 13:53:05 (+0700) | #97 | 244106
[Avatar]
asaxin
Member

[Minus]    0    [Plus]
Joined: 24/06/2007 13:11:27
Messages: 30
Offline
[Profile] [PM]
Trong thư mục c:\windows\microsoft help của mình chỉ có 2 file là .exe và idx đã gửi thôi, không còn file nào khác.
No Signature
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 14:00:56 (+0700) | #98 | 244107
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

asaxin wrote:
Trong thư mục c:\windows\microsoft help của mình chỉ có 2 file là .exe và idx đã gửi thôi, không còn file nào khác. 


Bạn chịu khó dùng GMER hay Winrar, tìm đến thư mục c:\windows\microsoft help\ rồi copy file.
Hiện cần 2 file sau để decrypt:
c:\windows\microsoft help\thumbcache.db
c:\windows\microsoft help\_desktop.ini
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 14:04:21 (+0700) | #99 | 244108
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Thằng ông nội coder của stl (viết thường mày luôn cho bỏ ghét) khi build mshelpcenter.idx lại để debuginfo sót lại trong .exe file:
G:\LiveUpdate\DummyLauncher\Release\DummyLauncher.pdb

Ái chà chà, hai file mshelpcenter.exe và mshelpcenter.idx "hơi bị xưa" rồi:
1.mshelpcenter.exe: build date: 27/12/2010, 10:21:59.
2. mshelpcenter.idx: 21/11/2010, 01:43:19 - thức khuya dữ vậy ha - tội nghiệp coder STL, cày như trâu bò ! Thằng code con gì đó ngày 30/04 còn không được đi chơi với em út, gia đình nữa !?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 14:12:09 (+0700) | #100 | 244109
[Avatar]
asaxin
Member

[Minus]    0    [Plus]
Joined: 24/06/2007 13:11:27
Messages: 30
Offline
[Profile] [PM]
Dấu kỹ quá, dùng winrar mới thấy ra.
c:\windows\microsoft help\thumbcache.db
c:\windows\microsoft help\_desktop.ini

http://www.mediafire.com/?8fxq7un19ardwfe
password: malware
No Signature
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 14:21:37 (+0700) | #101 | 244111
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Hì hì, đủ file rồi đó acoustics89. Em RCE tiếp và tìm ra thằng website nào ra lệnh down AcrobeUpdater.exe về nhé. Giờ anh phải đi lang thang nữa rồi.
2 asaxin: Good job, tiếp tục chịu khó up các file mà tui đã list ở trên để kiểm tra luôn nhé !
Thank you very nhiều !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 14:24:22 (+0700) | #102 | 244112
[Avatar]
asaxin
Member

[Minus]    0    [Plus]
Joined: 24/06/2007 13:11:27
Messages: 30
Offline
[Profile] [PM]

TQN wrote:
Hì hì, đủ file rồi đó acoustics89. Em RCE tiếp và tìm ra thằng website nào ra lệnh down AcrobeUpdater.exe về nhé. Giờ anh phải đi lang thang nữa rồi.
2 asaxin: Good job, tiếp tục chịu khó up các file mà tui đã list ở trên để kiểm tra luôn nhé !
Thank you very nhiều ! 


Đây là mẫu mà em tìm được trong máy: http://www.mediafire.com/?agsg6yco2amvle0

password: malware
No Signature
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 14:32:39 (+0700) | #103 | 244115
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
Thank bộ mẫu của bạn asaxin. Đây là mẫu mới chưa gặp bao giờ, tuy cũng hơi giống với mẫu cũ mình có, mình vừa reverse xong, chia sẻ với các bạn

Trước tiên là về Tác dụng của các file
C:\MsHelpCenter.pdb >>> chịu, mình không có file này
c:\windows\microsoft help\thumbcache.db >>> Thư viện hỗ trợ download thôi
c:\windows\microsoft help\_desktop.ini >> thư viện chứa hàm sinh xâu ngẫu nhiên, hàm giải mã DecodeStr, nói chung là Utility Library
c:\windows\microsoft help\MsHelpCenter.idx >> chưa xong, post sau

MsHelpCenter.exe >> CHịu trách nhiệm tải cái adobe lởm về để chạy.

G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD chứa đường dẫn được mã hoá, key là n / 123 = 456. Thuật toán mã hoá thì mình chưa xem kĩ nhưng thiết nghĩ không cần lắm vì xâu này cố định rồi. nó sau khi giải mã ra là http://poxxf.com/flash.swf , tải file này về với User Agent là Gozilla_2/Default.

cái link để download là http://poxxf.com/flash.swf?cpn=<User name>

Lại vào đọc code tiếp , thấy nó giải mã file này bằng 1 thuật toán decode khác, em cũng chả hiểu lắm, nó làm gì thì mình làm thế


Code:
#include <stdio.h>
#include <conio.h>
#include <windows.h>

int main(int argc, char *argv[])
{
	FILE *f; int i;
	long lSize;
	char *pBuffer, *p;
	char v24,v23; 
	int v7 = 0;
	
	
	char szOutPut[MAX_PATH] = "";

	if ((argc <2) || (argc >3 ))
	{
		printf("Usage: Decode <Encrypted> <Result>");
		exit(1);

	}
	if (argc == 2)
	{
		strcpy(szOutPut, "Decoded.txt");
	}
	else strncpy(szOutPut, argv[2],MAX_PATH);

	f = fopen(argv[1], "rb"); //doc file da ma hoa

	if (f)
	{
		fseek(f, 0, SEEK_END);
		lSize = ftell(f);
		fseek(f, 0, SEEK_SET);

		pBuffer =(char*) malloc(lSize+1024);
		if(pBuffer)
		{
			
			p = (char *)pBuffer+ 4;
			memset(pBuffer, 0, lSize+1024);
			fread((char*)pBuffer, lSize, 1, f);

			for ( i = 8; i < lSize; ++i )
			{
				v24 = p[v7 % 4];
				v23 = pBuffer[i];
				v23 = (v24 ^ v23) % 256;
				pBuffer[i] = v23;
				v7++;
				//v8 += v23 * v7++ % 7;
			}
		}
		fclose(f);


		if (pBuffer)
		{
			f = fopen(szOutPut, "wb");
			if (f)
			{
				fwrite((char*)pBuffer, lSize, 1, f); // ghi lai noi dung da giai ma
				fclose(f);
			}
			else printf("Can not open output file.");
			delete[] pBuffer ;
		}
	}
	else printf("Can not open input file.");
	return 0;
}


giải mã xong thì được xâu : http://poxxf.com/images.gif, lại tải về với User Agent là Gozilla_2/Default

thấy nhiều kí tự 0x19 ở đầu file quá nhỉ, dung lượng lại lớn ( 282624 bytes) , cho vào Hex workshop XOR phát, may thì được luôn mà không thì đọc code tiếp smilie

Xor xong thì nó ra cái AdobeUpdate giả. Có lẽ đến đây, anh em đã biết thủ phạm tải cái adobe giả về

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 14:42:52 (+0700) | #104 | 244116
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Không biết nói lời nào nữa, quá trời good job luôn acoustics89 ! Em làm nhanh thiệt, anh thì cứ đi từng file, từng hàm của nó. Nên chậm hơn em nhiều.

Vậy là bà con đã biết thằng nằm vùng giấu mặt down AcrobatUpdater.exe về rồi nhé. Thủ phạm đây: MsHelpCenter.exe.

Bà con tuyên truyền mọi người quen biết, cộng đồng mạng nên nhanh tay xoá MsHelpCenter.* và cái thumbcache.db, _desktop.ini.

Cảm ơn acoustics89, asaxin, bolzano (theo thứ tự ABC nhé, không phân bì nhé) rất nhiều. Nhờ các bạn, một đám "mèo què" của stl nằm vùng đã bị bà con vạch mặt.

Và cũng nhờ mọi người, bà con cùng nhau tiếp tục úp các mẫu này cho các AV để các AV cập nhật và thịt cổ đám "mèo què" này: MS, KIS/KAV, Avira, AVG, Symantec, Trend...
Thịt xong đám mshelpcenter này và AcrobatUpdater.exe này, chắc chắn STL sẽ không còn nhiều "hàng" để chơi trò bẩn thỉu DDOS nữa.
Các bà con khác tiếp tục dùng Wireshark, CurPorts, SmartSniffs để tìm và up mẫu lên cho mọi người. Cũng có thể còn một (hay vài thằng nằm vùng nào đó nữa smilie )
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 15:04:08 (+0700) | #105 | 244119
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

acoustics89 wrote:

nobitapm wrote:

PXMMRF wrote:

2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau:

- AdobeUpdateManager.exe
- jucheck.exe (process giả update Java)
- OSA.exe
Chúng nằm ở các directories sau:

Program Files\Adobe\AdobeUpdateManager.exe
Program Files\Java\jre6\bin\jucheck.exe
Program Files\Microsoft Office\Office11\OSA.exe

Chúng cũng là thành phần của Trojan-bot đấy

3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả

Thank you in advance.

 


E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên.
Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w

 


Mẫu này không phải virus, bạn yên tâm nhé 


Hì hì.
Nó là thành phần của virus W32/VulcaBot của STL đấy.

Tham khảo kỹ lai McAfee blog tại:
http://blogs.mcafee.com/corporate/cto/vietnamese-speakers-targeted-in-cyberattack

Đây là trường hợp "a Trojan horse masquerading as jucheck.exe" (Trojan hay virus đeo mặt nạ giả danh jucheck.exe). Vì jucheck.exe nguyên mẫu trong java là file chính thức của application này dùng để kiểm tra và nhắc nhở user update cho Java. Tác giả các virus thường dùng tên của một service hay tên file chính thức của OS, application để làm người dùng bối rối và tránh bị detect trong một số trường hợp.


Trong trường hợp này ta phải kiểm tra kỹ với cách sau:

1- Kiểm tra xem file có digitally signed bởi Sun Microsystems, Inc không? Đây là yêu cầu quan trong và chính xác nhất

2
-Kiểm tra vị trí của file trong các directory xem có đúng không?

jucheck.exe chính thức, nguyên bản phải nằm ở directory sau:

C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe.
Trong đó phần jre1.6.0_01 là tuỳ theo version của Java.

Nếu jucheck.exe. nằm ở location dưới đây như McAfee đã viết ở blog trên:
C:\Program Files\Java\jre6\bin\jucheck.exe
thì jucheck.exe có thể vẫn là virus nếu máy bạn không đang cài Version mới nhất của Java. Trong trường hợp cài version mới nhất của Java thì Jucheck.exe có dung lượng là 422 KB (trên nên Win7)

Nhưng nếu jucheck.exe lại nằm hay còn nằm ở các location sau:
C:\Windows\System32\
C:\Program Files\Common Files\
hay
C:\Users\AppData\Local\Temp\
và đặc biệt là
C:\Windows\jucheck.exe

Thì rất nhiều khả năng jucheck.exe là virus của STL

Tôi chưa kiểm tra file jucheck.exe mà bạn nobitapm upload lên mediafire là file thật hay giả (vì bận kiểm việc khác)
Xin bạn kiểm tra lại kỹ hơn

Thưc tế cũng không đơn giản như ta nghĩ, nhất là với STL. C' est la vie mà


The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 15:53:00 (+0700) | #106 | 244121
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

TQN wrote:
Không biết nói lời nào nữa, quá trời good job luôn acoustics89 ! Em làm nhanh thiệt, anh thì cứ đi từng file, từng hàm của nó. Nên chậm hơn em nhiều.

Vậy là bà con đã biết thằng nằm vùng giấu mặt down AcrobatUpdater.exe về rồi nhé. Thủ phạm đây: MsHelpCenter.exe.

Bà con tuyên truyền mọi người quen biết, cộng đồng mạng nên nhanh tay xoá MsHelpCenter.* và cái thumbcache.db, _desktop.ini.

Cảm ơn acoustics89, asaxin, bolzano (theo thứ tự ABC nhé, không phân bì nhé) rất nhiều. Nhờ các bạn, một đám "mèo què" của stl nằm vùng đã bị bà con vạch mặt.

Và cũng nhờ mọi người, bà con cùng nhau tiếp tục úp các mẫu này cho các AV để các AV cập nhật và thịt cổ đám "mèo què" này: MS, KIS/KAV, Avira, AVG, Symantec, Trend...
Thịt xong đám mshelpcenter này và AcrobatUpdater.exe này, chắc chắn STL sẽ không còn nhiều "hàng" để chơi trò bẩn thỉu DDOS nữa.
Các bà con khác tiếp tục dùng Wireshark, CurPorts, SmartSniffs để tìm và up mẫu lên cho mọi người. Cũng có thể còn một (hay vài thằng nằm vùng nào đó nữa smilie


Hì hì, công nhận acoustics89 nhanh khiếp smilie.

Anh nghĩ cái đống "mèo què" chưa hết đâu em. Theo anh thăm dò thì shells, hosts, domains.... còn nhiều lắm. Kỳ này phối hợp để "xin" vài cái địa chỉ thiệt thì hoạ may tình hình mới khác.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 16:09:23 (+0700) | #107 | 244123
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
nhưng mấy anh ơi, bài toán lại bắt đầu lại rồi : MsHelpCenter.exe
Câu hỏi: ai tải cái MsHelpCenter.exe và các file kia về ?? smilie

Trả lời nốt câu này mới ổn ??
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 16:13:43 (+0700) | #108 | 244124
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Kệ nó em, acoustics89. Tới đây là được rồi, vì MsHelpCenter.exe đã cũ rồi, từ tháng 12 năm ngoái, lại được hardcoded string poxxf.com. Nó nằm nằm vùng lâu rồi. Giờ cắt được nó là coi như cắt 1 tay của tụi stl rồi.
Chiều giờ ngồi nhà theo dõi topic này luôn. Ngoài trời đang mưa nữa, có lý do ngồi nhà hợp lý smilie

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 16:33:23 (+0700) | #109 | 244125
thegunner2401
Member

[Minus]    0    [Plus]
Joined: 20/07/2011 06:35:07
Messages: 2
Offline
[Profile] [PM]
E lại thấy ba file jucheck.exe nằm trong các thư mục:
C:\Program Files\Adobe\Adobe Dreamweaver CS5\JVM\bin
C:\ProgramData\Adobe\CS5\jre\bin
C:\Program Files\Common Files\Java\Java Update
Vậy liệu có những file nào bất thường ko các A?
Nếu có thì E sẽ up lên để các A RE.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 16:39:12 (+0700) | #110 | 244126
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

TQN wrote:
Kệ nó em, acoustics89. Tới đây là được rồi, vì MsHelpCenter.exe đã cũ rồi, từ tháng 12 năm ngoái, lại được hardcoded string poxxf.com. Nó nằm nằm vùng lâu rồi. Giờ cắt được nó là coi như cắt 1 tay của tụi stl rồi.
Chiều giờ ngồi nhà theo dõi topic này luôn. Ngoài trời đang mưa nữa, có lý do ngồi nhà hợp lý smilie

 


Hì hì, trời này làm vài ve ở SG với anh em chắc có lý lắm đây. Sydney lạnh bỏ bu. Tối nay xuống còn có 3 độ.

Còn cái msHelpCenter.exe thì anh nghĩ có thể nó đi ra từ những con trojan nhỏ hơn tự động "call home" và download những binaries lớn hơn.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 16:43:43 (+0700) | #111 | 244127
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đơn giản nhất cho mọi người tự kiểm tra là: open jucheck.exe = Notepad smilie, search string MSVBVM60.DLL. Nếu có, nó chính là virus, còn không thì cho chắc ăn, up lên VirusTotal để check.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 16:43:57 (+0700) | #112 | 244129
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Đây là tiến trình chạy của em MsHelpCenter.exe


Code:
Set File Attributes: %SystemRoot%\Microsoft Help\thumbcache.db Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\thumbcache.db
Create File: %SystemRoot%\Microsoft Help\thumbcache.db
Set File Attributes: %SystemRoot%\Microsoft Help\thumbcache.db Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Set File Attributes: %SystemRoot%\Microsoft Help\_desktop.ini Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\_desktop.ini
Create File: %SystemRoot%\Microsoft Help\_desktop.ini
Set File Attributes: %SystemRoot%\Microsoft Help\_desktop.ini Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Set File Attributes: %SystemRoot%\Microsoft Help\MsHelpCenter.idx Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\MsHelpCenter.idx
Create File: %SystemRoot%\Microsoft Help\MsHelpCenter.idx
Set File Attributes: %SystemRoot%\Microsoft Help\MsHelpCenter.old Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\MsHelpCenter.old
Move File: %SystemRoot%\Microsoft Help\MsHelpCenter.exe to %SystemRoot%\Microsoft Help\MsHelpCenter.old
Set File Attributes: %SystemRoot%\Microsoft Help\MsHelpCenter.exe Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\MsHelpCenter.exe
Create File: %SystemRoot%\Microsoft Help\MsHelpCenter.exe
Set File Attributes: C:\MsHelpCenter.pdb Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: C:\MsHelpCenter.pdb
Create File: C:\MsHelpCenter.pdb
Set File Attributes: C:\MsHelpCenter.pdb Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Delete File: C:\80423577.rar
Move File: C:\80423577.exe to C:\80423577.rar
Set File Attributes: C:\80423577.rar Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Copy File: C:\MsHelpCenter.pdb to C:\80423577.exe
Open File: %SystemRoot%\AppPatch\sysmain.sdb
Open File: %SystemRoot%\AppPatch\systest.sdb
Open File: \Device\NamedPipe\ShimViewer
Open File: C:\
Find File: C:\80423577.exe
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 16:45:53 (+0700) | #113 | 244130
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Ngoài ra còn thay rồi trong reg

Code:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Microsoft Help Center\DatabaseIndex = [REG_DWORD, value: 00000002]
HKEY_CURRENT_USER\Software\Microsoft\Windows\Microsoft Help Center\ContentHash = 470065006E006500720061006C00
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 17:11:22 (+0700) | #114 | 244131
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

acoustics89 wrote:
nhưng mấy anh ơi, bài toán lại bắt đầu lại rồi : MsHelpCenter.exe
Câu hỏi: ai tải cái và các file kia về ?? smilie

Trả lời nốt câu này mới ổn ?? 


Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe
Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà
original name: MsHelpCenter.exe
internal name: (cũng là) MsHelpCenter.exe
file version.: 6.1.7600.16385
MD5 : 915e9432ca9414a771071ee0cc115930
SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d
ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
File size : 9332736 bytes
OK?
---------
Tôi cho rằng có lẽ một trojạn nhất định phải nằm trong file MsHelpCenter.idx ấy. [8.8 MB- Modified: (chắc bởi STL) Friday, December 31, 2010, 9:34:38 AM]
Có lẽ trojạn embedded trong file này (trojạn thuôc loại Downloader-Dropper trojạn gì đó) mới được dùng để download Adobeupdater.exe về chứ.

Kiểm tra sơ bộ thì dường như vậy.

Nhưng để kiểm tra kỹ hơn, vì đang bận check cái webserver (master website) mà asaxin cung cấp.
Đây chắc là master website chứa Adobeupdater.exe nhúng trong một image file .jpg

Các file khác -desktop.ini, thumb.... thì theo tôi không cần quan tâm


The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 17:48:08 (+0700) | #115 | 244135
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

PXMMRF wrote:

Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe
Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà
original name: MsHelpCenter.exe
internal name: (cũng là) MsHelpCenter.exe
file version.: 6.1.7600.16385
MD5 : 915e9432ca9414a771071ee0cc115930
SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d
ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
File size : 9332736 bytes
OK?
 


Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned smilie :
http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 17:58:47 (+0700) | #116 | 244136
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
Đúng rồi có một Trojạn nằm trong file MsHelpCenter.idx , như tôi nói ở trên

Đây là một trojạn khá mới, vì các virus DAT file của F-secure chỉ mới update vào cuối tháng 5 năm 2011.

Trình Avira AntiVir cài trong máy của tôi không phát hiện được trojan này khi download nó từ Mediafire về, dù Avira để ở chế độ Guard:active. Tuy nhiên scan thẳng vào file thì phát hiện ra.
Còn trình McAfee (enterprise) cũng cài trên máy tôi thì không phát hiện ra gì, dù scan thẳng vào file

Avira gọi nó là TR/Dropper.Gen4, còn F-secure gọi là Backdoor.Generic.649884, AVG gọi là Dropper.Generic3.BNIS, Avas goi Win32:Malware-gen... vân vân.

Riêng SpyRemove thì gọi với tên dài BackDoor.Generic 12.APEB ,mô tả nó như một trojan-backdoor nguy hiểm chay trong hệ thống cho phép hacker thâm nhập từ xa vào các máy bị nhiễm trojan trên mạng. BackDoor.Generic 12.APEB sử dụng một chương trình cho phép download về máy nhiễm trojan các file nguy hiểm từ trên mạng. Trojan này cũng có một keylogger thu thập các thông tin cá nhân từ máy nạn nhân (bị nhiễm Trojan) gửi đến các webserver của hacker...

Vậy trojan này chính là công cụ download Adobeupdater.exe và các file tương tự khác từ Master websites về máy nạn nhân (chứ không phải là MsHelpCenter.exe ). Các bạn kiểm tra kỹ sẽ thấy.



The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 19:01:23 (+0700) | #117 | 244139
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

bolzano_1989 wrote:

PXMMRF wrote:

Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe
Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà
original name: MsHelpCenter.exe
internal name: (cũng là) MsHelpCenter.exe
file version.: 6.1.7600.16385
MD5 : 915e9432ca9414a771071ee0cc115930
SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d
ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
File size : 9332736 bytes
OK?
 


Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned smilie :
http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090 


Nó đây nè bolzano_1989 ạ
Chú ý trong folder có tên là MsHelpCenter mà bạn asaxin upload lên Mediafire có 2 file: MsHelpcenter.exe và MsHelpCenter.idx. File MsHelpCenter.idx mới có Trojan còn file kia MsHelpCenter.exe (.exe file-fice chạy) thì lai là 1 file nguyên thuỷ của MS.

Bản phân tích của MsHelpCenter.exe đây nè:






The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 19:25:41 (+0700) | #118 | 244141
texudo
Member

[Minus]    0    [Plus]
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
[Profile] [PM]
http://file.virscan.org/report/bf383219ec51b164e9b9c307426803a6.html


Không biết ai đã submit lên, nhưng trên VIRSCAN đã có mẫu này từ 21/07. Đúng những virus mà anh PXMMRF đã chỉ ra.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 19:48:15 (+0700) | #119 | 244142
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Giờ rãnh rỗi, ngồi úp cái đống MsHelpCenter.* lên KIS, MS, Avira, Symantec. Mô tả bằng tiếng Anh khó quá. Thôi viết tiếng Việt rồi dùng Google Translate ra đại cho rồi. Hy vọng mấy thằng bên đó đọc hiểu được 50%.

Mấy anh STL chơi ác quá ha, nhét dump bitmap, dump resource data vào mấy cái file của mấy anh để mấy file đó bự bà cố luôn, 8-9 MB, để bà con khỏi úp lên các AV và các online scan phải không ?
Hồi chiều, ngồi tự hỏi: quái, tụi này không không nhét mấy cái "Background" Bmp Resource tới 8-9 MB vào file PE của tụi nó chi vầy ? Đọc code, debug, breakpoint đủ kiểu chả thấy nó đụng tới Bmp Resource gì cả !

Không sao, em remove mấy cái dump resource, dump bitmap đó đi, up tuốt. Giờ úp lại nè, nãy giờ úp 2 lần đều faild hết. File em đã úp cái đống đó lên tới 26MB.

Giờ up được rồi. File up chỉ còn 247 KB, chuyện nhỏ. Tụi này dùng giới hạn up file của các trang web submit sample của các AVs, thông thường là 8 MB.

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 20:17:35 (+0700) | #120 | 244144
template
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 02:18:47
Messages: 16
Offline
[Profile] [PM]
Cố gắng lên anh TQN, sẵn luyện TOEFL luôn

Bọn STL này gặp anh ai chứ gặp anh TQN thì nên đi ngủ sớm
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|