banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 01/09/2011 16:03:02 (+0700) | #841 | 246376
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

THẢO LUẬN THÊM VỀ IAStorDataMgrSvc.exe FILE


1- Bạn 1visao gần đây có upload lên Mediafire một file .rar có tên là "IAStore_26_08_2011" và nhờ HVA kiểm tra xem các file .dll và .exe trong file này có phải là virus-trojan của STL không? Anh TQN đã RCE và phân tích file này, bài viết trong topic. Xin các bạn tham khảo.

2- File (process) IAStorDataMgrSvc.exe là một Chipset sofware của Intel, tên là Intel(R) Rapid Storage Technology. Phần mềm này download tai downloadcenter.intel.com (File iata_enu_10.6.0.1022.exe, dung lương khoảng 7 MB). Intel(R) Rapid Storage Technology soft. hỗ trợ cho nhiều Dell Desktop khi áp dụng RAID 5-10 và cũng hỗ trợ RAID 0, 1, AHCI & Matrix RAID trong một số Dell desktop và cho các mobile platforms.
Intel đôi lúc gọi soft này là một "driver". Như vậy Intel(R) Rapid Storage Technology (mà IAStorDataMgrSvc.exe nằm trong nó), liên quan nhiều đến Dell hardware.
Từ đó ta thấy soft này không phổ biến và số người sử dụng nó chắc không nhiều.

3- Khi cài đặt (tôi đã cài thử Intel(R) Rapid Storage Technology vào máy mình) thì service-process IAStorDataMgrSvc.exe nằm ở 2 thư mục sau: C:/Program Files/Intel/Intel(R) Rapid Storage Technology/IAStorDataMgrSvc.exe và C:/WINDOWS/system 32/. Vì vậy nếu phát hiện IAStorDataMgrSvc.exe nằm ở các thư mục khác thì nó có thể là một virus hay Trojan.

Nhiệm vụ của IAStorDataMgrSvc.exe (origin file) theo tôi đại thể là khi khởi đông nó kích hoạt hàng loạt file .dll (giống như trường hợp của iTunesHelper.exe-origine trong iTunes 10.4 chẳng hạn, không phải là malicious iTunesHelper.exe) và "sắp xếp" chúng theo một sơ đồ tiến độ đã định để máy tính hoạt động nhanh và hiệu quả nhất. Vì vậy nó đóng một vai trò khá quan trọng trong hệ thống. Vả lại những software liên quan và điều khiển hardware như SCSI Adapter, RAID... thường khá phức tạp.

4- Trong quá khứ (cách đây từ vài năm) nhiều hiện tượng process IAStorDataMgrSvc.exe bị hư hỏng (error) hay sai sót (corruption) thường được báo cáo cho Intel. Có một số trường hơp phát hiện process này bị nhiễm virus. Khi IAStorDataMgrSvc.exe bị hư hỏng thì máy có hiện tượng chạy châm (do IAStorDataMgrSvc.exe chiếm một tỷ lệ cao trong năng lưc CPU được sử dụng, có khi đến 80-90%), máy hay restart.... Khi bị nhiễm virus, máy có những kết nôi đến các website lạ (của hacker) và trang default của trình duyệt hay bị thay đổi....

5- Tôi vừa thử nghiêm kích hoạt malicious IAStorDataMgrSvc.exe (nằm trong file do bạn 1visao cung cấp) trên máy của mình để kiểm tra. Những hiện tương sau đây được xác nhận sau khi đã kiểm chứng nhiều lần:

- Không có bất cứ một cuộc tấn công DDoS nào đươc thưc hiện từ máy của tôi. Tất nhiên là không có cuộc tấn công DDoS vao vietnamnet. Malicious IAStorDataMgrSvc.exe trong trường hơp này (từ ban 1visao cung cấp) không phải là một DDoS tool.

- IAStorDataMgrSvc.exe thường xuyên khời phát quá trình kết nôi với 3 website và một IP address như sau:

easy.lixns.com (119.153.92.129)-webserver đặt tai Pakistan

direct.fqin.net (119.153.92.110) -webserver đặt tai Pakistan

find.laxt.net (74.115.79.191) -webserver đặt tai Mỹ

IP: 239.255.255.250
 

Khi check vào các website-webserver này thì thấy chỉ có webserver direct.fqin.net là active (nối mạng) còn 3 cái còn lại thì inactive-offline.

Có vài đăc điểm:
- Khi check webserver direct.fqin.net thấy nó mở 3 cổng 21, 23 và 80, thấy một server tên là RomPager/4.07 UPnP/1.0 (đây là 1 software của ZyXEL router- như vậy hacker có thể đang dùng router để Remote access vào một máy mục tiêu, thông qua Telnet) thay vì NGINX như lãnh đạo STL thường làm
- Các webserver này chỉ hosting một website, như đã thông kê trên đây.

6- Kết luận IAStorDataMgrSvc.exe do ban 1 visao cung cấp không phải là một DDoS tool, càng không phải là một DDoS tool tấn công vào vietnamnet. Nhưng đó là một Malicious IAStorDataMgrSvc.exe . Nó chắc không phải là một "sản phẩm " (mèo què- như anh TQN hay gọi) của lãnh đạo STL. Nó có thể của các hacker khác, thí dụ Pakistan hacker chẳng hạn.

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 02/09/2011 14:20:05 (+0700) | #842 | 246411
bula87
Member

[Minus]    0    [Plus]
Joined: 09/11/2007 18:56:38
Messages: 3
Offline
[Profile] [PM]
Anh bozalno_1989 xem giúp mình các file LOG này với, mình đã làm theo hướng dẫn của bạn nhưng phần log Autorunsc mình làm rồi mà ko được, chả biết vì lý do gì nữa...

link file LOG
http://www.mediafire.com/?kaxowfeyf4409r0
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 02/09/2011 14:37:55 (+0700) | #843 | 246412
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
bula87, bạn chú ý là cần tắt tất cả các trình duyệt khi scan để lấy log TCPView.
Bạn tìm các file log sau trong máy của bạn và gửi lên cho mình: autorunsc_result.txt, autorunsc_result.csv .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 02/09/2011 21:08:00 (+0700) | #844 | 246419
TMT102
Member

[Minus]    0    [Plus]
Joined: 30/09/2010 11:11:08
Messages: 5
Offline
[Profile] [PM]

conmale wrote:

TMT102 wrote:


Đây là chuyện nhức nhối và đây là chuyện cần phải thay đổi tận gốc. Như em đã có lần nhận xét rằng, những vết thương ung mủ không chịu chữa trị thì dần dần sẽ dẫn đến hoại thư cho cả một cơ thể là vậy. Bịnh thành tích là hội chứng của sự mặc cảm, sự sợ hãi sự thật và thói quen che đậy. Những căn bịnh này dần dần sẽ huỷ hoại sự thật, huỷ hoại đức tính trung thực, huỷ hoại lòng dũng cảm đối diện với thiếu sót để thay đổi và phát triển. Đây không phải là chuyện đùa nữa rồi. 


Điều này lằm tôi rất buồn . Làm thế nào mà thay đổi tận gốc được đây . Không nhẽ bảo tôi tự chặt chân mình đi à ? Cái điều tôi sợ nhất là phải nhổ cái cây ấy đi và trồng cây khác . Lại đau đầu . 


Vấn đề nằm ở chỗ chấp nhận để cái cây ấy sống dở, chết dở, đang bị ung rữa dần dần để rồi một lúc nào đó nó sẽ ngã nhào hay là đốn cái cây đã bị bệnh nặng ấy đi để trồng cây khác hay không thôi.

Bạn chặt chân bạn hoàn toàn khác việc bạn chặt một cái cây bị ung hoại. Bạn đau đầu vì thấy cái cây ấy đang ung rữa hơn là bạn đau đầu vì phải chặt cái cây đang bị ung rữa? Nếu bạn thấy việc chặt nó đau đầu hơn là việc ngồi nhìn nó ung rữa thì đừng chặt. 

Nói về triết lý comale chưa hiểu hết tôi rồi . " Không nhẽ bảo tôi tự chặt chân mình đi à ? " không phải nói tôi mà nói cái kiến trúc thượng tầng được hình thành bởi cái gốc đó . Nó không thể tự khai tử nó được ! Nhưng để thay đổi nó mình phải làm như thế nào đây ? Tôi cũng là hạng vô danh tiểu tốt ( như trong IT vậy ) nhưng đó là lý tưởng của tôi . Dù là nhỏ nhất tôi cũng sẽ thay đổi nó . Thay đổi cái không hợp lý đã được mọi người "thích nghi " và biến nó thành hợp lý ! Vài dòng tâm sự ngoài lề .Các bác đừng có xoá nick em nha .
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 02/09/2011 21:12:37 (+0700) | #845 | 246420
TMT102
Member

[Minus]    0    [Plus]
Joined: 30/09/2010 11:11:08
Messages: 5
Offline
[Profile] [PM]
oh . Xin lỗi nhớ nhầm tên bác . Conmale !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 02/09/2011 21:36:31 (+0700) | #846 | 246422
[Avatar]
thuypv
Member

[Minus]    0    [Plus]
Joined: 11/06/2008 12:25:57
Messages: 64
Offline
[Profile] [PM]
Tình hình là rất tình hình, đến bây giờ vietnamnet.vn vẫn ko thể vào được

Hem biết vietnamnet đang tiến hành khắc phục như thế nào mà chậm vậy, hay là chịu chết

Bác Tử Quảng đầu trọc hay ho he đâu rồi mà sao vụ này ko thấy ý kiến ý cỏ gì nhỉ, chán thật, vụ bên Hàn Xẻng xa xôi mà bác ấy còn truy lùng được sao vụ này kém thế
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/09/2011 08:43:10 (+0700) | #847 | 246432
ga_cum06
Member

[Minus]    0    [Plus]
Joined: 04/05/2008 19:01:15
Messages: 29
Offline
[Profile] [PM]
Xin admin và các anh em chú ý : hiện nay đang có 1 lỗi của Google có thể khai thác lợi dụng server của google để DDos, lỗi em đã thông báo tại đây :
/hvaonline/posts/list/39969.html
đến sáng nay khi get :
https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?url=/hvaonline/posts/list/39969.html&container=focus
có trả về file p.txt
em upload : http://www.mediafire.com/?uj6xngk695buxvx
rõ ràng hva vẫn chưa chặn kiểu tấn công này

...Ước mơ xây trường học cho trẻ em nghèo Việt Nam
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/09/2011 09:26:50 (+0700) | #848 | 246438
[Avatar]
mylove14129
Member

[Minus]    0    [Plus]
Joined: 27/04/2008 19:07:19
Messages: 106
Offline
[Profile] [PM]

thuypv wrote:
Tình hình là rất tình hình, đến bây giờ vietnamnet.vn vẫn ko thể vào được

Hem biết vietnamnet đang tiến hành khắc phục như thế nào mà chậm vậy, hay là chịu chết

Bác Tử Quảng đầu trọc hay ho he đâu rồi mà sao vụ này ko thấy ý kiến ý cỏ gì nhỉ, chán thật, vụ bên Hàn Xẻng xa xôi mà bác ấy còn truy lùng được sao vụ này kém thế 

Bạn xem lại mạng của mình xem nhé. Ngày nào mình cũng vào vietnamnet bình thường mà? Theo mình nhớ không nhầm thì chỉ có 2 3 hôm trùng với thời điểm hva bị tấn công là vietnamnet khó vào thôi. Từ đó đến nay mình vào rất tốt mà? Tốc độ khá nhanh
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/09/2011 15:20:49 (+0700) | #849 | 246442
[Avatar]
crc32
Member

[Minus]    0    [Plus]
Joined: 03/10/2008 21:56:29
Messages: 31
Offline
[Profile] [PM]

mylove14129 wrote:

Bạn xem lại mạng của mình xem nhé. Ngày nào mình cũng vào vietnamnet bình thường mà? Theo mình nhớ không nhầm thì chỉ có 2 3 hôm trùng với thời điểm hva bị tấn công là vietnamnet khó vào thôi. Từ đó đến nay mình vào rất tốt mà? Tốc độ khá nhanh 

Cả tuần nay mình vào báo điện tử Vietnamnet.vn cũng không được.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/09/2011 16:41:14 (+0700) | #850 | 246446
Iwwaty
Member

[Minus]    0    [Plus]
Joined: 30/08/2011 21:19:43
Messages: 7
Offline
[Profile] [PM]
Mình cũng không vào được.
- Hiện mình đang dùng mạng FPT.
- Vì ở nhà trọ nên có nhiều người dùng chung.

Theo mình nghĩ thì một trong những máy tính trong khu trọ của mình nhiễm "mèo què" của STL và máy tính đó tiến hành attack Vietnamnet dẫn đến VNN block ip của mình.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/09/2011 17:17:23 (+0700) | #851 | 246448
[Avatar]
mylove14129
Member

[Minus]    0    [Plus]
Joined: 27/04/2008 19:07:19
Messages: 106
Offline
[Profile] [PM]
Mình dùng mạng của VDC và viettel(3g) thấy vào tốc độ ầm ầm smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/09/2011 18:54:16 (+0700) | #852 | 246449
TMDTHBC
Member

[Minus]    0    [Plus]
Joined: 26/08/2011 04:43:07
Messages: 37
Offline
[Profile] [PM] [Email]

mylove14129 wrote:
Mình dùng mạng của VDC và viettel(3g) thấy vào tốc độ ầm ầm smilie  


Uhm đúng thế, mình sử dụng internet cáp SCTV, khoảng 3 bữa nay tốc độ load rất tốt, chỉ có vietnamnet bỏ hẳn link của tuanvietnam ra khỏi trang chính của mình thôi.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/09/2011 19:03:29 (+0700) | #853 | 246450
[Avatar]
thuypv
Member

[Minus]    0    [Plus]
Joined: 11/06/2008 12:25:57
Messages: 64
Offline
[Profile] [PM]
Tình hình là rất tình hình

nếu đánh là: www.vietnamnet.vn thì vào vô tư, còn uýnh là: vietnamnet.vn như hàng ngày em hay gõ thì ko vào được, đợi cả nửa tiếng

có lẽ vietnamnet chưa check lại dns cái này
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 03/09/2011 20:29:58 (+0700) | #854 | 246453
Dpm
Member

[Minus]    0    [Plus]
Joined: 06/04/2009 01:43:30
Messages: 85
Offline
[Profile] [PM]
@thuyvn: chuẩn.
www.vietnamnet.vn có IP 123.30.184.10,còn vietnamnet.vn có IP 117.103.197.249,có lẽ 123.30.184.10 chính là backend của vnn luôn,chạy IIS 7.5,và 117.103.197.249 là reverse proxy chạy squid.
còn imgs.vietnamnet.vn thì nhiều vô số :203.162.71.69,203.162.71.74,203.162.71.75,123.30.184.3,203.162.71.68,và res.vietnamnet.vn nữa: 123.30.184.3,203.162.71.68,203.162.71.69.mấy server này cho ảnh và các file tĩnh(js,css..),có server chạy squid,srv chạy nginx,srv chạy varnish..nhiểu phết nhỉ,vnn lớn quá smilie.
Trên IP 123.30.184.10 không thực hiện việc check sự tồn tại của cookie,nên k có cookie của trang vnn vẫn vào đc,ngược lại với IP 117.103.197.249 sẽ kiểm tra xem có cookie hay không,nếu không có thì khỏi cần vào làm gì,muốn vào thì vào add cookie hoặc qa www.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 04/09/2011 11:55:43 (+0700) | #855 | 246465
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

bula87 wrote:
Anh bozalno_1989 xem giúp mình các file LOG này với, mình đã làm theo hướng dẫn của bạn nhưng phần log Autorunsc mình làm rồi mà ko được, chả biết vì lý do gì nữa...

link file LOG
http://www.mediafire.com/?kaxowfeyf4409r0 


Mình vừa cập nhật hướng dẫn scan và gửi log Autorunsc, bạn thực hiện lại theo hướng dẫn nhé:

Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line)
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 04/09/2011 18:35:12 (+0700) | #856 | 246485
bula87
Member

[Minus]    0    [Plus]
Joined: 09/11/2007 18:56:38
Messages: 3
Offline
[Profile] [PM]

bolzano_1989 wrote:

bula87 wrote:
Anh bozalno_1989 xem giúp mình các file LOG này với, mình đã làm theo hướng dẫn của bạn nhưng phần log Autorunsc mình làm rồi mà ko được, chả biết vì lý do gì nữa...

link file LOG
http://www.mediafire.com/?kaxowfeyf4409r0 


Mình vừa cập nhật hướng dẫn scan và gửi log Autorunsc, bạn thực hiện lại theo hướng dẫn nhé:

Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line)
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/
 


Mình đã làm theo hướn dẫn của bolzano_1989, bạn xem giúp mình nhé

link file LOG
Code:
http://www.mediafire.com/?99de4x8bgb4b48c


thanks
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 04/09/2011 23:00:43 (+0700) | #857 | 246498
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
bula87, bạn tắt cửa sổ cmd (màu nền đen) khi việc scan chưa hoàn tất nên file log autorunsc_result.csv chưa được ghi xong, bạn thực hiện lại nhé.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/09/2011 07:16:46 (+0700) | #858 | 246502
texudo
Member

[Minus]    0    [Plus]
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
[Profile] [PM]
http://www.ttxva.org/bao-dong-do-hackers-cay-ma-mo-web-cam-thau-hinh-tu-dong-gui-ve-cho-cong-an-mang/

Cái này có liên quan tới STL không?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/09/2011 10:24:02 (+0700) | #859 | 246504
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Thấy bên blog Ba Sàm có đoạn sau, ai có mẫu virus này xin vui lòng gửi cho mình và HVA.

http://anhbasam.wordpress.com/2011/06/10/

- Độc giả NT loan báo: Xin quý vị cẩn thận với email có địa chỉ “Nam Hoang”. Nếu mở file ra xem máy sẽ bị dính virus ngay. Có thể bị mất password email và các blogs, các accounts khác nếu chúng thâm nhập vào máy mình. Đã reported Google để họ xếp vào email tin tặc. Không nên mở email nào có dạng .rar Tập tin đính kèm: Can canh tau ngu chinh TQ.rar Kích thước: 512,221 bytes . Khi giải nén sẽ cho ra những hình ảnh sau đây: trong số đó, tập tin “001 – Tau ngu chinh 303 – Pha hoaics.jpg” không phải là hình mà là dạng screen saver (một loại executable). Nếu bấm mở tập tin đó lên sẽ bị dính mã độc.  



Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/09/2011 11:12:15 (+0700) | #860 | 246506
TMDTHBC
Member

[Minus]    0    [Plus]
Joined: 26/08/2011 04:43:07
Messages: 37
Offline
[Profile] [PM] [Email]
@ Hi Mr. bolzano_1989,

Kiểm tra giúp mình file scanlog nhé, nếu được thì vui lòng hướng dẫn cách kiểm tra (đọc) autorunlog file.
Cảm ơn.
http://www.mediafire.com/download.php?lj3597tss2op48q
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/09/2011 13:43:16 (+0700) | #861 | 246510
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
TMDTHBC, bạn chưa gửi log Autoruns:

Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/09/2011 13:58:23 (+0700) | #862 | 246512
TMDTHBC
Member

[Minus]    0    [Plus]
Joined: 26/08/2011 04:43:07
Messages: 37
Offline
[Profile] [PM] [Email]

bolzano_1989 wrote:
TMDTHBC, bạn chưa gửi log Autoruns:

Hướng dẫn scan và gửi log Autoruns
http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/
 


Mình gửi lại log autoruns.
http://www.mediafire.com/?derlj34eeq7edp8

Thanks very much.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/09/2011 14:10:25 (+0700) | #863 | 246515
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
TMDTHBC, log của bạn bình thường, tôi không thấy dấu hiệu bị lây nhiễm virus nào cả, bạn có gặp dấu hiệu nào đặc thù cho việc bị lây nhiễm virus máy tính ở máy của bạn không?

Bạn có thể tham khảo bài viết sau của mình:
Một số hiện tượng đặc trưng biểu hiện máy tính bị lây nhiễm virus máy tính
http://support.cmclab.net/vn/tut0rial/mot-so-hien-tuong-dac-trung-bieu-hien-may-tinh-bi-lay-nhiem-virus-may-tinh/
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/09/2011 15:28:59 (+0700) | #864 | 246527
TMDTHBC
Member

[Minus]    0    [Plus]
Joined: 26/08/2011 04:43:07
Messages: 37
Offline
[Profile] [PM] [Email]

bolzano_1989 wrote:
TMDTHBC, log của bạn bình thường, tôi không thấy dấu hiệu bị lây nhiễm virus nào cả, bạn có gặp dấu hiệu nào đặc thù cho việc bị lây nhiễm virus máy tính ở máy của bạn không?

Bạn có thể tham khảo bài viết sau của mình:
Một số hiện tượng đặc trưng biểu hiện máy tính bị lây nhiễm virus máy tính
http://support.cmclab.net/vn/tut0rial/mot-so-hien-tuong-dac-trung-bieu-hien-may-tinh-bi-lay-nhiem-virus-may-tinh/
 


Mình có download file dic dùng dò pass wifi, load xong, bung nén compile thì thấy máy chạy chậm hẳn. Đã kiểm tra bằng ms essential, tcpview, proc mon thì không phát hiện gì. Hiện tượng trên vẫn còn nên nhờ Mr. bolzano check giúp. Nếu có phát hiện gì mới mình sẽ cần bạn giúp đỡ.
thanks
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/09/2011 15:49:36 (+0700) | #865 | 246529
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Vấn đề chậm máy của bạn không phải do virus gây ra đâu smilie .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/09/2011 17:44:42 (+0700) | #866 | 246532
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Thật sự là em quá thất vọng về mấy coder của anh em stl quá. Chống lại RCE của em và các anh em khác bằng những kỹ thuật quá ấu trĩ , sơ đẵng, ngây thơ và buồn cười, tệ hết chổ nói, làm em phát bực luôn. Detect AV chỉ một mình AVG thôi sao. Trên thế giới này biết bao nhiêu là AVs. Chống lại DecodeBin.1sc của em chỉ vậy thôi à, 5 phút thôi là em có DecodeBin2.1sc khác ! Lần này lại chơi trò delete file .idb của IDA nữa. Quá tệ, quá sơ đẵng trong suy nghĩ. Nếu em save file .idb ở thư mục khác thì sao ? Đề nghị anh em stl tập dùng IDA đi ? Mình phải hiểu đối thủ thì mới chống lại được chứ. Liệu mấy anh có đủ sức,đủ trình độ anti mọi decompiler, diassembler, mọi tool RCE không ?
Về code và RCE, cả tập thể mấy anh không thể nào chống lại em nổi đâu, không ai là đối thủ của em đâu. Nhớ một điều vậy nhé. Em chỉ là một newbie, một tay mơ, nữa mùa trong giới RCE Vietnam thôi, còn hàng trăm, hàng ngàn cao thủ đích thực khác nữa mà các anh không biết đấy.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/09/2011 20:39:58 (+0700) | #867 | 246537
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

TQN wrote:
Thật sự là em quá thất vọng về mấy coder của anh em stl quá. Chống lại RCE của em và các anh em khác bằng những kỹ thuật quá ấu trĩ , sơ đẵng, ngây thơ và buồn cười, tệ hết chổ nói, làm em phát bực luôn. Detect AV chỉ một mình AVG thôi sao. Trên thế giới này biết bao nhiêu là AVs. Chống lại DecodeBin.1sc của em chỉ vậy thôi à, 5 phút thôi là em có DecodeBin2.1sc khác ! Lần này lại chơi trò delete file .idb của IDA nữa. Quá tệ, quá sơ đẵng trong suy nghĩ. Nếu em save file .idb ở thư mục khác thì sao ? Đề nghị anh em stl tập dùng IDA đi ? Mình phải hiểu đối thủ thì mới chống lại được chứ. Liệu mấy anh có đủ sức,đủ trình độ anti mọi decompiler, diassembler, mọi tool RCE không ?
Về code và RCE, cả tập thể mấy anh không thể nào chống lại em nổi đâu, không ai là đối thủ của em đâu. Nhớ một điều vậy nhé. Em chỉ là một newbie, một tay mơ, nữa mùa trong giới RCE Vietnam thôi, còn hàng trăm, hàng ngàn cao thủ đích thực khác nữa mà các anh không biết đấy. 


Theo em thấy thì dù AVG không tốt bằng Avira nhưng AVG rất giỏi trong việc quảng cáo nên bà con người Việt dùng hàng antivirus miễn phí thường chọn AVG thay vì Avira, dường như có xu hướng chuyển từ AVG sang Avast! nhưng AVG vẫn rất được tin dùng bởi nhiều người Việt.

Mấy trò còn lại thì ấu trĩ thật.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 05/09/2011 22:33:23 (+0700) | #868 | 246544
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Có một đoạn code này, em vừa đọc vừa cười muốn bể bụng. Đoạn code này mới 100%, vừa được mấy anh stl nhét thêm vào cái codebase *.manifest của mấy anh ấy.
Code:
void __stdcall DetectHijackthisExe(int a1)
{
    HANDLE hSnapshot; // esi@2
    PROCESSENTRY32W pe; // [sp+10h] [bp-230h]@1
    unsigned int sanity; // [sp+23Ch] [bp-4h]@1

    sanity = (unsigned int)&pe ^ __security_cookie;
    while ( 1 )
    {
        hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
        memset(&pe.cntUsage, 0, 0x228u);
        pe.dwSize = 556;
        if ( Process32FirstW(hSnapshot, &pe) )
        {
            do
            {
                if ( !lstrcmpiW(pe.szExeFile, L"hijackthis.exe") )
                    ExitProcess(0);
            }
            while ( Process32NextW(hSnapshot, &pe) );
        }
        CloseHandle(hSnapshot);
        Sleep(0xC8u);
    }
}

Tính làm cho Bolzano nhà ta thất nghiệp ha ? Nhưng lại code ngớ ngẩn như vậy: detect thấy hijackthis.exe, thay vì kill process hijackthis.exe thì chính mình lại đi exit.

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 06/09/2011 08:56:17 (+0700) | #869 | 246552
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Nhóm STL sẽ không thể ngăn nổi việc dùng tool của mình đâu, cứ chạy đua với mình thì sẽ thấy smilie .
PS: Mình bỏ việc dùng HijackThis lâu rồi smilie .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 06/09/2011 11:59:27 (+0700) | #870 | 246558
[Avatar]
thuypv
Member

[Minus]    0    [Plus]
Joined: 11/06/2008 12:25:57
Messages: 64
Offline
[Profile] [PM]
Tình hình là mấy ngày nay em ko vào được vietnamnet nữa rồi, kể cả www.vietnamnet.vn và vietnamnet.vn

Chán thật
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|