[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
26/09/2011 13:37:59 (+0700) | #1081 | 247741 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
TQN wrote:
Hì hì, không phải nó kill các tool đó hay exit đâu bà con ! Thâm hơn nữa kìa, nó sẽ đi ngủ, chừng nào tụi kia đi hết nó mới thức dậy và phang tiếp
cversions.2.db sinh rất nhiều thread, mổi thread làm nhiệm vụ khác nhau.
Code detect các tool sniffer được đặt nằm trong 1 thread. Thread này gần như loop vô tận, và liên tục detect các snifffer. Nếu detect thấy, nó sẽ set 1 cờ, em gọi là g_dwNotSafeToConnect.
Các thread khác làm làm nhiệm vụ upload victim infos và download sẽ liên tục check cờ này, nếu thấy not safe, nó sẽ không connect tới các HTTP server định sẵn, thay vào đó các thread sẽ đi ngủ (Sleep)
Vì vậy, user bình thường, khi bật Wireshark, Smsniff... lên sẽ không thấy các connection vào ra từ cversions.2.db này. Khi tắt đi thì cversions.2.db sẽ lại connect.
stl coder thâm vậy đó, bà con sợ chưa
Ha ha, vậy thì bà con chỉ cần cài 1 cái Wireshark và cứ khởi động Wireshark trên máy thì coi như là stl malware sẽ... ngủ triền miên? . Kiểu này BKIS bị ế . |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
26/09/2011 13:40:29 (+0700) | #1082 | 247742 |
Vậy là bà con chỉ cần cài mấy tool trên thì malwares sẽ không hoạt động. Không cần cài chương trình diệt virus làm gì |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
26/09/2011 13:56:39 (+0700) | #1083 | 247744 |
texudo
Member
|
0 |
|
|
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
|
|
Thiệt là thâm quá đi, cũng kinh đấy.
Thử hỏi có bao nhiêu người online mà bật mấy cái tools kia, đa số nạn nhân sẽ không biết có kết nối hay không có kết nối tới stl sites...
Anh TQN gửi mẫu liên tục cho các AVs thì may ra cái đám củ đậu này mới bị tiêu diệt. |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
26/09/2011 14:38:43 (+0700) | #1084 | 247748 |
|
A.T
Member
|
0 |
|
|
Joined: 11/06/2011 05:45:42
Messages: 76
Offline
|
|
lẻ nào em đag được mỡ mang tầm Mắt, 1 năm trước khi học môn Lập trình hệ thống,ghép nối thiết bị, E biết HĐHành bây giờ là đa nhiêm,nhưng quá trình xử lí thông tin lại là " xếp hàng đợi" là được thực hiện thứ tự lần lượt
Lúc đó em mơ màng về một định nghĩa Nếu các Antivirut được cài chung với virut,nhưng virut sẻ đủ " khôn" để biết khi nào các process của các Anti chạy mà Sleep và ngược lại thì sao nhỉ, đang chờ đợi và theo " sỏi" Anh TQN |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
26/09/2011 15:05:31 (+0700) | #1085 | 247751 |
Xr0.9999
Member
|
0 |
|
|
Joined: 28/08/2011 19:55:11
Messages: 16
Location: Gia Nghĩa
Offline
|
|
quá hay, vào HVA học hỏi đc rất nhiều điều. em khâm phục các bác quá ! |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
26/09/2011 18:27:20 (+0700) | #1086 | 247758 |
soida
Member
|
0 |
|
|
Joined: 23/04/2010 21:29:17
Messages: 4
Offline
|
|
Vậy, mình chạy malware trong 1 máy ảo, ngoài máy thật bật chương trình Wireshake thì nó có phát hiện được không nhỉ |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
26/09/2011 19:25:47 (+0700) | #1087 | 247760 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Dĩ nhiên là không, vì ToolHelp32 API chỉ detect trên 1 session (có nhiều session trong 1 máy), và máy thật khác máy ảo. |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
26/09/2011 19:35:54 (+0700) | #1088 | 247762 |
|
stf
Member
|
0 |
|
|
Joined: 23/04/2005 18:28:25
Messages: 15
Offline
|
|
soida wrote:
Vậy, mình chạy malware trong 1 máy ảo, ngoài máy thật bật chương trình Wireshake thì nó có phát hiện được không nhỉ
TQN wrote:
Dĩ nhiên là không, vì ToolHelp32 API chỉ detect trên 1 session (có nhiều session trong 1 máy), và máy thật khác máy ảo.
Hai bác định vẽ đường cho hươu chạy sao vì hình như cũng có cái gọi là VMware detection...lúc đó bọn STL lại thêm 1 đoạn code check nếu là VM thì "chém vè" tiếp...keke |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
26/09/2011 19:55:08 (+0700) | #1089 | 247764 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Tụi stl này đã code detect VM từ lâu rồi, 2010, nhưng những đoạn code check đó lại trò con nít, user bình thường doubleclick to run trên VM mới bị detect, chứ còn gặp các anh em biết về RCE thì chỉ cần change khi debug hay patch một cái EAX, AX, AL hay ZF là đoạn code check của mấy anh stl thành vô dụng.
Kỹ thuật anti Debug, anti VM, anti RCE của mấy anh stl chỉ mới ở mức hơn newbie một chút thôi.
Vd:
1. File rwoqv.exe, addr: 00401230, là đoạn code check VMWare và VirtualBox
2. File rfc2616.exe, addr: 00401680, một proc call một loạt các hàm check Virtual Machine, AV và debugger.
Theo hình trên, tại 004016D3, em cứ để mấy anh stl múa sao thì múa, em chỉ cần set result về 0 là "xong phim", bao nhiêu công sức code của mấy anh đổ sông đổ biển hết
Trong file QTTask.zip mà tui đã up ở mediafire: http://www.mediafire.com/?259kv56xit09c6b (password: infected) có các file IDA 6.1 database file .idb, các bạn có thể mở ra với IDA 6.1 và xem các .idb đó như một tham khảo thêm !
PS: Chiều nay ngồi RCE một con virus của Nga mà một thằng bên Kaspersky lab gởi cho mình. RCE một đổi, mình nổi khùng, mẹ, sao có thằng giỏi thế không biết, nó quay mình chóng mặt luôn, dẹp luôn, bỏ đi nhậu "rữa xe" cho khoẻ ! Chả liên quan gì tới mình !
Tiện thể, nhờ bà con up giùm các file trong QTTask.zip trên lên các AVs. Cùng nhau up phụ một tay nhé !
Có một điều nữa, từ trước tới giờ, đa số bà con chỉ biết Wireshark và Ethernet là các tool phổ biến để sniffer và packet capture, monitor... Chỉ gần đây anh em ta mới đề cập tới SmartSniff (smsniff.exe) của Nirosoft. Anh em stl cũng theo topic này rất sát, thấy, à mày dùng smsniff hả, tao chơi code detect smsniff cho mày biết !
Em chỉ cần, vẫn dùng smsniff.exe, đổi tên nó thành nwsniff.exe chẵng hạn, rồi dùng 1 HexEditor, search và replace SmartSniff string thành NetworkSniff string chẳng hạn, thì đoạn code detect SmartSniff của mấy anh stl vứt vào sọt rác luôn (FindWindowW tìm ra không mấy anh stl ?).
Khi nào mấy anh stl cần học cờ rắc, liên hệ em hay anh em REA, HVA nhé ! Học phí cực rẽ luôn ! |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
26/09/2011 20:39:27 (+0700) | #1090 | 247765 |
wireless
Member
|
0 |
|
|
Joined: 11/09/2011 10:06:57
Messages: 1
Offline
|
|
Vậy cuộc chiến náy khi nào sẽ kết thúc đậy ?
Những thằng ABC phải chịu trận hả trờii.
|
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
26/09/2011 20:46:06 (+0700) | #1091 | 247766 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Tại sao bạn lại gọi là cuộc chiến, và nếu là cuộc chiến thì nó chỉ kết thúc khi stl giải tán, hay stl không còn viết "mèo què" nữa, không còn ăn cắp thông tin, "bạch hoá" hèn hạ, không còn chơi DDOS dơ bẩn nữa !
Bạn đừng nên nghĩ mình là ABC đứng giữa chịu đòn của stl, bạn hảy đứng về một phía, về HVA, về phía anh em IT, cộng đồng chính nghĩa để đấu tranh, đập tan cái tổ chức xấu xa stl này !
Em còn chưa mệt thì sao bạn lại mệt, lại hỏi như vậy ha ? Tới giờ thì em rút ra kn rồi, RCE mèo què của stl và post bài trên HVA này như một cách giải trí, ôn luyện, nâng cao khả năng RCE "nữa mùa" của em thôi ! |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
26/09/2011 20:56:53 (+0700) | #1092 | 247767 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
STL lợi dụng những hệ thống bị "compromised" về an ninh để có được 1 mớ zombie rất lớn. Những hệ thống như vậy là hằng hà sa số ở trong nước. Rất dễ có hệ thống zombie với IDM crack, vietkey,..key không rõ nguồn, software crack, office crack, windows crack...
Các bạn STL chế hàng, nhét vào software kèm crack, nhét lên các trang chia sẽ software không bản quyền. Chỉ vậy thôi là đủ. Mấy thằng IT ở các cty bị compromised đó đâu cần biết chuyện DDOS là gì, chỉ cần có software không bị kiểm tra bản quyền, có IDM xịn là đủ. Mấy nội ISP đâu cần quan tâm tới tụi reseller làm gì với khách hàng, cứ để 1 server hàng chục domain. Dính hàng đâu đó, lây 1 phát qua đám bên cạnh, là cái server hay đám server đó thành tay sai trung gian cho các đầu nậu DDOS,(stl chăng hạn). ...
Cuộc chiến này là loại một chiều David chống lại Goliath không có phần thắng như trong truyện. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
26/09/2011 21:34:16 (+0700) | #1093 | 247768 |
|
angel-pc
Member
|
0 |
|
|
Joined: 01/01/2011 01:15:32
Messages: 63
Offline
|
|
Anh em stl cũng theo topic này rất sát, thấy, à mày dùng smsniff hả, tao chơi code detect smsniff cho mày biết !
hic hic, mình chiều về là khoảng 30 p là vào coi topic này, nghe anh nói chắc không dám vào ), không khéo lại bị nghi là stl ) |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
26/09/2011 22:45:05 (+0700) | #1094 | 247769 |
|
A.T
Member
|
0 |
|
|
Joined: 11/06/2011 05:45:42
Messages: 76
Offline
|
|
qa cách hướng dẩn của các cao thủ trên mà ta chưa rút ra được cái gì cho Mình thì buồn,em rút ra được các cách sau mong các Anh chỉ giáo thêm.
i.PC dùng ở Nhà.
1.gỡ ngay mấy cái IDM crack,Unikey,phần mềm đọc file pfd.....download bản sạch đúng nguồn về mà dùng
2.dùng một Anti quyét sạch toàn bộ hệ thống,cập nhật thường xuyên
3.kiểm tra máy tính các để chế độ securi level cao,kiểm tra kỹ các port đang giao tiếp,lắng nghe với bên ngoài bằng các tool cần thiết
ii.Server,rất nhiều máy trạm ở công ty..
1.Các quản trị viên kiểm tra kỹ đê cái ,biết đâu ông đang là zombie cho stl đấy,
2.Các ông lắm tool mornitor..sniff lắm kia mà..
3.cập nhật cái gì thì cập nhật đê
ps: -E mạo phép nói như trên mong các Bác tha lổi,em nghỉ đây là việc nên làm của cả Cộng Đồng IT cùng chung tay,để mấy Anh HVA làm một mình,Mình ngồi đọc mà k làm gì...dù gì cũng là IT làm việc đó nó cũng ko khó,hơn là vô tình tiếp tay cho những Kẻ có ý đồ ko tốt được.E cũng hack cái này hack cái kia,nhưng zui zui thôi,chả hại ai mà làm gì,mổi lần thế lại ngẩm đc vài điều.
- Mấy Anh sinh tử lệnh đừng có đụng vào em nhé,E tuơng lai còn sáng,ra Trường còn fai kiếm tiền trả tiền học và phụng dưỡng Bme ở quê nữa. |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
26/09/2011 23:01:42 (+0700) | #1095 | 247770 |
love.exe
Member
|
0 |
|
|
Joined: 18/06/2011 07:00:25
Messages: 13
Offline
|
|
thui em cứ sài KIS bản quyền cho chắc hết lại gom tiền mua chứ sài mấy cái kia nguy hiểm quá thấy mấy anh phân tich nhìn đã thiệt mà cũng chả hiểu gì cho lắm hehe.... |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
27/09/2011 09:37:23 (+0700) | #1096 | 247789 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
stf wrote:
soida wrote:
Vậy, mình chạy malware trong 1 máy ảo, ngoài máy thật bật chương trình Wireshake thì nó có phát hiện được không nhỉ
TQN wrote:
Dĩ nhiên là không, vì ToolHelp32 API chỉ detect trên 1 session (có nhiều session trong 1 máy), và máy thật khác máy ảo.
Hai bác định vẽ đường cho hươu chạy sao vì hình như cũng có cái gọi là VMware detection...lúc đó bọn STL lại thêm 1 đoạn code check nếu là VM thì "chém vè" tiếp...keke
Hì hì, tớ nghĩ (và chắc TQN cũng nghĩ) là chả có gì là vẽ đường cho hươu chạy hết bởi vì nói cho cùng, tất cả đều là kiến thức và ứng dụng, chỉ có khác ở chỗ ứng dụng kiến thức để giúp cho xã hội, cho trí tuệ, cho con người được tốt đẹp hơn hay là làm cho nó tan nát hơn thì tuỳ.
HVA chơi rất đường đường chính chính, phân tích rất kỹ thuật, có bằng chứng, có minh hoạ rất rõ ràng. Cái này không phải chỉ riêng cho mấy anh stl mà còn cho công luận đọc và hiểu một cách rộng rãi. Nếu "hươu" chỉ có thể "chạy" một đường, một kiểu, một lối mòn tư duy thì chẳng bao lâu, "hươu" sẽ đâm vô ngõ cụt. Nếu "hươu" mà thoảt ra khỏi lối mòn tư duy, mở rộng tầm nhìn nhưng vẫn cắn răng làm những chuyện bậy bạ thì để cho toà án lương tâm xử... "hươu". Cho đến nay, "hươu" đã đi đến chỗ bế tắc gần như hoàn toàn. Vẫn loay hoay trong cái hộp mà không thoát ra được nhưng tệ nhất là càng ngày càng đắm chìm vào những trò che đậy tồi tệ không những trong kỹ thuật mà còn trong đời sống nữa.
Tớ không hiểu nổi, mấy anh stl đang phục vụ cái gì? |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
27/09/2011 15:07:18 (+0700) | #1097 | 247814 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Lại thành thật chia buồn với mấy anh stl nữa rồi, 6 cái host URL mấy anh nhúng trong cversions.2.db mà mấy anh đã cẩn thận dùng TEA/TEAN gì đó để encrypt đã bị em decrypt ra mất tiêu rồi
Trước tiên, em patch cái hàm check sniffers của mấy anh để nó luôn return FALSE và set cái global flag g_bNotSafeToConnect to FALSE (thông cảm, tiếng Anh em tệ lắm, đặt tên biến, tên hàm đọc muốn trẹo mồm). Sau đó, do mấy anh cứ khoái dùng Sleep để ngủ nên em phải patch luôn hàm Sleep trong kernel32.luôn, cho nó ret 4 ở đầu hàm (để em khỏi phải ngủ theo mấy anh ). Tiếp theo, em đặt breakpoint ở hàm CreateProcessA và W trong kernel32.dll luôn (đề phòng thôi, vì anti rookit tool em đang dùng đã set deny CreateProcess, LoadLibrary, create service... rồi mà), sau đó em cứ từ từ mà trace qua hàm MainThreadProc trong DllMain của mấy anh, thế là lòi ra hết.
Mấy anh stl coder sẽ "thét mét", quái, làm sao mà thằng TQN biết là có 6, nếu nó dùng sniffer thì chỉ detect ra 1 host đang connect thôi chứ ? Đơn giản mà, mấy anh dùng vòng loop 30 lần, lấy random value bằng hàm rand rồi mod 6 thì bất kỳ thằng coder newbie nào như em mà không biết là sẽ lấy được trị là 0 tới 5 (tức tổng cộng là 6). Thay vì để hàm rand của VC++ 2008 RTL được call, em patch luôn, cho ECX trả về từ 0 - 30 y như số lần for loop của mấy anh luôn ! Vậy thì cứ watch cái buffer truyền vào cho hàm decode của mấy anh là ra hết cái đống URL host của mấy anh thôi, có gì đâu !
Danh sách các host của stl mà con trojan, ăn cắp thông tin, upload thông tin victim về, và cũng là downloader để download các "mèo què" mới của stl về:
1. alligator.buyshouses.net
2. examiner.thruhere.net
3. gssiweb.is-a-chef.net
4. tmz.is-found.org
5. wbir.iamallama.com
6. weei.istmein.de
Trong mấy cái host này, có cái của Malaisia, có cái của Đức, tùm lum hết. Kinh thiệt, mấy anh stl giàu quá. Các host này mở sẵn port 443 để trojan upload thông tin của victim về.
Em nhờ bà con report baduse để mấy cái host này die sớm. Được vậy thì mọi người dùng Internet, dân IT VN ta đỡ khổ, đỡ bị "bạch hoá" hay bắt buộc đi "tắm trắng"
Bà con IT admin ở các cơ quan, công ty, trường học... chịu khó set firewall, IPS hay IDS gì đó để detect các connection in, out tới các host trên. Nếu có, chia buồn, dính "mèo què" của stl rồi ! Đám mèo què này hơi khó xoá khi boot vào Windows bình thường, bà con chịu khó dùng Hiren Boot disk để boot và xoá từng file trong danh sách các file trong QTTask.zip mà em đã up trên mediafire nhé !
PS: Bà con thắc mắc, anh em HVA có chỉ đường cho "hươu" chạy không, về các anh em khác thì em không dám nói, riêng bản thân em, thì em xin nói thật, là không ! Vì con hươu này còn nhỏ lắm, nên chỉ chạy lòng vòng thôi. Từ đầu tới giờ, có nhiều cái em không dám viết ra, vì nếu viết ra mà mấy anh stl áp dụng thì em cũng chạy "lòng vòng" rồi "cắm đầu" luôn, nên chỉ dám nghĩ trong đầu thôi, không dám nói và tới giờ, may cho em quá, mấy anh stl coder chưa đi mấy con đường đấy, "phào", khoẻ
Còn chuyện RCE và phân tích code của mấy anh stl thì em nghĩ đơn giản là giống như anh em HVA ta đang viết các bài báo phân tích kỹ thuật để mọi người, mọi coder, reverser... đọc giải trí, không bổ bề này cũng bổ bề kia thôi. Những kỹ thuật mà mấy anh stl đang dùng chả có gì là tinh vi như báo, đài nói cả, chỉ là code VC++ bình thường thôi, giả "hươu, nai" thôi ! Chỉ cần chút "xíu xíu" kinh nghiện RCE VC++ application là ra tất. Sau này em sẽ post topic hướng dẫn RCE VC++ app, bà con đón đọc nhé. Các kỹ thuật trong đó em cũng học hỏi từ các guru, sư phụ RCE của em như Kaspersky, Kayaker, Ilfak, Igor... thôi !
Ngày hôm qua em gặp mẫu của thằng Nga, dùng RPC để lây lan, em thiệt bó tay, té xỉu luôn ! Chả hiểu nó viết cái gì, vì về code nó đã là thằng coder cao tay hơn mình rồi ! Sau cùng, phải nhờ anh Gấu gồ, anh ấy chỉ ra là nó khai thác lổi của Print Spooler. |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
27/09/2011 16:04:58 (+0700) | #1098 | 247817 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Và em cũng chắc chắn là trong đám host này, có thằng đang nhả bot để DDOS VNN về. Em sẽ post cách hướng dẫn chạy một mình cversions.2.db với OllyDbg, SmartSniff và SysTracer trên máy ảo để bà con chụp cổ thằng bot VNN được down về.
Em nói đúng không mấy anh stl ?
Các thông tin về victim, về cấu hình phần cứng, serial number của CPU, harddisk, username, computername, licenseID, danh sách các phần mềm đã instal, IE ver, path, name của thư mục %UserProfile%... mà mấy anh còn lấy được, còn úp về được thì victim hết đường chối khi mấy anh muốn "bạch hoá". Thậm chí em đang run những phần mềm nào trên máy, mấy anh còn lấy list luôn (PSAPI hay ToolHelp32 API), dùng EnumWindows hết tất cả window đang mở rồi ghi xuống Global Temp File của mấy anh (so siếc, encode gì đó xong) rồi để up đi thì còn cái gì của victim mà mấy anh không biết nữa ? Mấy anh đang vi phạm trắng trợn quyền bảo mật thông tin của công dân đấy nhé !
Nếu trong đám coder của mấy anh, thằng nào dùng WMI để lấy thông tin phần cứng của victim, nhắc với nó, em chỉ cần search vài forum trong nước là khoanh vùng thằng đó rồi đấy nhé ! Đang dùng pure C, lại nhảy qua dùng CString, rồi module khác dùng WMI lại dùng com_string, com_bstr...., rồi module khác lại dùng Zlib.... Chã lẽ một cái file cversions.2.db có tới 2, 3 thằng tham gia code à ?
Bà con có tự hỏi, đám "mèo què" này từ trên trời rơi xuống không ? Hoàn toàn không, nội cái tiền thuê mướn, trả lương cho đám coder này từ 2010 tới giờ thì bà con biết là bao nhiêu rồi, ít nhất phải có từ 4 coder trở lên. Bà con tính lương giùm em cái, tụi này hơi cao cấp, chắc có "du côn sinh" nữa, nên lương phải hơi cao cao, 700USD một tháng đi ! Còn nếu đi thuê các công ty chuyên viết malware thì càng chết nữa, 1 man month chắc phải 1k5-2k USD. Nhưng mà buồn một cái là tới giời, thả ra con nào là các AV chụp cổ nhai xương hết con đó, bao nhiều tiền của, công sức đổ sông đổ biển hết ! Em xin chia buồn mấy anh coder stl nhé, thành thật đấy. Nếu với tài năng coding của mấy anh mà dùng để viết các phần mềm có ích, bán rẽ thì bây giờ mấy anh vi vu biệt thự PMH, xe hơi rồi ! |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
27/09/2011 16:48:37 (+0700) | #1099 | 247820 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Dưới đây là một đoạn thông tin của victim mà con cversions.2.db gởi về cho cái host ở Malaisia:
Code:
==================================================
Protocol : TCP
Remote Address : 111.90.149.58
Remote Port : 443
Service Name : https
Packets : 31 {17 ; 14}
Data Size : 15,115 Bytes {7,501 ; 7,614}
Total Size : 16,399 Bytes {8,181 ; 8,218}
Data Speed : 0.1 KB/Sec
Duration : 00:02:03.812
ProcessID : 4076
Remote MAC Address: 00-22-6b-f4-bc-a9
Remote IP Country : Malaysia
==================================================
[27/09/2011 3:13:17 PM:687]
00000000 67 00 00 00 00 g....
[27/09/2011 3:13:17 PM:765]
00000000 81 8D 68 B2 31 23 90 1F 21 9E 55 59 B5 30 A5 C4 07 97 53 2F 37 72 72 44 55 AC 1C 0F 0E 47 8E 94 h²1#. !žUYµ0¥Ä .—S/7rrD U¬...GŽ”
00000020 96 21 24 A8 BA B3 0B E8 23 94 18 4B 73 18 2E 14 5C 8F C2 02 D7 7B E6 0E 1A 23 5D 85 06 80 11 DA –!$¨º³.è #”.Ks... \Â.×{æ. .#]….€.Ú
00000040 0F C0 C2 93 0B FD 09 53 8B 6B 0C A2 5A 27 D1 3D 7D 07 B2 7E 84 8C BD 1A 3A 16 8D 97 56 86 E2 A2 .À“.ý.S ‹k.¢Z'Ñ= }.²~„Œ½. :.—V†â¢
00000060 83 3D 3B B2 ƒ=;²
[27/09/2011 3:13:17 PM:765]
00000000 81 8E 6A B5 35 28 96 26 29 A7 5F 64 C1 3D B3 D3 17 A8 65 42 4B 87 88 5B 6D C5 36 2A 2A 64 AC B3 Žjµ5(–& )§_dÁ=³Ó .¨eBK‡ˆ[ mÅ6**d¬³
00000020 B6 42 46 CB DE D8 31 0F 4B BD 42 76 9F 45 5C 43 8C C0 F4 35 0B B0 1C 45 52 5C 97 C0 42 BD 4F 19 ¶BFËÞØ1. K½BvŸE\C ŒÀô5.°.E R\—ÀB½O.
00000040 4F 01 04 D6 4F 42 4F 9A D3 B4 56 ED A6 74 1F 8C CD 58 04 D1 D8 E1 13 71 92 6F E7 F2 B2 E3 40 01 O..ÖOBOš Ó´Ví¦t.Œ ÍX.ÑØá.q ’oçò²ã@.
00000060 E3 9E 9D 15 ãž.
[27/09/2011 3:13:17 PM:859]
00000000 00 .
[27/09/2011 3:13:18 PM:046]
EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE.EEE-YEE-YEEEEEEEEEEEEEE/.---/[X%-\\+(Y%\,_,X\Y,^(\%X)-[/-,__0_^--0---,-%^X)\X-)**Y^\^[----,+%[.-.(-.,.EMNM..mk.^'AIxpmAO^XAKtohnALII|nvAMX[tqxnA~kxontrsn3ts.(*%)$-+(.F(3,3/+--@=0=NM=.=0=MI=,=0=NP=/(+=0=UY=_-)\*X$Y=0=ST^=--'-\'(X'/,'__'$+=0=_|t=PY--%--0_WYJ3PJ-JP\P$..$//.*=====.-y=,u=.p=a=----0--0--=--'--'--.RdmLLYO-$~PvUM+RLMS_Iz BmXhTMnwQjNv*gSh)vZX+Hz 3FB@FB@FB@39\yrx=[q|nu=Mq|dxo=,-=\~itkxE..\yrx=[q|nu=Mq|dxo=,-=Mqhzts.._r~un=/3)3+=5oxprkx=rsqd4.._rrni=Qto|otxn={ro=^66_htqyxo=/-,-..^rmxost~=Yxnvirm=Nx|o~u=0=Urpx..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Y|i||nx=M|~v..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Uxqm=Ndnixp..Xp|o~|yxor=O\Y=Nihytr=/-,-..UM=Q|nxoWxi=P,.,$=P[M=Nxotxn..V|nmxonvd=\sit0Ktohn=/-,,..Tsixosxi=Xemqroxo..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/)*+)$-4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(-.++(4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(-*$.%4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=Tsixosxi=Xemqroxo=%=5V_/(.-()%4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(.((,/4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(.+/*+4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(.+/*+0k/4..Hmy|ix={ro=Jtsyrjn=EM=5V_/(),*+.4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=Tsixosxi=Xemqroxo=%=5V_/())(/,4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/())%$.4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/((($,*4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=Tsixosxi=Xemqroxo=%=5V_/(($-)$4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(+/$.*4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(++)()4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(+*+%-4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(*-///4..Uri{te={ro=Jtsyrjn=EM=5V_/($,4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(*-$)*4..Hmy|ix={ro=Jtsyrjn=EM=5V_/+-**,/4..Hmy|ix={ro=Jtsyrjn=EM=5V_/+,++*+4..Pt~ornr{i=Jtsyrjn=Yotkxo=Vti=*3,3-3*+--..V0Qtix=Pxz|=^ryx~=M|~v=)3%3(..Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,..Pt~ornr{i=Ktnh|q=W>=/3-=Oxytniothi|qx=M|~v|zx..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=Irrqn=0=XSH..Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH..Prgtqq|=[tox{re=+3-3/=5e%+=xs0HN4..PNYS=Qto|od={ro=Ktnh|q=Nihytr=/--%=0=XSH..Pt~ornr{i=Ixei0ir0Nmxx~u=Xsztsx=)3-=5Xszqtnu4..Mdiurs=/3*=mdjts./0/,+..O|kx=Oxmroin=*3*3-=_X..HstVxd=)3-=SI..Pt~ornr{i=Vxosxq0Pryx=Yotkxo=[o|pxjrov=[x|ihox=M|~v=,3(..JtsM~|m=)3,3/..JtsO\O=|o~utkxo..D|urr<=Pxnnxszxo..Pt~ornr{i=Ktnh|q=^66=/--%=\IQ=Hmy|ix=v$*.$/)=0=e%+=$3-3.-*/$3),)%..UIVV..nxsnron|pmqxn..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=3SXI=[o|pxjrov=Irrqn=0=xsh..ktni|qtnBe+){ox..jy{irrqnBt|+){ox..Q|~=Ktxi=piy$=XK\..sxijrovqto|otxnBt|+){ox..ir|nixopxi|y|i|m|~v|zxn|pmqx..ts{n|pmqxBe+){ox..sxijrovqto|otxnBe%+{ox..yn{n|pmqxn..nxihmn|pmqxn..P|ovxiOxnx|o~u..nxihmirrqnBe+){ox..Pt~ornr{i=Ktnh|q=^66=/-,-==e%+=Oxytniothi|qx=0=,-3-3.-.,$..tp|ztszirrqnBe%+{ox..msmirrqnBe+){ox..mrjxop|s|zxpxsiBt|+){ox..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3.-*/$3),)%..ux|yxon..[|eNxihmTsni|qqxo..W|k|5IP4=+=Hmy|ix=/+..qhxirriun|pmqxn..|hytrn|pmqxn..zxsxo|qirrqnBt|+){ox..ktni|qtnBt|+){ox..Mdiurs=/3*3,..htqyirrqnBe%+{ox..r{{oxzBt|+){ox..io|~tszirrqBe+){ox..irrqnBt|+){ox..motsiirrqnBt|+){ox..motsiirrqnBe+){ox..PNYS=Qto|od={ro=Ktnh|q=Nihytr=/--%=0=XSH..irrqtsyxe..io|~tszirrqBt|+){ox..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=^rqqx~itrs=Irrqn=Nrho~x=^|~ux..yxhz{tqxnBjts*..io|~tszirrqBe%+{ox..ummhnzP,.,-..zxsxo|qn|pmqxn..ir|nixon|pmqx..{tox{qdn|pmqx..xkxsin|pmqx..trpxiot~n|pmqxn..W|k|=\hir=Hmy|ixo..qtnBe+){ox..tp|ztszirrqnBt|+){ox..m{yBe+){ox..jsxiqtnBe+){ox..~|s~xqn|pmqx..qhxirriuirrqnBe+){ox..~uvts{irrqBe%+{ox..jy{irrqnBe%+{ox..ntyxnurjn|pmqxn..ox|ypx..sxijrovn|pmqxn..PNEPQ=+=Nxokt~x=M|~v=/=5V_$*.+%+4..mroitrn|pmqx..trpxiot~irrqnBe%+{ox..Ro|~qx=KP=Ktoih|q_re=)3-3,/..niro|zxn|pmqxn..hnn|pmqxn..np|oi~|oyn|pmqxn..|kniox|pirrqnBe%+{ox..jsxiqtnBt|+){ox.._rrni=Qto|otxn={ro=^66_htqyxo=/--$..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=NYV=Ox{xoxs~x=\nnxpqtxn=|sy=TsixqqtNxsnx..ton|pmqxn..V|nmxonvd=Tsixosxi=Nx~hotid=/-,,..msmirrqnBe%+{ox..Pt~ornr{i=Yr~hpxsi=Xemqroxo=/--%..Pt~ornr{i=Ktnh|q=W>=/3-=Oxytniothi|qx=M|~v|zx..niox|ppxyt|n|pmqxn..r{{oxzBe%+{ox..Pt~ornr{i=Ktnh|q=^66=/--(=Oxytniothi|qx..hnn|pmqxn..yokirrqnBt|+){ox..Ox~xtkxTsni|qqxo..UM=Q|nxoWxi=Irrqre..Pt~ornr{i=Ktnh|q=^66=/--(=\IQ=Hmy|ix=v$*.$/.=0=e%+=%3-3(-*/*3)-(...Ktnh|q=^66=/--%=e%+=Ohsitpx=0=5k$3-3.-*/$3),)%4..Ktnh|q=^66=/--%=e%+=Ohsitpx=0=k$3-3.-*/$3),)%..ts{n|pmqxBe%+{ox..Nr{ij|ox=Hmy|ix={ro=Jx=[rqyxon..Pt~ornr{i=Jtsyrjn=Yotkxo=Vti=Yr~hpxsi|itrs=*+--3-$,/-,..y{eBt|+){ox..Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH..Nx~hotid=Hmy|ix={ro=Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH=5V_//(,)%*4..Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH=Nxokt~x=M|~v=,=5V_$)(,)-4..Uri{te={ro=Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH=5V_$*,-$/4..xksiyokn|pmqx..m{yBe%+{ox..Yxhzztsz=Irrqn={ro=Jtsyrjn=5e%+4..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=Ux|yxon=|sy=Qto|otxn..jmyirrqnBe%+{ox..PNEPQ=)3-=NM/=5V_$()).-4..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=V_/)+*,*)=0=e%+=$3-3.-*/$3((*-..y{eBe%+{ox..Pt~ornr{i=Ntqkxoqtzui..Tsixq5O4=Xeioxpx=Zo|mut~n=/=Yotkxo..nxihmirrqnBe%+{ox..irrqnBe+){ox..yokirrqnBe%+{ox..Pt~ornr{i=R{{t~x=Mor{xnntrs|q=Xytitrs=/--...^rpm|ittqtid=M|~v={ro=iux=/--*=R{{t~x=ndnixp..utyBtsmhin|pmqxn..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=Irrqn=0=XSH..tr~iqn|pmqx.._rrni=Qto|otxn={ro=^66_htqyxo=/-,-..Pt~ornr{i=\mmqt~|itrs=Xooro=Oxmroitsz..UM=Q|nxoWxi=P,.,$=P[M=Nxotxn=Irrqre..utyn|pmqxtsmhi..y{eBe+){ox..mrjxop|s|zxpxsiBe%+{ox..htqyn|pmqxn..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3.-*/$3,*..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3.-*/$3+,+,..jemqtnBe%+{ox..zxsxo|qirrqnBe+){ox..\QMN=Irh~u=M|y=Yotkxo..hpy{n|pmqxn..Pt~ornr{i=3SXI=[o|pxjrov=.3-=Nxokt~x=M|~v=/..ytnmq|dn|pmqxn..ts{n|pmqxBt|+){ox..PokqHnzIo|~vtsz..qhxirriuirrqnBe%+{ox..tp|ztszirrqnBe+){ox..Xp|o~|yxor=O\Y=Nihytr=/-,-..jnyirrqBe%+{ox..yokirrqnBe+){ox..jmyn|pmqxn..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=NM,=Jts./=Irrqn..nxihmirrqnBt|+){ox..mrjxop|s|zxpxsiBe+){ox..motsiirrqnBe%+{ox..qtnBe%+{ox..jptn|pmqxn..|kniox|pirrqnBt|+){ox..|kniox|pirrqnBe+){ox..msmmroinn|pmqx..YN[0VtiNxihm..t{nn|pmqxn..Pt~ornr{i=3SXI=[o|pxjrov=/3-=Nxokt~x=M|~v=/..njihsxo..utyn|pmqxn..N~|s=Ir..[|eNxsyTsni|qqxo..OX\QIXV=ZX=;=[X=Xiuxosxi=M^T0X=ST^=Yotkxo..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=NM,=Irrqn..r|~oBe%+{ox..irrqnBe%+{ox..Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,..Uri{te={ro=Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,=5V_$(.($(4..Uri{te={ro=Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,=5V_$(%)%)4..Hmy|ix={ro=Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,=5V_$+.4..zxsxo|qirrqnBe%+{ox..htqyirrqnBt|+){ox..P|ovxiOxnx|o~u..qtnBt|+){ox..nyk..jsxiqtnBe%+{ox..m{yBt|+){ox..trpxiot~irrqnBe+){ox..msmirrqnBt|+){ox..motsin|pmqxn..|kniox|pn|pmqxn..htqyirrqnBe+){ox..tsni|qquxqm..pryxpirrqn..qhxirriuirrqnBt|+){ox..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Y|i||nx=M|~v..r{{oxzBe+){ox..jmyirrqnBe+){ox..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=^rqqx~itrs=Irrqn=0=XSH..j~rtsni|qqxon..jnyirrqBt|+){ox..jnyirrqBe+){ox..Ox|qixv=Utzu=Yx{tstitrs=\hytr=Yotkxo..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Uxqm=Ndnixp..sxijrovqto|otxnBe+){ox..jy{irrqnBe+){ox..PNEPQ=)3-=NM/=5V_$*.+%%4..^ryxZx|o=Yxqmut=|sy=^66_htqyxo=/--$=Uxqm=Ndnixp..ktni|qtnBe%+{ox..jmyirrqnBt|+){ox..^ryxZx|o=Yxqmut=|sy=^66_htqyxo=/--$=Y|i||nx=M|~v..m~tyokn|pmqx..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3/,-//..
[27/09/2011 3:13:18 PM:281]
EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE.EEE,YEE,YEEEEEEEEEEEEEE/.---/[X%-\\+(Y%\,_,X\Y,^(\%X)-[/-,__0_^--0---,-%^X)\X-)**Y^\^[----,+%[.-.(-.,.EMNM..mk.^'AIxpmAO^XAKtohnALII|nvAMX[tqxnA~kxontrsn3ts.(*%)$-+(.F(3,3/+--@=0=NM=.=0=MI=,=0=NP=/(+=0=UY=_-)\*X$Y=0=ST^=--'-\'(X'/,'__'$+=0=_|t=PY--%--0_WYJ3PJ-JP\P$..$//.*=====.-y=,u=.p=a=----0--0--=--'--'--.RdmLLYO-$~PvUM+RLMS_Iz BmXhTMnwQjNv*gSh)vZX+Hz 3FB@FB@FB@39\yrx=[q|nu=Mq|dxo=,-=\~itkxE..\yrx=[q|nu=Mq|dxo=,-=Mqhzts.._r~un=/3)3+=5oxprkx=rsqd4.._rrni=Qto|otxn={ro=^66_htqyxo=/-,-..^rmxost~=Yxnvirm=Nx|o~u=0=Urpx..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Y|i||nx=M|~v..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Uxqm=Ndnixp..Xp|o~|yxor=O\Y=Nihytr=/-,-..UM=Q|nxoWxi=P,.,$=P[M=Nxotxn..V|nmxonvd=\sit0Ktohn=/-,,..Tsixosxi=Xemqroxo..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/)*+)$-4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(-.++(4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(-*$.%4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=Tsixosxi=Xemqroxo=%=5V_/(.-()%4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(.((,/4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(.+/*+4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(.+/*+0k/4..Hmy|ix={ro=Jtsyrjn=EM=5V_/(),*+.4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=Tsixosxi=Xemqroxo=%=5V_/())(/,4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/())%$.4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/((($,*4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=Tsixosxi=Xemqroxo=%=5V_/(($-)$4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(+/$.*4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(++)()4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(+*+%-4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(*-///4..Uri{te={ro=Jtsyrjn=EM=5V_/($,4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(*-$)*4..Hmy|ix={ro=Jtsyrjn=EM=5V_/+-**,/4..Hmy|ix={ro=Jtsyrjn=EM=5V_/+,++*+4..Pt~ornr{i=Jtsyrjn=Yotkxo=Vti=*3,3-3*+--..V0Qtix=Pxz|=^ryx~=M|~v=)3%3(..Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,..Pt~ornr{i=Ktnh|q=W>=/3-=Oxytniothi|qx=M|~v|zx..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=Irrqn=0=XSH..Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH..Prgtqq|=[tox{re=+3-3/=5e%+=xs0HN4..PNYS=Qto|od={ro=Ktnh|q=Nihytr=/--%=0=XSH..Pt~ornr{i=Ixei0ir0Nmxx~u=Xsztsx=)3-=5Xszqtnu4..Mdiurs=/3*=mdjts./0/,+..O|kx=Oxmroin=*3*3-=_X..HstVxd=)3-=SI..Pt~ornr{i=Vxosxq0Pryx=Yotkxo=[o|pxjrov=[x|ihox=M|~v=,3(..JtsM~|m=)3,3/..JtsO\O=|o~utkxo..D|urr<=Pxnnxszxo..Pt~ornr{i=Ktnh|q=^66=/--%=\IQ=Hmy|ix=v$*.$/)=0=e%+=$3-3.-*/$3),)%..UIVV..nxsnron|pmqxn..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=3SXI=[o|pxjrov=Irrqn=0=xsh..ktni|qtnBe+){ox..jy{irrqnBt|+){ox..Q|~=Ktxi=piy$=XK\..sxijrovqto|otxnBt|+){ox..ir|nixopxi|y|i|m|~v|zxn|pmqx..ts{n|pmqxBe+){ox..sxijrovqto|otxnBe%+{ox..yn{n|pmqxn..nxihmn|pmqxn..P|ovxiOxnx|o~u..nxihmirrqnBe+){ox..Pt~ornr{i=Ktnh|q=^66=/-,-==e%+=Oxytniothi|qx=0=,-3-3.-.,$..tp|ztszirrqnBe%+{ox..msmirrqnBe+){ox..mrjxop|s|zxpxsiBt|+){ox..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3.-*/$3),)%..ux|yxon..[|eNxihmTsni|qqxo..W|k|5IP4=+=Hmy|ix=/+..qhxirriun|pmqxn..|hytrn|pmqxn..zxsxo|qirrqnBt|+){ox..ktni|qtnBt|+){ox..Mdiurs=/3*3,..htqyirrqnBe%+{ox..r{{oxzBt|+){ox..io|~tszirrqBe+){ox..irrqnBt|+){ox..motsiirrqnBt|+){ox..motsiirrqnBe+){ox..PNYS=Qto|od={ro=Ktnh|q=Nihytr=/--%=0=XSH..irrqtsyxe..io|~tszirrqBt|+){ox..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=^rqqx~itrs=Irrqn=Nrho~x=^|~ux..yxhz{tqxnBjts*..io|~tszirrqBe%+{ox..ummhnzP,.,-..zxsxo|qn|pmqxn..ir|nixon|pmqx..{tox{qdn|pmqx..xkxsin|pmqx..trpxiot~n|pmqxn..W|k|=\hir=Hmy|ixo..qtnBe+){ox..tp|ztszirrqnBt|+){ox..m{yBe+){ox..jsxiqtnBe+){ox..~|s~xqn|pmqx..qhxirriuirrqnBe+){ox..~uvts{irrqBe%+{ox..jy{irrqnBe%+{ox..ntyxnurjn|pmqxn..ox|ypx..sxijrovn|pmqxn..PNEPQ=+=Nxokt~x=M|~v=/=5V_$*.+%+4..mroitrn|pmqx..trpxiot~irrqnBe%+{ox..Ro|~qx=KP=Ktoih|q_re=)3-3,/..niro|zxn|pmqxn..hnn|pmqxn..np|oi~|oyn|pmqxn..|kniox|pirrqnBe%+{ox..jsxiqtnBt|+){ox.._rrni=Qto|otxn={ro=^66_htqyxo=/--$..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=NYV=Ox{xoxs~x=\nnxpqtxn=|sy=TsixqqtNxsnx..ton|pmqxn..V|nmxonvd=Tsixosxi=Nx~hotid=/-,,..msmirrqnBe%+{ox..Pt~ornr{i=Yr~hpxsi=Xemqroxo=/--%..Pt~ornr{i=Ktnh|q=W>=/3-=Oxytniothi|qx=M|~v|zx..niox|ppxyt|n|pmqxn..r{{oxzBe%+{ox..Pt~ornr{i=Ktnh|q=^66=/--(=Oxytniothi|qx..hnn|pmqxn..yokirrqnBt|+){ox..Ox~xtkxTsni|qqxo..UM=Q|nxoWxi=Irrqre..Pt~ornr{i=Ktnh|q=^66=/--(=\IQ=Hmy|ix=v$*.$/.=0=e%+=%3-3(-*/*3)-(...Ktnh|q=^66=/--%=e%+=Ohsitpx=0=5k$3-3.-*/$3),)%4..Ktnh|q=^66=/--%=e%+=Ohsitpx=0=k$3-3.-*/$3),)%..ts{n|pmqxBe%+{ox..Nr{ij|ox=Hmy|ix={ro=Jx=[rqyxon..Pt~ornr{i=Jtsyrjn=Yotkxo=Vti=Yr~hpxsi|itrs=*+--3-$,/-,..y{eBt|+){ox..Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH..Nx~hotid=Hmy|ix={ro=Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH=5V_//(,)%*4..Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH=Nxokt~x=M|~v=,=5V_$)(,)-4..Uri{te={ro=Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH=5V_$*,-$/4..xksiyokn|pmqx..m{yBe%+{ox..Yxhzztsz=Irrqn={ro=Jtsyrjn=5e%+4..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=Ux|yxon=|sy=Qto|otxn..jmyirrqnBe%+{ox..PNEPQ=)3-=NM/=5V_$()).-4..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=V_/)+*,*)=0=e%+=$3-3.-*/$3((*-..y{eBe%+{ox..Pt~ornr{i=Ntqkxoqtzui..Tsixq5O4=Xeioxpx=Zo|mut~n=/=Yotkxo..nxihmirrqnBe%+{ox..irrqnBe+){ox..yokirrqnBe%+{ox..Pt~ornr{i=R{{t~x=Mor{xnntrs|q=Xytitrs=/--...^rpm|ittqtid=M|~v={ro=iux=/--*=R{{t~x=ndnixp..utyBtsmhin|pmqxn..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=Irrqn=0=XSH..tr~iqn|pmqx.._rrni=Qto|otxn={ro=^66_htqyxo=/-,-..Pt~ornr{i=\mmqt~|itrs=Xooro=Oxmroitsz..UM=Q|nxoWxi=P,.,$=P[M=Nxotxn=Irrqre..utyn|pmqxtsmhi..y{eBe+){ox..mrjxop|s|zxpxsiBe%+{ox..htqyn|pmqxn..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3.-*/$3,*..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3.-*/$3+,+,..jemqtnBe%+{ox..zxsxo|qirrqnBe+){ox..\QMN=Irh~u=M|y=Yotkxo..hpy{n|pmqxn..Pt~ornr{i=3SXI=[o|pxjrov=.3-=Nxokt~x=M|~v=/..ytnmq|dn|pmqxn..ts{n|pmqxBt|+){ox..PokqHnzIo|~vtsz..qhxirriuirrqnBe%+{ox..tp|ztszirrqnBe+){ox..Xp|o~|yxor=O\Y=Nihytr=/-,-..jnyirrqBe%+{ox..yokirrqnBe+){ox..jmyn|pmqxn..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=NM,=Jts./=Irrqn..nxihmirrqnBt|+){ox..mrjxop|s|zxpxsiBe+){ox..motsiirrqnBe%+{ox..qtnBe%+{ox..jptn|pmqxn..|kniox|pirrqnBt|+){ox..|kniox|pirrqnBe+){ox..msmmroinn|pmqx..YN[0VtiNxihm..t{nn|pmqxn..Pt~ornr{i=3SXI=[o|pxjrov=/3-=Nxokt~x=M|~v=/..njihsxo..utyn|pmqxn..N~|s=Ir..[|eNxsyTsni|qqxo..OX\QIXV=ZX=;=[X=Xiuxosxi=M^T0X=ST^=Yotkxo..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=NM,=Irrqn..r|~oBe%+{ox..irrqnBe%+{ox..Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,..Uri{te={ro=Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,=5V_$(.($(4..Uri{te={ro=Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,=5V_$(%)%)4..Hmy|ix={ro=Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,=5V_$+.4..zxsxo|qirrqnBe%+{ox..htqyirrqnBt|+){ox..P|ovxiOxnx|o~u..qtnBt|+){ox..nyk..jsxiqtnBe%+{ox..m{yBt|+){ox..trpxiot~irrqnBe+){ox..msmirrqnBt|+){ox..motsin|pmqxn..|kniox|pn|pmqxn..htqyirrqnBe+){ox..tsni|qquxqm..pryxpirrqn..qhxirriuirrqnBt|+){ox..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Y|i||nx=M|~v..r{{oxzBe+){ox..jmyirrqnBe+){ox..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=^rqqx~itrs=Irrqn=0=XSH..j~rtsni|qqxon..jnyirrqBt|+){ox..jnyirrqBe+){ox..Ox|qixv=Utzu=Yx{tstitrs=\hytr=Yotkxo..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Uxqm=Ndnixp..sxijrovqto|otxnBe+){ox..jy{irrqnBe+){ox..PNEPQ=)3-=NM/=5V_$*.+%%4..^ryxZx|o=Yxqmut=|sy=^66_htqyxo=/--$=Uxqm=Ndnixp..ktni|qtnBe%+{ox..jmyirrqnBt|+){ox..^ryxZx|o=Yxqmut=|sy=^66_htqyxo=/--$=Y|i||nx=M|~v..m~tyokn|pmqx..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3/,-//...EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE.EEEEEEEEEEEEEEEEEEEEEEE
[27/09/2011 3:13:18 PM:468]
00000000 67 00 00 00 g...
|
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
28/09/2011 00:56:18 (+0700) | #1100 | 247835 |
pduck56
Member
|
0 |
|
|
Joined: 06/03/2005 23:08:08
Messages: 1
Offline
|
|
Một mẫu Virus của stl: http://www.mediafire.com/download.php?bv4j1tov7pkn0v0
Mình đã tìm trong History của trình duyệt theo ngày tháng mà Avast phát hiện, từ đó tìm ra nguyên nhân lây nhiễm. Cũng có thể mẫu này đã cũ, nhưng mình cũng mong là mọi người có cách ngăn chặn nguồn lây nhiễm này. Link của nguồn lây nhiễm mình đặt trong file text cùng thư mục. Mọi người muốn biết thông tin gì thêm mình sẽ cố gắng cung cấp. Rất cám ơn anh TQN, anh hãy cố gắng lên mọi người luôn ở bên anh. |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
28/09/2011 08:09:53 (+0700) | #1101 | 247844 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Do bản UltraSuft mà bạn pduck56 down về được ai đó kèm mã độc và protect = Themida nên Avast của bạn báo là malware. Cũng đúng thôi.
UltraSuft là phần mềm free, các bạn nên lên chính website mà down, và đừng download soft, crack lại các forum, các site, các trang chia sẽ... Đệ tử của stl nhiều lắm, chổ nào cũng có, tụi nó sẽ bonus thêm cho các bạn vài con "mèo què" của stl !
Cversions.2.db giao tiếp với các host trên qua cỗng 443, cổng của HTTPS, nhưng lại chã phải là HTTPS gì cả. Coder của stl chỉ đơn thuần dùng pure socket API send và recv để gửi và nhận. Thông tin (char buffer) gởi đi được xor từng byte với 0x1D, còn thông tin nhận về được xor từng byte với 0x45 ('E' char) để lấy lại string ra lệnh nguyên thuỷ.
Ngoài thông tin về username, computer name, hardware: disk, cpu, MAC address, các process đang run, windows name đang mở, con cversions.2.db này còn lấy hết danh các software, các MS update đã install trên máy victim và gởi đi. Cái list softwares này mới là nhiều nè. Máy em thôi sơ sơ ra khoãng 102 dòng thôi. Vì vậy mấy anh stl cứ phải giãi mã mệt nghỉ luôn
|
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
28/09/2011 09:17:11 (+0700) | #1102 | 247849 |
raulgonzalez
Member
|
0 |
|
|
Joined: 25/11/2002 02:36:56
Messages: 23
Offline
|
|
TQN wrote:
Các thông tin về victim, về cấu hình phần cứng, serial number của CPU, harddisk, username, computername, licenseID, danh sách các phần mềm đã instal, IE ver, path, name của thư mục %UserProfile%... mà mấy anh còn lấy được, còn úp về được thì victim hết đường chối khi mấy anh muốn "bạch hoá". Thậm chí em đang run những phần mềm nào trên máy, mấy anh còn lấy list luôn (PSAPI hay ToolHelp32 API), dùng EnumWindows hết tất cả window đang mở rồi ghi xuống Global Temp File của mấy anh (so siếc, encode gì đó xong) rồi để up đi thì còn cái gì của victim mà mấy anh không biết nữa ? Mấy anh đang vi phạm trắng trợn quyền bảo mật thông tin của công dân đấy nhé !
Các thông tin khác em không nói, nhưng stl lấy thông tin về cấu hình phần cứng, serial number của CPU, harddisk, username, computername, licenseID thì em nghĩ các đồng chí stl là người của Orange rồi, vì hacker bình thường lấy mấy thông tin có vẻ không hữu dụng khác, còn với Orange thì, he he, đó là bằng chứng. |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
28/09/2011 10:27:28 (+0700) | #1103 | 247850 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
raulgonzalez viết là CAM (Công An Mạng) thì viết rõ ra, đừng viết Orange bắt người đọc phải suy diễn. |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
28/09/2011 11:03:45 (+0700) | #1104 | 247851 |
texudo
Member
|
0 |
|
|
Joined: 20/07/2011 11:14:04
Messages: 31
Offline
|
|
Kinh quá, lại còn chơi trò bắt người vì sử dụng phần mềm lậu nữa ah, hic hic. Btw, đây cũng là một lý do để đưa người ta vào tù được. Giang hồ hiểm ác, lòng người khó lường.. |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
28/09/2011 11:25:51 (+0700) | #1105 | 247853 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Bởi vậy, em mới tức cảnh làm thơ:
"Giang hồ hiểm ác em không sợ.
Chỉ sợ mèo què "ét ti eo" "
Chỉ sợ hay không sợ ha bà con ? Bà con làm tiếp cho vui ! Em giờ đang stress, cái hàm TEA encode/decode của mấy anh stl chế quái quá !
Toàn bộ thông tin mà cversions.2.db thu nhập về victim sau khi gởi đi sẽ được mã hoá và lưu trong thư mục %LocalAppData%\Apps\GDIPFONTCACHEV1.DAT.
Bà con nào nếu tìm thấy file GDIPFONTCACHEV1.DAT này, trong thư mục Apps nhé (vì có nhiều GDIPFONTCACHEV1.DAT file) thì có thể dùng 010 Editor script sau để giải mã và xem, thử có giật mình không:
Code:
//----------------------------------------------------------------------------
//--- 010 Editor v3.2 Script File
//
// File: DecodeGDIPFontCacheV1.1sc
// Author: ThangCuAnh (TQN)
// Revision: 1.0
// Purpose: Decode file GDIPFONTCACHEV1.DAT
//----------------------------------------------------------------------------
int i, j, size = FileSize();
unsigned char xorBuf[size], val;
if (size <= 0)
{
MessageBox(idOk, "DecodeGDIPFontCacheV1", "No file loaded or file empty.");
return -1;
}
// Modify bytes
for (i = 0, j = 0; i < size; i++)
{
val = (ReadUByte(i) ^ i) ^ 0x10;
if (val == 0x9)
{
val = 0xA;
}
if (val != 0x00)
{
xorBuf[j] = val;
j++;
}
}
int newFile = FileNew();
FileSelect(newFile); // force select new file
WriteBytes(xorBuf, 0, j);
|
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
28/09/2011 13:04:14 (+0700) | #1106 | 247857 |
LIA
Member
|
0 |
|
|
Joined: 10/09/2011 19:36:46
Messages: 13
Offline
|
|
Sao anh TQN kg post mấy cái con virus của stl lên các forum RCE nước ngoài í.
Có gì họ post kết quả phân tích của họ lên. Mình chỉ việc xem thôi! Đỡ mệt |
|
code first, think later - natural programmer |
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
28/09/2011 13:08:30 (+0700) | #1107 | 247858 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Post thì dể, nhưng liệu tụi nó có tâm huyết, có thời gian phân tích kỹ lưỡng 1 đống file trong 1 cục mèo què này không em ? Khó ở chổ là mèo què của stl trải dài tính năng ra 1 loạt file PE, chứ không dồn vào 1 file PE như các virus khác, nên nếu chỉ RCE 1 file thôi thì chưa thể khẳng định đó là mèo què hay mèo bình thường !
Anh chỉ cần bà con mình up cái QTTask.zip đó cho các AVs là được rồi, viết mail "năn nỉ" luôn, thì trước sau gì tụi stl cũng cạn kiệt mẫu, bó tay.com, không còn quậy phá ai được nữa hết !
|
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
28/09/2011 14:09:03 (+0700) | #1108 | 247862 |
latlaobao
Member
|
0 |
|
|
Joined: 24/06/2011 08:50:43
Messages: 11
Offline
|
|
wwwz.vietnamnet.vn cũng die luôn rồi. Như vậy stl vẫn còn một số mẫu nào đó mà các avs chưa phát hiện được. |
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
28/09/2011 15:49:44 (+0700) | #1109 | 247867 |
xomcat3
Member
|
0 |
|
|
Joined: 07/08/2011 22:36:10
Messages: 1
Offline
|
|
Em vẫn vào được các bác a.
Hướng dẫn cách truy cập vào VietNamNet
Trong lúc việc truy cập vào Báo VietNamNet đang gặp khó khăn do sự cố kĩ thuật, độc giả có thể tạm thời truy cập vào VietNamNet theo 2 địa chỉ: http://vietnamnet.com.vn/ hoặc http://wwwz.vietnamnet.vn/.
Báo VietNamNet rất mong Quý độc giả thông cảm về sự cố bất khả kháng này, tiếp tục chia sẻ và đồng hành cùng Báo VietNamNet.
Xin cảm ơn!
VietNamNet
|
|
|
|
|
[Analyzing] Phân tích tính chất vài trận DDoS HVA vừa qua. |
29/09/2011 07:36:22 (+0700) | #1110 | 247899 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Theo tôi thì chắc chắn còn một con nằm vùng nào đó đang down một con bot DDOS mới vào VNN mà chúng ta còn chưa biết.
Tôi chợt nghĩ, có lẽ mẫu bot mới này cũng đã được stl coder add code detect Wireshark, EtherD, SmartSniff vào. Code đó sẽ cũng làm tương tự như cversions.2.db của QTTask, nếu detect thấy sniffer thì nằm im, ngủ
Nhưng code detect sniffer của stl coder rất dể vượt qua. Vì vậy tui đã patch sơ sơ lại SmartSniff của Nirosoft để đoạn code detect này sẽ vô dụng với SmartSniff.
SmartSniff rất nhỏ, không cần cài đặt, dể dùng, portable, nên tôi khuyến khích moị người dùng.
File sniffsm.zip http://www.mediafire.com/?sjreraa710iqkqn chính là SmartSniff đã được tui patch vài chổ. Bà con down về, run, vào menu "Capture Options", set lại Capture Method và "Select network adapter" tương ứng với máy mình là xong.
Hy vọng bà con dùng cái sniffsm (Sniff Smart) này để tóm được thằng bot đang DDOS VNN. |
|
|
Users currently in here |
2 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|