| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
08/08/2011 18:46:51 (+0700) | #361 | 244760 |
![[Avatar]](/hvaonline/images/avatar/3099a4ec6dc1da1e77c1b4070c7aa9b8.jpg "[Avatar]")
|
bolzano_1989
Journalist
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
Các mẫu virus của Sinh Tử Lệnh được gửi ở chủ đề này đều đã được cập nhật và diệt sạch với CMC Antivirus bản miễn phí  .
Mong tiếp tục nhận được các mẫu virus mới từ anh chị em qua địa chỉ email sau, xin cảm ơn  :
|
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
 |
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
08/08/2011 19:04:33 (+0700) | #362 | 244761 |
![[Avatar]](/hvaonline/images/avatar/6d8fd617dbf3e2c1e12be59585cdb1f9.jpg "[Avatar]")
|
tmd
Member
|
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Báo điện tử, chuyên trang vi tính, số..., toàn quảng cáo công nghệ hay thiết bị, tin tức. Chuyện phá hoại có chủ đích tới 1 2 cá nhân như hiện tại báo ta không đưa rầm rộ và đều đặn.
Cái gì không muốn cho người ta biết thì không cho đăng. |
|
| 3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
08/08/2011 20:35:40 (+0700) | #363 | 244766 |
kelieumang2
Member
|
|
0 |
|
|
Joined: 09/08/2003 00:50:00
Messages: 37
Offline
|
|
tmd wrote:
Báo điện tử, chuyên trang vi tính, số..., toàn quảng cáo công nghệ hay thiết bị, tin tức. Chuyện phá hoại có chủ đích tới 1 2 cá nhân như hiện tại báo ta không đưa rầm rộ và đều đặn.
Cái gì không muốn cho người ta biết thì không cho đăng.
Nói gì mà không trúng không trật gì hết! Thôi đừng nói!
Úp úp mở mở cuối cùng chẳng ra được ý gì hết!
Báo điện tử là báo nào? "Báo ta" là báo nào? "1 2 cá nhân" là sao? |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
08/08/2011 20:41:36 (+0700) | #364 | 244767 |
![[Avatar]](/hvaonline/images/avatar/a502452db66f30a03e11fb0abf21f244.jpg "[Avatar]")
|
angel_of_devil
Member
|
|
0 |
|
|
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
|
|
| Báo chí truyền hình giờ có vẹo j đâu, viết 1 chữ phải ngó sang Ban Tuyên giáo TW 1 cái, làm j cũng phải theo đường lối. Mà STL là con đẻ của phe bảo thủ, làm sao mà đưa được cơ chứ |
|
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không |
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
09/08/2011 08:55:52 (+0700) | #365 | 244787 |
![[Avatar]](/hvaonline/images/avatar/089f41810321eefc3f4eef5d4a388e42.png "[Avatar]")
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
PXMMRF wrote:
Qua sự việc này chúng ta thấy người thiết lập và điều khiển mang bot ở nước ngoài (và đang cho tấn công vào HVA) rõ ràng không phải là các chú nhỏ VN, làm thuê cho STL hay các thành phần người VN trong nhóm STL. Chúng phải là các thành viên "quốc tế" của một tổ chức là cấp trên của STL, lãnh đạo STL. Nhiều khả năng là các bác người Hoa sống ở nước ngoài.
Qua điều tra (từ danh sách các IP trong bài này: /hvaonline/posts/list/39575.html#244574), em thấy rằng 100% các IP còn sống trong danh sách ấy đều mở cổng 8080 (http proxy) hoặc 3129 (squid proxy). Track lại tcpdump ở thời điểm ấy, vô số các requests dùng để DDoS HVA ngày hôm ấy đi xuyên qua các IP trên đều có thông tin "X-forwarded-For" hoặc "Via" IP nguyên thuỷ đằng sau proxies đều là IP đi từ Việt Nam.
Điều này chứng tỏ, nguồn DDos này đã sử dụng hàng loạt các proxy servers (có thể là các proxy mở hoặc các proxy có cẩu hình thiếu chặt chẽ) để tấn công. Đối với trình duyệt và web services thì chuyện ẩn nấp sau proxies để "giấu IP" là chuyện thường thấy nhưng việc này cũng không thể qua mặt được "low level" tcpdump capture.
Đối với 50Gb data đi xuyên 500 proxies thì khó nhận biết (vì 50Gb / 500 = 102Mb) nhưng nếu sử dụng phương tiện này để DDoS dai dẳng thì trước sau đám quản lý proxies cũng sẽ nghi ngờ và shutdown service. Có thể loạt DDoS ngày hôm ấy không phải của STL mà từ một nhóm nào khác "tát nước theo mưa". Loạt DDoS này có một số tính chất khá giống như các con "bots" của STL nhưng để khẳng định 100% thì không thể. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
09/08/2011 11:45:52 (+0700) | #366 | 244795 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Sáng nay, file backgrounds.jpg của stl ở: http://net.iadze.com/backgrounds.jpg lại được cập nhật.
Lần này, danh sách các site bị DDOS kéo dài hơn, đột ngột, không biết vì lý do gì. Ngoài danlambaovn.blogspot.com, còn thêm 7 site khác:
[url]
http://danlambaovn.blogspot.com
http://www.dangvannham.com
http://bienxua.over-blog.fr
http://www.hanoihot.com
http://www.aihuuphuyen.org
http://nguoiduatinkami.wordpress.com
http://vrvradio.com
http://danlambaovn.disqus.com
[/url]
Trừ danlambaovn.blogspot.com là vô được, còn tất cả cád site còn lại tôi vô không được tới thời điểm này, tê liệt luôn.
Lần này mấy anh "sống chết theo lệnh" hết gắn được cái nhãn "sống chết phập phù" của mấy anh vào mấy site đó, tức quá chơi đểu bằng cách DDOS ha ? Chơi bẩn vậy ha ? |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
09/08/2011 13:07:47 (+0700) | #367 | 244799 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
TIẾP TỤC THÔNG BÁO KẾT QUẢ KIỂM TRA THỰC TẾ CÁC
MẪU VIRUS-TROJAN CỦA STL
Kiểm tra và phân tích file Unikey do bạn axasin cung cấp, chúng ta có thể tóm tắt những kết luận sau:
1- Trên mạng hiện đang có rất nhiều version Unikey. Có loại không bị nhúng virus vào (như Unikey download trực tiếp từ unikey.org), nhiều loại bị nhúng virus, trong đó đa phần là virus của STL.
Việc RCE các version Unikey giúp xác định khá chính xác những version nào là malicious Unikey, version nào là origin-clean Unikey. Tuy nhiên RCE là kỹ thuật advanced, chỉ có rất ít người có thể thưc hiện. Các người sử dụng thông thương cần những khuyến cáo đơn giản, dễ áp dụng, để tránh cài nhầm vào máy các malicious Unikey (Unikey độc, có virus). Vả lại kỹ thuật RCE đơn thuần có thể không phát hiện hay chỉ ra đầy đủ quá trình virus thâm nhập và khởi phát thưc tế trong máy.
Unikey (do bạn axasin phát hiện và cung cấp) là loai Stand-alone program. Nghĩa là bản Unikey này không cần cài đặt (vào HDH) mà chỉ cần copy và paste nó lên màn hình (desktop) để chạy nó (hoăc copy folder chứa Unikey vào một thư muc trong Program Files và send một shortcut ra desktop). Dung lượng của file Unikey.exe này là 666 KB (khá lớn). Đây là điểm chúng ta cần đặc biệt chú ý
Xem hình 1
2- Khi nhấp chuột vao Unikey.exe thì trong máy xuất hiện (ngay tức khắc) một số file chính như sau:
- MsHelpCenter.exe
- MsHelpCenter.idx
- _desktop.ini (phân biệt với file gốc desktop.ini của Windows, dung lương chỉ là khoảng 1KB)
- RCX38C.tmp
- thumbcache.db
Cả 5 file này nằm trong một folder có tên là Microsoft Help, tai thư mục C;/WINDOWS/ (trên WinXP, Win2K3...). Đây là folder mới chứa 5 file mới nói trên mà virus tạo lập ngay sau khi nó vừa được kích hoat.
Chúng (5 file trên) không phải là các file sẽ đươc virus của STL download trên mang về sau này, dù dung lượng của các file MsHelpCenter,* khá lớn (8-10 MB)
Thưc ra dung lượng của từng file trong 2 file MsHelpCenter.* thay đổi theo các lần thử nghiêm. Thử nghiệm lần 2, tôi thấy dung lượng của chúng giảm hẳn, chỉ còn từ 2-3 MB.
Theo tôi lý do của vấn đề dung lương các file MsHelpCenter.* khá lớn và thay đổi có lẽ do sau khi được virus tạo lập trong hệ thống, chúng map một số file khác trong hệ thống và thu gom về một số dữ liệu , cần thiết và không cần thiết (để cho dung lương lớn hơn, người dùng không nghi ngờ)
Trong 5 file trên Avira antivirus chỉ phát hiện ra 2 file nhiễm virus là MsHelpCenter.idx và RCX38C.tmp. Avira phát hiện ngay khi files vừa đươc virus tạo lập ra.
Xem hình 2.
3- Một điều theo tôi rất đáng lưu ý là: Sau khi STL virus được kích hoạt trong hệ thống (máy), thì chúng xoá ngay (delete) thành phần virus nhúng trong file Unikey.exe, làm cho dung lương của nó giảm hẳn, từ 666 KB xuống còn 256 KB. Điều đó cũng giúp cho Unikey.exe (nay đã sạch virus) chạy nhanh và ổn định hơn, thoả mãn yêu câu người dùng (họ sẽ không thắc mắc gì).
Xem hình 3
4- Virus hay chính xác hơn là Windows cũng tạo lập các file liên quan đến MsHelpCenter.* (đuôi .pf) trong thư mục "Prefetch" tại C:/WINDOWS/. Mục đích của việc tạo lập các file .df này là: Các file MsHelpCenter.* khi khởi đông (start) trong hệ thống chúng trước hết access vào nhiều file hay một phần của các file và load các file hay các phần của files lên bộ nhớ (memory), để hoàn tất quá trình khởi động. Windows thiết lập các file .df nói trên để giúp cho quá trình khởi đông MsHelpCenter,* nhanh hơn. Các file và các phần trong files cần load lên bộ nhớ nói trên, sẽ đươc lưu trong các file .df và chúng được Windows load nhanh lên bộ nhớ ngay khi MsHelpCenter,* được kích hoạt và giúp cho quá trình khởi đông MsHelpCenter.* nhanh hơn.
Xem hình 4.
5- Process MsHelpCenter.exe đóng một vai trò quan trọng, nhưng nó là một hiden process nên khó phát hiện là nó đang chạy thường trực trong hệ thống và được load lên bộ nhớ, vì vậy việc delete nó một cách bình thường, sẽ khó khăn.
Xem hình 5
6- Khi chạy trong hệ thống, MsHelpCenter.exe tạo lập một kết nôi Internet đến một webserver. Chắc đây là một master-website. MsHelpCenter.exe mở rất nhiều thread (cổng TCP) gửi các gói tin cỡ 60B để kết nối đến cổng 80 TCP của webserver nói trên.
Đia chỉ IP của webserver nay là: 178.162.225.253, webserver này có domain là mtiw253.westhomesite.info. Tại thời điểm tôi thử nghiệm webserver này không hoạt đông (inactive-offline). Vì vậy chưa xác định được là MsHelpCenter.exe sẽ download file gì (file image gì?) về máy.
Quá trình thử nghiêm cần được tiếp tục theo dõi. Tôi nghĩ sẽ có lúc webserver này sẽ active.
Xem hình 6a và 6b
Hinh 1- Các file nguyên thuỷ của Unikey do axasin cung cấp
Hình 2- Các file mới được vírus tao lập tại Microsoft Help Folder
Hình 3- Sau khi Unikey đươc cài, phần virus nhúng trong Unikey.exe bị xoá
Hình 4- File MshelpCenter.exe....pf trong Prefetch folder
Hình 5- Hiden process MsHelpCenter.exe
Hình 6a- Kết nối Internet tạo lập bởi MsHelpCenter.exe
Hình 6b- Các packet và connection tao lập bởi MsHelpCenter.exe
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
09/08/2011 16:13:27 (+0700) | #368 | 244803 |
Em đã thông báo cho Mediafire về file Unikey trên:
http://nethoabinh.com/showthread.php?t=315
Giờ file này đã được xoá
|
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
09/08/2011 23:18:38 (+0700) | #369 | 244819 |
invisible_love
Member
|
|
0 |
|
|
Joined: 25/01/2011 06:56:45
Messages: 3
Offline
|
|
Chào mọi người, mình rất thích topic này tuy rằng mình là dân ngoại đạo về IT.
Phàm là con người, khi đứng trước 1 vấn đề có thể gây hại đến quốc gia thì ai cũng muốn góp 1 tý sức lực để giải quyết, minh không có năng lực về IT nên đành âm thầm theo dõi topic, nhằm tự giúp mình và cũng phần nào giúp được đất nước.
Sẵn đây mình có ý kiến về việc truy tìm botnet thế này, không phải máy tình nào cài unikey or vietkey thì đều có dùng internet, nhưng 100% máy nào chơi gam online thì phải dùng internet. Dạo này thấy vinagame ăn nên làm ra lắm, mấy cái game Võ lâm truyền kỳ, Tru tiên... đều dùng source của tàu cả, đó là chưa kể mấy phần mềm hack game thì đa phần của tàu nốt.
Do đó, nếu tụi nó cố tình chèn mã độc vô những source game này thì sao, có phải là sẽ tạo được 1 mạng botnet kha khá phải không vì bây giờ game online ở VN phát triển nhanh quá.
Đó là ý kiến nhỏ của mình thôi, vì là dân ngoại đạo nên nếu có nói sai gì thì xin các bạn bỏ qua
@TQN : khâm phục anh lắm, em cũng là dân cơ khí nhưng về "ai ti" thì mù tịt |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
09/08/2011 23:43:39 (+0700) | #370 | 244822 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Nói thật với các bạn giờ tui lười gõ bài phân tích lắm. Phải trình bày như viết văn, phải cắt dán hình...
Thôi thì trong quá trình RCE mẫu mới fake Sandboxie của stl, tui mạn phép post luôn cai notes.txt của tui. File này tui dùng để ghi chú các điều cần nhớ trong quá trình RCE. Mẫu nào cũng có notes.txt riêng của nó.
Notes.txt của em mao danh Sandboxie tính tới ngày hôm nay 09-08-2011:
Bat dau tu 30/07/2011, uxtheme.manifest se download virus tu:
URL1: http://map.priper.info:8080/flower.bmp
Neu fail, no se down tu 2 host sau:
URL2: http://daily.openns.info:8080/flower.bmp
URL3: http://sec.seamx.net:8080/flower.bmp
VD URL day du khi no download: http://map.priper.info:8080/flower.bmp?g={B4EE5266-759C-474A-B216-A6BCC12A6456}&c=1&v=1&tf=312219152140&tr=111111111111&t=312219152140&p=2&e=0&n=abcde&u=abc&waclwugzwooyeyvhlja=yvqexeqbkwgdhejtuuvyps
Tu flower.bmp, uxtheme.manifest extract ra URL sau (ta cung co the dung tool DecodeBmp.exe de extract).
URL2: http://map.priper.info:8080/aqua.bmp
UxTheme.manifest se extract data tu aqua.bmp ra file SbieCtrl.exe. Ta cung co the dung DecodeBmp.exe de extract ra SbieCtrl.exe.
SbieCtrl.exe khi run se extract ra 2 file mao danh Sandboxie: SbieSvc.exe va SbieMgm.dll
SbieMgm.dll chinh la con bot de DDOS. No se download config file tu 1 trong cac URL sau:
http://net.iadze.com/backgrounds.jpg
http://net.iadze.com/fronts.jpg
http://find.instu.net/backgrounds.jpg
http://find.instu.net/fronts.jpg
IP cua net.iadze.com: 178.32.95.119:80.
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13
Ta co the download backgrounds.jpg tu 1 trong 4 URL tren, dung cac tool nhu Wget, Malzila, Fiddler. Bat buoc phai config voi User-Agent tren. Neu khong se tra ve HTML respond mao danh: Account suspended.
Sau do dung tool DecodeJPG.exe de giai ma file backgrounds.jpg ra file backgrounds.gz
Unzip backgrounds.gz bang 7Zip, WinRAR hay WinZip, ta se co file text cau hinh DDOS cua stl.
Cac tool DecodeBmp, DecodeJPG da up o: http://www.mediafire.com/?5g7r7c8eme0wjp2
Các link download tool:
1. Wget: http://users.ugent.be/~bpuype/wget/
2. Malzilla: http://malzilla.sourceforge.net
3. Fiddler: http://www.fiddler2.com/
Cả 3 tool đều free, có cái opensource. Malzila được code = Delphi, Fiddler: C#, Wget: C.
Tui sẽ post hướng dẫn dùng các tool này sau, nhưng thực ra rất dể, các bạn mày mò một chút là làm được, có thể tự download bmp về, download jpg về, dùng DecodeBmp và DecodeJPG giải mã ra hai file SbieCtrl.exe và backgrounds.txt. Chỉ khó một chút ở kỹ thuật debug hay static extract SbieSvc.exe và SbieMgm.dll từ SbieCtrl.exe (Aqua.bin). Tui sẽ post cách extract sau.
Mẫu Fake Sandboxie ngày 04-08-2011: http://www.mediafire.com/?04srzu9n2p4yx7x
Mẫu Fake Sandboxie ngày 09-08-2011: http://www.mediafire.com/?bpqq7mb7i5jxovk
Trong mẫu ngày 09-08-2011, có cả hai file source của môt project open source mà coder của stl đã ăn cắp 100%: socks.cpp và socks.h.
2 invisible_love: Cảm ơn em đã khen, anh là dân CK nhưng CK lại "mù tịt" thì sao ? |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
09/08/2011 23:55:02 (+0700) | #371 | 244825 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Có một chuyện kể ra không biết vui hay buồn. Thứ 7 vừa rồi có đi nhậu với một người bạn cũ, hồi xưa cũng là thợ code như mình, giờ vẫn còn làm IT và đã lên PM.
Cậu ta cũng có biết về vụ này và cũng đã vào đọc. Khi đang nhậu, nói chuyện stl, cậu ta cứ thắc mắc:
1. Tại sao có mấy file mạo danh của stl không có đuôi .exe, tui không double click vô thì làm sao nhiểm virus vô máy tui được ?
2. Nhiều file như StaticCaches.dat, uxtheme.manifest... là các DLL. Các DLL này làm sao tự run được ?
3. Nó download bmp về thì làm sao sinh ra bot mới được ?
Mình phải ngồi "thuyết trình" một hồi, hết mấy chai bia thì nó mới hiểu, nhưng theo tui thì chắc cũng hiểu "sơ sơ" à !
Từ từ rồi tui sẽ post phân tích kỹ thuât RCE, cách thức hoạt động của các con Fake xxx, các con núp bóng Bmp file trên sau. Giờ thì lo tìm bot, host mới của tụi stl này đã ! Bà con thông cảm !
|
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
09/08/2011 23:59:05 (+0700) | #372 | 244826 |
|
angel_of_devil
Member
|
|
0 |
|
|
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
|
|
Úi zời, thế thì kiểu j bác chả có Skype trong room IT Chứng khoán  |
|
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không |
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 00:06:27 (+0700) | #373 | 244827 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Hì hì, angel_of_devil nhầm to rồi: CK = Cơ Khí đó anh Hai !
Làm em tự hỏi: quái, tại sao lại có Skype với Chứng Khoán gì ở đây. Em có biết chứng khoán là gì đâu ?
Vậy là danh sách bot, "mèo què" mới của stl đã có thêm các em sau, theo thứ tự từ mới đến cũ:
1. SbieSvc.exe
2. SbieMgm.dll
3. TeamViewer_Desktop.exe
4. themeui.manifest
5. uxtheme.manifest
6. TeamViewer.exe
Bà con tìm từng Exe process trên = TaskManager hay dùng tool: Process Explorer của SysInternals, Process Hacker ( http://sourceforge.net/projects/processhacker) trên máy mình. Nếu có, kill process, sau đó xóa các file kể trên đi. |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 07:39:55 (+0700) | #374 | 244828 |
![[Avatar]](/hvaonline/images/avatar/4b65f0d688260ba086ade88767b5bdf8.jpg "[Avatar]")
|
asaxin
Member
|
|
0 |
|
|
Joined: 24/06/2007 13:11:27
Messages: 30
Offline
|
|
TQN wrote:
Từ từ rồi tui sẽ post phân tích kỹ thuât RCE, cách thức hoạt động của các con Fake xxx, các con núp bóng Bmp file trên sau. Giờ thì lo tìm bot, host mới của tụi stl này đã ! Bà con thông cảm !
Bác TQN sớm sớm post mấy bài hướng dẫn mọi người RCE đi, em thì có đầy đủ các Tools RCE rồi mà không biết cách để làm, có lẽ là do vẫn chưa hiểu được nền tảng và kỹ thuật căn bản. Em có đọc qua mấy bài "crack me" của bác Kienmanowar thì làm được nhưng vụ RCE này thì vẫn chưa biết. hic hic. |
|
| No Signature |
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 09:14:18 (+0700) | #375 | 244830 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Tính tới ngày 10-08-2011, anh em HVA chúng ta đã RCE và tìm ra thêm các host mới của nhóm stl
Danh sách host và URL mà virus nằm vùng của stl (uxtheme.manifest, themeui.manifest) download về các update, các bot mới:
1. http://map.priper.info:8080/flower.bmp
2. http://map.priper.info:8080/aqua.bmp
3. http://daily.openns.info:8080/flower.bmp
4. http://sec.seamx.net:8080/flower.bmp
5. http://net.iadze.com/backgrounds.jpg
6. http://net.iadze.com/fronts.jpg
7. http://find.instu.net/backgrounds.jpg
8. http://find.instu.net/fronts.jpg
9. http://penop.net/top.jpg
10. http://penop.net/images01.gif
Để đề phòng HVA ta bị DDOS nặng, không vào được, em mượn cái blog của ThangCuAnh: thangcuanh.blogspot.com để post song song luôn (sẵn tiện quãng cáo cái blog vắng hơn chùa Bà Đanh).
Lỡ HVA không vào được thì em post ở http://thangcuanh.blogspot.com. Bà con có thể vào đây đọc. Blogspot của Google thì cho tụi stl DDOS mệt nghĩ luôn.
PS: Chắc tụi stl sẽ cập nhật backgrounds.jpg của nó, ra lệnh DDOS cái blog cùi bắp của ThangCuAnh quá
Em công nhận mấy anh stl giàu kinh thiệt nhe ! Kinh phí cực kỳ dồi dào, host bát ngát luôn. Có cái nào mấy anh quên, bỏ đi không, nhớ cho em và các anh em HVA ta vài cái "xài chơi" nhé !!!??? |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 09:36:42 (+0700) | #376 | 244831 |
![[Avatar]](/hvaonline/images/avatar/01a0125b4179caf2063549c4a54bce74.jpg "[Avatar]")
|
khachlangthang
Member
|
|
0 |
|
|
Joined: 27/04/2011 06:51:42
Messages: 28
Location: Năm 3000.
Offline
|
|
Anh e cho hỏi , mình xài máy cty, lu bu quá, ko tìm hiểu đ][cj, chỉ đọc sơ sơ thôi. có nhắc đến AcrobatReader .
Lúc nãy mình nhấn CTRL SHIFT DEL xoá cache, cookie,... của FIREFOX. tự nhiên hắn chầm chậm. rồi khởi động Acrobat Reader lên, tuy nhiên thấy nó khởi động lên thôi, ko chạy ra cửa sổ, trong khi em có mần chi mô ! Mà trong TASK MNG thì có Process gì đó (kill mất rồi-sơ ý quá) đại loại viết tắt gần giống Acrobat reader + têm vài chữ chi chi nữa, máy cùi mà đòi 21MB RAM lận . Không biết triệu chứng ni có liên quan chi tới tụi này ko mấy anh ! E thực tập ở Cty nên không dám làm gì nhiều hết! |
|
| Nhiều khi nghĩ lại thấy mình thật ngu ngơ........... ! |
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 10:53:43 (+0700) | #377 | 244835 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
TQN wrote:
Hì hì, angel_of_devil nhầm to rồi: CK = Cơ Khí đó anh Hai !
Làm em tự hỏi: quái, tại sao lại có Skype với Chứng Khoán gì ở đây. Em có biết chứng khoán là gì đâu ?
Vậy là danh sách bot, "mèo què" mới của stl đã có thêm các em sau, theo thứ tự từ mới đến cũ:
1. SbieSvc.exe
2. SbieMgm.dll
3. TeamViewer_Desktop.exe
4. themeui.manifest
5. uxtheme.manifest
6. TeamViewer.exe
Bà con tìm từng Exe process trên = TaskManager hay dùng tool: Process Explorer của SysInternals, Process Hacker ( http://sourceforge.net/projects/processhacker) trên máy mình. Nếu có, kill process, sau đó xóa các file kể trên đi.
Khi download Teamviewer 6 (version6) từ trang chủ của Teamviewer (Teamviewer.com) thì sau khi cài đặt trong may của ta có các file chạy là:
- TeamViewer.exe (7.816KB)
- TeamViewer_.exe (3.963KB)
- TeamViewer_Desktop.exe (2.071KB)
- TeamViewer_Service.exe (2.283KB)
- tv_w32.exe
- tv_x64.exe
Các file này nằm ở thư muc \Program files\TeamViewer\Version6\ khi cài TeamViewer6 theo chế độ "install" (nghĩa là cài vào OS) hay nằm ở C:\Documents and Settings\User\Local Settings\Temp\TeamViewer\Version6\ khi cài ở chế độ "run" (nghĩa là không cài TeamViewer vào OS mà sử dụng nó như một stand-alone program)
Vì vậy ý anh TQN nhắc xoá các file TeamViewer_Desktop.exe hay TeamViewer.exe trong máy các bạn là khi chúng đã bị STL nhúng virus vào hay chúng là virus nhưng mạo nhận tên các file chính thức của TeamViewer.
Một cách phân biệt đơn giản, nhanh chóng là so sánh dung lượng giữa file nghi ngờ và file nguyên thuỷ của TeamViewer (dung lương chuẩn trên XP tôi đã ghi chú ở trên)
Chú ý là khi ta khởi động Teamviewer trên may ở cả chế độ run hay install thì máy ta sẽ kết nối với các máy chủ của Teamviewer và sau đó máy chủ của Teamviewer mới kết nối đến máy của partener (máy ta muốn truy cập đến và theo rõi màn hình)
Thí dụ
Action:Monitored
Application:TeamViewer.exe
Access:Outbound TCP access
Object:1359 -> 87.230.74.43 (master4.teamviewer.com):5938
Time:8/10/2011 11:06:10 AM
Application:TeamViewer.exe
Access:Outbound TCP access
Object:1360 -> 95.211.37.198 (server3310.teamviewer.com):5938
Time:8/10/2011 11:06:11 AM
Chú ý teamviewer có nhiều server sử dụng các subdomain khác nhau của Teamviewer.com (thí dụ master4....). Vì vậy tên các subdomain có thể thay đổi khi ta kết nối lại. Như vậy rõ ràng là Teamviewer group có thể xem và vào máy của ta nếu họ muốn như vậy (đặc biệt khi ta sử dụng máy với quyền admin). Thế là ta cảm thấy có điều gì... lăn tăn rồi đấy. Phải không các bạn?
Vì vậy đối với các webserver, muốn remote control nó, thì không nên dùng Teamviewer. Tôt nhất là dùng card remote control trên máy (hardware) và kết nối thông qua IP, có thể dùng SSH hay Real VNC enterprise (shareware).
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 10:57:35 (+0700) | #378 | 244836 |
texudo
Member
|
|
0 |
|
|
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
|
|
TQN wrote:
Có một chuyện kể ra không biết vui hay buồn. Thứ 7 vừa rồi có đi nhậu với một người bạn cũ, hồi xưa cũng là thợ code như mình, giờ vẫn còn làm IT và đã lên PM.
Cậu ta cũng có biết về vụ này và cũng đã vào đọc. Khi đang nhậu, nói chuyện stl, cậu ta cứ thắc mắc:
1. Tại sao có mấy file mạo danh của stl không có đuôi .exe, tui không double click vô thì làm sao nhiểm virus vô máy tui được ?
2. Nhiều file như StaticCaches.dat, uxtheme.manifest... là các DLL. Các DLL này làm sao tự run được ?
3. Nó download bmp về thì làm sao sinh ra bot mới được ?
Mình phải ngồi "thuyết trình" một hồi, hết mấy chai bia thì nó mới hiểu, nhưng theo tui thì chắc cũng hiểu "sơ sơ" à !
Từ từ rồi tui sẽ post phân tích kỹ thuât RCE, cách thức hoạt động của các con Fake xxx, các con núp bóng Bmp file trên sau. Giờ thì lo tìm bot, host mới của tụi stl này đã ! Bà con thông cảm !
Cái này thì bác phải cảm thấy vui mới phải, vì cuối cùng thằng bạn của mình cũng thoát được kiếp KU-DER (coder).
Thực ra ông bạn của TQN bây giờ lên làm P.M rồi, mà mấy tên P.M bây giờ chỉ chăm chăm luyện thi PMP thôi , súng nổ vang trời cho oai, chứ code kiếc gì thì đã vứt sạch.
Ngoài nguyên nhân đó, còn một nguyên nhân khác là hiện tại phần lớn Vietnamese KUDER(s) toàn làm outsource cho các công ty nước ngoài, và họ chỉ tập trung vào giải quyết BUSINESS, thay vì tập trung vào HỆ THỐNG. Nên kỹ thuật RCE, hay am hiểu về hệ thống có giới hạn. Nhưng cũng hơi ngạc nhiên là ông bạn của bác trước đây có làm code rồi bảo là cần phải click vào file .EXE để nó chạy. Btw, chắc ông bạn của bác bây giờ chỉ có cái VIEWs của END-USERs chứ không có cái VIEWs máy móc của anh anh KUDER(s), |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 12:20:47 (+0700) | #379 | 244839 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Không phải vui hay buồn vì chuyện đó, mà buồn vì nhận thức của nhiều người, thậm chí đang làm IT, còn rất thấp về virus, cách thức lây lan của virus, cách thức hoạt động của virus....
Trên các forum khác, thỉnh thoãng em bắt gặp: tui xài KIS 201x thì làm sao dính được, hay file xxx đó có đuôi vậy thì làm sao là virus, ... ??? Đọc mấy cái post đó thì em "bó 3 chân.com" toàn tập luôn !
Tụi stl coder build file virus và extract ra khi run thành các file có name kể trên chỉ là mạo danh thôi. Em liệt kê luôn size của đám file đó tới thời điểm này:
1. SbieSvc.exe: 44032 bytes
2. SbieMgm.dll: 272384 bytes hoặc 272896 bytes (bản ngày 09-08-2011)
3. TeamViewer_Desktop.exe: 65536 bytes
4. themeui.manifest: 102912 bytes
5. uxtheme.manifest: nhiều vô số kể, kích thước dao đông trong khoãng 102912 bytes
6. TeamViewer.exe: cũng vậy, kích thước khoãng 65536 bytes
So sánh kích thước với các file gốc của TeamViewer và Sandboxie thì biết ngay, khỏi cần liệt kê MD5 vì các file trên có nhiều biến thể, khác nhau vài chục đến vài trăm byte, nên MD5 sẽ khác nhiều.
Đối với user bình thường thì cách kill process, cách del các file trên có thể là hơi khó khăn, nhưng với các anh em RCE, debug, coder hệ thống trong HVA ta thì mấy file đó chỉ là "trò con nít". Em là RCE "nữa mùa", chỉ là thằng "thợ Cơ khí, thợ điện, thợ đá, thợ xxx" quèn thôi mà chỉ cần load vào IDA, xxxDbg là thấy ngay. Em nói đúng không mấy anh "sống chết theo lệnh" ? Em chỉ là "nữa mùa" thôi đấy, gặp mấy thằng "Thằng Cu Em" cao thủ khác nhảy vô là mấy anh tiêu, hết được phát lương, layoff luôn đấy ! Mấy anh nên nhớ, không phải chỉ mấy anh là "cao thủ" thôi nhé, hoành hoành, làm bậy bạ, Việt Nam ta còn rất nhiều bạn trẻ, còn giỏi hơn mấy anh cả chục lần. Nhớ nhé, đừng coi thường người Việt Nam nữa, không phải chỉ có mấy thằng tàu khựa mà mấy anh đang đội trên đầu chỉ là giỏi đâu !
PS: Nhiều lúc em reverse code mấy anh mà em cứ phì cười một mình, bà xã hỏi anh cười gì vậy ? Mấy anh ăn cắp code, độ chế rất giỏi, cho ra biến thể mới rất nhanh, nhưng code của mấy anh thì lại gặp nhiều đoạn code rất chi là "ngớ ngẫn".
Vd nhé: Chuỗi hex string của mấy anh, mấy anh dùng sscanf(xxx, "02X", xxx) để đổi từng cặp hex string ra character. Đầu chuỗi, mấy anh lấy 2 ký tự đầu làm len, lưu cả chuỗi hex vào GDIPlusX key. Giả sử em chơi set 0xFF 0xFF vào đầu cái hex string trong registry đó, bằng tool em phổ biến chẵng hạn, thì con "mèo què" của mấy anh crash không ???? Suy nghĩ kỹ rồi trả lời bằng PM cho em nhé !
Còn nữa, mấy anh sao cứ khoái xài memset, memcpy quá ! Code vậy có optimize không ? Hay kệ cha nó, chạy được, phá được để mấy anh báo cáo xếp Nguyễn Xuân xxxx, Nguyễn (Ngô) Nam xxxx là được rồi, phải không mấy anh ???? |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 12:56:18 (+0700) | #380 | 244841 |
cino
Member
|
|
0 |
|
|
Joined: 29/11/2010 00:50:44
Messages: 37
Offline
|
|
TQN wrote:
Vd nhé: Chuỗi hex string của mấy anh, mấy anh dùng sscanf(xxx, "02X", xxx) để đổi từng cặp hex string ra character. Đầu chuỗi, mấy anh lấy 2 ký tự đầu làm len, lưu cả chuỗi hex vào GDIPlusX key. Giả sử em chơi set 0xFF 0xFF vào đầu cái hex string trong registry đó, bằng tool em phổ biến chẵng hạn, thì con "mèo què" của mấy anh crash không ???? Suy nghĩ kỹ rồi trả lời bằng PM cho em nhé !
Còn nữa, mấy anh sao cứ khoái xài memset, memcpy quá ! Code vậy có optimize không ? Hay kệ cha nó, chạy được, phá được để mấy anh báo cáo xếp Nguyễn Xuân xxxx, Nguễn Nam xxxx là được rồi, phải không mấy anh ????
Em thấy bác hay than phiền ở những đoạn này. Xét về phía virus maker mà nói thì đó chính là những chiêu obfuscation AV trên máy nạn nhân. Hạn chế các tác vụ check. Chạy được/ phá được là được rồi.
PS: sếp NXT, xxx là ai thế bác? |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 13:03:21 (+0700) | #381 | 244842 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Không phải đâu cino, tui không than phiền đâu. Mấy cái đó mà là obfuscation, polymoxxx gì đó thì em đi đầu xuống đất luôn, bỏ nghề tay trái RCE luôn.
Tui từng làm coder và R&D gần chục năm, mấy cái lỗi đó chỉ đơn thuần là lỗi code của coder thôi bạn, chả có obfuscation, polyxxx (đa hình) hay đánh lừa AV gì ráo hết. Phải gọi là code stupid, "ngớ ngẫn" !
Trình độ của stl coder thì còn lâu mới dùng pure ASM và building ASM trong compiler được, chứ nói chi tới mấy kỹ thuật cao cấp đó của tụi 29A, tui Phrackxxx, VxNetlux....
Tui đọc, trace mấy đoạn code ASM, thực sự obfuscated, polyxxx gì đó của mấy team trên là đủ tẩu hoả nhập ma rồi.
Một phần nữa, kỹ năng debug, RCE, đọc code ASM của vC++ compiler sinh ra của các anh stl này còn kém. Không phải chỉ mình mấy anh ấy, tui đã gặp rất nhiều coder C++ rồi, code ầm ầm, nhưng kỹ năng debug, hiểu hệ thống, hiểu compiler thì rất hạn chế.
PS: Anh nói đúng không, rồng châu Á ? Cũng là dân RCE, em đồng ý với anh chứ ? |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 13:48:24 (+0700) | #382 | 244846 |
Nowhereman
Elite Member
|
|
0 |
|
|
Joined: 19/11/2003 06:25:42
Messages: 108
Offline
|
|
tôi xin có một vài ý ciến như sau :
a) STL là một tổ chức tội phạm việt nam sống dưới những tên cơ quan, tổ chức.
b) Chẳng có thàng tàu khựa nào tham gia vào vụ DDOS với mailwale made in Viêt cộng này cả .
c) Theo tôi kô nên sử dụng các phần mềm diệt virus trong nước, vì bạn thử nghĩ xem bao nhiêu người có thể ngờ rằng, nằm sâu thẳm trong linh hồn những phần mềm "bảo vệ" đó là vài dòng lệnh quản lý và điều hành mọi điều thuộc về bạn. ngay sau khi bạn click install ? .
>> trong một cuộc chiến, mọi bên đều có lý do; đúng, sai, phải trái = chịu!!! |
|
lang thang vẫn mãi không nhà
đôi chân lê bước thê lương tháng ngày
càng đi càng thấy đắm say
tình thương con Chúa lòng này chẳng phai
thời gian cứ mãi miệt mài
lang thang đi tiếp ....rồi bay lên z ời
cúi đầu con lạy Ông Trời
xin thươn |
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 14:28:02 (+0700) | #383 | 244849 |
rang0
Member
|
|
0 |
|
|
Joined: 25/07/2011 10:55:47
Messages: 19
Offline
|
|
Nowhereman wrote:
tôi xin có một vài ý ciến như sau :
a) STL là một tổ chức tội phạm việt nam sống dưới những tên cơ quan, tổ chức.
b) Chẳng có thàng tàu khựa nào tham gia vào vụ DDOS với mailwale made in Viêt cộng này cả .
c) Theo tôi kô nên sử dụng các phần mềm diệt virus trong nước, vì bạn thử nghĩ xem bao nhiêu người có thể ngờ rằng, nằm sâu thẳm trong linh hồn những phần mềm "bảo vệ" đó là vài dòng lệnh quản lý và điều hành mọi điều thuộc về bạn. ngay sau khi bạn click install ? .
>> trong một cuộc chiến, mọi bên đều có lý do; đúng, sai, phải trái = chịu!!!
Thế dùng phần mềm nước ngoài thì đảm bảo là an toàn đấy. Nếu muốn an toàn thì tốt nhất là đừng dùng internet. |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 15:20:36 (+0700) | #384 | 244852 |
acoustics89
Member
|
|
0 |
|
|
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
|
|
rang0 wrote:
Nowhereman wrote:
tôi xin có một vài ý ciến như sau :
a) STL là một tổ chức tội phạm việt nam sống dưới những tên cơ quan, tổ chức.
b) Chẳng có thàng tàu khựa nào tham gia vào vụ DDOS với mailwale made in Viêt cộng này cả .
c) Theo tôi kô nên sử dụng các phần mềm diệt virus trong nước, vì bạn thử nghĩ xem bao nhiêu người có thể ngờ rằng, nằm sâu thẳm trong linh hồn những phần mềm "bảo vệ" đó là vài dòng lệnh quản lý và điều hành mọi điều thuộc về bạn. ngay sau khi bạn click install ? .
>> trong một cuộc chiến, mọi bên đều có lý do; đúng, sai, phải trái = chịu!!!
Thế dùng phần mềm nước ngoài thì đảm bảo là an toàn đấy. Nếu muốn an toàn thì tốt nhất là đừng dùng internet.
Đối với malware của STL thì nên dùng phần mềm của symantec  |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 15:32:46 (+0700) | #385 | 244855 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
| Tới nay, em thấy Avira là tốt nhất, cập nhật nhanh nhất đối với các mẫu "mèo què" của stl. |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 15:47:58 (+0700) | #386 | 244856 |
TQN
Elite Member
|
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
2 acoustics89: Khẩn cấp, http://penop.net/top.jpg và http://penop.net/images01.gif lại sống lại.
Thằng images01.gif lần này cũng khác với images01.gif lần trước, vẫn code = VB, size lớn hơn. Em thông báo cho bà con biết thằng nằm vùng nào download top.jpg về cho mọi người biết, thuật toán giãi mã top.jpg để anh viết tool, script luôn ! Gấp em nhé ! Chứ không thì lại có AcrobatUpdater.exe mới để DDOS HVA ta nữa !
Hì hì, mấy anh stl vắt chân lên cổ chạy phải không, chạy dữ ha ! Mà em đề nghị mấy anh dẹp giùm cái flower.bmp, aqua.bmp với plxzyin0fx.bmp đi, em nhìn nó chán quá rồi. Có bao nhiêu bài đó đem xào đi xào lại hoài không ngán à ?
|
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 16:40:47 (+0700) | #387 | 244860 |
acoustics89
Member
|
|
0 |
|
|
Joined: 08/07/2011 10:17:19
Messages: 50
Offline
|
|
2TQN: hàng decode top như anh yêu cầu, vì làm vội nên không đẹp lắm, anh thông cảm
Code:
#include <stdio.h>
#include <conio.h>
#include <windows.h>
int main(int argc, char *argv[])
{
FILE *f; int i;
long lSize;
char *pBuffer, *p;
char v24,v23;
int v7 = 0;
char szOutPut[MAX_PATH] = "";
if ((argc <2) || (argc >3 ))
{
printf("Usage: Decode <Encrypted> <Result>");
exit(1);
}
if (argc == 2)
{
strcpy(szOutPut, "Decoded.txt");
}
else strncpy(szOutPut, argv[2],MAX_PATH);
f = fopen(argv[1], "rb"); //doc file da ma hoa
if (f)
{
fseek(f, 0, SEEK_END);
lSize = ftell(f);
fseek(f, 0, SEEK_SET);
pBuffer =(char*) malloc(lSize+1024);
if(pBuffer)
{
p = (char *)pBuffer+ 4;
memset(pBuffer, 0, lSize+1024);
fread((char*)pBuffer, lSize, 1, f);
for ( i = 8; i < lSize; ++i )
{
v24 = p[v7 % 4];
v23 = pBuffer[i];
v23 = (v24 ^ v23) % 256;
pBuffer[i] = v23;
v7++;
//v8 += v23 * v7++ % 7;
}
}
fclose(f);
if (pBuffer)
{
f = fopen(szOutPut, "wb");
if (f)
{
fwrite((char*)pBuffer, lSize, 1, f); // ghi lai noi dung da giai ma
fclose(f);
}
else printf("Can not open output file.");
delete[] pBuffer ;
}
}
else printf("Can not open input file.");
return 0;
}
bạn này vẫn dùng http://second.dinest.net/xv.jpg và http://second.dinest.net/xc.jpg , user agent như cũ.
Các thành phần khác đang phân tích....  |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 17:10:08 (+0700) | #388 | 244862 |
![[Avatar]](/hvaonline/images/avatar/5dca4c6b9e244d24a30b4c45601d9720.jpg "[Avatar]")
|
rongchaua
Elite Member
|
|
0 |
|
|
Joined: 19/01/2003 04:09:23
Messages: 124
Offline
|
|
Không phải chỉ mình mấy anh ấy, tui đã gặp rất nhiều coder C++ rồi, code ầm ầm, nhưng kỹ năng debug, hiểu hệ thống, hiểu compiler thì rất hạn chế.
PS: Anh nói đúng không, rồng châu Á ? Cũng là dân RCE, em đồng ý với anh chứ ?
Em nghĩ không phải rất nhiều mà em nghĩ ít cũng 90% Coder (cho tất cả các loại ngôn ngữ lập trình) đều không quan tâm đến việc tìm hiểu hệ thống và compiler vì xu hướng phát triển của Coder là hướng "lên". Tức là sẽ hướng tới tổ chức code , quản lý module, quản lý dự án, tổ chức test cases,... (như hướng đi của em hiện tại) --> Software Engineering
Phần 10% còn lại vì lý do phải lập trình hệ thống nên hướng đi "xuống". Tức là tìm hiểu chuyên sâu về hệ điều hành, mã sinh, bảo mật,driver,... thì mới có điều kiện đi sâu vào nghiên cứu, tối ưu --> Reverse Engineering.
Vì vậy em hoàn toàn đồng ý với anh về điểm này. |
|
| My website: http://rongchaua.net |
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 18:39:58 (+0700) | #389 | 244864 |
cino
Member
|
|
0 |
|
|
Joined: 29/11/2010 00:50:44
Messages: 37
Offline
|
|
TQN wrote:
Không phải đâu cino, tui không than phiền đâu. Mấy cái đó mà là obfuscation, polymoxxx gì đó thì em đi đầu xuống đất luôn, bỏ nghề tay trái RCE luôn.
Tui từng làm coder và R&D gần chục năm, mấy cái lỗi đó chỉ đơn thuần là lỗi code của coder thôi bạn, chả có obfuscation, polyxxx (đa hình) hay đánh lừa AV gì ráo hết. Phải gọi là code stupid, "ngớ ngẫn" !
Chào bác. Đấy là em nghĩ tới phương diện là 1 con malware transparent với AV - với những công nghệ Heuristic, Sandbox... "thông minh" cũng thừa sức analyze đám "clearly malware" như vầy, chưa kể AV cấp cao còn có chức năng scan network traffic/ header... Rồi với những con "siêu đa hình" cũng bị dập cho bẹp gí thì sá gì con cùi bắp của mấy attacker đang đề cập ở đây.
Em không nói đến ở mức độ decompile, disasm, operator hay coding convention, tier architecture, software en.. gì gì gì. Và em chưa từng thử, cũng như chưa từng view processes của mấy mẫu gửi ở đây. Trình em từ lâu tới giờ máy mó "thực hành" con IDM (Internet Download Manager) toàn failed over thì lấy đâu ra. Tiện thể em nghĩ các bác scan mấy chú IDM hàng chùa xem thử, thứ đó cũng phổ biến chả kém gì Unikey hay Vietkey đâu. Đấy là chưa kể các Hệ điều hành 10k/disk bán ngoài chợ, lâu lâu lại phòi ra 1 chú "quản trị cấp hệ thống" hù chơi. Thảm hoạ chẳng kém gì "Da nâu" của dòng nhạc Việt |
|
|
|
|
| [Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
10/08/2011 19:08:08 (+0700) | #390 | 244865 |
texudo
Member
|
|
0 |
|
|
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
|
|
http://linkhay.com/126browser-trinh-duyet-web-made-in-viet-nam/510673
Còn đây nữa, thấy cái 126Browser này quảng cáo dữ quá: "Trình Duyệt Của Người Việt" nhưng lòi ra một đống code comments toàn của Khựa. Server vina126.com host tại FPT nhưng cũng setup localization toàn tiếng Khựa. (có thể nó tự setup sever tại công ty chứ không thuê ở FPT).
Thấy cái này nguy hiểm quá đi, ở các chung cư mình thấy nhan nhản quảng cáo về trình duyệt này. Còn công ty quảng cáo này là Gold SUN...chuyên quảng cáo qua LCD gắn ở các siêu thị, chung cư. Chủ Công ty quảng cáo Gold SUN là một người Trung Quốc, công ty này cũng có "tiền án" trong quá khứ khi quảng cáo có hiện bản đồ Việt Nam nhưng không có quần đảo Hoàng Sa và Trường Sa.
Liệu có mối liên hệ nào không?
|
|
|
| Users currently in here |
|
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận virus, trojan, spyware, worm...
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[Email]](/hvaonline/templates/viet/images/icon_email.gif "[E-mai]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")