Em thấy các bác nên nghiêng về kỹ thuật chút , tuy đọc không hiểu mấy mà thấy a TQN vừa phân tích vừa vạch trần STL thấy cũng thú vị , ngày nào cũng phải lên coi "update tin tức" .
P/S VietNamNet vào 23h15 e thấy chậm quá , chắc đang bị đấm túi bụi . 

e) quan trọng là nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ....né đòn ra làm sao ?hì hì. làm sao để balance server ? ( ví dụ như config rounter nhu' the' nao? mo rong bang thong ? thay doi policies can, loc .v.v. contact , hoac dap chet bon master server kia ra sao ? fan ung' nhanh cần fai? lam gi ? abc..v.v.v ) ui, cái này khó và hay lắm anh kể cho tui em nghe nha anh .
 

f) việc liên đới bọn stl này với những thông tin và thông số kỹ thuật, thậm chí cả cách code và loại tư tưởng mà bạn dò được, thế là mình có mấy chục % hiểu và biết bọn sư tổ lợn ( stl ) là ai mà .
 

kutruoi wrote:

e) quan trọng là nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ....né đòn ra làm sao ?hì hì. làm sao để balance server ? ( ví dụ như config rounter nhu' the' nao? mo rong bang thong ? thay doi policies can, loc .v.v. contact , hoac dap chet bon master server kia ra sao ? fan ung' nhanh cần fai? lam gi ? abc..v.v.v ) ui, cái này khó và hay lắm anh kể cho tui em nghe nha anh .
 

Câu "nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ...." nghe có cứ .................

Đọc kỹ sẽ thấy anh nói hết rồi mà.
- Cách triệt để nhât là phải tiêu diệt nguồn DDoS trước khi nghĩ đến biện pháp chống -> cái này thuộc về anh TQN và các anh em khác bằng cách RCE code Virus của STL và gửi report đến các hãng diệt virus -> Diệt được vô số Bot. nếu có 10 con thì diệt được 9 hoặc 8 con là đã giúp cho HVA giảm được 80%.
- Sử dụng thêm 1 Server ở EU có băng thông 1 Gbps <-- cái này khá tốt. tác dụng thì khỏi phải bàn, còn về việc load balance thì cũng giống như trước đây HVA chạy 2 server, 1 ở JAPAN và 1 ở US.
- HVA không hack các server khác. vì anh conmale không thích "break laws". vì thế nên có thể là đã viết email contact với bên cung cấp dịch vụ của STL.
Còn thêm các biện pháp chống khác thì với chúng ta thì với điều kiện đang có nếu Sờ Ti Lợn tấn công vào thì chắc cũng chỉ nằm yên đợi chết hoặc trông chờ vào Government ? chứ không có đủ điều kiện để kiếm đâu ra nhiều server khủng và đặt nhiều nơi trên thế giới như HVA.
Phần cản lọc chắc là liên hệ với ISP có quyền và khả năng. vì giả sử cái server con con của chúng ta mà bị DDoS có set firewall cho Deni hết hay Ban hết mấy cái IP thì đống Bot kia nó cứ DDoS vào chắc cũng bị "ngập". nên chắc phải liên hệ và có sự giúp đỡ của ISP.

kutruoi wrote:

f) việc liên đới bọn stl này với những thông tin và thông số kỹ thuật, thậm chí cả cách code và loại tư tưởng mà bạn dò được, thế là mình có mấy chục % hiểu và biết bọn sư tổ lợn ( stl ) là ai mà .
 

Bọn STL này là 1 nhóm code. vì vậy nhiều thằng code thối lắm. vì thế nên có đọc code cũng khó lắm mà biết được thằng nào code. không thể có được mấy chục % nhờ RCE code của bọn này. vì nếu tôi code 1 chương trình thế nào thì thằng bạn tôi học cùng thầy giáo cũng sẽ code gần giống thậm chí code giống như vậy, ngoài ra đa số STL đều lên mạng lấy code về đạo đạo, nên có thể thấy mấy thằng này không có tư duy, mà code theo kiểu chắp chắp vá vá như vá áo rách chứ không may hẳn từ đầu đến cuối 1 cái áo.
Có thêm vụ có IP của STL nữa + thành viên của HVA rất đông, chắc chắn có người làm cho các ISP lớn nên chắc không khó để có chính xác thông tin của tài khoản đăng ký ADSL đó. từ đó cũng có thể lần ra được vô số. vì các thông tin cung cấp public trên đấy chỉ là 1 phần nhỏ, chứ không phải tất cả các thông tin mà các anh thu thập được đều post lên đây hết 

@conmale

Có 1 vấn đề này em hay bị mắc phải

khi truy cập vào / ( tab 1 ) click vào Forum nó sẽ nhảy ra cái /tof/ ở 1 new tab mới ( tab 2 ) . Nhưng khi em tắt cái ( tab 2 ) rồi click vào cái link forum ở ( tab 1 ) thì nó lại trả về /null. Phải tắt trình duyệt đi mở lại mới vào được. 

Tới sáng nay, stl vẫn dai dẵng ddos vào các site, blog sau, dùng hai thằng bot nằm vùng SbieMgm.dll và SbieSvc.exe
1. http://danlambaovn.blogspot.com
2. http://www.aihuuphuyen.org
3. http://nguoiduatinkami.wordpress.com
4. http://vrvradio.com
5. http://aotrangoi.com
6. http://viettan.org
7. http://dangviettan.wordpress.com
8. http://radiochantroimoi.com
9. http://radiochantroimoi.wordpress.com

Ở trên là config của backgrounds.jpg, còn showthread.php thì hơi khác một chút, tập trung chính vào danlambao:
Code:

GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive
 http://danlambaovn.blogspot.com

GET /favicon.ico HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: image/png,image/*;q=0.8,*/*;q=0.5\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive
 http://danlambaovn.blogspot.com
/favicon.ico

GET /2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nReferer: http://danlambaovn.blogspot.com/
 http://danlambaovn.blogspot.com
/2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html

GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nIf-Modified-Since: Thu, 11 Aug 2011 <(TAG{ 10 23}/TAG)>:<(TAG{ 10 50}/TAG)>:<(TAG{ 20 59}/TAG)> GMT\r\nIf-None-Match: "<(TAG{ 4 ------}/TAG)>-<(TAG{ 1341 5352}/TAG)>-<(TAG{ 2 ------}/TAG)>-<(TAG{ 3521 8953}/TAG)>-<(TAG{ 6 ------}/TAG)>"\r\nReferer: http://danlambaovn.blogspot.com/2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html
 http://danlambaovn.blogspot.com

Dù không liên quan tới HVA chúng ta nhưng hành động ddos thì không thể chấp nhận được. Mong các bạn phổ biến, tìm diệt 2 file kể trên. 

Có một khía cạnh đơn giản nhưng quan trọng có lẽ nên đề cập đó là quá trình biến máy con thành zombie của "AcrobatUpdater.exe".

Trong suốt quá trình nhiễm này, có hai tiểu đoạn:

1. Tạo ra:
C:\Program Files\Adobe\Updater6
[ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe

2. Điều chỉnh registry:
- Với key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ],
Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ]

- Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Run ],
Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ]

- Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ],
Value Name: [ CURRENT ], New Value: [ 2011-07-20 16:28:52 ]

- Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ],
Value Name: [ DATA ], New Value: [ 0x5d4c3c3d3f4b572501120204081e0371454349440e5f514c24484d550e13 ]

Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi.

Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe? Hãy gác qua chuyện tạo máy con làm zombies để DDoS mà hãy hình dung xem, hàng trăm ngàn máy con bị điều khiển, bị đánh cắp thông tin (có thể có cả những máy có thông tin quan trọng bởi vì trong danh sách IP tấn công HVA có cả những IP thuộc các ban ngành của chính phủ). Liệu đây là chuyện có thể xem nhẹ và làm ngơ? 

PXMMRF wrote:

Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.
 

Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN.

Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" . 

conmale wrote:

Có một khía cạnh đơn giản nhưng quan trọng có lẽ nên đề cập đó là quá trình biến máy con thành zombie của "AcrobatUpdater.exe".

Trong suốt quá trình nhiễm này, có hai tiểu đoạn:

1. Tạo ra:
C:\Program Files\Adobe\Updater6
[ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe

2. Điều chỉnh registry:
- Với key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ],
Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ]

- Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Run ],
Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ]

- Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ],
Value Name: [ CURRENT ], New Value: [ 2011-07-20 16:28:52 ]

- Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ],
Value Name: [ DATA ], New Value: [ 0x5d4c3c3d3f4b572501120204081e0371454349440e5f514c24484d550e13 ]

Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi.

Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe? Hãy gác qua chuyện tạo máy con làm zombies để DDoS mà hãy hình dung xem, hàng trăm ngàn máy con bị điều khiển, bị đánh cắp thông tin (có thể có cả những máy có thông tin quan trọng bởi vì trong danh sách IP tấn công HVA có cả những IP thuộc các ban ngành của chính phủ). Liệu đây là chuyện có thể xem nhẹ và làm ngơ? 

conmale wrote:

PXMMRF wrote:

Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.
 

Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN.

Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" . 

Có lẽ anh conmale nhầm ở điểm nào đó, STL bot chạy và hoạt động không cần quyền Administrator ở Windows XP. 

Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL . 

Hì hì, câu này mình nói với ý khác. Vì axasin thông báo là cài cái Malicious Unikey mà bạn ấy download về chỉ tạo các file virus MSHelpCenter.* trong Windows 7 thôi , còn trong Win XP thì không được (nghĩa là Win XP thì không bị nhiễm virus khi cài malicious Unikey nói trên). Vì số người ở VN dùng Win 7 còn ít, nên tôi suy diễn tiếp theo ý axasin như vậy (cũng có ý giỡn vui với rang0 chút chút)

Đây là suy diễn theo nhận định của axasin. Chứ tôi đương nhiên là không nghĩ như vậy. Tôi nghĩ máy trên mạng VN hầu hết là cài Win XP và tỷ lệ máy cài Win XP bị nhiễm STL virus-trojan là rất cao.
Cần nói thêm là hiện đang có nhiều loại (version) malicious Unikey và Vietkey trên mạng. Malicious Unikey mà axasin cài khác với của lequi đã cài. Còn có nhiều malicious Unikey khác trên mang nũa. Kinh!  

Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL .
Có lẽ anh format ổ đĩa với NTFS format ? 

bolzano_1989 wrote:

Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL .
Có lẽ anh format ổ đĩa với NTFS format ? 

Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware. 

bolzano_1989 wrote:

Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL .
Có lẽ anh format ổ đĩa với NTFS format ? 

Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware. 

conmale wrote:

bolzano_1989 wrote:

Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL .
Có lẽ anh format ổ đĩa với NTFS format ? 

Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware. 

Virus của STL ở máy em đề cập được khởi động mỗi khi mở máy tính bằng cách tạo giá trị SbieSvc trong khoá Run của HKCU (HKEY_CURRENT_USER) registry hive (ta không cần quyền Administrator mà chỉ cần quyền của Limited account để ghi vào khóa này):
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
SbieSvc (Sandboxie Service)
Publisher: (Not verified) tzuk
%userprofile%\application data\sandboxie\sbiesvc.exe 

mv1098 wrote:

@conmale

Có 1 vấn đề này em hay bị mắc phải

khi truy cập vào / ( tab 1 ) click vào Forum nó sẽ nhảy ra cái /tof/ ở 1 new tab mới ( tab 2 ) . Nhưng khi em tắt cái ( tab 2 ) rồi click vào cái link forum ở ( tab 1 ) thì nó lại trả về /null. Phải tắt trình duyệt đi mở lại mới vào được. 

Hì hì, vậy thì đừng tắt tab2 mà chỉ tắt tab1 và cứ thế mà dùng. Tắt tab2 và trở lại tab1 để click thì "nó" nghĩ đó là zombie cho nên nó "null" liền. Logic nằm ở chỗ đi theo từ tab1 đến tab2 và dùng tab2 chớ không ai đi ngược lại hết. 

@anh PXMMRF, conmale, bolzano_1989


Trong Windows XP đăng nhập bằng account limited

khi 1 ứng dụng thay đổi trong Registry liên quan đến HKEY_LOCAL_MACHINE hoặc liên quan đến các system folder thì nó sẽ bị limited và yêu cầu chạy trên tài khoản Administrator

Nhưng nếu những ứng dụng thay đổi trong Registry chỉ liên quan đến HKEY_CURRENT_USER thì nó vẫn có thể thực hiện được.

( ở đây là các ứng dụng chưa được setup trên Windows trước đó )