banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 03:51:03 (+0700) | #301 | 244573
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
He he, sáng nay grep awk sed mớ logs thì thấy các bạn STL "thử" lung tung smilie. Công nhận secure website để kiddies không phá phách bậy bạ thì không khó nhưng secure website để khỏi bị DDoS kiểu "crawler" thì mệt thiệt.

Cái "hiệu lệnh" xml của các bạn STL có những limitation (hoặc flaw) không nhỏ nhưng có điều, tớ chả rảnh để viết thêm một ký sự DDoS HVA cho nên các bạn tự mà phân tích những limitation ấy smilie . Ngay cả những con zombies cũng bị những limitation khác. Nếu webserver bị DDoS mà respond một dạng packet có nội dung nhất định nào đó thì có thể làm "teo" con zombie và teo máy chạy zombie (nhưng có lẽ các bạn không quan tâm mấy con zombies bị treo), các bạn chỉ quan tâm đến việc có zombies để phá hoại mà thôi, phải không nào? smilie
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 08:25:15 (+0700) | #302 | 244580
rang0
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:55:47
Messages: 19
Offline
[Profile] [PM]
Nhân bài báo cáo "Operation Shady RAT" của McAfee, phía Symantec cũng đưa ra một bản báo cáo, mà nếu đọc thì mọi người sẽ thấy nó cũng giống như những gì đang diễn ra ở HVA :

Code:
http://www.symantec.com/connect/blogs/truth-behind-shady-rat
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 10:34:48 (+0700) | #303 | 244589
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]

rang0 wrote:
Nhân bài báo cáo "Operation Shady RAT" của McAfee, phía Symantec cũng đưa ra một bản báo cáo, mà nếu đọc thì mọi người sẽ thấy nó cũng giống như những gì đang diễn ra ở HVA :

Code:
http://www.symantec.com/connect/blogs/truth-behind-shady-rat
 


kiểu mô tả này khá giống với googleCrashHandle trước đây, duy chỉ có điều không dùng steganography. file cấu hình hồi đó rất thô sơ, không xml
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 12:21:01 (+0700) | #304 | 244592
trycatch
Member

[Minus]    0    [Plus]
Joined: 07/12/2010 20:00:36
Messages: 15
Offline
[Profile] [PM]

rang0 wrote:
Nhân bài báo cáo "Operation Shady RAT" của McAfee, phía Symantec cũng đưa ra một bản báo cáo, mà nếu đọc thì mọi người sẽ thấy nó cũng giống như những gì đang diễn ra ở HVA :

Code:
http://www.symantec.com/connect/blogs/truth-behind-shady-rat
 


Tin tức trên viet.rfi.fr
http://www.viet.rfi.fr/chau-a/20110804-tin-tac-trung-quoc-tan-cong-tu-my-den-viet-nam
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 12:24:39 (+0700) | #305 | 244593
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
THÔNG BÁO KẾT QUẢ KIỂM TRA THỰC TẾ CÁC MẪU VIRUS-TROJAN CỦA STL

Như viết ở post trên, tôi đã thiết lập một server (loại nhỏ) riêng, chuyên dùng để kiểm tra các virus-trojan của STL. Server cài hai OS: WinXPSP3 và Win2K3SP2. Cách thức kiểm tra như sau:

- Cài các mẫu virus mà bạn lequi, axasin, TQN và các bạn khác cung cấp vào server.
- Disable on-access scan hay guard của các trình antivirus để virus không bị delete hay bị vô hiệu hoá khi khởi chạy.
- Theo rõi Activities của virus thông qua firewall và sau đó áp dụng chế độ "Allow" hay "Trust this process", để không ngăn trở quá trình virus thâm nhập vào hệ thống
- Kiểm tra việc virus thiết lập các file mới, tạo lập các directory mới trong hệ thống, xoá các registry cũ và tạo lập các registry mới hay thay đổi value của registry....
- Kiểm tra kỹ quá trình kết nối trên mạngdo virus tạo lập, các thông số của quá trình kết nối (port , TCP/UDP protocol, RX-TX....) , địa chỉ IP và host name-domain của destination (mục tiêu kết nối)...
- Phân tích các gói tin (packet) của quá trình kết nối này
- Check thẳng vào các master webserver-website để có thêm thông tin....

Kết quả thì nhiều và cần được sắp xếp lại một cách hệ thống. Vì vậy tôi chỉ thông báo tóm tắt các kết quả sau.

1- File Unikey mà bạn lequi cung cấp (bạn cũng cho đó là malicios Unikey- nó có nhiệm vụ download từ mạng các malicious file MsHelpcenter.exe và MSHelpCenter.idx... về máy zombies) thưc ra không phải là một virus-trojan. Khi cho nhiễm vào máy, ngoài những file liên quan, không thấy xuất hiện các file lạ-nghi ngờ, các registry lạ và không tạo ra bất cứ kết nốimang nào (theo rõi trong 2 ngày). Tôi nhớ dường như bạn range0 cũng đã có ý kiến ờ 1 post trong topic nay, xác định đây không phải là virus-trojan.

Vậy thì thưc tế Unikey nào khác trên mạnghay một file khác mới là virus trojan của STL khi nhiễm vào máy sẽ khởi phát quá trình download các file MSHelpCenter.* hay các malicious khác về máy?

2- File AdobeUpdater.exe (do TQN cung cấp ngày 28-7-2011) đúng là một virus-trojan của STL. Khi cho nhiễm vào máy, virus này tạo lập một số file mới và directory trong hệ thống. Đồng thời AdobeUpdater.exe xoá môt số registry của hệ thống và thiết lập các registry mới, cần cho việc khởi chạy sau khi hệ thống được restart. Xem hình ảnh đính kèm. Ngay sau khi được kích hoạt AdobeUpdater.exe đã tạo một kết nối Internet đến đia chỉ IP: 193.106.175.68:80, đây chính là IP tĩnh của webserver second.dinest.net của STL, mà tôi đã kiểm tra và phân tích kỹ ở post trên. Điều này hoàn toàn phù hợp với kết luận của TQN và bạn acoustics89, công bố ở các post trên, trong topic này.

Có hai điểm cần lưu ý thêm:

- Khi đươc kích hoạt (click chuột vào AdobeUpdater.exe) thì lập tức AdobeUpdater.exe tạo ra một kết nôi đến second.dinest.net, như nói ở trên. Nhưng sau đó kết nối ngừng và không có file (data file hay image file) nào được download về máy. Có lẽ lúc này second.dinest.net tạm thời không cỏn đươc giao nhiêm vụ làm một master webserver-website nữa?
Sau một lần kết nôi như vậy, trong liên tục 1 ngày sau đó, AdobeUpdater.exe không tự đông khởi tao một lần kết nối mạng nào khác nũa.

- Thưc ra AdobeUpdater.exe đã bị Avira antivirus phát hiện ra ngay khi nó đươc copy từ một USB vào testing server của tôi hoặc khi giải nén nó trên server. Vì vậy nếu một user nào cài Avira antivirus (free edition) và up to date, thì AdobeUpdater.exe không thể nhiễm vào máy hay kích hoạt trong máy. McAfee Antivirus version 8.8 thì không phát hiện ra AdobeUpdater.exe, kể cả khi scan trực tiếp vào file
Xin xem hình ảnh










Avira antivirus (guard enabled) phát hiện ra AdobeUpdater.exe ngay khi nó đang được copy vào máy




Be noted: Bác conmale ơi. Tôi đã resize các file ảnh upload để đạt chiều ngang nhỏ hơn 500pixels, như yêu cầu. Nhưng như vậy chữ trên hình quá nhỏ, rất khó đọc. Theo kinh nghiệm thưc tế của tôi, có thể upload file hình ảnh có chiều ngang lên tới 750, thậm chí 800 pixels vẫn không có vấn đề gì, khung hình forum không hề bị phá vỡ. vÌ vậy nên hạn chế max là 800 pixels, thay vì 500 pixels. Mong bác xem lại. Cam ơn
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 12:55:20 (+0700) | #306 | 244595
[Avatar]
Vanxuanemp
Member

[Minus]    0    [Plus]
Joined: 02/08/2005 04:31:37
Messages: 63
Location: Thôn Đoài
Offline
[Profile] [PM] [WWW]
@anh Conmale: Có cách nào dùng gậy ông đập lưng ông không, chứ chả lẽ chịu trận mãi thế này khó chịu thật. Ngoài phân tích và update cho các AV thì cũng phải đập lại cho tơi bời chứ!?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 13:26:46 (+0700) | #307 | 244597
trycatch
Member

[Minus]    0    [Plus]
Joined: 07/12/2010 20:00:36
Messages: 15
Offline
[Profile] [PM]

Vanxuanemp wrote:
@anh Conmale: Có cách nào dùng gậy ông đập lưng ông không, chứ chả lẽ chịu trận mãi thế này khó chịu thật. Ngoài phân tích và update cho các AV thì cũng phải đập lại cho tơi bời chứ!? 


Đâu cần làm vậy bạn, nếu muốn làm vậy thì các anh ý đã làm lâu rồi. Anh em member chia sẻ thông cảm cho sự vất vả của các anh admin và các anh RCE qua đó học hỏi các anh ý. Chứ còn mình ko hèn như STL phải không bạn. :d
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 13:28:53 (+0700) | #308 | 244598
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Mình mà DDOS đập lại các server đó thì CA Vietnam ta còng đầu tụi mình liền đấy, đừng dại !
Chỉ có tụi nó được quyền DDOS thôi, anh em có hiểu không ha ? smilie

2 kết quả phân tích của Avira:
1. http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=792743
2. http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=796552

Tự dưng bây giờ em khoái Avira quá, submit mẫu nào là "mèo què" mẫu đấy, còn ông nội KIS em đang dùng thì tới giờ nhét nguyên cái thư mục Virus vào miệng nó, nó cứ bảo clean.
Đã vậy sáng nay update xong, nó kêu em nên nhả cái file AcrobatUpdater.exe từ Quarranty ra nữa chứ. Bó tay luôn. Bỏ công submit cho KIS nhiều hơn mới tức chứ.
Nhưng thôi, em còn tiếc 370 ngàn, còn hơn mười tháng nữa, ráng xài cho hết, tiết kiệm, thời buổi lạm phát, khó khăn, hỗn loạn mà ....!!!???
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 14:13:51 (+0700) | #309 | 244599
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]

acoustics89 wrote:
Bây giờ chưa có mẫu mới hả anh, vẫn cái kia nó dos, lại còn post dòng này, bực quá.
Code:
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/hvaonline/posts/list/210/39641.html#244332" keepCookies="1" crawling="1" referer="Hey Postmodernism, When you config HVA like X-Cafe?"/>


mà tên em dễ viết như thế mà anh TQN lúc thì accxxxx ( chắc đang nghĩ đến từ account )
lúc thì acourxxx smilie 


Mấy cái này thằng này không hiểu sao mà suốt ngày Postmodernism smilie. Chúng nó nên chuyển từ "Postder" sang "Commu". lol.
Chắc mình phải lập 2pic báo mình là Postdernism. cái truyện cách đây 1 năm mà suốt ngày lôi ra :-< tiểu nhân ...
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 14:42:54 (+0700) | #310 | 244600
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Vanxuanemp wrote:
@anh Conmale: Có cách nào dùng gậy ông đập lưng ông không, chứ chả lẽ chịu trận mãi thế này khó chịu thật. Ngoài phân tích và update cho các AV thì cũng phải đập lại cho tơi bời chứ!? 


Hì hì, đập lại thì không khó nhưng làm như vậy thì có khác gì bọn họ đâu em? Ở một góc độ nào đó, anh cũng cám ơn họ đã tạo điều kiện để táy máy thêm và tìm cách kiện toàn + tối ưu hệ thống. Trong quá trình làm, anh cũng học thêm được nhiều điều bổ ích và lý thú. Đặc biệt cảm ơn các anh em kỹ thuật trực tiếp tham gia và các anh em không trực tiếp tham gia kỹ thuật đã động viên, hỗ trợ mọi mặt.

Bọn họ đang chơi một trò chơi tồi tệ và tự đẩy mình càng lúc càng xa và đó chính là chiêu "tự đập" vậy smilie .
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 16:01:43 (+0700) | #311 | 244601
trycatch
Member

[Minus]    0    [Plus]
Joined: 07/12/2010 20:00:36
Messages: 15
Offline
[Profile] [PM]
Giờ này có lẽ HVA vẫn đang bị ddos anh Conmale nhỉ, em mới check lại cái second.dinest.net thì thấy đã trỏ sang 1 IP khác là 46.166.147.48 ở Ru.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 16:44:16 (+0700) | #312 | 244602
[Avatar]
tranvanminh
HVA Friend

Joined: 04/06/2003 06:36:35
Messages: 516
Location: West coast
Offline
[Profile] [PM]
Mỗi lần HVA gặp nạn là chạy ra một đống anh em, chiến hữu rút đao tương trợ.

HVA nên bị DDOS nhiều thì mới nhộn nhịp, xôm tụ được.

(mình không nói nhảm nha, mình đang phân tích tính chất vài trận DDoS HVA vừa qua à )

smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 18:19:29 (+0700) | #313 | 244603
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Em công nhận mấy anh stl giàu thiệt nha, lại nhiều quân nữa nha ! Chắc nước nào cũng có quân nằm vùng của mấy anh phải không ?
Ngày hôm nay, anh lại cho cái host speed.cyline.org sống lại à ! Hệ thống tracker của em chụp liền à. File flower.bmp và plxzyin0fx.bmp của mấy anh lại thay đổi nữa rồi. Thử xem sao ?
À, uxtheme.manifest sẽ download flower.bmp về từ cái speed.cyline.org, rồi uxtheme.manifest decode flower.bmp ra URL của plxzyin0fx.bmp
plxzyin0fx.bmp lần này khác trước, sau khi được giải mã, nó sẽ extract ra máy của victim thành 2 file:
1. TeamViewer_Desktop.exe
2. themeui.manifest

Bà con nào thấy có 2 file này trên máy thì chắc chắn máy bà con vẫn còn uxtheme.manifestTeamViewer.exe giả mạo. Xin vui lòng kill & del tất cả 4 file trên giùm !

Em nghĩ là mấy anh nên cho cái host speed.cyline.org giải nghệ, về hưu cho rồi. Còn tiếc gì nó nữa ha !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 18:35:27 (+0700) | #314 | 244604
acoustics89
Member

[Minus]    0    [Plus]
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
[Profile] [PM]

trycatch wrote:
Giờ này có lẽ HVA vẫn đang bị ddos anh Conmale nhỉ, em mới check lại cái second.dinest.net thì thấy đã trỏ sang 1 IP khác là 46.166.147.48 ở Ru.
 


truy cập thử vào http://second.dinest.net/
nó hiện lên trang có 3 chữ lạnh lùng vãi: WTF smilie smilie smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 18:42:07 (+0700) | #315 | 244606
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
WTF = "What the fuck" hay "What the fun" ha !
Mệt mấy anh stl quá, làm em phải bò đi gấu gồ nữa. Mấy anh biết em dốt "In lít" mà !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 19:21:18 (+0700) | #316 | 244610
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Mới nói cái flower.bmp và plxzyin0fx.bmp có 1 câu mà mấy anh vội vàng modify 2 file này bằng một mớ 00 bytes à, mấy anh stl.
Mấy anh ngồi trực topic này cũng mệt ha ! Giờ em đi chơi đã, đợi tracker của em báo mấy anh vừa change cái gì trong 2 file này.
Tracker code = "đen phi" của em thừa thông minh để biết mấy anh modify cái gì mà ! Xem thường thằng em này quá mấy anh "sống chết theo lệnh", "sờ ti lợn"... ơi !
Em nói rồi, shutdown cái speed.cyline.org được rồi mà !
Biết mấy anh cũng căm mấy anh em HVA lắm, nhưng làm gì được ha ! Ai biểu mấy anh cứ phải trốn chui, trốn nhủi trong bóng tối không dám ra mặt, vỗ ngực xưng tên ha !

PS: Trong team mấy anh có một thằng coder code C++, STL khá lắm đấy, em cũng khen là giỏi. Nhưng nhắn với nó đừng đi ăn cắp, bê nguyên xi code từ mấy open source nữa nhé ! Em là em biết hết đấy ! Với lại nhắn với nó, code cho thống nhất, WinAPI thì WinAPI hết, pure C, pure Sock API thì pure Sock API hết, code "nửa mùa", chắp vá vậy, em khó chịu lắm, em vừa "rờ xxx em" vừa chửi thằng đó đấy ! Mấy anh không tin, hỏi thằng đó có phải thằng code GoogleCrashHandler với một đống "mèo què" dùng string của Standard Template Libray không ?
Trong team của mấy anh, chỉ có mình thằng này là rành về C++, còn mấy thằng khác cứ wchar_t wzBuf[Bự bà cố luôn] rồi memset, memcpy, lstrcpyw, lstrlenw... tá lã hết !

À mà quên, đố mấy anh stl nè: 3 ^ 5 ^ 7 = ?. Đừng chơi code mã hoá bằng kiểu đó nữa nhé, hay hỏi thằng coder đó nó có hiểu gì không mà cứ đi cắm cúi code xor encode kiểu đó. Em share cho mấy anh cái IDC script để decode 1 block of memory trong IDA luôn:
Code:
static UIXorBlock()
{
    auto len = 0;
    auto value = 0;
    auto step = 0;

    auto eaStart = SelStart();
    if (BADADDR == eaStart)
    {
        eaStart = ScreenEA();
    }
    else
    {
        len = SelEnd() - eaStart;
    }

    eaStart = AskAddr(eaStart, "Enter the start address to xor");
    if (BADADDR == eaStart)
    {
        Message("Invalid address !\n");
        return;
    }

    len = AskLong(len, "Enter the count of bytes to xor");
    if (-1 == len)
    {
        Message("Invalid len of block !\n");
        return;
    }

    value = AskLong(0, "Enter the value to xor");
    if (-1 == value)
    {
        Message("Invalid xor value !\n");
        return;
    }

    step = AskLong(1, "Number of bytes for every step ?");
    if (step < 1)
    {
        Message("Invalid step !\n");
        return;
    }

    auto ea = eaStart;
    while (ea < eaStart + len)
    {
        if (1 == step)
        {
            PatchByte(ea, Byte(ea) ^ value);
        }
        else if (2 == step)
        {
            PatchWord(ea, Word(ea) ^ value);
        }
        else
        {
            PatchDword(ea, Dword(ea) ^ value);
        }

        ea = ea + step;
    }
}


Lần sau đừng có chơi mã hoá = Xor nữa nhé !
2 anh em HVA: yên tâm, chỉ nói một nữa thôi, một nữa là bí mật. Với lại thông cảm, tiếng Anh em "cùi bắp" lắm, nên mấy cái msg trên chắc chắn là sai Vô ca bu la ry (vocabulary) (lúc trước bà cô tiếng Anh của em cứ phạt em hoài vì cái tội đọc tiếng Anh như tiếng Việt này) smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 19:46:27 (+0700) | #317 | 244611
[Avatar]
.lht.
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline
[Profile] [PM]

conmale wrote:
He he, sáng nay grep awk sed mớ logs thì thấy các bạn STL "thử" lung tung smilie. Công nhận secure website để kiddies không phá phách bậy bạ thì không khó nhưng secure website để khỏi bị DDoS kiểu "crawler" thì mệt thiệt.

Cái "hiệu lệnh" xml của các bạn STL có những limitation (hoặc flaw) không nhỏ nhưng có điều, tớ chả rảnh để viết thêm một ký sự DDoS HVA cho nên các bạn tự mà phân tích những limitation ấy smilie . Ngay cả những con zombies cũng bị những limitation khác. Nếu webserver bị DDoS mà respond một dạng packet có nội dung nhất định nào đó thì có thể làm "teo" con zombie và teo máy chạy zombie (nhưng có lẽ các bạn không quan tâm mấy con zombies bị treo), các bạn chỉ quan tâm đến việc có zombies để phá hoại mà thôi, phải không nào? smilie  


Ý anh là: No Response 204, Not found 404, Service temporarily overloaded 502, ... để đánh lừa bot hay anh làm "crash" nó ?
Bật mí được không anh smilie ?
Trash from trash is the place for new good things ~
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 19:51:41 (+0700) | #318 | 244612
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tụi stl code bot ồ ạt mà quên nguyên tắc "secure coding", muốn làm bot crash thì dể lắm đấy .lht. à ! Nhưng máy của victim crash chứ có phải máy tụi nó đâu, nên tụi nó "đông ke" !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 19:56:53 (+0700) | #319 | 244613
[Avatar]
.lht.
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline
[Profile] [PM]

TQN wrote:
Tụi stl code bot ồ ạt mà quên nguyên tắc "secure coding", muốn làm bot crash thì dể lắm đấy .lht. à ! Nhưng máy của victim crash chứ có phải máy tụi nó đâu, nên tụi nó "đông ke" ! 


Ohm ... Chắc lại sơ hở phần đọc reponse trả về dẫn đến crash dạng bufferflow và treo luôn máy smilie)
Trash from trash is the place for new good things ~
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/08/2011 20:03:02 (+0700) | #320 | 244614
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
2 tranvanmin: Phân tích tính chất của mấy đợt DDOS vừa rồi thì chưa đâu. Xong hết rồi mới có, giờ thì chỉ tán phét thôi smilie
Mình gặp tvm một lần rồi, hy vọng anh em, bạn bè tvm không có ai đang làm cho stl. Nếu có thì mai mốt gặp nhau đi nhậu "khó" nói chuyện lắm !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 07/08/2011 08:57:31 (+0700) | #321 | 244684
whitesnow19
Member

[Minus]    0    [Plus]
Joined: 08/10/2010 03:42:19
Messages: 54
Offline
[Profile] [PM]
Không biết có phải em lo xa không mà hôm nay vừa đọc xong bài viết của các anh, em liền test thằng Unikey Vista em đang dùng. Kết quả scan trên virusTotal ra là 1/40 nhưng không biết có phải có em bé không. Các anh xem qua giúp em:
UnikeyVistasmilie1/40)
http://www.virustotal.com/file-scan/report.html?id=e77ce23ccf401273cb01233d0f63600a4efcfce9576f66c2b20dfa85ec9d95b7-1312684524
unikey40RC2-1101-win32.zip (Bản này download ở trang chủ Unikey.org): (3/40) có trojan)
http://www.virustotal.com/file-scan/report.html?id=eaff3879e980449f844bddd84a85375f013d11527af6b1dbc7c9e858dd7034e6-1312685430

Kiểu này thì em biết xài bộ gõ nào đây?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 07/08/2011 10:40:13 (+0700) | #322 | 244685
[Avatar]
tanviet12
Member

[Minus]    0    [Plus]
Joined: 10/05/2010 12:15:15
Messages: 138
Location: TP - HCM
Offline
[Profile] [PM] [Email]
Bản tải link nào chứ mình download trên Unikey.org và scan bằng virustotal đâu phát hiện "mèo què" hay '"tròi gián" nào đâu.

Kết quả: http://www.virustotal.com/file-scan/report.html?id=aba5c0bff0442597ff8743b4fe7d28de945b78be01eb88fc4a95cadd1fbee409-1312691552

BTV
fb.com/buitanviet
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 07/08/2011 11:20:59 (+0700) | #323 | 244688
whitesnow19
Member

[Minus]    0    [Plus]
Joined: 08/10/2010 03:42:19
Messages: 54
Offline
[Profile] [PM]

tanviet12 wrote:
Bản tải link nào chứ mình download trên Unikey.org và scan bằng virustotal đâu phát hiện "mèo què" hay '"tròi gián" nào đâu.

Kết quả: http://www.virustotal.com/file-scan/report.html?id=aba5c0bff0442597ff8743b4fe7d28de945b78be01eb88fc4a95cadd1fbee409-1312691552

 


Hix.Mình quên nói rõ là bản này mình tải lâu rồi, gần 3 tháng rồi. Nhưng chắc chắn là mình đã tải ở Unikey.org. Chắc có lẽ bên đó đã update bản mới. Mình không biết đây có phải là STL không nên mình cứ up lên cho các anh test xem thử.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 07/08/2011 12:31:42 (+0700) | #324 | 244692
[Avatar]
Vanxuanemp
Member

[Minus]    0    [Plus]
Joined: 02/08/2005 04:31:37
Messages: 63
Location: Thôn Đoài
Offline
[Profile] [PM] [WWW]

whitesnow19 wrote:

Hix.Mình quên nói rõ là bản này mình tải lâu rồi, gần 3 tháng rồi. Nhưng chắc chắn là mình đã tải ở Unikey.org. Chắc có lẽ bên đó đã update bản mới. Mình không biết đây có phải là STL không nên mình cứ up lên cho các anh test xem thử. 


Chưa bao giờ có bản Unikey Vista cả, bạn hãy vào trực tiếp trang Unikey.org down lại nhé. Bản Unikey Vista là bản mod lại từ code của Unikey 3.6 (hoặc nếu không nhầm thì còn cũ hơn). Đừng là người tiếp tay cho STL khi không bao giờ down soft từ chính homepage!
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 07/08/2011 13:12:53 (+0700) | #325 | 244693
whitesnow19
Member

[Minus]    0    [Plus]
Joined: 08/10/2010 03:42:19
Messages: 54
Offline
[Profile] [PM]

Vanxuanemp wrote:

whitesnow19 wrote:

Hix.Mình quên nói rõ là bản này mình tải lâu rồi, gần 3 tháng rồi. Nhưng chắc chắn là mình đã tải ở Unikey.org. Chắc có lẽ bên đó đã update bản mới. Mình không biết đây có phải là STL không nên mình cứ up lên cho các anh test xem thử. 


Chưa bao giờ có bản Unikey Vista cả, bạn hãy vào trực tiếp trang Unikey.org down lại nhé. Bản Unikey Vista là bản mod lại từ code của Unikey 3.6 (hoặc nếu không nhầm thì còn cũ hơn). Đừng là người tiếp tay cho STL khi không bao giờ down soft từ chính homepage! 



Xin lỗi bạn nhé! Có vẻ như bạn chưa đọc kỹ bài viết của mình. Trong bài viết ghi rõ là mình tải bản Unikey4RC tại trang chủ. Trong phần comment trên mình chỉ giải thích cho bạn trên hiểu là bản đó mình đã tải lâu rồi. Chỉ vì muốn nhờ các anh giúp phân tích xem thử có phải virus STL nên mình mới post lên đây. Có gì không phải bạn bỏ qua nhé
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 07/08/2011 14:42:02 (+0700) | #326 | 244694
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
@whitesnow19

Mình vừa download unikey40RC2-1101-win32.zip ở Unikey.org về và đây là phân tích của virustotal

http://www.virustotal.com/file-scan/report.html?id=cf352e5e66bc33d170d42a67daa88c0b0a3f8de74fcbc8d2943c031234b7a826-1312706045

PS : check md5 của 2 file khác nhau hoàn toàn, như vậy file của bạn đã bị sửa.

Có thể máy của bạn đã nhiễm virus hoặc giả là có người add virus vào file unikey40RC2-1101-win32.zip của bạn smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 07/08/2011 15:00:50 (+0700) | #327 | 244695
latlaobao
Member

[Minus]    0    [Plus]
Joined: 24/06/2011 08:50:43
Messages: 11
Offline
[Profile] [PM]

whitesnow19 wrote:
Không biết có phải em lo xa không mà hôm nay vừa đọc xong bài viết của các anh, em liền test thằng Unikey Vista em đang dùng. Kết quả scan trên virusTotal ra là 1/40 nhưng không biết có phải có em bé không. Các anh xem qua giúp em:
 

whitesnow19 wrote:
Xin lỗi bạn nhé! Có vẻ như bạn chưa đọc kỹ bài viết của mình. Trong bài viết ghi rõ là mình tải bản Unikey4RC tại trang chủ. Trong phần comment trên mình chỉ giải thích cho bạn trên hiểu là bản đó mình đã tải lâu rồi. Chỉ vì muốn nhờ các anh giúp phân tích xem thử có phải virus STL nên mình mới post lên đây. Có gì không phải bạn bỏ qua nhé
[/qoute]



Có mâu thuẩn gì ở đây không??
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 07/08/2011 16:10:01 (+0700) | #328 | 244697
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Mấy anh stl học lại kỹ thuật code dùng zlib đi nhé ! Em khuyên thành thật ấy.
Dùng zlib từ đó tới giờ mà không biết cách uncompress trên memory à ? Ai lại đi chơi lấy buffer zip ghi vào temp file rồi dùng hàm của zlib uncompress, rồi lại ghi vào temp file khác, rồi lại đọc lên.
Lúc em RCE, em nói quái, sao đi lòng vòng vầy nè ? Cuối cùng "thì ra em đã hiểu", mấy anh chỉ biết dùng mấy hàm zlib cho file thôi !
Cho em rút lại lời khen thằng coder C++ của mấy anh nhé, code vầy tệ lắm. Gặp em là team leader của nó thì em sạc nó thẵng tay rồi.

PS: Làm cái gì mà căm danlambaovn.blogspot.com thế, DDOS hoài không chán à ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 07/08/2011 16:17:57 (+0700) | #329 | 244698
[Avatar]
crc32
Member

[Minus]    0    [Plus]
Joined: 03/10/2008 21:56:29
Messages: 31
Offline
[Profile] [PM]

TQN wrote:

PS: Làm cái gì mà căm danlambaovn.blogspot.com thế, DDOS hoài không chán à ? 


Em tự hỏi, blogspot của Google thì làm sao mà stl "đốt" nổi , mà "đốt" mãi thế?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 07/08/2011 18:52:55 (+0700) | #330 | 244704
sourcefire
Member

[Minus]    0    [Plus]
Joined: 29/02/2008 12:09:50
Messages: 2
Offline
[Profile] [PM]
hic hôm nay đọc được bài này, kiểm tra lại file unikey của mình và download lại từ trên trang chủ về thì thấy dung lượng khác nhau, kiểm tra trên virustotal thì được report thế này, không biết có phải của STL không nữa:
http://www.virustotal.com/file-scan/report.html?id=9852b3c19f9cca4aa35c16f2cc54911a54c0aa7d13d232fa5adb6a62918260dc-1312720738

Đây là nguyên mẫu file unikey, nhờ các bạn kiểm tra xem phải của STL không?
http://www.megaupload.com/?d=FLM02K3G
File này mình nhớ là trước đây cũng down từ trang chủ unikey, nhưng không biết là có phải thực sự bị dính STL không nữa.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
3 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|