Phân tích tính chất vài trận DDoS HVA vừa qua.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

Phân tích tính chất vài trận DDoS HVA vừa qua.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	29/09/2011 07:44:27 (+0700) \| #1111 \| 247900

chipset
Member

Joined: 25/09/2011 08:54:11
Messages: 1
Offline

This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	29/09/2011 08:19:23 (+0700) \| #1112 \| 247901

stf
Member

Joined: 23/04/2005 18:28:25
Messages: 15
Offline

Để xác định nhanh xem máy tính của mình có dính bot đang tấn công VietnamNet hay không, bạn có thể tắt hết trình duyệt (IE, FF, Chrome,...), chat yahoo, skype, zing,... rồi vào màn hình console (cmd.exe) chạy lệnh Code:

netstat

để xem danh sách các kết nối ra ngoài (ESTABLISHED), nếu thấy xuất hiện tên domain có .vn, hoặc dãy IP của Việt nam thì chạy tiếp các tool sniff để lấy thêm thông tin.

Trang kiểm tra thông tin về địa chỉ IP: http://all-nettools.com/toolbox/smart-whois.php

Danh sách các tool sniff: http://thedatalist.com/pages/Packet_Sniffing.htm (có thể sử dụng những tool khác với SmartSniff, Wireshark,... để mong STL chưa update code kịp smilie

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	29/09/2011 09:15:08 (+0700) \| #1113 \| 247905

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Có một cách đơn giản nữa là dùng option "-o" trên Windows (từ Windows 2000 trở đi đã có option này) để xác định PID (process ID) của từng socket. Sau đó, dùng taskmanager và chỉnh trong "View" list để hiển thị giá tri PID rồi xem list của "Processes" trên taskmanager là biết ngay cái .exe nào có PID muốn xem.

Muốn nữa thì dùng mấy cái tool nho nhỏ như fport (http://www.mcafee.com/us/downloads/free-tools/fport.aspx) hay tcpview (http://technet.microsoft.com/en-us/sysinternals/bb897437) là thấy hết. Những tool nho nhỏ như vậy nhiều vô kể. Làm sao mà stl "check" cho hết được? Malware của stl mà chơi trò lock luôn task manager thì đích thị con nai vàng malware rồi. Không cần báo AV thì AV cũng tóm cổ ngay tại chỗ.

What bringing us together is stronger than what pulling us apart.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	29/09/2011 13:27:53 (+0700) \| #1114 \| 247913

batigol
Member

Joined: 28/02/2004 14:29:21
Messages: 4
Offline

Chào các anh.

Em cũng tò mò đọc các phân tích của các anh. Thì thấy chủ yếu là các anh nói về nguyên nhân, hiện tượng nhưng chưa thấy ai đưa ra biện pháp chống đỡ thiết thực cả?

@anh Conmale: theo anh thì ddos thì nên chống thế nào thì hiệu quả nhất ạ? em cũng có xem qua nhiều tài liệu nhưng chưa thấy biện pháp nào khả thi cả.

Vietnamnet có vẻ đã có giải pháp tốt cho vấn đề này. các anh thử vào xem? http://vietnamnet.vn

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	29/09/2011 14:42:10 (+0700) \| #1115 \| 247918

_KjlL_
Member

Joined: 04/11/2009 21:21:46
Messages: 137
Offline

Vậy mình nghĩ bạn nên đọc lại từ page 1 có thấy bàn luận nhiều mà !
Ngoài b cũng có thể đọc thêm /hvaonline/posts/list/112.html

...

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	29/09/2011 14:42:44 (+0700) \| #1116 \| 247919

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

batigol wrote:

Chào các anh.

Em cũng tò mò đọc các phân tích của các anh. Thì thấy chủ yếu là các anh nói về nguyên nhân, hiện tượng nhưng chưa thấy ai đưa ra biện pháp chống đỡ thiết thực cả?

@anh Conmale: theo anh thì ddos thì nên chống thế nào thì hiệu quả nhất ạ? em cũng có xem qua nhiều tài liệu nhưng chưa thấy biện pháp nào khả thi cả.

Vietnamnet có vẻ đã có giải pháp tốt cho vấn đề này. các anh thử vào xem? http://vietnamnet.vn

Làm sao mà đưa ra biện pháp nếu như không nắm rõ hệ thống vietnamnet có gì?

Chống hiệu quả nhất cho hệ thống bao gồm cái gì?

What bringing us together is stronger than what pulling us apart.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	29/09/2011 15:41:27 (+0700) \| #1117 \| 247926

batigol
Member

Joined: 28/02/2004 14:29:21
Messages: 4
Offline

conmale wrote:

batigol wrote:

Chào các anh.

Em cũng tò mò đọc các phân tích của các anh. Thì thấy chủ yếu là các anh nói về nguyên nhân, hiện tượng nhưng chưa thấy ai đưa ra biện pháp chống đỡ thiết thực cả?

@anh Conmale: theo anh thì ddos thì nên chống thế nào thì hiệu quả nhất ạ? em cũng có xem qua nhiều tài liệu nhưng chưa thấy biện pháp nào khả thi cả.

Vietnamnet có vẻ đã có giải pháp tốt cho vấn đề này. các anh thử vào xem? http://vietnamnet.vn

Làm sao mà đưa ra biện pháp nếu như không nắm rõ hệ thống vietnamnet có gì?

Chống hiệu quả nhất cho hệ thống bao gồm cái gì?

giả sử thế này anh nhé.
Hệ thống gồm 2 server, một firewall đặt trước, băng thông thi ko phải nghĩ nhưng performance của server thì phải nghĩ đó anh. làm sao để xử lý ddos mà vẫn đảm bảo cho valid user truy cập bình thường?

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	29/09/2011 16:03:51 (+0700) \| #1118 \| 247928

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

batigol wrote:

conmale wrote:

batigol wrote:

Chào các anh.

Em cũng tò mò đọc các phân tích của các anh. Thì thấy chủ yếu là các anh nói về nguyên nhân, hiện tượng nhưng chưa thấy ai đưa ra biện pháp chống đỡ thiết thực cả?

@anh Conmale: theo anh thì ddos thì nên chống thế nào thì hiệu quả nhất ạ? em cũng có xem qua nhiều tài liệu nhưng chưa thấy biện pháp nào khả thi cả.

Vietnamnet có vẻ đã có giải pháp tốt cho vấn đề này. các anh thử vào xem? http://vietnamnet.vn

Làm sao mà đưa ra biện pháp nếu như không nắm rõ hệ thống vietnamnet có gì?

Chống hiệu quả nhất cho hệ thống bao gồm cái gì?

giả sử thế này anh nhé.
Hệ thống gồm 2 server, một firewall đặt trước, băng thông thi ko phải nghĩ nhưng performance của server thì phải nghĩ đó anh. làm sao để xử lý ddos mà vẫn đảm bảo cho valid user truy cập bình thường?

Mơ hồ quá em. Xử lý ddos nào? Có hàng ngàn biến thái của ddos. Chẳng có một giải pháp nào có thể áp dụng cho mọi trường hợp hết. Riêng với vietnamnet thì thông tin chính xác về topology cũng như các cơ cấu bên trong thì chẳng mấy ai biết và nếu có biết thì cũng biết theo kiểu "black box". Các thảo luận về giải pháp cho vietnamnet (với cấp độ biết kiểu "black box") thì đã có rẩt nhiều trên diễn đàn rồi. Em chịu khó tìm và đọc lại. Ngay trả trong chủ đề này cũng có mà em chưa đọc kỹ đó thôi.

What bringing us together is stronger than what pulling us apart.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	29/09/2011 16:08:05 (+0700) \| #1119 \| 247930

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Avira đã có tường trình về con QTTask.exe:

Filename Result
QTTask.dll MALWARE
The file 'QTTask.dll' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

Filename Result
QTTask.exe MALWARE
The file 'QTTask.exe' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

Filename Result
rdpuser.mof MALWARE
The file 'rdpuser.mof' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

Filename Result
rfc2616.exe MALWARE
The file 'rfc2616.exe' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

Filename Result
rwoqv.exe MALWARE
The file 'rwoqv.exe' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

What bringing us together is stronger than what pulling us apart.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	30/09/2011 06:41:18 (+0700) \| #1120 \| 247939

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Các bản AV free mà bà con ta thường dùng còn MS Essentials, AVG và Avast. Mong bà con tiếp tục submit mẫu QTTask.zip cho các AntiVirus bà con đang dùng !
Bà con có thể theo list này để submit mẫu: http://www.mywot.com/wiki/Malware_submission

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	30/09/2011 07:13:11 (+0700) \| #1121 \| 247941

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Sophos thông báo kết quả analysis QTTask:

QTTask.dll -- clean
QTTask.exe -- clean
rdpuser.mof -- clean
rfc2616.exe -- identity created/updated (New detection Troj/Agent-TOZ)
rwoqv.exe -- identity created/updated (New detection Troj/Agent-TPA)

What bringing us together is stronger than what pulling us apart.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	30/09/2011 07:18:56 (+0700) \| #1122 \| 247942

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Microsoft thông báo kết quả QTTask.exe:

File Detection Status Alert Level
00591716EE0B2D17A7620C65D8773C65F4DFAD68 Trojan:Win32/Horsum.A Severe
E7F8258F22B7210DCA785D1040970097AAFC542C Trojan:Win32/Horsum.A Severe
7194E514AD58AE4BE6233CE1F00C8FF5EE29DCBE Trojan:Win32/Horsum.A Severe
7649A82681D9B8E2B656286F13BDD7E84537F005 Trojan:Win32/Horsum.A Severe
684EEF9918E11E648BF617FAF2A764AE42CEB433 Trojan:Win32/Temvekil.B Severe

Cả 5 files đều được xem là "severe".

What bringing us together is stronger than what pulling us apart.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	30/09/2011 16:54:41 (+0700) \| #1123 \| 247982

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

AVG vừa thông báo kết quả QTTask.exe:

Files

".\QTTask.dll"
".\QTTask.exe"
".\rdpuser.mof"
".\rfc2616.exe"
".\rwoqv.exe"

are new trojans and will be detected in one of the next virus definitions updates.

What bringing us together is stronger than what pulling us apart.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	30/09/2011 17:29:16 (+0700) \| #1124 \| 247984

TMDTHBC
Member

Joined: 26/08/2011 04:43:07
Messages: 37
Offline

Lừa đảo trắng trợn. Không nhân cách của con người....

http://www.baomoi.com/Home/CNTT/ictpress.vn/Thanh-lap-ban-ho-tro-ung-cuu-VietNamNet/7083779.epi

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	30/09/2011 19:13:04 (+0700) \| #1125 \| 247986

weasel1026789
Member

Joined: 25/06/2011 23:51:19
Messages: 10
Offline

TMDTHBC wrote:

Lừa đảo trắng trợn. Không nhân cách của con người....

http://www.baomoi.com/Home/CNTT/ictpress.vn/Thanh-lap-ban-ho-tro-ung-cuu-VietNamNet/7083779.epi

Ý bạn đang nói về stl đấy à? Đọc bài trong link bạn gửi xong mình thấy ngạc nhiên là với vncert và các cơ quan chức năng tham gia ứng cứu sao vẫn khó khăn vậy?

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	30/09/2011 20:34:52 (+0700) \| #1126 \| 247989

dietTC999
Member

Joined: 24/06/2011 08:46:05
Messages: 9
Offline

Mình hôm nay vào Vietnamnet mãi không được.
có phải là vẫn bị ddos không nhỉ?

Đời thay đổi khi chúng ta thay đổi!

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	30/09/2011 22:39:03 (+0700) \| #1127 \| 247999

TMDTHBC
Member

Joined: 26/08/2011 04:43:07
Messages: 37
Offline

weasel1026789 wrote:

TMDTHBC wrote:

Lừa đảo trắng trợn. Không nhân cách của con người....

http://www.baomoi.com/Home/CNTT/ictpress.vn/Thanh-lap-ban-ho-tro-ung-cuu-VietNamNet/7083779.epi

Ý bạn đang nói về stl đấy à? Đọc bài trong link bạn gửi xong mình thấy ngạc nhiên là với vncert và các cơ quan chức năng tham gia ứng cứu sao vẫn khó khăn vậy?

Mỉnh theo forum của HVA lâu lắm rồi, học hỏi mọi người khá nhiều ... Nhưng mình không nghĩ ... "trắng trợn và thô bỉ" đến thế.

CMC thì có bolzano đại diện ........ còn mấy cu vớ vẩn ... thế mà cũng tự hào đưa lên "báo".

@ TQN: công và sức của a mọi người biết nhưng mình không dằn đc lòng khi thấy điều vớ vẩn đó. TQN có khi nào a nghĩ chơi trò "gậy ông đập lưng ông".
Mình hiểu chỉ là đam mê nhưng phải lịch sự tí, còn vớ vẩn kiểu này thì .... smilie

cho chết luôn đi. Một thằng chết thì cả làng cảnh giác và quan tâm.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	01/10/2011 01:05:49 (+0700) \| #1128 \| 248000

thuypv
Member

Joined: 11/06/2008 12:25:57
Messages: 64
Offline

Em vừa đọc cái bài báo đó song, em đảm bảo là thằng tác giả viết bài báo đó có vào theo dõi HVA rất lâu rồi, dư mà lúc nó viết thì ko thèm đả động gì cả, nói thật mấy thằng mõ đó nhục thật

Mấy thằng mõ thì muôn đời vẫn mãi là mõ thôi mà

Theo em thì mặc kệ vietnamnet bị uýnh, cho nó chết luôn cho song, chúng nó nhờ mấy cơ quan chức năng mà lúc nào cũng miệng kêu to hơn là khả năng thì mặc kệ chúng nó, ko hiểu mấy thằng đó làm gì mà cả tháng nay vẫn ko thể nào vào được website

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	01/10/2011 08:28:47 (+0700) \| #1129 \| 248007

Bướm Đêm
Member

Joined: 25/03/2008 18:30:01
Messages: 223
Location: Phố Hoa
Offline

Oops! Down toàn tập smilie

tuanvietnam còn le lói http smilie

GZ tqf zìeq ˘ऐ xखc sड़e cav xন qrqr

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	01/10/2011 09:45:16 (+0700) \| #1130 \| 248011

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

TMDTHBC wrote:

@ TQN: công và sức của a mọi người biết nhưng mình không dằn đc lòng khi thấy điều vớ vẩn đó. TQN có khi nào a nghĩ chơi trò "gậy ông đập lưng ông".
Mình hiểu chỉ là đam mê nhưng phải lịch sự tí, còn vớ vẩn kiểu này thì .... cho chết luôn đi. Một thằng chết thì cả làng cảnh giác và quan tâm.

Mình nghĩ anh TQN và các bác trong HVA "phân tích" malware stl không phải để đươc công nhận này nọ. Quan trọng là sự "sạch sẽ" của hệ thống mạng còn non trẻ ở VN. Tại CMC, VnCert, FPT ... đều có những thành viên gạo cội của HVA công tác ở những vị trí quan trọng. Có thể báo chí không đề cập đến nhưng những người làm kỹ thuật chân chính tại các đơn vị trên vẫn luôn theo dõi rút tỉa kinh nghiệm từ HVA, họ cảm thấy HVA có chất lượng, có ích lợi cho cộng đồng là ok rồi smilie

Có lẽ khi nào HVA trở thành 1 tổ chức hoặc một nhóm bảo mật có "danh chính ngôn thuận" tại VN thì trên các báo sẽ đề cập đến smilie

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	01/10/2011 10:09:45 (+0700) \| #1131 \| 248014

Vanxuanemp
Member

Joined: 02/08/2005 04:31:37
Messages: 63
Location: Thôn Đoài
Offline

TQN wrote:

Ngày hôm qua em gặp mẫu của thằng Nga, dùng RPC để lây lan, em thiệt bó tay, té xỉu luôn ! Chả hiểu nó viết cái gì, vì về code nó đã là thằng coder cao tay hơn mình rồi ! Sau cùng, phải nhờ anh Gấu gồ, anh ấy chỉ ra là nó khai thác lổi của Print Spooler.

Đề nghị TQN cung cấp thông tin về con khai thác cái Print Spooler này giúp với, hiện tại đang bị cái lỗi chắc là từ con này, mà ghost lại máy, cài lại win vẫn bị dính. Tks.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	01/10/2011 10:28:40 (+0700) \| #1132 \| 248015

phuongnvt
Member

Joined: 09/02/2011 03:35:39
Messages: 332
Offline

vikjava wrote:

TMDTHBC wrote:

@ TQN: công và sức của a mọi người biết nhưng mình không dằn đc lòng khi thấy điều vớ vẩn đó. TQN có khi nào a nghĩ chơi trò "gậy ông đập lưng ông".
Mình hiểu chỉ là đam mê nhưng phải lịch sự tí, còn vớ vẩn kiểu này thì .... cho chết luôn đi. Một thằng chết thì cả làng cảnh giác và quan tâm.

Mình nghĩ anh TQN và các bác trong HVA "phân tích" malware stl không phải để đươc công nhận này nọ. Quan trọng là sự "sạch sẽ" của hệ thống mạng còn non trẻ ở VN. Tại CMC, VnCert, FPT ... đều có những thành viên gạo cội của HVA công tác ở những vị trí quan trọng. Có thể báo chí không đề cập đến nhưng những người làm kỹ thuật chân chính tại các đơn vị trên vẫn luôn theo dõi rút tỉa kinh nghiệm từ HVA, họ cảm thấy HVA có chất lượng, có ích lợi cho cộng đồng là ok rồi

Có lẽ khi nào HVA trở thành 1 tổ chức hoặc một nhóm bảo mật có "danh chính ngôn thuận" tại VN thì trên các báo sẽ đề cập đến

Theo anh em, Con đường nào cho HVA để trở thành "danh chính ngôn thuận" ?

Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	01/10/2011 11:13:22 (+0700) \| #1133 \| 248018

whitesnow19
Member

Joined: 08/10/2010 03:42:19
Messages: 54
Offline

Nếu các bạn để ý thì thấy vietnamnet.vn sau khi type sẽ được wwwect đến một trang chứa script để vào trang chủ. Nhưng em biết trong số các viewer đang xem bài viết nào có "trojan" stl. không biết em nên post lên đây url đó không?
Đã pm riêng anh conmale url này tuỳ anh xử lý.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	01/10/2011 11:55:48 (+0700) \| #1134 \| 248019

quygia128
Member

Joined: 15/07/2009 20:50:28
Messages: 119
Location: Somewhere
Offline

Đúng là đọc bài báo bức xúc không chịu được. Nếu anh TQN không phân tích và up mẫu cho các AV thì em nghĩ giờ này VNN chẳng vào được nữa chứ đừng nói là chậm, ý là đã diệt được 1 số lượng lớn malware của stl mà báo VNN bây giờ muốn vào cũng khó khăn. Chỉ thấy buồn.
Đưa vào bài báo bốn năm cái trung tâm bảo mật lớn như thế, xây dựng cả 1 ban ứng cứu mà lại phán 1 câu là không là đang tìm phương án khác.
Ngay bản thân họ là người bị tấn công mà cũng không biết đường khắc phục, không thể phân tích và vạch trần mạng bootnet này, em chỉ thấy lạ ở điểm này.

.::Mới bắt đầu trên con đường dài::.
.::Super Newbiez::.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	01/10/2011 14:49:50 (+0700) \| #1135 \| 248026

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Các bạn đừng bức xúc làm gì. Hãy nghĩ rằng vietnamnet cũng như các tờ báo khác có nỗi khổ hoặc giới hạn của họ. HVA từ khi chuyển hướng thành forum bảo mật chưa bao giờ có tiêu chí hoặc định hướng làm sao để nổi tiếng hoặc làm sao để có "nhiều khách". Chính vì vậy, HVA nghiêm túc trong thảo luận và nghiêm khắc trong việc điều hợp bài vở. Nói một cách khác, HVA tồn tại là vì nó mang lại được những ích lợi thiết thực cho cộng đồng chớ không phải vì tăng "rank" hoặc vì "có tiếng" một cách phù du. Những thứ "rank" hoặc "tiếng" nếu có thì cũng sẽ tàn nếu như không duy trì được chất lượng sinh hoạt.

Riêng việc HVA làm được gì với tình trạng đánh phá phi pháp trong thời gian qua, chính cộng đồng và từng cá nhân trong cộng động cảm nhận và chia xẻ. Đó mới là điều quan trọng và đáng quý. Cho dù có được "lên báo" một cách khiêng cưỡng hay không đúng sự thật thì cũng chẳng có mấy giá trị. HVA làm đúng hay làm sai, thời gian sẽ trả lời.

Trước mắt, nếu các bạn nghĩ rằng việc tung trojans để đánh cắp thông tin cá nhân, để "bạch hoá", để tạo botnets và để sử dụng máy tính của nạn nhân một cách phi pháp là những việc làm tồi bại và nên được ngăn chặn, hãy theo dõi máy của mình và cung cấp mẫu mã để HVA tiếp tục phân tích và gởi thông báo đến các AV để họ kịp thời phổ biến những bản cập nhật cần thiết giúp cho các nạn nhân không vô tình bị biến thành các zombies cho những mục đích xấu xa.

What bringing us together is stronger than what pulling us apart.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	01/10/2011 15:48:02 (+0700) \| #1136 \| 248030

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Tiếp tục nhờ bà con kiểm tra, check, report baduse, badsite các host mang trong bụng của thằng Dao360.dll.mui hồi xưa:
Code:

Host                            IP                  Hosted
=====                           ==                  =======
educationuk.ath.cx              111.90.150.183      PIRADIUS NET, Malaysia
goldenftpserver.ftpaccess.cc    188.72.216.63       Santrex Internet Service, Germany
hackforums.blogdns.net          209.217.248.77      Landis Holdings Inc, USA - Texas
playgirl.mypets.ws              188.72.216.63       Santrex Internet Service, Germany
searchsecurity.selfip.info      111.90.150.183      PIRADIUS NET, Malaysia

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	02/10/2011 15:03:49 (+0700) \| #1137 \| 248055

piloveyou
Member

Joined: 13/04/2010 21:23:15
Messages: 231
Location: EveryWhere
Offline

TQN wrote:

Các bản AV free mà bà con ta thường dùng còn MS Essentials, AVG và Avast. Mong bà con tiếp tục submit mẫu QTTask.zip cho các AntiVirus bà con đang dùng !
Bà con có thể theo list này để submit mẫu: http://www.mywot.com/wiki/Malware_submission

Cái này được đó bác lên đó sưu tập ok đó.

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	02/10/2011 15:53:07 (+0700) \| #1138 \| 248057

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Ngày hôm qua, sau khi em phân tích xong cversions.2.db, em dùng PatchDiff compare với IDA database của dao360.dll.mui, hai version mà em đã có. Phải nói là như anh chị em sinh đôi, giống nhau tới từng hàm, thứ tự hàm, thứ tự call. Chỉ khác nhau cái list mấy cái host để upload thông tin victim về, cách mã hoá, che giấu.... Nói chung là: chỉ là một code base ban đầu thôi.
Và em cũng thành thật xin lỗi anh em, cái tội hồ đồ, bộp chộp. Từ năm 2010, trong code của Dao360.dll.mui đã có code detect SmartSniff rồi. Chỉ khác là lúc đó detect trên WndClassName, còn cversions.2.db là WndName. Cờ thì đổi lại, TRUE->FALSE, tức là cái g_bNotSafeToConnect nguyên thuỷ là g_bSafeToConnect, vậy thôi. Giống nhau tới từng dòng if, while, for....
Điều này chứng tỏ gì vậy bà con, stl cạn kiệt mẫu và source "mèo què" rồi. Có bao nhiêu đó, chế đi chế lại, thêm mắm thêm muối, bớt đường, bột ngọt thôi smilie

(RCE hoài, ngán quá !)

Bà con nhìn 2 cái list của mấy cái host của cversions.2.db và dao360.dll.mui, thấy không quan trọng, không quan tâm, không dính dáng gì tới mình. Lầm chết đấy, cái nguy hiểm nhất của tụi stl này là mấy cái host đó đấy. Bao nhiêu thông tin của "đã, đang, và sẽ" (tùm lum thì luôn, quá khứ, hiện tại, tương lai...) của các victim sẽ được up về đó đấy. Stl group sẽ dựa các thông tin trên các host đó mà muốn "bạch hoá" hay "tắm trắng" ai, hoàn toàn nằm trên các host đó đấy. Bao nhiêu cái host đó đủ để stl group hoành hoành giang hồ Internet, khủng bố, đánh phá, hù doạ, khống chế mấy năm nay ! Em nói đúng không mấy "đại ca" stl ? Em tự hỏi giờ trong 11 cái host đó, có cái nào còn lưu thông tin của "Thằng Cu Anh" này không ? Và bà con, anh em IT VN ta, hảy đặt trường hợp, tất tần tật thông tin của mình, của máy tính mình đang dùng, đều nắm trên 11 cái host đó, thì sao ? Anh em hảy tự hỏi mình và tự hành động đi! Muốn stl "tắm trắng" anh em không ? Nằm trên đó hết đấy ? !
Tới bây giờ, anh em HVA sẽ "tắm đen" lại mấy anh, locked mấy cái host đó, thì mấy anh stl sẽ thấy, "cao nhân tất hữu cao nhân trị", "núi này cao còn có núi khác cao hơn". Các anh em HVA, chỉ dám nhận mình là "lùn tịt nhân", là cái gò, cái ụ mối thấp lè tè thôi, đủ để mấy anh gặp nightmare rồi, còn bao nhiêu núi cao khác, đồi cao khác chưa ra mặt... mà nhảy vô, thì mấy anh chỉ dẹp tiệm luôn là vừa, nhớ nhé !

Sau khi các AVs cập nhật hết, các host trên bị locked hết, thử xem các anh còn "tắm trắng" ai được nữa, còn hù doạ, khủng bố, lên mặt với ai được nữa không ?

Em có lang thang trên các blog, forum, nghe đệ tử mấy anh hùng hồn tuyên bố, sẽ ra ver mới của "mèo què"'s stl, sẽ đập chết mấy ai chống đối mấy anh ! Ráng đợi cái ver mới đó, xem thử mấy anh có đủ sức quay mấy anh em HVA và RCE team của HVA này hay không ? Nói nhỏ nhé, còn khuya, mấy anh muốn code cái gì thì ai cũng đã biết từ lâu rồi, không qua nổi những kiến thức, tips, tricks, techniques đã phổ biến trên Internet đâu, vì coder của mấy anh chỉ giỏi đạo code, đạo ý tưởng thôi mà, phải không mấy anh stl ?

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	02/10/2011 19:58:02 (+0700) \| #1139 \| 248060

learningandlearning
Member

Joined: 06/08/2011 01:28:30
Messages: 9
Offline

Dạo này em thấy model mình chớp liên tục mặc dù không lên mạng. Bật Wireshark thì thấy những dòng xanh này liên tục. Không biết máy của em có vấn đề gì không?

@TQN: có cách nào dùng Wireshark mà malware stl không phát hiện được không anh?

[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua.	03/10/2011 06:35:51 (+0700) \| #1140 \| 248063

TQN
Elite Member

Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline

Không sao cả bà con, code detect Wireshark của stl có bug, bug này giải thích như sau:
1. Khi Run wireshark.exe, nếu chưa start capture thì WindowName string của wireshark là: "The Wireshark Network Analyzer", lúc này hàm FindWindowW sẽ tìm ra và return TRUE, cờ global được set thành TRUE.
2. Khi ta start capture, WindowName của Wireshark sẽ thay đổi thành "Capturing from xxxx". Lúc này FindWindowW sẽ return FALSE, tìm không ra.

Em vừa download bản Wireshark v1.6.2 trên http://www.wireshark.org, run và test WindowName trên Wireshark đó.

Tóm lại, cuối cùng, ta chỉ cần đổi tên wireshark.exe thành tên khác, vd: wrshark.exe, thì toàn bộ đoạn code detect Wireshark của stl coder (group ?) sẽ vô dụng !

Còn để đề phòng cho các trường hợp detect khác, ngoài việc đổi tên wireshark.exe thành xxx.exe gì đó, các bạn nên dùng thêm 1 HexEditor (010 Editor chẳng hạn, bà con down tại đây http://www.exelab.ru) để find và replace Ansi string "The Wireshark Network Analyzer" thành chuổi khác, vd như em thì thay thành "The Sharkwire Analyzer Network" smilie

Đoạn thread code detect sniffers của stl coder:
Code:

int __stdcall Set_Privilege_And_Detect_Sniffers_Thread_Proc(LPVOID pParam)
{
    HANDLE hThread; // eax@1

    hThread = CreateThread(0, 0, EnableDebugAndShutdownPrivilege, 0, 0, 0);
    if (hThread)
        CloseHandle(hThread);

    while ( g_dwContinue )
    {
        if ( DetectWireshark() || DetectSmartSniff() || DetectEtherDPacketSniffer() )
        {
            g_bNotSafeToConnect = TRUE;
            Sleep(5000u); // ngủ 5s
        }
        else
        {
            g_bNotSafeToConnect = FALSE;
            Sleep(5000u);  // ngủ 5s
        }
    }
    return 0;
}

Cứ ngủ xong 5s, thức dậy, detecting tiếp, set cờ, lại ngủ tiếp. Bởi vậy có bà con có nói với em, sao "mèo đã què" rồi mà không cho ngủ hả anh ?! Ngủ hay không ngủ gì nó cũng ngốn và nóng CPU hết, vì đã code multithread mà cứ Sleep với loop liên tục thì bằng không ? Và không lẽ khi đang debug nó, mình phải ngủ theo nó à smilie

Lại còn check đk trên global variables nữa chứ, tranh chấp hay detect sai là cái chắc (g_dwContine và g_bNotSafeToConnect). Mấy anh stl không biết dùng cơ chế Synchronize và WaitForxxx à ?

Go to:

Users currently in here
1 Anonymous