banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 15:17:25 (+0700) | #661 | 245839
texudo
Member

[Minus]    0    [Plus]
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
[Profile] [PM]
http://www.virustotal.com/file-scan/report.html?id=ea8ed86c2ef87da60d096025291d5d517b397a3c95e8354f5a2fb96eb7a5132d-1314261104

Mấy cái files này bị một đống trình AVs phát hiện rồi mà.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 15:43:51 (+0700) | #662 | 245841
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Hello 1visao,

Nhờ 1visao tìm trên máy xem có cái "WS2_32.dll" không? Nếu có vui lòng upload lên giúp luôn nha? Cám ơn.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 15:50:14 (+0700) | #663 | 245842
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

conmale wrote:

1visao wrote:
chắc đây là mẫu mới của đám Malware Sinh tử lệnh, TQN cần file gì để mình gửi
dùng tcpview bắt được .

chuyển qua proxy thì thấy liên tục gửi request đến địa chỉ vietnamnet


Địa chỉ download file ituneshelp


http://www.mediafire.com/?my3ge2sqvnlno76


13:20 pm , sau khi post bài này đã ngưng gửi request tới Vietnamnet , thêm vào đó thấy được mấy địa chỉ lạ

http://daily.leteaks.com/index.txt?
http://wide.ircop.cn/index.txt?
http://pref.firebay.cn/index.txt?
http://link.susaks.com/index.txt?



 



Ha ha, hoan hô 1visao smilie

Cái này là đích thị con nai vàng tấn công vietnamnet rồi. Sẽ cập nhật thêm thông tin.

Các bạn CMC có bị đám bot tấn công không? Có IP (cho leased line) nào là 183.91.14.15 và 183.91.14.15 của CMCTI.vn đang sử dụng mà bị đập không?

Thêm:

Hoá ra 183.91.14.15 thuộc infrastructure của CMCTI.vn và IP này dùng để host tuanvietnam.vietnamnet.vn. Còn 183.91.14.11 thì host vef.vn.

Ngoài ra, vietnamnet.vn bị đánh vào 2 IP khác nhau (2 A records: 123.30.133.166 và 117.103.197.249). Còn vietnamweek.net host ở bên Mỹ (209.160.52.52) cũng chịu chung số phận.

Botnet này đánh vô tất cả các sites quan trọng của vietnamnet.


Cập nhật:

Tất cả zombies của botnet này hiện trỏ về master ở 200.74.244.198. IP này thuộc Panama. Nếu cần chặn, vncert có thể phối hợp các ISP để chặn ngay trên ISP level.

Hiện giờ chỉ có mỗi Kaspersky nhận diện con trojan này là: Trojan.Win32.Diple.acxu.


PS: sẵn tiện thông báo luôn cho công luận biết là nhóm thành viên HVA lộ diện trong việc phân tích và truy tìm malware của stl thường xuyên bị đe doạ bằng nhiều cách khác nhau. Hành vi phạm pháp và vô đạo đức bằng kỹ thuật nay bắt đầu chuyển sang hướng đe doạ. Xin thông báo để bà con rõ mức độ tồi tệ của sự việc


Khi unrar con iTunes.rar ta có 4 files:

data.mdf
iTunesHelper-tray.exe
iTunesHelper.exe
ITUNESHELPER.EXE-2BE8106E.pf
Thì thưc ra file data.mdf mới bị detect là 1 Trojan. Avira cũng đã detect nó là Trojan TR/Diple.acju
Nhưng tôi lại nghi thành phần chính của DDoS tool là file iTunesHelper.exe cơ!
Đang thử nghiệm thưc tế.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 15:57:36 (+0700) | #664 | 245845
weasel1026789
Member

[Minus]    0    [Plus]
Joined: 25/06/2011 23:51:19
Messages: 10
Offline
[Profile] [PM]
Em vừa submit file ituneshelper.exe lên web của: Symantec, McAfee, Nod32, Microsoft, Avast, AVG, Bitdefender.
Em tự hỏi chúng ta có nên liên lạc với danlambaovn nhờ họ thông báo rộng rãi cho đọc giả giúp submit các file nhiễm trojan STL lên các website của các chương trình antivirus không?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 16:01:07 (+0700) | #665 | 245846
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

weasel1026789 wrote:
Em vừa submit file ituneshelper.exe lên web của: Symantec, McAfee, Nod32, Microsoft, Avast, AVG, Bitdefender.
Em tự hỏi chúng ta có nên liên lạc với danlambaovn nhờ họ thông báo rộng rãi cho đọc giả giúp submit các file nhiễm trojan STL lên các website của các chương trình antivirus không? 


Ta nên kiểm tra kỹ hơn và cũng nên kiểm tra trong thưc tế, khi có kết quả chính xác thì thông báo cũng kịp
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 16:23:56 (+0700) | #666 | 245848
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
1visao gửi thêm 2 log Autoruns, Autorunsc (Autoruns command-line) cho mình theo đúng hướng dẫn ở các bài viết sau nhé:

Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/

Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line)
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/

Giờ mình phải đi đến tối khuya, khi về mình sẽ xem cho bạn ngay, bạn chịu khó đừng xóa virus bằng bất cứ công cụ hay phần mềm nào nhé smilie .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 17:26:46 (+0700) | #667 | 245853
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đặc sệt code của stl coder, CString + zlib + encode tá lã.
Lần này, mấy anh lại đi ăn cắp code nữa rồi mấy anh, libcurl chơi bê nguyên xi vậy à ? Hay là bản chất đại ca tàu khựa của mấy anh ăn cắp quen rồi nên mấy anh chỉ biết dùng đồ ăn cắp hay nhiểm ăn cắp luôn rồi.
Em gặp nhiều "mèo què" rồi, nhưng chưa bao giờ gặp đám "mèo què" nào như của tụi anh, đạo code, mạo danh các ct nổi tiếng. Hèn, hèn, hèn hạ hết chổ nói. Đx, chỉ biết nói thêm một câu, "khốn nạn", nhưng nói rồi thấy hình như chưa đủ "đô".
Em tức quá chửi luôn: bà con cẩn thận, tụi stl này giãy giụa, vùng vẫy, cắn càn như một đám chó điên rồi bị người dân dồn và đập rồi, ai đụng tới tụi nó thì tụi nó hết trò, chỉ biết ddos đáp trả thôi.
Run nó lên, nó sleep một đỗi rồi bắt đầu ồ ạt tấn công liền 1 loạt 3 địa chỉ của Vietnamet. Em đang rce đoạn code giải mã file .txt của nó.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 19:10:00 (+0700) | #668 | 245857
[Avatar]
sonngh
Member

[Minus]    0    [Plus]
Joined: 04/11/2010 01:10:40
Messages: 37
Location: Thiên đường
Offline
[Profile] [PM]
Xem trên TCPView nó báo như vầy :




Mình đang vào HVA không mở thêm 1 tab nào khác .

Ordeal but No Failure !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 20:10:08 (+0700) | #669 | 245863
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Thằng coder của con fake ITunes này là coder C++, chỉ quen dùng C++ ATL/MFC string, trong khi toàn bộ source của libcurl là pure C.

Avira đã có trả lời, mới up hồi chiều, nhanh thật: http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=809945

Bạn 1visao vui lòng up giùm file Autoruns của bạn, vì chắc chắn trên máy bạn còn 1 thằng nằm vùng khác download ituneshelper.exe về. File data.mdf cũng chính là ituneshelper.exe nhưng có version cũ hơn.
Tức là lúc đầu con nằm vùng đó download ituneshelper.exe ver cũ về, sau đó một thời gian, nó kết nối tới đâu đó, thấy có lệnh cập nhật, nó down ituneshelper.exe mới về, kill process ituneshelper.exe cũ, rename, copy ituneshelper.exe mới vào thư mục ban đầu rồi run, đăng ký autorun. Và sẽ có một website nào đó nữa ta chưa biết chứa con trojan và file ra lệnh cập nhật này.

PS: Em nói đúng không mấy anh stl. RCE code mấy anh riết ngán quá rồi smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 20:51:28 (+0700) | #670 | 245864
totden
Member

[Minus]    0    [Plus]
Joined: 07/10/2008 02:37:47
Messages: 17
Offline
[Profile] [PM]

TQN wrote:
Thằng coder của con fake ITunes này là coder C++, chỉ quen dùng C++ ATL/MFC string, trong khi toàn bộ source của libcurl là pure C. 


em không biết nó vô ý hay cố tình chứ em thấy code lần này khó đọc vãi ... smilie)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 21:01:07 (+0700) | #671 | 245866
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
Đúng 100% iTunesHelper.exeDDoS tool của STL. Nó tấn công khá nhanh và khá manh, liên tục vào 7 IP, đều là của vietnamnet.vn. Nghĩa là nó tấn công toàn bộ kết cấu hạ tầng của vietnamnet.vn, từ các webserver đến các Route. Kinh khủng và liều mạng.

Mấy cậu nhóc VN thì đâu có kiến thức về kết cấu hạ tầng mạng để có thể tấn công như vậy. Các bác VN nhiều tuổi, giỏi và có kinh nghiệm về IT Network thì có cho kẹo cũng không dám làm, vì vietnamnet.vn là tờ báo mạng lớn và quan trọng của nhà nước, động vào là rất phiền.

Chỉ có các bác Khựa ngang ngược, ỷ thế nước lớn, coi VN không ra gì, mới làm như vậy.

Báo cao khảo sát thưc tế đã xong, đang hoàn tất thêm chút ít (chủ yếu là xem lai kết cấu hạ tầng mạng của vietnamnet.vn) và sẽ post lên.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 21:20:24 (+0700) | #672 | 245868
[Avatar]
tanviet12
Member

[Minus]    0    [Plus]
Joined: 10/05/2010 12:15:15
Messages: 138
Location: TP - HCM
Offline
[Profile] [PM] [Email]
Chắc chắn là của mấy bác Tàu. Vietnamnet luôn có những bài viết sau sắc và "lớn tiếng" với tụi Tàu.. Nên nó lại muốn dập đây mà.
Hiện tại (10:19 25/08/2011) thì chỉ có tuanvietnam là vào được smilie
BTV
fb.com/buitanviet
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 21:44:37 (+0700) | #673 | 245870
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
2 totden: Dĩ nhiên rồi, code C++ mà dùng WTL, ATL, MFC, std, boost thì RCE cực bỏ xừ. Nhưng nếu quen và đã từng code, debug trên các library đó thì sẽ dể dàng hơn.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 21:58:18 (+0700) | #674 | 245873
vnchampion
Member

[Minus]    0    [Plus]
Joined: 16/06/2008 11:53:49
Messages: 8
Offline
[Profile] [PM]
Chào các bác ! smilie
Trời ạ, Hôm nay em mới seach từ Khoá Unikey nethoabinh

Hiện tại trang web nethoabinh.com là trang web của em smilie
Thực sự em đọc topic này mà rùng rợn người.
Từ trước tới nay em cài bao nhiêu phần mêm viruts quét rùi
mà file unikey em tải lên là File sạch

Giờ lại thấy các bác báo cáo thế, Em lại update và quét thì quả thật có báo

http://www.virustotal.com/file-scan/report.html?id=298452c3c9f0c638bea809bb8d4d890c6802272a5cc0aac7064531bbae98627e-1314287130

Em không biết một tí gì vì em load trực tiếp trên trang chủ của Unikey.org ????

Rùi update lại cho anh em dùng thôi - Giờ lại ra thế này thì em cũng chả biết phải tin vào ai bây giờ smilie.

Nếu đợt tấn công vừa rồi là nguyên nhân do file unikey của bên em phát tán thì em thật sự xin lỗi và Em thề là không biết một tí gì vì tin tưởng load trên trang chủ và
quét các phần mềm diệt viruts rùi

Em xin cảm ơn.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 22:00:12 (+0700) | #675 | 245874
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

TQN wrote:
Thằng coder của con fake ITunes này là coder C++, chỉ quen dùng C++ ATL/MFC string, trong khi toàn bộ source của libcurl là pure C.

Avira đã có trả lời, mới up hồi chiều, nhanh thật: http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=809945

Bạn 1visao vui lòng up giùm file Autoruns của bạn, vì chắc chắn trên máy bạn còn 1 thằng nằm vùng khác download ituneshelper.exe về. File data.mdf cũng chính là ituneshelper.exe nhưng có version cũ hơn.
Tức là lúc đầu con nằm vùng đó download ituneshelper.exe ver cũ về, sau đó một thời gian, nó kết nối tới đâu đó, thấy có lệnh cập nhật, nó down ituneshelper.exe mới về, kill process ituneshelper.exe cũ, rename, copy ituneshelper.exe mới vào thư mục ban đầu rồi run, đăng ký autorun. Và sẽ có một website nào đó nữa ta chưa biết chứa con trojan và file ra lệnh cập nhật này.

PS: Em nói đúng không mấy anh stl. RCE code mấy anh riết ngán quá rồi smilie
 


Master webserver có thể là một trong 2 webserver này:

www.rackspace.com IP 207.97.209.147, đặt tai Mesa, AZ, United States
host-200-74-244-198.ccipanama.com IP 200.74.244.198 , đặt tai Panama (không xác định được tỉnh nào?)

Hiện nay chưa có thời gian check để xác định cụ thể là webserver nào? Vừa qua cũng chưa thấy có kết nôi download file từ webserver đến máy nạn nhân (client).

Riêng việc các bác "16 chữ vàng" đặt và vận hành được webserver ở tận Panama thì quả thật em phải ngả mũ cúi chào. Chỉ có nước các bác lắm tiền, nhiều quân thì mới đủ sức đầu tư đến tận châu Phi, châu Mỹ Latinh. Chắc nước VN chúng em thì chịu.

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 22:08:42 (+0700) | #676 | 245875
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

vnchampion wrote:
Chào các bác ! smilie
Trời ạ, Hôm nay em mới seach từ Khoá Unikey nethoabinh

Hiện tại trang web nethoabinh.com là trang web của em smilie
Thực sự em đọc topic này mà rùng rợn người.
Từ trước tới nay em cài bao nhiêu phần mêm viruts quét rùi
mà file unikey em tải lên là File sạch

Giờ lại thấy các bác báo cáo thế, Em lại update và quét thì quả thật có báo

http://www.virustotal.com/file-scan/report.html?id=298452c3c9f0c638bea809bb8d4d890c6802272a5cc0aac7064531bbae98627e-1314287130

Em không biết một tí gì vì em load trực tiếp trên trang chủ của Unikey.org ????

Rùi update lại cho anh em dùng thôi - Giờ lại ra thế này thì em cũng chả biết phải tin vào ai bây giờ smilie.

Nếu đợt tấn công vừa rồi là nguyên nhân do file unikey của bên em phát tán thì em thật sự xin lỗi và Em thề là không biết một tí gì vì tin tưởng load trên trang chủ và
quét các phần mềm diệt viruts rùi

Em xin cảm ơn.  


Không! File Unikey của em upload lên website của em (nethoabinh.com) là file Unikey sạch mà. Anh đã kiểm tra kỹ và đã có báo cáo chi tiết trong topic này (ở các trang đầu topic). Unikey này bạn lequi download về, nghi là có virus, nhưng thưc tế là file sạch, chạy tốt.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 22:47:10 (+0700) | #677 | 245881
vnchampion
Member

[Minus]    0    [Plus]
Joined: 16/06/2008 11:53:49
Messages: 8
Offline
[Profile] [PM]

PXMMRF wrote:

vnchampion wrote:
Chào các bác ! smilie
Trời ạ, Hôm nay em mới seach từ Khoá Unikey nethoabinh

Hiện tại trang web nethoabinh.com là trang web của em smilie
Thực sự em đọc topic này mà rùng rợn người.
Từ trước tới nay em cài bao nhiêu phần mêm viruts quét rùi
mà file unikey em tải lên là File sạch

Giờ lại thấy các bác báo cáo thế, Em lại update và quét thì quả thật có báo

http://www.virustotal.com/file-scan/report.html?id=298452c3c9f0c638bea809bb8d4d890c6802272a5cc0aac7064531bbae98627e-1314287130

Em không biết một tí gì vì em load trực tiếp trên trang chủ của Unikey.org ????

Rùi update lại cho anh em dùng thôi - Giờ lại ra thế này thì em cũng chả biết phải tin vào ai bây giờ smilie.

Nếu đợt tấn công vừa rồi là nguyên nhân do file unikey của bên em phát tán thì em thật sự xin lỗi và Em thề là không biết một tí gì vì tin tưởng load trên trang chủ và
quét các phần mềm diệt viruts rùi

Em xin cảm ơn.  


Không! File Unikey của em upload lên website của em (nethoabinh.com) là file Unikey sạch mà. Anh đã kiểm tra kỹ và đã có báo cáo chi tiết trong topic này (ở các trang đầu topic). Unikey này bạn lequi download về, nghi là có virus, nhưng thưc tế là file sạch, chạy tốt.
 

Dạ vâng anh nói em yên tâm hơn rùi smilie
Lâu lắm em mới vào lại HVA smilie nên giờ mà có mệnh hệ gì em cũng buồn lắm
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 23:16:11 (+0700) | #678 | 245882
vnchampion
Member

[Minus]    0    [Plus]
Joined: 16/06/2008 11:53:49
Messages: 8
Offline
[Profile] [PM]

texudo wrote:
2 trang YeuHoaBinh.com và NetHoaBinh.com có rank là 682 và 688 (theo thứ tự các website ViệtNam) trên Alexa.

Và...việc tìm kiếm tới UniKey luôn đứng đầu 2 site này...chứng tỏ bà còn Việt bị nhiễm malware hơi nhiều.

http://www.alexa.com/siteinfo/nethoabinh.com

http://www.alexa.com/siteinfo/yeuhoabinh.com

Một điều đáng ngạc nhiên là như lequi nói: Khi search google về Flash Player download thì NETHOABINH.COM đứng trong top đầu mới kinh. Tuy nhiên link tới mediafire.com đã bị delete, ai có file Flash Player này thì tốt quá.

Mà cái bạn "LAM VOI" trên NETHOABINH có vẻ hâm mộ TQ quá, avatar là anh LÝ THÀNH LONG, lại còn học tiếng Trung Quốc....

@lequi: check traffic qua nettop cho các domain mà bạn đưa ra thì hầu hết là ZERO, và các domain này vừa mới được thiết lập (vào khoảng thời gian đầu tháng 7). 

Chào Bạn mình là Admin của nethoabinh.com
Nay tình cờ vào xem topic này
Mình xin được tích cực tham gia nếu các phần mềm của mình bị dính
các phần mềm đó thì Mình sẽ gỡ sạch và tạ lội với anh em
Vì thực sự mình cũng hơi chủ quan

Mình xin gửi bạn 4 File flash mình update trên nethoabinh
và 1 file unikey

Link dơnload: http://nethoabinh.com/data/flash-nethoabinh.com.zip

@ Lâm voi: là tớ , và ảnh avartar là ảnh của tớ, Chỉ là thích lý tiểu long nên học Côn thôi. Yêu lý tiểu long nhưng Ghét Khựa smilie. Không cùng quan điểm đâu nhé
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 23:27:22 (+0700) | #679 | 245883
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
@anh PXMMRF

host-200-74-244-198.ccipanama.com IP 200.74.244.198 , đặt tai Panama (không xác định được tỉnh nào?)

Nó nằm ở Panama City luôn anh à, thủ đô của nó là Panama luôn

theo suy luận của em chắc là 200.74.244.198 vì có cái nginx quen thuộc
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/08/2011 23:40:52 (+0700) | #680 | 245885
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Lại chia buồn mấy anh stl người Việt bán nước và mấy thằng tàu khựa. Em đã giãi mã ra file txt của anh rồi. Lần này mấy anh chơi mã hoá CAST128/256 cho tất cả hardcode strings trong exe của mấy anh và trong txt lấy về.
Key encrypt và decrypt của mấy anh đây:
1. hArd9zlOtY5wU89-: cho hard code string trong exe
2. qjJw4afl979K4quE20pcDhgk8YGbyB: để giãi mã file index.txt down về
Dưới đây là 3 hình ảnh minh hoạ file text index.txt sau khi được giãi mã trên bộ nhớ:







Lần này hết chối nhé mấy thằng tàu khựa và mấy thằng Vietnam phản động bán nước.

Bà con nên để ý kỹ cái link gạch đỏ cuối cùng, hình số 3, thằng nằm vùng sẽ download thằng trojan: http://option.drfound.net/k113.css này về vào thư mục %temp%iTunes.tmp. File này em đã nhanh tay down về và up lên mediafire + file index.txt đã giãi mã sơ bộ: http://www.mediafire.com/?acqlw6ywkcva3a8
Bây giờ em buồn ngủ rồi, ngày mai rảnh thì em sẽ code tool decode, còn lười thì post hướng dẫn debug cho nhanh. Bà con thông cảm nhé !

Với các bà con dùng OllyDbg, bà con load ituneshelper.exe vào OllyDbg, patch tại address 0040D5EA từ push 60000 thành push 0 (chứ không thì nó "ngủ" đến 1 phút lận). Sau đó đặt breakpoint tại: 0040D812, rồi Run (F9)
Khi OllyDbg break, quan sát nội dung memory mà thanh ghi ECX trỏ đến là ta có mệnh lệnh DDOS Vietnamnet đã được giãi mã:


Có được rồi thì terminate OllyDbg liền, đừng run gì nữa.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 00:01:58 (+0700) | #681 | 245887
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
94.242.203.16 ở LUXEMBOURG

option.drfound.net với mx2.thesmartsignature.com là 1

nhân tiện các bác phân tích giúp em thằng này, em download ở thesmartsignature.com về

http://www.mediafire.com/?bdybn6hsyvm9vci

link gốc

Code:
http://thesmartsignature.com/cgi-bin/updater-cgi?7LmQrC8pRrqF6iRQGJtYlQF9eW%2FIL8EMYLxfycFpK3nzZejuR6l3rSYOmNp3RABmOEdHGWZEv9IjSwi5D%2Fm5EWToI2ZwfDx7Ingr1BiyQmqJLdOxrPlLL1Br6Iwdw9xnyaCTblidOq1ZzxL78NmglKgnEBmxqeoNyz5E2dxubSMEi3p2B1Hh7oMvhe8%2BGbwtMhjGli%2FZymYjcWN7ZhZDLSMbJSDJp8DG1bGBldUgct5JJ%2BJPnFgdGmYV5EVexygoe2Sd2AhezpM%3D
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 00:24:19 (+0700) | #682 | 245889
totden
Member

[Minus]    0    [Plus]
Joined: 07/10/2008 02:37:47
Messages: 17
Offline
[Profile] [PM]

mv1098 wrote:
94.242.203.16 ở LUXEMBOURG

option.drfound.net với mx2.thesmartsignature.com là 1

nhân tiện các bác phân tích giúp em thằng này, em download ở thesmartsignature.com về

http://www.mediafire.com/?bdybn6hsyvm9vci

link gốc

Code:
http://thesmartsignature.com/cgi-bin/updater-cgi?7LmQrC8pRrqF6iRQGJtYlQF9eW%2FIL8EMYLxfycFpK3nzZejuR6l3rSYOmNp3RABmOEdHGWZEv9IjSwi5D%2Fm5EWToI2ZwfDx7Ingr1BiyQmqJLdOxrPlLL1Br6Iwdw9xnyaCTblidOq1ZzxL78NmglKgnEBmxqeoNyz5E2dxubSMEi3p2B1Hh7oMvhe8%2BGbwtMhjGli%2FZymYjcWN7ZhZDLSMbJSDJp8DG1bGBldUgct5JJ%2BJPnFgdGmYV5EVexygoe2Sd2AhezpM%3D
 


Mình xem qua, bạn này là file sạch bạn ah.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 00:51:49 (+0700) | #683 | 245892
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Kết quả rce sơ bộ file k113.css chứng tỏ nhận định của tui, còn một thằng nằm vùng trên máy của 1visao đã download file k113.css này về.
Dùng Plugin PE Extract của PEiD, ta extract ra được hai file .exe giống y chang ituneshelper.exe và iTunesHelper-tray.exe. Các bạn xem kỹ hình minh hoạ.
RCE vào thẳng k113.css, ta thấy lần này, coder không dùng overlay hay zip data để nhúng PE file, thay vào đó cậu ta nhúng trực tiếp 2 file exe trên vào vùng .data section luôn, cho nên plugin PE Extract dể dàng extract ra được.



PS: Chà, bà con thức khuya theo dõi dữ ha. Thôi đi ngủ đi bà con, gần hạ màn rồi, giờ chỉ là up các file .exe và thằng exe mạo danh k113.css (Giống cảnh sát 113 quá ha) này lên cho các AVs nhai xương, và report bad links, bad site các cái website sau cho nó đi die luôn cho rồi:
Code:
http://wide.ircop.cn
 http://pref.firebay.cn
 http://daily.leteaks.com
 http://link.susaks.com
 http://option.drfound.net


Chúc bà con ngủ ngon, cuối cùng anh em HVA ta đã đi gần tới đích sau mấy tháng trời căng thẳng, mệt mỏi với tụi "sống chết theo lệnh", "sờ ti lợn", "ét ti eo" này smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 01:02:01 (+0700) | #684 | 245893
mrquytk93
Member

[Minus]    0    [Plus]
Joined: 25/08/2011 13:29:35
Messages: 1
Offline
[Profile] [PM]
Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT "
Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không
Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán
Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood
Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào

-------------------------------------------------------------------------
Mr.Quy CBG.No1

ADMIN - ATH
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 01:10:44 (+0700) | #685 | 245894
vnchampion
Member

[Minus]    0    [Plus]
Joined: 16/06/2008 11:53:49
Messages: 8
Offline
[Profile] [PM]

learningandlearning wrote:
Em đã thông báo cho Mediafire về file Unikey trên:
http://nethoabinh.com/showthread.php?t=315

Giờ file này đã được xoá smilie

 


Trả trách mình check file đã bị xoá smilie không hiểu lý do vì sao.
Hôm nay mà không đọc topic này có lẽ mình lại update lên tiếp tục đó.
Nếu lần sau bạn có gì cứ PM cho mình nhé, vì mình có trách nhiệm là sửa lại các nội dung
Với lại mình không cố ý và không biết là có phải có của STL hay không. smilie
Hiện nay các phiên bản trên nethoabinh mình đã update lại phiên bản của trên trang chủ Unikey.org
Sẽ tiếp tục xoá các hót khác và update lên phiên bản chuẩn của unikey.org
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 01:57:40 (+0700) | #686 | 245899
[Avatar]
.lht.
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline
[Profile] [PM]

mrquytk93 wrote:
Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT "
Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không
Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán
Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood
Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào

-------------------------------------------------------------------------
Mr.Quy CBG.No1

ADMIN - ATH  


Có vẻ hơi kiêu ngạo ?
Thường thì đứng trước đám đông, người ta phải biết mình là ai và phải biết phép "lịch sự" bạn nhé smilie

1) Trước khi bạn "bắt" HVA phải nghiên cứ sâu hơn về synflood, vậy bạn thử phân tích qua về nó xem nào ?
Nếu bạn hiểu về nó thì trong quá trình phân tích cũng tìm ra 1 số biện pháp đấy smilie

2) Theo bạn thì "với synflood bạn có thể cho HVA die kiểu gì và đi đến đâu" ? Chắc bạn hiểu synflood lắm nhỉ ? Vậy chắc bạn biết rõ "synflood đưa HVA về đâu" ...
Trash from trash is the place for new good things ~
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 06:24:43 (+0700) | #687 | 245900
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]
mrquytk93 này mình nhớ không nhầm thì cũng nổi tiếng với vụ botnet qua IRC mà bị mấy bro an ninh mạng mời tới uống trà đá rồi.


[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 06:33:59 (+0700) | #688 | 245901
1visao
Member

[Minus]    0    [Plus]
Joined: 12/06/2004 19:33:00
Messages: 6
Offline
[Profile] [PM]

conmale wrote:
Hello 1visao,

Nhờ 1visao tìm trên máy xem có cái "WS2_32.dll" không? Nếu có vui lòng upload lên giúp luôn nha? Cám ơn. 


Đây là file anh conmale cần.

http://www.mediafire.com/?qiki732uson224n

2 bolzano_1989, TQN , đây là kết quả log Autoruns, Autorunsc , scan lúc 7:30AM sáng nay.

http://www.mediafire.com/?uk4q4g8e50ms208

Con malware này không chỉ DDos vào trang index của vietnamnet , mà còn DDos sâu vào thư mục chứa các bài viết, đúng với phân tích của anh conmale về con malware Ddos vào hva.


[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 06:35:22 (+0700) | #689 | 245902
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

mrquytk93 wrote:
Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT "
Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không
Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán
Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood
Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào

-------------------------------------------------------------------------
Mr.Quy CBG.No1

ADMIN - ATH  


Nếu HVA không có biện pháp chống thì giờ này bồ còn vô đây để tham gia được hay sao? smilie . Bồ có biết stl bot là gì không? Nếu chưa biết thì đọc từ đầu đến cuối chủ đề này để tìm hiểu. HVA không phải là chỗ để khệnh khạng "nhá hàng" bồ à.

Nếu bồ có có thể cho HVA die bất cứ khi nào thì việc gì phải đợi tới đầu tháng 9?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 07:14:42 (+0700) | #690 | 245904
phuongnvt
Member

[Minus]    0    [Plus]
Joined: 09/02/2011 03:35:39
Messages: 332
Offline
[Profile] [PM]

mrquytk93 wrote:
Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT "
Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không
Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán
Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood
Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào

-------------------------------------------------------------------------
Mr.Quy CBG.No1

ADMIN - ATH  


Bồ này sinh năm 93 mà ghê ghớm nhỉ!!!!!!!!!!Bái phục bái phục smilie

đúng là "Trường Giang sóng sau đạp sóng trước"
Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó


[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
2 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|