-
21-07-2011, 05:24 PM #21Junior Member
- Ngày tham gia
- Sep 2015
- Bài viết
- 0
Vậy là cậu Kevin chưa đọc kỹ bài post của tui ở HVA. Người cung cấp thông tin cho tui cũng là một cao thủ rất giỏi về RCE, nhưng ít người biết. Cậu ta đã viết một tracker theo dõi con AdobeUpdater từ năm ngoái. Cái tracker đó vẫn chạy tới giờ, và mấy ngày gần đây tracker của cậu ta phát hiện sự thay đổi file trên 2 server đó. Sau khi down về, cậu ta đã viết ct decode và gởi mẫu cho tui.
Bằng user agent string đó, tui cũng đã lấy được file images01.gif và cá file config mạo danh .jpg file như cậu ta !
-
21-07-2011, 05:54 PM #22Junior Member
- Ngày tham gia
- Sep 2015
- Bài viết
- 0
con AdobeUpdater là của tàu à bác, thù tàu quá ....
-
22-07-2011, 09:03 AM #23Junior Member
- Ngày tham gia
- Sep 2015
- Bài viết
- 0
Gửi bởi birthis
Bạn đọc lại bài của TQN nè:
Mời các bạn xem ở đây: http://www.hvaonline.net/hvaonline/posts/list/39641.hva
Chắc các bạn ở đây đều biết đến tụi hacker STL. Hai ngày qua, tụi nó đang DDOS dằn mặt HVA vì các phân tích, theo dõi, truy vết của thành viên TQN.
Các bạn nên kiểm tra máy mình, kill process và xóa ngay các file sau: AcrobatUpdater.exe, AdobeUpdater.exe, wcsntfy.*.
Con bot này và các server này cũng chính là thủ phạm đã, đang DDOS và VietnamNet, boxitvn, các blog...
Thà giết lầm còn hơn bỏ sót, nếu không chính máy các bạn đang là Zombie của tụi hacker xấu xa STL này.
Chân thành cảm ơn các bạn đã đọc bài và khẩn thiết mong các bạn làm theo ! CMC, BKAV, VNCERT chưa thấy động tĩnh và giúp gì cho các bạn được trong vấn nạn virus của STL, DDOS dơ bẫn của tụi STL. Tự các bạn hảy bảo vệ chính mình.
TQN
-
22-07-2011, 11:32 AM #24Junior Member
- Ngày tham gia
- Sep 2015
- Bài viết
- 0
Gửi bởi daogiahieu
wscntfy.exe wscntfy.exe 720 788 K 3,120 K Windows Security Center Notification App Microsoft Corporation
-
22-07-2011, 03:15 PM #25Junior Member
- Ngày tham gia
- Sep 2015
- Bài viết
- 0
Cậu birthis dính Vecebot của STL rồi. Vecebot của STL gồm các file sau:
1. wcsntfy.exe: size = 40960
2. wcsntfy.dll: size = 197632
3. wcsntfy.ocx: size = 221184
4. wcsntfy.dll.mui: size = 222208
Các file này đều mạo danh là file của MS. MS không có các file này. Sigcheck của SysInternals và symchk của WinDbg sẽ fail với các file mạo danh MS thông qua version resource để đánh lừa người dùng.
Bộ mẫu vecebot này tui đã up lên mediafire: http://www.mediafire.com/?1vh7qdcf3ccsi81.
Nếu cậu birthis không tin thì có thể down về so sánh.
Kết quả RCE Vecebot tôi đã làm gần xong hồi đó, nhưng gần đây "mèo què" của STL tới dồn dập nên tôi chưa tập trung làm tiếp việc phân tích hoàn thành Vecebot.
-
22-07-2011, 04:25 PM #26Junior Member
- Ngày tham gia
- Sep 2015
- Bài viết
- 0
nó khác nhau wsc với wcs a TQN ạ [IMG]images/smilies/smile.png[/IMG]
-
22-07-2011, 04:33 PM #27Junior Member
- Ngày tham gia
- Sep 2015
- Bài viết
- 0
Gửi bởi Iphone4
Bạn xem file xc.jpg mới, bạn sẽ thấy chữ tiếng Việt là: "tiep_tuc_viet_ky_su" <= không lẽ tàu viết được sao ta?
-
22-07-2011, 04:46 PM #28Junior Member
- Ngày tham gia
- Sep 2015
- Bài viết
- 0
À, đúng rồi, wsc # wcs. Anh đọc cũng không kỹ. Sorry birthis nhé !
Ta hay tàu thì không biết chắc được, nhưng thằng thành viên STL tên "Wu Yu Zhen", mail "nartcogn@gmail.com" thì viết blog toàn tiếng Anh, tiếng Tàu, khi thì viết tiếng Việt. Thằng này thì anh nghi là người Việt gốc Hoa, du học ở tàu về.
-
22-07-2011, 04:56 PM #29Silver member
- Ngày tham gia
- Sep 2015
- Bài viết
- 0
Đọc cái P-Code của cái AdobeUpdater thấy các function đều đặt theo tên tiếng Anh. Em cũng biết một chút phong cách viết code của bọn Tàu, xem ra thì không có giống với phong cách của bọn nó lắm.
Cứ giả sử là bọn Tàu thì không có lý do gì tấn công vào các website như là danlambaovn, hay là các website đại loại như thế... Nên em khẳng định đây là người Việt, hoặc không thì bọn chúng được thuê bởi người Việt, và ít nhất có một người Việt điều khiển.
-
22-07-2011, 05:54 PM #30Junior Member
- Ngày tham gia
- Sep 2015
- Bài viết
- 0
Vui: chiều hôm qua up mẫu cho Kaspersky Lab, sáng nay update đã diệt gọn AcrobatUpdater.exe. Mình phải năn nỉ KIS nhả ra tạm thời để mình còn RCE tiếp.
Các bạn khác dùng các AVs khác nên bỏ chút ít thời gian up mẫu AcrobatUpdater.exe lên các website support của AV mà các bạn đang dùng. Làm vậy thì cũng chính các bạn đã góp một tay xóa bỏ sạch sẽ vấn nạn DDOS hai năm qua, tiêu diệt các con bot của STL.
Vệ sinh cá nhân là một phần quan yếu của sức khỏe nam giới. Dùng dung dịch vệ sinh mỗi ngày mang lại nhiều ích, giúp loại bỏ vi khuẩn và vi sinh vật gây hại, giúp khu vực cơ quan sinh dục luôn sạch...
Gel vệ sinh cu, bạn trai có nên...