Theo thông tin từ báo điện tử này, có ít nhất 300 nghìn địa chỉ mạng (IP) phân bố rải rác khắp nơi và từ tất cả các nhà cung cấp dịch vụ Internet (ISP) ở Việt Nam tấn công vào VietnamNet. Chưa hết, số lượng IP tại mỗi thời điểm tấn công không lặp lại. 

Ở lúc cao điểm, chúng tôi chuyển 1/8 lưu lượng tấn công sang một hệ thống khác nhờ xử lý giúp, nhưng băng thông 2Gbps của hệ thống này lập tức bị nghẽn” – một chuyên gia bảo mật tham gia ứng cứu cùng VietnamNet cho biết (băng thông của VietnamNet được coi là “khủng” cũng mới lên đến 1Gbps – PV). 

conmale$ traceroute vietnamnet.vn
traceroute: Warning: vietnamnet.vn has multiple addresses; using 117.103.197.249
traceroute to vietnamnet.vn (117.103.197.249), 64 hops max, 52 byte packets
 1  172.16.1.99 (172.16.1.99)  3.256 ms  2.376 ms  2.266 ms
 2  10.64.0.1 (10.64.0.1)  9.551 ms  12.110 ms  8.239 ms
 3  riv3-ge1-2.gw.optusnet.com.au (198.142.192.161)  8.504 ms  7.963 ms  7.733 ms
 4  mas1-ge13-0-0-905.gw.optusnet.com.au (211.29.125.21)  18.982 ms  9.850 ms  11.522 ms
 5  mas3-ge2-0.gw.optusnet.com.au (211.29.125.237)  9.214 ms  9.339 ms  10.057 ms
 6  203.208.192.169 (203.208.192.169)  169.115 ms  179.886 ms  182.649 ms
 7  ge-0-0-0-0.laxow-dr1.ix.singtel.com (203.208.171.65)  178.756 ms
    203.208.149.33 (203.208.149.33)  169.686 ms
    ge-0-0-0-0.laxow-dr1.ix.singtel.com (203.208.171.65)  168.359 ms
 8  xe-0-1-0-0.laxow-dr3.ix.singtel.com (203.208.149.117)  174.514 ms
    203.208.152.202 (203.208.152.202)  614.025 ms
    xe-0-1-0-0.laxow-dr3.ix.singtel.com (203.208.149.117)  175.219 ms
 9  xe-1-0-0-0.hkgcw-cr3.ix.singtel.com (203.208.152.125)  473.260 ms  613.086 ms  616.756 ms
10  203.208.149.2 (203.208.149.2)  184.680 ms
    xe-1-0-0-0.hkgcw-cr3.ix.singtel.com (203.208.152.125)  612.929 ms
    203.208.149.2 (203.208.149.2)  189.302 ms
11  d1-98-230-143-118-on-nets.com (118.143.230.98)  729.025 ms
    203.208.171.130 (203.208.171.130)  614.731 ms  611.874 ms
12  xe-1-0-0-0.hkgcw-cr3.ix.singtel.com (203.208.152.125)  615.272 ms
    user244-0.enet.vn (125.214.0.244)  614.363 ms
    xe-1-0-0-0.hkgcw-cr3.ix.singtel.com (203.208.152.125)  615.712 ms
13  117.103.228.93 (117.103.228.93)  611.763 ms
    203.208.190.82 (203.208.190.82)  528.150 ms
    user244-0.enet.vn (125.214.0.244)  614.636 ms
14  d1-98-230-143-118-on-nets.com (118.143.230.98)  613.326 ms
    117.103.197.249 (117.103.197.249)  612.069 ms
    d1-98-230-143-118-on-nets.com (118.143.230.98)  613.976 ms

[geek@germany ~]$ traceroute vietnamnet.vn
traceroute to vietnamnet.vn (117.103.197.249), 20 hops max, 40 byte packets
1 router144-1.muc1.mivitec.net (91.90.144.1) 2.956 ms
2 62.140.25.41 (62.140.25.41) 0.689 ms
3 ae-11-11.car1.Munich1.Level3.net (4.69.133.253) 173.829 ms
4 ae-4-4.ebr1.Frankfurt1.Level3.net (4.69.134.2) 6.415 ms
5 ae-91-91.csw4.Frankfurt1.Level3.net (4.69.140.14) 17.151 ms
6 ae-72-72.ebr2.Frankfurt1.Level3.net (4.69.140.21) 6.898 ms
7 ae-44-44.ebr2.Washington1.Level3.net (4.69.137.62) 97.086 ms
8 ae-92-92.csw4.Washington1.Level3.net (4.69.134.158) 93.577 ms
9 ae-84-84.ebr4.Washington1.Level3.net (4.69.134.185) 99.814 ms
10 ae-4-4.ebr3.LosAngeles1.Level3.net (4.69.132.81) 159.520 ms
11 ae-4-90.edge3.LosAngeles1.Level3.net (4.69.144.201) 159.757 ms
12 cr1.lax1.us.packetexchange.net (4.71.136.2) 168.744 ms
13 te4-1.cr1.lax1.us.packetexchange.net (69.174.120.141) 177.229 ms
14 218.189.31.25 (218.189.31.25) 160.724 ms
15 218.189.5.138 (218.189.5.138) 160.963 ms
16 d1-1-224-143-118-on-nets.com (118.143.224.1) 314.368 ms
17 218.189.5.39 (218.189.5.39) 322.274 ms
18 d1-98-230-143-118-on-nets.com (118.143.230.98) 374.891 ms
19 user244-0.enet.vn (125.214.0.244) 366.511 ms
20 117.103.228.93 (117.103.228.93) 365.514 ms

13:06:39.771 0.042 380 0 GET null Redirect http://www.vietnamnet.vn/ 13:06:40.278 6.449 427 182 GET 302 Redirect to: http://vietnamnet.vn http://www.vietnamnet.vn/ 13:06:46.732 2.143 458 406 GET 302 Redirect to: /vn/index.html http://vietnamnet.vn/ 13:06:48.882 40.536 436 19 GET 200 text/html http://vietnamnet.vn/vn/index.html 13:07:29.473 0.033 357 (1406) GET (Cache) image/x-icon http://vietnamnet.vn/favicon.ico 

conmale$ dig a vietnamnet.vn ; <<>> DiG 9.6.0-myBuild <<>> a vietnamnet.vn ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7119 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;vietnamnet.vn. IN A ;; ANSWER SECTION: vietnamnet.vn. 3600 IN A 222.255.122.157 vietnamnet.vn. 3600 IN A 117.103.197.249 ;; Query time: 659 msec ;; SERVER: 139.130.4.4#53(139.130.4.4) ;; WHEN: Thu Jan 20 08:45:16 2011 ;; MSG SIZE rcvd: 63 

conmale$ dig a www.vietnamnet.vn ; <<>> DiG 9.6.0-myBuild <<>> a www.vietnamnet.vn ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61465 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.vietnamnet.vn. IN A ;; ANSWER SECTION: www.vietnamnet.vn. 3600 IN A 117.103.197.249 ;; Query time: 499 msec ;; SERVER: 139.130.4.4#53(139.130.4.4) ;; WHEN: Thu Jan 20 08:45:24 2011 ;; MSG SIZE rcvd: 51 

Qua những biểu hiện trên tớ tin chắc vnn không bị bão hoà băng thông bằng chứng là request đi vô vẫn cực nhanh. Chỉ có response đi ra cực chậm. Nến băng thông bị bão hoà thì ra hay vô cũng đều chậm. Dấu hiệu cho thấy ở đây là dịch vụ web bị nghẽn và không kịp phục vụ người truy cập.  

Việc wwwect request theo nhận xét của anh conmale là để chuyển sang "trang static html để giảm thiểu hao tổn tài nguyên từ những truy cập trực tiếp đến các trang động...". Liệu còn có thể có mục đích gì khác nữa không?  

Tớ cũng thử "fire off" hơn 1 chục request liên tục trong 1 giây và thấy hệ thống vietnamnet responded y hệt như nhau. Các requests của tớ vẫn đến vietnamnet.vn và vẫn được wwwect y hệt như trên. Điều này chứng tỏ hình như vietnamnet không có cơ chế "packet rating" (hoặc request rating) mà tớ đã đề cập ở bài trước. Nói một cách khác, dường như vietnamnet chìa lưng ra cho DDoS đập thì phải :P .  

Nếu Vietnamnet chặn bằng packet size: khi số bytes đi qua card mạng lớn hơn mức bình thường trong một thời gian xác định mới bắt đầu drop, hoặc với tấn số lớn hơn (để không chặn nhầm những request đi qua cùng proxy) thì hơn chục request của anh chưa đủ điểm để bị chặn, nên suy đoán của anh có phần không đúng lắm :P  

mình đoán là cái MD5 là một cái chữ ký được tính dựa trên cái UNIX timestamp và một khoá nào đó. hi hi hi nếu có bạn nào đang ở trong đội của VNN thì mình có lời khuyên là nên dùng HMAC-SHA256, thay vì MD5 như vậy  

Cứ cho là có thể crack được cái chuỗi MD5 đi, nếu cái khóa bị đổi liên tục thì cookie này có được xem là đủ tốt ko bạn mrro  

Việc wwwect ngoài ra mình thấy /vn/index.html còn chuyển sang một trang trung gian, /chkdd.html?vnnd=cookie trong đó cookie là UNIX timestamp và MD5 của một cái gì đó. cái chkdd.html làm một chuyện là cài một cookie tên vnnd với giá trị như trên, rồi chuyển hướng lại sang /vn/index.html. có lẽ là do có quá nhiều IP đi chung qua một vài proxy của các ISP, nên VNN không thể chặn. đây cũng là câu hỏi mà bạn LeVuHoang có đặt ra cho mình trong chủ đề thảo luận về giải pháp chống DDoS mà mình đề nghị. lúc đó mình có nói đại loại là cứ cho đám proxy đi vào, chặn những thằng nằm ngoài proxy thôi, ví dụ như những thằng ở nước ngoài chẳng hạn. -m  

Mình nghĩ nên quay lại mục đích của cookie này, đó là chống DDOS. mrro có thể phân tích xem các giá trị IP và timestamp liệu sẽ giúp ích gì cho việc chống DDoS không?  

1. cách thức tạo cookie: * cookie = expired_date || SEPARATOR || signature * signature = HMAC-SHA256(key, auth_data || SEPARATOR || expired_date), trong đó: * key là một chuỗi bí mật, tối thiểu là 16 bytes, không cần phải thay đổi liên tục. chỉ cần giữ kín chuỗi này thì (nhiều hi vọng) không ai có thể làm giả cookie được. * expired_date là thời điểm mà cookie sẽ hết hiệu lực. đưa vào expired_date ở đây để phòng ngừa trường hợp ai đó chép một cái cookie hợp lệ, rồi dùng mãi, dùng mãi. * auth_data chứa thông tin định danh của cái yêu cầu hiện tại, có thể bao gồm IP, User-Agent và các HTTP header khác. đưa vào auth_data ở đây để phòng ngừa trường hợp cookie hợp lệ của một máy bị chép và đem ra sử dụng ở nhiều máy khác nhau. 2. cách thức kiểm tra cookie: * expired_date, signature = cookie.split(SEPARATOR) * trích xuất auth_data từ các thuộc tính của yêu cầu hiện tại. * computed_signature = HMAC-SHA256(key, auth_data || SEPARATOR || expired_date) * so sánh computed_signature và signature, nếu bằng nhau thì thực thi bước tiếp theo, không bằng nhau thì từ chối. chú ý dùng các thuật toán so sánh chuỗi có thời gian tính toán là hằng số, để không "leak" thông tin về computed_signature. * so sánh expired_date với thời gian hiện tại trên máy chủ, nếu expired_date lớn hơn thì chấp nhận yêu cầu, không thì từ chối. chú ý nếu có nhiều máy chủ thì phải đồng bộ thời gian giữa chúng với nhau.  

an toàn, do không ai có thể làm giả cookie nếu không biết được key. ngoài ra nó còn tránh được vết xe đổ "security through obscurity", vì sự an toàn của giải pháp chỉ phụ thuộc vào key, mà không phụ thuộc vào chi tiết của các thuật toán được sử dụng.  

Qua bao nhiêu bài và chủ đề mà mình vẫn chưa thấy gì gọi là "cụ thể" cả nên ngứa mồm nhảy vào phán nhảm ké. Kiểm tra "topology" là kiểm tra cái gì? Làm ra sao? Xây dựng lại "cái đó" như thế nào? Triển khai, siết lại các layer thấp hơn là cụ thể những layer nào? Làm sao làm? Ai chẳng biết là phải làm cái này cái kia, nhưng bao nhiêu người biết làm ra sao. Đó mới là mấu chốt vấn đề. Xin được tặng (biếu?) luôn chủ đề tài này (và những ai quan tâm đến kiến trúc hệ thống) một bài báo kinh điển với đầy "lời khuyên chung" On Designing and Deploying Internet-Scale Services -- http://www.usenix.org/event/lisa07/tech/full_papers/hamilton/hamilton_html/ Thời điểm nóng bỏng máu lửa như thế này mà cứ ngồi phán trên trời như vậy thì... quá vô nghĩa. Mình thích LeVuHoang khi mà đưa ra được một giải pháp khá đơn giản và thực tế như vậy. Tiếp tục thảo luận theo hướng này sẽ có ích hơn vạn lần. 

Qua bao nhiêu bài và chủ đề mà mình vẫn chưa thấy gì gọi là "cụ thể" cả nên ngứa mồm nhảy vào phán nhảm ké. Kiểm tra "topology" là kiểm tra cái gì? Làm ra sao? Xây dựng lại "cái đó" như thế nào? Triển khai, siết lại các layer thấp hơn là cụ thể những layer nào? Làm sao làm? Ai chẳng biết là phải làm cái này cái kia, nhưng bao nhiêu người biết làm ra sao. Đó mới là mấu chốt vấn đề. Xin được tặng (biếu?) luôn chủ đề tài này (và những ai quan tâm đến kiến trúc hệ thống) một bài báo kinh điển với đầy "lời khuyên chung" On Designing and Deploying Internet-Scale Services -- http://www.usenix.org/event/lisa07/tech/full_papers/hamilton/hamilton_html/ Thời điểm nóng bỏng máu lửa như thế này mà cứ ngồi phán trên trời như vậy thì... quá vô nghĩa. Mình thích LeVuHoang khi mà đưa ra được một giải pháp khá đơn giản và thực tế như vậy. Tiếp tục thảo luận theo hướng này sẽ có ích hơn vạn lần. 

Mình không phải là người VNN nhưng đọc cái comment của xnohat thì thấy như sau:

"anh em HVA đều nóng lòng muốn giúp đỡ Vietnamnet", "rất thực tế và rất khẩn cấp", "nếu các bạn ấy chịu hợp tác hơn".... 

Các bạn HVA đã ở đâu khi VietnamNet bị tấn công từ ngày 4/1 cho đến tận bây giờ. HVA đã có ngỏ lời giúp đỡ VietnamNet hay chưa? Việc phân tích chi tiết về cách phòng chống của VietnamNet cũng mới có từ ngày 19/1.  

Bạn có chịu nhúng mũi vào đâu để mà Vietnamnet có thể "xì ra bất cứ thông tin kỹ thuật nào"???  

Lại nữa, xnohat bảo không biết tí thông tin kỹ thuật nào từ VietnamNet nhưng lại phán là "họ vẫn đang dùng obscurity để chống đỡ là nhiều", sao bạn dám chắc thế nhỉ? Mình nghĩ với tư cách là một MOD như xnohat thì không nên có kiểu "phán" hay "chém gió" như thế.  

Mình đọc đâu đó trong diễn đàn này là "VietnamNet phải ngỏ ý nhờ HVA" thì mới được giúp đỡ. Mình không có ý kiến nhiều về việc này, mỗi người/tổ chức có cách làm của họ. Nhưng mình dẫn chứng một trường hợp ngoài đời như thế này: ngoài đường, bạn gặp 1 người bị cướp, và bạn là người đang đứng gần tên cướp nhất. Có lẽ bạn phải chờ người kia lên tiếng nhờ thì bạn mới giúp đỡ nhỉ?!? Đôi khi, những người khác đánh giá 1 con người qua việc họ không làm, chứ không phải việc họ làm ;)  

Mình không phải là người VNN nhưng đọc cái comment của xnohat thì thấy như sau:

"anh em HVA đều nóng lòng muốn giúp đỡ Vietnamnet", "rất thực tế và rất khẩn cấp", "nếu các bạn ấy chịu hợp tác hơn".... 

Các bạn HVA đã ở đâu khi VietnamNet bị tấn công từ ngày 4/1 cho đến tận bây giờ. HVA đã có ngỏ lời giúp đỡ VietnamNet hay chưa? Việc phân tích chi tiết về cách phòng chống của VietnamNet cũng mới có từ ngày 19/1. Bạn có chịu nhúng mũi vào đâu để mà Vietnamnet có thể "xì ra bất cứ thông tin kỹ thuật nào"??? Lại nữa, xnohat bảo không biết tí thông tin kỹ thuật nào từ VietnamNet nhưng lại phán là "họ vẫn đang dùng obscurity để chống đỡ là nhiều", sao bạn dám chắc thế nhỉ? Mình nghĩ với tư cách là một MOD như xnohat thì không nên có kiểu "phán" hay "chém gió" như thế. Mình đọc đâu đó trong diễn đàn này là "VietnamNet phải ngỏ ý nhờ HVA" thì mới được giúp đỡ. Mình không có ý kiến nhiều về việc này, mỗi người/tổ chức có cách làm của họ. Nhưng mình dẫn chứng một trường hợp ngoài đời như thế này: ngoài đường, bạn gặp 1 người bị cướp, và bạn là người đang đứng gần tên cướp nhất. Có lẽ bạn phải chờ người kia lên tiếng nhờ thì bạn mới giúp đỡ nhỉ?!? Đôi khi, những người khác đánh giá 1 con người qua việc họ không làm, chứ không phải việc họ làm ;)  

VNN có vẻ giải quyết xong vấn đề rồi, truy cập tốc độ rất tốt...ít ra là cho tới sáng nay 24/1; Giải pháp kiểm tra Cookie xem ra đơn giản mà lại hiệu quả nhỉ. Qua vụ này vỡ ra rất nhiều điều, các anh càng tranh luận, chúng tôi càng biết nhiều hơn.. 

Xin lỗi mọi người vì đi ngoài chủ đề xíu @noobeer: Tôi dám cá 100% là viẹtnamnet sẽ chẳng nhờ ai hết. VNN là một cơ quan nhà nước thì chẳng bao giờ đi nhờ vả một diễn đàn hacker cả. Theo tôi biết thì khi có cuộc tấn công xảy ra, VNN chỉ đưa thông báo cho 1 nơi duy nhất theo đúng thủ tục là Vncert, rồi vncert mới đưa một phần thông tin cho bên này bên nọ (CMC cũng nói là họ chỉ có các thông tin không đầy đủ về cuộc tấn công). HVA không phải là một tổ chức có giấy tờ, chứng nhận ... nên không bao giờ được VNN nhờ cậy cả. Nên chấm dứt chủ đề về chuyện giúp hay không giúp nha. Tốt nhất khi trang của bồ bị ddos thì lên đây nhờ và các mem của hva sẽ giúp bồ, còn nếu bồ có thông tin gì về cuộc tấn thì cứ đưa lên đây hoặc PM với các mod, min. 

Gửi chú PXMMRF, bolzano_1989 muốn hỏi trong hoàn cảnh Việt Nam, nếu các ISP đồng ý hợp tác và đã xác định được các máy tính là bot rồi thì bước tiếp theo, các ISP cần và có thể làm những gì để thông báo và hỗ trợ chủ máy tính diệt trừ virus cùng độ khả thi thực hiện những việc này như thế nào ? Qua tìm hiểu thì bolzano_1989 thấy đã có 1 số ISP nước ngoài tích cực hợp tác trong việc làm sạch các máy trong mạng botnet như Virgin Media (UK), Comcast (USA), không rõ ở Việt Nam thì các ISP sẽ hợp tác đến mức độ nào :) ? 

Không, tôi không có ý quảng cáo cho CMC Infosec. Tôi chỉ đang tìm những khía cạnh, dù là nhỏ nhất, để gợi ý giúp cho Vietnamnet, nếu nó hữu ích. CMC Infosec, như theo thông báo chính thức, đã tỉm ra DDoS tool (virus, bot...) là........ thì tốt nhất nên nhờ các anh ở đấy viết ra một trình phát hiện DDoS tool này trên mạng (chẳng lẽ lại đi nhờ người khác?). Muốn quét hữu hiệu lẽ dĩ nhiên phải nhờ đến sự hỗ trợ của các IPS Việt nam. Ho sẽ dùng công cụ nói trên để quét trên các mạng do họ quản lý. Một công ty bên ngoài, ngay cả CMC, cũng không thể làm tốt việc này. Cần chú ý là ngay trong những năm 2001-2002-2003... một số công ty bảo mật của Mỹ đã có những tool quét mạng để phát hiện ra các DDoS tool, đó là những DDoS tool đầu tiên xuất hiện trên mạng. Họ đã đi xa hơn chúng ta nhiều và suy nghĩ tính toán bài bản 

cho mình hỏi là người ta phát minh ra __CAPTCHA__ để làm gì vậy? Ý mình đơn giản là khi thấy bot nó thông minh như người thì dựng captcha lên (recaptcha) chẳng hạn. Sau đó thằng nào pass đc thì coi như là người đi. Thằng nào cứ đứng mãi ở cái trang captcha mà ko đi đâu đc thì hoặc là nó là bot, hoặc là nó mù chữ :D, điếc ...etc Sau đó đếm cái IP và số URL nó get và có response hợp lệ mà tính chuyện cho IP nó vô blacklist hay white list. Ý em đơn giản vậy thôi 

Đến nay tôi không biết rõ cơ chế hoạt động cụ thể của virus mà CMC infosec tìm ra (họ chưa công bố). Qua thưc tế mò mẫm với máy của tôi (hạ firewall, disable On-Access scan trong Antivirus...), truy cập hàng loạt website để mong được nhiễm một DDoS tool (bot , virus), thì tôi có cảm giác con bot này ẩn mình rất khéo, có vẻ như nó inject code vào iexplore.exe và làm cho trình duyệt refresh liên tục khi truy cập đến vietnamnet.vn (như là bạn myquart có nói đúng như vậy ở một post ở trên), đó chính là DoS. Và đó cũng chính là dấu hiệu rõ ràng chứng tỏ các cơ cấu dùng JavaScrip để kiểm tra phân loại cookies giữa user hợp lệ và bot (DDoS tool) của Vietnamnet sử dụng vừa qua là mất tác dung. Nhưng dường như chỉ Win XP (SP2 và SP3) bị nhiễm virus mà thôi, còn Win 2K3 thì không. Ngoài ra dường như virus không nhiễm vào firefox.exe. Nếu như vậy thì quét trên mang để phát hiện DDoS tool (virus) này cũng không dễ đâu.  

Ở đây em ko nói đến khía cạnh dùng captcha luôn, mà captcha chỉ dựng lên để "lấy mẫu" khi thấy tần số request lên cao 

-- Mình chưa rõ nếu dùng captcha thì attacker phải tốn bao nhiêu resource để break nhưng có ai tính giùm mình xem việc tính toán để generate captcha mất bao nhiêu thời gian không?  

-Độ khó của Captcha & thời gian Generate Captcha còn tuỳ thuộc vào giải thuật của captcha nữa chứ nhỉ. -Theo mình nếu truy cập nhiều quá có thể để một thông báo bằng text thông thường vừa nhẹ vừa nhanh, nếu vẫn tiếp tục truy cập nhiều quá thì để trang trắng hoặc chặn IP 

Báo VNN không thể hiển thị text rồi dừng ở đó hoặc trang trắng được bạn...... ...mình chỉ bàn về 1 số giải pháp khác thôi 

-Ý mình là cái phần trang trắng đấy có thể để ghi ấn F5 để tải lại trang hay click lại vào link để vào lại trang hoặc độ bao nhiêu thời gian thì tự chuyển trang 

Tuy nhiên, Mr Hùng cho rằng captcha có thể vượt qua được đồng thời tốn resource để xử lý captcha. Attacker có thể tấn công vào trang check captcha để tiêu tốn resource. Ngoài ra nếu dùng recaptcha thì phải mất thời gian request lên Google ---> tốn tài nguyên. -- Mình chưa rõ nếu dùng captcha thì attacker phải tốn bao nhiêu resource để break nhưng có ai tính giùm mình xem việc tính toán để generate captcha mất bao nhiêu thời gian không?  

Mình không rõ bạn xnohat làm thế nào, chứ nếu là mình thì kết quả lấy được từ netstat đã được sort đủ để nhìn bẳng mắt rồi (như mình nói ở reply trước). Và với cái kết quả đó thì với người biết lập trình + có đầu óc thì chả việc gì phải duyệt 50000 dòng cả, chỉ duyệt tới con số cụ thể nào đó thôi chứ. Hơn nữa, cũng chả việc gì phải load 50000 dòng một lúc, sao không load từng dòng từ đầu tới cuối cho nó nhanh? Ngay khi duyệt dòng đầu xong thì IP tấn công nhiều nhất đã bị DROP rồi, resource dư dả đáng kể.  

Anh LeVuHoang: Landing page là trang nào thế ạ :D 

canh_nguyen wrote:

Anh LeVuHoang: Landing page là trang nào thế ạ :D 

Landing page? Ở đây Landing là: Land (mảnh đất, vùng đất...) + ing. Landing nghĩa là đáp xuống , hạ xuống , đi đến một vùng đất, mảnh đất nào đó. Máy bay hạ cánh là máy bay landing. Còn trong công nghệ web thì landing page được hiểu là page hay URL đầu tiên mà các người truy cập web (visitor) được dẫn đến khi họ nhấp vào một link nào đó. Trong trường hợp vietnamnet.vn thì quá trình sẽ là: Khi người truy cập nhấp vào domain vietnamnet.vn, thay vì họ sẽ đươc dẫn đến trang chủ (trang mở đầu- có dung lượng download về máy người truy cập là khoảng 2.56 MB- không phải là khoảng 156 KB đâu nhé LeVuHoang ạ), như thường lệ, thì họ lại được dẫn đến 1 trang-URL mới tạo, có đia chỉ thí dụ là: http://vietnamnet.vn/chkdd.html?vnnd=1297836801.11b2975ef912f5070da474aa6f58a8df (số và chữ của đuôi thay đổi tại mỗi lần truy cập) Trang mới tạo nói trên chính là landing page. Trong (source code) trang mới tạo này có nhúng một JavaScript (text JS) làm nhiệm vụ kiểm tra cookies của các browser của các user. Như thế đấy. Các bạn có muốn "xem kỹ" JavaScript này không? 

canh_nguyen wrote:

Anh LeVuHoang: Landing page là trang nào thế ạ :D 

Landing page? Ở đây Landing là: Land (mảnh đất, vùng đất...) + ing. Landing nghĩa là đáp xuống , hạ xuống , đi đến một vùng đất, mảnh đất nào đó. Máy bay hạ cánh là máy bay landing. Còn trong công nghệ web thì landing page được hiểu là page hay URL đầu tiên mà các người truy cập web (visitor) được dẫn đến khi họ nhấp vào một link nào đó. Trong trường hợp vietnamnet.vn thì quá trình sẽ là: Khi người truy cập nhấp vào domain vietnamnet.vn, thay vì họ sẽ đươc dẫn đến trang chủ (trang mở đầu- có dung lượng download về máy người truy cập là khoảng 2.56 MB- không phải là khoảng 156 KB đâu nhé LeVuHoang ạ), như thường lệ, thì họ lại được dẫn đến 1 trang-URL mới tạo, có đia chỉ thí dụ là: http://vietnamnet.vn/chkdd.html?vnnd=1297836801.11b2975ef912f5070da474aa6f58a8df (số và chữ của đuôi thay đổi tại mỗi lần truy cập) Trang mới tạo nói trên chính là landing page. Trong (source code) trang mới tạo này có nhúng một JavaScript (text JS) làm nhiệm vụ kiểm tra cookies của các browser của các user. Như thế đấy. Các bạn có muốn "xem kỹ" JavaScript này không? 

Có vẻ Vietnamnet lại đang bị DDoS:

An error occurred. Sorry, the page you are looking for is currently unavailable. Please try again later. If you are the system administrator of this resource then you should check the error log for details. Faithfully yours, nginx. 

 

"Ngày hôm qua 4/7, trên các trang diễn đàn và mạng xã hội như Facebook đã lan truyền thông tin về việc các trang báo điện tử lớn như Dantri, Vietnamnet, Tuổi Trẻ… đang bị tấn công từ chối dịch vụ với cường độ lớn khiến người dùng khó truy cập. Đến chiều ngày 5/7, khi phóng viên ICTnews truy cập vào trang web Dantri và Tuổi Trẻ thì đều gặp thông báo "Service Unavailable". Còn Vietnamnet thì việc tải trang web rất chậm và phải rất khó khăn thì mới có thể truy cập thành công. Trao đổi với phóng viên ICTnews, đại diện các báo Vietnamnet, Dantri và Tuổi Trẻ cho biết, họ đang tiến hành tìm hiểu nguyên nhân sự việc và sẽ sớm thông báo trong thời gian tới. Tuy nhiên, một số chuyên gia an ninh mạng cho rằng, có nhiều dấu hiệu cho thấy, đang có một cuộc tấn công từ chối dịch vụ nhắm vào các báo điện tử lớn ở Việt Nam. Một nguồn tin riêng của ICTnews cho biết, lượng truy cập báo điện tử Dantri vào ban ngày gấp khoảng 40 lần và ban đêm lên tới 100 lần so với những ngày trước đó. .........." 

Mình cung cấp thêm thông tin về mẫu mới khác với mẫu bác PXMMRF đã đưa. đây là file bị dính. http://www.mediafire.com/?yj4zbhn528zlve1,f0jess00xhan4nj đây là file capture gói tin trong thời gian ngắn. http://www.mediafire.com/?yj4zbhn528zlve1,f0jess00xhan4nj và có vẻ như IP 91.109.24.149 là một trong những IP đứng sau  

Bạn 1visao và bạn halh có thể zip tất cả các file trong thư mục Windows\Prefetch của máy bị dính btwdins.exe và btwdins.dll lên giúp anh em HVA được không. Phân tích các prefetch files có thể tìm ra nguồn gốc lây nhiễm con bot này. 

Nhưng bây giờ nó đã không còn gì nữa rồi, có lẽ đã được tắt.  

HTTP/1.1 200 OK Server: Abyss Date: Mon, 15 Jul 2013 13:43:42 GMT Content-Type: application/octet-stream Content-Length: 406 Last-Modified: Mon, 15 Jul 2013 07:45:18 GMT Connection: keep-alive Accept-Ranges: bytes 

tìm google về các host trên cũng chẳng thấy thông tin gì.  

$ whois $(dig +short speak.checknik.com) % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '91.109.24.0 - 91.109.31.255' % Abuse contact for '91.109.24.0 - 91.109.31.255' is 'abuse@leaseweb.de' inetnum: 91.109.24.0 - 91.109.31.255 netname: NETDIRECT-NET descr: Leaseweb Germany GmbH (previously netdirekt e. K.) country: DE admin-c: LSWG-RIPE tech-c: LSWG-RIPE status: ASSIGNED PA mnt-by: NETDIRECT-MNT mnt-lower: NETDIRECT-MNT mnt-routes: NETDIRECT-MNT source: RIPE # Filtered person: RIPE Mann address: Kleyerstrasse 79 / Tor 13 address: 60326 Frankfurt am Main address: Germany phone: +49 69 90556880 fax-no: +49 69 9055688-22 abuse-mailbox: abuse@leaseweb.de nic-hdl: LSWG-RIPE mnt-by: OCOM-MNT source: RIPE # Filtered % Information related to '91.109.16.0/20AS16265' route: 91.109.16.0/20 descr: ORG-nA8-RIPE origin: AS16265 org: ORG-nA8-RIPE mnt-by: NETDIRECT-MNT source: RIPE # Filtered organisation: ORG-nA8-RIPE org-name: Leaseweb Germany GmbH org-type: LIR address: Leaseweb Germany GmbH Kleyer Strasse 79 / Tor 13 60326 Frankfurt Germany phone: +496990556880 fax-no: +4969905568822 mnt-ref: NETDIRECT-MNT mnt-ref: RIPE-NCC-HM-MNT mnt-by: RIPE-NCC-HM-MNT admin-c: LSWG-RIPE admin-c: GJ907-RIPE admin-c: SPW1-RIPE abuse-c: LWGA-RIPE source: RIPE # Filtered % This query was served by the RIPE Database Query Service version 1.66.3 (WHOIS3) 

http://lovenet.contbiz.com/search.thn http://lovenet.contbiz.com/view.thn http://media.bulkweb.org/search.thn http://media.bulkweb.org/view.thn http://speak.checknik.com/search.thn http://speak.checknik.com/view.thn  

quygia128 wrote:

Nhưng bây giờ nó đã không còn gì nữa rồi, có lẽ đã được tắt.  

`http://speak.checknik.com/search.thn` vẫn còn đấy bạn: http://www.mediafire.com/download/r93ry0lu4c7axjo/search.thn ....................... - Web server lạ gớm - File này mới được modified sáng nay để bắt đầu một chiến dịch mới

quygia128 wrote:

tìm google về các host trên cũng chẳng thấy thông tin gì.  

.............................  

Hiện giờ theo Dynamic Analysis thì có 3 C&C server speak.checknik.com ( còn sống ) 13/5/2013 media.bulkweb.org ( đã tắt ) đăng ký ngày 13/5/2013 lovenet.contbiz.com ( đã tắt ) đăng ký ngày 18/5/2013 Cả 3 đều dùng clouddns , đặc biệt thằng checknik.com đang dùng thêm he.net DNS1: ns1.cloudns.net DNS2: ns2.cloudns.net DNS3: ns2.he.net DNS4: ns3.he.net DNS5: ns4.he.net Thuộc Hurrican Electric http://he.net/about_us.html công ty này có tiền sử chứa chấp mạng botnet Andromeda của đám hacker Nga :v 

Do nó Sleep (ngủ) tới gần chục phúc đó anh PXM. 2 1visao: còn file btwdins.exe.cfg trong file zip, tại sao bạn xoá đi vậy ? Trong thư mục Widcomm đó có 3 file: .exe, .dll, .cfg. Bạn đã zip hết thư mục đó lại, sau đó bạn lại xoá file .cfg đi. Bạn đang làm ở cơ quan nào thế ? Bạn dùng tcpview và msconfig để xem, kết luận btwdins.* (lúc 12g trưa) là mèo què, sau đó bạn chạy 7zip để nén lại vào lúc 3g chiều (ngày 12/07). Sau đó bạn xoá file .cfg đi ? Chi vậy ? 

File đó em cũng down về từ 1visao mà, phân tích prefetch file cậu ta gởi mới thấy còn file .cfg nữa mà cậu ta xoá đi. 

search.thn (của mod quanta post bên trên) sau khi decode: http://www.mediafire.com/?ct0rwtss4u3vc4f 

GET /Chinh-tri-Xa-hoi/Phap-luat HTTP/1.1\r\nHost: tuoitre.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nReferer: http://tuoitre.vn/Chinh-tri-Xa-hoi\r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://tuoitre.vn/Chinh-tri-Xa-hoi/Phap-luat ......... GET / HTTP/1.1\r\nHost: dantri.com.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://dantri.com.vn ................... GET / HTTP/1.1\r\nHost: vietnamnet.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://vietnamnet.vn 

File đó em cũng down về từ 1visao mà, phân tích prefetch file cậu ta gởi mới thấy còn file .cfg nữa mà cậu ta xoá đi. 

search.thn sau khi decode: http://www.mediafire.com/?ct0rwtss4u3vc4f 

Máy chủ “đánh” báo điện tử tạm thời bị vô hiệu hóa 16/07/2013 | 15:30:00 http://www.vietnamplus.vn/Home/May-chu-danh-bao-dien-tu-tam-thoi-bi-vo-hieu-hoa/20137/206949.vnplus

Anh Nguyễn Hồng Phúc, một thành viên diễn đàn bảo mật HVA Online cho biết, sáng 16/7 máy chủ điều khiển mạng máy tính ma (botnet) tấn công một số báo điện tử ở Việt Nam như Dân trí, Tuổi trẻ, VietNamNet đã tạm thời bị vô hiệu hóa. Đây là nỗ lực của diễn đàn HVA Online và cộng đồng mạng trong việc trợ giúp các trang báo điện tử Việt Nam trước cuộc tấn công lớn của tin tặc bằng hình thức DDoS trong suốt hai tuần qua. Anh Phúc cho hay, khi biết các báo bị tấn công, HVA Online đã thực hiện việc theo dõi cuộc tấn công này bằng nhiều cách, trong đó có việc cung cấp một công cụ kiểm tra khả năng bị lây nhiễm mã độc tấn công DdoS. Qua đó, người dùng có thể kiểm tra xem máy tính của mình có đang trở thành thành viên của mạng máy tính ma hay không thông qua www.antibotnet.tk. Nếu công cụ thông báo máy “Có nguy cơ bị nhiễm” cùng với dấu hiệu máy tính đang truy cập mạng chậm và trong vòng 10 ngày qua chưa khởi động lại modem thì nhiều khả năng máy tính của người dùng đã nằm trong mạng máy tính ma lớn nhất Việt Nam. Trong trường hợp này, HVA Online đề nghị người dùng liên lạc về địa chỉ hvaddosresponseteam@gmail.com để được hướng dẫn cách lấy mẫu virus cũng như gỡ bỏ. Độc giả có thể tự kiểm tra xem máy tính của mình có nằm trong mạng máy tính ma hay không theo hướng dẫn của HVA Online. (Ảnh: Vietnam+)

Vẫn theo anh Phúc, chính nhờ sự tích cực tham gia hỗ trợ của cộng đồng mạng mà HVA Online đã truy tìm ra mẫu virus, thực hiện phân tích mẫu thu thập được để truy tìm các máy chủ điều khiển tấn công các báo mạng trong thời gian qua. Và, HVA Online đã tìm được một số máy chủ phát lệnh tấn công được đặt tại Công ty Lease Web GmbH của Đức. “Chúng tôi đã thông báo cho các nhà cung cấp dịch vụ về việc hosting của họ đang lưu trữ các máy chủ kiểm soát mạng máy tính ma ở Việt Nam. Đến sáng 16/7, các máy chủ ấy đã tạm thời bị vô hiệu hóa,” anh Phúc nói. Tuy nhiên, vị chuyên gia này cho biết “cũng chưa xác định được nhà cung cấp dịch vụ vô hiệu hóa máy chủ, hay chính hacker làm việc này.” Theo quan sát của phóng viên Vietnam+, hiện việc truy cập vào các báo điện tử đã khá dễ dàng. Tuy nhiên, việc hacker có quay trở lại tấn công vẫn là một nguy cơ thường trực. HVA Online và cộng đồng mạng sẽ tiếp tục gửi mẫu virus đã thu thập được cho các đơn vị chống virus toàn cầu để thực hiện những bước cuối cùng trong việc tiêu diệt mạng máy tính ma này. 

]]> /hvaonline/posts/list/37393.html#277524 /hvaonline/posts/list/37393.html#277524 GMT

PXMMRF wrote:

Vietnam Plus 

Vietnam Plus là trang tin chính thống chủ đạo của Vietnam News Agency mà ]]> /hvaonline/posts/list/37393.html#277526 /hvaonline/posts/list/37393.html#277526 GMT /hvaonline/posts/list/37393.html#277529 /hvaonline/posts/list/37393.html#277529 GMT

quanta wrote:

n2tforever wrote:

search.thn sau khi decode: http://www.mediafire.com/?ct0rwtss4u3vc4f 

n2tforever có thể viết một bài phân tích cho mình học hỏi thêm với được không? Cảm ơn. 

Thế các bạn có ý kiến gì về những dòng ký tự này? Các bạn có biết nó từ đâu không? Có điều gì không ổn phải không?

咴ꣾঐ尰爢焼죂Ꭓ潻蛎ᠬ暺䵇䮁雧็�დ꜕卩ֻ䮴़–孈㿲ﰊ譯텎̼台ﾎ㯯䋥ሻ돋ኲ꺪粗溵첢ㅶ蜻遧褖⢆ǎ⣓䟬带압腊緎⍷䮣︄佭弙辖ଝ풔茞푮䶨蹙ട誰ሱ胁䠷㎲ƨ岘ቒꉾꪘ銕࿆蘾훖嫇돉뇤툽☜푃芨饩톕피컾욏ࢠ걐喛䢇Оਫ਼ꗦ飘�⏠쮧씙᫗꭪惏ᦼ粲凨Ⴭ⸭⯤�տ៰ⴍ≫膢灗㻼ꛮ螘ཫ䤮툣暛P析櫗Ⳛ椚皡�ᑆ쓢埇튙潅⻺鳳幺眳즙⾷驭팾好愻ꇽ딀㻂鮰七鄑䞑껻ࡅꐤ驡珣♵❮⪘萁讲诶⎣瞺纭ﾳ䜤噔႕㽄㼑퐰㙄࿕쑫渿䰩 

Trong những dòng ký tự trên đây có nhiều (rất nhiều là khác) chữ Hoa (Chinese) rõ ràng, như 好, 七 vân vân]]> /hvaonline/posts/list/37393.html#277532 /hvaonline/posts/list/37393.html#277532 GMT

quygia128 wrote:

@n2tforever: lão có thể nói rõ file "search.thn" được đặt ở đâu(khi download thành công) trong hệ thống không ? Mình cũng đặt BreakPoint ở các hàm OpenFile, CreateFile... ngồi chờ rất lâu (sau đó patch thời gian của hàm Sleep thành 1000 ms để khỏi phải chờ đợi nó ngủ) nhưng không thấy nó load fie lên để Decrypt ^^. Mong lão chia sẽ chút về vấn đề này (Nó Encrypt bằng gì ?) Cảm ơn lão trước. File .cfg là một PE file, tối nay ngồi nghiên cứu em nó :) 

Hi lão search.thm này được tải về từ web server và nạp trực tiếp vào một buffer trong memory để xử lý chứ không tạo thành file. lão dựng một webserver giả rồi add một bản ghi ip - domain vào file host để lừa nó kết nối đến . sau đó đặt bp ở hàm read của ws2_32 rồi lần theo thôi. sơ qua thì dữ liệu trong search.thn này được nó encrypt 2 lần. Đầu tiên khi nhận được search.thn nó sẽ dùng 1 thuật toán để decrypt lần 1 (dùng plugin scan thì là rc4 hay blowfish gì đó) được 1 khối dữ liệu có 2 byte đầu là 0x1F 0x8B cộng với những string tìm được trong dll => được compress bằng zlib, trace tiếp sẽ tới đoạn decode lần 2 để ra clean text. Thực ra đầu tiên tìm ra cái clean này chủ yếu do may chứ k có kĩ thuật gì cả, mình search string trong dll thì thấy có mấy cái mặt "^_^" , "@_@" , ">_<" ngộ quá nên đặt bp thử ai dè chúng luôn cái hàm tách tring token (mấy cái mặt kia là separator =]] ) nên tóm được cái clean text luôn :) P/S: cái file cfg kia cùng checksum với btwdins.exe nó là một thôi ]]> /hvaonline/posts/list/37393.html#277534 /hvaonline/posts/list/37393.html#277534 GMT

PXMMRF wrote:

quanta wrote:

n2tforever wrote:

search.thn sau khi decode: http://www.mediafire.com/?ct0rwtss4u3vc4f 

n2tforever có thể viết một bài phân tích cho mình học hỏi thêm với được không? Cảm ơn. 

Thế các bạn có ý kiến gì về những dòng ký tự này? Các bạn có biết nó từ đâu không? Có điều gì không ổn phải không?

咴ꣾঐ尰爢焼죂Ꭓ潻蛎ᠬ暺䵇䮁雧็�დ꜕卩ֻ䮴़–孈㿲ﰊ譯텎̼台ﾎ㯯䋥ሻ돋ኲ꺪粗溵첢ㅶ蜻遧褖⢆ǎ⣓䟬带압腊緎⍷䮣︄佭弙辖ଝ풔茞푮䶨蹙ട誰ሱ胁䠷㎲ƨ岘ቒꉾꪘ銕࿆蘾훖嫇돉뇤툽☜푃芨饩톕피컾욏ࢠ걐喛䢇Оਫ਼ꗦ飘�⏠쮧씙᫗꭪惏ᦼ粲凨Ⴭ⸭⯤�տ៰ⴍ≫膢灗㻼ꛮ螘ཫ䤮툣暛P析櫗Ⳛ椚皡�ᑆ쓢埇튙潅⻺鳳幺眳즙⾷驭팾好愻ꇽ딀㻂鮰七鄑䞑껻ࡅꐤ驡珣♵❮⪘萁讲诶⎣瞺纭ﾳ䜤噔႕㽄㼑퐰㙄࿕쑫渿䰩 

Trong những dòng ký tự trên đây có nhiều (rất nhiều là khác) chữ Hoa (Chinese) rõ ràng, như 好, 七 vân vân 

Hình như đoạn text này là do bác mở search.thn ở chế độ unicode. Ý bác là file này là một file thuần text hay sao ạ ? :)]]> /hvaonline/posts/list/37393.html#277535 /hvaonline/posts/list/37393.html#277535 GMT /hvaonline/posts/list/37393.html#277536 /hvaonline/posts/list/37393.html#277536 GMT /hvaonline/posts/list/37393.html#277538 /hvaonline/posts/list/37393.html#277538 GMT /hvaonline/posts/list/37393.html#277540 /hvaonline/posts/list/37393.html#277540 GMT

n2tforever wrote:

quygia128 wrote:

@n2tforever: lão có thể nói rõ file "search.thn" được đặt ở đâu(khi download thành công) trong hệ thống không ? Mình cũng đặt BreakPoint ở các hàm OpenFile, CreateFile... ngồi chờ rất lâu (sau đó patch thời gian của hàm Sleep thành 1000 ms để khỏi phải chờ đợi nó ngủ) nhưng không thấy nó load fie lên để Decrypt ^^. Mong lão chia sẽ chút về vấn đề này (Nó Encrypt bằng gì ?) Cảm ơn lão trước. File .cfg là một PE file, tối nay ngồi nghiên cứu em nó :) 

Hi lão search.thm này được tải về từ web server và nạp trực tiếp vào một buffer trong memory để xử lý chứ không tạo thành file. lão dựng một webserver giả rồi add một bản ghi ip - domain vào file host để lừa nó kết nối đến . sau đó đặt bp ở hàm read của ws2_32 rồi lần theo thôi. sơ qua thì dữ liệu trong search.thn này được nó encrypt 2 lần. Đầu tiên khi nhận được search.thn nó sẽ dùng 1 thuật toán để decrypt lần 1 (dùng plugin scan thì là rc4 hay blowfish gì đó) được 1 khối dữ liệu có 2 byte đầu là 0x1F 0x8B cộng với những string tìm được trong dll => được compress bằng zlib, trace tiếp sẽ tới đoạn decode lần 2 để ra clean text. Thực ra đầu tiên tìm ra cái clean này chủ yếu do may chứ k có kĩ thuật gì cả, mình search string trong dll thì thấy có mấy cái mặt "^_^" , "@_@" , ">_<" ngộ quá nên đặt bp thử ai dè chúng luôn cái hàm tách tring token (mấy cái mặt kia là separator =]] ) nên tóm được cái clean text luôn :) P/S: cái file cfg kia cùng checksum với btwdins.exe nó là một thôi  

Yep. Chính xác. cái lần giải mã thứ 2 là gzip deflate. Lần thứ 1 mình đoán là một kiểu mã hoá dòng, vì không thìm thấy hằng số nào trong đó cả. Hàm encrypt thứ nhất mình thấy có 2 chỗ đáng nghi. 1 là giải mã file config, 2 là cập nhật. Trước ghi gọi hàm encrypt thứ nhất, có 2 hàm khác để init đầu buffer đầu ra. Không rõ bạn có lưu ý hàm __tzset bị sai không??]]> /hvaonline/posts/list/37393.html#277544 /hvaonline/posts/list/37393.html#277544 GMT

n2tforever wrote:

Hình như đoạn text này là do bác mở search.thn ở chế độ unicode. Ý bác là file này là một file thuần text hay sao ạ ? :) 

Không phải ý tôi nói search.thn là một file thuần text đâu! Thuần text mà như thế này thì chính tôi cũng chả hiểu nó nói gì, nửa là thằng botnet. Hì hì. Tôi có ý khác. Tôi đánh giá rất cao quá trình decode nôi dung file search của n2tforever. Nhưng cũng có đôi điểm cần hỏi thêm cho rõ, chính xác là "cho biết" thì đúng hơn. Tuy nhiên tôi đang "quần" với 3 cái master server chết tiệt và cả với "btwdins.exe". Tôi có nhiều câu hỏi và ý kiến mới, to be shortly posted.]]> /hvaonline/posts/list/37393.html#277547 /hvaonline/posts/list/37393.html#277547 GMT

acoustics89 wrote:

n2tforever wrote:

quygia128 wrote:

@n2tforever: lão có thể nói rõ file "search.thn" được đặt ở đâu(khi download thành công) trong hệ thống không ? Mình cũng đặt BreakPoint ở các hàm OpenFile, CreateFile... ngồi chờ rất lâu (sau đó patch thời gian của hàm Sleep thành 1000 ms để khỏi phải chờ đợi nó ngủ) nhưng không thấy nó load fie lên để Decrypt ^^. Mong lão chia sẽ chút về vấn đề này (Nó Encrypt bằng gì ?) Cảm ơn lão trước. File .cfg là một PE file, tối nay ngồi nghiên cứu em nó :) 

Hi lão search.thm này được tải về từ web server và nạp trực tiếp vào một buffer trong memory để xử lý chứ không tạo thành file. lão dựng một webserver giả rồi add một bản ghi ip - domain vào file host để lừa nó kết nối đến . sau đó đặt bp ở hàm read của ws2_32 rồi lần theo thôi. sơ qua thì dữ liệu trong search.thn này được nó encrypt 2 lần. Đầu tiên khi nhận được search.thn nó sẽ dùng 1 thuật toán để decrypt lần 1 (dùng plugin scan thì là rc4 hay blowfish gì đó) được 1 khối dữ liệu có 2 byte đầu là 0x1F 0x8B cộng với những string tìm được trong dll => được compress bằng zlib, trace tiếp sẽ tới đoạn decode lần 2 để ra clean text. Thực ra đầu tiên tìm ra cái clean này chủ yếu do may chứ k có kĩ thuật gì cả, mình search string trong dll thì thấy có mấy cái mặt "^_^" , "@_@" , ">_<" ngộ quá nên đặt bp thử ai dè chúng luôn cái hàm tách tring token (mấy cái mặt kia là separator =]] ) nên tóm được cái clean text luôn :) P/S: cái file cfg kia cùng checksum với btwdins.exe nó là một thôi  

Yep. Chính xác. cái lần giải mã thứ 2 là gzip deflate. Lần thứ 1 mình đoán là một kiểu mã hoá dòng, vì không thìm thấy hằng số nào trong đó cả. Hàm encrypt thứ nhất mình thấy có 2 chỗ đáng nghi. 1 là giải mã file config, 2 là cập nhật. Trước ghi gọi hàm encrypt thứ nhất, có 2 hàm khác để init đầu buffer đầu ra. Không rõ bạn có lưu ý hàm __tzset bị sai không?? 

Nội dung các file này là một số lẻ các byte (không phải là các block 16 hoặc 32 byte hoặc hơn) nên bước 1 là mã hoá dòng (stream cipher). Tìm qua các strings trong dll thì nhiều khả năng là Salsa20 (high speed stream cipher - tác giả là Bruce Schneider :P). Mấy tay này làm khá bài bản: compress first then encrypt]]> /hvaonline/posts/list/37393.html#277557 /hvaonline/posts/list/37393.html#277557 GMT /hvaonline/posts/list/37393.html#277568 /hvaonline/posts/list/37393.html#277568 GMT

1visao wrote:

Hình ảnh trong bài post đầu tiên em capture được là ảnh chụp lúc máy bị nhiễm virus gửi request liên tục đến máy proxy bên em để truy cập tới 3 trang báo .( Máy này trước đó xài gateway trực tiếp kết nối internet qua modem ADSL , do mạng chậm nên họ nhờ em kiểm tra giùm ) Em thấy "lạ" nên em xin remote vào máy bên đó , chạy tiện ích TCPview thì thấy btwdins.exe liên tục gửi truy vấn tới các trang báo em nghi ngờ là mẫu virus STL , nên mới tìm đến thư mục và nén WIDCOMM.zip gửi lên nhờ mọi người bên HVA phân tích. Còn về nguồn lây nhiễm mấy hôm nay em cũng thử copy các tiện ích, phần mềm lấy từ máy đó về và lây nhiễm mọi cách vào máy ảo nhưng vẫn ko tìm được nguồn. :( Hôm qua em đã cập nhật AV , và xài tools của anh TQN kill con bot này cho máy đó rồi , nên không thể cung cấp gì thêm cho anh PXMMRF được nữa. 

Em vẫn còn có thể và nên cung cấp cho anh vài thông tin cần thiết khác. Hì hì. Trong máy người bạn em cài một chương trình quản lý, dọn dep máy tính PCHEALTH phải không? (Không rõ là PCHEALTH Chẹck , PCHEALTH Advisor hay PCHEALTH Optimizer...?). Nhờ em upload lên Mediafire toàn bộ các Files trong folder "PCHEALTH" tại directory D:\WINDOWS\PCHEALTH (Nhớ là ở /Windows chứ không phải /Program Files nhé!). Tối thiểu cũng upload lên Mediafire file "MSCONFIG.EXE" trong thư mục D:\WINDOWS\PCHEALTH\HELPCTR\BINARIES\MSCONFIG.EXE D là tên ổ đĩa trong máy người bạn em. Em cũng hỏi thêm người bạn là họ đã download PCHEALTH từ đâu, lúc nào...?. Xin cám ơn. (Như em đã biết, ta đã phát hiện được btwdins.exe và btwdins.dll là các thành phần chính trong DDoS tool tấn công vào vietnamnet.vn, tuoitre.vn, dantri.com.vn.... btwdins.dll load lên memory các đia chỉ Internet (như vietnamnet.vn...) để service btwdins.exe thực thị các kết nối mạng, tấn công DDoS. Chúng ta dự đoán btwdins.exe kích hoạt btwdins.dll. Nhưng điều ta chưa rõ là cái gì kích hoạt (và có thể inject code vào) btwdins.exe để nó có thể active. Tôi đã đưa các file btwdins.exe, btwdins.dll và cả btwdins.exe.cfg vào máy thử nghiệm để kích hoạt quá trình nhiễm độc vào máy và tấn công DDoS, nhưng không có kết quả, không thấy gì). Nghiên cứu kỹ file "Prefech" mà 1visao cung cấp, tôi thấy dường như có một mối liên hệ "tương tác" giữa file MSCONFIG.EXE trong PCHEALTH nói trên với btwdins.exe. Có thể MSCONFIG.EXE đã bị nhiễm độc hay là file giả mạo? btwdins.exe cũng liên hệ với 1 file có tên NTOSBOOT-B00DFAAD.pf. Nhưng tôi không ưu tiên chú ý file thứ hai này. to TQN: Mình đã nhắc bạn ....upload lên mang file mDNSResponder.exe. Đây chắc là DDoS tool tấn công vào vietnamnet.vn, tuoitre.vn thứ hai, sau btwdins.exe. ]]> /hvaonline/posts/list/37393.html#277581 /hvaonline/posts/list/37393.html#277581 GMT /hvaonline/posts/list/37393.html#277585 /hvaonline/posts/list/37393.html#277585 GMT /hvaonline/posts/list/37393.html#277613 /hvaonline/posts/list/37393.html#277613 GMT /hvaonline/posts/list/37393.html#277627 /hvaonline/posts/list/37393.html#277627 GMT /hvaonline/posts/list/37393.html#277629 /hvaonline/posts/list/37393.html#277629 GMT /hvaonline/posts/list/37393.html#277631 /hvaonline/posts/list/37393.html#277631 GMT mDNSResponder.exe. Tôi đã đề nghị bạn tncong88 cung cấp file mDNSResponder.exe trong máy của bạn đó để anh em HVA phân tích, tìm cách khắc phục. Nhưng rất tiếc cho đến nay bạn tncong88 vẫn chưa trả lời. Tôi post lại bài viết của tôi ngày 20/7/2013 trả lời bài viết của bạn tncong88 (post ngày 19/7/2013). Mong bạn tncong88 trả lời sớm. Xin cám ơn!

tncong88 on July 19, 2013 wrote:

Chào mọi người. Máy mình xài win 8 pro, Avast. Dạo gần đây khi vào mạng khá chập chờn. Bật Avast thìlúc vào được lúc lại ko. Tắt Avast thì vào bình thuòng nhưng modem lúc nào cũng nhấp nháy như đang up hay down dữ liệu gì đó mặc dù đã tắt hết các trình duyệt, các torrent... Mình dùng lệnh netstat để xem thì thấy thế này, xem link: Code:

http://pastebin.com/vqFSH66q

Mình ko biết về mạng nên mọi người cho hỏi là máy mình có kết nối gì lạ không ? Mình đã check ở http://www.antibotnet.tk thì báo là máy an toàn. Mong mọi người giúp đỡ. 

Service mDNSResponder.exe là một service trong phần mềm Bonjour (Bonjour service).Bonjour luôn được cài kèm theo phần mềm iTunes. Khi chưa bị nhiễm độc, hay không phải là phần mềm giả tạo, mDNSResponder.exe có dung lượng khoảng 382 KB và có nhiệm thu thập các thông tin về người sử dung iTunes (Registration, Trình duyệt, OS, DNS IP... vân vân). Nó chỉ kết nối đến các máy chủ của công ty quản lý iTunes, nhưng không thường xuyên, không kết nối với trang mạng, server khác như vietnamnet.vn, các server của VDC... mDNSResponder.exe trong máy bạn đã nhiễm độc hay là một file giả mạo. Xin bạn upload cho chúng tôi File này hay toàn bộ thư mục trong folder Bonjour trong máy của bạn. Xin bạn vào box "Những thảo luận khác ", topic "VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS" post bài và xin post lai vào đó bài trên của bạn. ]]> /hvaonline/posts/list/37393.html#277645 /hvaonline/posts/list/37393.html#277645 GMT mDNSResponder.exe. Active connections: http://pastebin.com/UnLri1ev Process đang chạy: http://pastebin.com/epw9hRRZ Thư mục Bonjour bao gồm file mDNSResponder.exe: http://www.mediafire.com/download/r5umw2frb2tc7s4/Bonjour.rar Không biết có giúp đc gì ae ko nhưng thôi cứ post vậy ^^ Thanks !]]> /hvaonline/posts/list/37393.html#277651 /hvaonline/posts/list/37393.html#277651 GMT /hvaonline/posts/list/37393.html#277658 /hvaonline/posts/list/37393.html#277658 GMT http://www.mediafire.com/?spx4gjjs16nd15b 

to n2tforever: Mình vào thư mục backup của KIS nhưng ko có gì cả. Có lẽ mình đã chọn KIS xoá hết rồi hay sao đó. Đây là các thư mục có chứa file searchindexer.exe mà mình tìm được trong máy: Một nằm tại C:\Program Files\Common Files\Microsoft và một loạt khác nằm tại C:\Windows\WinSxS

http://www.mediafire.com/download/qatdwiebekilfnk/Microsoft.zip http://www.mediafire.com/download/gp5pd8dibmopadt/windowssearchengine.zip 

Mình đã vào Control Panel tắt chức năng Windows Search và tắt cả service Winsearch nữa, và các kết nối ra bên ngoài đã hết. Không biết tiếp theo sẽ là gì đây. Mình ko rành về máy tính nên xin nói rõ là tình trạng xảy ra giống như mình đang upload một file gì đó ra bên ngoài vậy đó, thấy max tốc độ upload của đường truyền luôn. 

000A0488 http://segment.bbf7.org/mouse.cur 000A04C8 http://sys.packtimes.info/mouse.cur 000A0508 http://mirror.originalcity.net/mouse.cur 000A0558 http://segment.bbf7.org/busy.cur 000A0598 http://sys.packtimes.info/busy.cur 000A05D8 http://mirror.originalcity.net/busy.cur 000A0618 http://segment.bbf7.org/hands.cur 000A0658 http://sys.packtimes.info/hands.cur 000A0698 http://mirror.originalcity.net/hands.cur User Agent: Code:

Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20130328 Firefox/19.0

 

GET / HTTP/1.1\r\nHost: vietnamnet.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://vietnamnet.vn <begin>Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1468.0 Safari/537.36 Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1467.0 Safari/537.36 Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1464.0 Safari/537.36 Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36 Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36 Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36<end> ............................................................................... GET / HTTP/1.1\r\nHost: m.vietnamnet.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate\r\nAccept-Language: en-US,en;q=0.8 http://m.vietnamnet.vn GET / HTTP/1.1\r\nHost: vef.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://vef.vn GET / HTTP/1.1\r\nHost: dantri.com.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://dantri.com.vn GET /s.c/phap-luat.htm HTTP/1.1\r\nHost: s.dantri.com.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nReferer: http://dantri.com.vn/\r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://s.dantri.com.vn /s.c/phap-luat.htm GET / HTTP/1.1\r\nHost: m.dantri.com.vn\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nConnection: keep-alive http://m.dantri.com.vn <begin>Mozilla/5.0 (iPod; U; CPU iPhone OS 4_3_3 like Mac OS X; ja-jp) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8J2 Safari/6533.18.5 Mozilla/5.0 (iPod; U; CPU iPhone OS 4_3_1 like Mac OS X; zh-cn) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8G4 Safari/6533.18.5 Mozilla/5.0 (iPod; U; CPU iPhone OS 4_2_1 like Mac OS X; he-il) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148 Safari/6533.18.5 Mozilla/5.0 (iPhone; U; ru; CPU iPhone OS 4_2_1 like Mac OS X; ru) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148a Safari/6533.18.5 Mozilla/5.0 (iPhone; U; ru; CPU iPhone OS 4_2_1 like Mac OS X; fr) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148a Safari/6533.18.5 Mozilla/5.0 (iPhone; U; fr; CPU iPhone OS 4_2_1 like Mac OS X; fr) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148a Safari/6533.18.5 Mozilla/5.0 (iPhone; U; CPU iPhone OS 4_3_1 like Mac OS X; zh-tw) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8G4 Safari/6533.18.5 Mozilla/5.0 (iPhone; U; CPU iPhone OS 4_3 like Mac OS X; pl-pl) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8F190 Safari/6533.18.5 Mozilla/5.0 (iPhone; U; CPU iPhone OS 4_3 like Mac OS X; fr-fr) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8F190 Safari/6533.18.5 Mozilla/5.0 (iPhone; U; CPU iPhone OS 4_3 like Mac OS X; en-gb) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8F190 Safari/6533.18.5 Mozilla/5.0 (iPhone; U; CPU iPhone OS 4_2_1 like Mac OS X; ru-ru) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148 Safari/6533.18.5 Mozilla/5.0 (iPhone; U; CPU iPhone OS 4_2_1 like Mac OS X; nb-no) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148a Safari/6533.18.5<end> GET / HTTP/1.1\r\nHost: thethao.vietnamnet.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://thethao.vietnamnet.vn <begin>Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1468.0 Safari/537.36 Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1467.0 Safari/537.36 Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1464.0 Safari/537.36 Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36 Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36 Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36<end> GET / HTTP/1.1\r\nHost: tuanvietnam.vietnamnet.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://tuanvietnam.vietnamnet.vn GET / HTTP/1.1\r\nHost: vef.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://vef.vn GET / HTTP/1.1\r\nHost: clip.vietnamnet.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://clip.vietnamnet.vn GET / HTTP/1.1\r\nHost: tuoitre.vn\r\nConnection: keep-alive\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nUser-Agent: \r\nAccept-Encoding: gzip,deflate,sdch\r\nAccept-Language: en-US,en;q=0.8 http://tuoitre.vn GET /mvietnamnet2013/js/scriptv1-0-10.js HTTP/1.1\r\nHost: res.vietnamnet.vn\r\nUser-Agent: \r\nAccept: */*\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nReferer: http://m.vietnamnet.vn/ http://res.vietnamnet.vn /mvietnamnet2013/js/scriptv1-0-10.js GET /mvietnamnet2013/js/scriptv1-0-10.js HTTP/1.1\r\nHost: res.vietnamnet.vn\r\nUser-Agent: \r\nAccept: */*\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nReferer: http://m.vietnamnet.vn/\r\nReferer: {JAV} http://res.vietnamnet.vn /mvietnamnet2013/js/scriptv1-0-10.js GET /mvietnamnet2013/css/style-v1-0-9.css HTTP/1.1\r\nHost: res.vietnamnet.vn\r\nUser-Agent: \r\nAccept: text/css,*/*;q=0.1\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nReferer: http://m.vietnamnet.vn/\r\nConnection: keep-alive http://res.vietnamnet.vn /mvietnamnet2013/css/style-v1-0-9.css 

https://app.box.com/s/w6wmozoqkauyd6ovb63p

1. Nó sẽ load file dll lên, nếu thành công thì tiến hành bước 2. 2. Nó sẽ ngủ với thời gian : 341746 ms vì vậy nếu không kiên nhẫn sẽ không thấy được việc nó làm trên hệ thông (ta nên đặt breakpoint tại hàm Sleep và patch thời gian để khỏi chờ đợi lâu) 3. Get file từ C&C server (ta có thể đặt file này trên localhost thay cho server thật, add domainname mà ta đã tìm được trong quá trình debug vào file host và trỏ về địa chỉ 127.0.0.1 để nó load file này lên memory (có thể đặt breakpoint ở hàm "recv" để xem qua trình decrypt)) 4. Loop và CreateThread - CloseThread lien tục, quá trình này loop theo thời gian là 100ms 5.mỗi lần loop sẽ gửi truy vấn đến các mục tiêu ở port 80 thông qua hàm "getaddrinfo" trong WS2_32.dll của Windows, vì vậy ta Breatepoint ở 2 hàm : Sleep và getaddrinfo (trong module .dll) để xem quá trình này.  

1. Nó sẽ load file dll lên, nếu thành công thì tiến hành bước 2. 2. Nó sẽ ngủ với thời gian : 341746 ms vì vậy nếu không kiên nhẫn sẽ không thấy được việc nó làm trên hệ thông (ta nên đặt breakpoint tại hàm Sleep và patch thời gian để khỏi chờ đợi lâu) 3. Get file từ C&C server (ta có thể đặt file này trên localhost thay cho server thật, add domainname mà ta đã tìm được trong quá trình debug vào file host và trỏ về địa chỉ 127.0.0.1 để nó load file này lên memory (có thể đặt breakpoint ở hàm "recv" để xem qua trình decrypt)) 4. Loop và CreateThread - CloseThread lien tục, quá trình này loop theo thời gian là 100ms 5.mỗi lần loop sẽ gửi truy vấn đến các mục tiêu ở port 80 thông qua hàm "getaddrinfo" trong WS2_32.dll của Windows, vì vậy ta Breatepoint ở 2 hàm : Sleep và getaddrinfo (trong module .dll) để xem quá trình này.  

1visao thân, Xin lỗi vì sáng nay bận họp, nên không trả lời ngay. Về thư mục PCHEALTH trong máy người bạn tại thư muc Windows/.. là mình có 1 sự lầm lẫn. Máy mình có cài thử PC HEALTH Optimizer (để kiểm tra) và không hiểu tại sao PC HEALTH Optimizer lại ịnject được code vào file Prefech (của máy người bạn),mà 1visao upload lên mang. Thật lạ. Việc phát hiện ra btwdins.exe và btwdins.dll là một thành quả quan trọng, nhưng thưc ra ta chỉ mới nắm được phần "ngọn". Nếu có một malicious soft. nào đó đươc download về máy nạn nhân và chính cái soft. này sẽ create (tạo ra) các file btwdins.* nói trên, thì nó mới là "gốc". Và cái "gốc" này có thể rename (đổi tên) các file nó sẽ tạo ra. Như vậy phần mềm scan btwdins.exe và btwdins.dll của CMC InfoSec sẽ tiêu, mất tác dụng. Kiểm tra kỹ lại thì mình thấy btwdins.exe tương tác với hai (có thể nhiều hơn) file nghi ngờ nằm tai thư mục: C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.5512_X-WW_35D4CE83\COMCTL32.DLL và: C:\Windows\WINDOWSSHELL.MANIFEST File COMCTL32.DLL trong "WINSXS" (thường được gọi là "DLL Hell" [Địa ngục file DLL]) là file chính thức của Windows, nhưng không hiểu nó có bị nhiễm độc không?. 1visao kiểm tra với virustotal.com dùm. File WINDOWSSHELL.MANIFEST (MANIFEST format) thường có chuyện, vì nó liên quan đến "Activation Contexts", 1visao cũng kiểm tra luôn (với virustotal.com).  

Bạn down lại file killstlbot.cmd đi, nó cũng kill thêm một con nữa. File SearchIndexer.exe và các dll chính hãng của MS trong thư mực WinSxS thì khi mở = notepad sẽ không có chữ MZ đầu tiên. Các file đó là sạch.  

Toàn bộ file trong thư mục Prefetch em đã đóng gói vào rồi đây : Code:

http://www.mediafire.com/download/i36ca4jtu6v7ptk/Prefetch.zip

 

Đây là file 1489AFE4.TMP Code:

http://www.mediafire.com/download/5o5lemr8lc2r4x7/1489AFE4.zip

Em đã thử tìm TUNEIPSYSTEMSTATUSCHECK.EXE và TUNEUPSYSTEMSTATUSCHECK.EXE nhưng không có file này. Hôm qua, em có chạy KIS quét full máy và phát hiện một số file có tên TUNEUP....  

Bạn down lại file killstlbot.cmd đi, nó cũng kill thêm một con nữa. File SearchIndexer.exe và các dll chính hãng của MS trong thư mực WinSxS thì khi mở = notepad sẽ không có chữ MZ đầu tiên. Các file đó là sạch.  

Em xin gửi lại file TuneUp nếu việc này vẫn còn cần thiết cho các anh "nghiên cứu khoa học" :D Code:

https://mega.co.nz/#!pJcGDACK!Q8alPmiMM3AuKpM5RJU65HPqrHUDdKjafjOtVl1-2ac

Theo như anh PXMMRF nói thì những file này chỉ tạo ra khi cài TuneUp Utilities đúng không ạ? Nhưng em nhớ là em chưa từng cài phần mềm này vào trong máy, vậy nó từ đâu tạo ra ? 

Bạn down lại file killstlbot.cmd đi, nó cũng kill thêm một con nữa. File SearchIndexer.exe và các dll chính hãng của MS trong thư mực WinSxS thì khi mở = notepad sẽ không có chữ MZ đầu tiên. Các file đó là sạch.