Messages posted by "nobitapm"

Phân tích tính chất vài trận DDoS HVA vừa qua.

nobitapm — GMT

acoustics89 wrote:

nobitapm wrote:
E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên. Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w
Mẫu này không phải virus, bạn yên tâm nhé

Thanks bạn acoustic89. -:|-

TQN wrote:

2 Nobitapm: file jucheck.exe đó của em là file sạch, chính hãng Sun, bảo hành đàng hoàng. Máy em install Win7 64bit à ?

Cảm ơn anh TQN. Win7 64bit đúng rồi đó anh :D. Do e không rành về IT nên không biết kiểm tra file sạch hay virus. :(

Phân tích tính chất vài trận DDoS HVA vừa qua.

nobitapm — GMT

PXMMRF wrote:

2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau: - AdobeUpdateManager.exe - jucheck.exe (process giả update Java) - OSA.exe Chúng nằm ở các directories sau: Program Files\Adobe\AdobeUpdateManager.exe Program Files\Java\jre6\bin\jucheck.exe Program Files\Microsoft Office\Office11\OSA.exe Chúng cũng là thành phần của Trojan-bot đấy 3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả Thank you in advance.

E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên. Gửi anh PXMMRF mẫu file jucheck.exe Code:

http://www.mediafire.com/?wpbh40voy00k87w

Phân tích tính chất vài trận DDoS HVA vừa qua.

nobitapm — GMT

E đã submit cái file AcrobatUpdater.exe, size=282624 bytes mà anh TQN post lên cho Symantec hôm 22/07/2011 đến hôm nay 24/07/2011 thì nhận được câu trả lời là file đó không nguy hiểm, và cái thằng Norton Internet Security 2011 của em hôm nay quét cũng không diệt được cái file AcrobatUpdater.exe :(. Nguyên văn trả lời của Symantec như sau :

This message is an automatically generated reply -- do not reply to this message. This system is designed to analyze and process suspicious file submissions into Symantec Security Response and cannot accept correspondence or inquiries. --------------------------------------------------------------------------- Submission Summary --------------------------------------------------------------------------- We have processed your submission (Tracking #20779850) and your submission is now closed. The following is a report of our findings for the files in your submission: File: AcrobatUpdater.exe Machine: Machine Determination: Please see the developer notes. --------------------------------------------------------------------------- Customer Notes --------------------------------------------------------------------------- This file control bonet systemn for DDOS --------------------------------------------------------------------------- Developer Notes --------------------------------------------------------------------------- AcrobatUpdater.exe Our automation was unable to identify any malicious content in this submission. The file will be stored for further human analysis --------------------------------------------------------------------------- This message was generated by Symantec Security Response automation. Should you have any questions about your submission, please contact our regional technical support from the Symantec Web site, and give them the tracking number included in this message. Symantec Technical Support

RCE và vô hiệu hoá VB.NET virus (của STL à ?)

nobitapm — GMT

anh TQN chắc tối nay nhậu xỉn quá rồi nên không thấy post bài ta ? :D PS : tại e ở xa, chứ ở SG là e mời anh đi bờ kè uống bia giải khác liền. :P

RCE và vô hiệu hoá VB.NET virus (của STL à ?)

nobitapm — GMT

Đọc bài của bác TQN hấp dẫn quá, mặc dù không phụ giúp được gì cho bác thôi thì chúc bác mau hết đau mắt để mà tiếp tục RCE và post bài cho mọi người theo dõi nhé. Mong bài của bác từng ngày. :D