Hoan hô miyumi2. HVA ta đã có thêm 1 người giỏi về malwares analyze. stl chuyến này mệt rồi, thò vòi nào ra là bị chặt vòi đó. Code của cái đám mèo què này, em mới xem sơ sơ, 100% là code VC++ 2010 fake/hack Unikey site vừa rồi. Bà con mau mau download các file của miyumi2 vừa upload, submit lên các AVs. File rss.exe mà có size = 25k là file sạch, của MS, có signed và pdb symbol đàng hoàng. Bà con có thể xoá và không cần submit file đó. Trong bụng FBAgent còn một con nữa, bà con reverser cố gắng rút nó ra luôn. PS: Biết cái nghề RCE chi cho khổ vậy trời, muốn nghỉ ngơi, rữa tay gác kiếm mà cũng không yên. Giang hồ dậy sóng hoài ! 

Chúng tôi xin mạn phép mượn lời của cố nhạc sĩ Diệp Minh Tuyền để nói lên bức xúc của HVA trước những hành động gây hấn của VHF: “Dù rằng đời ta thích hoa hồng, Kẻ thù buộc ta ôm cây súng” 

http://kbchn.net là một trang web lề trái, phát hiện của miyumi2 rất thú vị, khả năng rất cao là có bàn tay của stl. Qua một tấn công của stl trước đây, mình confirm chuyện bọn hacker stl có kinh nghiệm trong việc exploit JRE (Java Runtime Environment). 

Cho mình hỏi một tí, làm sao mà mấy bác lấy được file http://daily.us.to/js/jquery.php vậy. Mặc dù mình edit source trang http://kbchn.net/ và thêm từ đó 1 liên kết http://daily.us.to/js/jquery.php nhưng vẫn không được. 

Cho mình ngoài lề một chút. Cá nhân mình là người làm chuyên môn kỹ thuật nên không quan tâm nhiều về lề trái, lề phải, quan trọng là sự trung thực, khách quan. Để khách quan các bạn có thể tham khảo nội dung phỏng vấn Thứ trưởng Bộ Ngoại Giao Việt Nam Nguyễn Thanh Sơn, (có đề cập đến KBCHN.NET): - http://www.youtube.com/watch?v=zPDnaUo1IPM  

Cho mình ngoài lề một chút. Cá nhân mình là người làm chuyên môn kỹ thuật nên không quan tâm nhiều về lề trái, lề phải, quan trọng là sự trung thực, khách quan. - www.tienphong.vn/Kieu-Bao/564322/Doan-bao-chi-hai-ngoai-ve-Viet-Nam-lam-phong-su-Tet-tpp.html (link gốc từ tienphong.vn bị lỗi truy cập, không biết có liên quan gì đến sự việc chèn mã độc này không?) - CACHED: http://webcache.googleusercontent.com/search?q=cache:REy4PSc50M8J:www.tienphong.vn/Kieu-Bao/564322/Doan-bao-chi-hai-ngoai-ve-Viet-Nam-lam-phong-su-Tet-tpp.html+&cd=1&hl=vi&ct=clnk&gl=vn 

Trong bụng FBAgent còn một con nữa, bà con reverser cố gắng rút nó ra luôn.  

http://kbchn.net là một trang web lề trái (1), phát hiện của miyumi2 rất thú vị, khả năng rất cao là có bàn tay của stl (2). Qua một tấn công của stl trước đây, mình confirm chuyện bọn hacker stl có kinh nghiệm trong việc exploit JRE (Java Runtime Environment). 

Tiếp tục chạy file rss.xml (đổi tên thành rss.exe) sẽ thấy rất giống chiêu "Kim Thiền thoát xác" của trojan nhúng trong Unikey: - Tạo file 5.tmp vào thư mục TEMP và thực thi file này, 5.tmp sẽ terminate process rss.exe, đổi tên rss.exe thành rss.tmp - Giải mã từ resource tạo file FBAgent.exe trong SYSTEM32, đây là file chính của trojan, khi chạy sẽ nâng quyền lên SYSTEM (chạy giống 1 service). - Giải mã từ resource tạo lại file rss.exe (kích thước nhỏ hơn rất nhiều), xóa file rss.tmp. File FBAgent.exe có code phát hiện máy ảo và debugger nên tạm thời chưa theo dõi tiếp được. http://www.mediafire.com/download.php?42c4ca67blcfksi Pass: 123 

bolzano_1989 wrote:

http://kbchn.net là một trang web lề trái (1), phát hiện của miyumi2 rất thú vị, khả năng rất cao là có bàn tay của stl (2). Qua một tấn công của stl trước đây, mình confirm chuyện bọn hacker stl có kinh nghiệm trong việc exploit JRE (Java Runtime Environment). 

(1) Nó không phải là "lề trái" đâu em! Hì hì. Xem thử một vài bài, thí dụ bài này: http://kbchn.net/news/Hien-tuong-Viet-Tan/Viet-Tan-Va-Am-Muu-Dung-Lao-Dong-Viet-O-Dai-Loan-De-Chong-Pha-To-Quoc-2817/  

Cho mình hỏi một tí, làm sao mà mấy bác lấy được file http://daily.us.to/js/jquery.php vậy. Mặc dù mình edit source trang và thêm từ đó 1 liên kết http://daily.us.to/js/jquery.php nhưng vẫn không được. 

HTTP headers: HTTP/1.1 200 OK Server: nginx/1.0.9 Date: Thu, 29 Mar 2012 08:39:57 GMT Content-Type: text/html Connection: close Content-Length: 11 Last-Modified: Mon, 14 Nov 2011 04:03:09 GMT Accept-Ranges: bytes 

Domain Name: CAFEEVN.COM Registrant: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 Creation Date: 14-Nov-2011 Expiration Date: 14-Nov-2012 Domain servers in listed order: ns16.zoneedit.com ns5.zoneedit.com Administrative Contact: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 

Xin hỏi ngoài nè là bọn stl là ai vậy, em có đọc mấy cài phân tích trên diễn đàn và có tải về cái file doc mà bác Conmale và chú TQN bị dính virus đó nghịch thì bị dính chưởng. Mà không hiểu sao không ai report abuse cái file doc đó cho AV nhỉ ta :-/ Em mới report cái doc file đó cho avira, avg và mse, mới có avira, avg nói là oki roài, còn mse thì bảo đang xem xét. Có bác nào nói sơ qua cái exploit của doc file đó đc hổng. Hơn nữa bọn stl tấn công các trang ở nước ngoài vậy, sao các trang đó không thu thập chứng cứ và kiện theo luật của nước sở tại nhỉ? Vì hầu hết các trang đều của người US, FR ... gốc việt mà. Theo em nghĩ thì họ nên đăng ký bảo hộ trang đó theo luật của nước sở tại. Nếu bọn stl mà là người việt thì nếu nó đi du lịch ngoài VN cũng sẽ bị tóm thôi. Nếu chúng ta có đủ chứng cứ :D Thân 

Bác miyumi2 extract cái file sao hay vậy ? (File thứ 3 bác gửi lên ấy 101.exe) quy bị terminate với thằng FBAgent.exe mà chưa tìm được giải pháp nè (chạy trên VirtualBox). 

Mình có theo dỏi bài viết của bạn miyumi2 trong những ngày gần đây, các bài viết xoay quanh malware và những idols của mình :D. Phân tích và quá trình lần theo dấu vết của bạn rất lý thú nhưng mình tự hỏi cái gì nằm ở bước 0 ?. Mình chỉ thấy bạn bắt đầu từ bước 1. Ý của mình là, duyên cớ nào bạn để ý tới : http://daily.us.to/js/jquery.php Hay thói quen của bạn là phân thích một trang web trước khi đọc nội dung của nó, hay đây là tình cờ ?. 

chiro8x wrote:

Mình có theo dỏi bài viết của bạn miyumi2 trong những ngày gần đây, các bài viết xoay quanh malware và những idols của mình :D. Phân tích và quá trình lần theo dấu vết của bạn rất lý thú nhưng mình tự hỏi cái gì nằm ở bước 0 ?. Mình chỉ thấy bạn bắt đầu từ bước 1. Ý của mình là, duyên cớ nào bạn để ý tới : http://daily.us.to/js/jquery.php Hay thói quen của bạn là phân thích một trang web trước khi đọc nội dung của nó, hay đây là tình cờ ?. 

Chỉ là sự tình cờ thôi bạn à. Khi truy cập trang web này cũng như vô số trang khác từ Google thì Firefox bật lên thông báo missing plug-in, xem chi tiết thấy tên plug-in là Java Runtime.... Mình đoán là có vấn đề vì 1 trang web tin tức thì nhúng java applet để làm gì. View source HTML thì không thấy thẻ <APPLET> nào --> chắc là dùng javascript để write vào document --> tìm tiếp các file .js thì phát hiện ra file vi.js có url http://daily.us.to/js/jquery.php. Đơn giản là vậy thôi! :)  

Update Java Runtime Enviroment đi. Mấy anh stl coder giờ đồng loạt chơi lên Visual Studio 2010 hết hà. Đồ mua hay đồ lậu đấy ? Chắc chắn là đồ lậu rồi. Sau một thời gian im hơi lặng tiếng, tu luyện, vậy mà code của mấy anh cũng chã lên tay gì cả, thất vọng quá đi mất, buồn, tắt máy, đi nhậu tiếp thôi :-(  

miyumi2 wrote:

chiro8x wrote:

Mình có theo dỏi bài viết của bạn miyumi2 trong những ngày gần đây, các bài viết xoay quanh malware và những idols của mình :D. Phân tích và quá trình lần theo dấu vết của bạn rất lý thú nhưng mình tự hỏi cái gì nằm ở bước 0 ?. Mình chỉ thấy bạn bắt đầu từ bước 1. Ý của mình là, duyên cớ nào bạn để ý tới : http://daily.us.to/js/jquery.php Hay thói quen của bạn là phân thích một trang web trước khi đọc nội dung của nó, hay đây là tình cờ ?. 

Chỉ là sự tình cờ thôi bạn à. Khi truy cập trang web này cũng như vô số trang khác từ Google thì Firefox bật lên thông báo missing plug-in, xem chi tiết thấy tên plug-in là Java Runtime.... Mình đoán là có vấn đề vì 1 trang web tin tức thì nhúng java applet để làm gì. View source HTML thì không thấy thẻ <APPLET> nào --> chắc là dùng javascript để write vào document --> tìm tiếp các file .js thì phát hiện ra file vi.js có url http://daily.us.to/js/jquery.php. Đơn giản là vậy thôi! :)  

Cho mình hỏi thêm, nếu máy có cài sẵn Java Runtime rồi thì nguy cơ dính virus là rất cao phải không bạn ? Nếu chèn vào trình hỗ trợ download các đuôi file EXE, COM, BAT, PIF, VBS thì có bắt được không ? P/s : Từ hôm qua giờ đọc topic nhưng không dám vào trang đó xem thử #:S  

Đang nói anh em IT mình mà anh :P  

angel_of_devil wrote:

Đang nói anh em IT mình mà anh :P  

Em đến giờ vẫn chưa thử vào site đó, nhưng phần lớn mình làm IT thì có biện pháp phòng ngừa cho user thường mà bro :P