banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 20:20:14 (+0700) | #721 | 245973
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Chiều nay, nghỉ RCE, đi nhậu với thằng em rể.
Vài lời với mấy anh em stl: Tôi, anh em HVA này, và các bạn, toàn là người Việt thôi. Tại sao phải đấu đá với nhau làm gì ????
Em biết mấy anh cũng có nổi khổ của mấy anh, đã là sống chết theo lệnh rồi thì mấy anh, cũng chỉ là những người làm công ăn lương thôi, bị lệnh từ sếp ở trên ban xuống, phải gồng mình mà cố gắng lỳ lợm, trơ gan ra để hoàn thành lệnh sếp giao. Nhưng em cũng thừa biết mấy anh cũng phải miễn cưỡng mà làm thôi, vì miếng cơm manh áo, tiền bạc, gạo tiền, vợ con, gia đình thôi, phải không mấy anh em stl. Mấy anh em cũng giỏi lắm, em phải khen, rất giỏi (em chưa từng khen ai cả trong IT). Nhưng mấy anh ơi, quay đầu là bờ, mình phải cam tâm làm tay sai cho tàu khựa, bán nước, phản động, hại đồng loại của mình tới bao giờ nữa ??? Em mong mấy anh hảy bình tâm suy nghĩ lại đi !
Tới chiều nay, em chợt nghĩ lại, em tự nhiên thấy thương mấy anh quá, cùng là người Việt, cùng là dân IT với nhau, chỉ vì mấy thằng sếp bán nước mà anh em ta phải quay ra đấu đá lẫn nhau, truy cùng đuổi tận. Nếu lỡ có chuyện gì, thì chỉ mấy anh em ta là con tốt thí mạng, vắt chanh bỏ vỏ mà thôi. Chỉ nên chữi mấy thằng tàu nham hiểm, thâm độc đang nắm đầu mấy sếp của tụi anh thôi.
Vài lời chân tình, mong mấy anh em stl hiểu giùm tôi. Lần này, tôi nói rất chân tình, mong mấy anh em stl hiểu ! Mấy anh em nên nhớ, chúng ta cùng là người Việt, cùng nòi giống con Rồng cháu Tiên nhé. Hảy suy nghĩ lại đi, mấy anh em stl của tôi ơi ! Hảy cùng nhau phản đối, kiến nghị, đình công, biểu tình... lên mấy sếp của mấy anh, dừng ngay các hành động phạm pháp, xấu xa, đồi bại này lại. Em biết, chính quyền nào cũng có những tổ chức như mấy anh, nhưng đừng làm quá lắm. Mục tiêu "ổn định chính trị" của mấy anh, em công nhận là đúng, nhưng đừng dùng những hành động phạm pháp, đê hèn, xấu xa như vậy. Nếu không vì những hành động ấy, đường anh anh đi, đường em em đi. Em nói vậy mấy anh stl có hiểu không ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 20:29:54 (+0700) | #722 | 245976
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
2 phuongnvt: Dạ em đang buôn bán vàng, ngoại tệ trên mạng đó anh Hai !

Chỉ mong anh em, đồng bào stl đọc thật kỹ bài post vừa rồi của em ! Anh em ta và anh em stl hảy dừng tay lại đi. Đừng đấu đá với nhau nữa. Em và anh em HVA cũng mệt mỏi lắm rồi, anh em stl cũng vậy phải không ? Mắc mớ cái gì mà phải cam tâm đi làm tay sai cho tụi chó tàu khựa thâm độc, quỷ quyệt đó hả, anh em stl, rồi lại cõng rắn cắn gà nhà, đi hại chính đồng bào ruột thịt của mình ???

À, Avira vừa gởi cho em cái link này: http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=810740. Từ từ rồi anh em stl của tôi sẽ thấy là mấy anh bị mất chân, mất tay dần dần đấy !

Chiều nay, tự nhiên thấy mệt mỏi, chán nãn quá rồi ! Bà con có hiểu tâm trạng của em không ? Hết chuyện làm rồi sao mà phải quay ra đấu đá giữa những người Việt lẫn nhau ???????????????????????????????????????????????????????????????????????????????????????

Em làm những việc RCE này chả vì nổi tiếng, tiền bạc gì cả. Thấy sai, bất bình là em nhảy vô. Từ lúc em theo mấy anh st tới giờ, mất nhiều hơn được. Nhưng em vẫn hài lòng, em đang làm đúng, làm theo lương tâm, đạo đức của 1 thằng IT thất nghiệp, nữa mùa như em, mấy anh stl hiểu không ? Mấy anh cứ việc chống phá những người "lề trái", các trang "lề trái", đó là việc mấy anh phải làm. Nhưng hành động cài cắm malwares, trojan, keylog trên các máy tính của người VN, biến các máy tính đó thành zombies của mấy anh là em không chấp nhận. Nhắc lại, em không chấp nhận. Việc của mấy anh, mấy anh cứ làm, đừng ảnh hưởng, gây hại tới người khác nhé. Em nói mấy anh stl hiểu không ? Mail của em: thang.cu.anh@gmail.com: hộp mail bí mật, mấy anh có gì trao đổi cứ mail cho em !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 21:00:48 (+0700) | #723 | 245982
[Avatar]
quygia128
Member

[Minus]    0    [Plus]
Joined: 15/07/2009 20:50:28
Messages: 119
Location: Somewhere
Offline
[Profile] [PM] [WWW]
Thấy chỉ một mình anh làm cái việc phân tích và làm rõ vụ này em thật sự khâm phục anh, khâm phục ở nhiều khía cạnh chứ không chỉ vấn đề kỹ thuật không. Mong rằng chuyện này sẽ kết thúc sớm vì nó đã kéo dài khá lâu rồi ( tuy biết rằng khi nó kết thúc thì không còn được đọc những bài phân tích kỹ thuật như thế này nữa smilie )
Ủng hộ anh hết mình smilie
.::Mới bắt đầu trên con đường dài::.
.::Super Newbiez::.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 21:39:04 (+0700) | #724 | 245984
TMDTHBC
Member

[Minus]    0    [Plus]
Joined: 26/08/2011 04:43:07
Messages: 37
Offline
[Profile] [PM] [Email]
2 TQN,
Tôi có thể sử dụng blogspot của a để post cảnh báo về tiến trình ddos này được không vậy?
Có 1 số bạn bè họ không thể truy cập được hvaonline.net (hầu hết đều làm việc tại các cao ốc trong Q1).
Tôi không hiểu là do firewall của admin chặn hay lý do gì khác (tôi ở ngoài quán cafe thì lại ok).
Mong a trả lời sớm vì họ khá quan tâm vấn đề này và vietnamnet.vn - vietnamweek là các trang ưu tiên khi bootup.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 21:43:53 (+0700) | #725 | 245985
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

TMDTHBC wrote:
2 TQN,
Tôi có thể sử dụng blogspot của a để post cảnh báo về tiến trình ddos này được không vậy?
Có 1 số bạn bè họ không thể truy cập được hvaonline.net (hầu hết đều làm việc tại các cao ốc trong Q1).
Tôi không hiểu là do firewall của admin chặn hay lý do gì khác (tôi ở ngoài quán cafe thì lại ok).
Mong a trả lời sớm vì họ khá quan tâm vấn đề này và vietnamnet.vn - vietnamweek là các trang ưu tiên khi bootup.
 


Anh phải bảo họ từ trang chủ vào forum HVAOnline, rồi mới copy link anh gửi vào trình duyệt thì họ mới xem được nội dung.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 21:51:24 (+0700) | #726 | 245988
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

TMDTHBC wrote:
2 TQN,
Tôi có thể sử dụng blogspot của a để post cảnh báo về tiến trình ddos này được không vậy?
Có 1 số bạn bè họ không thể truy cập được hvaonline.net (hầu hết đều làm việc tại các cao ốc trong Q1).
Tôi không hiểu là do firewall của admin chặn hay lý do gì khác (tôi ở ngoài quán cafe thì lại ok).
Mong a trả lời sớm vì họ khá quan tâm vấn đề này và vietnamnet.vn - vietnamweek là các trang ưu tiên khi bootup.
 
Chuyện các cao ốc ở Q1 chặn HVA tôi có biết. Một số anh em làm quản trị các hệ thống mạng của một số doanh nghiệp lo sợ rằng, nhân viên sẽ lên HVA tham khảo các thông tin hack hiếc này nọ và làm chuyện khuất tất trên hệ thống mạng của họ. Nhưng cái gì cũng có mặt trái của nó, tuần qua tôi có gặp vài mạng doanh nghiệp có nhiễm bot của STL ( phiên bản lây nhiễm qua Unikey fake )
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 21:51:39 (+0700) | #727 | 245989
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Có lẽ bạn đọc chủ đề này sẽ quan tâm đến bài viết sau:
CHIẾN LƯỢC VỀ TÁC CHIẾN TRONG KHÔNG GIAN MẠNG CỦA BỘ QUỐC PHÒNG MỸ
http://ubuntuone.com/p/15a5/
http://www.defense.gov/news/d20110714cyber.pdf
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 21:58:50 (+0700) | #728 | 245990
whitesnow19
Member

[Minus]    0    [Plus]
Joined: 08/10/2010 03:42:19
Messages: 54
Offline
[Profile] [PM]

TQN wrote:
Bà con tạo một thư mục Tracker chẵng hạn, chép đoạn bat file này vào file tracker.bat. Lâu lâu mấy bác buồn buồn không biết làm gì thì Enter nó giùm em một cái.
Code:
@echo off
echo ===============================================================================
echo Download cac file trojan, bot va DDOS config files cua stl dang DDOS Vietnamnet
echo ===============================================================================
echo.
wget -t3 "http://wide.ircop.cn/index.txt?113" -O wide.ircop.cn_index.txt
wget -t3 "http://pref.firebay.cn/index.txt?113" -O pref.firebay.cn_index.txt
wget -t3 "http://daily.leteaks.com/index.txt?113" -O daily.leteaks.com_index.txt
wget -t3 "http://link.susaks.com/index.txt?113" -O link.susaks.com_index.txt
wget -t3 "http://option.drfound.net/k113.css"

pause


 

Em làm theo anh mà thằng avira của em nó nhai mất k113.css rồi. Hic


[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 22:05:48 (+0700) | #729 | 245992
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Sao lại hic em, Avira nhai mất k113.css là mừng đấy chứ em. Avira đã gởi mail cho anh rồi mà.
Bà con cracker nào đang dùng P32Dasm không ? Author của tool này là Darker, bạn của em, key member của Avira Malware Analysis Team đấy !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 22:17:09 (+0700) | #730 | 245993
TMDTHBC
Member

[Minus]    0    [Plus]
Joined: 26/08/2011 04:43:07
Messages: 37
Offline
[Profile] [PM] [Email]

xnohat wrote:

TMDTHBC wrote:
2 TQN,
Tôi có thể sử dụng blogspot của a để post cảnh báo về tiến trình ddos này được không vậy?
Có 1 số bạn bè họ không thể truy cập được hvaonline.net (hầu hết đều làm việc tại các cao ốc trong Q1).
Tôi không hiểu là do firewall của admin chặn hay lý do gì khác (tôi ở ngoài quán cafe thì lại ok).
Mong a trả lời sớm vì họ khá quan tâm vấn đề này và vietnamnet.vn - vietnamweek là các trang ưu tiên khi bootup.
 
Chuyện các cao ốc ở Q1 chặn HVA tôi có biết. Một số anh em làm quản trị các hệ thống mạng của một số doanh nghiệp lo sợ rằng, nhân viên sẽ lên HVA tham khảo các thông tin hack hiếc này nọ và làm chuyện khuất tất trên hệ thống mạng của họ. Nhưng cái gì cũng có mặt trái của nó, tuần qua tôi có gặp vài mạng doanh nghiệp có nhiễm bot của STL ( phiên bản lây nhiễm qua Unikey fake ) 


Vâng đúng thế a à, tôi vọoc chơi thì thấy đa phần đều dính con adobe... KIS có bản quyền hẳn hoi nhưng là officer thì ... hehehe sorry không có chuyện update KIS (rất buồn cười-họ có cả 1 room IT 5 người đấy ). Nhưng hậu quả của việc đó là ... phải đi làm "chùa" dùm sếp vì sếp muốn xem IT của họ làm gì ... hehehe tôi bảo đọc hva để biết thì ..... xin lỗi botay.com ( đã "không biết" mà còn đóng cửa dạy nhau thì ...)

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 22:24:08 (+0700) | #731 | 245994
lovezee
Member

[Minus]    0    [Plus]
Joined: 21/04/2010 22:41:40
Messages: 20
Offline
[Profile] [PM]
Mới nãy em vào HVA bằng IE7 và wwwected qua "null", vào bằng các trình duyệt khác thì vẫn bình thường.

Có thể anh conmale chặn again của IE chăng? Vì đa số ITs hiện giờ dùng FF hoặc GC.

PS : chỉ là phỏng đoán smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 23:06:30 (+0700) | #732 | 245995
o.O.o
Member

[Minus]    0    [Plus]
Joined: 15/07/2011 00:36:59
Messages: 28
Offline
[Profile] [PM]
Thấy các anh up mẫu cho mấy hãng antivirus khác mà chưa thấy ai nhắc đến đã gửi cho Avast, thằng này hiện em đang dùng, các mẫu down về quét cứ trơ ra đó ah. Đã gửi mẫu qua mail virus@avast.com mà không thấy nó phản hồi gì hết, lần trước em gửi 1 đống mẫu trên link của anh TQN up cả tuần nay mà chẳng thấy nó phản hồi

Chiều em thử send cho nó vài mẫu faceItune nữa, ko biết nó có chịu phân tích và trả lời ko nữa
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 23:13:14 (+0700) | #733 | 245996
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

o.O.o wrote:
Thấy các anh up mẫu cho mấy hãng antivirus khác mà chưa thấy ai nhắc đến đã gửi cho Avast, thằng này hiện em đang dùng, các mẫu down về quét cứ trơ ra đó ah. Đã gửi mẫu qua mail virus@avast.com mà không thấy nó phản hồi gì hết, lần trước em gửi 1 đống mẫu trên link của anh TQN up cả tuần nay mà chẳng thấy nó phản hồi

Chiều em thử send cho nó vài mẫu faceItune nữa, ko biết nó có chịu phân tích và trả lời ko nữa 


Avast chuyên nhận mẫu mà không phản hồi đấy bạn smilie .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 23:51:18 (+0700) | #734 | 245999
learningandlearning
Member

[Minus]    0    [Plus]
Joined: 06/08/2011 01:28:30
Messages: 9
Offline
[Profile] [PM]
Em có làm theo anh TQN có lúc đầu có 5 file, sau tăng lên 6 file, mà dường như ai đó chỉ copy file k113.css thành k113.css.1 cho đỡ buồn ^^.



http://www.mediafire.com/download.php?sib1p2b2m2g611o
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/08/2011 23:57:50 (+0700) | #735 | 246000
learningandlearning
Member

[Minus]    0    [Plus]
Joined: 06/08/2011 01:28:30
Messages: 9
Offline
[Profile] [PM]
File:
pref.firebay.cn_index.txt bị sửa lại dung lượng thành 0 KB

Thôi em ngủ ^^
P/S: file k113.css.1 là do em không xoá khi chạy lại file Traker.bat. Sorry anh em.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/08/2011 01:25:22 (+0700) | #736 | 246006
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]

mrquytk93 wrote:
Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT "
Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không
Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán
Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood
Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào

-------------------------------------------------------------------------
Mr.Quy CBG.No1

ADMIN - ATH  


Nghĩ cũng buồn. Con ếch con ngồi đáy giếng hênh hoang với mấy con nòng nọc quen rồi smilie giờ vừa hóng hớt lên bờ tý thì lại định mang mấy cái bài ộp oạp ra đây smilie. cậu không cần phải khoe admin cái ATH hay là cái CBG nhà cậu ra. ở hva cậu chả là cái gì cả. còn muốn vài cái code đểu synflood cho mấy đứa học lập trình 3 tháng nó code ý thì về cái 4rum nhà cậu mà nói với mấy con nòng nọc. cậu làm luôn tháng 8 đi. không cần đợi đến tháng 9 đâu smilie. ngày xưa không biết cái thời người ta làm mấy cái trò đấy chắc là cậu còn "chùi đít chưa sạch". có 1 gợi ý là muốn người khác nghĩ mình giỏi thì cách hay nhất là hãy "chém gió" trước 1 đám người ng* hơn mình smilie cậu chọn nhầm chỗ rồi smilie

mv1098 wrote:
mrquytk93 này mình nhớ không nhầm thì cũng nổi tiếng với vụ botnet qua IRC mà bị mấy bro an ninh mạng mời tới uống trà đá rồi.
 


mấy con gà mới bị mời thôi mà bạn. chứ pro như các anh STL thì có khi an ninh mạng cũng sợ mấy anh ý hack ý chứ. chắc là cách đấy 5 năm nếu thấy cậu này hô thế mình cũng tung hô cậu ta lắm đấy smilie tiếc là cậu ta sinh muộn 5 năm
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/08/2011 03:17:27 (+0700) | #737 | 246007
whatissecurity
Member

[Minus]    0    [Plus]
Joined: 20/08/2011 02:25:44
Messages: 1
Offline
[Profile] [PM]

mrquytk93 wrote:
Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT "
Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không
Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán
Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood
Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào

-------------------------------------------------------------------------
Mr.Quy CBG.No1

ADMIN - ATH  


Mình theo dỗi topic này từ những ngày đầu.Thấy khâm phục những gì mà TQN cũng như conmale,PXMMRF và các thành viên HVA khác đã làm.Để cho chúng ta ở đây hiểu rõ hơn bản chất của sự việc.

Mr.Quy bạn quá kêu ngoạo về bản thân mình rồi đó.Chỉ giỏi hack local,UG,chọc phá site người khác, viết mấy con bot dùng autoit điều khiển qua IRC , web gì của bạn chẳng khác nào scriptkid.Không biết có viết được không hay dùng lại của người khác smilie
Lần trước Deface site của mình còn xoá cả data cũng may là bên mình có backup.Xong rồi còn giở trò botnet nữa chứ.Chẳng có gì hay ho đâu nhé.Xin lỗi các thành viên HVA mình đã làm loãng chủ đề nhưng mình muốn lên án hành động thiếu ý thức của MR.Quy vì cộng đồng IT VN.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/08/2011 06:10:13 (+0700) | #738 | 246008
Lincoln
Member

[Minus]    0    [Plus]
Joined: 18/07/2010 02:54:07
Messages: 2
Offline
[Profile] [PM]
Mail từ Microsoft Malware Protection Center về DDoS tool mạo danh IAStore của Intel , hình như họ không nhận ra đây là malware .
Analysis of the file(s) in Submission ID MMPC11082667068256 is now complete.

This is the final email that you will receive regarding this submission.

The Microsoft Malware Protection Center (MMPC) has investigated the following file(s) which we received on 8/25/2011 9:11:19 PM Pacific Time.
Below is the determination for your submission.

========
Submission ID MMPC11082667068256

Submitted Files
=============================================
IAStore_26_08_2011.zip [Not Malware]
+---SmartPin.dll [Not Malware]
+---IAStorUIHelper.dll [Not Malware]
+---SysInftLib.dll [Not Malware]
+---IAStorCommon.dll [Not Malware]
+---IAStorDataMgrSvc.exe [Not Malware]
+---IAStorDataMgr.dll [Not Malware]




Your submission was scanned using antimalware definition version 1.111.798.0.
========

The detections listed above are included in the latest pre-release definition available for download. For more information please visit the pre-release definition update download page available at:

http://www.microsoft.com/security/portal/Shared/PreReleaseSignatures.aspx

Alternatively, detections listed above will be available for users who subscribe to the automatic definition update mechanism in the next regularly scheduled release, as well as users who choose to manually update their definition library available via the MMPC Portal available on:

http://www.microsoft.com/security/portal/Definitions/ADL.aspx

If you have questions relating to this submission please contact mailto:mmpcres@microsoft.com and reference your submission ID.

We would like to find ways to improve our service to you. Please take a few minutes and fill out our short customer survey for this incident. You can navigate to our short (6 question) survey here: http://www.zoomerang.com/Survey/WEB22CHRC7QCL5/

=============================================
Additional Help

For customers who do not have an antivirus solution, Microsoft Security Essentials can be downloaded at no charge here:
http://www.microsoft.com/security_essentials/

For more information about updating definitions and answers to other questions, visit the following link:
http://www.microsoft.com/security/portal/Shared/Help.aspx#new_defns

If you need immediate assistance and information on best practices for removing malware in your environment, additional support options are available at the following websites:

For IT Professionals - http://support.microsoft.com/gp/securityitpro

For Home Users - http://support.microsoft.com/default.aspx?pr=securityhome

Thank you,
Microsoft Malware Protection Center 
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/08/2011 09:33:21 (+0700) | #739 | 246016
hailua_online
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:56:09
Messages: 30
Offline
[Profile] [PM]

TQN wrote:
Kinh thật, code khá lắm, 1 file exe đăng ký run như 1 service, 5 file dll, mỗi thằng 1 nhiệm vụ khác nhau. Thằng làm trách nhiệm download là thằng IAStoreUIHelp.dll. Tất cả chúng phối hợp nhuần nhuyễn với nhau.

Bạn 1visao có nhớ là tại sao, khi nào, download cái gì mà máy trên công ty này của bạn bị dính đám mạo danh IAStore này không ?

Bà con ơi, tiếp tục up mẫu thôi. Toàn bộ đống mạo danh IAStore này em đã up ở đây: http://www.mediafire.com/?wv13bdoc4g8f905 Bà con phụ một tay up mẫu cho AVs nhé.

Giờ em đi ăn sáng, uống cafe lấy sức đã, tối qua thức tới 3h. Ngày nay lại ngồi lỳ ở nhà nữa rồi, cúp đt thôi.
À sẵn tiện nhờ bà con tư vấn cái: vốn em rất lạc hậu về công nghệ, cái máy em đang dùng đây đã gần 10 năm rồi, mua từ 2002, giờ nó tàn và cùi bắp lắm, mới thay bộ nguồn mà ưng là nó restart cái bụp (xe em đi đã 12 năm rồi thì sao, từ thời còn sv hàn vi). Em "phải" mua 1 cái laptop thôi, đi đâu mang theo, chớ ngồi ở nhà hoài bỏ công bỏ việc hết. Bà con biết chổ nào bán máy laptop xài được, màn hình to to, bàn phím bự bự, chất lượng, giá cã phù hợp giới thiệu em một cái. Không cần mạnh đâu, chỉ cần lướt web, vào HVA post bài, theo dõi giá vàng và RCE, code bậy bạ thôi. Cảm ơn trước nhé ! 

Bác TQN ơi bác hình như không có làm về IT thì phải mà bác lại thừa kiến thức và trình độ để làm IT hay là bác đổi cho e tí kiến thức của bác rồi e đổi lap cho bác để e đi làm cho đỡ vất vả ko cứ đi phụ hồ thì mệt lắm :d
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/08/2011 12:52:34 (+0700) | #740 | 246031
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

TQN wrote:
Chiều nay, nghỉ RCE, đi nhậu với thằng em rể.
Vài lời với mấy anh em stl: Tôi, anh em HVA này, và các bạn, toàn là người Việt thôi. Tại sao phải đấu đá với nhau làm gì ????
Em biết mấy anh cũng có nổi khổ của mấy anh, đã là sống chết theo lệnh rồi thì mấy anh, cũng chỉ là những người làm công ăn lương thôi, bị lệnh từ sếp ở trên ban xuống, phải gồng mình mà cố gắng lỳ lợm, trơ gan ra để hoàn thành lệnh sếp giao. Nhưng em cũng thừa biết mấy anh cũng phải miễn cưỡng mà làm thôi, vì miếng cơm manh áo, tiền bạc, gạo tiền, vợ con, gia đình thôi, phải không mấy anh em stl. Mấy anh em cũng giỏi lắm, em phải khen, rất giỏi (em chưa từng khen ai cả trong IT). Nhưng mấy anh ơi, quay đầu là bờ, mình phải cam tâm làm tay sai cho tàu khựa, bán nước, phản động, hại đồng loại của mình tới bao giờ nữa ??? Em mong mấy anh hảy bình tâm suy nghĩ lại đi !
Tới chiều nay, em chợt nghĩ lại, em tự nhiên thấy thương mấy anh quá, cùng là người Việt, cùng là dân IT với nhau, chỉ vì mấy thằng sếp bán nước mà anh em ta phải quay ra đấu đá lẫn nhau, truy cùng đuổi tận. Nếu lỡ có chuyện gì, thì chỉ mấy anh em ta là con tốt thí mạng, vắt chanh bỏ vỏ mà thôi. Chỉ nên chữi mấy thằng tàu nham hiểm, thâm độc đang nắm đầu mấy sếp của tụi anh thôi.
Vài lời chân tình, mong mấy anh em stl hiểu giùm tôi. Lần này, tôi nói rất chân tình, mong mấy anh em stl hiểu ! Mấy anh em nên nhớ, chúng ta cùng là người Việt, cùng nòi giống con Rồng cháu Tiên nhé. Hảy suy nghĩ lại đi, mấy anh em stl của tôi ơi ! Hảy cùng nhau phản đối, kiến nghị, đình công, biểu tình... lên mấy sếp của mấy anh, dừng ngay các hành động phạm pháp, xấu xa, đồi bại này lại. Em biết, chính quyền nào cũng có những tổ chức như mấy anh, nhưng đừng làm quá lắm. Mục tiêu "ổn định chính trị" của mấy anh, em công nhận là đúng, nhưng đừng dùng những hành động phạm pháp, đê hèn, xấu xa như vậy. Nếu không vì những hành động ấy, đường anh anh đi, đường em em đi. Em nói vậy mấy anh stl có hiểu không ? 


Tội nghiệp TQN.

Trên thế gian này có ba loại người:

1. Loại có trí tuệ và có liêm sỉ.
2. Loại không có trí tuệ nhưng có liêm sỉ.
3. Loại có trí tuệ nhưng không có liêm sỉ.

Những con người có liêm sỉ thường không cần được khuyên bảo hoặc chỉ cần nói một lần là xong. Riêng với những con người không có liêm sỉ thì có chẻ đầu ra đổ vào hàng xe tải lời khuyên cũng vô ích bởi vì thiểu liêm sỉ thì thiếu chất xúc tác để dung nạp lẽ phải, để tiếp nhận cái thiện. Huống hồ chi, "sống chết theo lệnh" thì lại càng khó mà nói chuyện phải quấy.

Một vết thương ung mủ không mổ xẻ ra để rửa cho sạch vi trùng mà che đậy để "ổn định" thì chẳng mấy chốc nó sẽ lan ra và sẽ làm hoại thư cả một cơ thể. Trên thế gian này, từ cổ chí kim, sự thật luôn luôn tồn tại.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/08/2011 14:27:11 (+0700) | #741 | 246032
Dpm
Member

[Minus]    0    [Plus]
Joined: 06/04/2009 01:43:30
Messages: 85
Offline
[Profile] [PM]
Vừa bật máy ảo XP lên,lại thấy đang oánh vietnamnet tiếp,mấy bác vnn hình như k có động thái gì.Nếu các bác có vấn đề về kỹ thuật,sao không nhờ các admin hva hỗ trợ??hay có một lý do gì khó nói,ai lại để tình trạng này suôt thời gian dài nv.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/08/2011 14:47:36 (+0700) | #742 | 246033
learningandlearning
Member

[Minus]    0    [Plus]
Joined: 06/08/2011 01:28:30
Messages: 9
Offline
[Profile] [PM]
Có sự thay đổi dung lượng file:

Các file 15 KB trước kia giờ thành 13KB




http://www.mediafire.com/download.php?ns3esc307tjczkc
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/08/2011 15:39:33 (+0700) | #743 | 246036
tranhuanltv
Member

[Minus]    0    [Plus]
Joined: 25/08/2010 11:25:52
Messages: 3
Offline
[Profile] [PM]
IAStore_26_08_2011.zip mẫu của anh TQN gửi Avira cũng cho là sạch luôn smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/08/2011 17:04:10 (+0700) | #744 | 246040
o.O.o
Member

[Minus]    0    [Plus]
Joined: 15/07/2011 00:36:59
Messages: 28
Offline
[Profile] [PM]

tranhuanltv wrote:
IAStore_26_08_2011.zip mẫu của anh TQN gửi Avira cũng cho là sạch luôn smilie 

Ủa sao kì vậy ta? Theo như những comment ở trang trước thì mấy file này đã bị avira lụm trước đây vài ngày rồi mà ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/08/2011 17:10:35 (+0700) | #745 | 246041
dinhvandinhtu
Member

[Minus]    0    [Plus]
Joined: 16/08/2011 12:08:59
Messages: 1
Offline
[Profile] [PM]

conmale wrote:

TQN wrote:
Chiều nay, nghỉ RCE, đi nhậu với thằng em rể.
Vài lời với mấy anh em stl: Tôi, anh em HVA này, và các bạn, toàn là người Việt thôi. Tại sao phải đấu đá với nhau làm gì ????
Em biết mấy anh cũng có nổi khổ của mấy anh, đã là sống chết theo lệnh rồi thì mấy anh, cũng chỉ là những người làm công ăn lương thôi, bị lệnh từ sếp ở trên ban xuống, phải gồng mình mà cố gắng lỳ lợm, trơ gan ra để hoàn thành lệnh sếp giao. Nhưng em cũng thừa biết mấy anh cũng phải miễn cưỡng mà làm thôi, vì miếng cơm manh áo, tiền bạc, gạo tiền, vợ con, gia đình thôi, phải không mấy anh em stl. Mấy anh em cũng giỏi lắm, em phải khen, rất giỏi (em chưa từng khen ai cả trong IT). Nhưng mấy anh ơi, quay đầu là bờ, mình phải cam tâm làm tay sai cho tàu khựa, bán nước, phản động, hại đồng loại của mình tới bao giờ nữa ??? Em mong mấy anh hảy bình tâm suy nghĩ lại đi !
Tới chiều nay, em chợt nghĩ lại, em tự nhiên thấy thương mấy anh quá, cùng là người Việt, cùng là dân IT với nhau, chỉ vì mấy thằng sếp bán nước mà anh em ta phải quay ra đấu đá lẫn nhau, truy cùng đuổi tận. Nếu lỡ có chuyện gì, thì chỉ mấy anh em ta là con tốt thí mạng, vắt chanh bỏ vỏ mà thôi. Chỉ nên chữi mấy thằng tàu nham hiểm, thâm độc đang nắm đầu mấy sếp của tụi anh thôi.
Vài lời chân tình, mong mấy anh em stl hiểu giùm tôi. Lần này, tôi nói rất chân tình, mong mấy anh em stl hiểu ! Mấy anh em nên nhớ, chúng ta cùng là người Việt, cùng nòi giống con Rồng cháu Tiên nhé. Hảy suy nghĩ lại đi, mấy anh em stl của tôi ơi ! Hảy cùng nhau phản đối, kiến nghị, đình công, biểu tình... lên mấy sếp của mấy anh, dừng ngay các hành động phạm pháp, xấu xa, đồi bại này lại. Em biết, chính quyền nào cũng có những tổ chức như mấy anh, nhưng đừng làm quá lắm. Mục tiêu "ổn định chính trị" của mấy anh, em công nhận là đúng, nhưng đừng dùng những hành động phạm pháp, đê hèn, xấu xa như vậy. Nếu không vì những hành động ấy, đường anh anh đi, đường em em đi. Em nói vậy mấy anh stl có hiểu không ? 


Tội nghiệp TQN.

Trên thế gian này có ba loại người:

1. Loại có trí tuệ và có liêm sỉ.
2. Loại không có trí tuệ nhưng có liêm sỉ.
3. Loại có trí tuệ nhưng không có liêm sỉ.

Những con người có liêm sỉ thường không cần được khuyên bảo hoặc chỉ cần nói một lần là xong. Riêng với những con người không có liêm sỉ thì có chẻ đầu ra đổ vào hàng xe tải lời khuyên cũng vô ích bởi vì thiểu liêm sỉ thì thiếu chất xúc tác để dung nạp lẽ phải, để tiếp nhận cái thiện. Huống hồ chi, "sống chết theo lệnh" thì lại càng khó mà nói chuyện phải quấy.

Một vết thương ung mủ không mổ xẻ ra để rửa cho sạch vi trùng mà che đậy để "ổn định" thì chẳng mấy chốc nó sẽ lan ra và sẽ làm hoại thư cả một cơ thể. Trên thế gian này, từ cổ chí kim, sự thật luôn luôn tồn tại. 


Chào các anh em trên HVA, chào anh TQN, anh PXMMRF, anh conmale và các anh em trong BQT HVA , em theo dõi quá trình phân tích mẫu của các anh từ rất lâu rồi. Từ lúc anh TQN còn "RCE đám virus của STL", lúc đó em cũng chỉ tò mò xem cho biết. Nhưng dần dần thì sự việc lại càng mở rộng. Ngày nào em cũng lên HVA để đọc những phân tích của các anh, những comment của các mem (em đang học an ninh mạng nhưng còn gà con nên ko dám lên tiếng smilie ). Và em nghĩ cũng có nhiều anh em có sở thích như em, chỉ đọc mà ko nói câu nào.! Em nghĩ các anh cũng mệt mỏi với việc này lắm rồi, nếu là em thì em cũng sẽ rất mệt mỏi. Em thật sự khâm phục các anh, niềm đam mê IT trong các anh rất lớn thì các anh mới có thể theo đuổi đến lúc này. Em rất muốn chia sẻ cùng các anh nhưng ko biết làm sao vì trình độ em còn kém lắm. Lời cuối em xin chân thành cảm ơn các anh, anh TQN, anh PXMMRF, anh conmale và các anh em HVA. Chúc các anh luôn khoẻ mạnh.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 27/08/2011 17:18:23 (+0700) | #746 | 246042
weasel1026789
Member

[Minus]    0    [Plus]
Joined: 25/06/2011 23:51:19
Messages: 10
Offline
[Profile] [PM]
Em nghĩ đám bot được phát tán chủ yếu qua các phần mềm crack, mà dân VN là chuyên gia xài đồ crack. Em có một thắc mắc là có khi nào windows lậu có chứa trojan không, nếu có thì sẽ vô cùng nguy hiểm vì đa số người VN xài windows lậu smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 28/08/2011 07:39:29 (+0700) | #747 | 246054
rang0
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 10:55:47
Messages: 19
Offline
[Profile] [PM]

conmale wrote:

Tội nghiệp TQN.

Trên thế gian này có ba loại người:

1. Loại có trí tuệ và có liêm sỉ.
2. Loại không có trí tuệ nhưng có liêm sỉ.
3. Loại có trí tuệ nhưng không có liêm sỉ.

Những con người có liêm sỉ thường không cần được khuyên bảo hoặc chỉ cần nói một lần là xong. Riêng với những con người không có liêm sỉ thì có chẻ đầu ra đổ vào hàng xe tải lời khuyên cũng vô ích bởi vì thiểu liêm sỉ thì thiếu chất xúc tác để dung nạp lẽ phải, để tiếp nhận cái thiện. Huống hồ chi, "sống chết theo lệnh" thì lại càng khó mà nói chuyện phải quấy.

Một vết thương ung mủ không mổ xẻ ra để rửa cho sạch vi trùng mà che đậy để "ổn định" thì chẳng mấy chốc nó sẽ lan ra và sẽ làm hoại thư cả một cơ thể. Trên thế gian này, từ cổ chí kim, sự thật luôn luôn tồn tại. 


Em xin bổ sung :

4. Loại không có trí tuệ và không có liêm sỉ.

và "Trên thế gian này, từ cổ chí kim, sự thật luôn luôn tồn tại và chỉ có một mà thôi"
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 28/08/2011 10:46:20 (+0700) | #748 | 246062
template
Member

[Minus]    0    [Plus]
Joined: 25/07/2011 02:18:47
Messages: 16
Offline
[Profile] [PM]
sao bây giờ vào hva nó trỏ sang đường dẫn này : /null/
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 28/08/2011 11:32:42 (+0700) | #749 | 246065
cayaoanh830
Member

[Minus]    0    [Plus]
Joined: 13/06/2011 09:34:01
Messages: 37
Location: Nowhere
Offline
[Profile] [PM] [Email] [Yahoo!]
Em mới làm 1 cái chương trình để Download và so sánh mấy file _index chưa Decode tự động. Mấy anh xem có dùng được không em chỉ làm thử thôi và chưa thử nghiệm nhiều lần nên chắt sẽ có nhiều sai sót.

http://www.mediafire.com/download.php?lx4jr26b21k92w6

Trong đó em có lấy code download mấy file của anh TQN mong anh không phiền.
...Yesterday - Today - Tomorrow...
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 28/08/2011 21:05:59 (+0700) | #750 | 246089
duvanngoc
Member

[Minus]    0    [Plus]
Joined: 10/07/2007 10:34:07
Messages: 2
Offline
[Profile] [PM]
Vào check digital sig trong properties của win 7 lại không thấy có nhỉ nên gửi các bác 2 file MsHelpCenter.exe và MsHelpCenter.idx để các bác check hộ. Tự dưng hôm nay thấy kis báo malware.
http://cC1.upanh.com/27.275.34538480.F8s0/malware.jpg
http://www.mediafire.com/?7cukz26mrh2py9s
Pass: hva
Àh, sau khi kis báo cái, mình vào theo đường dẫn thì có 3 file thêm thằng MsHelpCenter.old, file này khi mình nén lại bị kis diệt luôn.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
3 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|