banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/09/2011 06:18:24 (+0700) | #1051 | 247623
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cam on quygia128. Cậu up giùm tui file goopdate.dll luôn nhé !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/09/2011 12:09:30 (+0700) | #1052 | 247630
duynhi1978
Member

[Minus]    0    [Plus]
Joined: 07/02/2011 19:08:20
Messages: 1
Offline
[Profile] [PM]
http://www.mediafire.com/?sq79g0owfhdbt9g
GoogleCrashHandler.exe và goopdate.dll của tui. làm ơn.thanks
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/09/2011 12:51:11 (+0700) | #1053 | 247632
[Avatar]
quygia128
Member

[Minus]    0    [Plus]
Joined: 15/07/2009 20:50:28
Messages: 119
Location: Somewhere
Offline
[Profile] [PM] [WWW]
Em gửi anh link mới với 2 file GoogleCrashHandler.exe(giống file em đã up) và goopdate.dll em gộp chung vào file rar luôn cho dể phân tích (tránh nhầm lẫn giữa các mẫu khác nhau)
Link:
Code:
http://www.mediafire.com/?86gmzq22wztpzzv

-------------
PS: anh N sẵn tiện đây cho em hỏi là anh dùng tool gì để Decompiler C và C++ vậy ?. Em đang có mấy cái file C++ muốn phân tích. Tìm trên google nhưng tool đa số không được tốt cho lắm. Anh chỉ cần nói tên thôi em sẽ tự tìm.
Cảm ơn anh!
.::Mới bắt đầu trên con đường dài::.
.::Super Newbiez::.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/09/2011 17:28:38 (+0700) | #1054 | 247639
[Avatar]
rookey
Member

[Minus]    0    [Plus]
Joined: 01/06/2010 09:04:24
Messages: 22
Location: hồ chí minh
Offline
[Profile] [PM] [Yahoo!]
Chào mọi người.
Chiều nay em dùng Firefox thì vào được VietNamNet (Google Chrome thì không).Báo VNN đã thông báo tới độc giả sự cố bị DDoS cả tháng qua. Hiện VNN đang thông báo nhờ tất cả mọi người từ nhà dịch vụ tới cá nhân đóng góp vào việc tìm diệt Botnet này.

Mừng đã vào được VNN một cách nhanh chống .
Thích nghi không có nghĩa là cơ hội,không có nghĩa là chống lại,mà là tìm cách vượt qua nó!
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/09/2011 17:52:27 (+0700) | #1055 | 247640
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Buồn một chút là không nhắc gì tới HVA cả, nếu không có HVA thì mấy ai biết được ITunesHelper và GoogleCrashHandler.
Tuy nhiên, vẫn có CMC trong list các đơn vị hổ trợ. Và chia buồn với mấy sứ giả cãi thiện chiến của BKAV, BKIS là không có tên của mấy anh trong đó ! Hoan hô Bolzano của CMC !
Công sức của anh em HVA ta, tuy không và chưa được ai công nhận, nhưng đã đến lúc thu được kết quả rồi. Giống như những nhà từ thiện chân chính, cần gì báo đài tung hô, chỉ cần mình làm đúng, hết lòng vì việc mình làm, phải không các bạn ?

Còn phần em thì vẫn tiếp tục chờ và tìm mẫu giấu mặt khác đang DDOS VNN, vẫn tiếp tục RCE, phân tích và công bố các mẫu khác của stl. Không ai cấm em được việc em đang làm ! Mong mọi người tiếp tục ủng hộ, tham gia, mạnh dạn vạch trần, đánh sập tụi stl xấu xa, giấu mặt, dơ bẩn, hèn hạ này !

Tự dưng em tự hỏi, nếu lần này, chúng ta, HVA, cộng đồng IT VN ta, phải thua tụi nó giữa chừng, thì mai mốt, vô hình, không có nước nào trên thế giới giống VN ta, có một thế lực hắc ám, "tử thần thực tử" cho những kẻ mà "ai cũng biết là ai đó" lơ lững trên đầu mình, sẵn sàng dập mình, đập chết mình và mọi người, bóp nghẹt, đàn áp, khống chế, đe doạ mọi người ! Các bạn chịu được không, hảy suy nghĩ cho kỹ ????????????????? Tự hỏi chính lương tâm các bạn đi ! Xã hội bây giờ là xã hội dân chủ, tự do thông tin, tự do chính kiến rồi, các bạn à, nếu các bạn đang làm đúng, không làm gì sai, phạm pháp, tại sao các bạn lại phải sợ ?!
1. Việc chúng ta đang làm, đấu tranh với stl có phạm pháp không các bạn ? Hoàn toàn không !
2. Chúng ta có chống phá chế độ, nhà nước không các bạn ? Hoàn toàn không !
3. Chúng ta có xúc phạm, đả kích một công dân chân chính VN nào không các bạn ? Hoàn toàn không !
4. Chúng ta làm việc này, có thu lợi, mang lại đồng tiền, lợi ích cho cá nhân không các bạn ? Hoàn toàn không !
5. Chúng ta đang đấu tranh với tội phạm mạng, tội phạm xã hội phải không các bạn ? Hoàn toàn đúng !
6. Chúng ta tham gia đấu tranh với stl để bảo vệ chính mình, bảo vệ mọi người, bạn bè, thân thuộc, bảo vệ tự do thông tin, tự do Internet, tự do phát ngôn, chính kiến của chúng ta..., đúng không các bạn ? Hoàn toàn đúng !
....
Còn nhiều cái khác nữa, mong các bạn hãy dũng cảm đứng lên, cùng tham gia góp sức để đập tan tụi stl này ! Tà không bao giờ thắng chính được, các bạn à !

[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/09/2011 18:32:48 (+0700) | #1056 | 247641
[Avatar]
.lht.
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline
[Profile] [PM]

TQN wrote:
Buồn một chút là không nhắc gì tới HVA cả, nếu không có HVA thì mấy ai biết được ITunesHelper và GoogleCrashHandler.
Tuy nhiên, vẫn có CMC trong list các đơn vị hổ trợ. Và chia buồn với mấy sứ giả cãi thiện chiến của BKAV, BKIS là không có tên của mấy anh trong đó ! Hoan hô Bolzano của CMC !
Công sức của anh em HVA ta, tuy không và chưa được ai công nhận, nhưng đã đến lúc thu được kết quả rồi. Giống như những nhà từ thiện chân chính, cần gì báo đài tung hô, chỉ cần mình làm đúng, hết lòng vì việc mình làm, phải không các bạn ?

Còn phần em thì vẫn tiếp tục chờ và tìm mẫu giấu mặt khác đang DDOS VNN, vẫn tiếp tục RCE, phân tích và công bố các mẫu khác của stl. Không ai cấm em được việc em đang làm ! Mong mọi người tiếp tục ủng hộ, tham gia, mạnh dạn vạch trần, đánh sập tụi stl xấu xa, giấu mặt, dơ bẩn, hèn hạ này !

Tự dưng em tự hỏi, nếu lần này, chúng ta, HVA, cộng đồng IT VN ta, phải thua tụi nó giữa chừng, thì mai mốt, vô hình, không có nước nào trên thế giới giống VN ta, có một thế lực hắc ám, "tử thần thực tử" cho kẻ mà "ai cũng biết là ai đó" lơ lững trên đầu mình, sẵn sàng dập mình, đập chết mình, bóp nghẹt, đàn áp, khống chế, đe doạ mình ! Các bạn chịu được không ????????????????? Tự hỏi chính lương tâm các bạn đi ! Xã hội bây giờ là xã hội dân chủ, tự do thông tin, tự do chính kiến rồi, các bạn à !
1. Việc chúng ta đang làm, đấu tranh với stl có phạm pháp không các bạn ? Hoàn toàn không !
2. Chúng ta có chống phá chế độ, nhà nước không các bạn ? Hoàn toàn không !
3. Chúng ta có xúc phạm, đả kích một công dân chân chính VN nào không các bạn ? Hoàn toàn không !
4. Chúng ta làm việc này, có thu lợi, mang lại đồng tiền, lợi ích cho cá nhân không các bạn ? Hoàn toàn không !
5. Chúng ta đang đấu tranh với tội phạm mạng, tội phạm xã hội phải không các bạn ? Hoàn toàn đúng !
6. Chúng ta tham gia đấu tranh với stl để bảo vệ chính mình, bảo vệ mọi người, bạn bè, thân thuộc..., đúng không các bạn ? Hoàn toàn đúng !
....
Còn nhiều cái khác nữa, mong các bạn hãy dũng cảm đứng lên, cùng tham gia góp sức để đập tan tụi stl này ! Tà không bao giờ thắng chính được, các bạn à !

 


Chắc anh lại uống quá chén rùi smilie
Bình tĩnh anh ơi, để có sức mà dập tắt nạn stl chứ smilie) Mọi người vẫn ủng hộ việc làm của các anh mà smilie
Sau khi xong cái đám tạp nham đó thì có khối người mời anh đi nhậu ý smilie lúc đó có uống nổi không smilie
Trash from trash is the place for new good things ~
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/09/2011 18:39:04 (+0700) | #1057 | 247642
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Hôm nay anh không uống em à, về tới nhà thì mệt lắm rồi. Anh chỉ nói những gì cần nói, .lht. ! Chỉ bức xúc những gì đang xảy ra trước mắt mình mà phải nói thôi ! Mình cứ tâm niệm mình đang làm đúng, không có gì phạm pháp thì mắc gì mình phải sợ, em nhỉ !
Anh vừa phân tích xong cái rdpuser.mof, cho nó move vào thư mục Done của QTTask.zip là vừa. Còn cái cversions.2.db, thằng này chính là core như Dao360.dll.mui hồi xưa, sẽ tốn nhiều công sức hơn, nhưng sẽ không bỏ cuộc, phải làm cho tới lần này. Lần này, nói trước cái HTTP server mà mấy anh POST thông tin của victim về sẽ bị em vạch trần, và em sẽ đi theo đường POST chính thống của mấy anh đấy ! Thử xem cái nginx webserver của mấy anh có chịu nổi mấy cái HTTP POST dị dạng không ? Em chả cần hack hiếc gì cả, chỉ cần cái nginx của mấy anh crash là được rồi !
Hình minh hoạ layout của code của rdpuser.mof:


Nhìn vào hình này, các bạn cũng thấy, stl coder code chỉ 6 hàm, còn DllMain là prototype bắt buộc của DLL, vậy mà chỉ vì vài hàm trong 6 hàm đó dùng CString, mà stl coder đã mang vào chương trình một đống các hàm (gần 30 hàm) của các class ATL::CString, ATL::CSimpleString, ATL::CWin32Heap, ATL::CAtlStringMgr, và một đống các hàm khác của STL - C++ Standard Template Library , cũng vì lai giữa C và C++, dùng lẫn lộn giữa new và malloc mà phải chịu vậy ! Trên hình, đoạn màu xanh nhạt là C/C++ library function, đoạn màu xanh đậm là code của stl coder.
Nói phải có bằng có chứng, chứ không mấy anh stl coder nói em nói mò, phán bậy ! Em nói đúng không mấy anh stl, xem lại code của rdpuser.mof đi ! Sợ mấy anh không nhớ rdpuser.mof là gì, em xin nhắc luôn, tên gốc lúc build của nó là advapi32.dl (mạo danh advapi32.dll, core dll của MS), build vào ngày 22/11/2010 đó !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/09/2011 20:41:36 (+0700) | #1058 | 247643
mainguyendl
Member

[Minus]    0    [Plus]
Joined: 26/06/2010 23:30:28
Messages: 3
Offline
[Profile] [PM]

songvedemdl wrote:

bolzano_1989 wrote:
mainguyendl có thể gửi 2 file sau lên để mọi người kiểm tra thêm:
c:\program files\unikey v408\unikey.exe
c:\program files\internet download manager\idman.exe
 

bạn đang nói mình ha? hay mainguyendl? nếu nói mình thì tối đi làm về mình se up lên mediafire cho bạn, thank bạn nhiều!! 

nhầm tên đó mà smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/09/2011 21:56:36 (+0700) | #1059 | 247646
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

phanledaivuong wrote:

TQN wrote:

Mình chỉ nhắc mấy anh em sv FPT đó là được rồi, bolzano. Mấy em sv FPT đó chịu khó remove cái Form3 ra giùm đi. Kiếm tiền thì nên quang minh chánh đại chứ, đừng làm những hành động vậy. Đã có ý tưởng tốt, viết phần mềm free thì free cho trót !
Em nhớ hồi xưa ông thầy dạy Anh Văn hồi PT của em có chế một câu: "Nhân bất học bất chi lý, trẻ không học lớn lên chích ma tuý, mình có học lớn lên làm đại uý" smilie
Đùa một chút cho mọi anh em bớt căng thẳng.
 


Thấy cu "thắng" học FPT tranh luận bên 4rum của cmc là do website bị "hacker" hack vào nên chèn trojan vào bản cài mà anh. Nhưng hình như là mấy cái Form3 này như anh nói là do chương trình của cu cậu bật lên để auto click. chứ không phải là do file exe nào của thằng "hacker" vì chắc chả thằng nào hâm lại đi resource cái toitietkiem.vn ra để lấy source rồi lại code lại thêm mấy cái Form3 -> build lại -> lại up lên server của toitietkiem.vn. Thường thì sẽ Binder cái malware vào smilie. kinh nghiệm code phần mềm chứa mã độc là nên Binder mã độc vào chứ đừng code chèn vào phần mềm smilie để lúc bị phát hiện còn dễ cãi smilie. tốt nhất là link download phần mềm từ trang chủ nên die smilie để cho người ta download phần mềm từ các diễn đàn khác smilie) mấy em nó mới vào đời, chưa có kinh nghiệm mấy vụ này. zzz
Em nói sai chỗ nào mong anh em chỉ bảo hộ smilie  


Chủ dự án ToiTietKiem.Vn Phạm Ngọc Thắng đã chính thức lên tiếng nhận lỗi ở diễn đàn CMCLab Support của CMC InfoSec trước cộng đồng người dùng về vụ việc phần mềm Toitietkiem.vn Professional được cài trojan:

Mọi người có thể đọc chi tiết ở địa chỉ sau:

Toitietkiem.vn Professional – Tiết kiệm điện tối ưu cho máy tính
http://support.cmclab.net/vn/ung-dung-tien-ich/toitietkiem-vn-professional-tiet-kiem-dien-toi-uu-cho-may-tinh/

ngocthang wrote:

Chào các bạn,

Sau ít ngày điều tra thì cuối cùng nhóm cũng tìm ra thủ phạm và xin được chính thức trả lời như sau:

Thật đáng xấu hổ khi "hacker" đã gây ra vụ việc lần này lại chính là 1 thành viên trong nhóm phát triển ToiTietKiem. Vì 1 số lí do tế nhị và "hacker" này đã quá xấu hổ trước hành vi của mình nên tôi xin phép đc giấu tên tuổi, danh tính. Thay mặt cho nhóm phát triển, tôi với tư cách là chủ dự án, đồng thời là trưởng nhóm, dù ko trực tiếp thực hiện nhưng cũng xin NHẬN LỖI TRƯỚC CỘNG ĐỒNG VỀ VỤ VIỆC CÀI TROJAN VÀO PHẦN MỀM TOITIETKIEM lần này. Nay bản sạch virus đã được public trở lại, mong nhận được SỰ THA THỨ VÀ TIẾP TỤC ỦNG HỘ từ phía người dùng.

Toàn bộ vụ việc được tóm gọn như sau:

- Vào khoảng cuối tháng 6, đầu tháng 7, khi các event của ToiTietKiem đc tổ chức sôi động nhất ở các trường ĐH lớn tại HN thì lượng người dùng ToiTietKiem tăng vọt, đạt khoảng 350.000 lượt dùng lúc đó. 1 thành viên trong nhóm thấy cái lợi thu được từ cộng đồng khá đông đảo này nên đã bí mật chèn code trojan vào ToiTietKiem và cho phát tán. Về cơ bản, trojan này chỉ là 1 trình duyệt mini, tự động click quảng cáo để thu lợi nên ko gây hại gì cho máy người dùng. Người dùng cài đặt ToiTietKiem từ 1/7/2011 đến nay, chỉ cần gỡ bản cũ ra và cài lại bản sạch là có thể tiếp tục sử dụng. Người dùng cài trước 1/7/2011 thì không cần phải lo lắng.

- Các chứng cứ tiếp theo như mất acc FTP... chỉ là do thành viên này dựng lên để đánh lừa hướng điều tra và tạo bằng chứng vô can cho mình.

Dưới đây là ảnh thành viên này đã thu được số tiền từ trojan click quảng cáo "lậu" do linkbucks trả, 5,29$, 1 cái giá quá rẻ mạt cho tiếng tăm mà ToiTietKiem xây dựng gần 2 năm trời.





Để xảy ra vụ việc đáng tiếc lần này, người đáng trách nhất chính là TÔI. Dù ko trực tiếp gây ra, nhưng với tư cách là chủ dự án đồng thời là trưởng nhóm phát triển, tôi xin nhận 100% trách nhiệm về mình. Xin được gửi lời xin lỗi chân thành nhất đến cộng đồng người sử dụng, xin lỗi vì đã làm ảnh hưởng đến uy tín của trường, của nhà tài trợ. Đồng thời, thành viên này cũng chính thức bị sa thải ra khỏi nhóm vì hành vi đạo đức ko thể chấp nhận được của mình. Cảm ơn những người anh em ở CMCLAB và HVA Online đã kịp thời phát hiện và cảnh báo virus.

Sau bài học đắt giá này, tôi xin được khắc cốt ghi tâm những kinh nghiệm xương máu. Cam kết ko bao giờ để xảy ra tình trạng tương tự, đặc biệt xem xét lại từ khâu phát triển phần mềm đến khâu phân phối sản phẩm ra thị trường.

Sau cùng, xin gửi lại các bạn link download bản ToiTietKiem sạch 100% :
http://www.mediafire.com/?tq7n9t664fsxs28

Một lần nữa, xin lỗi vì tất cả, mong được tha thứ và tiếp tục giang tay đón nhận từ phía cộng đồng!

Trân trọng cảm ơn,
 
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/09/2011 10:35:02 (+0700) | #1060 | 247662
[Avatar]
angel-pc
Member

[Minus]    0    [Plus]
Joined: 01/01/2011 01:15:32
Messages: 63
Offline
[Profile] [PM]
Nhờ anh TQN khám dùm mấy em này

http://www.mediafire.com/?y68d1cgi07y794a 
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/09/2011 12:00:35 (+0700) | #1061 | 247667
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

angel-pc wrote:
Nhờ anh TQN khám dùm mấy em này

http://www.mediafire.com/?y68d1cgi07y794a 
 


Mấy con này đã có từ lâu lắm rồi. Mấy con này có nguồn từ TQ.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/09/2011 12:17:26 (+0700) | #1062 | 247670
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Xin cảnh báo các bạn:

Những ai không rành về malware và không có sự bảo vệ cần thiết trên máy của mình mà tò mò download những "mẫu mã" đăng trong chủ đề này về thì hoàn toàn tự chịu trách nhiệm.

HVA không chịu trách nhiệm cho quyết định "tò mò" của các bạn
.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/09/2011 12:51:22 (+0700) | #1063 | 247671
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đã phân tích xong rdpuser.mof, chỉ có vài điểm chú ý sau:






Thằng làm nhiệm vụ như StaticCaches.dat hồi xưa là thằng \Protect\History.db.
Còn thằng cversions2.db thì như dao360.dll.mui hồi xưa, đứng giữa điều phối các file mèo què kia, up thông tin của victim, download new mèo què, bot....
Sau khi kiểm tra có 1 trong 2 file trên, rdpuser.mof sẽ LoadLibraryW 1 trong 2 file đó lên. Bị "bạch hoá" bắt đầu từ đây, phải không mấy anh stl:



Lúc trước, có người hỏi tui, ông biết nhiều vậy, bộ ông không bao giờ viết virus, hack hiếc, tham gia UG à. Em cười lớn, nếu vậy thì mấy ông làm chìa khoá ngồi ở lề đường, mấy thằng sửa xe ngoài Bùi Hửu Nghĩa, Nguyễn Chí Thanh, chợ Tân Thành chắc bị CA chụp cổ hết rồi quá ! Phải không các bạn ?

Nếu các bạn nào thích nghiên cứu về malware, RCE, cversions.2.db là một target xứng đáng để các bạn phân tích, có rất nhiều kỹ thuật hay trong đó. Nó với dao360.dll.mui hồi xưa là 1, cùng 1 code base, chỉ modify "sơ sơ" thôi. Không đủ để "her ríc tíc" (tự dưng quên mất tiêu) gì đó của AV không phát hiện ra !
Mấy anh stl coder giỏi quá, tự code hay tìm ở đâu vậy ? Cho em đi làm "đệ tử" với smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/09/2011 20:57:28 (+0700) | #1064 | 247682
pro_tc_08
Member

[Minus]    0    [Plus]
Joined: 23/09/2011 06:55:02
Messages: 2
Offline
[Profile] [PM]
sao www.Vietnamnet.vn ko vô được mà gõ wwwz.vietnamnet.vn lại vô đc thế mấy a?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/09/2011 22:24:53 (+0700) | #1065 | 247686
[Avatar]
insanity
Member

[Minus]    0    [Plus]
Joined: 20/02/2011 00:20:38
Messages: 17
Offline
[Profile] [PM] [Yahoo!]
từ bữa tấn công tới giờ , hôm nay e mới thấy vtv phản ánh vnn bị tấn công ddos
http://vietnamnet.vn/vn/cong-nghe-thong-tin-vien-thong/40581/vtv-phan-anh-vu-vietnamnet-bi-tan-cong-ddos.html
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 24/09/2011 23:16:43 (+0700) | #1066 | 247689
[Avatar]
angel-pc
Member

[Minus]    0    [Plus]
Joined: 01/01/2011 01:15:32
Messages: 63
Offline
[Profile] [PM]
- Theo phân thích thì ip ddos vnn hầu hết là ip vn, vậy mà 12h đêm vào vẫn không được thì thật lạ không lẽ máy zoombie mở 24/24 nhiều vậy sao

@pro_tc_08: làm sao bạn biết được subdomain wwwz.vietnamnet.vn hay vậy, hay bạn là nhân viên của vnn, và bạn có biết là trước có một người cũng nói địa chỉ vietnamnet.vn thì vào không được nhưng có thể vào bằng địa chỉ www.vietnamnet.vn và sau đó thì www.vietnamnet.vn cũng không thể vào được không
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/09/2011 05:55:40 (+0700) | #1067 | 247692
whitesnow19
Member

[Minus]    0    [Plus]
Joined: 08/10/2010 03:42:19
Messages: 54
Offline
[Profile] [PM]
Đồng ý với angel-pc, làm sao bạn pro_tc_08 là làm sao bạn biết được subdomain???
Bạn mới gia nhập HVA ngày 23/9/2011, 1 post. Là sao?
Nhưng cũng thank pro_tc_08 nên mình mới vào được VNN, đọc được bài thông báo tình trạng kỹ thuật của VNN, thấy có nói đến CMC mà không nói đến HVA, không biết anh bolzano_1989 làm bên đó có thông tin gì không? Không biết CMC có "nhắc khéo" VNN là có sự giúp đỡ rất lớn từ HVA không?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/09/2011 07:17:41 (+0700) | #1068 | 247694
pro_tc_08
Member

[Minus]    0    [Plus]
Joined: 23/09/2011 06:55:02
Messages: 2
Offline
[Profile] [PM]
các bạn có vẻ bị hội chứng stl rồi,mình theo dõi chủ đề này lâu rồi, cũng tò mò và tự seach gg, vô tình biết đc thôi, thấy mọi ng ai cũng bảo ko vô đc mà mình biết cách nên mình mới tạo 1 nick @@ .mình chỉ là dân kinh tế,ko biết nhiều về it
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/09/2011 19:45:19 (+0700) | #1069 | 247704
[Avatar]
quygia128
Member

[Minus]    0    [Plus]
Joined: 15/07/2009 20:50:28
Messages: 119
Location: Somewhere
Offline
[Profile] [PM] [WWW]
Trên VNN có bài nói về vụ DDos này và chuyên gia của Bkav khuyên mọi người nên cài 1 phần mềm diệt virus của Việt Nam thì sẽ cập nhật virus nhanh hơn, nói thì như vậy nhưng thực tế em đã test bản Bkav Internet security pro (16/9/2011) quét tất cả những file chứa malware mà anh TQN đã public gần cả tháng nay mà nó chẳng nhận dạng được virus nữa nói chi tới việc diệt. Không hiểu cái phần mềm "hàng đầu" thế giới này làm gì nữa (nhân viên kỹ thuật của Bkav có thật sự quan tâm đến đám virus này không ? hay họ không biết phải lấy mẫu ở đâu, hay họ quá tự hào về cái gọi là "điện toán đám mây" ?)
Ai đang dùng Bkav hãy test thử coi có đúng như vậy không nhé (bà con cập nhật dữ liệu mới nhất thử xem có diệt được không ?). KIS thì đã nhận dạng và diệt sạch.
.::Mới bắt đầu trên con đường dài::.
.::Super Newbiez::.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/09/2011 20:09:06 (+0700) | #1070 | 247705
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]

quygia128 wrote:
Trên VNN có bài nói về vụ DDos này và chuyên gia của Bkav khuyên mọi người nên cài 1 phần mềm diệt virus của Việt Nam thì sẽ cập nhật virus nhanh hơn, nói thì như vậy nhưng thực tế em đã test bản Bkav Internet security pro (16/9/2011) quét tất cả những file chứa malware mà anh TQN đã public gần cả tháng nay mà nó chẳng nhận dạng được virus nữa nói chi tới việc diệt. Không hiểu cái phần mềm "hàng đầu" thế giới này làm gì nữa (nhân viên kỹ thuật của Bkav có thật sự quan tâm đến đám virus này không ? hay họ không biết phải lấy mẫu ở đâu, hay họ quá tự hào về cái gọi là "điện toán đám mây" ?)
Ai đang dùng Bkav hãy test thử coi có đúng như vậy không nhé (bà con cập nhật dữ liệu mới nhất thử xem có diệt được không ?). KIS thì đã nhận dạng và diệt sạch.
 


Chuyên gia đấy bên CMC không phải của BKIS, cũng không nên anti BKIS quá như vậy bro à
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 25/09/2011 21:10:08 (+0700) | #1071 | 247707
[Avatar]
quygia128
Member

[Minus]    0    [Plus]
Joined: 15/07/2009 20:50:28
Messages: 119
Location: Somewhere
Offline
[Profile] [PM] [WWW]
Chuyên gia đấy bên CMC không phải của BKIS 

Cảm ơn bạn đã đính chính thông tin này.
1.Nhưng mình nói là dựa theo thực tế và mình đã test chứ không nói bừa.
2.Mình không có lý do gì để anti Bkav cả, là người Việt mình ủng hộ phần mềm Việt chỉ có điều sự thật nó khác với lời nói mà thôi.
Bạn có thể tin tưởng nhưng hãy tin tưởng vào cái mà bạn "nhận được" khi dùng Bkav. Mình xin hỏi bạn là đã test hay chưa ?
.::Mới bắt đầu trên con đường dài::.
.::Super Newbiez::.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/09/2011 06:49:16 (+0700) | #1072 | 247715
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]

quygia128 wrote:
Chuyên gia đấy bên CMC không phải của BKIS 

Cảm ơn bạn đã đính chính thông tin này.
1.Nhưng mình nói là dựa theo thực tế và mình đã test chứ không nói bừa.
2.Mình không có lý do gì để anti Bkav cả, là người Việt mình ủng hộ phần mềm Việt chỉ có điều sự thật nó khác với lời nói mà thôi.
Bạn có thể tin tưởng nhưng hãy tin tưởng vào cái mà bạn "nhận được" khi dùng Bkav. Mình xin hỏi bạn là đã test hay chưa ?
 


1 - Bạn là người đã test BKAV rồi thì thay vì chỉ trích hãy gửi ý kiến về những vấn đề của BKAV mà theo bạn là chưa làm được tới bộ phận chăm sóc khách hàng hay bộ phận kỹ thuật của BKIS như vậy mới là ủng hộ sản phẩm của người Việt

2 - Mình là end-user chứ không phải là Tester nên không rảnh để test 1 sản phẩm nào đó mà mình không có nhu cầu sử dụng.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/09/2011 09:39:18 (+0700) | #1073 | 247722
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Kinh nghiệm mới khi RCE malware của stl mà tui vừa phát hiện ra:
1. Luôn Ctrl-S, Ctrl-A liên tục.
2. Đừng ôm con nhỏ trong lòng khi đang mở malware với OllyDbg hay IDA, nó cứ chòi chòi, đòi gõ bàn phím hoài, F5 hay F9 một cái là tiêu em smilie Mà không cho là nó la mới mệt chứ !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/09/2011 10:22:01 (+0700) | #1074 | 247724
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

TQN wrote:
Kinh nghiệm mới khi RCE malware của stl mà tui vừa phát hiện ra:
1. Luôn Ctrl-S liên tục.
2. Đừng ôm con nhỏ trong lòng khi đang mở malware với OllyDbg hay IDA, nó cứ chòi chòi, đòi gõ bàn phím hoài, F5 hay F9 một cái là tiêu em smilie Mà không cho là nó la mới mệt chứ ! 


Chưa gì bác TQN đã lo huấn luyện thế hệ kế thừa smilie
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/09/2011 10:28:22 (+0700) | #1075 | 247725
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Hì hì, mới có 16 tháng mà huấn luyện cái gì. Thấy ba nó ngồi máy là nó đòi ẵm mới chịu, rồi lấy chân tay bé xíu đập vô bàn phím đấy chứ !
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/09/2011 10:53:56 (+0700) | #1076 | 247727
[Avatar]
A.T
Member

[Minus]    0    [Plus]
Joined: 11/06/2011 05:45:42
Messages: 76
Offline
[Profile] [PM]
hổ phụ sinh hổ tử đây smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/09/2011 11:27:24 (+0700) | #1077 | 247730
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Hôm qua nhậu quá giờ ngu ngu rồi. Thôi RCE tiếp con cversions.2.db của mấy anh stl để giải saysmilie
Phân tích mấy hàm này, giựt mình, tỉnh rượu luôn smilie Mấy anh stl chơi thâm ha ! Lần này sau một thời gian theo dõi HVA, thấy HVA hướng dẫn bà con dùng Wireshark, SmartSniff... để monitor và bắt mèo què của mấy anh, mấy anh chơi viết code detect các tool đó luôn ha !
Nhưng mà các tool capture, sniffer thì nhiều vô số kể, làm sao các anh stl chống hết được ha ?
Bản cversions.2.db này đang detect 3 tool sau:
1. Wireshark.exe, find wndname = The Wireshark Network Analyzer
2. smsniff.exe, find wndname = SmartSniff
3. EtherD.exe, find wndname = EtherDetect Packet Sniffer



Trong list trên lại không có TCPView, CurrPorts (cũng của Nirosoft).
Các packet monitor tool trên máy em đang có: netcap của Windows Support Tools, CommView, MS Network Monitor, Cain&Abel, và NetworkMiner http://www.netresec.com/?page=NetworkMiner. Em kết nhất là cái NetworkMiner này, opensource, gọn nhẹ, portable. Thử xem mấy anh stl có add code detect hết nổi không ?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/09/2011 12:31:30 (+0700) | #1078 | 247736
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Hì hì, các bạn stl detect mấy cái tools xong rồi làm gì? Chắc "kill" hết mấy cái processes chạy mấy cái tools phải không nào? Hoan hô các bạn stl smilie .
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/09/2011 13:28:55 (+0700) | #1079 | 247739
[Avatar]
crc32
Member

[Minus]    0    [Plus]
Joined: 03/10/2008 21:56:29
Messages: 31
Offline
[Profile] [PM]
malwares của stl sau khi detect thay mấy cái tools sẽ không kill hết mấy cái processes ấy mà tự mình exit, trốn để tránh bị phát hiện phải không anh TQN smilie
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 26/09/2011 13:30:55 (+0700) | #1080 | 247740
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Hì hì, không phải nó kill các tool đó hay exit đâu bà con ! Thâm hơn nữa kìa, nó sẽ đi ngủ, chừng nào tụi kia đi hết nó mới thức dậy và phang tiếp smilie
cversions.2.db sinh rất nhiều thread, mổi thread làm nhiệm vụ khác nhau.
Code detect các tool sniffer được đặt nằm trong 1 thread. Thread này gần như loop vô tận, và liên tục detect các snifffer. Nếu detect thấy, nó sẽ set 1 cờ, em gọi là g_dwNotSafeToConnect.


Các thread khác làm làm nhiệm vụ upload victim infos và download sẽ liên tục check cờ này, nếu thấy not safe, nó sẽ không connect tới các HTTP server định sẵn, thay vào đó các thread sẽ đi ngủ (Sleep) smilie
Vì vậy, user bình thường, khi bật Wireshark, Smsniff... lên sẽ không thấy các connection vào ra từ cversions.2.db này. Khi tắt đi thì cversions.2.db sẽ lại connect.
stl coder thâm vậy đó, bà con sợ chưa smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
2 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|