banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Phân tích tính chất vài trận DDoS HVA vừa qua.  XML
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 23/06/2012 08:44:16 (+0700) | #1201 | 265470
[Avatar]
tdtv-bkt432
Member

[Minus]    0    [Plus]
Joined: 13/06/2012 02:14:06
Messages: 47
Location: /root/user...../null
Offline
[Profile] [PM]

TQN wrote:
File xv.jpg chỉ vỏn vẹn dòng text này:
Code:
2011-07-20 16:28:52

Ê, đệ tử, xem trong file xv.jpg nè, tao ra lệnh mày đúng hay quá giờ đó là stop tấn công với các chỉ dẩn từ xc.jpg nghe chưa.
Dạ thưa sếp STL, em nghe lệnh. Thằng chủ nhân cái máy này nó không biết đâu, nó là zoombies của "Sống chết theo lệnh" tụi mình mà, he he !!!???

File Exe bot + config của nó em post ở đây: http://www.mediafire.com/?c57bbuc7iwq3ca4
Trong file này còn có file Decode.exe và source Decode.cpp để decode nội dung file xc.jpg ra file .xml để bà con xem. File IDA 61 database chứa thông tin disassembly của con AcrobatUpdater.exe, file images01.gif là chính là file AcrobatUpdater.exe với toàn bộ nội dung đã bị xor với 0x19. 

Nghe code có vẻ như là thời gian ddos hay là hẹn giờ để ddos hay sao ấy?
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 19/07/2012 12:49:55 (+0700) | #1202 | 267093
tqcuong
Member

[Minus]    0    [Plus]
Joined: 10/07/2012 04:27:35
Messages: 3
Offline
[Profile] [PM]

texudo wrote:
http://www.threatexpert.com/report.aspx?md5=d517e448e15f3ea3b0405b7679eccfd7

Mình thấy trên Threatexpert rồi, không biết KIS submit hay là TQN or Conmale submit.

Btw, với việc đưa lên đây thì các trình AV sẽ update nhanh thôi, tốt hơn nhiều so với việc viết cái tool remove nó.


Giá mà BKAV update nhanh thì tốt, vì BKAV rất phổ biến ở các Computers của nhà nước (một số lượng khá lớn). smilie

------------------------------------------------------------------------------

Bạn AVIRA sẽ đưa cái này vào bản update tiếp theo (chắc ngày mai) - Avira ở VN dùng hơi nhiều:


AcrobatUpdater.exe MALWARE

The file 'AcrobatUpdater.exe' has been determined to be 'MALWARE'.Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates. 


[url=http://www.upanh.com/upanh_acrobatupdater.exe/v/drp25hal7ss.htm]
[/url]
[Up] [Print Copy]
  [Analyzing]   Phân tích tính chất vài trận DDoS HVA vừa qua. 19/07/2012 15:25:47 (+0700) | #1203 | 267107
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tới bây giờ mà vẫn còn ra cái AcrobatUpdater.exe à, cắm đầu luôn. Heo mi !
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|