banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/08/2011 22:48:36 (+0700) | #271 | 244480
texudo
Member

[Minus]    0    [Plus]
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
[Profile] [PM]
We don't want to did that but Postmodernism forced we!

-> Cái này có lẽ anh văn của một thằng Khựa, nói chung dân Khựa không khá về mặt Anh văn.

Bọn stl này hoành hành từ lâu, không muốn nói tới chính trị nhưng có một mối liên hệ đặc biệt giữa stl và nhiều người làm chính trị đang bị cầm tù ở VN.

Có chăng bọn này lấy được user và pass của những người như LCD, THDT....rồi chuyển cho giới chức...để bắt họ.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 02/08/2011 04:13:02 (+0700) | #272 | 244485
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
He he, đọc cái thông điệp tiếng Anh kia đúng là tiếng Anh giọng... Việt chớ chả phải khựa quái gì hết. Văn phạm và cấu trúc câu của tiếng Hoa không thể dịch ra dòng tiếng Anh trên mà chỉ có thể từ tiếng Việt mà thôi.

Thêm nữa, mớ zombies của STL vẫn còn sống nhiều bởi vì 2 lý do:

1. Đám AV nửa mùa không thể phân tích và nhận thấy tính bất thường của con zombie cho nên không thể ra virus definition. Thất vọng nhất là đám Symantec Norton:

Symantec wrote:
We have processed your submission (Tracking #20846824) and your submission
is now closed. The following is a report of our findings for the files in
your submission:

File: AcrobatUpdater.exe
Machine: Machine
Determination: Please see the developer notes.
 


Symantec wrote:
---------------------------------------------------------------------------
Developer Notes
---------------------------------------------------------------------------

AcrobatUpdater.exe Our automation was unable to identify any malicious
content in this submission.
The file will be stored for further human analysis 



2. Hàng chục ngàn máy ở Việt Nam, đặc biệt là ở các trường đại học và các tiệm net hoàn toàn không thèm "ke" về chuyện cập nhật antivirus def.


Âu cũng là thời u ám cho nên ngay cả trên thế giới ảo cũng u ám.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 02/08/2011 06:45:39 (+0700) | #273 | 244488
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Sáng nay kiểm tra lại second.dinest.net, tụi nó lại cho DDOS lại:
Code:
1. xv.jpg: 2011-08-02 00:27:53: Bắt đầu khuya hôm nay.
2. xc.jpg: <item enabled="1" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" rootURI="/" uri="/hvaonline/forums/list.html" keepCookies="1" crawling="1" referer="/tof/"/>


DDOS hoài không chán à ta ?

Anh em bà con suy nghĩ thử có cách nào cho cái second.dinest.net này câm luôn không ? Xin cùng nêu ý kiến !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 02/08/2011 11:01:54 (+0700) | #274 | 244489
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Đúng như em nói bọn STL này đe doạ chứ không phải xin xỏ gì cả, English của bọn này toàn học từ thầy Gu Gồ
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 02/08/2011 11:46:50 (+0700) | #275 | 244491
texudo
Member

[Minus]    0    [Plus]
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
[Profile] [PM]
Bọn stl này đúng là điên cuồng, cuồng thật rồi.

http://www.baomoi.com/Home/CNTT/hanoimoi.com.vn/Hon-85000-may-tinh-tai-Viet-Nam-da-bi-lay-cap-du-lieu/6731238.epi

Có bài này của Bkav ...chỉ thấy nhắc tới FLASH, ADOBE ACROBAT UPDATE...mà không thấy đả động giừ tới Vietkey, Unikey cả, mà 2 chương trình gõ tiếng Việt này thì 95% máy tính ở VN có cài.

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 10:06:10 (+0700) | #276 | 244507
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Danh sách các host và các file virus, DDOS commands của tụi stl mà chúng ta đã biết được tính tới thời điểm này:
Code:
1.  http://safebrowser.dyndns.org/photos/safebrowser1.gif
2.  http://safebrowsing.dyndns-blog.com/photos/safebrowser1.gif
3.  http://express.blogdns.info/advertise.gif
4.  http://fastupdate.dyndns-office.com/advertise.gif
5.  http://hot.enfaqs.com/advertise.gif
6.  http://securelogin.doomdns.com/advertise.gif
7.  http://tongfeirou.dyndns-web.com/banner1.png
8.  http://biouzhen.dyndns-server.com/banner1.png
9.  http://maowoli.dyndns-free.com/banner1.png
10. http://poxxf.com/flash.swf
11. http://paxds.com/flash.swf
12. http://poxxf.com/images.gif
13. http://speed.cyline.org:443/flower.bmp
14. http://speed.cyline.org:443/BlueSphere.bmp
15. http://speed.cyline.org:443/plxzyin0fx.bmp
16. http://second.dinest.net/xc.jpg
17. http://second.dinest.net/xv.jpg


Mong bà con phổ biến, bật firewall để lọc các URL trên và các trình capture để check.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 11:42:23 (+0700) | #277 | 244508
rang0
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:55:47
Messages: 19
Offline
[Profile] [PM]

PXMMRF wrote:

rang0 wrote:
Cùng chào đón 1 server mới của STL nào :

Code:
http://map.priper.info:8080


Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org) 


Domain này (map.priper.info) đã bị suspended
This Account Has Been Suspended 


Domain-website này: "speed.cyline.org", vẫn đang active. Nhưng nhiều lúc kết nôi đến website này rất châm (slow connection) 


Em không biết anh check cái "map.ripper.info" thế nào nhưng hôm nay em vẫn download được malware từ cái host đó :

Code:
http://www.mediafire.com/?bdk5fvj8bf8k6nr
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 12:13:04 (+0700) | #278 | 244509
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Công nhận các bạn STL "sneaky" thiệt smilie . Tớ phải mất một buổi ngồi dòm cái đống log chạy ròng rã mới hiểu được lý do tại sao thằng tomcat của HVA bị treo qua đêm. Các bạn chơi trò đấm rỉ rả kiểu này thiệt là hiểm.

Các bạn muốn bịt miệng HVA như đã bịt miệng những trang khác sao? Các bạn phải biết rằng các bạn chưa đủ sức để bịt cả Internet (ngoài chuyện đặt tường lừa để cản thì không phải bàn).
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 12:26:31 (+0700) | #279 | 244510
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 13:36:37 (+0700) | #280 | 244512
rang0
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:55:47
Messages: 19
Offline
[Profile] [PM]

TQN wrote:
Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ? 


Em quên mất rồi smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 13:39:05 (+0700) | #281 | 244513
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

TQN wrote:
Danh sách các host và các file virus, DDOS commands của tụi stl mà chúng ta đã biết được tính tới thời điểm này:
Code:
1.  http://safebrowser.dyndns.org/photos/safebrowser1.gif
2.  http://safebrowsing.dyndns-blog.com/photos/safebrowser1.gif
3.  http://express.blogdns.info/advertise.gif
4.  http://fastupdate.dyndns-office.com/advertise.gif
5.  http://hot.enfaqs.com/advertise.gif
6.  http://securelogin.doomdns.com/advertise.gif
7.  http://tongfeirou.dyndns-web.com/banner1.png
8.  http://biouzhen.dyndns-server.com/banner1.png
9.  http://maowoli.dyndns-free.com/banner1.png
10. http://poxxf.com/flash.swf
11. http://paxds.com/flash.swf
12. http://poxxf.com/images.gif
13. http://speed.cyline.org:443/flower.bmp
14. http://speed.cyline.org:443/BlueSphere.bmp
15. http://speed.cyline.org:443/plxzyin0fx.bmp
16. http://second.dinest.net/xc.jpg
17. http://second.dinest.net/xv.jpg


Mong bà con phổ biến, bật firewall để lọc các URL trên và các trình capture để check. 


Chỉ cần thêm mớ này vô host file (trong C:\windows\system32\drivers\etc\) là xong:

Code:
127.0.0.1 safebrowser.dyndns.org
127.0.0.1 safebrowsing.dyndns-blog.com
127.0.0.1 express.blogdns.info
127.0.0.1 fastupdate.dyndns-office.com
127.0.0.1 hot.enfaqs.com
127.0.0.1 securelogin.doomdns.com
127.0.0.1 tongfeirou.dyndns-web.com
127.0.0.1 biouzhen.dyndns-server.com
127.0.0.1 maowoli.dyndns-free.com
127.0.0.1 poxxf.com
127.0.0.1 paxds.com
127.0.0.1 poxxf.com
127.0.0.1 speed.cyline.org
127.0.0.1 second.dinest.net
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 14:16:34 (+0700) | #282 | 244517
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đúng là tụi này thâm và nham hiểm thật. Chỉ một chút sơ hở, chủ quan của anh em ta mà tụi nó đã move và build toàn bộ các bot mới qua host khác. Bây giờ tấn công HVA không còn một mình AcrobatUpdater.exe nữa.
Bà con cứ gặp uxtheme.manifest thì xoá ngay tắp lự giúp em nhé
Cảm ơn rang0 nhé !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 14:21:01 (+0700) | #283 | 244518
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

TQN wrote:
Đúng là tụi này thâm và nham hiểm thật. Chỉ một chút sơ hở, chủ quan của anh em ta mà tụi nó đã move và build toàn bộ các bot mới qua host khác. Bây giờ tấn công HVA không còn một mình AcrobatUpdater.exe nữa.
Bà con cứ gặp uxtheme.manifest thì xoá ngay tắp lự giúp em nhé
Cảm ơn rang0 nhé ! 


He he, cái botnet mới này đấm không nhanh và nhiều như cái cũ mà đấm chậm, chắc và âm ỉ, kiểu như bên ngoài không thấy bị trầy xước nhưng bên trong lục phủ ngũ tạng bị bấy nhầy vậy smilie . Đúng là anh em ta chủ quan quá. Cứ nhắm vô cái botnet đã lộ để phòng thủ nên bị chết là phải.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 14:36:00 (+0700) | #284 | 244520
[Avatar]
tranvanminh
HVA Friend

Joined: 04/06/2003 06:36:35
Messages: 516
Location: West coast
Offline
[Profile] [PM]
He he, cái botnet mới này đấm không nhanh và nhiều như cái cũ mà đấm chậm, chắc và âm ỉ, kiểu như bên ngoài không thấy bị trầy xước nhưng bên trong lục phủ ngũ tạng bị bấy nhầy vậy . Đúng là anh em ta chủ quan quá. Cứ nhắm vô cái botnet đã lộ để phòng thủ nên bị chết là phải. 


Anh mô tả mà em đọc như chiêu "Đại lực kim cương chỉ" của thiếu lâm smilie)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 15:01:00 (+0700) | #285 | 244522
vndncn
Member

[Minus]    0    [Plus]
Joined: 21/08/2006 10:38:00
Messages: 77
Offline
[Profile] [PM]

texudo wrote:
Bọn stl này đúng là điên cuồng, cuồng thật rồi.

http://www.baomoi.com/Home/CNTT/hanoimoi.com.vn/Hon-85000-may-tinh-tai-Viet-Nam-da-bi-lay-cap-du-lieu/6731238.epi

Có bài này của Bkav ...chỉ thấy nhắc tới FLASH, ADOBE ACROBAT UPDATE...mà không thấy đả động giừ tới Vietkey, Unikey cả, mà 2 chương trình gõ tiếng Việt này thì 95% máy tính ở VN có cài.

 

Đi nghe pác Q bom nói. Không biết ngoài Unikey, Vietkey, Winrar có chứa virus không mấy anh nhỉ?
Mấy ngày nay không vào HVA được buồn quá!
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 15:44:47 (+0700) | #286 | 244527
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Em có ít thông tin về cái http://tongfeirou.dyndns-web.com







[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 15:55:18 (+0700) | #287 | 244529
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
Tiếp 1 số thứ bên trong









[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 19:08:09 (+0700) | #288 | 244532
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

texudo wrote:
Bọn stl này đúng là điên cuồng, cuồng thật rồi.

http://www.baomoi.com/Home/CNTT/hanoimoi.com.vn/Hon-85000-may-tinh-tai-Viet-Nam-da-bi-lay-cap-du-lieu/6731238.epi

Có bài này của Bkav ...chỉ thấy nhắc tới FLASH, ADOBE ACROBAT UPDATE...mà không thấy đả động giừ tới Vietkey, Unikey cả, mà 2 chương trình gõ tiếng Việt này thì 95% máy tính ở VN có cài.

 


Ramnit là virus lây file, không phải các virus được đề cập trong chủ đề này đâu.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 19:52:49 (+0700) | #289 | 244535
Dpm
Member

[Minus]    0    [Plus]
Joined: 06/04/2009 01:43:30
Messages: 85
Offline
[Profile] [PM]

conmale wrote:
Công nhận các bạn STL "sneaky" thiệt smilie . Tớ phải mất một buổi ngồi dòm cái đống log chạy ròng rã mới hiểu được lý do tại sao thằng tomcat của HVA bị treo qua đêm. Các bạn chơi trò đấm rỉ rả kiểu này thiệt là hiểm.

Các bạn muốn bịt miệng HVA như đã bịt miệng những trang khác sao? Các bạn phải biết rằng các bạn chưa đủ sức để bịt cả Internet (ngoài chuyện đặt tường lừa để cản thì không phải bàn). 

Hi anh Conmale,Anh có thể giải thích rõ chỗ màu đỏ đc không,chúng sử dụng kỹ thuật gì vậy anh?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/08/2011 21:54:13 (+0700) | #290 | 244541
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]

conmale wrote:
Công nhận các bạn STL "sneaky" thiệt smilie . Tớ phải mất một buổi ngồi dòm cái đống log chạy ròng rã mới hiểu được lý do tại sao thằng tomcat của HVA bị treo qua đêm. Các bạn chơi trò đấm rỉ rả kiểu này thiệt là hiểm.

Các bạn muốn bịt miệng HVA như đã bịt miệng những trang khác sao? Các bạn phải biết rằng các bạn chưa đủ sức để bịt cả Internet (ngoài chuyện đặt tường lừa để cản thì không phải bàn). 


Tụi STL làm đầy log tomcat hả a smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 01:51:31 (+0700) | #291 | 244547
yuhari
Member

[Minus]    0    [Plus]
Joined: 06/06/2011 20:21:47
Messages: 2
Offline
[Profile] [PM]
trận sáng nay là gì nhỉ smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 02:53:06 (+0700) | #292 | 244549
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

yuhari wrote:
trận sáng nay là gì nhỉ smilie  


Trận sáng nay có tên là "thổ phỉ mạo danh chân tu" smilie

Các bạn STL đấm kinh thế?



(hình chụp lúc 3 giờ 22 phút sáng ngày 4 tháng 8 năm 2011).

Đấm cỡ này, các bạn vô diễn đàn thấy nhanh hay chậm?

Cỡ HVA, một diễn đàn phi lợi nhuận, tự duy trì bằng tiền túi mà các bạn đấm không chết nổi thì vứt quách cái botnet đi vì nó chẳng đập nổi ai ngoài mấy cái site nhảm.

Malware thì đạo code, đạo ý tưởng, chắp vá. "hắc kinh" thì chọn kế sách bẩn thỉu nhất (ăn cắp pass) chớ chẳng bao giờ chơi nổi trò tấn công trực diện, thiên hạ thì bị "bạch hoá" bằng cách thêu dệt bậy bạ còn bản thân mình thì chui nhủi như đám sinh vật sợ ánh sáng. Từ kỹ thuật đế tư cách đều thuộc dạng tin tặc hạng bét. Ngay cả bọn blackhat chôm chĩa credit card hay cho thuê bot để tấn công thiên hạ còn có một chút nguyên tắc và mục đích thấp hèn là để kiếm tiền. Các bạn thì chỉ loay hoay với một mớ niềm tin và tự ái vặt để làm những việc bại hoại, đáng phỉ nhổ. Các bạn trẻ tuổi nông nổi thì không nói gì, các bạn đã có tuổi và đã kinh qua mà vẫn hỗ trợ những trò bại hoại, thấp hèn như thế này thì không biết các bạn đang cố bảo vệ cái gì nữa, chắc là các bạn đang bảo vệ cái gì "đẹp đẽ" lắm.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 06:10:53 (+0700) | #293 | 244550
texudo
Member

[Minus]    0    [Plus]
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
[Profile] [PM]
http://www.ictnews.vn/Home/bao-mat/Lien-Hop-Quoc-nan-nhan-cua%C2%A0vu-tan-cong-mang-lich-su/2011/08/2MSVC1986453/View.htm

Không biết có liên quan gì tới những gì mà HVA Team đang phân tích không? Nhưng bản chất đằng sau việc này là Khựa, có khi nào khựa nó có một công ty của chính phủ chuyên làm nhiệm vụ này, trong đó STL là một team trong đó?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 07:29:21 (+0700) | #294 | 244554
[Avatar]
elt0m
Member

[Minus]    0    [Plus]
Joined: 24/07/2011 22:41:39
Messages: 23
Offline
[Profile] [PM]

TQN wrote:
Ặc ặc, đọc tới đây mà không biết stl là gì à ?
stl = sinh tử lệnh = sống chết theo lệnh !?
stl # STL: C++ Standard Template Library nhé. Chớ nhầm lẫn là tụi coder C++ khắp thế giới nhảy vào phang đấy. 


xin lỗi spam tý nhé!

Theo mình lũ này phải gọi là: Sờ Ti Lợn (STL) mới đúng! smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 08:13:36 (+0700) | #295 | 244557
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

rang0 wrote:

PXMMRF wrote:

rang0 wrote:
Cùng chào đón 1 server mới của STL nào :

Code:
http://map.priper.info:8080


Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org) 


Domain này (map.priper.info) đã bị suspended
This Account Has Been Suspended 


Domain-website này: "speed.cyline.org", vẫn đang active. Nhưng nhiều lúc kết nôi đến website này rất châm (slow connection) 


Em không biết anh check cái "map.ripper.info" thế nào nhưng hôm nay em vẫn download được malware từ cái host đó :

Code:
http://www.mediafire.com/?bdk5fvj8bf8k6nr
 


Domain map.ripper.info là tên miền con (subdomain) của domain ripper.info. Tên miền ripper.info bị suspended (treo). Có một số lý do khiến tên miền bị treo, trong đó lý do chính, phổ biến là người dùng (registrant) không, chưa trả tiền đúng thời hạn cho công ty quản lý domain (registrar).
Domain chính ripper.info bị treo thì các subdomain của nó dĩ nhiên cũng bị treo trong sử dụng.
Công ty quản lý domain này (ripper.info) là SEDO, (Anh quốc).

Domain và website mang tên domain gắn chặt với nhau, nhưng không phải là một. Vì vậy khi domain bị treo, website vẫn có thể vẫn active, nhưng nói chung chỉ được vài ngày. Lý do là việc create host hay thay đổi create host mất công và tốn thời gian (khoảng tối thiểu 2 ngày), nên registrar cân nhắc trong việc này: Họ cảnh báo tình trạng suspended để người dùng mau chóng trả tiền, như thế họ không cần phải create host lại. Đồng thời họ cũng đợi có khách hàng mới mua lại
domain này thì create host lai luôn thể.

Vì vậy vào ngày 1-8-2011 tôi phát hiện ra domain ripper.info bị suspended, thì có thể trong một hai ngày sau đó, STL vẫn còn tận dụng đươc domain nay để active website map.ripper.info.

Tuy nhiên đến ngày 3-8 (hôm qua) thì domain này đã trỏ đến một trang của website của công ty SEDO

Trang chủ của website của công ty SEDO:
http://www.sedo.com/uk/home/welcome/?tracked=1&partnerid=20293&language=e

Đây là trang của SEDO thông báo bán ripper.info:
http://www.sedo.com/search/details.php4?domain=ripper.info&trackingRequestId=16343907&tracked=1&partnerid=20293&language=e

Note:

1- Từ ngày 2-8 tôi đã hoàn tất việc thiết lập một sever (loai nhỏ nhưng có 2 CPU) riêng, chuyên dùng để kiểm tra các virus-trojạn của STL, xác định chính xác các kết nối trên mạng của các virus-trojan này. Server được cài nhiều chương trình theo rõi mạng, antivirus, firewall tiên tiến.
Tôi đang thử file Unikey của bạn lequi trước đây đã cung cấp. Sẽ thông báo kết quả cụ thể sau.

2- Tôi đã có đủ thông tin về webserver-website "speed.cyline.org" của STL. Cũng sẽ thông báo hầu các bạn


The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 08:31:11 (+0700) | #296 | 244558
rang0
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:55:47
Messages: 19
Offline
[Profile] [PM]

PXMMRF wrote:


Vì vậy vào ngày 1-8-2011 tôi phát hiện ra domain ripper.info bị suspended, thì có thể trong một hai ngay sau đó STL vẫn còn tận dụng đươc domain nay để active website map.ripper.info.

Tuy nhiên đến ngày 3-8 (hôm qua) thì domain này đã trỏ đến một trang của website của công ty SEDO

Trang chủ của website của công ty SEDO:
http://www.sedo.com/uk/home/welcome/?tracked=1&partnerid=20293&language=e

Đây là trang của SEDO thông báo bán ripper.info:
http://www.sedo.com/search/details.php4?domain=ripper.info&trackingRequestId=16343907&tracked=1&partnerid=20293&language=e

 


Anh ơi "ripper.info" với "pripper.info" là nó khác nhau đấy ạ.

Hôm nay cái subdomain này lại được trỏ sang con server khác rồi. Hôm trước

Code:
Trước: map.priper.info [91.121.221.222]
Hôm nay : map.priper.info [208.115.200.206]


Và malware vẫn đang được cập nhật đều :(.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 09:00:15 (+0700) | #297 | 244561
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

rang0 wrote:

PXMMRF wrote:


Vì vậy vào ngày 1-8-2011 tôi phát hiện ra domain ripper.info bị suspended, thì có thể trong một hai ngay sau đó STL vẫn còn tận dụng đươc domain nay để active website map.ripper.info.

Tuy nhiên đến ngày 3-8 (hôm qua) thì domain này đã trỏ đến một trang của website của công ty SEDO

Trang chủ của website của công ty SEDO:
http://www.sedo.com/uk/home/welcome/?tracked=1&partnerid=20293&language=e

Đây là trang của SEDO thông báo bán ripper.info:
http://www.sedo.com/search/details.php4?domain=ripper.info&trackingRequestId=16343907&tracked=1&partnerid=20293&language=e

 


Anh ơi "ripper.info" với "pripper.info" là nó khác nhau đấy ạ.

Hôm nay cái subdomain này lại được trỏ sang con server khác rồi. Hôm trước

Code:
Trước: map.priper.info [91.121.221.222]
Hôm nay : map.priper.info [208.115.200.206]


Và malware vẫn đang được cập nhật đều :(. 


Ừ khác nhau, nhiều là khác. Như là PHAM XUAN MAI với ĐẶNG THÁI MAI. Người sau là một danh nhân nước Việt, bố vợ của Đại tướng huyền thoại VÕ NGUYÊN GIÁP. Còn kẻ trước chỉ là một người dân bình thường, không tên tuổi, tuy được học hành bài bản đến nơi đến chốn (bằng cấp thật 100%), nhưng khả năng có hạn. HÌ hì.
Đùa một chút. Thôi trở lại vấn đề.

Xem lai bài của rang0 (trang 9 topic này) thì domain đúng là map.priper.info thật. Nhưng vào đia chỉ này http://map.priper.info:8080 (webserver mở cổng 8080-chắc cài Apache) thì cũng lại thấy domain này cũng bị suspended. Thôi để tôi kiểm tra kỹ hơn.
Nếu http://map.priper.info cũng đang bị suspended thật, thì những nôi dung tôi viết ở post trên liên quan đến vấn đề "suspended" vẫn hoàn toàn có thể áp dụng được với map.priper.info(trừ đoan sau nói về ripper.info domain)
Nôi dung liênquan đến suspended domain là:

"Có một số lý do khiến tên miền bị treo, trong đó lý do chính, phổ biến là người dùng (registrant) không, chưa trả tiền đúng thời hạn cho công ty quản lý domain (registrar)
...................
Domain và website mang tên domain gắn chặt với nhau, nhưng không phải là một. Vì vậy khi domain bị treo, website có thể vẫn active, nhưng nói chung chỉ được vài ngày. Lý do là việc create host hay thay đổi create host mất công và tốn thời gian (khoảng tối thiểu 2 ngày), nên registrar cân nhắc trong việc này: Họ cảnh báo tình trạng suspended để người dùng mau chóng trả tiền, như thế họ không cần phải create host lại. Đồng thời họ cũng đợi có khách hàng mới mua lại domain này thì create host lai luôn thể.
"

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 09:27:48 (+0700) | #298 | 244562
trycatch
Member

[Minus]    0    [Plus]
Joined: 07/12/2010 20:00:36
Messages: 15
Offline
[Profile] [PM]
Theo dõi file anh Conmale thông báo (ddos_28-07-2011) thì có IP của cơ quan em(nhiều subnet) nên mình không biết cách xác định máy nào nhiễm malware của STL vì ko phải net admin chỉ là người dùng.
bạn nào có cách hay soft gì thì hướng dẫn mình với.
ps: báo cáo anh Conmale là file ddos-03-08-2011-uniq thì không có, nếu anh có cách gì thì mail cho em với nhé, em muốn góp chút gì đó để HVA giảm được tấn công ddos. E-mail và IP của em thì chắc anh thừa biết rồi. :d
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 17:29:16 (+0700) | #299 | 244567
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

trycatch wrote:
Theo dõi file anh Conmale thông báo (ddos_28-07-2011) thì có IP của cơ quan em(nhiều subnet) nên mình không biết cách xác định máy nào nhiễm malware của STL vì ko phải net admin chỉ là người dùng.
bạn nào có cách hay soft gì thì hướng dẫn mình với.
ps: báo cáo anh Conmale là file ddos-03-08-2011-uniq thì không có, nếu anh có cách gì thì mail cho em với nhé, em muốn góp chút gì đó để HVA giảm được tấn công ddos. E-mail và IP của em thì chắc anh thừa biết rồi. :d
 


Cách dễ nhất là search từng máy để tìm "AcrobatUpdater.exe".

Cách ngăn chặn nhanh nhất ngay lúc này là chặn các domains và subdomains sau:

dyndns.org
dyndns-blog.com
blogdns.info
dyndns-office.com
enfaqs.com
doomdns.com
dyndns-web.com
dyndns-server.com
dyndns-free.com
poxxf.com
paxds.com
cyline.org
dinest.net
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 04/08/2011 17:33:28 (+0700) | #300 | 244568
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
Tìm mãi không biết từ đâu mà mình có cái domain "map.ripper.info" thay vì phải là "map.priper.info" mới đúng.
Nay đã thấy. Hì hì

TQN on 03/08/2011 14:36:37 wrote:
Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ? 


rang0 wrote:

TQN wrote:
Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ? 


Em quên mất rồi smilie 
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|